Test d'intrusion
Qu’est-ce qu’un test d’intrusion ?
Un test d’intrusion est un processus systématique de sondage des vulnérabilités de vos applications et réseaux. Essentiellement, c'est une forme contrôlée de piratage selon laquelle un « attaquant » agit en votre nom pour identifier les différentes faiblesses exploitées par les criminels.
Le processus de test d’intrusion implique une évaluation de vos systèmes de choix en fonction de toute faiblesse potentielle pouvant résulter d'une configuration médiocre ou inappropriée du système, de failles matérielles ou logicielles, connues et inconnues, et de faiblesses opérationnelles des processus ou des contremesures techniques.
Un testeur d’intrusion expérimenté sait imiter les techniques employées par les criminels sans provoquer de dégâts. Ces tests sont habituellement menés hors des heures de travail ou lorsque les réseaux et les applications sont moins sollicités afin de minimiser l'impact sur l'exploitation quotidienne.
Contacter un expert
Pourquoi mener un test d’intrusion ?
Les motifs d'exécution des tests d’intrusion devraient reposer sur une évaluation des critères pertinents, incluant généralement :
- En réponse à l'impact d'une violation grave sur une organisation similaire ;
- Afin de respecter une réglementation ou une norme telle que le PCI DSS et le RGPD ;
- Pour assurer la sécurité des nouvelles applications ou des changements significatifs tout au long du processus d'entreprise ;
- Pour gérer les risques d'usage d'un nombre et d'une variété supérieurs de services externalisés ;
- TPour apprécier le risque de compromission des systèmes ou données stratégiques.
“IT Governance propose des observations pertinentes via un service économique.”
Ian Kilpatrick, Group Information Security Officer at Collinson Group
Différents types de test d’intrusion
Au sens large, nous relevons quatre types de test d’intrusion, chacun privilégiant un aspect particulier du périmètre logique d'une organisation.
Test d’intrusion de réseau
Objectif
Identifie des problèmes de sécurité au sein de votre infrastructure de réseau. Le test d’intrusion réseau devrait impliquer un scan de votre réseau filaire et sans fil.
Test d’intrusion d'applications Web
Objectif
Détecte les questions de sécurité sur un site Web ou dans une application Web susceptibles d'être exploitées par un attaquant malveillant pour entraîner un vol de données ou des dommages irréparables.
Test d'intrusion de réseau sans fil
Objectif
Le test d'intrusion de réseau sans fil sert à détecter les points d'accès et les dispositifs dévoyés, à analyser vos configurations et à tester les vulnérabilités.
Test de phishing simulé
Objectif
Offre une appréciation indépendante de la susceptibilité des employés aux attaques par phishing et évalue vos campagnes de sensibilisation à la sécurité.
Que fournit mon rapport de test d'intrusion ?
Un test d'intrusion exécuté par IT Governance va, en moyenne, identifier 3 résultats de risque critique, 8 élevés, 43 moyens et 11 faibles par rapport.
Description
L'agent de menace pourrait prendre le contrôle intégral du système ou de l'application ou le rendre inutilisable par des utilisateurs légitimes en recourant à des exploitations et des méthodes connues.
Description
L'agent de menace pourrait prendre le contrôle intégral du système ou de l'application ou le rendre inutilisable par des utilisateurs légitimes.
Description
L'agent de menace pourrait prendre le contrôle intégral du système ou de l'application ou le rendre inutilisable par des utilisateurs légitimes.
Description
L'agent de menace pourrait obtenir des informations sur les systèmes pouvant être employées pour faciliter un accès plus approfondi.
Parler à un expert
Veuillez nous contacter pour en savoir plus ou afin de discuter avec un expert.