Tests d’intrusion

Un test d’intrusion permet d’identifier les vulnérabilités avant qu’elles ne soient exploitées par des attaquants

Différents tests

XMCO propose plusieurs types de tests d’intrusion ou « d’audits intrusifs ».

  • Tests d’applications Web et API
  • Tests d’applications mobiles (iOS, Android, Windows Phone)
  • Tests d’infrastructure externe
  • Tests réseaux internes
  • Tests d’intrusion spécifiques aux infrastructures SAP
  • Tests d’infrastructure PCI DSS
  • Tests RedTeam
  • Tests Wi-Fi
  • Tests d’intrusion physiques
intrusion test

Différentes approches

  • Boîte noire : tests réalisés sans information afin de simuler les actions d’un attaquant
  • Boîte grise : tests réalisés à partir de comptes d’accès afin de simuler le comportement d’un utilisateur
  • Boîte blanche : tests réalisés avec une connaissance approfondie de l’environnement (schémas, code source, documentations, etc).


« Le test d’intrusion est dans l’ADN d’XMCO »


Pourquoi choisir XMCO ?

Le professionnalisme des tests d’intrusion XMCO est reconnu depuis 2002 par plus de 200 clients, dont de nombreux acteurs du CAC40.

XMCO est considéré comme l’un des rares pure-player dans le domaine des tests d’intrusion.

Les tests XMCO sont réalisés au minimum par 2 consultants expérimentés.

La qualité de nos rapports, clairs et didactiques, est toujours appréciée autant par les Directions Générales, que par les experts techniques.

Méthodologies et outils

Nos tests d’intrusion ne sont pas des scans de vulnérabilités : ils sont réalisés manuellement et pas à pas.

XMCO développe ses propres outils d’intrusion et maîtrise les logiciels utilisés.

Notre méthodologie de tests est avant tout basée sur notre expérience, mais également sur des standards comme l’OWASP.


Plusieurs types de tests d’intrusion


Applications web / SaaS

if_window-php-coding_532713Recherche des vulnérabilités au sein du code et de la logique applicative : droits d’accès, usurpation d’identité, mots de passe, fonctions sensibles, formulaires, sessions, upload et protection des données.

Java, PHP, .NET, JS, Symfony, Zend, RoR, Spring, Struts…

Infrastructure Internet

if_network_1287518Recherche des failles exploitables par un pirate au sein de vos composants réseau, des systèmes et des services d’infrastructure.

VPN, firewalls, Apache, IIS, DNS, Reverse-proxy, FTP, SMTP…

Applications Mobiles

MobileAudit de sécurité des applications (Android et iOS) et recherche de vulnérabilités au sein du protocole avec les serveurs.

Java, Objective-C, REST, XML, API…

Web Services / API

api-code-window-128Recherche des vulnérabilités à l’instar d’un pirate ou d’un partenaire malveillant possédant un accès à vos API front et back-office.

XML, SOAP, JSON, Ajax, REST..

Intrusion Redteam

Tcountdown-128entatives d’intrusion comme un véritable pirate, sans contrainte de périmètre ni de temps. Nous exploitons tous les vecteurs d’attaques, tels que des attaques par rebonds (watering hole), des envois de pièces-jointes intrusives (spear-phishing) ou encore le social-engineering.

Réseau interne / LAN

if_server_1287513 (1)Connectés sur votre LAN – tel un stagiaire ou un collaborateur malveillant – nous recherchons des failles qui permettent d’accéder à des informations confidentielles et d’obtenir des privilèges d’administration sur le SI.

Pass-the-hash, partages, GPP, SNMP…