" Tests d intrusion» Marc Behar - Frederic Charpentier XMCO - Partners



Documents pareils
Les risques HERVE SCHAUER HSC

Atelier Sécurité / OSSIR


TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

Indicateur et tableau de bord

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

La sécurité applicative et les tests d'intrusion, beaucoup plus qu'un scan automatisé. Conférence ASIQ, mars 2014

Panorama général des normes et outils d audit. François VERGEZ AFAI

Catalogue Audit «Test Intrusion»

CATALOGUE DES FORMATIONS SECURITE INFORMATIQUE

Projet Sécurité des SI

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

La sécurité applicative

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Le service d audit de vunérabilité de Qualys recommandé par la rédaction de 01 Réseaux

Vulnérabilités et sécurisation des applications Web

Réseau - Sécurité - Métrologie - Data Center. Le leader du marché allemand des UTM débarque en France avec des arguments forts!

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

La Sécurité des Données en Environnement DataCenter

Découvrir les vulnérabilités au sein des applications Web

Sécurité Informatique : Metasploit

L Actu Sécurité n 5. Des vacances bluetooth pour un pieds toujours au bureau...

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Fiche de poste. Ingénieur systèmes Microsoft. Auteur : Pascal GUY Paris, le 16 mai 2011

< <

L'infonuagique, les opportunités et les risques v.1

Sécurité des Systèmes d Information Une politique simple pour parler à la Direction Générale De la théorie à la pratique

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

INTRUSION SUR INTERNET

Eliminer les risques liés aux failles de sécurité dans les applications Web avec Rational AppScan. Kamel Moulaoui

Sécurité du cloud computing

Homologation ARJEL : Retour d expérience

Etat des lieux sur la sécurité de la VoIP

TUNIS LE : 20, 21, 22 JUIN 2006

S Catalogue des Formations Sécurité. Présentation. Menu. Présentation P.2 Nos formations P.3 Modalités P.9 Bulletin d inscription P.

INTÉGRATEUR RÉSEAU ET SÉCURITÉ. IT Services : «L engagement de résultat» CONSEIL AUDIT INTÉGRATION SUPPORT TECHNIQUE SERVICES MANAGÉS

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

am2i» est une société Guyanaise spécialisée dans la prestation de services informatiques aux entreprises.

dans un contexte d infogérance J-François MAHE Gie GIPS

Constat. Nicole DAUSQUE, CNRS/UREC

Sécurisation d un site nucléaire

Véhicule Connecté et Cybersécurité. Antoine BOULANGER Ingénieur cybersécurité Direction Recherche et Ingénierie Avancée

«Sécurisation des données hébergées dans les SGBD»

Présenté par : Mlle A.DIB

L Actu Sécurité n 3. Depuis, de nombreuses spécialités. applicatifs, la maîtrise d'ouvrage sécurité, les PKI, les audits organisationnels, etc.

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Dr. Ala eddine BAROUNI

Sécurité des applications Retour d'expérience

Revue de code Sécuritéou Test d Intrusion Applicatif. Quel est le plus efficace pour évaluer un niveau de sécurité applicatif?

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

face à la sinistralité

Tutoriel sur Retina Network Security Scanner

Excellence. Technicité. Sagesse

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Introduction sur les risques avec l'informatique «industrielle»

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Consulter notre site : Network Telecom Security Solutions. en partenariat technique avec

ISO conformité, oui. Certification?

Sécurité des réseaux Les attaques

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

DOSSIER DE PRESSE. LEXSI.COM. Contacts presse : OXYGEN Tatiana GRAFFEUIL Audrey SLIWINSKI

Virtualisation et Sécurité

Détection d'intrusions et analyse forensique

Montrer que la gestion des risques en sécurité de l information est liée au métier

Mise en œuvre de la certification ISO 27001

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Orange Business Services. Direction de la sécurité. De l utilisation de la supervision de sécurité en Cyber-Defense? JSSI 2011 Stéphane Sciacco

La sécurité IT - Une précaution vitale pour votre entreprise

Comment choisir la solution de gestion des vulnérabilités qui vous convient?

I. Description de la solution cible

PASSI Un label d exigence et de confiance?

Vers un nouveau modèle de sécurité

Trois Certificats d Etudes Spécialisées pour certifier vos compétences dans nos écoles d ingénieurs et accéder aux métiers de la cybersécurité :

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

CATALOGUE DE FORMATION

Sécurité des Postes Clients

Malveillances Téléphoniques

Logiciels libres et sécurité

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Mettre en oeuvre l authentification forte. Alain ROUX Consultant sécurité

Master Sécurité des Systèmes Informatiques

Sécurité des systèmes informatiques Introduction

APPEL D OFFRES PRESTATION COORDINATEUR-EXPERT TESTS DE PERFORMANCES DSI PAP DOCUMENT DE CONSULTATION 25 AVRIL 2014

Audits de sécurité, supervision en continu Renaud Deraison

Rappels réseaux TCP/IP

Retour d expérience sur Prelude

THEORIE ET CAS PRATIQUES

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Transcription:

" Tests d intrusion» Marc Behar - Frederic Charpentier XMCO - Partners 56

Retour d expériences Page 57 Le test d intrusion et les idées reçues Le test d intrusion et les autres solutions d audit Différents type de tests d'intrusion, Différentes failles Les aspects managériaux Comment réussir un projet de test d intrusion? 57

Qu est-ce qu un test d intrusion? Page 58 + Recherche des failles de sécurité sur un périmètre défini + Démonstration de façon maîtrisée de l'impact réel des failles découvertes + Recommandations techniques pour corriger. 58

Les idées reçues et les mythes Page 59 Le test d'intrusion cible les firewalls et les routeurs Les tests d'intrusion sont réalisés par d'anciens hackers incontrôlables Je fais mes tests d'intrusion avec Nessus ou Qualys Notre firewall fait aussi IPS : nous bloquons les attaques 59

Retour d expériences Page 60 Le test d intrusion et les idées reçues Le test d intrusion et les autres solutions d audit Différents type de tests d'intrusion, Différentes failles Les aspects managériaux Comment réussir un projet de test d intrusion 60

Les audits de sécurité L audit de sécurité - Recherche de failles en profondeur - Analyse des configurations - Intègre les aspects organisationnel - ISO 17799/27001, EBIOS, SOX, - Projet de 10 à 30 jours 61

Les scanners de vulnérabilités Les scanners de vulnérabilités - Des outils d évaluation - Limité aux failles connues - Difficulté d interprétation - Faux-positifs - Ne s adapte pas au contexte - Ne recherche pas en profondeur - Requiert un expert pour interpréter et approfondir - Non maitrisé (effets de bord, ) - Nessus, Qualys, Criston, ISS, GFI 62

Les tests d intrusion Le tests d intrusion - Démonstration d exploitation réelle - Risques pratiques et non théoriques QuickTime et un décompresseur codec YUV420 sont requis pour visionner cette image. - Réalité des attaques - Résultats interprétés et didactiques - Projet de 5 à 10 jours 63

Le tests d intrusion comme compromis 64

Retour d expériences Page 65 Le test d intrusion et les idées reçues Le test d intrusion et les autres solutions d audit Différents types de tests d'intrusion, Différents types de failles Les aspects managériaux Comment réussir un projet de test d intrusion 65

Les tests d intrusion externes WAN Failles les + courantes : Ports ouverts, interfaces d administration, mauvaises configurations, failles IIS 66

Les tests d intrusion internes LAN Failles les + courantes : Failles Microsoft RPC, Failles Solaris, Null-Sessions, Mots de passe faibles 67

Les tests d intrusion applicatifs Failles les + courantes : SQL Injection, Cross-Site Scripting, Tampering, Authorization bypass, 68

Retour d expériences Page 69 Le test d intrusion et les idées reçues Le test d intrusion et les autres solutions d audit Différents type de tests d'intrusion, Différentes failles Les aspects managériaux Comment réussir un projet de test d intrusion 69

Les aspects managériaux Page 70 Le test d intrusion peut répondre à des besoins parfois très différents Evaluation concrète d une plateforme ou d un SI Sensibilisation de la direction ou des équipes aux risques informatiques Démystification des attaques Un outil pour la conduite du changement L intrusion informatique ne différencie pas la «prod», du «réseau» ou des «études» : une faille de sécurité met souvent en jeux plusieurs aspects. Les compétences sécurité sont souvent diluées et cloisonnées. Les tests au sein du processus de développement? La sécurité comme élément du processus qualité 70

Retour d expériences Page 71 Le test d intrusion et les idées reçues Le test d intrusion et les autres solutions d audit Différents type de tests d'intrusion, Différentes failles Les aspects managériaux Comment réussir un projet de test d intrusion? 71

Réussir un projet de test d intrusion Page 72 Le choix du prestataire Sérieux, profils «ingénieur», qualité des livrables, références La définition d un périmètre réaliste Les plages d adresses IP (pas uniquement le firewall), URLs et des comptes de démo. La charge de travail Coté client : Communiquer en interne sur les tests et le suivi des recommandations Coté auditeur : 5 à 10 jours Les aspects contractuels Accord de confidentialité et autorisation des tierces parties. Diviser pour régner 2 tests d intrusion espacés dans le temps valent mieux qu un grand test «one-shot». 72

Page 73 Retour d expériences 73

Merci de votre attention Questions / Réponses mbehar@xmcopartners.com fcharpentier@xmcopartners.com 74

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back