Pour une Réduction des Risques et des Coûts
L'expertise et la maitrise des projets
Allier Performance , Autonomie et Sécurité
La sécurité adaptée à vos besoins opérationnels
Ensemble, nous protégeons votre patrimoine

Audit & Conseil

Client :

Société de crédit (Filiale d’une grand banque Française) : audit Sécurité

Enjeu :

Le client souhaite faire appel à un prestataire spécialisé en sécurité des Systèmes d’Information afin de mettre en évidence les éventuelles risques ou menaces externes qui pèsent sur son Système d’Information via Internet.
NetStaff a donc proposé d’effectuer un audit de sécurité ayant les objectifs principaux suivants :

✓ Connaître l’état de sécurité du système d’information (accès Internet) par l’identification des vulnérabilités pouvant compromettre les informations du client, en termes de Confidentialité, d’Intégrité et de Disponibilité,
✓ Etablir les recommandations visant un niveau de sécurité optimal,
✓ Hiérarchiser les actions à mettre en œuvre selon des critères de priorité, de délai et de faisabilité.

Démarche :

Ces tests permettent d’évaluer le niveau de sécurité logique de l’accès Internet en simulant les actions malveillantes susceptibles d’être réalisées depuis l’extérieur du SI ; ils comprennent :

PHASE 1 : Phase de découverte

NetStaff effectue des recherches d'information directes et indirectes ayant pour but de réaliser une cartographie des services Internet audités. Les éléments recherchés sont du type système d’exploitation, matériel, services accessibles, bannières de services, versions utilisées, etc.Ce volet se termine par une réunion de synchronisation entre NetStaff et le client afin de :

•    Présenter les informations récoltées :
•    Tableau des composants identifiés,
•    Rôle fonctionnel (routeur, pare-feu, serveur Web,..),
•    Adresse IP publique,
•    Adresse IP privée éventuelle (si découverte),
•    Services ouverts et fermés (ports TCP et UDP), interrogations ICMP disponibles,
•    Application en écoute sur chaque port ainsi que son numéro de version,
•    Système d’exploitation sous-jacent ainsi que sa version.
•    Préciser le périmètre des serveurs devant faire l’objet d’une intrusion poussée.
•
PHASE 2 : Phase d’intrusion

NetStaff identifie les vulnérabilités existantes et mesure les risques potentiels de
prise de contrôle des différents composants de la plate-forme Internet.Les données
recueillies permettent d’élaborer les recommandations opérationnelles et le plan
d’actions.

Sur la base des travaux menés lors des tests, NetStaff rédige :

✓ Le volet technique détaillé : il met en évidence les scénarios déroulés et les vulnérabilités constatées, ainsi que les recommandations associées,
✓ Le volet «managérial» : destiné à une population non informaticienne de type métier/fonctionnelle, il inclut une synthèse des résultats, la liste des points positifs et des points à améliorer, ainsi que des indicateurs sur la plate-forme auditée, donnant une vision instantanée du niveau de sécurité de celle-ci,
✓ Le plan d’action sécurité : les actions sont classées par ordre de priorité, de faisabilité et de délais de mise en œuvre dans le contexte spécifique du client.

AUTRES MISSIONS D'AUDIT & CONSEIL :

✓ Audit de sécurité externe pour un client du secteur pétrochimique. Audit de vulnérabilités sur une centaine de cibles, réalisation de tableaux de bord comparatifs suite à un audit précédent.

✓ Test d'intrusion externe pour une administration française. Réalisé sur une application Web en pré-production, moteur d'application IBM, tests avec et sans authentification, passage de la session utilisateur à administrateur.

✓ Test d'intrusion interne pour un organisme de crédit. Test réalisé en aveugle, récupération d'informations confidentielles, exploitation de failles, technologies variées (Web, VoIP, bases de données, systèmes d'exploitation, ...) préconisations de sécurisation.

✓ Test d'intrusion externe sur deux sites de E-commerce d'une administration publique. Tests réalisé sur l'environnement de production sous une architecture LAMP et CMS TYPO3.

✓ Test d'intrusion externe et Audit des sauvegardes pour une administration municipale. Intrusion dans la base de données du site de la municipalité, connexion à la partie back-office et authentification réussi à l'administration du site Web en tant qu'administrateur.

✓ Test d'intrusion externe pour un groupe international de cosmétique. Environnement international et technologies hétérogènes. Identification de vulnérabilité au niveau du serveur Web, upload de fichier dans l'arborescence du serveur Web et lecture des dossiers systèmes du serveur.

✓ Test d'intrusion Externe, Interne et Audit de poste nomade pour une société faisant de la gestion d'archives. Identification de ressources critiques, exploit sur le contrôleur de domaine pour faire parti du groupe "Administrateur". Connexion aux équipements réseaux, obtention de données confidentielles, interception des communications non chiffrées et récupération d'identifiants de connexion.

✓ Définition et mise en place de processus opérationnels pour un grand établissement public sur une période de un an. Processus de veille, de contrôle et de reporting, plus d'une dizaine de départements concernés, gestion de nouveaux projets suite à la mise en place initiale (processus transverse de gestion de crise, outils de déploiement de correctifs, ...). Communication et animation de réunion. Diffusion de bulletin de sécurité et accompagnement et formation des acteurs.

✓ Étude de marché pour une entreprise du CAC40. Évaluation de solutions de chiffrement de poste, de VPN SSL et authentification forte.

✓ Conseil en sécurisation d'infrastructure pour société du luxe. Recommandations pour une architecture 3-tiers: serveur Web, serveur d'application et base de données, renforcement de la configuration des systèmes d'exploitation.