Tout ce que vous devez savoir sur cet audit de sécurité
Les menaces internes représentent 35 % des violations en 2023, une augmentation significative par rapport aux 20 % de l’année précédente*.
La menace interne, c’est quoi ?
Chaque individu disposant d’un accès privilégié au sein d’une organisation, que ce soit un stagiaire bénéficiant de très faibles accès ou bien un PDG, peut être un vecteur d’attaque suffisant pour
faire tomber un Système d’Informations entier. Toutes ces personnes ont la capacité d’atteindre des ressources sensibles telles que des serveurs, des bases de données, voire même des systèmes
critiques et une utilisation malveillante ou imprudente de leurs privilèges pourrait compromettre la sécurité de l’entreprise.
La menace interne peut être intentionnelle ou accidentelle (dans 73% des cas en 2023).
Il est donc tout autant nécessaire de se protéger contre les cyberattaques en interne que de se défendre des attaques externes.
Un pentest interne ou test d'intrusion interne consiste à simuler une attaque contre votre système d'information depuis l'intérieur de votre réseau, en adoptant différents scénarios : connexion sauvage d’un équipement hors entreprise sur le réseau, utilisateur malveillant ou un attaquant ayant déjà compromis un poste de travail ou un compte utilisateur.
Ce test permet de mettre en évidence les failles de sécurité accessibles depuis votre réseau, souvent beaucoup moins protégé que le périmètre exposé sur Internet.
Un pentest interne mené par Holiseum vous permet de :
• Identifier les vulnérabilités de votre SI incluant Active Directory, serveurs, postes de travail et tous les équipements connectés au réseau
• Déterminer les conséquences de la compromission d’un équipement
• Obtenir un plan de remédiation pour corriger les failles identifiées
• Sensibiliser vos équipes aux risques et bonnes pratiques
• Vous mettre en conformité avec les exigences réglementaires (LPM, RGPD, ISO 27001...) .
Les experts certifiés de Holiseum réalisent vos pentests internes en suivant une méthodologie reconnue et structurée et adaptée à votre contexte.
• Le pentest interne peut être réalisé en boîte noire et/ou en boîte grise, selon vos objectifs et besoins.
L'auditeur ne dispose d'aucune information autre que les adresses IP et URL associées à la cible auditée.
Cette phase est généralement précédée par la découverte d'informations et l'identification de la cible en interrogeant les services DNS, en scannant les ports ouverts, en découvrant la présence d'équipements de filtrage, etc.
L'auditeur a les connaissances d'un utilisateur standard du système d'information (authentification légitime, poste de travail "standard", etc.). Les identifiants peuvent appartenir à différents profils d'utilisateur afin de tester différents niveaux de privilèges.
1. Cadrage de la mission et définition du périmètre Lors de la phase de cadrage, nous définissons avec vous le ou les scénarios d'attaque qui seront simulés pendant le test d'intrusion. Cela consiste à préciser le type de profil que nos pentesters adopteront : stagiaire, employé interne ou bien visiteur ayant accès au bâtiment, par exemple. Nous déterminons également les moyens d'accès dont disposera le pentester : connexion filaire ou Wi-Fi, réseau invité restreint ou réseau interne utilisé par vos collaborateurs.
2. Cartographie du réseau et recherche de failles À partir du point d'entrée initial fourni, nous lançons une série de reconnaissance pour découvrir les équipements actifs et les services accessibles. En parallèle, nous recherchons activement les vulnérabilités qui pourraient permettre à un attaquant de compromettre vos systèmes.
3. Exploitation des vulnérabilités pour obtenir un accès L'exploitation des vulnérabilités est une étape clé du pentest interne, qui consiste à tester concrètement si les failles identifiées sont exploitables pour obtenir un accès non autorisé aux systèmes. Nos pentesters tentent de reproduire les techniques d'un attaquant réel pour s’introduire dans votre SI, sans impact sur la production. En cas de succès, cela confirme la criticité de la vulnérabilité et fournit un point d'entrée pour poursuivre les tests d'intrusion. Chaque exploit réussi est documenté pour prouver la réalité du risque et vous aider à prioriser les correctifs. Cette approche factuelle vous permet de concentrer vos efforts sur les failles avérées.
4. Élévation de privilèges et mouvement latéral La phase d'élévation de privilèges et de mouvement latéral d'un pentest interne consiste, une fois un premier accès obtenu, à étendre son emprise sur le système d'information en gagnant en privilèges et en rebondissant vers de nouveaux équipements qui étaient jusqu’ici non atteignables. Nos experts cherchent à exploiter les vulnérabilités et les relations de confiance pour obtenir un niveau de contrôle toujours plus important et se rapprocher des actifs critiques, imitant ainsi la progression d'un attaquant réel au sein de votre réseau. Cette étape met en lumière les faiblesses dans la sécurisation et le cloisonnement de votre infrastructure interne. Elle révèle les risques liés à la propagation d'une attaque et la capacité d'un assaillant à s'infiltrer en profondeur dans votre SI.
5. Rédaction d'un rapport détaillé avec un plan d'actions de remédiation Le rapport de pentest interne est le livrable final de notre prestation, qui synthétise les actions menées et les résultats obtenus. Il fournit un état des lieux clair et factuel de votre sécurité SI, en détaillant les vulnérabilités identifiées, leur mode d'exploitation et leur criticité. Captures d'écran et extraits de code attestent de la réalité des failles mises en évidence. Au-delà du simple constat, ce rapport se veut opérationnel et tourné vers l'action. Pour chaque vulnérabilité, nos experts vous proposent des recommandations de remédiation concrètes. La restitution orale des résultats auprès de vos équipes permet de revenir sur les points saillants, d'expliquer notre démarche et de répondre aux interrogations. C'est aussi l'occasion de sensibiliser vos collaborateurs et de les mobiliser autour d'un plan d'actions commun.
Un pentest externe se focalise sur votre surface d’attaque visible depuis l’extérieur, généralement accessible depuis Internet. Il adopte la perspective d’un assaillant qui ne dispose d’aucun accès préalable à vos systèmes, et qui va chercher à pénétrer votre réseau depuis l’extérieur.
À l’inverse, un pentest interne se place du point de vue d’une menace interne, comme un employé, ou d’un attaquant qui aurait déjà réussi à obtenir un premier accès. Concrètement, un pentest externe examinera des problématiques comme la sécurité de votre protection périmétrique, la robustesse de vos applications web, ou l’exposition de vos serveurs. Un pentest interne se concentrera davantage sur des aspects comme la sécurité de votre Active Directory, le cloisonnement de vos réseaux, le durcissement de vos postes de travail et serveurs, ou le contrôle des élévations de privilèges.
En cela, ces deux approches sont complémentaires. Dans une logique de défense en profondeur, il est recommandé de réaliser les deux types de tests, afin de vous prémunir à la fois des attaques externes et internes.
Expérience et Expertise Technique
Avec plus de 100 audits techniques réalisés chaque année et 7 ans d’expérience en moyenne nos auditeurs techniques expérimentés garantissent un fort niveau d’expertise dans la réalisation des tests techniques. La certification et la formation régulière de nos auditeurs assurent le maintien à jour de leur expertise technique et connaissance des vulnérabilités les plus récentes.
Approche Personnalisée
Les consultants de Holiseum personnalisent leurs tests d’intrusion interne en fonction des besoins et objectifs spécifiques de chaque client pour offrir des solutions sur mesure.
Savoir-faire
L’utilisation des méthodologies basées sur les standards reconnus (OWASP…) assure la qualité de nos interventions. Notre qualification Prestataires d’Audit de la Sécurité des Systèmes d’Information (PASSI) sur les 5 portées (test d’intrusion, revue de configuration, audit de code, audit d’architecture, audit organisationnel et physique) ainsi que notre qualification Prestataires d’accompagnement et de conseil en sécurité des systèmes d’informations (PACS) garantissent une intervention respectant les exigences formulées par l’ANSSI. Notre approche holistique de la cybersécurité vous garantit la formulation de préconisations pertinentes et adaptées à votre contexte.
En tant qu’acteur majeur de la cybersécurité des infrastructures critiques et industrielles Holiseum met son expertise au service de la protection de vos actifs critiques. Contactez-nous dès maintenant pour échanger sur vos besoins de pentest interne et obtenir un devis personnalisé.
Holiseum propose des solutions innovantes en matière de cybersécurité pour les infrastructures critiques, ainsi que du conseil et services en cybersécurité
.png){kind=small}