Pentest

Postez ici vos suggestions et demandes d'améliorations.
Répondre
fwalle
Messages : 6
Enregistré le : 10 janv. 2020 09:54
Etablissement : GHT 01 -Ch bourg en bresse
Fonction : RSSI
DPO / DPD : Non

Pentest

Message par fwalle » 09 sept. 2021 10:43

Pour ceux qui veulent se faire peur !!

J’ai réalisé sur 2 établissement de mon GHT un Pentest dit du "stagiaire"

Premier jour de stage pour mon stagiaire je lui ait fourni un bloc note et un crayon,
Les consignes étaient les suivantes :

Tu déambule dans l'établissement et tu entre dans les bureaux que tu trouves, tu prétexte une vérification sur l'ordinateur.
Le tout sans moyen de prouver qu'il fait partie de l'établissement, et en donnant le moins d'info possible. (il disposait juste d’un moyen de me joindre si la situation devenait compliquée)

Résultat en 2 jours sur deux établissement :

Plus de 100 postes visités sans qu'on lui ait demandé ne serait-ce que son nom.
Accès a beaucoup de logiciels métiers
Et seulement 8 demande au service informatique pour validation !!!
Et des comportements surprenants des utilisateur, type on a voulu lui confier du matériel à retourner au service info, et autres joyeuseté du genre.

Avez-vous déjà fait quelque chose du même type ?
Quels ont été vos résultats ?
Quelles actions avez-vous lancées suite à cela ?

J'avais déjà plus beaucoup de cheveux mais là j'en ai perdus encore quelques-uns et les responsable Sécurité (des bâtiments) aussi en cette période Vigipirate et de contrôle sanitaire
Fwalle
GHT01

Gérard
Messages : 82
Enregistré le : 03 oct. 2016 11:00
Etablissement : LNA-Santé
Fonction : RSSI
DPO / DPD : Oui

Re: Pentest

Message par Gérard » 09 sept. 2021 12:00

Perso moi, ça fait longtemps que je n'ai plus de cheveux :D
Je ne suis malheureusement pas du tout étonné du résultat, pour moi il faut sensibiliser, sensibiliser et encore sensibiliser c'est la seule barrière efficace contre l'ingénierie sociale dont un certain Kevin Mitnick était spécialiste. Pour commencer un REX de votre test à tous le personnel serait un bon début de sensibilisation.

La meilleure protection reste encore notre cerveau ;)

Cerveau.jpg

P.S: J'aime aussi beaucoup la technique de l'échelle https://www.youtube.com/watch?v=NiEMcjSQOzg
Vous n’avez pas les permissions nécessaires pour voir les fichiers joints à ce message.

Avatar du membre
charles
Administrateur du site
Messages : 5658
Enregistré le : 06 avr. 2015 09:02
Etablissement : CH Moulins Yzeure
Fonction : RSSI
DPO / DPD : Non
Site Internet de l'établissement : https://www.ch-moulins-yzeure.fr/
Site Internet personnel ou blog : https://www.forum-sih.fr
Contact :

Re: Pentest

Message par charles » 12 sept. 2021 10:57

Contenu caché
Vous devez être inscrit et connecté sur ce forum pour voir le contenu caché.

theofrast
Messages : 2
Enregistré le : 08 sept. 2021 08:17
Etablissement : Centre Eugene Marquis
Fonction : Technicien SI
DPO / DPD : Non

Re: Pentest

Message par theofrast » 13 sept. 2021 08:29

Bonjour,

Je valide. A chaque arrivée dans un nouvel établissement, lors de mes premières interventions auprès des utilisateur.trices peu de question ou de vérification quant à mon mon identité ou de mon appartenance à la DSI. (même en box de consultation avec patient ! ), on me laisse piannoter à ma guise dans le DPI si c'est sous couvert de corriger un soucis d'exploitation :)

Ca me rappel cette vidéo de deux gus en bleu de travail qui se trimballent une échelle. Les gars rentrent partout en se faisant ouvrir les portes sans qu'on leur pose la moindre question genre cinema etc..
EDIT, je vois que ça a déjà été évoqué :D

Il y a aussi quelque chose d'un peu social à mon sens dans ce premier abord, si le stagiaire en question n'était ni avenant ni "sympas" ça soulèverai d'entrée de jeux + de doutes, en tout cas je l'espère.

J'ai même le souvenir d'une cheffe de service qui me communique son mot de passe AD d'entrée de jeu parce qu'elle voulait aller prendre un café, pour que je puisse régler un truc "user-dependent".

moi : "vous ne voulez pas vérifier que je suis bien du service info ?"
elle: " je veux juste qu'on me règle mon soucis"

et pour certaines population c'est compliqué de sensibiliser sur ces aspects sans qu'il.elle ai l'impression qu'on le.la prenne de haut.

Répondre

Retourner vers « Suggestions / Améliorations »