Imprimer

Votre plateforme Extranet est en phase de conception ou son niveau d´avancement est déjà plus abouti et vous vous demandez si votre développement tient les challenges d´une mise en ligne sur Internet ?

Sans doute, vous posez-vous les questions suivantes :

Tentative d'intrusion

En cas d'intrusion réussie

Description de la prestation

Le service d´intrusion proposé par DOREA sera entièrement effectué hors site via une connexion Internet standard.

En accord avec le client, le prestataire disposera d´une fenêtre de 10 jours pour effectuer sa tentative d´intrusion. Le client s´assurera que son système soit accessible depuis internet et dans les conditions d´un système en production et ne le modifiera pas pendant la période d´intervention potentielle du prestataire.

Dans le cas où la tentative serait fructueuse, l´intervenant fournirait une preuve de son action. Cette preuve pourrait par exemple consister à créer un répertoire ou un fichier sur des parties protégées du système ou d´effectuer une copie de certaines données ou de manipuler le contenu du site web Extranet.

En passant commande pour cette prestation, le client autorise explicitement son prestataire DOREA-Consulting ainsi que son sous-traitant certifié ISO 27001, d´effectuer une attaque hostile sur le système, les logiciels ainsi que les bases de données et tous les systèmes rattachés depuis une liaison Internet.

Pour permettre à DOREA d´exécuter l´attaque, le client remet à DOREA un login et mot de passe d´un utilisateur standard.

Livrable et rapport d´audit  

Le rapport d´audit comprendra une documentation complète de toutes les opérations effectuées, des constats sur d´éventuelles failles de sécurité ainsi qu´une description du scénario d´attaque.

Au cours de l´attaque le scénario d´attaque est immédiatement exécuté.  

Au cas où le scénario d´attaque s´avérerait fructueux, le rapport d´audit comprendra un chapitre pour chaque scénario d´attaque ainsi qu´une description de la méthode d´attaque et d´une preuve tangible en provenance du système Extranet.

La preuve d´une attaque peut être constituée d´un ou plusieurs éléments comme suit :