• +32 474 17 99 45

Pentesting Belgique & Vulnerability assessment

Faites preuve d’initiative, de prévoyance dans la sécurité de vos projets ICT grâce aux pentests

Vulnerability Assessment et pentest en Belgique ou à l’étranger

Un Vulnerability Assessment ou test d’intrusion (pentesting ou pentest) vous apporte une vue externe sur la sécurité de votre infrastructure informatique.
Ce dernier permet de pointer des failles potentielles qui pourraient être exploitées par des personnes malveillantes ou pirates informatiques. Les occasions ne manquent pas: pc’s infectés qui scannent aléatoirement l’internet à la recherche de vulnérabilité, pirates informatiques à la recherche de données privées pour vous faire chanter, activistes qui défendent une cause et veulent faire parler d’eux, espionnage industriel, tentatives de fraudes..

Chaque Vulnerability Assessment ou pentest délivre un rapport détaillé. Ce dernier comprend notamment notre évaluation des failles trouvées et nos conseils pour y remédier.

Cette démarche s’inscrit également dans le cadre de la GDPR où le gestionnaire d’application prend des mesures afin de détecter proactivement des failles et ainsi réduire les risques liés à l’expositon des données.

Quelle est notre méthode de travail ?

Nous travaillons en mode white-box pentesting ou black-box pentesting.

Chaque méthode présente des avantages et des inconvénients.

Black-Box pentest

En black-box testing, le testeur agit comme un inconnu qui découvre le système et qui n’a pas accès aux informations internes du système. Les résultats du test sont représentatifs de ce qu’un utilisateur avec des connaissances techniques avancées est capable de faire avec le système. Néanmoins, cette méthodologie demande beaucoup de ressources. De plus, le test étant réalisé à un instant particulier, ses résultats tiennent compte des vulnérabilités connues au moment du test.

White-box pentest

En white-box testing, le testeur a une connaissance des documentations, de l’architecture et du design du projet ou du site web. Le testeur ayant accès aux informations techniques (design global, ouverture firewall, tables de routage, solidité des mots de passes, frameworks et modules utilisées,…) et en se basant sur son expérience, il peut plus facilement flairer les faiblesses du système. Il en résulte qu’il peut concentrer son attention sur certains points d’attention.De plus, dans ce scénario, le testeur simule un intrus interne qui a accès à une certaine quantité d’information limitée (accès réseau, ip adresses, mot de passe basique,..) du système ciblé.

Notre méthodologie recommandée est non destructrice de votre environnement et basée sur une formule hybride d’une partie en black-box et une seconde en white-box testing pour combiner les avantages de chaque méthode.

Nos domaines d’expertises :

Pentest sur application Web – Web Application Vulnerability Assessment (WAVA)

Cible : sites web et applications Web

Recherche des vulnérabilités les plus répandues (OWASP Top 10) qui représentent 90% des attaques dans l’industrie telles que les attaques SQL injection (inband, OOB, Blind), XSS, CSRF,.

Identification de failles au niveau du framework (PHP, JAVA, .net, Rails,..) ou de sa configuration

Analyse de failles dans les modules utilisés

Contrôle de problèmes de configuration au niveau du serveur Web, de l’application serveur et de la base de données (par exemple mots de passe par défaut)

Mettre en avant des problèmes conceptuels au niveau de l’architecture et les risques inhérents (absence d’encryption sur certains flux, absence de politique de mots de passe, absence de captcha,..)

Application security assessment

Cible : Applications, applications métiers, applications VoIP/IP PBX ou media, Webservices,..

Sur base d’un projet, d’une nouvelle infrastructure ou d’un renouvellement, nous mettons en œuvre notre savoir-faire pour tester le niveau de sécurité de votre application métier, web services ou tout autre type d’applications.

Infrastructure security assessment

Cible: liens vers un partenaire, SSL VPN, work@home, extranet, réseau sans-fil, 802.1x, BYOD, datacenter, réseau d’utilisateurs, réseau pour inviter ou clients, Active Directory,..

Sur base d’un projet, d’une nouvelle infrastructure ou d’un renouvellement, nous mettons en œuvre notre savoir-faire pour évaluer la sécurité de vos composants d’infrastructure. Les composants d’infrastructure utilisateur ou datacenter ont une place capitale dans le modèle de sécurité en entreprise.

Audit Firewall


Les firewalls jouent un rôle crucial en terme de cyber-sécurité, ils créent des zones de sécurité, isolent les systèmes et les utilisateurs, filtrent les accès, permettent de détecter des activités anormales,… Les firewalls de nouvelles générations (NGFW) jouent un rôle encore plus crucial dans les politiques de cyber-sécurité où les nombreuses fonctionnalités innovantes permettent de contrôler et filtrer le trafic avec un très haut niveau de granularité.

La présence de firewall n’assure aucune sécurité si les règles ne sont pas définies correctement. Il est primordial de maintenir des règles à jour, en ligne avec la politique de sécurité et d’éviter l’introduction de règles trop permissives pouvant introduire des accès non autorisés non désirés. La gestion des firewalls et surtout l’implémentation des règles firewall doit être contrôlées rigoureusement afin d’assurer une qualité de service.

A ce titre, OFEP dispose d’une méthodologie d’audit des règles et configuration des firewalls. Ce service permet de mettre en avant des problèmes ou erreurs de configuration, de valider la qualité des règles et leurs concordances avec la politique de sécurité.

L’audit peut être réalisé sur tous types de firewall (Checkpoint, Fortinet, Palo Alto, Juniper, Cisco, AWS Security groups, Azure Firewall..). L’utilisation d’outils de « firewall management » tels que Tufin, Algosec, Skybox,.. peuvent être pris en compte pour auditer un parc étendu de firewalls.

Audit WAF


Les Web Application Firewalls (WAF) sont couramment utilisés afin de protéger les applications d’une barrière de sécurité applicative complémentaire, contre les attaques web (OWASP; XSS, SQLi, XSRF,..).

Les règles des WAF assurent la détection et la prévention d’attaques. Ces dernières doivent souvent être paramétrées en fonction de l’application. Ce paramétrage requiert un travail de configuration particulièrement précis afin de déterminer la balance adéquate entre le blocage d’attaques réelles et les fausses alarmes.

Le processus d’apprentissage du WAF, réalisé tout au long des cycles de vie d’une application (du développement jusqu’à la mise en production), permet de compléter parfaitement une politique de sécurité. Le WAF sert également à sécuriser une application vulnérable, dans l’attente d’une patch corrigeant une faille découverte (0-day). Ce mécanisme s’appelle le « virtual patching ».

En auditant la configuration et les règles des WAF’s, OFEP s’assure de la qualité de la configuration.

Ce service permet principalement de:

  1. Mettre en avant des problèmes ou erreurs de configuration
  2. Valider la qualité des règles et leurs concordances avec la politique de sécurité
  3. Vérifier le respect des procédures

L’audit peut être réalisé sur tous types de WAF’s (F5, Barracuda, Fortinet WAF, AWS WAF, CloudFlare, Azure WAF,..).

Simulation de Social engineering

Objectifs:

  • Réaction des employés ou collaborateurs face aux menaces extérieures
  • Mesurer le niveau de cyber awareness des collaborateurs
  • Anticiper des attaques fréquentes.

L’ingénieurie sociale est un excellent outil pour obtenir un maximum d’information en un minimum de temps. Des attaques de type « spear phishing » peuvent cibler des utilisateurs qui accèdent des données particulièrement sensibles (CEO, directeur financier, sysadmin,..). Un scénario d’attaque fréquence consiste à envoyer par email un mail au contenu « déguisé ». Il pourrait s’agit d’une fausse invitation Linkedin, un email contenant un CV, une mise à jour d’un logiciel,.. L’utilisateur ciblé clique sur l’objet attaché ou sur un lien… et son ordinateur se retrouve infecté par un dangereux malware.

Nous pouvons simuler ce genre d’attaques en contactant, avec votre accord, certains collaborateurs. Vous serez en mesure de tirer des statistiques sur les réactions des utilisateurs dans leur globalité. Nous proposons de réaliser cet exercice à différents moments. Par exemple, avant ou après une session d’information adressée aux collaborateurs pour les conscientiser face aux menaces des outils Internet. Certains collaborateurs sont très conscients des problèmes de sécurité, ils peuvent vous aider à remonter au service ICT des attaques. D’autres utilisateurs n’ont aucune notion en cyber sécurité et présent une menace accrue pour l’ensemble de vos données. Identifiez ces utilisateurs et offrez-leur la possibilité d’en apprendre plus.

Pourquoi réaliser un test d’intrusion ?

 

pentesting Belgique

  • Faire preuve de bonne gouvernance en appliquant un processus de validation
  • Évaluer sa sécurité et protéger les données personnelles, comme prévu par la loi GDPR
  • Se prémunir les risques liés à des erreurs de conception ou d’implémentation d’applications dans votre organisation
  • Répondre à des points d’audit ou de compliance
  • Évaluer la sécurité d’une filiale ou une société rachetée qui n’a pas les mêmes règles de sécurité que votre organisation
  • Réagir immédiatement à des problèmes de sécurité tels que la faille OpenSSL Heartbleed, ou l’obsolescence logicielle
  • Anticiper des attaques et faire preuve d’initiative en étant acteur de la situation et non spectateur
  • Tester la fiabilité de votre infrastructure grâce au pentest
  • Est-il possible à une personne connectée sur le réseau Internet pour les invités d’accéder à mon infrastructure interne ?
  • Le site Web et ses applications satellites sont-elles fiables ?
  • Les informations relatives aux données personnelles (GDPR) sont-elles correctement sécurisées ?
  • Un hacker peut-il contourner les protections du SSL VPN et se connecter à l’entreprise avec un ordinateur non approuvé ?
  • Assurer que les technologies utilisées sont en ligne avec les standards du marché en terme de sécurité
  • Le firewall principal de l’entreprise a plus de 3000 règles, les règles sont-elles à jour ? Le procès d’ajout de règles et de validation avant implémentation est-il sous contrôle ?
  • Notre environnement IT est partiellement outsourcé. Des prestataires extérieurs accèdent à notre environnement à distance. L’accès est-il suffisamment fiable et que se passerait-t-il si le fournisseur est victime d’un piratage ?
  • Obsolescence logicielle Combien de serveurs utilisent encore un système d’exploitation obsolète ?
  • Patch management Nos serveurs sont-ils à jour en terme de patches de sécurité OS et applicatifs ?