Évaluez vos systèmes d’information : tests d’intrusion, architecture, configuration...
Nous vous proposons un accompagnement sur mesure pour auditer, évaluer et améliorer le niveau de sécurité technique de vos systèmes d’information.
Réaliser des tests d’intrusion
Le test d’intrusion est une intervention manuelle réalisée par des consultants spécialisés, avec pour objectif de détecter les vulnérabilités du système d’information en imitant les comportements et techniques des attaquants.
Il peut être réalisé aux niveaux applicatif, réseau et système, en utilisant les réseaux internes ou externes et selon plusieurs méthodes :
- en boîte noire, sans information ni identifiant de connexion préalablement communiqués par le client,
- en boîte grise, avec des identifiants de connexion et l’ensemble de la documentation technique disponible,
- en boîte blanche, avec l’exhaustivité des informations disponibles, permettant ainsi une recherche approfondie des vulnérabilités.
Le test d’intrusion permet d’évaluer le niveau global de sécurité du système d’information et de proposer des solutions de correction des vulnérabilités.
Lors d’un test d’intrusion, nos experts en cybersécurité se basent sur des guides de bonnes pratiques comme OWASP et PTES.
Réaliser des audits d’architecture et de configuration
L’audit d’architecture permet d’analyser l’ensemble des actifs d’un système d’information afin d’en évaluer le niveau de robustesse, en analysant les besoins en sécurité et les différents dispositifs de sécurité implémentés.
Alors que l’audit d’architecture prend en compte l’ensemble du système, l’audit de configuration se concentre sur une brique, une technologie pour auditer en profondeur la configuration d’un équipement clef.
L’objectif étant d’identifier si l’information est correctement protégée et accessible en fonction des usages et des besoins, nous auditons les technologies employées, les modes d’authentification et d’administration utilisés, ainsi que les usecases métiers pour remonter des vulnérabilités et proposer des évolutions le cas échéant.
Nos experts utilisent notamment les guides de bonnes pratiques de l’ANSSI, la norme ISO 42010, ainsi que le standard TOGAF pour réaliser ces audits basés sur les bonnes pratiques du secteur.
Réaliser des audits de code
Vous réalisez des tests d’intrusion régulièrement sur vos applications mais souhaitez aller plus loin dans la démarche ?
Deux solutions :
- nous réalisons des audits de code source d’applications, en nous basant sur des outils SAST (Static Application Security Testing) et en comprenant les workflows métiers pour identifier des vulnérabilités relatives à la sécurité de l’information ;
- nous vous accompagnons dans la mise en œuvre d’un processus de revue de code dans vos chaînes CI/CD afin d’intégrer ces tests de manière native dans les livraisons et mises en production.
Réaliser des tests d’intrusion en Red Team
Contrairement au test d’intrusion qui vise à évaluer une partie bien spécifique du système d’information, le test d’intrusion en Red Team a pour objectif de tester l’ensemble des dispositifs de cybersécurité de votre entreprise ou d’une partie de votre structure, en communiquant le moins d’informations possible aux attaquants.
A contrario, les collaborateurs ne sont également que très peu prévenus : l’un des objectifs du test en red team est de pénétrer le système d’information par tous les moyens acceptables possibles, le second objectif est en revanche de tester les méthodes de détection et de réaction implémentées sur le SI.
Nos collaborateurs intervenant sur ces types de tests possèdent les qualifications et/ou certifications suivantes :
Découvrez la formation associée
Devenir Lead Ethical HackerQuelle que soit votre interrogation sur une problématique de cybersécurité, nous sommes à votre écoute.
Contactez-nous !