Cabinet conseil informatique indépendant - Expertises - Urbanisme des systèmes d'information

  • Engagements

    Engagements

    SLM Conseil est un cabinet de conseil et de services informatique indépendant dont la voca…

  • Environnement

    Environnement

     Les chiffres de consommation (1,5 à 2% de la consommation électrique mondialet de 2 3

  • Méthodologies

    Méthodologies

    SLM Conseil met en oeuvre des process et méthodes spécifiques à chaque cas rencontré, et a…

  • Veille technologique

    Veille technologique

    L'informatique omniprésente de ce début de 21ème siècle bouleverse tous les réflexes de co…

Méthodologies

SLM Conseil met en oeuvre des process et méthodes spécifiques à chaque cas rencontré, et adaptés aux besoin du client.

Audit de vulnérabilité024

L’audit de vulnérabilités consiste à balayer l’ensemble du système cible avec des outils automatisés et dédiés aux types de vulnérabilités recherchées (réseau, Web, etc.).

Il est peu couteux car aucune interprétation humaine n’est faite et les résultats sont fournis tels quels au client.

SLM Conseil utilise différents scanners de vulnérabilités (ouverts ou propriétaire) afin de répondre au mieux au exigences du client.

 

Audit de configurationtotop scroller2

Les audits de configuration ont pour objectifs de renforcer le niveau de sécurité de l'élément audité en analysant sa configuration et en comparant celle-ci avec les standards de l'entreprise où les bonnes pratiques de références issues des plus grands organismes mondiaux (CIS, NIST, etc.).

Les audits de configuration peuvent s'effectuer sur tout type d'élément informatique dont voici les principaux:

  • Audit système

L'audit de configuration passera en revue le paramétrage complet d'un système d'exploitation (Windows, Linux, Unix, etc.)

  • Audit de base de données

L'audit se focalisera sur la configuration d'une base de données (Oracle, MySQL, PostGre, etc.) en prenant en compte l'ensemble des applications qui s'y connectent.

  • Audit de pare feu

L'audit passera en revue l'ensemble des règles de filtrage ainsi que les fonctionnalités sécurité disponibles sur le pare-feu sélectionné.

  • Audit PABX / IPBX

L'audit passera en revue la configuration du PABX ou IPBX de l'entreprise afin d'en renforcer le niveau de sécurité.

Nota Bene : les audits de configuration peuvent donner lieu à des livres blancs proposés par SLM Conseil afin d'avoir une procédure de sécurisation adaptée à l'infrastructure du client. Les livres blancs sont très appréciés pour la sécurisation d'environnements informatiques avant leur mise en production.


Audit d'infrastructuretotop scroller2

L’audit d’infrastructure permet d’auditer l’ensemble des éléments faisant parti d’une infrastructure réseau (DMZ, VLAN, etc…), VoIP (téléphonie), applicative (messagerie, application collaborative) ou infrastructure métier.

Les recommandations fournies dans le rapport seront formulées en prenant en compte l’ensemble des éléments inclus dans l’infrastructure.

 

Audit applicatiftotop scroller2

L'audit applicatif permet d'évaluer le niveau de sécurité d'une application. SLM Conseil propose différentes approches suivant le type d'application et le besoin du client.

  • Audit de code

L'audit de code passe en revue l'ensemble du code source de tout type d'application (Web, Binaire, etc). L'audit de code permet d'obtenir une liste exhaustive de recommandations afin de sécuriser au mieux une application.

  • Reversing

Cette approche permet à un éditeur de logiciel d'évaluer le niveau de résistances d'une application face aux techniques de reversing les plus utilisées.

  • Fuzzing

Le fuzzing est une méthode utilisée pour détecter d'éventuels bugs dans une application quand l'accès aux sources n'est pas disponible. Le principe consiste à tester toutes les entrées d'un programme en lui soumettant des données variables en taille, contenu, format afin de faire planter l'application.

 

Audit de conformitétotop scroller2

L’objectif des audits de conformité est de faire un état des lieux du système d’information par rapports aux normes, standards et réglementations de sécurité.

  • Norme 2700x
  • Recommandations PCI DSS

Analyse de risquestotop scroller2

SLM Conseil propose des analyses de risque basées sur le métier de ses clients en suivant des méthodologies reconnues afin de définir une politique de sécurité du système d'information et par la suite procéder à des audits afin d'en vérifier l'efficacité.

  • Méthode EBIOS

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d'identifier les risques d'un SI et de proposer une politique de sécurité adaptée aux besoins de l'entreprise. Elle a été créée par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information), du Ministrère de la Défence. Elle est destinée avant tout aux administrations françaises et aux entreprises.

  • Méthode MEHARI

Mehari (MEthode Harmonisée d'Analyse de RIsques) est développée par le CLUSIF depuis 1995, elle est dérivée des méthodes Melisa et Marion. Existant en langue française et en anglais, elle est utilisée par de nombreuses entreprises publiques ainsi que par le secteur privé.

  • Méthode de la norme ISO/CEI 27002

La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information. Cette norme inclut un chapitre dédié la gestion des risques. Elle donne des directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations. Elle ne prescrit pas une méthode spécifique, puisque celle-ci doit être appropriée selon le contexte.

  • Méthode de la norme ISO/CEI 27005

La norme ISO 27005 explique en détail comment conduire l'appréciation des risques et le traitement des risques, dans le cadre de la sécurité de l'information. La norme ISO 27005 propose une méthodologie de gestion des risques en matière d'information dans l'entreprise conforme à la norme ISO/CEI 27001.