XMCO : We deliver security expertise

> Nos points forts :

+ Prise en compte du contexte métier

+ Test des failles de logique

+ Analyse manuelle

+ Rapport de très haute qualité

+ Expertise du PCI DSS


> Contacter XMCO

Vous souhaitez échanger avec un expert en test d'intrusion ?

Tel : +33 (0)1 47 34 68 61
devis@xmco.fr

Toutes nos coordonnées : + Contacts

>Le test d'intrusion XMCO

L'objectif du test d'intrusion est d'évaluer, preuve à l'appui, le niveau de sécurité d'un système.

Le test d'intrusion a pour vocation de détecter et de démontrer l'existence de failles de sécurité selon l'état de l'art des techniques d'intrusion informatique utilisées par les pirates.

Les tests sont réalisés manuellement par des consultants expérimentés qui prennent en compte le contexte, les risques de fraude et savent décliner ces risques en scenarii techniques d'intrusion.

Contrairement aux scanners de vulnérabilités, les tests d'intrusion sont réalisés par des experts aguerris qui ne passeront pas à côté d'une faille de sécurité. Leurs connaissances des plus récentes techniques d'intrusion informatique leur permettent d'évaluer les vulnérabilités de manière exhaustive et pertinente. 		Tests d'intrusion


Un test d'intrusion vous permet de répondre aux questions suivantes :
  • Un pirate informatique peut-il nuire à notre activité et à notre image ?
  • Est-il possible de s'introduire ou de contourner la sécurité de notre système ?
  • Les données confidentielles de nos clients sont-elles protégées ?
  • Un utilisateur malicieux peut-il porter préjudice à un autre utilisateur ?

>Les approches

Il existe 3 grands types de test d'intrusion :

  • Le test d'intrusion externe
  • Le test d'intrusion applicatif
  • Le test d'intrusion interne
Pour chaque type de test d'intrusion, nous proposons une approche en boite noire (sans connaissance), en boite grise (avec des comptes standards) et en boite blanche (avec toutes les informations).

>La méthodologie XMCO

Notre méthodologie réside dans notre capacité à auditer en détail les applications afin d'y détecter les malversions possibles : modification des prix, accès aux données sensibles, rebond vers un autre compte, vol de compte, usurpation d'identité, etc.

Notre méthodologie s'appuie sur des outils et des méthodologies mondialement reconnues (OSSTMM et OWASP), méthodologies auxquelles nos consultants contribuent à l'effort permanent d'évolution.

Les techniques d'attaques informatiques les plus récentes sont mises en oeuvre :

  • SQL Injection, Blind SQL Injection, time-based SQL Injection
  • Cross-Site Scripting (XSS) et CSRF Attacks
  • Modification des paramètes cachés HTTP et HTTPS (Parameter tampering)
  • Injection XML
  • Server-side inclusion
  • ....

>Les livrables

Notre volonté de synthétiser l'information, de la rendre accessible aux responsables opérationnels et de proposer des plans d'actions pertinents, nous a permis de gagner la confiance des plus grandes entreprises.

Le rapport technique détaillé

Toutes les vulnérabilités détectées sont décrites en détail, de manière très didactique et illustrées par des captures d'écrans.
Les vulnérabilités sont classées par criticité. La criticité est fonction de l'impact réel, du niveau d'expertise requis et de la disponibilité des outils nécessaires pour l'exploitation.

Le rapport de synthèse

Cette synthèse présente, pour les instances dirigeantes, les risques et les impacts opérationnels dans un vocabulaire non technique :

  • Les principales malversations.
  • Les points forts et points faibles.
  • Le plan d'actions à court, moyen et long terme.

La soutenance

Les résultats du test et le plan d'actions associé sont présentés lors d'une soutenance au sein des locaux du client. Cette soutenance comporte un volet managériale et volet technique.

Les principales malversations qui ont pu être réalisées lors du test sont illustrées de captures d'écran ou de vidéos.

Contacts |   Société