Tests d'intrusion

	Voir aussi...    Audit & Évaluation  Tests de vulnérabilités (TSAR)  Code d'éthique et de déontologie HSC  Newsletter HSC  Comment nous demander une prestation  Thème tests d'intrusion

Cette prestation peut avoir plusieurs objectifs :

• Prouver que la sécurité mise en place est insuffisante et peut être contournée. Cela peut permettre de sensibiliser les responsables ou les informaticiens dans votre entreprise.
• Mettre à l'épreuve la sécurité d'un environnement et qualifier sa résistance à un certain niveau d'attaque. Cela s'apparente à une qualification à un instant t du niveau de résistance, et permet de vérifier qu'une personne extérieure malveillante ne puisse pas pénétrer aisément votre système d'information.
• Compléter un audit sécurité : un test d'intrusion peut révéler des problèmes issus d'une incohérence entre différents composants. Les interactions complexes sont parfois difficiles à appréhender lors d'un audit qui analyse l'architecture, le filtrage IP, le système d'exploitation, le serveur web et l'application un par un.

L'offre HSC

HSC propose trois types de tests d'intrusion :

1. Le test d'intrusion classique : pour garantir un bon résultat, nous recommandons de ne pas dépasser 5 ensembles de serveurs webs, applications et back-office.
2. Le test d'intrusion applicatif, qui vous permet de demander un test sur un ensemble serveur web, applications et back-office associé.
3. Exercices de type Red Team, avec un périmètre et une durée élargis afin de se rapprocher des conditions réelles des attaquants.

Chaque rapport de tests d'intrusion reprend les opérations effectuées et permet de rejouer les tests soi-même. Tous les problèmes rencontrés sont énumérés, avec leur niveau de criticité, leur facilité d'exploitation, et nos recommandations de corrections à apporter. Un paragraphe propose une synthèse compréhensible par une direction non technique.

Une réunion de présentation des résultats est recommandée lorsque le rapport est conséquent afin de mieux sensibiliser les personnes concernées.

Pourquoi choisir HSC ?

Une prestation de test d'intrusion requiert un très haut niveau d'expertise technique afin de produire un résultat crédible. Le cabinet HSC est un des premiers à avoir proposé ce type de prestation en France (cf. présentation de 1996 ). Son équipe technique est aguerrie aux toutes dernières techniques d'attaques, avec une forte expérience des audits de sécurité des logiciels et des applications, ainsi que la maîtrise des langages de programmation. Les failles de sécurité se situent principalement au niveau applicatif.

HSC effectue également une veille qui lui permet d'être au fait des dernières vulnérabilités.

Par ailleurs, la méthodologie HSC de tests d'intrusion se base sur plus de dix années d'expertise dans le domaine, complétée par des méthodologies ouvertes comme l'OWASP et l'OSSTMM.

Enfin, la déontologie est un élément clé qui doit guider votre choix. HSC pratique des tests d'intrusion exhaustifs et confidentiels depuis 1995, pour la plus grande satisfaction de ses clients.