" Tests d intrusion» Marc Behar - Frederic Charpentier XMCO - Partners

Dimension: px

Commencer à balayer dès la page:

Download "" Tests d intrusion» Marc Behar - Frederic Charpentier XMCO - Partners"

François-Xavier Leboeuf
il y a 8 ans
Total affichages :

1 " Tests d intrusion» Marc Behar - Frederic Charpentier XMCO - Partners 56

2 Retour d expériences Page 57 Le test d intrusion et les idées reçues Le test d intrusion et les autres solutions d audit Différents type de tests d'intrusion, Différentes failles Les aspects managériaux Comment réussir un projet de test d intrusion? 57

Différents type de tests d'intrusion, Différentes failles Les

3 Qu est-ce qu un test d intrusion? Page 58 + Recherche des failles de sécurité sur un périmètre défini + Démonstration de façon maîtrisée de l'impact réel des failles découvertes + Recommandations techniques pour corriger. 58

4 Les idées reçues et les mythes Page 59 Le test d'intrusion cible les firewalls et les routeurs Les tests d'intrusion sont réalisés par d'anciens hackers incontrôlables Je fais mes tests d'intrusion avec Nessus ou Qualys Notre firewall fait aussi IPS : nous bloquons les attaques 59

d'anciens hackers incontrôlables Je fais mes tests d'intrusion avec

5 Retour d expériences Page 60 Le test d intrusion et les idées reçues Le test d intrusion et les autres solutions d audit Différents type de tests d'intrusion, Différentes failles Les aspects managériaux Comment réussir un projet de test d intrusion 60

6 Les audits de sécurité L audit de sécurité - Recherche de failles en profondeur - Analyse des configurations - Intègre les aspects organisationnel - ISO 17799/27001, EBIOS, SOX, - Projet de 10 à 30 jours 61

7 Les scanners de vulnérabilités Les scanners de vulnérabilités - Des outils d évaluation - Limité aux failles connues - Difficulté d interprétation - Faux-positifs - Ne s adapte pas au contexte - Ne recherche pas en profondeur - Requiert un expert pour interpréter et approfondir - Non maitrisé (effets de bord, ) - Nessus, Qualys, Criston, ISS, GFI 62

adapte pas au contexte - Ne recherche pas en profondeur - Requiert un expert pour

8 Les tests d intrusion Le tests d intrusion - Démonstration d exploitation réelle - Risques pratiques et non théoriques QuickTime et un décompresseur codec YUV420 sont requis pour visionner cette image. - Réalité des attaques - Résultats interprétés et didactiques - Projet de 5 à 10 jours 63

un décompresseur codec YUV420 sont requis pour visionner cette image.

9 Le tests d intrusion comme compromis 64

10 Retour d expériences Page 65 Le test d intrusion et les idées reçues Le test d intrusion et les autres solutions d audit Différents types de tests d'intrusion, Différents types de failles Les aspects managériaux Comment réussir un projet de test d intrusion 65

Différents types de tests d'intrusion, Différents types de

11 Les tests d intrusion externes WAN Failles les + courantes : Ports ouverts, interfaces d administration, mauvaises configurations, failles IIS 66

12 Les tests d intrusion internes LAN Failles les + courantes : Failles Microsoft RPC, Failles Solaris, Null-Sessions, Mots de passe faibles 67

13 Les tests d intrusion applicatifs Failles les + courantes : SQL Injection, Cross-Site Scripting, Tampering, Authorization bypass, 68

14 Retour d expériences Page 69 Le test d intrusion et les idées reçues Le test d intrusion et les autres solutions d audit Différents type de tests d'intrusion, Différentes failles Les aspects managériaux Comment réussir un projet de test d intrusion 69

15 Les aspects managériaux Page 70 Le test d intrusion peut répondre à des besoins parfois très différents Evaluation concrète d une plateforme ou d un SI Sensibilisation de la direction ou des équipes aux risques informatiques Démystification des attaques Un outil pour la conduite du changement L intrusion informatique ne différencie pas la «prod», du «réseau» ou des «études» : une faille de sécurité met souvent en jeux plusieurs aspects. Les compétences sécurité sont souvent diluées et cloisonnées. Les tests au sein du processus de développement? La sécurité comme élément du processus qualité 70

intrusion informatique ne différencie pas la «prod», du «réseau» ou des «études» : une faille de sécurité met souvent en jeux plusieurs aspects.

16 Retour d expériences Page 71 Le test d intrusion et les idées reçues Le test d intrusion et les autres solutions d audit Différents type de tests d'intrusion, Différentes failles Les aspects managériaux Comment réussir un projet de test d intrusion? 71

17 Réussir un projet de test d intrusion Page 72 Le choix du prestataire Sérieux, profils «ingénieur», qualité des livrables, références La définition d un périmètre réaliste Les plages d adresses IP (pas uniquement le firewall), URLs et des comptes de démo. La charge de travail Coté client : Communiquer en interne sur les tests et le suivi des recommandations Coté auditeur : 5 à 10 jours Les aspects contractuels Accord de confidentialité et autorisation des tierces parties. Diviser pour régner 2 tests d intrusion espacés dans le temps valent mieux qu un grand test «one-shot». 72

La charge de travail Coté client : Communiquer en interne sur les tests et le suivi des recommandations Coté auditeur : 5 à 10 jours Les aspects

18 Page 73 Retour d expériences 73

19 Merci de votre attention Questions / Réponses mbehar@xmcopartners.com fcharpentier@xmcopartners.com 74

Documents pareils

Les risques HERVE SCHAUER HSC

Les risques HERVE SCHAUER HSC HERVE SCHAUER HSC Les risques Les risques ne cessent d'augmenter: Informatisation systématique de l'ensemble de la société Ouverture des systèmes d'information sur Internet Démultiplication de ce qui est