Wargan Solutions: Méthodologie de l'audit de sécurité.

Méthodologie - Test d'intrusion - Audit de sécurité

La force de notre méthode est d’allier les principes énoncés par des fondations telles que l’OWASP et l'OSSTMM qui sont mondialement reconnues, à notre expertise technique acquise au gré de nos multiples audits. En d’autre termes, là où un prestataire appliquera à la lettre les recommandations d’un consortium, nous, nous enrichissons de notre côté la technicité de l’audit à l’aide de nos outils et découvertes personnelles.

Cheminement méthodologiquement d’un audit de sécurité au sein de Wargan Solutions:

  1. Suite à votre prise de contact, nous établissons ensemble le périmètre du projet. Tout d’abord nous mettons un point d’honneur à cerner l’intégralité des enjeux du client. Un audit ne doit pas être envisagé seul mais replacé dans son contexte client.
  2. Une fois les problématiques cernées, nous vous proposons le type d’audit ou de test qui correspond le mieux à votre besoin. Plusieurs points peuvent orienter notre choix:
    • Les besoins et enjeux clients.
    • Le caractère d’urgence de l’intervention, un test d'intrusion qui fait par exemple suite à une intrusion doit être réalisé rapidement.
    • Les volontés et directives du RSSI
  3. Nous rédigeons conjointement un ordre de mission. Nous précisons dedans le périmètre d’action, les machines à auditer, les outils que nous utiliserons, les mesures d’urgences etc...
  4. Nous réalisons l’audit en respectant ce que nous avons énoncé en point 3. Nous testons tous les processus d’attaque, réalisons une collecte d’information et surtout maximisons les intervenants sur l’audit. En effet, chaque consultant a une méthode, une technique, une analyse qui lui est propre.
  5. Nous rédigeons le rapport d’audit. Ce rapport sera le document de référence afin d’évoquer la sécurité du réseau. Il contient (non exhaustif):
    • Le périmètre du projet
    • La méthodologie employée
    • Les informations que nous avons pu collecter sur votre système d’information (et qui devraient donc potentiellement être masquée)
    • L’intégralité des tests qui nous avons réalisés sur votre infrastructure / application (et qui ont aboutis, ou non)
    • Les failles que nous avons pu recenser:
      • Nous estimons leur criticité
      • Nous estimons leur difficulté d’exploitation
      • Nous estimons leur difficulté de correction
      • Nous réalisons un POC (proof of concept) pour la faille
      • Nous vous expliquons comment patcher cette faille
      • Nous vous expliquons à quels dommages peut aboutir une telle faille
    • Nous évoquons ensemble les procédures de sécurité mise en place et comment nous avons pu les contourner (WAF, XSRF Security Token, …)
    • Nous concluons sur la sécurité global de l’applicatif / infrastructure audité en lui attribuant une note et en annotant l’intégralité des procédures à mettre en place (au délà du correctif des failles), pour augmenter la note.
  6. Nous vous proposons un rendez-vous pour vous expliquer des points qui pourraient vous sembler obscures à la lecture du rapport.

Si notre méthode semble correspondre à vos attentes, cliquez ici pour accéder à nos audits de sécurité et tests d’intrusion.