TEST D’INTRUSION : UNE

SIMULATION DE HACKING POUR

IDENTIFIER LES FAIBLESSES DE

VOTRE SYSTÈME

Vo t re speake r au jo u rd ’hu i :

F ra n ç o i s

We b S e c u r i t y M a n a g e r

Part ie 1: Introduct ion aux Tests d’ intrus ion

Part ie 2: Procédures de tests

Part ie 3: Rapport de test et recommandat ions

Part ie 4: A i - je beso in d’un Test d’ intrus ion ?

Agenda

PARTIE 1Introduct ion aux Tests

d’ intrus ion

• Q u ’ e s t c e q u ’ u n Te s t d ’ i n t r u s i o n ?

• Te s t a u t o m a t i s é e t t e s t m a n u e l

• N o s t e s t e u r s

• Po u r q u o i f a i r e u n Te s t d ’ i n t r u s i o n ?

• C o m m e n t s a v o i r s i j ’ a i é t é h a c k é ?

QU’EST-CE QU’UN TEST D’INTRUSION ?

• Évaluation de la vulnérabilité

Réalisé dans des conditions réelles, en suivant les mêmes procédures qu’un

hacker.

Objectifs Renforcer la sécurité de votre système informatique en évaluant les risques de

piratage à tous les niveaux.

Faire tester la vulnérabilité de votre infrastructure par des experts accrédités

CHECK.

• Hacking “éthique”

Périmètre de travail prédéfini, sans risques de dommages sur votre

infrastructure.

TEST AUTOMATIQUE et MANUEL

• Un fonctionnement en continu

• Des algorithmes rapides

• Une solution économique

Les tests manuels(tests d’intrusion)

Les tests automatiques

• Une détection proactive des

vulnérabilités

• Une attaque effectuée par une

personne physique en situation réelle

• Une méthodologie qui combine

différents outils et techniques

• Des experts accrédités

Deux approches différentes et complémentaires

Le test d’intrusion et l’analyse des vulnérabilités sont des outils

puissants et complémentaires

NOS TESTEURS

De multiples accréditations pour nos experts en intrusion:

• CHECK

• Certification européenne de haut niveau établie par CESG

(Communications-Electronics Security Group) en association

avec GCHQ

• Nécessaire à l’évaluation des organismes du secteur public

• CREST

• IACRB (Information Assurance Certification Review Board)

Pour votre test d’intrusion, nous vous recommandons de faire appel à des

fournisseurs certifiés ISO 27001 ou 9001, une preuve de qualité

mondialement reconnue.

Le test comprend un examen théorique + examen pratique

POURQUOI FAIRE UN TEST D’INTRUSION ?

Contrôle de l’image de marque et du capital

Conformité/

Bonnespratiques

Conformité de l’accréditation

Les échanges avec des organisations gouvernementalespeuvent nécessiter un Test d’intrusion

Responsabilité des clients et du personnel

Maintenir la confiance

COMMENT SAVOIR SI J’AI ÉTÉ PIRATÉ ?

Vous ne pouvez pas le savoir! Mais:

• Un Test d’intrusion est capable d’identifier

une attaque

• Des signes peuvent être visibles

Les dangers d’une attaque

• Les dommages liés aux coûts et l’impact sur la réputation peuvent être

considérables

• Les données perdues ne peuvent pas toujours être récupérées

72% des PME souffrant d’une perte de

données conséquente disparaissent dans les 24 mois

3 millions d’€C’est le coût annuel moyen des pertes de

données pour une entreprise française

97 % des entreprises

victimes de failles de sécurité l’ignorent

Source: IBM and Ponemon report “Cost of data breach study 2014”

PARTIE 2Les procédures de Test

• Q u e t e s t o n s n o u s ?

• C o m m e n t f o n c t i o n n e l e t e s t ?

• É t a p e s p r é a l a b l e s a u t e s t

• Ty p e s d e t e s t s

QUE TESTONS-NOUS ?

Test Externe

Exploitations à distance / à l’extérieur de l’entreprise

Reproduction d’une attaque externe

Test Interne

Exploitation des vulnérabilités internes à l’entreprise

Individus présents au sein de l’entreprise (personnel, prestataires…)

Test des applications web

Test des plateformes, administration de la sécurité, escalade des

privilèges

QUE TESTONS-NOUS ?

Nous testons également vos:

• Applications mobiles

• Examens de code (code review)

• Build Reviews

• Social Engineering (ingénierie sociale)

• Voiceover IP (VoIP)

• Structure de réseau

• Wireless (pas seulement Wi-Fi)

• 3G

• Radar

• Micro-ondes

• Bluetooth

• Etc.

COMMENT FONCTIONNE LE TEST?

• La procédure du test est non invasive et planifiée selon le champ de travail

convenu.

• Pas d’attaque par déni de service – DoS

• Différentes méthodologies de test - black box, grey box ou white box

• Exercice de découverte publique d’Open source – Repérage des informations pouvant être utilisées par un hacker malveillant lors d’uneattaque

• Mise en place du test

• Délivrance d’une note globale de vulnérabilité

• Nettoyage – pour assurer la non interruption du service. Toutes les attaques

sont supprimées du serveur pour assurer qu’aucune porte d’entrée n’ait été

laissée ouverte

ETAPES PRÉALABLES AU TEST

• Définition du périmètre de travail / questionnaire

• Attribution d’un expert dédié, point de contact technique du client

• Tout est convenu à l’avance

• Proposition complète incluant :

• Le périmètre de travail

• La stratégie de test

• La méthodologie – basée sur les standards CESG CHECK

• Exemple de rapport

• Les outils préconnisés pour réhabiliter le système

• Expert dédié de votre côté

TYPES DE TESTS

Black box White boxGrey box

Aucune Information

fournie avant le test

• Le test le plus réaliste

• Simule le scénario

d’une attaque réelle

de hacker, à

“l’aveugle”

Toutes les informations

sont fournies avant le

test

• Connaissance des

données internes du

système cible

• Informations telles que

les diagrammes de

réseau, les identifiants

de connexion…

• Test précis et rigoureux

• Simule une attaque en

interne / la fuite

d’informations

sensibles

Quelques informations

fournies avant le test

• Accès à des

informations partielles

telles que les

addresses IP, les

identifiants utilisateurs

• Tentatives d’escalade

des niveaux d’accès

(utilisateur,

administrateur…)

PARTIE 3Rapport de Test

• C o n t e n u d u r a p p o r t

• Re m i s e d u r a p p o r t

1) Récapitulatif global• Principales conclusions ; évaluation

des risques

• Synthèse des mesures correctives

• Impact sur l’entreprise

2) Synthèse technique • Evaluation technique

• Dommages causés sur le système

3) Recommandations de

réhabilitation technique

détaillées

RAPPORT DE TEST

Les rapports sont structurés en 3 parties

La liste suivante synthétise les principaux problèmes relevés

• La politique en terme de mots de passe n’est pas conforme

• Correctifs de sécurité obsolètes

• Ports laissés ouverts

• Page de login vulnérable aux cross-site scripting (XSS) et aux attaques

d’injection SQL

• Pourrait résulter en une attaque de type “man in the middle”

Principales conclusions

PARTIE 1: RECAPITULATIF GLOBAL

PARTIE 2: SYNTHÈSE TECHNIQUE

Tableau synthétique des risques (exemple)

‘Au total, 29 vulnérabilités ont été trouvées et documentées.’

Chaque recommandation ou correctif est associé à un niveau

d’effort qui vous permet d’estimer la charge de travail

nécessaire à la réparation du système

Low:

Moderate:

High:

Jusqu’à 1 homme/jour de travail

Jusqu’à 10 hommes/jour de travail

Plus de 10 hommes/jour de travail

PARTIE 2: SYNTHÈSE TECHNIQUE

Synthèse détaillée et évaluation du risque (exemple)

Injection SQL

• Impact: High

• Risque: High

• Probabilité: High

• Charge de travail pour réparation: Medium

PARTIE 2: SYNTHÈSE TECHNIQUE

PARTIE 3: RECOMMANDATIONS TECHNIQUES

DÉTAILLÉES

Ces recommandations sont conçues pour le personnel technique

responsable des correctifs

• Description des vulnérabilités

• Genèse de la découverte du problème

• Exploitation du problème

• Captures d’écran (si appropriées)

• Correctifs détaillés pour réhabilitation du système

REMISE DU RAPPORT

• Livraison sécurisée

• Une clé de décryptage est envoyée sur le mobile du contact

fourni

• Un lien URL de téléchargement et décryptage est envoyé à ce

même contact

• Délai de livraison

• Sous 2 ou 3 jours après le test

• La règle est la suivante: la production du rapport prend 50% du

temps du Test

PARTIE 4Mon organisat ion a - t -e l le

besoin d’un Test d’ intrus ion?

• Toutes les entreprises, quelle que soit leur taille peuvent

bénéficier d’un Test d’intrusion

› Le Test est adapté aux exigences et besoins de votre

entreprise

• Si votre organisation possède une accréditation de qualité, telle que

la norme ISO 27001, un test régulier est recommandé afin de

conserver l’accréditation.

• Certaines industries manipulent des données sensibles (ex :

l’industrie financière et médicale). Dans ce cas, les organismes de

réglementation exigent la mise en place de tests d’intrusion.

MON ORGANISATION A-T-ELLE BESOIN

D’UN TEST D’INTRUSION ?

Les questions à se poser avant de pratiquer un Test:

• Que dois-je tester? Quel doit être le périmètre du Test? Qu’est ce

que j’accepte de faire tester?

• A quelle fréquence dois-je effectuer un Test d’intrusion? A quelle

date ai-je effectué un Test pour la dernière fois?

• Quel est l’objectif d’un Test d’intrusion pour mon organisation?

MON ORGANISATION A-T-ELLE BESOIN

D’UN TEST D’INTRUSION ?

MON ORGANISATION A-T-ELLE BESOIN

D’UN TEST D’INTRUSION ?

Nos recommandations :

• Vous assurer que vous êtes d’accord sur la portée du test –

obtenir un accord signé

• Vous assurer que vous avez bien un expert dédié pendant la durée

du Test d’intrusion

• Obtenir un exemple de rapport de test avant de vous engager

• Après le test d’intrusion, planifier une session de formation pour vos

salariés

• Choisir un fournisseur avec des accréditations significatives et

l’expérience de la sécurité web

• Externaliser ce service pour une meilleure qualité et plus de neutralité

Questions

Merci de votre attention!

Pour une consultation gratuite

• Envoyez un email à:info@SSL247.fr

• Appelez le: 03.66.72.95.95

Website: www.SSL247.fr/penetrationtesting