Pentest - Test d'Intrusion

Demandez un Pentest et détectez les failles de sécurité

Ziwit Consultancy Service pour vos audits et pentests manuels
Ziwit Consultancy Services Pentest - Test d'Intrusion

Un test d’intrusion permet d’identifier les vulnérabilités d’un système informatique comme le ferait des hackers. Chez Ziwit, nos pentesters sont qualifiés et certifiés PASSI par l'ANSSI.

VISA de sécurité PASSI
Le Pentest par Ziwit

Un Pentest, qu'est-ce ?

Le pentest est une méthode d'évaluation de la sécurité informatique qui simule une attaque informatique pour identifier les vulnérabilités et les points faibles d'un système informatique, d'une application web ou d'un réseau.

Il s'agit donc d'un audit approfondi et pragmatique de la sécurité d'un système informatique.

Contrairement à un audit de sécurité traditionnel, qui consiste en une évaluation statique des contrôles de sécurité, le pentest simule des attaques dans des conditions réelles et utilise des techniques avancées pour tester la résistance d'un système. Le test d’intrusion est donc un outil efficace pour identifier les vulnérabilités et les points faibles de vos applications, infrastructures et systèmes informatiques, pour que vous puissiez les corriger.

Depuis plus de 10 ans, Ziwit réalise quotidiennement des tests d’intrusions pour tous types d’entreprises. Spécialisé en cybersécurité offensive, nous avons à cœur d’apporter les meilleures compétences techniques à nos clients.

Pourquoi réaliser un Pentest ?

Les attaques informatiques sont de plus en plus courantes et sophistiquées, et les entreprises doivent être préparées à faire face à ces menaces.

Le test d’intrusion en conditions réelles permet de découvrir les failles de sécurité, les vulnérabilités, les abus de fonctionnalités et les problèmes de configuration de vos systèmes, mais il permet surtout de vous permettre de corriger ces failles avant qu'elles ne soient exploitées par des pirates informatiques.

En bref : le Pentest mesure le risque associé à un système d’information en simulant des conditions d’attaque réalistes, afin d’identifier des pistes pour le réduire significativement.

Ce que permet un Pentest

Vérification de la sécurité d'un périmètre

Vérifier de façon pragmatique et efficace la sécurité d’un périmètre (application, infrastructure, cloud, site, …).

Démontrer le niveau de sécurité d’une application

Démontrer le niveau de sécurité d’une application aux parties prenantes (attestation Ziwit CS et sceau de certification).

Respecter les exigences réglementaires

Respecter les exigences réglementaires et les normes de sécurité (ISO27001, HDS, HIIPA, SOC2, PCI-DSS…).

Faire monter en compétences les équipes

Faire monter en compétences les équipes (sensibilisation par des cas concrets touchant les collaborateurs).

Pourquoi faire un Pentest by Ziwit ?

Pourquoi faire un Pentest par ZiwitSpécialisé en cybersécurité offensive et pentests depuis plus de 10 ans.

Pourquoi faire un Pentest par ZiwitZiwit est certifiée PASSI par l'ANSSI et est reconnue comme experte par les plus grandes organisations.

Pourquoi faire un Pentest par ZiwitDes consultants et pentesters spécialisés pour chaque domaine d’intervention (OSINT, Pentest web, test d’intrusion hardware, infrastructure, AD, wifi…).

Pourquoi faire un Pentest par ZiwitUn accompagnement avant (présentation des pentesters), pendant (communication en continu) et après le test d’intrusion (conseils, accompagnement…).

Pourquoi faire un Pentest par ZiwitUn contact unique permettant de suivre vos projets de bout-en-bout.

Méthodologie & choix du « mode » de test d’intrusion

Le test d’intrusion s’applique sur un périmètre défini avec vous. Il peut s’agir d’un site internet, d’une application web, d’une application mobile, d’une plage d’adresses IPs que vous exposez, de votre infrastructure interne, etc.

Nos consultants définissent avec vous le périmètre sur lequel l’audit de sécurité type pentest sera réalisé, et définissent également leurs méthodologies techniques et organisationnelles.

Différents tests d’intrusion existent et se différencient par les droits que vous donnez, ou non, aux pentesters. Notre équipe vous accompagne pour déterminer avec vous le choix le plus pertinent en fonction de votre situation, parmi les 3 modes de pentests existants :

Pentest Black Box

L’auditeur a accès uniquement aux informations publiquement exposées par la cible, aucun privilège ou droit particulier n'est accordé pour simuler une attaque du système audité telle que menée par un attaquant anonyme et extérieur à son organisation.

Black box
Grey box

Pentest Grey Box

Des informations et documentations sont mises à disposition par l'audité afin d’augmenter la surface de l'audit et simuler une attaque telle que menée par un utilisateur légitime de l'organisation (comptes sur les applications, accès IPs exposés…).

Pentest White Box

Méthode de test d'intrusion où le testeur dispose d'un niveau d'accès élevé aux systèmes ou aux applications à auditer. Le pentester a donc une connaissance avancée des détails techniques de la cible, tels que les codes sources, les configurations et les architectures. Cette approche permet une analyse approfondie de la sécurité de la cible et peut aider à identifier les vulnérabilités qui ne seraient pas détectées par une méthode de test de boîte noire (ou "test d'intrusion à l'aveugle") où le testeur n'a aucune information préalable sur la cible. Cependant, le pentest White Box peut nécessiter plus de temps et de ressources en raison de la préparation et de la connaissance approfondie requises pour mener à bien le test.

White box

Comment se passe un test d’intrusion ?

4 étapes complémentaires

Premier contact
Premier contact

Durant cette étape, nos experts prennent contact avec vous pour définir les périmètres qui doivent être audités, les acteurs impliqués dans le test d'intrusion et les procédures du test.

Collecte d'informations
Collecte d'informations

Lors de cette phase, nos experts cartographient et analysent vos fonctionnements, systèmes, habitudes et process. Ils récupèrent le plus d'informations utiles possible pour la bonne réalisation du Pentest.

Pentest
Pentest

Nos consultants réalisent le test. Grâce au test d’intrusion mis en place, nos pentesters vont remonter l’ensemble des failles de sécurité découvertes. Toutes les vulnérabilités relevées par nos hackers sont réellement exploitables par un hacker malveillant.

Reporting & Soutenance
Reporting et soutenance

Nos experts réaliseront un rapport ainsi qu'une soutenance reprenant les failles détectées mais également les correctifs à appliquer pour chacune d’elles, de manière détaillée. Un contre-audit est envisageable par la suite selon vos besoins et les vulnérabilités détectées.

Méthodologie globale du Test d’Intrusion

Méthodologie globale du Pentest

Le Kick-Off

Etape essentielle du Pentest pour formaliser les procédures d’audits avec toutes les parties prenantes en prévision du test d’intrusion. Durant cette phase, nous échangeons avec vous sur le périmètre à auditer et formalisons les procédures de test, pour cela nous :

  • Appliquons les documents de références permettant de réaliser à bien le pentest.
  • Identifions les acteurs impliqués sur le projet côté du client et côté Ziwit et validons les canaux de communication pour des échanges d’information fluides.
  • Définissons les modalités de réalisation de la mission : stratégie de test, suivi et pilotage du projet, échanges sécurisés des documents par voie électronique.

Collecte d'informations

Une fois le périmètre et les méthodes définis, les consultants se chargent de récupérer un maximum d’informations sur le scope / périmètre.

C’est la phase de cartographie, de recensement de votre infrastructure sur le périmètre défini, d’analyse et de contextualisation, cette phase permet de bien comprendre les systèmes, habitudes et process avant de commencer à les exploiter et à tester leur résilience.

L'analyse / L'audit

Une fois la documentation récupérée et les étapes de formalisation effectuées, nos auditeurs spécialisés en Pentest, réalisent l’audit sur le périmètre défini. Nous vous expliquerons par la suite la différence entre un test d’intrusion avec méthodologie interne et un test d’intrusion avec méthodologie externe. Le test d’intrusion externe cible les actifs exposés par l’entreprise qui sont visibles sur internet. Le pentest interne a pour but à valider les problématiques de sécurité inhérente au réseau de l’entreprise, à ses services, ses applications internes, mais également les configurations des postes et équipements.

Remise du rapport de votre test d’intrusion

Pour conclure le Pentest, vous recevrez un rapport de test d’intrusion complet et synthétique compréhensible par vos équipes techniques mais également par l’ensemble de vos collaborateurs. Vous y retrouverez :

  • Le listing général des failles détectées.
  • Une synthèse détaillée de chaque vulnérabilité.
  • Les contre-mesures à mettre en place.
  • Des bonnes pratiques à proposer à vos collaborateurs.
  • Un accompagnement vers la mise en conformité ISO 27001 & ISO 27002.

Les avantages des rapports Ziwit Consultancy Services :

  • Une construction personnalisée selon vos besoins.
  • Des points détaillés permettant une bonne compréhension par tous.
  • Des bonnes pratiques faciles à mettre en place.
  • Une restitution sous forme orale sur demande.
Rapport test d’intrusion, appelé aussi Pentest

Le Contre-Audit

Afin de valider de la juste remédiation des vulnérabilités identifiées lors du pentest, le client pourra demander un contre-audit.

Le contre-audit permet à nos auditeurs de vérifier que les corrections ont bien été appliquées, et que la philosophie de la remédiation a bien été comprise par les équipes en charge de la correction. Une journée est nécessaire à la réalisation du contre-audit et la rédaction du rapport.

A noter que les équipes Ziwit restent à disposition entre la réalisation du pentest et le contre-audit, sans frais supplémentaire, afin de conseiller le client dans les choix de remédiation.

Nos domaines d’intervention

Pentest web

Test d’intrusion sur vos sites et applications web, pour évaluer leur robustesse et leur état de sécurité (vulnérabilités web, problèmes de configuration, abus de fonctionnalités, escalade de privilèges horizontaux et verticaux …).

Test d'intrusion Application Mobiles

Audit de vos applications mobiles (Android et IOS) et de leur constitution (couche applicative, configuration, échanges et sécurisation des données, webservices et API liés, …). Un audit statique et un audit dynamique sont réalisés.

Pentest infrastructure exposée

Test d’intrusion sur les éléments que vous exposez de votre infrastructure, pour obtenir une visibilité sur les différents points d’accès a votre infrastructure (applications, serveurs de fichiers, serveurs de messagerie, accès VPN, accès distants, équipements réseaux exposés…). Cet audit est généralement réalisé en « Black Box ».

Test d'intrusion infra et réseau

Pentest sur votre infrastructure interne, permettant d’évaluer les possibilités de malveillance par un attaquant ayant un accès au réseau interne de l’entreprise (compromission d’un poste, compromission de l’infrastructure exposée et pivot, attaque physique, accès au réseau …).

Audit de reconnaissance et OSINT

L’audit de reconnaissance permet d’avoir une visibilité sur les différentes informations disponibles sur l’entreprise cible (documents confidentiels, identifiants et mots de passe collaborateurs, IPs, shadow It, bases de données…). Les informations sont ensuite croisées pour définir les risques liés à celles-ci.

Un département OSINT spécifique et des outils développés en internes (CYBERVIGILANCE By HTTPCS) nous permettent d’être particulièrement efficaces sur ces audits.

Audit sécurité globale

Audit de l’ensemble de vos périmètres :

  • Informations exposées sur internet ou forums malveillants (OSINT)
  • Assets et Infrastructure exposée
  • Shadow IT
  • Pentest infrastructure exposée
  • Focus sur les actifs exposés sensibles
  • Infrastructure interne sur sites physiques, dans vos locaux

Cet audit permet d’avoir une visibilité générale de votre état de sécurité (externe et interne).

Pentest IOT

Test d’intrusion sur les différentes couches (hardware, software, interfaces, liaisons, réseau…) constituant l’objet connecté. Différents auditeurs sont sollicités sur ces missions : pentester hardware et software.

Le principal but d’un pentest d’objet connecté est de détecter les failles présentes sur les différentes couches afin de sécuriser l’ensemble de l’environnement de l’objet connecté.

Red Team

L’audit RedTeam consiste à simuler des attaques visant l’entreprise, et permet de réaliser plusieurs scénarios. Là où un pentest vise un périmètre particulier, nous allons employer plusieurs méthodologies (hameçonnage, ingénierie sociale, tests d’intrusion, intrusions physiques, utilisation de données disponibles sur sources ouvertes…) nous permettant de valider les sources de risques et d’éprouver les équipes internes (souvent considérées comme défenses en Blue Team).

Différence entre pentest externe et pentest interne

Le Pentest externe

Le test d’intrusion externe cible les actifs exposés par l’entreprise qui sont visibles sur internet. Il peut s’agir de vos applications, sites web, serveurs de fichiers, messageries, assets réseaux exposés, VPN…). L'objectif principal d'un pentest externe est d'identifier et d'exploiter les vulnérabilités dans l'infrastructure externe d'une organisation.

Pentest Externe Versus Pentest Interne

Le Pentest interne

Le test d’intrusion interne part du postulat d’une présence au sein de votre réseau : exploitation d’une vulnérabilité externe sur un de vos équipements IT ou applications, achat d’identifiants sur le darknet permettant de se connecter à votre infrastructure, compromission d’un poste, accès VPN… mais également collaborateurs.

Que faire après un Pentest ?

La réalisation d’un pentest permet de valider concrètement les vulnérabilités et problématiques de sécurité pouvant compromettre ou abuser vos systèmes informatiques. Il est un audit pragmatique et efficace pour s’assurer d’un état de sécurité à un moment donné.

Corriger les vulnérabilités identifiées

Corrections

A la suite d’un pentest, il faut évidemment corriger les vulnérabilités identifiées, ou proposer des solutions de contournements. Le rapport permet de guider la remédiation et les actions / charges nécessaires, mais les experts en cybersécurité Ziwit sont également à votre disposition même après la soutenance de restitution pour vous aider ou aiguiller!

Contrôler les correctifs

Validation

Nos experts contrôlent la bonne application des correctifs afin de délivrer la certification Ziwit Consultancy Services valable 1 an. Cette certification est un gage de confiance que vous pourrez faire valoir auprès de vos partenaires, investisseurs, autorités de régulation ou toute autre partie prenante. Elle atteste de l’intégrité, de la sécurité et de la fiabilité de votre SI.

Amélioration continue de la sécurité

Amélioration continue

Le pentest permet d’améliorer la sécurité à un moment donné de la vie de votre infrastructure. Il faut donc s’en servir comme référence, mais également mettre en place une amélioration continue de votre sécurité à l'aide de différents outils spécialisés tels qu'un scanner de vulnérabilité. Notre dicton : La sécurité est un processus, jamais un état !

Pentest d'une application, que faire ensuite ?

Afin de s’assurer qu’il n’y ait plus de nouvelle vulnérabilité applicative ou de problème de configuration pouvant causer des soucis de sécurité informatique, vous pouvez mettre en place, entre deux pentest, un scanner de vulnérabilité, nous proposons une solution proactive permettant de détecter les vulnérabilités automatiquement.

Le scanner de vulnérabilités permet d’avoir une visibilité quotidienne sur les vulnérabilités applicatives et sur les problèmes de configuration de vos applications. Vous aurez ainsi l’assurance qu’en cas de développement, de modification, ou de l’arrivée de nouvelles vulnérabilités, votre application ne soit pas vulnérable !

Quel est le coût d'un Pentest ?

Type du Pentest

Le choix de la méthodologie de test d'intrusion joue un rôle prépondérant dans la détermination de son coût. On distingue principalement quatre approches :

Pentest White Box

Ce scénario offre une transparence totale au pentester quant au fonctionnement interne du système. Cette exhaustivité se traduit par un coût plus élevé, pouvant atteindre plusieurs dizaines de milliers d'euros pour des systèmes complexes.

Pentest Grey Box

Dans les test d'intrusion en boîte grise, le pentester dispose d'une connaissance partielle du système, ce qui se traduit par un prix généralement compris entre 5 000€ et 20 000€.

Pentest Black Box

Le pentester se positionne comme un attaquant novice, n'ayant aucune information préliminaire sur le système. Cette approche engendre un coût généralement moins élevé, oscillant entre 3 000€ et 10 000€.

Red Team

Ce type de test simule une attaque sophistiquée menée par des pirates chevronnés. Son prix élevé, pouvant dépasser les 20 000€, reflète la complexité du scénario et le niveau d'expertise requis.

Nombre de systèmes

Plus le nombre de systèmes à tester augmente, plus le coût du pentest s'élève proportionnellement. Il est donc essentiel de cibler précisément les systèmes critiques qui nécessitent une analyse approfondie.

Complexité des systèmes

Un système complexe, tel qu'une infrastructure bancaire ou un réseau de vente en ligne, requiert un investissement en temps et en expertise plus conséquent pour un pentest exhaustif. Cela se traduit inévitablement par un coût plus élevé.

Exemples concrets pour illustrer les coûts

  • Scénario 1 : Une startup souhaite réaliser un pentest en mode boîte blanche de son application web. Le coût approximatif se situera entre 1 500€ et 5 000€.
  • Scénario 2 : Un média souhaite effectuer un test d'intrusion externe en mode boîte noire de son application web. Le budget à prévoir oscillera entre 4 000€ et 10 000€.
  • Scénario 3 : Une grande entreprise décide de mener un pentest complet de son infrastructure informatique complexe. Le coût de cette prestation peut dépasser les 20 000€ en raison de l'ampleur et de la criticité du système.

Ils réalisent des Pentests by Ziwit

Sanofi
Lagardere
V & B
Septeo
Nicollin
Air Caraïbes
Best Western
OPAC
Famille Michaud
Frans Bonhomme
Paymium
Nepting

Devis expertisé !

Nos experts vous accompagnent dans la réalisation de votre pentest.

Votre satisfaction et votre sécurité sont nos priorités. Contactez-nous

Contactez nos experts !

+33 1 85 09 15 09
*requis
Nous utilisons uniquement des cookies techniques liés au fonctionnement du site et de mesure d'audience (données statistiques anonymes). OK