TEST D’INTRUSION : UNE

SIMULATION DE HACKING POUR

IDENTIFIER LES FAIBLESSES DE
VOTRE SYSTÈME
Vo t r e s p e a k e r a u j o u r d ’ h u i :

François
Web Security Manager
 Agenda

Pa r t i e 1 : I n t r o d u c t i o n a u x Te s t s d ’ i n t r u s i o n

Pa r t i e 2 : P r o c é d u r e s d e t e s t s

Pa r t i e 3 : R a p p o r t d e t e s t e t r e c o m m a n d a t i o n s

Pa r t i e 4 : A i - j e b e s o i n d ’ u n Te s t d ’ i n t r u s i o n ?
 PARTIE 1
I n t r o d u c t i o n a u x Te s t s
d’intrusion

• Q u ’ e s t c e q u ’ u n Te s t d ’ i n t r u s i o n ?
• Te s t a u t o m a t i s é e t t e s t m a n u e l
• Nos testeurs
• P o u r q u o i f a i r e u n Te s t d ’ i n t r u s i o n ?
• Comment savoir si j’ai été hacké?
 QU’EST-CE QU’UN TEST D’INTRUSION ?

• Évaluation de la vulnérabilité
Réalisé dans des conditions réelles, en suivant les mêmes procédures qu’un
hacker.

• Hacking “éthique”
Périmètre de travail prédéfini, sans risques de dommages sur votre
infrastructure.

Objectifs
 Renforcer la sécurité de votre système informatique en évaluant les risques de
piratage à tous les niveaux.
 Faire tester la vulnérabilité de votre infrastructure par des experts accrédités
CHECK.
 TEST AUTOMATIQUE et MANUEL
Deux approches différentes et complémentaires

Les tests manuels

Les tests automatiques
(tests d’intrusion)

• Un fonctionnement en continu • Une détection proactive des

vulnérabilités
• Des algorithmes rapides
• Une attaque effectuée par une
personne physique en situation réelle
• Une solution économique
• Une méthodologie qui combine
différents outils et techniques

• Des experts accrédités

Le test d’intrusion et l’analyse des vulnérabilités sont des outils

puissants et complémentaires
 NOS TESTEURS

De multiples accréditations pour nos experts en intrusion:

• CHECK
• Certification européenne de haut niveau établie par CESG
(Communications-Electronics Security Group) en association
avec GCHQ
• Nécessaire à l’évaluation des organismes du secteur public
• CREST
• IACRB (Information Assurance Certification Review Board)

Le test comprend un examen théorique + examen pratique

Pour votre test d’intrusion, nous vous recommandons de faire appel à des
fournisseurs certifiés ISO 27001 ou 9001, une preuve de qualité
mondialement reconnue.
POURQUOI FAIRE UN TEST D’INTRUSION ?

Conformité/
Contrôle de l’image de
marque et du capital Bonnes
pratiques

Conformité de
l’accréditation Responsabilité des
Les échanges avec des clients et du
organisations gouvernementales personnel
peuvent nécessiter un Test Maintenir la confiance
d’intrusion
 COMMENT SAVOIR SI J’AI ÉTÉ PIRATÉ ?

Vous ne pouvez pas le savoir! Mais:

• Un Test d’intrusion est capable d’identifier
97 %
des entreprises
une attaque
victimes de failles de
• Des signes peuvent être visibles
sécurité l’ignorent

Les dangers d’une attaque

• Les dommages liés aux coûts et l’impact sur la réputation peuvent être
considérables
• Les données perdues ne peuvent pas toujours être récupérées

3 millions d’€ 72%

C’est le coût annuel moyen des pertes de des PME souffrant d’une perte de
données pour une entreprise française données conséquente
disparaissent dans les 24 mois

Source: IBM and Ponemon report “Cost of data breach study 2014”
 PARTIE 2
L e s p r o c é d u r e s d e Te s t

• Que testons nous?

• Comment fonctionne le test?
• Étapes préalables au test
• Ty p e s d e t e s t s
 QUE TESTONS-NOUS ?

Test Externe
Exploitations à distance / à l’extérieur de l’entreprise
Reproduction d’une attaque externe

Test Interne
Exploitation des vulnérabilités internes à l’entreprise
Individus présents au sein de l’entreprise (personnel, prestataires…)

Test des applications web

Test des plateformes, administration de la sécurité, escalade des
privilèges
 QUE TESTONS-NOUS ?

Nous testons également vos:

• Applications mobiles
• Examens de code (code review)
• Build Reviews
• Social Engineering (ingénierie sociale)
• Voiceover IP (VoIP)
• Structure de réseau
• Wireless (pas seulement Wi-Fi)
• 3G
• Radar
• Micro-ondes
• Bluetooth
• Etc.
 COMMENT FONCTIONNE LE TEST?

• La procédure du test est non invasive et planifiée selon le champ de travail

convenu.
• Pas d’attaque par déni de service – DoS

• Différentes méthodologies de test - black box, grey box ou white box

• Exercice de découverte publique d’Open source – Repérage des

informations pouvant être utilisées par un hacker malveillant lors d’une
attaque

• Mise en place du test

• Délivrance d’une note globale de vulnérabilité

• Nettoyage – pour assurer la non interruption du service. Toutes les attaques

sont supprimées du serveur pour assurer qu’aucune porte d’entrée n’ait été
laissée ouverte
 ETAPES PRÉALABLES AU TEST

• Tout est convenu à l’avance

• Définition du périmètre de travail / questionnaire

• Attribution d’un expert dédié, point de contact technique du client

• Expert dédié de votre côté
• Proposition complète incluant :
• Le périmètre de travail
• La stratégie de test
• La méthodologie – basée sur les standards CESG CHECK
• Exemple de rapport
• Les outils préconnisés pour réhabiliter le système
 TYPES DE TESTS

Black box Grey box White box

Aucune Information Quelques informations Toutes les informations

fournie avant le test fournies avant le test sont fournies avant le
test

• Le test le plus réaliste • Accès à des

• Connaissance des
• Simule le scénario informations partielles
données internes du
d’une attaque réelle telles que les
système cible
de hacker, à addresses IP, les
• Informations telles que
“l’aveugle” identifiants utilisateurs
les diagrammes de
• Tentatives d’escalade
réseau, les identifiants
des niveaux d’accès
de connexion…
(utilisateur,
• Test précis et rigoureux
administrateur…)
• Simule une attaque en
interne / la fuite
d’informations
sensibles
 PARTIE 3
R a p p o r t d e Te s t

• Contenu du rapport
• Re m i s e d u r a p p o r t
 RAPPORT DE TEST

Les rapports sont structurés en 3 parties

1) Récapitulatif global
• Principales conclusions ; évaluation
des risques
• Synthèse des mesures correctives
• Impact sur l’entreprise

2) Synthèse technique
• Evaluation technique
• Dommages causés sur le système

3) Recommandations de
réhabilitation technique
détaillées
 PARTIE 1: RECAPITULATIF GLOBAL

Principales conclusions

La liste suivante synthétise les principaux problèmes relevés

• La politique en terme de mots de passe n’est pas conforme

• Correctifs de sécurité obsolètes
• Ports laissés ouverts
• Page de login vulnérable aux cross-site scripting (XSS) et aux attaques
d’injection SQL
• Pourrait résulter en une attaque de type “man in the middle”
 PARTIE 2: SYNTHÈSE TECHNIQUE

Tableau synthétique des risques (exemple)

‘Au total, 29 vulnérabilités ont été trouvées et documentées.’

 PARTIE 2: SYNTHÈSE TECHNIQUE

Chaque recommandation ou correctif est associé à un niveau

d’effort qui vous permet d’estimer la charge de travail
nécessaire à la réparation du système

Low: Jusqu’à 1 homme/jour de travail

Moderate: Jusqu’à 10 hommes/jour de travail
High: Plus de 10 hommes/jour de travail
 PARTIE 2: SYNTHÈSE TECHNIQUE

Synthèse détaillée et évaluation du risque (exemple)

Injection SQL
• Impact: High
• Risque: High
• Probabilité: High
• Charge de travail pour réparation: Medium
PARTIE 3: RECOMMANDATIONS TECHNIQUES
DÉTAILLÉES

Ces recommandations sont conçues pour le personnel technique

responsable des correctifs

• Description des vulnérabilités

• Genèse de la découverte du problème
• Exploitation du problème
• Captures d’écran (si appropriées)
• Correctifs détaillés pour réhabilitation du système
 REMISE DU RAPPORT

• Livraison sécurisée
• Une clé de décryptage est envoyée sur le mobile du contact
fourni
• Un lien URL de téléchargement et décryptage est envoyé à ce
même contact
• Délai de livraison
• Sous 2 ou 3 jours après le test
• La règle est la suivante: la production du rapport prend 50% du
temps du Test
 PARTIE 4
Mon organisation a-t-elle
b e s o i n d ’ u n Te s t d ’ i n t r u s i o n ?
 MON ORGANISATION A-T-ELLE BESOIN
D’UN TEST D’INTRUSION ?

• Toutes les entreprises, quelle que soit leur taille peuvent

bénéficier d’un Test d’intrusion
› Le Test est adapté aux exigences et besoins de votre
entreprise

• Si votre organisation possède une accréditation de qualité, telle que

la norme ISO 27001, un test régulier est recommandé afin de
conserver l’accréditation.

• Certaines industries manipulent des données sensibles (ex :

l’industrie financière et médicale). Dans ce cas, les organismes de
réglementation exigent la mise en place de tests d’intrusion.
 MON ORGANISATION A-T-ELLE BESOIN
D’UN TEST D’INTRUSION ?

Les questions à se poser avant de pratiquer un Test:

• Quel est l’objectif d’un Test d’intrusion pour mon organisation?

• Que dois-je tester? Quel doit être le périmètre du Test? Qu’est ce

que j’accepte de faire tester?

• A quelle fréquence dois-je effectuer un Test d’intrusion? A quelle

date ai-je effectué un Test pour la dernière fois?
 MON ORGANISATION A-T-ELLE BESOIN
D’UN TEST D’INTRUSION ?
Nos recommandations :
• Externaliser ce service pour une meilleure qualité et plus de neutralité

• Choisir un fournisseur avec des accréditations significatives et

l’expérience de la sécurité web

• Vous assurer que vous êtes d’accord sur la portée du test –

obtenir un accord signé

• Vous assurer que vous avez bien un expert dédié pendant la durée
du Test d’intrusion
• Obtenir un exemple de rapport de test avant de vous engager

• Après le test d’intrusion, planifier une session de formation pour vos

salariés
Questions
 Merci de votre attention!
Pour une consultation gratuite
• Envoyez un email à:info@SSL247.fr
• Appelez le: 03.66.72.95.95

Website: www.SSL247.fr/penetrationtesting