Notre méthodologie d'audit d'architecture

OBJECTIFS
  • Vérifier le choix et le positionnement des dispositifs de sécurité logiciels et matériels
  • Etudier leur conformité par rapport au besoin et à l'état de l'art en sécurité
  • Qualifier leur efficacité technique et leur couverture
  • Vérifier leur mise en application au sein du système d'information
ETAPES
  1. Collecte et analyse de la documentation
  2. Ex : DAT, Schémas réseaux, Matrice de flux métiers
  3. Interview des collaborateurs clés
  4. Ex : Responsable d'architecture, Administrateur réseau, Ingénieur sécurité
  5. Audit technique par échantillion
  6. Ex : extrait des règles de filtrage, scan réseau d'une zone vers une autre
Des entretiens techniques permettent aux collaborateurs de présenter des points spécifiques de l'architecture auditée.
Sujets abordés pendants les entretiens
  • Compréhension du schéma d'architecture
  • Découpage des zones de sécurité
  • Positionnement des équipements de sécurité
  • Mise en place des systèmes de détection contre l'intrusion
  • Résilience de l'architecture face aux attaques
  • Administration à distance légitime
  • Gestion des flux non-chiffrés
  • Mutualisation de zone ou de serveur
  • Gestion des flux entrants sur des zones backoffices
Quelques exemples de vulnérabilités remontées
  • Flux d'administration backoffice disponible depuis la DMZ
  • Contournements de parfeux possibles
  • Courcuit dans le réseau par attaque pivot
  • Saut de vlan disponible
  • Exposition de services vulnérables sans protection
  • Exploitation de flux non chiffrée
  • Absence de filtrage de flux sortant
  • éMthodes d'exfiltration par tunnel autorisées
Cette prestation vous intéresse ? Demandez-nous un devis !