Wargan Solutions: Méthodologie de l'audit de sécurité.

Méthodologie - Test d'intrusion - Audit de sécurité

La force de notre méthode est d’allier les principes énoncés par des fondations telles que l’OWASP et l'OSSTMM qui sont mondialement reconnues, à notre expertise technique acquise au gré de nos multiples audits. En d’autre termes, là où un prestataire appliquera à la lettre les recommandations d’un consortium, nous, nous enrichissons de notre côté la technicité de l’audit à l’aide de nos outils et découvertes personnelles.

Cheminement méthodologique d’un audit de sécurité au sein de Wargan Solutions:

  1. Suite à votre prise de contact, nous établissons ensemble le périmètre du projet. Tout d’abord nous mettons un point d’honneur à cerner l’intégralité des enjeux du client. Un audit ne doit pas être envisagé seul mais replacé dans son contexte client.
  2. Une fois les problématiques cernées, nous vous proposons le type d’audit ou de test qui correspond le mieux à votre besoin. Plusieurs points peuvent orienter notre choix:
    • Les besoins et enjeux clients.
    • Le caractère d’urgence de l’intervention, un test d'intrusion qui fait par exemple suite à une intrusion doit être réalisé rapidement.
    • Les volontés et directives du RSSI
  3. Nous rédigeons conjointement un ordre de mission. Celui-ci précise le périmètre d’action, les machines à auditer, les outils que nous utiliserons, les mesures d’urgences etc...
  4. Nous réalisons l’audit en respectant ce que nous avons énoncé ci-dessus. Nous testons tous les processus d’attaque, réalisons une collecte d’information et surtout maximisons les intervenants sur l’audit. En effet, chaque consultant a une méthode, une technique, une analyse qui lui est propre.
  5. Nous rédigeons le rapport d’audit. Ce rapport sera le document de référence afin d’évoquer la sécurité de votre réseau. Il contient (non exhaustif):
    • Le périmètre du projet
    • La méthodologie employée
    • Les informations que nous avons pu collecter sur votre système d’information (et qui devraient donc potentiellement être masquée)
    • L’intégralité des tests qui nous avons réalisés sur votre infrastructure / application, et leurs résultats probants : Les failles détectées d’une part, les points de sécurité solides à surveiller impérativement d’autre part.
    • Les failles que nous avons pu recenser, détaillées selon:
      • Leur criticité
      • Leur difficulté d’exploitation
      • Leur difficulté de correction
      • Nous réalisons un POC (proof of concept) pour les failles extrêmement critiques
    • Nous étudions ensemble quels sont les risques de telles failles, comment les patcher pour restaurer l'intégrité de votre réseau. Nous évoquons aussi ensemble les procédures de sécurité mise en place et comment nous avons pu les contourner (WAF, XSRF Security Token, …)
    • Nous concluons sur la sécurité global de l’applicatif / infrastructure audité en lui attribuant une note et un compte-rendu exhaustive d'audit; nous consignons ensuite l’intégralité des procédures à mettre en place (au-délà du correctif des failles), pour augmenter la sécurité de votre système.
  6. Nous vous proposons un entretien pour étudier ensemble les solutions préconisées dans le rapport et leur mise en place au sein de votre SI.

Suivez ces liens pour accéder au descriptifs détaillés de nos audits de sécurité et de nos tests d’intrusion: audits de sécurité et tests d’intrusion.