Votre plateforme Extranet est en phase de conception ou son niveau d´avancement est déjà plus abouti et vous vous demandez si votre développement tient les challenges d´une mise en ligne sur Internet ?
Sans doute, vous posez-vous les questions suivantes :
- Est-ce que les données clients sont accessibles en cas d´attaque par Internet ?
- Est-ce que la base de données est protégée ?
- Comment se comporte le site en cas d´une attaque depuis Internet ?
- Est-ce qu´il est possible de compromettre le site WEB client, de prendre contrôle du site ou des données client qui y sont stockées ?
- Est-ce que les utilisateurs de mon site web sont protégés du mieux possible contre le vol d´identité ?
Tentative d'intrusion
- Documentation de toutes les tentatvies et résultantes.
En cas d'intrusion réussie
- Mise à disposition des preuves
Description de la prestation
Le service d´intrusion proposé par DOREA sera entièrement effectué hors site via une connexion Internet standard.
En accord avec le client, le prestataire disposera d´une fenêtre de 10 jours pour effectuer sa tentative d´intrusion. Le client s´assurera que son système soit accessible depuis internet et dans les conditions d´un système en production et ne le modifiera pas pendant la période d´intervention potentielle du prestataire.[/block]
Dans le cas où la tentative serait fructueuse, l´intervenant fournirait une preuve de son action. Cette preuve pourrait par exemple consister à créer un répertoire ou un fichier sur des parties protégées du système ou d´effectuer une copie de certaines données ou de manipuler le contenu du site web Extranet.
En passant commande pour cette prestation, le client autorise explicitement son prestataire DOREA-Consulting ainsi que son sous-traitant certifié ISO 27001, d´effectuer une attaque hostile sur le système, les logiciels ainsi que les bases de données et tous les systèmes rattachés depuis une liaison Internet.
Pour permettre à DOREA d´exécuter l´attaque, le client remet à DOREA un login et mot de passe d´un utilisateur standard.
Livrable et rapport d´audit
[block border="5px solid #329491" padding="10px 15px"]Le rapport d´audit comprendra une documentation complète de toutes les opérations effectuées, des constats sur d´éventuelles failles de sécurité ainsi qu´une description du scénario d´attaque.
Au cours de l´attaque le scénario d´attaque est immédiatement exécuté.
Au cas où le scénario d´attaque s´avérerait fructueux, le rapport d´audit comprendra un chapitre pour chaque scénario d´attaque ainsi qu´une description de la méthode d´attaque et d´une preuve tangible en provenance du système Extranet.
La preuve d´une attaque peut être constituée d´un ou plusieurs éléments comme suit :
- Récupération d´une information non accessible avec les autorisations d´accès standard.
- Ecriture de fichiers spécifiques dans des endroits spécifiques indiqués dans le rapport
- Critères : chemin, nom de fichier