Piratage Éthique

« Depuis la formation de GoSecure, ses fondateurs et principaux associés ont réuni les niveaux stratégiques, tactiques et opérationnels de la sécurité de l’information. Une compréhension en profondeur des éléments humains, procéduraux et technologiques a permis de développer des services de piratage éthique à la fine pointe de l’industrie.

- Pascal Fortin, Président de GoSecure

GoSecure comprend très bien que la sécurité de l’information, c’est bien plus que des contrôles technologiques. Voilà pourquoi nos équipes de piratage éthique sont formées autant sur les techniques de piratage technologique que celles dites d’ingénierie sociale (Social Engineering) qui exploitent les faiblesses dans les processus d’affaires et les comportements humains. La raison : Les gens malveillants eux, prendront tous les moyens possible pour voler, détruire ou limiter l’accès à votre information que ce soit par des moyens de piratage informatique ou des moyens tels que l’hameçonnage, la personnification d’employés ou de partenaires de confiance par téléphone et bien d’autres.

Avant d’entreprendre des tests, nous vous rencontrerons afin de présenter notre plan des tests et déterminer conjointement l’organisation logistique et les règles d’engagement propres au mandat. Durant l’exécution des travaux, toute vulnérabilité majeure ou autre incident important vous sera immédiatement rapporté. À moins d’instructions contraires, nous vous demanderons l’autorisation avant de procéder à l’exploitation de vulnérabilités. Suite à la conclusion des travaux, un rapport préliminaire est fourni pour vous donner l’opportunité de prendre connaissance des résultats et donner une première rétroaction. Finalement, l’équipe de GoSecure présente aux représentants du client un rapport final qui comporte :

  • Une section « exécutive » dédiée à un auditoire moins technique.
  • Un rapport technique détaillé, qui présente en ordre de risque et de probabilité d’exploitation toutes les vulnérabilités confirmées durant les travaux.
  • Chaque vulnérabilité inventoriée dans le rapport est accompagnée d’une piste de solution pour y remédier.
  • Sur demande, un cahier de travail avec les données brutes et les faux positifs peut être remis au client.

Somme toute, la menace des attaques actives et passives contre les actifs informationnels des organisations continue d’évoluer rapidement en quantité et en complexité. Ceci implique une vigilance constante de la part des organisations en ce qui a trait à la protection de leurs données, informatiques ou non. Nous travaillons avec vous des stratégies efficaces et efficientes pour déterminer les types de tests de piratage éthique ainsi que leur fréquence pour maximiser la sécurité réelle de votre organisation.

Les services sur mesure de piratage éthique de GoSecure en somme:

  • Nos mandats de piratage éthique comprennent des tests couvrant les aspects technologiques, procéduraux et comportementaux.
  • En plus de découvrir, valider et définir les vulnérabilités d’une organisation, nos travaux s’attardent sur les pistes de solutions pour remédier à celles-ci.
  • Lorsque les règles d’engagement le permettent, nos équipes peuvent agir de manière furtive et découvrir de nombreuses vulnérabilités qui auraient pu être cachées lors d’un test « déclaré » à l’interne.
  • Les conclusions tirées des activités de test et d’analyse aident à sensibiliser les parties impliquées dans la sécurité de l’organisation ce qui aide à dégager des budgets pour la sécurité de l’information et mobiliser le personnel clé.
  • Les stratégies recommandées à la fin du mandat permettent de mettre en place les contrôles de sécurité pour améliorer la posture de sécurité globale de l’organisation.
  • Notre approche collaborative permet d’éviter l’aliénation potentielle de certains membres ou groupes de l’organisation suite au dévoilement des résultats.

En plus de ses services de piratage éthique sur mesure, l’équipe de GoSecure est en mesure de fournir des services d’analyse de sécurité pour les éléments suivants:

  • Analyse de vulnérabilité Applications Web.
  • Recherche de failles dans le code source d’applications Web.
  • Balayages des réseaux locaux ou externes.
  • Vérification des configurations pour les environnements Microsoft / UNIX / ORACLE / SAP.
  • Vérification de la sécurité au niveau de l’architecture (réseau ou applicative).
  • Téléphonie IP et Systèmes téléphoniques (PBX).
  • Test d’intrusion pour réseaux IP (IPv4 et IPv6).
  • Test d’intrusion via le réseau téléphonique public commuté (modems).
  • Test d’intrusion pour réseaux sans fil.

ACTUALITÉS

Pascal Fortin, président de GoSecure, présente les risques liés à l'utilisation des technologies BlackBerry ™ et l'essentiel d'un programme de vérification spécifique à ces technologies pour l'IVIM.

En savoir plus

Pascal Fortin, président de GoSecure, présente les tendances sur le cyber espionnage au Colloque sur la cybercriminalité du Québec

En savoir plus

ÉVÈNEMENTS

GoSecure est dans le processus d'organiser sa conférence annuelle sur la sécurité de l'information qui aura lieu cet automne. Comme il est de coutume, nous attendons les meilleurs conférenciers et nous vous proposerons des ateliers très diversifiés. Plus d'informations suivront sous peu.