Test d’intrusion

Le test de sécurité informatique « externe » est aussi appelé test d’intrusion, ou pentest.

Dans le cadre des normes ISO 27001 ou PCI/DSS, vous voulez éprouver la sécurité de votre réseau, savoir si ce dernier résisterais à une attaque externe ? C’est à ce besoin que répond le test de sécurité externe, aussi appelé « Pentest ».

C’est le test le plus réaliste puisque les experts testent depuis l’extérieur de votre réseau, dans des conditions tout à fait similaires à une intrusion réelle, sans informations spécifiques sur leur cible ou les systèmes informatique de cette dernière.

> En une phrase : Un test pour évaluer si l’entreprise risque de se faire pirater depuis Internet

Les tests de sécurité informatique se différencient clairement des tests de vulnérabilités autant par la méthode que par l’objectif. Là où un test de vulnérabilité vise seulement à repérer les vulnérabilités techniques sur un périmètre défini, le test de sécurité externe, ou pentest, vise à identifier le maillon faible de la chaine de sécurité.

Un éventail bien plus large de techniques intrusives est utilisé :

  • Ingénierie sociale (par mail, téléphone, ou contact physique),
  • audit des applicatifs,
  • attaques sur les mots de passe,
  • réutilisation d’identifiants,
  • Etc, les seules limites sont celles que vous posez et que nous définissons lors de l’initialisation du test.

La sécurité informatique est devenue très complexe, pour une multitude de raisons qui mériteraient un livre à elles seules, et ce test permet d’évaluer le niveau de l’entreprise face à des attaques réalistes, qui prendront en compte, en sus de la technique, l’humain qui compose l’entreprise.

Ce test d’intrusion « en aveugle » a pour but de vérifier si une personne mal intentionnée peut s’introduire dans vos systèmes ou en détourner des informations sensibles, depuis l’extérieur de l’entreprise. Outre la faisabilité de l’intrusion, le test permet de découvrir aussi les capacités de détection des attaques, et la résistance à l’ingénierie sociale du personnel de l’entreprise.

Le risque identifié est celui de concurrents, d’anciens salariés mécontents ou de pirates qui souhaiteraient nuire à l’entreprise, par intérêt, ou par opportunisme. Un système d’information n’étant jamais plus solide que son maillon le plus faible, le TSE est fait pour identifier celui-ci ainsi que les autres sources de risques informatiques.

La cybercriminalité n’est plus une légende urbaine et ne pas agir mène souvent aux pires résultats. La responsabilité du dirigeant peut en effet être engagée devant les tribunaux, contribuant ainsi à fragiliser l’entreprise. Pour rappel, on constate chaque année une augmentation à deux chiffres du pourcentage de vol de données aux entreprises et de vols d’identité. De plus, outre l’entreprise, vos employés peuvent aussi être les cibles. Une base de données qualifiée sur des individus se monnaie, ce qui peut attirer les pirates.

Un test de sécurité se déroule comme suit :

  1. Découverte du périmètre externe de l’entité
  2. Collecte d’informations complémentaires sur l’entité
  3. Identification de la topologie de l’entité et des services exposés
  4. Élaboration de scénarii d’attaques
  5. Tentative d’intrusion
  6. Poursuite de l’avancée dans le réseau local
  7. Rédaction et présentation des rapports de tests, de préconisation et de CODIR

Livrables:

  • Rapport de test
  • Préconisations
  • Rapport de CODIR

Déroulement et suivi des tests :

  • Initialisation : La réunion d’initialisation, permet de donner une vision claire du déroulement des opérations et de poser les limites du périmètre de test. Par exemple, dans le cas d’une entreprise disposant de multiples filiales, quelles doivent être celles inclues dans le périmètre, et pourquoi ? Lorsque l’on parle de périmètre, les méthodes d’attaque vous serons aussi soumises, par exemple, le fait d’avoir le droit (ou non) d’utiliser les techniques d’ingénierie sociales sur vos employés, et si oui, par quels vecteurs. Notre chef de projet vous aidera à définir le périmètre le plus judicieux.

De même, lors de cette réunion, des contacts sont clairement définis pour les deux parties, qui serviront tout au long des tests afin de garder un contact permanent, que nous appelons « fil rouge ».

  • Découverte du périmètre : Une fois la phase de découverte du périmètre suffisamment avancée, les résultats seront présentés au contact de la société cliente. La validation de cette phase a plusieurs buts :
    • S’assurer de l’exhaustivité de la découverte du périmètre
    • Définir la sensibilité et la criticité des différents éléments, qui variera grandement en fonction de votre activité.
    • Si les attaques d’ingénierie sociale sont autorisées, établir avec vous un échantillon représentatif des cibles potentielles.
  • Phase d’élaboration des scénarios et déroulement des attaques : Au cours de cette étape, un compte rendu journalier vous sera fait, afin que vous puissiez garder une vision claire de l’avancée des tests en temps réel. Ce contact quotidien permet, en plus de la sérénité que cela apporte, de changer les cibles du test, si nécessaire.
  • Avancée dans le réseau local : Cette étape, qui suit directement l’attaque du périmètre externe, permet d’évaluer, de manière non-exhaustive, le niveau de sécurité du réseau local, et la facilité avec laquelle un pirate pourrait progresser dans ce dernier. Etant donné que nos équipes travaillent « en aveugle », vous pourrez orienter les recherches dans le réseau local en fonction des points vitaux de l’entreprise. Ainsi que qualifier la sensibilité des informations et des accès obtenus.
  • Rédaction des rapports : Nos rapports de tests, outre le déroulement des tests, contiennent, pour chaque faiblesse ou vulnérabilité découverte, un correctif adapté à votre situation. Ce document, même s’il est destiné essentiellement à un personnel technique, contient un certains nombre de résumés présentant les résultats des tests en faisant abstraction de la technique.
  • CODIR : Il s’agit d’une présentation des résultats des tests. Ce document, destiné à votre direction, vise à expliquer les résultats des tests à un personnel non technique, en l’abordant d’un point de vue « gestion de risque ». Il est élaboré de manière collaborative avec le commanditaire du test, afin de s’adapter à la situation et à la mentalité de l’entreprise. Il permet notamment à la DSI de justifier des budgets auprès de sa direction, en s’appuyant sur le plan d’action présenté au travers de ce document.

BOUYGUES TELECOM

L’opérateur cellulaire nous a fait confiance dès notre deuxième années d’activité (il y a neuf ans) pour lui créer une application de GMAO sur mesure, une application mobile et également pour héberger ces données sensibles.

Après avoir céder nos activités de développement, Bouygues télécom à souhaité nous laisser continuer à héberger et sécuriser ses serveurs de GMAO et un serveur Imode. Neuf années de confiances d’un géant comme Bouygues télécom, c’est l’une de nos fiertés !

CHU d’Amiens

Un hôpital est, par principe fondamental, un gigantesque brassage de populations, de réseaux, d’usages. Il n’est, pour ainsi dire, pas possible de limiter les accès au SI d’un Hôpital, il convient donc de filtrer ce qui peut l’être, isoler les parties sensibles, protéger et harmoniser les accès. Les données présentes dans le SI d’un hôpital, comme le DMP, sont de la plus haute confidentialité. C’est un travail titanesque, qui nous occupe depuis maintenant 3 ans. NBS System assiste de nombreux autres hôpitaux dans leur sécurité.

Crédit Agricole

Tout comme Bouygues Télécom, le Crédit Agricole nous a fait confiance dès le début de note aventure d’entreprenariat. Pendant 4 années, NBS System à conçu, créé, maintenu et fait évolué le système d’information de Crédit Agricole Alternative (C@@LT). Ces systèmes n’ont jamais connus de vulnérabilité ou d’indisponibilité en 4 années d’exploitation.

DASSAULT

NBS System a collaboré à des projets sensibles pour plusieurs sociétés du groupe Dassault. Dassault Aviation, Falcon, Service sont autant de grands noms que nos experts sont fiers d’avoir accompagné dans leurs démarches de sécurité.

DEXIA

Les banques sont les cibles privilégiées des hackers de tous horizons. Au-delà du fantasme du coffre fort électronique, ces sociétés ont très souvent un système d’information de grande envergure. Ces SI sont d’autant plus complexes à sécuriser qu’ils sont grands et doivent être accéder par de nombreux collaborateurs, partenaire et sous traitants. Dexia a fait appel à nos services de sécurité pour l’aider dans sa démarche.

Furet du nord

Le plus gros catalogue au monde. Les nordistes sont habitués à cette enseigne prestigieuse qui a pour ambition de faire partit du top 3 des libraires Français en ligne. Avec 1,4 millions de références en catalogue, la recherche n’est pas un moindre problème et le moteur SOLR de Lucene (fondation Apache) est utilisé en production pour animer ce catalogue ! De nombreuses optimisations spécifiques ont également été passées sur les bases de données pour soutenir ce challenge. Le résultat est là, moins de 1 seconde pour trouver son livre.

Gémo

Gémo est l’un des clients Enterprise Edition de Magento et une des premières enseignes en vente de chaussures et textile pour la famille. Cette société a souhaité confier à NBS System son site pour être certain de la qualité de son environnement d’hébergement et de la stabilité de ses systèmes. Nos ingénieurs ont également dû mettre en place un lien entre le SI et le site qui repose sur un développement Tomcat.

Goodyear

Le géant des pneumatiques a confié à NBS System la conception, le maintient et l’évolution du VPN de ses agences Vulco pendant plusieurs années. Ce système a fait tourner jusqu’à 300 agences simultanément, sans aucune interruption de service pendant 4 ans, jusqu’à ce que Goodyear décide de modifier sa topologie réseau pour ré internaliser certaines fonctions.

GSF

Il existe de nombreuses raisons d’effectuer un test d’intrusion et une société comme GSF n’en manque pas. La surface d’exposition du numéro 2 mondiale de la propreté industrielle est importante et cette société a souhaité faire appel aux services de nos experts pour l’assister.

NEXITY

Une partie de l’activité de Nexity a quitté des locaux située dans Paris Intra muros, à destination de la tour de la Défense. Plusieurs baies sensibles réparties sur plusieurs sites physiques devaient être déplacées en toute sécurité.

Nos services ont procéder à la mise au point du plan de déménagement, au plan de continuité à la gestion des plannings et de l’organisation et, bien sûr, au transport ultra sécurisé de ces serveurs hautement sensibles.

ORANGE

Actuellement nos services testent certaines applications mobiles distribuées par Orange afin d’en vérifier la sécurité. Cette démarche vise à fournir aux utilisateurs une expérience d’utilisation agréable et sécurisée.

Les applications mobiles sont très spécifiques et elles nécessitent un soin tout particulier de part la sensibilité de leurs environnements d’exécution. Nos services peuvent tester des applications Androide, Iphone, Blackberry, HTML et Java.

OSEO

La banque publique a missionné NBS System à plusieurs reprises, pour auditer ses systèmes, pour faire évoluer son infrastructure ou encore pour maintenir certains de ses serveurs.

Repetto

La célèbre marque de chausson de danse à choisit NBS System pour sa fiabilité et son accompagnement. Les serveurs ont été mis en haute disponibilité sur deux Datacenters car quand une femme craque pour une paire Repetto, rien pas même une coupure télécom, ne doit tenter de s’interposer entre elle et l’objet de son désir. Nous avons accompagné le client tout au long de sa réflexion pour le conseiller dans son choix de la sérénité.

Vieux Campeur

Quand le vieux campeur choisit un hébergeur, c’est signe de robustesse ! La chaine est connue pour la qualité de son conseil et de ses produits et il doit en aller de même pour les serveurs soutenant leur catalogue. C’est probablement

Zadig & Voltaire

Le tout premier client sous Magento pour NBS et l’un des premiers en France. Le site de cette prestigieuse marque a évolué d’Os Commerce à Magento pour prendre son essor, parie tenu ! Le site a la particularité de faire des pics très importants lors des animations commerciales avec des multiplications du trafic par 4 voir 6 !