Audit intrusif (test d’intrusion)
Les tests d'intrusion (en anglais penetration tests, ou pentests) consistent à se mettre "dans la peau du pirate" et à éprouver les moyens de protection d'un système d'information en essayant de s'y introduire en situation réelle.
Plusieurs options vont conditionner le déroulement du test. Le premier choix va être le positionnement de nos ingénieurs par rapport à votre infrastructure:
- Audit en externe
II correspond au cas où les attaquants se situent à l'extérieur de votre réseau et ont pour cibles la partie visible de votre système d'information (sites institutionnels, accès distants, serveurs mails, etc.). - Test d'intrusion en interne
Sachant que 70% des attaques proviennent de l'intérieur, il permet d'évaluer votre niveau de sécurité en cas de comportement malveillant par l'un de vos collaborateurs. Dans cette simulation, nos ingénieurs disposent soit d'une station de travail de votre SI, soit d'un accès à votre réseau depuis nos machines spécialement préparées.
La seconde option va correspondre au niveau de connaissances que nos ingénieurs vont avoir lors du test:
- Audit Whitebox
Nos ingénieurs disposent du même type d’informations dont disposent vos équipes en charge de votre système d’information. - Audit Blackbox
Les attaquants ne disposent d’aucune information préalable. - Audit Greybox
Les attaquants commencent l’audit sans aucunes informations et, au fur et à mesure, des informations sont données afin de spécifier des cibles.
Une prestation de test d'intrusion requiert donc un très haut niveau d'expertise technique afin de produire un résultat crédible. L'équipe technique SCRT est aguerrie aux toutes dernières techniques d'attaques, avec une forte expérience des audits de sécurité des logiciels et des applications.
La finalité des tests d'intrusion est avant tout de vous fournir une série de recommandations visant à améliorer votre niveau de sécurité.
Audit d’applications / de code
Etant donné que 80% des failles de sécurité sont dues à des erreurs (ou oublis) lors du développement des applications, il est très important pour une entreprise de développer du code sûr et robuste, surtout lorsqu'il s'agit d'applications fonctionnant sur Internet (sites web, extranet, VPN, etc.).
Grâce à nos ingénieurs, experts dans les principaux langages actuels et s'appuyant sur les outils que nous avons développés, nous sommes en mesure de certifier le code de quasiment n'importe quelle application.
Beaucoup d'incidents sont également dus à des erreurs de manipulation ou à des pannes. Une vérification de ces points est également effectuée dans l'approche des outils logiciels.
Audit SAP
A l'aide de produits fournit par SAP (par ex. AIS) ou à l'aide de produits Open Source comme Saphyto, SCRT effectue l'audit de systèmes SAP. Voici quelques points typiques vérifiés:
- Hot Packages installés
- Politique des mots de passe
- Groupe d'utilisateurs
Par défaut, bloqués, avec pouvoirs, avec droits de développement, … - Accès direct aux tables de bases de données
- Sécurité RFC
Suisse (HQ)
SCRT Information Security
Le Trési 6C
1028 Préverenges (Lausanne)
Plan d'accès
T +41 21 802 64 01
F +41 21 802 64 02
France
SCRT Information Security
20 bis, rue Louis Philippe
92200 Neuilly-sur-Seine
T +33 1 77 69 64 40