AUDIT & REMÉDIATION

Pourquoi réaliser un audit de sécurité ?

L’ audit de sécurité a pour objectif d’identifier le niveau de sécurité de votre système d’information (sécurité des systèmes, infrastructures, applications, Wifi,…).

À l’issue d’un audit de sécurité IT, l’auditeur élabore des recommandations classifiées et priorisées afin de corriger les failles éventuelles sur le périmètre analysé et vous prémunir contre tous types de menaces.

L’audit permet :

d'anticiper efficacement une attaque potentielle en identifiant les vulnérabilités effectives et votre niveau d'exposition aux risques SSI

d’améliorer l’efficacité des solutions de protection en place (Firewall, proxy, IPS, WAF, VPN, SSL, PKI, …)

de challenger la mise en œuvre de votre PSSI (politique de sécurité du système d'information) ainsi que vos prestataires/partenaires en place : Intégrateurs, Infogérants/hébergeurs, SOC, Exploitants…

de faire évoluer votre niveau global de sécurité (audit périodique)

NES, expert français et précurseur de l’audit de sécurité

Premier pôle lancé à la création de NES en 1999, il compte aujourd’hui une trentaine d’auditeurs réactifs, experts et passionnés (tests d’intrusion, reverse-engineering, découverte de 0-day…) pour vous aider à mieux protéger votre SI.

NES réalise plus de 350 campagnes d’audit par an : Applicatif, Code, Infrastructure, Cloud, IoT, SGBD…

Grâce à la diversité des compétences de nos consultants, nous sommes à même d’élaborer des audits sur mesure, des diagnostics précis et d’intervenir dans des contextes variés en France et à l’international.

Notre approche est orientée risques métier et nos tests sont réalisés essentiellement en mode manuel.

Nos auditeurs adoptent une méthodologie basée sur des standards reconnus :

OWASP et OSSTMM pour les tests d’intrusion

CIS pour les audits de configuration

CWE/OWASP pour les audits de code

Démarche qualité basée sur le RGS de l’ANSSI (qualification PASSI en cours)

Dans la continuité de ces audits, NES propose également un accompagnement de proximité sur le volet remédiation et sensibilisation.

 

Nos savoirs-faire

Test d’intrusion infrastructure

Test d’intrusion interne & externe
Test d’intrusion poste de travail
Test d’intrusion VOiP, Skype
Active Directory, Azure AD
Infrastructure Big Data
Infrastructure monétique & financière
(TPE, serveurs de paiement, SWIFT …)
Wifi, RFID

Test d’intrusion Applicatif

Test d’intrusion Web
Mobile
(Android, IOS…)
Web services
Applications lourdes
ERP
(People Soft, SAP)

Audit Red Team

Simulation d’attaque concrète avec un périmètre élargi et des contraintes de temps.
Nous privilégions l’exploitation de vulnérabilités impactantes pour l’activité de l’entreprise et orientée fraudes.

Audit de configuration /hardening d’OS

Socles Système
(Windows, Linux, AS400 Mainframe,…)
BDD
(Oracle, MSSQL, DB2,…)
Serveurs web et applicatif
(Apache, Weblogic, Jboss,…)
Firewall, Proxy
(Check Point, Fortinet, Juniper, Squid, F5,…)

Audit d’architecture

PAI, DMZ applicative, accès distant …

Audit de code source

Java, php, Python, Cobol

IOT

Objets connectés

Infrastructure à la demande & Cloud

Amazon, Office 365, cloud privé

Pour plus d’informations concernant ces prestations, notre équipe commerciale est à votre disposition :