Tests d’intrusion récurrents

La sécurité est un voyage. Non pas une destination. La menace évolue rapidement. Seul un exercice récurrent de tests d’intrusion permettra d’évaluer constamment l’état de la sécurité SI de l’organisation. Cet exercice est d’autant plus important qu’aujourd’hui avec la vulgarisation des attaques, l’exploitation des failles est devenue une tâche qui n’est pas réservée seulement aux experts dans le domaine. Même les personnes n’ayant pas le background technique, avec peu de moyens et une volonté de nuire peuvent causer du tort au SI de l’organisation.


Consciente de cet enjeu, DATAPROTECT propose désormais à ses clients de mener des exercices récurrents de tests d’intrusion internes et externes dans le cadre de contrats-cadres spécifiques.

Le périmètre du contrat-cadre

Pour mieux cerner le périmètre, DATAPROTECT propose plusieurs typologies de tests, et ce, en tenant compte des besoins, des attentes et des contraintes du client.

- Périmètre externe
  • Consultants formés et certifiés : CEH, OSCP, CISSP, CISA, PCI QSA, PA QSA, CISSP, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer,
  • Consultants expérimentés : expérience confirmée sur des projets similaires
  • Respect de la confidentialité : Elaboration d’un protocole de communication pour une meilleure protection et communication des résultats d’audit
- Périmètre interne
  • Fréquence (Trimestrielle / Semestrielle / Annuelle)
  • Définition du périmètre à auditer
  • Boîte noire / Boîte grise / Boîte blanche
- Audit Applicatif
  • Recette de sécurité (avant toute mise en production)
  • Code review
  • Audit d’étanchéité

Nos atouts

La réalisation des missions de tests d’intrusion récurrents a été conçue comme une offre à valeur ajoutée, à travers :

- La réalisation de la mission par des consultants compétents:
  • Consultants formés et certifiés : CEH, OSCP, CISSP, CISA, PCI QSA, PA QSA, CISSP, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer
  • Consultants compétents : expérience confirmée sur des projets similaires
  • Respect de la confidentialité : Elaboration d’un protocole de communication pour une meilleure protection et communication des résultats d’audit
- Un très bon retour d’expérience en sécurité des systèmes :
  • Une capitalisation sur une dizaine de contrats cadre d’audit de sécurité
  • Une industrialisation de la démarche des tests d’intrusion récurrents
  • Veille permanente en matière de sécurité SI
  • Plus de 100 missions d’audit de sécurité SI
  • Expertise et outillage spécifique pour les tests d’intrusion
- La mise en place d’un Laboratoire d’Ethical Hacking :
  • La norme est largement redondante et nécessite une lecture adaptée
  • L’approche 27001 n’est pas un gage de qualité propre mais de qualité de l’amélioration continue
  • L’approche 27001 contribue aux besoins réglementaires (ex. : PCI-DSS) sous réserve d’ajustements de l’approche
- La mise en place d’un « Security Operations Center »
- Une accréditation mondialement reconnue en tant que PCI QSA et PA QSA
- Une méthodologie d’audit de sécurité basée sur des référentiels mondialement reconnus

Nos références

DATAPROTECT a réalisé de nombreuses missions de tests d’intrusion récurrents dans le cadre de contrats-cadres avec des organisations de renom. Nous pouvons en citer notamment :