Le Test de vulnérabilités, solution semi-automatisée visant à détecter les vulnérabilités.

Le Test de vulnérabilités, solution semi-automatisée visant à détecter les vulnérabilités.

Audit Cyberattaque Cybersécurité Sécurité Technique

Réalisez le test de vulnérabilités aux niveaux applicatif, réseau ou système, en utilisant les réseaux internes ou externes.

Objectifs du test de vulnérabilités :

  • Evaluer l’efficacité des dispositifs de sécurité logique.
  • Identifier les vulnérabilités.
  • Permettre de minimiser votre surface d’attaque et de réduire les risques.
  • Prévenir les attaques dues à des logiciels mal configurés dans services, les systèmes d’exploitation et les appareils réseau.
  • Identifier les correctifs de sécurité manquants.
  • Identifier les logiciels obsolètes par des analyses du système.

Continue reading

Tester la sensibilité au phishing : Microsoft Attack Simulator

Tester la sensibilité au phishing : Microsoft Attack Simulator

Cloud Cybersécurité Microsoft

Le phishing (ou hameçonnage) est un vecteur d’attaque très courant et vise directement les utilisateurs du système d’information. De la compromission d’identifiants à la diffusion de logiciels malveillants, les objectifs sont multiples mais la méthode est souvent identique : inviter l’utilisateur à cliquer sur un lien dans un e-mail.

Si des solution techniques  existent pour intercepter les tentatives, Microsoft Defender Safe Links notamment, il est aussi primordial de sensibiliser les utilisateurs et de s’assurer (tester) que cette sensibilisation est effective.

Le simulateur d’attaques Microsoft Defender propose une solution permettant de tester vos utilisateurs avec différents scénarios, celui qui nous intéresse ici étant l’attaque par harponnage. Cet outil permettra d’identifier les utilisateurs qui cliquent sur un lien malveillant d’une part, et ceux allant jusqu’à saisir leur identifiant O365 dans une page malveillante.

Continue reading

Audit du système d’information

Audit du système d’information

Audit

Audit informatique

Tandis que le système d’information tend de plus en plus à gérer l’ensemble des processus, administratifs, de gestion, commerciaux, marketing ou encore métiers, la performance de ce système d’information influe largement sur la capacité de l’entreprise à atteindre ses objectifs.
L’Audit de système d’information effectuera une évaluation. Cependant, le système d’information n’est pas toujours parfaitement maîtrisé par l’entreprise.
Qu’il s’agisse d’une mauvaise connaissance des ressources informatiques utilisées, de budgets insuffisants, de technologies obsolètes ou inadaptées, ou encore, de non-respects législatifs (licences, protections des données…) la liste des manquements pourrait être longue.
Il importe donc de mettre en place une rationalisation de ce système d’information, à travers différentes normes et procédures, ou encore, avec la réalisation d’un audit de système d’information.

Enjeux et mise en œuvre

Tandis que les budgets des services informatiques sont toujours plus serrés, la question de réaliser des audits réguliers de son système d’information n’est pas évidente.

Quand faut-il réaliser un audit informatique ?
Faut-il le faire alors que tout va bien ou doit-on le réaliser lorsqu’un problème vient de survenir ?

Nombre des audits informatiques sont lancés alors qu’un incident vient de se produire : une faille de sécurité, une panne systèmes critique et voilà et qu’il faut être en mesure de réaliser des rapports précis et des analyses de son système d’information.
Il semble nécessaire de ne pas effectuer un audit qu’à la suite d’un incident, mais bien de le prévoir afin d’obtenir une réponse à un objectif précis de contrôle du système d’information.
L’audit informatique va également permettre de mieux connaître l’ensemble des parties prenantes à ce système, qu’il s’agisse du matériel, des ressources humaines ou des ressources financière.

Ainsi, tandis que les systèmes d’information des entreprises sont toujours plus en ébullition et que les DSI se doivent d’être en mesure d’analyser à tout instant le fonctionnement de leur système d’information, la mise en place d’audits réguliers permet de maîtriser les risques et d’assurer à l’entreprise un système d’informations fiable et performant sur le long terme.

Le système d’information : définition

Le système d’information, c’est l’ensemble des logiciels et des matériels, informatiques, électroniques ou de télécommunication, qu’il s’agisse de ressources physiques (fibres optiques, surface d’hébergement, alimentation électrique, climatisation) ou de plates-formes logicielles ou matérielles (serveurs, systèmes d’exploitation, bases de données…) qui participent au stockage, à la gestion, au traitement, au transport et à la diffusion de l’information au sein d’une entreprise.
On inclut parfois également dans le système d’information les personnels qui conçoivent, déploient, maintiennent et rendent opérationnel ces ressources, ou encore les procédures liées à ces ressources.

A propos de l’audit de système d’information

Un système d’information ne constitue pas une fin en soi.
Ainsi, effectuer un audit de système d’information, c’est évaluer dans quelle mesure le système d’information répond aux facteurs clés de performance et aux objectifs stratégiques de l’organisation concernée.

Se fixer des objectifs

Il est important de réaliser un audit alors même que le système d’information de l’entreprise est fonctionnel et ne rencontre pas de problème particulier.
Cette prise de position n’est pas évidente, parce que l’informatique est vue comme un ensemble technique et complexe, et que lorsque tout va bien, nul n’a envie d’engager des frais pour mettre à jour ce qui se cache derrière cet outil qui supporte la quasi-totalité des processus de l’entreprise.

Et pourtant, l’audit informatique est un formidable élément de réponse.
Pour que l’audit informatique soit utile à l’entreprise, il sera donc avant toute chose nécessaire de lui fixer des objectifs. Il pourra ainsi s’agir de vérifier la sécurité du système d’information, de vérifier la fiabilité des applications, ou encore d’évaluer les risques opérationnels ou financiers liés aux activités informatiques. Dans tous les cas, sans la définition d’un objectif, il sera impossible de mesurer la pertinence de l’audit et ses résultats.

Les objectifs de l’audit de système d’information peuvent être multiples :

évaluer l’efficacité, la performance, la pérennité et la sécurité de l’information, en comparaison avec les objectifs stratégique de l’entreprise
effectuer des recommandations sur les projets informatiques en cours
effectuer des recommandations sur l’évolution du système d’information

Ainsi, un audit d’information se concentre généralement sur un ou plusieurs des points suivants :
réduction des coûts non justifiés lié au système d’information
conformité du système d’information avec les obligations légales
optimisation du traitement des processus métiers de l’entreprise par le système d’information
optimisation de l’interopérabilité et de l’accessibilité du système d’information
optimisation de la sécurité du système d’information
efficience et pérennité du système d’information

Que doit-on auditer ?

Les moyens et les ressources liés au système d’information de l’entreprise comprennent à la fois les moyens techniques (matériel, locaux, réseau, logiciels) mais aussi les moyens financiers ou encore les ressources humaines.

Ressources matérielles

Le matériel, qui représente une part financière importante du système d’information comprend notamment les ordinateurs personnels fixes et portables.
On étudiera ainsi, entre autres :
– la fiabilité du matériel,
– l’impact éventuel des pannes matérielles,
– les performances du matériel,
– la sécurité du matériel.

Ressources humaines

Du côté des ressources humaines, on étudiera :
– les compétences et les diplômes des collaborateurs
– leur motivation
– leurs responsabilités
– le respect du droit du travail
– les relations entre les membres du personnel
– l’organisation du travail au sein du service informatique
– la gestion des connaissances faite par l’entreprise
On s’attachera également au respect des règles de sécurité, telles que l’utilisation de mots de passe complexes, et à la disponibilité de la documentation.

Ressources financières

Enfin, du côté des moyens financiers, on recensera les coûts d’investissement, de développement et de fonctionnement du système d’information en essayant de n’oublier aucun poste, qu’il s’agisse des dépenses ou des gains. Cette opération est particulièrement difficile, notamment lorsque l’on considère les gains éventuellement indirects que peut avoir le système d’information sur des services tels que la gestion administrative, la production, la commercialisation, le transport, ou encore la gestion des stocks.

Mettre en place l’audit

La réussite d’un audit de système d’information repose sur la mise en place de certaines recommandations :
– préciser les objectifs et le champ d’application de la mission.
– mettre en évidence les responsabilités de l’auditeur, qui doit rester neutre et qui a un devoir de conseil vis-à-vis de son client.

En effet, il est nécessaire que le client collabore en fournissant à l’auditeur tous les moyens nécessaires pour mettre en œuvre l’audit du système d’information, il s’agit de fournir les réponses claires, de donner accès à la documentation, de donner accès au matériel et aux locaux,
ou encore de permettre à l’auditeur d’interroger les personnes ressources.

Déterminer les enjeux stratégiques de l’entreprise, et les processus clés qui leurs sont associés.

Cette étape est absolument indispensable pour un audit du système d’information qui ne se contente pas d’un catalogue de bonnes pratiques, mais qui évalue véritablement l’adaptation du système d’information et sa performance au regard de l’utilisation qui en est faite et des besoins de l’entreprise.

Les recommandations obtenues via le système d’information doivent être utiles, nécessaires, et œuvrer à la performance globale de l’entreprise. Ainsi, il sera nécessaire de réaliser une véritable cartographie des processus de l’organisation et des données associées.

Faire effectuer l’audit par un prestataire indépendant de la DSI

Le recours à un prestataire externe pour la réalisation de l’audit permet une prise de position neutre et un regard extérieur bénéfique à la démarche.

S’approprier le système d’information de l’entreprise en profondeur

Pour un audit de système d’information qui n’oublie aucun détail, un certain nombre d’aspects seront à maîtriser par le prestataire auditeur, qui devra réaliser une cartographie des données, des informations et des ressources informatiques de l’organisation, mais aussi, prendre connaissance des différentes politiques et procédures liées au système d’information, telle que la politique de sécurité du système d’information ou encore, les chartes utilisateurs éventuellement en place.

Les bénéfices liés à l’audit

La réalisation d’un audit vous permettra d’avoir un gain de temps considérable.
En effet, vous pourrez anticiper les différents problèmes suite à des erreurs techniques ou autres.
Grâce à l’audit, votre infrastructure possédera un état des lieux récent et pourra plus facilement se mesurer face à la concurrence actuelle de votre secteur d’activité.
C’est aussi un atout pour effectuer les mises à jour d’applicatifs nécessaires, qui généralement corrigent des failles de sécurité.

L’audit informatique permet de vous assurer que votre entreprise est en conformité par rapport à la législation en vigueur. Dans le cas d’une vente, cession, fusion avec une autre société ou autre transition informatique, l’audit facilitera ces démarches pour mieux adapter les manipulations à effectuer.
Dans l’audit informatique, il y a aussi un audit de sécurité. Celui-ci permet de vérifier l’état du réseau, s’il est bien protégé, et d’assurer que toutes les opérations informatiques restent en interne et ne se divulguent pas sur Internet pour compromettre l’entreprise.

Avis PERENNE’IT

La réussite d’un audit de système d’information repose sur la mise en place de certaines recommandations :
– préciser les objectifs et le champ d’application de la mission.
– mettre en évidence les responsabilités de l’auditeur, qui doit rester neutre et qui a un devoir de conseil vis-à-vis de son client.

Il est nécessaire que le client collabore en fournissant à l’auditeur tous les moyens nécessaires pour mettre en œuvre l’audit du système d’information.

PERENNE’IT propose différents types d’audit, qui prennent tous en compte la sécurité du SI, notamment l’audit SI SSI ou encore l’AUDIT FLASH de sécurité du SI.

DEMANDER UN DEVIS

Vous avez besoin de réaliser un audit de la sécurité informatique de votre entreprise ?
Demander un devis !

    Votre nom (obligatoire)

    Votre email (obligatoire)

    Sujet

    Votre message

    Microsoft Direct Routing : la communication unifiée  by  Microsoft

    Microsoft Direct Routing : la communication unifiée by Microsoft

    Microsoft

    Microsoft Direct Routing : la communication unifiée  by  Microsoft

    L’explosion de la collaboration

    La plateforme Teams, leader des solutions de collaboration a déjà convaincu 500.000 organisations à travers le monde.

    Besoin de simplification

    Il n’est pas rare que les entreprises se retrouvent désormais avec une variété d’outils dont les fonctionnalités se recoupent.
    Un PBX géré par le fournisseur de téléphonie, un système de vidéoconférence, un outil de chat, une gestion documentaire, des applications Access ou Excel…
    MS Teams facilite le travail en équipe en regroupant la collaboration et la communication au sein d’une même plateforme, en proposant de connecter son outil avec la téléphonie locale. Concrètement, cela veut dire émettre et recevoir des appels depuis des téléphones fixes ou une App à travers la plateforme M365.
    Vous appelez donc n’importe quel interlocuteur sur son téléphone via MS Teams, sans changer de numéro, ni d’équipement.
    il est possible de porter un opérateur ou interconnecter un PBX existant à O365 / Teams.

    Image1

     

     

     

     

    La Fonctionnalité Direct Routing

    Elle permet aux entreprises de se connecter à un périphérique Session Border Controler (SBC).
    Ainsi il est possible utiliser Microsoft Teams avec leur propre fournisseur de services téléphoniques  (opérateur) pour prendre en charge les appels téléphoniques  (RTPC), sans prendre des minutes Microsoft (via les forfaits d’appels).

    Teams Direct Routing est aussi utilisé lorsque vous souhaitez migrer votre téléphonie d’entreprise depuis un PBX tiers (Cisco, Avaya, Mitel,…).
    Le fonctionnement est simplifié et se base uniquement sur des SBC (Session  Border  Controller).

    Transition facile à l’appel dans Teams

    En s’intégrant à un PBX existant, les utilisateurs pilotes peuvent être déplacés vers les appels dans MS Teams
    pendant que les autres utilisateurs restent sur leur ancien PBX.

    Prise en charge des périphériques analogiques

    Si une organisation dispose encore de périphériques analogiques, le trafic d’appel entre les périphériques analogiques et les utilisateurs de Teams
    reste dans l’organisation.

    Quels sont les avantages du Direct Routing ?

    Réduire les coûts :

    Centraliser le trafic voix permet de réaliser des économies significatives sur vos communications.
    En effet, au plus les utilisateurs communiquent sur la plateforme MS-Teams, moins vous dépensez car les appels VOIP sont gratuits.
    Seules les communications en dehors de M365 seront facturées, reste à choisir le meilleur opérateur.

    Rationaliser les outils :

    Simplifiez la vie de vos collaborateurs avec un seul outil pour la communication et la collaboration.
    Evitez de payer deux outils (ou plus) offrant des fonctionnalités similaires.
    En outre, la standardisation de vos outils de collaboration permettra de satisfaire au mieux les utilisateurs et limiter (voire supprimer) les phénomènes de Shadow IT.

    Conserver votre numéro :

    Vos appareils téléphoniques deviennent le lieu de la convergence fixe-mobile ; votre smartphone et votre PC, ceux de la communication et collaboration unifiée.

    Maîtriser sa présence :

    Si vous êtes déjà en conversation, votre interlocuteur le voit.
    Fini les appels restés sans réponse sur votre mobile alors que vous êtes déjà en vidéo-conférence.
    La communication est plus efficace.
    L’utilisation des chats persistants permet de réduire la dépendance sur l’email.

    Avis Pérenne’IT :

    En utilisant Teams pour les appels vocaux, les utilisateurs sont en mesure de communiquer et de collaborer plus efficacement notamment à distance.
    La Fonctionnalité Direct Routing permet aux entreprises d’utiliser Microsoft Teams avec leur propre fournisseur de services téléphoniques (opérateur)
    sans prendre des minutes Microsoft (via les forfaits d’appels).

    Et pourquoi ne pas externaliser la fonction de RSSI ?

    Et pourquoi ne pas externaliser la fonction de RSSI ?

    Cybersécurité

    etuderssi1L’externalisation de la fonction RSSI en PME PMI

    Si toutes les entreprises ne peuvent se permettre le recours à un tel spécialiste en interne,
    il reste la solution de l’externalisation, qui apporte des réponses tant sur le plan
    de la spécificité des compétences que sur la réduction des coûts.
    Pour des PME ou des TPE, l’externalisation de cette fonction peut se révéler une opportunité intéressante.

    Cette externalisation est intéressante alors sur plusieurs aspects :
    Lissage de la charge de travail, le travail d’un RSSI n’étant pas un temps plein,
    sauf pendant certaines périodes (sessions de sensibilisation au personnel par exemple)
    Possibilité de disposer des compétences d’un professionnel expert dans son domaine.
    De plus, le recours à cet intervenant apportera à l’entreprise une crédibilité supplémentaire
    en matière de sécurité informatique vis-à-vis des clients ou des partenaires. Continue reading