Audits IT et industriels

Par une simulation d’attaques réalistes, les tests d’intrusion permettent de déceler les failles potentielles, souvent invisibles mais gravement vulnérables pour l’entreprise. Ils offrent une perspective unique sur la façon dont un attaquant pourrait exploiter ces vulnérabilités, permettant aux entreprises de prendre des mesures proactives pour renforcer leur sécurité.

 Objectifs :

Simuler les actions d’un attaquant sur Internet ou d’une personne ayant accès au réseau interne de l’entreprise client

- Externes (depuis Internet)

- Internes (connecté au réseau de l’entreprise)

- Périmètre de réalisation : réseau interne, applicatifs, systèmes embarqués, etc. :

- En « Boîte noire » : Sans information sur le système audité. Ces tests simulent les attaques d’un pirate informatique sur Internet.

- En « Boîte grise » : En ayant connaissance de comptes applicatifs permettant de vérifier le niveau de sécurité des fonctionnalités du périmètre une fois authentifié.

- En « Boîte blanche » : En ayant connaissance de comptes applicatifs et de l’ensemble des éléments d’architecture du système audité. Ces tests permettent de donner un avis plus pertinent sur le niveau des protections applicatives et réseaux.

	Un rapport d’audit présentant la démarche d’audit, l’ensemble des tests réalisés, les résultats d’audit ainsi que les préconisations permettant de corriger les vulnérabilités détectées. Un support de restitution des résultats est également fourni.

Les applications web ne sont pas seulement des vitrines digitales ou des plateformes de services, elles représentent la première ligne de défense contre les attaques informatiques. Ces portails numériques, sont généralement les premiers points de contact entre une entreprise et le monde extérieur, et deviennent ainsi des cibles privilégiées pour les acteurs malveillants. 


Le test d’intrusion web se réalise en 3 étapes clés : 

1) Analyse de l’application web
- Reconnaissance et énumération de votre application web. 
- Identification de vulnérabilité grâce à l’expertise de nos auditeurs. 
- Présentation des résultats d’une analyse exhaustive basée sur le référentiel OWASP. 


2) Restitution d’un livrable
- Rapport détaillé avec les résultats des tests réalisés et les vulnérabilités identifiées.
- Préconisation des corrections pour améliorer la protection de l’application web.
- Conseils personnalisés et adaptation au métier client. 


3) Defriefing avec un expert
- Réunion avec un expert en cybersécurité pour commenter et expliquer les résultats du rapport technique.
- Partage des actions prioritaires à effectuer pour sécuriser l’application web.
- Proposition de solutions pour solutionner les vulnérabilités.

Aujourd'hui, les applications mobiles font partie intégrante de notre quotidien et sont déployées à des milliers d'exemplaires chaque jour. Un nouvel enjeu consiste à sécuriser ces applications afin d'éviter qu'un attaquant en fasse une porte d'entrée potentielle.


Le test d’intrusion mobile se réalise en 3 étapes clés : 

1. Analyse de l’application mobile 
- Identification des vulnérabilités grâce à l’expertise de nos auditeurs 
- Utilisation d’outils automatiques en fonction de la taille du périmètre audité
- Présentation des résultats d'une analyse exhaustive basée sur le référentiel OWASP Mobile Application Security


2. Restitution d’un livrable 
- Rapport détaillé avec les résultats des tests réalisés et les vulnérabilités identifiées 
- Préconisation de corrections pour améliorer la sécurité de votre application mobile 
- Conseils personnalisés et adaptation au contexte de votre entreprise 


3. Debriefing avec un export
- Réunion avec un expert en cybersécurité pour commenter les résultats du rapport.
- Partage des actions prioritaires à mener pour améliorer la sécurité de votre application mobile
- Proposition de solutions pour améliorer la sécurité de votre application mobile et protéger votre entreprise contre les pertes financières liées aux cyberattaques.

À l'ère de l'Internet des Objets (IoT), la connectivité omniprésente s'étend bien au-delà des frontières des applications mobiles traditionnelles. Aujourd'hui, l'IoT joue un rôle central dans notre vie quotidienne, avec des milliards d'appareils interconnectés. Cependant, cette interconnectivité accrue expose également les dispositifs IoT à des risques de sécurité importants, nécessitant une attention particulière pour garantir la protection des données sensibles et prévenir d'éventuelles cyberattaques.


Lorsqu'un dispositif IoT est compromis, les conséquences peuvent aller de la fuite de données sensibles à la manipulation de la fonctionnalité du dispositif. Les attaquants pourraient chercher à exploiter des vulnérabilités pour accéder à des informations confidentielles, perturber les opérations normales du dispositif, ou même compromettre l'intégrité des serveurs associés à l'écosystème IoT.


Afin de mitiger ces risques de sécurité liés à l'IoT et de prévenir d'éventuelles pertes financières, il est recommandé de procéder à des tests d'intrusion réguliers sur vos dispositifs IoT.  Notre laboratoire est spécifiquement équipé pour détecter et corriger les vulnérabilités, garantissant ainsi la sécurité optimale de vos dispositifs IoT. 
Le test d’intrusion IoT se réalise en 3 étapes : 

1. Analyse du dispositif IoT
- Identification des vulnérabilités grâce à l'expertise de nos auditeurs
- Utilisation d'outils automatiques adaptés à l'envergure de l'écosystème IoT audité
- Présentation des résultats d'une analyse exhaustive basée sur les normes de sécurité propres à l'IoT


2. Restitution d'un livrable
- Rapport détaillé exposant les résultats des tests effectués et les vulnérabilités identifiées
- Recommandations de corrections visant à renforcer la sécurité de votre dispositif IoT
- Conseils personnalisés adaptés au contexte de votre entreprise


3. Debriefing avec un expert
- Réunion avec un spécialiste en cybersécurité pour discuter des résultats du rapport
- Partage des actions prioritaires à entreprendre pour améliorer la sécurité de votre dispositif IoT
- Proposition de solutions visant à renforcer la sécurité de votre dispositif IoT et à protéger votre entreprise contre les pertes financières liées aux cyberattaques.

  L’audit d’architecture s’inscrit en général dans un cycle d’audit complet et est souvent effectué en préambule de tests d’intrusion ou d’audit de configuration.

  L’audit d'architecture se déroule en 3 étapes clés : 

- Une analyse des différents supports fonctionnels et techniques : plan d’adressage, cloisonnement du système d’information en sous-réseaux, access-list, etc.

- Une étude des technologies et méthodes retenues, de leur mode d’implémentation (par exemple : un focus sur les modules d’authentification et les mécanismes de filtrage).

- Une approche globale du périmètre afin de modéliser fonctionnellement le système et identifier les vecteurs d’attaque les plus pertinents par rapport au flux de données à protéger.

	Un rapport présentant les résultats d’audit, les non-conformités identifiées et un support de restitution des résultats.

Objectifs :

S’assurer que les processus du management de la sécurité, décrits et appliqués, sont conformes aux besoins de sécurité de l’audité, à son référentiel interne (s’il existe), à l’état de l’art ou aux normes adaptées (ou en vigueur) dans son périmètre :

- Conformité du référentiel interne de sécurité

Adéquation documentaire : stratégie, plan d’actions, politique, directives de la sécurité, charte, procédures d’exploitation de sécurité (gestion des droits, continuité et reprise informatique, sauvegarde et restauration, maintien en conditions de sécurité, gestion des incidents…), etc.

- Conformité de la sécurité physique et logique du système d’information

Adéquation et efficacité des dispositifs techniques de sécurité : accès physique aux équipements, accès logiques (procédures d’identification/authentification), cloisonnement logique et physique, sécurité aux interconnexions, configuration et paramétrage, surveillance et détection, développement sécurisé, etc.

- Conformité de la sécurité physique de l’organisme

Adéquation et efficacité des dispositifs techniques de sécurité : accès physiques (badges, etc…), détection des intrusions (alarmes, vidéoprotection etc…), sécurité environnementale (incendie, inondations, séisme, secours énergétique…).

  Périmètres d’évaluations CC (ISO/IEC 15408) ou CSPN, ou d’applicatifs.

Objectifs :

- Analyser et détecter les erreurs de conception pouvant engendrer une non-conformité vis-à-vis des bonnes pratiques de programmation, et provoquer un comportement incohérent de l’application pouvant amener, en cas d’exploitation, à une vulnérabilité

- Analyser et détecter les chemins d’attaque potentiels par l’intermédiaire d’erreurs de développement pouvant amener à une exploitation des manquements par un attaquant (absence de contrôle d’accès sur les fonctionnalités sensibles, mauvaise gestion des données d’entrée, etc.). 

	Un rapport présentant les résultats d’audit, les non-conformités identifiées et un support de restitution des résultats.

Objectifs :

Mettre en conformité l’infrastructure de nos clients avec les référentiels internes existants, en intégrant les bonnes pratiques en matière de sécurité (normes, guides de configuration, etc.) :

- Non intrusif (contrairement aux tests d’intrusion)

- Ne nécessite aucune installation de logiciel sur les systèmes à auditer

- Peut être parfaitement mené sur des systèmes en production, sans risque de perte de données ou de service.

	Un rapport présentant les résultats d’audit, les non-conformités identifiées et un support de restitution des résultats.

Oppida est qualifié Prestataire d’Audit de la Sécurité des Système d’Information (PASSI) selon le référentiel défini par l’ANSSI sur l’ensemble des portées, à savoir :

- Audits d’architecture

- Audits de configuration

- Audits de code source

- Tests d’intrusion

- Audits organisationnel et physique

Nous réalisons de nombreux audits basés sur des référentiels et réglementations spécifiques :

Conformité :

- Audits de conformité au référentiel PCI-DSS (Visa Master-Card)

- Audits de conformité ANJ : audit de conformité des règles de jeu, audit de générateurs de nombres aléatoires, audit de code, audit de certification, etc.

Homologation :

- Audits de conformité HELIOS : homologation des dispositifs de dématérialisation des opérations en comptabilité publique (Arrêté du 27 juin 2007)

- Audits de conformité ACTES : homologation des dispositifs de télétransmission des actes soumis au contrôle de légalité dans le cadre de la dématérialisation des actes des collectivités (Arrêté du 19 octobre 2005)

Certification et qualification :

- Evaluation de la conformité eIDAS, en vue d’une qualification par l’ANSSI sur l’ensemble des services de confiance éligibles à savoir :

- Délivrance de certificats qualifiés de signature électronique, de cachet électronique et d’authentification de site internet

- Validation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés

- Conservation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés

- Horodatage électronique qualifié

- Envoi recommandé électronique qualifié

- Evaluation PVID sur les 3 domaines de compétences reconnus par l’ANSSI à savoir :

- Evaluation de la conformité

- Tests « informatiques » relatifs à la biométrie

- Tests « physiques » relatifs à la biométrie

- Audits Certification RGS

- Audits de systèmes industriels

Autres audits spécifiques :

- Audits de technologies spécifiques : audit Wifi, VOIP, terminaux mobiles, Bluetooth

- Homologation et audits de systèmes de vote électronique