La démarche de notre offre d’audit de sécurité et de celle de nos tests d’intrusion
La cybersécurité est un monde de compromis entre anticipation, réaction et prévention dont vous êtes le seul à même de porter le changement dans votre organisation. Pour un premier état des lieux, nous vous invitons à réaliser un audit cyber. Vous pourrez ainsi avoir une cartographie claire de niveau de sécurité.
Pour aller plus loin, vous pouvez opter pour des tests d’intrusion (pentest) : lan, wan ou intrusion physique.
Anticipation et proactivité
En matière de cybersécurité, il est préférable de prévenir, car cela coûte souvent moins cher. L’objectif principal d’un état des lieux de type « audit » est simple : détailler votre architecture informatique et analyser le fonctionnement de votre entreprise. En réalisant cet audit, vous obtiendrez une cartographie détaillée ainsi qu’un bilan complet qui va mettre en évidence les points faibles à corriger et les potentielles failles à supprimer.
Tests d’intrusion (pentest)
Le mode opératoire et les livrables
de nos tests d’intrusion (pentest)
Dans le cadre de nos tests d’intrusion, nous établissons avec vous le périmètre précis ainsi que la profondeur du champ d’actions. Vous définissez jusqu’où vous souhaitez que nous allions (accès au réseau interne, exfiltration de données, audit physique d’accès au site, etc.).
Retrouvez tout ce que vous avez toujours voulu savoir sur un audit d’intrusion physique, sans jamais oser le demander.
Au terme du pentest, vous recevrez un livrable complet au format .pdf. Nous vous proposons ensuite une restitution afin de comprendre ce rapport global : nous vous présentons la façon dont le pentest s’est déroulé, la liste des risques encourus (niveau de criticité CVSS) et les solutions de remédiation.
Dans tous les cas, le pentest est couvert par un dispositif de confidentialité évidemment très strict et nous pouvons travailler de différentes manières pour établir les livrables :
Pentest en boîte noire
Le pentest en mode Black Box (boite noire) ou test d’intrusion Black Box est le mode de test le plus réaliste puisque le pentester ne possède aucune information lui permettant de pénétrer le système cible.
Ainsi, cette méthode de pentest permet de mettre en exergue les failles que pourrait exploiter un véritable pirate dans son cheminement qui mènera à la compromission du système d’information. Ce mode de test implique une durée d’exécution plus longue parce qu’aucune information n’est rendue volontairement disponible au début du test. L’équipe chargée de la cybersécurité dans l’entreprise ne sera pas au courant de la mise en place d’un test d’intrusion. Le pentester réalise son test d’intrusion de l’extérieur, sans disposer a priori d’informations sur l’entreprise cible. Si cette méthode est très efficace puisqu’elle permet d’effectuer un test d’intrusion en conditions réelles, elle peut en revanche prendre beaucoup de temps.
Pentest en boîte grise
Durant un pentest Grey Box (boite grise), l’auditeur commence ses tests avec un certain nombre d’informations qui lui permettront de gagner du temps. L’auditeur pourra pousser les tests plus loin que s’il était en mode Black Box, tout en restant proche du scénario que pourrait suivre un hacker malveillant.
Le pentest Greybox se situe entre les pentests de type White Box et Black Box. Le pentester pourra disposer d’un certain nombre d’informations avant d’effectuer son test d’intrusion. Il peut par exemple être intégré à l’entreprise comme un employé. Il aura donc des informations de base et un compte utilisateur avec des droits limités. Il va ensuite, comme pour n’importe quel pentest, tenter d’obtenir plus de droit et d’accéder à des informations sensibles ou perturber le fonctionnement normal de l’entreprise.
Pentest en boîte blanche
Le pentest en mode White Box (boite blanche) se caractérise par un partage complet des informations avec l’auditeur. L’objectif est d’identifier le maximum, (idéalement la totalité) des failles existantes en passant au crible l’ensemble du périmètre destiné à être évalué.
Le pentest whitebox est tout le contraire du blackbox. Le test d’intrusion sera réalisé en complète collaboration avec les services techniques de l’entreprise. De cette manière, l’auditeur a accès à l’ensemble du système d’information, à sa configuration, à la documentation technique. Ce pentest est donc très proche d’un audit de sécurité classique. Il est en revanche plus complet puisqu’il va permettre de détecter les vulnérabilités du Système d’information bien plus précisément et proposer des solutions concrètes.
L’audit de cybersécurité réalisé par le Groupe Asten est conforme aux standards CVSS (Common Vulnerability Security System) pour évaluer le niveau de criticité. Nous tenons compte notamment de différents critères techniques et de la complexité de mise en œuvre de l’attaque pour établir les priorités de votre plan d’actions.
Les équipes du Groupe Asten vous accompagnent dans la mise en œuvre des recommandations par la force de nos équipes pluridisciplinaires : ingénieurs cyber, RSSI, DSI à temps partagé, équipes systèmes et réseaux…
Audit cybersécurité :
Contactez-nous pour réaliser un état des lieux cyber ou un pentest dans votre entreprise
Nos experts systèmes et réseaux sont à votre disposition pour répondre à vos questions et vous donner les bons conseils afin de trouver ensemble les meilleures solutions et le meilleur compromis en fonction de vos contraintes et de vos enjeux.