Vous trouverez ci-après le descriptif de nos prestations en test d'intrusion / pentest.

Test d’intrusion sans compte utilisateur (boîte noire)

Dans le cadre d’un test d’intrusion en boîte noire, les auditeurs Indatable tentent d’accéder à des informations confidentielles sans aucun compte utilisateur. Ils évaluent les mesures de sécurité et listent les vulnérabilités afin d’essayer d’obtenir un accès au service audité.

  • Mon application est-t-elle sécurisée ?
  • Quels sont les risques auxquels je m’expose ?
  • Comment améliorer la sécurité de mon application ?
  • Une attaque sur mes services est-elle détectée par mes équipes ?

Les points de contrôle :

  1. [x] Les vulnérabilités applicatives (injections SQL, failles XSS…)
  2. [x] Les mécanismes d’authentification (SSO, mots de passe…)
  3. [x] La verbosité des technologies employées
  4. [x] La sécurité des flux de données
  5. [x] La configuration des serveurs

Test d’intrusion avec compte utilisateur (boîte grise)

Dans le cadre d’un test d’intrusion en boîte grise, les auditeurs Indatable tentent d’accéder à des informations confidentielles à l’aide d’un compte utilisateur. Ils vérifient les mesures assurant le cloisonnement des utilisateurs et tentent de porter atteinte à la confidentialité et l’intégrité des données du service audité.

  • L’élévation des privilèges utilisateurs est-t-elle possible ?
  • Mon application assure-t-elle la confidentialité des données ?
  • Comment bien définir les privilèges utilisateurs ?
  • Comment améliorer la sécurité de mon application ?

Les points de contrôle :

  1. [x] Le cloisonnement des utilisateurs
  2. [x] Les vulnérabilités applicatives (injections SQL, failles XSS…)
  3. [x] Les mécanismes d’authentification (SSO, mots de passe…)
  4. [x] La verbosité des technologies employées

Audit de configuration

L’audit de configuration vise à vérifier et évaluer le paramétrage d’un équipement sensible : serveur, poste de travail, objet connecté, etc. À partir de relevés de configuration, les auditeurs Indatable identifient les points de non-conformité par rapport à l’état de l’art et proposent un plan d’actions.

  • Mes équipements disposent-ils d’une configuration sécurisée ?
  • La disponibilité de mes services est-elle menacée ?
  • Comment augmenter rapidement le niveau de sécurité de mon parc ?
  • Suis-je à même de remonter à la source d’un incident de sécurité ?

Les points de contrôle :

  1. [x] L’application des correctifs de sécurité
  2. [x] La gestion des autorisations et des droits d’accès
  3. [x] Le durcissement du système d’exploitation
  4. [x] La configuration des services en écoute
  5. [x] Les règles de filtrage

Audit technique et test d'intrusion sur application mobile

Les audits techniques consistent à valider la performance, la configuration ou l'implémentation des mesures de sécurité mises en œuvre. Les tests d'intrusions permettent de qualifier le niveau de sécurité d'une application mobile. Ces tests consistent à identifier et exploiter les vulnérabilités accessibles à un utilisateur malveillant. A l’issue des tests, un plan d'action sera proposé afin d'améliorer la sécurité de l'application mobile.

  • Quel est le niveau de sécurité de mon application mobile ?
  • Les échanges entre mon mobile et le serveur sont-ils sécurisés ?
  • La confidentialité des données sur mon mobile est-elle garantie ?
  • Le serveur recevant des données de l'application est-il sécurisé ?

Les points de contrôle :

  1. [x] La confidentialité et l’intégrité des données stockés par l'application
  2. [x] La sécurité des flux entre l'application et le serveur (API)
  3. [x] La sécurité du serveur (API)
  4. [x] La défense en profondeur