Nos tests d’intrusion suivent une démarche projet commune et bénéficient de phases techniques spécifiques aux périmètres testés : test d’intrusion sur les infrastructures depuis Internet, test d’intrusion sur le système d’information depuis le réseau local ou depuis un point du réseau étendu, infrastructures téléphoniques, réseaux sans fil…
Ces prestations aboutissent à la rédaction de livrables clairs et didactiques, où les opérations menées sont indiquées en toute transparence.
Ces mêmes rapports techniques sont utilisés comme document de travail lorsque nous formons nos clients à l’issue de leur test d’intrusion :
Ils peuvent ainsi vérifier eux-même l’application des correctifs et améliorer leurs connaissances des problématiques techniques spécifiques à leur périmètre.
Nos audits de sécurité suivent dans la démarche les standards du marché (ISO 27001 et 27002 notamment), toutefois les livrables sont hautement personnalisables et seront totalement adaptés au contexte de l’audit :
audit de sécurité d’une entreprise récemment acquise avant de la connecter à votre réseau étendu
audit de sécurité général en vue de préparation d'un schéma directeur sécurité
audit de sécurité macroscopique dans le cadre de la préparation d’un PRA.
Toutes ces prestations sont réalisées par du personnel intervenant également sur des projets d’intégration d’architectures sécurisées. Ceci vous procure de nombreux avantages :
Connaitre les techniques de défense permet d’affiner les techniques d’attaques et l’analyse des résultats.
Pour auditer efficacement un équipement, il faut savoir l’installer.
Nos recommandations sont pertinentes car nos experts ont l’expérience de la mise en œuvre des plans d’actions et connaissent les solutions que vous utilisez.
Notre évaluation de la sécurité technique en est plus pragmatique.
Aujourd'hui, vous pouvez bénéficier d'une expérience issue de plusieurs milliers de tests d’intrusion depuis la création d'Intrinsec.
|
Zoom sur nos métiers de la sécurité informatique...
Mesurer et se mesurer à son Système d'Information pour se prémunir
|
|
L’équipe d’ingénieurs en sécurité informatique d’Intrinsec est un pôle très spécialisé au sein de notre société. Composée d’une dizaine de collaborateurs à fort potentiel, ils sont garants de nos propres infrastructures, pour la sécurité des clients hébergés auxquels nous offrons un service haut de gamme, et réalisent aussi des prestations de sécurité informatique pure auprès de sociétés qui nous témoignent leur confiance.
À cette fin, nous nous dotons des meilleurs profils en la matière sur le marché. Lors de leur recrutement, un véritable état d’esprit est exigé par les plus anciens qui ont fait la notoriété d’Intrinsec à ses débuts.
|
Une vraie capacité à se mettre dans la peau d’un pirate informatique nourrissant une volonté forte de détourner des systèmes quels qu’ils soient, une grande pro activité dans l’identification d’idées malveillantes, une capacité à se mettre dans la peau d’un mercenaire tout esprit mal tourné et tortueux qu’il ait, à envisager n’importe quelle fraude, escroquerie, falsification, tricherie, voilà les pré-requis pour faire partie de l’équipe des ingénieurs en sécurité informatique d’Intrinsec.
|
Réaction sur incident
|
|
Il peut arriver que l’un de nos ingénieurs en sécurité informatique soit appelé en urgence parce qu’une intrusion a été détectée sur son système, c’est en général l’état d’urgence, il faut réagir immédiatement, le week-end, la nuit, n’importe quand, pour collecter des preuves, diagnostiquer l’événement et sa cause, et mettre le client en relation avec les autorités compétentes pour l’aider à faire ses démarches, porter plainte par exemple.
Pour une attaque virale, l’ingénieur en sécurité informatique fait un état des lieux, cantonne la diffusion, nettoie le système et essaie de remettre globalement les systèmes en route.
|
Il recherche ensuite de quelle manière le virus a réussi à pénétrer. Cette dernière action est primordiale puisqu’elle permet parfois de mettre en lumière un problème organisationnel interne.
Si réagir s’avère parfois nécessaire, prévenir ce type d’incidents, et aider un client à se prémunir contre toute malveillance potentielle visant son système d'information reste la mission principale d’un ingénieur de notre équipe.
|
|
|
|
Un audit de sécurité informatique est une démarche collaborative entre notre ingénieur en sécurité informatique et les différents acteurs de la société auditée, un partage des connaissances : lui, apporte son expertise en matière de sécurisation du système d'information et de processus de gestion de la sécurité informatique, eux, le contexte métier spécifique et la stratégie en matière de sécurité informatique de la société. La démarche s’adapte à la taille, à la complexité, au métier de l’entreprise tout en s’appuyant sur les normes ISO 27001 et 27002. Au regard de tous ces éléments, l’ingénieur en sécurité informatique construit un référentiel de bonnes pratiques couvrant les aspects : gestion du contrôle d'accès, des incidents de sécurité informatique, du maintien en conditions opérationnelles, de la continuité de service, de l'exploitation courante, des télécommunications, de la gestion des biens, de la conformité légale (propriété intellectuelle, de la vie privée…) etc...
Suite aux entretiens et aux sessions de travail qu’il organise, l’ingénieur en sécurité informatique confronte les pratiques du client vis-à-vis du référentiel préalablement établi. En parallèle l’ingénieur réalise un audit technique visant à :
- analyser toutes les strates du système d'information depuis l’architecture jusqu’aux éléments de configuration,
- mettre en avant les écarts entre d’une part : les informations collectées lors des entretiens et leur réalité sur le système d'information, d’autre part entre les pratiques de la société en matière de sécurité informatique et ce que l’on constate de l’état de l’art.
|
Un état des lieux (forces et faiblesses) de l’existant en termes de sécurité informatique est réalisé, ainsi qu’un ensemble de préconisations structurées dans un schéma directeur mettant en évidence des « Quick Wins » (chantier d’améliorations très court terme à forte valeur ajoutée), des travaux à court, moyen et long terme, et tenant compte des priorités, des budgets alloués. L’ingénieur analyse le contexte de son intervention et prend en compte les projets connexes et structurants dans sa démarche d’audit (par exemple : une démarche ITIL, un plan de reprise d’activité, un projet d’externalisation, …).
En back office nos ingénieurs maintiennent un niveau de compétence perpétuellement à jour sur l’ensemble des problématiques de sécurité informatique, une veille technologique dont nos clients sont les bénéficiaires directs.
En outre, le collaborateur Intrinsec s’efforce lors de sa mission à sensibiliser l’ensemble des acteurs rencontrés et à véhiculer les idées, les valeurs et la démarche de sécurité informatique qui est celle de l’entreprise, afin de créer l’adhésion et rendre son action bénéfique et efficace.
|
|
|
|
Beaucoup plus démonstratif que l’audit de sécurité informatique, le test d'intrusion est un autre vecteur de sensibilisation. Lorsque notre ingénieur œuvre en interne chez un client sur de l’écoute téléphonique par exemple, et qu’il remet 3 fichiers mp3 d’une conversation entre la direction sur site, et un autre directeur informatique à l’étranger, bien sûr ça ne fait pas plaisir, mais le message est fort. Lorsqu’il accède aux e-mails d’un VIP ou d’un DSI en passant simplement par le web, c’est très démonstratif aussi.
Les campagnes de test d'intrusion constituent un autre volet du travail de l’équipe des ingénieurs en sécurité informatique d’Intrinsec. Le succès de ces campagnes réside dans la capacité des ingénieurs en sécurité informatiqueà se positionner dans la peau d’un attaquant. Ils utilisent exactement les mêmes méthodes et techniques qu’un pirate informatique, mais dans un cadre complètement légal puisqu’ils sont mandatés par les entreprises pour soumettre un système (ou un périmètre) à un certain niveau d’attaque durant un certain temps.
On parle d’un niveau d’attaque pour faire référence en réalité à la dangerosité d’un attaquant qui peut être un informaticien lambda plus ou moins expert, comme un mercenaire qui a du temps et beaucoup d’argent à consacrer à l’opération. On parle aussi du temps consacré au test, c’est en effet un paramètre structurant en raison du fait qu’un bon nombre d’attaques soit limité par le temps qu’on y consacre.
4 types de test peuvent être réalisés :
Le test d'intrusion Internet : L’ingénieur en sécurité informatique tente de pénétrer l’infrastructure depuis le réseau Internet, il peut être n’importe où et attaquer le système sur son périmètre exposé à l’extérieur : applications web, serveurs de mails, etc...
Le test d'intrusion interne : Ce test couvre le potentiel de malveillance d’un utilisateur en interne, un ‘intruder’. L’ingénieur en sécurité informatique s’assimile à un pirate qui rentre dans les locaux ou un utilisateur malveillant et se connecte à l’infrastructure. L’ingénieur va référencer tout ce qu’il est capable de faire après s’être connecté. S’il arrive à rentrer en profondeur dans l’infrastructure, il évalue son potentiel de rayonnement dans l’infrastructure.
Les tests d'intrusion sur les réseaux sans fil : L’ingénieur cherche tous les réseaux visibles, évalue sa capacité à s’introduire sur le réseau, celle d’avancer plus avant dans l’infrastructure, et à dégrader son niveau de sécurité. À l’insu des utilisateurs il tente de forcer leur connexion à un réseau sous son contrôle. Après avoir testé toutes ces intrusions, il dresse une liste des types/criticités des données qu’il est capable d’intercepter.
Les tests d'intrusion sur les infrastructures télécom : L’ingénieur passe par les réseaux téléphoniques ; modems de maintenance, serveurs téléphoniques pour s’assurer qu’ils ne représentent pas des points d’entrées directes contournant le périmètre de défense.
|
Il y a 3 différentes approches correspondantes au niveau de connaissance du système d'information que l’on donne à l’ingénieur en charge des tests, selon qu’on veuille simuler le potentiel d’un attaquant : qui n’a aucune information concernant la société, qui a obtenu des informations de la part d’un ‘insider’ ou qui possède une bonne connaissance de la structure.
Boite noire : L’ingénieur n’a que le nom de la société. Il consacre un certain temps à la collecte d’informations sur Internet afin trouver des équipements, des noms d’utilisateurs, etc. lui permettant de s’introduire sur l’infrastructure. Lorsqu’il est capable de définir un périmètre potentiel pour réaliser ses attaques, il le valide avec son client, car il a un cadre légal à respecter et ne peut pas prendre l’initiative d’attaquer sans l’accord de ce dernier.
Boîte grise : L’ingénieur en sécurité informatique possède quelques informations, l’adresse d’un site par exemple.
Boîte blanche : Le client fournit à l’ingénieur en sécurité informatique les schémas d’infrastructure afin qu’il détermine toutes les relations entre les équipements et qu’il comprenne rapidement quels scénarii d’intrusion sont intéressants.
Quand l’ingénieur en charge des tests sait s’introduire sur l’infrastructure, celui-ci ne se contente pas de dresser une liste des failles du SI. Il émet des recommandations et préconise des actions concrètes de sécurisation.
Il n’est pas rare de trouver des vulnérabilités liées à la conception ou au développement des applications web : les sites de vente en ligne par exemple. Un individu malveillant peut réussir à accéder et exploiter des fichiers qui ne sont pas censés être visibles par l’utilisateur. Il peut aussi détecter des failles dans le wokflow de l’application : se connecter au site, faire sa recherche, ajouter des produits à son panier, renseigner son identité, mais déclencher la livraison et se faire livrer, en contournant l’étape de paiement. Pour détecter ce type de failles l’ingénieur doit posséder une bonne compréhension des processus métiers supportés par les applications, il doit déterminer les zones applicatives critiques, détecter les fonctionnalités qui présentent un intérêt en termes de malveillance financière par exemple, construire des scénarii combinant vulnérabilités techniques et contournement de workflow. L’exemple de la vente en ligne, est un exemple parmi d’autre, mais le problème se pose aussi pour les sites de vote en ligne, de gestion documentaire, des extranets, des sites institutionnels, etc…
1995, Intrinsec lance les tests d'intrusion :
Archives 01Informatique
|
Notre blog d'expertise en sécurité informatique :
Carnet sécurité d'Intrinsec
Le Blog
