Infogérance et sécurité informatique
Tests d’intrusion : éprouver ponctuellement


L’équipe de Sécurité Active® combine une excellence technique, les outils les plus avancés et des démarches novatrices pour évaluer la sécurité d’un système d’information face aux malveillances informatiques internes et externes.

Intrinsec capitalise des milliers de prestations de test d’intrusion. L’équipe de Sécurité Active® démontre l’impact réel des menaces non-conventionnelles et propose des recommandations opérationnelles.

Pour de grandes organisations, Intrinsec met en oeuvre et pilote des cellules de tests d’intrusion dédiées en interne.

A la pointe de l’innovation, Intrinsec développe des capacités de calcul distribué pour accroître l’efficience des attaques sur les authentifications et les systèmes cryptographiques.

Tous les points d’accès potentiels au SI sont couverts par cette prestation :

Environnements accessibles depuis Internet.
Réseaux Wifi et infrastructures télécoms.
Réseaux internes.
Applications métiers, e-commerce, banques en ligne.






Les approches classiques sont complétées par des scénarios sur-mesure.


Quel est le niveau d’exposition des postes de travail vis-à-vis des menaces Internet ?
Quelles failles les logiciels clients créent-ils sur le SI ?


La simulation d’attaque des postes de travail depuis Internet éprouve leur sécurité face aux sites web malveillants et aux e-mails piégés. Elle identifie les vulnérabilités des navigateurs, des clients de messagerie et des suites bureautiques qui sont des points d’entrée directs sur le réseau local. Intrinsec a développé une plateforme reproduisant les méthodes des malwares et botnets visant le poste de travail.




Les données métier sont-elle en péril lors du vol d’un terminal mobile ?
La quantité d’informations extraites suffit-elle à compromettre le système d’information ?
Les accès distants fournis aux utilisateurs sont-ils exploitables par les pirates ?
Existe-t-il un processus défini de réaction face à l’incident ?


La simulation de vol de terminal mobile (du smartphone à l’ordinateur portable) permet d’évaluer l’impact d’une telle menace sur le SI.






En savoir plus
Le carnet sécurité d'IntrinsecLe blog des experts de la sécurité informatique
1995, Intrinsec lance le test d'intrusionArchives 01Informatique
Plan Pandémiewww.PlanPandemie.fr








Zoom sur nos métiers de la sécurité informatique...
Mesurer et se mesurer à son Système d'Information pour se prémunir

Les métiers de l'audit de sécurité informatique et du test d'intrusion

L’équipe d’ingénieurs en sécurité informatique d’Intrinsec est un pôle très spécialisé au sein de notre société. Composée d’une dizaine de collaborateurs à fort potentiel, ils sont garants de nos propres infrastructures, pour la sécurité des clients hébergés auxquels nous offrons un service haut de gamme, et réalisent aussi des prestations de sécurité informatique pure auprès de sociétés qui nous témoignent leur confiance.
À cette fin, nous nous dotons des meilleurs profils en la matière sur le marché. Lors de leur recrutement, un véritable état d’esprit est exigé par les plus anciens qui ont fait la notoriété d’Intrinsec à ses débuts.

Une vraie capacité à se mettre dans la peau d’un pirate informatique nourrissant une volonté forte de détourner des systèmes quels qu’ils soient, une grande pro activité dans l’identification d’idées malveillantes, une capacité à se mettre dans la peau d’un mercenaire tout esprit mal tourné et tortueux qu’il ait, à envisager n’importe quelle fraude, escroquerie, falsification, tricherie, voilà les pré-requis pour faire partie de l’équipe des ingénieurs en sécurité informatique d’Intrinsec.

Réaction sur incident

Il peut arriver que l’un de nos ingénieurs en sécurité informatique soit appelé en urgence parce qu’une intrusion a été détectée sur son système, c’est en général l’état d’urgence, il faut réagir immédiatement, le week-end, la nuit, n’importe quand, pour collecter des preuves, diagnostiquer l’événement et sa cause, et mettre le client en relation avec les autorités compétentes pour l’aider à faire ses démarches, porter plainte par exemple.
Pour une attaque virale, l’ingénieur en sécurité informatique fait un état des lieux, cantonne la diffusion, nettoie le système et essaie de remettre globalement les systèmes en route.

Il recherche ensuite de quelle manière le virus a réussi à pénétrer. Cette dernière action est primordiale puisqu’elle permet parfois de mettre en lumière un problème organisationnel interne.
Si réagir s’avère parfois nécessaire, prévenir ce type d’incidents, et aider un client à se prémunir contre toute malveillance potentielle visant son système d'information reste la mission principale d’un ingénieur de notre équipe.

Audit de sécurité informatique

Un audit de sécurité informatique est une démarche collaborative entre notre ingénieur en sécurité informatique et les différents acteurs de la société auditée, un partage des connaissances : lui, apporte son expertise en matière de sécurisation du système d'information et de processus de gestion de la sécurité informatique, eux, le contexte métier spécifique et la stratégie en matière de sécurité informatique de la société. La démarche s’adapte à la taille, à la complexité, au métier de l’entreprise tout en s’appuyant sur les normes ISO 27001 et 27002. Au regard de tous ces éléments, l’ingénieur en sécurité informatique construit un référentiel de bonnes pratiques couvrant les aspects : gestion du contrôle d'accès, des incidents de sécurité informatique, du maintien en conditions opérationnelles, de la continuité de service, de l'exploitation courante, des télécommunications, de la gestion des biens, de la conformité légale (propriété intellectuelle, de la vie privée…) etc...
Suite aux entretiens et aux sessions de travail qu’il organise, l’ingénieur en sécurité informatique confronte les pratiques du client vis-à-vis du référentiel préalablement établi. En parallèle l’ingénieur réalise un audit technique visant à :
 - analyser toutes les strates du système d'information depuis l’architecture jusqu’aux éléments de configuration,
 - mettre en avant les écarts entre d’une part : les informations collectées lors des entretiens et leur réalité sur le système d'information, d’autre part entre les pratiques de la société en matière de sécurité informatique et ce que l’on constate de l’état de l’art.

Un état des lieux (forces et faiblesses) de l’existant en termes de sécurité informatique est réalisé, ainsi qu’un ensemble de préconisations structurées dans un schéma directeur mettant en évidence des « Quick Wins » (chantier d’améliorations très court terme à forte valeur ajoutée), des travaux à court, moyen et long terme, et tenant compte des priorités, des budgets alloués. L’ingénieur analyse le contexte de son intervention et prend en compte les projets connexes et structurants dans sa démarche d’audit (par exemple : une démarche ITIL, un plan de reprise d’activité, un projet d’externalisation, …).
En back office nos ingénieurs maintiennent un niveau de compétence perpétuellement à jour sur l’ensemble des problématiques de sécurité informatique, une veille technologique dont nos clients sont les bénéficiaires directs.
En outre, le collaborateur Intrinsec s’efforce lors de sa mission à sensibiliser l’ensemble des acteurs rencontrés et à véhiculer les idées, les valeurs et la démarche de sécurité informatique qui est celle de l’entreprise, afin de créer l’adhésion et rendre son action bénéfique et efficace.

Tests d'intrusion

Beaucoup plus démonstratif que l’audit de sécurité informatique, le test d'intrusion est un autre vecteur de sensibilisation. Lorsque notre ingénieur œuvre en interne chez un client sur de l’écoute téléphonique par exemple, et qu’il remet 3 fichiers mp3 d’une conversation entre la direction sur site, et un autre directeur informatique à l’étranger, bien sûr ça ne fait pas plaisir, mais le message est fort. Lorsqu’il accède aux e-mails d’un VIP ou d’un DSI en passant simplement par le web, c’est très démonstratif aussi.
Les campagnes de test d'intrusion constituent un autre volet du travail de l’équipe des ingénieurs en sécurité informatique d’Intrinsec. Le succès de ces campagnes réside dans la capacité des ingénieurs en sécurité informatiqueà se positionner dans la peau d’un attaquant. Ils utilisent exactement les mêmes méthodes et techniques qu’un pirate informatique, mais dans un cadre complètement légal puisqu’ils sont mandatés par les entreprises pour soumettre un système (ou un périmètre) à un certain niveau d’attaque durant un certain temps.
On parle d’un niveau d’attaque pour faire référence en réalité à la dangerosité d’un attaquant qui peut être un informaticien lambda plus ou moins expert, comme un mercenaire qui a du temps et beaucoup d’argent à consacrer à l’opération. On parle aussi du temps consacré au test, c’est en effet un paramètre structurant en raison du fait qu’un bon nombre d’attaques soit limité par le temps qu’on y consacre.


4 types de test peuvent être réalisés :
Le test d'intrusion Internet : L’ingénieur en sécurité informatique tente de pénétrer l’infrastructure depuis le réseau Internet, il peut être n’importe où et attaquer le système sur son périmètre exposé à l’extérieur : applications web, serveurs de mails, etc...


Le test d'intrusion interne : Ce test couvre le potentiel de malveillance d’un utilisateur en interne, un ‘intruder’. L’ingénieur en sécurité informatique s’assimile à un pirate qui rentre dans les locaux ou un utilisateur malveillant et se connecte à l’infrastructure. L’ingénieur va référencer tout ce qu’il est capable de faire après s’être connecté. S’il arrive à rentrer en profondeur dans l’infrastructure, il évalue son potentiel de rayonnement dans l’infrastructure.


Les tests d'intrusion sur les réseaux sans fil : L’ingénieur cherche tous les réseaux visibles, évalue sa capacité à s’introduire sur le réseau, celle d’avancer plus avant dans l’infrastructure, et à dégrader son niveau de sécurité. À l’insu des utilisateurs il tente de forcer leur connexion à un réseau sous son contrôle. Après avoir testé toutes ces intrusions, il dresse une liste des types/criticités des données qu’il est capable d’intercepter.


Les tests d'intrusion sur les infrastructures télécom : L’ingénieur passe par les réseaux téléphoniques ; modems de maintenance, serveurs téléphoniques pour s’assurer qu’ils ne représentent pas des points d’entrées directes contournant le périmètre de défense.

Il y a 3 différentes approches correspondantes au niveau de connaissance du système d'information que l’on donne à l’ingénieur en charge des tests, selon qu’on veuille simuler le potentiel d’un attaquant : qui n’a aucune information concernant la société, qui a obtenu des informations de la part d’un ‘insider’ ou qui possède une bonne connaissance de la structure.


Boite noire : L’ingénieur n’a que le nom de la société. Il consacre un certain temps à la collecte d’informations sur Internet afin trouver des équipements, des noms d’utilisateurs, etc. lui permettant de s’introduire sur l’infrastructure. Lorsqu’il est capable de définir un périmètre potentiel pour réaliser ses attaques, il le valide avec son client, car il a un cadre légal à respecter et ne peut pas prendre l’initiative d’attaquer sans l’accord de ce dernier.


Boîte grise : L’ingénieur en sécurité informatique possède quelques informations, l’adresse d’un site par exemple.


Boîte blanche : Le client fournit à l’ingénieur en sécurité informatique les schémas d’infrastructure afin qu’il détermine toutes les relations entre les équipements et qu’il comprenne rapidement quels scénarii d’intrusion sont intéressants.


Quand l’ingénieur en charge des tests sait s’introduire sur l’infrastructure, celui-ci ne se contente pas de dresser une liste des failles du SI. Il émet des recommandations et préconise des actions concrètes de sécurisation.


Il n’est pas rare de trouver des vulnérabilités liées à la conception ou au développement des applications web : les sites de vente en ligne par exemple. Un individu malveillant peut réussir à accéder et exploiter des fichiers qui ne sont pas censés être visibles par l’utilisateur. Il peut aussi détecter des failles dans le wokflow de l’application : se connecter au site, faire sa recherche, ajouter des produits à son panier, renseigner son identité, mais déclencher la livraison et se faire livrer, en contournant l’étape de paiement. Pour détecter ce type de failles l’ingénieur doit posséder une bonne compréhension des processus métiers supportés par les applications, il doit déterminer les zones applicatives critiques, détecter les fonctionnalités qui présentent un intérêt en termes de malveillance financière par exemple, construire des scénarii combinant vulnérabilités techniques et contournement de workflow. L’exemple de la vente en ligne, est un exemple parmi d’autre, mais le problème se pose aussi pour les sites de vote en ligne, de gestion documentaire, des extranets, des sites institutionnels, etc…



1995, Intrinsec lance les tests d'intrusion :
Archives 01Informatique



INFOGÉRANCE INFORMATIQUE INFOGÉRANCE D'INFRASTRUCTURES SÉCURITÉ INFORMATIQUE RSSI INFOGÉRANCE APPLICATIVE INFOGÉRANCE HÉBERGÉE TEST D'INTRUSION DATACENTER HQ EXTERNALISATION INFORMATIQUE AUDIT DE SÉCURITÉ GESTION DES VULNÉRABILITÉS TEST D'INTRUSION INTERNET TEST DE PÉNÉTRATION LOGIQUE INFOGÉRANCE A LA DEMANDE TEST D'INTRUSION TÉLÉCOM EXPERTISE ORACLE EXPERTISE HYPERION ANALYSE DE RISQUES TEST D'INTRUSION INFORMATIQUE HÉBERGEMENT INFORMATIQUE INFOGÉRANCE ET HÉBERGEMENT INFOGERANCE ITIL RSSI TEMPS PARTIEL COUP DE CHAUD RSSI PARTAGÉ INFOGÉRANCE DE LA SÉCURITÉ INFORMATIQUE LEADER EN SÉCURITÉ INFORMATIQUE PROTECTION DES RÉSEAUX PROTECTION ERP INFOGÉRANCE GLOBALE CONTRAT D'INFOGÉRANCE INFOGÉRANCE ORACLE INFOGÉRANCE DE SI INFOGÉRANCE ON-DEMAND VIRTUALISATION ET CONSOLIDATION VMWARE VIRTUALISATION DE STOCKAGE STOCKAGE ON-DEMAND INTÉGRATION ANTIVIRALE PRA PCA EXEMPLES DE PROJETS PRA PCA SÉCURITÉ LOGIQUE PLAN DE REPRISE D'ACTIVITÉ RTMS EXPERTISE QUALIAC EXPERTISE EXCHANGE ERP4IT SÉCURITÉ INFORMATIQUE OPEN SOURCE PLAN DE CONTINUITÉ DE SERVICE REVUE DE PRESSE EXPERTISE EN SÉCURITÉ INFORMATIQUE SPÉCIALISTE EN SÉCURITÉ INFORMATIQUE RECRUTEMENT EXPERT EN SÉCURITÉ INFORMATIQUE FORMATION DE SÉCURITÉ INFORMATIQUE EXEMPLES DE PROJETS D'INFOGÉRANCE EXEMPLES DE PROJETS DE SÉCURITÉ POLITIQUE DE SÉCURITÉ INFOGÉRANCE IODE AVANTAGES INFOGÉRANCE IODE INFRASTRUCTURES IODE INFOGÉRANCE LYON INFOGÉRANCE NANTES INFOGÉRANCE PARIS INFOGÉRANCE TÉLÉPHONIE SÉCURITÉ DES SERVEURS SÉCURITÉ DES APPLICATIONS CMDB CONFIDENTIALITÉ DES DONNÉES RTO ET RPO SUPERVISION ET CMDB SÉCURITÉ INFORMATIQUE DU SI SOCIÉTÉ D'INFOGÉRANCE SOCIÉTÉ DE SÉCURITÉ INFORMATIQUE INFOGÉRANCE NANTERRE TELEXPLOITATION TELE EXPLOITATION VIRTUALISATION VMWARE FORTINET IBM SVC EXPERTISE LOTUS NOTES EXPERTISE SAN IBM DS4800 VULNÉRABILITÉ INFORMATIQUE PLAN DE SECOURS SINISTRE INFORMATIQUE GESTION DE LA SECURITÉ INFORMATIQUE GREEN-IT CLOUD COMPUTING SaaS PaaS GESTION DES VULNÉRABILITÉS QUALYS EXPERTISE MICROSOFT EXPERTISE CISCO INFOGÉRANCE OSMOSE SOCIETE INFOGERANCE SOCIETE SECURITE INFORMATIQUE

Mentions légales