Prestation

Test d’intrusion externe 

Un test d’intrusion vise à évaluer la visibilité de vos infrastructures sur Internet, à qualifier le niveau de résistance de votre système d’information à des attaques menées depuis internet ou depuis l’interne et à apporter un ensemble de recommandations visant à augmenter votre niveau de sécurité. Pour ce, les ingénieurs sécurité tentent notamment d’accéder à des données supposées sensibles ou confidentielles.

Le test d’intrusion externe se déroule en phases successives optimisées, grâce au savoir-faire et l’expérience des consultants d’ITrust sur la base d’une méthodologie éprouvée depuis 2007 et utilisée sur plus de 500 audits :

Découverte et identification de la topologie réseau de l’interconnexion Internet

Scans d’adresses IP et de ports applicatifs, détermination de l’architecture.

Recherche et acquisition d’informations et de vulnérabilités

Identification des versions des systèmes d’exploitation et des applications, identification des failles connues, recherche de failles inconnues, développement de scénarios d’exploitation des failles trouvées.

Exploitation des vulnérabilités et tentative d’intrusion

Déroulement des scénarios d’exploitation, rebond vers d’autres systèmes à partir des informations et privilèges obtenus (par exemple un accès à un compte administrateur).

Analyse des conséquences de l’exploitation des failles trouvées

Classification selon qu’elles soient exploitables ou non.

Proposition de contre-mesures à mettre en place

Estimation de la durée et des coûts.

Test d’intrusion interne

Un test d’intrusion interne vise à qualifier le niveau de résistance de votre réseau à des attaques menées depuis l’intérieur de celui-ci. Pour ce, les ingénieurs sécurité tentent notamment d’accéder à des données supposées sensibles ou confidentielles.

Avec la création d’un compte privilégié sur le réseau, les tests peuvent aboutir à des informations de configuration et d’installation des machines testées et donc obtenir une meilleure évaluation du niveau de sécurité du réseau testé.

Aussi appelé audit sur compte utilisateur, le test d’intrusion interne permet de mesurer la capacité de nuisance interne : scénario d’un personnel malveillant ou d’un piégeage informatique.

Notre approche en test d’intrusion

Le test d’intrusion en mode boîte noire simule un attaquant décidant ou ayant pour mission de vous « attaquer ». Nous entamons le test d’intrusion avec le minimum d’information, tentons de déterminer un périmètre, puis validons avec vous les éléments identifiés avant de lancer des tests plus offensifs.

Lors d’un test d’intrusion en mode boîte blanche, vous nous communiquez intégralement le périmètre dès le départ de la prestation.

ITrust mobilise sur les opérations d’audit de sécurité des auditeurs expérimentés qui ont, par ailleurs, mené des projets d’étude, de mise en œuvre et de passage en exploitation d’infrastructures techniques. Ces consultants sont des hommes et des femmes de l’art, c’est-à-dire des ingénieurs d’abord formés aux domaines techniques des infrastructures, qui ont une capacité à formuler en temps réel un diagnostic de failles techniques, et à proposer immédiatement des recommandations d’architecture et des propositions de solutions techniques de résolution ou de contournement.

De manière générale, notre démarche est une compilation des meilleures pratiques d’audit : OSSTMM pour la partie réseau et système et OWASP pour la partie applicative web. ITrust est cofondateur de la FPTI (Fédération des professionnels des tests d’intrusion).

La Qualité avant tout !

Nos ingénieurs sont expérimentés, pour faire partie de la RedTeam Itrust (Equipe d’experts). Ils sont tous en CDI et basés en France. Nous nous interdisons de faire appel à des ingénieurs externes excepté de manière exceptionnelle en ayant l’accord de nos clients.

Engagement fort vis-à-vis du référentiel PASSI et des OIV

Dans le cadre de la protection du patrimoine informationnel français et des fleurons de l’industrie, ITrust est engagé dans une démarche de certification vis-à-vis de l’ANSSI
– CSPN pour le développement de son outil IKare (mesure du niveau de sécurité, contrôle de la présence de vulnérabilités, gestion d’actifs),
– PASSI pour les activités de service.

ITrust est notamment labellisé France Cyber cybersécurité.
Nos capitaux sont exclusivement français.
Nos ingénieurs sont basés exclusivement sur le territoire français.

Indépendance, éthique et maintien des compétences

Afin de garantir une qualité irréprochable dans ses prestations, une indépendance totale vis à vis d’éditeurs et prestataires extérieurs, ITrust assure :
⇒ Être totalement indépendant de tiers éditeurs et prestataires, en effet :

– Les capitaux et prestations ITrust sont complètement indépendants des éditeurs et
prestataires d’intégration. (Cf. charte d’intégrité) ;
– Notre charte des valeurs implique une indépendance totale dans nos prestations et de nos préconisations.

⇒ Avoir défini et mis en place des exigences de qualité au travers de :

– Sa méthode Homme 3 ;
– Sa charte des valeurs, signée par tous ses collaborateurs ;
– Sa charte d’intégrité.

⇒ Participer activement aux groupes de travail ISO27001, EBIOS, RGS notamment par son adhésion à des groupes tels que :

– PRISSM, Think tank des professionnels de la cybersécurité ;
– CLUSIF ;
– Club 27001 ;
– OSSIR ;
– Cercle européen de la sécurité.
– ECSO (European Cybersecurity Organisation)

⇒ Participer aux conférences en tant qu’exposant et conférencier menant des interventions sur des sujets pointus de sécurité, par exemple :

– Bot Conf 2014,2018 ;
– Defcon/Blackhat Lasvegas 2009, 2018 ;
– CRIP 20XX ;
– Cloudconference ;
– Assemblée nationale : Expertise cloud et sécurité.

Charte d’éthique

ITrust dispose d’une charte d’éthique prévoyant notamment que :

– Les prestations d’audit sont réalisées avec loyauté, discrétion, impartialité et indépendance ;
– Les auditeurs ne recourent qu’aux méthodes, outils et techniques validés par ITrust ;
– Les auditeurs s’engagent à ne pas divulguer, y compris aux autres auditeurs, non concernés par l’audit, d’informations obtenues ou générées dans le cadre des audits sauf autorisation du commanditaire de l’audit ;
– Les auditeurs signalent au commanditaire de l’audit tout contenu manifestement illicite découvert durant l’audit ;
– Les auditeurs s’engagent à respecter la loi, la réglementation en vigueur ainsi que les bonnes pratiques liées à l’audit (ISO 19011) ;
– L’ensemble des auditeurs signent la charte d’éthique.