AUDIT

Les tests d’intrusion peuvent être externes (depuis Internet) ou internes (connecté au réseau de l’entreprise) et ont pour but de simuler les actions d’un attaquant sur Internet ou d’une personne ayant accès au réseau interne de l’entreprise.

En fonction de l’objectif précis de la prestation, ces tests peuvent être réalisés :

– En « Boîte noire » : sans information sur le système testé. Ces tests simulent les attaques d’un pirate informatique sur Internet.

– En  « Boîte blanche » : en ayant connaissance de l’ensemble des éléments d’architecture du système testé. Ces tests permettent de donner un avis plus pertinent sur le niveau des protections.

– Avec ou sans compte utilisateur : permettant ainsi de mesurer la capacité du système à résister à un attaquant ne disposant d’aucune information d’authentification ou au contraire, ayant un accès, légitime.

Les audits de code sont réalisés d’une part dans le cadre des évaluations Critères Communs (ISO/ IEC 15408) ou CSPN pour des produits à haut niveau d’assurance et d’autre part pour des clients dont les applications revêtent une sensibilité particulière et qui souhaitent avoir un haut niveau de garantie sur la sécurité de leurs applications.

Pour réaliser ces missions d’audit, Oppida s’appuie sur des outils d’analyse qui permettent d’identifier de nombreux types de vulnérabilités dans de nombreux langages de programmation. En complément, une analyse manuelle est systématiquement effectuée afin d’éliminer les éventuels « faux positifs » retournés par ces outils, de quantifier le risque lié à chaque vulnérabilité avérée et d’identifier les vulnérabilités qui ne sont pas issues d’erreur de codage mais d’erreur de conception.
Ce type d’audit est ainsi régulièrement mené pour les dispositifs de signature électronique.

Certaines prestations sont également réalisées dans un cadre réglementaire ou légal. Ainsi, des missions d’audit sont également menées dans le domaine des jeux en ligne, où Oppida se positionne fortement en tant qu’expert et réalise des audits selon le référentiel de l’ARJEL.

Ces audits de code aboutissent à la rédaction d’un rapport d’audit présentant les résultats de l’audit, les vulnérabilités identifiées et les actions hiérarchisées à mettre en place.

Les audits de configuration ont pour objectif de vérifier la conformité des éléments d’une infrastructure par rapport aux référentiels internes de l’entreprise auditée (s’ils existent) et par rapport aux « bonnes pratiques » en matière de sécurité (normes, guides de configuration, etc…).

L’audit de configuration, contrairement aux tests d’intrusion, est non invasif, ne nécessite l’installation d’aucun logiciel sur les systèmes à auditer et peut donc être parfaitement mené sur des systèmes en production, sans risque de perte de données ou de service.

Oppida utilise et développe des outils automatiques d’audit de configuration qui permettent à ses auditeurs de vérifier rapidement de très nombreux points de contrôle (droits sur les fichiers, mise à jour du système d’exploitation et des applications, partages, comptes systèmes et applicatifs, services en écoute, etc…)

En complément d’un audit de configuration, avec l’accord du client, des tests (internes ou externes) permettant d’exploiter les vulnérabilités identifiées peuvent être menés afin de vérifier leur faisabilité technique.

Ces audits de configuration aboutissent à la rédaction d’un rapport d’audit présentant les résultats, les vulnérabilités identifiées et les actions hiérarchisées à mettre en place.

Les audits d’architecture permettent de détecter les failles d’un système d’information par rapport aux référentiels de bonne pratiques de sécurité. Ce type d’audit s’inscrit en général dans un cycle d’audit complet et est souvent effectué en préambule de tests d’intrusion ou d’audit de configuration.

L’audit se déroule sur plusieurs aspects :

• – Une analyse documentaire des différents supports fonctionnels et techniques : examen du plan d’adressage, des routes, des VLAN, des access-list…
• – Une étude des technologies et méthodes retenues et leur mode d’implémentation (par exemple, un focus sera effectué sur les modules d’authentification et les mécanismes de filtrage)
• – Une approche globale du périmètre afin de modéliser fonctionnellement le système et identifier les vecteurs d’attaque les plus pertinents par rapport au flux de données à protéger

Ces audits aboutissent à la rédaction d’un rapport d’audit présentant les non-conformités à l’état de l’art ainsi que les vulnérabilités identifiées et les recommandations de correction.

Oppida réalise de nombreux audits, notamment par rapport à des référentiels spécifiques :

• – Audit de conformité eIDAS, en vue d’une qualification par l’ANSSI.
• Le Règlement « eIDAS » n°910/2014 du 23 juillet 2014 a pour ambition d’accroître la confiance dans les transactions électroniques au sein du marché intérieur. Il établit un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques.Oppida est agréé par l’ANSSI pour réaliser ces audits.

• – Audit de conformité au référentiel PCI-DSS (Visa Master-Card) : fort d’une parfaite maîtrise du référentiel VISA Mastercard , Oppida assiste ses clients dans la mise en conformité avec le référentiel PCI DSS.  A ce jour, plus d’une trentaine de missions ont été menées.

• – Audit des systèmes industriels : les réseaux industriels ont suivi l’évolution technologique et sont de plus en plus mutualisés avec les éléments du Système d’Information classique de la société.  Oppida intervient auprès des industriels dans la réalisation d’audits de sécurité sur des réseaux de type SCADA (systèmes de commande / contrôle) sensibles.

• – Audit de conformité HELIOS : homologation des dispositifs de dématérialisation des opérations en comptabilité publique (Arrêté du 27 juin 2007).

• – Audit de conformité ACTES : homologation des dispositifs de télétransmission des actes soumis au contrôle de légalité dans le cadre de la dématérialisation des actes des collectivités (Arrêté du 19 octobre 2005).

• – Audit de conformité ARJEL : audit de conformité des règles de jeu, audit de générateurs de nombres aléatoires, audit de code…(Décret n° 2010-482 du 12 mai 2010), audit de certification.

• – Audit dans le cadre de certifications selon le RGS (Qualification des Prestataires de Services de Confiance, par exemple) : Oppida et ses consulatants interviennent dans le cadre d ela qualification de prestataires de services de confiance (fournisseurs de certificats électroniques, systèmes d’horodatatge) pour le compte de LSTI. Oppida a ainsi audité de nombreuses sociétés qualifiées RGS.

• – Audit de technologies spécifiques : audit Wifi, VOIP, terminaux mobiles, Bluetooth.

Oppida est qualifié Prestataire d’Audit de la Sécurité des Système d’Information (PASSI) selon le référentiel défini par l’ANSSI sur l’ensemble des portées :

• – audit d’architecture
• – audit de configuration
• – audit de code source
• – tests d’intrusion
• – audit organisationnel et physique
• – PASSI LPM (Loi de Programmation Militaire)

Cette qualification confirme le haut niveau de qualité et de technicité d’OPPIDA en terme de réalisation d’ audits