Audit, Tests de Pénétration & Optimisation des Risques

La prévention et la mesure du risque constituent un outil décisionnel essentiel pour la maîtrise de vos infrastructures IT, tant en termes d’efficience que de coût. Depuis plus de 15 ans, Kyos accompagne les organisation grâce à :

  • Une démarche transparente,
  • Une méthodologie globale claire,
  • Une évaluation précise du risque,
  • Des livrables adaptés et sur-mesure.

Kyos vous apporte son expertise dans les tests de pénétration et vous accompagne dans l’optimisation de la sécurité de votre organisation.

  • Mesure du risque technique, lié aux technologies que vous avez choisies et à leur implémentation ;
  • Mesure du risque humain, vis à vis du respect des bonnes pratiques par les utilisateurs ainsi que le respect des procédures d’urgence.

Votre projet d’audit

Le choix d’une prestation d’audit doit concilier une analyse pertinente avec des prestations adaptées à votre budget. Kyos vous propose de définir ensemble votre projet d’audit afin de répondre à ce double impératif.

S’appuyant sur une équipe de consultants passionnés, Kyos vous accompagnons dans votre démarche en vous proposant :

  • Une définition précise des risques associés à votre activité et des intervenants,
  • Des mesures (blackbox, greybox ou whitebox) et études adaptées au regard des enjeux de votre organisation,
  • Des livrables répondant aux standards mis en place au sein de votre entreprise et rédigés pour les différents intervenants : direction, responsable informatique, équipes techniques,
  • Des préconisations et recommandations claires et concrètes afin de vous permettre de définir un plan d’action efficace,
  • Un accompagnement dans la définition de votre plan d’action.

Méthodologie

Kyos propose d’utiliser la méthodologie HERMES, volontairement adaptée et optimisée pour les projets d’audit, dans le cadre de la gestion du projet. Séparée en plusieurs phases distinctes, cette méthodologie nous permet de garder la maîtrise de l’audit et de vous donner la meilleure visibilité possible sur les différentes activités conduites.

Notre outil : Auditbay

Fort de son expérience dans la gestion de projet et les audits, Kyos a élaboré un framework nommé AuditBay permettant de :

  • Proposer des modules de tests différents adaptés aux besoins de l’audit et basés sur des standards de sécurité reconnus,
  • Combiner la créativité humaine à l’utilisation des outils techniques de référence,
  • Utiliser un processus de test « apprenant » et « Agile » supporté par un cadre de méthodologique de gestion de projet (HERMES),
  • Disposer d’une base de connaissance commune et centralisée, alimentée par nos travaux de recherche et de veille.

Notre démarche de tests de pénétration

Qu’ils soient externes ou internes, ciblés ou exhaustifs, nos tests de pénétration sont adaptés à vos objectifs :

  • Identifier les systèmes vulnérables de manière exhaustive,
  • Si nécessaire, exploiter les vulnérabilités critiques pouvant mener à la compromission d’une cible,
  • Donner une évaluation du niveau de sécurité des services disponibles.

La réalisation des activités s’appuie sur plusieurs méthodologies (OSINT, OSTMM, « The penetration testing execution standard » & NSIT. Nos rapports comprennent un résumer éxécutif, une liste des vulnérabilités identifiées et des recommandations associées, ainsi que les détails techniques listant les éventuelles exploitations, les vulnérabilités identifiées ainsi que les « proof-of-concept » permettant aux équipes techniques de reproduire les actions menées par Kyos.

Evaluation de la sévérité d’une vulnérabilité

Kyos attache une grande importance à fournir une évaluation du niveau de sécurité fiable et directement exploitable. Nos différentes expériences dans l’audit nous ont permis d’utiliser de nombreuses méthodes de calcul du risque comme le CVSS (« Common Vulnerability Scoring System ») ou encore « OWASP Risk Rating Methodology ». Nous avons constaté que, dans bien des cas, ces méthodes de calcul complexes manquent de flexibilité. Nous avons donc fait le choix de mettre en place notre propre évaluation du risque basée sur la méthode du « Cert-IST » et du projet EISSP (www.eissp.org).

Plus d’information à ce sujet ? Nous sommes à votre disposition !
>>> Contactez-nous