Votre entreprise compte de nombreuses valeurs métier, que ce soit dans la tenue de vos inventaires, dans la gestion de vos dossiers client ou dans la transmission d’informations stratégiques, nécessaires à votre prospérité. La fiabilité de ces informations repose sur le patrimoine technique, organisationnel et humain que vous avez mis en place. Par exemple, cela peut être les scannettes connectées utilisées pour réaliser vos inventaires, l’accès de vos commerciaux à un CRM ou les moyens de communication utilisés par vos collaborateurs (messagerie, téléphone, email). Chacun de ces biens support constitue le socle de votre système d’information. L’établissement de ce système d’information en urgence, par une approche tactique qui répond aux besoins opérationnels immédiats, fait porter un risque à la continuité de votre activité. Une panne du système d’information peut engendrer des coûts immédiats en ralentissant la production, tout en nuisant durablement à votre image de fiabilité auprès des clients. 

Ainsi, une approche stratégique est nécessaire pour garantir la fiabilité des valeurs métier stockées, échangées et traitées par votre système d’information. Cette cybersécurité peut prendre de nombreux aspects, que ce soit par l’établissement de moyens d’authentification, par l’attribution de droits d’accès ou encore par la journalisation et la surveillance de ces derniers. La mise en place de cette stratégie est complexe mais elle peut être simplifiée si son évaluation, sa mise en place et son suivi sont réalisés par un prestataire, tel que Synetis, compétent sur l’ensemble des moyens de sécurisation des systèmes d’information.

Nous vous recommandons particulièrement de commencer cette démarche stratégique par un audit organisationnel ou technique, afin d’établir un état des lieux de la sécurité du système d’information par des spécialistes. Les audits techniques peuvent porter sur un périmètre stratégique de votre entreprise, tel que vos serveurs web exposés à internet, votre réseau interne ou encore la sécurité de vos locaux face aux tentatives d’intrusion. Ces audits simulent une tentative de détournement frauduleux de vos biens pour mettre en évidence les éléments dont la sécurité peut vous faire défaut. Le rapport d’audit détaille le résultat de ces simulations et offre des recommandations pour améliorer la sécurité de votre système d’information.

Ces audits techniques permettent de vérifier l’implémentation des bonnes pratiques de cybersécurité, telles que :

• L’implémentation des mécanismes de chiffrement. Par exemple, nos auditeurs ont pu démontrer l’exploitation du mécanisme AES ECB en test d’intrusion pour accéder à des documents confidentiels.
• La qualité de la segmentation de vos rôles utilisateurs. L’exploitation de différents outils, tels que Bloodhound et PingCastle permettent un relevé de la configuration de votre environnement d’entreprise, pour déterminer les moyens qu’un simple utilisateur peut emprunter pour compromettre l’ensemble de vos ressources.
• La sécurité de vos mécanismes d’authentification. Les auditeurs analysent vos mécanismes d’authentification sous plusieurs angles, par exemple en étudiant, puis en exploitant l’aléa et le contenu du lien de réinitialisation de mot de passe de vos sites web.
• Le contrôle de votre exposition sur internet. Nos auditeurs analysent votre empreinte sur internet (sites web et services exposés, fuites de mot de passe, contenu des documents partagés) afin de mettre en évidence vos ressources les plus fragiles et susceptibles d’être compromises.
• Le contrôle d’accès à votre réseau interne. Nos auditeurs évaluent les moyens de se connecter à votre réseau interne, que ce soit par l’intermédiaire de vos plateformes exposées à internet, par les différents routeurs Wifi présents dans votre environnement d’entreprise ou par les prises Ethernet accessibles dans vos locaux. Cet exercice peut s’intégrer dans une simulation d’intrusion physique de vos locaux.