N'attendez pas la grève, anticipez-la

Notre nouvelle entité de sécurité offensive, composée de professionnels de la sécurité ayant une solide expérience dans le domaine, peut vous aider en effectuant des tests d'intrusion sur vos actifs à risque et déterminer les failles de sécurité à corriger.

Nous avons basé notre approche sur différents cadres bien connues :

OWASP - Open Web Application Security Project

Pour tous les types d’ applications, l'Open Web Application Security Project (OWASP)] est l'un des framework les plus reconnus. Cette méthodologie, développée par une communauté très expérimentée, a aidé de nombreuses organisations à découvrir des vulnérabilités.

Ce framework fournit une méthodologie pour le pentest d'applications Web qui aide à découvrir les vulnérabilités courantes des applications Web et mobiles, mais aussi les failles logiques complexes qui résultent de pratiques de développement non sécurisées. Le framework fournit des lignes directrices avec de nombreux contrôles à évaluer, permettant aux pentesters de découvrir des vulnérabilités dans de nombreuses fonctions utilisées au sein d’applications modernes.

PTES     - Penetration Testing Execution Standards

PTES ou Penetration Testing Execution Standards est un framework de pentest conçu par une équipe de professionnels de la sécurité de l'information. Il met en évidence la méthodologie la plus recommandée pour structurer un audit. Cette norme explique les différentes étapes d'un pentest, notamment les phases de préparation, de collecte d'informations et de modélisation des menaces.

Pour mener à bien cette mission, nous avons appliqué la méthodologie suivante, basée sur plusieurs années d'expérience et de "try & fail" :

• Kick-off technique,
   
• Collecte d'informations,
   
• Identification des points d'entrée possibles,
   
• Tests manuels et automatisés,
   
• Exploitation,
   
• Mouvements latéraux,
   
• Création du rapport d’activités détaillé.
   
• Re test facultatif

Nous pouvons effectuer les engagements selon 3 modes différents :

• Black Box : nous ne disposons d'aucune information à l'avance sur les cibles visées, si ce n'est leur adresse IP ou leur nom de domaine, par exemple.
   
• Grey Box : le client fournit un minimum d'informations pour commencer la mission. Ensuite, il peut fournir plus d'informations à la demande pour approfondir et ne pas rester bloqué sur un point précis.
   
• White Box : le code source, les informations complètes sur la configuration, les documents d'architecture, etc... sont disponibles.

La principale difficulté est de trouver le bon équilibre entre le temps alloué et la disponibilité des informations. En effet, l'objectif est d'être le plus proche possible d'une attaque réelle, mais en un temps limité alors qu'un véritable attaquant disposerait de plusieurs mois pour la phase de reconnaissance. C'est pourquoi nous recommandons une approche Grey / White box afin d'améliorer le retour sur investissement pour le client.

L'état d'esprit de l'équipe est d'être totalement transparent avec le client en livrant un rapport de haute qualité, complet, composé des sections suivantes :
 

• Un résumé haut niveau où les vulnérabilités techniques sont  présentées dans un contexte business de manière à ce que la direction puisse comprendre les conséquences financières en cas d'exploitation.
   
• Une section technique où les vulnérabilités par domaine sont triées par ordre de remédiation. Pour les trier, nous utilisons des critères spécifiques, facilement compréhensibles et qui prennent en compte le contexte métier/technique
   
• Tous les scripts, lignes de commande, logiciels, etc. utilisés pour découvrir les vulnérabilités sont décrites dans le rapport afin que le client final puisse rejouer lui-même l'attaque si besoin.
   
• Une conclusion de haut niveau dans laquelle nous donnons notre avis sur la sécurité globale des cibles concernées.

Plusieurs avantages peuvent être identifiées avec ce type d'engagement. Entre autres :

• Former vos employés à gérer un incident de Cyber Sécurité dans des conditions réelles,
   
• Identifier des aspects de votre sécurité qui manque de maturité au niveau technique mais aussi process
   
• Identifier les chemins d’attaque les plus critiques vers vos actifs les plus exposés.

La confiance et la proximité étant fortement liées, notre équipe peut vous accompagner dans toute la Suisse. Nous pouvons également assurer une gestion de projet spécifique, dans la mesure ou ELCA Security est un véritable acteur suisse et indépendant.

La cybersécurité est un investissement sur le long terme, afin d'anticiper les problèmes futurs et limiter leurs impacts sur les activités quotidiennes.

Pour la plupart des entreprises, il n'est pas justifié d'investir des sommes importantes dans ce domaine. C'est pourquoi ELCASecurity propose plusieurs type d’audits « flash » pour vous permettre de faire un premier pas dans le monde de la cybersécurité.