Audit

Audit d’exposition

 

L’objectif est de définir la surface d’attaque d’une entreprise, constituée principalement de tous les éléments de son système d’information exposés sur internet.

La cartographie du périmètre (nom d’entreprise, noms de domaine, adresses IP) s’effectuera par des recherches passives, c’est-à-dire en utilisant uniquement des sources publiques sans interagir avec la cible, et par des recherches actives en interrogeant directement les actifs exposés sur internet.

Le but est de récupérer des informations techniques (noms de domaine, adresses IP, technologies utilisées, fuites de données sensibles, etc.) et organisationnelles sur l’entreprise (noms/prénoms et adresses mail des employés, adresse des locaux, structure de l’entreprise, prestataires, fournisseurs, etc..).

Le résultat de l’audit est fourni dans un rapport récapitulant l’ensemble des informations récoltées durant l’audit sur l’entreprise.

Cette prestation peut être le point de départ d’un audit de sécurité car il permet de définir le périmètre du système d’information exposé sur internet.

Test d’intrusion externe

 

Le test d’intrusion externe va évaluer la robustesse d’une plateforme (serveurs, noms de domaine, plage adresses IP, etc.) en identifiant et qualifiant les vulnérabilités dans le cadre d’une attaque ciblée.

La méthodologie suivie par l’auditeur s’appuie sur les référentiels de l’OWASP (Open Web Application Security Project) Testing Guide et du PTES (Penetration Testing Execution Standard).

Le résultat de l’audit est fourni dans un rapport comprenant les parties suivantes :

  • Synthèse destinée à la direction.
  • Plan d’action correctif des vulnérabilités en fonction de leur criticité, de leur impact et de leur complexité de mise en œuvre.
  • Détails techniques de chaque vulnérabilité identifiée avec les recommandations de correction associées.

Test d’intrusion applicatif

 

Le test d’intrusion applicatif permet de définir le niveau de sécurité d’une application (web, métier, etc..) face aux menaces référencées dans le Top 10 de l’OWASP (Open Web Application Security Projet).

La prestation peut être proposée :
En boîte noire : Le consultant ne dispose pas d’identifiants de connexion et d’informations techniques sur la cible ;
En boîte grise : Le consultant dispose des identifiants de connexion à l’application et contrôle également les fonctionnalités à disposition d’un utilisateur authentifié.

Les tests peuvent s’effectuer à distance, ou depuis le réseau interne de l’entreprise.

Durant la prestation, de nombreux tests manuels seront réalisés afin de rechercher des failles logiques permettant de contourner un processus ou une fonctionnalité de l’application.

Le résultat de l’audit est fourni dans un rapport comprenant les parties suivantes :
• Synthèse destinée à la direction.
• Plan d’action correctif des vulnérabilités en fonction de leur criticité, de leur impact et de leur complexité de mise en œuvre.
• Détails techniques de chaque vulnérabilité identifiée avec les recommandations de correction associées.

Test d’intrusion interne

 

L’auditeur, durant un test d’intrusion interne, va simuler des actes malveillants qui pourraient être commis par un tiers connecté au réseau interne du système d’information de l’entreprise.

 Le profil de cette personne peut être :

  • Un consultant externe travaillant dans les locaux de l’entreprise avec son propre matériel connecté au réseau local ;
  • Un stagiaire utilisant le matériel de l’entreprise avec des droits restreints ;
  • Un utilisateur malintentionné.

L’auditeur cherchera des faiblesses dans le système d’information pour élever ses privilèges et ainsi récupérer des données sensibles de l’entreprise (données métiers, factures, fiches de paie, etc.).

Le résultat de l’audit est fourni dans un rapport comprenant les parties suivantes :

  • Synthèse destinée à la direction.
  • Plan d’action correctif des vulnérabilités en fonction de leur criticité, de leur impact et de leur complexité de mise en œuvre.
  • Détails techniques de chaque vulnérabilité identifiée avec les recommandations de correction associées.
  • Scénarios d’intrusion.

 

Test d’intrusion wifi

 

L’objectif est d’analyser et définir, avec ou sans identifiants de connexion, le niveau de sécurité du réseau non filaire.

Le niveau de chiffrement du réseau Wi-Fi, les possibilités de contournement de ses restrictions, ainsi que le cloisonnement entre les différents réseaux Wi-Fi seront étudiés.

Le résultat de l’audit est fourni dans un rapport comprenant les parties suivantes :

  • Synthèse destinée à la direction.
  • Plan d’action correctif des vulnérabilités en fonction de leur criticité, de leur impact et de leur complexité de mise en œuvre.
  • Détails techniques de chaque vulnérabilité identifiée avec les recommandations de correction associées.

Cette prestation peut être réalisée en complément d’un test d’intrusion interne.

 

Test d’intrusion mobile

 

Le test d’intrusion mobile va permettre d’évaluer le niveau de sécurité d’une application mobile Android ou IOS.

Pour cela, l’application ainsi que les serveurs en interaction avec celle-ci seront étudiés dans le but d’identifier et de qualifier les vulnérabilités.

Les tests se focaliseront notamment sur le stockage des données, les échanges entre les serveurs et l’application, le code source ainsi que les configurations de sécurité mises en place.

Le résultat de l’audit est fourni dans un rapport comprenant les parties suivantes :

  • Synthèse destinée à la direction.
  • Plan d’action correctif des vulnérabilités en fonction de leur criticité, de leur impact et de leur complexité de mise en œuvre.
  • Détails techniques de chaque vulnérabilité identifiée avec les recommandations de correction associées.

 

Ingénierie sociale

 

L’objectif est d’évaluer le niveau de maturité des employés face à la menace et avoir une vision réaliste du risque lié à l’hameçonnage (phishing) au sein de l’entreprise.

Selon le scénario défini (téléchargement de pièce jointe malveillante, faux formulaires de changement de mot de passe, clé USB vérolée, etc..), la vigilance des utilisateurs est confrontée aux méthodes d’hameçonnage réellement pratiquées par des attaquants.

Les résultats de la prestation permettent de réduire les risques et de sensibiliser les employés à détecter ce type d’attaque et à y réagir correctement.

Le livrable, récapitulant le scénario choisi ainsi qu’une synthèse des résultats, est fourni à la fin de la prestation.

 

Scan de vulnérabilités

 

Le scan de vulnérabilités effectue un état des lieux d’une application en identifiant les vulnérabilités à l’aide d’outils automatisés.

Ces outils utilisent une base de données quotidiennement mise à jour qui contient les vulnérabilités connues et les problèmes de sécurité courants.

Les tests étant automatiques, ils peuvent être planifiés à des heures précises, favorisant la mise en place d’un diagnostic récurrent d’une application.

Le résultat de l’audit est fourni dans un rapport comprenant une synthèse ainsi que le détail technique des vulnérabilités identifiées.

 

Audit de configuration

 

L’audit de configuration permet d’évaluer la conformité des paramètres de sécurité de logiciels, matériels ou systèmes d’exploitation.

Le but est de confronter le paramétrage d’un équipement aux critères de sécurité basés sur les normes constructeurs ou standards de sécurité afin d’identifier les risques liés aux défauts de configuration sur le système d’information.

L’audit de configuration s’adresse à tout organisme souhaitant évaluer la conformité de sa configuration vis-à-vis des bonnes pratiques et standards de sécurité.

Le livrable, récapitulant le périmètre audité avec des indicateurs de conformité, est fourni à la fin de la prestation.