Test de robustesse

Test de robustesse

Le test de robustesse permet d’éprouver la résilience d’un actif particulièrement exposé aux menaces liées aux accès physiques.

Pourquoi ?

Ce type de test donne un bon niveau de visibilité sur le risque d’un actif situé dans un environnement non contrôlé : espace public, habitation d’un client, salles de réunion, etc.

Parmi les scénarios de menace typiquement simulés, on peut compter le vol, l’accès par un utilisateur ou un client malveillant, ou encore l’analyse d’un produit par concurrent, etc.

Quand ?

Le test de robustesse est typiquement mené de manière ponctuelle, comme état des lieux et à chaque changement majeur d’actif ou de la configuration d’un actif en situation de libre accès ou de nomadisme.

Il permet par exemple de s’assurer qu’un parc de téléphones mobiles et d’ordinateur a bien été configuré et durci selon les règles de l’art.

Notre démarche

La réalisation nécessite la fourniture de l’actif à l’auditeur, dans l’état de fonctionnement souhaité par rapport au scénario de menace à tester.

Par exemple, l’ordinateur portable peut être allumé ou en veille et verrouillé par l’utilisateur, auquel cas l’auditeur doit, entre autres, s’attacher à contourner le système d’authentification.

L’auditeur conduit alors les tests en laboratoire, pendant lesquels il interagit avec la cible en utilisant différentes méthodes, comme le branchement d’appareils offensifs, l’ouverture du matériel pour accéder aux composants électroniques ou encore les attaques interactives sur le système ou la chaîne de démarrage.

L’auditeur doit tenter de compromettre l’actif par tous les moyens technique à sa disposition.

La compromission est effective lorsqu’est obtenu :

  • Un gain d’accès sur le système, après contournement de l’authentification ;
  • Une divulgation des données contenues et potentiellement sensibles ;
  • Une altération de l’actif ou de ses données, susceptible d’avoir un impact de sécurité (sans déni de service).

Nos engagements, notre éthique

Nous garantissons naturellement la parfaite confidentialité de l’ordre de mission, des traces d’audit et des rapports émis.

Cet engagement est concrétisé par notre charte d’éthique, appliquée sur notre organisation et nos analystes, ainsi que par les mesures techniques que nous mettons en œuvre (chiffrement, infrastructure isolée, stricte gestion des droits, politique de rétention des données, etc.).

D’autre part, le cadre technique, notamment les conditions et la durée de rétention de l’information, est contractualisé dès avant l’audit.

Un compte-rendu de clôture de l’audit vous sera également remis, avec les indications de retour à la normale des systèmes audités (éventuels comptes de test et fichiers à supprimer, ou autres actions).

N’hésitez pas à nous contacter, nous nous ferons un plaisir de partager avec vous plus de précisions à ce sujet.

Élements-clés

  • Tester la robustesse d’un actif en environnement hostile.
  • Tentatives d’accès en profondeur (logiciel, interfaces physiques, électronique)
  • Menaces simulées : vol d’équipement, espionnage industriel, malveillance d’un utilisateur, etc.