FIDENS : Spécialiste de la Cybersécurité depuis 20 ans

Fondé en 2002, FIDENS fait partie du cercle restreint des cabinets de conseil, d’audit et de formation en Cybersécurité.

Dans son cœur de métier, FIDENS réalise des prestations de sécurité de l’information dans tout type d’organisation et assiste ses clients dans leur mise en conformité réglementaire : ISO 27001, HDS, RGS, RGPD, OIV – LPM, OSE-NIS, PCI-DSS etc…

Par ailleurs, une partie importante de l’activité du cabinet porte sur les tests d’intrusion.

 

Test d’intrusion : Une méthodologie reconnue et efficace

La méthodologie de FIDENS est basée sur le PTES (Penetration Testing Execution Standard) en 7 étapes :

Phase d’engagement : L’objectif ici est de valider le périmètre, identifier les comptes de tests éventuels, définir le planning et le mode de communication (débriefing téléphonique, moyens de sécurisation des échanges de documents…).

Collecte de renseignement : Il s’agit de la récolte d’informations sur le périmètre à analyser et son exposition externe. Elle permet notamment de valider l’accessibilité des composants inscrits au périmètre et d’identifier parfois de premières vulnérabilités, et de déterminer les outils qui permettront de conduire les phases suivantes.

Modélisation des menaces : Consiste en l’identification de premières vulnérabilités et menaces.

Recherche systématique de vulnérabilités :

  • Recherche de vulnérabilités connues sur les hôtes découverts à l’aide de scanners spécialisés [ex : OpenVAS, NESSUS]. Cette recherche permet d’identifier un grand nombre de vulnérabilités liées à l’absence de correctifs de sécurité ou à des erreurs de paramétrage.
  • Recherche spécifique : Selon les informations collectées en phases 1 et 2, et selon la demande spécifique de chaque mission d’audit, des tests complémentaires sont réalisés avec des outils dédiés. Ces tests peuvent être selon les cas automatiques, semi-automatiques (paramétrage simple) ou manuels.

Exploitation : Durant cette phase l’objectif est d’essayer d’exploiter dans le temps imparti chacune des vulnérabilités détectées dans les phases précédentes.

Post-exploitation : A l’aide des accès ou des éléments récupérés dans la phase d’exploitation principale, nous effectuons de nouveau les phases 4 « Recherche de vulnérabilité » et phase 5 « Exploitations ».

Analyse et Rapport :

  • Chaque vulnérabilité identifiée est vérifiée par nos auditeurs, afin d’éliminer les faux positifs.
  • L’analyse permet de déterminer la criticité de la vulnérabilité, les moyens de la corriger et l’urgence à appliquer cette correction.
  • Nous décrivons en détail les exploitations de vulnérabilités et présentons les correctifs à appliquer afin de les corriger ou, à défaut, de réduire la probabilité d’exploitation et l’impact associé.

Bannière-inscription-webinar-Pentest-replay

 

Différents types de tests d’intrusion  

BlackBox : L’auditeur se met dans la peau d’un attaquant externe sans connaissance de la cible

GreyBox : L’auditeur possède un compte utilisateur (sans privilège) et essaie d’élever ses droits

WhiteBox : L’auditeur possède un maximum d’informations et a pour but de comprendre d’où proviennent les problèmes de sécurité

Test de l’Employé Malveillant : L’auditeur se fait passer pour un employé avec les mêmes équipements et droits et essaie d’obtenir le maximum de privilèges

Scan de Vulnérabilité : Outil automatisé permettant l’identification d’un maximum de vulnérabilités sur un périmètre large avec revue manuelle des faux-positifs

La valeur ajoutée FIDENS

> Un accompagnement initial permettant la définition la plus pertinente du périmètre de l’audit

> Une équipe technique expérimentée à vos côtés tout au long des tests

> Des livrables détaillés permettant une résolution rapide des failles détectées

 

cyber-guide-pratique

>>> Plus d’informations