Expertise technique en sécurité informatique

Audit



icon_audit
Audit

A1. Test d’intrusion

Nos auditeurs réalisent des attaques informatiques maitrisées sur le système d’information audité. Ils simulent le comportement d’un pirate, d’un intrus, ou d’un collaborateur malveillant à différents niveaux de compétences. Les vulnérabilités découvertes sur le système d’information audité sont alors qualifiées et un plan d’actions correctives est élaboré.

Domaines d'intervention
  • Application web
  • Application lourde
  • Application mobile
  • Windows
  • Linux
  • AIX
  • Solaris
  • z/OS
  • AS/400
  • Active Directory
  • LDAP
  • Android
  • Wi-Fi
  • ToIP
  • Social Engineering
  • Phishing
  • Oracle
  • MS-SQL
  • MySQL
  • PostgreSQL
  • DB2
  • Firewall
  • Reverse-Proxy

A2. Audit de configuration

Nous analysons les configurations des dispositifs matériels et logiciels déployés dans le système d’information audité. Ces dispositifs peuvent notamment être des équipements réseau, des systèmes d’exploitation serveur ou client, des applications ou des produits de sécurité. Notre objectif est d’analyser la mise en œuvre technique des bonnes pratiques de sécurité afin de vérifier si elles sont conformes à l’état de l’art, aux contraintes réglementaires et légales, et aux exigences et règles internes de l’audité.

Domaines d'intervention
  • Windows
  • Linux
  • AIX
  • Solaris
  • AS/400
  • AD Microsoft
  • LDAP
  • Android
  • ToIP
  • Oracle
  • MS-SQL
  • MySQL
  • PostgreSQL
  • DB2
  • Firewall
  • Reverse-Proxy

A3. Audit d’architecture

En s’appuyant sur des analyses documentaires, des entretiens, et des relevés, nos auditeurs examinent tout ou partie de l’architecture d’un système d’information. Ils vérifient si le choix, le positionnement et à la mise en œuvre des dispositifs matériels et logiciels déployés sont conformes à l’état de l’art ainsi qu’aux exigences et règles internes de l’audité.

Exemples de points de contrôle
  • Administration à distance
  • Contrôle d’accès
  • Cryptographie
  • Gestion des habilitations
  • Protection contre l’intrusion
  • Renforcement des configurations
  • Cloisonnement réseau
  • Cloisonnement applicatif
  • Gestion des environnements de travail
  • Supervision et alertes
  • Gestion des événements
  • Application des mise à jour et correctifs

A4. Audit organisationnel et physique

Nous vérifions que les politiques et procédures définies pour assurer le maintien en conditions opérationnelles et de sécurité du système d’information audité sont conformes au besoin de notre client, à l’état de l’art et aux normes en vigueur. De même, nous vérifions que ces politiques et procédures complètent correctement les mesures techniques mises en place et qu’elles sont efficacement mises en pratique.

Exemples d'éléments couverts
  • Contrôle d’accès
  • Incendie
  • Salle serveur
  • Interconnexion
  • Accès distant
  • Bâtiments
  • Gestion du parc
  • Equipement mobile
  • Hébergement
  • Cycles de validation

A5. Audit de code source

Nos auditeurs analysent tout ou partie du code source audité (ou ses conditions de compilation ou d’exécution) dans le but d’y découvrir des vulnérabilités liées à de mauvaises pratiques de programmation ou à des erreurs de logique.

Language du code source
  • PHP
  • Javascript
  • C
  • C++
  • C#
  • Java
  • Python
  • Perl
  • Ruby
  • Bash
  • Objective-C

A6. Audit de domaine Microsoft

A l’aide d’un outil spécialement développé par nos soins, nos experts récoltent en quelques heures des indicateurs techniques pertinents permettant d’effectuer une analyse du niveau de sécurité globale de votre domaine. Cette analyse fine permet également de remonter des détails précis sur les failles de sécurité découvertes. Les livrables de ce type de mission comportent plusieurs volets : une vue stratégique montrant l’évolution des domaines au fil des analyses, une vue par domaine indiquant l’évolution de chaque indicateur, et une vue technique présentant le détail de chaque indicateur à des fins de corrections.

Données analysées
  • Comptes utilisateurs
  • Groupes utilisateurs
  • Mots de passe
  • Relations d’approbation
  • Politiques de sécurité
  • Stratégies
  • Serveurs
  • Postes client

A7. Audit d’exposition Internet

A l’aide d’outils spécialement développés par nos soins, nos experts recherchent sur internet la présence de services du système d’information audité. Notre analyse régulière d’internet permet de conserver la maitrise de sa surface d’exposition publique et donc d’anticiper sur les possibilités d’attaques externes. Les grands groupes possédant de nombreuses filiales sont particulièrement exposés au risque de mise en ligne de nouveaux services non déclarés ou de présence de vieux services oubliés.

Sources de données
  • Enregistrements DNS
  • Bases Whois
  • Moteurs de recherche
  • Certificats SSL
  • Services réseau
  • Domaines génériques