Securi-toile

Vous êtez sur : Sécurité Informatique Audit de sécurité boîte noire

Audit de sécurité boîte noire

Envoyer Imprimer PDF
Share

Un audit de sécurité : pour quoi faire ?

Les applications web et les serveurs sont des cibles privilégiées et faciles pour les pirates. L’actualité du moment montre que les site les plus connus au monde (Sony, Nintendo, Google, la Cia, Codemasters, Citigroup, et même le site français du ministère de la défense…) sont victimes de piratage.
Vous n'êtes pas aussi gros ? vous vous sentez à l'abri ? Consultez le cimetière des sites piratés : Que votre site soit une vitrine, un site de prospect ou une lourde application, ils n'hésiteront pas, peu importe le statut de votre entreprise, à s’attaquer à vous.
Ils pourront par exemple :

  • Voler des données confidentielles
  • Voler vos projets, votre stratégie, vos mailling
  • Détruire partiellement ou complètement votre site
  • Installer des accès frauduleux sur votre infrastructure informatique (site et serveur web)
  • Héberger des fichiers illégaux (virus, phishing ou images pédophiles par exemple)
  • Bloquer votre site
  • Envoyer du courriel non sollicité “spam”

Et les conséquences de ces actes malveillants peuvent être dramatiques :

  • Image entachée
  • Pertes financières
  • Poursuites judiciaires

Un audit de sécurité s’impose !

L’offre “Audit de sécurité boîte noire”
(sur devis)

L’audit de sécurité en mode boite noire est une méthode qui consiste à se mettre dans la peau d’une personne malveillante et à rechercher les vulnérabilités, les failles de sécurité d’un site internet et/ou d’un serveur web.
Il permet de vérifier votre niveau de sécurité et de protection actuelles, de vous mettre en conformité avec la loi française (cf: Quel risque juridique et penal pour les entreprises ?)

L’offre “Audit de sécurité boîte noire” s’adresse à toute entreprise ayant un site web, une application web (non open-source), et souhaitant connaître le niveau de résistance de leur application face à un possible acte de malveillance.

L’offre “Audit de sécurité boite noire” vous propose de :

  • Réaliser un audit à distance et à l’aveugle dans les conditions qu’aurait une personne malveillante
  • Vérifier le niveau de sécurité de votre installation, la configuration ainsi que le paramétrage de votre application web, serveur web et service web.
  • Fournir un rapport détaillé, personnalisé et confidentiel qui vous informe de l'existence de failles et vous conseille sur les solutions à apporter.
  • Dresser un état des lieux listant les mesures de sécurité présentes et manquantes
  • Conseiller des améliorations sous forme d’un rapport écrit qui peut être le point de départ d’un plan d’amélioration de sécurisation de votre site.
  • Vérifier les corrections apportées aux failles décelées. 


L’offre “Audit de sécurité boite noire" peut être complétée (en option et sur devis) par  :

  • la mise en place des corrections
  • la réalisation d’un test de pénétration d’une zone de connexion à l’administration (par exemple)
  • une vérification de la bonne correction des problèmes décelés et rédigés dans le rapport.
  • des informations régulières sur les mises à jour, les problèmes de sécurité de l’application ou les technologies utilisées (veille sécuritaire).

L’offre “Audit de sécurité boite noire" nécessite de répondre aux conditions suivantes :

  • Une cible (ip ou application web).
  • La transmission des règles de réécriture d’url (cf:.htaccess).

L’offre “Audit de sécurité boîte grise”
(sur devis)

L’audit de sécurité boîte grise est proche à la fois de la méthode de la boîte noire et proche d’un audit de code source. C’est la méthode qui donne le meilleur résultat en alliant les avantages des deux méthodes en voici les principaux.

  • Identification d’un plus grand nombre de vulnérabilités.
  • Réduction des faux positifs.
  • Localisation plus rapide et précise des vulnérabilités.
  • Correction plus facile des vulnérabilités détectées.
  • Vérification des problèmes de configuration de l'application web.
  • Possibilité de connaître tous les fichiers présents et accessibles via le serveur web.
  • Détection d'injection SQL, même sans la notification des erreurs web.
  • Capacité d'intercepter toutes les entrées d'applications web.
  • Création d’une liste complète de toutes les entrées possibles dans le site.
ATTENTION : Cette prestation n’est possible que si l’application est développée en PHP 5 ou Dot.net et hébergée sur un serveur  web Apache ou IIS avec  Windows 2003 serveur à Windows 2008 RC2 ou distribution Linux. Les fichiers nécessaires (une dll pour dot.net, un fichier.php pour une application php et sa règle de réécriture à mettre dans le .htaccess) et notice d'installation seront envoyés. Il est possible d’auditer un serveur en mode boite grise si une application y est présente.

Contactez moi

  1. Nom :
    Svp entre votre nom
  2. Prénom :
    Votre prénom svp
  3. E-mail : (*)
    Adresse email incorrecte
  4. Téléphone : (*)
    Donnée Invalide
  5. Message : (*)
    Entre votre demande
  6.   

A propos

Sécurite informatique Eric Seguinard
Securi-Toile
9 Bd de la République
Istres 13800 France
06 10 81 62 02
Du lundi au vendredi de 9h à 19h.

Eric Seguinard , des solutions et conseils pour votre , et , .

Label Orange b2b site web partenaire