Menu Close

Nos offres de services

Analyse des vulnérabilités

Découverte des vulnérabilités technologiques sur le périmètre externe ou le réseau interne

Ayez une meilleure visibilité sur vos contrôles de sécurité technologiques

Les évaluations incluent les étapes suivantes :

  • inventaire des actifs et des capacités (ressources) dans le réseau;
  • identification des vulnérabilités ou menaces potentielles pour chaque ressource;
  • recommandations d’atténuation ou aide à la mitigation des vulnérabilités les plus graves pour les ressources les plus précieuses.

Une analyse détaille les points suivants :

  • les vulnérabilités découvertes, détaillant le risque posé pour l’organisation;
  • les références CVE si applicable, et le score de risque selon la norme Common Vulnerability Scoring System (CVSS);
  • les étapes détaillées pour corriger la vulnérabilité, qui peuvent inclure l’application de correctifs ou la reconfiguration des systèmes d’exploitation et des applications;
  • le cas échéant, les étapes d’atténuation du risque, comme la mise en place de mises à jour automatiques du système d’exploitation pour éviter que le même type de problème ne se reproduise.

Ingénierie sociale

Évaluation du besoin de sensibilisation des employés aux techniques d’ingénierie sociale

Évaluez la réactivité de votre organisation face aux techniques de manipulation

Campagne d’hameçonnage

  • Conception de prétextes plausibles au sein de l’organisation ciblée, susceptibles d’obtenir une réponse positive des employés;
  • Lancement d’une campagne d’envoi rapide afin d’éviter une contamination des résultats;
  • Collecte des résultats et analyse statistique sur différentes métriques de réactions, telles que l’ouverture de liens ou de fichiers attachés, l’entrée d’informations sensibles…

Appels téléphoniques

  • Recherche d’informations sur sources publiques « OSINT »;
  • Utilisation de techniques d’ingénierie sociale (« reconnaissance », « watering hole »);
  • Réalisation d’attaques par voix:
    • tentatives d’extortion d’informations sensibles;
    • tentatives d’exécution de commandes à distance par manipulation;
  • Tests de mise en place de persistence dans le réseau interne.

Tests applicatifs

Analyse de la sécurité des applications Web, mobiles et clients lourds

Simulez le comportement d’acteurs malveillants sur votre application depuis l’Internet ou dans votre réseau interne

Tests Web ou mobiles

  • Contrôle des accès non-autorisés;
  • Validation de la solidité des mécanismes cryptographiques;
  • Tentatives d’injection de code malicieux dans l’application;
  • Validation des configurations de sécurité;
  • Validation des vulnérabilités connues dans les composantes de l’application;
  • Contournement des mécanismes d’authentification;
  • Validation de la gestion des messages d’erreurs.

Revue de code

  • Revue conceptuelle de l’application;
  • Modélisation des menaces:
    • décomposition de l’application;
    • catégorisation des menaces;
    • définition des contre-mesures et des méthodes de remédiation;
  • Analyse automatisée et manuelle;
  • Analyse de code statique et dynamique;
  • Estimation des risques par contrôles:
    • Web;
    • Gestion des intrants;
    • Gestion de session;
    • Gestion des données;
    • Logique d’affaire et architecturale.

Tests d’intrusion

Évaluation de la sécurité interne, externe et physique de l’organisation à travers des méthodes d’attaque réalistes

Mettez la sécurité de votre organisation à l’épreuve des pirates

Périmètre externe

  • Recherche d’informations sur l’Internet public (« OSINT »);
  • Réalisation d’attaques par « password spraying » ou force brute;
  • Tentatives d’intrusion dans l’environnement réseau interne de l’organisation;
  • Vérification des mécanismes de protection contre les attaques en force brute;
  • Identification des vulnérabilités applicatives communes;
  • Recherche de configurations défaillantes;
  • Exploitation des vulnérabilités découvertes.

Réseau interne

  • Analyse de l’environnement technologique de l’entreprise:
    • cartographie du domaine Active Directory;
    • énumération des services à hauts risques;
  • Interception des communications à l’aide des méthodes connues des acteurs malicieux;
  • Analyse du réseau sans-fil;
  • Simulation de scénarios d’attaque réalistes basés sur des chaînes d’exploitation de vulnérabilités;
  • Évaluation des configurations et des pratiques.

Sécurité physique

  • Évaluation de la robustesse des mesures de protection physiques, incluant:
    • les obstacles physiques;
    • la surveillance du périmètre;
    • les mécanismes d’authentification;
    • la détection des accès non autorisés;
    • le processus de gestion de la sécurité physique;
  • Conception de scénarios d’intrusion visant à valider l’efficacité des contrôles, tels que:
    • un accès non autorisé à un périmètre interne sensible;
    • un vol d’équipement;
    • l’obtention d’une connexion non autorisée au réseau interne;
    • une démonstration de la possibilité de désactiver des équipements vitaux pour l’activité de l’organisation.