Sécurité informatique

La sécurité informatique ne s’improvise pas. C’est un secteur technique, précis, au sein duquel chaque défaillance de l’intervenant, qu’il soit développeur, décisionnaire, auditeur ou pirate, peut se payer le prix cher.  De fait, la méthodologie à employer ne s’invente pas non plus, il y a des normes selon l’applicatif (OWASP / OSSTMM) et selon l’activité du client (PCI-DSS) ou globale (ISO/CEI 27001).

Notre méthode

method Sécurité informatiqueLa force de notre méthode est d’allier les principes énoncés par des fondations telles que l’OWASP qui sont mondialement reconnues à notre expertise technique acquise au gré de nos multiples audits. En d’autre termes, là où un prestataire appliquera à la lettre les recommandations d’un consortium, nous, nous enrichissons de notre côté la technicité de l’audit à l’aide de nos outils et découvertes personnelles.Lire la suite: Méthodologie des audits de sécurité.

Le test d’intrusion applicatif

search Sécurité informatiqueLe test d’intrusion applicatif est le test idéal si vous souhaitez évaluer la qualité du développement de votre site Internet.  Le consultant se place dans la peau d’un pirate et analyse l’intégralité de l’application en aveugle. Il utilise pour ce faire l’intégralité des failles connues et documentés en matière d’audit web auxquelles il ajoute ses propres découvertes.
Lire la suite: test d’intrusion applicatif.

L’audit de code

bin Sécurité informatiqueL’audit de code est à notre sens le corollaire du test d’intrusion applicatif. Cet audit permet généralement d’approfondir efficacement le test d’intrusion applicatif. Dans le cas d’un site internet sur lequel un audit a été réalisé, l’audit de code permettra de mieux comprendre les mauvais cheminements, de proposer des patchs plus précis, mais aussi d’évaluer la qualité et la sécurité globale de l’application, chose impossible lorsque nous nous plaçons uniquement dans la peau d’un pirate.
Lire la suite: Audit de sécurité de code.

Le test d’intrusion en boite noire

intern Sécurité informatiqueLe test d’intrusion en boite noire permet de raisonner global. Si le test d’intrusion applicatif nous met dans la peau d’un pirate sur l’application, le test d’intrusion en boite noire nous met dans le rôle d’un pirate qui étudierait la globalité de votre système d’information. De ce fait l’intégralité de votre infrastructure est auditée: applicatifs, services, serveurs extranet, serveurs intranet, serveurs de base de données,etc…  Nous remontons jusqu’où nous le pouvons, sans limite.
Lire la suite: test d’intrusion en boite noire.

L’audit de sécurité interne

database Sécurité informatiqueL’audit de sécurité interne analyse tous les maillons de la chaine de votre système d’information. Tout d’abord sans information, nous agissons en pirate au sein du réseau. Puis nous entamons notre collecte d’informations, que vous complétez (parfois à votre insu), puis nous analysons vos processus métiers, et enfin nous élargissons l’audit de sécurité à l’intégralité de l’infrastructure (serveurs, postes de travail, DMZ, configurations WAF, etc).
Lire la suite: audit de sécurité interne.

La veille et la découverte de failles

help Sécurité informatiqueSi votre structure possède déjà un pôle informatique aguerri et sensible à la sécurité informatique, et si vous souhaitez externaliser votre veille en matière de sécurité informatique et de découverte de vulnérabilités; nous vous proposons un service qui vous permettra d’être tenu au courant en cas de découverte de failles. Concrètement, vous accédez à l’interface, choisissez vos produits, technologies, langages,  services, et dès lors qu’une faille est découverte sur l’un de ces vecteurs d’intrusions, notre système vous alerte et vous propose le cas échéant un correctif de faille. Ce service de veille intègre en son sein les découvertes de nos chercheurs en sécurité.
Lire la suite: veille en vulnérabilités et découverte de failles.