La sécurité informatique et internet au service des entreprises
Accueil | Produits & Services | Documentation | Partenaires | Références | A propos | Contact | Flux RSS | Flux RSS Facebook Recherche 
 

Produits & Services
Appliance de sécurité
Prestations d'Audits : audit intrusif, de vulnérabilités, ...
Hébergement sécurisé
Serveur de mails
Recouvrement de mot de passe
SecuriteInfo.com AntiPub
Formations
SecuriteInfo.com sur Facebook
Le Grand Livre
Le grand livre de Securiteinfo.com sécurité informatique et internet
Tout notre savoir faire en 319 pages. Commandez le maintenant !
Initiation
Qu'est-ce que le piratage informatique ?
Introduction à la sécurité informatique
Sécurisation de vos données informatiques : Quels enjeux pour votre entreprise ?
Principes de sécurité informatique et évolution du marché
Initiation à la cryptographie
Principaux types d'attaque
Open Source et sécurité
Modélisation
Le Compartemented Mode Workstation
Le modèle "Bell La Padula"
La méthode FEROS
Classes de Fonctionnalité
Les contrats de licence et la Sécurité Informatique
Laboratoire
LibClamAV Warning : RAR code not compiled-in
myServer 0.7
TrackMania DoS
Pablo FTP 1.77
CuteNews 1.3
myServer 0.4.3
Pablo Baby Web Server 1.51
Téléchargements
NetAudit pour Android
Ebooks
WinSSLMiM
WinTCPKill
WinDNSSpoof
ICMP Shell Detect
Domino Hash Breaker

Les différents services d'audits du Système d'Information



Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Netvibes Google Bookmarks Technorati StumbleUpon Sphinn Scoopeo Tapemoi VisitezMonSite MisterWong Fr Wikio FR Fuzz Blogonet Yoolink Viadeo



Introduction


En France, comme ailleurs dans le monde, il est très difficile d'estimer et d'identifier le nombre d'entreprises piratées.

Il est encore plus délicat d'estimer les coûts, directs et indirects, de ces actes de malveillance. Le Clusif vient pourtant d'émettre une alerte pour avertir qu'une très grande majorité d'entreprises n'a pas de plan de secours et qu'en cas d'incident un grand nombre de sociétés ne seraient pas en mesure de récupérer ses données ou de continuer son activité. Ce qui veut dire concrètement que, dans ce cas, elles ne sont pas en mesure de récupérer rapidement leurs données pour continuer normalement leur activité. Il est facile d'imaginer alors les conséquences dramatiques que cela entraîne tant sur le plan financier qu'humain.

Une étude réalisée aux Etats Unis démontre qu'en un an, (1999 à 2000) le coût du piratage serait passé de 265 millions de dollars à 378 millions de dollars (source Computer Security & FBI) soit une progression de 42 %.
Pire encore, selon une étude du cabinet Deloitte, plus de 83% des systèmes informatiques des institutions financières ont connu des problèmes de sécurité en 2004. Phénomène alarmant en pleine croissance, le même sondage ne révélait "que" 39 % de systèmes vulnérables en 2003. "Virus, vers informatiques, programmes malicieux, sabotage et usurpation d´identité", sont autant de moyens d'attaquer les systèmes cibles selon Ted DeZabala, un porte-parole de Deloitte & Touche. Parmi les révélations de cette enquête, les attaques réalisées tant de l´extérieur que de l´intérieur de l´entreprise... Télécharger le rapport complet de l'étude

Pourtant, il est véritablement possible de réduire significativement ces risques en menant une politique de sécurité efficace pour un coût raisonnable. Le premier réflexe à avoir est de se poser la question de l'état des lieux : "Qu'en est-il de mon Système d'Information ? Les moyens nécessaires à sa protection et son intégrité ont-ils été mis en oeuvre ?"

Pour répondre à ces questions, il est nécessaire de commencer par prendre une photographie à un instant T du périmètre à évaluer. Cette "photographie" est un Audit. Il existe plusieurs catégories d'audits pouvant être mis en oeuvre dans une entreprise :

  • Audit "Boîte blanche"
    		•
  • Audit "Boîte noire"
    		•
  • Audit "Intrusif"
    		•
  • Audit de "Vulnérabilités"
    •
  • Audit "de code"
    •
  • Audit "organisationnel"

    • Audit "Boîte Blanche"

    Est appelé « audit boîte blanche », tout audit de sécurité dont les informations sont fournies par le client. Il permet de réaliser d'une manière totalement transparente, une vue complète de la sécurité en place sur les plans technique et organisationnel.
    Cet audit de prévention se révèle très utile avant la mise en ligne d'un site web ou la mise en production d'architectures réseaux.


    Procédure utilisée :

    • Le Client fournit à notre équipe tous les documents de la cible (pages sources d'un site web, plan d'architecture, documents organisationnels...)
    • L'équipe audite, étudie, teste et vérifie la cible.
    • Un compte rendu est rédigé par SecuriteInfo.com soulignant les éventuelles faiblesses de la cible.
    • Une série de préconisations hiérarchisées est établie afin de permettre au Client de sécuriser son Système d'Information.
    • Une réunion post-audit a lieu dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

    Audit "boîte noire"

    A l'inverse de l'audit boîte blanche, l'audit boîte noire est un audit de sécurité qui se fait à l'aveugle. Le client ne donne pas d'information concernant son système d'information.
    Concrètement, un audit boîte noire permet, par exemple, de valider un site web déjà mis en place et permet d'avoir une vue complète de la sécurité sur le plan technique.
    Nous proposons deux sortes d'audit boîte noire :


    Audit "Boîte Noire" de réseau interne

    Cet audit de sécurité permet de valider la sécurité à l'intérieur du réseau d'entreprise. En effet, selon les statistiques, 80% des méfaits informatiques sont d'origine interne à l'entreprise. Securiteinfo.com recherche toutes données sensibles accessibles via le réseau afin d'en informer le Client.

    L'audit Boîte Noire de réseau interne est effectué de la manière suivante :

    • Le Client met à la disposition une connexion sur son réseau.
    • Le Client ne fournit aucune autre information
    • L'équipe de SecuriteInfo.com connecte une de ses machines sur le réseau et met tout en oeuvre pour tester le réseau et accéder aux informations.
    • Un compte rendu est rédigé par SecuriteInfo.com montrant les forces et les faiblesses du Système d'Information.
    • Une série de préconisations hiérarchisées est établie afin de permettre au Client de sécuriser son Système d'Information.
    • Une réunion post-audit a lieu dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

    Audit "Boîte Noire" de l'extérieur

    Cet audit de sécurité permet de valider la sécurité de la partie publique de l'entreprise (site web par exemple). Cette partie publique est la vitrine de l'entreprise. Elle est donc essentielle à l'image de celle-ci. Securiteinfo.com se met donc à la place d'un internaute malveillant et recherche toutes faiblesse de la zone publique.

    L'audit Boîte Noire de l'extérieur est effectué de la manière suivante :

    • Le Client ne met rien à la disposition de l'équipe de SecuriteInfo.com
    • L'audit est réalisé en dehors de l'entreprise
    • L'équipe de SecuriteInfo.com tente de pénétrer le Système d'information du Client.
    • L'équipe de SecuriteInfo.com laisse des traces de son passage (fichiers textes) prouvant qu'il y a eu entrée dans le Système d'Information du Client.
    • Un compte rendu est rédigé par SecuriteInfo.com montrant les forces et les faiblesses du Système d'Information.
    • Une série de préconisations hiérarchisées est établie afin de permettre au Client de sécuriser son système d'information.
    • Une réunion post-audit a lieu dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

    Audit "intrusif"

    Cet audit de sécurité a pour objectif de valider le niveau d'imperméabilité à d'éventuelles intrusion de votre réseau d'entreprise.
    Il peut être mené depuis l'extérieur de l'entreprise pour voir si il est possible de contourner les sécurités existantes pour pénétrer le réseau.
    Il est aussi possible de mener cet audit depuis un point donné de votre réseau pour voir si il est possible d'accéder à d'autres parties du réseau interne.

    L'audit Intrusif est effectué de la manière suivante :

    • Le Client ne met rien à la disposition de l'équipe de SecuriteInfo.com
    • L'audit est réalisé en dehors de l'entreprise ou à partir d'un point déterminé du réseau
    • L'équipe de SecuriteInfo.com tente de pénétrer le Système d'information du Client.
    • L'équipe de SecuriteInfo.com laisse des traces de son passage (fichiers textes) prouvant qu'il y a eu entrée dans le Système d'Information du Client.
    • Un compte rendu est rédigé par SecuriteInfo.com montrant les forces et les faiblesses du Système d'Information.
    • Une série de préconisations hiérarchisées est établie afin de permettre au Client de sécuriser son système d'information.
    • Une réunion post-audit a lieu dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

    Audit de "vulnérabilités"

    L'audit de vulnérabilité a comme son nom l'indique pour objectif d'identifier les vulnérabilités présentes dans un système.
    Il s'agit généralement d'identifier les failles ou faiblesses existantes sur votre réseau au niveau des :
    • systèmes d'exploitation,
    • logiciels,
    • configurations des stations de travail ou serveurs,
    • etc.

    Audit "de Code"

    L'audit de code permet de valider la sécurité d'un programme.
    Concrètement cela permet de valider la sécurité de tout programme écrit en HTML, PHP, ASP, Perl, Java, Javascript, C, C++, etc.

    L'Audit de Code est réalisé de la manière suivante :

    • Le client met à la disposition de l'équipe de SecuriteInfo.com les sources du site internet ou de l'application à tester.
    • L'équipe de SecuriteInfo.com teste et valide les codes fournis.
    • Un compte rendu est rédigé par SecuriteInfo.com montrant les forces et les faiblesses des codes testés.
    • Une série de préconisations hiérarchisées est établie afin de permettre au Client de sécuriser les codes audités.
    • Une réunion post-audit a lieu dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

    Audit "Organisationnel"

    L'audit organisationnel prend en compte la sécurité en général dans l'entreprise.
    Tout en respectant les contraintes de budget et de structure, il permet d'apprécier les éléments suivants :

    • Appréciation générale de la sécurité
    • Appréciation de la sécurité physique
    • Appréciation de la sécurité organisationnelle
    • Appréciation des études et réalisations
    • Appréciation de la production
    • Appréciation de l'exploitation
    • Appréciation logique et télécoms
    • Un compte rendu détaillé est rédigé par SecuriteInfo.com pour mettre en évidence les forces et les faiblesses de chaque catégorie appréciée
    • Une série de préconisations hiérarchisées est établie


    Nous contacter pour en savoir plus

    N'hésitez pas à contacter nos experts pour toute information complémentaire, étude et chiffrage gratuit d'une prestation d'audit.

    Par téléphone :
      Un numéro unique 03 44 39 76 46
    Par email :
    Par courrier :

      SecuriteInfo.com
      266, rue de Villers
      60123 Bonneuil en Valois
      France

    Cybercriminalité
    Cybercriminalité : le piratage politique
    Que faire lors d'une attaque ?
    Cybercriminalité : Comment porter plainte ?
    Cryptographie
    La cryptographie à algorithmes symétriques
    Les mots de passe à usage unique (OTP : One Time Password)
    Le chiffrement AES
    Les fonctions de hachage
    Attaques et faiblesses du SSL : Secure Socket Layer
    Le tunneling
    IPSec
    Technologies de la sécurité informatique
    Technologie
    Choisir un mot de passe robuste
    Les firewalls
    Les antivirus gratuits en ligne et professionnels
    La biométrie : L'informatique au service de l'authentification des personnes
    Sécurité des réseaux Wifi et Wardriving
    Les enjeux sécuritaires de la 3G
    Les sauvegardes : enjeux et choix des supports
    Malwares
    Les différents types de malwares
    Statistiques des malwares capturés par notre pot de miel
    Statistiques des malwares détectés sur des sites web infectés
    Chevaux de Troie (ou Trojans) expliqués
    Fonctionnement des Key Loggers (enregistreurs de touches)
    Découverte des Espiogiciels (Spywares)
    La collecte d'information grâce au Social Engeeriering
    Explication du fonctionnement des emails de Spam Images
    Attaques
    IP Spoofing
    DNS Spoofing
    Buffer Overflow
    Deni de Service Distribué (DDoS)
    Challenges de hacking
    SecuriteInfo.com – Oise / Picardie – 03.44.39.76.46 – SARL au capital de 15000 € – SIREN : 477 509 350 – TVA intracommunautraire : FR52477509350 – Déclaration CNIL n° 1014585 – Design by LNDM