| audit
Au cœur des cybermenaces : témoignage d’Anthony, manager Audit
Suivez le récit passionnant de notre expert, Anthony, manager auditeur, et explorez son quotidien jalonné de défis, ses missions cruciales ainsi que l’importance des audits de sécurité pour protéger et pérenniser les organisations.
Peux-tu nous présenter ton parcours professionnel ? Pourquoi as-tu choisi de rejoindre Synetis ?
Après 17 années de service au sein de l’Armée de Terre, où j’ai occupé le poste d’administrateur système et réseau, j’ai poursuivi ma carrière militaire en me spécialisant dans l’audit à partir de 2015, intervenant sur diverses opérations.
Lorsque j’ai décidé de quitter l’armée, le poste de manager d’audit chez Synetis s’est présenté à moi. J’ai été séduit par plusieurs aspects de cette entreprise. Tout d’abord, son caractère à échelle humaine et la proximité qui en découle. Ensuite, le fait que Synetis se concentre exclusivement sur la cybersécurité sans proposer d’autres services m’a semblé être un gage de sérieux et d’expertise dans ce domaine crucial. De plus, le statut d’entreprise indépendante de Synetis m’a donné l’assurance d’évoluer dans un environnement favorisant l’autonomie et la prise d’initiatives.
Quels différents types d’audit peuvent être réalisés ?
Au sein de l’audit, chez Synetis, nous réalisons plusieurs types de mission qui sont :
- Test d’intrusion externe : il s’agit de tester la sécurité depuis l’extérieur du réseau de l’entreprise, simulant ainsi les attaques potentielles provenant d’Internet. Cela inclut des tests d’intrusion web ainsi que des évaluations sur le cloud et les appareils mobiles tels que les iPhone ou Android. Ces tests se déclinent souvent en trois sous-catégories, regroupées sous le terme de pentest externe.
- Test d’intrusion interne : contrairement à l’audit externe, celui-ci est réalisé depuis le réseau interne du client. Cette mission peut être réalisée de deux façons différentes, soit directement chez le client, soit en accédant à son réseau grâce à un VPN ou un boîtier branché sur son réseau. Ce canal sera bien sûr doublement chiffré afin de protéger ses données et tout ce qui va transiter depuis le boîtier.
- Redteam : cette approche va au-delà du simple pentest en incluant des techniques de social engineering (les campagnes de phishing et de vocal phishing en font également partie) et même d’intrusion physique afin de simuler en condition réelle une attaque et permettre d’évaluer les capacités de détection et défense des clients.
- Cryptanalyse des mots de passe : cette mission implique l’analyse de fichiers contenant des mots de passe. Des outils sont utilisés pour évaluer la robustesse des mots de passe, détecter les répétitions et établir un état des lieux de la politique de sécurité liée aux mots de passe.
- Audit de code : l’audit consiste ici à examiner les lignes de code d’une application afin de repérer les éventuelles failles de sécurité ou les mauvaises pratiques de développement.
- Audit de configuration : contrairement aux tests d’intrusion, cet audit se concentre sur la configuration des systèmes sans chercher à exploiter de vulnérabilités. L’objectif est de vérifier la conformité aux bonnes pratiques ou à des standards et de proposer des recommandations d’amélioration.
- Audit d’architecture : cet audit vise à évaluer la manière dont le réseau ou une application est organisé, offrant ainsi des conseils pour optimiser la sécurité et l’efficacité du périmètre concerné.
La plupart de ces missions peuvent être réalisées dans le cadre du référentiel PASSI (Prestation d’audit de la sécurité des systèmes d’information), garantissant la conformité des livrables aux normes de l’ANSSI. Les missions réalisées sous la qualification PASSI sont soumises à des procédures plus strictes, conformes aux exigences de l’ANSSI.
Quels types de menaces ou de vulnérabilités, un auditeur est-il chargé de détecter et de prévenir lors de ses interventions ?
- Les erreurs de configuration sur les serveurs web ou les domaines Windows représentent une source majeure de vulnérabilités qui peuvent être exploitées par des attaquants pour compromettre la sécurité des systèmes.
- Les vulnérabilités publiques sont également une préoccupation importante. Certaines de ces vulnérabilités connues ont déjà été exploitées par des ransomwares, nécessitant une intervention immédiate pour les atténuer.
- Les mauvaises pratiques de gestion des utilisateurs constituent une autre préoccupation majeure. Les infections et les atteintes à la sécurité peuvent souvent être attribuées à des comportements imprudents ou à des erreurs de la part des utilisateurs, ce qui souligne l’importance de la sensibilisation et de la formation.
- Le mécanisme d’authentification peut également être une source de risques, car dans certains cas, une simple authentification par login peut être suffisante pour compromettre un système.
- Les fuites d’informations, notamment les versions de logiciels utilisés et les vulnérabilités publiques associées, peuvent faciliter les attaques en fournissant aux cybercriminels des informations précieuses sur les systèmes ciblés.
L’identification et la prévention de ces menaces et vulnérabilités dépendent aussi du contexte spécifique du client et de son environnement informatique. Les auditeurs, ayant une connaissance approfondie des bonnes pratiques en matière de sécurité, sont formés pour cibler les aspects les plus critiques de la sécurité lors de leurs interventions.
Quels sont les outils et techniques que peuvent utiliser un auditeur pour identifier les failles de sécurité et les points faibles d’un système ?
Au quotidien, nous comptons sur une variété d’outils pour mener à bien nos missions. Parmi eux figurent des outils d’analyse réseau et Wi-Fi tels que Wireshark , Wifite, et la suite Aircrack, qui nous permettent de détecter et de résoudre les problèmes liés aux réseaux sans fil.
Nous utilisons également une gamme d’outils de scan, notamment Nmap pour la cartographie des adresses IP et des ports, ainsi que des outils spécialisés dans la recherche sur les annuaires Active Directory. Ces outils nous aident à identifier les vulnérabilités et à renforcer la sécurité des systèmes de nos clients.
Enfin, Burp joue un rôle essentiel dans notre quotidien en tant que proxy web qui nous permet de modifier les requêtes et d’effectuer des tests d’intrusion web. Son utilisation régulière est indispensable pour garantir la sécurité des applications en ligne.
Enfin, nous avons des outils développés en interne et propres à Synetis pour certains sujets.
Dans l’ensemble, ces outils constituent un véritable soutien dans nos missions, nous permettant d’assurer la sécurité et la stabilité des systèmes informatiques.
Comment un audit contribue-t-il à renforcer la posture de sécurité d’une entreprise et/ou organisation ?
La démarche d’audit de sécurité doit être entreprise en amont afin de renforcer et de perfectionner la défense d’un système. Elle implique un état des lieux minutieux des principales vulnérabilités, suivi de propositions de correctifs visant à renforcer la sécurité globale.
En complément, il est souvent recommandé d’organiser un contre-audit pour vérifier la mise en œuvre effective des correctifs proposés et confirmer leur validité. Cela permet d’attester que les vulnérabilités identifiées ont été corrigées, et de renforcer la résilience du système face aux cybermenaces.
Il est crucial de garder à l’esprit que l’audit de sécurité n’est pas une activité exhaustive. En réalité, l’audit vise à détecter un maximum de vulnérabilités sur un temps contraint, de quelques jours à plusieurs semaines si nécessaire. Il est essentiel de comprendre que les cybercriminels ne sont pas limités par des contraintes de temps, et ils prendront le temps nécessaire pour trouver et exploiter les failles de sécurité si elles existent.
Quels conseils donnerais-tu à une entreprise pour réduire ses risques face aux cybermenaces actuelles ?
L’audit joue un rôle essentiel dans la sécurité informatique et ne doit en aucun cas être négligé. Souvent, il existe une tendance à considérer le recours à un SOC ou un CERT comme une solution de surveillance après coup, lorsque les systèmes sont déjà en production. Cependant, cette approche réactive signifie souvent que les problèmes de sécurité sont détectés trop tard, avec des conséquences potentiellement graves.
Pour garantir une sécurité optimale, il est primordial d’adopter une approche proactive dès la phase de développement. La sécurisation des systèmes doit être intégrée dès leur conception initiale. De plus, il est indispensable de sensibiliser en permanence les collaborateurs à la sécurité informatique, car ils constituent souvent la première cible des attaques, que ce soit à travers des tentatives de phishing ou l’usage malveillant de clés USB.
Il est crucial de souligner que l’audit régulier et préventif demeure une étape essentielle. En identifiant et en corrigeant les failles de sécurité avant qu’elles ne puissent être exploitées, l’audit contribue à renforcer la résilience et la robustesse du système face aux menaces potentielles.
Pour finir, Synetis est qualifié PASSI, par l’ANSSI. Qu’est-ce que cela représente pour toi ?
Acquérir la qualification PASSI représente un véritable gage de qualité, mais également un défi ardu à relever. Nous avons été soumis à des épreuves écrites et orales rigoureuses pour atteindre ce niveau d’excellence.
Cette certification atteste non seulement de la qualité de nos pratiques, mais aussi de leur conformité aux normes strictes établies par l’ANSSI. En ce sens, elle équivaut à un label rouge, une reconnaissance de haute valeur, dans le domaine de la sécurité informatique.
Camille Jean-Baptiste
Chargée de Communication