Retour à nos services

Tests d'intrusion avancés

Envie d’aller plus loin ? Nos consultants mènent à bien des missions avancées de type Red Team, Purple Team et Social Engineering.

Nos prestations sont effectuées en toute indépendance et confidentialité.

Methodologies

Nos consultants sécurité mettent en application les méthodes OWASP (Open Web Application Security Project), OSSTMM (Open Source Security Testing Methodology Manual) et aussi Mitre ATT&CK. Bien qu’aujourd’hui cette matrice se destine plutôt aux équipes défensives, des applications offensives apparaissent et peuvent permettre une analyse de risque avec une approche pragmatique.

Des experts à vos côtés

Nos consultants répondent à vos questions à chaque étape de nos prestations. Tout d’abord lors de la réunion de lancement d’audit, puis lors de la réunion de l’équipe technique. Le contact restera constant grâce à un envoi de mail quotidien pour faire le point sur l’avancée des tests. La prestation sera clôturée par la remise d’un rapport détaillé rédigé par le consultant sécurité en charge de votre projet. Si vous le souhaitez, il pourra également vous proposer une restitution orale.

Plus qu'un métier

Nos experts sont avant tout des passionnés qui n’hésitent pas à prendre sur leur temps libre pour en apprendre toujours plus sur leur métier et apporter à la communauté. Articles, conférences, trainings, tous les moyens sont bons pour faire vivre la cybersécurité en partageant savoirs et techniques. Suivez l’actualité de notre blog pour découvrir les prochains travaux de nos consultants sécurité.

Nos tarifs

chain-icon

Social Engineering (ingénierie sociale)

À partir de 3 jours

    • Préparation

    Identification des cibles & recueil d'informations

    Choix des approches

      Mise en oeuvre

    Exécution des attaques (phishing, spearphishing....)

      Rapport complet

    Statistiques anonymisées

  • chest-icon

    Tests Red Team

    À partir de 6 mois

    • Méthodes

    Intrusion physique dans les locaux

    Ingénierie sociale contre les employés

    Intrusion via des vulnérabilités réseau ou système

    Exploitation de failles dans les applications

    Exfiltration des ressources

      Rapport complet
  • house-safe-icon

    Tests Purple Team

    À partir de 3 mois

    • Méthodologies

    Mitre ATT&CK ICS.

    OSSTMM (Open Source Security Testing Methodology Manual)

    OWASP (Open Web Application Security Project)

    PTEF (Purple Team Exercise Framework)

      Rapport complet
  • {Q}ézako ?

    Qu'est-ce que le Social Engineering ?

    Cette prestation évalue directement la vulnérabilité des employés d’une entreprise face à des attaques de type ingénierie sociale.

    Les attaques sont variées: usurpation d’identité, envoi de pièce jointe vérolée, hameçonnage (phishing), etc.

    Les tests seront choisis par nos auditeurs en fonction des besoins de votre organisation.

    Le Social Engineering: comment on procède ?

    Les attaques liées à l’ingénierie sociale portant sur les vulnérabilités décisionnelles humaines, ainsi différents scénarios pourront vous être proposés.

    Dans le cadre de ces prestations, Qongzi propose l’accompagnement à la création de scénarii en proposant par exemple des campagnes de phishing, vishing, watering-hole, etc.

    Qongzi peut également mettre disposition les compétences de ses consultants dans le cadre de prestations portant par exemple sur des compétences OSINT (Doxing, Hot-reading, spear-phishing, …)

    Q'est-ce qu'un Red Team ?

    Les tests d’intrusion Red Team vont mettre à l'épreuve tous les systèmes de sécurité de votre organisation. Pour cela, une attaque réelle sera simulée et testera chacune de vos mesures de protection, qu’elles soient virtuelles ou physiques.

    L’objectif du pentest red team est d’évaluer les moyens de défense mis en œuvre pour satisfaire les besoins de sécurité d’un Système d’lnformation (Sl). II est donc nécessaire d’exploiter des techniques et méthodes d’une éventuelle partie adverse au niveau du SI dans son intégralité.

    À la différence d’un pentest classique, la conduite d’un test red team se fait avec le minimum d’informations transmises aux équipes défensives, permettant ainsi de tester leur réactivité.

    Cette prestation vise à tester l’ensemble des composantes du système d’information, de l’humain aux procédures en passant par les éléments de sécurité périmétriques et physiques ainsi qu’IA sensibilisation du personnel vis-à-vis des bonnes pratiques de sécurité.

    Red Team: comment on procède ?

    Ce type de pentest se rapproche beaucoup dans son organisation et dans ses aspects stratégiques à une opération tactique. Il est donc nécessaire de définir des règles d’engagement et définir les ressources sensibles au sein du système d’information.

    Une fois les règles d’engagement définies, « fight’s on », nos consultants mettront en œuvre des techniques et méthodologies employées par les acteurs de la cybercriminalité (cyberespion, cyberterroriste, hacktiviste…)

    La portée de ce test est définie par le scope évalué, mais permettra également de révéler des effets de bords inattendus (compromission prestataire, impact transverse, faiblesse des sécurités physiques…)

    Il vient compléter le test d’intrusion de par son apport de vecteurs de menaces plus importants. L’ensemble des tests restera anonyme, le rapport se focalisant sur le résumé des attaques conduites et leurs effets ainsi que les recommandations de remédiation.

    L’ensemble des tests restera anonyme, le rapport se focalisant sur le résumé des attaques conduites et leurs effets ainsi que les recommandations de remédiation.

    Nos consultants combinent des méthodologies approuvées (PTES, NIST) ainsi que leur expérience pour satisfaire aux besoins du Red Team.

    Qu'est-ce qu'un Purple Team ?

    La prestation purple team est encore peu répandue. Pourtant elle permet de tester de manière très efficace le Système d’Information d’une entreprise.

    À l’inverse des prestations de type pentest, l’équipe rouge (les attaquants, ici notre consultant en cybersécurité) et l’équipe bleue ou forces défensives (CSIRT, DFIR, SOC, MSSP etc., de l’entreprise en question) vont travailler en collaboration au lieu de s’affronter. Grâce à cette approche, on peut aisément tester et améliorer la capacité des salariés d’une entreprise à bien détecter et à adopter les bons réflexes lorsqu’ils sont confrontés à une cyberattaque. Toujours dans un esprit collaboratif, les acteurs de la sécurité de l’entreprise évaluée seront impliqués sous forme de formations, ateliers et groupes de travail.

    La planification d’une campagne de purple teaming repose sur une collaboration entre les équipes offensives et la définition des scénarios par l’équipe responsable de la Threat Intelligence.

    Purple Team: comment on procède ?

    Afin d’assister à la coordination de l’exercice, on applique le framework PTEF.

    Ce framework aide à définir les enjeux et objectifs de la conduite d’un tel exercice. Il permet notamment l’identification des TTPs (Technique, Tactics and Procedures), éléments essentiels de la conduite d’un purple team.

    Celui-ci peut être motivé par:

    – Le besoin d’entraîner les équipes défensives

    – Tester des chaînes d’attaques contre l’entreprise commanditaire

    – Tester des TTPs qui n’ont pas été testées au préalable dans le système cible

    – Tester l’efficacité des procédures entre les équipes sécurité

    – Préparer un pentest boîte noire

    – Révélation après pentest boîte noire ou rejeux de scénarios découverts pendant l’audit

    – Construire une culture de sécurité collaborative au sein de l’entreprise.

    Purple Team: Les livrables ?

    Une liste des vulnérabilités détectées ainsi qu’une conclusion générale comprenant:

    • Le niveau de conformité vis-à-vis de la PSSI

    • La pertinence de la PSSI en elle-même

    • La liste des informations qui ont pu être accédées

    • Si une intrusion technique a pu avoir lieu ou non.