En savoir plus sur l’Audit de sécurité

L’objectif d’un audit interne vise à définir le niveau global de sécurité logique et physique du système d’informations en place. Les actions menées dans ce cadre sont destinées à caractériser et déceler les failles de sécurité existantes (au niveau de l’implémentation, de l’exploitation, et du contrôle de moyens).

L’audit consiste à :
• Recenser les dispositifs de sécurité en place sur le site, physiques et logiques.
• Connaître l’état de vulnérabilité du système d’informations.
• Etablir les recommandations qui permettront à la direction de la sécurité et à la direction informatique d’apporter les améliorations nécessaires à l’obtention d’un niveau de sécurité optimale de son système d’informations.
• Hiérarchiser les actions à mettre en œuvre à partir des critères de menaces, de coûts et de probabilités de réalisation.

L’audit de sécurité concerne les domaines d’investigations suivants :
• L’organisation.
• La sécurité des données.
• La sécurité des réseaux.
• La sécurité des applications.

La méthodologie mise en œuvre pour l’audit telecom repose sur l’utilisation d’outils, mais surtout sur des compétences et un savoir-faire acquis par nos consultants au cours de leurs précédentes missions.

Les objectifs d’un audit telecom (ou audit de systèmes de téléphonie) sont :

• Evaluer le degré de sécurité par rapport à l’éventualité de fraudes externes et internes.
• Evaluer et optimiser la gestion de la politique d’administration de systèmes de téléphonie.
• Détecter la présence de périphériques de communication non autorisés sur les lignes téléphoniques.
• Déterminer l’état des vulnérabilités présentes dans les différents modèles de PABX.
• Obtenir un document de travail destiné à servir de base dans la mise en place d’un plan d’action correctif efficace.
• Réduire le coût du poste Télécommunications.
• Les mesures prises dans cet audit permettront d’obtenir une vision précise de l’état de sécurité des systèmes de télécommunications en vue d’établir un plan d’action correctif.

Les actions seront menées en vue de prendre le contrôle total des moyens de télécommunications.

La mission pourra ainsi déterminer :

• Leur niveau de résistance aux tests réalisés.
• Leur résistance à l’authentification en place.
• Le niveau de sécurité existant.

Le test d’intrusion vise à contrôler l’état de sécurité logique en place à partir d’actions menées de l’extérieur du Système d’Informations. Les tests sont menés en vue de prendre le contrôle total des machines ou du matériel actif du client (serveur d’accès distant - RAS -, routeur, firewall, etc... ).

La mission peut ainsi déterminer :
• Support téléphonique de 8h à 20h sans interruption, du Lundi au Vendredi (sauf jours fériés).
• Un ingénieur-conseil, directement, en moins de deux sonneries.
• Aucun appel perdu.
• Résultat garanti sur 250 logiciels du marché.
• Traitement en ligne d’une large part des appels (environ 80%).
• Suivi personnalisé de tous les appels.
• Clôture par l’utilisateur.

Fonctionnement :
• Leur niveau de résistance aux attaques réseaux (déni de services par paquets mal formés, SYN Flooding, etc).
• Leur configuration (arborescence des fichiers, buffer overflow, etc).
• Leur résistance à l’authentification en place (attaque par force brute).
• Le niveau de sécurité existant.