Demandez un devis complet

Qu’ils soient Intrusifs (internes, externes), de code, de configuration ou d’architecture, ils visent à déterminer le niveau de perméabilité de tout environnement critique de production vis à vis de toute intrusion anonyme malveillante et ce quelles que soient les technologies employées.

Réalisés par des ingénieurs experts rompus à l’exercice et régulièrement au fait des dernières failles & technologies connues, nos audits visent également à l’exploitation maximale de failles avérées jusqu’au plus profond de vos environnements.

Les cibles d'un audit de sécurité informatique

• infrastructures d'accès à l'Internet, d'extranets, d'accès distants
• infrastructures télécom, PABX, réseaux, de collecte et de comptage
• audit de flux
• systèmes embarqués
• audit de réseaux sans fil 
• architectures applicatives, audit d'applications, de code, de processus
  audit d'investigation.

Un audit de vérification analyse l'état d'un environnement technique au périmètre délimité (organisation, architecture, configurations…) : les équipes d’exploitation sont associées à la démarche.

Réalisé à contrario sans les équipes client, l’audit intrusif recherche vulnérabilités & failles vis à vis de la base de données d'ITrust.

Contrairement aux audits internes, le test d'intrusion externe est entièrement opéré depuis l'extérieur du réseau client, où il s'agit de simuler une tentative d’agression intrusive (adresses IP, Wifi,…). Les évaluations et analyses concernent des applications (SGBD, progiciels, scripts web...), des protocoles de communication,  des architectures de sécurité.

Des missions documentées

La recette d'un test d'intrusion produit un rapport argumenté, propriété du client et servant à une cession de soutenance des résultats. Le rapport synthétise les risques (causes identifiées) et les impacts opérationnels (conséquences possibles) d'un éventuel piratage, ainsi que les actions correctives à mener, objet de préconisations précises.

Notre volonté de synthétiser l'information pour de la rendre accessible aux responsables opérationnels nous a conduit a adopter des illustrations (pictogrammes, radars,…) proposant une comparaison illustrée aux standards métiers en vigueur.

Les tests d'intrusion ITrust

Le test d'intrusion est une prestation d'audit de sécurité ciblant les architectures web critiques.

Quelles que soient les technologies implémentées, nous recherchons des failles de sécurité au plus profond de vos sites transactionnels : connexions aux bases de données, formulaires dynamiques, sécurité des sessions, gestion de l'authentification et des autorisations, application n-tiers, etc.

Contrairement aux analyses de vulnérabilités classiques, les tests d'intrusion ITrust sont réalisés par des experts aguerris qui ne passeront pas à coté d'une faille de sécurité. Leurs connaissances des plus récentes techniques d'intrusion informatique leur permettent d'évaluer les vulnérabilités de manière exhaustive.

Notre méthodologie

La valeur ajoutée de notre méthodologie réside dans notre capacité à auditer en détail les applications afin d'y détecter les malversions possibles : modification des prix, accès aux données sensibles, rebond vers un autre compte, vol de compte, usurpation d'identité, etc.

Notre méthodologie s'appuie également sur les méthodologies ouvertes OSSTMM et OWASP mondialement reconnues pour leur efficacité, méthodes auxquelles nos consultants contribuent à l'effort permanent d'évolution.

Bibliographie au sujet des audits

Retour d'expérience d'audit intrusif [PDF 49 pages] [17 Juillet 2008] (source : ITrust)
Aspects juridiques du scan et des tests intrusifs [PDF 33 pages] [28 Septembre 2009] (source : ITrust)

ITrust évalue la pertinence de conception, la résistance aux attaques et/ou à la cryptanalyse, le niveau de sécurité global, la pérennité de la solution.