Les tests sont réalisés manuellement par des consultants expérimentés qui prennent en compte le contexte, les risques de fraude et qui savent décliner ces risques en scenarii techniques d'intrusion. Un test d'intrusion vous permet de répondre aux questions suivantes :
- Un pirate informatique peut-il nuire à notre activité et à notre image ?
- Est-il possible de s'introduire ou de contourner la sécurité de notre système ?
- Les données confidentielles de nos clients sont-elles protégées ?
- Un utilisateur malicieux peut-il porter préjudice à un autre utilisateur ?
Concernant les audits de sécurité de DSC, ils évaluent la sécurité des configurations techniques et des processus organisationnels. Notre méthodologie s'appuie sur les meilleures pratiques, la norme ISO 27001/27002 et sur l'expérience de nos consultants, expérience acquise au fil de centaines d'audits réalisés pour des entreprises et institutions.
Il existe différents types de tests d'intrusion et d’audit de sécurité :
1- Test d’intrusion externe
Il s’agit de mener des simulations sans informations au préalable à partir de l’extérieur. Pour y parvenir nous nous mettons dans la peau d’un hacker qui ne connaît rien du SI de l’organisation cible sauf son nom et essayons d’aller le plus loin possible.
2- Test d’intrusion interne
L’objectif de cet audit consiste en la simulation d’actes malveillants qui pourraient être commis par un tiers connecté au système d’information de l’entreprise. Les profils de cette personne pouvant être divers :
- Consultant travaillant dans vos locaux à partir de son propre laptop et connecté à votre réseau (Lan / Wi-Fi)
- Consultant utilisant votre infrastructure (matériels et ressources) pour réaliser sa mission.
- Stagiaire à qui vous avez confié un poste avec des droits restreints
- Un utilisateur type de votre réseau
Plusieurs scénarios doivent être explorés à travers ces tests. Il s’agit notamment de :
- Détournement des mécanismes d’authentification sur les applications métiers
- Audit d’étanchéité sur les applications critiques
- Ecoute réseau
- Captation des messages
- Usurpation des identités
- Dénis d’accès
- Gagner en privilège
3- Test d’intrusion Wi-Fi
Le test d'intrusion Wi-Fi est réalisé sur site afin de mesurer le niveau de risque associé à l'infrastructure sans-fil déployée. Qu'il s'agisse d'un point d'accès unique ou d'une configuration Wi-Fi complexe, l'objectif est d'identifier les faiblesses qui pourraient profiter à un individu malveillant à proximité des locaux du client.
4- Audit d’architecture
L’audit d’architecture consiste en la réalisation d’une évaluation technique des composants réseau et sécurité de votre système d’information. L’équipe DSC examinera le positionnement des différents dispositifs de sécurité au niveau de l’architecture ainsi que la stratégie de sécurité sur les périmètres internes et externes mise en place.
Au terme de cette analyse, un design d’architecture de sécurité réseau sera remis, et ce, en tenant compte des failles de sécurité identifiées, du dimensionnement du réseau ainsi que des nouvelles menaces auxquelles l’organisation cible devrait faire face.
5- Audit de configuration
Il s’agit de revoir les configurations des dispositifs de sécurité et de les examiner en fonction des meilleures pratiques dans le domaine.
6- Audit de poste de travail
Il s’agit d’auditer la sécurité du poste de travail en conformité avec les meilleures pratiques dans le domaine.
7- Audit de code
Les failles applicatives sont une des causes majeures de compromission des infrastructures Web aujourd’hui. Les applications Web ne respectent que trop rarement les règles fondamentales de sécurité et les pirates parviennent fréquemment à identifier et exploiter des failles de types XSS ou injection SQL.
DSC vous propose des audits de codes sources de vos application qui sont réalisés par nos experts afin d’en identifier les failles et de vous proposer des actions correctives.
8- Audit d’ingénierie Sociale
L'objectif de cette prestation est d'analyser la sensibilité des employés d’une entreprise aux attaques par ingénierie sociale. Tous les scénarios élaborés sont des instances des cas généraux suivants :
- Phishing et spear phishing (construction de sites factices, messages personnalisés, etc.)
- Envoi de pièce jointe vérolée (fichier exécutable, document PDF, document MS Office)
- Usurpation d'identité (mail, téléphone) Ces scénarios seront systématiquement adaptés au cadre de l'audit afin de maximiser la pertinence des tests. Il sera notamment possible de construire des scénarios par service ou cible spécifique.
A l’issue de nos tests, nous serons en mesure d’évaluer la sensibilité des utilisateurs à ce type d’attaque. De plus, nous pourrons, dans certains cas, analyser la réactivité et la communication interne des
utilisateurs à la détection d’une compromission.
Pour finir, la présence d’équipements de filtrage et/ou de détection sera mise en relief si nous déterminons qu’elle a permis la réussite ou l'échec d'une attaque.