Test de sécurité web

Logo NBS System
Logo NBS System
Test de sécurité web
 

Un Test de Sécurité Applicatif (TSA) permet de mesurer l’exposition de votre site web ou de votre application aux menaces informatiques. Appelé aussi test d’intrusion applicatif ou test de sécurité web il a pour but d’identifier des actions permettant de réduire les risques de compromissions et de perte de données.

Nos experts en sécurité informatique tentent ainsi de contourner vos systèmes de sécurité et d’exploiter de potentielles vulnérabilités dans des conditions réelles, afin de tester votre plateforme le plus efficacement possible. Qu’il soit interne ou externe, sur tout ou partie de votre applicatif, ce test de sécurité repose sur la simulation d’actes malveillants qui pourraient être commis par un tiers.

Pourquoi faire un test d’intrusion applicatif ?

Lorsqu’un site web est mis en ligne, les entreprises sous-estiment souvent l’envergure de la surface exposée, et l’étendue des vulnérabilités qui peuvent s’y trouver. De plus, il n’est pas toujours évident de surveiller les incidents de sécurité de toutes les technologies utilisées sur un site… Un test d’intrusion applicatif permet de mettre en évidence les points sensibles de vos plateformes, afin de vous permettre de mettre en place les bonnes pratiques et actions correctives qui amélioreront leur sécurité.

Régulièrement, nos clients nous disent : « allez-y, essayez d’atteindre notre site e-commerce, nous prenons au sérieux la sécurité informatique de notre SI et vous ne pourrez pas obtenir notre base de données clients ». Cependant, ce que la plupart d’entre eux oublient (et notamment dans les grandes structures) c’est qu’un applicatif mal sécurisé met en danger l’ensemble de vos autres applicatifs et systèmes. Aussi bien protégés soient-ils, ils peuvent être compromis en cas d’intrusion dans votre application s’ils sont présents sur la même infrastructure ou qu’ils y sont connectés d’une manière ou d’une autre.

Il est fréquent que nos experts atteignent leur objectif par le biais, par exemple, d’un microsite évènementiel laissé à l’abandon (exemple : une landing page de jeux concours), d’une plateforme de dépôt de CV que le service RH gère dans son coin mais qui est hébergé sur les mêmes infrastructures que le site principal de l’entreprise, etc. Dans ce cas de figure, il est trivial pour nos experts en sécurité informatique de détecter une faille sur ces applicatifs « secondaires » souvent peu maintenus, et de l’exploiter avec des effets de ricochet et de rebond, afin d’atteindre le saint-graal : votre base de données client et/ou les coordonnées bancaires associées, vos secrets de fabrication…

Contactez-nous

L’expertise en sécurité informatique de NBS System

21 ans d’expérience

+600 tests d’intrusions

+ de 250 clients en sécurité informatique

Créateur de CerberHost

Créateur de Naxsi


Test d’intrusion informatique : décomposition de cette mission ?

  • Mise en place de la mission

La mission de Test de Sécurité Applicatif commence avec la réunion de « kick-off », ou autrement dit la réunion de validation du périmètre à auditer. Lors de cette réunion, il sera clairement défini quel applicatif est à auditer, quels environnements ou données vous espérez que nos consultants n’atteignent pas, ainsi que la manière d’y parvenir et notamment le protocole boite noire, grise et/ou blanche.

Les tests informatiques peuvent en effet être réalisés en boîte noire, grise ou blanche selon le niveau d’information sur votre applicatif que vous souhaitez donner à nos testeurs. En boîte noire, ils ne connaissent que le nom de votre entreprise et l’URL de l’application à tester. En boîte grise, vous leur fournissez par exemple un compte utilisateur ou des identifiants afin qu’ils puissent accéder à votre espace « privé » qui ne serait pas ouvert qu’à vos membres et pas aux internautes lambda. Nos experts pourront ainsi tester plus en profondeur votre plateforme. En boite blanche, vous fournissez également un accès au code source de l’application.

  • Découverte du périmètre

Avant de rentrer dans le vif du sujet, nos consultants vont prendre le temps de découvrir votre applicatif comme pourrait le faire un internaute lambda. Ils pourront visiter votre site, votre section de blog, vos pages de recrutement, voire se créer des comptes clients comme pourraient le faire vos utilisateurs.

  • Prise d’informations

Selon le protocole que vous aurez choisi (boite noire, grise et/ou blanche) nos experts en sécurité informatique pourront éventuellement vous demander des compléments d’informations afin de gagner du temps lors de la phase suivante : version de logiciel utilisé, type de configuration système mise en place, politique de mot de passe en vigueur, etc.

  • Recherche de vulnérabilités & construction de scénarios d’attaque

C’est alors que nos experts rentrent dans la phase la plus importante de l’analyse, ils examinent les moindres recoins de votre système pour déceler les vulnérabilités présente ; que ce soit en attaquant le site (front office) directement, ou en tentant d’atteindre ou de créer des portes dérobées dans vos back offices, serveurs web, bases SQL, protocoles de flux, systèmes d’authentification …

Leur fonctionnement ? Penser différemment pour ne rien laisser passer, contourner tous les mécanismes de défense présents, toujours être le plus précis et pointu qu’il leur est possible d’être.

Leur leitmotiv ? Mettre la main sur vos bases de données, compromettre votre système, être maître de vos droits d’accès … détenir ce qui représente pour votre entreprise votre véritable valeur ajoutée !

En réalité, nos experts se transforment le temps du test en « white hats » : de gentils pirates, qui ne tireront pas profit de leurs trouvailles, mais qui sont malgré tout aussi efficaces que des personnes réellement malveillantes.

  • Rédaction et livraison du rapport

Nos génies de la sécurité informatique ont pour mission de retranscrire chaque manipulation de système, entreprise de contournement, tentative d’attaque, de manière à pouvoir vous restituer de manière factuelle et transparente chacune des actions qui ont été menées sur votre applicatif. Cette liste pourra vous être transmise telle quel au sein du rapport de mission et/ou synthétisée selon votre besoin. Bien entendu, outre la retranscription et l’analyse des actions réalisées par nos experts, le rapport comportera également toutes les recommandations nécessaires à votre entreprise pour mettre en place des correctifs et sécuriser votre applicatif en diminuant son exposition au risque.

Une restitution orale peut également accompagner ce rapport pour apporter plus de lumière sur les résultats, ou pour présenter à un comité de direction les tenants et aboutissants de ce Test de Sécurité Applicatif.

Quand faire un Test de Sécurité informatique Applicatif ?

Le test d’intrusion peut être fait à n’importe quel moment du cycle de vie de votre site web ou application, afin d’évaluer son niveau de sécurité.

Nous vous conseillons cependant de réaliser un test d’intrusion applicatif avant sa mise en production. En effet, en corrigeant les failles avant la mise en ligne, vous exposez sur le Web une plateforme sécurisée sans laisser la chance aux pirates de vous compromettre !

Par qui faire réaliser ce Test de Sécurité Web ?

NBS System a monté une cellule sécurité, composée de 10 experts répartis sur deux missions principales :

  • L’une des équipes dédie son temps à des projets de Recherche & Développement. Cet investissement leur permet de partager leur expertise auprès de la société et de la communauté open source, puisqu’il leur permet de créer des outils de sécurité informatiques tels que le pare-feu applicatif NAXSI, le détecteur de malware PHP Malware Finder ou le bouclier pour PHP Snuffleupagus. Il leur permet également de rester à la pointe des dernières découvertes en matière de sécurité, tant offensive que défensive.
  • L’autre équipe est à votre disposition pour réaliser audits et tests d’intrusion et vous accompagner dans la sécurisation de vos Systèmes d’Informations et plateformes web.

Chacun de nos experts prend également, régulièrement et de manière aléatoire, le rôle de SecOps. En se mettant au service des équipes internes et de nos clients pour les accompagner sur des missions de sécurité opérationnelle variées, ils restent ainsi proches de la réalité du marché et savent comprendre vos enjeux et besoins.

Où se font les tests d’intrusion applicatif ?

Par définition, les tests de sécurité applicatif ont pour but de tester une application que celle-ci soit web, mobile, ou autre. De ce fait, les TSA ont tendance à être réalisés à distance depuis nos locaux, puisqu’une présence physique dans vos bureaux n’a aucune valeur ajoutée.

Déontologie & éthique chez NBS System

Aucune donnée ne sera sauvegardée, et toutes les informations récoltées vous seront intégralement restituées. Si nos experts ont identifié des vulnérabilités sur votre plateforme, celles-ci ne seront jamais exploitées en dehors du contexte de ces tests et ne seront pas communiquées à des tiers. Le rapport qui vous sera fourni est également totalement confidentiel : seule l’équipe sécurité de NBS System et les destinataires du rapport y ont accès.

Vous avez un projet de cybersécurité ?

Contactez nous !