Audit Objet Connecté (IoT)
Ce pentest emploi à la fois des techniques de rétro-ingénierie, d’attaques Web et d’attaques systèmes afin d’analyser dans son ensemble la sécurité de l’objet connecté et son écosystème.
L’auditeur, en possession de l’objet à analyser, va par exemple tenter de découvrir des comptes renseignés en dur dans le micrologiciel, va attaquer d’éventuels services réseaux ouverts ou encore exploiter des failles de sécurité dans les interfaces web proposées. Les communications avec un backend pourront être également analysées.
Selon le type de matériel et l’objet de la mission, des attaques physiques (accès à un port console par exemple) ou applicatives (application Android, iOS) peuvent être envisagées.
Dans quels cas choisir le test d’intrusion objet connecté ?
Mesurer la sécurité et l’impact d’un objet connecté dans le réseau de l’entreprise.
S’assurer de la robustesse de l’objet contre la rétro-ingénierie d’un tiers malveillant (concurrents, hackers).
Modalités de la prestation
Une réunion d’initialisation permet d’identifier les besoins et le périmètre de la mission, ainsi que ses éventuelles contraintes.
Un mandat juridique entre les différentes parties est édité afin d’encadrer la prestation d’audit de DSecBypass.
Le consultant en charge de la mission est joignable à tout moment pendant son exécution et informe le client en cas de découverte critique.
Résultats du test d’intrusion
Les livrables de la mission comprennent un rapport ainsi que deux restitutions optionnelles.
Le rapport inclut une synthèse des résultats ainsi que le détail des vulnérabilités et préconisations identifiées.
La restitution technique est l’occasion pour le consultant d’exposer sa démarche et ses résultats de manière interactive, et d’échanger avec le client et ses équipes sur le plan d’action. La restitution managériale permet d’adresser un public exécutif.
