Audit Interne

 
 
 
Un pentest interne est réalisé sur le Système d’Information interne du client.

L’auditeur se rend sur place, ou bien opère à travers un outil d’accès distant, afin d’attaquer les ressources internes.

Le but est de simuler une attaque par un visiteur malveillant ou bien un poste employé compromis afin de récupérer des informations sensibles et élever ses privilèges sur le Système d’Information.

    Vecteezy.com

    Différents scenarios de test d’intrusion sont envisageables

    Visiteur malveillant

    Branchement sur le réseau interne avec le PC du consultant, pas de compte sur le Système d’information.

    Scénarios à la carte

    Nous contacter pour des scénarios personnalisés tel qu’un pentest Assumed Breach. 
     
     

    Employé malveillant

    Branchement sur le réseau interne avec PC entreprise / consultant, compte employé sur le Système d’information.

    Employé distant

    Accès distant (VPN) avec PC entreprise / consultant, compte employé sur le Système d’information.

    Prestataire malveillant

    Accès au Système d’information du prestataire afin de déterminer les capacités de compromission par rebonds chez le client.

    Prestataire distant

    Accès distant (VPN) avec PC consultant, compte prestataire sur le Système d’information.
     

    Dans quels cas choisir le test d’intrusion interne ?

    Tester la sécurité du Système d’Information interne face à une attaque émanant d’un visiteur malveillant, d’un employé malveillant/compromis.

    Vérifier l’impact de la compromission d’un employé itinérant type commercial, avant-vente, exécutif…

    Découvrez les aventures de Jean le pentester sur un test d’intrusion interne pour une description plus imagée.

    Modalités de la prestation

    Une réunion d’initialisation permet d’identifier les besoins et le périmètre de la mission, ainsi que ses éventuelles contraintes.

    Dans la majorité des cas, un mandat juridique n’est pas nécessaire pour ce type de prestation.

    Le consultant en charge de la mission est joignable à tout moment pendant son exécution et informe le client en cas de découverte critique.

    g

    Résultats du test d’intrusion

    Les livrables de la mission comprennent un rapport ainsi que deux restitutions optionnelles.

    Le rapport inclut une synthèse des résultats ainsi que le détail des vulnérabilités et préconisations identifiées.

    La restitution technique est l’occasion pour le consultant d’exposer sa démarche et ses résultats de manière interactive, et d’échanger avec le client et ses équipes sur le plan d’action. La restitution managériale permet d’adresser un public exécutif.

    Contactez nous