Test de Pénétration
Détectez les failles de sécurité à temps et protégez vos précieuses données d’entreprise
La progression de la numérisation est perceptible dans tous les secteurs et tout type d'entreprises. Qu'il s'agisse de l'industrie chimique et pharmaceutique, de l'industrie automobile, du secteur de la finance et de l'assurance ou des petites et moyennes entreprises (PME), les changements sont les mêmes : les processus sont numérisés et les systèmes sont interconnectés, les applications commerciales sont de plus en plus basées sur le web et/ou le mobile et de plus en plus d'applications et de données sont déplacées vers le cloud.
Cela ouvre de nouvelles possibilités d'attaque aux cybercriminels. Cette évolution est également confirmée par les résultats de notre étude Cybersecurity Trends 2020. Ces tendances montrent que les chaînes d'approvisionnement intelligentes, les véhicules et l'accès aux données personnelles sont des cibles populaires pour les cyberattaques. Les données sont devenues un nouvel actif de grande valeur qui doit être protégé.
La transformation numérique exige une nouvelle réflexion de la part des directions d'entreprise et des responsables informatiques en termes de cybersécurité et de mesure de protection des données, car les cyberattaques représentent un défi au quotidien qu'il ne faut pas sous-estimer.
Par conséquent, identifiez les vulnérabilités potentielles de votre infrastructure informatique au moyen d'un test de pénétration, vérifiez l'efficacité des mesures de protection existantes et découvrez les endroits où les systèmes ne répondent pas aux exigences de sécurité.
Obtenez une évaluation objective de votre sécurité informatique et découvrez vos vulnérabilités avant que les pirates ne les trouvent.
Détecter les failles de sécurité grâce aux pentests
À l'aide d'un test de pénétration, ou pentesting, nous vérifions votre infrastructure informatique existante (réseaux et systèmes informatiques) et vos applications web (par exemple, les boutiques en ligne, les portails clients, les services bancaires en ligne) à la recherche de vulnérabilités potentielles qui pourraient constituer une cible pour des cyberattaques. Afin de découvrir les vulnérabilités et les failles de sécurité et d'évaluer de manière optimale les risques potentiels, nos experts informatiques procèdent comme suit:
1. Discussion préliminaire et analyse des besoins:
Enregistrement du statu quo pour déterminer l'objectif et la portée du test d'intrusion, en fonction de votre situation et des risques.
2. Collecte d‘informations:
Rassembler toutes les informations pertinentes pour l'attaque et considérer l'entreprise du point de vue de l'attaquant.
3. Identification des vulnérabilités:
Détection des vulnérabilités potentielles par des tests automatiques et manuels ciblés. Ce faisant, nous appliquons des méthodes similaires à celles que les pirates informatiques utilisent.
4. Exploitation des vulnérabilités de sécurité:
Détection de vulnérabilités par nos testeurs qui exploitent délibérément les failles de sécurité et tentent d'accéder à des données protégées de l'entreprise, telles que les données des clients.
5. Rapports
Résumé des résultats du test de pénétration et de toutes les vulnérabilités trouvées ainsi que des recommandations d'actions pour y remédier.
Dans le secteur financier ainsi que dans l'industrie automobile, les tests de pénétration font déjà partie des exigences réglementaires. Il faut s'attendre à ce que d'autres industries suivent car, quel que soit le secteur d'activité et la taille de l'entreprise, les données sensibles doivent être protégées. Nous vous recommandons donc de vérifier régulièrement la sécurité de votre système informatique.
Les différentes variantes d'un test de pénétration
Différentes méthodes peuvent être utilisées pour identifier les vulnérabilités. La variante la plus appropriée pour votre entreprise dépend de votre infrastructure informatique existante. Lors d'un entretien personnel, nous déterminons vos besoins et analysons les systèmes existants afin de trouver la méthode de test de pénétration la mieux adaptée à vos besoins. Consultez notre portefeuille de pentesting.
Le test de pénétration externe symbolise la cyberattaque "classique" de l'extérieur. Ici, notre expert en sécurité informatique tente de pénétrer le réseau interne de l'entreprise via les systèmes accessibles depuis Internet. L'enquête se concentre sur le pare-feu et les systèmes de la zone démilitarisée (DMZ - un réseau qui agit comme une zone tampon et est surveillé par le pare-feu, comme les serveurs web ou de messagerie) afin de découvrir ensuite les possibilités d'accès ou de vol de données. Nos experts tentent également - si cela est autorisé - de pénétrer dans le réseau interne à partir de la DMZ.
Dans un test de pénétration interne, le point de départ se situe au sein du réseau de l'entreprise, c'est-à-dire que l'attaquant a déjà obtenu l'accès au réseau interne. Cela simule le cas où un attaquant se trouve déjà sur l'appareil d'un employé. Ainsi, l'objectif du pentest interne est de déterminer les dommages qui peuvent survenir si l'accès à l'entreprise est utilisé de manière criminelle. Une attaque provenant de l'intérieur de l'entreprise peut souvent causer plus de dommages en moins de temps qu'une attaque externe, car certains systèmes de protection ont déjà été contournés ou surmontés.
Dans cette méthode, nos experts simulent une cyberattaque en utilisant les tactiques, les techniques et les procédures de véritables attaquants. Nous déterminons à l'avance avec vous l'orientation et les objectifs de la campagne «Red Team» défense. Si nécessaire, nous identifions avec vous les vecteurs d'attaque les plus critiques - par rapport à votre cyber-résilience - avant de passer à la simulation d'une attaque.
Par rapport à un test d'intrusion, le but d'une campagne «Red Team» n'est pas de découvrir autant de vulnérabilités que possible, mais d'atteindre l'objectif défini de la campagne par une exploitation ciblée des vulnérabilités pertinentes. Les résultats vous fournissent des informations sur la résilience de votre entreprise ou de votre division face aux cyberattaques. En outre, les résultats aident vos propres experts à optimiser les systèmes et processus de surveillance internes de l'entreprise afin de détecter les attaques plus tôt.
Cela permet de minimiser le risque de dommages importants pour votre entreprise.
Vous trouverez de plus amples informations sur la simulation d'adversaires dans notre brochure d'information.
Au cours du test de pénétration IoT, nos experts vérifient votre écosystème IoT du point de vue d'un pirate et détectent les vulnérabilités et les failles de sécurité. Pour une protection complète, nous testons l'ensemble de l'écosystème IoT. Si nécessaire, nous pouvons également examiner des composants individuels et vous soutenir avec les services individuels suivants:
- Analyse de la sécurité des appareils IoT
- Analyse de sécurité des applications mobiles
- Analyse de la sécurité du backend
- Évaluation de la sécurité du backend
Lisez des informations détaillées sur les tests de pénétration IoT dans notre dépliant connexe.
En savoir plus.
Le test des applications web est un test de pénétration basé sur le guide de test de l'Open Web Application Security Project (OWASP). L'identification des 10 principales vulnérabilités de l'OWASP est au centre de l'enquête. Toutefois, nos experts recherchent également les vulnérabilités moins courantes propres à une application afin d'obtenir le meilleur niveau de protection possible pour votre application web. Ensuite, nous résumons les résultats de l'analyse ainsi que les recommandations pour remédier aux vulnérabilités dans un rapport.
Vous pouvez trouver plus d'informations dans notre dépliant Sécurité de votre application web.
La hack box permet à nos experts d'effectuer des tests de pénétration à distance. La solution à distance est particulièrement avantageuse lorsque la présence de nos collègues est difficile pour diverses raisons (par exemple, lieux de travail à domicile, ou grandes distances géographiques). La hack box est un ordinateur spécialement configuré et protégé qui est livré par courrier. L'installation de la hack box dans le réseau interne est conçue pour être simple et ne nécessite aucune connaissance préalable particulière, ce qui facilite la collaboration entre nous et les utilisateurs.
Vous pouvez trouver tous les détails sur le processus et la manipulation de la hack box ici .
Faites confiance à notre expertise dans le domaine des tests de pénétration
Nos services de tests de pénétration sont applicables à de nombreux domaines de l'infrastructure informatique. Il s'agit notamment des applications, des réseaux et des infrastructures, des systèmes embarqués, des boutiques en ligne, de l'intranet, des dispositifs IoT et des logiciels auto-programmés. Parce que nous adoptons une vision holistique de la sécurité informatique dans votre organisation, nous proposons également des tests qui se concentrent sur les vulnérabilités organisationnelles, de processus et humaines plutôt que sur la technologie. Les tests dont l'objectif n'est pas exclusivement technique comprennent les attaques de phishing, les campagnes Red Team ou les évaluations de la sécurité technique.
La sécurité informatique de votre entreprise est ce qui nous tient à cœur. C'est pourquoi, avec nos services de tests de cybersécurité, nous identifions tout type de vulnérabilité et de faille de sécurité avant que d'autres ne les exploitent. De cette façon, nous vous fournissons une vue d'ensemble objective de vos déficiences et vous soutenons ensuite avec les recommandations appropriées pour y remédier. Lorsqu'il s'agit d'audits de cybersécurité, vous pouvez compter sur notre expertise spécialisée et sectorielle, car les tests sont dans le sang de nos auditeurs. Nous remplaçons l'insécurité par la sécurité et vous aidons à protéger vos actifs et la confiance de vos clients. TÜV Rheinland - testé avec certitude.
Téléchargements
| IoT with Security | 168 KB | Télécharger | |
| Red Team Engagements | 209 KB | Télécharger | |
| Penetrationtest | 1 MB | Télécharger |
Contact
