Foire aux questions
Quelle est la durée d’une formation en sécurité ?
La durée de formation varie entre 2h et une demi-journée suivant le module de sécurité sélectionné.
Pourquoi sensibiliser ses salariés à la cybersécurité ?
Une formation de sensibilisation permet d’augmenter le niveau de vigilance du salarié et d’éviter des attaques potentielles. Elle vise à présenter aux utilisateurs toutes les informations nécessaires pour mieux comprendre le fonctionnement d’une attaque de type « phishing » et les bons réflexes à avoir.
À quelle fréquence conduire un test d’intrusion ?
La fréquence de réalisation d’un test d’intrusion dépend de la taille ainsi que de la structure du système d’information. En général, il est conseillé de faire un test d’intrusion par an sur les différents équipements informatiques.
Je n’ai pas de données sensibles, pourquoi serai-je une cible ?
Le vol de données sensibles (identifiants de connexion, adresses emails, données bancaires) n’est pas la seul motivation des hackers malveillants. Dans certains cas, les attaques vont détruire ou chiffrer les données des équipements informatiques non sécurisés afin de recevoir une somme d’argent en contrepartie. Cela peut couper temporairement ou définitivement le système d’information, et ainsi provoquer une perte financière importante.
Combien coûte un "Pentest" ?
Le montant de la réalisation d’un test d’intrusion va dépendre du type de la prestation ainsi que du périmètre a auditer. N’hésitez pas à nous contacter pour obtenir un devis.
Quelles technologies testez-vous ?
Grâce à l’expérience variée de nos consultants en sécurité informatique, nous sommes en capacité de répondre à des besoins de sécurisation sur des technologies spécifiques. Néanmoins, lorsqu’un auditeur est confronté à une technologie jamais testée par nos consultants auparavant, une phase de recherche d’informations sur ses bonnes pratiques de sécurité sera réalisée en amont de la prestation.
Faut-il conduire un pentest sur l’environnement de production ou de préprod ?
Lorsque cela est possible, il est conseillé de réaliser les tests d’intrusion sur des environnements de prérod. En effet, cela permettra de s’assurer qu’en cas d’effet de bord lors de la réalisation de nos prestations, l’impact sera relativement faible.
Testez-vous le déni de service ?
Durant nos prestations de pentest, nous ne testons pas la capacité de resistance d’une application lors de l’envoi d’un nombre important de requête afin de ne pas impacter sa disponibilité. Nous sommes tout de même en capacité, lorsque le client le souhaite, d’effectuer ce type de test sur des applications (site internet, serveurs, etc..).
Comment sont présentées les failles que vous avez trouvées ?
A la fin de chaque prestation d’audit technique, l’auditeur fournit au client un rapport comprenant plusieurs parties, et notamment le descriptif technique de chaque vulnérabilité. Ce descriptif explique comment l’auditeur à identifié la faille de sécurité, ainsi que les différentes mesures à mettre en place pour la corriger. N’hésitez pas à nous solliciter pour obtenir un exemple de rapport anonymisé.
Que faites-vous des informations confidentielles trouvées ?
Dans le cadre de l’exécution de nos prestations, le client est informé que nos auditeurs auront éventuellement accès à des données à caractère personnel appartenant au client. A cet égard, il est expressément stipulé que le client demeure le responsable du traitement et conserve l’entière maîtrise de ses données. Nous nous engageons à ne pas exploiter ou utiliser les données à caractère personnel résultant de la réalisation des prestations pour des besoins propres ou pour le compte de tiers.
A quoi sert une analyse de risques ?
L’analyse de risques est une étape importante à la sécurisation du système d’information. Elle permet de positionner le niveau optimal et adéquat de sécurité selon les besoins métiers et clients. Cela permet de réduire les risques à un niveau acceptable.
Comment définir un plan de reprise d’activité adapté à mon entreprise ?
Le Plan de Reprise d’Activité (PRA) d’une entreprise constitue un ensemble de documents et procédures qui permettent de prévoir, par anticipation les démarches à réaliser pour reconstruire et remettre en marche un système d’information en cas de sinistre important.