Vous avez un doute quant au niveau de sécurité de votre système d’information ? Suite au départ d’une personne à la DSI, vous souhaitez vérifier si votre infrastructure informatique ou votre entreprise sont exposées à des risques ou si la sécurité est toujours bien maîtrisée ? La cybersécurité doit faire partie de vos priorités et nous pouvons vous aider.
Les ingénieurs systèmes & réseaux du Groupe Asten et nos spécialistes sécurité accompagnent les DSI des PME et ETI sur toute la France pour les aider à sécuriser leur architecture informatique, à améliorer leur organisation et mieux se protéger.
L’objectif de notre audit de sécurité est simple : vous aider à dresser une cartographie claire et complète des points techniques fiables et de ceux à optimiser afin de diminuer les risques et votre surface d’attaque. Vous pourrez choisir de déployer ensuite des pentests (tests d’intrusion lan, wan ou physiques).
La cybersécurité est un monde de compromis entre anticipation, réaction et prévention dont vous êtes le seul à même de porter le changement dans votre organisation. Pour un premier état des lieux, nous vous invitons à réaliser un audit cyber. Vous pourrez ainsi avoir une cartographie claire de niveau de sécurité.
Pour aller plus loin, vous pouvez opter pour des tests d’intrusion (pentest) : lan, wan ou intrusion physique.
En matière de cybersécurité, il est préférable de prévenir, car cela coûte souvent moins cher. L’objectif principal d’un état des lieux de type « audit » est simple : détailler votre architecture informatique et analyser le fonctionnement de votre entreprise. En réalisant cet audit, vous obtiendrez une cartographie détaillée ainsi qu’un bilan complet qui va mettre en évidence les points faibles à corriger et les potentielles failles à supprimer.
Dans le cadre de nos tests d’intrusion, nous établissons avec vous le périmètre précis ainsi que la profondeur du champ d’actions. Vous définissez jusqu’où vous souhaitez que nous allions (accès au réseau interne, exfiltration de données, audit physique d’accès au site, etc.).
Retrouvez tout ce que vous avez toujours voulu savoir sur un audit d’intrusion physique, sans jamais oser le demander.
Au terme du pentest, vous recevrez un livrable complet au format .pdf. Nous vous proposons ensuite une restitution afin de comprendre ce rapport global : nous vous présentons la façon dont le pentest s’est déroulé, la liste des risques encourus (niveau de criticité CVSS) et les solutions de remédiation.
Dans tous les cas, le pentest est couvert par un dispositif de confidentialité évidemment très strict et nous pouvons travailler de différentes manières pour établir les livrables :
Le pentest en mode Black Box (boite noire) ou test d’intrusion Black Box est le mode de test le plus réaliste puisque le pentester ne possède aucune information lui permettant de pénétrer le système cible.
Ainsi, cette méthode de pentest permet de mettre en exergue les failles que pourrait exploiter un véritable pirate dans son cheminement qui mènera à la compromission du système d’information. Ce mode de test implique une durée d’exécution plus longue parce qu’aucune information n’est rendue volontairement disponible au début du test. L’équipe chargée de la cybersécurité dans l’entreprise ne sera pas au courant de la mise en place d’un test d’intrusion. Le pentester réalise son test d’intrusion de l’extérieur, sans disposer a priori d’informations sur l’entreprise cible. Si cette méthode est très efficace puisqu’elle permet d’effectuer un test d’intrusion en conditions réelles, elle peut en revanche prendre beaucoup de temps.
Durant un pentest Grey Box (boite grise), l’auditeur commence ses tests avec un certain nombre d’informations qui lui permettront de gagner du temps. L’auditeur pourra pousser les tests plus loin que s’il était en mode Black Box, tout en restant proche du scénario que pourrait suivre un hacker malveillant.
Le pentest Greybox se situe entre les pentests de type White Box et Black Box. Le pentester pourra disposer d’un certain nombre d’informations avant d’effectuer son test d’intrusion. Il peut par exemple être intégré à l’entreprise comme un employé. Il aura donc des informations de base et un compte utilisateur avec des droits limités. Il va ensuite, comme pour n’importe quel pentest, tenter d’obtenir plus de droit et d’accéder à des informations sensibles ou perturber le fonctionnement normal de l’entreprise.
Le pentest en mode White Box (boite blanche) se caractérise par un partage complet des informations avec l’auditeur. L’objectif est d’identifier le maximum, (idéalement la totalité) des failles existantes en passant au crible l’ensemble du périmètre destiné à être évalué.
Le pentest whitebox est tout le contraire du blackbox. Le test d’intrusion sera réalisé en complète collaboration avec les services techniques de l’entreprise. De cette manière, l’auditeur a accès à l’ensemble du système d’information, à sa configuration, à la documentation technique. Ce pentest est donc très proche d’un audit de sécurité classique. Il est en revanche plus complet puisqu’il va permettre de détecter les vulnérabilités du Système d’information bien plus précisément et proposer des solutions concrètes.
L’audit de cybersécurité réalisé par le Groupe Asten est conforme aux standards CVSS (Common Vulnerability Security System) pour évaluer le niveau de criticité. Nous tenons compte notamment de différents critères techniques et de la complexité de mise en œuvre de l’attaque pour établir les priorités de votre plan d’actions.
Les équipes du Groupe Asten vous accompagnent dans la mise en œuvre des recommandations par la force de nos équipes pluridisciplinaires : ingénieurs cyber, RSSI, DSI à temps partagé, équipes systèmes et réseaux…
Audit cybersécurité :
Nos experts systèmes et réseaux sont à votre disposition pour répondre à vos questions et vous donner les bons conseils afin de trouver ensemble les meilleures solutions et le meilleur compromis en fonction de vos contraintes et de vos enjeux.
