Test d'intrusion interne


Dans quel cas un test d'intrusion interne est-il recommandé?

Le test d’intrusion interne évalue le coeur du système d'information de l'entreprise. En effet, il est permet d'évaluer la perméabilité du SI à des attaques menées de l’intérieur du réseau informatique, qu'elles soient réalisées par un salarié indélicat ou lors d'un rebond sur le réseau interne depuis une attaque externe.

Ce test d'intrusion est réalisable selon les trois méthodologies fréquemment rencontrées en sécurité informatique: en aveugle (boîte noire), en ayant des accès limités,une connaissance relative de la topologie réseau ou des applicatifs, ou en ayant un compte avec un accès limité (boîte grise), en ayant des accès étendus ou une connaissance documentée de la topologie réseau ou des applicatifs (boîte blanche). Ce test d'intrusion est intégré dans les audits red team lors d'un rebond depuis l'extérieur.

Dans la peau d'une personne malintentionnée au sein de votre SI (ou ayant accès à ce dernier)


Méthode d'analyse interne

En boîte noire, nous agissons comme si l'attaquant était présent sur votre réseau (employé malveillant, intrusion sur votre réseau wifi, etc). Nous entamons la collecte d’informations de votre réseau (que vous ou vos salariés nourrissez à votre insu), puis nous analysons vos processus métiers, et enfin nous élargissons le test d'intrusion à l’intégralité de l’infrastructure (serveurs, postes de travail, DMZ, Firewalls, etc). Dans le cadre de tests d'intrusion interne, nous testons votre infrastructure comme le ferait un pirate, notamment via les points suivants:

  • Découverte et identification de la topologie réseau
    • Recensement des machines présentes sur votre range
    • Recensement des services présents sur les serveurs locaux
    • Recensement des services présents sur les postes de travail
    • Ecoute des communications réseaux
    • Analyse transactionnel des clients lourds
    • ...

  • Recherche et acquisition d’informations
    • Analyse des serveurs locaux
    • Détermination des applicatifs déployés et de leur version
    • Recherche de vulnérabilités connues ou non connues
    • Détermination des versions des services présents sur les postes de travail
    • Analyse des firewalls

  • Exploitation
    • Exploitation des vulnérabilités sur les services
    • Fuzzing et rédaction de POCs
    • Tentative de rebond sur les IPs réseaux ou VLAN différents
    • Test d'intrusion sur les applicatifs hébergés
    • Elévation de privilèges sur l'AD
Dans ce scénario, c'est vous qui fixez les limites et les machines à attaquer. Ce test est réalisé avec la plus grande rigueur, c’est le test le plus large possible pratiqué depuis l’intérieur. Il fait intervenir tous les vecteurs possibles d’intrusion dans votre système d’information. Si le test est exécuté en boîte noire, nous vous soumettons chaque cible d'attaque avant l'exploitation afin de s'assurer qu'elle fait bien partie du périmètre et que les possible effets de bords sont bien anticipés sur la production.

Quels sont les livrables fournis suite à un test d'intrusion ?

Un rapport précis contenant les failles, leur criticité, les méthodes d’enrayement, les méthodes de contournement, la facilité d'exploitation, l'incidence de la faille et plusieurs graphiques comparatifs vous est remis. Ce rapport est suivi d'un double entretien personnalisé: un entretien axé sur le décisionnel expliquant les vulnérabilités découvertes, leur impact et la procédure à mettre en place; ainsi qu'un entretien technique permettant d'appréhender au mieux le contenu du rapport et surtout de mettre en place les contre-mesures le plus rapidement possible. Vous trouvez plus de détail sur la page notre méthodologie.

Il est important de noter que contrairement à d’autres sociétés nous ne nous cantonnons pas à exécuter un scanner de vulnérabilités. L'intégralité de nos tests d'intrusion sont réalisés à la main et nous testons chacune des possibilités offertes par les services, les applicatifs et les mauvais configurations réseaux. Nous terminons le test d'intrusion par l'exécuton d'un scan à l'aide d'un outil développé par Wargan Solutions afin de nous assurer que nous n’avons rien oublié. Ainsi les deux axes fondamentaux d’investigation sont utilisés.