Le Test de vulnérabilités

Le Test de vulnérabilités

Audit Cyberattaque Cybersécurité Sécurité Technique

vulnerabilité-2Le Test de vulnérabilités

Le test de Vulnérabilités est une solution semi-automatisée visant à détecter les vulnérabilités.

Réalisez le test de vulnérabilités aux niveaux applicatif, réseau ou système, en utilisant les réseaux internes ou externes.

Objectifs du test de Vulnérabilités:

Evaluer l’efficacité des dispositifs de sécurité logique.
Identifier les vulnérabilités.
Permettre de minimiser votre surface d’attaque et de réduire les risques.
Prévenir les attaques dues à des logiciels mal configurés dans services, les systèmes d’exploitation et les appareils réseau.
Identifier les correctifs de sécurité manquants.
Identifier les logiciels obsolètes par des analyses du système.


Forme du test de Vulnérabilités:

Tests logiques effectués en interne et en externe avec des outils spécialisés.

Les failles de sécurité étant très souvent spécifiques aux OS, évitez de dévoiler les OS des serveurs.
Cependant, les extensions de fichiers .asp, l’utilisation de .htm au lieu de .html, et les pages d’accueil baptisées default.htm permettent à  un pirate d’identifier un serveur IIS par exemple.
De plus, beaucoup d’outils aident les pirates à  déterminer l’OS d’un système et ne nécessitent, pour être utilisés, que l’adresse IP du serveur.

Le test de vulnérabilités établit un bilan complet et exhaustif des vulnérabilités, c’est à dire des failles potentielles.

Il est important à ce stade de bien comprendre qu’une vulnérabilité n’est pas une faille.
Dans le cadre du test de vulnérabilités, l’auditeur cherche à révéler l’ensemble des vulnérabilités possibles, mais sans les exploiter.
Le test de vulnérabilité fournit un rapport détaillé.
Ce rapport comprend des recommandations et les détails techniques permettant de comprendre, reproduire et faire corriger les problèmes détectés.

Contexte

Selon le Rapport sur la cybercriminalité de McAfee et du CSIS  , le coût mondial des atteintes à la cybersécurité atteindra 600 milliards de dollars d’ici 2021.
Selon l’institut Gartner, 99 % des vulnérabilités exploitées étaient connues des professionnels de la sécurité/informatiques depuis au moins un an.
Les vulnérabilités se nichent absolument partout : systèmes d’exploitation, machines virtuelles, applications métiers, protocoles de transports de données.
Le risque est omniprésent !
Mieux vaut mettre régulièrement votre infrastructure IT à l’épreuve afin d’en détecter les faiblesses éventuelles.
Les tests de vulnérabilités mettront en lumière les lacunes de votre système d’information. Mais attention, pour réussir un tel test, il faut agir avec méthode…

Un protocole précis

Cartographiez

Tous les tests de vulnérabilité débutent par une première phase d’exploration. Cette phase permet de cartographier les arcanes du systèmes d’information.
Cet audit préliminaire permet d’identifier les machines utilisées, les systèmes d’exploitation qui coexistent sur l’infrastructure, les applications métiers ou encore les usages des utilisateurs.

Détectez

Rechercher les vulnérabilités publiées par les autorités (CERT-FR, NVD…) et présentes dans votre parc informatique.

Priorisez

Evaluer vos vulnérabilités en fonction, de l’existence d’un exploit, et du contexte métier de la machine affectée.

Prendre les bonnes décisions

A l’issue d’un test de vulnérabilité, les défaillances détectées sont scorées en fonction de leur criticité.
Par conséquent il devient alors très simple de décider des corrections à apporter en priorité !

Corrigez

 

Les limites à ne pas franchir…

Les évolutions, les mutations, les changements d’une infrastructure IT sont permanents.
Tester la vulnérabilité doit être répétée plusieurs fois par an (une fois par mois est une fréquence appropriée).
Les analyses doivent se dérouler en perturbant le moins possible les flux de production.
Il est donc préférable de les exécuter sur les tranches horaires adaptées (HNO, hors fenêtre de back-up, etc.).
Les tests peuvent également être menés de manière ciblée. Dans ce cas, il s’agira de définir le nombre d’actifs à scanner simultanément.

Les recommandations PERENNE IT Concernant le test de Vulnérabilité.

La réussite d’un test de vulnérabilité repose sur la mise en place de certaines recommandations :
– Tester les réseaux internes et externes,
– Recourir à un consultant spécialisé pour l’interprétation des tests tout au moins les premières fois.
L’idée est ainsi d’allier la rapidité des tests de vulnérabilité et l’expérience d’un consultant qui saura mieux interpréter les résultats et creuser là où cela a réellement du sens.
Et dans un second temps, d’affiner le processus: «Par des tests ciblés exclusivement sur les applicatifs métiers les plus sensibles, comme les serveurs web ou les têtes de pont VPN (réseau privé virtuel, etc…). Cette approche permet de maîtriser ses dépenses en les ventilant intelligemment sur un budget annuel.
– Mettre régulièrement votre infrastructure IT à l’épreuve,
– Agir avec méthode.

Les « tests de Vulnérabilité »  sont souvent inclus dans l’Audit du système d’information.

Offre Pérenne’IT                                                             https://www.perenne-it.fr/wp-content/uploads/2021/02/Test-de-Vulnerabilite-Presentation.pdf

« Présentation de l’Audit de système d’information »   https://www.perenne-it.fr/wp-content/uploads/2020/12/Presentation-Audit-de-systeme-dinformation.pdf
Offre Pérenne’IT d’Audit Sécurité, Audit Flash                https://www.perenne-it.fr/expertise/audit-flash-de-securite/

Tester la sensibilité au phishing : Microsoft Attack Simulator

Tester la sensibilité au phishing : Microsoft Attack Simulator

Cloud Cybersécurité Microsoft

Le phishing (ou hameçonnage) est un vecteur d’attaque très courant et vise directement les utilisateurs du système d’information. De la compromission d’identifiants à la diffusion de logiciels malveillants, les objectifs sont multiples mais la méthode est souvent identique : inviter l’utilisateur à cliquer sur un lien dans un e-mail.

Si des solution techniques  existent pour intercepter les tentatives, Microsoft Defender Safe Links notamment, il est aussi primordial de sensibiliser les utilisateurs et de s’assurer (tester) que cette sensibilisation est effective.

Le simulateur d’attaques Microsoft Defender propose une solution permettant de tester vos utilisateurs avec différents scénarios, celui qui nous intéresse ici étant l’attaque par harponnage. Cet outil permettra d’identifier les utilisateurs qui cliquent sur un lien malveillant d’une part, et ceux allant jusqu’à saisir leur identifiant O365 dans une page malveillante.

Continue reading

Audit du système d’information

Audit

téléchargementAudit du système d’information

Tandis que le système d’information tend de plus en plus à gérer l’ensemble des processus, administratifs, de gestion, commerciaux, marketing ou encore métiers, la performance de ce système d’information influe largement sur la capacité de l’entreprise à atteindre ses objectifs.
L’Audit de système d’information effectuera une évaluation.

Cependant, le système d’information n’est pas toujours parfaitement maîtrisé par l’entreprise.
Qu’il s’agisse d’une mauvaise connaissance des ressources informatiques utilisées, de budgets insuffisants,
de technologies obsolètes ou inadaptées, ou encore, de non-respects législatifs (licences, protections des données…) la liste des manquements pourrait être longue.
Il importe donc de mettre en place une rationalisation de ce système d’information, à travers différentes normes et procédures, ou encore, avec la réalisation d’un audit de système d’information.

Enjeux et mise en œuvre

Tandis que les budgets des services informatiques sont toujours plus serrés, la question de réaliser des audits réguliers de son système d’information n’est pas évidente.
Quand faut-il réaliser un audit informatique ?
Faut-il le faire alors que tout va bien ou doit-on le réaliser lorsqu’un problème vient de survenir ?

Nombre des audits informatiques sont lancés alors qu’un incident vient de se produire : une faille de sécurité,
une panne systèmes critique et voilà et qu’il faut être en mesure de réaliser des rapports précis
et des analyses de son système d’information.

Il semble nécessaire de ne pas effectuer un audit qu’à la suite d’un incident, mais bien de le prévoir afin d’obtenir une réponse à un objectif précis de contrôle du système d’information.
L’audit informatique va également permettre de mieux connaître l’ensemble des parties prenantes à ce système, qu’il s’agisse du matériel, des ressources humaines ou des ressources financière.

Ainsi, tandis que les systèmes d’information des entreprises sont toujours plus en ébullition
et que les DSI se doivent d’être en mesure d’analyser à tout instant le fonctionnement de leur système d’information, la mise en place d’audits réguliers permet de maîtriser les risques et d’assurer à l’entreprise
un système d’informations fiable et performant sur le long terme.

Le système d’information : définition

Le système d’information, c’est l’ensemble des logiciels et des matériels, informatiques, électroniques
ou de télécommunication, qu’il s’agisse de ressources physiques (fibres optiques, surface d’hébergement, alimentation électrique, climatisation) ou de plates-formes logicielles ou matérielles (serveurs, systèmes d’exploitation, bases de données…) qui participent au stockage, à la gestion, au traitement, au transport
et à la diffusion de l’information au sein d’une entreprise.
On inclut parfois également dans le système d’information les personnels qui conçoivent, déploient, maintiennent et rendent opérationnel ces ressources, ou encore les procédures liées à ces ressources.

A propos de l’audit de système d’information

Un système d’information ne constitue pas une fin en soi.
Ainsi, effectuer un audit de système d’information, c’est évaluer dans quelle mesure le système d’information répond aux facteurs clés de performance et aux objectifs stratégiques de l’organisation concernée.

Se fixer des objectifs

Il est important de réaliser un audit alors même que le système d’information de l’entreprise est fonctionnel
et ne rencontre pas de problème particulier.
Cette prise de position n’est pas évidente, parce que l’informatique est vue comme un ensemble technique
et complexe, et que lorsque tout va bien, nul n’a envie d’engager des frais pour mettre à jour
ce qui se cache derrière cet outil qui supporte la quasi-totalité des processus de l’entreprise.

Et pourtant, l’audit informatique est un formidable élément de réponse.
Pour que l’audit informatique soit utile à l’entreprise, il sera donc avant toute chose nécessaire
de lui fixer des objectifs. Il pourra ainsi s’agir de vérifier la sécurité du système d’information,
de vérifier la fiabilité des applications, ou encore d’évaluer les risques opérationnels ou financiers
liés aux activités informatiques. Dans tous les cas, sans la définition d’un objectif, il sera impossible de mesurer
la pertinence de l’audit et ses résultats.

Les objectifs de l’audit de système d’information peuvent être multiples :

– évaluer l’efficacité, la performance, la pérennité et la sécurité de l’information, en comparaison
avec les objectifs stratégique de l’entreprise
– effectuer des recommandations sur les projets informatiques en cours
– effectuer des recommandations sur l’évolution du système d’information

Ainsi, un audit d’information se concentre généralement sur un ou plusieurs des points suivants :
– réduction des coûts non justifiés lié au système d’information
– conformité du système d’information avec les obligations légales
– optimisation du traitement des processus métiers de l’entreprise par le système d’information
– optimisation de l’interopérabilité et de l’accessibilité du système d’information
– optimisation de la sécurité du système d’information
– efficience et pérennité du système d’information

Que doit-on auditer ?


Les moyens et les ressources liés au système d’information de l’entreprise comprennent à la fois
les moyens techniques (matériel, locaux, réseau, logiciels) mais aussi les moyens financiers
ou encore les ressources humaines.

– Ressources matérielles

Le matériel, qui représente une part financière importante du système d’information comprend notamment les ordinateurs personnels fixes et portables. On étudiera ainsi, entre autres :

la fiabilité du matériel,
l’impact éventuel des pannes matérielles,
les performances du matériel,
la sécurité du matériel. 

– Ressources humaines
Du côté des ressources humaines, on étudiera :
les compétences et les diplômes des collaborateurs
leur motivation
leurs responsabilités
le respect du droit du travail
les relations entre les membres du personnel
l’organisation du travail au sein du service informatique
la gestion des connaissances faite par l’entreprise
On s’attachera également au respect des règles de sécurité, telles que l’utilisation de mots de passe complexes, et à la disponibilité de la documentation. 

– Ressources financières
Enfin, du côté des moyens financiers, on recensera les coûts d’investissement, de développement et de fonctionnement du système d’information en essayant de n’oublier aucun poste, qu’il s’agisse des dépenses ou des gains. Cette opération est particulièrement difficile, notamment lorsque l’on considère les gains éventuellement indirects que peut avoir le système d’information sur des services tels que la gestion administrative, la production, la commercialisation, le transport, ou encore la gestion des stocks.

Mettre en place l’audit :

La réussite d’un audit de système d’information repose sur la mise en place de certaines recommandations :
– préciser les objectifs et le champ d’application de la mission.
– mettre en évidence les responsabilités de l’auditeur, qui doit rester neutre et qui a un devoir de conseil
vis-à-vis de son client.

En effet, il est nécessaire que le client collabore en fournissant à l’auditeur tous les moyens nécessaires
pour mettre en œuvre l’audit du système d’information, il s’agisse de fournir les réponses claires,
de donner accès à la documentation, de donner accès au matériel et aux locaux,
ou encore de permettre à l’auditeur d’interroger les personnes ressources.

Déterminer les enjeux stratégiques de l’entreprise, et les processus clés qui leurs sont associés.
Cette étape est absolument indispensable pour un audit du système d’information qui ne se contente pas
d’un catalogue de bonnes pratiques, mais qui évalue véritablement l’adaptation du système d’information
et sa performance au regard de l’utilisation qui en est faite et des besoins de l’entreprise.

Les recommandations obtenues via le système d’information doivent être utiles, nécessaires,
et œuvrer à la performance globale de l’entreprise. Ainsi, il sera nécessaire de réaliser une véritable cartographie des processus de l’organisation et des données associées.

Faire effectuer l’audit par un prestataire indépendant de la DSI
Le recours à un prestataire externe pour la réalisation de l’audit permet une prise de position neutre
et un regard extérieur bénéfique à la démarche. 

S’approprier le système d’information de l’entreprise en profondeur
Pour un audit de système d’information qui n’oublie aucun détail, un certain nombre d’aspects seront à maîtriser par le prestataire auditeur, qui devra réaliser une cartographie des données, des informations
et des ressources informatiques de l’organisation, mais aussi, prendre connaissance des différentes politiques
et procédures liées au système d’information, telle que la politique de sécurité du système d’information
ou encore, les chartes utilisateurs éventuellement en place.

Les bénéfices liés à l’audit

La réalisation d’un audit vous permettra d’avoir un gain de temps considérable.
En effet, vous pourrez anticiper les différents problèmes suite à des erreurs techniques ou autres.
Grâce à l’audit, votre infrastructure possédera un état des lieux récent et pourra plus facilement se mesurer
face à la concurrence actuelle de votre secteur d’activité.
C’est aussi un atout pour effectuer les mises à jour d’applicatifs nécessaires, qui généralement corrigent
des failles de sécurité.

L’audit informatique permet de vous assurer que votre entreprise est en conformité par rapport à la législation
en vigueur. Dans le cas d’une vente, cession, fusion avec une autre société ou autre transition informatique, l’audit facilitera ces démarches pour mieux adapter les manipulations à effectuer.
Dans l’audit informatique, il y a aussi un audit de sécurité. Celui-ci permet de vérifier l’état du réseau,
s’il est bien protégé, et d’assurer que toutes les opérations informatiques restent en interne
et ne se divulguent pas sur Internet pour compromettre l’entreprise.

Avis PERENNE’IT

La réussite d’un audit de système d’information repose sur la mise en place de certaines recommandations :
– préciser les objectifs et le champ d’application de la mission.
– mettre en évidence les responsabilités de l’auditeur, qui doit rester neutre et qui a un devoir de conseil vis-à-vis de son client.

Il est nécessaire que le client collabore en fournissant à l’auditeur tous les moyens nécessaires pour mettre en œuvre l’audit du système d’information.

Pérenne’IT propose différents types d’audit, qui prennent tous en compte la sécurité du SI, notamment l’audit SI SSI ou encore  l’AUDIT FLASH de sécurité du SI

 

Microsoft Direct Routing : la communication unifiée  by  Microsoft

Microsoft Direct Routing : la communication unifiée by Microsoft

Microsoft

Microsoft Direct Routing : la communication unifiée  by  Microsoft

L’explosion de la collaboration

La plateforme Teams, leader des solutions de collaboration a déjà convaincu 500.000 organisations à travers le monde.

Besoin de simplification

Il n’est pas rare que les entreprises se retrouvent désormais avec une variété d’outils dont les fonctionnalités se recoupent.
Un PBX géré par le fournisseur de téléphonie, un système de vidéoconférence, un outil de chat, une gestion documentaire, des applications Access ou Excel…
MS Teams facilite le travail en équipe en regroupant la collaboration et la communication au sein d’une même plateforme, en proposant de connecter son outil avec la téléphonie locale. Concrètement, cela veut dire émettre et recevoir des appels depuis des téléphones fixes ou une App à travers la plateforme M365.
Vous appelez donc n’importe quel interlocuteur sur son téléphone via MS Teams, sans changer de numéro, ni d’équipement.
il est possible de porter un opérateur ou interconnecter un PBX existant à O365 / Teams.

Image1

 

 

 

 

La Fonctionnalité Direct Routing

Elle permet aux entreprises de se connecter à un périphérique Session Border Controler (SBC).
Ainsi il est possible utiliser Microsoft Teams avec leur propre fournisseur de services téléphoniques  (opérateur) pour prendre en charge les appels téléphoniques  (RTPC), sans prendre des minutes Microsoft (via les forfaits d’appels).

Teams Direct Routing est aussi utilisé lorsque vous souhaitez migrer votre téléphonie d’entreprise depuis un PBX tiers (Cisco, Avaya, Mitel,…).
Le fonctionnement est simplifié et se base uniquement sur des SBC (Session  Border  Controller).

Transition facile à l’appel dans Teams

En s’intégrant à un PBX existant, les utilisateurs pilotes peuvent être déplacés vers les appels dans MS Teams
pendant que les autres utilisateurs restent sur leur ancien PBX.

Prise en charge des périphériques analogiques

Si une organisation dispose encore de périphériques analogiques, le trafic d’appel entre les périphériques analogiques et les utilisateurs de Teams
reste dans l’organisation.

Quels sont les avantages du Direct Routing ?

Réduire les coûts :

Centraliser le trafic voix permet de réaliser des économies significatives sur vos communications.
En effet, au plus les utilisateurs communiquent sur la plateforme MS-Teams, moins vous dépensez car les appels VOIP sont gratuits.
Seules les communications en dehors de M365 seront facturées, reste à choisir le meilleur opérateur.

Rationaliser les outils :

Simplifiez la vie de vos collaborateurs avec un seul outil pour la communication et la collaboration.
Evitez de payer deux outils (ou plus) offrant des fonctionnalités similaires.
En outre, la standardisation de vos outils de collaboration permettra de satisfaire au mieux les utilisateurs et limiter (voire supprimer) les phénomènes de Shadow IT.

Conserver votre numéro :

Vos appareils téléphoniques deviennent le lieu de la convergence fixe-mobile ; votre smartphone et votre PC, ceux de la communication et collaboration unifiée.

Maîtriser sa présence :

Si vous êtes déjà en conversation, votre interlocuteur le voit.
Fini les appels restés sans réponse sur votre mobile alors que vous êtes déjà en vidéo-conférence.
La communication est plus efficace.
L’utilisation des chats persistants permet de réduire la dépendance sur l’email.

Avis Pérenne’IT :

En utilisant Teams pour les appels vocaux, les utilisateurs sont en mesure de communiquer et de collaborer plus efficacement notamment à distance.
La Fonctionnalité Direct Routing permet aux entreprises d’utiliser Microsoft Teams avec leur propre fournisseur de services téléphoniques (opérateur)
sans prendre des minutes Microsoft (via les forfaits d’appels).

Et pourquoi ne pas externaliser la fonction de RSSI ?

Et pourquoi ne pas externaliser la fonction de RSSI ?

Cybersécurité

etuderssi1L’externalisation de la fonction RSSI en PME PMI

Si toutes les entreprises ne peuvent se permettre le recours à un tel spécialiste en interne,
il reste la solution de l’externalisation, qui apporte des réponses tant sur le plan
de la spécificité des compétences que sur la réduction des coûts.
Pour des PME ou des TPE, l’externalisation de cette fonction peut se révéler une opportunité intéressante.

Cette externalisation est intéressante alors sur plusieurs aspects :
Lissage de la charge de travail, le travail d’un RSSI n’étant pas un temps plein,
sauf pendant certaines périodes (sessions de sensibilisation au personnel par exemple)
Possibilité de disposer des compétences d’un professionnel expert dans son domaine.
De plus, le recours à cet intervenant apportera à l’entreprise une crédibilité supplémentaire
en matière de sécurité informatique vis-à-vis des clients ou des partenaires. Continue reading