• 03 22 38 24 98

Test d'intrusion

Test d'intrusion

Les tests d'intrusion ont pour but de détecter les failles de sécurité affectant votre système informatique et de vous proposer des solutions afin de corriger ces vulnérabilités.

La méthodologie interne du cabinet se base sur des référentiels connus comme OSSTMM ou OWASP. Meta Security s'engage à fournir une prestation de qualité en recensant les failles de façon la plus exhaustive possible.

Meta Security s'engage contractuellement afin de vous fournir une prestation de qualité et de vous protéger des risques de débordement.

À l'issu d'un test d'intrusion, un rapport vous est fourni. Ce dernier contient l'intégralité des vulnérabilités découvertes et pour chacune d'entre elles :

  • Une description à la fois simple et détaillée permettant de comprendre rapidement la vulnérabilité et de reproduire l'attaque.
  • La criticité.
  • La difficulté d'exploitation et de correction.
  • Les solutions correctives permettant d'enrayer la vulnérabilité.

Le rapport comprend également une synthèse simple compréhensible par une personne non technique.

Afin de mieux répondre à vos besoins, nous vous proposons différents types de prestations, toutes personnalisables.

Test d'intrusion applicatif

Test d'intrusion applicatif

Les tests d'intrusion applicatifs vous permettent de mettre en exergue les vulnérabilités affectant une application métier ou un élément sensible de votre système informatique comme :

Ce type de prestation vous permet de bénéficier de l'expertise des consultants du cabinet. Dans le cadre de la recherche en vulnérabilité, nous réalisons ponctuellement des tests d'intrusion applicatifs pour différents logiciels libres.





Test d'intrusion Web

Test d'intrusion Web

Il s'agit d'un test d'intrusion applicatif spécialisé dans la recherche en vulnérabilité des applications Web.

Notre méthodologie interne, basée sur la méthode OWASP, est le fruit de plusieurs années d'expérience dans les tests d'intrusion. Celle-ci nous permet de rechercher de façon exhaustive l'ensemble des vulnérabilités affectant les services Web (Manipulation des paramètres, Injection SQL, XSS, XSRF, Authentification Bypass, sessions hijacking...) ainsi que les failles logiques (erreur de programmation, étanchéité des sessions...).

Les tests sont d'abord effectués manuellement à l'aide d'un proxy passif, puis un scanner de faille automatique est utilisé en fin de prestation afin de valider le processus de détection.

Contrairement à d'autres sociétés se contentant d'utiliser un scanner de failles automatique, cette recherche manuelle nous permet de détecter un nombre de vulnérabilités beaucoup plus important et indétectable par les outils automatisés.

Nous avons réalisé ce type de prestation sur de nombreuses architectures :

  • Les technologies 2.0 Web Service/SOAP, JavaScript, Ajax, JSON...
  • Applications Web en PHP, ASP, .NET, JSP, Servlet, CGI...
  • Serveurs Apache, IIS, Tomcat, Coyote...
  • Bases de données Mysql, MSSQL, Oracle...

Dans le cadre de nos recherches en vulnérabilité, nous découvrons régulièrement des failles de sécurité affectant des frameworks Web open source.





Test d'intrusion externe

Test d'intrusion externe

Les tests d'intrusion externes consistent à simuler le comportement d'un pirate informatique afin d'identifier les vulnérabilités permettant de pénétrer ou de compromettre votre système. À partir d'Internet, les consultants de Meta Security recherchent les failles de sécurité sur le périmètre défini et tentent de s'infiltrer dans votre réseau.

Ce type de prestation permet de savoir si votre système informatique est réellement sécurisé depuis l'extérieur, s'il est possible d'accéder à des données confidentielles (fichiers clients, recherche interne...) ou de nuire à votre entreprise.

Le livrable du test d'intrusion vous permet de comprendre et de corriger l'intégralité des vulnérabilités découvertes au cours du test.

Les tests d'intrusion externes peuvent être réalisés sur un périmètre constitué d'une à plusieurs centaines de machines et couvrent tous les services accessibles depuis l'extérieur (Serveurs Web, FTP, DNS, Base de données, routeurs, firewall...).





Test d'intrusion interne

Test d'intrusion interne

L'objectif de ce test est de mettre en évidence les failles de sécurité des éléments les plus sensibles de votre réseau local en agissant à partir de celui-ci, comme le ferait une personne malveillante travaillant au sein du réseau interne (stagiaires, collaborateurs, prestataires...).

Le test d'intrusion interne permet de:

  • Éprouver la sécurité des composants les plus critiques (contrôleurs de domaine, Intranet, Mail, DNS, serveurs de fichiers...).
  • Vérifier la sécurité des stations de travail.
  • Voir s'il est possible d'exfiltrer des données sensibles.