Le moment paraît bien choisi. Depuis mercredi, la découverte d’une vulnérabilité béante dans « bash », l’interpréteur de commande le plus répandu dans le monde Linux, et aussi utilisé par OS X, vulnérabilité relativement facile à exploiter même si elle est un peu plus complexe à expliquer, illustre une fois de plus, après HeartBleed en mars, que nos systèmes informatiques sont faillibles, quelque puisse être la méticulosité des développeurs et testeurs. Ils sont faillibles car ils sont complexes et mobilisent de nombreux sous-systèmes. Ils sont faillibles car de nombreuses personnes vont s’employer à y percer des trous.
Forts de ce constat, effectué en conjonction de l’épisode HeartBleed et de vilaines attaques DDOS sur des infrastructures amies, nous avons entrepris de doter Neogeo Technologies d’une compétence, car il en faut, en sécurité des systèmes d’information. C’est en effet un métier, doté d’un savoir-faire, associé à une expertise. C’est pourquoi nous avons recruté un expert en sécurité, Wannes Rombouts, jeune et talentueux hacker, à peine sorti de l’Epitech mais déjà découvreur et patcheur de nombreuses vulnérabilités, notamment sur le noyau Linux.
La sécurité informatique est étroitement associée à la notion de risque. Est-ce que mon installation risque de se faire attaquer ? A quel type d’attaque ? Y résistera-t-elle ? S’en remettra-t-elle ? Comme pour les risques naturels, cela se modélise en termes d’aléas (le truc qui peut arriver : attaque DDOS, exploitation de vulnérabilité, intrusion…) et d’enjeux (que se passe-t-il si le système est endommagé ? S’il y a un vol de données, de comptes utilisateur ?). On retrouve alors l’équation risque = aléa x enjeu, avec les notions connexes de vulnérabilité, de résistance et de résilience (capacité à se remettre d’une attaque).
Pour chacun de ces aspects nous proposons ainsi désormais des prestations, standardisées ou sur-mesure que nous pouvons ranger dans trois catégories complémentaires :

Information

  • Newsletter Neogeo Sécurité pour vous tenir au courant de l’actualité « sécurité », et relayer de manière didactique (évaluation des risques) les principales nouvelles vulnérabilités découvertes. Inscription libre depuis ce formulaire.
  • Liste de diffusion restreinte Neogeo Sécurité. Pour recevoir une veille personnalisée en fonction de votre infrastructure et de vos besoins. Accès sur abonnement payant (100 € / an).
  • Organisation de séminaires et de sessions de sensibilisation des personnels techniques et moins techniques aux menaces sur les systèmes informatiques et aux bonnes pratiques pour s’en prémunir.

Investigation

  • Audits applicatifs et tests d’intrusion (boite noire/grise/blanche) :
  • Audit de code source : examen du code pour découvrir des vulnérabilités à de mauvaises pratiques de programmation ou des erreurs de logique.
  • Audit de configuration : vérification de la mise en œuvre de pratiques de sécurité conformes à l’état de l’art sur les dispositifs matériels et logiciels et leurs diverses configurations.
  • Audit d’architecture : prestation plus complète, elle consiste, comme l’audit de configuration, en la vérification de la conformité des pratiques de sécurité mais aussi des choix technologiques et organisationnels qui ont présidé à l’élaboration du SI.

Intégration

  • Intervention amont lors de la conception et du développement d’applications pour identifier et corriger les problèmes de sécurité le plus tôt possible et sensibiliser les développeurs à ces notions.
  • Sécurisation avancée et personnalisée de votre SI.
  • Formations spécifiques

 

Ces diverses prestations s’adressent évidemment à toute organisation, publique ou privée, souhaitant renforcer sa sécurité informatique ou s’assurer de sa qualité. Forts de nos compétences en SIG, nous développerons également une veille particulière sur ces environnements, et notamment les plateformes SIG en ligne, afin que, si les flux INSPIRE et Opendata se croisent et s’entremêlent, ils ne soient pas des vecteurs de vulnérabilité.

Pour toute question complémentaire, merci de vous adresser à security[arobase]neogeo-online.net.

Sécurité des Systèmes d’Information
Étiqueté avec :    

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *