Scribd Logo
Upload

Welcome to Scribd!

  • Pen Test

    Uploaded by

    Mirak Karim
    208 views4 pages

    Copyright

    © Attribution Non-Commercial (BY-NC)

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    208 views4 pages

    Pen Test

    Uploaded by

    Mirak Karim

    Copyright:

    Attribution Non-Commercial (BY-NC)
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 4

    Les tests d'intrusions Applied

    Security (Smart PenTest)

    Préambule

    Le test d'intrusion est une prestation d'audit ciblant les architectures du système d'information
    incluant les architectures n-tiers, les serveurs de fichier et de bases de données, les routeurs,
    les switchs réseau, les firewalls, les passerelles VPN IPSec/SSL, etc.

    Quelles que soient les technologies et les architectures mise en place , nous recherchons des
    failles de sécurité de manière approfondie : connexions aux bases de données, formulaires
    dynamiques, sécurité des sessions, gestion de l'authentification et des autorisations,
    application n-tiers, etc.

    Contrairement aux analyses de vulnérabilités classiques, les tests d'intrusion Applied Security
    sont réalisés par des experts aguerris qui ne passeront pas à coté d'une faille de sécurité.
    Leurs connaissances des plus récentes techniques d'intrusion informatique leur permettent
    d'évaluer les vulnérabilités de manière exhaustive.

    Notre méthodologie

    La valeur ajoutée de notre méthodologie réside dans notre capacité à auditer en détail les
    applications afin d'y détecter les malversions possibles : modification des prix, accès aux
    données sensibles, rebond vers un autre compte, vol de compte, usurpation d'identité, etc.

    Notre méthodologie s'appuie sur les méthodologies ouvertes OSSTMM, OWASP et EC-
    Council mondialement reconnues pour leur efficacité, méthodes auxquelles nos consultants
    contribuent à l'effort permanent d'évolution.
    Nos points forts :
     Expertise des architectures applicatives n-tier, LAN/WAN, tous les firewals du marché
    (Cisco, CheckPoint, Juniper, Fortinet, etc.)
     Prise en compte des aspects "métier" de l'application
     Recherche manuelle en profondeur
     Rapport de très haute qualité (rapport technique détaillé et rapport de synthèse pour la
    direction, "executive report")
    Pourquoi effectuer un test d'intrusion ?
    Un test d'intrusion vous permettra de répondre aux questions suivantes :

     Un pirate informatique peut-il nuire à notre activité et à notre image ?


     Est-il possible de commander frauduleusement des articles sur notre site transactionnel ?
     Les données confidentielles de nos clients sont-elles protégées ?
     Un utilisateur malicieux peut-il porter préjudice à un autre utilisateur ?
    Pourquoi choisir Applied Security?

    Notre cabinet réalise plus d'une dizaine de tests d'intrusion par mois sur des banques en ligne,
    des infrastructures critiques. Nos clients sont tous des grands comptes français et
    internationaux.

    Notre équipe "tests d'intrusion" est aujourd'hui très certainement la plus expérimentée et la
    plus reconnue en termes d'intrusion au sein des applications Web et des sites de commerce en-
    ligne.
    Tous nos nouveaux clients, ayant déjà réalisés des tests d'intrusion avec nos concurrents, nous
    félicitent sur la qualité de nos prestations, sur la découverte de failles qui étaient restées
    inexplorées jusqu'à lors, ainsi que sur les aspects didactiques et pratiques de nos rapports
    d'audit.

    Les livrables

    La livraison d'un test d'intrusion comprend un rapport détaillé et une présentation des résultats
    au sein des locaux du client.

    Le rapport contient une section "executive" qui synthétise les risques et les impacts
    opérationnels d'une éventuelle intrusion (et piratage), ainsi que les actions correctives à
    mener. Une section technique décrit en détail et de manière très didactique, les vulnérabilités
    découvertes.

    Un plan d'action correctif est aussi fourni au client avec les tâches nécessaires pour réaliser les
    actions correctives.

    3 types de test d'intrusion

    Nous différencions trois types de prestation de test d'intrusion :

     Le test d'intrusion externe (depuis Internet) appelé (BlackBox PenTest)


     Le test d'intrusion applicatif (Web, Base de données SQL, etc.)
     Le test d'intrusion interne (depuis un VLAN interne chez le client.

    Le test d'intrusion externe (BlackBox PenTests)


    Objectif : Identifier les vulnérabilités qu'un pirate pourrait exploiter depuis Internet pour
    pénétrer vos systèmes et réseaux informatiques.
    Cibles : IP publiques, serveurs web, firewalls, relais SMTP, DNS, PABX, FTP, VPN...
    Le test d'intrusion interne
    Objectif : Identifier les vulnérabilités et malversations qu'un pirate interne pourrait réaliser sur
    vos systèmes et vos applications du réseau interne.
    Cibles : L'ensemble du Système d'Information est alors ciblé : Contrôleurs de domaine, bases
    de données, routeurs, messagerie, WiFi, serveurs de fichiers...

    Le test d'intrusion applicatif


    Objectif : Identifier les vulnérabilités et le contournement qu'un utilisateur anonyme (ou
    disposant d'un compte) pourrait perpétuer.
    Cibles : Applications web, bases de données, applications de gestion, ERP...

    You might also like