TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME
Vo t r e s p e a k e r a u j o u r d h u i : F r a n ç o i s W e b S e c u r i t y M a n a g e r
Agenda Partie 1: Introduction aux Tests d intrusion Pa rtie 2: Procédures de tests Pa rtie 3: Rapport de test et recommandations Pa rtie 4: Ai-je besoin d un Test d intrusion?
PARTIE 1 I ntroduction aux Tests d intrusion Q u e s t ce q u u n Te s t d i n t r u s i o n? Te s t a u t o m a t i s é e t t e s t m a n u e l N o s t e s t e u r s Po u r q u o i f a i r e u n Te s t d i n t r u s i o n? C o m m e n t s a v o i r si j a i é t é h a c k é?
QU EST-CE QU UN TEST D INTRUSION? Évaluation de la vulnérabilité Réalisé dans des conditions réelles, en suivant les mêmes procédures qu un hacker. Hacking éthique Périmètre de travail prédéfini, sans risques de dommages sur votre infrastructure. Objectifs Renforcer la sécurité de votre système informatique en évaluant les risques de piratage à tous les niveaux. Faire tester la vulnérabilité de votre infrastructure par des experts accrédités CHECK.
TEST AUTOMATIQUE et MANUEL Deux approches différentes et complémentaires Les tests automatiques Un fonctionnement en continu Des algorithmes rapides Une solution économique Les tests manuels (tests d intrusion) Une détection proactive des vulnérabilités Une attaque effectuée par une personne physique en situation réelle Une méthodologie qui combine différents outils et techniques Des experts accrédités Le test d intrusion et l analyse des vulnérabilités sont des outils puissants et complémentaires
NOS TESTEURS De multiples accréditations pour nos experts en intrusion: CHECK Certification européenne de haut niveau établie par CESG (Communications-Electronics Security Group) en association avec GCHQ Nécessaire à l évaluation des organismes du secteur public CREST IACRB (Information Assurance Certification Review Board) Le test comprend un examen théorique + examen pratique Pour votre test d intrusion, nous vous recommandons de faire appel à des fournisseurs certifiés ISO 27001 ou 9001, une preuve de qualité mondialement reconnue.
POURQUOI FAIRE UN TEST D INTRUSION? Contrôle de l image de marque et du capital Conformité/ Bonnes pratiques Conformité de l accréditation Les échanges avec des organisations gouvernementales peuvent nécessiter un Test d intrusion Responsabilité des clients et du personnel Maintenir la confiance
COMMENT SAVOIR SI J AI ÉTÉ PIRATÉ? Vous ne pouvez pas le savoir! Mais: Un Test d intrusion est capable d identifier une attaque Des signes peuvent être visibles 97 % des entreprises victimes de failles de sécurité l ignorent Les dangers d une attaque Les dommages liés aux coûts et l impact sur la réputation peuvent être considérables Les données perdues ne peuvent pas toujours être récupérées 3 millions d C est le coût annuel moyen des pertes de données pour une entreprise française 72% des PME souffrant d une perte de données conséquente disparaissent dans les 24 mois Source: IBM and Ponemon report Cost of data breach study 2014
PARTIE 2 Les procédures de Test Q u e t e s t o n s n o u s? C o m m e n t f o n c t i o n n e l e t e s t? É t a p e s p r é a l a b l e s a u t e s t Ty p e s d e t e s t s
QUE TESTONS-NOUS? Test Externe Exploitations à distance / à l extérieur de l entreprise Reproduction d une attaque externe Test Interne Exploitation des vulnérabilités internes à l entreprise Individus présents au sein de l entreprise (personnel, prestataires ) Test des applications web Test des plateformes, administration de la sécurité, escalade des privilèges
QUE TESTONS-NOUS? Nous testons également vos: Applications mobiles Examens de code (code review) Build Reviews Social Engineering (ingénierie sociale) Voiceover IP (VoIP) Structure de réseau Wireless (pas seulement Wi-Fi) 3G Radar Micro-ondes Bluetooth Etc.
COMMENT FONCTIONNE LE TEST? La procédure du test est non invasive et planifiée selon le champ de travail convenu. Pas d attaque par déni de service DoS Différentes méthodologies de test - black box, grey box ou white box Exercice de découverte publique d Open source Repérage des informations pouvant être utilisées par un hacker malveillant lors d une attaque Mise en place du test Délivrance d une note globale de vulnérabilité Nettoyage pour assurer la non interruption du service. Toutes les attaques sont supprimées du serveur pour assurer qu aucune porte d entrée n ait été laissée ouverte
ETAPES PRÉALABLES AU TEST Tout est convenu à l avance Définition du périmètre de travail / questionnaire Attribution d un expert dédié, point de contact technique du client Expert dédié de votre côté Proposition complète incluant : Le périmètre de travail La stratégie de test La méthodologie basée sur les standards CESG CHECK Exemple de rapport Les outils préconnisés pour réhabiliter le système
TYPES DE TESTS Black box Grey box White box Aucune Information fournie avant le test Le test le plus réaliste Simule le scénario d une attaque réelle de hacker, à l aveugle Quelques informations fournies avant le test Accès à des informations partielles telles que les addresses IP, les identifiants utilisateurs Tentatives d escalade des niveaux d accès (utilisateur, administrateur ) Toutes les informations sont fournies avant le test Connaissance des données internes du système cible Informations telles que les diagrammes de réseau, les identifiants de connexion Test précis et rigoureux Simule une attaque en interne / la fuite d informations sensibles
PARTIE 3 Rapport de Test C o n t e n u d u r a p p o r t Re m i s e d u r a p p o r t
RAPPORT DE TEST Les rapports sont structurés en 3 parties 1) Récapitulatif global Principales conclusions ; évaluation des risques Synthèse des mesures correctives Impact sur l entreprise 2) Synthèse technique Evaluation technique Dommages causés sur le système 3) Recommandations de réhabilitation technique détaillées
PARTIE 1: RECAPITULATIF GLOBAL Principales conclusions La liste suivante synthétise les principaux problèmes relevés La politique en terme de mots de passe n est pas conforme Correctifs de sécurité obsolètes Ports laissés ouverts Page de login vulnérable aux cross-site scripting (XSS) et aux attaques d injection SQL Pourrait résulter en une attaque de type man in the middle
PARTIE 2: SYNTHÈSE TECHNIQUE Tableau synthétique des risques (exemple) Au total, 29 vulnérabilités ont été trouvées et documentées.
PARTIE 2: SYNTHÈSE TECHNIQUE Chaque recommandation ou correctif est associé à un niveau d effort qui vous permet d estimer la charge de travail nécessaire à la réparation du système Low: Moderate: High: Jusqu à 1 homme/jour de travail Jusqu à 10 hommes/jour de travail Plus de 10 hommes/jour de travail
PARTIE 2: SYNTHÈSE TECHNIQUE Synthèse détaillée et évaluation du risque (exemple) Injection SQL Impact: High Risque: High Probabilité: High Charge de travail pour réparation: Medium
PARTIE 3: RECOMMANDATIONS TECHNIQUES DÉTAILLÉES Ces recommandations sont conçues pour le personnel technique responsable des correctifs Description des vulnérabilités Genèse de la découverte du problème Exploitation du problème Captures d écran (si appropriées) Correctifs détaillés pour réhabilitation du système
REMISE DU RAPPORT Livraison sécurisée Une clé de décryptage est envoyée sur le mobile du contact fourni Un lien URL de téléchargement et décryptage est envoyé à ce même contact Délai de livraison Sous 2 ou 3 jours après le test La règle est la suivante: la production du rapport prend 50% du temps du Test
PARTIE 4 Mon organisation a -t-elle besoin d un Test d intrusion?
MON ORGANISATION A-T-ELLE BESOIN D UN TEST D INTRUSION? Toutes les entreprises, quelle que soit leur taille peuvent bénéficier d un Test d intrusion Le Test est adapté aux exigences et besoins de votre entreprise Si votre organisation possède une accréditation de qualité, telle que la norme ISO 27001, un test régulier est recommandé afin de conserver l accréditation. Certaines industries manipulent des données sensibles (ex : l industrie financière et médicale). Dans ce cas, les organismes de réglementation exigent la mise en place de tests d intrusion.
MON ORGANISATION A-T-ELLE BESOIN D UN TEST D INTRUSION? Les questions à se poser avant de pratiquer un Test: Quel est l objectif d un Test d intrusion pour mon organisation? Que dois-je tester? Quel doit être le périmètre du Test? Qu est ce que j accepte de faire tester? A quelle fréquence dois-je effectuer un Test d intrusion? A quelle date ai-je effectué un Test pour la dernière fois?
MON ORGANISATION A-T-ELLE BESOIN D UN TEST D INTRUSION? Nos recommandations : Externaliser ce service pour une meilleure qualité et plus de neutralité Choisir un fournisseur avec des accréditations significatives et l expérience de la sécurité web Vous assurer que vous êtes d accord sur la portée du test obtenir un accord signé Vous assurer que vous avez bien un expert dédié pendant la durée du Test d intrusion Obtenir un exemple de rapport de test avant de vous engager Après le test d intrusion, planifier une session de formation pour vos salariés
Questions
Merci de votre attention! Pour une consultation gratuite Envoyez un email à:info@ssl247.fr Appelez le: 03.66.72.95.95 Website: www.ssl247.fr/penetrationtesting