Cette page décrit l’ensemble des services offensifs de WELAN, conçus pour évaluer, via différentes approches, la robustesse des systèmes, réseaux et applications. En utilisant des méthodologies rigoureuses et des outils du marché, nous identifions les vulnérabilités potentielles et évaluons la conformité aux meilleures pratiques de sécurité et aux réglementations applicables.
L’ensemble des prestations listées ci-dessous peut être réalisé de manière ponctuelle ou de manière récurrente. La récurrence permet de garantir le niveau de sécurité d’un environnement dans le temps, en adressant les nouvelles failles de sécurité qui pourraient être introduites par les évolutions et les changements.
En outre, les tests d’intrusion récurrents peuvent s’inscrire dans le cadre d’une procédure de gestion de changements. De nombreux référentiels de sécurité et politiques de sécurité imposent la réalisation d’un audit de sécurité et/ou tests d’intrusion à la suite d’un changement jugé majeur.
- Les Test d’Intrusion
- Audits de Code Source
- Audits Techniques
- Audits de Configuration
- Tests de Segmentation
- Scans de Vulnérabilités
- Audits Active Directory
- Audits de Mots de Passe
Les Tests d’Intrusion
Les tests d’intrusion, également connus sous le nom de pentest (pour “penetration tests”) permettent d’évaluer le niveau de sécurité effectif d’un système ou d’un réseau en simulant les attaques réelles qu’il pourrait subir. Cela permet de comprendre les points faibles du périmètre d’évaluation et de prendre des mesures correctives pour renforcer la sécurité.
Découvrez ici la méthodologie suivie lors de nos tests d’intrusifs.
Chez WELAN, nous réalisons différents types de tests intrusifs :
Tests d’intrusion Web
Les tests d’intrusion web ciblent spécifiquement les applications accessibles via un naviguateur, ce qui inclut :
- Les sites vitrines
- Les applications métiers
- Les CRM ou ERP
- Les API / Web Services
- Etc.
Ces tests peuvent être réalisés en boîte noire ou en boîte grise. Dans le cadre de ces derniers, l’ensemble des couches techniques (i.e. stack technique) est évalué, ce qui inclut la recherche et l’évaluation de tout ou partie des éléments suivants :
- Enregistrements DNS
- Traces disponibles en source ouverte (ex: Éléments indexés par les moteurs de recherche, données d’authentification compromises, etc.)
- Exposition Réseau
- Défauts de sécurité de la couche middleware (i.e. serveur web)
- Défauts de correctif de sécurité des composants logiciel et applicatif (bibliothèques, serveurs web, CMS, framework, etc.)
- Découverte de l’application - Recherche de pages ou de fonctionnalités cachées
- Vulnérabilités applicatives (i.e. Top 10 OWASP)
- Défauts de logique applicative
Tests d’intrusion Externes
Les tests d’intrusion externes ont vocation à évaluer le niveau de sécurité d’un périmètre face aux attaques provenant d’un réseau public, Internet dans la majorité des cas.
En plus des tests d’intrusion web, ces tests incluent également les services applicatifs ou infrastructurels accessibles depuis un réseau étranger non de confiance.
En complément de tests réalisés depuis Internet comme le ferait n’importe quel attaquant, ce type de tests peut également être conduit depuis un réseau partenaire afin d’évaluer les risques d’une attaque via la chaîne d’approvisionnement (i.e. Supply Chain Attack).
Tests d’intrusion Internes
Les tests d’intrusion internes sont réalisés depuis un réseau interne à l’entreprise et/ou un réseau jugé de confiance. En outre, ces tests permettent de simuler un attaquant interne tel que peut l’être un collaborateur malveillant ou un attaquant qui aurait compromis une ressource depuis un réseau externe.
Ces tests permettent de cibler les ressources internes de l’entreprise telles que :
- Les ressources réseau - pare-feu, routeur, commutateur, répartiteur de charge, passerelle SSL, etc.
- Les ressources d’infrastructure - Serveur DNS, serveur NTP, Hyperviseurs, serveur SMTP, IPAM, etc.
- Les serveurs d’authentification - Active Directory, LDAP ou RADIUS
- Les services métiers - Serveurs de gestion client, Outil ITSM, Outil de gestion documentaire (GED), etc.
- Les ressources OOB - Interface ILO, iDrac ou IPMI
- Les postes de travail et postes d’administration
- Les terminaux mobiles
- Les équipements industriels
En outre, ce type de prestation permet d’évaluer l’efficacité des équipements/applications de sécurité tels que les EDR, les sondes de détection ou les pare-feux applicatifs (WAF). Les tests réalisés peuvent également permettre d’évaluer la capacité d’un SOC à détecter des signaux faibles dans le cadre d’une intrusion. Le cas échéant, les auditeurs peuvent adapter leur posture afin d’adopter une approche discrète ou au contraire, une approche plutôt agressive.
Red Team
Une prestation de Red Team est une simulation d’attaque complète et réaliste, qui vise à évaluer la résistance d’une organisation face à des sources de menace qui ne s’imposent aucune limite de périmètre, de cible, de méthode ou de temps.
En plus d’adresser les faiblesses techniques qui pourraient être identifiées lors de prestations de tests d’intrusion, les prestations de Red Team permettent de prendre en compte les aspects humains et physiques de la sécurité, et ce, via la réalisation d’attaque de phishing, d’ingénierie sociale (i.e. social engineering), d’espionnage ou encore d’intrusion physique.
En complément, les scénarios de Red Team sont conçus pour imiter les tactiques, techniques et procédures (TTP) réelles utilisées par des attaquants potentiels.
Contexte de réalisation des tests
Les tests intrusifs peuvent être réalisés suivant différentes approches. Chacune de ces dernières présente des avantages et des inconvénients ; le choix de la méthode dépend des objectifs de l’audit, des contraintes de temps, des ressources disponibles et du niveau de connaissance souhaité sur le système ou l’application auditée.
Boîte noire (ou Black Box)
Dans une approche boîte noire, les testeurs ou auditeurs ont un accès limité et/ou n’ont aucune connaissance préalable du système ou de l’application qu’ils auditent.
Ils agissent comme des attaquants externes ou des utilisateurs non autorisés qui ne disposent d’aucun accès au code source, à la documentation interne ou à toute autre information détaillée sur le fonctionnement du système.
Cette approche permet de simuler le comportement d’un étranger à l’entreprise et opportun qui chercherait à exploiter des défauts de sécurité de l’environnement audité.
Boîte grise (ou Gray Box)
L’approche boîte grise se situe entre les approches boîte noire et boîte blanche. Les auditeurs ont une connaissance partielle du système ou de l’application, mais pas un accès complet au code source ou à tous les détails de la configuration.
Ils disposent généralement d’informations limitées sur l’architecture du système, les fonctionnalités critiques et les contrôles de sécurité mis en place.
Cette approche permet aux auditeurs de combiner leur connaissance limitée du système avec des techniques d’analyse approfondie pour identifier les vulnérabilités potentielles et évaluer la sécurité globale du système.
Par exemple, cette approche permet de ne pas rester bloqué face à une mire d’authentification infaillible et ainsi évaluer toutes les fonctionnalités d’une application.
Boîte blanche (ou White Box)
Enfin, dans le cadre d’une approche boîte blanche, les auditeurs ont un accès complet et détaillé au code source, à l’architecture du système, aux configurations et à d’autres informations internes.
Ils sont en mesure d’examiner en profondeur le fonctionnement interne du système, ce qui leur permet de détecter des vulnérabilités, des erreurs de développement, des faiblesses de configuration et des lacunes de sécurité.
Cette approche offre une visibilité maximale sur le périmètre audité, ce qui permet une analyse approfondie des risques et une recommandation précise de mesures correctives.
En règle générale, l’entreprise commanditaire met à disposition des auditeurs ses équipes afin de répondre à toute demande durant les tests.
Audits de Code Source
L’audit de code source a pour vocation d’évaluer le niveau de sécurité d’une application en évaluant la qualité de son code source et plus particulièrement:
- Le respect des techniques de développement sécurisé
- Le respect des règles de développement imposées par l’entreprise
- L’usage de composants tiers de confiance (i.e. bibliothèques, plug-ins, connecteurs, etc.) et à jour
En outre, une attention particulière est portée sur les mécanismes suivants :
- Mécanismes d’authentification
- Méthodes de construction des requêtes SQL
- Mécanismes de gestion des sessions
- Mécanismes de connexion avec des composants tiers (authentification et chiffrement)
- Mécanismes de chiffrement / algorithmes cryptographiques (données en transit et données au repos)
- Mécanismes de gestion des utilisateurs
- Mécanismes de contrôle d’accès aux données et aux fonctionnalités
- Mécanismes de filtrage des entrées utilisateurs
- Mécanismes de chargement de composants tiers (i.e. bibliothèques)
- Fonctions cachées / Mécanismes de débug
- Gestion des traces / logs / journaux
- Mécanismes / interfaces d’administration
Sauf impossibilité technique ou organisationnelle, les audits de code source combinent une analyse statique et dynamique du code :
Cette approche combinatoire permet d’optimiser le temps d’audit afin d’expliciter le code source évalué et ainsi faciliter l’analyse.
- Analyse statique : Les auditeurs analysent le code source ligne par ligne à la recherche de vulnérabilités connues, de pratiques de programmation ne respectant pas les règles de développement sécurisé ou d’erreurs de logique.
- Analyse dynamique : Dans certains cas, une analyse dynamique du code peut être réalisée en exécutant l’application dans un environnement de test et en surveillant son comportement afin d’identifier les défauts de développement qui ne sont ou qui ne peuvent pas être détectés de manière certaine lors d’une analyse statique du code.
Audits de Configuration
L’audit de configuration vise à évaluer les paramètres de sécurité d’un équipement, d’un système ou d’une application.
L’évaluation des paramètres de sécurité est réalisée sur la base :
- Des meilleures pratiques de sécurité applicables pour la technologie évaluée
- Des politiques et guides de configuration de l’entreprise
Un audit de configuration peut être réalisé sur tout type de ressource telles que :
- Les équipements réseau
- Les systèmes d’exploitation
- Les postes de travail
- Les applications et les outils de sécurité.
Tests de Segmentation
Dans le paysage complexe de la cybersécurité, la segmentation réseau joue un rôle crucial dans la protection de vos données et de vos systèmes contre les cybermenaces. Nos tests de segmentation offrent une évaluation approfondie de la robustesse de votre segmentation réseau, vous permettant de détecter et de corriger les vulnérabilités potentielles.
La segmentation réseau consiste à diviser votre réseau informatique en segments logiques ou zones, avec des politiques de sécurité distinctes appliquées à chaque segment. Cela limite la propagation des attaques et réduit la surface d’attaque, renforçant ainsi la sécurité globale de votre infrastructure.
Afin d’évaluer la segmentation de votre réseau, une approche méthodique est proposée :
- Analyse de l’Architecture Réseau : Nous examinons en détail l’architecture de votre réseau pour identifier les zones logiques et les règles de communication entre les différents segments.
- Évaluation des Règles de Pare-feu : Nous passons en revue les règles de pare-feu et les politiques de filtrage de votre réseau pour vérifier qu’elles sont correctement configurées et qu’elles respectent les principes de moindre privilège.
- Test de Connectivité : Nous effectuons des tests de connectivité pour vérifier que seuls les flux de données autorisés sont autorisés entre les segments et que les règles de filtrage sont appliquées de manière appropriée.
- Évaluation de la Séparation des Privilèges : Nous examinons la séparation des privilèges entre les différents segments pour nous assurer que seuls les utilisateurs et les services autorisés ont accès aux ressources appropriées.
La réalisation de tests de segmentation présente différents avantages :
- La Détection Précoce des Risques : Nos tests de segmentation vous permettent de détecter et de corriger les vulnérabilités de sécurité avant qu’elles ne soient exploitées par des attaquants.
- Renforcement de la Protection : En identifiant et en corrigeant les faiblesses de votre segmentation réseau, vous renforcez la protection de vos données et de vos systèmes contre les cybermenaces.
- La mise en Conformité aux Normes de Sécurité : Nos tests de segmentation vous aident à vous conformer aux normes de sécurité et aux réglementations en vigueur en matière de protection des données et de confidentialité.
- L’Identification des Vulnérabilités et des Failles : Nous identifions les vulnérabilités et les failles de sécurité potentielles dans la segmentation de votre réseau, telles que les règles de pare-feu mal configurées, les segments non isolés, ou les chemins de contournement possibles.
Scans de Vulnérabilités
Dans le paysage dynamique de la cybersécurité, la détection précoce et la correction des vulnérabilités sont essentielles pour maintenir la sécurité de votre infrastructure informatique. Notre service de scan de vulnérabilités offre une évaluation approfondie de votre environnement, vous permettant d’identifier et de résoudre les vulnérabilités avant qu’elles ne soient exploitées par des attaquants.
Un scan de vulnérabilités est un processus automatisé qui identifie les faiblesses de sécurité potentielles dans votre infrastructure informatique, y compris les systèmes, les applications et les services. Il permet de repérer les vulnérabilités telles que les failles de sécurité logicielles, les configurations incorrectes, les manques de correctifs, et bien plus encore.
Notre approche se fonde sur différents piliers :
- L’Identification des Actifs : Nous commençons par identifier tous les actifs de votre réseau, y compris les serveurs, les postes de travail, les périphériques réseau, les applications, etc.
- Des Scans Automatisés : Nous utilisons des outils spécialisés pour effectuer un scan automatisé de vos actifs, en recherchant activement les vulnérabilités connues et les faiblesses de sécurité.
- L’Analyse des Résultats : Nous analysons les résultats du scan pour identifier les vulnérabilités critiques, les risques potentiels et les zones de faiblesse dans votre infrastructure. Cela permet également de faire un premier tri afin d’identifier les faux positifs.
- La Priorisation des Vulnérabilités : Nous classons les vulnérabilités identifiées en fonction de leur gravité et de leur impact potentiel sur votre environnement, vous permettant de prioriser les actions de correction.
- Des Recommandations et un Plan d’Action : Nous vous fournissons des recommandations pratiques pour remédier aux vulnérabilités identifiées, ainsi qu’un plan d’action détaillé pour renforcer la sécurité de votre infrastructure.
Les avantages des scans de sécurité sont les suivants :
- La Détection Précoce des Menaces : Nos scans de vulnérabilités vous permettent de détecter les failles de sécurité avant qu’elles ne soient exploitées par des attaquants, vous donnant ainsi une longueur d’avance dans la protection de votre infrastructure.
- La Réduction des Risques : En identifiant et en corrigeant les vulnérabilités de sécurité, vous réduisez les risques de violation de données, de perturbation des opérations et de dommages à la réputation de votre entreprise.
Audits Active Directory
Dans un paysage numérique en constante évolution, la sécurité de votre infrastructure informatique est cruciale. Avec notre service d’audit Active Directory, nous offrons une analyse approfondie de votre environnement Active Directory pour identifier les vulnérabilités potentielles et renforcer la posture de sécurité de votre organisation.
En effet, l’Active Directory est le pilier central de nombreuses infrastructures informatiques, servant de référentiel pour les utilisateurs, les groupes et les ressources au sein d’un réseau. En tant que composant essentiel de votre infrastructure, il est impératif de s’assurer que votre Active Directory est sécurisé contre les menaces potentielles.
Nous réalisons un audit exhaustif de votre Active Directory, en examinant de près sa configuration, ses autorisations, ses politiques de groupe, ses comptes d’utilisateurs, et bien plus encore. Nous utilisons des outils spécialisés et des méthodologies avancées pour identifier les lacunes de sécurité et les risques potentiels. Cela permet :
- L’Identification des Vulnérabilités : Nous identifions les failles de sécurité potentielles dans votre Active Directory, vous permettant de prendre des mesures préventives pour les corriger.
- Le Renforcement de la Sécurité : En comprenant les risques associés à votre Active Directory, vous pouvez mettre en place des mesures de sécurité renforcées pour protéger vos données sensibles et votre infrastructure informatique.
- La mise en Conformité Réglementaire : En vous assurant que votre Active Directory est conforme aux normes de sécurité et aux réglementations en vigueur, vous réduisez les risques de non-conformité et les éventuelles sanctions.
- Des Recommandations Personnalisées : Nous vous fournissons des recommandations personnalisées pour améliorer la sécurité de votre Active Directory, en tenant compte des spécificités de votre organisation et de vos besoins uniques.
Lors de notre audit Active Directory, des contrôles spécifiques seront menés, tels que :
- L’Analyse de la Configuration : Nous examinons en détail la configuration de votre Active Directory pour identifier les paramètres de sécurité qui pourraient être mal configurés ou non optimisés. Cela comprend l’examen des stratégies de mot de passe, des stratégies de verrouillage de compte, des stratégies de sécurité, etc.
- La Gestion des Comptes Utilisateurs : Nous évaluons la gestion des comptes utilisateurs dans l’Active Directory, en nous assurant que seuls les utilisateurs autorisés disposent d’un accès approprié. Cela inclut l’examen des privilèges des comptes, des droits d’accès, et la détection des comptes inutilisés ou non autorisés.
- Le Contrôle des Groupes : Nous vérifions la gestion des groupes dans l’Active Directory pour nous assurer que les groupes sont correctement configurés et utilisés de manière appropriée. Cela implique l’examen des membres des groupes, des autorisations accordées aux groupes, et la détection des groupes non sécurisés ou obsolètes.
- La Gestion des Politiques de Groupe (GPO) : Nous examinons les politiques de groupe (GPO) appliquées dans l’Active Directory pour nous assurer qu’elles sont correctement configurées et appliquées de manière appropriée. Cela inclut l’analyse des paramètres de sécurité, des paramètres de confidentialité, et la détection des GPO non conformes ou mal appliquées.
- L’Audit des Accès et des Autorisations : Nous effectuons un audit des accès et des autorisations dans l’Active Directory pour identifier les utilisateurs ou les groupes ayant des privilèges excessifs ou inappropriés. Cela comprend l’examen des listes de contrôle d’accès (ACL), des autorisations NTFS, et la détection des accès non autorisés ou des tentatives d’escalade de privilèges.
- La Détection des Menaces et des Anomalies : Nous utilisons des techniques avancées pour détecter les menaces potentielles et les anomalies dans l’Active Directory, telles que la détection des mouvements latéraux, des attaques par force brute, des tentatives d’exfiltration de données, etc.
En fonction du besoin et du contexte, d’autres contrôles pourront être menés, tels que :
- La Surveillance des Journaux d’Audit : Nous examinons les journaux d’audit de l’Active Directory pour détecter les activités suspectes, telles que les tentatives d’accès non autorisées, les modifications de configuration sensible, etc.
- La Sécurité des Certificats : Nous évaluons la gestion des certificats dans l’Active Directory, en nous assurant qu’ils sont correctement émis, renouvelés et révoqués conformément aux politiques de sécurité de l’organisation.
- Le Contrôle des Services d’Annuaire : Nous vérifions la sécurité des services d’annuaire liés à l’Active Directory, tels que Lightweight Directory Access Protocol (LDAP), Kerberos, etc., pour identifier les vulnérabilités potentielles.
- La Gestion des Objets Sensibles : Nous examinons la manière dont les objets sensibles, tels que les comptes administratifs, les clés de chiffrement, etc., sont gérés et protégés au sein de l’Active Directory.
- La Sécurité des Réplications : Nous évaluons la sécurité des réplications entre les contrôleurs de domaine dans l’environnement Active Directory pour nous assurer qu’elles sont chiffrées et sécurisées contre les attaques potentielles.
- La Protection contre les Menaces Internes : Nous examinons les mesures mises en place pour protéger l’Active Directory contre les menaces internes, telles que les attaques orchestrées par des utilisateurs malveillants internes ou des employés mécontents.
- La Gestion des Stratégies de Sauvegarde et de Restauration : Nous vérifions la mise en œuvre des stratégies de sauvegarde et de restauration de l’Active Directory pour garantir la disponibilité des données en cas de sinistre ou de corruption des données.
Audits de Mots de Passe
Optimisez la Robustesse de Votre Politique de Mots de Passe avec notre service dédié. En effet, les mots de passe constituent souvent la première ligne de défense contre les cyberattaques. Avec notre service d’audit des mots de passe, nous offrons une évaluation approfondie de la robustesse de votre politique de mots de passe, vous aidant à renforcer la sécurité de votre infrastructure informatique.
L’audit des mots de passe consiste à évaluer la qualité et la robustesse des mots de passe utilisés au sein de votre organisation. Cela comprend l’analyse des pratiques de création de mots de passe, des politiques de mot de passe et la détection des mots de passe faibles ou compromis.
Notre approche permet d’examiner les mots de passe existants, d’identifier les faiblesses potentielles et de proposer des recommandations pour renforcer la sécurité des mots de passe au sein de votre organisation.
Cela comprend :
- L’Identification des Mots de Passe Faibles : Nous identifions les mots de passe faibles ou prévisibles qui pourraient être facilement devinés ou crackés par des attaquants. Les points suivants seront abordés :
L’Analyse des Mots de Passe Existants : Nous commençons par examiner les mots de passe existants utilisés par les utilisateurs au sein de votre organisation. Cela peut inclure les mots de passe des comptes utilisateurs, des comptes administratifs, des services, etc.
L’Utilisation d’Outils de Cracking de Mots de Passe : Nous utilisons des outils spécialisés de cracking de mots de passe pour évaluer la force et la robustesse des mots de passe existants. Ces outils peuvent effectuer des attaques par force brute, des attaques par dictionnaire, ou d’autres techniques pour tester la résistance des mots de passe.
L’Analyse de la Complexité des Mots de Passe : Nous évaluons la complexité des mots de passe en analysant des facteurs tels que la longueur, la diversité des caractères (lettres majuscules et minuscules, chiffres, caractères spéciaux), et l’utilisation de séquences ou de motifs prévisibles.
L’Identification des Mots de Passe Courants ou Prévisibles : Nous recherchons les mots de passe couramment utilisés ou prévisibles, tels que ‘password’, ‘123456’, des mots de passe basés sur des informations personnelles comme le nom de l’utilisateur ou des dates de naissance, ou des mots de passe basés sur des séquences simples sur le clavier.
- L’Évaluation de la Politique de Mots de Passe : Nous évaluons la robustesse de votre politique de mots de passe, y compris les exigences de complexité, les périodes de validité, et les mécanismes de verrouillage de compte. De plus nous comparons les mots de passe identifiés avec les exigences de la politique de mots de passe de votre organisation. Si un mot de passe ne répond pas aux critères de complexité ou de longueur spécifiés, il est considéré comme faible.
- La Sensibilisation des Utilisateurs : Nous fournissons des recommandations et des conseils aux utilisateurs pour les aider à créer et à gérer des mots de passe forts et sécurisés.
- La Conformité aux Normes de Sécurité : En vous assurant que vos mots de passe sont conformes aux meilleures pratiques de sécurité et aux normes de l’industrie, vous renforcez la sécurité de votre organisation et réduisez les risques de violation de données.
À la fin de l’audit, nous générons un rapport détaillé répertoriant les mots de passe faibles identifiés, avec des recommandations pour les renforcer. Cela peut inclure des conseils sur la création de mots de passe forts, des exigences de politique de mots de passe plus strictes, ou des formations pour sensibiliser les utilisateurs à l’importance de la sécurité des mots de passe.