PENTEST
PENTEST & OBJECTIFS
Pentest le test d’intrusion ou pentest en anglais est le cœur de métier de Hacking Company. C’est une technique de piratage éthique consistant à tester la vulnérabilité d’un système informatique d’une application ou d’un site web en simulant des conditions d’attaques réalistes. Son objectif premier : évaluer efficacement le risque associé à un système de traitement de l’information et identifier des pistes pour le réduire significativement. Nous adoptons temporairement la posture d’un attaquant réel en reproduisant la démarche et les techniques d’un véritable individu malveillant.
LES LIVRABLES
Le rapport de test d’intrusion /pentest fournit l’ensemble des détails requis pour reproduire les situations à risque, l’analyse du risque établi ainsi que l’ensemble des recommandations nécessaires à la mise en place d’un plan d’action. Il s’inscrit donc directement dans le processus de gestion du risque et encourage les contre-mesures efficaces et pragmatiques afin d’interrompre les risques.
PENTEST - 3 BOXES
LE PENTESTING – TEST DE PENETRATION / INTRUSION
Les test d’intrusion/pénétration mesure le risque d’un système d’information en simulant des conditions d’attaque réalistes. Dans cette optique, Hacking Company adopte temporairement la posture d’un cybercriminel réel et s’efforce de reproduire la démarche et les techniques d’un véritable individu malveillant.
BLACK BOX: Sans aucune connaissance du Système d’Information cible en local ou depuis Internet.
GREY BOX: Avec un compte utilisateur ou accès au système d’information comme un utilisateur standard.
WHITE BOX: Avec toutes les informations nécessaires, à l’instar d’un administrateur malveillant.
PENTEST - INTRUSION PHYSIQUE
RED TEAM
Les missions Red Team ont pour but d’évaluer la sécurité globale d’une entreprise en mettant à l’épreuve ses différents moyens de protection, qu’ils soient physiques, humains, organisationnels et informatiques. Véritable attaque ciblée se déroulant en plusieurs phases soigneusement préparées et pouvant atteindre tous les actifs de l’entreprise.
- Intrusion physique de vos locaux.
- Ingénierie sociale donc la manipulation de vos salariés.
- Intrusion via des vulnérabilités réseau ou système.
PENTEST - ATTAQUE DE L’INTÉRIEUR
TEST D’INTRUSION INTERNE
Le test d’intrusion interne consiste à placer se placer directement sur le réseau cible. Connecté comme le serait un employé, un invité, ou quiconque qui disposerait d’un accès légitime au réseau de l’entreprise. Nous attaquons les services, les postes utilisateurs et autres ressources informatiques du client.
Une fois l’accès obtenu, les possibilités de compromissions sont toujours plus nombreuses en interne ; cette approche permet de mesurer efficacement le risque en cas de compromission physique du réseau, d’infection d’un poste utilisateur ou d’attaque par un personnel de l’entreprise. Ce type de prestation est adapté pour augmenter la sécurité de réseaux internes d’envergure, sensible ou accueillante du public comme les centres d’affaires, centre commerciaux, salles d’attentes …
PENTEST - ATTAQUE DE L’EXTÉRIEUR
TEST D’INTRUSION EXTERNE
Les prestations de test d’intrusion externe nous positionne en dehors du système d’information à auditer. Mené généralement depuis nos locaux, le test d’intrusion vise essentiellement les services exposés sur Internet, qu’ils soient hébergés en propre par le client ou chez un prestataire. Par ce test nous vous montrerons qu’il est aisé de vous Rançonner, c’est à dire, crypter toutes vos données en échange d’une importante somme d’argent.
PENTEST - ATTAQUE A PROXIMITÉ
TEST D’INTRUSION PAR WIFI
Les deux principaux vecteurs d’intrusion les attaques externes et internes La généralisation des accès sans fil offre toutefois de nouvelles pistes aux attaquants, qui peuvent mener des intrusions internes sans accès physique aux systèmes ciblés.
Le test d’intrusion Wi-Fi est réalisé sur site afin de mesurer le niveau de risque associé à l’infrastructure sans-fil déployée. Qu’il s’agisse d’un point d’accès unique ou d’une configuration Wi-Fi complexe, l’objectif est d’identifier les faiblesses et failles qui pourraient profiter à un individu malveillant à proximité des locaux du client.
PENTEST - ATTAQUE DES EMPLOYÉS
SOCIAL ENGINEERING
L’objectif de cette prestation est d’analyser la sensibilité des employés d’une entreprise aux attaques par ingénierie sociale. Tous les scénarios élaborés sont des instances des cas généraux suivants :
- Phishing et spear phishing (construction de sites factices, messages personnalisés, etc.)
- Envoi de pièce jointe vérolée (fichier exécutable, document PDF, document MS Office)
- Usurpation d’identité (mail, téléphone)