Détails du service de sécurité

Le service est conçu pour identifier les failles de sécurité dans l'installation de votre plateforme Opigno LMS qui pourraient être exploitées pour obtenir un accès non autorisé aux composants critiques du réseau. Ils peuvent inclure :

• Mot de passes faibles
• Défauts de configuration, y compris les privilèges d'utilisateur excessifs de votre plateforme Opigno LMS
• Divulgation d'informations sensibles

Modèle

Une évaluation de la sécurité est réalisée via Internet en connaissance de votre installation Opigno LMS.

Résultats

Après le service, les clients reçoivent un rapport contenant :

• Conclusions globales sur les vulnérabilités de sécurité et recommandations pour remédier à l'écart ;
• Une description détaillée des vulnérabilités détectées, y compris le niveau de sévérité, l'impact possible sur les systèmes vulnérables et la preuve de l'existence de vulnérabilités (si possible) ;
• Recommandations pour éliminer les vulnérabilités ;

Basé sur les meilleures pratiques et méthodologies de cybersécurité

• Project testing according to Open Web Application Security (OWASP)
• NIST Special Publications 800-115 Technical Guide to Information Security Testing

Et évaluation

• Information systems and security assessment framework (ISSAF)
• Threats from the Web Application Security Consortium (WASC)
• Classification
• Drupal Security Advisory

Le service est conçu pour identifier les failles de sécurité dans Opigno LMS, notamment les vulnérabilités causées par l'utilisation de versions obsolètes d'Opigno LMS, de ses modules et de ses bibliothèques sans les dernières mises à jour de sécurité.

Modèle

Évaluation de la sécurité réalisée par Internet en toute connaissance de cause de votre installation Opigno LMS.

Résultats

• Conclusions globales  sur les failles de sécurité et recommandations pour y remédier ;
• Une description détaillée des vulnérabilités détectées, y compris le niveau de sévérité, l'impact possible sur le système vulnérable et la preuve de l'existence de vulnérabilités (si possible) ;
• Recommandations pour éliminer les vulnérabilités ;

Basé sur les meilleures méthodologies et pratiques de la cybersécurité telles que :

• Open Web Application Security Project (OWASP) Testing Guide
• Web Application Security Consortium (WASC) Threat Classification
• Drupal Security advisories

Le service est conçu pour identifier les failles de sécurité dans l'installation d'Opigno LMS, notamment les vulnérabilités causées par des erreurs dans le code personnalisé ajouté à votre plateforme Opigno LMS, répertoriées dans la classification des menaces WASC et le Top 10 OWASP.

Modèle

Évaluation de la sécurité réalisée par Internet en toute connaissance de cause de votre installation Opigno LMS.

Résultats

Après le service, les clients reçoivent un rapport contenant les éléments suivants :

• Conclusions globales sur les failles de sécurité et recommandations pour y remédier ;
• Une description détaillée des vulnérabilités détectées, y compris le niveau de gravité, l'impact possible sur le système vulnérable et la preuve de l'existence de vulnérabilités (si possible) ;
• Recommandations pour éliminer les vulnérabilités ;

Basé sur les meilleures méthodologies et pratiques de la cybersécurité :

• Open Source Security Testing Methodology Manual (OSSTMM)
• Open Web Application Security Project (OWASP) Testing Guide
• NIST Special Publications 800-115 Technical Guide to Information Security Testing

et évaluation

• Information Systems Security Assessment Framework (ISSAF)
• Web Application Security Consortium (WASC) Threat Classification
• Drupal Security advisories

Le Service est conçu pour révéler des failles de sécurité qui pourraient être exploitées pour obtenir un accès non autorisé aux composants critiques du réseau. Ceux-ci pourraient inclure:

• Architecture réseau vulnérable, protection réseau insuffisante
• Vulnérabilités conduisant à l'interception et à la redirection du trafic réseau
• Authentification et autorisation insuffisantes dans différents services
• Identifiants utilisateur faibles
• Défauts de configuration, y compris des privilèges d'utilisateur excessifs
• Vulnérabilités causées par l'utilisation de versions matérielles et logicielles obsolètes sans les dernières mises à jour de sécurité
• Divulgation d'information

Le Service est également conçu pour rechercher selon OSINT ou Open Source Intelligence des informations sur des individus ou des entreprises qui peuvent être librement et légalement recueillies à partir de sources accessibles au public.

Modèle

Évaluation de la sécurité effectuée via Internet par un « attaquant » ayant une connaissance limitée ou inexistante de votre système.

Etapes

• Collecte passive d'informations
• Collecte active d'informations (découverte du réseau), y compris l'analyse des ports, l'identification des services disponibles et les requêtes manuelles à certains services (SSH, telnet, FTP, DNS, mail, etc.),
• Scan et analyse des vulnérabilités externes
• Analyse manuelle des vulnérabilités, y compris identification des ressources sans authentification, informations importantes accessibles au public, contrôle d'accès insuffisant
• Deviner les informations d'identification
• Exploitation des vulnérabilités et élévation de privilèges (si possible)
• Développer toutes les méthodes d'attaque disponibles lors des tests.

L'analyse est effectuée à l'aide d'outils automatisés ainsi que manuellement par des experts. Les outils d'évaluation de la sécurité suivants peuvent être utilisés :

• Outils de collecte d'informations (Maltego, theHavester, FOCA etc.)
• Divers scanners généralistes et spécialisés (NMap, OpenVAS, WPScan, nikto, w3af et autres)
• Outils permettant de deviner des identifiants (Hydra, Medusa, Patater et autres)
• Outils de sécurité des applications Web (OWASP ZAP, BurpSuite, Sn1per, SQLmap, etc.)
• Et d'autres, y compris les exploits à accès limité et des outils d'exploitation personnalisés

Résultats:

Après le service, les clients reçoivent un rapport contenant les éléments suivants :

• Conclusions globales sur les failles de sécurité et recommandations pour y remédier ;
• Une description détaillée des vulnérabilités détectées, y compris le niveau de sévérité, l'impact possible sur le système vulnérable et la preuve de l'existence de vulnérabilités (si possible) ;
• Recommandations pour éliminer les vulnérabilités ;
• Des recommandations sur l'atténuation des problèmes identifiés ;
• Description détaillée des informations détectées concernant votre organisation.

Basé sur les meilleures méthodologies et pratiques de la cybersécurité :

• Open Source Security Testing Methodology Manual (OSSTMM);
• Open Web Application Security Project (OWASP) Testing Guide;
• Penetration Testing Execution Standard (PTES);
• NIST Special Publications 800-115 Technical Guide to Information Security Testing.

Évaluation

• Information Systems Security Assessment Framework (ISSAF);
• Web Application Security Consortium (WASC) Threat Classification;
• Common Vulnerability Scoring System (CVSS).

Le service est conçu pour identifier les vulnérabilités au sein de vos applications, de faible à élevé, via une attaque simulée pour améliorer votre sécurité et mitiger les risques.

Les tests incluent l'intégralité de l'application ou uniquement des domaines de fonctionnalité spécifiques. Notre approche permet de détecter de nombreux types de vulnérabilités sur les domaines que nous évaluons :

• Authentification
• Autorisation et contrôle d'accès
• Scripts intersites (XSS)
• SQL et autres vulnérabilités d'injection de type
• Cross-site request forgery (CSRF)
• Server-side request forgery (SSRF)
• Téléchargement de fichier non sécurisé
• Problèmes liés à XML
• Désérialisation non sécurisée
• Défauts de logique métier
• Divulgation d'informations inutile

Modèle

• Tests en Black-Box ;
• Simuler un attaquant externe sans connaissance préalable des structures et du fonctionnement internes de l'application ;
• Tests en Grey-Box ;
• Simuler des utilisateurs légitimes avec une gamme de profils ;
• Tests en White-Box
• Analyse avec accès complet aux codes sources de l'application.

Etapes

• Collecte d'informations;
• Mener des activités de reconnaissance pour localiser les fuites d'informations, identifier les technologies utilisées, cartographier l'entrée et la fonctionnalité des applications, et d'autres tâches connexes pour guider les tests ;
• Scan et analyse des vulnérabilités ;
• Scans automatisés et tests manuels pour découvrir les failles de l'application qui pourraient être exploitées. Analyse approfondie des vulnérabilités via des techniques de pirates informatiques typiques, telles que la capture de bannières, l'analyse des en-têtes HTTP, le forçage brutal des pages de connexion et l'examen des formulaires Web pour identifier les emplacements de l'application pouvant être ouverts à l'exploitation ;
• Exploitation des vulnérabilités ;
• Fournir des tentatives pour établir l'accès à un système ou à une ressource en contournant les restrictions de sécurité et les faiblesses dans la conception et le développement de votre application. Cela englobe parfois l'élévation des privilèges de l'utilisateur lorsqu'elle est disponible dans votre application et comprend une gamme de techniques telles que diverses injections, scripts intersites (XSS), autorisation insuffisante et autres ;
• Analyse et rapports ;
• Analyser les résultats et fournir un rapport d'exploitation détaillé identifiant les vulnérabilités découvertes ;
• L'analyse est effectuée manuellement par des experts et à l'aide d'outils automatisés utilisés par les pirates.

Résultats

Après le service, les clients reçoivent un rapport contenant les éléments suivants :

• Conclusions globales sur les failles de sécurité et recommandations pour y remédier ;
• Une description détaillée des vulnérabilités détectées, y compris le niveau de sévérité, l'impact possible sur le système vulnérable et la preuve de l'existence de vulnérabilités (si possible) ;
• Recommandations pour éliminer les vulnérabilités

Notre méthodologie basée sur les meilleures méthodologies et pratiques du monde de la cybersécurité :

• Open Source Security Testing Methodology Manual (OSSTMM);
• Open Web Application Security Project (OWASP);
• Web Application Security Consortium (WASC) Threat Classification;
• Penetration Testing Execution Standard (PTES);
• NIST Special Publications 800-115 Technical Guide to Information Security Testing;
• Common Vulnerability Scoring System (CVSS);
• Information Systems Security Assessment Framework (ISSAF);