Audits de sécurité

Le test d'intrusion (ou pentest) consiste à simuler le comportement d'un attaquant ciblant le système audité, afin d'identifier les faiblesses de sécurité exploitables par un acteur malveillant.
Un tests d'intrusion peut être mené sur des périmètres internes comme externes. Plusieurs scénarios initiaux peuvent être joués, afin de simuler différents profils d'attaquants :

• Boîte noire : le test d'intrusion est mené sans aucune autre information que l'identification du système ciblé. Ce scénario correspond à la situation d'un attaquant opportuniste sur Internet (audit web) ou d'un visiteur au sein de vos locaux (audit interne).
• Boîte grise : le test est réalisé à l'aide d'informations fournies par vos équipes techniques, telles que des comptes internes, afin de simuler un utilisateur (web) ou un employé (interne) malveillant.
• Boîte blanche : le test est conduit avec l'ensemble des informations techniques mises à disposition - code source, CI/CD, comptes privilégiés, etc. Ces audits permettent d'identifier des faiblesses difficilement détectables depuis un rôle d'attaquant uniquement.

L'audit d'une application mobile (Android ou iOS) consiste à évaluer sa sécurité à la fois côté serveur et sur l'appareil de l'utilisateur.
Trois axes complémentaires sont étudiés :

• Les communications distantes : un test d'intrusion est réalisé sur les API et services en ligne utilisés par l'application, afin d'identifier les failles exposées à un attaquant distant ;
• Les accès depuis un appareil légitime : l'extraction et l'analyse statique du code source, complétées par l'analyse dynamique de l'application en fonctionnement, permettent de détecter des vulnérabilités exploitables par un utilisateur authentifié ;
• Les risques liés à un appareil compromis : des tests sont menés pour évaluer la protection des données locales (fichiers, stockage, secrets) en cas de vol ou de compromission du terminal.

L'audit Wi-Fi consiste à tester en conditions réelles la sécurité d'un réseau sans fil. Il vise à identifier les failles exploitables par un attaquant à proximité physique : mauvaise configuration, protocoles obsolètes, ou faiblesse des mécanismes d'authentification.
Les principaux risques concernent l'interception des communications, l'accès non autorisé au réseau interne, ou l'indisponibilité du réseau Wi-Fi.

L'audit de code source permet d'identifier des vulnérabilités directement au sein de l'implémentation d'un produit (généralement une application). Souvent plus long qu'un test d'intrusion, il offre une analyse plus exhaustive et approfondie.
Il peut également être couplé à un test d'intrusion, afin de tirer parti à la fois de l'analyse statique (sur le code) et de l'analyse dynamique (en conditions réelles), pour une meilleure détection des faiblesses.

L'audit d'un client lourd (logiciel installé sur un poste de travail) vise à analyser sa sécurité en condition réelle d'exécution.
L'analyse peut inclure :

• L'étude du binaire (désassemblage, reverse engineering, obfuscation) ;
• Le comportement à l'exécution (stockage local, communication réseau, usage mémoire) ;
• La résistance aux manipulations : contournement de logique, élévation de privilèges, falsification de données, etc.

Ce type d'audit permet d'identifier les failles exploitables localement, notamment par un utilisateur malveillant ou un malware.

L'audit de configuration consiste à évaluer la robustesse des paramètres de vos composants techniques.
Cela concerne notamment :

• Applications et plateformes (CMS, outils métiers, etc.)  ;
• Postes de travail et serveurs (systèmes d'exploitation, hardening) ;
• Équipements réseau (switchs, firewalls, bornes Wi-Fi) ;
• Bases de données (droits d'accès, configuration réseau, permissions internes).

L'objectif est de détecter des erreurs de configuration courantes, des services exposés inutilement, ou des droits trop permissifs — souvent à l'origine de compromissions.