Test d’intrusion - Pentest de votre infrastructure cloud

Vous voulez mettre à l’épreuve la sécurité de votre appli ou de votre infrastructure ? Un pentest est une simulation où l’un de nos experts se met dans la peau d’un attaquant et repère de possibles failles. Nous listons ensuite les faiblesses identifiées et vous proposons des recommandations.

intrusion_pentest

LES ENJEUX

Pourquoi faire un test d’intrusion (ou pentest) ?

Dans quelle situation faut-il faire un test d’intrusion sur son infrastructure ou application web ? Et en quoi est-ce différent d’un audit ? Pendant un audit, les experts ont accès à votre infrastructure ou application, et l’analysent “de l’intérieur” pour identifier les risques. Pour un test d’intrusion, les experts tentent de s’infiltrer dans la plateforme pour détecter les failles exploitables.

Il existe donc 3 situations qui poussent nos clients à faire appel à nous pour réaliser un pentest :

proteger

Protéger leur activité

Le test d’intrusion permet à nos clients d’identifier les failles qui seraient exploitables par un attaquant et qui pourraient avoir un impact pour leur entreprise. Le pentest aboutit ainsi à une liste de remédiations concrètes à mettre en place pour se protéger des cyberattaques.

conforme

Assurer leur conformité

Certains de nos clients sont soumis à des normes internes ou externes qui nécessitent un haut niveau de sécurité (HDS, hébergement de données bancaires, RGPD). Faire un pentest permet d’évaluer leur niveau de conformité et d’établir un plan pour atteindre le palier souhaité.

rassurer

Rassurer leurs partenaires

Tester la sécurité de leurs systèmes d’information en conditions réelles est le meilleur moyen de prouver à leurs équipes, actionnaires, fournisseurs et utilisateurs que leur infrastructure cloud est suffisamment sécurisée pour résister à une cyberattaque.

Nos offres de test d’intrusion

Différents types de pentests peuvent être réalisés par nos experts en fonction de ce que vous souhaitez évaluer dans votre infrastructure ou votre application.

Test d’intrusion de votre infrastructure

Vous avez des doutes sur la robustesse de votre infrastructure face à une attaque ? Nos experts font un pentest à la recherche de compromissions avancées (exploitation de zero-day, exploitation via un poste de développeur, etc). Ils identifient les vulnérabilités et vous font des recommandations concrètes pour y remédier.

Red team

Vous souhaitez évaluer la sécurité de votre activité face à une simulation complète d’attaque ? Nos experts mettent en place un scénario qui exploite les vulnérabilités techniques, humaines et physiques pour identifier vos risques de sécurité au plus proche d’un scénario d’attaque réel.

Test d’intrusion web

Vous souhaitez évaluer la robustesse de votre application web face à une attaque ? Nos experts réalisent un test d’intrusion et répertorient toutes les failles de sécurité exploitables. Ils les priorisent selon l’impact et vous suggèrent des remédiations.

Test d’intrusion 360°

Vous voulez avoir une vision globale du niveau de sécurité de votre application web et de votre infrastructure ? Nos experts en test d’intrusion évaluent tout votre SI sur plusieurs niveaux, en boîte noire et grise pour l’application web et en boîte blanche pour votre infrastructure par exemple. Ils pourront ainsi évaluer tous les risques de sécurité et vous aider à prioriser les remédiations.

NOS PARTENAIRES & EXPERTISES

Des experts de la sécurité cloud

Theodo Cloud est partenaire de Google Cloud, AWS, Microsoft Azure, OVHcloud et Kubernetes. Nos experts en test d’intrusion sont formés et certifiés sur ces technologies. Cette maîtrise leur permet d’identifier les vulnérabilités exploitables pour assurer un niveau de sécurité maximal pour votre infrastructure.

aws-partner
GCP-Partner
Gold Azure
kubernetes
argo cd
Vault

Ils nous font confiance

sebastien monchamps
Samir Bouaked
yoann gasque
NOTRE MÉTHODOLOGIE

Les pentests se déroulent selon la manière suivante

padok-pentest-cloud
  1. 1

    Point de cadrage

    Ce point permet de rappeler les objectifs du test d’intrusion et son périmètre. L’expert sécurité de Theodo Cloud vérifie qu’il a tous les éléments pour intervenir (accès, interlocuteurs, etc.) et définit avec vous les scénarios d’attaque les plus pertinents.

  2. 2

    Test d’intrusion

    Les experts de la verticale sécurité de Theodo Cloud tentent de s’introduire dans votre SI. Un compte rendu des actions effectuées et des résultats vous est envoyé quotidiennement. Vos équipes techniques sont impliquées tout au long du test d’intrusion pour obtenir un résultat plus impactant.

  3. 3

    Atelier de restitution

    Les experts en pentest présentent les conclusions du test aux interlocuteurs que vous estimez pertinents. Cet atelier permet de donner du contexte aux résultats et de répondre aux questions des équipes.

Les livrables de nos pentests

Les livrables sont définis avec vous en début de mission pour répondre au mieux à vos besoins et vous sont remis à la fin du test d’intrusion. Voici quelques exemples de livrables Theodo Cloud :

journal-de-test

Journal de test

Le journal de test reprend tout l’historique du test d’intrusion effectué. Il récapitule le déroulement pas à pas du test, toutes les attaques testées, le référentiel ou la norme de sécurité dont elles proviennent, et le résultat obtenu. Cela permet à l’équipe interne de garder la trace exacte des étapes du pentest.

rapport-test-intrusion

Rapport du test d’intrusion

À la fin de chaque mission, nos experts rédigent un rapport détaillé avec la description de chaque vulnérabilité identifiée, le risque qu’elle représente dans votre contexte et la remédiation proposée. Un niveau de criticité est attribué à chaque vulnérabilité pour vous aider à comprendre l’urgence de la remédiation.

synthese-manageriale

Synthèse managériale

Theodo Cloud vous fournit un document destiné à votre comité de direction comprenant une note et une appréciation générale du niveau de sécurité. Ce document donne un aperçu non-technique des principaux points du rapport, et détaille les risques considérés comme les plus critiques.

NOTRE PROMESSE

Identifier et résoudre vos risques de sécurité

Nos experts en cybersécurité évaluent le risque de scénarios critiques pour votre entreprise  et vous proposent des solutions concrètes pour remédier aux vulnérabilités découvertes.

  • check-icon

    Des experts certifiés en sécurité offensive et défensive sur vos technologies

  • check-icon

    Des remédiations concrètes et activables

  • check-icon

    Des recommandations priorisées en fonction de leur impact

  • check-icon

    Une collaboration avec vos équipes de devs et d’ops pour un résultat sur mesure

Cas Client

Pentest pour un leader du secteur bancaire

Notre client est un acteur du monde bancaire qui lance en production une plateforme de banque en ligne à destination des entreprises françaises. Ils doivent s’assurer de la confidentialité des données de leurs utilisateurs, et garantir la disponibilité du service. Pour cette raison, Theodo Cloud a réalisé un test d’intrusion sur toute la plateforme.

 

Deux scénarios ont notamment été testés. Le premier est l’attaque d’un cluster Kubernetes suite à l’exploitation d’une vulnérabilité applicative, pour tester la défense en profondeur du SI. Le second est l’attaque via le piratage d’un poste de développeur, pour tester la sécurité de l'écosystème DevOps (CI/CD).

duree

Durée du projet

  • 3 semaines
points-cles

Points clés

  • Infrastructure complexe et étendue (+ de 80 développeurs, 8 clusters Kubernetes, +100 repositories Git)
  • Test de scénarios réalistes correspondant aux risques identifiés dans le Plan de Continuité d’Activité (PCA) du client
  • Vérification avec l’équipe SIEM si les scénarios testés étaient bien détectés
resultat

Résultats

  • 7 failles critiques ont été identifiées (ex : compromission totale de l’infrastructure avec les accès d’un développeur, compromission via la CI/CD et la compromission totale de l’infrastructure via la compromission d’un pod Kubernetes)
  • Proposition de stratégie technique pour remédier aux failles détectées (Suppression des identifiants AWS en CI, mise en place d’un outil pour interdire l’accès aux metadata AWS depuis les pods Kubernetes…) qui ont débouché sur une mission d’implémentation de ces remédiations