Sécurité offensive

Audit de configuration

Audits boîte blanche

Une option mal configurée suffit à tout exposer ; mettons vos systèmes au diapason. Pare-feu, serveurs Windows ou Linux, équipements réseau, bases de données : une simple option laissée par défaut ou un service inutile activé suffit à ouvrir la porte à un attaquant. L’audit de configuration Digitemis compare vos réglages à l’état de l’art (ANSSI, CIS, SANS, guides éditeurs) et fournit un plan de durcissement technique immédiatement applicable.

PMEETIgrands comptes
Logo

L’audit de configuration pour durcir la sécurité de votre périmètre

L’audit de configuration a pour vocation de vérifier la mise en œuvre de pratiques de sécurité conformes à l’état de l’art (bonnes pratiques, guides de configuration, etc.), aux exigences et règles internes de l’audité en matière de configuration des dispositifs matériels et logiciels déployés dans un système d’information. Complémentaire de l’audit de code, l’audit de configuration permet de renforcer la sécurité d’un élément du système d’information en utilisant des standards de configuration éprouvés.

La démarche d’audit s’appuie sur les référentiels de l’ANSSI, du SANS (SysAdmin, Audit, Network, Security), du CIS (Center for Internet Security), des référentiels de sécurité des éditeurs ainsi que sur l’état de l’art et les contraintes métiers spécifiques de l’audité.

Les 4 objectifs de l’audit de configuration

  1. Évaluer le niveau de sécurité général du périmètre audité
  2. Confronter la configuration actuelle de l’équipement aux meilleures pratiques en termes de sécurité des systèmes d’information
  3. Définir un plan d’action technique permettant de durcir le périmètre audité
  4. Répercuter les bonnes pratiques sur des environnements similaires

Digitemis propose la méthode suivante :

Quelques exemples de missions

1er exemple : réalisation d’un audit de configuration sur le pare-feu en amont d’une application

L’objectif est de vérifier que l’état de l’art et les bonnes pratiques en matière de configuration des équipements de filtrage réseau sont pris en compte. L’auditeur utilisera une copie de la configuration du pare-feu (export des règles de filtrage) ainsi qu’un plan du réseau.

2nd exemple : réalisation d’un audit de configuration sur le serveur hébergeant une application

L’objectif est d’évaluer le niveau de conformité du serveur en matière de sécurité des configurations en fonction des matériels et logiciels présents, des standards des éditeurs (Microsoft, Cisco, Oracle, etc.) et des référentiels visés (ANSSI, 27002, SANS, NIST, CIS, …). L’environnement de l’application sera également pris en compte. L’auditeur analysera une copie de tous les fichiers de configuration pertinents présents sur le serveur, ainsi qu’un inventaire des droits appliqués aux fichiers et dossiers du serveur.

Ils nous font confiance

informations

Contactez-nous

Un projet d’audit de configuration ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

*Informations obligatoires

Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.

Expertises liées

Pentests

Tests d’intrusion externes

Exposez vos vulnérabilités pour mieux les corriger : applications web ou mobiles, API, portails VPN, équipements industriels accessibles… Chaque actif ouvert sur Internet peut devenir le point d’entrée d’un attaquant déterminé. Le pentest externe Digitemis reproduit leurs méthodes – collecte OSINT, scans furtifs, exploitation manuelle, contournement des IDS/IPS – afin de mesurer l’impact réel d’une compromission et de remettre à vos équipes un plan d’actions immédiatement exploitable.

ETIgrands comptesPME

Audits boîte blanche

Audit de code

La revue « boîte blanche » plonge au cœur de vos applications. En examinant chaque fichier, chaque requête et chaque dépendance, nous détectons les failles qu’un test d’intrusion ou un scanner automatisé ne peuvent voir : erreurs de logique, injections cachées, mauvaises pratiques cryptographiques ou mécanismes de protection contre le reverse engineering mal configurés. Vous repartez avec un rapport clair, priorisé et immédiatement exploitable par vos équipes.

ETIgrands comptesPME

Ingénierie sociale

Campagnes de phishing

Un e-mail trompeur, un lien anodin : c’est souvent tout ce qu’il faut à un cyber-attaquant pour franchir vos défenses techniques. Avec Phish & Chips, la plateforme développée par Digitemis, nous simulons ces attaques dans un cadre sécurisé, mesurons la réaction de vos équipes et transformons chaque clic en opportunité de progrès.

ETIgrands comptesPME

FAQ

Questions fréquentes

Si vous avez d’autres questions, n’hésitez pas à nous contacter directement !

Faut-il donner un accès admin direct ?

Non : un export texte ou XML de la configuration suffit ; aucun changement n’est appliqué en production.

De deux à cinq jours ouvrés par équipement majeur, selon la complexité et le nombre de fichiers à analyser.

Oui : guides ANSSI, CIS, SANS, complétés par les recommandations éditeur ; les références exactes sont indiquées dans le rapport.

Nous classons chaque écart selon trois critères : impact métier, facilité de mise en œuvre et dépendances techniques. Le rapport attribue ainsi une priorité « critique », « haute », « moyenne » ou « basse » et précise, pour chaque action, le service porteur, l’effort estimé et la date cible recommandée. Vous disposez d’une feuille de route claire, alignée sur votre plan de maintien en condition de sécurité.

cas client

Découvrez notre approche

Uncategorized

Cas client 1

Lorem ipsum dolor sit amet consectetur. Massa sed porta praesent egestas erat. Egestas et vivamus nisl velit erat cras mattis. Massa sed porta praesent egestas erat. gestas et vivamus nisl velit erat cras mattis. Lorem ipsum dolor sit amet consectetur.

Uncategorized

Cas client 2

Lorem ipsum dolor sit amet consectetur. Massa sed porta praesent egestas erat. Egestas et vivamus nisl velit erat cras mattis. Massa sed porta praesent egestas erat. gestas et vivamus nisl velit erat cras mattis. Lorem ipsum dolor sit amet consectetur.

cas client

Découvrez notre approche projet

Uncategorized

Cas client 1

Lorem ipsum dolor sit amet consectetur. Massa sed porta praesent egestas erat. Egestas et vivamus nisl velit erat cras mattis. Massa sed porta praesent egestas erat. gestas et vivamus nisl velit erat cras mattis. Lorem ipsum dolor sit amet consectetur.