top of page
nos outils

NOS MÉTHODOLOGIES

Nos​ audits de sécurité peuvent être réalisés en mode boite blanche, boite grise ou boite noire (pentest). Lorsque cela est possible, nous préconisons la méthodologie de la boite blanche, pour son exhaustivité ainsi que pour la qualité de ses résultats.

Un audit de sécurité est une évaluation d'un système, d'un process et/ou d'une organisation, afin de visualiser les points faibles ainsi que les points forts du système d'information associé.

En fonction de vos besoins, nous pouvons réaliser vos audits de sécurité en suivant les méthodologies suivantes : 

  • L'audit boite noire (ou pentest, pour 'penetration testing'): technique d'audit qui vise à reproduire une cyberattaque, au plus près des conditions réelles, afin de voir quelles failles pourraient être exploitées par des acteurs malveillants. 

  • L'audit boite blanche : aucun test de pénétration à proprement parlé n'est réalisé. L'audit boite blanche porte ce nom afin d'insister sur l'aspect 'transparence' de cette technique : le consultant dispose de toute la documentation nécessaire (documents de configurations, d'architecture réseau) et dispose ainsi d'une vue d'ensemble de tous les éléments qui composent l'organisation.

  • L'audit boite grise : c'est un mélange entre l'audit boite blanche et l'audit boite noire. Le consultant dispose de quelques éléments d'information sur l'organisation auditée, des informations qui auraient pu être récoltées via différentes techniques de social engineering ou de phishing.

Nous basons nos études sur les normes pertinentes : 

  • ISO 27001/2 : pour la sécurisation d'un système d'information ;

  • ISO 27005 et EBIOS : pour la gestion des risques dans une entreprise ;

  • ISO 31010 et NIST 800-30 : pour l'appréciation de risque d'une infrastructure ;

  • OWASP TOP 10 : pour l'appréciation des risques et la sécurisation d'une application.

Nous utilisons des outils de test reconnus et des outils personnalisés pour trouver les vulnérabilités identifiables de cette manière. Nous complétons ensuite ces tests, grâce à notre savoir-faire et à nos ressources internes, par une analyse approfondie permettant d'identifier des problématiques indétectables autrement.

  • Chef InSpec : des scripts personnalisés pour faire des tests de compliance sur votre réseau. 

  • Ananas : un outil personnalisé et développé en interne pour faire des tests de compliance sur vos applications.

  • Des outils reconnus de test de vulnérabilités d'infrastructures : Nessus, Nmap, SSLyze, Vuls, etc.

  • Des outils reconnus de test de vulnérabilités des applications : Burpsuite, etc.

  • Revue de code : Checkmarx, SonarQube, etc.

Tous les modèles utilisés pour les services de conformité réglementaire sont dérivés des modèles et méthodologies recommandés par la CNIL.

Pourquoi nous choisir ?

COLLABORATION

FLEXIBILITÉ

ENGAGEMENT

REPORTING

AGILITÉ

Sans titre-3.png

Sécuriser votre activité nécessite les efforts de touts : nous travaillons avec vous tous, directeurs, ingénieurs, techniciens, etc.

Toujours dans une posture de préconisation, jamais dans la rigidité : le client reste décideur.

Prendre à coeur le succès de la mission n'est pas une théorie : c'est le credo qui anime l'équipe.

À l'opposé d'une boite noire, nos travaux s'effectuent dans la transparence, structurée et rythmée.

Votre activité et vos priorités évoluent chaque jour, notre mission évolue aussi et accompagne ces changements pour rester optimal.

bottom of page