Analyse de vulnérabilité et test d`intrusion
Transcription
Analyse de vulnérabilité et test d`intrusion
Analyse de vulnérabilité et test d’intrusion Above Sécurité vous propose les meilleurs processus, technologies et experts-conseils en sécurité de l’information pour mener vos affaires en toute quiétude et de façon sécuritaire. Qu’est-ce qu’un audit technique de sécurité ? Les audits techniques décèlent les vulnérabilités exploitables par des utilisateurs non autorisés et mettent en évidence les failles du processus de sécurité de l’entreprise. Ils sont conduits par des ethical hackers, habilités et mandatés par l’entreprise, qui réalisent des simulations d’attaques en utilisant les techniques des pirates informatiques. Le principe d’un audit technique est donc de vérifier la facilité ou la difficulté d’un individu à pénétrer ou à accéder sans autorisation à la structure informationnelle de votre organisation. Pourquoi effectuer un audit technique ? L’audit technique informe votre organisation des vulnérabilités potentielles de cette dernière aux attaques et propose des solutions pour y remédier. Un audit technique vous permettra de répondre, entre autre, aux questions suivantes : « Je recommande les consultants d’Above Sécurité à toutes les banques qui désirent diminuer leur exposition aux risques. » ― Chef de sécurité d’une Banque des Caraïbes Nos données confidentielles sont-elles protégées ? Est-il possible de bénéficier d'un accès non autorisé à nos actifs informationnels (site web, réseau corporatif, etc.) ? Est-il possible de commander frauduleusement des articles sur notre site e-Business ? Un client peut-il accéder frauduleusement à un compte d'un autre client ? Peut-on rendre nos sites web ou nos réseaux indisponibles ? Un pirate peut-il prendre le contrôle de l’un de nos actifs ? Quels sont les types d’audit technique de sécurité offerts par Above Sécurité? Une large gamme d’audits techniques est offerte par Above Sécurité. Ces derniers sont conduits par nos experts dans un environnement sécurisé et contrôlé en utilisant les mêmes techniques que les pirates informatiques. Les tests d’intrusion s’appliquent aux différents actifs informationnels de l’entreprise: Réseau externe Réseau interne Application web Analyse de vulnérabilité et test d’intrusion Selon vos besoins, les audits techniques de sécurité peuvent comporter deux types d’audits : Analyse des vulnérabilités : Identifier et valider seulement les failles de sécurité dans l'infrastructure du client à l'aide d'outils automatisés et d'une intervention manuelle limitée. Une liste des vulnérabilités trouvées et des mesures correctives qui leur sont associées est fournie. L’estimation de l’étendue des menaces identifiées est laissée au soin du client. Test d’intrusion : Illustrer efficacement la vulnérabilité des actifs mis en jeu et déterminer l’étendue et l’impact des vulnérabilités en approfondissant les découvertes faites pendant la phase d'évaluation. Les vulnérabilités découvertes sont exploitées afin de gagner des accès privilégiés aux actifs ou pour prendre des « trophées » comme des noms d'utilisateurs et des mots de passe, ou les données sensibles des usagers comme preuve d'entrée. Une exploitation des vulnérabilités consomme plus de temps et d'effort qu'une évaluation de vulnérabilités. Il y a trois (3) niveaux d’offre : Bronze Argent Or Niveau d’offre /service Audit Validation Rapport Recommandations Offre BRONZE Évaluation des Vulnérabilités Minimale Automatique Outils Offre ARGENT Évaluation des Vulnérabilités Optimisée Automatique et corrigé + Sommaire exécutif Ajustées Audit de masse En Option « Grey box » (web) Options - - En Option - Différents modes Complète Complètes Différents scénarios Mode sécurisé Les exemples suivants permettent de comprendre l’étendue des offres et sont fournis à titre indicatif : Offre OR Évaluation des Vulnérabilités + Test d’intrusion Standard Above Efforts typiques (jours-homme) Type de cible Bronze Systèmes internes (10 IP) Argent 2,0 Application Web transactionnelle Systèmes externes (100 IP) Argent + « grey box » 3,0 2,5 1,0 2,5 Or 6,0 Analyse de vulnérabilité et test d’intrusion Offre BRONZE : Évaluation automatisée des vulnérabilités C’est l’évaluation de vulnérabilités la plus sommaire. Cette offre est destinée aux organisations d’envergure qui souhaitent auditer un grand nombre d’actifs, elle est donc restreinte aux « audits de masse » (plus de 50 actifscibles). Activités incluses Balayage automatisé de vulnérabilités pour tester l’infrastructure et les applications web; Validation de premier niveau : faux positifs notoires et vulnérabilités de sévérité critique; « Je suis très satisfait des analyses effectuées; ce fut très ciblé selon nos demandes. Je recommanderais Above Sécurité aux autres municipalités pour leurs tests d’intrusion. » Rapport automatique d’outils; Recommandations fournies par l’outil. ― Patrick Lécuyer, Chef des technologies de l’information, Ville de Blainville Offre Argent : Évaluation optimisée des vulnérabilités Cette offre intermédiaire, où un bilan optimisé est produit, devrait répondre à la plupart des attentes des entreprises pour l’évaluation de leurs vulnérabilités. Comme l’offre Bronze, cette offre est particulièrement indiquée pour les organisations d’envergure qui souhaitent auditer un grand nombre d’actifs. Un mode « d’audit de masse », visant principalement les tests de l’infrastructure, sera donc également disponible. Activités incluses Balayage automatisé de vulnérabilités pour tester l’infrastructure et les applications web; Validation optimisée : faux positifs notoires et vulnérabilités de sévérité critique, haute et moyenne; Réévaluation des vulnérabilités de sévérité critique et haute; Recommandations fournies par l’outil et contrôle de la qualité; Évaluation de la posture générale de sécurité; Rapport d’outil retravaillé avec sommaire exécutif personnalisé. Option Pour les applications web avec authentification, test en mode « grey box ». Analyse de vulnérabilité et test d’intrusion Offre OR : Test d’intrusion approfondi Cette offre correspond au profil d’audit standard qui propose un service complet incluant un test d’intrusion. Activités incluses Balayage automatisé de vulnérabilités pour tester l’infrastructure et les applications web; Test en mode authentification; « grey box » pour les applications web avec Validation et réévaluation complète des vulnérabilités identifiées; Exploitation automatisée et manuelle des vulnérabilités; Recommandations personnalisées; Évaluation de la posture générale de sécurité; Rapport personnalisé incluant un sommaire exécutif. Options Différents modes d’attaque : Cibles connues (par défaut) ou découvertes; Tests approfondis (par défaut) ou en mode furtif; Exécution de divers scénarios d’attaque pour les tests internes; Exploitation en mode ultra sécurisé : aucun exploit ou test actif comportant un risque connu pour le service ou l’application ciblée ne sera exécuté. Pourquoi choisir Above Sécurité pour un mandat d’audit technique de sécurité ? Nous nous démarquons principalement pour les raisons suivantes : La sécurité de l’information ne représente pas une extension de notre gamme de services mais s’avère plutôt notre mission principale. Nous offrons à tous nos clients un niveau d’expertise supérieur et incomparable sur le marché. L’équipe d’Above Sécurité a réalisé plus de 300 audits de sécurité et tests d’intrusion, et ce depuis plus de dix ans. L’expertise de notre équipe dans ce type d’intervention, plus particulièrement au niveau des applications, fait de nous un partenaire de choix pour toute organisation désirant obtenir les meilleures opinions possibles sur les vulnérabilités de son information. Depuis 1999, Above Sécurité vous procure la tranquillité d’esprit qu’il vous faut pour mener vos affaires en toute quiétude. Contactez-nous: 1919, boul. Lionel-Bertrand Bureau 203 Boisbriand, Qc J7H 1N8 Canada Téléphone: 1- 450-430-8166 Sans frais (Amérique du Nord) 1-866-430-8166 [email protected] www.abovesecurite.com