digitemis 
Sécurité offensive
Gouvernance & conformité
Protection des données
PentestsTests d’intrusion IBM i / AS 400
Sécurité offensive
Tests d’intrusion IBM i / AS 400
Pentests
Banque, assurance, logistique : le serveur IBM i (ex-AS 400) reste le socle de traitements critiques. Sa réputation de robustesse masque pourtant des risques concrets : profils all object, programmes interactifs mal signés, services Telnet encore actifs… Le pentest IBM i Digitemis reproduit le mode opératoire d’un attaquant connaissant la plateforme, exploite les spécificités OS/400 et fournit un plan d’actions priorisé – sans perturber la production.
Pourquoi auditer un IBM i ?
La plupart des équipes considèrent encore l’OS400 comme un « système fermé ». Pourtant, l’ouverture aux API REST, l’intégration SFTP ou l’exposition ODBC multiplient les points d’entrée. Un test dédié mesure la solidité des contrôles d’accès, la qualité du cloisonnement librairie / fichier, la traçabilité QAUDJRN et l’efficacité des journaux de sécurité. Vous obtenez une vision claire du risque, des correctifs adaptés au cycle de changement et un rapport compréhensible pour l’équipe iSeries comme pour le RSSI.
Méthodologie certifiée PASSI
Nous commençons par la découverte passive : inventaire des profils, objets sensibles, ports ouverts (5250, 22, 8470). L’analyse statique vérifie les attributs USRPRF, l’usage des commandes CHGDTAARA, les objets PUBLIC. L’exploitation manuelle cible l’élévation de privilèges via SQL CLI, la capture de sessions 5250 ou le détournement de programmes adoptant l’autorité. L’impact est quantifié — accès all libraries, exfiltration DB2, modification d’un fichier comptable. Un re-test confirme la mise en place des correctifs critiques.
Ils nous font confiance
Scénarios testés le plus souvent
Profils & autorisations
Élévation via profils adoptants, all object, dérives QSECOFR.
Interfaces réseau
5250 non chiffré, Telnet actif, SSH mal durci, services NetServer.
Base DB2 & journaux
Injection SQL CLI, lecture QAUDJRN, exfiltration fichiers production.
informations
Contactez-nous
Besoin d’une expertise IBM i / AS 400 ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.
*Informations obligatoires
Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.
Expertises liées
FAQ
Questions fréquentes
Si vous avez d’autres questions, n’hésitez pas à nous contacter directement !
Le test nécessite-t-il un accès QSECOFR ?
Non ; nous démarrons avec un profil utilisateur standard pour reproduire l’attaque réaliste, puis nous vérifions l’élévation de privilèges.
L’audit peut-il perturber la production ?
Les opérations de charge sont planifiées hors horaires critiques. Les commandes potentiellement disruptives (RTVOBJLCK, ENDJOB) ne sont jamais exécutées en production.
Analysez-vous le code RPG ou uniquement le système ?
Le périmètre couvre le système et peut inclure un échantillon RPG / ILE pour rechercher des commandes adoptantes risquées ou des appels QCMDEXC.
Les correctifs IBM i sont-ils inclus ?
Nous fournissons la liste cumulative PTF/Groupes requis ; l’application reste sous le contrôle de votre centre d’exploitation IBM i.
cas client
Découvrez notre approche
Uncategorized
Cas client 1
Uncategorized
Cas client 2
cas client
Découvrez notre approche projet
Uncategorized