Les tests d'intrusion modernes ne peuvent plus se limiter à la simple conformité réglementaire ou à l'exécution d'un scanner de vulnérabilités une fois par an. Les attaquants sont agiles, font preuve d'ingéniosité et ont la patience d'explorer votre environnement jusqu'à atteindre des données critiques. Pourtant, trop de tests d'intrusion se contentent encore de recycler des rapports standardisés, copiant-collant des résultats de scanners qui ne font qu'effleurer le problème. SubRosa rejette cette approche obsolète. Notre méthodologie reflète le mode opératoire des véritables adversaires : elle combine la créativité humaine, des outils de test d'intrusion de pointe et une modélisation des menaces contextuelle pour révéler des failles exploitables que d'autres ne détectent pas. Nous définissons le périmètre en fonction des risques métier, cartographions votre surface d'attaque réelle, exploitons les chaînes critiques et fournissons des rapports qui permettent de mettre en œuvre des mesures correctives. Vous trouverez ci-dessous une présentation transparente de notre cadre en cinq étapes pour les services de tests d'intrusion, garantissant une analyse précise et un impact maximal.
Étape 1 : Définition du périmètre en fonction des risques, et non des modèles
Un test d'intrusion efficace commence bien avant que le premier paquet n'atteigne votre pare-feu. Au lieu d'imposer aux clients des niveaux prédéfinis (« bronze », « argent », « or »), il débute par un entretien de découverte axé sur la modélisation des menaces plutôt que sur un simple inventaire des actifs.
Nous posons des questions précises : quelles applications ou quels systèmes connectés génèrent la majeure partie de vos revenus ? Où se situe la propriété intellectuelle sensible au sein de votre architecture ? Comment les privilèges sont-ils gérés entre les différentes unités opérationnelles ? Quelles intégrations tierces pourraient servir de portes dérobées ? Ces échanges permettent de mieux comprendre les motivations des attaquants, ce qui nous aide à prioriser les cibles et à adapter nos tactiques.
Conception personnalisée des engagements
Nos ingénieurs élaborent une matrice d'engagement cartographiant les profils d'adversaires potentiels (équipes de ransomware, menaces internes, groupes APT) et les comparent à vos actifs les plus sensibles. Cette matrice permet une définition précise du périmètre d'intervention en fonction des risques : évaluation de l'Active Directory sur site pour un fabricant disposant d'équipements OT anciens, tests d'intrusion approfondis sur les applications web d'un fournisseur SaaS traitant des données personnelles, ou encore tests d'intrusion multicloud pour une entreprise migrant ses charges de travail vers un environnement multicloud.
Au-delà des cartes de réseau
Les propositions de tests d'intrusion classiques se concentrent souvent sur les plages d'adresses IP, le nombre de ports ou les schémas de sous-réseaux. Si les schémas de réseau sont importants, ils négligent des éléments de contexte essentiels : processus métier, rôles des utilisateurs et classification des données. La méthode de cadrage d'SubRosa intègre les réalités techniques et opérationnelles. Nous pourrions recommander, par exemple, de réaliser un test d'intrusion au sein de votre pipeline DevOps interne s'il alimente directement la production, ou de simuler une chaîne d'attaque allant du phishing à l'élévation de privilèges dans le cloud si vos employés utilisent un fournisseur d'authentification unique.
Ateliers collaboratifs sur les menaces
Pour les programmes matures, nous organisons des ateliers collaboratifs avec les architectes de sécurité, les responsables DevOps et les responsables de la conformité afin de modéliser les scénarios d'attaques potentiels. La représentation graphique des chaînes d'attaque suspectées permet aux deux parties de visualiser comment un attaquant pourrait compromettre les exécuteurs CI/CD, exfiltrer les bases de données clients ou rançonner les hyperviseurs. Cette compréhension partagée permet de clarifier les objectifs des tests et de garantir que le rapport final de test d'intrusion soit pertinent pour toutes les parties prenantes, des analystes SOC au conseil d'administration.
Livrable : Énoncé des travaux aligné sur les risques
L'étape 1 aboutit à un cahier des charges transparent qui détaille les systèmes cibles, les objectifs, les règles d'engagement et les critères de réussite. Les clients savent précisément ce qui sera testé, les méthodologies de test d'intrusion applicables (OWASP, PTES, NIST SP 800-115) et comment le succès sera mesuré (compromission d'un compte d'administrateur de domaine, insertion de code non autorisé, exfiltration de données protégées). Aucune incertitude, aucun dépassement de périmètre caché.
Deuxième étape : Reconnaissance réelle, cartographie réelle de la surface d’attaque
Une fois le périmètre défini, nous entrons dans la phase de reconnaissance, où les assaillants d'élite passent la majeure partie de leur temps.
Reconnaissance passive et active
Notre équipe collecte des renseignements en sources ouvertes (OSINT) afin de dresser le profil de l'empreinte numérique publique de votre organisation : identifiants divulgués sur des sites de partage de code, compartiments S3 exposés, sous-domaines oubliés, dépôts GitHub de développeurs révélant des clés API codées en dur. Parallèlement, nous menons une reconnaissance active : énumération des services, identification des empreintes SSL/TLS et découverte des ressources cloud sur AWS, Azure et Google Cloud. En corrélant les données passives et actives, nous établissons une cartographie évolutive de toutes les surfaces d'attaque accessibles et exploitables.
Mines d'or des métadonnées et des erreurs de configuration
Les fuites de métadonnées offrent souvent aux attaquants des informations cruciales. Les documents PDF hébergés sur des sites marketing publics peuvent contenir des identifiants internes ; les enregistrements DNS TXT peuvent révéler les adresses IP d'origine derrière un CDN. Nos scripts automatisent l'extraction de ces précieuses informations, tandis que des analystes humains en contextualisent l'importance. Par exemple, un PDF marketing contenant « DEV-SQL01 » pourrait indiquer des conventions de nommage exploitables lors d'attaques par force brute ou d'ingénierie sociale.
Découverte de la surface d'attaque comme fondement
Certains fournisseurs bâclent la phase de reconnaissance pour maximiser le nombre d'« analyses » qu'ils peuvent vendre par trimestre. SubRosa fait l'inverse : nous investissons massivement en amont car un inventaire détaillé de la surface d'attaque permet une exploitation plus intelligente. Des ressources manquantes maintenant signifient des faux négatifs plus tard. Notre livrable de reconnaissance est un graphe de connaissances structuré reliant les domaines, les adresses IP, les ressources cloud, les référentiels, les applications SaaS tierces et les identités des utilisateurs dans un schéma navigable.
Surveillance dynamique des actifs
Pour les missions de tests d'intrusion en tant que service (PTaaS) s'étalant sur plusieurs semaines ou de manière continue, nous mettons en place une surveillance permanente. Si votre équipe DevOps déploie un nouveau cluster de préproduction ou un microservice avec des identifiants par défaut en cours de test, nos capteurs signalent immédiatement toute modification. Les véritables attaquants adorent surprendre les organisations en plein déploiement ; nous aussi, car cela reflète la réalité.
Objectif : Sensibilisation holistique à l'exposition
À la fin de la deuxième étape, les clients disposent d'un catalogue d'exposition bien plus complet qu'un simple instantané de scan de ports. Ils savent quelles passerelles VPN obsolètes acceptent encore les connexions, quelles instances EC2 oubliées contiennent des secrets en clair et comment leur nom de domaine pourrait être exploité pour des attaques de phishing. La reconnaissance permet une exploitation tactique des risques, démontrant ainsi les risques pour l'entreprise avec une précision chirurgicale.
Troisième étape : Exploitation tactique – et pas seulement analyse des vulnérabilités
Piloté par l'humain, assisté par des outils
Les outils de test d'intrusion comme Burp Suite, Nmap et BloodHound restent essentiels, mais l'automatisation a ses limites. La phase d'exploitation de SubRosa allie créativité humaine et efficacité scriptée. Tandis que les scanners détectent les CVE courantes, nos ingénieurs enchaînent manuellement les erreurs de configuration, élèvent leurs privilèges et explorent les réseaux hybrides.
Prouver le risque par l'exploitation
Une vulnérabilité critique (CVE) prise isolément n'implique pas systématiquement un impact sur l'activité. Nous simulons des chaînes d'attaque réalistes : extraction de tickets de service Kerberoastables, cassage de hachages hors ligne, usurpation d'identité de comptes de service, exploitation de failles de sécurité IAM pour assumer des rôles inter-comptes et, enfin, exfiltration de données sensibles. En exécutant ces chaînes de bout en bout, nous démontrons comment des vulnérabilités théoriques se traduisent par un risque concret — ce qu'aucun outil de test d'intrusion automatisé autonome ne peut garantir.
Mouvement latéral et escalade des privilèges
Supposons que l'accès initial soit obtenu via un compte de sous-traitant aux privilèges limités. Nos opérateurs utilisent des binaires LOLBins (Living-Off-The-Land Binaries), des frameworks C2 personnalisés et des relais SSH (Secure Shell Relays) pour se déplacer latéralement. Le vol d'identifiants, l'usurpation de jetons et les attaques par transmission de hachage permettent de passer d'un poste de travail à un contrôleur de domaine, puis à un portail d'administration cloud. Nous enregistrons chaque commande, hachage et jeton afin de garantir l'exhaustivité et la reproductibilité des preuves.
Exploitation des cibles cloud et API
Les environnements modernes combinent infrastructure sur site, SaaS et microservices. Les spécialistes cloud-native de SubRosa exploitent les vulnérabilités SSRF (Server-Side Request Forgery) pour accéder aux métadonnées, compromettre les rôles IAM mal configurés afin d'élever leurs privilèges et exploiter les API trop permissives pour manipuler les objets backend. Si votre pipeline CI/CD déclenche des déploiements automatiques, nous démontrons comment un attaquant peut injecter du code malveillant dans les images Docker déployées en production.
Attaques en chaîne démontrant leur impact sur les entreprises
Une simple injection SQL peut détourner les adresses e-mail des utilisateurs, mais son enchaînement avec le vol d'identifiants cloud et le déploiement d'un ransomware représente un risque existentiel. Nous documentons les attaques enchaînées à l'aide des cartographies MITRE ATT&CK, offrant ainsi une vision claire des techniques employées par les attaquants : accès initial, persistance, contournement des défenses, accès aux identifiants, découverte, déplacement latéral, collecte, commande et contrôle, exfiltration et impact.
Limites éthiques et filets de sécurité
L'exploitation est agressive mais contrôlée. Nous sollicitons une autorisation explicite avant d'exécuter des actions potentiellement perturbatrices telles que le spamming de mots de passe à grande échelle ou le chiffrement massif de fichiers factices. Si le périmètre inclut des systèmes de production, nous employons des méthodes sécurisées pour les données : création d'enregistrements factices, écriture de fichiers sentinelles et évitement des commandes destructives. Une communication continue assure la stabilité des opérations du client tout en permettant d'atteindre des résultats réalistes.
À la fin de la troisième étape, nous disposons de preuves tangibles : des captures d’écran de portails d’administration, des preuves d’exfiltration de données et des schémas d’attaque clairement identifiables que tout attaquant déterminé pourrait emprunter dès demain. Ces preuves alimentent un plan de remédiation qui impulse le changement.
Étape 4 : Des rapports qui génèrent réellement du changement
Narration prête pour les cadres supérieurs
Les dirigeants, souvent très occupés, se soucient des risques pour le chiffre d'affaires, la réputation et les opérations, et non des simples identifiants CVE. Nos rapports débutent par une explication qui traduit l'exercice de test d'intrusion en termes commerciaux : coûts potentiels d'indisponibilité, conséquences réglementaires d'une violation et impact sur la confiance des clients. Un tableau de bord d'une page récapitule les actifs compromis, le temps passé par l'attaquant et des scénarios de dommages hypothétiques.
Résultats techniques pour les praticiens
Les ingénieurs en sécurité ont besoin d'informations détaillées. Chaque fiche de vulnérabilité comprend une description, les hôtes affectés, des commandes de preuve de concept (avec des jetons anonymisés), des captures d'écran, les étapes de reproduction et les références aux journaux. Nous associons chaque vulnérabilité aux référentiels MITRE ATT&CK et CVSS, et, le cas échéant, aux dix principales vulnérabilités OWASP ou aux contrôles CIS. Un système de notation des risques par code couleur prend en compte l'exploitabilité, le contexte métier et la probabilité de récurrence.
Évaluation des risques et chaînes d'exploitation
Au lieu de lister les vulnérabilités individuellement, nous présentons les chaînes d'exploitation : comment plusieurs problèmes de faible gravité s'enchaînent pour engendrer un impact critique. Par exemple, une configuration incorrecte du stockage cloud (niveau de gravité moyen), une clé d'accès divulguée (niveau de gravité moyen) et une authentification multifacteur (MFA) insuffisante (niveau de gravité moyen) peuvent mener à une attaque de ransomware potentiellement catastrophique (niveau de gravité critique). Cette présentation axée sur les chaînes d'exploitation aide les RSSI à justifier les budgets de remédiation.
Recommandations concrètes pour remédier
Chaque constatation inclut des étapes prioritaires : modifications de configuration, correctifs de code, stratégies de segmentation, renforcement de la sécurité IAM, mises à niveau des solutions des fournisseurs. Nous fournissons des liens vers les avis des fournisseurs, les guides de renforcement de sécurité de référence et, lorsque cela est possible, les outils open source de validation. Si une correction nécessite un déploiement progressif ou des approbations de contrôle des changements, nous décrivons les mesures compensatoires permettant de réduire les risques pendant cette période transitoire.
Artefacts de simulation de brèche
Pour faciliter la formation à la sensibilisation à la sécurité et la validation par les équipes violettes, nous fournissons en option des scripts d'exploitation anonymisés, des fichiers journaux expurgés et des règles de détection. Les équipes bleues peuvent ainsi reproduire les attaques en environnement de test pour améliorer la couverture du SOC, tandis que les équipes d'exploitation informatique obtiennent des informations claires sur les procédures de mise à jour.
Le livrable n'est pas un PDF qui prend la poussière. Il s'agit d'un plan stratégique étayé par des données probantes et des solutions prioritaires, permettant à vos équipes de combler rapidement les lacunes.
Cinquième étape : Collaboration et soutien après le test
Les tests d'intrusion ne sont pas une démarche unilatérale. SubRosa intègre la collaboration dès le premier jour et la poursuit après la mission afin de garantir la pérennité des mesures correctives.
Séances d'analyse des résultats
Dans la semaine suivant la remise du rapport, nous organisons des présentations virtuelles ou en présentiel, articulées autour de trois axes distincts : direction, management et technique. Les dirigeants constatent l’impact financier et sur la valeur de la marque ; les ingénieurs analysent en détail les failles de sécurité et les correctifs recommandés. Une session de questions-réponses en temps réel favorise la compréhension et accélère l’adhésion de tous les services.
Coaching et validation en matière de remédiation
Si vos équipes internes souhaitent un accompagnement opérationnel, nos consultants interviennent en amont pour la résolution des problèmes. Nous vérifions les systèmes corrigés, testons à nouveau les règles de pare-feu et exécutons des scripts d'exploitation ciblés pour confirmer la résolution des vulnérabilités. Pour les environnements cloud, nous vous aidons à réécrire les politiques IAM et à déployer des garde-fous d'infrastructure en tant que code.
Services de conseil et de gestion continus
De nombreux clients optent pour des tests d'intrusion récurrents en tant que service Nous proposons des forfaits incluant des tests trimestriels incrémentaux ou une surveillance continue de la surface d'attaque. D'autres étendent notre collaboration à des services de conseil en tant que RSSI externalisé, à des solutions SOC en tant que service ou à des contrats de réponse aux incidents. Quel que soit le choix, notre mission reste inchangée : renforcer nos défenses avant la prochaine attaque.
Suivi des indicateurs et du retour sur investissement
Nous restons opérationnels même après la correction des bugs. SubRosa fournit des indicateurs clés de performance (KPI) illustrant l'amélioration de la sécurité : réduction du temps moyen de détection du phishing, diminution de l'empreinte des privilèges et accélération du cycle de déploiement des correctifs. Ces résultats quantifiables permettent aux responsables de la sécurité de démontrer le retour sur investissement aux conseils d'administration et aux auditeurs.
Conclusion
La philosophie d'SubRosa est simple mais profonde : penser comme un attaquant, agir comme un conseiller et éliminer les conjectures . Nous concevons nos tests en fonction des risques réels de l'entreprise, consacrons le temps nécessaire à la cartographie des surfaces d'attaque réelles, reproduisons les chaînes d'exploitation des tactiques des adversaires et fournissons des conseils qui favorisent le changement, et non la peur. Notre approche concrète et fondée sur des preuves solides des tests d'intrusion aide les organisations à dépasser la simple conformité et à atteindre une maturité de sécurité pérenne.
Si vous êtes prêt à identifier vos failles de sécurité, à renforcer vos défenses et à vous assurer un allié de confiance dans la lutte contre les cybermenaces, contactez-nous. Planifiez une consultation avec l'équipe de tests d'intrusion de SubRosa et découvrez ce que nos tactiques concrètes peuvent révéler sur votre environnement, avant qu'un acteur malveillant ne le fasse.