Test d’intrusion Interne

* Vérifier si son SI résisterait à une attaque interne et combien de temps.
* Savoir si une personne mal intentionnée verrait ses actions tracées, permettant ainsi un recours juridique.
* Définir les correctifs à apporter à la sécurité du SI

Méthodes de travail:
La sécurité des composants suivants :

* Serveurs du LAN (intranet, AS400, Mail …)
* Serveurs DMZ (Web, DNS, mail…)
* Stations de travail & portables collaborateurs

Sera testée avec les méthodes suivantes (liste non exhaustive) :

* Attaques réseau (sniffing / ARP spoofing)
* Usurpation d’identité et/ou de droits
* Recherche d’authentifiants faibles
* Recherche de flux non cryptés
* Attaque des mots de passe
* Replay & birthday attacks
* Anti DNS pinning & DNS Poisonning
* Spoofing / Sniffing / MTM (man in the middle)
* Test de forge d’URL/URI
* Attaque SNMP
* Cross Site Scripting / XSS / XSRF / injection SQL
* Spoofing HTTP / vol de cookies
* HTTP Smuggling

Ceci dans le but de mener les actions suivantes

* Outrepasser les sécurités du LAN
* Prendre position dans le LAN
* Atteindre et exfiltrer des données sensibles
* Prendre les droits les plus élevés dans le SI

Tests d’Ingénierie Sociale:

* Tentative d’usurpation d’identité
* Mise d’interlocuteurs en situation de stress afin d’obtenir le comportement souhaité
* Utilisation de faux supports publicitaires comprenant des chevaux de Troie
* Usurpation d’identités électroniques
* Bypass social (urgence, hiérarchie, etc…)
* Attaques téléphoniques
* Envoi de courrier ayant pour objectif d’obtenir un comportement particulier d’un des récepteurs
* Attaque hiérarchique (personne se faisant passer pour le supérieur d’une autre)
* Faux supports électroniques (mini CD publicitaire, clef USB cadeau…)
* Urgence téléphonique (personnel en déplacement, négociation contrat
* Actions sensibles transmises par canaux non sécurisés (mail, téléphone…)
* Demande de réinitialisation de mot de passe (pour cause d’oubli, vol…)
* Faux livreur de pizza insérant une clef USB sur le poste de l’accueil
* Autres…

Rapports
ITGK remet 2 rapports à l’issue d’un test d’intrusion :

* Un rapport de test d’intrusion technique qui comprend les méthodes employées et les résultats associés. Il détaille les failles trouvées en les classant selon leurs complexités de mise en ouvre et leurs portées. Il permet aussi à l’équipe locale de refaire les tests après que les correctifs aient été apportés pour vérifier leur efficacité.
* Un rapport de préconisation qui permet à l’entreprise de renforcer ses défenses en corrigeant les failles détectées. C’est le plan de vol de l’équipe technique pour renforcer la sécurité du SI, il est classé par ordre d’importance. * Vérifier si son SI résisterait à une attaque interne et combien de temps.
* Savoir si une personne mal intentionnée verrait ses actions tracées, permettant ainsi un recours juridique.
* Définir les correctifs à apporter à la sécurité du SI

Méthodes de travail:
La sécurité des composants suivants :

* Serveurs du LAN (intranet, AS400, Mail …)
* Serveurs DMZ (Web, DNS, mail…)
* Stations de travail & portables collaborateurs

Sera testée avec les méthodes suivantes (liste non exhaustive) :

* Attaques réseau (sniffing / ARP spoofing)
* Usurpation d’identité et/ou de droits
* Recherche d’authentifiants faibles
* Recherche de flux non cryptés
* Attaque des mots de passe
* Replay & birthday attacks
* Anti DNS pinning & DNS Poisonning
* Spoofing / Sniffing / MTM (man in the middle)
* Test de forge d’URL/URI
* Attaque SNMP
* Cross Site Scripting / XSS / XSRF / injection SQL
* Spoofing HTTP / vol de cookies
* HTTP Smuggling

Ceci dans le but de mener les actions suivantes

* Outrepasser les sécurités du LAN
* Prendre position dans le LAN
* Atteindre et exfiltrer des données sensibles
* Prendre les droits les plus élevés dans le SI

Tests d’Ingénierie Sociale:

* Tentative d’usurpation d’identité
* Mise d’interlocuteurs en situation de stress afin d’obtenir le comportement souhaité
* Utilisation de faux supports publicitaires comprenant des chevaux de Troie
* Usurpation d’identités électroniques
* Bypass social (urgence, hiérarchie, etc…)
* Attaques téléphoniques
* Envoi de courrier ayant pour objectif d’obtenir un comportement particulier d’un des récepteurs
* Attaque hiérarchique (personne se faisant passer pour le supérieur d’une autre)
* Faux supports électroniques (mini CD publicitaire, clef USB cadeau…)
* Urgence téléphonique (personnel en déplacement, négociation contrat
* Actions sensibles transmises par canaux non sécurisés (mail, téléphone…)
* Demande de réinitialisation de mot de passe (pour cause d’oubli, vol…)
* Faux livreur de pizza insérant une clef USB sur le poste de l’accueil
* Autres…

Rapports
ITGK remet 2 rapports à l’issue d’un test d’intrusion :

* Un rapport de test d’intrusion technique qui comprend les méthodes employées et les résultats associés. Il détaille les failles trouvées en les classant selon leurs complexités de mise en ouvre et leurs portées. Il permet aussi à l’équipe locale de refaire les tests après que les correctifs aient été apportés pour vérifier leur efficacité.
* Un rapport de préconisation qui permet à l’entreprise de renforcer ses défenses en corrigeant les failles détectées. C’est le plan de vol de l’équipe technique pour renforcer la sécurité du SI, il est classé par ordre d’importance.