Sécurité des Systèmes d'Information
Tests d’intrusions et de Vulnérabilités
L’objectif d’un test d’intrusion et de vulnérabilité pour un organisme est de vérifier la sécurisation de son système d’information (Infrastructures, Systèmes, Réseaux, Applications, Sites web, Intranet, Extranet …)
Les tests d’intrusion et de vulnérabilité permettent de savoir si la cible est potentiellement vulnérable à des attaques (accès physiques, logiques, connexion internet, ingénierie sociale, …). Pour cela l’équipe de test Synertic se place dans la situation de l’attaquant en appliquant des techniques avancées d’intrusion et d’espionnage.
En fonction du niveau de test choisi et des modalités contractuelles, la prestation peut s’appuyer sur une base de données d’exploits publics et privés, à la détection, l’exploitation d’erreurs de configuration, jusqu’à l’étude des headers de mail émis de la cible, la récupération d’informations dites confidentielles auprès du personnel de la cible (social engineering), ainsi que la conception spécifique de scénarios d’attaque.
Synertic utilise non seulement des outils de tests existants et éprouvés du monde libre et commercial, mais également des outils nouveaux que nous développons. Toutes nos équipes suivent une veille technologique permanente du monde de la sécurité et notamment des dernières failles, techniques et outils de sécurité.
Un rapport d’audit comprenant notamment la liste complète des vulnérabilités découvertes est ensuite fournit afin que la cible puisse engager les corrections nécessaires.
Les Modalités d’intervention de Synertic
On considère généralement un système d’information parfaitement bien protégé lorsque les moyens à mettre en œuvre pour le corrompre sont supérieurs au gain à obtenir. Cet indicatif financier permet à Synertic de se placer dans une situation la plus proche de la réalité.
En fonction de l’objectif recherché par le client, le périmètre, le type et le niveau des tests seront définis :
Le Périmètre
Le périmètre peut être défini par une simple plage d’adresse IP, mais liste généralement de manière exhaustive « la cible ». Les éléments pouvant être donnés sont par exemple :
une liste, une ou plusieurs plages d’adresses IP ou bien un nom ou plusieurs noms de domaine
une liste ou des plages de numéro de téléphone
la liste des « bounces » (rebonds) possibles (exemple : possibilité de s’attaquer directement au poste client)
le périmètre technique et humain (via internet seulement, via pabx, utilisation de social engineering, utilisation de techniques de type déni de service, etc…)
Type de test
Quand le test d’intrusion est effectué sans information autre que les adresses à tester, on dit qu’il s’agit d’un test d’intrusion ou de vulnérabilités de type « black box » (boite noire), car l’équipe ne dispose alors d’aucune information autre que celles dont le cracker (pirate) disposerait. Dans le cas contraire on parle de tests d’intrusion ou de vulnérabilités de type « white box » (boite blanche), ce qui signifie que nous disposons de l’ensemble des informations nécessaire à la compréhension du réseau et de sa sécurité.
Le Niveau de test
Cette classification n’existe pas chez tous les prestataires. Synertic découpe classifie la technicité des tests en 3 niveaux :
- Niveau 1 : Signifie que le test ne sera fait qu’en utilisant des bases de vulnérabilités publiques
- Niveau 2 : Signifie que le test utilisera des bases de vulnérabilités publiques et privées
- Niveau 3 : Signifie que le test utilisera toutes les technologies de niveau 1 et 2 + la recherche en temps réel de méthodes non existantes adaptées à la cible pour pénétrer le système d’information de cette dernière.