Comment nous pouvons vous aider
Votre surface d'attaque croît rapidement, évolue constamment et est de plus en plus interconnectée. Dans ce contexte, vos équipes de sécurité sont confrontées à une bataille difficile pour prévenir les attaques. L'audit de cybersécurité permet à votre organisation de mieux comprendre vos cyber risques afin d'orienter à escient vos décisions.
Nos experts fournissent un diagnostic clair, compréhensible et détaillé de votre position actuelle en matière de cybersécurité, afin d'identifier les lacunes dans vos défenses, de mettre en œuvre les meilleures pratiques, de garder une longueur d'avance sur les cybermenaces émergentes, de mettre votre organisation en conformité avec les normes de sécurité et de préserver la confiance de vos clients.
Des questions? Demandez à nos experts.
Ce que nous faisons
Nous mesurons votre niveau de protection avec un audit de sécurité de votre système d'information par des tests concrets qui reproduisent les conditions d'une cyberattaque réelle. Nos experts évaluent votre risque, identifient vos vulnérabilités et de vous donnent une liste de recommandations activables par ordre de priorité ou de criticité.
Nous réalisons des audits techniques complets adaptés à vos besoins, en mode boîte noire, boîte grise ou boîte blanche. Du test de pénétration interne au test de pénétration externe, en passant par l'audit de phishing, notre travail consiste à vérifier votre sécurité du point de vue d'un pirate informatique.
Tests d'Intrusion
Nos auditeurs évaluent la sécurité du périmètre défini avec vous selon une méthodologie spécifique aux périmètres testés. Ils simulent le comportement d'un hacker, d'un intrus ou d'un collaborateur malveillant à différents niveaux de compétences. Basée sur les principaux standards en matière de tests d'intrusion et de gestion des risques, la méthodologie adoptée est constamment affinée par Stroople. Les vulnérabilités découvertes sur le Système d'Information audité sont ensuite qualifiées et un plan d'action correctif est élaboré. Elle s'appuie notamment sur le Penetration Testing Execution Standard, ainsi que sur des ressources fondamentales telles que l'OWASP Testing Guide, l'OWASP Risk Rating Methodology et l'Open Source Security Testing Methodology Manual (OSSTMM).
Tests intrusifs sur l'infrastructure réseau
L'infrastructure informatique est au cœur des activités quotidiennes et de la gestion des entreprises. L'objectif d'un pentest d'infrastructure réseau est de tester la sécurité des éléments qui peuvent être attaqués de l'extérieur de l'entreprise (IP, serveurs) ou de l'intérieur (postes de travail, dispositifs de réseau, serveurs).
Tests d'intrusifs sur les applications web
Les applications web constituent toujours une partie particulièrement vulnérable des systèmes d'information, en raison de leur niveau d'exposition aux attaques et du manque de sensibilisation des équipes de développement observé dans de nombreuses entreprises.
L'objectif d'un pentest Web est d'évaluer la robustesse de votre plateforme Web.
Pentest mobile
Les applications mobiles sont un point faible des systèmes d'information, car de nombreux développeurs ne sont pas conscients des problèmes de sécurité.
L'objectif d'un pentest mobile est de tester l'application elle-même, ainsi que les API et les serveurs qui les hébergent.
Audit de configuration
L'audit de configuration est une activité menée pour déterminer si un système ou un élément répond à ses exigences fonctionnelles.
L'audit de configuration a pour objet de vérifier la mise en œuvre de pratiques de sécurité conformes à l'état de l'art (bonnes pratiques, code source, guides de configuration, etc.), aux exigences et aux règles internes de l'audité en ce qui concerne la configuration des dispositifs matériels et logiciels déployés dans un système d'information.
L'approche de l'audit est basée sur les directives de sécurité du SANS (SysAdmin, Audit, Network, Security), de l'ANSSI, du CIS (Center for Internet Security) et des éditeurs, ainsi que sur l'état de l'art et les contraintes spécifiques de votre entreprise.
Audit organisationnel
Nos auditeurs procèdent à une analyse des politiques et procédures définies par votre entreprise afin de vérifier leur conformité aux besoins de sécurité. Ainsi, nous vérifions que les politiques et procédures définies garantissent le maintien du Système d'Information audité dans des conditions opérationnelles et de sécurité conformes aux besoins de notre client, à l'état de l'art et aux normes de sécurité en vigueur. Nous vérifions également que ces politiques et procédures complètent correctement les mesures techniques mises en place et qu'elles sont effectivement appliquées.
Audit de Phishing
Le phishing est très populaire auprès des attaquants pour obtenir un premier accès à un réseau d'entreprise afin de voler des informations confidentielles et de se propager ensuite. Bien que tout le monde soit concerné par ce type d'attaque, dans la pratique, peu d'utilisateurs sont conscients des pièges à éviter et des bonnes pratiques à suivre.
Pour répondre à cette menace, nous proposons quatre types de campagnes de phishing :
- Mail de phishing
- Smishing ciblé
- Clé USB de phishing ciblée
- Clé USB anonyme
Pour chaque type de campagne, nous recueillons silencieusement des statistiques sur les actions effectuées par les personnes ciblées (lecture de l'e-mail, envoi du mot de passe, ...).
Ce qui fait la différence
Stroople propose des services d'audit personnalisés, axés sur l'obtention de résultats pragmatiques et exploitables pour protéger votre entreprise. Nous proposons aussi bien des audits de sécurité ponctuels que des audits de sécurité récurrents à intervalles réguliers.
Nous utilisons notre expertise des techniques d'attaque pour identifier les vulnérabilités techniques, logiques et humaines de vos systèmes d'information. La phase d'exploitation des failles de sécurité nous permet de déterminer les risques réels de chaque situation, afin de les réduire efficacement et rapidement.
Notre méthodologie de qualité vous permet de bénéficier :
- De rapports pentest intelligibles rédigés manuellement,
- Du regard complémentaire de deux experts en sécurité,
- D'une analyse manuelle indispensable pour compléter l'approche automatique,
- De recommandations, remédiations et actions correctives claires et précises,
- D'une restitution vous permettant l'échange avec vos équipes.
Boite noire, grise ou blanche? Vous choisissez!
On nous demande souvent de donner des conseils sur la portée appropriée des tests de pénétration des applications. Les contraintes de temps et de budget soulèvent souvent la question de savoir s'il faut utiliser un test de pénétration de type boîte noire, boîte grise ou boîte blanche. Si toutes les méthodologies de test d'intrusion fonctionnaient aussi bien les unes que les autres, une seule d'entre elles serait utilisée. Les principaux compromis entre les tests de pénétration boîte noire, boîte grise et boîte blanche sont la précision du test, sa rapidité, son efficacité et sa couverture.
Boite noire
Dans cette configuration, nos auditeurs réalisent le test de pénétration sans aucune connaissance préalable. Ce type de test vise à analyser le niveau de résistance du système d'information aux attaques menées par un pirate informatique. L'objectif premier est de déterminer "Un attaquant externe, sans accès préalable, peut-il obtenir l'accès à l'application ou aux données ? Il permet une évaluation réaliste du niveau de sécurité du Système d'Information étudié.
L'inconvénient majeur de cette approche est que si les testeurs ne peuvent pas franchir le périmètre dans le temps imparti, aucune vulnérabilité de services internes ne serons découvertes et ne feront l'objet de correctifs.
Boite grise
Le test de la boîte grise est une combinaison des techniques de test de la boîte noire et de la boîte blanche. Dans la boîte noire, le testeur n'a pas connaissance du fonctionnement interne de l'application testée, alors que la boîte blanche lui permet d'en avoir librement connaissance. Le test en boîte grise permet au testeur d'obtenir des informations partielles sur la structure interne, y compris l'accès aux données internes et à la conception dans le but de créer des cas de test. Ce type de test vise à analyser le niveau de résistance du système d'information aux attaques menées lors de la fuite d'un compte utilisateur, ou lors de la compromission du poste de travail d'un employé ou d'un sous-traitant. Il permet une évaluation avancée du niveau de sécurité du système étudié.
L'objectif du pentesting en boîte grise est de fournir une évaluation plus ciblée et plus efficace de la sécurité d'un système d'information qu'une évaluation en boîte noire.
Boite blanche
Dans cette configuration, nos auditeurs réalisent le test d'intrusion avec un accès complet au code source ou aux éléments de configuration du projet, aux schémas directeurs de l'architecture logicielle établie, et à un compte utilisateur pour chaque type de rôle défini. Ce type de test vise à anticiper de la manière la plus complète les risques liés au périmètre, notamment à évaluer le niveau de résistance contre des malveillances internes ou des attaques menées sur une longue période. Cependant, cette évaluation est également la plus exigeante en termes de ressources et de temps. Toutes les applications ne se prêtent pas à une telle évaluation.
2021 ©Stroople. Tous droits réservés. Membre Numeum.