F.A.Q

 

u

Phase de reconnaissance passive

L’auditeur récolte et utilise des informations publiques afin d’établir la cartographie du Système d’Information, sans interaction directe avec ce dernier.

u

Phase de reconnaissance active

Le pentester utilise des techniques de scans afin de découvrir activement les services et interfaces exposés. Cette phase permet également de valider les informations récoltées passivement.

u

Déroulement d'un audit

Une réunion d’initialisation permet d’identifier les besoins et le périmètre de la mission, ainsi que ses éventuelles contraintes.

Un mandat juridique entre les différentes parties est édité afin d’encadrer la prestation d’audit de DSecBypass.

Le consultant en charge de la mission est joignable à tout moment pendant son exécution et informe le client en cas de découverte critique.

u

Méthodologies de test d'intrusion

Le travail des auditeurs s’appuie sur les référentiels reconnus et internes suivants :

  • Bonnes pratiques spécifiques aux technologies rencontrées
  • TOP10 OWASP et OWASP ASVS
  • SANS Top 20 critical controls
  • Guides et bonnes pratiques de l’ANSSI
  • Expertise DSecBypass
u

Pourquoi réaliser un pentest ?

Le pentest est complémentaire et indispensable aux mesures de sécurité déjà implémentées dans le Système d’Information. Il permet de valider d’un point vue offensif la sécurité du périmètre audité.

u

Les Livrables

Le rapport inclut une synthèse des résultats ainsi que le détail des vulnérabilités (score CVSS, impact, références) et préconisations identifiées.

La restitution technique optionnelle est l’occasion pour le consultant d’exposer sa démarche et ses résultats de manière interactive, et d’échanger avec le client et ses équipes sur le plan d’action à mettre en place.

Également sur option, une restitution managériale permet d’adresser un public exécutif.