La lecture en ligne est gratuite
Télécharger

Vous aimerez aussi

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
IFACI
Prestation sécurité
Benjamin Arnault – Matthieu Hentzien <Benjamin.Arnault@hsc.fr> – <Matthieu.Hentzien@hsc.fr>
prRe   -ontiucodidretnI ethaueé Scnsulr Co s02attn00 8002-
Audit sécurité
Conseil
Formations
Plan
-2 - 
Hervé Schauer Consultants
Test d'intrusion
Hervght pyriCo
Hervé Schauer Consultants
Sécurité Windows / Unix et Linux / embarqué Sécurité des applications Sécurité des réseaux TCP/IP, téléphonie, réseaux opérateurs, réseaux avionique, VoIP, etc. Organisation de la sécurité Certifications
CISSP, ProCSSI, GIAC GCFA ISO 27001 Lead Auditor et Lead Implementer, IRCA, ITIL
-3 - 
Société de conseil en sécurité informatique depuis 1989
Prestations intellectuelles d'expertise en toute indépendance
Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni délégation de personnel Prestations : conseil, études, audits, tests d'intrusion, formations
Domaines d'expertise
2-00 800tnat02 sucodonti   -prRehg teHvroCypirr Consulé Schauediernt Ite
yropConsuer Cts 2ltanH regithhcuaévS eit Rep  - 2008000-etdr nnItcoiorud
Test d'intrusion
Vise à simuler la compromission d'un système d'information
Prestation très technique
Révéler des problèmes issus d'une incohérence entre différents composants
Permet de sensibiliser
-4  -
Au moyen d'une "intelligence humaine"
Pour
Prouver que la sécurité mise en place est insuffisante
Mettre à l'épreuve la sécurité d'un environnement et qualifier sa résistance à un certain niveau d'attaque
rygithH reévS hcCop002 02-0  80R  -erauon Cltsutsane-drti - 5ducteproInteion 
Test d'intrusion
Trois approches
Interne
Application Avec le code source à disposition
Sites web A partir du laboratoire HSC Avec informations d'identification ou non Audit applicatif à caractère intrusif
Réseau interne Connecté directement au réseau ou via un poste client Externe
pyright CooC reuahcS évreH-20020s nttaulnsdocueRrp-   00 8teerdi Inttion -- 6
Connexion directe au réseau des consultants
Test sur un réseau d'entreprise (domaine bancaire)
Compromission des domaines Windows
Contrôle total sur deux serveurs AS/400
4 jours de prestation
Résultat
Découverte d'un déni de service sur les agents de supervision des postes clients
Test d'intrusion interne
Compromission distante des bases de données (4 sur 5)
Contrôle total sur les postes disposant de client de prise en main à distance
tieterdn InctioroduévS hcuagithH reCopyr -  peR -0008002anlt 2ts Cersuon
Test sur un site web
Test d'intrusion externe
-7 -
6 jours de prestation répartis sur 2 semaines
2
1. connexion au serveur 2. compromission de l'application web puis du serveur
1
4
Test d'intrusion externe
4
4
4
3
4 4
4
3. Rebond vers le serveur de gestion des pare-feu 4. Connexion à la console d'administration en utilisant un mot de passe trivial
dorpitcuI noretntedi- 8 -pyCoahcS évreH thgirnts ultaConsuer   eR 8- 2-000200
- Interdite- 9 -R peorudtcoi n00 2tsan  08200-reuahcS tlusnoC yrigCopervéht H
Contrôle total des pare-feu au niveau mondial !
Test d'intrusion externe
Compromission du serveur web par exploitation locale
Compromission de la console d'administration des pare-feu
Résultats
Compromission de l'applicatif web
stna002 02-0  80 R- roepctdun ioCporygithH reév Schauer ConsultdrtinIet 1e--0 
Consultation des données d'un autre assuré
Usurpation de session « professionnel de santé »
Injection permettant de lister les identifiants Blocage de comptes via tentatives d'authentification
Contenu du dossier médical Fichiers joints Déni de service sur l'authentification
5 jours d'audit
Résultats
Audit applicatif à caractère intrusif
Test sur une application sensible traitant des données médicales
Enquêtes forensiques
Processus
Organisationnels (ISO 27001)
Architectures réseaux (filaires et sans fil)
PABX et VoIP
Serveurs et de systèmes d'exploitation
Architectures applicatives, audit d'applications et audit de code
Vision claire et exhaustive de la sécurité
Prestation technique et/ou organisationnelle
Infrastructures d'accès à l'Internet, d'extranets, d'accès distants
Sur
Audit sécurité
oCypirhg teHrvé Schauer Consatlu stn0002002- -8 Re  odprtiuc- ditenteron I- 11