Audit Externe

 

C’est un pentest externe, sur tout ou partie de votre Système d’Information exposé sur Internet. Ce test d’intrusion est généralement réalisé en mode « boîte noire » (blackbox).

    • Services ouverts appartenant au client (SSH, RDP, MySQL, Bucket S3, ElasticSearch…)
    • Sécurité des serveurs web (Apache, Nginx, IIS…)
    • Exploitation de défauts de configuration
    • Recherche de vulnérabilités sur les composants (exploitation de failles connues ou 0day)
      Vecteezy.com

      L’audit est exécuté suivant plusieurs phases

      La reconnaissance passive (consolidation de la surface d’attaque, recueil d’informations)

      La reconnaissance active (identification des services accessibles)

      L’identification et l’exploitation des vulnérabilités

      Détermination de l’impact réel des failles

      Dans quels cas choisir le test d’intrusion externe ?

      Avoir la même vision qu’un attaquant externe.

      S’assurer que les politiques de filtrage et d’accès externes sont implémentées et robustes.

      Tester la sécurité du Système d’information face à un attaquant externe motivé (analyse manuelle).

      Découvrez les aventures de Jean le pentester sur un test d’intrusion externe pour une description plus imagée.

      Modalités de la prestation

      Une réunion d’initialisation permet d’identifier les besoins et le périmètre de la mission, ainsi que ses éventuelles contraintes.

      Un mandat juridique entre les différentes parties est édité afin d’encadrer la prestation d’audit de DSecBypass.

      Le consultant en charge de la mission est joignable à tout moment pendant son exécution et informe le client en cas de découverte critique.

      g

      Résultats du test d’intrusion

      Les livrables de la mission comprennent un rapport ainsi que deux restitutions optionnelles.

      Le rapport inclut une synthèse des résultats ainsi que le détail des vulnérabilités et préconisations identifiées.

      La restitution technique est l’occasion pour le consultant d’exposer sa démarche et ses résultats de manière interactive, et d’échanger avec le client et ses équipes sur le plan d’action. La restitution managériale permet d’adresser un public exécutif.