Approche


Alomora Secure

Méthodologie

Il y a trois types de pentest, selon le niveau de connaissance de l’application. Chaque type a ses avantages et ses inconvénients, qui affectent l’exhaustivité, le temps, le réalisme de l’audit et le coût.

Black Box

Gray Box

White Box

Alomora Secure favorise l’approche « Gray Box » pour un équilibre optimal entre ces paramètres.

Alomora Secure se base sur le « Penetration Testing Execution Standard » (PTES), un standard reconnu et largement utilisé par les entreprises pour structurer et standardiser les tests d’intrusion.

Cette méthode permet de préserver un environnement conforme aux exigences juridiques et professionnelles.

1. Prise de contact

Nous échangerons ensemble afin de découvrir comment nous pouvons renforcer la sécurité de vos actifs. Pour entamer notre collaboration, veuillez remplir notre formulaire de contact.

2. Réunion de qualification

Cette réunion nous permettra de cerner précisément vos besoins et de personnaliser notre approche en fonction de vos objectifs spécifiques.

À l’issue de la réunion, nous établirons un devis détaillé que vous recevrez dans les plus brefs délais. Vous disposerez de deux semaines pour valider ce devis. N’hésitez pas à nous contacter pour toute question ou pour apporter des modifications.

3. Préparation de la prestation

Maintenant que nous avons toutes les informations nécessaires concernant le périmètre à auditer, nous procéderons à une veille technique approfondie pour maîtriser les domaines techniques pertinents.

Cela nous permettra d’utiliser les outils et les méthodes les plus appropriés lors du pentest.

Parallèlement, nous vous assisterons dans l’installation du VPN Alomora Secure et vérifierons le bon fonctionnement des accès. Il est important de noter que, si le test d’intrusion concerne une application web déjà accessible en ligne, l’installation du VPN ne sera pas forcément nécessaire.

4. Réunion de lancement

Cette réunion nous permettra de confirmer les informations de l’audit et de finaliser les accords juridiques requis.

Alomora Secure dispose de toutes les informations nécessaires pour débuter le pentest. Un email sera envoyé pour notifier le début du test.

5. Analyse

Le pentest à distance commence. Nous mettons à profit notre expertise technique pour identifier les vulnérabilités présentes dans votre application.

Chaque vulnérabilité identifiée sera évaluée et priorisée en fonction du risque, de sa criticité et de son impact sur l’application.

6. Exploitation

Les vulnérabilités identifiées seront soumises à une phase de validation par l’exploitation.

Un exploit est un programme conçu pour tirer parti des vulnérabilités d’un service. Il peut permettre d’élever les privilèges au sein de l’application.

Avant de procéder à ce test, nous vous informerons si l’exploitation pourrait potentiellement affecter l’application.

Nous vous informerons immédiatement si une vulnérabilité critique a été découverte.

7. Post-Exploitation

Lorsque l’exploitation réussit, nous obtenons une élévation de privilèges. Depuis ce nouveau contexte, nous avons accès à d’autres fonctionnalités, services et informations.

De manière récursive, nous reviendrons à la phase d’analyse (étape 5) pour identifier d’éventuelles nouvelles vulnérabilités à exploiter.

8. Phase de rapport

À la fin de l’audit et après avoir « nettoyé » l’environnement du pentest, nous organiserons une réunion de restitution pour vous présenter les vulnérabilités les plus critiques.

De façon sécurisé, vous recevrez également, dans les jours suivants, un rapport technique détaillé, conçu pour être compréhensible par tous les intervenants.

Nous assurons une traçabilité complète de tous nos tests. Les données liées à l’audit sont conservées pendant une durée d’un mois après la livraison du rapport.

Fin de la prestation

A la fin de la prestation, nous restons à votre disposition pour répondre à toutes vos questions.

Entre 3 et 6 mois, un retest est fortement conseillé pour vérifier la mise en place des corrections. Grâce à notre VPN déjà installé, cette prestation sera moins cher et plus rapide.

Notre solution de VPN à distance facilite les futures interventions et nous serions ravis de collaborer à nouveau avec vous.