Le test d’intrusion, ou pentest en anglais, est un audit ayant pour but de vérifier la sécurité d’une ressource (plage d’adresses IP, site internet ou application web, mobile, réseau interne…) du point de vue d’un attaquant. Il s’agit du meilleur moyen de vérifier concrètement l’efficacité des mesures de protection mises en place.
1T3RMEDIATION, évalue le niveau de sécurité du périmètre défini avec vous suivant les méthodologies applicables aux périmètres à tester, qui s’appuie notamment sur :
- OSSTMM (Open-Source Security Testing Methodology Manual) :
- OSSTMM est l’abréviation de Open-Source Security Testing Methodology Manual. C’est l’une des normes de test d’intrusion les plus largement utilisées et reconnues. Il est basé sur une approche scientifique des tests d’intrusion qui contient des guides adaptables pour les testeurs. Vous pouvez l’utiliser pour effectuer une évaluation précise.
- OWASP (Open Web Application Security Project) :
- OWASP signifie Open Web Application Security Project. Largement connue, cette norme est développée et mise à jour par une communauté qui se tient au courant des dernières menaces. Outre les vulnérabilités des applications, cela tient également compte des erreurs de logique dans les processus.
- NIST (National Institute of Standards and Technology) :
- Le National Institute of Standards and Technology (NIST) propose des directives de test de pénétration très spécifiques pour les pentesters afin de les aider à améliorer la précision du test. Les grandes et les petites entreprises, dans divers secteurs, peuvent tirer parti de ce cadre pour un test de pénétration.
- PTES (Penetration Testing Execution Standards) :
- PTES ou Penetration Testing Execution Standards est une méthodologie de pentest conçue par une équipe de professionnels de la sécurité de l’information. L’objectif de PTES est de créer une norme complète et à jour pour les tests d’intrusion ainsi que de sensibiliser les entreprises à ce qu’elles peuvent attendre d’un pentest.
- ISSAF (Information System Security Assessment Framework) :
- Le cadre d’évaluation de la sécurité des systèmes d’information (ISSAF) est un guide de pentesting pris en charge par l’Open Information Systems Security Group. Cette méthodologie n’est plus mise à jour, elle manque donc un peu de données. Néanmoins, il est toujours utilisé pour sa nature globale – il relie différentes étapes du processus de pentest avec des outils pertinents.
Nous permettons trois approches spécifiques pour ces tests avec chacune ces particularités :
- Audit “boite noire” ou Pentest Black Box :
- Dans la peau d’un véritable hacker qui n’a aucun droit d’accès dans vos systèmes, notre équipe d’experts n’aura lui non plus aucun accès et simulera des attaques sur votre organisation dans les mêmes conditions qu’un hacker malveillant externe.
- Audit “boite grise” ou Pentest Grey Box :
- Pour ce mode de test, notre équipe d’experts aura à sa disposition des informations sur votre système, comme pourrait les avoir un collaborateur de votre organisation via des accès internes par exemple.
- Audit “boite blanche” ou Pentest White Box :
- Ici toutes les informations majeures seront communiquées à notre équipe qui travaillera avec vos collaborateurs pour mettre en évidence le maximum de failles de sécurité. Il aura accès par exemple au code de vos applications, de vos sites ou API.