Pentest infrastructure externe

Un pentest externe se déroule comme une attaque réelle. L’attaque se développe selon un processus itératif, chaque compromission permettant le démarrage d’un nouveau cycle afin de tester le système d’information en profondeur.

Objectifs du pentest infrastructure externe

Nous respectons les étapes du PTES (pénétration testing exécution standard) pour mener nos tests d’intrusions externes. Reconnaissance, cartographie, exploitation de vulnérabilités potentielles, etc.

Reconnaissance :

Interrogation des moteurs de recherche
Réseaux sociaux (LinkedIn, Facebook...)
Informations techniques publiques (whois, DNS...)
Analyse de métadonnées de fichiers disponibles (images, PDF...)
Etc.

Elle se poursuit avec une phase active, elle aussi non intrusive, se traduisant par une utilisation “normale” des ressources disponibles :

Sites web ou "web services"
Serveurs de messagerie
Serveurs DNS de l’entreprise
Plateforme d’échange de données

Enfin, une reconnaissance plus avancée sera effectuée afin de cartographier les services disponibles et détecter d’éventuelles vulnérabilités, avec par exemple :

Scan réseau
Prise d’empreinte des services découverts
Recherche de vulnérabilités ciblées

Exploitation :
Si des vulnérabilités sont identifiées, l’auditeur tentera d’exploiter certaines d’entre elles afin de compromettre un équipement ou un service. Diverses vulnérabilités peuvent être utilisées lors de cette phase :

Mots de passe faibles
OS ou services non à jour
Vulnérabilités applicatives

Si l’exploitation de certaines failles présente des risques, une validation par le commanditaire sera effectuée avant de lancer l’attaque. Aucun test de type "déni de service" ne sera effectué par l’auditeur.

Demande de RDV Consulter nos autres prestations

PENTEST : Nos références

Nos clients restent confidentiels à l’extérieur de la communauté...
Découvrez tout de même nos réalisations à travers des études de cas réelles.

Pentest social engineering
En savoir plus
Pentest social engineering
Les principaux enjeux de cette entreprise sont de vérifier deux points fondamentaux : possibilités pour un cybercriminel d’usurper l’identité d’un de ces fournisseurs, vérifier le niveau de sécurité [...]
Pentest Web
En savoir plus
Pentest Web
L’enjeu principal de cette entreprise est de vérifier les possibilités d’un cybercriminel à attaquer le site web marchand de l’entreprise. Ils ont besoin de connaitre leurs vulnérabilités et leurs failles [...]
Pentest interne
En savoir plus
Pentest interne
L’enjeu principal de cette entreprise est de vérifier les possibilités d’un cybercriminel ou d’un salarié malveillant à évoluer dans son réseau interne. Ils ont besoin de connaitre leurs vulnérabilités [...]