Evaluation de la sécurité

Evaluation de la sécurité

Nous aidons les organisations de toutes tailles et de tous secteurs à identifier les vulnérabilités de leurs systèmes d’information et proposons des recommandations pragmatiques pour les aider à les corriger.

Je suis intéressé par cette offre

Test d'intrusion

Le test d’intrusion permet d’évaluer le niveau de sécurité d’un périmètre en utilisant les mêmes outils et méthodes qu’un véritable attaquant. Les scénarios suivants pourront être déroulés :

« Boîte noire »

L’auditeur dispose seulement de l’URL de l’application web.

Objectif : évaluer la robustesse de l’application vis-à-vis d’un attaquant inconnu ne disposant d’aucune information ou habilitation (ex: étanchéité des informations des clients).

« Boîte grise »

L’auditeur dispose de comptes utilisateurs représentatifs des usages réels.

Objectif : identifier les vulnérabilités qu’un utilisateur disposant d’un compte pourrait être en mesure d’exploiter(segmentation inter-utilisateur par exemple).

Nous réalisons ces tests d’intrusion selon les méthodologies OWASP et OSSTMM. Périmètres possibles : applications web et mobiles, clients lourds, réseaux internes, systèmes embarqués, IOT, …

Accompagnement RED TEAM pour la réglementation DORA

Vous êtes une entité financière ou prestataire d'une entité financière ? La règlementation DORA vous impose
de faire des test d'intrusion fondés sur la menace : Threat-Led Penetration Test (TLPT).

Le Red Team est construit à partir du travail réalisé par l'équipe Threat Intelligenceet s'appuie sur les scénarios proposées.
Cet exercice cible les processus, les systèmes en production et le personnel de l'entité audité.

L'équipe Red Team respecte les exigences de la réglementation DORA.

En savoir plus sur DORA

Audit Cyber pour les PME et ETI

Cette préstation peut faire l'objet de subvention (diagnostic cybersécurité, Cyber PME)

Nous réalisons des évaluations globales du niveau de risque d’une structure basée sur une revue technique et organisationnelle du système d’information.


Sur la base de notre expérience, nous avons mis en place des offres ainsi qu’une méthodologie d'accompagnement spécifique adaptée aux problématiques de sécurité actuelles.

Parler à un expert

Red Team

L’objectif d’un exercice Red Team est de simuler un groupe d’attaquant souhaitant compromettre un système d’information en utilisant des moyens avancés (latéralisation, élévation de privilèges, …).

Contacter un expert

Récupération d’informations : la première phase consiste à récupérer un grand nombre d’information concernant l’organisation et le système d’information de l’entreprise.

Il s‘agit d‘analyser l'empreinte numérique de la cible, au travers de ses sélecteurs technique publiquement accessibles

Adresse IPv4/v6
ASN
Hash
Nom de domaine
Sous Domaine
FQDN
MX
NS
Adresse électronique
Numéro de téléphone
Adresse MAC
SSID
BSSID
Raison Sociale
SIREN
SIRET
KBIS
B-U-N-S
Favicon
AdSense
GA4
Pseudo
Cryptoactif
Log
Métadonnées

Suite à l’obtention d’information, des outils dédiés à la prestation pourront être développés afin d’obtenir et maintenir un accès au réseau interne ou aux applications SaaS (Google workspace, Microsoft 365, ….)

Il s’agit notamment de développer de fausses pages d’authentification (phishing) et des outils malveillants pouvant être exécutés lors de la phase 3.

Des tentatives d’accès à des ressources confidentielles peuvent être réalisées à l’aide de comptes utilisateurs récupérés lors de campagnes de phishing ciblées.

En complément, des tentatives d’intrusion physique peuvent être réalisées en manipulant les agents d’accueil et en copiant des badges d’accès. Enfin, un accès au réseau WiFi depuis l’extérieur du bâtiment peut également être testé.

Différentes actions simulant un attaquant souhaitant garder un accès sur le réseau seront réalisées. Il s’agira notamment de créer un compte utilisateur, ouvrir des flux vers l’extérieur, supprimer les traces, etc.

Toutes nos prestations

Nos prestations sont qualifiées PASSI-RGS sur l'ensemble des portées d'audit.

Analyse de la construction d’une infrastructure vis-à-vis de ses besoins en sécurité et des bonnes pratiques

Cet exercice suivra les étapes suivantes :
  • Etude du dossier d’architecture technique et des schémas réseaux.
  • Interview des opérationnels en charge du périmètre.
  • Vérifications opérationnelles et relevés de configuration des éléments critiques de l’architecture.

Le choix de ces équipements sera réalisé conjointement lors de la réunion de lancement de la revue d’architecture.

Exemple de périmètres : PAI, PRC, Interconnexion cloud, Citrix…

2 Phases

Revue Automatisée

Analyse complète du code source avec un outil automatisé.

Revue Manuelle

Inspection manuelle des portions de code sensibles, ajoutant une perspective logique métier non accessible à une machine. Les zones telles que le système d'authentification, la gestion de session, les droits d'accès, et le traitement des formulaires sont particulièrement examinés.

Fonctionnalités clés
La revue manuelle se concentre sur des fonctionnalités cruciales telles que le système d'authentification, la gestion de session, les droits d'accès, et le traitement des formulaires.
Norme OWASP
Les revues de code sont réalisées conformément au référentiel OWASP, assurant une approche alignée sur les meilleures pratiques de sécurité.

Analyse de conformité de la configuration sécurité d’un équipement vis-à-vis d’un référentiel de bonnes pratiques.

Réalisation

Réalisée à partir d’une extraction de configuration, effectuée manuellement par l’administrateur ou de manière automatisée avec un script.

Objectifs

Déterminer si le niveau de durcissement actuellement en place est conforme à l’état de l’art ou à la politique de l’entreprise.

Référentiel

OWN réalise ses revues de configuration à partir des référentiels CIS, ANSSI, NIST ou interne à l’audité. Le choix du référentiel est validé conjointement lors de la réunion de lancement.

Exemple d’éléments à auditer : pare-feu, socle serveur, serveur d’application, serveur de base de données…

L’audit organisationnel a pour objectif d’identifier les écarts vis-à-vis d’un référentiel.

Norme internationale ISO/IEC 27002

Nos audits organisationnels et physiques s’appuient généralement sur la norme internationale ISO/IEC 27002 Sécurité de l’information - Code de bonne pratique pour le management de la sécurité de l'information.

Cette norme présente un référentiel de 114 mesures de sécurités réparties sur plusieurs thématiques (voir liste ci-dessous) destinées à préserver la confidentialité, l’intégrité et la disponibilité d’un système d’information au sein d’une entreprise.

Your OWN cyber expert.