Harmonie Technologie accompagne aussi bien des grandes sociétés du CAC40 que des PME dans les domaine des audits techniques de cybersécurité et du Pentest. Avec notre méthodologie nous proposons une approche par les risques avec une double vision technique et organisationnelle, permettant de traduire les vulnérabilités techniques en risques métiers, notamment au travers d’une synthèse managériale.
Test d’intrusion : notre approche méthodologique basée sur les risques
- Identifier les vulnérabilités techniques durant les phases d’audit & de pentest
- Traduire ces différentes vulnérabilités en risques métiers : Data leakage, fraude, disponibilité de l’infrastructure, intégrité des données manipulées par l’applicatif
- Evaluer le niveau de risque et définir le plan d’actions
- Apporter une vision benchmark vis-à-vis des autres sociétés du secteur d’activité
Prestations proposées :
Nous réalisons des tests d’intrusion (Pentests) au niveau des infrastructure : SI Externe, SI interne, réseau WIFI, progiciel…
Nous proposons également des Pentests applicatifs : Application WEB, client lourd, application mobile, et des audits de configuration : Linux, Windows, Pare-feu, …
Démarche globale suivie : Réalisation des activités d’audits et pentest
- Evaluation de la sécurité de chaque brique ciblé dans l’audit externe en Black box [1], Grey box [2] ou White box [3]
- Expertise et analyse critique sur la base des constats réalisés durant le l’audit au profit des équipes du client
- Consolidation des résultats et formalisation d’un plan d’action, qui mets en perspective les risques IT et métiers
Exemples de prestations :
- Audit de sécurité applicatif et de service
- Test d’intrusion d’application web et client lourd (API/REST)
- Test d’intrusion d’application mobile
- Test d’intrusion d’un service
- Test d’intrusion interne et externe
- Audit de configuration
- Audit de code
- Audit d’ingénierie sociale : phishing (hameçonnage), spear phishing (harponnage)
[1] Black box : L’auditeur ne dispose d’aucune information préalable à l’engagement concernant l’application ou l’infrastructure, reproduisant un scénario d’attaque cohérent mettant en œuvre une personne externe malveillante
[2] Grey box : L’auditeur dispose d’informations partielles concernant l’application ou l’infrastructure, comme par exemple une URL, des comptes applicatifs, …
[3] White box : L’auditeur dispose d’informations détaillées sur la cible, comme le code source de l’application, ou des comptes systèmes à privilèges, …
