audit cybersécurité.jpg

SOLUTIONS D'AUDITS

Un audit de sécurité est une évaluation d’un système, de process, et/ou d’une organisation, afin de visualiser les points faibles ainsi que les points forts du système d’information associé.

 

Un audit de sécurité est généralement réalisé par des prestataires extérieurs, experts du domaine.

 

Trois formes d’audit existent :

  • L’audit boite noire : cette technique d’audit vise à reproduire une cyber-attaque afin d'identifier un certain nombre de failles qui pourraient permettre aux hackers de compromettre le système. Le consultant ne dispose d’aucune information sur l’entreprise lorsqu’il entreprend son attaque, si ce n’est un nom d’entreprise et/ou une adresse IP, soit des informations très facilement récupérables pour les attaquants. Les conditions réelles d’une attaque sont alors reproduites. Ce type d’audit est également appelé pentest (pour 'penetration testing', test de pénétration en Français).

  • L’audit boite grise : le consultant réalise son attaque en disposant cette fois de quelques informations supplémentaires (tel qu’un accès utilisateur, un identifiant administrateur, etc.) représentant une porte d’entrée vers l’organisation. Ici aussi le consultant utilise une/des information(s) que l’attaquant aurait préalablement pu récupérer pour mener à bien son attaque. Ce type d’audit est également considéré comme un pentest.

  • L’audit boite blanche n’est pas un pentest à proprement parler : aucune attaque n’est perpétrée. Il s’agit d’une analyse de sécurité beaucoup plus poussée. L’audit boite blanche porte ce nom afin d’insister sur l’aspect de 'transparence' : pour ce type d’audit, l’organisation demandeuse fournis aux consultants toutes les informations concernant les données, leurs stockage, leur traitements, les systèmes d’information, etc. Les consultants sont alors chargés d'identifier les failles et les vulnérabilités dans ce système qu’on leur présente. Ce type d’audit permet une prise en compte 360° des failles et vulnérabilités d’une organisation. En ne testant pas uniquement un produit/une application ou une infrastructure réseau, mais repassant en détail toute la conception du système d’information, l’audit boite blanche permet une vision plus complète et holistique de la situation.

Chez CyberSecura, nous sommes persuadés qu’un audit boite blanche reste la solution la plus adaptée aux besoins des organisations, permettant d’inscrire cette démarche de sécurité dans la durée grâce à la production d'un état des lieux complet constituant le socle d'une roadmap sécurité.

Voici donc un tableau comparatif des différents types d’audits 'boite blanche' (ou équivalents) proposés par CyberSecura, en fonction des différents besoins des organisations.

 

N.B : les volumes horaires ne sont donnés qu'à titre indicatif, et peuvent varier en fonction de la taille de l'organisation, des objectifs d'audit, du périmètre de l'audit, etc.

Vous souhaitez pouvoir découvrir nos offres sans vous engager tout de suite ?
Découvrez nos offres exclusives !

Vous avez des questions, des suggestions ? Vous souhaitez discuter de vos enjeux ?
Demandez à être contacté par l'un de nos expert !