Nos Offres

Audit de sécurité

Ces prestations visent à mesurer votre niveau de maturité en cybersécurité en s’appuyant sur les normes et bonnes pratiques en vigueur. L’objectif est d’aider les entreprises à se conformer aux exigences réglementaires et à protéger leurs données et leurs systèmes contre les cybermenaces.

Pour toutes demandes d‘information envoyez–nous un mail à l’adresse suivante :

Analyse de risque (EBIOS)

Une analyse de risque est essentielle pour identifier, évaluer et atténuer les menaces informatiques. Elle implique l’identification des dangers, l’évaluation de leur probabilité et de leur impact ainsi que la proposition de mesures préventives ou correctives. Plus d’informations

Audit d'architecture

L’objectif principal d’un audit d’architecture est d’améliorer la sécurité d’un Système d’Information (SI) en examinant la conception de son architecture, notamment la segmentation des réseaux, ainsi que les divers processus en place (administration, sauvegarde, gestion des journaux, plan de reprise d’activité, etc.). Cette évaluation comprend une analyse documentaire, des entretiens avec les parties prenantes clés et une évaluation approfondie des flux réseau. Plus d’informations

Audit de configuration

L’objectif d’un audit de configuration est d’améliorer la sécurité des éléments clés d’un système d’information en examinant minutieusement leur configuration. Ce type d’audit s’appuie sur des référentiels de sécurité tels que les CIS (Center for Internet Security), qui fournissent des guides de durcissement et recommandent des configurations respectant les meilleures pratiquent en matière de sécurité. Plus d’informations

Audit de code source

L’audit de code source consiste à examiner en profondeur le code informatique pour identifier les erreurs de programmation, les vulnérabilités de sécurité et les pratiques non conformes aux normes de développement. Cette prestation permet de garantir la fiabilité, la sécurité et la qualité du logiciel en détectant les problèmes potentiels avant leur déploiement. En fournissant des recommandations pour améliorer la robustesse et la sécurité du code, l’audit de code source contribue à minimiser les risques d’exploitation et à renforcer la confiance des utilisateurs. Plus d’informations

Analyse de risque

Nos analyses de risque sont conduites en suivant la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) qui a été élaborée par l’ANSSI en collaboration avec le Club EBIOS.

Méthodologie

La méthode EBIOS adopte une approche ascendante pour gérer les risques numériques, en partant des missions principales vers les aspects métiers et techniques. Structurée en 5 ateliers modulaires, elle permet de se concentrer sur les objectifs, favorisant ainsi une gestion agile des risques. La collaboration en groupe valorise les différentes expertises métiers.

En résumé, EBIOS offre un cadre méthodologique complet pour comprendre, évaluer, atténuer et améliorer en continu la gestion des risques numériques.

Description des ateliers

Atelier 1

Le premier atelier vise à identifier l’objet de l’étude, les participants aux ateliers et le cadre temporel. Au cours de cet atelier, vous recensez les missions, valeurs métier et biens supports relatifs à l’objet étudié. Vous identifiez les événements redoutés associés aux valeurs métier et estimez la gravité de leurs impacts. Vous évaluez également la conformité au socle de sécurité.

Atelier 2

Dans le deuxième atelier, vous identifiez et caractérisez les sources de risque (SR) et leurs objectifs de haut niveau, appelés objectifs visés (OV). Les couples SR/OV jugés les plus pertinents sont retenus au terme de cet atelier. Les résultats sont formalisés dans une cartographie des sources de risque.

Atelier 3

Dans l’atelier 3, vous allez acquérir une vision claire de l’écosystème et établir une cartographie du niveau de dangerosité induit par la relation avec les parties prenantes majeures de l’objet étudié. Ceci va vous permettre de bâtir des scénarios de haut niveau, appelés scénarios stratégiques. Ils représentent les chemins d’attaque qu’une source de risque est susceptible d’emprunter pour atteindre son objectif. Ces scénarios se conçoivent à l’échelle de l’écosystème et des valeurs métier de l’objet étudié. Leur gravité est ensuite estimée. À l’issue de cet atelier, vous pouvez déjà définir des mesures de sécurité sur l’écosystème.

Atelier 4

Le but de l’atelier 4 est de construire des scénarios techniques reprenant les modes opératoires susceptibles d’être utilisés par les sources de risque pour réaliser les scénarios stratégiques. Cet atelier adopte une démarche similaire à celle de l’atelier précédent mais se concentre sur les biens supports critiques. Vous estimez ensuite le niveau de vraisemblance des scénarios opérationnels obtenus.

Atelier 5

Le dernier atelier consiste à synthétiser l’ensemble des risques étudiés et à définir une stratégie de traitement du risque. Cette dernière est ensuite déclinée en mesures de sécurité inscrites dans un plan de traitement du risque. Lors de cet atelier, vous établissez la synthèse des risques résiduels et définissez le cadre de suivi des risques.

Demande d'information

Audit d'architecture

En général, cet audit est complété par un audit de configuration visant à identifier et à corriger les faiblesses de configuration des éléments considérés comme critiques.

Méthodologie

Les audits d’architecture impliquent plusieurs étapes qui se déroulent en parallèle.

Elles incluent généralement :
Une analyse documentaire basée sur les documents techniques préalablement fournis ;
La réponse à un questionnaire fourni en amont de l’audit par Nethics ;
La tenue d’un ou plusieurs ateliers avec les architectes et les administrateurs du système d’information ;
L’examen de la matrice des flux entre les différents réseaux, et si possible, l’inspection des configurations des pare-feu.

À l’issue de ces différentes étapes, les résultats sont regroupés et analysés afin de repérer les points faibles du SI et de formuler des recommandations.

Demande d'information

Audit de configuration

Méthodologie

Avant d’effectuer l’audit, la configuration des éléments du périmètre est extraite pour être transmise aux auditeurs. Ces configurations sont obtenues soit à l’aide de scripts d’extraction fournis par Nethics, soit manuellement.

Une fois ces informations préalables reçues, la configuration est analysée en se référant à des normes de sécurité telles que les CIS, les documents de référence de l’ANSSI, ainsi que des documents internes de Nethics.

Après cette analyse, les auditeurs rédigent des livrables dans lesquels ils recensent les non-conformités et proposent des correctifs pour chacune d’entre elles.

Demande d'information

Audit de code source

L’audit de code source consiste à analyser en profondeur le code informatique d’une application afin de repérer les vulnérabilités ou les pratiques qui ne sont pas à l’état de l’art. Cette démarche exhaustive est vivement recommandée avant le déploiement de l’application pour renforcer sa sécurité.

Méthodologie

Les audits de code source sont effectués en utilisant deux approches d’analyse distinctes :

Une analyse du code source à l’aide d’outils automatisés, comprenant entre autres :
- La vérification de la version des bibliothèques utilisées et la recherche des vulnérabilités connues (CVE) associées à celles-ci ;
- La détection automatique de mots de passe en clair dans le code ;
- L’identification des fonctions dépréciées ou vulnérables.
Une analyse manuelle, incluant principalement :
- Un examen détaillé des mécanismes d’authentification ;
- L’évaluation des mécanismes cryptographiques utilisés ;
- L’inspection des aspects sensibles de l’application, tels que la gestion des entrées utilisateur.