Audit de vulnérabilités

Accueil
Audit de vulnérabilités

OBJECTIFS​

  • Evaluer le niveau de sécurité du périmètre audité à un instant donné
  • Rechercher les vulnérabilités les plus courantes pouvant être utilisées par des attaquants
  • Réduire les risques que des attaquants exploitent votre réseau et obtiennent un accès non autorisé à vos systèmes et appareils
  • Renforcer sa conformité au RGPD en garantissant un niveau de sécurité adapté au risque numérique

Description​

Une vulnérabilité est une faille de sécurité informatique.

Elle peut se trouver au niveau des logiciels présents sur le réseau interne (progiciels, applicatif…) ou externe (applications web, extranet, sites web…), mais également au niveau du matériel. Une erreur de conception, d’installation ou de configuration est généralement à l’origine de cette vulnérabilité.

Ces failles de sécurité potentiellement exploitables par une personne malveillante doivent absolument être repérées et corrigées. C’est l’objet d’un scan de vulnérabilités. Le scan consiste à explorer de façon automatisée l’ensemble des composants du système d’information à la recherche de failles de sécurité.

Un grand nombre d’équipements différents peuvent être testés : ordinateur, serveur, routeur, pare-feu, application, site web, objet connecté, poste téléphonique sur IP… Les seules conditions nécessaires pour qu’un élément puisse être testé, sont qu’il soit joignable sur le réseau.

Le scan de vulnérabilité, étant  automatisé, peut-être réalisé régulièrement  de façon à s’assurer qu’aucune faille n’a vu le jour depuis le dernier audit.

renseignements

CONNAISSANCES INITIALES​

Les connaissances initiales ont une importance considérable dans le déroulement d’un test d’intrusion:

  • Plus l’attaquant dispose d’informations, plus la recherche de vulnérabilité sera exhaustive
  • Moins l'attaquant dispose d'informations, plus la simulation sera réaliste
A partir d’identifiants valides, évaluer l’étendue des risques cyber pour votre système d’information en cas d’usurpation de l’identité d’un simple utilisateur ou d’un utilisateur privilégié.

Déterminer s’il est possible, sans information technique initiale et sans identifiants, d’obtenir des accès, des données ou de s’introduire sur le système.

approche

Position de l’attaquant

Les conditions simulées lors d’un scan de vulnérabilités dépendent fortement de la position initiale adoptée par l’attaquant.

Scan de vos ressources exposées sur internet.

Scan au sein du réseau interne de votre société afin de mesurer le risque de compromission par un employé, prestataire ou un attaquant ayant réussi à s’introduire sur votre système d’information.

phases

déroulement de la prestation

icon circle number one

cadrage

  • Définition des objectifs et attentes
  • Définition du périmètre
  • Planification
icon circle number two

scan

  • Découverte et identification de la topologie réseau
  • Recherche de vulnérabilités
icon circle number three

synthèse

  • Analyse des risques de l’exploitation des failles trouvées
  • Livraison et présentation du rapport
  • Proposition de remédiation

synthèse

Rapport détaillé

Suite à l’audit de vulnérabilités, un rapport d’audit de sécurité informatique vous est remis et présenté dans lequel sont notamment listés :

  • Les services testés
  • La liste des vulnérabilités découvertes
  • La méthodologie d'exploitation
  • L'évaluation du risque d'impact des vulnérabilités
  • Des recommandations de remédiation dans le but de pallier l’ensemble des failles découvertes
  • Le plan d'action qui se base sur la criticité des vulnérabilités

objectif

Vous souhaitez protéger

une plateforme web

Application web, Saas, boutique ecommerce, API…

Une application logicielle

Logiciel métier, logiciel on premise…

une infrastructure et réseaux

Réseau d’entreprise, Active Directory, serveurs internes, postes de travail, parc d’imprimantes…

Une base de données

MariaDB, PostgreSQL, MongoDB, Oracle… 

Un environnement cloud

AWS, Azure, environnement virtualisé (Citrix, VMWare..)

D'autres services

Contactez-moi
Services
contact
Envelope Linkedin Twitter
En savoir plus

© Expert Intrusion 2024 - Tous droits réservés