TESTS D’INTRUSION
Un pentest est un audit de la sécurité d’un environnement informatique. C’est une technique qui consiste à analyser une cible en se comportant comme un pirate informatique. On peut aussi appeler ça du hacking éthique.
Un hackeur éthique, également appelé « white-hat » ou « pentesteur » a pour mission d’effectuer ce type de test. Ainsi, il peut aider les organismes à identifier leurs points faibles et indiquer comment les résoudre.
INFRASTRUCTURE EXTERNE
Ce test simule une attaque sur une infrastructure informatique accessible depuis Internet. L’objectif est d’identifier les vulnérabilités des mesures de sécurité implémentées au niveau du réseau et du système d’exploitation des systèmes connectés à Internet.
⏳ Temps moyen nécessaire : 2 jours / 10 IPs
💸 À partir de : 1000 € HT / 10 IPs
INFRASTRUCTURE INTERNE
Il s’agit d’une attaque simulée par une personne ayant déjà accédé au réseau interne et qui en connaît les systèmes.
L’objectif sera d’identifier le chemin le plus court permettant de prendre le contrôle de la ressource la plus importante du client (ex. accéder à des données confidentielles et/ou prendre le contrôle du DC (Domain Controller)).
Pour ce faire, nos testeurs identifieront une chaîne de vulnérabilités présente dans l’infrastructure du client et ainsi les exploiteront pour atteindre l’objectif fixé.
Ce test se concentre sur l’identification structurée des vulnérabilités dans un ensemble étendu de systèmes internes. Nous testons également l’Active Directory pour des failles telles que le Kerberoasting ou l’abus de délégation de privilèges.
Ce qui n’est pas inclut : contourner les antivirus et éviter la détection.
⏳ Temps moyen nécessaire : 10 jours pour une PME
💸 À partir de : 5000 € HT
INDUSTRIE 4.0 (SCADA/ICS)
Les infrastructures critiques et les systèmes industriels dépendent de plus en plus de l’informatique, introduisant de nouvelles menaces dans les systèmes SCADA. Hackmosphere aide les organisations à évaluer et tester le réseau OT grâce à des tests de sécurité passifs et actifs, qui sont ensuite comparées au niveau de sécurité souhaité.
Au cours des tests passifs, nous revoyons par exemple la configuration de l’architecture en place, les contrôles d’accès physiques ou le process de management des mises-à-jour.
Les tests actifs comprennent des tests de pénétration de l’infrastructure informatique interne, des hôtes à double appartenance (IT & OT) et de l’infrastructure ICS. L’infrastructure ICS est testée avec des actions très limitées afin de s’assurer de ne pas perturber ces environnements hautement sensibles.
⏳ Temps moyen nécessaire : 10 jours pour une PME.
💸 À partir de : 5000 € HT
APPLICATIONS WEB
Lors de ce test, nous analysons les vulnérabilités des applications en nous basant sur l’OWASP Top 10, telles que l’injection SQL, le Cross-site Scripting (XSS), la validation des entrées utilisateurs et les interfaces de gestion vulnérables.
Nous proposons plusieurs approches : Black Box, Grey Box & White Box. L’approche Grey Box est souvent la meilleure option en terme d’optimisation du temps passé comparé à la plus-value apportée par le pentest.
L’approche Grey box simule une attaque du point de vue d’un utilisateur autorisé et non-autorisé. Ces tests impliquent l’utilisation de comptes spécifiquement fournis, dans l’objectif d’identifier des vulnérabilités concernant la logique d’application, telles que la vérification de l’accès non autorisé aux informations d’autres utilisateurs.
En comparaison, l’approche White Box inclut également la revue du code source, alors que l’approche Black Box n’induit la fourniture d’aucun identifiants et d’aucun code source.
⏳ Temps moyen nécessaire : 6 jours / app
💸 À partir de : 3000 € HT / app
APPLICATIONS MOBILES
Ce test vise la sécurité des applications mobiles sur smartphones et tablettes, concernant la communication entre l’application mobile et l’environnement applicatif back-end.
Dans cet objectif, nous ferons un test de sécurité d’application spécifique pour la communication avec le back-end et un test de sécurité de code source pour l’application.
⏳ Temps moyen nécessaire : 8 jours / application
💸 À partir de : 4000 € HT / application
Wi-Fi
Un test de sécurité Wi-Fi simule une attaque sur un réseau sans fil. Nous entrerons sur un ou plusieurs sites avec un ordinateur portable spécialement préparé afin d’identifier les vulnérabilités de la technologie Wi-Fi en place, à plusieurs points stratégiques si nécessaire. Par exemple, nous tenterons de cracker le mot de passe utilisé, ou d’identifier des vulnérabilités au niveau du protocole de chiffrement utilisé.
⏳ Temps moyen nécessaire : 3 jours / Point d’accès
💸 À partir de : 1500 € HT / Point d’accès
BRUTE-FORCE DES MOTS DE PASSE
Lors de ce test, nous évaluons la robustesse des mots de passe importants que les utilisateurs finaux ont pu choisir. Pour effectuer ce test, nous coopérons étroitement avec le client pour obtenir un extrait des hashs de mots de passe des utilisateurs sélectionnés.
Nous essayons ensuite de « cracker » ces hashs, donnant ainsi un aperçu des mots de passe choisis et des statistiques associées (par exemple, définir combien de mots de passe peuvent être devinés en un temps défini).
⏳ Temps moyen nécessaire : 2 jours / 500 hashs
💸 À partir de : 1000 € HT / 500 hashs
AUDIT ORGANISATIONNEL (THÉORIQUE)
Un pentest est une méthode avancée qui simule des attaques réelles pour identifier des vulnérabilités spécifiques. Mais sans une compréhension préalable des menaces potentielles et des protections existantes, ses résultats peuvent manquer de contexte et de pertinence.
Une analyse théorique des mesures de sécurité en place peut révéler des lacunes et des points faibles qui nécessitent une attention immédiate. Une fois cette base établie, un pentest peut être utilisé de manière plus ciblée et efficace. Cela permettra de valider les hypothèses et les conclusions de l’évaluation initiale, fournissant ainsi des résultats plus précis et exploitables pour renforcer la posture de sécurité globale de l’entreprise.
⏳ Temps nécessaire : 2 jours
💸 À partir de : 1000 € HT