27 mars 2023

Audit : Test d’intrusion

Audit test d’intrusion d’une application métier critique.

Client

Notre client est un laboratoire spécialisé dans la sous-traitance de fabrication et de développement de spécialités pharmaceutiques, de produits de santé familiale et de soins d’hygiène sous forme liquides, semi-solides, sprays et aérosols. Situé dans l’ouest de la France, l’entreprise compte près de 500 collaborateurs et rassemble plus de 110 chercheurs et 22 sites industriels en Europe et en Amérique du Nord.

Contexte

Notre client a connu une forte croissance ces dernières années notamment portée par des acquisitions externes. L’intégration de ces différents systèmes d’informations a été complexe tant les écosystèmes technologiques au sien des SI étaient différents.
Suite à la refonte du SI global du groupe, notre client a souhaité réaliser un test d’intrusion, afin d’évaluer leur cybersécurité, sur l’une de leurs applications métiers exposées sur le web et particulièrement sensible pour la pérennité de l’entreprise.

 

Enjeux de cybersécurité

Les enjeux pour notre client sont multiples et décrits ci-dessous :

  • Mesurer le réel niveau d’exposition externe aux cybermenaces
  • Tester les systèmes de prévention et de détection déjà installés au sein du SI de l’entreprise
  • Augmenter le niveau de sécurité de cette application
  • Anticiper d’éventuels scénarios d’attaques et s’y préparer
  • Se prémunir au maximum face à un déni de service de cette application essentielle pour la  pérennité de l’entreprise.

 

Dispositif mis en place par AKONIS

 

Déroulement de la prestation

  • Cadrage initial de la prestation avec le client :
  • Cadrage du périmètre concerné par l’audit
  • Validation du formalisme des livrables attendus sur la base de nos matrices et template
  • Validation des plannings, et de la mise à disposition des différents interlocuteurs
  • Tests d’intrusion en boîte noire et boîte grise
  • Tests externes
  • Consolidation des résultats puis rédaction des livrables en anglais
  • Synthèse managériale
  • Rapport des vulnérabilités détaillé, et présentation des chemins d’attaques afin de pouvoir les rejouer après les remédiations
  • PV de réception
  • Restitution de l’audit
  • Rdv en présentiel avec le client

Ecosystème technique

  • Application WEB, applications SFTP, application IOS/Android, Azure AD, Web SSO

Interlocuteurs côté client

  • Le RSSI, les équipe de la DSI, et le Responsable applicatif

Durée du projet

  • 10 jours d’audit

Equipe AKONIS

  • 2 Pentesters seniors certifiés OSCP

 

Bénéfices

  • Elévation du niveau global de cybersécurité
  • Une vision étendue du réel niveau d’exposition du client face aux menaces de cybersécurité
  • Une vision plus précise du niveau de détection et du traitement des alertes (Process)
  • L’audit a permis de sensibiliser l’équipe dirigeante aux risques de cybersécurité
  • Débouclage d’un budget pour la mise en place d’un bastion
Toutes les réalisations