• Conseil/Audit
• Etude Réseau
• Etude Sécurité
• Dépannage
• Maintenance
• Installation
• Paramétrage
• Assistance
• Formations
• Conception d'aide
• Saisie de données
• Sauvegardes
• E-mailing
• Autres services

• Création de Sites Internet
• Développement Intranet
• Développement Extranet
• Base de données
• Mise aux normes
• Optimisation
• Référencement
• Cryptage/Sécurité
• Paiement sécurisé
• Cd-Roms/DVD-Roms
• Développement Trad.
• Graphisme
• Web-design
• Refonte/Relookage

• Infogérance
• Gestion de site

• Boutique en ligne
• Config actuelle
• Occasions

• Carte clients

• Animations Flash
• Cartes de visite
• Logos
• Reseaux
• Sites Internet

• Pilotes
• Logiciels Libres
• Wallpapers

• Informatique
• Loisirs
• Utiles
• Search Engines

Généralité sur la sécurité

A l'heure où la cybercriminalité connaît une croissance démesuré, maintenir à jour ses dispositifs de sécurité pour se prévenir des piratages doît être une préoccupation majeure pour les entreprises.
Aucun réseau informatique n'est à l'abri d'une attaque à sa sécurité.
Installer un logiciel de sécurité, tel un firewall (ou pare-feu), qui a pour objectif de protéger le réseau de l'extérieur n'est pas suffisant.

Pour se protéger des pirates, il faut connaître les possibilités d'attaques.
Aussi, pour se défendre d'elles, il faut commencer par accepter le danger.
La mise en place d'une politique de sécurité consiste en :
- L'identification des éléments à protéger
- L'identification des attaques éventuelles des pirates
- Le choix d'une approche de sécurité
- Le choix des moyens nécessaires pour pallier aux défaillances de sécurité

Audit BlackBox en externe

Un audit de type "black box" consiste à attaquer votre système d'information "en aveugle", c'est à dire sans avoir d'informations sur vos matériels informatiques, techniques de défenses et systèmes de protection.
Les tentatives d'intrusion, d'alteration, de suppression, de blocage et d'infection seront réalisées de l'extérieur depuis le début (comme une personne découvrant votre réseau).

Audit BlackBox en interne

L'audit de type "blackbox" en interne est pratiquement le même qu'en externe mais s'effectue maintenant dans vos locaux.
En effet, les sécurités, droits et restrictions, filtres, ports ouverts... n'étant plus les identiques, votre système d'information sécurisé de l'exterieur reste potentiellement vulnérable en interne.
Un visiteur indélicat dans vos locaux, un étudiant en fin de stage, un employé en régie, un interimaire...
Un système d'information sécurisé passe aussi par une sécurisation en interne.

Audit WhiteBox

Un audit de type "whitebox" consiste à attaquer votre système d'information (en interne) en ayant en notre possession des informations précises sur vos matériels et systèmes de protection.
L'acces à seulement une partie de votre réseau peut permettre, de services en services ou de failles en failles, d'accéder au final à la totalité de votre système d'information.
En ayant ces informations en notre possession, nous pourrons évaluer des risques accrus de piratage et de dommages afin de pouvoir y remédier.

Audit d'architecture réseau

L'environnement (câblage, cartes réseaux, modems, routeurs...) dans lequel évoluent vos machines est important.
C'est en analysant l'ensemble de votre parc informatique qu'il est possible de se rendre compte de certains problèmes tel que les failles de vos matériels.
Des tests de montée en charge permettrons aussi d'identifier d'éventuels goulots d'étranglement sur votre réseau pouvant porter atteinte à son bon fonctionnement.
Vos conditions de sauvegardes, intégrité des données, fonctionnement de réseau peuvent en découdre.

D'autre part, l'étude des serveurs est une longue étape qui s'avère cependant cruciale.
Elle est décisive car la centralisation par les serveurs (ce qui est une bonne chose) provoque un danger supplémentaire.
En effet, de manière générale, une attaque sur vos mots de passes se fera sur vos serveurs d'authentification ; une attaque à vos sauvegardes, sur vos serveurs de sauvegarde, etc
Les serveurs offrent notamment les services qui contiennent les failles.
Il doivent faire l'objet d'une attention particulière.

Audit des postes de travail

Virus de boot, bombe logique, macro-virus, vers, chevaux de troie, wabbit, porte dérobée (backdoor), rootkit, espiogiciel (spyware), keyloger, publiciel (adware), vulnérabilités logicielles, vulnérabilité du système d'exploitation...
Cette liste n'a aucunement vocation à vous faire peur mais simplement de vous permettre de vous apercevoir qu'en terme de virologie, il est question d'un monde vaste.
L'utilisation d'un anti-virus (bien que tous est au moins une vulnérabilité) est extrêmement importante.

De plus, il est bon de rappeler qu'entre 5 et 10 failles de sécurité sont découvertes tous les jours !
Que vos logiciels, mise-à-jours, et anti-virus soient vieux ou récents, ils comportent des failles !
Vous discutez sur votre client de messagerie instantanée, vous consultez vos mails, une mise à jour se lance, et même si votre ordinateur ne fait rien, des dizaines (voir centaines) de services tournent sur votre machine.
Quelques soit vos postes de travail, ils sont vulnérables !

Ces points étant énoncés, comme pour les serveurs, il est impossible de détailler ici la liste compléte des vérifications à effectuer.
Nous attirons simplement votre atention sur le fait que vous devez accepter les vulnérabilités et l'importance d'y prêter attention.

Audit hardware (matériel)

Il sera ici est question d'évaluer et de remedier au problème physique de l'accès à l'informatique.
Qui a accès à l'informatique, comment et sous quelles conditions ?

Trois exemples pour vous permettre de comprendre le travail effectué ici :

- Est-il possible d'ouvrir les tours des ordinateurs ?
La mise en place de cadenas sur les tours évite le vol de disques dur !

- Est-il possible de brancher un disque externe ou une clé usb ?
Un blocage système (voir matériel) empèche le vol de données.

- Est-il possible de graver un cd ?
Remplacer les graveurs par des lecteurs ou simplement en bloquer l'utilisation à l'aide de tours avec portes à serrure empèche le vol de données.

- Etc

Audit du bâtiment

L'audit de bâtiment en informatique n'est occunement obligatoire bien qu'il soit bon d'en parler un minimum.
Ainsi des cables accessibles, que se soit au niveau du sol, des murs, des lignes téléphoniques ou enterrés à l'extérieur entre deux bâtiments ne sont des plus sûr.

Le piratage par un hacker (commandité ou non par un concurant) a pour but de l'espionnage industriel le plus souvent.
Votre concurant voudra des informations sur vos futurs projets, projets secrets, comptes monétaires... et le pirate lui aura son compte en argent bien évidemment.
De lors, même si le piratage par ce type de connexion est peu probable, l'atrait suscité par vos données, donne l'interêt de regarder de plus près ces possibilités de piratage.

Un autre point concerne le wardriving.
Le wardriving consiste à scanner des réseaux sans-fil à l'aide d'un ordinateur ou d'un PDA en utilisant une automobile comme moyen de transport.
Le but est de pénétrer sans autorisation dans des réseaux pour obtenir gratuitement et anonymement un accès à internet pour effectuer des actions douteuses sur votre connexion ou acceder à un poste pour récupérer des données, les corrompre ou les effacer.
Les risques d'intrusion dans votre réseau sans-fil se valideront en partie avec un audit d'architecture réseau mais aussi dans cette partie car les limitations à l'accessibilité seront contrôlée voir même bridées de façon matérielles.

Il est rappelé que nos audits de sécurité se portent sur la sécurité en terme de piratage exclusivement.
Incendie, inondation, tremblement de terre, attentats... ne font pas parti de nos audits.
Pour la sécurité physique d'un Data-Center ou équivalent, nous contacter.

Audit des applications logicielles

L'audit des applications logicielles prendra en compte l'analyse de la répartition des droits d'utilisation, des logs effectués sur les actions des utilisateurs, et de l'accès aux différents comptes.
La vérification de failles à des applications spécifiques seront analysées à l'instar des vérifications plus généralistes faites sur les postes de travail.

Audit de site internet, intranet, extranet

Les points nécessaires à aborder contre le piratge sont proches de la centaine dans ce domaine !
Cette partie d'un audit (à l'instar certaines autres) est complexe et longue.
Qu'il soit question d'un site internet ouvert ou privé, d'un intranet ouvert (appelé extanet) ou privé, cette étape sera d'une grande importance.

Audit du personnel

Le personnel est un élément clé de votre système d'information mais il y apporte une variable non-sécurisée.
Le facteur humain est un des maillons "faible" de la sécurité informatique.

La protection des mots de passes n'étant qu'un point minimum, l'utilisation et les connaissance globales en sécurité informatique de vos employés est à étudier.
Malgré un éventuel interêt et l'étude dans ce domaine, vos employés ne sauraient avoir une valeur sûres à 100% ceci n'étant pas leur corp de métier !
L'étude démontrera si une formation est nécessaire pour leurs assurer un minimum de savoir primaire en la matière.

Un point important à mettre en évidence concernant votre personnel est une sensibilisation au techniques de social engineering.
Cela correspond à l'étude d'une cible afin de la pirater.
Par mail, téléphone ou tout autre moyen, la demande de cordonées, noms, prénom, nom de machines, adresses IP, matériel, équipements... permet de se préparer à l'attaque d'un réseau en disposant d'un minimum de ressources.

Pour cela le pirate peut se faire passer pour un commercial, un client, un chargé d'enquête, un de vos employés, un dirigeant...
Dans le social engineering, le but du "jeu" est d'éviter de se faire démasquer et donc pour cela la préparation et la pré-étude de l'entreprise avant appel est de mise.
La force de persuasion dans ce domaine face aux employés peu atteindre des sommêts pour arriver à les tromper !
On peut ajouter ici, les canulars (appelés hoax en anglais) se trouvant souvent sous la forme de courriel ou de simple lettre-chaîne.

Mis à part l'étude du niveau de nécessité de formation de votre personnel, nous pourront vous dispenser sur demande des conseils concernant le recrutement, le niveau de confiance que l'on peut accorder aux personnes qui auront accès à des informations sensibles, certaines notions dans les contrats d'embauche des clauses spécifiques à la sécurité comme une clause de confidentialité.

Audit des visiteurs

Lors de notre analyse, nous inspecterons comment vos visiteurs accedent à vos locaux et s'y comportent.
- Les acces à vos locaux sont-ils contrôlés ?
- Les pièces dites "sensibles" sont-elles accessibles ?
- Le matériel et les postes informatiques sont-ils accessibles ?
- Vos visiteurs sont-ils seuls ou en groupes, respectueux ou a tendance à "s'imposer"...
- Etc

En fonction de nos constations, nous vous conseillerons sur l'agencement de vos locaux, la dispositions de vos machines, les barrières matérielles ou psychologiques à mettre en place, etc.

Nos prestations en audits de sécurité

Nos prestation en audit de sécurité sont ciblées et spécifiques à votre système d'information, vos besoins, vos demandes et votre budget.
Une étude préalable à la tache doit absolument avoir lieu avant de pouvoir vous donner un ordre de prix ainsi qu'une durée d'accomplissement.
Le domaine étant (nous le comprenons) des plus flous pour des personnes non initiées dans ce(s) domaine(s), une discussion avant toute action devra prendre le temps nécessaire.
Des ressources logicielles, matérielles et humaines devront probablement être mises à disposition.
Il peut être utile aussi de vous informer dès maintenant que ce genre d'audit nécessite (en fonction du niveau de l'audit bien sûr) d'un très gros investissement en terme de temps et il en va de sa qualité !