Analyse de vulnérabilité et test d`intrusion

Analyse de vulnérabilité et test d’intrusion
Above Sécurité vous propose les meilleurs processus, technologies
et experts-conseils en sécurité de l’information pour mener vos
affaires en toute quiétude et de façon sécuritaire.
Qu’est-ce qu’un audit technique de sécurité ?
Les audits techniques décèlent les vulnérabilités exploitables par des utilisateurs
non autorisés et mettent en évidence les failles du processus de sécurité de
l’entreprise. Ils sont conduits par des ethical hackers, habilités et mandatés par
l’entreprise, qui réalisent des simulations d’attaques en utilisant les techniques
des pirates informatiques.
Le principe d’un audit technique est donc de vérifier la facilité ou la difficulté d’un
individu à pénétrer ou à accéder sans autorisation à la structure informationnelle
de votre organisation.
Pourquoi effectuer un audit technique ?
L’audit technique informe votre organisation des vulnérabilités potentielles de
cette dernière aux attaques et propose des solutions pour y remédier. Un audit
technique vous permettra de répondre, entre autre, aux questions suivantes :
« Je recommande les
consultants d’Above Sécurité à
toutes les banques qui désirent
diminuer leur exposition aux
risques. »
― Chef de sécurité d’une Banque
des Caraïbes
Nos données confidentielles sont-elles protégées ?
Est-il possible de bénéficier d'un accès non autorisé à nos actifs
informationnels (site web, réseau corporatif, etc.) ?
Est-il possible de commander frauduleusement des articles sur notre site
e-Business ?
Un client peut-il accéder frauduleusement à un compte d'un autre
client ?
Peut-on rendre nos sites web ou nos réseaux indisponibles ?
Un pirate peut-il prendre le contrôle de l’un de nos actifs ?
Quels sont les types d’audit technique de sécurité offerts par Above
Sécurité?
Une large gamme d’audits techniques est offerte par Above Sécurité. Ces
derniers sont conduits par nos experts dans un environnement sécurisé et
contrôlé en utilisant les mêmes techniques que les pirates informatiques.
Les tests d’intrusion s’appliquent aux différents actifs informationnels de
l’entreprise:
Réseau externe
Réseau interne
Application web
Analyse de vulnérabilité et test d’intrusion
Selon vos besoins, les audits techniques de sécurité peuvent comporter deux types
d’audits :
Analyse des vulnérabilités : Identifier et valider seulement les failles de sécurité
dans l'infrastructure du client à l'aide d'outils automatisés et d'une intervention
manuelle limitée. Une liste des vulnérabilités trouvées et des mesures correctives
qui leur sont associées est fournie. L’estimation de l’étendue des menaces
identifiées est laissée au soin du client.
Test d’intrusion : Illustrer efficacement la vulnérabilité des actifs mis en jeu et
déterminer l’étendue et l’impact des vulnérabilités en approfondissant les
découvertes faites pendant la phase d'évaluation. Les vulnérabilités découvertes
sont exploitées afin de gagner des accès privilégiés aux actifs ou pour prendre des
« trophées » comme des noms d'utilisateurs et des mots de passe, ou les données
sensibles des usagers comme preuve d'entrée. Une exploitation des vulnérabilités
consomme plus de temps et d'effort qu'une évaluation de vulnérabilités.
Il y a trois (3) niveaux d’offre :
Bronze Argent
Or
Niveau
d’offre
/service
Audit
Validation
Rapport
Recommandations
Offre
BRONZE
Évaluation des
Vulnérabilités
Minimale
Automatique
Outils
Offre
ARGENT
Évaluation des
Vulnérabilités
Optimisée
Automatique
et corrigé
+ Sommaire
exécutif
Ajustées
Audit
de
masse
En
Option
« Grey
box »
(web)
Options
-
-
En
Option
-
 Différents
modes
Complète
Complètes
 Différents
scénarios
 Mode
sécurisé
Les exemples suivants permettent de comprendre l’étendue des offres et sont fournis à titre indicatif :
Offre
OR
Évaluation des
Vulnérabilités
+ Test
d’intrusion
Standard
Above
Efforts typiques (jours-homme)
Type de cible
Bronze
Systèmes internes (10 IP)
Argent
2,0
Application Web
transactionnelle
Systèmes externes (100 IP)
Argent
+ « grey
box »
3,0
2,5
1,0
2,5
Or
6,0
Analyse de vulnérabilité et test d’intrusion
Offre BRONZE : Évaluation automatisée des
vulnérabilités
C’est l’évaluation de vulnérabilités la plus sommaire. Cette offre est destinée
aux organisations d’envergure qui souhaitent auditer un grand nombre
d’actifs, elle est donc restreinte aux « audits de masse » (plus de 50 actifscibles).
Activités incluses
Balayage automatisé de vulnérabilités pour tester l’infrastructure et les
applications web;
Validation de premier niveau : faux positifs notoires et vulnérabilités de
sévérité critique;
« Je suis très satisfait des
analyses effectuées; ce fut
très ciblé selon nos
demandes.
Je recommanderais Above
Sécurité aux autres
municipalités pour leurs tests
d’intrusion. »
Rapport automatique d’outils;
Recommandations fournies par l’outil.
― Patrick Lécuyer,
Chef des technologies de
l’information, Ville de
Blainville
Offre Argent : Évaluation optimisée des vulnérabilités
Cette offre intermédiaire, où un bilan optimisé est produit, devrait répondre à
la plupart des attentes des entreprises pour l’évaluation de leurs
vulnérabilités. Comme l’offre Bronze, cette offre est particulièrement indiquée
pour les organisations d’envergure qui souhaitent auditer un grand nombre
d’actifs. Un mode « d’audit de masse », visant principalement les tests de
l’infrastructure, sera donc également disponible.
Activités incluses
Balayage automatisé de vulnérabilités pour tester l’infrastructure et les
applications web;
Validation optimisée : faux positifs notoires et vulnérabilités de sévérité
critique, haute et moyenne;
Réévaluation des vulnérabilités de sévérité critique et haute;
Recommandations fournies par l’outil et contrôle de la qualité;
Évaluation de la posture générale de sécurité;
Rapport d’outil retravaillé avec sommaire exécutif personnalisé.
Option
Pour les applications web avec authentification, test en mode « grey
box ».
Analyse de vulnérabilité et test d’intrusion
Offre OR : Test d’intrusion approfondi
Cette offre correspond au profil d’audit standard qui propose un service
complet incluant un test d’intrusion.
Activités incluses
Balayage automatisé de vulnérabilités pour tester l’infrastructure et les
applications web;
Test en mode
authentification;
« grey
box »
pour
les applications web
avec
Validation et réévaluation complète des vulnérabilités identifiées;
Exploitation automatisée et manuelle des vulnérabilités;
Recommandations personnalisées;
Évaluation de la posture générale de sécurité;
Rapport personnalisé incluant un sommaire exécutif.
Options
Différents modes d’attaque :
Cibles connues (par défaut) ou découvertes;
Tests approfondis (par défaut) ou en mode furtif;
Exécution de divers scénarios d’attaque pour les tests internes;
Exploitation en mode ultra sécurisé : aucun exploit ou test actif
comportant un risque connu pour le service ou l’application ciblée ne
sera exécuté.
Pourquoi choisir Above Sécurité pour un mandat d’audit technique de
sécurité ?
Nous nous démarquons principalement pour les raisons suivantes :
La sécurité de l’information ne représente pas une extension de notre gamme
de services mais s’avère plutôt notre mission principale. Nous offrons à tous
nos clients un niveau d’expertise supérieur et incomparable sur le marché.
L’équipe d’Above Sécurité a réalisé plus de 300 audits de sécurité et tests
d’intrusion, et ce depuis plus de dix ans.
L’expertise de notre équipe dans ce type d’intervention, plus particulièrement
au niveau des applications, fait de nous un partenaire de choix pour toute
organisation désirant obtenir les meilleures opinions possibles sur les
vulnérabilités de son information.
Depuis 1999, Above Sécurité vous procure la tranquillité d’esprit qu’il vous
faut pour mener vos affaires en toute quiétude.
Contactez-nous:
1919, boul. Lionel-Bertrand
Bureau 203
Boisbriand, Qc J7H 1N8
Canada
Téléphone:
1- 450-430-8166
Sans frais (Amérique du Nord)
1-866-430-8166
[email protected]
www.abovesecurite.com