Image de présentation pour Audit et tests d'intrusion

Audit et tests d'intrusion

Nous réalisons des tests d’intrusion sur tout les types d’applications web et/ou mobiles afin d’évaluer leur niveau de sécurité face à une attaque dans un temps limité. Les tests sont réalisés sans comptes d’accès (boite noire) puis avec différents types d’accès (boite grise).

L’objectif d’un audit est d’évaluer objectivement le niveau de sécurité de son Système d’Information (réseau, application, …) à un instant T. Les conclusions d’un audit mettent en avant les forces et faiblesses de l’application auditée et ainsi identifier les risques métiers associés à son utilisation.

Le périmètre d’audit peut être composé d’une ou plusieurs applications. Par exemple, un audit peut s’effectuer sur :

  • Une application web : le plus souvent pour tester la sécurité de votre application à destination d’utilisateurs
  • Une application mobile : comme pour le web mais pour les applications mobiles Android et iOS
  • Un active directory : l’élément le plus critique au sein du SI d’une entreprise
  • Le SI interne : l’accès au réseau interne et aux services d’une entreprise depuis plusieurs localisations

Différentes techniques sont utilisées pour réaliser un audit :

  • Test d’intrusion (penetration test ou encore pentest en Anglais) : l’auditeur réalise des tests techniques sur la cible en conditions réelles d’utilisation
  • Revue de code source : l’auditeur analyse le code source afin d’identifier statiquement des faiblesses
  • Revue de configuration : l’auditeur collecte la configuration d’équipement dans le but de mettre en avant des points de durcissement
  • Revue d’architecture : l’auditeur analyse les schémas réseaux afin de mettre en afin de mettre en avant des chemins de compromission liés, par exemple, à la mauvaise exposition d’équipements sur le réseau
  • Entretien : l’auditeur rencontre les acteurs du projet afin de comprendre les processus liés à la sécurisation du SI et d’évaluer l’écart par rapport à la réalité
  • Visite de site : l’auditeur se rend sur site afin d’évaluer les protections physiques mises en place au niveau du bâtiment et des équipements informatiques
  • Hardware hacking : l’auditeur analyse le comportement d’un matériel informatique face à des attaques physiques et sur les interfaces d’échange de données (USB, Wi-Fi, Bluetooth, …)

Un audit se compose donc d’au moins une des activités citées, le plus souvent un test d’intrusion.

La conduite d’un test d’intrusion se fait en trois grandes étapes :

  • Qualification et lancement afin d’évaluer le périmètre de la cible à auditer et se mettre d’accord sur les attendus de l’audit
  • Réalisation des différentes activités et échange avec l’équipe projet en cas de découverte d’une vulnérabilité critique
  • Restitution et suivi des tests avec le bon niveau de discours

FAQ : audit de sécurité informatique

Voici des questions souvent posées par nos clients.

Pourquoi réaliser un audit de sécurité informatique ?

Toute application peut être vulnérable. Il est donc important de s’assurer que les risques liés à l’utilisation de l’application sont maîtrisés. L’audit montre de manière pragmatique comment porter atteinte aux critères de sécurité (Disponibilité, Intégrité, Confidentialité et Traçabilité) et l’impact sur l’activité de l’entreprise (juridique, financier, image, …).

La réalisation d’un audit identifie les portes d’entrées qu’un attaquant pourrait exploiter pour ses actions malveillantes. Vous aurez un plan d’actions à mettre en place et une feuille de route pour aller plus loin dans la sécurisation en profondeur et la détection d’attaques sur votre SI.

Comment préparer un audit de sécurité et test d’intrusion ?

Avant toute chose, il vous faut qualifier votre besoin, pour cela voici une liste de sujets à clarifier.

  • Le périmètre à auditer : est-ce un unique site web ou une multitude d’applications ? Un SI interne entier ?
  • Les besoins métier : afin que l’auditeur et l’équipe projet parle le même discours, il est intéressant de présenter l’application et les scénarios redoutés
  • Le planning : la cible à auditer doit être disponible pendant la durée des tests sans interruption
  • Les technologies utilisées : afin de préparer les outils nécessaires à l’audit et cibler les types de tests à réaliser

Ce sont les questions posés à nos clients dans un premier échange de “qualification”. Les réponses apportées me permettent de définir un devis au plus près des besoins de l’équipe projet.

Une fois le devis validé, un ensemble d’informations prérequises sont partagées avec l’auditeur en fonction des tests (URL, comptes d’accès, documentation, …).

Que peut-on auditer lors d’un audit de sécurité informatique ?

Il n’y a pas de limite sur la cible d’un audit. Les différentes techniques d’audit permettent d’analysée tout type de cible qui contient un élément informatique. Il est alors possible d’analyser :

  • Un matériel informatique : ordinateur, smartphone, IoT, …
  • Une application : web, mobile, client lourd, …
  • Le réseau d’entreprise : VLAN, Wi-Fi, …
  • Un protocole de communication sans-fil : BLE, LoRa, …
  • Des droits d’accès : Active Directory, RBAC K8s, …
  • Une configuration d’équipement : Windows, pare-feu, …
  • La cyber-résilience : détection, politique de sauvegarde, PRA, …

Quand réaliser un audit de sécurité ?

La sécurité doit être prise en compte dans toutes les phases d’un projet. Il est tout à fait possible de réaliser des tests sur votre application à tout moment de sa vie.

Traditionnellement, un audit est réalisé avant la mise en production (ouverture au public), dans l’idéal lors des derniers développements sur l’application. Cela permet de faire des tests sur une application quasiment terminée et de pouvoir corriger les vulnérabilités identifiées avant la livraison du projet.

L’équipe projet peut aussi faire le choix de faire tester une partie du projet à chaque livraison, par exemple à la fin de chaque sprint. Un audit de sécurité n’est pas que ponctuel, il peut être répété à chaque jalon du projet.

Combien de temps faut-il pour réaliser un audit de sécurité ?

Un audit se déroulera entre une à deux semaines pour un pentest web classique à plus d’un mois pour un audit complet sur un périmètre plus large.

Il est possible de mener un “audit flash”, sur une à deux jours, afin d’obtenir une première vision du niveau de sécurité de l’application. Ceci peut avoir lieu dans contexte d’une réponse à incident afin de lister rapidement les vulnérabilités d’une application.

Quels sont les livrables d’un audit de sécurité ?

À l’issue de l’audit, l’auditeur remet un rapport d’audit. Ce rapport contient une synthèse sur le niveau de sécurité de l’application, une analyse de risque et le détail des tests réalisés. Ce document est présenté lors de la réunion de restitution. Une feuille de route est remise à l’équipe projet afin de suivre l’avancement de la sécurisation de son application.

Vaut-il mieux opter pour un audit de sécurité ou un bug bounty ?

Un audit est la garantie qu’un expert cherche un maximum de vulnérabilités sur votre application. Le bug bounty peut vous permettre de détecter des vulnérabilités mais vous ne pouvez être certain qu’un expert prenne le temps de tester votre site. Si personne ne vous contacte cela ne veut pas dire qu’il n’y a pas de vulnérabilités. Un auditeur vous accompagne dans la compréhension et la correction des vulnérabilités (explications techniques, feuille de route, réunion avec les équipes, …)

Dans une optique de sécurité en profondeur, il est tout à fait possible de faire un audit de sécurité afin de corriger au mieux les vulnérabilités et ensuite de lancer un bug-bounty afin de récompenser les chercheurs tout au long de la vie du projet.

Un besoin ?

Travaillons ensemble sur votre projet

Nous pouvons échanger sur votre projet en cybersécurité et vous conseillee sur la meilleure démarche à adopter.

Contactez-nous