www.itrust.fr | Assurance Intégrité

Qu’ils soient Intrusifs (internes, externes), de code, de configuration ou d’architecture, ils visent à déterminer le niveau de perméabilité de tout environnement critique de production vis à vis de toute intrusion anonyme malveillante et ce quelles que soient les technologies employées.

Réalisés par des ingénieurs experts rompus à l’exercice et régulièrement au fait des dernières failles & technologies connues, nos audits visent également à l’exploitation maximale de failles avérées jusqu’au plus profond de vos environnements.

Sur quelles cibles :

• infrastructures d'accès à l'Internet, d'extranets, d'accès distants

• infrastructures télécom, PABX, réseaux, de collecte et de comptage

• audit de flux

• systèmes embarqués

• audit de réseaux sans fil

• architectures applicatives, audit d'applications, de code, de processus

• audit d'investigation

Un audit de vérification analyse l'état d'un environnement technique au périmètre délimité (organisation, architecture, configurations…) : les équipes d’exploitation sont associées à la démarche.

Réalisé à contrario sans les équipes client, l’audit intrusif recherche vulnérabilités & failles vis à vis de la base de données d'ITrust.

Contrairement aux audits internes, le test d'intrusion externe est entièrement opéré depuis l'extérieur du réseau client, où il s'agit de simuler une tentative d’agression intrusive (adresses IP, Wifi,…).

Les évaluations et analyses concernent des applications (SGBD, progiciels, scripts web...), des protocoles de communication,  des architectures de sécurité…

! Notre solution innovante en mode SaaS IKare (non impactante) permet ensuite de maintenir une vue récurrente de différents niveaux de vulnérabilité et de sécurité entre 2 audits de fond avec pour conséquence une élévation drastique du niveau de réactivité.

Des missions documentées :

La recette d'un test d'intrusion produit un rapport argumenté, propriété du client et servant à une cession de soutenance des résultats.

Le rapport synthétise les risques (causes identifiées) et les impacts opérationnels (conséquences possibles) d'un éventuel piratage, ainsi que les actions correctives à mener, objet de préconisations précises.

Notre volonté de synthétiser l'information pour de la rendre accessible aux responsables opérationnels nous a conduit a adopter des illustrations (pictogrammes, radars,…) proposant une comparaison illustrée aux standards métiers en vigueur.

Exemple : Les tests d'intrusion ITrust

Le test d'intrusion est une prestation d'audit de sécurité ciblant les architectures web critiques.

Quelles que soient les technologies implémentées, nous recherchons des failles de sécurité au plus profond de vos sites transactionnels : connexions aux bases de données, formulaires dynamiques, sécurité des sessions, gestion de l'authentification et des autorisations, application n-tiers, etc.

 Notre méthodologie

La valeur ajoutée de notre méthodologie réside dans notre capacité à auditer en détail les applications afin d'y détecter les malversions possibles : modification des prix, accès aux données sensibles, rebond vers un autre compte, vol de compte, usurpation d'identité, etc.

Notre méthodologie s'appuie également sur les méthodologies ouvertes OSSTMM et OWASP mondialement reconnues pour leur efficacité, méthodes auxquelles nos consultants contribuent à l'effort permanent d'évolution.

Bibliographie au sujet des audits

Retour d'expérience d'audit intrusif [PDF 49 pages] [17 Juillet 2008] (Itrust)
Aspects juridiques du scan et des tests intrusifs [PDF 33 pages] [28 Septembre 2009] (Itrust)

ITrust évalue la pertinence de conception, la résistance aux attaques et/ou à la cryptanalyse, le niveau de sécurité global, la pérennité de la solution..