Tests d’intrusion

Un test d’intrusion permet d’identifier les vulnérabilités avant qu’elles ne soient exploitées par des attaquants

Différents tests

XMCO propose plusieurs types de tests d’intrusion ou « d’audits intrusif ».

  • Tests d’applications Web
  • Tests d’applications mobiles
  • Tests d’infrastructure externe
  • Tests réseaux internes
  • Tests RedTeam

Différentes approches

  • Boîte noire : simuler les actions d’un pirate
  • Boîte grise : à l’instar d’un utilisateur ou d’un prestataire
  • Boîte blanche : avec les connaissances d’un ancien administrateur
intrusion test


« Le test d’intrusion est dans l’ADN d’XMCO »


Pourquoi choisir XMCO ?

Le professionnalisme des tests d’intrusion XMCO est reconnu depuis 2002 par plus de 200 clients, dont de nombreux acteurs du CAC40.

XMCO est considéré comme l’un des rares pure-player dans le domaine des tests d’intrusion.

Les tests XMCO sont réalisés au minimum par 2 consultants expérimentés.

La qualité de nos rapports, clairs et didactiques, est toujours appréciée autant par les Directions Générales, que par les experts techniques.

Méthodologies et outils

Nos tests d’intrusion ne sont pas des scans de vulnérabilités : ils sont réalisés manuellement et pas à pas.

XMCO développe ses propres outils d’intrusion et maîtrise les logiciels utilisés.

Notre méthodologie de tests est avant tout basée sur notre expérience, mais également sur des standards comme l’OWASP et OSSTMM.


Plusieurs types de tests d’intrusion


Applications web / SaaS

pentest-appRecherche des vulnérabilités au sein du code et de la logique applicative : droits d’accès, usurpation d’identité, mots de passe, fonctions sensibles, formulaires, sessions, upload et protection des données.

Java, PHP, .NET, JS, Symfony, Zend, RoR, Spring, Struts…

Infrastructure Internet

pentest-infraRecherche des failles exploitables par un pirate au sein de vos composants réseau, des systèmes et des services d’infrastructure.

VPN, firewalls, Apache, IIS, DNS, Reverse-proxy, FTP, SMTP…

Applications Mobiles

pentest-mobileAudit de sécurité des applications (Android et iOS) et recherche de vulnérabilités au sein du protocole avec les serveurs.

Java, Objective-C, REST, XML, API…

Web Services / API

pentest-apiRecherche des vulnérabilités à l’instar d’un pirate ou d’un partenaire malveillant possèdent un accès à vos API front et back-office.

XML, SOAP, JSON, Ajax, REST..

Intrusion Redteam

pentest-redteamTentatives d’intrusion comme un véritable pirate, sans contrainte de périmètre ni de temps. Nous exploitons tous les vecteurs d’attaques, tels que des attaques par rebonds (watering hole), des envois de pièces-jointes intrusives (spear-phishing) ou encore le social-engineering.

Réseau interne / LAN

pentest-lanConnecté sur votre LAN – tel un stagiaire ou d’un collaborateur malveillant – nous recherchons des failles qui permettent d’accéder à des informations confidentielles et d’obtenir des privilèges d’administration sur le SI.

Pass-the-hash, partages, GPP, SNMP…