Horus & Intrusion
Hacker éthique, le test grandeur nature
En complément de l’audit, les (gentils) hackers éthiques d’HORUS Protection conseils développent des scenarios très similaires à ceux employés par les cybercriminels et sont capables d’adopter leurs modes de fonctionnement au contexte de leur cible.
Ils testent les infrastructures via différents points d’entrées potentielles : sites Internet, réseaux, applicatifs, mails. Mais également les usages des utilisateurs ou encore les conditions d’accès à certains locaux.
Cette approche permet de prendre conscience de ses vulnérabilités face aux pratiques réelles de piratage et d’identifier rapidement celles qui permettraient à un cybercriminel de pénétrer le système d’information.
Ils testent les infrastructures via différents points d’entrées potentielles : sites Internet, réseaux, applicatifs, mails. Mais également les usages des utilisateurs ou encore les conditions d’accès à certains locaux.
Cette approche permet de prendre conscience de ses vulnérabilités face aux pratiques réelles de piratage et d’identifier rapidement celles qui permettraient à un cybercriminel de pénétrer le système d’information.
Scénario N°1
Tests de vulnérabilités « léger »
Test des vulnérabilités depuis l’extérieur :
- Nom du domaine
- Pare feu depuis l’IP public
- Application Web
Test des vulnérabilités depuis l’intérieur :
- Application métier Web (5 failles de sécurités)
- Application métier
- Résistance des mots de passe AD (20 MDP max)
- Test résistance MDP wifi (1 SSID)
Test des comportements utilisateurs :
- Campagne de Hameçonnage (entre 50 et 200 utilisateurs)
Scénario N°2
Tests de vulnérabilités « poussé »
Test des vulnérabilités depuis l’extérieur :
- Nom du domaine
- Pare feu depuis l’IP public
- Application Web
Test des vulnérabilités depuis l’intérieur :
- Application métier Web (5 failles de sécurités)
- Application métier
- Résistance des mots de passe AD (200 MDP max)
- Test résistance MDP wifi (3 SSID)
- Test de pénétration sur les consoles d’administration des équipements de sécurité d’accès
- Test de vulnérabilité des services critiques (téléphonie IP/applications/identification/etc…)
- Equipement industriel
Test des comportements utilisateurs :
- Campagne de Hameçonnage (entre 50 et 200 utilisateurs)
- Aux demandes d’un visiteur
- Usage d’une clef USB trouvée
Scénario N°3
Tests de vulnérabilités « avancé »
Test des vulnérabilités depuis l’extérieur :
- Nom du domaine
- Pare feu depuis l’IP public
- Application Web
Test des vulnérabilités depuis l’intérieur :
- Application métier Web
- Application métier
- Résistance des mots de passe AD
- Test résistance MDP wifi
- Test de pénétration sur les consoles d’administration des équipements de sécurité d’accès
- Test de vulnérabilité des services critiques (téléphonie IP/applications/identification/etc…)
- Equipement industriel
Test des comportements utilisateurs :
- Campagne de Hameçonnage
- Aux demandes d’un visiteur
- Usage d’une clef USB trouvée