30 jours de garantie

Audits de sécurité 

Nos audits de sécurité réalisés par des experts certifiés


Qu'est-ce qu'un audit de sécurité ?


Un audit de sécurité permet de compléter les tests d'intrusion en se focalisant sur des aspects techniques plus précis et surtout en fournissant des éléments dont les attaquants ne disposent normalement pas : le code source, la configuration système et réseau, de la documentation, etc. Ces prestations permettent de découvrir des failles de sécurité à fort impact mais difficilement identifiables en mode boîte noire.




Un audit de sécurité efficace, détaillé et complet


Les résultats liés à ces prestations permettent à SSL247® de vous fournir des recommandations précises (allant parfois jusqu'à vous fournir le patch correctif en cas d'audit de code source), mais aussi d'avoir un état précis de la sécurité applicative, système et réseau du périmètre testé.

À la fin du test, vous recevez un rapport complet et détaillé comprenant les commentaires de nos testeurs ainsi que des solutions afin de mitiger ou supprimer chaque risque détecté. Nos testeurs sont là pour vous accompagner et vous aider au mieux à exploiter les vulnérabilités de votre système d'information.

SSL247® propose différents audits de sécurité tels que :

  • 300x200

    L'audit de configuration

    Confronte le niveau de sécurité d’un environnement donné à l’état de l’art en termes de sécurité.

    En savoir plus

  • 300x200

    L'audit de code source

    Permet de déceler de manière quasi exhaustive les vulnérabilités d'une application.

    En savoir plus

  • 300x200

    L'audit d'architecture

    Audit complet et technique de l’architecture du système d’information.

    En savoir plus


Quelle prestation choisir pour votre entreprise ?

Nos experts ont créé spécialement pour vous un questionnaire sur-mesure afin de déterminer au mieux la prestation adaptée à vos besoins.




Les audits proposés par SSL247®




  • L'audit de configuration


Qu'est-ce qu'un audit de configuration ?


L’audit de configuration est la prestation la plus adaptée si vous souhaitez évaluer la sécurité liée à l’intégration d’un ou plusieurs serveurs, équipements réseau ou services particuliers de manière exhaustive.


Pourquoi réaliser un audit de configuration ?


42x42
Prérequis

Ce type d’audit nécessite la fourniture du code source et éventuellement une documentation du projet afin de donner toutes les informations nécessaires à l’auditeur. Des entretiens avec développeurs et architectes peuvent également être planifiés.

42x42
Une étude complète avec des recommandations concrètes à la clé

La revue comprend les éléments suivants :

  • Identification ciblée et exhaustive des écarts exposant la plate-forme à un risque de sécurité.
  • Evaluation du risque associé à chaque faiblesse identifiée (risque et impact sur la sécurité, complexité de l'attaque).
  • Création d'un plan d'assainissement pour améliorer le niveau de sécurité et les configurations. Il comprend des propositions précises et ciblées, adaptées à votre environnement.
42x42
Une méthodologie adaptable à tout type d’environnement

La méthodologie peut être adaptée à tout type d'environnement : serveur / poste de travail (Windows, Unix ...), serveurs de base de données, serveur d'applications, équipement de réseau (règles de filtrage), équipement de téléphonie (PABX, IPBX, SVI, ...), terminaux mobiles.

42x42
Durcissement et vérifications régulières possibles

Enfin, nos consultants sont en mesure de rédiger des guides de durcissement sécurité afin de fournir à vos équipes des bonnes pratiques à appliquer de manière précise sur tout type de technologie maîtrisée par SSL247®.

Il leur est également possible de développer des scripts de vérification régulière (compliance check) sur un périmètre large afin d’assurer la sécurité de ces configurations sur le long terme.

Les différentes étapes d'un audit de configuration

Effectués sur la base d'entretiens et de documentation technique, nos audits sont réalisés avec toute la visibilité nécessaire sur l'environnement en cours de revue (procédures de gestion, implémentations techniques, etc.).

La prestation se déroule en deux phases :

Phase 1 : Compréhension du contexte et de l’utilité de chaque élément

  • Ceci permet d’obtenir une vue globale par l’auditeur et ainsi d'obtenir des résultats adaptés au contexte
  • Cette phase comprend potentiellement une analyse de documentation et des entretiens avec les équipes techniques

Phase 2 : Analyse des vulnérabilités : tous les services de l'équipement sont vérifiés et chaque élément de configuration est analysé.

  • Les mises à jour de chaque service sont systématiquement vérifiées.
  • Une attention particulière sera accordée à tous les mécanismes de sécurité en place (chiffrement des données, analyse du système antiviral, etc.).

  • L'audit de code source


Qu'est-ce qu'un audit de code source ?


L'audit de code source est le service le plus complet qui peut être appliqué à une application donnée. Il peut détecter de manière exhaustive les vulnérabilités affectant une application en examinant le code source.

Pourquoi réaliser un audit de code source ?



42x42
Prérequis

Ce type d’audit nécessite la fourniture du code source et éventuellement une documentation du projet afin de donner toutes les informations nécessaires à l’auditeur. Des entretiens avec développeurs et architectes peuvent également être planifiés.

42x42
Une étude applicative en profondeur

Parmi les faiblesses identifiées, certaines sont décelables en mode boîte noire (lors d’un test d’intrusion applicatif notamment).
L’audit de code source permet d’aller plus loin en trouvant des points de faiblesses sur les mécanismes internes : manque de chiffrement, bonnes pratiques de développement, faiblesses d’authentification, traçabilité et journalisation, etc. La correction permet d’augmenter le niveau de sécurité général de l’application de manière significative.

42x42
Respect des réglementations

Si nécessaire, nous sommes également en mesure de valider le respect des réglementations en vigueur : règles imposées par PCI-DSS (chiffrement, etc.), exigences des autorités de régulation, respect des exigences juridiques pour les sites Web publics, etc.

42x42
Combinaison avec les tests d'intrusion

Enfin, nous pouvons réaliser un test d’intrusion applicatif complémentaire à ce type d’audit afin de combiner les deux approches et obtenir le résultat le plus complet possible.


  • L'audit d'architecture


Qu'est-ce qu'un audit d'architecture ?


L'audit d’architecture permet d’identifier des failles techniques globales sur votre système d’information, sur la base d’entretiens et de documentations.

Pourquoi réaliser un audit d'architecture ?


Cette revue technique consiste à effectuer une analyse accélérée et globale de l’architecture technique, sur la base des éléments documentaires fournis.


42x42
Identification des besoins et analyse de l’existant

Ceci est généralement réalisé via des entretiens avec les métiers, les équipes techniques (production et ingénierie) et organisationnelles (sécurité). Les besoins au niveau métier, organisationnel, technique et technologique seront analysés. Lors de ces réunions de travail, nous analysons les principales règles de conception du système d'information et les moyens de protection implémentés.

42x42
Réalisation d’un état des lieux

Analyse des résultats des tests techniques (dont les tests d’intrusion) et identification des risques majeurs associés à l’architecture actuelle.

42x42
Présentation des bonnes pratiques et retours d’expérience

Que ce soit en termes organisationnel (processus, stratégie), d’exploitation, d’administration de documentation et d’architecture, nous vous présentons les bonnes pratiques et retours d'expérience. Nous établissons également une synthèse des forces et faiblesses de votre architecture actuelle ainsi que des propositions d’axes d’amélioration. Enfin, nous définissons la cible retenue de l'évolution de l'architecture auditée, comprenant le chiffrage des améliorations à mettre en place (coûts financiers et humains).


Nos livrables détaillés et complets

À la fin du test, nous vous fournissons un rapport complet comprenant les résultats détaillés des tests effectués ainsi que des solutions adaptées et compréhensibles pour tous les départements de votre entreprise (management, administration, informatique, etc.).

 

Livrable_testd'intrusionSSL247


Ces prestations peuvent aussi vous intéresser :



Pourquoi choisir SSL247®?

SSL247® a plus de 12 ans d'expérience et d'expertise dans l'industrie de la sécurité web et possède de nombreuses accréditations telles que le EMEA Symantec Champion Award 2017 et la certification ISO 27001:2013.

De plus, nous possédons notre propre unité spécialisée dans l'évaluation de la sécurité, les tests d’intrusion et les audits de sécurité. Notre équipe est composée d'experts certifiés et reconnus dans le domaine de la sécurité informatique (OSCP, OSCE et OPST).


Contactez-nous

Pour plus d'informations sur les bénéfices d'un audit de sécurité pour votre entreprise, n'hésitez pas à contacter l'un de nos consultants accrédités pour une discussion sans aucun engagement :

null 03 66 72 95 95 
null sales@ssl247.fr 

Symantec

Le sceau Norton Secured Site est vu plus d'un demi milliard de fois par jour sur plus de 100 000 sites web répartis dans 170 pays, sur les résultats de recherche de certains navigateurs ainsi que sur les sites d'e-commerce partenaires. Quand les internautes voient le sceau de confiance Norton Secured Seal, ils sont moins enclins à abandonner leur transaction et plus favorables à commercer avec vous.

Certificats SSL

Nos partenariats
Nos accréditations
Notre sceau de confiance
Plan du site | Cookies | Légal
© 2017 . Tous droits réservés. SSL247 SARL est enregistrée au Registre du Commerce de Roubaix-Tourcoing - RCS 508308 079. | Tél : 03 66 72 95 95

Cookies SSL247® utilise des cookies pour vous fournir une expérience utilisateur transparente. Pour plus d'informations, veuillez lire nos Mentions Légales. Continuer