Tests de pénétration

Protégez vos biens et vos données. Obtenez une visibilité totale de vos vulnérabilités en matière de sécurité afin de pouvoir remédier aux faiblesses et d’avoir confiance dans vos systèmes de protection et de sécurité des données.
Réserver un test de pénétration dès aujourd’hui

Ne vous contentez pas de supposer que votre environnement informatique est sûr, vérifiez-le par vous-même.

Les tests de pénétration sont un moyen efficace de trouver et de corriger les vulnérabilités de votre défense en matière de cybersécurité. En simulant une attaque, vous pouvez voir exactement comment votre environnement informatique et votre équipe résisteraient à une attaque réelle.

S’il existe un moyen d’accéder à votre réseau, nous le trouverons.

Nous utilisons plusieurs outils pour tester votre équipe ainsi que vos environnements externes, internes et sans fil, et nous fournissons des rapports détaillés de nos conclusions pour vous aider à développer une stratégie de sécurité complète.

Les scénarios de test comprennent des exercices en équipe rouge et en équipe violette :

  • Applications web
  • Interfaces de programmation d’applications (API)
  • Infrastructure interne et externe
  • Applications mobiles
  • Dispositifs de l’internet des objets (IdO)
Télécharger la brochure

Nos services de test de pénétration

Notre méthodologie de test (boîte noire et boîte grise) est basée sur la norme d’exécution des tests de pénétration (PTES), un ensemble de lignes directrices et de meilleures pratiques conçues pour régir le processus de réalisation d’un test de pénétration. Il décrit les étapes clés et les méthodologies à suivre pour garantir une approche cohérente, de haute qualité et éthique du test de pénétration.

Les tests de pénétration et les évaluations des applications web permettent d’identifier les faiblesses en matière de sécurité, telles que :
  • Contrôle d’accès défaillant
  • Défaillances cryptographiques
  • Injection
  • Conception non sécurisée
  • Mauvaise configuration de la sécurité
  • Composants vulnérables et obsolètes
  • Défauts d’identification et d’authentification
  • Défauts d’intégrité des logiciels et des données
  • Défaillances dans la journalisation et la surveillance de la sécurité
  • Falsification des requêtes côté serveur (SSRF)
Le test de pénétration et l’évaluation des API permettent d’identifier les vulnérabilités en matière de sécurité, notamment :
  • Autorisation au niveau de l’objet qui n’est pas respectée
  • Authentification interrompue
  • Autorisation au niveau de la propriété de l’objet brisée
  • Consommation illimitée de ressources
  • Autorisation de niveau de fonction non respectée
  • Accès illimité aux flux commerciaux sensibles
  • Falsification des requêtes côté serveur
  • Mauvaise configuration de la sécurité
  • Mauvaise gestion des stocks
  • Consommation non sécurisée d’API
Nous évaluons et testons les réseaux orientés vers l’extérieur et l’infrastructure hôte, y compris les actifs tels que les RPV, les micrologiciels, les routeurs, les DNS, les DMZ et les hôtes virtuels ou physiques.

Les évaluations et le test de pénétration se concentrent sur les éléments suivants :

  • Analyse des vulnérabilités pour comprendre les services et les outils exposés, tels que Nessus, Nexpose et NMAP
  • Empreinte Internet à l’aide de techniques telles que WHOIS, ARIN, Traceroute, NSLookup
  • Identification des ports exposés et des services vulnérables pouvant être exploités
  • Détermination des mots de passe par défaut et des mots de passe invités, ou lorsque les contrôles des mots de passe sont faibles
  • Découverte d’une mauvaise configuration de l’hôte et d’une exposition du système de fichiers
Les évaluations et le test de pénétration se concentrent sur les éléments suivants :
  • Analyse des vulnérabilités pour comprendre les services exposés, à l’aide d’outils tels que Nessus, Nexpose et NMAP.
  • Découverte d’hôtes faisant partie du sous-réseau mais non identifiés par le client
  • Identification des ports et des services vulnérables qui peuvent être exploités sur le réseau
  • Détermination du niveau de correction de chaque hôte et de chaque périphérique de réseau afin de savoir lesquels sont exploitables
  • Détermination des mots de passe par défaut et des mots de passe invités, ou lorsque les contrôles des mots de passe sont faibles
  • Découverte d’une mauvaise configuration de l’hôte et d’une exposition du système de fichiers
  • Découverte d’une mauvaise configuration des autorisations des utilisateurs et des groupes
  • Élévation des privilèges afin d’obtenir un accès privilégié aux points d’extrémité, qu’ils soient externes ou internes.
L’évaluation et le test de pénétration des applications mobiles sur les appareils Android et iOS se concentrent sur les points suivants :
  • Chiffrement de bout en bout des données en transit qui ne peut être désactivé par l’utilisateur final
  • Environnement de bac à sable pour séparer et restreindre les capacités et les autorisations des applications de l’espace de travail qui s’exécutent sur l’appareil
  • Contrôles des politiques pour l’authentification, le démarrage sécurisé, la mise en liste blanche des applications, la détection et la prévention des codes malveillants, la mise à jour des appareils et la collecte des événements de sécurité
  • Examen de la configuration de la sécurité du réseau afin de déterminer si les services sont protégés
  • Protection contre les attaques par interception et protection des composants contre les modifications et les sauvegardes
  • Connexions non sécurisées avec les bases de données SQLite ou Firebase
  • Tests de pénétration boîte noire/boîte grise

  • Planification et reconnaissance

    Identifier la portée d’un test, ainsi que les systèmes à prendre en compte et les méthodes de test à utiliser.

  • Analyse

    Compilation des résultats du test de pénétration dans un rapport détaillant les vulnérabilités, les données sensibles qui ont été consultées et le temps pendant lequel la menace est restée dans le système sans être détectée.

  • Balayage

    Inspection du code d’une application afin d’estimer son comportement en cours d’exécution. Il s’agit ensuite d’inspecter le code d’une application en cours d’exécution.

  • Obtention de l’accès

    Utilisation d’attaques telles que les scripts intersites, l’injection SQL et les portes dérobées pour découvrir les vulnérabilités d’une cible.

Contactez nos experts en sécurité pour vous aider à protéger vos actifs et vos données.

Réserver un appel
Étude de cas

Réseau de santé universitaire : Rationaliser la sécurité, réduire les coûts de personnel et protéger les données des patients

L’UHN a déterminé que Calian a été son meilleur allié dans la mise en œuvre d’un système de sécurité qui puisse travailler de manière transparente et efficace dans l’ensemble de son organisation multisite.

Lire l’étude de cas
Les spécialistes de la cybersécurité savent que les incidents se produisent presque toujours pendant le week-end ou au milieu de la nuit, de sorte que nous sommes rassurés de savoir que nos systèmes sont surveillés 24 heures sur 24. Kashif Parvais, RSSI, UHN

Solutions de cybersécurité Calian

Techniques de pointe pour la modélisation des menaces

Combiner des technologies, des méthodologies et des pratiques de pointe afin de détecter, d’analyser et d’atténuer les menaces potentielles en temps réel.

Surveillance du web clandestin

Analyser les parties cachées de l’internet pour détecter et alerter les particuliers ou les entreprises sur leurs données exposées ou volées.

Renseignements sur les menaces

Collecte, analyse et utilisation d’informations sur les menaces potentielles pour la sécurité afin d’informer et d’améliorer les stratégies de défense d’une organisation.

Corrélation avancée et cas d’utilisation

Techniques sophistiquées d’analyse des données pour identifier des modèles et des relations, permettant une meilleure prise de décision et des solutions personnalisées.

Apprentissage automatique et analyse

Exploiter les algorithmes et les données pour identifier des modèles et en tirer des enseignements, en optimisant automatiquement les processus de prise de décision.

Consultants en cybernétique

Fournir des conseils d’experts aux organisations sur la protection de leurs actifs numériques, de leur infrastructure et de leurs données contre les cybermenaces.

Formation et préparation

Donner aux individus et aux organisations les connaissances, les compétences et les stratégies nécessaires pour prévenir et détecter les cybermenaces et y répondre.

Moderniser et sécuriser votre infrastructure informatique

Adressez-vous à un expert pour favoriser la réussite de votre organisation dans le domaine numérique.

Les activités mondiales de Calian

Avec quatre centres d’opérations de sécurité dans le monde, Calian fournit une assistance 24 heures sur 24, du jour à la nuit, renforçant ainsi les capacités de sécurité au niveau mondial.

Contacter un spécialiste dès aujourd’hui

Domaines d’intervention actuels de l’ITCS

Régions à venir

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.