Swiss Grade Security - 3 octobre 2017 - Lausanne
Découvrez le concept des tests d'intrusion, éléments indispensables à la protection des données d'un système d'information. Rentrez dans le détail avec un cas concret de test d'intrusion sur une plateforme protégée par la solution de Cloud de haute sécurité CerberHost !
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
1. Expert sécurité, réseau et services informatiques
Version :
Date :
Diffusion :
Test d’intrusion, méthodologie et cas concret
Dominique Climenti - Kyos Sàrl, Security Architect
Ethical Hacker depuis plus 10 ans.
Restreint
1.0
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
03.10.2017
2. Kyos SARL
Kyos en quelques mots
• Expert sécurité, réseau et services informatiques :
‒ une offre de service cohérente,
‒ une forte proximité et réactivité,
‒ des solutions sur mesure.
• Créé à Genève en novembre 2002
• Entreprise à taille humaine : 38 personnes
03.10.2017
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
2
3. Expert sécurité, réseau et services informatiques
Agenda
Notions de test d’intrusion
Agenda
‐ Notions de test
d’intrusion
‐ Contexte du test
CerberHost
‐ Conclusions
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
4. Kyos SARL
Un test d’intrusion, c’est quoi?
• Tous les maillons de la chaîne sont visés :
• 6 étapes incontournables :
03.10.2017
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
4
5. Kyos SARL
Un test d’intrusion, pourquoi?
Analyse d’un composant d’un point de vue
sécurité.
03.10.2017
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
5
6. Kyos SARL
Un test d’intrusion, pourquoi?
Etablir un état des lieux de la
sécurité de son infrastructure
informatique.
03.10.2017
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
6
7. Kyos SARL
Un test d’intrusion, pourquoi?
Mettre sa stratégie de défense à
l’épreuve.
03.10.2017
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
7
8. Kyos SARL
Un test d’intrusion, pour qui?
03.10.2017
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
8
9. Expert sécurité, réseau et services informatiques
Agenda
Contexte du test Cerberhost
Agenda
‐ Notions de test
d’intrusion
‐ Contexte du test
CerberHost
‐ Conclusions
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
10. Kyos SARL
Quelle couleur préférez-vous ?
•White box
•Gray box
•Black box
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
03.10.2017 10
11. Kyos SARL
Axes du test d’intrusion
• Sécurité de l’infrastructure
• Etanchéité des composants de l’infrastructure
virtuelle
• Protection des applications hébergées
03.10.2017
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
11
12. Kyos SARL
Configuration auditée
• DVWA
(Damn Vulnerable Web Application)
• Deux instances avec des niveaux
de protection différents
• Accès «root» sur les serveurs
03.10.2017
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
12
13. Expert sécurité, réseau et services informatiques
Agenda
Conclusions
Agenda
‐ Notions de test
d’intrusion
‐ Contexte du test
CerberHost
‐ Conclusions
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
14. Kyos SARL
Points forts
• Aucune vulnérabilité trouvée par
des outils de scan automatique
• Bon niveau de sécurité de
l’infrastructure
• Bonne étanchéité des composants
virtuels
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
Vulnerability
Vulnerability
Vulnerability
Vulnerability
Vulnerability
Vulnerability
Vulnerability
03.10.2017 14
15. Kyos SARL
Points forts
• Aucune vulnérabilité trouvée par
des outils de scan automatique
• Bon niveau de sécurité de
l’infrastructure
• Bonne étanchéité des composants
virtuels
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
03.10.2017 15
Cependant, quelques points ont été trouvés…
17. Kyos SARL
Correctifs
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
03.10.2017 17
• Des solutions de contournement ont été mises en places pour les deux
points les plus importants
• Deux autres points importants ont été entièrement corrigés durant
l’audit
• Un plan d’actions pour la corrections des autres points est en cours
d’élaboration…
18. Expert sécurité, réseau et services informatiques
Contact us
Kyos SARL
Frank-Thomas, 32
1208 Genève
Tel. : +41 22 566 76 30
Fax : +41 22 734 79 03
www.kyos.ch
info@kyos.ch
Merci
Dominique Climenti
Kyos Sàrl
Security Architect
Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
Notes de l'éditeur
A ajouter :
Vos interlocuteurs tech + commerce
3 slides détaillant les expertises
Partenaires
Références client