Piratage Éthique

« Depuis la formation de GoSecure, ses fondateurs et principaux associés ont réuni les niveaux stratégiques, tactiques et opérationnels de la sécurité de l’information. Une compréhension en profondeur des éléments humains, procéduraux et technologiques a permis de développer des services de piratage éthique à la fine pointe de l’industrie.

- Pascal Fortin, Président de GoSecure


Les services sur mesure de piratage éthique de GoSecure en somme:

  • Nos mandats de piratage éthique comprennent des tests couvrant les aspects technologiques, procéduraux et comportementaux.
  • En plus de découvrir, valider et définir les vulnérabilités d’une organisation, nos travaux s’attardent sur les pistes de solutions pour remédier à celles-ci.
  • Lorsque les règles d’engagement le permettent, nos équipes peuvent agir de manière furtive et découvrir de nombreuses vulnérabilités qui auraient pu être cachées lors d’un test « déclaré » à l’interne.
  • Les conclusions tirées des activités de test et d’analyse aident à sensibiliser les parties impliquées dans la sécurité de l’organisation ce qui aide à dégager des budgets pour la sécurité de l’information et mobiliser le personnel clé.
  • Les stratégies recommandées à la fin du mandat permettent de mettre en place les contrôles de sécurité pour améliorer la posture de sécurité globale de l’organisation.
  • Notre approche collaborative permet d’éviter l’aliénation potentielle de certains membres ou groupes de l’organisation suite au dévoilement des résultats.

Notre équipe   

GoSecure comprend très bien que la sécurité de l’information, c’est bien plus que des contrôles technologiques. Voilà pourquoi nos équipes de piratage éthique sont formées autant sur les techniques de piratage technologique que celles dites d’ingénierie sociale (Social Engineering) qui exploitent les faiblesses dans les processus d’affaires et les comportements humains.

La raison   

Les gens malveillants prendront tous les moyens possibles pour voler, détruire ou limiter l’accès à vos informations que ce soit par des moyens de piratage informatique ou des moyens tels que l’hameçonnage, la personnification d’employés ou de partenaires de confiance par téléphone et bien d’autres encore. C’est pourquoi les ingénieurs de GoSecure s’assurent de comprendre la façon de penser des hackers afin de prévenir des dommages possibles provenant d’actions malveillantes de leur part. Ils s’assurent d’être plus perspicace afin de protéger vos systèmes d’information de manière plus qu’efficace, de manière avant-gardiste. Ils analyseront vos systèmes informatiques afin de mettre en lumière les brèches de votre structure organisationnelle.

1. Rencontre préliminaire   
Avant d’entreprendre des tests, nous vous rencontrerons afin de présenter notre plan des tests suggérés. Nous déterminerons conjointement l’organisation logistique et les règles d’engagement propres au mandat. Durant l’exécution des travaux, toute vulnérabilité majeure ou autre incident important vous sera immédiatement rapporté. à moins d’instructions contraires, nous vous demanderons l’autorisation avant de procéder à l’exploitation de vulnérabilités. Nous nous assurons d’effectuer  ces tests aux heures moins affluentes pour ne pas encombrer la performance liée à votre système d’information.

2. Remise de rapports    
Suite à la conclusion des travaux, un rapport préliminaire est fourni pour vous donner l’opportunité de prendre connaissance des résultats et donner une première rétroaction. Finalement, l’équipe de GoSecure présente aux représentants du client un rapport final qui comporte :

  • Une section « exécutive » dédiée à un auditoire moins technique.
  • Un rapport technique détaillé, qui présente en ordre de risque et de probabilité d’exploitation toutes les vulnérabilités confirmées durant les travaux.
  • Chaque vulnérabilité inventoriée dans le rapport est accompagnée d’une piste de solution pour y remédier.
  • Sur demande, un cahier de travail avec les données brutes et les faux positifs peut être remis au client.

3. Améliorer sa posture de sécurité
Somme toute, la menace des attaques actives et passives contre les actifs informationnels des organisations continue d'évoluer rapidement en quantité et en complexité. Les organisations doivent faire preuve de vigilance constante en ce qui a trait à la protection de leurs données, qu'elles soient informatiques ou non. Chez GoSecure, nous travaillons conjointement avec vous afin de mettre en place des stratégies efficaces et efficientes qui détermineront les types de tests de piratage éthique nécessaires ainsi que leur fréquence. Il s'agit en fait, ici, de maximiser la sécurité réelle de votre organisation.

En plus de ses services de piratage éthique sur mesure, l’équipe de GoSecure est en mesure de fournir des services d’analyse de sécurité pour les éléments suivants:

  • Analyse de vulnérabilité Applications Web.
  • Recherche de failles dans le code source d’applications Web.
  • Balayages des réseaux locaux ou externes.
  • Vérification des configurations pour les environnements Microsoft / UNIX / ORACLE / SAP.
  • Vérification de la sécurité au niveau de l’architecture (réseau ou applicative).
  • Téléphonie IP et Systèmes téléphoniques (PBX).
  • Test d’intrusion pour réseaux IP (IPv4 et IPv6).
  • Test d’intrusion via le réseau téléphonique public commuté (modems).
  • Test d’intrusion pour réseaux sans fil.

ACTUALITÉS

Ă€ ne pas manquer:
Déjeuner-conférence sur la cogestion en partenariat avec WaveRoad le 7 juin 2011.

Ă€ venir :
Conférence en collaboration avec WaveRoad à Québec. Détails à venir.

ÉVÈNEMENTS

La gestion de mots de passes administratifs

Le 17 mars 2011, un dîner-conférence gratuit, en collaboration avec Cyber-Ark, sur la gestion de mots de passes administratifs s'est tenu à l'hôtel Novotel à Montréal. Il a été démontré qu'une mauvaise gestion de cette sécurité peut entraîner l'exploitation, la perte ou la divulgation d'informations, ce qui engendre une catastrophe au niveau de la sécurité et un long processus de correction. De plus, des conseils ont étés prodigués sur la façon de choisir ses mots de passes et sur la fréquence de renouvellement.