Vous trouverez ci-après le descriptif de nos prestations en test d'intrusion / pentest.
Test d’intrusion sans compte utilisateur (boîte noire)
Dans le cadre d’un test d’intrusion en boîte noire, les auditeurs Indatable tentent d’accéder à des informations confidentielles sans aucun compte utilisateur. Ils évaluent les mesures de sécurité et listent les vulnérabilités afin d’essayer d’obtenir un accès au service audité.
- Mon application est-t-elle sécurisée ?
- Quels sont les risques auxquels je m’expose ?
- Comment améliorer la sécurité de mon application ?
- Une attaque sur mes services est-elle détectée par mes équipes ?
Les points de contrôle :
- [x] Les vulnérabilités applicatives (injections SQL, failles XSS…)
- [x] Les mécanismes d’authentification (SSO, mots de passe…)
- [x] La verbosité des technologies employées
- [x] La sécurité des flux de données
- [x] La configuration des serveurs
Test d’intrusion avec compte utilisateur (boîte grise)
Dans le cadre d’un test d’intrusion en boîte grise, les auditeurs Indatable tentent d’accéder à des informations confidentielles à l’aide d’un compte utilisateur. Ils vérifient les mesures assurant le cloisonnement des utilisateurs et tentent de porter atteinte à la confidentialité et l’intégrité des données du service audité.
- L’élévation des privilèges utilisateurs est-t-elle possible ?
- Mon application assure-t-elle la confidentialité des données ?
- Comment bien définir les privilèges utilisateurs ?
- Comment améliorer la sécurité de mon application ?
Les points de contrôle :
- [x] Le cloisonnement des utilisateurs
- [x] Les vulnérabilités applicatives (injections SQL, failles XSS…)
- [x] Les mécanismes d’authentification (SSO, mots de passe…)
- [x] La verbosité des technologies employées
Audit de configuration
L’audit de configuration vise à vérifier et évaluer le paramétrage d’un équipement sensible : serveur, poste de travail, objet connecté, etc. À partir de relevés de configuration, les auditeurs Indatable identifient les points de non-conformité par rapport à l’état de l’art et proposent un plan d’actions.
- Mes équipements disposent-ils d’une configuration sécurisée ?
- La disponibilité de mes services est-elle menacée ?
- Comment augmenter rapidement le niveau de sécurité de mon parc ?
- Suis-je à même de remonter à la source d’un incident de sécurité ?
Les points de contrôle :
- [x] L’application des correctifs de sécurité
- [x] La gestion des autorisations et des droits d’accès
- [x] Le durcissement du système d’exploitation
- [x] La configuration des services en écoute
- [x] Les règles de filtrage
Audit technique et test d'intrusion sur application mobile
Les audits techniques consistent à valider la performance, la configuration ou l'implémentation des mesures de sécurité mises en œuvre. Les tests d'intrusions permettent de qualifier le niveau de sécurité d'une application mobile. Ces tests consistent à identifier et exploiter les vulnérabilités accessibles à un utilisateur malveillant. A l’issue des tests, un plan d'action sera proposé afin d'améliorer la sécurité de l'application mobile.
- Quel est le niveau de sécurité de mon application mobile ?
- Les échanges entre mon mobile et le serveur sont-ils sécurisés ?
- La confidentialité des données sur mon mobile est-elle garantie ?
- Le serveur recevant des données de l'application est-il sécurisé ?
Les points de contrôle :
- [x] La confidentialité et l’intégrité des données stockés par l'application
- [x] La sécurité des flux entre l'application et le serveur (API)
- [x] La sécurité du serveur (API)
- [x] La défense en profondeur