Académique Documents
Professionnel Documents
Culture Documents
François
Web Security Manager
Agenda
Pa r t i e 1 : I n t r o d u c t i o n a u x Te s t s d ’ i n t r u s i o n
Pa r t i e 2 : P r o c é d u r e s d e t e s t s
Pa r t i e 3 : R a p p o r t d e t e s t e t r e c o m m a n d a t i o n s
Pa r t i e 4 : A i - j e b e s o i n d ’ u n Te s t d ’ i n t r u s i o n ?
PARTIE 1
I n t r o d u c t i o n a u x Te s t s
d’intrusion
• Q u ’ e s t c e q u ’ u n Te s t d ’ i n t r u s i o n ?
• Te s t a u t o m a t i s é e t t e s t m a n u e l
• Nos testeurs
• P o u r q u o i f a i r e u n Te s t d ’ i n t r u s i o n ?
• Comment savoir si j’ai été hacké?
QU’EST-CE QU’UN TEST D’INTRUSION ?
• Évaluation de la vulnérabilité
Réalisé dans des conditions réelles, en suivant les mêmes procédures qu’un
hacker.
• Hacking “éthique”
Périmètre de travail prédéfini, sans risques de dommages sur votre
infrastructure.
Objectifs
Renforcer la sécurité de votre système informatique en évaluant les risques de
piratage à tous les niveaux.
Faire tester la vulnérabilité de votre infrastructure par des experts accrédités
CHECK.
TEST AUTOMATIQUE et MANUEL
Deux approches différentes et complémentaires
Pour votre test d’intrusion, nous vous recommandons de faire appel à des
fournisseurs certifiés ISO 27001 ou 9001, une preuve de qualité
mondialement reconnue.
POURQUOI FAIRE UN TEST D’INTRUSION ?
Conformité/
Contrôle de l’image de
marque et du capital Bonnes
pratiques
Conformité de
l’accréditation Responsabilité des
Les échanges avec des clients et du
organisations gouvernementales personnel
peuvent nécessiter un Test Maintenir la confiance
d’intrusion
COMMENT SAVOIR SI J’AI ÉTÉ PIRATÉ ?
Source: IBM and Ponemon report “Cost of data breach study 2014”
PARTIE 2
L e s p r o c é d u r e s d e Te s t
Test Externe
Exploitations à distance / à l’extérieur de l’entreprise
Reproduction d’une attaque externe
Test Interne
Exploitation des vulnérabilités internes à l’entreprise
Individus présents au sein de l’entreprise (personnel, prestataires…)
• Contenu du rapport
• Re m i s e d u r a p p o r t
RAPPORT DE TEST
1) Récapitulatif global
• Principales conclusions ; évaluation
des risques
• Synthèse des mesures correctives
• Impact sur l’entreprise
2) Synthèse technique
• Evaluation technique
• Dommages causés sur le système
3) Recommandations de
réhabilitation technique
détaillées
PARTIE 1: RECAPITULATIF GLOBAL
Principales conclusions
Injection SQL
• Impact: High
• Risque: High
• Probabilité: High
• Charge de travail pour réparation: Medium
PARTIE 3: RECOMMANDATIONS TECHNIQUES
DÉTAILLÉES
• Livraison sécurisée
• Une clé de décryptage est envoyée sur le mobile du contact
fourni
• Un lien URL de téléchargement et décryptage est envoyé à ce
même contact
• Délai de livraison
• Sous 2 ou 3 jours après le test
• La règle est la suivante: la production du rapport prend 50% du
temps du Test
PARTIE 4
Mon organisation a-t-elle
b e s o i n d ’ u n Te s t d ’ i n t r u s i o n ?
MON ORGANISATION A-T-ELLE BESOIN
D’UN TEST D’INTRUSION ?
• Vous assurer que vous avez bien un expert dédié pendant la durée
du Test d’intrusion
• Obtenir un exemple de rapport de test avant de vous engager
Website: www.SSL247.fr/penetrationtesting