audit de sécurité réseau

overider · 30/09/2011, 20h01

Bonjour.

Ma direction me demande de trouver une entreprise pour faire un audit de sécurité de notre réseau.
Les objectifs classés par ordre sont:
- test d'intrusion depuis internet, test des firewall.
- test de faille de notre extranet applicatif et de notre DMZ en général.
- analyse des trous au niveau du pare feu avec des réseaux vpn tiers.
- audit de sécurité du réseau interne pour se prémunir d'action d'utilisateur en interne.

Nous disposons de 4 sites dont deux possèdent une DMZ.

- A quoi dois je m'attendre au niveau prise d'information de la part de la société qui va auditer? Car si je leur fournit un schéma de notre réseau je trouve que cela fausse le test.
- A quoi dois je m'attendre au niveau budget?
- Y'a t'il des dispositions juridiques que je dois prendre vis à vis des fournisseurs d'accès Internet? Et si oui lesquels?
- Comment puis je vérifier la fiabilité de l'entreprise ? J'ai pu lire sur le net que certains avaient eu de très mauvaises expériences.
- Auriez-vous des conseils ou des retours d'expérience?
- je ne sais pas si j'ai le droit de le demander sur ce forum mais auriez-vous des sociétés à me conseiller?

Merci à tous.

Cybher · 03/10/2011, 10h52

bonjour,

Pour les informations que tu dois fournir, je dirais que cela dépend :

- soit tu lui donnes des informations limitées (souvent juste un login/mot de passe pour passer la partie authentification), et là la personne regarde justement ce qu'elle peut trouver comme information, trouver les failles en ne partant de rien (comme le ferait un hacker)
- soit tu lui donnes des informations sur ton réseau, donc il est plus facile pour la personne qui réalise l'audit de chercher les failles dépendant de ton matériel ou des tes OS par exemple. dans ce cas, il est plus facile de trouver toutes les failles existant sur ton réseau

overider · 03/10/2011, 19h30

Merci beaucoup pour vos conseils, Cybher Ace No hiken

Cordialement

Cybher · 03/10/2011, 21h53

mais de rien

pour le reste, c'est difficile de t'en dire plus à part que souvent ce n'est pas donné

après, il faudrait voir le nombre de serveurs potentiellement accessible de l'extérieur
après niveau interne, idem, tout dépend ce que tu veux tester : possibilité de bypasser la politique de sécurité, test sur les fuites de données, autres, ...

30/09/2011, 20h01	#1
overider Membre éclairé Inscription : février 2005 Messages : 349 Détails du profil Informations personnelles : Localisation : France, Vaucluse (Provence Alpes Côte d'Azur) Informations forums : Inscription : février 2005 Messages : 349 Points : 358 Points : 358	audit de sécurité réseau Bonjour. Ma direction me demande de trouver une entreprise pour faire un audit de sécurité de notre réseau. Les objectifs classés par ordre sont: - test d'intrusion depuis internet, test des firewall. - test de faille de notre extranet applicatif et de notre DMZ en général. - analyse des trous au niveau du pare feu avec des réseaux vpn tiers. - audit de sécurité du réseau interne pour se prémunir d'action d'utilisateur en interne. Nous disposons de 4 sites dont deux possèdent une DMZ. - A quoi dois je m'attendre au niveau prise d'information de la part de la société qui va auditer? Car si je leur fournit un schéma de notre réseau je trouve que cela fausse le test. - A quoi dois je m'attendre au niveau budget? - Y'a t'il des dispositions juridiques que je dois prendre vis à vis des fournisseurs d'accès Internet? Et si oui lesquels? - Comment puis je vérifier la fiabilité de l'entreprise ? J'ai pu lire sur le net que certains avaient eu de très mauvaises expériences. - Auriez-vous des conseils ou des retours d'expérience? - je ne sais pas si j'ai le droit de le demander sur ce forum mais auriez-vous des sociétés à me conseiller? Merci à tous. __________________ La connaissance s'accroit lorsqu'on la partage.
	00

03/10/2011, 19h30	#3
overider Membre éclairé Inscription : février 2005 Messages : 349 Détails du profil Informations personnelles : Localisation : France, Vaucluse (Provence Alpes Côte d'Azur) Informations forums : Inscription : février 2005 Messages : 349 Points : 358 Points : 358	Merci beaucoup pour vos conseils, Cybher Ace No hiken Cordialement __________________ La connaissance s'accroit lorsqu'on la partage.
	00

03/10/2011, 21h53	#4
Cybher Modérateur Michel Consultant informatique Inscription : mai 2005 Messages : 3 006 Détails du profil Informations personnelles : Nom : Michel Âge : 29 Localisation : France Informations professionnelles : Activité : Consultant informatique Secteur : Conseil Informations forums : Inscription : mai 2005 Messages : 3 006 Points : 4 039 Points : 4 039	mais de rien pour le reste, c'est difficile de t'en dire plus à part que souvent ce n'est pas donné après, il faudrait voir le nombre de serveurs potentiellement accessible de l'extérieur après niveau interne, idem, tout dépend ce que tu veux tester : possibilité de bypasser la politique de sécurité, test sur les fuites de données, autres, ...
	00

03/10/2011, 10h52	#2
Cybher Modérateur Michel Consultant informatique Inscription : mai 2005 Messages : 3 006 Détails du profil Informations personnelles : Nom : Michel Âge : 29 Localisation : France Informations professionnelles : Activité : Consultant informatique Secteur : Conseil Informations forums : Inscription : mai 2005 Messages : 3 006 Points : 4 039 Points : 4 039	bonjour, Pour les informations que tu dois fournir, je dirais que cela dépend : - soit tu lui donnes des informations limitées (souvent juste un login/mot de passe pour passer la partie authentification), et là la personne regarde justement ce qu'elle peut trouver comme information, trouver les failles en ne partant de rien (comme le ferait un hacker) - soit tu lui donnes des informations sur ton réseau, donc il est plus facile pour la personne qui réalise l'audit de chercher les failles dépendant de ton matériel ou des tes OS par exemple. dans ce cas, il est plus facile de trouver toutes les failles existant sur ton réseau
	10

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email