Niveaux des tests d'intrusion

De quel niveau de test avez-vous besoin ?

Le tableau ci-dessous compare les différents niveaux de tests disponibles pour évaluer et exploiter les vulnérabilités potentielles de vos réseaux et systèmes. Toutes les combinaisons des tests ci-dessous sont disponibles, en fonction des besoins du client. La portée de chaque test est établie et convenue sur la base d'une consultation détaillée avec nos clients.

Dans la plupart des cas, l’équipe IT Governance de test d'intrusion approuvée par CREST-approved recommande un test d'intrusion de niveau 1 permettant d'identifier les vulnérabilités exploitables avant qu’elles ne puissent être découvertes par une cyberattaque aveugle.

Vous souhaitez en savoir plus sur nos solutions de niveau 1 ou nos packages de tests d'intrusion de niveau 2 ? Contactez l'un de nos experts en tests d'intrusion.

Discuter avec un expert


Niveaux de tests d'intrusion

Chez IT Governance, nous proposons deux niveaux de test d'intrusion pour répondre à votre budget et à vos exigences techniques :

NIVEAU 1

Test d'intrusion de niveau 1

Pour la majorité des organisations, un test d'intrusion de niveau 1 sera approprié afin d'atténuer les menaces d'attaquants qui recherchent des cibles faciles en exploitant des vulnérabilités connues.

Ce test implique des évaluations manuelles avec des analyses automatisées pour évaluer l'étendue réelle des vulnérabilités affectant vos applications, systèmes ou réseaux. En combinant un test de niveau 1 avec une analyse régulière des vulnérabilités, vous pouvez donner la priorité à la résolution des problèmes identifiés et établir une évaluation complète de vos risques liés aux menaces externes.

Un test d'intrusion de niveau 1 nécessite une portée minimale et peut être effectué rapidement et de manière rentable, offrant ainsi un bon aperçu de votre posture de sécurité s'il est effectué à intervalles réguliers.



NIVEAU 2

Test d'intrusion de niveau 2

Un test d'intrusion de niveau 2 est approprié pour les organisations pouvant être spécifiquement ciblées par des attaquants, peut-être en raison des informations qu'elles détiennent ou de la nature de leurs activités.

Ce niveau de test implique un processus minutieux d'identification des failles de sécurité et des vulnérabilités de votre matériel (y compris des imprimantes, des télécopieurs et des stations de travail) et des logiciels, systèmes ou applications web, puis d'exploitation de ces vulnérabilités.

L'ampleur d'un test d'intrusion de niveau 2 signifie qu'il nécessite beaucoup de temps et qu'elle est généralement recommandée aux clients nécessitant une simulation de cyberattaque complexe. Simulation d'attaque.


Tableau comparatif des tests d'intrusion de niveau 1 et 2


Type

Niveau 1

Niveau 2

Objectif

Déterminer les vulnérabilités potentielles dans les systèmes cibles

Déterminer si votre entreprise est vulnérable à un pirate informatique et si vous pouvez détecter une attaque.

Résultats

Identification et analyse des vulnérabilités de vos réseaux, systèmes, sites web, applications web ou réseaux sans fil.

Les tests consistent à examiner les vulnérabilités et à tenter d'accéder aux ressources critiques.

Audience cible

Les entreprises souhaitant aller au-delà des analyses de vulnérabilité « légères » ou évaluer leurs données de référence en matière de cybersécurité.

Les entreprises ayant un programme de sécurité mature et souhaitant un test complet de leur réseau.

Niveau de compétence requis

Haut

Avancé

Imite une véritable attaque ?

Non

Oui

Objectif

Décidé au départ

Décidé au départ

Forfait à prix fixe ?

Oui

Non

Appel d'orientation avec un consultant

Disponible

Oui

Méthodologie de test

Aligné sur l'OWASP

Aligné sur l'OWASP

Analyse de vulnérabilité

Oui

Oui

Peut être réalisé sur site ?

Oui

Oui

Peut être réalisé à distance ?

Oui

Oui

Identification de faux positifs

Oui

Oui

Exploitation des vulnérabilité

Non

Oui

Rapport détaillé

Oui

Oui

Classement manuel du risque et de l'impact

Oui

Oui


Déterminer vos exigences de test

Vous devez tenir compte des éléments suivants avant de vous lancer dans un projet de test d'intrusion ou d'évaluation de la vulnérabilité :

  1. Évaluer les éléments principaux pour les tests d'intrusion

    Déterminez vos objectifs en fonction d'une évaluation de critères pertinents, tels que l'impact d'incidents graves, l'augmentation des niveaux de menace ou les modifications importantes apportées aux processus métier ou informatiques.

    Si votre objectif est de devenir conforme à la norme PCI ou de protéger d’autres données spécifiques, vous devez déterminer la portée de cet environnement de données et vous assurer qu’il est segmenté. Si, en revanche, vous réagissez à une violation d'une autre organisation ou d'une organisation similaire, essayez de comprendre quelle forme l'attaque a pris et la motivation sous-jacente.

    En comprenant les motivations et les techniques des attaquants, vous pouvez vous concentrer sur la construction de défenses efficaces .

  2. Identifier les environnements cibles

    Votre programme de tests d'intrusion doit identifier les environnements cibles à tester.

    Demandez-vous quels sont vos atouts les plus précieux. Il peut s’agir de votre propriété intellectuelle, d’importantes applications professionnelles, d’une infrastructure informatique clé, de données confidentielles ou tout simplement de votre réputation.

    Comprendre ce que vous devez protéger - sa valeur pour vous, sa valeur pour un attaquant et l'impact d'une perte en termes de dommages opérationnels, financiers et d'atteinte à la réputation - vous aidera à déterminer le niveau de dépense de protection nécessaire.

  3. Priorisez vos efforts

    Vous êtes maintenant prêt à créer un programme de tests d'intrusion qui priorisera la protection de vos ressources les plus précieuses contre vos plus grandes menaces. En combinant des analyses fréquentes de vulnérabilité de niveau faible, des tests d'intrusion de niveau 1 réguliers de votre parc et des tests de niveau 2 de vos systèmes et actifs critiques, vous pouvez maximiser la valeur des tests de la manière la plus efficace.


Discuter avec un expert

Pour plus d'informations et de conseils sur les tests d'intrusion ou les forfaits proposés par IT Governance, contactez nos experts qui pourront discuter plus en détail des besoins de votre entreprise.

 

haut