Détails service de sécurité

Évaluation de la vulnérabilité de votre installation de Opigno LMS

Nos ingénieurs en sécurité examinent l'installation et la configuration de votre LMS et fournissent une évaluation des menaces de cybersécurité. Basé sur les normes OWASP.

Plus d'information

Évaluation des risques des composants et état de mise à jour

Notre ingénieur logiciel de sécurité examinera votre LMS pour s'assurer que tous les composants sont à jour et sécurisés.

Plus d'information

Évaluation de la vulnérabilité du code personnalisé et des intégrations externes

Nos hackers éthiques et ingénieurs en sécurité examineront et testeront le code développé sur mesure pour identifier les vulnérabilités et fournir un rapport d'évaluation. Nous examinerons toutes les intégrations tierces pour voir si elles peuvent entraîner un accès hostile à votre LMS. Notre évaluation est basée sur les 10 meilleures pratiques de l'OWASP.

Plus d'information

Tests d'intrusion externes stratégiques

Notre hacker éthique certifié effectuera des tests de pénétration externes avancés sur votre infrastructure pour identifier diverses faiblesses que les pirates pourraient utiliser pour exploiter votre organisation. Nos experts testent votre infrastructure pour toutes les données sensibles qui pourraient déjà être accessibles au public.

Plus d'information

Le Service est conçu pour révéler des failles de sécurité qui pourraient être exploitées pour obtenir un accès non autorisé aux composants critiques du réseau. Ceux-ci pourraient inclure:

Architecture réseau vulnérable, protection réseau insuffisante
Vulnérabilités conduisant à l'interception et à la redirection du trafic réseau
Authentification et autorisation insuffisantes dans différents services
Identifiants utilisateur faibles
Défauts de configuration, y compris des privilèges d'utilisateur excessifs
Vulnérabilités causées par l'utilisation de versions matérielles et logicielles obsolètes sans les dernières mises à jour de sécurité
Divulgation d'information

Le Service est également conçu pour rechercher selon OSINT ou Open Source Intelligence des informations sur des individus ou des entreprises qui peuvent être librement et légalement recueillies à partir de sources accessibles au public.

Modèle

Évaluation de la sécurité effectuée via Internet par un « attaquant » ayant une connaissance limitée ou inexistante de votre système.

Etapes

Collecte passive d'informations
Collecte active d'informations (découverte du réseau), y compris l'analyse des ports, l'identification des services disponibles et les requêtes manuelles à certains services (SSH, telnet, FTP, DNS, mail, etc.),
Scan et analyse des vulnérabilités externes
Analyse manuelle des vulnérabilités, y compris identification des ressources sans authentification, informations importantes accessibles au public, contrôle d'accès insuffisant
Deviner les informations d'identification
Exploitation des vulnérabilités et élévation de privilèges (si possible)
Développer toutes les méthodes d'attaque disponibles lors des tests.

L'analyse est effectuée à l'aide d'outils automatisés ainsi que manuellement par des experts. Les outils d'évaluation de la sécurité suivants peuvent être utilisés :

Outils de collecte d'informations (Maltego, theHavester, FOCA etc.)
Divers scanners généralistes et spécialisés (NMap, OpenVAS, WPScan, nikto, w3af et autres)
Outils permettant de deviner des identifiants (Hydra, Medusa, Patater et autres)
Outils de sécurité des applications Web (OWASP ZAP, BurpSuite, Sn1per, SQLmap, etc.)
Et d'autres, y compris les exploits à accès limité et des outils d'exploitation personnalisés

Résultats:

Après le service, les clients reçoivent un rapport contenant les éléments suivants :

Conclusions globales sur les failles de sécurité et recommandations pour y remédier ;
Une description détaillée des vulnérabilités détectées, y compris le niveau de sévérité, l'impact possible sur le système vulnérable et la preuve de l'existence de vulnérabilités (si possible) ;
Recommandations pour éliminer les vulnérabilités ;
Des recommandations sur l'atténuation des problèmes identifiés ;
Description détaillée des informations détectées concernant votre organisation.

Basé sur les meilleures méthodologies et pratiques de la cybersécurité :

Open Source Security Testing Methodology Manual (OSSTMM);
Open Web Application Security Project (OWASP) Testing Guide;
Penetration Testing Execution Standard (PTES);
NIST Special Publications 800-115 Technical Guide to Information Security Testing.

Évaluation

Information Systems Security Assessment Framework (ISSAF);
Web Application Security Consortium (WASC) Threat Classification;
Common Vulnerability Scoring System (CVSS).

Tests d'intrusion d'applications Web et d'API

Nos hackers éthiques et ingénieurs en sécurité testent vos applications Web et API pour identifier les vulnérabilités de sécurité qui existent au sein d'une application Web et d'une API.

Plus d'information

Le service est conçu pour identifier les vulnérabilités au sein de vos applications, de faible à élevé, via une attaque simulée pour améliorer votre sécurité et mitiger les risques.

Les tests incluent l'intégralité de l'application ou uniquement des domaines de fonctionnalité spécifiques. Notre approche permet de détecter de nombreux types de vulnérabilités sur les domaines que nous évaluons :

Authentification
Autorisation et contrôle d'accès
Scripts intersites (XSS)
SQL et autres vulnérabilités d'injection de type
Cross-site request forgery (CSRF)
Server-side request forgery (SSRF)
Téléchargement de fichier non sécurisé
Problèmes liés à XML
Désérialisation non sécurisée
Défauts de logique métier
Divulgation d'informations inutile

Modèle

Tests en Black-Box ;
Simuler un attaquant externe sans connaissance préalable des structures et du fonctionnement internes de l'application ;
Tests en Grey-Box ;
Simuler des utilisateurs légitimes avec une gamme de profils ;
Tests en White-Box
Analyse avec accès complet aux codes sources de l'application.

Etapes

Collecte d'informations;
Mener des activités de reconnaissance pour localiser les fuites d'informations, identifier les technologies utilisées, cartographier l'entrée et la fonctionnalité des applications, et d'autres tâches connexes pour guider les tests ;
Scan et analyse des vulnérabilités ;
Scans automatisés et tests manuels pour découvrir les failles de l'application qui pourraient être exploitées. Analyse approfondie des vulnérabilités via des techniques de pirates informatiques typiques, telles que la capture de bannières, l'analyse des en-têtes HTTP, le forçage brutal des pages de connexion et l'examen des formulaires Web pour identifier les emplacements de l'application pouvant être ouverts à l'exploitation ;
Exploitation des vulnérabilités ;
Fournir des tentatives pour établir l'accès à un système ou à une ressource en contournant les restrictions de sécurité et les faiblesses dans la conception et le développement de votre application. Cela englobe parfois l'élévation des privilèges de l'utilisateur lorsqu'elle est disponible dans votre application et comprend une gamme de techniques telles que diverses injections, scripts intersites (XSS), autorisation insuffisante et autres ;
Analyse et rapports ;
Analyser les résultats et fournir un rapport d'exploitation détaillé identifiant les vulnérabilités découvertes ;
L'analyse est effectuée manuellement par des experts et à l'aide d'outils automatisés utilisés par les pirates.

Résultats

Après le service, les clients reçoivent un rapport contenant les éléments suivants :

Conclusions globales sur les failles de sécurité et recommandations pour y remédier ;
Une description détaillée des vulnérabilités détectées, y compris le niveau de sévérité, l'impact possible sur le système vulnérable et la preuve de l'existence de vulnérabilités (si possible) ;
Recommandations pour éliminer les vulnérabilités

Notre méthodologie basée sur les meilleures méthodologies et pratiques du monde de la cybersécurité :

Open Source Security Testing Methodology Manual (OSSTMM);
Open Web Application Security Project (OWASP);
Web Application Security Consortium (WASC) Threat Classification;
Penetration Testing Execution Standard (PTES);
NIST Special Publications 800-115 Technical Guide to Information Security Testing;
Common Vulnerability Scoring System (CVSS);
Information Systems Security Assessment Framework (ISSAF);

Rapports et informations

Un rapport d'évaluation complet détaillant les tests effectués, les simulations de piratage, les tests d'intrusion, les vulnérabilités et les découvertes qui menacent votre organisation, ainsi que des recommandations exploitables.

Protégeons davantage votre organisation