Approche


Alomora Secure

Méthodologie

Il y a trois types de pentest, selon le niveau de connaissance de l’application. Chaque type a ses avantages et ses inconvénients, qui affectent l’exhaustivité, le temps, le réalisme de l’audit et le coût.

Black Box

  • Aucune connaissance
  • Peu exhaustif
  • Très rapide
  • Plus réaliste
  • Peu couteux

Gray Box

  • Connaissance partielle
  • Plus exhaustif
  • Rapide
  • Réaliste
  • Rapport qualité/prix optimal

White Box

  • Connaissance totale
  • Très exhaustif
  • Moins rapide
  • Moins réaliste
  • Très couteux

Alomora Secure favorise l’approche « Gray Box » pour un équilibre optimal entre ces paramètres.

Alomora Secure se base sur le « Penetration Testing Execution Standard » (PTES), un standard reconnu et largement utilisé par les entreprises pour structurer et standardiser les tests d’intrusion.

Cette méthode permet de préserver un environnement conforme aux exigences juridiques et professionnelles.

1. Prise de contact

Nous échangerons ensemble afin de découvrir comment nous pouvons renforcer la sécurité de vos actifs. Pour entamer notre collaboration, veuillez remplir notre formulaire de contact.

  • Présentation de votre entreprise
  • Présentation du pentest à distance
  • Planification de la réunion de qualification

2. Réunion de qualification

Cette réunion nous permettra de cerner précisément vos besoins et de personnaliser notre approche en fonction de vos objectifs spécifiques.

  • Définition du périmètre
  • Mise en place des objectifs
  • Planification de la réunion de lancement
  • Installation du VPN pour le pentest à distance

À l’issue de la réunion, nous établirons un devis détaillé que vous recevrez dans les plus brefs délais. Vous disposerez de deux semaines pour valider ce devis. N’hésitez pas à nous contacter pour toute question ou pour apporter des modifications.

3. Préparation de la prestation

Maintenant que nous avons toutes les informations nécessaires concernant le périmètre à auditer, nous procéderons à une veille technique approfondie pour maîtriser les domaines techniques pertinents.

Cela nous permettra d’utiliser les outils et les méthodes les plus appropriés lors du pentest.

Parallèlement, nous vous assisterons dans l’installation du VPN Alomora Secure et vérifierons le bon fonctionnement des accès. Il est important de noter que, si le test d’intrusion concerne une application web déjà accessible en ligne, l’installation du VPN ne sera pas forcément nécessaire.

4. Réunion de lancement

Cette réunion nous permettra de confirmer les informations de l’audit et de finaliser les accords juridiques requis.

  • Mise en place des accords juridiques
  • Confirmation du périmètre et des prérequis
  • Confirmation des dates du pentest
  • Vérification de l'installation du VPN
  • Présence de sauvegardes de l'application
  • Vérification que toutes les parties prenantes soient correctement informées.

Alomora Secure dispose de toutes les informations nécessaires pour débuter le pentest. Un email sera envoyé pour notifier le début du test.

5. Analyse

Le pentest à distance commence. Nous mettons à profit notre expertise technique pour identifier les vulnérabilités présentes dans votre application.

Chaque vulnérabilité identifiée sera évaluée et priorisée en fonction du risque, de sa criticité et de son impact sur l’application.

  • Utilisation d'outils spécialisés
  • Enumération des composants de l'application
  • Détection des faiblesses de configuration
  • Analyse des bonnes pratiques
  • Plus de 300 points de contrôle

6. Exploitation

Les vulnérabilités identifiées seront soumises à une phase de validation par l’exploitation.

Un exploit est un programme conçu pour tirer parti des vulnérabilités d’un service. Il peut permettre d’élever les privilèges au sein de l’application.

Avant de procéder à ce test, nous vous informerons si l’exploitation pourrait potentiellement affecter l’application.

  • Identification de l'exploit
  • Analyse de l'exploitation à utiliser
  • Tentative d'élévation de privilège
  • Confirmation de la vulnérabilité

Nous vous informerons immédiatement si une vulnérabilité critique a été découverte.

7. Post-Exploitation

Lorsque l’exploitation réussit, nous obtenons une élévation de privilèges. Depuis ce nouveau contexte, nous avons accès à d’autres fonctionnalités, services et informations.

  • Confirmation de l'élévation de privilège
  • Enumération des informations du nouveau contexte
  • Tentative de latéralisation
  • Analyse de nouvelles vulnérabilités

De manière récursive, nous reviendrons à la phase d’analyse (étape 5) pour identifier d’éventuelles nouvelles vulnérabilités à exploiter.

8. Phase de rapport

À la fin de l’audit et après avoir « nettoyé » l’environnement du pentest, nous organiserons une réunion de restitution pour vous présenter les vulnérabilités les plus critiques.

De façon sécurisé, vous recevrez également, dans les jours suivants, un rapport technique détaillé, conçu pour être compréhensible par tous les intervenants.

  • Evaluation du niveau de sécurité global de l'application
  • Résumé exécutif
  • Vue synthétique sous forme de tableaux et de graphiques
  • Création d'un graphe d'attaque
  • Priorisation des résultats les plus critiques
  • Analyse technique détaillée des vulnérabilités
  • Recommandations spécifiques pour chaque vulnérabilité identifiée
  • Elaboration d'un plan d'action sur mesure

Nous assurons une traçabilité complète de tous nos tests. Les données liées à l’audit sont conservées pendant une durée d’un mois après la livraison du rapport.

Obtenir notre exemple de rapport

Fin de la prestation

A la fin de la prestation, nous restons à votre disposition pour répondre à toutes vos questions.

Entre 3 et 6 mois, un retest est fortement conseillé pour vérifier la mise en place des corrections. Grâce à notre VPN déjà installé, cette prestation sera moins cher et plus rapide.

Notre solution de VPN à distance facilite les futures interventions et nous serions ravis de collaborer à nouveau avec vous.

Planifiez Votre Pentest à Distance