L'analyse de risque a pour but de vérifier la sécurité de votre système d'information.
Il vous permet de prendre vraiment connaissance de TOUT votre système d'information. En effet, ce dernier peut inclure des éléments omis des inventaires et qui peuvent être des points d'entrées pour les attaquants.
L'audit de sécurité informatique est une méthode qui vous permet de comprendre le niveau de sécurité global du système d'information.
Il permet également de réviser les politiques d'accès aux données de l'entreprise et aux différentes configurations réseau.
Les audits de sécurité informatique garantissent la disponibilité des systèmes d'information, l'intégrité de leurs données et la confidentialité des accès. Ils fournissent également des preuves qui permettent de savoir où et quand accéder à ces données ou applications.
L'audit de code source permet d'évaluer le niveau de sécurité de votre application.
Que ce soit un progiciel, comme un ERP, un site Web ou une boutique en ligne développé en interne, les bonnes pratiques doivent être respectées sous peine d'introduire des failles évitables.
Un auditeur 2sec peut analyser votre code source pour identifier les vulnérabilités exploitables (injection SQL, défaut d'authentification de certaines pages sensibles...).
Les langages que nous pouvons auditer sont essentiellement JAVA, PHP et C# (ou .Net).
Un rapport final vous sera remis, contenant les principales failles rencontrées, en détail, et avec des recommandations vous permettant de sécuriser votre code. Nous nous basons sur la méthode CVSS v3 pour qualifier le criticité des failles rencontrées.
Test d'intrusion (Pentest) sur un site web, un
réseau local, un réseau wifi ou une application web afin d'évaluer la
résistance de votre système d'information aux attaques et cybermenaces.
L'analyse peut se réaliser selon 3 cas qui peuvent varier selon les attentes de l'entreprise :
Le but du test d'intrusion est la pénétration de tout ou partie de votre réseau afin de vérifier s'il est possible d'effectuer des actions non autorisées.
A la fin de la mission, un rapport complet sera rédigé et vous sera remis.
La réponse à incidents -suite à une attaque- comprend les actions suivantes:
Chacune de ces étapes est importante et aucune d'entre elles ne peut être omise.
Nos experts peuvent intervenir rapidement pour effectuer ces différentes étapes et vous fournir un rapport sur la situation.
En premier lieu, nous établissons ensemble un plan d'action, afin de définir les limites de notre intervention en rapport avec les besoins de votre société.
Ensuite, nos experts se déplacent dans votre société et analysent la situation de votre entreprise pour tout ce qui concerne la sécurité informatique : stratégie de mots de passe utilisateurs, droit d'accès des employés aux ressources réseaux, sécurisation des postes informatiques, accès physique aux équipements sensibles (serveurs, caméras...).
Au terme de l'audit, des recommandations seront émises selon le plan d'action qui a été décidé et les éléments que nos experts ont relevés.
Comme pour l'audit de sécurité, nous établissons ensemble un plan d'action qui servira de ligne directrice pour nos hackers éthiques.
Ce plan d'action définit précisément les actions à faire et surtout celles à ne pas faire. Les tests d'intrusion étant des éléments contraignants pour les équipements informatiques et réseaux, il est primordial de ne pas mettre hors service des éléments essentiels au fonctionnement de votre société.
Ensuite, nos hackers éthiques certifiés vont effectuer toute une panoplie de tests qui vont déterminer précisément quels sont les équipements qui présentent des failles. Une fois que ces équipements ont été identifiés, ils vont passer à la phase d'attaque.
Cette phase consiste à s'introduire dans les équipements au moyen de failles recensées. Une fois dans le système, le hacker éthique va essayer d'obtenir des privilèges plus importants (droits d'accès). L'étape ultime de ces tests est le gain d'un accès administrateur (ou root) depuis un accès extérieur de simple utilisateur, donc sans privilège.