Audits de cybersécurité

Les audits et les tests d’intrusion sont le cœur de métier d’XMCO. Les auditeurs sont qualifiés PASSI par l’ANSSI

Demander une présentation Demander une présentation

Identifiez toutes les failles de sécurité

Nos auditeurs adoptent la posture d’un attaquant pour identifier toutes les failles de sécurité dans les configurations et la gestion des composants du Système d’Information.

XMCO développe ses propres outils d’intrusion et maîtrise les logiciels utilisés

Grâce à son expérience reconnue en tests d’intrusion et en réponse à intrusion,
XMCO garantit des audits pragmatiques, dont le “risque d’intrusion”
demeure le fil conducteur. Les audits se déroulent en 4 phases majeures :

  • 1

    Un protocole d’audit avec les points de contrôle est défini.

  • 2

    Des interviews (techniques et/ou organisationnelles) sont menées par un consultant senior.

  • 3

    Les configurations sont analysées avec la collaboration de vos équipes.

  • 4

    Enfin, l’audit peut être complété par des tests d’intrusion afin d’obtenir une vision transverse du niveau de sécurité.

Audit de code

L’audit de code a pour objectif de vérifier la sécurité du code d’une application.

  • L’aspect technique

    Les bonnes pratiques de développement et les éléments de sécurité de l’application sont-ils respectés ?

  • L’aspect fonctionnel

    Les fonctionnalités sont-elles correctement implémentées ? Cette approche permet de déceler un grand nombre de vulnérabilités à la source.

  • Méthodologie

    Il est réalisé de manière automatisée et manuelle, afin de découler sur des actions correctives et un plan d’action. Il peut être réalisé avant la mise en production d’une application ou ponctuellement. Idéalement, les audits de code répondent à une démarche préventive de qualité de code, avec des audits plus légers mais réguliers tout au long du cycle de vie de l’application.

Audit de configuration

  • Objectif

    Un audit de configuration a pour objectif de vérifier le paramétrage d’un élément technique par rapport aux risques de sécurité.

  • Méthodologie

    Il y a deux manières de mener un audit de configuration :
    • À froid sur vos listings de configuration
    • À chaud sur vos équipements en cours d’exécution

Audit d’architecture

  • Objectif

    Un audit d’architecture a pour objectif de contrôler la cohérence et la conformité fonctionnelle d’un système d’information par rapport aux menaces de sécurité.

  • Méthodologie

    Idéalement mené pendant la phase de conception d’un projet, l’audit porte sur l’ensemble des briques qui constituent l’architecture d’un système d’information : le système, le réseau, la base de données, l’application et le développement.

Audit organisationnel et physique

  • Objectif

    Il s’agit d’auditer l’organisation, les processus, les contrôles qui encadrent la gestion de la sécurité et de vérifier la conformité des mécanismes de sécurité physique.

  • Méthodologie

    Nous nous attachons à comprendre et mesurer le niveau de maturité et de conformité des processus de sécurité mis en place : ceux déjà conformes au référentiel, ceux nécessitant une mise en conformité et ceux à mettre en place.

Tests d’intrusion

  • Objectif

    Le test d’intrusion mesure le risque associé à un système d’information en simulant des conditions d’attaque réalistes. Il identifie les vulnérabilités pouvant être exploitées et mener à la compromission d’un système d’information en passant par vos réseaux internes ou par Internet.

  • Méthodologie globale

    L’auditeur adopte temporairement la posture d’un attaquant réel et s’efforce de reproduire la démarche et les techniques d’un véritable individu malveillant.

  • Méthodologie en test d’intrusion interne

    Cela consiste à placer l’auditeur directement sur le réseau cible. Connecté comme un employé au réseau de l’entreprise, l’auditeur attaque vos ressources informatiques.

  • Méthodologie en test d’intrusion externe

    Cela consiste à placer l’auditeur en dehors du réseau. Il vise donc les services exposés sur Internet, qu’ils soient hébergés chez vous ou chez un prestataire.

Quelques exemples d’audits

  • Audit système Windows

  • Audit système Linux

  • Audit AWS/Azure

  • Audit Office 365

  • Audit TOIP/VOIP

  • Audit mots de passe

  • Audit d’homogation ARJEL

  • Audit d’infrastructure réseau

  • Audit SAP

  • Audit postes de travail

  • Audit Exchange

  • Audit virtualisation

  • Audit big data

  • Audit loT

Nos audits spécifiques

Besoin de plus d’informations ? Prenez rendez-vous en ligne

Prendre rendez-vous en ligne Prendre rendez-vous en ligne