Vos Experts en Cybersécurité Offensive

Une question? Besoin d'un devis?

[email protected]

Le Test d'Intrusion WEB/API

Une simulation des actions d’un pirate:

 Le test d’intrusion (Pentest) consiste en la simulation des activités d’un attaquant dans le but de détecter les vulnérabilités présentes, de les exploiter et d’établir un plan d’actions de remédiation pour sécuriser l’asset à protéger.

Le test d’intrusion est la solution pour évaluer la réalité de l’état de sécurité d’un site web ou d’un service exposé et, pour se prémunir des attaques d’acteurs malveillant externes ou internes à l’organisation (collaborateurs/clients malveillants) en actionnant le plan de remédiation basé sur le réel.

2 types de tests correspondant à des scénarios réalistes d’attaque:

Le test en « Boite Noire »:
Il s’agit d’un test « non authentifié » simulant une attaque opportuniste depuis Internet se déroulant sur 2 à 3 jours.
Il se focalise, comme le ferait un pirate, sur le contournement de l’authentification et l’accès aux ressources protégées.

Le test en « Boite Grise »:
Il s’agit d’un test authentifié simulant une attaque d’un utilisateur malveillant ou d’un pirate ayant récupéré les accès d’un utilisateur sur l’application ou le service.
Il se déroule en moyenne sur 5 jours et comporte une phase de test en « Boite Noire » puis se focalise notamment sur la gestion des droits et le cloisonnement des utilisateurs .

 

Notre qualité de service:

Nos Experts s’appliquent à vous délivrer des rapports intelligibles et précis pour tous les profils concernés de votre entreprise.

Nos rapports et la réunion de restitution du test d’intrusion vous donnerons les clés pour comprendre le risque et conduire vos actions de remédiations en suivant notre plan de remédiation priorisé.

Les livrables sont rédigés et présentés en anglais ou en français selon votre convenance.

Notre volonté est qu’à l’issu d’un test d’intrusion ou d’un scan de vulnérabilité  R3CON Scan, nous ayons pu vous donner une vision claire sur votre niveau d’exposition au risque cyber et surtout vous permettre d’augmenter rapidement votre niveau de sécurité informatique pour protéger votre entreprise, vos collaborateurs et vos clients et partenaires.

.

Méthodologie et détails de la prestation:

Les tests sont réalisés selon la méthode OWASP.

  • Réunion de lancement.

  • Reconnaissance passive (OSINT).

  • Reconnaissance active (Scans réseaux et Scan de services).

  • Mapping de l’application Web , détection des technologies employées.

  • Recherche de vulnérabilités liées aux technologies employées.

  • Recherche de vulnérabilités présentes dans l’application ou le service.

  • Exploitation des vulnérabilités exposées.

  • Rédaction d’un rapport détaillé avec recommandations priorisées.

  • Réunion de restitution.

© All Copyright 2023 by R3CON SAS