1 an de pentests et d'audits

11 avril 2023

Après un an de pentests et d’audits, il est temps pour @GB, expert en cybersécurité chez Agaetis, de faire un bilan.

Le marché de la cybersécurité est en pleine expansion, et pour cause ! Celui de la cybercriminalité l’est tout autant.

De plus en plus d’entreprises se donnent aujourd’hui les moyens de prévenir, d’agir et de réagir face aux risques que représentent des cyberattaques, en faisant notamment appel à des experts pour réaliser des audits et des tests d’intrusion (aussi appelés « pentests », pour «  penetration test  ») de leur système d’information.

Dans cet article, nous avons décidé de mettre en avant ce que nous avons envie d’appeler « les données clés ». C’est ce que nous retenons d’un an d’audits, mais aussi ce que nous avons observé de façon générale au cours de l’année écoulée en m atière de protection des données. 


 Combien de vulnérabilités identifies-tu en moyenne lors d’un audit ?

Nous sommes en moyenne à une dizaine de vulnérabilités par audit d’intrusion, que ce soit dans les applications web ou sur les infrastructures. 

Pour les applications web, cela peut inclure des vulnérabilités telles que les failles de sécurité Cross-Site Scripting (XSS), les injections SQL, les failles de sécurité CSRF (Cross-Site Request Forgery), les erreurs de configuration de sécurité, etc. Pour l'infrastructure, cela peut inclure des vulnérabilités telles que des serveurs non patchés contre les failles de sécurité connues, des configurations incorrectes des pare-feux, des erreurs de configuration des serveurs, des faiblesses dans les protocoles de communication, etc.


 Combien de temps mets-tu pour devenir administrateur du domaine lors d’un audit ?

Mon «  speedrun  » pour devenir administrateur du domaine durant un audit d’intrusion est de moins 20 minutes.

C’était un compte administrateur local, sur un serveur où le mot de passe était le même que le login. L’administrateur du domaine avait une session sur ce serveur, donc j’ai pu y récupérer son mot de passe.

Voici un schéma pour mieux comprendre le lien de cause à effet entre les sessions qui m’a permis de devenir administrateur : 

En moyenne, on devient administrateur du domaine en une demi-journée.


 Quels sont les pires mots de passe pour toi, ceux qui facilitent le plus ton travail lors d’un audit de sécurité ?

On retrouve très souvent des mots de passe trop simples durant les audits d’intrusion. Trop souvent , les collaborateurs d’une entreprise utilisent le nom de leur entreprise, ou un dérivé (pour Agaetis on pourrait par exemple retrouver : @ga3t1s). 

Malheureusement, avec certains outils comme hashcat, il est très facile de cracker ces types de mots de passe. 

Voici un exemple de génération automatique des mots de passe à tester, toujours en partant d’Agaetis  :


Quelles sont les vulnérabilités que tu retrouves le plus souvent ? 

L'une des vulnérabilités les plus courantes est le Cross-Site Scripting (XSS).  C’est une technique d'attaque qui permet à l’attaquant d'injecter du code malveillant dans une page web, qui peut alors être exécuté sur les navigateurs des utilisateurs qui visitent cette page.


Les attaquants utilisent souvent des vulnérabilités XSS pour voler des informations d'identification, des cookies ou d'autres données sensibles des utilisateurs. Ils peuvent également utiliser cette technique pour rediriger les utilisateurs vers des sites web malveillants, ou pour installer des logiciels malveillants sur leur ordinateur.


Le XSS est une vulnérabilité courante, car facile à exploiter, et le code malveillant peut être introduit dans un site web de différentes manières. Je pense notamment à l'ajout de code dans des champs de saisie de formulaire, des commentaires ou des messages de forum. Les entreprises peuvent se protéger contre ces attaques en utilisant des techniques de validation et de filtrage de données ( plus d’informations ici ), en limitant l'exposition des données sensibles et en appliquant régulièrement des correctifs de sécurité sur leurs applications web. 


 Quelles sont les attaques les plus fréquentes auxquelles les entreprises peuvent avoir à faire face ?

L'une des vulnérabilités les plus courantes constatée lors des tests d'intrusion sur les systèmes informatiques est l'utilisation de mots de passe faibles, souvent associée à une attaque de type «  password spray  ».


L'attaque de password spray est une technique où l’attaquant tente de se connecter à un grand nombre de comptes utilisateur avec quelques mots de passe couramment utilisés, tels que « password123 » ou « 123456 ».

Si les mots de passe sont faibles, l'attaquant peut réussir à compromettre plusieurs comptes, en utilisant les mêmes mots de passe pour plusieurs utilisateurs.


Cette vulnérabilité est courante car de nombreuses organisations ne mettent pas en place de politiques de gestion de mots de passe solides, ce qui permet aux utilisateurs d'utiliser des mots de passe faibles ou faciles à deviner.

Cela peut être dû à un manque de sensibilisation à la sécurité, à une gestion inefficace des politiques de mots de passe, ou à un manque de contrôles de sécurité appropriés.


Pour se protéger contre cette vulnérabilité, il est essentiel de mettre en œuvre des politiques de gestion de mots de passe solides, qui incluent la nécessité d'utiliser des mots de passe complexes, de les changer régulièrement et de ne pas réutiliser les mêmes mots de passe sur plusieurs comptes.

Il est également important de surveiller les tentatives de connexion suspectes et d'appliquer les correctifs de sécurité appropriés pour prévenir les attaques de password spray et autres attaques similaires.

La sensibilisation à la sécurité et la formation des utilisateurs sur les bonnes pratiques de gestion des mots de passe sont également des mesures importantes pour renforcer la sécurité d'une entreprise. 

Sais-tu quelle est la plus grosse rançon demandée/reçue sur les dernières années ?

Les informations concernant les demandes de rançon et les paiements effectués restent compliquées à trouver. Néanmoins une des plus grosses rançons connue sur les années 2021/2022 a été demandée à la société de collecte de poubelles Trafford Amey PLC, pour un montant de 2 milliards de dollars. Le montant payé (ou non) par la société n’a quant à lui pas été révélé. Les données volées qui ont fuitées contenaient entre autres des contrats, des passeports et des détails financiers. 

Le géant des ordinateurs Acer a lui aussi été frappé par une attaque au ransomware , et s’est vu demander 50 millions de dollars. La société a proposé 10 millions au groupe de hackers REvil Ransomware, mais ces derniers ont refusé la proposition. Les informations récupérées contiennent des documents financiers, et des échanges avec des banques.

Il a également été révélé que la société allemande Chemical Distribution a dû régler la somme de 4,4 millions de dollars sur les 7,5 millions de la rançon au groupe DarkSide Ransomware. 


(Source : Cyber Management Allia nce



Quels sont d’après toi le ou les pires comportements à adopter ?

La liste est à rallonge et a d’ailleurs tendance à s'agrandir avec le temps, mais voici mon top 4 :

  • un utilisateur du domaine qui est administrateur local, 
  • des mises à jour non réalisées, 
  • des mots de passe trop faibles, 
  • une mauvaise configuration des pare-feux. 


 D’ailleurs combien de temps faut-il en moyenne pour détecter que l’on a été “hacké” ?

Le délai entre une intrusion et sa détection est de 94 jours en moyenne. Plus ennuyeux, moins d'un quart (24 %) des incidents seulement sont identifiés par les services de cybersécurité des entreprises. 31 % des attaques sont identifiées à cause de leurs impacts directs, comme une interruption de service ou une fraude très visible. Pour en savoir plus, vous pouvez lire cet article qui est très intéressant sur le sujet : Entre 3 et 7 semaines pour se rétablir après une cyberattaqu e . 


Pour toi, quel est le “bon moment” pour faire un pentest ? 

Sans aucun doute : avant qu’il ne soit trop tard ! 

Il est essentiel de considérer la sécurité comme une priorité dès le début d'un projet. Cela signifie intégrer des référentiels de sécurité dès la phase d'initialisation du projet, tels que les bonnes pratiques de sécurité telles que l'OWASP Top Ten Project pour les applications web, ou les normes de sécurité telles que ISO 27001 pour les systèmes d'information. Cela permet de s'assurer que les exigences de sécurité sont prises en compte dès le départ et que les vulnérabilités potentielles sont identifiées et corrigées dès le début du processus.

De plus, il est recommandé de planifier des tests d'intrusion réguliers tout au long du cycle de vie d'un projet, et ce, avant la mise en production. Pour les applications web, des pentests réguliers, idéalement avant chaque mise en production, permettent de détecter les vulnérabilités éventuelles et de les corriger avant qu'elles ne soient exploitées par des attaquants. Pour l'infrastructure, il est recommandé d'avoir au minimum un pentest par an, voire deux si l'infrastructure évolue rapidement, pour détecter les vulnérabilités potentielles et renforcer la sécurité du système.

En intégrant la sécurité dès la conception et en planifiant des tests d'intrusion réguliers tout au long du cycle de vie d'un projet, on peut identifier et corriger les vulnérabilités avant qu'il ne soit trop tard, minimiser les risques de cyberattaques, protéger les données sensibles, et garantir la sécurité et la fiabilité des systèmes informatiques de l'organisation.


En conclusion, nous avons trop souvent observé que l’opinion publique pense que seules les grandes entités sont exposées aux risques cyber. Mais nous constatons, surtout depuis la crise sanitaire, que cette information est fausse. Toutes les entités, quelle que soit leur taille, devraient se soucier de la sécurité de leurs données. 

De façon générale, tout le monde devrait s’approprier ce sujet, se protéger et protéger ses données personnelles, devenues des informations très précieuses dont la valeur augmente avec le temps.

Ressources Agaetis

IoT Santé : Industrialisation d’un stylo connecté conforme HDS

4 septembre 2025
Le contexte du projet : Un prototype de stylo connecté destiné au secteur de la santé avait rencontré un vif succès auprès du marché. Face à une demande croissante, le client devait passer à une phase d’ industrialisation afin de répondre aux attentes tout en respectant les réglementations strictes en matière de données de santé ( Hébergement de Données de Santé – HDS ). L’objectifs : L’objectif principal était de transformer un prototype en solution industrialisée en : définissant les critères de sélection et les options technologiques, garantissant la conformité aux réglementations de santé, et assurant la montée en charge (scale-up) pour répondre à la demande croissante. Durée de mission : Mission en plusieurs phases : cadrage, tests techniques, mise en conformité et accompagnement au scale-up industriel. Mise en œuvre : Agaetis a déployé une approche complète combinant expertise IoT et réglementaire : Définition des critères de sélection : cadrage des besoins fonctionnels et techniques. Évaluation technologique : étude des solutions potentielles et tests de leur adéquation. Mise en conformité HDS : accompagnement dans la sélection de l’hébergement et structuration du modèle de données. Développement et industrialisation : assistance dans l’implémentation des composants techniques et préparation à la montée en charge. Résultats obtenus : Accélération de la production : industrialisation réussie permettant de répondre rapidement à la demande. Conformité assurée : solution alignée sur les exigences HDS et réglementations de santé. Innovation valorisée : passage du prototype au produit commercialisable sur le marché santé. Flexibilité opérationnelle : architecture et modèle de données prêts à évoluer avec les usages. Facteurs clés de succès : Expertise pointue en IoT santé et données réglementées . Approche sur mesure intégrant la dimension technique et humaine. Collaboration rapprochée avec les équipes du client. Vision orientée impact concret et mise sur le marché rapide. Et vous ? Vous vous interrogez sur : l’industrialisation de vos prototypes IoT santé, la conformité réglementaire (HDS, ISO, etc.) de vos solutions, ou la préparation de vos innovations pour passer du prototype au scale-up industriel ? 👉 Contactez nos experts pour transformer vos prototypes IoT en solutions santé industrialisées et conformes.

Industrie & IoT : Application de contrôle dimensionnel et qualité pour Ariane Group

par David Walter 4 septembre 2025
Le contexte du projet : Ariane Group souhaitait optimiser le temps de contrôle dimensionnel des réservoirs de son lanceur spatial. Les méthodes traditionnelles, longues et peu satisfaisantes, ralentissaient la production et augmentaient les risques d’erreurs. Le besoin était de développer une application de contrôle qualité et dimensionnel intégrant de nouveaux moyens de mesure plus rapides et précis. L’objectifs : L’objectif principal était de concevoir et déployer une application installée sur un PC concentrateur capable de : lancer différents programmes de contrôle dimensionnel, intégrer des technologies de mesure avancées (profilomètres lasers, trackers laser), et améliorer la précision et la répétabilité des contrôles. Durée de mission : Mission de plusieurs mois, de la conception logicielle à la formation des équipes, en passant par l’intégration et les tests. Mise en œuvre : Agaetis a déployé une approche technique et collaborative : Développement de l’application : architecture logicielle adaptée aux besoins d’intégration industrielle. Collecte et traitement des données : intégration des mesures issues des machines à commande numérique, trackers laser et profilomètres. Optimisation des processus : automatisation des contrôles pour gagner en rapidité et réduire les erreurs. Accompagnement & formation : transfert de compétences aux équipes internes pour assurer la continuité. Résultats obtenus : Temps de contrôle réduit : amélioration notable de la productivité. Précision accrue : fiabilisation des mesures grâce à l’intégration de nouvelles technologies. Réduction des erreurs : contrôles plus rapides et répétables. Compétences préservées : maintien de la connaissance technique dans l’organisation. Facteurs clés de succès : Expertise technique d’Agaetis en développement industriel et IoT . Grande flexibilité dans la collaboration avec Ariane Group. Intégration fluide des données issues de différents équipements. Approche orientée impact et résultats mesurables. Et vous ? Vous vous interrogez sur : l’optimisation de vos processus de contrôle industriel, l’intégration de nouvelles technologies de mesure, ou la digitalisation de vos applications qualité ? 👉 Contactez nos experts pour moderniser vos contrôles industriels et accroître votre performance opérationnelle.
Show More