test de sécurité externe la méthodologie de gardien virtuel

TEST DE SÉCURITÉ EXTERNE
Une personne malveillante peut-elle s'introduire dans votre système informatique?
Le test de sécurité externe (TSE) est la meilleure option pour répondre à cette question. Le TSE est certainement le
service le plus répandu de l'industrie, mais il est également l'un des plus important. Ce dernier permet de mesurer la
capacité de votre infrastructure à résister aux pirates informatiques et aux concurrents motivés. Nos spécialistes
tenteront de pénétrer le périmètre de sécurité de votre entreprise par l'ensemble des méthodes connues.
Ce test permet par ailleurs de classer très facilement et rapidement les menaces présentes dans votre
environnement informatique. Suite au TSE, Gardien Virtuel vous fournira un rapport détaillant les vulnérabilités
trouvées et nos recommandations pour les corriger, les limiter ou améliorer les défenses de votre système
d'information.
En option, un rapport « VIP » destiné au comité de direction peut être rédigé afin de compléter une démarche
budgétaire par exemple. Ce rapport vulgarise les aspects techniques : les tenants et aboutissants ainsi que les
risques et impacts des failles recensées.
LA MÉTHODOLOGIE DE GARDIEN VIRTUEL
Vous trouverez ci-dessous, les cinq principales étapes de la méthodologie qu'utilise Gardien Virtuel pour ses TSE. Cette
méthodologie est basée sur l'OSSTMM (Open Source Security Testing Methodology Manual) dont Gardien Virtuel est
membre d'OR. Par ailleurs, Gardien Virtuel demeure constamment à l'affût de toute nouveauté ou menace
émergente en matière de sécurité, tout en appliquant au quotidien les meilleures pratiques de l'industrie.
Étape 1 : Reconnaissance de la présence Internet
Cette étape est non-intrusive, c'est-à-dire qu'elle n'a aucun impact sur vos activités. À cette étape, une recherche
est effectuée sur Internet pour trouver l'information à votre sujet susceptible d'être utilisée à des fins malveillantes.
Afin de construire les scénarios d'attaques les plus probables et efficaces, il est utile de connaître le maximum
d'information sur la cible. Ci-dessous, la liste (non-exhaustive) des informations recherchées pour réaliser cette
première étape :
Des informations décrivant les pratiques et les politiques de l'entreprise;
Des listes, telles que des noms de membres clés du personnel, de l'information sur les clients, des listes de prix, de produits et/ou de
services, etc. À titre d'exemple, à l'aide de noms d'employés, nous pouvons tester plus efficacement les accès et les mots depasse;
Des traces laissées par des techniciens informatiques via l'échange de courriels ou via des forums de discussions spécialisées.
Dans certains messages, nous pouvons obtenir des détails sur les technologies et les configurations utilisées dans l'entreprise
notamment les choix technologiques, les numéros de version, les problèmes ou les failles décelées par les techniciens, etc.;
La validation de la configuration des noms de domaines (DNS). Un exemple des conséquences d'une attaque liée à ces
configurations serait la possibilité de lire l'ensemble des courriels ayant été écrit pour un domaine en particulier;
La lecture et la révision du code source des pages Web, afin de valider que les bonnes pratiques de sécurité ont été suivies.
Par exemple, la présence de mots de passe ou d'informations confidentielles laissées par les programmeurs.
Première entreprise certifiée ISO27001 au Canada
450.933.7774
WWW.GARDIENVIRTUEL.CA
Étape 2 : Balayage automatisé des ports
Cette étape est intrusive et peut être rapidement détectée compte tenu de la grande quantité de tentatives de
connexions générées. Tous les ports sont balayés (65535 ports TCP et autant en UDP), à la recherche des services
accessibles à partir d'ordinateurs distants. Ce type de balayage permet également de vérifier la configuration des
coupe-feu utilisés. À cette étape, nous obtenons :
La liste complète des ports ouverts (chaque port ouvert est une porte d'entrée potentielle dans l'entreprise.
L'identification des services et des logiciels actifs.
La version des logiciels utilisés dans l'entreprise (dans le but de cibler les vulnérabilités présentes).
Des moyens de contourner le coupe-feu.
Étape 3 : Balayage automatisé des vulnérabilités
Ce second balayage va beaucoup plus en profondeur que le premier et est par conséquent considéré comme
très intrusif. Non seulement cherche-t-il à identifier les services qui lui sont accessibles, mais de plus, il tente de
les percer grâce à une liste exhaustive d’attaques reconnues. Dépendant de vos désirs et besoins, les tests
pouvant entrainer une interruption de service peuvent être laissés de côté. Une autorisation écrite explicite est
nécessaire pour que Gardien Virtuel exécute ceux-ci.
Étape 4 : Tests d'intrusion manuels
Suite aux résultats obtenus dans les étapes précédentes, des tests manuels seront réalisés. Les tests manuels
sont importants, puisque certaines configurations ne posent pas un risque en elles-mêmes, mais lorsque
combinées à d'autres, elles peuvent avoir une incidence plus élevée. Ces configurations fournissent alors des
moyens aux pirates informatiques d'arriver à leurs fins. Voici une liste d'exemples de vérifications manuelles
exécutées suite aux vulnérabilités découvertes aux étapes précédentes :
Valider qu'il n'y a pas de faux positifs, c'est-à-dire déterminer que les vulnérabilités rapportées sont réellement présentes;
Valider qu'il n'y a pas de faux négatifs, c'est-à-dire déterminer les vulnérabilités existantes qui n'ont pas été découvertes par les
logiciels de balayages automatisés;
Exploiter certaines vulnérabilités pour obtenir des accès supplémentaires permettant la découverte d'autres vulnérabilités;
Rechercher de façon plus poussée pour découvrir des failles ou des problèmes rattachés aux applications et aux systèmes
informatiques qui nécessitent une attention particulière.
Étapes 5: Analyse logique des services (Web, FTP, etc.)
Chaque service Internet dispose de vulnérabilités qui lui sont propres. Pour identifier celles-ci, Gardien Virtuel
procède à une analyse logique des configurations et du fonctionnement des services pour déceler d'autres
vulnérabilités. À titre d'exemple, voici un ensemble de tests visant les services Web :
Analyse des pratiques de programmation observables dans le code d'une application Web;
Révision de l'architecture Web utilisée;
Détection de vulnérabilités reliées à l'hameçonnage (phishing);
Vérification des possibilités de « Cross-Site Scripting » (XSS);
Analyse de la sécurité des communications (SSL);
Analyse de la gestion des messages d'erreurs;
Détection de la possibilité de l'utilisation abusive des fonctions;
Vérification des mécanismes d'authentification des utilisateurs;
Vérification de l'application des politiques de sécurité (changement, stockage et choix des mots de passe);
Vérification des contrôles d'accès (pages administratives et autres);
Analyse de la gestion des sessions Web (Token, Cookies);
Analyse des champs cachés (« Hidden Fields »);
Analyse de l'encodage des URLs, HTML, valeurs, cookies;
Vérification de la possibilité de surcharge de tampons en mémoire (« buffer overflow »);
Vérification de la possibilité de dénis de services;
Vérification de la possibilité d'injection de code SQL et autres.
Avez-vous besoin d'évaluer la résistance de votre système d'information ?
Contactez-nous dès aujourd'hui pour une évaluation gratuite de vos besoins !
Première entreprise certifiée ISO27001 au Canada
450.933.7774
WWW.GARDIENVIRTUEL.CA