Compétences – Conseil et Audit Cyber

Compétences

Conseil Cyber

Forts de notre expérience, nous conseillons les entreprises sur les choix stratégiques en matière Cyber, que ce soit dans le cadre de choix liés à la sécurité, ou dans le cadre de choix vis-à-vis des tendances et évolutions technologiques.

Nos compétences croisées en matières d’Intelligences Artificielles, de Cybersécurité, et notre connaissance des réglementations nous permettent de vous conseiller au mieux, et de vous aider à interagir avec vos partenaires.

Compétences

Audit Cyber

Certains de ces audits sont courts et rapides, d’autres longs et denses. Nous adaptons ces charges à la nature de l’activité de nos clients, ainsi qu’à l’importance stratégique qu’ils apportent à ce qu’ils souhaitent auditer. MathSiMo dispose d’une large gamme de compétences permettant la réalisation de la plupart de ces audits, et travaille en partenariat avec des sociétés et autres structures spécilisées, disposant des compétences complémentaires, facilitant un accès à des spécialistes reconnus.

Les grandes catégories d’audit

Audit
général

Audit ciblé autour
d’un périmètre applicatif

Audit ciblé autour
d’un périmètre réglementaire

Objectif : avoir une vue d’ensemble de votre activité et de la sécurité de votre environnement Cyber

Objectif : Disposer d’une évaluation adéquate du niveau de sécurité d’une application ou d’un service

Objectif : Disposer d’une évaluation adéquate du niveau de conformité à une réglementation (RGPD, HDS, ISO27001, …)

Cliquez ici pour en savoir plus

Comprend par exemple :

  • Une analyse technique des surfaces exposées (HTTPS, …)
  • Des entretiens avec les principaux métiers et directions
  • Une analyse des processus & de la documentation

Comprend par exemple :

  • Une analyse technique des applicatifs (Audits de codes, …)
  • Des tests techniques sur les applicatifs et leurs environnements (Tests de pénétration, boite noire/grise/blanche …)
  • Des analyses des stratégies mises en place (Évolutions des charges, gestion de la reprise et continuité d’activité, …)

Comprend par exemple :

  • Une évaluation de la maturité de l’entreprise et des applicatifs
  • Des entretiens avec les métiers, développeurs, infogérants & sous-traitants
  • Des analyses techniques d’évaluation des stratégies et processus

Ces éléments sont sujets à variation et adaptation en fonction des projets

Déroulement d’un audit

Un Audit se décompose généralement en 3+1 phases :

Avant l’Audit

Définition du périmètre

Discussion avec la Direction et les métiers afin de clarifier les limites de l’audit

Analyses, Constats et Entretiens

Documentations & Métiers sont sollicités et valident les constats
Des constats supplémentaires sont effectués par analyse des infrastructures/applications

Durant l’Audit
Restitution de l’Audit

Formalisation et Recommandations

Un rapport de restitution est préparé, à un format convenu par avance (tableur, PDF, …), afin de faciliter les modifications à apporter par les équipes, et de permettre un suivi clair de l’évolution des remédiations

Remédiation

Après l’Audit, nous pouvons vous accompagner pour vous aider à mettre en place les correctifs nécessaires, et vous fournir des solutions techniques et accompagnements adaptés

Après l’audit

Quelques exemples pratiques d’Audits

Quelques exemples d’objectifs :

  • Identifications des points limitant les capacités d’expansion (limites techniques, humaines, …)
  • Gestion des évolutions technologiques
  • Gestion des évolutions de charges
  • Identification des mesures techniques
  • Identification des mesures organisationnelles
  • Gestion des actifs matériels
  • Gestion des actifs immatériels
  • Gestion des serveurs et des données
  • Capacité de « scaling » (adaptation des charges)

Ces audits permettent d’identifier les éléments devant faire l’objet d’évolutions, qu’ils soient techniques, humains, ou réglementaires

Quelques exemples d’objectifs :

  • Être en conformité avec les bonnes pratiques en matière de composants nécessaires (Antivirus, Firewall, …)
  • Identification des vulnérabilités (ports ouverts, applications obsolètes, …)
  • Gestion des serveurs
  • Gestion des droits
  • Gestion des logs
  • Stockage des données (chiffrements, …)
  • Gestion des sauvegardes & archivages
  • Compatibilités & LTS

Ces audits permettent de disposer d’un état des lieux précis à un instant donné, et les rapports générés permettent de démontrer vos bonnes pratiques auprès de vos clients

Quelques exemples d’objectifs :

  • Analyse approfondie de votre code source (analyse statique et/ou manuelle)
  • Identification des vulnérabilités de votre code source
  • Gestion du code
  • Gestion des droits
  • Gestion des erreurs
  • Gestion des Injections (SQL, bash, premier niveau, deuxième niveau, …)
  • Stockage des mots de passe et autres informations d’identifications (API keys, salt, …)
  • Analyse des fichiers de configuration des environnements propres aux langages (php.ini, config NodeJS, …)
  • Compatibilité des versions des langages

Analyse statique

L’analyse statique de code évalue le comportement d’une application sans l’exécuter. On utilise généralement des outils automatisés spécifiques selon la demande. Automatisés oui mais en s’appuyant sur une intervention humaine.

Analyse manuelle

L’analyse manuelle est réalisée par un expert du langage. La principale limite est le nombre de lignes de code auditées par jour en fonction de la complexité du programme.

Nos audits peuvent également reposer sur une analyse partielle (carottage) des codes sources des applications.