TESTS D’INTRUSION (PEN TEST)



SM Protection offre des services de tests d’intrusion en profondeur en « black box » (sans aucune connaissance de la configuration de vos systèmes et de votre réseau), « semi-black box » (avec une connaissance limitée de la configuration de vos systèmes et de votre réseau), et en « white box » (avec une bonne connaissance de la configuration de vos systèmes et de votre réseau). L’objectif de ces tests est d’évaluer le niveau de sécurité et de valider la maturité de vos applications, de vos systèmes ou de votre réseau informatique (filaire et sans fil), face à des attaques malveillantes pouvant provenir de l’internet, du WiFi ou du réseau interne de votre entreprise.

Pour une portée de tests données, en plus des applications concernées, nous évaluerons également les configurations systèmes sur lesquelles reposent ces applications et leurs interactions avec d’autres systèmes et applications connectés par des services ou des liens d’échanges de données.

À la fin des tests d’intrusions, un rapport détaillant les failles trouvées vous sera fourni, le détail de comment nous les avons exploités et des pistes de solutions vous serons également fournies en plus de nos recommandations sur l’amélioration de l’architecture de vos systèmes si cela s’avère nécessaire. Les failles trouvées seront classées du plus critique au moins critique.

Nous offrons un service de calibre internationale respectant l’éthique professionnel de l’industrie. Nous sommes disposés à signer toute entente de non-divulgation et de confidentialité sur les informations qui seront à notre possession à la faveur des tests d’intrusion.

Le top 10 des risques de sécurité d’applications web les plus critiques selon l’OWASP pour 2017 est :

  • A1 Injection SQL
  • A2 Violation de Gestion d’authentification et de Session
  • A3 Cross-Site Scripting (XSS)
  • A4 Brie de control d’accès
  • A5 Mauvaise configuration de sécurité
  • A6 Exposition de données sensibles
  • A7 Protection d’attaque insuffisante (Nouveau)
  • A8 Falsification de requête intersites (CSRF)
  • A9 Utilisation de composants avec des vulnérabilités connues
  • A10 APIs sous-protégé (Nouveau)