Les audits de configuration ont pour objectif de vérifier la conformité des éléments d’une infrastructure par rapport aux référentiels internes de l’entreprise auditée (s’ils existent) et par rapport aux « bonnes pratiques » en matière de sécurité (normes, guides de configuration, etc…).
L’audit de configuration, contrairement aux tests d’intrusion, est non invasif, ne nécessite l’installation d’aucun logiciel sur les systèmes à auditer et peut donc être parfaitement mené sur des systèmes en production, sans risque de perte de données ou de service.
Oppida utilise et développe des outils automatiques d’audit de configuration qui permettent à ses auditeurs de vérifier rapidement de très nombreux points de contrôle (droits sur les fichiers, mise à jour du système d’exploitation et des applications, partages, comptes systèmes et applicatifs, services en écoute, etc…)
En complément d’un audit de configuration, avec l’accord du client, des tests (internes ou externes) permettant d’exploiter les vulnérabilités identifiées peuvent être menés afin de vérifier leur faisabilité technique.
Ces audits de configuration aboutissent à la rédaction d’un rapport d’audit présentant les résultats, les vulnérabilités identifiées et les actions hiérarchisées à mettre en place.