audit SSI

Connaître son niveau d'exposition aux cybermenaces !

#AUDIT

Un audit peut être défini comme un processus méthodique, indépendant et documenté permettant d’obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure des critères préalablement définis sont satisfaits. Ainsi, un audit permet d’établir une revue, un inventaire, un état des lieux.

En matière de SSI (Sécurité des Systèmes d’Information), pour toute organisation, la sécurité doit être un enjeu capital de gouvernance. Face à la multiplication des cyberattaques et des menaces de plus en plus sophistiquées et ciblées, il est malheureusement constaté que certaines organisations peuvent encore être particulièrement vulnérables sur des questions de cybersécurité. Synetis, avec une approche offensive et défensive, est en mesure d’accompagner PME et grandes entreprises de la conception à l’implémentation jusqu’au maintien en condition opérationnelle de leurs environnements de sécurité.

L’audit de sécurité informatique participe en effet à la confiance globale d’une organisation et permet de connaître les faiblesses de cette dernière voire de se rassurer.

La practice Audit SSI de Synetis est composée d’experts de l’intrusion possédant plusieurs années d’expérience en matière d’audit cybersécurité. Chaque membre de l’équipe apporte son expertise et participe au développement des compétences et des bases de connaissances. Notre expertise est de fournir un diagnostic clair, compréhensible par tous et détaillé de la sécurité d’un système d’information et/ou de processus. À ce titre et grâce à son expérience reconnue en audit de sécurité, Synetis propose des prestations d’audits « sur mesure » et garantit des travaux pragmatiques, dont le risque d’intrusion demeure le fil conducteur.
Dans leurs domaines respectifs, les consultants Synetis sont force de proposition et conseillent concrètement les commanditaires dans le respect de critères économiques, méthodologiques, organisationnels, réglementaires et technologiques. De plus, fort de l’expertise pointue des consultants Synetis et de multiples partenariats avec les principaux éditeurs de sécurité du marché, Synetis contribue quotidiennement à l’amélioration des solutions de sécurité. Découverte de vulnérabilités au sein de produits de sécurité renommés, open-source et d’éditeurs partenaires, ou tout simplement au cours de navigations sur Internet, les auditeurs Synetis réalisent constamment leurs missions avec une approche éthique couplée à une veille technologique continue. Ils développent et sont amenés à partager leurs outils avec la communauté.

Les auditeurs Synetis attachent une attention particulière à la qualité des travaux produits, aux livrables ainsi qu’à l’accompagnement des commanditaires. Les livrables produits par les auditeurs Synetis sont :

  • Rigoureux, pertinents, précis
  • Méthodiques et pragmatiques
  • Sources de haute valeur ajoutée et d’une qualité irréprochable au meilleur de l’état de l’art dans le domaine concerné de la prestation

Nos domaines d'expertises.

Audits de sécurité.

Audits de sécurité spécifiques.

Autres activités.

Cryptanalyse statistique de mots de passe.

La santé d’un SI est très fortement liée aux mots de passe qu’il renferme. Employés, comptes applicatifs, de services, d’administration… Tous ces sésames sont très prisés et ciblés par des attaquants extérieurs mais aussi depuis l’interne. Malgré des bastions, de la fédération des identités ou de l’authentification-forte, qu’en est-il réellement de l’hygiène des mots de passe d’un référentiel donné, et du respect de la politique de mot de passe interne ?

Une mission de cryptanalyse statistique permet d’éprouver ces secrets, d’en extraire de la connaissance et des leviers nécessaires au renforcement des politiques et des briques composants le SI d’une entreprise ; tout en permettant une sensibilisation contextualisée et récurrente.
Une mission de cryptanalyse SYNETIS, ponctuelle ou récurrente (tous les 3 ou 6 mois), permet d’apporter des statistiques, indicateurs et métriques concrets aux décideurs :

  1. Combien de comptes
  2. utilisateurs peuvent être compromis en X heures ?
  3. Comment un mot de passe peut-il être cassé, par quelle méthode et en combien de temps ?
  4. Quelle est la répartition des comptes respectueux de la politique de mot de passe ?
  5. Quel est le ratio des comptes « *adm* », « *svc* », « *app* », etc. qui ont été cassés ?
  6. Quel est le Top10 des mots de passe utilisés par les collaborateurs ?
  7. Quels sont les « mots de base» les plus utilisés ?
  8. Quelle est la répartition des longueurs des mots de passe ?
  9. Quels sont les modèles / patterns / masks principalement utilisés par les utilisateurs ?
  10. Quel est l’indice global de robustesse des mots de passe des employés (Standards, ANSSI, etc.) ?
  11. Comment mon entreprise se situe-t-elle par rapport à des entreprises du même secteur ?
  12. Combien de mots de passe ont déjà fuités sur l’Internet ou le DarkWeb ?
  13. Quelles sont les habitudes de renouvellement de mot de passe des collaborateurs ?
  14. Quelle est la répartition des politiques de mot de passe et des utilisateurs compromis par domaine AD ?
  15. Quelle est la robustesse cryptographique et de la politique de mot de passe de tel ou tel référentiel ?

Avec récurrence : comment évolue le niveau de sécurité général des mots de passe de l’ entreprise ?

Formations offensives dédiées.

Nourries par la R&D et les retours d’expérience de ses consultants, Synetis est en mesure de dispenser des formations à vos collaborateurs sur de nombreux sujets liés au thème majeur de la cybersécurité. La durée des formations offensives varie, majoritairement déroulées sur une journée, certaines peuvent s’étendre jusqu’à 3 à 5 jours, permettant au consultant de Synetis d’aborder chaque thème de manière complète et d’apporter toutes les clés essentielles aux participants pour comprendre et assimiler la formation.

En matière de formation cybersécurité, le catalogue de la Practice Audit est composé de :

  • Formation API01 : Bonnes pratiques et sécurité dans le cadre d’un développement d’APIs
  • Formation AUTH01 : Mise en place de mécanisme d’authentification sécurisé (mire)
  • Formation AUTH02 : L’authentification-forte (MFA) – État de l’Art, diversité des facteurs, implémentations et avantages
  • Formation CLOUD01 : Sécurité des accès sur des solutions Cloud (AWS S3, Google Cloud)
  • Formation CRYPTA01 : Une approche offensive de la cryptographie
  • Formation FOR01 : Réponse à incident de sécurité
  • Formation OWASP01 : Suivi et illustration des recommandations du TOP Ten OWASP
  • Formation SECOF01 : Attaquer pour mieux se défendre
  • Formation SECOF02 : Comment attaquer un site Web pour mieux se défendre ?
  • Formation TLS01 : Sécurité, configuration et attaques des surcouches de chiffrement protocolaire
  • Formation WIN01 : Évaluer et renforcer la sécurité des postes de travail
  • Formation WIN02 : Comprendre les faiblesses et durcir les environnements Windows / Active Directory

 

Vous trouverez en cliquant ici le lien complet des formations

articles associés.