Spécialiste du monde de la sécurité, vous réalisez des tests de pénétration dans le cadre d’audits. Votre intervention a-t-elle provoqué une prise de conscience dans l’entreprise ? Racontez.
- tests d'intrusion sur des sites Web, - tests d'intrusion sur des infrastructures Wi-Fi, - tests d'intrusion sur des infrastructures ToIP- tests d'intrusion sur des applicatifs métiers.
Quelles sont en général les réactions des entreprises suite à ces tests ?
Lorsque le commanditaire des tests d'intrusion est le responsable du périmètre ciblé, les réactions sont en général positives car l'objectif est d'améliorer le niveau de sécurité. Les entreprises sont donc réceptives et prennent la mesure de leur niveau d'exposition aux menaces. Lorsque le commanditaire est externe au projet (audit, contrôle interne,... ), les réactions sont plus timorées car le résultat des tests peut démontrer l'absence d'intégration de la sécurité en amont dans les projets et révéler un processus défaillant à ce niveau là.
A quels outils avez-vous recours ?
Les outils utilisés sont adaptés aux infrastructures ciblées :- pour les sites web : nmap, nessus, metasploit, attaques manuelles de type Cross-Site Scripting, sql injection,...- pour les infrastructures Wifi : kismet, gpsmap aircrack, karma, wifitap...- pour les infrastructures Toip : nmap, voipong, voiphopper, sivus...
Prouver la réalité / faisabilité des attaques 
