Tests d'intrusion - Audits de sécurité des applications Web

Trouvez et corrigez les failles de sécurité détectées avant que des attaquants malveillants ne puissent en profiter.

HeaderApsia-1

Nos tests d’intrusion sont adaptés pour répondre aux objectifs et aux profils de menace de chaque organisation.

Les types de tests d’intrusion les plus courants proposés par Apsia Cybersécurité.

Icon-Previsions-6

Tests d’intrusion externe

Évalue vos systèmes connectés à Internet afin d’identifier les vulnérabilités exploitables qui pourraient entraîner l’exposition des données ou un accès non autorisé. Le test implique l’identification du système, l’analyse des vulnérabilités et l’exploitation contrôlée pour évaluer les risques de sécurité potentiels.

Icon-haut-3-

Tests d’intrusion interne

Identifie les risques et les vulnérabilités qui pourraient exposer des ressources internes sensibles à un accès non autorisé. L’évaluation évalue les chemins d’élévation des privilèges, les possibilités de contournement de la sécurité et les faiblesses des autorisations, des services et des configurations réseau afin de garantir une protection robuste des ressources critiques.

Icon-team-6

Tests d’intrusion d’applications Web

Évalue et découvre les vulnérabilités critiques de vos applications Web grâce à un processus structuré en trois phases : reconnaissance, découverte et exploitation. Ce processus permet d’identifier les faiblesses qui pourraient permettre un accès non autorisé à des données sensibles en utilisant vos applications web.

Icon-camion-transport-4-

Tests d’intrusion des réseaux sans fil et des points d’accès

Identifie les risques et les vulnérabilités associés de vos réseaux sans fil et autres points d’accès. L’équipe évalue les faiblesses telles que les attaques sur les mécanismes, les erreurs de configuration, la réutilisation de session et les contrôle des appareils non autorisés

Pourquoi effectuer des tests d'intrusion ?

Cloud pour l'industrie

Focus sur les tests d'intrusion externes

  • Recherche de vulnérabilités depuis l’extérieur, sur le périmètre identifié (une ou plusieurs IP externes)
  • Scans de vulnérabilités, réseau et applicatifs sur les ports et services ouverts (hors volet Web)
  • Sélection, si le nombre d’IP est élevé, d’un échantillon d’IPs pour un audit approfondi + tests manuels selon les points d’intérêt identifiés (Services / Vulnérabilités pertinents)
  • Identification de fenêtres d’attaque potentielles
  • Exploitation de failles et réalisation de preuves de concept sur un échantillon, lorsque cela est possible
  • Approche, déclinée en deux axes :
    Sans disposer d’accès ni d’informations (Boite noire) pour simuler le cas d’un attaquant inconnu
    En étant muni des différents accès (Boite grise) pour simuler le cas d’un collaborateur / partenaire malicieux

Focus sur les tests d'intrusion d'application Web

Tests axés sur le volet applicatif Web

Audit en boite noire du serveur d’application (apache, etc.) et de la base de données si le listener est accessible

Audit approfondi boite noire ET boite grise de l’application web

Scans de vulnérabilités web détaillés (non authentifiés et authentifiés)

Analyse manuelle des différentes pages et sections de l’application

Déroulement des tests Web conformément au standard OWASP, avec plusieurs catégories (validation des données, injections, authentifications, fonction de logout, gestion des sessions, certificats, gestion et cloisonnements des différents profils, XSS, entêtes HTTP, bonnes pratiques web, etc.)