Audits cyber et pentests

Testez votre robustesse

aux attaques

Améliorez votre préparation et votre résilience face aux attaques avec nos solutions d'audits cyber et de tests d'intrusion informatique. 

 

Le saviez-vous? La différence entre un audit et un test d'intrusion

L’audit de sécurité permet d’évaluer la sécurité d’un système d'information ou d’une application par rapport à un référentiel, des textes de loi, des normes, ou des bonnes pratiques.
Le test d’intrusion évalue la sécurité par rapport aux pratiques réelles de piratage à un instant donné. 

Les prestations

Logo Scan de vulnérabilités applicatives

Scan de vulnérabilités applicatives

Ils permettent de détecter les vulnérabilités des applications et les erreurs de développement et de configuration à l’origine des failles. Le scan va remonter les vulnérabilités les plus communes, généralement basées sur le top 10 de l’OWASP (injection SQL, authentification brisée, XXE, contrôle d'accès brisé, exposition de données sensibles, XSS cross-sitescripting, mauvaise configuration sécurité, etc.).

Logo Scan de vulnérabilités systèmes et réseaux

Scan de vulnérabilités systèmes et réseaux

Ils permettent d'identifier les vulnérabilités relatives à l’infrastructure : services obsolètes, erreur de configuration, revue des patchs de sécurité, vérification de la présence des mots de passe par défaut.

Logo Test d'intrusion informatique

Test d'intrusion informatique

Un pentest permet de détecter les vulnérabilités fonctionnelles et techniques des applications web et/ou des systèmes d’information.

Un de nos collaborateurs se met dans le costume d’un individu malveillant cherchant à accéder à votre service depuis internet, ou dans celui d’un personnel interne malintentionné ou non (salarié, prestataire, stagiaire…).

Conformément aux bonnes pratiques en la matière, nous conseillons de réaliser un pentest une fois par an et/ou avant chaque mise en ligne d’une application ou d’un composant d’infrastructure critique.

Logo Revue de code

Revue de code

Elle permet d'identifier des vulnérabilités applicatives et fonctionnelles. Complémentaire au pentest, la revue de code permet d’auditer votre code source et de s’assurer que les bonnes pratiques de développement sécurisé sont en place.

Dans le cas où vous développez et/ou utilisez des applications soumises à des contraintes normatives (HDS, RGPD etc.) ou s'il y a traitement de données sensibles/critiques, cette revue de code nécessite d'être réalisée régulièrement. 

Logo Audit d'architecture technique

Audit d'architecture technique

Il vise à vérifier la conformité des pratiques de sécurité de l'entité auditée par rapport à l'état de l'art, aux exigences et à ses politiques internes. Ces pratiques de sécurité correspondent au choix, au positionnement et à la mise en œuvre des dispositifs matériels et logiciels déployés dans le système d'information. 

Les étapes de votre prestation d'audit

L'ensemble de nos prestations se déroule de la manière suivante : 

  1. Nous échangeons pour comprendre votre besoin et cadrer ensemble le périmètre à auditer,
  2. Nous établissons et signons un protocole d'accord,
  3. Nous conduisons des interviews techniques,
  4. Nous procédons aux tests sur la plage horaire préalablement décidée,
  5. Nous vous alertons immédiatement en cas de vulnérabilité critique identifiée,
  6. Nous organisons une restitution à chaud, immédiatement après l'audit/le pentest,
  7. Nous rédigeons et vous partageons un rapport d'audit complet et sur mesure,
  8. Nous vous accompagnons si nécessaire dans la mise en place des actions correctives,
  9. Nous échangeons sur les suites et sur l'opportunité d'automatiser les tests.

Partenaire de choix pour la cybersécurité de vos services

Connaissance

Nous avons été pendant plusieurs années l’équipe de cybersécurité interne d’une ETI du secteur de l’assurance-santé - nous connaissons ainsi les enjeux et problématiques métiers des directions, des DSI, et des équipes projets et savons nous adapter à leurs contraintes opérationnelles.

Expérience

Nous avons une solide expérience de la protection de systèmes d’information vitaux.

Accessibilité

Notre équipe à "taille humaine" vous garantit un service personnalisé.

Certifications

L'équipe de la Citadelle possède les certifications suivantes : 

  • ISO 27001 : 2013 Lead Implementer et Lead Auditor ;
  • ISO 27005 : 2008 Risk Manager ;
  • OSCP: Offensive Security Certified Professional;
  • CEHv10 : Certified Ethical Hacker ;
  • CHFIv9: Computer Hacking Forensic Investigator; 
  • GDAT : GIAC Defending Advanced Threat.