SÉCURITÉ INFORMATIQUE

Intégrateur, Revendeur,  SSII, expert sécurité

L’équipe Audit de IT Services mobilise ses bases de connaissance et son savoir-faire unique pour évaluer le niveau de sécurité et la résistance des systèmes d’information de ses clients.

Nos objectifs :

  • Donner de la visibilité aux dirigeants sur la maturité et la performance de la sécurité de leur système d’information.
  • Protéger les applications et les ressources critiques du SI.
  • Inscrire les actions correctives en cohérence avec la réalité des menaces (fraudes, virus, DoS, etc.).
Audit de Conformité
Audit d’Architecture
Sécurité des Développements
Audit de Conformité

Les audits de conformité ont pour objectif de faire un état des lieux de la sécurité en s’appuyant sur des référentiels privés (ceux du client) ou publics (ARJEL, ISO 2700x, PCI-DSS, CRBFCFONB, SOX, etc.) :

– Audit de la conformité des mots de passe utilisateur et administrateur utilisé.
– Identification des utilisateurs ayant un mot de passe non conforme.
– Analyse des processus et du référentiel documentaire de l’organisation (PSSI, procédures, etc.)
– Mise en valeur des forces et des faiblesses de l’organisation
– Focus sur la conformité (LSF, CNIL, LCEN, etc.)
– Audit global du SI avec analyse des enjeux et des risques (vision organisationnelle et/ou technique)

Audit d’Architecture

Les audits d’architecture visent à établir un diagnostic technique du niveau de sécurité d’une infrastructure en procédant à une revue détaillée de la configuration de ses différents composants :

– Bilan de la sécurité d’applications et de ressources critiques (ERP, messagerie, annuaire, etc.)
– Évaluation de la robustesse d’un serveur web, d’un point d’accès Internet, d’une architecture de cloisonnement, d’une infrastructure ToIP, etc.
– Audit de conception d’une architecture
– AUDIT INTRUSIF / PENTEST / TESTS D’INTRUSION

Ce type d’audit répond à des exigences strictes de déontologie et de probité. Il peut être réalisé dans une logique de sensibilisation aux risques ou pour s’assurer du non régression du niveau de sécurité. Tout test intrusif peut être réalisé avec ou sans information préalable

– Tests d’intrusion depuis un point externe au SI (réseaux publics par exemple)
– Tests d’intrusion depuis un point interne du SI
– Cartographie des cibles potentielles d’attaques
– Tests avec informations applicatives (compte, profil, etc.)
– Tests intrusifs applicatifs : fuzzing, protection contre la rétro-ingénierie, etc.
– Tests de résistance aux malware
– Tests d’intrusion sur Smartphone et applications mobiles

Sécurité des Développements

Les vulnérabilités applicatives constituent aujourd’hui la principale source de défaillances, il est donc essentiel de sécuriser le code source des applications afin de les protéger d’attaques de plus en plus sophistiquées.

L’objectif consiste à identifier et à analyser d’un point de vue sécurité pour une application donnée, les faiblesses du code source et les techniques de développement mises en œuvre d’un point de vue sécurité

Revue de code : lister les vulnérabilités techniques du code source et établir les bonnes pratiques permettant de les corriger. À l’aide d’outils d’analyse statique de code, nous recherchons des vulnérabilités techniques telles que des injections SQL ou des Cross-Site Scripting.

Audit de code sécurité : vérifier que les spécifications techniques ont été implémentées dans les règles de l’art, et d’identifier les vulnérabilités applicatives exploitables. Nos équipes d’experts vérifient la présence de toutes les catégories de vulnérabilité, notamment :

Codes malveillants : Backdoor, bombe logique

– Vulnérabilités techniques : injections SQL, XSS, XXE, CSRF
– Gestion de l’authentification et des autorisations
– Traçabilité des actions
– Gestion des erreurs

MESURES & ORGANISATION

Demandez un Devis Gratuit

Parlez-nous de votre projet