Tests d’intrusion – Mise en situation d’audits

Programmes de Tests d’intrusion – Mise en situation d’audits

Méthodologie de l’Audit

Objectifs et types de Pen Test

• Qu’est ce qu’un Pen Test ?
• Le cycle du Pen Test
• Différents types d’attaquants
• Types d’audits : boîte noire, boîte blanche, boîte grise
• Avantages du Pen Test
• Limites du Pen Test
• Cas particuliers : dénis de service, ingénierie sociale

Aspect règlementaire

• Responsabilité de l’auditeur
• Contraintes fréquentes
• Législation : Articles de loi
• Précautions
• Points importants du mandat

Exemples de méthodologies et d’outils

• Préparation de l’audit
• Déroulement
• Cas particuliers
• Habilitations
• Dénis de service
• Ingénierie sociale
• Déroulement de l’audit
• Reconnaissance
• Analyse des vulnérabilités
• Exploitation
• Gain et maintien d’accès
• Comptes rendus et fin des tests

Mise en pratique sur Metasploitable

• Attaque de la machine virtuelle Metasploitable
• Recherche d’informations
• Recherche de vulnérabilités
• Exploitation des vulnérabilités
• Maintien de l’accès

Éléments de rédaction d’un rapport

• Importance du rapport
• Composition
• Synthèse générale
• Synthèse technique
• Évaluation du risque
• Exemples d’impacts
• Se mettre à la place du mandataire

Préparation du rapport d’audit

• Mise en forme des informations collectées lors de l’audit
• Préparation du document et application de la méthodologie vue lors du premier jour

Écriture du rapport

• Analyse globale de la sécurité du système
• Description des vulnérabilités trouvées
• Définition des recommandations de sécurité
• Synthèse générale sur la sécurité du système

Transmission du rapport

• Précautions nécessaires
• Méthodologie de transmission de rapport
• Que faire une fois le rapport transmis ?