Penetration Tests / Test d'intrusion

Un Penetration Tests (Test d'intrusion) est une cyberattaque simulée visant à identifier les failles de sécurité dans les systèmes, les applications ou les organisations et à fournir au client des informations détaillées sur l'état de la sécurité.

Compass Security travaille en étroite collaboration avec vos équipes. Nous vous conseillons et vous soutenons avec notre expertise pendant le scoping, ainsi que pendant tout le déroulement du projet jusqu'à la remise du rapport et la discussion finale. Nous mettons tout en œuvre pour fournir des recommandations exceptionnelles et durables.

Notre recherche continue et notre collaboration avec des universités de premier plan en Suisse garantit que nos experts ont toujours un niveau de connaissances élevé et actuel. Ainsi, nous ne nous contentons pas de rendre compte des points faibles identifiés, mais formulons également des recommandations concrètes pour améliorer votre sécurité globale à long terme et de manière durable.

External Penetration Testing / Tests d'intrusion externes

Lors d'un test d'intrusion externe, nous analysons l'infrastructure exposée sur Internet et recherchons les points faibles. Habituellement, nous commençons par vérifier les systèmes et les services à l'aide d'outils automatisés. L'analyse est ensuite affinée à l'aide de tests manuels. Les vulnérabilités identifiées sont vérifiées et, le cas échéant, exploitées afin de quantifier les risques effectifs.

Activités typiques des tests d'intrusion externes :

  • Identification des systèmes et des services
  • Identification des hôtes virtuels par leur nom de domaine
  • Analyse des points faibles et contrôle de plausibilité
  • Exploitation des vulnérabilités découvertes
  • Étendre les attaques des systèmes « infectés » aux services voisins (pivoting)

Internal Pentration Testing / Tests d'intrusion internes

Un accès non autorisé à votre réseau peut également être le fait de codes malveillants, de collaborateurs frustrés ou de partenaires affiliés. Lors d'un test d'intrusion interne, nous vous rendons visite et simulons une attaque d'un point de vue interne. Nous analysons l'infrastructure interne et recherchons les points faibles et les vecteurs d'attaque possibles. Nous utilisons les vecteurs d'attaque découverts pour obtenir des privilèges supplémentaires sur le réseau, compromettre des systèmes critiques et accéder à des données sensibles.

Activités typiques des tests d'intrusion internes :

  • Analyse des points faibles
  • Exploitation des vulnérabilités découvertes
  • Escalation de privilège (sur l'ordinateur et au sein du domaine)
  • Recherche de mots de passe et de matériel cryptographique (fichiers, configuration, logiciels, référentiels, wiki d'entreprise)
  • Vérification de la séparation interne du réseau
  • Identification et exploitation des mauvaises configurations Active Directory (Bloodhoud, Pingcastle, etc.)
  • Attaques au moyen de mécanismes réseau de Windows (relais NTLM, Pass-the-Hash, Kerberoasting, délégation, etc.)

    Application Pentesting / Test d'intrusion des applications

    Lors d'un test d'intrusion d'application, nous analysons l'ensemble de l'application et recherchons faiblesses logiques et techniques.

    Les tests sont adaptés au type d'application et aux technologies utilisées. Pour ce faire, nous nous conformons à des normes éprouvées telles que l'OWASP Top 10 ou l'OWASP ASVS. Nous les complétons par des faiblesses actuelles et spécifiques à la technologie afin de pouvoir évaluer la sécurité globale de l'application.

    Nos normes de test sont appliquées aux applications de bureau et mobiles, qu'elles soient basées sur des technologies web ou des frameworks natifs.

    Types d'application :

    • Applications web, services web et API RESTful
    • Applications mobiles (Android et iOS)
    • Application client / serveur (client lourd)

    Connaissances d'experts pour des exigences particulières

    Nos spécialistes couvrent un large éventail de technologies. Nous pouvons répondre à des besoins très spécifiques et fournir une expertise sur des sujets tels que les environnements cloud spéciaux, les technologies IoT ou du matériel propriétaire.

    Ingénierie sociale

    Afin d'accroître la sensibilisation de vos collaborateurs à la sécurité, nous menons des attaques d'ingénierie sociale sur le modèle des escroqueries actuelles. Les campagnes de phishing basées sur les e-mails, le vishing par téléphone ou l'ingénierie sociale physique (nous essayons d'entrer dans vos installations et d'obtenir l'accès aux zones critiques) font partie de notre répertoire. Pour la formation continue et durable de votre personnel, nous proposons des abonnements de phishing ainsi que des présentations de piratage en direct et des formations de sensibilisation.

     

    Nous nous ferons un plaisir de vous renseigner personnellement : vos interlocuteurs

    References