Offre Mission PEN-TESTING (Tests de Pénétration)



Documents pareils
Figure 1a. Réseau intranet avec pare feu et NAT.

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

CATALOGUE DES FORMATIONS SECURITE INFORMATIQUE

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

Audits Sécurité. Des architectures complexes

SECURIDAY 2012 Pro Edition

Cours de sécurité. Pare-feux ( Firewalls ) Gérard Florin -CNAM - - Laboratoire CEDRIC -

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Protection pour site web Sucuri d HostPapa

Fiche Technique. Cisco Security Agent

GENERALITES. COURS TCP/IP Niveau 1

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Tutoriel sur Retina Network Security Scanner

INTRUSION SUR INTERNET

Les risques HERVE SCHAUER HSC

Une nouvelle approche globale de la sécurité des réseaux d entreprises

Bibliographie. Gestion des risques

Panorama général des normes et outils d audit. François VERGEZ AFAI

Sécurité des réseaux Les attaques

Surveillance stratégique des programmes malveillants avec Nessus, PVS et LCE

Des passionnés et des curieux avec un regard avisé et exigeant sur :

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

Indicateur et tableau de bord

Licence Pro ASUR Supervision Mai 2013

CATALOGUE DE FORMATION

Topologies et Outils d Alertesd

SOMMAIRE : CONFIGURATION RESEAU SOUS WINDOWS... 2 INSTRUCTIONS DE TEST DE CONNECTIVITE... 5

Notions de sécurités en informatique

Table des matières. Avant-propos... Préface... XIII. Remerciements...

Lyon, mardi 10 décembre 2002! "#$%&"'"# &(

IPS : Corrélation de vulnérabilités et Prévention des menaces

IBM Tivoli Compliance Insight Manager

La sécurité informatique

Charte d installation des réseaux sans-fils à l INSA de Lyon

SUPINFO Academic Dept.

1/ Introduction. 2/ Schéma du réseau

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Sécurité des réseaux Firewalls

PHISHING/PHARMING. Les Nouvelles Techniques qui portent atteinte à l intégrité des S.I

Atelier Sécurité / OSSIR

Fiche technique: Sécurité des terminaux Symantec Endpoint Protection La nouvelle technologie antivirus de Symantec

LIVRE BLANC. Mise en œuvre d un programme efficace de gestion des vulnérabilités

Détection d'intrusions et analyse forensique

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)

NOMADES ET SMARTPHONES EN ENTREPRISE EN TOUTE SÉCURITÉ PAR BERTRAND THOMAS ET JULIEN COULET

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

Nmap (Network Mapper) Outil d exploration réseau et scanneur de ports/sécurité

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

GFI LANguard Network Security Scanner 6. Manuel. Par GFI Software Ltd.

Administration réseau Firewall

Présentation du modèle OSI(Open Systems Interconnection)

Sécurité des Réseaux et d internet. Yves Laloum

Sécurité des systèmes informatiques Introduction

Parcours en deuxième année

Formation en Sécurité Informatique

Symantec MessageLabs Web Security.cloud

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Présentation et portée du cours : CCNA Exploration v4.0

Présentation et portée du cours : CCNA Exploration v4.0

GESTION DES INCIDENTS DE SÉCURITÉ DE L INFORMATION

Les tests d intrusion dans les réseaux Internet, l outil Nessus

Surveillance de la sécurité basée sur les résultats dans un contexte de surveillance continue

Fiche descriptive de module

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Sécurisation du centre de services au sein du cloud computing La stratégie de sécurité de BMC pour l environnement SaaS LIVRE BLANC

Test d un système de détection d intrusions réseaux (NIDS)

Constat. Nicole DAUSQUE, CNRS/UREC

Gestion des mises à jour logicielles

Firewall Net Integrator Vue d ensemble

Master Sécurité des Systèmes Informatiques

La sécurité périmètrique multi-niveaux. Un white paper de Daniel Fages CTO ARKOON Network Security

Routeur VPN Wireless-N Cisco RV215W

Retour d expérience sur Prelude

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Projet Sécurité des SI

Du 23 Janvier au 3 Février2012 Tunis (Tunisie)

RÉCAPITULATIF DES ENJEUX ET DE LA MISE EN PLACE POLITIQUE DE SÉCURITÉ DANS UN RÉSEAU

Progressons vers l internet de demain

FORMATION PROFESSIONNELLE AU HACKING

SOLUTIONS DE SECURITE DU DOCUMENT DES SOLUTIONS EPROUVEES POUR UNE SECURITE SANS FAILLE DE VOTRE SYSTEME MULTIFONCTIONS SHARP DOCUMENT SOLUTIONS

SÉCURITÉ RÉSEAUX/INTERNET, SYNTHÈSE

Solutions de sécurité des données Websense. Sécurité des données

USERGATE MAIL SERVER. Le serveur de messagerie pour les petites et moyennes entreprises :

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

CASE-LINUX CRÉATION DMZ

Sécurité informatique: introduction

Les systèmes pare-feu (firewall)

Sommaire. Les formations SUPINFO 2

SECURIDAY 2013 Cyber War

Windows Server 2012 R2 Administration avancée - 2 Tomes

Surveillance de réseau : un élément indispensable de la sécurité informatique

Mise en route d'un Routeur/Pare-Feu

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Transcription:

Offre Mission PEN-TESTING (Tests de Pénétration) RWISSI Networking Page 1 CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+

Sommaire I. Le Contexte Technologique...3 II. Qu est ce qu un Pen-Testing?...3 III. Pourquoi commander un Pen-Testing?... 4 IV. Comment intervenons-nous?... 4 A. Phase 1 : Définition de la portée des tests... 5 B. Phase 2 : Réalisation des tests de pénétration... 6 C. Phase 3 : Établissement et diffusion des résultats... 7 V. Pourquoi faire appel à nous?... 7 VI. Notre consultant...8 RWISSI Networking Page 2 CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+

I. Le Contexte Technologique De nos jours, les échanges électroniques sont devenus la clé de réussite de toute organisation.c est ce qui explique le rapide développement du commerce électronique et maintenant de l e-gouvernement ou l eadministration. L ouverture électronique expose les organisations à une nouvelle forme de délinquance et de vandalisme : la criminalité numérique. Pour se protéger et protéger leurs informations clés, les organisations mettent en oeuvre une stratégie de sécurité en implémentant les tous derniers produits et services pour prévenir les fraudes, les actes de vandalisme ou de sabotage et les attaques par déni de service. Dans cette course à la sécurité informatique, la plupart des entreprises ont fortement investi dans des produits et services de sécurité pour protéger leurs réseaux et systèmes d exploitation contre la perte et la destruction malveillante ou accidentelle des services et informations ; La majeure partie d entre elles oublient trop souvent une étape essentielle : vérifier que ces mesures de sécurité sont correctement implémentées et appliquées. Face à des menaces Internet qui se veulent de plus en plus récurrentes et difficilement détectables, le «Pen- Testing» ou tests de pénétration permet aux organisations d expérimenter de manière concrète leur vulnérabilité aux attaques, mais sans en subir les conséquences. II. Qu est ce qu un Pen-Testing? D une manière simple, un test de pénétration (ou analyse de la sécurité, audit des vulnérabilités ou encore analyse des risques techniques) est le processus par lequel sont évaluées les mesures de sécurité et l infrastructure de sécurité par une approche proactive. Le Pen-Testing, en recherchant les faiblesses d un environnement réseau et/ou d un système d information, contribue à affiner la stratégie de sécurité d une entreprise, à en identifier les faiblesses et à vérifier l adéquation de la sécurité mise en oeuvre avec le niveau de sécurité attendue. Les tests mettent également en évidence les faiblesses qui peuvent être introduites après application des correctifs ou des mises à jour, ou à la suite d une mauvaise configuration des serveurs, routeurs et pare-feu. L exécution régulière de ces tests permet aux organisations d identifier les failles de sécurité réseau susceptibles d entraîner la perte partielle ou totale de ses données ou équipements du fait d exploits, de RWISSI Networking Page 3 CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+

chevaux de Troie, d attaques par déni de service ou d autres types d intrusions. III. Pourquoi commander un Pen-Testing? D un point de vu management, une mission de tests de pénétration vous aide à mieux protéger votre entreprise contre les attaques grâce à: La prévention des pertes financières à cause des fraudes (pirates, extorqueur et employées mécontents) ou à cause d un dysfonctionnement d un système ou d un processus. L assurance de la Due Diligence et de la conformité par rapport aux législations en vigueur relatives à votre coeur de métier, aux clients et aussi à vos associés. La non conformité peut avoir comme conséquence la perte des marchés, des lourdes pénalités ou bien même la faillite. La protection de votre image de marque en évitant la perte de confiance de vos clients et de votre réputation dans le domaine. D un point de vu opérationnel, une mission de tests de pénétration vous aide à optimiser votre stratégie de sécurité de l information grâce à: L identification des vulnérabilités et la quantification de leurs impacts et de leur probabilités de survenance pour qu elles soient traitées d une manière proactive; le budget nécessaire sera ainsi prévu et les mesures correctives seront vite implémentées. IV. Comment intervenons-nous? L objectif global d un Pen-Testing est de découvrir les faiblesses de sécurité du réseau de l entreprise que les intrus peuvent exploiter. Différents types de test de pénétration sont nécessaires pour les différents périphériques réseau. Par exemple, le test effectué pour un pare-feu sera différent de celui effectué pour l ordinateur d un utilisateur standard. Même le test de pénétration des périphériques situés dans la zone démilitarisée (DMZ) diffère d une analyse visant à déterminer les points d une possible pénétration réseau. Le processus de test se décompose essentiellement en trois phases : - Définition de la portée des tests RWISSI Networking Page 4 CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+

- Réalisation des tests de pénétration - Établissement et diffusion des résultats A. Phase 1 : Définition de la portée des tests La portée d un test de pénétration est déterminée en fonction de l importance des données situées sur la machine à tester et des besoins de connectivité à un service donné. Au cours de cette phase, l entreprise joue un rôle majeur. Test intégral ou ciblé L organisation doit décider si elle souhaite effectuer un test intégral du réseau ou un test ciblé sur certains périphériques uniquement, comme le pare-feu, ou les deux. Nous conseillons généralement de procéder aux deux tests pour déterminer le degré d exposition à l infrastructure publique, ainsi que la sécurité des différentes cibles. Parmi les cibles à prendre en compte, on peut citer les pare-feu, les routeurs, les Serveurs Web, les serveurs de messagerie, les serveurs FTP (File Transfer Protocol) et les serveurs DNS (Domain-Name-System, Système de noms de domaine). Périphériques, systèmes et mots de passe L organisation doit également choisir le type de test à effectuer. Par exemple, recherche t-elle uniquement les faiblesses pouvant entraîner l altération d un périphérique ou souhaite-t-elle également connaître les possibilités d attaques par déni de service? Par ailleurs, l organisation doit déterminer si elle nous autorise à intervenir sur son fichier de mots de passe pour tester le choix des mots de passe par les utilisateurs, et si elle accepte de laisser ses périphériques faire l objet d un piratage de ses mots de passe sur le réseau. Test local ou distant L organisation doit ensuite décider si les tests seront effectués à distance via Internet ou sur site via le réseau local. Cette décision dépend très largement des cibles à tester et des mesures de sécurité existantes. Par exemple, le test distant d une machine située derrière un pare-feu masquant une traduction d adresses réseau pour l accès à Internet échouera si le pare-feu bloque correctement l accès à cette machine. RWISSI Networking Page 5 CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+

B. Phase 2 : Réalisation des tests de pénétration Le processus de test débute par la collecte du maximum d informations possible sur l architecture réseau, la topologie et le matériel et les logiciels employés, pour permettre l identification de toutes les faiblesses de sécurité. La recherche d informations publiques, telles que les enregistrements Whois, les dossiers de la U.S. Securities Exchange Commission (SEC), les articles de presse relatifs aux sociétés, les brevets et les marques commerciales, nous offre non seulement des informations générales mais leur permet également d identifier les informations que peuvent exploiter les pirates pour trouver des faiblesses. Des outils comme l utilitaire ping, Traceroute ou nslookup peuvent être employés pour récupérer des informations de l environnement cible et déterminer l architecture, la topologie réseau, ainsi que le fournisseur d accès. Des outils comme les scanneurs de ports, NMAP (Network Mapping), SNMP (Simple Network Management Protocol) et NAT (NetBios Auditing Tool), permettent de déterminer le matériel, les systèmes d exploitation, les niveaux de correction et les services exécutés sur chaque périphérique cible. Après avoir collecté des informations sur l ensemble des cibles, l équipe exploite ces informations pour configurer des outils d analyse commerciaux, comme Internet Security Systems Internet Scanner, le scanner CyberCop de McAfee et des freewares comme Nessus et Satan, pour rechercher les faiblesses. L utilisation de ces outils gratuits et payants accélère sensiblement le processus d analyse. Au terme de l analyse de vulnérabilité, les faux positifs et négatifs sont recherchés dans les résultats. Toutes les faiblesses susceptibles de constituer une faille sont réexaminées à l aide d autres outils ou de scripts personnalisés. Pour rechercher de nouvelles faiblesses non mises à jour dans les scanneurs des utilitaires payants ou gratuits, nous effectuons d autres tests et exécutons les tous derniers exploits. Cette dernière étape est nécessaire car de nouveaux exploits apparaissent tous les jours et qu il peut s écouler des semaines, voire des mois avant que ces faiblesses ne soient insérées dans les bases de données de signatures de ces outils d analyse automatisés. Une fois l analyse terminée, nous recherchons d autres points des tests de pénétration comme les faiblesses des mots de passe et les attaques par déni de service. Pour détecter de telles attaques dans un environnement de production sans arrêter le périphérique analysé, une entreprise peut créer un doublon du périphérique et placer l image miroir sur un poste similaire en vue du test. RWISSI Networking Page 6 CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+

C. Phase 3 : Établissement et diffusion des résultats Une fois les tests de pénétration effectués, nous procédons à une analyse de toutes les informations obtenues. Ensuite, nous répertorions et classons les faiblesses, organisons les risques en risques élevés, moyens ou faibles, et proposons des correctifs en cas de faiblesses. Le rapport final se décompose généralement comme suit : Un rapport de synthèse récapitulant les résultats des tests de pénétration et fournissant des informations sur les forces et faiblesses du système de sécurité en place. Les points clés des résultats de ces tests sont également indiqués. Un rapport technique plus détaillé des résultats, qui contient des informations sur les faiblesses de chaque périphérique, la classification des risques et des suggestions de correction, notamment des informations techniques complémentaires sur la manière de réparer chaque vulnérabilité. Des informations complémentaires, comme les résultats bruts du scanneur, des enregistrements Whois, des captures d écran et des schémas, ainsi que les documents RFC et documents techniques correspondants, en annexe. Les résultats de l analyse seront par la suite consolidés dans le rapport STAR (Security Test Audit Report), qui sera remis à l organisation. V. Pourquoi faire appel à nous? Nous possédons le savoir-faire, l expérience et la technologie pour identifier et détecter les faiblesses de sécurité, et apporter des solutions performantes. Notre service d analyse de sécurité, s appuie sur des méthodologies et des outils éprouvés pour détecter les faiblesses des réseaux et pour proposer les réparations ou corrections nécessaires, le cas échéant. En outre, nous possédons en interne des ressources hautement qualifiées et certifiées pour mener à bien les missions de Pen-Testing RWISSI Networking Page 7 CEH, MCSE 2003 Security, CHFI, ITIL, CCNA, LPI, ANSI, Security+

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back