Audit sécurité

Audit de sécurité


iWall met son expertise sécurité des réseaux et systèmes d'informations professionnels au service de ses clients en leur proposant notament de l'audit de sécurité.

L'audit de sécurité est mené par un consultant sécurité et réseaux sénior, sur site ou à distance.

Définition du périmètre de l'audit

Dans un premier temps, nous definissons le périmètre de l'audit, par exemple :

  • les ressources actives du Système d'Information de l'entreprise,
  • un serveur particulierement exposé,
  • un sous-ensemble applicatif,
  • un logiciel en cours de developpement, d'evaluation ou d'integration,
  • etc.

La mission d'audit permet de caracteriser la configuration, la performance, la disponibilité et la sécurité de la cible.

Remise d'un rapport

A l'issu de l'audit, un rapport est remis et commenté par le consultant, dans lequel est détaillé l'ensemble des tests réalisés, les résultats, conclusions et préconisations du consultant.

Méthodologie et outils utilisés pendant la conduite de l'audit

Méthode MEHARI

Les entretiens sont conduits en suivant la ligne directrice de la méthode MEHARI (MEthode Harmonisée d'Analyse de Risques Informatiques) développée au sein du CLUSIF (Club de la Sécurité des Systèmes d'Information Français).

La méthode utilisée pour la conduite de l'audit est également largement inspirée de la méthode OCTAVE® (Operationally Critical Threat, Asset, and Vulnerability EvaluationSM), qui définit une évaluation fondée sur le risque stratégique et la plannification technique de la sécurité.

Les outils utilisés lors de la collecte d'informations et l'analyse sont principalement :

  • nessus et openvas pour le test de vulnérabilités,
  • nmap pour tester systèmes et réseau,
  • wireshark and ntop pour l'analyse du réseau,
  • ntop pour l'analyse des flux,
  • etherape pour l'analyse 'visuelle' des flux,
  • metasploit pour valider ou tester les vulnérabilités,
  • MBSAT, Bastille, JASS et CIS ScoreTools pour l'évaluation de la sécurité basée sur l'hôte,
  • Nikto/Wikto (entre autres) pour l'évaluation des vulnérabilités web,
  • outils DOS spécifiques (comme slowloris),
  • John the Ripper pour le cassage des mots de passe,
  • outils spécifiquement développés en fonction des besoins de l'audit.