iWall dispose d'une équipe de consultants sécurité et réseaux senior, qu'elle met au service de ses clients.

Définition du périmètre de l'audit sécurité

Avant de commencer la mission d'audit, son périmètre est défini :

• ressources actives du Système d'Information,
• serveur particulièrement exposé,
• sous-ensemble applicatif,
• logiciel en cours de développement, d'évaluation ou d'intégration.

La mission d'audit permet de caractériser la configuration, la performance, la disponibilité et la sécurité de la cible.

Objectif de la mission d'audit sécurité

Une mission d'audit type consiste à analyser les éléments actifs du système (machines, équipements réseau, applications, modes operatoires, ...) afin :

• d'en caractériser les performances,
• d'analyser et de mesurer l'activité du réseau (charge, répartition et distribution),
• de mettre en évidence les causes éventuelles des dégradations de performances observées,
• de mettre en évidence des failles de sécurité ou des vulnérabilités exploitables,
• de proposer des recommandations pour corriger ces failles, faiblesses ou vulnérabilités,
• et de quantifier l'impact (bénéfices) des améliorations apportées.

Réalisation de la mission d'audit sécurité

L'audit est mené par un consultant sécurité et réseaux senior, sur site ou à distance, en plusieures phases :

• un entretien de préparation permettant la validation de l'échéancier et du mode exécutoire,
• des entretiens séparés avec le client et ses collaborateurs,
• l' analyse de la topologie, la visite des locaux et la mise en place d'une sonde
• la collecte d'informations et la recherche de vulnérabilités,
• des mesures de performances specifiques
• un entretien de restitution, au cours duquel les résultats de l'analyse seront commentés.

Un document de synthèse présentant les observations, recommandations et conclusions de cette étude, sera remis a cette occasion.

Méthodologie et outils utilisés pour l'audit sécurité

Méthodologie de l'audit sécurité

Les entretiens sont conduits en suivant la ligne directrice de la méthode MEHARI (MEthode Harmonisée d'Analyse de Risques Informatiques) développée au sein du CLUSIF (Club de la Sécurité des Systèmes d'Information Français).

La méthodologie mise en oeuvre est également largement inspirée de la méthode OCTAVE® (Operationally Critical Threat, Asset, and Vulnerability Evaluation), qui définit la possibilité de réaliser une analyse des risques de l’intérieur d'une organisation, et permet d’évaluer les vulnérabilités et les menaces qui pèsent sur les ressources et informations opérationnelles.

Outils utilisés pour l'audit sécurité

Les outils utilisés lors de la collecte d'informations et l'analyse sont principalement:

• n-view pour la découverte dynamique du réseau,
• nessus et openvas pour les tests de vulnérabilités,
• nmap pour tester systèmes et réseau,
• wireshark et ntop pour l'analyse du réseau,
• ntop pour l'analyse des flux,
• etherape pour l'analyse "visuelle" des flux,
• metasploit pour valider ou tester les vulnérabilités,
• MBSAT, Bastille, JASS et CIS ScoreTools pour l'évaluation de la sécurité basée sur l'hôte,
• Nikto/Wikto (entre autres) pour l'évaluation des vulnérabilités web,
• outils spécifiques aux attaques DOS (comme slowloris)
• John the Ripper pour la recherche de mots de passe,
• outils spécialement développés lorsqu'il s'agit de tester des applications spécifiques.