Qu’il s’agisse du Mainframe (z/OS) ou de l’IBM i (AS/400), ces systèmes demeurent le cœur battant des infrastructures les plus sensibles — de la finance à la logistique. Pourtant, entre la raréfaction des expertises et l'ouverture croissante vers le cloud, leur sécurité est souvent sous-estimée.

Réputées pour leur robustesse historique, ces plateformes exigent aujourd'hui une configuration rigoureuse et une surveillance fine pour contrer des risques de plus en plus sophistiqués. Réaliser un audit, c'est transformer ces "boîtes noires" en piliers de confiance pour garantir la continuité de votre activité et la maîtrise de votre patrimoine numérique.

Contactez-nous

Audit de sécurité IBM Z (Mainframes Z/OS)

Le mainframe est aujourd’hui encore au cœur des systèmes d’information les plus critiques. Pourtant, la sécurité de ces environnements est souvent méconnue et les expertises se raréfient. Cette combinaison crée un risque croissant, alors même que ces systèmes hébergent les données et processus les plus sensibles des entreprises. Renforcer la sécurité du mainframe, c’est assurer la continuité, la confiance, et la maîtrise de votre patrimoine numérique.

 

Vos enjeux

Vous opérez dans des secteurs ultra-sensibles (banque, assurance, défense, santé) où le Mainframe Z/OS est le pilier de votre activité. Aujourd’hui, vous faites face à : 

  • Une perte de maîtrise technique : le départ à la retraite des experts Mainframe laisse des zones d’ombre dans la configuration de sécurité. 
  • Des exigences de conformité fortes : la nécessité de répondre à des évaluations rigoureuses comme la CSPN ou les Critères Communs. 
  • Un risque d’image et de continuité : Une compromission sur ce segment du SI impacte directement la survie de l’organisation. 

 

Nos solutions

Oppida, cabinet spécialisé depuis plus de 20 ans, apporte une solution concrète pour sécuriser votre Z/OS : 

  • Audit organisationnel : évaluation structurée de la sécurité organisationnelle et physique du mainframe couvrant la gouvernance, les processus opérationnels de sécurité et les mesures de protection des infrastructures et des actifs. 
  • Audit d’architecture : évaluation technique de l’architecture de sécurité du système d’information couvrant la gestion des identités, les accès d’administration, le cloisonnement réseau et les mécanismes de journalisation. 
  • Audit de configuration : évaluation de la configuration de sécurité de l’environnement mainframe (z/OS, RACF et DB2) basée sur les recommandations du STIG couvrant les mécanismes d’authentification, de contrôle des accès, de traçabilité et de durcissement du système.
  • Test d’intrusion : identification et exploitation des vecteurs d’attaque du mainframe liés aux services exposés, aux mécanismes d’authentification et aux mauvaises configurations du système et de ses applicatifs.
  • Audit de code : évaluation de la robustesse des mécanismes de sécurité, la gestion des accès aux ressources et aux données, l’implémentation des mécanismes cryptographiques et la robustesse des logiques applicatives, dans les différents langages supportés (COBOL, Java, REXX...). 
  • Une expertise issue de la R&D : nos méthodologies sont continuellement enrichies par les travaux de notre laboratoire interne. 
     

Audit de sécurité IBM i (AS/400)

Les AS/400, aujourd’hui plus communément appelés IBM i ou System i, sont des technologies largement utilisées dans de nombreux secteurs tels que la logistique, la grande distribution, ainsi que les banques et les assurances. Ces systèmes, centrés sur la gestion de bases de données, offrent une administration à la fois robuste et efficace des applications et des données.

 

Considérés comme les « petits frères » des mainframes, ils sont réputés pour leur faible exposition, mais aussi pour leur robustesse historique, leur stabilité, leurs performances et leur facilité de maintenance. Toutefois, avec l’intégration croissante de nouveaux composants et services, ces systèmes critiquent nécessitent une configuration fine et rigoureuse.

 

Vos enjeux

Vous utilisez l’IBM i pour sa gestion efficace des applications et données métier, mais vous faites face à de nouveaux défis : 

  • Une surface d’attaque étendue : une mauvaise configuration des services (FTP, Telnet, LDAP, POP3, DB2) peut introduire de nouvelles vulnérabilités.
  • Des configurations historiques obsolètes : accumulation de comptes privilégiés (SECOFR, SECADM), mauvaise politique de mots de passe ou encore accès mal configurés.
  • Le besoin de preuves de sécurité : vos partenaires et régulateurs exigent désormais des audits de configuration et des tests d’intrusion concrets.

 

Nos solutions

Oppida propose une approche structurée pour évaluer et durcir vos systèmes IBM i :

  • Le test d’intrusion : identification et exploitation des vecteurs d’attaque liés aux services exposés, aux mécanismes d’authentification et aux mauvaises configurations du système. Nous simulons des scénarios d’attaque réalistes tels que le détournement de profil (profile hijacking), abus de bibliothèques (Library List Poisoning via LIBL), injection SQL ou encore échappement de programme privilégié (Initial Program Breakout). 
  • L'audit de configuration : évaluation des paramètres et valeurs système, revue des privilèges des utilisateurs, de la politique de mot de passe, ou encore de la protection et du cloisonnement des objets.
  • Une expertise issue de la R&D : nos méthodologies sont continuellement enrichies par les travaux de notre laboratoire interne. 
     

On répond à vos questions

  • Quelles organisations sont concernées par ce type d’audit ?

    Les audits de sécurité concernent toute organisation disposant d’un système d’information critique ou manipulant des données sensibles : entreprises privées, institutions publiques, opérateurs d’infrastructures critiques, établissements financiers ou industriels.

  • Les résultats de l’audit sont-ils confidentiels ?

    Oui. Les informations collectées et les résultats des audits sont traités de manière strictement confidentielle et peuvent être couverts par des accords de confidentialité.

  • Quels secteurs sont principalement concernés ?

    les secteurs bancaire, aéronautique et assurance. 

  • Qu’est-ce que le « Library List Poisoning » ?

    C’est une technique où un attaquant détourne le chemin de recherche des programmes pour exécuter un code malveillant à la place du logiciel légitime.

  • L’audit de configuration est-il basé sur des standards ?

    Oui, nous nous appuyons sur notre expérience interne et sur les référentiels du durcissement officiels d’IBM. 

  • Quels types d’audits peuvent être réalisés ?

    Les audits peuvent couvrir différents périmètres, notamment la sécurité organisationnelle, l’architecture du système d’information, la configuration des infrastructures (dont les environnements mainframe), les tests d’intrusion ou encore l’audit de code source.

  • Combien de temps dure un audit de sécurité ?

    La durée dépend du périmètre et de la complexité du système audité. En pratique, un audit peut durer de quelques jours à plusieurs semaines, incluant les phases de préparation, d’analyse technique et de restitution.

  • Quel est le coût d’un audit de sécurité ?

    Le coût dépend principalement du périmètre technique, du nombre de systèmes à auditer et du niveau de profondeur attendu. Une estimation précise est généralement fournie après une phase de cadrage permettant d’identifier les besoins et les objectifs de l’audit.

  • Les audits perturbent-ils la production ?

    Les audits sont conçus pour minimiser l’impact sur les environnements de production. Certaines activités, comme les tests d’intrusion, peuvent être planifiées sur des plages spécifiques afin de limiter les risques opérationnels.

  • Qui doit participer à l’audit côté client ?

    Un audit implique généralement les équipes sécurité, les équipes infrastructure ou production, les responsables applicatifs et parfois les équipes métier afin de comprendre les processus et les contraintes opérationnelles.

  • À quelle fréquence faut-il réaliser un audit de sécurité ?

    Il est recommandé de réaliser un audit de sécurité de manière régulière, généralement tous les 1 à 3 ans, ou lors de changements majeurs du système d’information (nouvelle architecture, migration, nouvelles applications critiques).

  • Quels sont les livrables fournis à l’issue de l’audit ?

     
    À l’issue de l’audit, un rapport détaillé est remis, incluant les constats, l’analyse des risques, les vulnérabilités identifiées et un ensemble de recommandations priorisées pour améliorer la posture de sécurité.

Pourquoi

choisir Oppida ?

1

Une offre Sur-Mesure

Des prestations d’expertise, d’évaluation et de conseil pour maîtriser vos risques numériques.
2

Un tiers de confiance

Les agréments et accréditations obtenus sont autant de garanties qui concourent à assurer l’absence de pressions extérieures et la confidentialité des travaux réalisés.
3

Une expertise reconnue

Oppida est qualifié PASSI LPM « prestataires d’audit de la sécurité des systèmes d’information qualifiés pour les besoins de sécurité nationale ».

Découvrez nos

actualités