Audit

Les audits de conformité consistent à évaluer la conformité des pratiques vis-à-vis des référentiels de sécurité du client, des référentiels règlementaires ou des pratiques généralement observées dans les organisations similaires, et à proposer des plans d’actions permettant de mettre progressivement en adéquation pratiques et référentiels, en couvrant l’ensemble du périmètre de l’audit (architecture, moyens, organisation, procédures, etc.).

Selon le champ d’audit ou le besoin formulé par le client, nos auditeurs prennent en compte les référentiels de sécurité promus par le client, les contraintes règlementaires, les procédures, les codes de conduite, les règles organisationnelles et techniques, les référentiels normatifs ISO 27001 (sécurité de l’information)  ou ISO 22301 (continuité d’activité) dans leurs versions les plus récentes comme base d’analyse.

Sur la base des exigences formalisées au sein de ces documents, et/ou sur la base du référentiel RISKILIENCE consolidé à partir de notre expérience des organisations similaires, nos auditeurs proposent le plan d’audit et les points à contrôler lors de l’audit.

L’objectif d’un audit technique est de réaliser un état des lieux de la prise en compte des bonnes pratiques de sécurité sur les composants techniques du système d’information, d’en identifier les vulnérabilités, évaluer leur criticité (et exploitabilité) et proposer les recommandations associées.

Les infrastructures techniques ou les applications déployées sur Internet et Intranet, interfaces du système d’information de l’entreprise, constituent des cibles privilégiées (tant par leur exposition que par leur sensibilité). Leurs vulnérabilités et faiblesses peuvent exposer l’organisme à des risques opérationnels, juridiques, ou d’image critiques.

Dans une démarche de détection proactive des vulnérabilités, RISKILIENCE propose des missions d’audit d’infrastructure et missions d’assistance aux recettes applicatives et de validation sous l’angle de la sécurité des applications.

Ces prestations se basent sur l’expérience des auditeurs et sur des méthodologies éprouvées (OWASP, OSSTM). Cette approche permet de couvrir des domaines techniques tels que la récolte d’informations, le contrôle de l’infrastructure, le contrôle du système d’authentification, la gestion des sessions, le contrôle des autorisations, les fonctionnalités métiers et aspects techniques (AJAX, Web Services, Injections)

Nos équipes savent inscrire ces audits et leurs résultats dans votre démarche interne d’appréciation et de gestion des risques.

Les tests d’intrusions sont particulièrement bien adaptés pour mettre à l’épreuve la sécurité d’un environnement et qualifier sa résistance à un certain niveau d’attaque déterminé. Ils permettent également de sensibiliser de manière très pragmatique les acteurs (décideurs, administrateurs, etc.) au sein de l’entreprise ciblée en démontrant la réalité d’une attaque.

Selon l’objectif du client, les tests sont conduits au travers de différentes approches pour servir différentes finalités :

Résistance au déni de service : il s’agit de recueillir des vulnérabilités aux attaques par déni de service sur les matériels actifs du réseau. Une fois ces vulnérabilités analysées, une exploitation a lieu en injectant du code, ou en utilisant les outils appropriés. Le but étant d’analyser les possibilités de rendre indisponible la machine, et donc de créer des perturbations sur le SI de l’entreprise.
Résistance à la prise de contrôle d’un matériel à distance : il s’agit de recueillir des vulnérabilités sur les matériels sensibles de l’entreprise ou sur des matériels actifs. L’exploitation de ces vulnérabilités permet de prendre le contrôle du matériel directement ou par rebond. Une fois la machine sous le contrôle de l’attaquant, ce dernier peut tenter de prendre le contrôle d’une autre machine plus sensible ou réaliser de nombreuses autres actions.
Résistance à l’espionnage : il s’agit de recueillir des vulnérabilités sur les matériels ainsi que sur les protocoles de transport de l’information. Lors de l’exploitation de ces vulnérabilités, on tente d’intercepter du trafic sur le SI interne ou d’accéder à des informations stockées sur des matériels spécifiques.
Résistance à l’altération des données métiers : il s’agit de recueillir des vulnérabilités sur des bases de données ou sur des supports de stockage. L’exploitation de ces vulnérabilités a pour but d’illustrer la possibilité de modifier ou de supprimer des données du SI de l’entreprise.
Résistance à l’atteinte de l’image de marque : il s’agit de recueillir des vulnérabilités sur les sites internet de l’entreprise (principal vecteur d’image extérieur). L’exploitation de ces vulnérabilités permet d’illustrer la possibilité de rendre publique des données sensibles, de changer les pages d’accueil.

RISKILIENCE propose deux grandes classes de tests d’intrusion avec ou sans connaissance préalable :

Tests externes : les auditeurs RISKILIENCE se positionnent en tant qu’attaquant externe. Ils tentent de s’introduire depuis Internet grâce à des vulnérabilités à déterminer. La finalité n’est toutefois pas nécessairement de pénétrer le réseau client, mais d’être le plus exhaustif possible en listant les failles potentiellement exploitables par un attaquant réel. Ces tests sont conduits depuis nos plates-formes de test.

 Tests internes : les auditeurs RISKILIENCE prennent le rôle d’un attaquant interne. Ces tests sont réalisés de l’intérieur du système d’information de l’entreprise et permettent de tester les vulnérabilités internes qui pourraient s’y trouver. Le but étant d’accéder aux ressources critiques du réseau interne à l’entreprise et le cas échant de mettre en exergue les faiblesses du système. Ces tests sont conduits à partir de sondes d’analyse (à connecter sur le réseau interne) spécialement développées pour ce type de missions.