TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous...
Transcript of TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous...
![Page 1: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/1.jpg)
TEST D’INTRUSION : UNE
SIMULATION DE HACKING POUR
IDENTIFIER LES FAIBLESSES DE
VOTRE SYSTÈME
![Page 2: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/2.jpg)
Vo t re speake r au jo u rd ’hu i :
F ra n ç o i s
We b S e c u r i t y M a n a g e r
![Page 3: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/3.jpg)
Part ie 1: Introduct ion aux Tests d’ intrus ion
Part ie 2: Procédures de tests
Part ie 3: Rapport de test et recommandat ions
Part ie 4: A i - je beso in d’un Test d’ intrus ion ?
Agenda
![Page 4: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/4.jpg)
PARTIE 1Introduct ion aux Tests
d’ intrus ion
• Q u ’ e s t c e q u ’ u n Te s t d ’ i n t r u s i o n ?
• Te s t a u t o m a t i s é e t t e s t m a n u e l
• N o s t e s t e u r s
• Po u r q u o i f a i r e u n Te s t d ’ i n t r u s i o n ?
• C o m m e n t s a v o i r s i j ’ a i é t é h a c k é ?
![Page 5: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/5.jpg)
QU’EST-CE QU’UN TEST D’INTRUSION ?
• Évaluation de la vulnérabilité
Réalisé dans des conditions réelles, en suivant les mêmes procédures qu’un
hacker.
Objectifs Renforcer la sécurité de votre système informatique en évaluant les risques de
piratage à tous les niveaux.
Faire tester la vulnérabilité de votre infrastructure par des experts accrédités
CHECK.
• Hacking “éthique”
Périmètre de travail prédéfini, sans risques de dommages sur votre
infrastructure.
![Page 6: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/6.jpg)
TEST AUTOMATIQUE et MANUEL
• Un fonctionnement en continu
• Des algorithmes rapides
• Une solution économique
Les tests manuels(tests d’intrusion)
Les tests automatiques
• Une détection proactive des
vulnérabilités
• Une attaque effectuée par une
personne physique en situation réelle
• Une méthodologie qui combine
différents outils et techniques
• Des experts accrédités
Deux approches différentes et complémentaires
Le test d’intrusion et l’analyse des vulnérabilités sont des outils
puissants et complémentaires
![Page 7: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/7.jpg)
NOS TESTEURS
De multiples accréditations pour nos experts en intrusion:
• CHECK
• Certification européenne de haut niveau établie par CESG
(Communications-Electronics Security Group) en association
avec GCHQ
• Nécessaire à l’évaluation des organismes du secteur public
• CREST
• IACRB (Information Assurance Certification Review Board)
Pour votre test d’intrusion, nous vous recommandons de faire appel à des
fournisseurs certifiés ISO 27001 ou 9001, une preuve de qualité
mondialement reconnue.
Le test comprend un examen théorique + examen pratique
![Page 8: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/8.jpg)
POURQUOI FAIRE UN TEST D’INTRUSION ?
Contrôle de l’image de marque et du capital
Conformité/
Bonnespratiques
Conformité de l’accréditation
Les échanges avec des organisations gouvernementalespeuvent nécessiter un Test d’intrusion
Responsabilité des clients et du personnel
Maintenir la confiance
![Page 9: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/9.jpg)
COMMENT SAVOIR SI J’AI ÉTÉ PIRATÉ ?
Vous ne pouvez pas le savoir! Mais:
• Un Test d’intrusion est capable d’identifier
une attaque
• Des signes peuvent être visibles
Les dangers d’une attaque
• Les dommages liés aux coûts et l’impact sur la réputation peuvent être
considérables
• Les données perdues ne peuvent pas toujours être récupérées
72% des PME souffrant d’une perte de
données conséquente disparaissent dans les 24 mois
3 millions d’€C’est le coût annuel moyen des pertes de
données pour une entreprise française
97 % des entreprises
victimes de failles de sécurité l’ignorent
Source: IBM and Ponemon report “Cost of data breach study 2014”
![Page 10: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/10.jpg)
PARTIE 2Les procédures de Test
• Q u e t e s t o n s n o u s ?
• C o m m e n t f o n c t i o n n e l e t e s t ?
• É t a p e s p r é a l a b l e s a u t e s t
• Ty p e s d e t e s t s
![Page 11: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/11.jpg)
QUE TESTONS-NOUS ?
Test Externe
Exploitations à distance / à l’extérieur de l’entreprise
Reproduction d’une attaque externe
Test Interne
Exploitation des vulnérabilités internes à l’entreprise
Individus présents au sein de l’entreprise (personnel, prestataires…)
Test des applications web
Test des plateformes, administration de la sécurité, escalade des
privilèges
![Page 12: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/12.jpg)
QUE TESTONS-NOUS ?
Nous testons également vos:
• Applications mobiles
• Examens de code (code review)
• Build Reviews
• Social Engineering (ingénierie sociale)
• Voiceover IP (VoIP)
• Structure de réseau
• Wireless (pas seulement Wi-Fi)
• 3G
• Radar
• Micro-ondes
• Bluetooth
• Etc.
![Page 13: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/13.jpg)
COMMENT FONCTIONNE LE TEST?
• La procédure du test est non invasive et planifiée selon le champ de travail
convenu.
• Pas d’attaque par déni de service – DoS
• Différentes méthodologies de test - black box, grey box ou white box
• Exercice de découverte publique d’Open source – Repérage des informations pouvant être utilisées par un hacker malveillant lors d’uneattaque
• Mise en place du test
• Délivrance d’une note globale de vulnérabilité
• Nettoyage – pour assurer la non interruption du service. Toutes les attaques
sont supprimées du serveur pour assurer qu’aucune porte d’entrée n’ait été
laissée ouverte
![Page 14: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/14.jpg)
ETAPES PRÉALABLES AU TEST
• Définition du périmètre de travail / questionnaire
• Attribution d’un expert dédié, point de contact technique du client
• Tout est convenu à l’avance
• Proposition complète incluant :
• Le périmètre de travail
• La stratégie de test
• La méthodologie – basée sur les standards CESG CHECK
• Exemple de rapport
• Les outils préconnisés pour réhabiliter le système
• Expert dédié de votre côté
![Page 15: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/15.jpg)
TYPES DE TESTS
Black box White boxGrey box
Aucune Information
fournie avant le test
• Le test le plus réaliste
• Simule le scénario
d’une attaque réelle
de hacker, à
“l’aveugle”
Toutes les informations
sont fournies avant le
test
• Connaissance des
données internes du
système cible
• Informations telles que
les diagrammes de
réseau, les identifiants
de connexion…
• Test précis et rigoureux
• Simule une attaque en
interne / la fuite
d’informations
sensibles
Quelques informations
fournies avant le test
• Accès à des
informations partielles
telles que les
addresses IP, les
identifiants utilisateurs
• Tentatives d’escalade
des niveaux d’accès
(utilisateur,
administrateur…)
![Page 16: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/16.jpg)
PARTIE 3Rapport de Test
• C o n t e n u d u r a p p o r t
• Re m i s e d u r a p p o r t
![Page 17: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/17.jpg)
1) Récapitulatif global• Principales conclusions ; évaluation
des risques
• Synthèse des mesures correctives
• Impact sur l’entreprise
2) Synthèse technique • Evaluation technique
• Dommages causés sur le système
3) Recommandations de
réhabilitation technique
détaillées
RAPPORT DE TEST
Les rapports sont structurés en 3 parties
![Page 18: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/18.jpg)
La liste suivante synthétise les principaux problèmes relevés
• La politique en terme de mots de passe n’est pas conforme
• Correctifs de sécurité obsolètes
• Ports laissés ouverts
• Page de login vulnérable aux cross-site scripting (XSS) et aux attaques
d’injection SQL
• Pourrait résulter en une attaque de type “man in the middle”
Principales conclusions
PARTIE 1: RECAPITULATIF GLOBAL
![Page 19: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/19.jpg)
PARTIE 2: SYNTHÈSE TECHNIQUE
Tableau synthétique des risques (exemple)
‘Au total, 29 vulnérabilités ont été trouvées et documentées.’
![Page 20: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/20.jpg)
Chaque recommandation ou correctif est associé à un niveau
d’effort qui vous permet d’estimer la charge de travail
nécessaire à la réparation du système
Low:
Moderate:
High:
Jusqu’à 1 homme/jour de travail
Jusqu’à 10 hommes/jour de travail
Plus de 10 hommes/jour de travail
PARTIE 2: SYNTHÈSE TECHNIQUE
![Page 21: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/21.jpg)
Synthèse détaillée et évaluation du risque (exemple)
Injection SQL
• Impact: High
• Risque: High
• Probabilité: High
• Charge de travail pour réparation: Medium
PARTIE 2: SYNTHÈSE TECHNIQUE
![Page 22: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/22.jpg)
PARTIE 3: RECOMMANDATIONS TECHNIQUES
DÉTAILLÉES
Ces recommandations sont conçues pour le personnel technique
responsable des correctifs
• Description des vulnérabilités
• Genèse de la découverte du problème
• Exploitation du problème
• Captures d’écran (si appropriées)
• Correctifs détaillés pour réhabilitation du système
![Page 23: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/23.jpg)
REMISE DU RAPPORT
• Livraison sécurisée
• Une clé de décryptage est envoyée sur le mobile du contact
fourni
• Un lien URL de téléchargement et décryptage est envoyé à ce
même contact
• Délai de livraison
• Sous 2 ou 3 jours après le test
• La règle est la suivante: la production du rapport prend 50% du
temps du Test
![Page 24: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/24.jpg)
PARTIE 4Mon organisat ion a - t -e l le
besoin d’un Test d’ intrus ion?
![Page 25: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/25.jpg)
• Toutes les entreprises, quelle que soit leur taille peuvent
bénéficier d’un Test d’intrusion
› Le Test est adapté aux exigences et besoins de votre
entreprise
• Si votre organisation possède une accréditation de qualité, telle que
la norme ISO 27001, un test régulier est recommandé afin de
conserver l’accréditation.
• Certaines industries manipulent des données sensibles (ex :
l’industrie financière et médicale). Dans ce cas, les organismes de
réglementation exigent la mise en place de tests d’intrusion.
MON ORGANISATION A-T-ELLE BESOIN
D’UN TEST D’INTRUSION ?
![Page 26: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/26.jpg)
Les questions à se poser avant de pratiquer un Test:
• Que dois-je tester? Quel doit être le périmètre du Test? Qu’est ce
que j’accepte de faire tester?
• A quelle fréquence dois-je effectuer un Test d’intrusion? A quelle
date ai-je effectué un Test pour la dernière fois?
• Quel est l’objectif d’un Test d’intrusion pour mon organisation?
MON ORGANISATION A-T-ELLE BESOIN
D’UN TEST D’INTRUSION ?
![Page 27: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/27.jpg)
MON ORGANISATION A-T-ELLE BESOIN
D’UN TEST D’INTRUSION ?
Nos recommandations :
• Vous assurer que vous êtes d’accord sur la portée du test –
obtenir un accord signé
• Vous assurer que vous avez bien un expert dédié pendant la durée
du Test d’intrusion
• Obtenir un exemple de rapport de test avant de vous engager
• Après le test d’intrusion, planifier une session de formation pour vos
salariés
• Choisir un fournisseur avec des accréditations significatives et
l’expérience de la sécurité web
• Externaliser ce service pour une meilleure qualité et plus de neutralité
![Page 28: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/28.jpg)
Questions
![Page 29: TEST D’INTRUSION : UNE SIMULATION DE …...• Obtenir un exemple de rapport de test avant de vous engager • Après le test d’intrusion, planifier une session de formation pour](https://reader034.fdocuments.us/reader034/viewer/2022042111/5e8c8f18b0c88d42314b07d8/html5/thumbnails/29.jpg)
Merci de votre attention!
Pour une consultation gratuite
• Envoyez un email à:[email protected]
• Appelez le: 03.66.72.95.95
Website: www.SSL247.fr/penetrationtesting