Tests d’intrusion 

Un pentest est une méthode d’évaluation (« audit », en anglais) de la sécurité d’un système d’information.  ou d’un réseau informatique. 

C’est une technique qui consiste à analyser une cible en se comportant comme un pirate informatique.

Services cyber
Infrastructure Externe

Infrastructure Externe

Ce test simule une attaque sur une infrastructure informatique accessible depuis Internet. L’objectif d’un tel test est d’identifier les vulnérabilités des mesures de sécurité implémentées au niveau du réseau et du système d’exploitation des systèmes connectés à Internet.

  • }Temps moyen nécessaire (Rapport et mgmt inclus) : 2j / 10 IPs
  • À partir de : 1000 € HT / 10 IPs
Infrastructure Interne

Infrastructure Interne

Ce test simule une attaque sur les systèmes du réseau local de l’entreprise et les données sensibles qui y sont stockées. Il s’agit d’une attaque simulée par une personne qui a déjà accédé au réseau interne et qui en connaît les systèmes. Ce test se concentre sur l’identification structurée des vulnérabilités dans un ensemble étendu de systèmes internes. Nous pouvons également tester l’Active Directory pour des failles telles que Kerberoasting ou délégation sans contrainte.

  • }Temps moyen nécessaire (Rapport et mgmt inclus) : 2j / 15 IPs + 2j / Active Directory
  • À partir de : 1000 € HT / 15 IPs + 1000 € HT / Active Directory
Assumed Breach

Assumed breach

Ce test simule la réussite d’un attaquant à s’introduire dans le réseau de l’entreprise (par exemple via un email frauduleux ou une pénétration via une faille de sécurité physique ou informatique). L’objectif sera d’identifier le chemin le plus court permettant de prendre le contrôle de la ressource la plus importante du client (ex. accéder à des données confidentielles). Pour ce faire, nos testeurs identifieront une chaîne de vulnérabilités présentes dans l’infrastructure du client et ainsi les exploiteront pour atteindre l’objectif fixé.

  • }Temps moyen nécessaire : 5j / objectif
  • Nombre d’objectifs recommandés : 2
  • À partir de : 3500 € HT / objectif
Infrastructure industrielle 4.0

Infrastructure industrielle 4.0 (ICS)

Les infrastructures critiques et les systèmes industriels dépendent de plus en plus de l’informatique, introduisant de nouvelles menaces dans les systèmes SCADA. Hackmosphere aide les organisations à évaluer et tester le réseau OT grâce à des tests de sécurité passifs et actifs, qui sont ensuite comparées au niveau de sécurité souhaité.

Au cours des tests passifs, nous revoyons par exemple la configuration de l’architecture en place, les contrôles d’accès physiques ou le process de management des mises-à-jour.

Les tests actifs comprennent des tests de pénétration de l’infrastructure informatique interne, des hôtes à double appartenance (IT & OT) et de l’infrastructure ICS. L’infrastructure ICS est testée avec des actions très limitées afin de s’assurer de ne pas perturber ces environnements hautement sensibles.

  • }Temps moyen nécessaire (Rapport et mgmt inclus) : 12j / site
  • À partir de : 6000 € HT / site
Test de sécurité des application web

Test de sécurité des applications web 

Lors de ce test, nous analysons les vulnérabilités des applications en nous basant sur l’OWASP Top 10, telles que l’injection SQL, le Cross-site Scripting (XSS), la validation des entrées utilisateurs et les interfaces de gestion vulnérables. Nous proposons plusieurs types de tests applicatifs.

Black box

Simule une attaque du point de vue d’un utilisateur non-autorisé. Les fonctions accessibles une fois connecté ne peuvent généralement pas être testées.

  • }Temps moyen nécessaire (Rapport et mgmt inclus) : 3.5j / app
  • À partir de : 1750 € HT / app

Grey box

Simule une attaque du point de vue d’un utilisateur autorisé et non-autorisé. Ces tests impliquent l’utilisation de comptes spécifiquement fournis, dans l’objectif d’identifier des vulnérabilités concernant la logique d’application, telles que la vérification de l’accès non autorisé aux informations d’autres utilisateurs.

  • }Temps moyen nécessaire (Rapport et mgmt inclus) : 6j / app
  • À partir de : 3000 € HT / app
Test de sécurité des applications mobiles

Test de sécurité des applications mobiles (grey box)

Ce test vise la sécurité des applications mobiles sur smartphones et tablettes, concernant la communication entre l’application (mobile) sur smartphone / tablette et l’environnement applicatif back-end. Dans cet objectif, nous ferons un test de sécurité d’application spécifique pour le back-end et un test de sécurité de code source pour l’application.

  • }Temps moyen nécessaire (Rapport et mgmt inclus) : 6j / app
  • À partir de : 3000 € HT / app
Test de sécurité wi-fi

Test de sécurité Wi-Fi

Un test de sécurité Wi-Fi simule une attaque sur un réseau sans fil. Nous entrerons sur un ou plusieurs sites avec un ordinateur portable spécialement préparé afin d’identifier les vulnérabilités de la technologie Wi-Fi en place, à plusieurs points stratégiques si nécessaire.

  • }Temps moyen nécessaire (Rapport et mgmt inclus) : 2j / AP
  • À partir de : 1000 € HT / app
Test de robustesse et complexité du mot de passe

Test de robustesse et complexité du mot de passe

Lors de ce test, nous évaluons la robustesse des mots de passe importants que les utilisateurs finaux ont pu choisir. Pour effectuer ce test, nous coopérons étroitement avec le client pour obtenir un extrait des hashs de mots de passe des utilisateurs sélectionnés. Nous essayons ensuite de « cracker » ces hashs, donnant ainsi un aperçu des mots de passe choisis et des statistiques associées (par exemple, définir combien de mots de passe peuvent être devinés en un temps défini).

  • }Temps moyen nécessaire : 3j / 500 password hashes
  • À partir de : 1500 € HT / 500 password hashes