SlideShare une entreprise Scribd logo

Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos

Télécharger en tant que PPTX, PDF
Net4All
Net4All

Swiss Grade Security - 3 octobre 2017 - Lausanne Découvrez le concept des tests d'intrusion, éléments indispensables à la protection des données d'un système d'information. Rentrez dans le détail avec un cas concret de test d'intrusion sur une plateforme protégée par la solution de Cloud de haute sécurité CerberHost !

Technologie
1  sur  18
Expert sécurité, réseau et services informatiques Version : Date : Diffusion : Test d’intrusion, méthodologie et cas concret Dominique Climenti - Kyos Sàrl, Security Architect Ethical Hacker depuis plus 10 ans. Restreint 1.0 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 03.10.2017
Kyos SARL Kyos en quelques mots • Expert sécurité, réseau et services informatiques : ‒ une offre de service cohérente, ‒ une forte proximité et réactivité, ‒ des solutions sur mesure. • Créé à Genève en novembre 2002 • Entreprise à taille humaine : 38 personnes 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 2
Expert sécurité, réseau et services informatiques Agenda Notions de test d’intrusion Agenda ‐ Notions de test d’intrusion ‐ Contexte du test CerberHost ‐ Conclusions Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
Kyos SARL Un test d’intrusion, c’est quoi? • Tous les maillons de la chaîne sont visés : • 6 étapes incontournables : 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 4
Kyos SARL Un test d’intrusion, pourquoi? Analyse d’un composant d’un point de vue sécurité. 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 5
Kyos SARL Un test d’intrusion, pourquoi? Etablir un état des lieux de la sécurité de son infrastructure informatique. 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 6
Kyos SARL Un test d’intrusion, pourquoi? Mettre sa stratégie de défense à l’épreuve. 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 7
Kyos SARL Un test d’intrusion, pour qui? 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 8
Expert sécurité, réseau et services informatiques Agenda Contexte du test Cerberhost Agenda ‐ Notions de test d’intrusion ‐ Contexte du test CerberHost ‐ Conclusions Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
Kyos SARL Quelle couleur préférez-vous ? •White box •Gray box •Black box Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 03.10.2017 10
Kyos SARL Axes du test d’intrusion • Sécurité de l’infrastructure • Etanchéité des composants de l’infrastructure virtuelle • Protection des applications hébergées 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 11
Kyos SARL Configuration auditée • DVWA (Damn Vulnerable Web Application) • Deux instances avec des niveaux de protection différents • Accès «root» sur les serveurs 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 12
Expert sécurité, réseau et services informatiques Agenda Conclusions Agenda ‐ Notions de test d’intrusion ‐ Contexte du test CerberHost ‐ Conclusions Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
Kyos SARL Points forts • Aucune vulnérabilité trouvée par des outils de scan automatique • Bon niveau de sécurité de l’infrastructure • Bonne étanchéité des composants virtuels Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret Vulnerability Vulnerability Vulnerability Vulnerability Vulnerability Vulnerability Vulnerability 03.10.2017 14
Kyos SARL Points forts • Aucune vulnérabilité trouvée par des outils de scan automatique • Bon niveau de sécurité de l’infrastructure • Bonne étanchéité des composants virtuels Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 03.10.2017 15 Cependant, quelques points ont été trouvés…
Kyos SARL Pistes d’amélioration Divulgation d’information Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret Filtrage Web 03.10.2017 16
Kyos SARL Correctifs Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 03.10.2017 17 • Des solutions de contournement ont été mises en places pour les deux points les plus importants • Deux autres points importants ont été entièrement corrigés durant l’audit • Un plan d’actions pour la corrections des autres points est en cours d’élaboration…
Expert sécurité, réseau et services informatiques Contact us Kyos SARL Frank-Thomas, 32 1208 Genève Tel. : +41 22 566 76 30 Fax : +41 22 734 79 03 www.kyos.ch info@kyos.ch Merci Dominique Climenti Kyos Sàrl Security Architect Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret

Recommandé

Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
 
Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm.com Support de la formation Vmware Esxi 6.0Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm.com Support de la formation Vmware Esxi 6.0Alphorm
 
Rapport home handicap
Rapport home handicapRapport home handicap
Rapport home handicapMarwa Bhouri
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 

Recommandé

Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.DjibyMbaye1
 
Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm.com Support de la formation Vmware Esxi 6.0Alphorm.com Support de la formation Vmware Esxi 6.0
Alphorm.com Support de la formation Vmware Esxi 6.0Alphorm
 
Rapport home handicap
Rapport home handicapRapport home handicap
Rapport home handicapMarwa Bhouri
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIMYaya N'Tyeni Sanogo
 
Mémoire L3
Mémoire L3Mémoire L3
Mémoire L3Jean Luc HERINIAINA
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESTelecomValley
 
Alphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.x
Alphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.xAlphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.x
Alphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.xAlphorm
 
Fiche projet réseau local d'une entreprise moderne
Fiche projet réseau local d'une entreprise moderne Fiche projet réseau local d'une entreprise moderne
Fiche projet réseau local d'une entreprise moderne Mohamed Boubaya
 
CV DE DIBY RICHMOND ADMINISTRATEUR RESEAUX ET SYSTEME
CV DE DIBY RICHMOND ADMINISTRATEUR RESEAUX ET SYSTEMECV DE DIBY RICHMOND ADMINISTRATEUR RESEAUX ET SYSTEME
CV DE DIBY RICHMOND ADMINISTRATEUR RESEAUX ET SYSTEMERichmond Diby
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasEyesOpen Association
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
Mise en place d'un wifi securise
Mise en place d'un wifi securiseMise en place d'un wifi securise
Mise en place d'un wifi securiseJUNIOR SORO
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
La VoIP,Elastix, CentOs, Codima, WireShark
La VoIP,Elastix, CentOs, Codima, WireSharkLa VoIP,Elastix, CentOs, Codima, WireShark
La VoIP,Elastix, CentOs, Codima, WireSharkAbdelhamid KHIRENNAS
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseauxRabeb Boumaiza
 
Cahier des Charges Infrastructure Informatique
Cahier des Charges Infrastructure InformatiqueCahier des Charges Infrastructure Informatique
Cahier des Charges Infrastructure InformatiqueDATANYWARE.com
 
Deploiement du controleur virtuel de point d’acces cisco
Deploiement du controleur virtuel de point d’acces ciscoDeploiement du controleur virtuel de point d’acces cisco
Deploiement du controleur virtuel de point d’acces ciscoMame Cheikh Ibra Niang
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
Ebios
EbiosEbios
Ebioskilojolid
 
Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentKyos
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 

Contenu connexe

Tendances

ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESTelecomValley
 
Alphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.x
Alphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.xAlphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.x
Alphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.xAlphorm
 
Fiche projet réseau local d'une entreprise moderne
Fiche projet réseau local d'une entreprise moderne Fiche projet réseau local d'une entreprise moderne
Fiche projet réseau local d'une entreprise moderne Mohamed Boubaya
 
CV DE DIBY RICHMOND ADMINISTRATEUR RESEAUX ET SYSTEME
CV DE DIBY RICHMOND ADMINISTRATEUR RESEAUX ET SYSTEMECV DE DIBY RICHMOND ADMINISTRATEUR RESEAUX ET SYSTEME
CV DE DIBY RICHMOND ADMINISTRATEUR RESEAUX ET SYSTEMERichmond Diby
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasEyesOpen Association
 
Mise en place d'un wifi securise
Mise en place d'un wifi securiseMise en place d'un wifi securise
Mise en place d'un wifi securiseJUNIOR SORO
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
La VoIP,Elastix, CentOs, Codima, WireShark
La VoIP,Elastix, CentOs, Codima, WireSharkLa VoIP,Elastix, CentOs, Codima, WireShark
La VoIP,Elastix, CentOs, Codima, WireSharkAbdelhamid KHIRENNAS
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseauxRabeb Boumaiza
 
Cahier des Charges Infrastructure Informatique
Cahier des Charges Infrastructure InformatiqueCahier des Charges Infrastructure Informatique
Cahier des Charges Infrastructure InformatiqueDATANYWARE.com
 
Deploiement du controleur virtuel de point d’acces cisco
Deploiement du controleur virtuel de point d’acces ciscoDeploiement du controleur virtuel de point d’acces cisco
Deploiement du controleur virtuel de point d’acces ciscoMame Cheikh Ibra Niang
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 

Tendances (20)

ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIM
 
Mémoire L3
Mémoire L3Mémoire L3
Mémoire L3
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMESPRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
PRÉSENTATION D’UN KIT SIEM DÉDIÉ AUX PMES
 
Alphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.x
Alphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.xAlphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.x
Alphorm.com Formation Certification NSE4 - Fortinet Fortigate Infrastructure 6.x
 
Fiche projet réseau local d'une entreprise moderne
Fiche projet réseau local d'une entreprise moderne Fiche projet réseau local d'une entreprise moderne
Fiche projet réseau local d'une entreprise moderne
 
CV DE DIBY RICHMOND ADMINISTRATEUR RESEAUX ET SYSTEME
CV DE DIBY RICHMOND ADMINISTRATEUR RESEAUX ET SYSTEMECV DE DIBY RICHMOND ADMINISTRATEUR RESEAUX ET SYSTEME
CV DE DIBY RICHMOND ADMINISTRATEUR RESEAUX ET SYSTEME
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
Management des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVasManagement des vulnérabilités - Greenbone OpenVas
Management des vulnérabilités - Greenbone OpenVas
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
 
Mise en place d'un wifi securise
Mise en place d'un wifi securiseMise en place d'un wifi securise
Mise en place d'un wifi securise
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatique
 
La VoIP,Elastix, CentOs, Codima, WireShark
La VoIP,Elastix, CentOs, Codima, WireSharkLa VoIP,Elastix, CentOs, Codima, WireShark
La VoIP,Elastix, CentOs, Codima, WireShark
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseaux
 
Cahier des Charges Infrastructure Informatique
Cahier des Charges Infrastructure InformatiqueCahier des Charges Infrastructure Informatique
Cahier des Charges Infrastructure Informatique
 
Deploiement du controleur virtuel de point d’acces cisco
Deploiement du controleur virtuel de point d’acces ciscoDeploiement du controleur virtuel de point d’acces cisco
Deploiement du controleur virtuel de point d’acces cisco
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Ebios
EbiosEbios
Ebios
 

Similaire à Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos

Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentKyos
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Kyos
 
2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules IT
2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules IT2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules IT
2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules ITKyos
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueCybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueAntoine Vigneron
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorSecludIT
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017SecludIT
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
NEOL_OFFRE_v1.4_Janvier2016
NEOL_OFFRE_v1.4_Janvier2016NEOL_OFFRE_v1.4_Janvier2016
NEOL_OFFRE_v1.4_Janvier2016Ryad Ouerdiane
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Antonio Fontes
 
Ensemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseEnsemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseKyos
 
Pourquoi migrer ses certificats symantec vers une autre autorité de certifica...
Pourquoi migrer ses certificats symantec vers une autre autorité de certifica...Pourquoi migrer ses certificats symantec vers une autre autorité de certifica...
Pourquoi migrer ses certificats symantec vers une autre autorité de certifica...Alice and Bob
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Microsoft Technet France
 
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)TelecomValley
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielCyber Security Alliance
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02Sébastien GIORIA
 

Similaire à Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos (20)

Simplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparentSimplifiez la sécurisation de vos données par chiffrement transparent
Simplifiez la sécurisation de vos données par chiffrement transparent
 
Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !Détecter et neutraliser efficacement les cybermenaces !
Détecter et neutraliser efficacement les cybermenaces !
 
Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018Atelier Technique RAPID7 ACSS 2018
Atelier Technique RAPID7 ACSS 2018
 
2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules IT
2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules IT2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules IT
2013.06.20 - évènement Kyos-Spacecom - 02_Émulsion de nos nouvelles molécules IT
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueCybersécurité, IOT automobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
La seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic DetectorLa seule solution de surveillance continue et adaptative : Elastic Detector
La seule solution de surveillance continue et adaptative : Elastic Detector
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
 
Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017Sophia conf securite microservices - 2017
Sophia conf securite microservices - 2017
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
NEOL_OFFRE_v1.4_Janvier2016
NEOL_OFFRE_v1.4_Janvier2016NEOL_OFFRE_v1.4_Janvier2016
NEOL_OFFRE_v1.4_Janvier2016
 
Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...Sécurité dans les contrats d'externalisation de services de développement et ...
Sécurité dans les contrats d'externalisation de services de développement et ...
 
Ensemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défenseEnsemble fortifions la chaîne de défense
Ensemble fortifions la chaîne de défense
 
Pourquoi migrer ses certificats symantec vers une autre autorité de certifica...
Pourquoi migrer ses certificats symantec vers une autre autorité de certifica...Pourquoi migrer ses certificats symantec vers une autre autorité de certifica...
Pourquoi migrer ses certificats symantec vers une autre autorité de certifica...
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
Cloud Security Assessment Matrix: une offre Microsoft Consulting pour l’analy...
 
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
Pourquoi implémenter la security by design _ BAKA Diop.(Squad)
 
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logicielASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
ASFWS 2011 : Les exigences PCI-DSS en terme de développement logiciel
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
2011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v022011 02-08-ms tech-days-sdl-sgi-v02
2011 02-08-ms tech-days-sdl-sgi-v02
 

Plus de Net4All

Kubernetes est-il soluble dans la sécurité ? Meetup Genève
Kubernetes est-il soluble dans la sécurité ? Meetup GenèveKubernetes est-il soluble dans la sécurité ? Meetup Genève
Kubernetes est-il soluble dans la sécurité ? Meetup GenèveNet4All
 
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...Net4All
 
Accelerate your Cloud journey with security and compliance by design - Margo ...
Accelerate your Cloud journey with security and compliance by design - Margo ...Accelerate your Cloud journey with security and compliance by design - Margo ...
Accelerate your Cloud journey with security and compliance by design - Margo ...Net4All
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllNet4All
 
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...Net4All
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISNet4All
 
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...Net4All
 

Plus de Net4All (7)

Kubernetes est-il soluble dans la sécurité ? Meetup Genève
Kubernetes est-il soluble dans la sécurité ? Meetup GenèveKubernetes est-il soluble dans la sécurité ? Meetup Genève
Kubernetes est-il soluble dans la sécurité ? Meetup Genève
 
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
A history and status of cloud security - Emile Heitor & Thibault Koechlin, OT...
 
Accelerate your Cloud journey with security and compliance by design - Margo ...
Accelerate your Cloud journey with security and compliance by design - Margo ...Accelerate your Cloud journey with security and compliance by design - Margo ...
Accelerate your Cloud journey with security and compliance by design - Margo ...
 
Panorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4AllPanorama des menaces informatiques - Philippe Humeau, Net4All
Panorama des menaces informatiques - Philippe Humeau, Net4All
 
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
Présentation de CerberHost, nouvelle solution de Cloud sécurisé - Philippe Hu...
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
 
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
Approche juridique de la sécurité informatique & RGPD - Isabelle Dubois, Ad H...
 

Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos

  • 1. Expert sécurité, réseau et services informatiques Version : Date : Diffusion : Test d’intrusion, méthodologie et cas concret Dominique Climenti - Kyos Sàrl, Security Architect Ethical Hacker depuis plus 10 ans. Restreint 1.0 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 03.10.2017
  • 2. Kyos SARL Kyos en quelques mots • Expert sécurité, réseau et services informatiques : ‒ une offre de service cohérente, ‒ une forte proximité et réactivité, ‒ des solutions sur mesure. • Créé à Genève en novembre 2002 • Entreprise à taille humaine : 38 personnes 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 2
  • 3. Expert sécurité, réseau et services informatiques Agenda Notions de test d’intrusion Agenda ‐ Notions de test d’intrusion ‐ Contexte du test CerberHost ‐ Conclusions Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
  • 4. Kyos SARL Un test d’intrusion, c’est quoi? • Tous les maillons de la chaîne sont visés : • 6 étapes incontournables : 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 4
  • 5. Kyos SARL Un test d’intrusion, pourquoi? Analyse d’un composant d’un point de vue sécurité. 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 5
  • 6. Kyos SARL Un test d’intrusion, pourquoi? Etablir un état des lieux de la sécurité de son infrastructure informatique. 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 6
  • 7. Kyos SARL Un test d’intrusion, pourquoi? Mettre sa stratégie de défense à l’épreuve. 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 7
  • 8. Kyos SARL Un test d’intrusion, pour qui? 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 8
  • 9. Expert sécurité, réseau et services informatiques Agenda Contexte du test Cerberhost Agenda ‐ Notions de test d’intrusion ‐ Contexte du test CerberHost ‐ Conclusions Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
  • 10. Kyos SARL Quelle couleur préférez-vous ? •White box •Gray box •Black box Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 03.10.2017 10
  • 11. Kyos SARL Axes du test d’intrusion • Sécurité de l’infrastructure • Etanchéité des composants de l’infrastructure virtuelle • Protection des applications hébergées 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 11
  • 12. Kyos SARL Configuration auditée • DVWA (Damn Vulnerable Web Application) • Deux instances avec des niveaux de protection différents • Accès «root» sur les serveurs 03.10.2017 Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 12
  • 13. Expert sécurité, réseau et services informatiques Agenda Conclusions Agenda ‐ Notions de test d’intrusion ‐ Contexte du test CerberHost ‐ Conclusions Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret
  • 14. Kyos SARL Points forts • Aucune vulnérabilité trouvée par des outils de scan automatique • Bon niveau de sécurité de l’infrastructure • Bonne étanchéité des composants virtuels Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret Vulnerability Vulnerability Vulnerability Vulnerability Vulnerability Vulnerability Vulnerability 03.10.2017 14
  • 15. Kyos SARL Points forts • Aucune vulnérabilité trouvée par des outils de scan automatique • Bon niveau de sécurité de l’infrastructure • Bonne étanchéité des composants virtuels Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 03.10.2017 15 Cependant, quelques points ont été trouvés…
  • 16. Kyos SARL Pistes d’amélioration Divulgation d’information Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret Filtrage Web 03.10.2017 16
  • 17. Kyos SARL Correctifs Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret 03.10.2017 17 • Des solutions de contournement ont été mises en places pour les deux points les plus importants • Deux autres points importants ont été entièrement corrigés durant l’audit • Un plan d’actions pour la corrections des autres points est en cours d’élaboration…
  • 18. Expert sécurité, réseau et services informatiques Contact us Kyos SARL Frank-Thomas, 32 1208 Genève Tel. : +41 22 566 76 30 Fax : +41 22 734 79 03 www.kyos.ch info@kyos.ch Merci Dominique Climenti Kyos Sàrl Security Architect Swiss Grade Security Event - Test d’intrusion, méthodologie et cas concret

Notes de l'éditeur

  1. A ajouter : Vos interlocuteurs tech + commerce 3 slides détaillant les expertises Partenaires Références client