Audit SSI

Connaître son niveau d'exposition
aux cybermenaces !

AUDIT

Obtenir des preuves et les évaluer de manière objective !

ILLUSTRATIONS_SYNETIS_AUDIT

Un audit peut être défini comme un processus méthodique, indépendant et documenté permettant d’obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure des critères préalablement définis sont satisfaits. Ainsi, un audit permet d’établir une revue, un inventaire, un état des lieux.

En matière de SSI (Sécurité des Systèmes d’Information), pour toute organisation, la sécurité doit être un enjeu capital de gouvernance. Face à la multiplication des cyberattaques et des menaces de plus en plus sophistiquées et ciblées, il est malheureusement constaté que certaines organisations peuvent encore être particulièrement vulnérables sur des questions de cybersécurité. Synetis, avec une approche offensive et défensive, est en mesure d’accompagner PME et grandes entreprises de la conception à l’implémentation jusqu’au maintien en condition opérationnelle de leurs environnements de sécurité.

L’audit de sécurité informatique participe en effet à la confiance globale d’une organisation et permet de connaître les faiblesses de cette dernière voire de se rassurer.

La practice Audit SSI de Synetis est composée d’experts de l’intrusion possédant plusieurs années d’expérience en matière d’audit cybersécurité. Chaque membre de l’équipe apporte son expertise et participe au développement des compétences et des bases de connaissances. Notre expertise est de fournir un diagnostic clair, compréhensible par tous et détaillé de la sécurité d’un système d’information et/ou de processus. À ce titre et grâce à son expérience reconnue en audit de sécurité, Synetis propose des prestations d’audits « sur mesure » et garantit des travaux pragmatiques, dont le risque d’intrusion demeure le fil conducteur.

Dans leurs domaines respectifs, les consultants Synetis sont force de proposition et conseillent concrètement les commanditaires dans le respect de critères économiques, méthodologiques, organisationnels, réglementaires et technologiques. De plus, fort de l’expertise pointue des consultants Synetis et de multiples partenariats avec les principaux éditeurs de sécurité du marché, Synetis contribue quotidiennement à l’amélioration des solutions de sécurité. Découverte de vulnérabilités au sein de produits de sécurité renommés, open-source et d’éditeurs partenaires, ou tout simplement au cours de navigations sur Internet, les auditeurs Synetis réalisent constamment leurs missions avec une approche éthique couplée à une veille technologique continue. Ils développent et sont amenés à partager leurs outils avec la communauté.

Les auditeurs Synetis attachent une attention particulière à la qualité des travaux produits, aux livrables ainsi qu’à l’accompagnement des commanditaires. Les livrables produits par les auditeurs Synetis sont :

Nos domaines d'expertises.

Audits de sécurité

L’objectif d’un audit d’architecture est de rechercher des faiblesses dans la conception, dans le choix des protocoles utilisés ou du non-respect de pratiques recommandées en termes de sécurité. Un audit d’architecture est basé sur une analyse documentaire au suivi d’éventuels entretiens avec les personnes en charge de la conception, de la mise en œuvre, de l’administration, de la supervision et du maintien en condition opérationnelle du système d’information cible.
En outre, des analyses complémentaires peuvent être menées sur des échantillons de configuration réseau (ex : commutateurs, pare-feu) afin de compléter cet audit.

En savoir plus

Synetis peut réaliser un audit de configuration de différentes briques tant logicielles que matérielles de votre système d’information.

Ces audits visent à prévenir la présence de directives de configuration qui pourraient conduire à une diminution du niveau de sécurité (au regard de l’état de l’art, de référentiels) tout en s’assurant que les configurations sont conformes avec l’architecture visée.

En savoir plus 

Synetis réalise des tests d’intrusion (interne, externe, applicatif) non destructifs) sur différents composants d’un SI. Ces tests permettent de simuler le comportement d’un individu malveillant, qu’il soit externe ou non à votre organisation. Chacune des vulnérabilités identifiées fait l’objet d’une qualification en suivant la méthodologie CVSS v3 (le Common Vulnerability Scoring System permet de caractériser et d’évaluer l’impact de vulnérabilités informatiques). Un plan d’actions est ensuite proposé à l’issue de chaque audit.

Le principe du test d’intrusion (aussi connu sous le nom de pentest) est de découvrir des vulnérabilités sur un système audité et de vérifier leur exploitabilité et leur impact, dans les conditions réelles d’une attaque sur le système (ou en dehors de celui-ci), à la place d’un attaquant potentiel.

En savoir plus

L’audit de sécurité de codes fait partie de l’ensemble des audits de sécurité qui permettent d’évaluer le niveau de sécurité d’un ou plusieurs composants d’un système d’information.

La revue du code source est ainsi une étape primordiale qui permet d’identifier les implémentations ciblées par l’analyse et d’en évaluer la conformité. L’objectif principal est d’évaluer la sûreté de programmation du code afin de s’assurer que les règles de bonnes pratiques en terme de spécification et de conception ont été respectées :

  • Utilisation de conventions de nommage cohérentes afin que le programmeur comprenne facilement le rôle de chaque fonction et paramètre (maintenance et maintenabilité) ; 
  • Niveau d’opacité des informations (aucune divulgation d’informations sensibles) ; 
  • Facilité d’utilisation (contrôle du séquençage des opérations).

En savoir plus

Lors des audits organisationnels et physiques, l’auditeur Synetis va mener une analyse des politiques et procédures (internes ou externes) définies par votre organisation afin de vérifier leur conformité par rapport aux besoins de sécurité que vous exprimez. Synetis peut bien sûr vous aider à définir ces besoins. Dans une première phase, une analyse documentaire est réalisée, complétée ensuite par des entretiens avec les collaborateurs/directions concernés. Enfin, une prise d’échantillons techniques peut être réalisée en vue d’obtenir des preuves d’audit.

En savoir plus

Audits de sécurité spécifiques

Les architectures des systèmes industriels ont subi d’importantes transformations ces dernières décennies. Ils sont en effet aujourd’hui fortement informatisés et interconnectés avec les systèmes d’information classiques (industrie 3.0), voire avec l’Internet (industrie 4.0).

Alors que la sécurité fonctionnelle (ou sûreté) est une problématique bien maîtrisée, les systèmes industriels sont désormais exposés aux mêmes cybermenaces que les systèmes d’information classiques.

En savoir plus

Synetis réalise des missions dites « RedTteam ». Ce type d’attaques vise à simuler le point de vue d’un attaquant externe, motivé, ayant pour but de s’introduire sur le réseau de votre organisation en vue d’effectuer des opérations de sabotage, de vol de données stratégiques, d’installation de rançongiciels voire de logiciels de persistance, etc.

La méthodologie Synetis s’appuie sur trois voies pour accéder au SI de l’organisation : la voie informatique (intrusion logique), la voie cognitive (ingénierie sociale) et la voie physique (intrusion physique). Ces trois voies peuvent être utilisées en parallèle selon une méthodologie idoine.

En savoir plus

Microsoft Active Directory est une brique centrale du système d’information de la plupart des entreprises. Un contrôleur de domaine Active Directory constitue une cible privilégiée pour un attaquant puisque sa compromission fournira à celui-ci un accès aux ressources de l’entreprise. Que ce soit dans un contexte d’audit ou suite à une compromission avérée, l’analyse de la sécurité de l’AD est essentielle et doit être appliquée de façon récurrente. Elle permet de réduire la surface d’attaque et de prévenir les risques d’abus, notamment l’escalade de privilège et la persistance d’un attaquant au sein du système d’information.

Cet audit spécifique regroupe un audit de configuration combiné avec un audit offensif de l’Active Directory.

En savoir plus

La sécurité est avant tout une question de moyens et de processus mais aussi d’information claire et transparente vis-à-vis de ses clients. Il est donc indispensable que vous soyez très exigeant vis-à-vis de votre sous-traitant (hébergeur par exemple) en termes de sécurité, disponibilité et conditions d’exploitation.

En savoir plus

La tendance actuelle conduit les entreprises à externaliser tout ou partie de leur système d’information. L’opération, souvent avantageuse, ne doit pas faire oublier les problématiques de sécurité qui ne sont pas toutes gérées par le fournisseur de service.

Synetis propose d’analyser la configuration de vos ressources au sein du cloud, entre autres le cloisonnement des ressources, les modalités d’accès aux consoles d’administration, l’accès à des services trop fortement exposés (ex : un serveur ElasticSearch « oublié » sur Internet).

En outre, ces audits sont agrémentés de conseils d’architecture notamment pour ce qui va concerner la ou les interconnexions avec votre SI.

En savoir plus

Autres activités.

phishing d'email

Synetis propose une offre d’analyse des applications mobiles Android. L’objectif est de vérifier :

• La sécurité des données de l’utilisateur ;
• La sécurité des serveurs auxquels les serveurs se connectent.

Lors de ces audits, une décompilation de l’APK est opérée en vue de réaliser une analyse statique. En outre, une analyse dynamique est réalisée en vue de vérifier le bon fonctionnement des mécanismes de sécurité propres à Android. 

En savoir plus

Souvent jugés sécurisés et robustes, les réseaux Wifi ou les implémentations qui gravitent autour de son usage présentent tout de même quelques faiblesses inhérentes au monde sans fil. Malgré tout, les attaques sur le Wifi ne sont pas simples à mettre en œuvre car elles nécessitent souvent des cartes capables d’injecter des trames ce qui est un prérequis nécessaire pour les attaques Wifi et la plupart des PC ne dispose pas de cette capacité.

Dans le cadre de ses travaux d’audit de sécurité, Synetis a mis en place une méthodologie dédiée pour auditer un réseau Wifi. Cette dernière comprend une approche boîte noire ainsi qu’une approche boîte grise.

En savoir plus

Le « social engineering » aussi appelé « ingénierie sociale » en français, consiste à tromper la vigilance d’un collaborateur afin de pouvoir obtenir des informations sensibles ou de faire réaliser des actions malveillantes (ouverture de fichiers, arnaque au président etc.).

Les auditeurs de Synetis peuvent adopter une approche offensive et de sensibilisation en contextualisant leurs attaques (USB dropping, phoning, vishing, smsing, whatsapping, etc.).

En savoir plus

L’audit à 360° permet de réaliser un état des lieux général de votre système d’information. Cet audit consiste d’abord à réaliser une étude documentaire basée sur, par exemple, les Plan d’Assurance Qualité, les Plans d’Assurance Sécurité, PSSI, schémas d’architecture, procédures d’administration et d’exploitation, Plan de Continuité d’Activité, Plan de Reprise d’Activité, l’analyse des stratégies, la gestion du Maintien en Conditions Opérationnelles et de Sécurité.

Dans un deuxième temps, une identification des autoroutes de compromission à l’encontre du SI de l’organisation peut aussi être organisée en temps contraint.

En savoir plus

Synetis, fort de son expérience du milieu bancaire, peut vous accompagner dans l’établissement de votre conformité vis-à-vis du CSP. En outre, tout le savoir-faire de l’équipe audit, en particulier au travers de tests d’intrusion, pourra être mis à votre service pour valider les mesures mises en œuvre sur votre emprise SWIFT ainsi que tous les réseaux qui y accèdent.

En savoir plus

Cryptanalyse statistique de mots de passe.

Une cryptanalyse statistique permet d’évaluer la robustesse globale des mots de passe Active Directory (ou autre référentiel) de ses collaborateurs, les taux de compromission potentielle et d’en déduire des indicateurs et/ou métriques.

Un des objectifs de cette prestation est également le renforcement des mots de passe et la sensibilisation des utilisateurs ainsi que la détermination des leviers nécessaires au renforcement des politiques et des briques composant le Système d’Information (SI) tout en permettant une sensibilisation contextualisée et récurrente.

Les tests de la robustesse des mots de passe comprendront les aspects suivants :
Quelques chiffres issus des cryptanalyses réalisées par Synetis :

Une mission de cryptanalyse statistique donne lieu à un rapport dédié, comprenant l’ensemble des résultats et des indicateurs générés ; incluant une liste de recommandations, bonnes pratiques et un plan d’action.

Formations offensives dédiées.

Nourries par la R&D et les retours d’expérience de ses consultants, Synetis est en mesure de dispenser des formations à vos collaborateurs sur de nombreux sujets liés au thème majeur de la cybersécurité. 

La durée des formations offensives varie, majoritairement déroulées sur une journée, certaines peuvent s’étendre jusqu’à 3 à 5 jours, permettant au consultant de Synetis d’aborder chaque thème de manière complète et d’apporter toutes les clés essentielles aux participants pour comprendre et assimiler la formation.

En matière de formation cybersécurité, le catalogue de la Practice Audit est composé de :

Vous trouverez en cliquant ici le lien complet des formations

Protection et surveillance des si

Nos experts Audit
répondent à vos questions