Audit Cybersécurité Sysdream

Nos Solutions

Depuis 2004, notre équipe ne cesse de façonner son savoir-faire en sécurité offensive. Fournisseurs de prestations techniques à haute valeur ajoutée, Sysdream – Hub One, vous accompagne dans la transformation de votre sécurité grâce à des audits techniques certifiés PASSI.

Le retour d’expérience de nos auditeurs, qui partagent leur activité entre le test d’intrusion (pentest), l’audit, la formation et la recherche, garantit une approche concrète et un haut niveau d’expertise.

Ce sont des consultants expérimentés et titulaires de multiples certifications (CEH, CISSP, CISA, ECSA/LPT, CHFI, QSA PCI DSS).

Cette diversité de profils et de compétences nous permet d’orienter et de maitriser les différentes missions d’audits qui répondront à vos projets.

Audit de sécurité informatique

• Le test d’intrusion (pentest) a pour objectif de mesurer le risque associé à un périmètre défini d’un système d’information en simulant des attaques externes et/ou internes. Dans cette optique, le consultant menant un test d’intrusion adopte temporairement la posture d’un attaquant réel et s’efforce de reproduire la démarche et les techniques d’un véritable individu malveillant.

• L’ingénierie sociale (Social Engineering) permet d’analyser les mauvaises pratiques humaines en matière de sécurité informatique. Nous testons la sensibilisation des employés d’une entreprise par le biais de différents types de scénarios comme le phishing, l’envoi de pièce jointe vérolée, l’usurpation d’identité.

• Les tests d’intrusion Red Team ont pour but d’évaluer la sécurité globale d’une entreprise en mettant à l’épreuve ses différents moyens de protection qu’ils soient techniques, physiques ou humains.

• Audit de Configuration a pour objectif de renforcer le niveau de sécurité d’un élément (OS, firewall, BDD, poste, etc.) en analysant sa configuration et en comparant celle-ci avec les standards de l’entreprise ou les bonnes pratiques de références (CIS, NIST, etc.).

• Audit de Code sert à vérifier la sécurité du code d’une application, à la fois sur l’aspect technique (respect des bonnes pratiques de développement) et l’aspect fonctionnel (implémentation des fonctionnalités).

• Test d’Exposition consiste à énumérer tous les actifs d’une organisation présents sur le réseau public. Celui-ci permet d’avoir une vue globale de l’empreinte numérique visible par un attaquant. Au-delà de l’énumération pure, nous proposons dans nos tests d’exposition une évaluation du risque par actif en fonction des critères de la sécurité (Confidentialité, Intégrité, Disponibilité).

• Test de DDoS : le test de déni de service distribué (DDoS) permet d’évaluer le niveau de résistance d’une infrastructure face aux attaques de botnet (réseau de machines sous contrôle) mais aussi la réponse des équipes à ce type d’incident.

• Test de Robustesse a pour objectif la vérification de l’étanchéité des informations inscrites sur un support amovible ou sur un périphérique fixe ou mobile (laptop, smartphone, tablette). Ce test simule principalement l’accès à un périphérique par un attaquant externe, par exemple à l’issu d’un vol ou d’une intrusion physique dans des locaux d’entreprise.

• Analyse Inforensique aussi dite post-mortem, définit l’ensemble des méthodes de rétrospection faisant suite à un incident de sécurité. L’objectif de l’analyste consiste à identifier et évaluer l’ampleur d’une menace puis s’attache, ensuite, à comprendre cette dernière : scénario d’apparition, impacts exacts, source, etc. L’analyse permet généralement d’identifier la vulnérabilité exploitée, et de guider le client vers la meilleure correction.

• Audit d’Architecture est utilisé afin de contrôler la cohérence et la conformité fonctionnelles de tout ou partie d’un système d’information au regard des menaces de sécurité. Il s’attache à vérifier que l’architecture auditée est en conformité avec le triptyque de la protection de l’information : Confidentialité, Intégrité et Disponibilité. Les aspects tels que la pertinence des choix technologiques, l’organisation des flux de données, le dimensionnement et la robustesse, sont notamment évalués.

• PCI DSS est une norme de sécurité, développée par le groupement des réseaux de cartes afin de renforcer la sécurité des données des titulaires de cartes de paiement. Elle s’applique à toutes les entreprises qui stockent, manipulent ou transmettent ce type de données. Nous accompagnons les entreprises de la définition de leur périmètre à leur certification (conformité aux exigences).