AUDIT
Obtenir des preuves et les évaluer de manière objective !
Un audit peut être défini comme un processus méthodique, indépendant et documenté permettant d’obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure des critères préalablement définis sont satisfaits. Ainsi, un audit permet d’établir une revue, un inventaire, un état des lieux.
En matière de SSI (Sécurité des Systèmes d’Information), pour toute organisation, la sécurité doit être un enjeu capital de gouvernance. Face à la multiplication des cyberattaques et des menaces de plus en plus sophistiquées et ciblées, il est malheureusement constaté que certaines organisations peuvent encore être particulièrement vulnérables sur des questions de cybersécurité. Synetis, avec une approche offensive et défensive, est en mesure d’accompagner PME et grandes entreprises de la conception à l’implémentation jusqu’au maintien en condition opérationnelle de leurs environnements de sécurité.
L’audit de sécurité informatique participe en effet à la confiance globale d’une organisation et permet de connaître les faiblesses de cette dernière voire de se rassurer.
La practice Audit SSI de Synetis est composée d’experts de l’intrusion possédant plusieurs années d’expérience en matière d’audit cybersécurité. Chaque membre de l’équipe apporte son expertise et participe au développement des compétences et des bases de connaissances. Notre expertise est de fournir un diagnostic clair, compréhensible par tous et détaillé de la sécurité d’un système d’information et/ou de processus. À ce titre et grâce à son expérience reconnue en audit de sécurité, Synetis propose des prestations d’audits « sur mesure » et garantit des travaux pragmatiques, dont le risque d’intrusion demeure le fil conducteur.
Dans leurs domaines respectifs, les consultants Synetis sont force de proposition et conseillent concrètement les commanditaires dans le respect de critères économiques, méthodologiques, organisationnels, réglementaires et technologiques. De plus, fort de l’expertise pointue des consultants Synetis et de multiples partenariats avec les principaux éditeurs de sécurité du marché, Synetis contribue quotidiennement à l’amélioration des solutions de sécurité. Découverte de vulnérabilités au sein de produits de sécurité renommés, open-source et d’éditeurs partenaires, ou tout simplement au cours de navigations sur Internet, les auditeurs Synetis réalisent constamment leurs missions avec une approche éthique couplée à une veille technologique continue. Ils développent et sont amenés à partager leurs outils avec la communauté.
Les auditeurs Synetis attachent une attention particulière à la qualité des travaux produits, aux livrables ainsi qu’à l’accompagnement des commanditaires. Les livrables produits par les auditeurs Synetis sont :
- Rigoureux, pertinents, précis ;
- Méthodiques et pragmatique ;
- Sources de haute valeur ajoutée et d’une qualité irréprochable au meilleur de l’état de l’art dans le domaine concerné de la prestation.
Nos domaines d'expertises.
Audits de sécurité
L’objectif d’un audit d’architecture est de rechercher des faiblesses dans la conception, dans le choix des protocoles utilisés ou du non-respect de pratiques recommandées en termes de sécurité. Un audit d’architecture est basé sur une analyse documentaire au suivi d’éventuels entretiens avec les personnes en charge de la conception, de la mise en œuvre, de l’administration, de la supervision et du maintien en condition opérationnelle du système d’information cible.
En outre, des analyses complémentaires peuvent être menées sur des échantillons de configuration réseau (ex : commutateurs, pare-feu) afin de compléter cet audit.
Synetis peut réaliser un audit de configuration de différentes briques tant logicielles que matérielles de votre système d’information.
Ces audits visent à prévenir la présence de directives de configuration qui pourraient conduire à une diminution du niveau de sécurité (au regard de l’état de l’art, de référentiels) tout en s’assurant que les configurations sont conformes avec l’architecture visée.
Synetis réalise des tests d’intrusion (interne, externe, applicatif) non destructifs) sur différents composants d’un SI. Ces tests permettent de simuler le comportement d’un individu malveillant, qu’il soit externe ou non à votre organisation. Chacune des vulnérabilités identifiées fait l’objet d’une qualification en suivant la méthodologie CVSS v3 (le Common Vulnerability Scoring System permet de caractériser et d’évaluer l’impact de vulnérabilités informatiques). Un plan d’actions est ensuite proposé à l’issue de chaque audit.
Le principe du test d’intrusion (aussi connu sous le nom de pentest) est de découvrir des vulnérabilités sur un système audité et de vérifier leur exploitabilité et leur impact, dans les conditions réelles d’une attaque sur le système (ou en dehors de celui-ci), à la place d’un attaquant potentiel.
L’audit de sécurité de codes fait partie de l’ensemble des audits de sécurité qui permettent d’évaluer le niveau de sécurité d’un ou plusieurs composants d’un système d’information.
La revue du code source est ainsi une étape primordiale qui permet d’identifier les implémentations ciblées par l’analyse et d’en évaluer la conformité. L’objectif principal est d’évaluer la sûreté de programmation du code afin de s’assurer que les règles de bonnes pratiques en terme de spécification et de conception ont été respectées :
- Utilisation de conventions de nommage cohérentes afin que le programmeur comprenne facilement le rôle de chaque fonction et paramètre (maintenance et maintenabilité) ;
- Niveau d’opacité des informations (aucune divulgation d’informations sensibles) ;
- Facilité d’utilisation (contrôle du séquençage des opérations).
Lors des audits organisationnels et physiques, l’auditeur Synetis va mener une analyse des politiques et procédures (internes ou externes) définies par votre organisation afin de vérifier leur conformité par rapport aux besoins de sécurité que vous exprimez. Synetis peut bien sûr vous aider à définir ces besoins. Dans une première phase, une analyse documentaire est réalisée, complétée ensuite par des entretiens avec les collaborateurs/directions concernés. Enfin, une prise d’échantillons techniques peut être réalisée en vue d’obtenir des preuves d’audit.
Audits de sécurité spécifiques
Les architectures des systèmes industriels ont subi d’importantes transformations ces dernières décennies. Ils sont en effet aujourd’hui fortement informatisés et interconnectés avec les systèmes d’information classiques (industrie 3.0), voire avec l’Internet (industrie 4.0).
Alors que la sécurité fonctionnelle (ou sûreté) est une problématique bien maîtrisée, les systèmes industriels sont désormais exposés aux mêmes cybermenaces que les systèmes d’information classiques.
Synetis réalise des missions dites « RedTteam ». Ce type d’attaques vise à simuler le point de vue d’un attaquant externe, motivé, ayant pour but de s’introduire sur le réseau de votre organisation en vue d’effectuer des opérations de sabotage, de vol de données stratégiques, d’installation de rançongiciels voire de logiciels de persistance, etc.
La méthodologie Synetis s’appuie sur trois voies pour accéder au SI de l’organisation : la voie informatique (intrusion logique), la voie cognitive (ingénierie sociale) et la voie physique (intrusion physique). Ces trois voies peuvent être utilisées en parallèle selon une méthodologie idoine.
Microsoft Active Directory est une brique centrale du système d’information de la plupart des entreprises. Un contrôleur de domaine Active Directory constitue une cible privilégiée pour un attaquant puisque sa compromission fournira à celui-ci un accès aux ressources de l’entreprise. Que ce soit dans un contexte d’audit ou suite à une compromission avérée, l’analyse de la sécurité de l’AD est essentielle et doit être appliquée de façon récurrente. Elle permet de réduire la surface d’attaque et de prévenir les risques d’abus, notamment l’escalade de privilège et la persistance d’un attaquant au sein du système d’information.
Cet audit spécifique regroupe un audit de configuration combiné avec un audit offensif de l’Active Directory.
La sécurité est avant tout une question de moyens et de processus mais aussi d’information claire et transparente vis-à-vis de ses clients. Il est donc indispensable que vous soyez très exigeant vis-à-vis de votre sous-traitant (hébergeur par exemple) en termes de sécurité, disponibilité et conditions d’exploitation.
La tendance actuelle conduit les entreprises à externaliser tout ou partie de leur système d’information. L’opération, souvent avantageuse, ne doit pas faire oublier les problématiques de sécurité qui ne sont pas toutes gérées par le fournisseur de service.
Synetis propose d’analyser la configuration de vos ressources au sein du cloud, entre autres le cloisonnement des ressources, les modalités d’accès aux consoles d’administration, l’accès à des services trop fortement exposés (ex : un serveur ElasticSearch « oublié » sur Internet).
En outre, ces audits sont agrémentés de conseils d’architecture notamment pour ce qui va concerner la ou les interconnexions avec votre SI.
Autres activités.
Synetis propose une offre d’analyse des applications mobiles Android. L’objectif est de vérifier :
• La sécurité des données de l’utilisateur ;
• La sécurité des serveurs auxquels les serveurs se connectent.
Lors de ces audits, une décompilation de l’APK est opérée en vue de réaliser une analyse statique. En outre, une analyse dynamique est réalisée en vue de vérifier le bon fonctionnement des mécanismes de sécurité propres à Android.
Souvent jugés sécurisés et robustes, les réseaux Wifi ou les implémentations qui gravitent autour de son usage présentent tout de même quelques faiblesses inhérentes au monde sans fil. Malgré tout, les attaques sur le Wifi ne sont pas simples à mettre en œuvre car elles nécessitent souvent des cartes capables d’injecter des trames ce qui est un prérequis nécessaire pour les attaques Wifi et la plupart des PC ne dispose pas de cette capacité.
Dans le cadre de ses travaux d’audit de sécurité, Synetis a mis en place une méthodologie dédiée pour auditer un réseau Wifi. Cette dernière comprend une approche boîte noire ainsi qu’une approche boîte grise.
Le « social engineering » aussi appelé « ingénierie sociale » en français, consiste à tromper la vigilance d’un collaborateur afin de pouvoir obtenir des informations sensibles ou de faire réaliser des actions malveillantes (ouverture de fichiers, arnaque au président etc.).
Les auditeurs de Synetis peuvent adopter une approche offensive et de sensibilisation en contextualisant leurs attaques (USB dropping, phoning, vishing, smsing, whatsapping, etc.).
L’audit à 360° permet de réaliser un état des lieux général de votre système d’information. Cet audit consiste d’abord à réaliser une étude documentaire basée sur, par exemple, les Plan d’Assurance Qualité, les Plans d’Assurance Sécurité, PSSI, schémas d’architecture, procédures d’administration et d’exploitation, Plan de Continuité d’Activité, Plan de Reprise d’Activité, l’analyse des stratégies, la gestion du Maintien en Conditions Opérationnelles et de Sécurité.
Dans un deuxième temps, une identification des autoroutes de compromission à l’encontre du SI de l’organisation peut aussi être organisée en temps contraint.
Synetis, fort de son expérience du milieu bancaire, peut vous accompagner dans l’établissement de votre conformité vis-à-vis du CSP. En outre, tout le savoir-faire de l’équipe audit, en particulier au travers de tests d’intrusion, pourra être mis à votre service pour valider les mesures mises en œuvre sur votre emprise SWIFT ainsi que tous les réseaux qui y accèdent.
Cryptanalyse statistique de mots de passe.
Une cryptanalyse statistique permet d’évaluer la robustesse globale des mots de passe Active Directory (ou autre référentiel) de ses collaborateurs, les taux de compromission potentielle et d’en déduire des indicateurs et/ou métriques.
Un des objectifs de cette prestation est également le renforcement des mots de passe et la sensibilisation des utilisateurs ainsi que la détermination des leviers nécessaires au renforcement des politiques et des briques composant le Système d’Information (SI) tout en permettant une sensibilisation contextualisée et récurrente.
- 1. Découverte algorithmique, d'analyse fréquentielle et de formatage des hashs
- 2. Attaques dictionnaires / worlist (contextualisés, communs, leaks)
- 3. Attaques hybrides sur les base de règles
- 4. Attaques d'analyse fréquentielles et rainbow-tables
- 5. Attaques brute-force sur la base de masques
- 6. Analyse des résultats et statistiques
- 7. Restitution des résultats
- Un pourcentage global de cassage réussi avoisinant les 80 % tous domaines, clients et secteurs confondus ;
- Plusieurs centaines de milliers / millions de mots de passe analysés ;
- En moyenne, 50 % des mots de passe cassés en moins de 5 heures ;
- Des résultats concrets et complets sous 2 semaines d’analyse ;
- Une prestation réalisée avec du matériel standard, sans super-calculateur.
Une mission de cryptanalyse statistique donne lieu à un rapport dédié, comprenant l’ensemble des résultats et des indicateurs générés ; incluant une liste de recommandations, bonnes pratiques et un plan d’action.
Formations offensives dédiées.
Nourries par la R&D et les retours d’expérience de ses consultants, Synetis est en mesure de dispenser des formations à vos collaborateurs sur de nombreux sujets liés au thème majeur de la cybersécurité.
La durée des formations offensives varie, majoritairement déroulées sur une journée, certaines peuvent s’étendre jusqu’à 3 à 5 jours, permettant au consultant de Synetis d’aborder chaque thème de manière complète et d’apporter toutes les clés essentielles aux participants pour comprendre et assimiler la formation.
En matière de formation cybersécurité, le catalogue de la Practice Audit est composé de :
Vous trouverez en cliquant ici le lien complet des formations
Nos experts vous répondent.
Ces réponses fournissent une vue d'ensemble des pratiques de gestion de la cybersécurité et du rôle des équipes d'audit en matière de sécurité informatique. Elles peuvent servir de fondement solide pour améliorer votre posture de sécurité globale.
Nous réalisons tout type d’audit de cybersécurité, tels que :
- Pentest web : test d’intrusion sur les applications web pour identifier les vulnérabilités et les failles de sécurité.
- Test d’intrusion interne : test d’intrusion sur le réseau interne de l’entreprise pour évaluer la sécurité du système d’information.
- Test d’intrusion externe : test d’intrusion sur les systèmes exposés sur internet pour évaluer la sécurité du périmètre réseau.
- Test d’intrusion mobile : test d’intrusion sur les applications mobiles pour identifier les vulnérabilités et les failles de sécurité. Revue de code : analyse du code source des applications pour identifier les vulnérabilités et les failles de sécurité.
- Revue d’architecture : analyse de l’architecture du système d’information pour identifier les vulnérabilités et les failles de sécurité.
- Audit de configuration : vérification de la conformité des configurations des systèmes et des applications avec les bonnes pratiques de sécurité.
- Audit organisationnel : évaluation des processus et des procédures de sécurité de l’entreprise pour identifier les faiblesses et les axes d’amélioration.
Nous adaptons nos audits en fonction des besoins et des contraintes de chaque client, afin de fournir une évaluation précise et pertinente de leur niveau de sécurité.
Oui, nous sommes qualifiés PASSI (Prestataires d’Audit de la Sécurité des Systèmes d’Information) sur l’ensemble des portées définies par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).
Cette qualification atteste de notre expertise et de notre savoir-faire en matière de sécurité des systèmes d’information, ainsi que de notre capacité à réaliser des prestations d’audit de qualité.
Il n’est pas obligatoire de réaliser un audit sous qualification PASSI. Cependant, certaines entreprises peuvent être soumises à des obligations réglementaires ou contractuelles qui imposent la réalisation d’un audit de sécurité par un prestataire qualifié PASSI.
Dans tous les cas, la réalisation d’un audit de sécurité par un prestataire qualifié PASSI permet de bénéficier d’une expertise reconnue et d’une méthodologie éprouvée. Si vous choisissez de ne pas réaliser d’audit sous qualification PASSI, vous pouvez tout de même faire appel à une société qualifiée PASSI pour réaliser un audit, mais sans suivre l’ensemble des contraintes liées à un audit réalisé sous qualification PASSI.
L’objectif principal d’une mission d’audit “Red Team” est d’évaluer le niveau de sécurité d’une organisation en simulant une attaque réelle et ciblée, sans prévenir les équipes informatiques et de sécurité de l’entreprise. Cette approche permet d’évaluer la capacité de l’entreprise à détecter et à réagir efficacement aux menaces de sécurité, en identifiant les vulnérabilités et les failles de sécurité qui pourraient être exploitées par des attaquants malveillants.
Les résultats de l’audit “Red Team” permettent à l’entreprise de renforcer sa sécurité en mettant en place des mesures de protection adaptées et en améliorant ses processus de détection et de réponse aux incidents de sécurité.
Nous avons développé une offre de cryptanalyse statistique pour évaluer le niveau de robustesse de vos secrets, tels que les mots de passe Active Directory. Cette offre nous permet d’analyser la force et la complexité de vos mots de passe, ainsi que leur résistance aux attaques par force brute ou par dictionnaire.
En utilisant différents algorithmes mis en œuvre par notre équipe de R&D, nous pouvons évaluer le niveau de sécurité de vos secrets et vous fournir des recommandations pour améliorer leur robustesse. Nous pouvons également mener des actions de sensibilisation et de prévention pour aider vos utilisateurs à créer des mots de passe plus sécurisés et à adopter de bonnes pratiques en matière de sécurité des secrets.
En plus de notre offre de cryptanalyse statistique des secrets, nous proposons des campagnes de phishing sur mesure pour tester la vigilance de vos utilisateurs face aux tentatives d’hameçonnage. Nous pouvons également inclure des approches de typosquatting pour rendre les attaques plus réalistes.
Nous proposons également des formations de sensibilisation à la sécurité informatique, adaptées aux besoins de votre entreprise. Ces formations peuvent couvrir des sujets tels que la sécurité des mots de passe, la protection contre les logiciels malveillants, la sécurité des données, etc.
Il nous est aussi possible de mettre en place des programmes de sensibilisation à la sécurité informatique sur le long terme, comprenant des campagnes régulières de phishing, des formations et des évaluations pour mesurer l’efficacité de la sensibilisation et améliorer en continu la sécurité de votre entreprise.
La différence entre un test d’intrusion (pentest) et une mission Red Team réside principalement dans l’objectif et la portée de l’audit de sécurité.
Un test d’intrusion est un audit de sécurité classique qui vise à évaluer le niveau de sécurité d’un système d’information en simulant une attaque informatique. Le périmètre de l’audit est borné et limité dans le temps, et l’objectif est d’être le plus exhaustif possible dans l’identification des vulnérabilités et des failles de sécurité.
Une mission Red Team, en revanche, est un audit de sécurité grandeur nature qui vise à évaluer la capacité d’une organisation à détecter et à répondre à une attaque informatique réelle. Le périmètre de l’audit est très large et moins limité dans le temps, et l’objectif est d’adopter une approche furtive dirigée vers des trophées spécifiques, tels que l’accès à des données sensibles ou la prise de contrôle de systèmes critiques.
Concrètement, un test d’intrusion est un engagement de moyens dans un temps imparti pour identifier les vulnérabilités d’un système d’information, tandis qu’une mission Red Team est un engagement de moyens étendus pour évaluer la capacité d’une organisation à détecter et à répondre à une attaque informatique réelle.
Les auditeurs de Synetis peuvent être certifiés ou peuvent obtenir des certifications en suivant des formations au sein de Synetis.
Les certifications que nos auditeurs peuvent obtenir comprennent :
- le CEH (Certified Ethical Hacker),
- l’OSCP (Offensive Security Certified Professional),
- l’OSWP (Offensive Security Wireless Professional),
- l’OSWE (Offensive Security Web Expert),
- l’OSEP (Offensive Security Experienced Penetration Tester),
- l’OSED (Offensive Security Exploit Developer)
- le CRTP (Certified Red Team Professional).
Ces certifications garantissent que nos auditeurs possèdent les compétences et les connaissances nécessaires pour réaliser des audits de sécurité de qualité.
Les testeurs d’intrusion (pentesters) font face à plusieurs défis. Ils doivent constamment se tenir à jour avec les nouvelles technologies et les nouvelles méthodes d’attaque pour être en mesure d’identifier les vulnérabilités les plus récentes.
Ensuite, les infrastructures informatiques modernes sont de plus en plus complexes, ce qui rend la tâche des pentesters plus difficile pour identifier toutes les failles de sécurité potentielles.
Enfin, ils doivent être en mesure de communiquer efficacement avec les clients pour expliquer les risques identifiés et fournir des recommandations claires et exploitables pour améliorer la sécurité de leur système d’information.
Pour devenir testeur d’intrusion (pentester) chez Synetis, les compétences suivantes sont requises :
- Une solide compréhension des réseaux informatiques, des systèmes d’exploitation, des langages de programmation, des bases de données et des technologies web.
- Des connaissances approfondies en matière de sécurité informatique, notamment en ce qui concerne les vulnérabilités et les failles de sécurité courantes.
- La capacité à penser comme un attaquant et à identifier les vecteurs d’attaque potentiels.
- Une expérience pratique dans la réalisation de tests d’intrusion et l’utilisation d’outils de test de sécurité.
- D’excellentes compétences en communication, à la fois écrites et verbales, pour être en mesure de communiquer efficacement avec les clients et l’équipe de sécurité.
- Une volonté constante d’apprendre et de se tenir informé des dernières tendances en matière de sécurité informatique.
Synetis met en place des protocoles stricts de confidentialité et de sécurité des données pour protéger les résultats des audits et des tests d’intrusion de nos clients. Les données client sont chiffrées et nous ne divulguons les informations qu’aux parties autorisées.
Nous avons également des procédures en place pour la gestion des vulnérabilités et des failles identifiées, afin de garantir que les informations sensibles ne soient pas divulguées ou exploitées de manière malveillante.
Tous nos employés sont soumis à des accords de confidentialité stricts et sont formés aux pratiques de sécurité de l’information.
Synetis investit dans la formation continue de son équipe en organisant des sessions de recherche et développement, en participant à des conférences et des formations spécialisées, et en entretenant des partenariats avec des leaders de l’industrie pour rester à la pointe des développements en matière de sécurité informatique. Nous sommes également engagés dans des projets de recherche et de développement pour développer de nouveaux outils et techniques d’audit et de test d’intrusion.
Nous suivons de près les publications et les rapports de sécurité émis par les organismes de sécurité informatique reconnus, tels que le NIST et l’ANSSI, pour nous assurer que nos pratiques sont conformes aux normes les plus récentes de l’industrie.
