Services de tests d’intrusion

Les services d’évaluation d’Orenda Security simulent des tentatives réelles d’intrusion dans vos réseaux, applications et environnements infonuagiques.

Orenda Security offre des tests d’intrusion de grande qualité qui simulent les activités de réels cyberprédateurs pour trouver des vulnérabilités dans les systèmes ciblés et les exploiter dans des circonstances contrôlées. Nous utilisons notre expertise technique pour déterminer et documenter les risques et les impacts d’affaires potentiels, de façon professionnelle et sécuritaire, en accord avec la portée et les règles du mandat soigneusement établies, et avec pour objectif d’aider les organisations à prioriser leurs ressources dans l’amélioration de leur posture de sécurité. Nous personnalisons notre offre de tests d’intrusion pour nous assurer de rencontrer vos exigences de conformité, telles que les exigences de tests d’intrusion PCI DSS.

VULNERABILITY

Processus de tests d’intrusion

Les tests d’intrusion et l’évaluation des vulnérabilités du système et du réseau d’infrastructure sont essentiels pour déceler les vulnérabilités de sécurité qui sont utilisées pour lancer une cyberattaque via l’internet. Les tests de réseau interne ou l’évaluation de sécurité des systèmes faisant face à l’internet aident à découvrir les services de réseau vulnérables qui peuvent être exploités par des sources inconnues de menaces.

profiling-and-discovery

Phase 1

Profilage et découverte

Cette étape implique l’utilisation de plusieurs outils de balayage pour identifier les serveurs et services actifs, incluant la cartographie du réseau, le banner grabbing, l’identification du système d’exploitation (OS fingerprinting), l’identification des services, la découverte des protocoles et les versions supportées.

security-scanning

Phase 2

Évaluation de la sécurité de l’infrastructure

L’étape d’évaluation implique le balayage automatisé des vulnérabilités dans les services réseau, les systèmes d’information et les contrôles de sécurité du périmètre par des outils d’entreprise les plus à jour. De plus, des analyses manuelles permettent de vérifier les résultats du balayage automatisé afin d’éliminer les faux-positifs.

application-vulnerability-determination

Phase 3

Exploitation des vulnérabilités de l’infrastructure

Cette étape utilise l’information recueillie sur les services et ports actifs et les vulnérabilités qui y sont reliées pour exploiter, en toute sécurité, les services à risque. Les scénarios d’attaque des environnements de production utiliseront une combinaison de charge d’exploits en accord avec les règles établies du mandat.

application-vulnerability-exploitation

Phase 4

Rapports

Toutes les vulnérabilités de sécurité exploitables du système ciblé sont enregistrées avec leurs valeurs CVSS v2 associées. Les vulnérabilités de sécurité identifiées sont évaluées minutieusement et consignées dans un rapport avec les mesures de mitigation ou les recommandations appropriées.

reporting-vulnerability

Phase 5

Remédiation et réévaluation

La remédiation implique de l’assistance pour remédier aux vulnérabilités de sécurité de l’infrastructure qui ont été identifiées. Après la remédiation, une réévaluation sera réalisée afin de valider l’efficacité des contremesures de contrôle des TI utilisées pour mitiger les vulnérabilités de sécurité mentionnées dans le rapport.

network

Réseau et
infrastructure

Pendant un test d’intrusion de réseau, nous tentons de percer le périmètre de votre réseau en exposant des faiblesses des serveurs et des appareils réseau. Nous utilisons notre accès initial à votre réseau pour sonder le cœur du réseau et les appareils associés. Nous procédons ensuite à une étude à l’intérieur du périmètre pour identifier des méthodes additionnelles pouvant compromettre les défenses de votre réseau.
L’évaluation de la sécurité de votre réseau externe comprend plusieurs étapes.

Les principales étapes incluent:

network

Tests d’intrusion interne

Mettre l’emphase sur l’exploitation de l’infrastructure et des services privés ou accessibles de l’interne qui peuvent poser un haut risque pour les applications et les systèmes essentiels à votre entreprise. L’évaluation de la sécurité de votre réseau externe comprend plusieurs étapes. Les principales étapes incluent:

network

Tests d’intrusion externe

Nous mettons l’emphase sur l’exploitation de l’infrastructure et des services accessibles de l’internet décrits ci-dessous. Il faut rester vigilants avec les services et systèmes externes car ils sont les cibles constantes des pirates informatiques en tant que points d’accès des systèmes qui hébergent des renseignements sensibles. En étudiant l’architecture de votre réseau externe et les services qui sont accessibles de l’internet, nous pouvons mieux identifier les menaces et les risques spécifiques à votre environnement d’affaires. Les cibles externes courantes incluent :

network

Tester l’internet des objets (IoT)

L’infrastructure et les appareils IoT sont déployés partout, des résidences aux infrastructures critiques. Les tests d’intrusion de Orenda Security abordent ces tests en étudiant les interactions entre les différentes composantes et en sécurisant chacune.

Selon la portée et les cibles spécifiques, les tâches et les composantes suivantes pourraient être évaluées:

Découvrez nos services en:

ÉVALUATION DE RISQUES DE CYBERSÉCURITÉ

ÉVALUATION DE RISQUES DE CYBERSÉCURITÉ

Quels sont les actifs les plus précieux de votre entreprise? Et si vos données étaient déjà à haut risque et que vous les perdiez? Quel serait l’impact sur vos affaires, vos clients, vos revenus? Votre organisation peut-elle se permettre d’être en panne, ne serait-ce qu’une seule journée, à cause d’un incident de cybersécurité? Encore plus inquiétant: et si vos données essentielles étaient déjà compromises sans que vous le sachiez.

ÉVALUATION D’APPLICATIONS

ÉVALUATION D’APPLICATIONS

Les services d’évaluation d’applications de Orenda Security sont personnalisés afin de sécuriser les applications essentielles à votre entreprise et assurer la conformité avec les exigences de sécurité de votre industrie.

TESTS DYNAMIQUES (DAST)

TESTS DYNAMIQUES (DAST)

Travaillez en partenariat avec Orenda Security pour vos tests dynamiques continus de sécurité des applications (DAST) et vous aurez accès à des professionnels de la sécurité qui vous guideront pour sécuriser vos applications. Donnez des outils à votre équipe de développement et maintenez la rapidité de livraison de vos applications.

TESTS STATIQUES DE SÉCURITÉ DES APPLICATIONS (SAST)

TESTS STATIQUES DE SÉCURITÉ DES APPLICATIONS (SAST)

Travaillez en partenariat avec Orenda Security pour vos besoins de tests statiques de sécurité des applications (SAST). Que vous ayez besoin de tests SAST maintenant ou que vous ayez un outil en tête et une vision sur comment vous aimeriez l’implanter, ou si vous avez besoin d’aide pour démarrer, laissez nos professionnels en sécurité des applications vous aidez à instaurer votre sécurité.

MODÉLISATION DE MENACES

MODÉLISATION DE MENACES

Travaillez en partenariat avec Orenda Security pour débuter avec la modélisation de menaces. La modélisation de menaces peut sembler un concept abstrait aujourd’hui mais nos professionnels ont une expérience éprouvée dans le développement de ces habiletés dans plusieurs environnements, industries et modèles de livraison. Nos professionnels en modélisation de menaces accompagnent votre équipe dans chaque étape d’apprentissage et de pratique pour rencontrer vos processus et modèles de livraison.

ÉVALUATION DE LA VULNÉRABILITÉ

ÉVALUATION DE LA VULNÉRABILITÉ

Évaluation des vulnérabilités (VA) et gestion des vulnérabilités (VM)
Une évaluation des vulnérabilités offre une représentation précise de la posture de sécurité d’une organisation à un moment précis. Ce n’est cependant pas suffisant. Il doit y avoir un mécanisme intégré aux procédures pour s’assurer que le processus d’évaluation des vulnérabilités se poursuive sur une base continue. C’est la seule façon de minimiser réellement le risque global.

SÉCURITÉ INFONUAGIQUE

SÉCURITÉ INFONUAGIQUE

Les services d’évaluation de Orenda Security simulent des tentatives réelles d’intrusion dans vos réseaux, applications et environnements infonuagiques.

CONTACTEZ-NOUS!

Contactez-nous pour en apprendre davantage sur les renseignements en sécurité.

touch

Témoignages

Services de tests d’intrusion
  • Expertise technique et évaluations de grande qualité

    Orenda se sont avérés un partenaire fiable pour AMA et nous ont aidé à développer et livrer des applications sécurisées à tous nos membres AMA. Je recommande Orenda Security aux autres clubs AAA et CAA sur la base d’une solide relation de travail avec AMA, pour leur expertise technique et leur excellente réputation dans la livraison d’évaluations de grande qualité.

    Collin Moody
    Directeur principal de l’information (CIO)
    Alberta Motor Association
  • Services de tests d’intrusion de sécurité solides et fiables

    Il est difficile de trouver un partenaire fiable possédant une grande expertise technique! Orenda Security étaient exactement ce que nous recherchions. Ils nous ont aidé à améliorer la posture de sécurité de notre produit et de notre application. Je recommande Orenda Security à tout leader en sécurité qui recherche des services de tests d’intrusion de sécurité solides et fiables.

    Kartik Agarwal
    Directeur principal de la technologie (CTO)
    Concert Cloud Inc.
  • Haut niveau d’expertise dans la réalisation de tests d’intrusion d’applications

    Orenda Security ont démontré un haut niveau d’expertise dans la réalisation de tests d’intrusion d’applications. Leurs observations et recommandations étaient claires et réalisables. Nous recommandons fortement Orenda Security à toute entreprise qui recherche des services d’évaluation de la sécurité.

    Colton Toscher
    Directeur principal de la technologie (CTO)
    Revolution Capital

L’HISTOIRE ET L’ÉQUIPE
DERRIÈRE ORENDA SECURITY ®

Orenda Security ® est une firme de sécurité informatique d’élite fondée sur un esprit d’intégrité et de partenariat avec notre équipe et, surtout, nos clients.