Votre Extranet est-il sécurisé ? Test d´intrusion via Internet

Votre plateforme Extranet est en phase de conception ou son niveau d´avancement est déjà plus abouti et vous vous demandez si votre développement tient les challenges d´une mise en ligne sur Internet ?

Sans doute, vous posez-vous les questions suivantes :

  • Est-ce que les données clients sont accessibles en cas d´attaque par Internet ?
  • Est-ce que la base de données est protégée ?
  • Comment se comporte le site en cas d´une attaque depuis Internet ?
  • Est-ce qu´il est possible de compromettre le site WEB client, de prendre contrôle du site ou des données client qui y sont stockées ?
  • Est-ce que les utilisateurs de mon site web sont protégés du mieux possible contre le vol d´identité ?

Tentative d'intrusion

  • Documentation de toutes les tentatvies et résultantes.

En cas d'intrusion réussie

  • Mise à disposition des preuves

Description de la prestation

Le service d´intrusion proposé par DOREA sera entièrement effectué hors site via une connexion Internet standard.

En accord avec le client, le prestataire disposera d´une fenêtre de 10 jours pour effectuer sa tentative d´intrusion. Le client s´assurera que son système soit accessible depuis internet et dans les conditions d´un système en production et ne le modifiera pas pendant la période d´intervention potentielle du prestataire.[/block]

Dans le cas où la tentative serait fructueuse, l´intervenant fournirait une preuve de son action. Cette preuve pourrait par exemple consister à créer un répertoire ou un fichier sur des parties protégées du système ou d´effectuer une copie de certaines données ou de manipuler le contenu du site web Extranet.

En passant commande pour cette prestation, le client autorise explicitement son prestataire DOREA-Consulting ainsi que son sous-traitant certifié ISO 27001, d´effectuer une attaque hostile sur le système, les logiciels ainsi que les bases de données et tous les systèmes rattachés depuis une liaison Internet.

Pour permettre à DOREA d´exécuter l´attaque, le client remet à DOREA un login et mot de passe d´un utilisateur standard.

Livrable et rapport d´audit  

[block border="5px solid #329491" padding="10px 15px"]Le rapport d´audit comprendra une documentation complète de toutes les opérations effectuées, des constats sur d´éventuelles failles de sécurité ainsi qu´une description du scénario d´attaque.

Au cours de l´attaque le scénario d´attaque est immédiatement exécuté.  

Au cas où le scénario d´attaque s´avérerait fructueux, le rapport d´audit comprendra un chapitre pour chaque scénario d´attaque ainsi qu´une description de la méthode d´attaque et d´une preuve tangible en provenance du système Extranet.

La preuve d´une attaque peut être constituée d´un ou plusieurs éléments comme suit :

  • Récupération d´une information non accessible avec les autorisations d´accès standard.
  • Ecriture de fichiers spécifiques dans des endroits spécifiques indiqués dans le rapport
    • Critères : chemin, nom de fichier

Related Articles