Nous effectuons également des audits en interne sur les solutions open-source les plus répandues au monde (Forum, Blog, E-commerce, etc…) afin d’intégrer dans notre outil de veille les failles découvertes par nos chercheurs.

Vous pouvez retrouver quelques une de nos découvertes sur securityfocus par exemple ou dans la rubrique actualité.

Cet audit vous permet d’estimer les risques encourus si un pirate venait à réussir à s’infiltrer sur votre réseau (rebond depuis l’extérieur, piratage de votre Wi-fi, etc…) ou jusqu’où pourrait remonter un employé malveillant sur votre réseau.

De ce fait l’intégralité de votre infrastructure est auditée:

• Analyse des zones DNS
• Recensement des machines présentes sur votre range
• Recensement des services présents sur les serveurs
• Tentative de rebond sur les IPs locales
• Analyse des serveurs web
• Analyse des firewalls (WAF et physique)
• Analyse des services présents sur les serveurs (ftp, smtp, serveur web, DNS, mods apache, Php, Mysql, etc…)
• Analyse de l’applicatif hébergé
• Toute ce qui appartient à votre système d’information et potentiellement contactable depuis l’extérieur

Ce test est pratiqué avec la plus grande rigueur, c’est l’audit le plus large possible pratiqué depuis l’extérieur. Il fait intervenir tous les vecteurs possibles d’intrusion dans votre système d’information.

Cheminement méthodologiquement d’un audit de sécurité au sein de Wargan Solutions:

1. Suite à votre prise de contact, nous établissons ensemble le périmètre du projet. Tout d’abord nous mettons un point d’honneur à cerner l’intégralité des enjeux du client. Un audit ne doit pas être envisagé seul mais replacé dans son contexte client.
2. Une fois les problématiques cernées, nous vous proposons le type d’audit ou de test qui correspond le mieux à votre besoin. Plusieurs points peuvent orienter notre choix:
   • Les besoins et enjeux clients.
   • Le caractère d’urgence de l’intervention, un audit qui fait par exemple suite à un piratage du client doit être réalisé rapidement et avec toutes les méthodes permettant de gagner du temps.
   • Les volontés et directives du RSSI
3. Nous rédigeons conjointement un ordre de mission. Nous précisons dedans le périmètre d’action, les machines à auditer, les outils que nous utiliserons, les mesures d’urgences et ainsi de suite.
4. Nous réalisons l’audit en respectant ce que nous avons énoncé en point 3. Nous testons tous les processus d’attaque, réalisons une collecte d’information et surtout maximisons les intervenants sur l’audit. En effet, sur un développement maximiser les intervenants peut-être dangereux, sur un audit c’est à chaque fois fortement positif. Chaque consultant a une méthode, une technique, une analyse qui lui est propre.
5. Nous rédigeons le rapport d’audit. Ce rapport sera le document de référence (client – Wargan Solutions) afin d’évoquer la sécurité du réseau. Il contient (non exhaustif):
   • Le périmètre du projet
   • La méthodologie employée
   • Les informations que nous avons pu collecter sur votre système d’information (et qui devraient donc potentiellement être masquée)
   • L’intégralité des tests qui nous avons réalisés sur votre infrastructure / application (et qui ont aboutis, ou non)
   • Les failles que nous avons pu recenser:
     • Nous estimons leur criticité
     • Nous estimons leur difficulté d’exploitation
     • Nous estimons leur difficulté de correction
     • Nous réalisons un POC (proof of concept) pour la faille
     • Nous vous expliquons comment patcher cette faille
     • Nous vous expliquons à quels dommages peut aboutir une telle faille
   • Nous évoquons ensemble les procédures de sécurité mise en place et comment nous avons pu les contourner (WAF, XSRF Security Token, …)
   • Nous concluons sur la sécurité global de l’applicatif / infrastructure audité en lui attribuant une note et en annotant l’intégralité des procédures à mettre en place (au délà du correctif des failles), pour augmenter la note.
6. Nous vous proposons un rendez vous pour vous expliquer des points qui pourraient vous sembler obscures à la lecture du rapport.

Si notre méthode semble correspondre à vos attentes, cliquez ici pour accéder à nos audits de sécurité et tests d’intrusion.

Notre méthode

La force de notre méthode est d’allier les principes énoncés par des fondations telles que l’OWASP qui sont mondialement reconnues à notre expertise technique acquise au gré de nos multiples audits. En d’autre termes, là où un prestataire appliquera à la lettre les recommandations d’un consortium, nous, nous enrichissons de notre côté la technicité de l’audit à l’aide de nos outils et découvertes personnelles.Lire la suite: Méthodologie des audits de sécurité.

Le test d’intrusion applicatif

Le test d’intrusion applicatif est le test idéal si vous souhaitez évaluer la qualité du développement de votre site Internet.  Le consultant se place dans la peau d’un pirate et analyse l’intégralité de l’application en aveugle. Il utilise pour ce faire l’intégralité des failles connues et documentés en matière d’audit web auxquelles il ajoute ses propres découvertes.
Lire la suite: test d’intrusion applicatif.

L’audit de code

L’audit de code est à notre sens le corollaire du test d’intrusion applicatif. Cet audit permet généralement d’approfondir efficacement le test d’intrusion applicatif. Dans le cas d’un site internet sur lequel un audit a été réalisé, l’audit de code permettra de mieux comprendre les mauvais cheminements, de proposer des patchs plus précis, mais aussi d’évaluer la qualité et la sécurité globale de l’application, chose impossible lorsque nous nous plaçons uniquement dans la peau d’un pirate.
Lire la suite: Audit de sécurité de code.

Le test d’intrusion en boite noire

Le test d’intrusion en boite noire permet de raisonner global. Si le test d’intrusion applicatif nous met dans la peau d’un pirate sur l’application, le test d’intrusion en boite noire nous met dans le rôle d’un pirate qui étudierait la globalité de votre système d’information. De ce fait l’intégralité de votre infrastructure est auditée: applicatifs, services, serveurs extranet, serveurs intranet, serveurs de base de données,etc…  Nous remontons jusqu’où nous le pouvons, sans limite.
Lire la suite: test d’intrusion en boite noire.

L’audit de sécurité interne

L’audit de sécurité interne analyse tous les maillons de la chaine de votre système d’information. Tout d’abord sans information, nous agissons en pirate au sein du réseau. Puis nous entamons notre collecte d’informations, que vous complétez (parfois à votre insu), puis nous analysons vos processus métiers, et enfin nous élargissons l’audit de sécurité à l’intégralité de l’infrastructure (serveurs, postes de travail, DMZ, configurations WAF, etc).
Lire la suite: audit de sécurité interne.

La veille et la découverte de failles

Si votre structure possède déjà un pôle informatique aguerri et sensible à la sécurité informatique, et si vous souhaitez externaliser votre veille en matière de sécurité informatique et de découverte de vulnérabilités; nous vous proposons un service qui vous permettra d’être tenu au courant en cas de découverte de failles. Concrètement, vous accédez à l’interface, choisissez vos produits, technologies, langages,  services, et dès lors qu’une faille est découverte sur l’un de ces vecteurs d’intrusions, notre système vous alerte et vous propose le cas échéant un correctif de faille. Ce service de veille intègre en son sein les découvertes de nos chercheurs en sécurité.
Lire la suite: veille en vulnérabilités et découverte de failles.

Création du site Internet de la célèbre Radio Parisienne.
Intégration des chartes graphiques.

Développement du site Internet dans son ensemble.

Tropmalin.com

Création du site Internet du site Tropmalin.com (Portail de mise en vente à l’image d’Ebay).
Intégration des chartes graphiques.

Développement du site Internet dans son ensemble.

Provishop.com

Conception technique et gestion de l’équipe de développement.

Provishop.com est une plateforme de paiement permettant de gérer de nombreux flux financiers ainsi que toutes les données statistiques qui les accompagnent.

De nombreux systèmes de sauvegarde, de balancing et diverses procédures de sécurité ont été à mettre en place.

Lafraise.com

Analyse de l’ensemble du site Internet. Vérification des scripts.

Abrutis.com

Gestion de projet sur le site d’humour abrutis.com.
Nous avons effectué la conception technique permettant le développement du service.

Starwizz.com

Conception du site d’actualité people, mode et bien être. Gestion du développement.

Hispanoa.com

Hispanoa est une centrale de réservation de locations de villas. Wargan Solutions s’est chargé de son développement, du design, ainsi que de l’hébergement.

France Citevision

Le cable opérateur Amiénois a fait appel à nos services d’ingénierie web afin d’améliorer les services web fournis à leurs clients.

Wilogo

Analyse de l’ensemble du site Internet. Vérification des scripts. Etude d’ergonomie.

Dump-it.fr

Création du site Dump-it.fr
Hébergeur d’image, plus de 250 000 images !

Justalove.com

Gestion de projet, conception fonctionnelle d’une application FMS/Flex/Php d’un service original de rencontre speed dating.

Edencast.com

Réalisation d’un serveur et d’un client de Chat en langage C et VB.

Management de projets afin d’améliorer la productivité de l’équipe, mise en place d’outils et de processus qualité.

Qosmos.com

Analyse de l’ensemble du site Internet. Vérification des scripts. Etude du code source

Dew-s.com

Création du site ecommerce de la société Dream Export World

Sichel.fr

Création du site Internet de cette société de Vin qui expédie dans le monde entier.
Intégration des chartes graphiques.
Développement du site Internet dans son ensemble.

Iptwins France

Création d’un moteur d’enregistrement de noms de domaine en .EU lié au protocole EPP

Anastore.com

Analyse de l’ensemble du site Internet. Vérification des scripts. Analyse du Serveur. Etude du code source

Chez Froc

Création du site Internet du bar Amiénois.
Création des chartes graphiques.
Développement du site Internet dans son ensemble.