Evaluation de la sécurité
Nous aidons les organisations de toutes tailles et de tous secteurs à identifier les vulnérabilités de leurs systèmes d’information et proposons des recommandations pragmatiques pour les aider à les corriger.
Test d'intrusion
Le test d’intrusion permet d’évaluer le niveau de sécurité d’un périmètre en utilisant les mêmes outils et méthodes qu’un véritable attaquant. Les scénarios suivants pourront être déroulés :
« Boîte noire »
L’auditeur dispose seulement de l’URL de l’application web.
Objectif : évaluer la robustesse de l’application vis-à-vis d’un attaquant inconnu ne disposant d’aucune information ou habilitation (ex: étanchéité des informations des clients).
« Boîte grise »
L’auditeur dispose de comptes utilisateurs représentatifs des usages réels.
Objectif : identifier les vulnérabilités qu’un utilisateur disposant d’un compte pourrait être en mesure d’exploiter(segmentation inter-utilisateur par exemple).
Nous réalisons ces tests d’intrusion selon les méthodologies OWASP et OSSTMM. Périmètres possibles : applications web et mobiles, clients lourds, réseaux internes, systèmes embarqués, IOT, …
Audit Cyber pour les PME et ETI
Cette préstation peut faire l'objet de subvention (diagnostic cybersécurité, Cyber PME)
Nous réalisons des évaluations globales du niveau de risque d’une structure basée sur une revue technique et organisationnelle du système d’information.
Sur la base de notre expérience, nous avons mis en place des offres ainsi qu’une méthodologie d'accompagnement spécifique adaptée aux problématiques de sécurité actuelles.
Red team
L’objectif d’un exercice redteam est de simuler un groupe d’attaquant souhaitant compromettre un système d’information en utilisant des moyens avancés (latéralisation, élévation de privilèges, …).
Récupération d’informations : la première phase consiste à récupérer un grand nombre d’information concernant l’organisation et le système d’information de l’entreprise.
Il s‘agit d‘analyser l'empreinte numérique de la cible, au travers de ses sélecteurs technique publiquement accessibles
Suite à l’obtention d’information, des outils dédiés à la prestation pourront être développés afin d’obtenir et maintenir un accès au réseau interne ou aux applications SaaS (Google workspace, Microsoft 365, ….)
Il s’agit notamment de développer de fausses pages d’authentification (phishing) et des outils malveillants pouvant être exécutés lors de la phase 3.
Des tentatives d’accès à des ressources confidentielles peuvent être réalisées à l’aide de comptes utilisateurs récupérés lors de campagnes de phishing ciblées.
En complément, des tentatives d’intrusion physique peuvent être réalisées en manipulant les agents d’accueil et en copiant des badges d’accès. Enfin, un accès au réseau WiFi depuis l’extérieur du bâtiment peut également être testé.
Différentes actions simulant un attaquant souhaitant garder un accès sur le réseau seront réalisées. Il s’agira notamment de créer un compte utilisateur, ouvrir des flux vers l’extérieur, supprimer les traces, etc.
Toutes nos prestations
Nos prestations sont qualifiées PASSI-RGS sur l'ensemble des portées d'audit.
Analyse de la construction d’une infrastructure vis-à-vis de ses besoins en sécurité et des bonnes pratiques
- Etude du dossier d’architecture technique et des schémas réseaux.
- Interview des opérationnels en charge du périmètre.
- Vérifications opérationnelles et relevés de configuration des éléments critiques de l’architecture.
Le choix de ces équipements sera réalisé conjointement lors de la réunion de lancement de la revue d’architecture.
2 Phases
Analyse complète du code source avec un outil automatisé.
Inspection manuelle des portions de code sensibles, ajoutant une perspective logique métier non accessible à une machine. Les zones telles que le système d'authentification, la gestion de session, les droits d'accès, et le traitement des formulaires sont particulièrement examinés.
Analyse de conformité de la configuration sécurité d’un équipement vis-à-vis d’un référentiel de bonnes pratiques.
Réalisée à partir d’une extraction de configuration, effectuée manuellement par l’administrateur ou de manière automatisée avec un script.
Déterminer si le niveau de durcissement actuellement en place est conforme à l’état de l’art ou à la politique de l’entreprise.
OWN réalise ses revues de configuration à partir des référentiels CIS, ANSSI, NIST ou interne à l’audité. Le choix du référentiel est validé conjointement lors de la réunion de lancement.
L’audit organisationnel a pour objectif d’identifier les écarts vis-à-vis d’un référentiel.
Nos audits organisationnels et physiques s’appuient généralement sur la norme internationale ISO/IEC 27002 Sécurité de l’information - Code de bonne pratique pour le management de la sécurité de l'information.
Cette norme présente un référentiel de 114 mesures de sécurités réparties sur plusieurs thématiques (voir liste ci-dessous) destinées à préserver la confidentialité, l’intégrité et la disponibilité d’un système d’information au sein d’une entreprise.
