En matière de SSI (Sécurité des Systèmes d’Information), pour toute organisation, la sécurité doit être un enjeu capital de gouvernance. Selon Antoine COUTANT, Practice Manager de l’activité Audit chez Synetis, dans les années à venir, la menace cyber ne va pas vraiment évoluer mais elle va devenir davantage ingénieuse et surtout de plus en plus fréquente.
Face à la multiplication des cyberattaques et des menaces de plus en plus sophistiquées et ciblées, il est malheureusement constaté que certaines organisations peuvent encore être particulièrement vulnérables sur des questions de cybersécurité. Synetis, avec une approche offensive et défensive, est en mesure d’accompagner PME et grandes entreprises de la conception à l’implémentation jusqu’au maintien en condition opérationnelle de leurs environnements de sécurité.
Antoine Coutant - Synetis

« Ingénieur en Calcul Scientifique, je travaille depuis septembre 2000 dans le domaine de la sécurité informatique (cryptographie, SSI, développements logiciels, etc.). Je suis rompu aux techniques SSI, à la R&D, au renseignement de source ouverte ainsi qu’aux évaluations et audits de sécurité. Mon crédo : anticiper pour ne pas subir.»
Antoine COUTANT – Practice Manager Audit – Synetis

| Qu’est-ce qu’un audit de sécurité et pourquoi en réaliser un ?

Dans sa pièce de théâtre « Le Cid », Corneille écrit que « le trop de confiance attire le danger ». Cette phrase illustre parfaitement la façon dont la SSI doit être perçue. En effet, fermer les yeux est le meilleur moyen de ne pas voir arriver le danger, ni les problèmes. Ainsi, réaliser des audits de sécurité sur des périmètres ciblés permet de se prémunir de cet état de fait, de connaître ses faiblesses (pour les corriger ou les assumer) mais surtout de se rassurer en matière de SSI.

Selon la norme ISO 19011, un audit est un processus méthodique, indépendant et documenté permettant d’obtenir des preuves et de les évaluer de manière objective pour déterminer dans quelle mesure des critères préalablement définis sont satisfaits. Par définition, une évaluation est l’estimation de l’efficacité de mesures par rapport à des objectifs.

Ainsi, un audit permet d’établir une revue, un inventaire, un état des lieux. Il existe différents types d’audit : audit comptable, audit des systèmes de management, audit de sécurité.

Selon le référentiel des prestataires d’audit de la sécurité des systèmes d’information (PASSI) de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), concernant les audits de sécurité, différentes activités peuvent être considérées : l’audit d’architecture, de configuration, la revue de code source, les tests d’intrusion, l’audit organisationnel et physique et enfin l’audit de systèmes industriels. Chacun de ces audits couvre un aspect de la cybersécurité sur une cible.

En sécurité informatique, la règle d’or est de ne jamais faire confiance aux utilisateurs. Au-delà de la sensibilisation (qui devrait être mandatory pour chaque utilisateur), allons plus loin encore et inversons les rôles : dans quelle mesure les utilisateurs peuvent-ils faire confiance au système d’information sur lequel ils travaillent et évoluent ?

Pour répondre à cette question, il apparaît nécessaire de challenger ce système d’information, de colmater les éventuelles failles ou, si le risque est accepté, de connaître ses faiblesses.

| Est-il possible d’aller plus loin que l’audit de sécurité ?

Pour réaliser une attaque cyber, il existe trois voies différentes : la voie informatique, la voie cognitive ou la voie physique. Synetis est à même de réaliser une prestation dédiée selon chacune de ces voies. Notons que l’Humain est clairement le maillon faible (alors que, paradoxalement, il est aussi l’élément essentiel…), ainsi l’ingénierie sociale est une méthode qui prend de plus en plus d’ampleur.

En complément des prestations classiques d’audit de sécurité, Synetis réalise aussi des missions de type Redteam qui consistent à challenger la capacité de détection et de réponse à incident, en mettant à l’épreuve les infrastructures physiques, techniques ainsi que des collaborateurs d’une organisation. Le Redteam est une suite logique des activités d’audits de sécurité.

L’approche Redteam de Synetis vise à simuler des attaques réalistes (non-destructives), pour éprouver en profondeur la sécurité d’un périmètre donné. Cette approche permet de gagner en efficacité et de mener des scénarios d’attaques avancés (intrusion logique, ingénierie sociale, phishing, etc.).

En matière de Redteam, après une étape non offensive de collecte d’informations sur la cible visée (étape d’OSINT), la démarche de Synetis consiste en un audit offensif suivi d’une phase d’ingénierie sociale puis d’attaques de proximité et/ou physiques.

| Quelle est la réponse de Synetis ?

Synetis se positionne comme un partenaire de proximité capable d’accompagner ses clients dès la phase d’expression de besoins jusqu’au déploiement opérationnel. Son activité d’audit est en mesure d’intervenir sur l’ensemble des domaines de l’audit de sécurité (tels que définis par l’ANSSI) mais également sur des missions plus pointues telles que le Redteam, l’accompagnement ou la qualification et gestion des vulnérabilités. Enfin, inclus dans son activité d’audit, Synetis offre également une démarche CSIRT (Computer Security Incident Response Team) qui permet de gérer les risques, de rédiger des procédures mais aussi de communiquer, à travers des lettres mensuelles, les problématiques techniques dans une configuration managériale.

En particulier, Synetis veille à maintenir une équipe compétente, motivée et surtout capable d’objectivité, sans conflit d’intérêt. En matière d’audit de sécurité, Synetis adopte une approche méthodique, éthique et white-hat*.

Les auditeurs de Synetis réalisent une veille technologique quotidienne, rédigent des articles dans des magazines spécialisés, participent et créent de nombreux challenges mais sont aussi actifs dans le monde de la cybersécurité ; notamment sur de nombreux programmes de Bug Bounty où ils sont classés dans les Top 5.

Synetis accompagne ses clients pour mieux prendre en compte le problème de la SSI, à savoir, de façon cyclique, se connaître, s’estimer, s’assurer et se rassurer. Choisir Synetis, c’est s’assurer de choisir des experts du domaine au sein d’une équipe motivée, aux compétences affirmées et reconnues. Riche d’une expertise et d’un savoir-faire aussi bien fonctionnel que technologique, Synetis offre une démarche complète combinant l’offensif avec le défensif.

Synetis – Parole d’expert© – Septembre 2019

Retrouvez les membres de l’équipe Synetis dans l’espace Hexatrust et suivez l’atelier « Mission RedTeam : De la détection à la réponse à incident » du 09 au 12 octobre 2019 aux Assises de la sécurité | Monaco.