Pentest infrastructure et réseau

web_platform

Un pentest d’une infrastructure externe permet de tester la sécurité des adresses IP publiques et des serveurs exposés sur internet. Un pentest d’une infrastructure interne permet de tester le réseau du point de vue d’un visiteur ou d’un collaborateur malveillant.

picto_cible

Téléchargez nos cas clients

L’objectif d’un pentest d’infrastructure ou de réseau

L’infrastructure informatique est un élément central pour le fonctionnement quotidien et la gestion des entreprises. Les cyber-attaques peuvent provenir de l’extérieur ou de l’intérieur de l’entreprise.

L’objectif d’un pentest d’infrastructure ou de réseau est de tester la sécurité des éléments attaquables depuis l’extérieur (IPs, serveurs) ou depuis l’intérieur de l’entreprise (serveurs, postes de travail, périphériques réseaux).

Le résultat est un rapport d’audit présentant les vulnérabilités identifiées ainsi que des pistes opérationnelles pour les corriger.

Le périmètre de l’audit de sécurité est à définir en fonction de l’objectif recherché :

  • Quels sont les principaux risques pour l’activité de l’entreprise : l’accès à des données confidentielles ? la continuité de services du SI ? les détournements de fonds ?
  • Quel est le niveau de risque à tester : uniquement les attaques externes (tests d’intrusion en boite noire) ou également les attaques internes (tests d’intrusion en boite grise) ?
  • Pour les attaques internes : peut-on tester le cloisonnement entre différents niveaux de droits (visiteur, stagiaire, etc.) ?

Nous contacter

Déroulement d’un audit de sécurité d’infrastructure ou de réseau

pentest-infra-externe

La première phase consiste à définir le scope et les conditions de l’audit de sécurité. La phase de préparation de l’audit permettra ensuite de transmettre les informations nécessaires à l’équipe de pentest ainsi que les éventuels accès techniques requis. Un plan de communication en cas d’urgence est mis en place avant le démarrage des tests d’intrusion.

Si l’approche externe consiste à conduire des tests à distance, l’approche interne nécessite que les pentesters soient présents dans les locaux de l’entreprise auditée.

La restitution des résultats permet de présenter les vulnérabilités identifiées, ainsi que leur impact concret pour l’entreprise, et les solutions techniques permettant de corriger ces failles.

Demander un devis

Pentest d’une infrastructure externe

Un audit de sécurité d’une infrastructure avec une approche externe consiste à repérer les éléments du système d’information ouverts sur l’extérieur.

Ce type de pentest comprend notamment :

  • L’analyse des services ouverts sur différents serveurs (scan des ports et identification des services)
  • La recherche de vulnérabilités liées à la configuration des services présents
  • L’identification de failles liées à l’architecture logicielle des systèmes d’exploitation présents sur les serveurs

Pentest d’un réseau interne

Un audit de sécurité d’un réseau interne consiste à cartographier le réseau avant de réaliser des tests de sécurité sur les éléments identifiés. Ainsi, les serveurs, les routeurs, les proxies, les postes de travail des utilisateurs, les imprimantes, ainsi que toute machine connectée au réseau, peuvent fournir des informations utiles pour un attaquant voire ouvrir un accès détourné à d’autres ressources.

Les tests d’intrusion reposent notamment sur les actions suivantes :

  • Identifier des services vulnérables
  • Trouver un manque de chiffrement des données
  • Détecter de mauvaises gestion de droits
  • Evaluer la sécurité du réseau par du sniffing et de la manipulation de paquets
  • Détecter les mauvaises configurations du réseau ou des applications web internes

Il est également possible d’inclure des tests d’ingénierie sociale réalisables par un attaquant présent dans les locaux de l’entreprise (phishing interne, dépôt de devices malveillants dans l’entreprise, notamment).

pentest reseau interne

Notre livre blanc “Comment definir le scope d’un pentest” vous donne des clés pour définir le périmètre et une stratégie de pentest. Il regroupe les points clés issus de nos échanges avec environ 200 entreprises.

Télécharger

Zoom sur le pentest Active Directory

Active Directory est un annuaire LDAP très courant dans les entreprises. Il s’agit d’un élément particulièrement sensible d’un point de vue sécurité car il peut permettre à un attaquant d’accéder à des niveaux de droits plus élevés.

Un pentest sur un contrôleur de domaines, et en particulier sur Active Directory, comprend :

  • L’analyse des contrôleurs de domaine
  • L’analyse des droits (utilisateurs, serveurs…)
  • L’analyse de la configuration AD (politique mot de passe…)
  • L’analyse des protocoles autorisés
hp_consulting_security

Statistiques

81%

En 2018, 81% des failles trouvées étaient des vulnérabilités du réseau, même si la couche applicative est là où les risques sont plus élevés.
2019 Vulnerability Statistics Report. Edgescan. (p. 4).

65j

La fenêtre moyenne d’exposition des vulnérabilités critiques de l’infrastructure est de 65 jours.
2019 Vulnerability Statistics Report. Edgescan. (p. 15).

22%

22% de tous les dossiers sont ouverts à tous les employés.
2019 Global Data Risk Report: Data Gets Personal. Varonis. (p. 12).

Notre offre de pentests

Nous couvrons un large scope technique, avec des tests spécifiques pour chaque type de cible. Le périmètre exact du pentest est à définir directement selon vos priorités de sécurité, ou après une phase d’audit de reconnaissance permettant d’identifier les pans les plus à risque du point de vue d’un attaquant.

audit

Audit de reconnaissance
& audit dark web
web_platform

Plateformes
web
mobile_app

Applications
mobiles
IoT

IoT Objets
connectés
social

Ingénierie
sociale
system

Système
d’information
global
Nous contacter