F.A.Q

 

u

Phase de reconnaissance passive

L’auditeur récolte et utilise des informations publiques afin d’établir la cartographie du Système d’Information, sans interaction directe avec ce dernier.

u

Phase de reconnaissance active

Le pentester utilise des techniques de scans afin de découvrir activement les services et interfaces exposés. Cette phase permet également de valider les informations récoltées passivement.

u

Déroulement d'un audit

Une réunion d’initialisation permet d’identifier les besoins et le périmètre de la mission, ainsi que ses éventuelles contraintes.

Un mandat juridique entre les différentes parties est édité afin d’encadrer la prestation d’audit de DSecBypass.

Le consultant en charge de la mission est joignable à tout moment pendant son exécution et informe le client en cas de découverte critique.

u

Qu’est-ce qu’un test d’intrusion (pentest) et à quoi ça sert ?

Un test d’intrusion, aussi appelé pentest, est une simulation contrôlée d’attaque informatique visant à identifier les failles de sécurité d’un système, d’un réseau ou d’une application web.
L’objectif est de détecter et corriger les vulnérabilités avant qu’un pirate ne puisse les exploiter.
Les pentests permettent aux entreprises de renforcer leur cybersécurité, de respecter les normes réglementaires (RGPD, ISO 27001, PCI-DSS, DORA, NIS2) et de protéger leurs données sensibles. C’est également un bon moyen de faire monter en maturité cyber les équipes techniques en les faisant participer aux réstitutions.

u

Quelle est la différence entre un test d’intrusion en boîte noire, boîte grise et boîte blanche ?

En cybersécurité, la méthodologie d’un test d’intrusion (ou pentest) peut varier selon la quantité d’informations fournies à l’auditeur avant l’audit. On distingue trois approches principales :

  • Test en boîte noire (Black Box)

    • Le pentester ne reçoit aucune information préalable sur le système ciblé.

    • L’audit simule une attaque externe réelle, réalisée par un pirate qui découvre tout par lui-même.

    • Objectif : évaluer la résistance des systèmes exposés à Internet et mesurer le risque d’intrusion sans accès interne.

  • Test en boîte grise (Grey Box)

    • Le pentester dispose d’informations partielles (accès utilisateur limité, schémas réseau, documentation).

    • L’audit simule un attaquant disposant déjà d’un accès limité ou d’informations internes, comme un employé malveillant.

    • Objectif : vérifier la sécurité interne et la capacité à contenir une attaque en cas de compromission initiale.

  • Test en boîte blanche (White Box)

    • Le pentester a un accès complet à toutes les informations : codes sources, configurations, comptes administrateurs.

    • L’audit est exhaustif, permettant de détecter les vulnérabilités profondes invisibles lors d’un test plus limité.

    • Objectif : réaliser un audit complet de sécurité pour un diagnostic précis et une remédiation rapide.

u

Méthodologies de test d'intrusion

Le travail des auditeurs s’appuie sur les référentiels reconnus et internes suivants :

  • Bonnes pratiques spécifiques aux technologies rencontrées
  • TOP10 OWASP et OWASP ASVS
  • SANS Top 20 critical controls
  • Guides et bonnes pratiques de l’ANSSI
  • Expertise DSecBypass
u

Pourquoi réaliser un pentest ?

Le pentest est complémentaire et indispensable aux mesures de sécurité déjà implémentées dans le Système d’Information. Il permet de valider d’un point vue offensif la sécurité du périmètre audité.

u

Les Livrables

Le rapport inclut une synthèse des résultats ainsi que le détail des vulnérabilités (score CVSS, impact, références) et préconisations identifiées.

La restitution technique optionnelle est l’occasion pour le consultant d’exposer sa démarche et ses résultats de manière interactive, et d’échanger avec le client et ses équipes sur le plan d’action à mettre en place.

Également sur option, une restitution managériale permet d’adresser un public exécutif.

u

Quelle est la différence entre un test d’intrusion interne et externe ?

  • Test d’intrusion externe : réalisé depuis Internet, il simule l’attaque d’un cybercriminel externe. Il évalue la sécurité périmétrique (serveurs web, pare-feu, applications accessibles depuis le web).

  • Test d’intrusion interne : réalisé depuis l’intérieur du réseau, il simule un employé malveillant ou un intrus ayant déjà un accès physique ou logique. Il peut être aussi réalisé depuis Internet avec un accès nomade afin de simuler la compromission d’un accès distant.
    Les deux approches sont complémentaires pour obtenir une vision complète de la surface d’attaque et des risques réels.

u

Un test d’intrusion est-il légal en France ?

Oui, à condition qu’il soit autorisé et encadré par un contrat signé entre le prestataire et le client.
Un pentest non autorisé constitue une infraction pénale (article 323-1 du Code pénal).
Les entreprises doivent donc s’assurer que le test est effectué par un prestataire qualifié, respectant la législation et les normes en vigueur.

DSecBypass édite systématiquement un mandat, document supplémentaire afin d’encadrer juridiquement les préstations.