Les tests d'intrusion Xmco Partners
Le test d'intrusion est une prestation d'audit de sécurité ciblant les architectures web critiques.
Quelles que soient les technologies implémentées, nous recherchons des failles de sécurité au plus profond de vos sites transactionnels : connexions aux bases de données, formulaires dynamiques, sécurité des sessions, gestion de l'authentification et des autorisations, application n-tiers, etc.
|
Contrairement aux analyses de vulnérabilités classiques, les tests d'intrusion Xmco Partners sont réalisés par des experts aguerris qui ne passeront pas à coté d'une faille de sécurité. |
3 types de test d'intrusion
Nous difféncions trois types de prestation de test d'intrusion :
|
|
|
Le test d'intrusion externe
Objectif : Identifier les vulnérabilités qu'un pirate pourrait exploiter depuis Internet pour penetrer vos systèmes et réseaux informatiques.
Cibles : IP publiques, serveurs web, firewalls, relais SMTP, DNS, PABX, FTP, VPN...
Le test d'intrusion interne
Objectif : Identifier les vulnérabilités et malversations qu'un pirate interne pourrait réaliser sur vos systèmes et vos applications du réseau interne.
Cibles : L'ensemble du Système d'Information est alors ciblé : Controleurs de domaine, bases de données, routeurs, messagerie, WiFi, serveurs de fichiers...
Le test d'intrusion applicatif
Objectif : Identifier les vulnérabilités et le contournement qu'un utilisatuer anonyme (ou disposant d'un compte) pourrait perpetuer.
Cibles : Applications web, bases de données, applications de gestion, ERP...
Pourquoi effectuer un test d'intrusion ?
Un test d'intrusion vous permettra de répondre aux questions suivantes :
- Un pirate informatique peut-il nuire à notre activité et à notre image ?
- Est-il possible de commander frauduleusement des articles sur notre site transactionnel ?
- Les données confidentielles de nos clients sont-elles protégées ?
- Un utilisateur malicieux peut-il porter préjudice à un autre utilisateur ?
Notre méthodologie
La valeur ajoutée de notre méthodologie réside dans notre capacité à auditer en détail les applications afin d'y détecter les malversions possibles : modification des prix, accès aux données sensibles, rebond vers un autre compte, vol de compte, usurpation d'identité, etc.
 | Notre méthodologie s'appuie également sur les méthodologies ouvertes OSSTMM et OWASP mondialement reconnues pour leur efficacité, méthodes auxquelles nos consultants contribuent à l'effort permanent d'évolution. |
Pourquoi choisir Xmco Partners ?
Notre cabinet réalise plus d'une dizaine de tests d'intrusion par mois sur des banques en ligne, des infrastructures critiques. Nos clients sont tous des grands comptes français et internationaux.
Notre équipe "tests d'intrusion" est aujourd'hui très certainement la plus expérimentée et la plus reconnue en termes d'intrusion au sein des applications Web et des sites de commerce en-ligne.
 |
 Exemple concret d'un test d'intrusion dans une grande banque française
|
Tous nos nouveaux clients, ayant déjà réalisés des tests d'intrusion avec nos concurrents, nous félicitent sur la qualité de nos prestations, sur la découverte de failles qui étaient restées inexplorées jusqu'à lors, ainsi que sur les aspects didactiques et pratiques de nos rapports d'audit.
Les livrables Xmco Partners
La livraison d'un test d'intrusion comprend un rapport détaillé et une présentation des résultats au sein des locaux du client.
Le rapport contient une section "management" qui synthétise les risques et les impacts opérationnels d'un éventuel piratage, ainsi que les actions correctives à mener. Une section technique décrit en détail et de manière très didactique, les vulnérabilités découvertes.
Notre volonté de synthétiser l'information, de la rendre accessible aux responsables opérationnels et de proposer des plans d'actions pertinents, nous a permis de gagner la confiance des plus grandes entreprises.
