Audit

Astar propose tout le socle de base des audits de sécurité du système d’information sur la base d'un TJM de 900 € HT :

  • Test d’intrusion / Audit de vulnérabilité
  • Audit de code
  • Audit physique
  • Audit de configuration
  • Audit d’architecture

En plus de ce socle, Astar propose certaines prestations plus spécifiques, orientées sur la récurrence.
Il s’agit de prestations rapides à mener, peu coûteuses et qui participent à l’hygiène informatique :

  • Audit incrémental
  • Audit annuel des mots de passe
  • Stress Test SOC
  • Stress Test DoS
  • Audit d’exposition numérique

Si vous êtes intéressé par des prestations portant sur la sécurité organisationnelle (Gouvernance Risque Conformité), merci de vous référez à la page Conseil.

Test d’intrusion / Audit de vulnérabilité

Il est souvent fait mention d’audit de vulnérabilité et de test d’intrusion de manière interchangeable. Pourtant, il y a des subtilités, peu connues, entre ces deux notions.
La première différence porte sur le but recherché. Un audit de sécurité sert à se mettre en conformité avec l'état de l’art. Un test d’intrusion sert à mettre à l'épreuve vos défenses.
La deuxième différence tient dans la méthode. L’audit de vulnérabilité est une démarche dite “horizontale” : on cherche à lister toutes les vulnérabilités visibles par un attaquant. Le test d’intrusion est une démarche “verticale” : dès qu’on a trouvé une vulnérabilité, on ne cherche plus les autres, on l’exploite pour pénétrer plus en profondeur dans le système d’information.

Voici une synthèse graphique illustrant la différence entre ces deux approches :

Test intrusion vs Audit securite

Audit de vulnérabilité

Lors d’un audit de vulnérabilité, le but premier de l’expert est d’obtenir le plus d’informations sur la configuration des cibles de sorte à juger comment elles respectent les bonnes pratiques de sécurité. Pour cela, il peut combiner plusieurs approches:

  • Questionner le client
  • Disposer d'un accès privilégié (compte SSH sudo ou Admin du domaine) pour vérifier par lui-même
  • Déduire ces informations par ses propres moyens (comme le ferait un pirate)

On dit que l’audit est réalisé avec un profil “greybox” ou “whitebox” selon le niveau d’accès octroyé.

Une fois qu’il a mesuré tous les écarts par rapport à l'état de l’art (les vulnérabilités), il va leur conférer un niveau de risque qui dépend des probabilités qu’un attaquant les exploite et de l’impact subi le cas échéant.
Vous pourrez tirer de ces informations un plan d’action priorisé pour améliorer votre sécurité. Chaque vulnérabilité recensée sera accompagnée d’une préconisation quant au meilleur moyen de la corriger.

Les avantages d’un audit de vulnérabilité sont :

  • Le but est de découvrir le plus de vulnérabilités pour laisser le moins d'angles morts possibles, c'est donc l'approche la plus exhaustive
  • En travaillant en intelligence avec les équipes du client, l'audit de sécurité peut trouver en quelques minutes des vulnérabilités qu'un pirate (ou un test d'intrusion) mettrait plusieurs jours à trouver. C'est donc une économie de temps considérable

Les inconvénients sont :

  • Les risques d'une vulnérabilité peuvent demeurer abstraits pour le client car l'auditeur ne consacrera qu'un temps minime à l'exploitation. Son but principal est de découvrir le plus de vulnérabilités possibles et non pas d'épater le client en montrant des impacts hollywoodiens. Donc il faudra lui faire confiance quant à la gravité d'une vulnérabilité qu'il a relevée
  • L'auditeur compare la cible qu'il audite à l'état de l'art, il se cantonnera donc à identifier les vulnérabilités publiquement connues. Des failles peuvent donc lui échapper (une vulnérabilité Web sur un intranet développé en interne par exemple).

Quand faire un audit de vulnérabilité ?

  • Quand on veut démontrer un engament de moyens
  • Quand on commence à aborder/intégrer le sujet de la sécurité

Test d’intrusion

Le test d’intrusion consiste à reproduire le cheminement d’un attaquant réel.
Il est courant qu’il soit préalablement définit avec le client une liste des ressources sensibles dont l’accès par l’expert démontrera la vulnérabilité du SI (fiches de paye ou accès à la boite mail du PDG, mot de passe Admin du domaine, etc.).
L’expert cherchera donc les vulnérabilités les plus susceptibles de lui octroyer cet accès. Quand il a trouvé un moyen de s’introduire dans le SI, il l’utilise. Il ne recherchera pas à savoir s’il en existe aussi d’autres (tout comme un adversaire réel).

Généralement les tests d’intrusion sont beaucoup plus extensifs en termes de moyens. L’expert peut notamment recourir à l’intrusion physique et au Social Engineering vis à vis des employés. La convention de ne pas tenter de déni de service reste tout de même de rigueur (sauf demande explicite du client).
Comme l’expert reproduit les conditions initiales d’un véritable attaquant il ne dispose d’aucune information préalable sur la cible (profil dit “blackbox”).
Le revers de la médaille est qu’il ne s’interdira aucune cible. Vous ne pourrez pas lui dire “évitons de toucher à ce serveur il est un peu instable et il est critique pour nous” tout comme vous ne pouvez pas le dire aux pirates.

Le temps alloué à l’audit doit être représentatif de ce que vos vrais adversaires sont prêts à dépenser. Si le test d’intrusion ne donne rien après 3 jours mais que vous êtes une banque et que vos ennemis sont prêts à passer 3 semaines pour chercher des vulnérabilités, vous n’aurez pas une vision correcte de votre risque.

Le rapport du test d’intrusion mentionnera le cheminement qu’a suivi l’expert via la chaîne des vulnérabilités qu’il a exploitées et celles qui se sont révélées des culs-de-sac. Son but est de démontrer qu’il existe UN moyen de pirater l’entreprise. Le rapport présente donc un scénario d’attaque mais cela n’exclut pas que d’autres peuvent exister.
Pour chaque vulnérabilité, l’expert précisera les moyens de la corriger.

Les avantages d’un test d’intrusion sont :

  • Le résultat est palpable. Si l'expert apporte les données sensibles qui étaient la cible de l'audit, peu importe si l'on ne comprend pas tout le procédé technique qu'il a suivi, on sait que l'on est vulnérable.
  • L'expert utilise des techniques d'intrusion non simulées de sorte qu'il peut être amené à découvrir des vulnérabilités inconnues (0day) qu'un audit de sécurité n'aurait pas pu relever.

Les inconvénients sont :

  • L'expert est là pour démontrer si l'entreprise est vulnérable ou non, pas pour recenser TOUS les chemins par lesquels elle est vulnérable. Pour passer d'une étape de son attaque à une autre, l'expert n'a besoin que d'une seule vulnérabilité exploitée avec succès. S'il y avait d'autres vulnérabilités au même niveau, elles resteront ignorées.
  • Le résultat d'un test d'intrusion peut paraître ingrat vis-à-vis du travail des équipes informatiques. Vous pouvez avoir 99% de votre parc sans vulnérabilité (c'est à dire un excellent niveau) et mais être sévèrement perforé à cause d'une ou deux machines.

Quand faire un test d’intrusion ?

  • Quand on veut démontrer un engament de résultats
  • Quand on a intégré la sécurité informatique depuis plusieurs années et que l'on a déjà réalisé des audits de vulnérabilité

La méthode A*

L’expérience d’Astar montre que c’est souvent une approche hybride qui va correspondre au plus près, à ce qu’attend le client.
La prestation ASSI (Audit de Sécurité du Système d’Information) d’Astar combine donc l’audit de vulnérabilité et le test d’intrusion.
En effet, recenser toutes les vulnérabilités de manière exhaustive n’est pas tout le temps pertinent. Dans un réseau qui n’a jamais encore effectué d’audit de sécurité, il y aura plusieurs centaines de vulnérabilités remontées, ce qui est peu exploitable pour le client.
Cependant ces centaines de vulnérabilités peuvent tenir à une dizaine de causes maximum: absence de politique d’application des correctifs, absence de revue des configuations, etc. Ce sont ces causes sur lesquelles Astar se focalisera. Ainsi le client pourra traiter les problèmes à la racine et corriger plusieurs dizaines de vulnérabilités par une seule correction.

Notre philosophie d’audit est: “on arrête de remonter des vulnérabilités quand il y a plus d’un an pour mettre en place les corrections”.
Dès lors, nous utilisons le temps restant pour démontrer les risques réels des vulnérabilités remontées. Nous exploitons donc les plus importantes afin de réaliser rebonds, vol de données, vol de mots de passe, etc. qui serviront à illustrer les dangers palpables pour l’entreprise.

De tels audits de sécurité concernent généralement deux types de cibles :

  • Les réseaux d’entreprise (audit interne)
  • Les IP publiques (audit externe)

Audit interne

Ce type d’audit sert à évaluer la résistance de votre réseau face à une menace s'étant introduite à l’intérieur : un maliciel ayant contourné l’antivirus, un employé déloyal, une personne s’introduisant physiquement dans les bâtiments, etc.

Généralement, ce type d’audit est mené à minima en greybox : l’auditeur dispose d’un compte utilisateur valide, sans privilèges particuliers. Compte tenu de l'écrasante proportion des attaques réussies qui ont démarré par un courriel de hameçonnage, le cas où un poste de travail (et l’utilisateur associé) devient hostile est LE scénario principal à couvrir.
Il est également fréquent de mener une partie de l’audit en whitebox : un compte administrateur du domaine est fourni et il permet de lister automatiquement les déficits de mises à jour de sécurité sur tout le parc. Ceci est alors complémentaire de la démarche greybox qui est manuelle mais qui ne peut pas couvrir un périmètre aussi grand de manière exhaustive.

Bien qu’il existe des référentiels généraux sur la conduite de l’audit d’un point de vue organisationnel (ISO 19011, PASSI, etc.), la recherche technique des vulnérabilités ne dispose pas encore d’un standard établi (comme c’est le cas pour la sécurité Web avec l’OWASP par exemple). Astar utilise donc une méthodologie développée en interne, publique, transparente et collaborative : OCNSP.

Contactez-nous avec le nom d’objet ASSI-INT pour plus d’information.

Audit externe

L’audit externe sert à évaluer la résistance de votre système d’information vis-à-vis d’Internet: pirates, concurrents, robots automatisés, etc.
La cible de l’audit concerne donc les adresses IP publiques exposées à tout Internet : serveur de messagerie, site Web, extranet, portail fournisseur, VPN, etc.

Le profil de ce type d’audit est généralement en blackbox. Si les IP publiques hébergent un site Web disposant d’un espace authentifié, on ajoute alors une partie greybox (un compte utilisateur valide est fourni) permettant de couvrir le scénario d’un utilisateur hostile ou qui s’est fait voler son compte (en raison d’un mot de passe trop faible par exemple).

La méthodologie suivie pour ce type d’audit est celle de l’ OWASP qui est la référence incontestée du domaine.

Bien que ce type d’audit couvre tous les scénarios de menace, nous proposons aussi, pour les clients qui le souhaitent, de le diviser en plusieurs prestations qui couvrent chacune un type précis de menace :

  • Niveau 1 : résistance face à une attaque automatisée
    Attaquant dit "opportuniste" : maliciel cherchant uniquement à des vulnérabilités connues (non patchées) et utilisant des moyens de propagation automatisables - 95% des attaques.
  • Niveau 2 : résistance face à une attaque avancée
    Attaquant capable de prendre le contrôle à distance et d'orienter ses attaques de manière personnalisée selon le contexte. Les moyens de compromission et de propagation peuvent être sophistiqués (non automatisables) - environ 4% des attaques.
  • Niveau 3 : résistance face à une attaque ciblée
    Attaquant recherchant activement des failles dans les produits ou le réseau de l'entreprise pour mener des attaques "supply chain" (compromettre les clients de cette entreprise). L'attaquant peut allouer un temps conséquent à la recherche de vulnérabilités et posséder des compétences très pointues (notamment an algorithmique, sécurité logicielle et cryptographie) - environ 1% des attaques.

Cette approche permet de commencer par des prestations économiques mais qui couvrent le gros des attaques subies.

Contactez-nous avec le nom d’objet ASSI-EXT pour plus d’information.

Audit d'application mobile

L'audit d'applications mobiles Android et iOS évalue les risques de compromission par les menaces suivantes :

  • Une application mobile malveillante, installée sur le même appareil, qui tenterait d'exfiltrer les données des autres applications
  • Un adversaire ayant dérobé l'appareil sur lequel est installé l'application et qui tenterait d'en extirper des informations réutilisables
  • Un adversaire pouvant écouter les communications entre l'application et une ressource tierce (objet connecté, serveurs du propriétaire de l'application, ...)
  • etc.

Ce type d'audit doit être réalisée à l'aide d'un jeu de données représentatives si l'auditeur ne peut les créer lui-même (par exemple si l'application se synchronise à un objet connecté qui n'est pas fourni).

L'audit d'application mobile repose sur le standard MAS (Mobile Application Security) de l'OWASP, qui fournit à la fois les exigences attendues d'une application sécurisée et les moyens de les tester.

Selon que les applications iOS et Android sont développées depuis un code unique, exporté aux deux formats, ou bien indépendamment l'une de l'autre, le degré de mutualisation des tests est variable.

Contactez-nous avec le nom d’objet ASSI-MOB pour plus d’information.

Audit d'objet connecté (IoT)

L'audit d'objets connectés évalue les risques vis-à-vis des menaces suivantes :

  • Rétro-ingénierie permettant à un concurrent de copier la technologie
  • Altération du comportement de l'appareil pouvant menacer l'utilisateur
  • Extraction de données sensibles (données personnelles de l'utilisateur, secret codé en dur et réutilisable contre d'autres dispositifs, ...)

Pour cela, l'audit recours à des attaques électroniques (Uart, Vcan, Mcan, ...), protocolaires (bluetooth, radio fréquence, etc.) ou informatique bas niveau (firmware).

Les critères d'audit se basent essentiellement sur les standards ISO 30141 (Architecture de référence de l'Internet des objets), ETSI 303 645 et au guide l'ANSSI (Recommandations de sécurité pour un système d'objets connectés).

Généralement, ce type d'audit est mené en boite grise ou blanche. C'est-à-dire que l'auditeur dispose d'une description globale du produit et de schémas généraux, fournis par le client, de sorte à pouvoir trouver en quelques jours des erreurs qu'un adversaire mettrait potentiellement des semaines à détecter à l'aveugle.
En conditions idéales, nous demandons deux dispositifs car l'un d'entre eux sera démonté et inutilisable (soudure sur les connecteurs, ...).

Contactez-nous avec le nom d’objet ASSI-IOT pour plus d’information.

Audit d'automates et de systèmes industriels (OT : ICS - SCADA)

L'audit de systèmes industriels concerne les infrastructures critiques de production (chaîne d'assemblage, bras robotisés, ...).

Par nature, ces cibles sont difficiles à auditer. D'une part, elles sont souvent basées sur des technologies propriétaires, vétustes et mal documentées et peuvent donc réagir de manière imprévue lors des audits. D'autre part, comme ces équipements sont coûteux, il n'y a généralement pas d'environnement de pré-production ou de test, sur lesquels mener l'audit.
Pour ces raisons, les audits de systèmes industriels se font de manière très encadrée avec une connaissance initiale maximale de l'auditeur (présentation de l'architecture, des schémas, description des fonctions, ...).

Un des thème prépondérant de ces audits est l'isolation : physique et vis-à-vis des autres réseaux.
En effet, la correction des vulnérabilités des automates n'est généralement pas réalisable par le client lui-même, il doit effectuer une demande au fournisseur (sans maîtrise sur le délai de réponse). On considère donc que la priorité numéro 1 d'un système industriel est d'être étanche vis-à-vis des menaces.

Les standards communément utilisés sont le guide de l'ANSSI et le modèle Purdue.

Contactez-nous avec le nom d’objet ASSI-AUT pour plus d’information.

Audit de code

L’audit de code est le type d'évaluation de sécurité le plus poussé.
Il est parfois considéré comme la version “whitebox” d’un audit de vulnérabilité applicatif : l’auditeur dispose de la connaissance maximale du système. Ce type d’approche permet donc d’obtenir un haut niveau de confiance dans l’exhaustivité des résultats. Un audit de code permet d’identifier, en quelques jours, des vulnérabilités qui seraient très difficiles à découvrir “à l’aveugle”.

Ce type de prestation est pertinent lorsque votre activité est fortement basée sur la vente d’une solution logicielle (application mobile ou Web, client lourd). Dans ce cas, une vulnérabilité qui affecterait votre produit pourrait être utilisée contre tous vos clients (vous seriez la cause de leur incident de sécurité) et/ou vous pourriez subir un choc en terme d’image de marque.
L’audit de code vous donne deux avantages face à ce risque :

  • Vous avez les meilleures chances de détecter une vulnérabilité avant un pirate
  • Dans le cas contraire, vous pouvez attester que vous avez employé les meilleurs moyens de l'état de l’art pour prévenir ce cas (donc on ne peut vous reprocher aucune négligence)

La réalisation d’un audit de code consiste à vérifier que les principes de secure coding sont bien respectés par la cible.
Ces principes sont précisément définis dans le référentiel de l’ OWASP Secure Coding Practices . La méthodologie pour tester le respect de ces principes est également documentée par l’OWASP dans son référentiel Application Security Verification Standard (ASVS) . Trois niveaux d’exigence y sont définis selon la criticité de l’application cible.

Historiquement, l’audit de code concerne les “applications” : les clients lourds, les sites Web, les applications mobiles. De nos jours, il peut s'étendre à de nouveaux sujets puisque le “code” s’immisce dans toujours plus de pans de l’informatique (Infrastructure as Code, DevOps, …). Pour ces cas-là, l’approche sera souvent hybride entre l’audit de code et l’audit de configuration (voir ci-après).

Contactez-nous avec le nom d’objet ASSI-COD pour plus d’information.

Audit physique

L’audit de sécurité physique met à l'épreuve la première barrière de sécurité de votre SI : la protection périmétrique.
Il n’est pas rare que ce domaine soit négligé, particulièrement lorsqu’une entreprise possède plusieurs sites géographiques et/ou qu’elle accueille beaucoup de public.
Or, même si vos serveurs sont complétement à jour de leur correctifs de sécurité, que les mots de passe sont bons et que le réseau est bien segmenté … si on peut partir avec un serveur sous le bras en rentrant par la zone de livraison … vous avez quand même un problème.

L’audit de sécurité physique teste les voies d’accès physiques au SI de l’entreprise :

  • Entrée non surveillée
  • Porte de secours laissée ouverte
  • Absence de contrôle d’accès par badge (ou bien une porte sécurisée qui se ferme trop lentement permettant de se faufiler derrière un employé)
  • Machines sensibles exposées (baie avec la clé sur la serrure, …)
  • Wifi vulnérable
  • Fouille des poubelles à la recherche d’informations sensibles
  • Accès à des câbles du réseau depuis des parties publiques
  • Mots de passe inscrits sur des post-it
  • Informations sensibles visibles depuis les fenêtres
  • Cartographie des locaux par images satellites et par drone
  • Badges facilement imitables
  • Possibilité d’obtenir des informations sensibles en espionnant les employés lors de leur pause déjeuner

Cette catégorie de moyens d’infiltration est généralement utilisée lors des tests d’intrusion (voir plus haut). Néanmoins ceux-ci se contentent de trouver UN moyen d’accès physique, puis ils cherchent des vulnérabilités informatiques (vulnérabilités que l’on nomme “logiques” en opposition à “physiques”) en se connectant au réseau.
L’audit purement physique, quant à lui, teste exhaustivement tous les points faillibles.

Contactez-nous avec le nom d’objet ASSI-PHY pour plus d’information.

Audit de configuration

L’audit de configuration vise à établir la conformité d’une cible (un système d’exploitation, un logiciel, une application mobile, un site Web, …) avec un référentiel d’exigences de sécurité donné (ou bien avec les bonnes pratiques générales).

Ces référentiels peuvent être :

Ce type de prestation est utile lorsque vous devez témoigner d’un niveau de conformité pour l’un de vos produits (un “tampon” à montrer à vos clients) ou bien si vous voulez valider la sécurité d’un élément qui sera largement déployé dans votre SI (un master Windows par exemple).

Contactez-nous avec le nom d’objet ASSI-CNF pour plus d’information.

Audit d’architecture

L’audit d’architecture est une prestation visant à évaluer la nature et le positionnement des éléments d’un système d’information (généralement un réseau.), du point de vue de la sécurité.
Là où l’audit de configuration s’intéresse au fonctionnement interne des machines, l’audit d’architecture étudie la sécurité des interactions entre toutes ces machines. L’audit de configuration peut être vu comme l’analyse microscopique et l’audit d’architecture comme l’analyse macroscopique.

L’audit d’architecture comprend généralement les étapes suivantes :

  • Analyse des documentations, plans et schémas d’architecture du système d’information
  • Contrôle de leur exactitude via des tests techniques
  • Critique de l’agencement et de la nature des différentes briques du système d’information
  • Propositions de corrections/améliorations

L’audit d’architecture est pertinent lors de l’initialisation de projets d’urbanisation du SI.
En effet, il est fortement recommandé de faire valider l’aspect “sécurité” d’une évolution de l’architecture du SI, avant de la mettre en place, car toute modification, à posteriori, est souvent couteuse.

Avec le développement du DevOps, la frontière entre audit de configuration et audit d’architecture tend à s’effacer. Les prestations qui visent à valider une architecture Cloud, par exemple, combinent généralement les deux approches (puisque les éléments du SI sont déployés via des fichiers de configuration).

Contactez-nous avec le nom d’objet ASSI-ARC pour plus d’information.

Les prestations décrites ci-après sont davantage conçues pour la récurrence (annuelle ou biennale) et s'inscrivent donc dans une démarche de contrôle continu de la sécurité.

Audit Incrémental

Si vous avez décidé d’intégrer pleinement les audits de sécurité aux processus courants de votre entreprise, l’audit incrémental est fait pour vous.
Il s’agit d’un audit de sécurité du système d’information (ASSI) conçu pour améliorer la sécurité de manière itérative.
Ce type d’audit est :

  • Récurrent : effectué chaque année avec un nombre de jours constant
  • Continu : chaque année, les vulnérabilités de l’années précédente sont revérifiées pour valider leur correction
  • Progressif : révérifier les vulnérabilités étant plus rapide que les découvrir, du temps est donc disponible pour en rechercher de nouvelles. Le périmètre couvert s'étend donc chaque année
  • Orienté opérationnel : l’accent est mis sur la précision des informations nécessaires pour la vérification et la correction plutôt que sur la description des étapes d’exploitation pour un attaquant
  • Suivi : l’audit fournit des indicateurs managériaux d’aide à la décision (temps et compétences à allouer à la correction, efficacité des corrections passées, progression du périmètre couvert, progression du niveau de sécurité, etc…)
  • Léger : un effort est porté sur le fait de diminuer autant que possible la charge administrative pour le client. Les informations sur le contexte sont donc enregistrées pour minimiser les échanges nécessaires au démarrage des tests chaque année.

L’avantage de cette approche est que vous gérez votre sécurité “par le budget”. Chaque année vous allouez la même somme fixe à cet audit, mais votre niveau de sécurité, lui, augmente car l’audit couvre une partie de plus en plus étendue.

Contactez-nous avec le nom d’objet ASSI-INC pour plus d’information.

Audit annuel des mots de passe

Il existe plusieurs moyens d’augmenter le niveau de robustesse des mots de passe de vos employés : forcer plusieurs jeux de caractères (minuscules, majuscules, chiffres, ponctuation), forcer une taille minimale, interdire d’utiliser certains mot (son propre nom, le nom de l’entreprise, …), former et sensibiliser les utilisateurs au choix d’un bon mot de passe, etc.
Mais malgré toutes ces dispositions, vous n’avez jamais la certitude que les employés n’ont pas utilisé un mot de passe prédictible (P@55word!, J34n-L0u!s, …). Les restrictions techniques seront toujours contournables.
C’est pourquoi une bonne politique de mot de passe ne se base pas uniquement sur les mesures préventives mais aussi sur les vérifications à posteriori.

Astar vous propose une vérification annuelle des mots de passe au prix forfaitaire de 1000 € HT.
Celle-ci comprend les vérifications suivantes :

  • test des mots de passe courants internationaux et spécifiques à la langue du pays concerné
  • test des mots de passe issus de fuites (data breach)
  • test des mots de passe dérivés des noms d’utilisateur
  • test des mots de passe dérivés des prénoms et dates de naissance
  • test des mots de passe dérivés du nom de la société
  • test des mots de passe dérivés des provenances géographiques (villes, départements, …)
  • test par force brute
  • test par dictionnaires avec dérivations (l33t, variations des majuscules, etc.)

Le résultat est présenté sous la forme d’un tableur et de graphiques qui restituent les comptes pouvant être compromis, à quelle vitesse (quelques secondes, quelques heures, quelques jours, …), leur criticité selon les groupes auxquels ils appartiennent, les raisons de leur faiblesse (mot de passe dérivé d’un prénom, du nom de l’entreprise, etc.).
Vous obtenez également des statistiques générales sur la campagne de vérification : pourcentage de comptes à risque, motifs les plus fréquemment utilisés dans les mots de passe, répartition des mots de passe compromis en nombre de caractères, etc.

audit mots de passe

Si vous contractualisez de manière régulière pour cette prestation, vous obtiendrez aussi le delta par rapport à l’année précédente.

Contactez-nous avec le nom d’objet ASSI-PAS pour plus d’information.

Stress Test SOC

Cette prestation vise à améliorer vos capacités de détection des attaques en les mettant à l'épreuve, pour repérer les scénarios qui passent encore au travers.

L’auditeur va mener plusieurs actions malveillantes (depuis Internet ou depuis l’intérieur du réseau) associées aux différentes catégories du référentiel ATT&CK du MITRE : reconnaissance, escalade de privilèges, mouvements latéraux, etc.
Pour chacune de ces catégories, il utilisera différents niveaux d'élaboration : des attaques bruyantes faciles à détecter jusqu’aux attaques très furtives.

Astar produit alors une matrice des tests menés qui fournit, pour chaque cas :

  • les heures exactes de début et de fin (synchronisées avec le NTP interne)
  • les lignes de commandes exactes (afin de permettre le rejeu)
  • l’identifiant précis de la technique dans le référentiel ATT&CK (exemple: T1134)
  • une capture des trames réseaux émises
  • le degré d'élaboration du scénario
  • la dangerosité du scénario
  • son statut de détection (est-ce que le SIEM a reçu un événement, est-ce qu’une alerte a été émise, …)
  • les logs pouvant permettre de le détecter
  • etc.

Ceci vous permet de cartographier les étapes d’une attaque où vous êtes bien outillés et celles qui risquent de vous échapper. L’intérêt est de pouvoir prioriser les ajouts de logs futurs en faveur de ceux qui comblent vos angles morts.
Ceci permet également de tester la qualité de service de votre SOC si vous recourez à un prestataire externe (vitesse de compilation des événements en alertes, vitesse d’escalade, …).

Il s’agit d’une prestation d’hygiène informatique que nous recommandons de mener tous les 1 an et demi environ.

Contactez-nous avec le nom d’objet ASSI-SOC pour plus d’information.

Stress Test Déni de Service

Si la disponibilité de vos services est un besoin crucial (salle de marché, datacenter, …), il est probable que vous ayez implémenté des mesures dédiées, dites de “haute disponibilité” : mise en cluster, PCA/PRA, fournisseur anti-DDOS, etc…
Le point faible de ce genre de mesure est que, une fois mises en place, on est souvent très réticent à les mettre à l'épreuve. En effet, tester ces dispositifs fait courir le risque d’une interruption en cas de défaut.

Cette réticence est en partie justifiée : pourquoi prendre un risque avéré d’interruption alors que vous ne serez probablement pas attaqué sur ce terrain par les pirates ? D’un autre côté, il est fâcheux de payer des mécanismes haute-dispo plutôt couteux si ceux-ci ne fournissent pas le service attendu. Qui plus est, si vous vous en rendez-compte au cours d’une crise. Mieux vaut tester ses capacité lors d’un exercice contrôlé.

La prestation de StressTest DOS d’Astar propose de tester la résistance d’une infrastructure (interne ou externe) face à plusieurs types de menace :

  • Saturation par le débit (depuis une puis plusieurs machines)
  • Saturation logique (flood d’emails via un formulaire de contact, blocage des comptes par force brute, …)
  • Saturation protocolaire (fuzzing des services provoquant des dysfonctionnements)
  • Exploitation de configurations impropres (usurpation HSRP/VRRP, etc.)

Les attaques lancées sont progressives en termes de dangerosité et peuvent être stoppées en quelques secondes/minutes.

Ce type de prestation n’est pas conseillé à toutes les entreprises. Cela vous concerne si :

  • Vous pouvez perdre des sommes importantes avec seulement quelques minutes d’interruption;
  • Et/Ou votre chiffre d’affaire annuel est très concentré sur une période de l’année;
  • Et/Ou vous pouvez subir un chantage au déni de service

Il s’agit d’une prestation d’hygiène informatique que nous recommandons de mener tous les 2 ans environ.

Contactez-nous avec le nom d’objet ASSI-DOS pour plus d’information.

Audit d’exposition numérique

Cette prestation s’adresse aux entreprises qui veulent contrôler le niveau de connaissance que peut obtenir un adversaire sur leur système d’information.

Les données recueillies peuvent concerner :

  • Les noms de domaines et les adresses IP pouvant être associés à l’entreprise
  • Les employés de l’entreprise pouvant être identifiés, les noms d’utilisateurs probables qui peuvent en être déduits et les éventuels moyens de vérifier si ces comptes sont valides
  • Les adresses courriels pouvant être glanées depuis internet
  • Les capacités de reconstituer l’organigramme interne
  • Les fuites d’informations passées (“leak” ou “data breach”) exposant des données de l’entreprise
  • L’existence de domaines clones malveillants (cdicsount.com au lieu de cdiscount.com, …)
  • Les informations pouvant être récoltées via les offres d’emploi (“Cherche Expert MacAfee EPO”, “Cherche Expert Cisco ASA”, …) ou les rapports d’anciens stagiaires
  • etc …

Ce sujet est amené à devenir de plus en plus utile à mesure qu’une entreprise croît. En effet, au delà d’une certaine taille, il est rare que les équipes IT aient une connaissance de tout l’historique technique (donc des machines que tout le monde a oubliées peuvent rester en service et exposer inutilement le SI). D’autre part, le “shadow IT” est un sujet d’autant plus récurrent que la taille de l’entreprise grandit. Sans compter l'éternel poncif : “non mais personne ne la connait cette IP, y a pas de risque”.
Ces considérations entrainent qu’il est conseillé de mettre à jour, à intervalle régulier, la connaissance de ce qui est exposé vis-à-vis d’Internet pour récupérer la maîtrise de l’information.

Il s’agit d’une prestation d’hygiène informatique que nous recommandons de mener tous les 2 ans et demi environ.

Contactez-nous avec le nom d’objet ASSI-EXP pour plus d’information.