Un système d’information est vulnérable aux attaques informatiques internes ou externes. L’évolution de la menace se concrétise par des attaques de plus en plus ciblées et virulentes, avec des conséquences qui peuvent être vitales pour l’entreprise.
Les audits techniques et tests d’intrusion contribuent fortement à préparer l’entreprise à détecter et à gérer correctement une éventuelle attaque. Ils participent à l’amélioration, de façon significative, du niveau de sécurité du système d’information, parce qu’ils permettent un diagnostic sur l’état de la sécurité à un instant donné, mais également parce qu’ils mettent en évidence les dérives par rapport à un audit précédent ou à un référentiel de règles de sécurité. Ils sensibilisent et responsabilisent les administrateurs et les exploitants aux risques et aux règles de sécurité.
Domaines d’investigations
Audit organisationnel
Audit de l’organisation de la sécurité de l’infrastructure cible (procédures mises en place, mécanismes d’alerte, d’authentification et de réaction aux alertes de sécurité, ...).
Audit technique d’infrastructure
Audit technique interne d'architecture et de configuration de l'infrastructure réseau et des services de base (DNS, HTTP, SMTP, Active Directory, ...).
Audit de flux interne
Identification, surveillance et analyse des flux effectivement constatés au sein d'un réseau.
Audit technique applicatif
Audit technique interne d'architecture et de configuration des applicatifs métiers.
Audit de code pour compléter l’audit.
Tests d’intrusion externes ou internes
Tests intrusifs depuis Internet ou depuis le réseau du client portant sur l’applicatif ou sur l'infrastructure et les services de base, avec ou sans connaissance préalable de la cible.
Tests contre des serveurs hostiles
Tests vérifiant la robustesse des mesures de sécurité (cloisonnement, réaction des IDS, procédures de gestion des incidents,) vis à vis de l'utilisation de serveurs « hostiles » (serveurs internes ou externes contrôlés par l’auditeur).
Méthodologie
Cadrage
Définition du périmètre.
Validation de la démarche et des outils.
Reconnaissance
Découverte de la cible: étude des fonctionnalités, des points d’entrée, ...
Recherche de vulnérabilités
Vulnérabilités spécifiques au contexte de l’entreprise et de la cible.
Exploitation des vulnérabilités
Validation des vulnérabilités et étude du risque associé.
Recommandations
Formalisation du rapport d’audit et des recommandations, adaptées au contexte.
Assistance
Assistance et contrôle de la bonne mise en oeuvre des mesures de sécurité.
Les standards
SO/27002, RGS, PCI-DSS, ISO/15408, ...
Guides OWASP, ISSAF, OSSTMM, NSA, ...
Déontologie
Membre de la Fédération des Professionnels des Test Intrusifs (FPTI), nous appliquons les principes de :
