You are on page 1of 4

Les tests d'intrusions Applied

Security (Smart PenTest)

Préambule

Le test d'intrusion est une prestation d'audit ciblant les architectures du système d'information
incluant les architectures n-tiers, les serveurs de fichier et de bases de données, les routeurs,
les switchs réseau, les firewalls, les passerelles VPN IPSec/SSL, etc.

Quelles que soient les technologies et les architectures mise en place , nous recherchons des
failles de sécurité de manière approfondie : connexions aux bases de données, formulaires
dynamiques, sécurité des sessions, gestion de l'authentification et des autorisations,
application n-tiers, etc.

Contrairement aux analyses de vulnérabilités classiques, les tests d'intrusion Applied Security
sont réalisés par des experts aguerris qui ne passeront pas à coté d'une faille de sécurité.
Leurs connaissances des plus récentes techniques d'intrusion informatique leur permettent
d'évaluer les vulnérabilités de manière exhaustive.

Notre méthodologie

La valeur ajoutée de notre méthodologie réside dans notre capacité à auditer en détail les
applications afin d'y détecter les malversions possibles : modification des prix, accès aux
données sensibles, rebond vers un autre compte, vol de compte, usurpation d'identité, etc.

Notre méthodologie s'appuie sur les méthodologies ouvertes OSSTMM, OWASP et EC-
Council mondialement reconnues pour leur efficacité, méthodes auxquelles nos consultants
contribuent à l'effort permanent d'évolution.
Nos points forts :
 Expertise des architectures applicatives n-tier, LAN/WAN, tous les firewals du marché
(Cisco, CheckPoint, Juniper, Fortinet, etc.)
 Prise en compte des aspects "métier" de l'application
 Recherche manuelle en profondeur
 Rapport de très haute qualité (rapport technique détaillé et rapport de synthèse pour la
direction, "executive report")
Pourquoi effectuer un test d'intrusion ?
Un test d'intrusion vous permettra de répondre aux questions suivantes :

 Un pirate informatique peut-il nuire à notre activité et à notre image ?


 Est-il possible de commander frauduleusement des articles sur notre site transactionnel ?
 Les données confidentielles de nos clients sont-elles protégées ?
 Un utilisateur malicieux peut-il porter préjudice à un autre utilisateur ?
Pourquoi choisir Applied Security?

Notre cabinet réalise plus d'une dizaine de tests d'intrusion par mois sur des banques en ligne,
des infrastructures critiques. Nos clients sont tous des grands comptes français et
internationaux.

Notre équipe "tests d'intrusion" est aujourd'hui très certainement la plus expérimentée et la
plus reconnue en termes d'intrusion au sein des applications Web et des sites de commerce en-
ligne.
Tous nos nouveaux clients, ayant déjà réalisés des tests d'intrusion avec nos concurrents, nous
félicitent sur la qualité de nos prestations, sur la découverte de failles qui étaient restées
inexplorées jusqu'à lors, ainsi que sur les aspects didactiques et pratiques de nos rapports
d'audit.

Les livrables

La livraison d'un test d'intrusion comprend un rapport détaillé et une présentation des résultats
au sein des locaux du client.

Le rapport contient une section "executive" qui synthétise les risques et les impacts
opérationnels d'une éventuelle intrusion (et piratage), ainsi que les actions correctives à
mener. Une section technique décrit en détail et de manière très didactique, les vulnérabilités
découvertes.

Un plan d'action correctif est aussi fourni au client avec les tâches nécessaires pour réaliser les
actions correctives.

3 types de test d'intrusion

Nous différencions trois types de prestation de test d'intrusion :

 Le test d'intrusion externe (depuis Internet) appelé (BlackBox PenTest)


 Le test d'intrusion applicatif (Web, Base de données SQL, etc.)
 Le test d'intrusion interne (depuis un VLAN interne chez le client.

Le test d'intrusion externe (BlackBox PenTests)


Objectif : Identifier les vulnérabilités qu'un pirate pourrait exploiter depuis Internet pour
pénétrer vos systèmes et réseaux informatiques.
Cibles : IP publiques, serveurs web, firewalls, relais SMTP, DNS, PABX, FTP, VPN...
Le test d'intrusion interne
Objectif : Identifier les vulnérabilités et malversations qu'un pirate interne pourrait réaliser sur
vos systèmes et vos applications du réseau interne.
Cibles : L'ensemble du Système d'Information est alors ciblé : Contrôleurs de domaine, bases
de données, routeurs, messagerie, WiFi, serveurs de fichiers...

Le test d'intrusion applicatif


Objectif : Identifier les vulnérabilités et le contournement qu'un utilisateur anonyme (ou
disposant d'un compte) pourrait perpétuer.
Cibles : Applications web, bases de données, applications de gestion, ERP...