Pentest Managé  icon

Pentest Managé

Détecter toutes les vulnérabilités de vos applications et infrastructures

Applications web ou mobile & infrastructure

Obtenir un devis

Vous seriez étonnés de voir tout ce qu'on peut découvrir...

Un audit d'intrusion adapté à votre périmètre

pentest applicatif

Test d'intrusion applicatif

Cet audit va tester la sécurité des applications et services web tels que les sites institutionnels, e-commerce, API, ou encore applications CRM.

Pentest applicatif

pentest mobile

Pentest mobile

Souvent sous-estimée, l'analyse de la sécurité des applications mobiles est essentielle. Nos pentesters ont développé une expertise dans cet audit que ce soit dans un environnement iOS ou Android.

Pentest mobile

pentest infrastructure

Audit du périmètre externe

Cet audit, plus large qu'un pentest applicatif, va tester l'exposition de vos actifs sur le web : découvrir un eventuel "shadow-IT" ou une non-conformité (PCI DSS, HDS, ...).

Pentest externe

Pourquoi réaliser un pentest ?

Le test d’intrusion permet de détecter les vulnérabilités fonctionnelles et techniques des applications web et/ou des systèmes d’information.

Concrètement, le pentest (ou test d’intrusion) consiste à se placer dans la peau d’un utilisateur malveillant voulant dérober des données sans être détecté. Ce type de test peut être réalisé sur une plateforme de production sans risque.

Selon les bonnes pratiques, il est d’ailleurs conseillé de réaliser un pentest une fois par an et/ou avant chaque mise en ligne d’une application ou d’un composant d’infrastructure critique.

Le déroulement d'un pentest

Les engagements pris avec le client

Un kick-off est réalisé en amont de l'audit pour échanger sur le degré de couverture du test d'intrusion. L'ensemble des engagements pris avec le client sont définis lors de cette phase.

La collecte de renseignements

La phase de collecte consiste à récupérer des informations sur la cible qui vont être utilisées pour affiner les tests menés sur la plateforme. Elles permettent également d'obtenir de précieuses indications sur le niveau de sécurité global. Elles peuvent permettre de découvrir des données sensibles disponibles publiquement.

La modélisation des menaces

Cette phase consiste a déterminer quelles sont les fonctionnalités les plus dangereuses sur l'application, en recoupant avec les données récupérées pendant la collecte d'informations, l'auditeur va être capable d'identifier les points critiques de l'application. Par exemple, pour un site d’e-commerce, la manipulation des prix, tandis que pour une application de gestion RH, les données personnelles sont les données critiques à récupérer.

L'analyse des vulnérabilités

Cette phase permet de mettre en relation les renseignements récoltés avec les menaces afin de déterminer si l'attaque est réalisable.

L’exploitation

Cette phase est la plus longue du test d'intrusion, elle consiste à tester manuellement tous les types de vulnérabilités qui auront été identifiées comme réalisables sur l'application.

La phase de post exploitation

Cette phase consiste à déterminer les données auxquelles un potentiel hacker pourrait avoir accès en exploitant la faille. Cette phase permet également de chaîner plusieurs vulnérabilités pour démontrer un impact fort sur l'application. Nos précédents audits ont pu déceler des failles de ce type : escalader une injection SQL à une exécution de code et prendre la main sur le système ou une simple XSS (Cross-Site-Scripting) en "account takeover" via une CSRF (cross-site-request-forgery).

Le rapport

Le rapport est sans doute une des phases les plus importantes d'un test d'intrusion. Le rapport établit ce qui a été réalisé lors du test d'intrusion mais il permet surtout de mettre en lumière les faiblesses de l'application et comment la cible peut se protéger contre ces attaques.

Commander un pentest

Votre test d'intrusion managé

La touche humaine

La touche humaine

Nos pentesters se basent sur des outils éprouvés et mettent un point d'honneur à aller le plus loin possible en utilisant leurs compétences et des tests manuels en respectant les engagements pré-définis.

Nous accordons une importance particulière à la communication tout au long du projet avec un statut d’avancement quotidien pour donner un maximum de visibilité et mener à bien l'audit.

Aller au delà du pentest

Aller au delà du pentest

Le pentest entre dans une démarche de sécurisation globale.

Votre security project manager va en fonction de l'environnement et des résultats de l'audit vous faire des recommandations et vous apporter des solutions afin de pérenniser la sécurité de vos applications.

Commander un pentest

Nos certifications

Crest
Check
Cyber essentials
PCI qdivalified security assessor
PCI approved sdivanning vendor
ISO 27001
CCISO Accreditation
CISSP Accreditation
CRISC Accreditation
OSCE Accreditation
OSCP Accreditation
CEH Accreditation

We hack. We teach.

Nous sommes reconnus pour nos recherches sur les menaces de sécurité les plus récentes, et cette connaissance enrichit en permanence tous nos travaux en matière de cyber sécurité. Ce que nous apprenons des tests d'intrusion sur le terrain alimente nos formations, et inversement. Tout le monde y gagne !