Méthodologie et Standard

Champ d'Application

L'objet de l'intervention demandée sera l'infrastructure technologique fournie au client, à savoir:

  • système informatique
  • infrastructure interne et externe
  • réseau
  • matériel/logiciel
  • application web utilisée par le client

Méthodologie

Le service Cyber Security d'INSIDE met à disposition une équipe d'experts dans le domaine disposant d'une gamme de certifications reconnues au niveau international.

Plus précisément, les activités sont effectuées dans le plus grand respect des normes suivantes:

  • ISO/IEC 19011:2003 - Lignes directrices pour la gestion de la qualité et/ou de l'environnement
  • ISO/IEC 20000-1:2005 - Gestion des services - Partie 1 : Spécifications
  • ISO/IEC 27002:2005 - Code de pratique de gestion de la sécurité de l'information
  • ISO/IEC27004:2009 - Gestion de la sécurité de l'information - Mesurage
  • ISO/IEC 27005:2008 - Gestion des risques de sécurité de l'information
  • BS25999-2:2007 - Gestion de la continuité des affaires - Spécifications
  • COBIT v4.1 - Objectifs de contrôle de l'information et des technologies connexes
  • OSSTMM v3 - Manuel de méthodologie de tests de sécurité avec source ouverte
  • Guide de test OWASP v3 - Guide de test de projet de sécurité d'application internet ouverte
  • CC v3.1 - Critères communs
  • CEM v3.1 - Méthodologie commune d'évaluation pour la sécurité des technologies de l'information
  • ITIL v3 - Bibliothèque d'infrastructure des technologies de l'information
  • PCI-DSS v2.0 - Norme de sécurité des données de l'industrie des cartes de paiement
  • Basilea2 - Convergence internationale de la mesure des fonds propres et des normes de fonds propres
  • SOX de 2002 - Loi Sarbanes-Oxley ou Réforme de la comptabilité des sociétés cotées et loi sur la protection des investisseurs
  • Décret législatif 231/2001 - Règlement sur la responsabilité administrative des personnes morales, des sociétés et des associations, également sans personnalité juridique
  • Décret législatif 196/2003 - Code relatif à la protection des données personnelles
  • Décret législatif 262/2005 - Protection de l'épargne et réglementation des marchés financiers
  • Décret législatif 81/2008 - Protection de la santé et de la sécurité sur le lieu de travail

Références de Méthodologie

OSSTMM

L'OSSTMM (Open Source Security Testing Methodology Manual - Manuel de méthodologie de tests de sécurité avec source ouverte) est une certification fournie par L'ISECOM (Institute for Security and Open Methodologies - Institut pour la sécurité informatique et les méthodes ouvertes), communauté internationale de recherche et de collaboration sur la sécurité, créée en janvier 2001.

Il s'agit d'une approche méthodologique d'évaluation par les pairs (peer-reviewed) utilisée dans le domaine des systèmes de sécurité informatique, et prévoyant l'exécution de tests de sécurité et d'analyse de l'infrastructure et des atouts informatiques, se traduisant dans des faits survenus. Ces faits fournissent des informations utiles capables d'améliorer la sécurité opérationnelle en termes de mesurabilité.

L'utilisation de la norme OSSTMM, conformément au règlement en la matière, permet d'obtenir des résultats cohérents et reproductibles, ainsi que de comprendre la nature des mesures à adopter. Celle-ci permet également de comprendre à quel point le système en examen est exposé à d'éventuelles attaques, et donc comment en optimiser la sécurité.


OWASP

Le Guide de test OWASP permet de cadrer le test de sécurité des applications et des infrastructures de réseau. Il a été développé par OWASP (Open Web Application Security Project - Projet de sécurité d'applications internet ouvertes), fondation à but non lucratif concentrant ses activités sur la production de ressources, articles et matériel relatifs aux problèmes liés à sécurité informatique.

OWASP a mis en place un classement des menaces pour la sécurité considérées comme les plus critiques:

  • Injection SQL
  • Gestion des violations d'authentification et de sessions
  • Cross Site Scripting (ou Vulnérabilité face aux attaques dynamiques)
  • Références d'objet directes non sécurisées
  • Mauvaise configuration de sécurité
  • Exposition des données sensibles
  • Commande d'accès aux niveaux de fonctions manquant
  • Falsification de requête intersite
  • Utilisation de composants présentant des vulnérabilités connues
  • Redirections et avancements non validés