Qongzi vous proposes des tests d'intrusion internes,
externes et IoT rigoureux en toute indépendance et confidentialité.
Les méthodologies que nos consultants utilisent mesurent précisément le risque associé
à votre SI ou IoT et leur permettent de formuler les recommandations nécessaires.
Nos consultants sécurité mettent en application les méthodes OWASP (Open Web Application Security Project), OSSTMM (Open Source Security Testing Methodology Manual) et aussi Mitre ATT&CK. Bien qu'aujourd'hui cette matrice se destine plutôt aux équipes défensives, des applications offensives apparaissent et peuvent permettre une analyse de risque avec une approche pragmatique.
Nos consultants répondent à vos questions à chaque étape de nos prestations. Tout d'abord lors de la réunion de lancement d'audit, puis lors de la réunion de l'équipe technique. Le contact restera constant grâce à un envoie de mail quotidien pour faire le point sur l'avancée des tests. La prestation sera clôturée par la remise d'un rapport détaillé rédigé par le consultant sécurité en charge de votre projet. Si vous le souhaitez, il pourra également vous proposer une restitution orale.
Nos experts sont avant tout des passionnés qui n'hésitent pas à prendre sur leur temps libre pour en apprendre toujours plus sur leur métier et apporter à la communauté. Articles, conférences, trainings, tous les moyens sont bons pour faire vivre la cybersécurité en partageant savoirs et techniques. Suivez l'actualité de notre blog pour découvrir les prochains travaux de nos consultants sécurité.
À partir de 800
OSSTMM (Open Source Security Testing Methodology Manual)
OWASP (Open Web Application Security Project)
MISP threat sharing
À partir de 900
Mitre ATT&CK ICS.
OSSTMM (Open Source Security Testing Methodology Manual)
OWASP (Open Web Application Security Project)
Comme son nom l’indique, le test d’intrusion interne simule une attaque provenant directement du réseau interne d’une organisation. L’auditeur est connecté au réseau de l’entreprise comme s’il y était un collaborateur, un stagiaire ou encore un prestataire et attaque les ressources informatiques de l’organisation afin de les mettre à l’épreuve dans le but de détecter d’éventuelles failles de sécurité.
Ce type de prestation est particulièrement recommandé pour renforcer la sécurité des réseaux internes comportant des données sensibles.
Elle l’est également pour ceux accueillant du public et qui, par conséquent, sont équipés de réseaux invités.
Ce type d’audit visant évaluer la sécurité des ressources internes de l’entreprise, plusieurs profils d’attaquant sont envisageables.
En fonction des droits et accès proposés par le commanditaire, le consultant évaluera le niveau de cloisonnement des permissions au sein du réseau de l’entreprise ainsi que la bonne configuration des éléments actifs.
Les réseaux modernes reposant largement sur des systèmes d’annuaire, la robustesse de ceux-ci sera également auditée.
Enfin la sécurité des comptes utilisateurs au sein du réseau interne ainsi que les ressources de données internes feront l’objet d’une attention toute particulière de la part des consultants.
À l’inverse, le test d’intrusion externe simule une attaque provenant de l’extérieur du Sytéme d’information auditer. Ce test se focalise principalement sur les services exposés en ligne et sert à déceler les principales vulnérabilités du Système d’information testé.
Ce type de prestation est particulièrement recommandé pour les entreprises et organisations très présentes sur internet
En suivant les standards de conduite d’audit (OSSTMM, OWASP), l’auditeur s’efforcera de reproduire les schémas d’attaque d’un utilisateur malveillant.
En allant jusqu’à la tentative de compromission, ce type d’audit permet d’évaluer la capacité d’une partie adverse à altérer la confidentialité, la disponibilité ou l’intégrité des ressources traitées par le système d’information.
Il vise à proposer au commanditaire une métrique sur le niveau de sécurité du périmètre audité.
Notre évaluation hardware et IOT repose sur les compétences reconnues de nos consultants.
Elle propose une évaluation d’un système embarqué dans son ensemble, en employant les techniques employées par un attaquant opportuniste.
Cet audit vise tant la portée système embarquée/hardware (ports de programmation, teardown, injection de faute…), mais également la partie software (analyse applicative, exploitation applicative, gestion des données…) et connectivité (bluetooth, Enocean, ZigBee, Wifi,...)