Audit de la securite informatique

Vous souhaitez donc en savoir plus sur la verification de la securite informatique ?

Services Audit de la securite informatique

En Tunisie, comme ailleurs dans le monde, il est très difficile d'estimer et d'identifier le nombre d'entreprises piratées. Il est encore plus difficile d'estimer les coûts directs et indirects de ces actes malveillants. Plusieurs organisations sur le terrain ont publié une alerte pour avertir qu'une grande majorité des entreprises n'ont pas de plan d'urgence et qu'en cas d'incident, un grand nombre d'entreprises ne seraient pas en mesure de récupérer ses données ou de poursuivre son activité. Cela signifie que, dans ce cas, ils ne sont pas en mesure de récupérer leurs données rapidement afin de continuer leur activité normale. Il est facile d'imaginer les conséquences dramatiques que cela implique à la fois financièrement et humainement.

Une étude aux États-Unis montre qu'en un an (1999 à 2000), le coût du piratage est passé de 265 millions de dollars à 378 millions de dollars (Sécurité informatique & Source du FBI), Une augmentation de 42%. Pire encore, selon une étude de Deloitte, plus de 83% des systèmes informatiques des institutions financières ont connu des problèmes de sécurité en 2004. Un phénomène alarmant en pleine croissance, le même sondage a révélé «seulement» 39% des systèmes vulnérables en 2003.
"Les virus, les vers, les programmes malveillants, le sabotage et le vol d'identité sont tous des moyens d'attaquer les systèmes cibles", a déclaré Ted DeZabala, un porte-parole de Deloitte & Touche. Parmi les révélations de cette enquête, citons les attaques menées à l'extérieur et à l'intérieur de l'entreprise...

Pourtant, il est vraiment possible de réduire de manière significative ces risques en poursuivant une politique de sécurité efficace à un coût raisonnable. Le premier réflexe à avoir est de poser la question de l'inventaire: «Qu'en est-il de mon système d'information? Les moyens nécessaires à sa protection et à son intégrité ont-ils été mis en œuvre?

Pour répondre à ces questions, il faut commencer par prendre une photo à la fois T du périmètre à évaluer. Cette «photographie» est une vérification. Il existe plusieurs catégories d'audits qui peuvent être implémentées dans une entreprise :


AUDIT BOITE BLANCHE

Tout audit de sécurité dont l'information est fournie par le client. Il offre une vision totalement transparente de la sécurité technique et organisationnelle en place. Cette vérification préventive s'avère très utile avant le lancement d'un site web ou la mise en service d'architectures de réseau.Procédé utilisé :

  • Le client fournit à notre équipe tous les documents de la cible (pages sources d'un site web, plan d'architecture, documents organisationnels ...)
  • L'équipe vérifie, étudie, teste et vérifie la cible.
  • Un rapport est écrit par INTELLIGENT SECURITY IT mettant en évidence les faiblesses de la cible.
  • Une série de recommandations hiérarchiques est établie afin de permettre au Client de sécuriser son Système d'Information.
  • Une réunion post-audit se tient dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

AUDIT BOITE NOIRE

Contrairement à la vérification de la boîte blanche, l'audit de boîte noire est une vérification aveugle qui se fait aveugle. Le client ne fournit pas d'informations sur son système d'information. Concrètement, une vérification en boîte noire permet, par exemple, de valider un site Web déjà en place et fournit une vue complète de la sécurité technique. Nous proposons deux types de boîtes de vérification en boite noir :


Vérification du réseau interne "Black Box". Cette vérification de sécurité valide la sécurité dans le réseau de l'entreprise. En effet, selon les statistiques, 80% des dommages liés à l'informatique sont internes à l'entreprise. INTELLIGENT SECURITY IT recherche toutes les données sensibles accessibles via le réseau afin d'informer le Client.

L'audit du réseau interne "Black Box" s'effectue comme suit :

  • Le client met à disposition une connexion sur son réseau.
  • Le Client ne fournit aucune autre information.
  • L'équipe informatique INTELLIGENT SECURITY connecte une de ses machines au réseau et fait tout son possible pour tester le réseau et accéder aux informations.
  • Un rapport est écrit par INTELLIGENT SECURITY IT montrant les forces et les faiblesses du système d'information.
  • Une série de recommandations hiérarchiques est établie afin de permettre au Client de sécuriser son Système d'Information.
  • Une réunion post-audit se tient dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

Audit «Black Box» de l'extérieur: cette vérification de sécurité valide la sécurité de la partie publique de l'entreprise (p. Ex. Site web). Cette partie publique est la vitrine de l'entreprise. Il est donc essentiel à l'image de celui-ci. SÉCURITÉ INTELLIGENTE L'informatique est donc mise à la place d'un utilisateur Internet malveillant et cherche toute faiblesse de l'espace public.

L'audit Black Box de l'extérieur se fait comme suit :

  • Le Client ne met rien à la disposition de l'équipe INTELLIGENT SECURITY IT.
  • La vérification est effectuée en dehors de l'entreprise.
  • L'équipe informatique INTELLIGENT SECURITY IT essaie de pénétrer dans le Système d'information client.
  • L'équipe de INTELLIGENT SECURITY IT laisse des traces de son passage (fichiers texte) prouvant qu'il y a eu entrée dans le Système d'Information du Client.
  • Un rapport est écrit par INTELLIGENT SECURITY IT montrant les forces et les faiblesses du système d'information.
  • Une série de recommandations hiérarchiques est établie afin de permettre au Client de sécuriser son système d'information.
  • Une réunion post-audit se déroule dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

AUDIT INTRUSIVE

Cette vérification de sécurité vise à valider le niveau d'imperméabilité à toute intrusion de votre réseau d'entreprise. Il peut être conduit en dehors de l'entreprise pour voir s'il est possible de contourner la sécurité existante pour pénétrer dans le réseau. Il est également possible de procéder à cette vérification à partir d'un point donné sur votre réseau pour voir s'il est possible d'accéder à d'autres parties du réseau interne.

L'audit intrusif se fait comme suit :

  • Le Client ne met rien à la disposition de l'équipe INTELLIGENT SECURITY IT.
  • La vérification s'effectue en dehors de l'entreprise ou à partir d'un point spécifique du réseau.
  • L'équipe INTELLIGENT SECURITY IT essaie de pénétrer dans le Système d'information client.
  • L'équipe de INTELLIGENT SECURITY IT laisse des traces de son passage (fichiers texte) prouvant qu'il y a eu entrée dans le Système d'Information du Client.
  • Un rapport est écrit par INTELLIGENT SECURITY IT montrant les forces et les faiblesses du système d'information.
  • Une série de recommandations hiérarchiques est établie afin de permettre au Client de sécuriser son système d'information.
  • Une réunion post-audit se déroule dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

AUDIT DE VULNERABILITES

L'audit de vulnérabilité, comme son nom l'indique, vise à identifier les vulnérabilités présentes dans un système. Il s'agit généralement d'identifier les faiblesses ou les faiblesses existantes dans votre réseau :

  • Systèmes d'exploitation.
  • Logiciel.
  • Configurations des postes de travail ou des serveurs.
  • Etc.

CODE AUDIT

L'audit de code est utilisé pour valider la sécurité d'un programme. Concrètement, cela confirme la sécurité de tout programme écrit en HTML, PHP, ASP, Perl, Java, Javascript, C, C ++, etc.

L'audit du code se fait comme suit :

  • Le client met à la disposition de l'équipe de INTELLIGENT SECURITY IT les sources du site ou de l'application à tester.
  • L'équipe INTELLIGENT SECURITY IT teste et valide le code fourni.
  • Un rapport est écrit par INTELLIGENT SECURITY IT montrant les points forts et les faiblesses des codes testés.
  • Une série de recommandations hiérarchiques est établie afin de permettre au Client de sécuriser les codes vérifiés.
  • Une réunion post-audit se tient dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

AUDIT ORGANISATIONNEL

L'audit organisationnel tient compte de la sécurité en général dans l'entreprise. Tout en respectant les contraintes de budget et de structure, il permet d'apprécier les éléments suivants :

  • Évaluation générale de la sécurité.
  • Appréciation de la sécurité physique.
  • Évaluation de la sécurité organisationnelle.
  • Évaluation des études et des réalisations.
  • Évaluation de la production.
  • Évaluation opérationnelle.
  • Evaluation logique et télécom.
  • Un rapport détaillé écrit par INTELLIGENT SECURITY IT pour mettre en évidence les forces et les faiblesses de chaque catégorie.
  • Une série de recommandations hiérarchiques est établie.

N'hésitez pas à contacter nos experts pour toute information supplémentaire, étude et calcul gratuit d'un service d'audit.