audit SSI

Connaître son niveau d'exposition aux cybermenaces !

#AUDIT

Un audit peut être défini comme un processus méthodique, indépendant et documenté permettant d’obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure des critères préalablement définis sont satisfaits. Ainsi, un audit permet d’établir une revue, un inventaire, un état des lieux.

En matière de SSI (Sécurité des Systèmes d’Information), pour toute organisation, la sécurité doit être un enjeu capital de gouvernance. Face à la multiplication des cyberattaques et des menaces de plus en plus sophistiquées et ciblées, il est malheureusement constaté que certaines organisations peuvent encore être particulièrement vulnérables sur des questions de cybersécurité. Synetis, avec une approche offensive et défensive, est en mesure d’accompagner PME et grandes entreprises de la conception à l’implémentation jusqu’au maintien en condition opérationnelle de leurs environnements de sécurité.

L’audit de sécurité informatique participe en effet à la confiance globale d’une organisation et permet de connaître les faiblesses de cette dernière voire de se rassurer.

La practice Audit SSI de Synetis est composée d’experts de l’intrusion possédant plusieurs années d’expérience en matière d’audit cybersécurité. Chaque membre de l’équipe apporte son expertise et participe au développement des compétences et des bases de connaissances. Notre expertise est de fournir un diagnostic clair, compréhensible par tous et détaillé de la sécurité d’un système d’information et/ou de processus. À ce titre et grâce à son expérience reconnue en audit de sécurité, Synetis propose des prestations d’audits « sur mesure » et garantit des travaux pragmatiques, dont le risque d’intrusion demeure le fil conducteur.
Dans leurs domaines respectifs, les consultants Synetis sont force de proposition et conseillent concrètement les commanditaires dans le respect de critères économiques, méthodologiques, organisationnels, réglementaires et technologiques. De plus, fort de l’expertise pointue des consultants Synetis et de multiples partenariats avec les principaux éditeurs de sécurité du marché, Synetis contribue quotidiennement à l’amélioration des solutions de sécurité. Découverte de vulnérabilités au sein de produits de sécurité renommés, open-source et d’éditeurs partenaires, ou tout simplement au cours de navigations sur Internet, les auditeurs Synetis réalisent constamment leurs missions avec une approche éthique couplée à une veille technologique continue. Ils développent et sont amenés à partager leurs outils avec la communauté.

Les auditeurs Synetis attachent une attention particulière à la qualité des travaux produits, aux livrables ainsi qu’à l’accompagnement des commanditaires. Les livrables produits par les auditeurs Synetis sont :

  • Rigoureux, pertinents, précis
  • Méthodiques et pragmatiques
  • Sources de haute valeur ajoutée et d’une qualité irréprochable au meilleur de l’état de l’art dans le domaine concerné de la prestation

Nos domaines d'expertises.

Audits de sécurité.

 

Audit d’architecture

    L’objectif d’un audit d’architecture est de rechercher des faiblesses dans la conception, dans le choix des protocoles utilisés ou du non-respect de pratiques recommandées en termes de sécurité. Un audit d’architecture est basé sur une analyse documentaire au suivi d’éventuels entretiens avec les personnes en charge de la conception, de la mise en œuvre, de l’administration, de la supervision et du maintien en condition opérationnelle du système d’information cible.
    En outre, des analyses complémentaires peuvent être menées sur des échantillons de configuration réseau (ex : commutateurs, pare-feu) afin de compléter cet audit.

En savoir plus.


Audit de configuration

    Synetis peut réaliser un audit de configuration de différentes briques tant logicielles que matérielles de votre système d’information.
    Ces audits visent à prévenir la présence de directives de configuration qui pourraient conduire à une diminution du niveau de sécurité tout en s’assurant que les configurations sont conformes avec l’architecture visée.

En savoir plus.


Tests d’intrusion

    • Synetis réalise des tests d’intrusion (non destructifs) sur différents composants d’un SI. Ces tests permettent de simuler le comportement d’un individu malveillant, qu’il soit externe ou non à votre organisation. Chacune des vulnérabilités identifiées fait l’objet d’une qualification en suivant la méthodologie CVSS v3 (le Common Vulnerability Scoring System permet de caractériser et d’évaluer l’impact de vulnérabilités informatiques). Un plan d’actions est ensuite proposé à l’issue de chaque audit.
    • Le principe du test d’intrusion (aussi connu sous le nom de pentest) est de découvrir des vulnérabilités sur un système audité et de vérifier leur exploitabilité et leur impact, dans les conditions réelles d’une attaque sur le système, à la place d’un attaquant potentiel.

En savoir plus.

 

Audit de code source

  • Utilisation de conventions de nommage cohérentes afin que le programmeur comprenne facilement le rôle de chaque fonction et paramètre (maintenance et maintenabilité)

  • Niveau d’opacité des informations (aucune divulgation d’informations sensibles)

  • Facilité d’utilisation (contrôle du séquençage des opérations)

En savoir plus.


Audit organisationnel et physique

      • Lors des audits organisationnels et physiques, l’auditeur Synetis va mener une analyse des politiques et procédures définies par votre organisation afin de vérifier leur conformité par rapport aux besoins de sécurité que vous exprimez. Synetis peut bien sûr vous aider à définir ces besoins. Dans une première phase, une analyse documentaire est réalisée, complétée ensuite par des entretiens avec les collaborateurs concernés. Enfin, une prise d’échantillons techniques peut être réalisée en vue d’obtenir des preuves d’audit.

En savoir plus.


Audit de systèmes industriels

Les architectures des systèmes industriels ont subi d’importantes transformations ces dernières décennies. Ils sont en effet aujourd’hui fortement informatisés et interconnectés avec les systèmes d’information classiques (industrie 3.0), voire avec l’Internet (industrie 4.0). Alors que la sécurité fonctionnelle (ou sûreté) est une problématique bien maîtrisée, les systèmes industriels sont désormais exposés aux mêmes cybermenaces que les systèmes d’information classiques.

En savoir plus.

Audits de sécurité spécifiques.


RedTeam

    Synetis réalise des missions dites “Redteam”. Ce type d’attaques vise à simuler le point de vue d’un attaquant externe, motivé, ayant pour but de s’introduire sur le réseau de votre organisation en vue d’effectuer des opérations de sabotage, de vol de données stratégiques, d’installation de rançongiciels voire de logiciels de persistance, etc. La méthodologie Synetis s’appuie sur trois voies pour accéder au SI de l’organisation : la voie informatique (intrusion logique), la voie cognitive (ingénierie sociale) et la voie physique (intrusion physique). Ces trois voies peuvent être utilisées en parallèle.

En savoir plus.


hack-open space

Audit AD

Microsoft Active Directory est une brique centrale du système d’information de la plupart des entreprises. Un contrôleur de domaine Active Directory constitue une cible privilégiée pour un attaquant puisque sa compromission fournira à celui-ci un accès aux ressources de l’entreprise. Que ce soit dans un contexte d’audit ou suite à une compromission avérée, l’analyse de la sécurité de l’AD est essentielle et doit être appliquée de façon récurrente. Elle permet de réduire la surface d’attaque et de prévenir les risques d’abus, notamment l’escalade de privilège et la persistance d’un attaquant au sein du système d’information. Cet audit spécifique regroupe un audit de configuration combiné avec un audit offensif de l’Active Directory.

En savoir plus.


sous-traitant

Audit conformité sous-traitant

    La sécurité est avant tout une question de moyens et de processus mais aussi d’information claire et transparente vis-à-vis de ses clients. Il est indispensable que vous soyez très exigeant vis-à-vis de votre sous-traitant (hébergeur par exemple) en termes de sécurité, disponibilité et conditions d’exploitation.

En savoir plus.


Audit environnement de développement

L’objectif est d’auditer l’architecture d’un environnement de développement à la recherche de faiblesses dans la conception, dans le choix des protocoles utilisés ou du non-respect des pratiques recommandées en termes de sécurité. L’audit est basé sur l’analyse de la documentation remise ainsi que sur d’éventuels entretiens avec les personnes en charge de la conception, de la mise en œuvre, de l’administration et du maintien en condition opérationnelle du système d’information cible.

En savoir plus.


Audit Cloud (IAAS)

La tendance actuelle conduit les entreprises à externaliser tout ou partie de leur système d’information. L’opération, souvent avantageuse, ne doit pas faire oublier les problématiques de sécurité qui ne sont pas toutes gérées par le fournisseur de service. Synetis propose d’analyser la configuration de vos ressources au sein du cloud, entre autres le cloisonnement des ressources, les modalités d’accès aux consoles d’administration, l’accès à des services trop fortement exposés (ex : un serveur ElasticSearch “oublié” sur Internet). En outre, ces audits sont agrémentés de conseils d’architecture notamment pour ce qui va concerner la ou les interconnexions avec votre SI.

En savoir plus.

Autres activités.


application mobile

Audit d’application mobile

Synetis propose une offre d’analyse des applications mobiles Android. L’objectif est de vérifier :
  • La sécurité des données de l’utilisateur
  • La sécurité des serveurs auxquels les serveurs se connectent
Lors de ces audits, une décompilation de l’APK est opérée en vue de réaliser une analyse statique. En outre, une analyse dynamique est réalisée en vue de vérifier le bon fonctionnement de mécanismes de sécurité propres à Android.

En savoir plus.


Audit WiFi

Souvent jugés sécurisés et robustes, les réseaux Wifi ou les implémentations qui gravitent autour de son usage présentent tout de même quelques faiblesses inhérentes au monde sans fil. Malgré tout, les attaques sur le Wifi ne sont pas simples à mettre en œuvre car elles nécessitent souvent des cartes capables d’injecter des trames ce qui est un prérequis nécessaire pour les attaques Wifi et la plupart des PC ne dispose pas de cette capacité. Dans le cadre de ses travaux d’audit de sécurité, Synetis a mis en place une méthodologie dédiée pour auditer un réseau Wifi. Cette dernière comprend une approche boîte noire ainsi qu’une approche boîte grise.

En savoir plus.


Social Engineering

Le « social engineering » aussi appelé « ingénierie sociale » en français, consiste à tromper la vigilance d’un collaborateur afin de pouvoir obtenir des informations sensibles ou de faire réaliser des actions malveillantes (ouverture de fichiers, arnaque au président etc.). Les auditeurs de Synetis peuvent adopter une approche offensive et de sensibilisation en contextualisant leurs attaques (USB dropper, phoning, etc.).

En savoir plus.

 

Audit 360°

L’audit à 360° permet de réaliser un état des lieux général de votre système d’information. Cet audit consiste d’abord à réaliser une étude documentaire basée sur, par exemple, les Plan d’Assurance Qualité, les Plans d’Assurance Sécurité, PSSI, schémas d’architecture, procédures d’administration et d’exploitation, Plan de Continuité d’Activité, Plan de Reprise d’Activité, l’analyse des stratégies, la gestion du Maintien en Conditions Opérationnelles et de Sécurité.

En savoir plus.

 

sécurité bancaire

Audit de conformité Swit

Synetis, fort de son expérience du milieu bancaire, peut vous accompagner dans l’établissement de votre conformité vis-à-vis du CSP. En outre, tout le savoir-faire de l’équipe audit, en particulier au travers de tests d’intrusion, pourra être mis à votre service pour valider les mesures mises en œuvre sur votre emprise SWIFT ainsi que tous les réseaux qui y accèdent.

En savoir plus.

Cryptanalyse statistique de mots de passe.

La santé d’un SI est très fortement liée aux mots de passe qu’il renferme. Employés, comptes applicatifs, de services, d’administration… Tous ces sésames sont très prisés et ciblés par des attaquants extérieurs mais aussi depuis l’interne. Malgré des bastions, de la fédération des identités ou de l’authentification-forte, qu’en est-il réellement de l’hygiène des mots de passe d’un référentiel donné, et du respect de la politique de mot de passe interne ?

Une mission de cryptanalyse statistique permet d’éprouver ces secrets, d’en extraire de la connaissance et des leviers nécessaires au renforcement des politiques et des briques composants le SI d’une entreprise ; tout en permettant une sensibilisation contextualisée et récurrente.
Une mission de cryptanalyse SYNETIS, ponctuelle ou récurrente (tous les 3 ou 6 mois), permet d’apporter des statistiques, indicateurs et métriques concrets aux décideurs :

  1. Combien de comptes
  2. utilisateurs peuvent être compromis en X heures ?
  3. Comment un mot de passe peut-il être cassé, par quelle méthode et en combien de temps ?
  4. Quelle est la répartition des comptes respectueux de la politique de mot de passe ?
  5. Quel est le ratio des comptes « *adm* », « *svc* », « *app* », etc. qui ont été cassés ?
  6. Quel est le Top10 des mots de passe utilisés par les collaborateurs ?
  7. Quels sont les « mots de base» les plus utilisés ?
  8. Quelle est la répartition des longueurs des mots de passe ?
  9. Quels sont les modèles / patterns / masks principalement utilisés par les utilisateurs ?
  10. Quel est l’indice global de robustesse des mots de passe des employés (Standards, ANSSI, etc.) ?
  11. Comment mon entreprise se situe-t-elle par rapport à des entreprises du même secteur ?
  12. Combien de mots de passe ont déjà fuités sur l’Internet ou le DarkWeb ?
  13. Quelles sont les habitudes de renouvellement de mot de passe des collaborateurs ?
  14. Quelle est la répartition des politiques de mot de passe et des utilisateurs compromis par domaine AD ?
  15. Quelle est la robustesse cryptographique et de la politique de mot de passe de tel ou tel référentiel ?

Avec récurrence : comment évolue le niveau de sécurité général des mots de passe de l’ entreprise ?

Formations offensives dédiées.

Nourries par la R&D et les retours d’expérience de ses consultants, Synetis est en mesure de dispenser des formations à vos collaborateurs sur de nombreux sujets liés au thème majeur de la cybersécurité. La durée des formations offensives varie, majoritairement déroulées sur une journée, certaines peuvent s’étendre jusqu’à 3 à 5 jours, permettant au consultant de Synetis d’aborder chaque thème de manière complète et d’apporter toutes les clés essentielles aux participants pour comprendre et assimiler la formation.

En matière de formation cybersécurité, le catalogue de la Practice Audit est composé de :

  • Formation API01 : Bonnes pratiques et sécurité dans le cadre d’un développement d’APIs
  • Formation AUTH01 : Mise en place de mécanisme d’authentification sécurisé (mire)
  • Formation AUTH02 : L’authentification-forte (MFA) – État de l’Art, diversité des facteurs, implémentations et avantages
  • Formation CLOUD01 : Sécurité des accès sur des solutions Cloud (AWS S3, Google Cloud)
  • Formation CRYPTA01 : Une approche offensive de la cryptographie
  • Formation FOR01 : Réponse à incident de sécurité
  • Formation OWASP01 : Suivi et illustration des recommandations du TOP Ten OWASP
  • Formation SECOF01 : Attaquer pour mieux se défendre
  • Formation SECOF02 : Comment attaquer un site Web pour mieux se défendre ?
  • Formation TLS01 : Sécurité, configuration et attaques des surcouches de chiffrement protocolaire
  • Formation WIN01 : Évaluer et renforcer la sécurité des postes de travail
  • Formation WIN02 : Comprendre les faiblesses et durcir les environnements Windows / Active Directory

 

Vous trouverez en cliquant ici le lien complet des formations

articles associés.