Audits de sécurité

Qu'est-ce qu'un audit de sécurité ?


Un audit de sécurité permet de compléter les tests d'intrusion en se focalisant sur des aspects techniques plus précis et surtout en fournissant des éléments dont les attaquants ne disposent normalement pas : le code source, la configuration système et réseau, de la documentation, etc. Ces prestations permettent de découvrir des failles de sécurité à fort impact mais difficilement identifiables en mode boîte noire.




Un audit de sécurité efficace, détaillé et complet

Les résultats liés à ces prestations permettent à SSL247® de vous fournir des recommandations précises (allant parfois jusqu'à vous fournir le patch correctif en cas d'audit de code source), mais aussi d'avoir un état précis de la sécurité applicative, système et réseau du périmètre testé.

Les résultats liés à ces prestations permettent à SSL247® de vous fournir des recommandations précises (allant parfois jusqu'à vous fournir le patch correctif en cas d'audit de code source), mais aussi d'avoir un état précis de la sécurité applicative, système et réseau du périmètre testé.



SSL247® propose différents audits de sécurité tels que :



L'audit de configuration

Confronte le niveau de sécurité d’un environnement donné à l’état de l’art en termes de sécurité.

L'audit de code source

Permet de déceler de manière quasi exhaustive les vulnérabilités d'une application.

L'audit d'architecture

Audit complet et technique de l’architecture du système d’information.



Quelle prestation choisir pour votre entreprise ?

Nos experts ont créé spécialement pour vous un questionnaire sur-mesure afin de déterminer au mieux la prestation adaptée à vos besoins.



Les audits proposés par SSL247®

L'audit de configuration


L’audit de configuration est la prestation la plus adaptée si vous souhaitez évaluer la sécurité liée à l’intégration d’un ou plusieurs serveurs, équipements réseau ou services particuliers de manière exhaustive.

42x42
Prérequis

Ce type d’audit nécessite la fourniture du code source et éventuellement une documentation du projet afin de donner toutes les informations nécessaires à l’auditeur. Des entretiens avec développeurs et architectes peuvent également être planifiés.

42x42
Une étude complète avec des recommandations concrètes à la clé

La revue comprend les éléments suivants :

  • Identification ciblée et exhaustive des écarts exposant la plate-forme à un risque de sécurité.
  • Evaluation du risque associé à chaque faiblesse identifiée (risque et impact sur la sécurité, complexité de l'attaque).
  • Création d'un plan d'assainissement pour améliorer le niveau de sécurité et les configurations. Il comprend des propositions précises et ciblées, adaptées à votre environnement.
42x42
Une méthodologie adaptable à tout type d’environnement

La méthodologie peut être adaptée à tout type d'environnement : serveur / poste de travail (Windows, Unix ...), serveurs de base de données, serveur d'applications, équipement de réseau (règles de filtrage), équipement de téléphonie (PABX, IPBX, SVI, ...), terminaux mobiles.

42x42
Durcissement et vérifications régulières possibles

Enfin, nos consultants sont en mesure de rédiger des guides de durcissement sécurité afin de fournir à vos équipes des bonnes pratiques à appliquer de manière précise sur tout type de technologie maîtrisée par SSL247®.

Il leur est également possible de développer des scripts de vérification régulière (compliance check) sur un périmètre large afin d’assurer la sécurité de ces configurations sur le long terme.

Effectués sur la base d'entretiens et de documentation technique, nos audits sont réalisés avec toute la visibilité nécessaire sur l'environnement en cours de revue (procédures de gestion, implémentations techniques, etc.).

La prestation se déroule en deux phases :

Phase 1 : Compréhension du contexte et de l’utilité de chaque élément

  • Ceci permet d’obtenir une vue globale par l’auditeur et ainsi d'obtenir des résultats adaptés au contexte
  • Cette phase comprend potentiellement une analyse de documentation et des entretiens avec les équipes techniques

Phase 2 : Analyse des vulnérabilités : tous les services de l'équipement sont vérifiés et chaque élément de configuration est analysé.

  • Les mises à jour de chaque service sont systématiquement vérifiées.
  • Une attention particulière sera accordée à tous les mécanismes de sécurité en place (chiffrement des données, analyse du système antiviral, etc.).
 

L'audit de code source


L'audit de code source est le service le plus complet qui peut être appliqué à une application donnée. Il peut détecter de manière exhaustive les vulnérabilités affectant une application en examinant le code source.

42x42
Prérequis

Ce type d’audit nécessite la fourniture du code source et éventuellement une documentation du projet afin de donner toutes les informations nécessaires à l’auditeur. Des entretiens avec développeurs et architectes peuvent également être planifiés.

42x42
Une étude applicative en profondeur

Parmi les faiblesses identifiées, certaines sont décelables en mode boîte noire (lors d’un test d’intrusion applicatif notamment).
L’audit de code source permet d’aller plus loin en trouvant des points de faiblesses sur les mécanismes internes : manque de chiffrement, bonnes pratiques de développement, faiblesses d’authentification, traçabilité et journalisation, etc. La correction permet d’augmenter le niveau de sécurité général de l’application de manière significative.

42x42
Respect des réglementations

Si nécessaire, nous sommes également en mesure de valider le respect des réglementations en vigueur : règles imposées par PCI-DSS (chiffrement, etc.), exigences des autorités de régulation, respect des exigences juridiques pour les sites Web publics, etc.

42x42
Combinaison avec les tests d'intrusion

Enfin, nous pouvons réaliser un test d’intrusion applicatif complémentaire à ce type d’audit afin de combiner les deux approches et obtenir le résultat le plus complet possible.

 

L'audit d'architecture


L'audit d’architecture permet d’identifier des failles techniques globales sur votre système d’information, sur la base d’entretiens et de documentations.

Cette revue technique consiste à effectuer une analyse accélérée et globale de l’architecture technique, sur la base des éléments documentaires fournis.


42x42
Identification des besoins et analyse de l’existant

Ceci est généralement réalisé via des entretiens avec les métiers, les équipes techniques (production et ingénierie) et organisationnelles (sécurité). Les besoins au niveau métier, organisationnel, technique et technologique seront analysés. Lors de ces réunions de travail, nous analysons les principales règles de conception du système d'information et les moyens de protection implémentés.

42x42
Réalisation d’un état des lieux

Analyse des résultats des tests techniques (dont les tests d’intrusion) et identification des risques majeurs associés à l’architecture actuelle.

42x42
Présentation des bonnes pratiques et retours d’expérience

Que ce soit en termes organisationnel (processus, stratégie), d’exploitation, d’administration de documentation et d’architecture, nous vous présentons les bonnes pratiques et retours d'expérience. Nous établissons également une synthèse des forces et faiblesses de votre architecture actuelle ainsi que des propositions d’axes d’amélioration. Enfin, nous définissons la cible retenue de l'évolution de l'architecture auditée, comprenant le chiffrage des améliorations à mettre en place (coûts financiers et humains).

 


Nos livrables détaillés et complets

À la fin du test, nous vous fournissons un rapport complet comprenant les résultats détaillés des tests effectués ainsi que des solutions adaptées et compréhensibles pour tous les départements de votre entreprise (management, administration, informatique, etc.).

 

Rapport audit de sécurité






Pourquoi SSL247® ?

SSL247® a plus de 15 ans d'expérience et d'expertise dans l'industrie de la sécurité web et possède de nombreuses accréditations telles que l' EMEA Symantec Champion Award 2017 et la certification ISO 27001:2013.

Rapidité de notre équipe et flexibilité des solutions proposées

Des consultants dédiés et accrédités sont disponibles à tout moment de la journée par téléphone ou par e-mail. Ils seront à l'écoute de vos besoins pour vous fournir des solutions adaptées.

Compétences techniques solides

Nos auditeurs sont formés régulièrement par des organismes tiers et effectuent également une veille sécurité permanente pour vous proposer des solutions sur mesure et flexibles visant l’amélioration continue de votre sécurité.

Experts certifiés

En participant à des conférences sécurité dans le monde entier, nos experts sont au courant des dernières vulnérabilités et techniques d'attaques. Ils possèdent les certifications : OSCP (Offensive Security Certified Professional), OSCE (Offensive Security Certified Expert) et OPST (OSSTMM Professional Security Tester).



Contactez-nous

Pour plus d'informations sur les bénéfices d’une prestation d’évaluation de sécurité pour votre entreprise, n'hésitez pas à nous contacter :

03 66 72 95 95
sales@ssl247.fr