Tests d’intrusion récurrents

La sécurité est un voyage. Non pas une destination. La menace évolue rapidement. Seul un exercice récurrent de tests d’intrusion permettra d’évaluer constamment l’état de la sécurité SI de l’organisation. Cet exercice est d’autant plus important qu’aujourd’hui avec la vulgarisation des attaques, l’exploitation des failles est devenue une tâche qui n’est pas réservée seulement aux experts dans le domaine. Même les personnes n’ayant pas le background technique, avec peu de moyens et une volonté de nuire peuvent causer du tort au SI de l’organisation.


Consciente de cet enjeu, DATAPROTECT propose désormais à ses clients de mener des exercices récurrents de tests d’intrusion internes et externes dans le cadre de contrats-cadres spécifiques.

Le périmètre du contrat-cadre

Pour mieux cerner le périmètre, DATAPROTECT propose plusieurs typologies de tests, et ce, en tenant compte des besoins, des attentes et des contraintes du client.

- Périmètre externe
  • Consultants formĂ©s et certifiĂ©s : CEH, OSCP, CISSP, CISA, PCI QSA, PA QSA, CISSP, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer,
  • Consultants expĂ©rimentĂ©s : expĂ©rience confirmĂ©e sur des projets similaires
  • Respect de la confidentialitĂ© : Elaboration d’un protocole de communication pour une meilleure protection et communication des rĂ©sultats d’audit
- Périmètre interne
  • FrĂ©quence (Trimestrielle / Semestrielle / Annuelle)
  • DĂ©finition du pĂ©rimètre Ă  auditer
  • BoĂ®te noire / BoĂ®te grise / BoĂ®te blanche
- Audit Applicatif
  • Recette de sĂ©curitĂ© (avant toute mise en production)
  • Code review
  • Audit d’étanchĂ©itĂ©

Nos atouts

La réalisation des missions de tests d’intrusion récurrents a été conçue comme une offre à valeur ajoutée, à travers :

- La réalisation de la mission par des consultants compétents:
  • Consultants formĂ©s et certifiĂ©s : CEH, OSCP, CISSP, CISA, PCI QSA, PA QSA, CISSP, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer
  • Consultants compĂ©tents : expĂ©rience confirmĂ©e sur des projets similaires
  • Respect de la confidentialitĂ© : Elaboration d’un protocole de communication pour une meilleure protection et communication des rĂ©sultats d’audit
- Un très bon retour d’expérience en sécurité des systèmes :
  • Une capitalisation sur une dizaine de contrats cadre d’audit de sĂ©curitĂ©
  • Une industrialisation de la dĂ©marche des tests d’intrusion rĂ©currents
  • Veille permanente en matière de sĂ©curitĂ© SI
  • Plus de 100 missions d’audit de sĂ©curitĂ© SI
  • Expertise et outillage spĂ©cifique pour les tests d’intrusion
- La mise en place d’un Laboratoire d’Ethical Hacking :
  • La norme est largement redondante et nĂ©cessite une lecture adaptĂ©e
  • L’approche 27001 n’est pas un gage de qualitĂ© propre mais de qualitĂ© de l’amĂ©lioration continue
  • L’approche 27001 contribue aux besoins rĂ©glementaires (ex. : PCI-DSS) sous rĂ©serve d’ajustements de l’approche
- La mise en place d’un « Security Operations Center »
- Une accréditation mondialement reconnue en tant que PCI QSA et PA QSA
- Une méthodologie d’audit de sécurité basée sur des référentiels mondialement reconnus

Nos références

DATAPROTECT a réalisé de nombreuses missions de tests d’intrusion récurrents dans le cadre de contrats-cadres avec des organisations de renom aussi bien au Maroc que dans la région. Nous pouvons en citer notamment :