Audits 360

Recherche et analyse de renseignements en lien avec l’entreprise dans les différentes sources d’informations publiques présentes sur « Internet » pouvant porter atteinte à la sécurité de l’entreprise, à ses données, à ses collaborateurs ou à faciliter la mise en place de scénarios d’attaques (employés, données financières, documents métiers / techniques, secrets, etc.).
Nous nous appuyons notamment sur les moteurs de recherches (Google, DuckDuckGo, Yandex, Bing, etc.), les plateformes d’échange d’informations ou de dépôt de code (Stack Overflow, Reddit, GitHub, etc.), les réseaux sociaux, les informations des résolveurs DNS, des forums spécialisés, etc.

Nous évaluons ici la capacité d’un attaquant « externe » à compromettre ou porter atteinte au Système d’Information depuis Internet. Ces tests dans le contexte 360 sont généralement menés en « boîte noire » (sans compte utilisateur) (site vitrine, extranet, application métier).
Nous pouvons cependant cibler des applications critiques en « boîte grise » (avec des comptes utilisateurs communiqués par les équipes techniques) afin d’approfondir des scénarios plus complexes selon les besoins de chaque client.

Audit technique du Système d’Information depuis un accès interne (dans les locaux ou via VPN). Nous évaluons la capacité de compromettre ou de porter atteinte au Système d’Information du client par un attaquant disposant d’un accès interne, un collaborateur ou un prestataire malveillant.
L’objectif usuel est la prise de contrôle totale des ressources (ex. en prenant la main sur un compte administrateur du domaine dans un contexte Active Directory) ou la mise en avant de scénarios de récupération d’informations dites « à risque » (approche via des « flags » à récupérer énoncés en amont de l’audit).

Le but est de simuler le comportement d’un attaquant apte à interagir avec les accès WiFi de l’entreprise afin de mettre en avant des vulnérabilités exploitables à proximité des locaux.

Nous évaluons ici la surface d’attaque de l’environnement administré par le client (ou par des infogérants) et procédons à différents contrôles sur la configuration (en général avec un compte d’administration disposant de droits en lecture seule).

Que celui-ci soit directement administré par le client ou par différents infogérants, nous réaliserons une étude pragmatique des procédures et politiques mises en place, des documents à disposition, etc. (approche audit organisationnel).
L’objectif est ici de comprendre les pratiques en vigueur au sein de l’entreprise, de cerner ses enjeux puis d’évaluer le niveau de maturité de la société au regard de ses besoins et du marché (bonnes pratiques et niveau moyen constaté au sein d’organisations comparables) afin de produire un état des lieux complété par un ou plusieurs entretiens.

Selon la demande et le contexte de chaque client, nous procéderons au choix à :
– un exercice de sensibilisation grandeur nature afin de réaliser un état des lieux du niveau de sensibilisation des collaborateurs (campagne de phishing fictive avec un modèle) ;
– un atelier de sensibilisation présenté par les consultants XMCO autour de la thématique « sécurité générale » afin d’aider l’ensemble des collaborateurs techniques ou non à appréhender au mieux les risques.