Découvrez l'ensemble

de nos offres d'audits

Picto test intrusionPicto audit architecturePicto Audit organisationnelPicto audit code sourcePicto audit configurationPicto audit PASSIPicto audit réglementaire

Tests d'intrusion

Objectifs :

Simuler les actions d’un attaquant sur Internet ou d’une personne ayant accès au réseau interne de l’entreprise client

 

  • Externes (depuis Internet)
  • Internes (connecté au réseau de l’entreprise)
  • Périmètre de réalisation : réseau interne, applicatifs, systèmes embarqués, etc. :
    • En « Boîte noire » : Sans information sur le système audité. Ces tests simulent les attaques d’un pirate informatique sur Internet.
    • En « Boîte grise » : En ayant connaissance de comptes applicatifs permettant de vérifier le niveau de sécurité des fonctionnalités du périmètre une fois authentifié.
    • En « Boîte blanche » : En ayant connaissance de comptes applicatifs et de l’ensemble des éléments d’architecture du système audité. Ces tests permettent de donner un avis plus pertinent sur le niveau des protections applicatives et réseaux.
 

Audits d'architecture

L’audit d’architecture s’inscrit en général dans un cycle d’audit complet et est souvent effectué en préambule de tests d’intrusion ou d’audit de configuration.

Il se déroule sur plusieurs aspects :

  • Une analyse des différents supports fonctionnels et techniques : plan d’adressage, cloisonnement du système d’information en sous-réseaux, access-list, etc.
  • Une étude des technologies et méthodes retenues, de leur mode d’implémentation (par exemple : un focus sur les modules d’authentification et les mécanismes de filtrage).
  • Une approche globale du périmètre afin de modéliser fonctionnellement le système et identifier les vecteurs d’attaque les plus pertinents par rapport au flux de données à protéger.

Audits organisationnel et physique

Objectifs :

S’assurer que les processus du management de la sécurité, décrits et appliqués, sont conformes aux besoins de sécurité de l’audité, à son référentiel interne (s’il existe), à l’état de l’art ou aux normes adaptées (ou en vigueur) dans son périmètre :

 

  • Conformité du référentiel interne de sécurité

Adéquation documentaire : stratégie, plan d’actions, politique, directives de la sécurité, charte, procédures d’exploitation de sécurité (gestion des droits, continuité et reprise informatique, sauvegarde et restauration, maintien en conditions de sécurité, gestion des incidents…), etc.

 

  • Conformité de la sécurité physique et logique du système d’information

Adéquation et efficacité des dispositifs techniques de sécurité : accès physique aux équipements, accès logiques (procédures d’identification/authentification), cloisonnement logique et physique, sécurité aux interconnexions, configuration et paramétrage, surveillance et détection, développement sécurisé, etc.

 

  • Conformité de la sécurité physique de l’organisme

Adéquation et efficacité des dispositifs techniques de sécurité : accès physiques (badges, etc…), détection des intrusions (alarmes, vidéoprotection etc…), sécurité environnementale (incendie, inondations, séisme, secours énergétique…).

Audits de code source

Objectifs :

  • Périmètres d’évaluations CC (ISO/IEC 15408) ou CSPN, ou d’applicatifs
  • Analyser et détecter les erreurs de conception pouvant engendrer une non-conformité vis-à-vis des bonnes pratiques de programmation, et provoquer un comportement incohérent de l’application pouvant amener, en cas d’exploitation, à une vulnérabilité
  • Analyser et détecter les chemins d’attaque potentiels par l’intermédiaire d’erreurs de développement pouvant amener à une exploitation des manquements par un attaquant (absence de contrôle d’accès sur les fonctionnalités sensibles, mauvaise gestion des données d’entrée, etc.). 

Audits de configuration

Objectifs :

Mettre en conformité l’infrastructure de nos clients avec les référentiels internes existants, et également les « bonnes pratiques » en matière de sécurité (normes, guides de configuration, etc.) :

  • Non intrusif (contrairement aux tests d’intrusion)
  • Ne nécessite aucune installation de logiciel sur les systèmes à auditer
  • Peut être parfaitement mené sur des systèmes en production, sans risque de perte de données ou de service.

Audits PASSI

ANSSI Visa de sécurité
ANSSI Visa de sécurité

Oppida est qualifié Prestataire d’Audit de la Sécurité des Système d’Information (PASSI) selon le référentiel défini par l’ANSSI sur l’ensemble des portées, à savoir :

  • Audits d’architecture
  • Audits de configuration
  • Audits de code source
  • Tests d’intrusion
  • Audits organisationnel et physique

Audits réglementaires

Nous réalisons de nombreux audits basés sur des référentiels et réglementations spécifiques :

 

Conformité :

  • Audits de conformité au référentiel PCI-DSS (Visa Master-Card)
  • Audits de conformité ANJ : audit de conformité des règles de jeu, audit de générateurs de nombres aléatoires, audit de code, audit de certification, etc.

 

Homologation :

  • Audits de conformité HELIOS : homologation des dispositifs de dématérialisation des opérations en comptabilité publique (Arrêté du 27 juin 2007)
  • Audits de conformité ACTES : homologation des dispositifs de télétransmission des actes soumis au contrôle de légalité dans le cadre de la dématérialisation des actes des collectivités (Arrêté du 19 octobre 2005)

Certification et qualification :

  • Evaluation de la conformité eIDAS, en vue d’une qualification par l’ANSSI sur l’ensemble des services de confiance éligibles à savoir :
    • Délivrance de certificats qualifiés de signature électronique, de cachet électronique et d’authentification de site internet
    • Validation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés
    • Conservation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés
    • Horodatage électronique qualifié
    • Envoi recommandé électronique qualifié
  • Evaluation PVID sur les 3 domaines de compétences reconnus par l’ANSSI à savoir :
    • Evaluation de la conformité
    • Tests « informatiques » relatifs à la biométrie
    • Tests « physiques » relatifs à la biométrie
  • Audits Certification RGS
  • Audits de systèmes industriels

 

Autres audits spécifiques :

  • Audits de technologies spécifiques : audit Wifi, VOIP, terminaux mobiles, Bluetooth
  • Homologation et audits de systèmes de vote électronique

Pourquoi

choisir Oppida ?

1

Une offre Sur-Mesure

Des prestations d’expertise, d’évaluation et de conseil pour maîtriser vos risques numériques.
2

Un tiers de confiance

Les agréments et accréditations obtenus sont autant de garanties qui concourent à assurer l’absence de pressions extérieures et la confidentialité des travaux réalisés.
3

Une expertise reconnue

Oppida est qualifié PASSI LPM « prestataires d’audit de la sécurité des systèmes d’information qualifiés pour les besoins de sécurité nationale ».