Lutter contre l'extraction de données sensibles
Notre plan d'action démarrera par le recensement d' un ensemble d’informations, trouvées d’une manière ou d’une autre, et qui peuvent être sensibles ou critiques.
Lutter contre le vol d'identifiants utilisateurs
Nous dresserons une liste des vulnérabilités ou faiblesses du système de sécurité pouvant être exploitées par un hacker.
Se prémunir de l'escalade de privilège administrateurs
Tester l’efficacité des systèmes de détection d’intrusion et la réactivité de l’équipe de sécurité
et parfois des utilisateurs (social engineering)
S'assurer de la conformité d'une entité avec les lois et règlements en vigueur
(GDPR, LPM, PCI DSS...)
Les points de contrôle incontournables
Les points de contrôle de nos pentest couvrent notamment :
. La vérification de la bonne attribution des droits et privilèges
· La vérification du bon paramétrage des stratégies groupe
· Les injections de codes malvaillants
· Le durcissement des navigateurs (internet, intranet) et de la suite office
· La possibilité de l'exécution d'apllications malveillantes
· La prévention de la fuite de données sensibles
· La qualité des outils de monutoring et de sécurité
· Le niveau d'étanchéité des terminaux virtuels
· Le vol d'identifiant d'utilisateurs et d'administrateurs
· ...
Le Déroulement de la prestation
La méthodologie mise en œuvre pour le test d'intrusion consiste en une succession d'étapes, qui se déclinent comme suit :
. Mise en place (kick-off/validation du périmètre)
. Découverte du périmètre
. Collecte d'informations
. Recherche de vulnérabilités et reporting de ses dernières au fur et à mesure de l'avancement de la prestation
. Construction de scénarios d'attaque et compromission du SI (nous pouvons faire appel à du Social Ingeneering)
. Compromission initiale, maintien d'accès et élévation de privilèges
. Rédaction et livraison du rapport complet détaillant toutes les vulnérabilités et les préconisations sur les méthodes de résolution et de correction des vulnérabilités découvertes.
· ...