Méthodologie de nos tests d'intrusion et audits


Comment procédons-nous lors de nos audits de sécurité?

La force de notre méthode est d’allier les recommandations énoncées par des fondations telles que l’OWASP et l'OSSTMM qui sont mondialement connues à notre expertise technique acquise au gré de nos multiples audits. En d’autre termes, là où un prestataire appliquera à la lettre les recommandations d’un consortium, nous, nous enrichissons de notre côté la technicité de l’audit à l’aide de nos outils et découvertes personnelles.
Cheminement méthodologique d’un audit de sécurité au sein de Wargan Solutions:

  1. Suite à votre prise de contact, nous établissons ensemble le périmètre du projet. Tout d’abord nous mettons un point d’honneur à cerner l’intégralité des enjeux du client. Un audit ne doit pas être envisagé seul mais replacé dans son contexte client. Si le test d'intrusion doit être réalisé en boîte noire, alors nous vous soumettrons chacune des cibles d'attaques avant exploitation des vulnérabilités afin de s'assurer que nous ne sortons pas du périmètre d'attaque et que les impacts potentiels sur la production ont bien été anticipés.

  2. Une fois les problématiques cernées, nous vous proposons le type d’audit ou de test d'intrusion qui correspond le mieux à votre besoin. Plusieurs points peuvent orienter notre proposition:
    • Les besoins et enjeux clients
    • Le caractère d’urgence de l’intervention: suite à une intrusion applicative un audit de code doit par exemple être réalisé rapidement (en plus des mesures de réponse à incident)
    • Les volontés et directives du RSSI

  3. Nous rédigeons conjointement un ordre de mission. Celui-ci précise le périmètre d’action, les machines à auditer (sauf en cas de test d'intrusion en boîte noire), les outils que nous utiliserons, les mesures d’urgences (personnes à contacter, plan de reprise d'activité), ...

  4. Nous réalisons le test d'intrusion en respectant ce que nous avons énoncé ci-dessus. Nous testons tous les processus d’attaque, réalisons une collecte d’information et surtout maximisons les intervenants sur la mission. En effet, chaque consultant a une méthode, une technique, une analyse qui lui est propre.

  5. Nous rédigeons le rapport d’audit. Ce rapport sera le document de référence afin d’évoquer la sécurité de votre réseau. Il contient (non exhaustivement):
    • Le périmètre du projet
    • La méthodologie employée
    • Les informations que nous avons pu collecter sur votre système
    • L’intégralité des tests qui nous avons réalisés sur votre infrastructure / application, et leurs résultats probants: les failles détectées d’une part, les points de sécurité solides à surveiller impérativement d’autre part
    • Les failles que nous avons pu recenser, détaillées selon:
      • Leur criticité
      • Leur difficulté d’exploitation
      • Leur difficulté de correction
      • Nous réalisons un POC (proof of concept) pour les failles extrêmement critiques
    • Nous étudions ensemble l'impact de telles vulnérabilités et la méthode de déploiements des correctifs de sécurité pour restaurer l'intégrité de votre réseau. Nous évoquons aussi ensemble les procédures de sécurité mises en place et comment nous avons pu les contourner (WAF, XSRF Security Token, Firewalls, vlans, …)
    • Nous concluons sur la sécurité globale de l’applicatif / infrastructure audité en lui attribuant une note et un compte-rendu exhaustif d'audit; nous consignons ensuite l’intégralité des procédures à mettre en place (en plus du correctif des failles), pour augmenter la sécurité de votre système.

  6. Nous vous proposons un entretien pour étudier ensemble les solutions préconisées dans le rapport et leur mise en place au sein de votre SI.

Suivez ces liens pour accéder au descriptifs détaillés de nos audits de sécurité et de nos tests d’intrusion: tests d’intrusion et audits de sécurité.