audit & conseil

     

    Audit de sécurité

    Un audit de sécurité a pour objectif de définir le niveau global de fiabilité et/ou de perméabilité d’un système d’information pour en valider son architecture et ses choix technologiques.

    • Il consiste à :
    • Recenser les infrastructures et les solutions mises en place,
    • Identifier les failles et les points de vulnérabilité du système d’information,
    • Faire les recommandations qui permettront d’apporter les corrections nécessaires pour améliorer la sécurité du système. Ces recommandations sont planifiées en fonction des menaces identifiées, des coûts et de leur faisabilité.

    Offre type NES:

  • Audit et conseil Chez Nes

  • Tests d'intrusion interne et externe / Audit de vulnérabilité
  • Audit de code / Audit applications (SWIFT, SGBD, ERP, ...)
  • PCI DSS
  • Hardening d'OS
  • Audit d'investigation et Fuite d'information
  • Audit d'architecture et configuration
  • Analyse de risques, EBIOS/MEHARI/27005 / Audit des Process
  • Implémentation SMSI
  • PSSI, Rédaction et update de politique de sécurité ISO 27 XXX
  • Social engineering
  • PCA/PRA/PSU/PSI
  • IAM
  • Gouvernance

    •  

     

    •  

    Audit réseau

    Afin de répondre aux problématiques de fonctionnement, de dimensionnement ou d’évolution des systèmes, NES réalise pour ses clients des missions d’audit Réseau. Ils sont dédiés à l’analyse qualitative et volumétrique des flux en transit souvent liés aux problèmes de performances – lors d’une montée en charge des systèmes, par exemple – de dysfonctionnement divers, ou encore de migrations relatives au cycle de vie du SI.

    • Tuning et analyses des performances
    • Matrice des Flux
    • Identification des sources de dysfonctionnement (Systèmes et/ou Réseaux)
    • Audit de configuration
    • Rationnalisation des infrastructures
    • Etude de R.O.I
    • Audit de performance
    • Cartographie de flux
    • Audit et Tests de dimensionnement

      • Modes Opératoires

      Afin de garantir les meilleurs résultats pour les tests d'intrusion, NES propose dans sa métodologie 5 modes opératoires qui peuvent être représentés sur le schéma suivant le niveau d'information donné de part et d'autre des parties :

      Niveau information

      Chacun des modes opératoires représente un besoin pré-défini par le client:


      Tableau

      Perspectives d'approches

      Un test d’intrusion peut être initié selon différentes « vues ». Les tests peuvent être réalisés depuis l’extérieur ou depuis l’intérieur du réseau. Aussi le niveau de connaissance sur l’architecture ainsi que les services disponibles peuvent différer selon le type de personne à l’origine de l’attaque. Il peut s’agir d’un hacker ou bien d’un utilisateur ayant accès légal au service.


      • Approche depuis l’extérieur initiée par un hacker

      Ce type de test « black box » ou « double black box » nécessite la mise en œuvre de la méthodologie qu’utilise un hacker pour s’introduire sur un réseau distant dont il n’a aucune information. L’objectif est d’évaluer le niveau de résistance de l’architecture face aux attaques des pirates présents sur Internet.


      Vue externe

      • Approche depuis l’extérieur initiée par un utilisateur

      Ce type de test « Grey box », « White box » ou « Crystal Box » demande l’utilisation d’un compte d’accès autorisé afin de simuler les mêmes conditions d’utilisation qu’un utilisateur classique. L’objectif est de savoir si un utilisateur peut sortir de son périmètre d’utilisation depuis ses accès distants aux services de l’entreprise.


      Vue externe 2

      • Approche depuis l’intérieur initiée par un hacker

      Ce type de test d’intrusion en interne simule la connexion d’un ordinateur non autorisé sur le réseau de l’entreprise. Ce cas d’attaque peut se produire dans diverses situations, comme la présence d’un prestataire ou d’un visiteur.


      Vue interne

      • Approche depuis l’intérieur initiée par un utilisateur

      Ce type de pénétration en interne se produit lorsqu’un utilisateur de l’entreprise a pour objectif de sortir de son périmètre d’utilisation autorisé. Ce scénario d’attaque peut être réalisé par n’importe quel employé ou stagiaire.


      Vue interne

      POINTS FORTS DE L’OFFRE NES

      • Une offre personnalisée
      • Option de Benchmarking pour comparer dans le temps et/ou à iso métier
      • Un post-audit
      • Des rapports à la fois techniques et managériaux
      • Un score et une évaluation des risques
      • Une équipe à la pointe

       

    •  
  •  
  •