Sécurité

12 avril 2015

Nous n’allons pas vous rendre compatible ISO 27001 et vous faire faire de la paperasse : nous allons faire en sorte que votre site web résiste à tout, et pour le reste que votre plan de backup soit prêt pour le jour où vous tomberez sur plus fort que nous.

Car il y a toujours moyen de hacker ou mettre un site down, surtout si on a rien prévu le jour où ca arrive.

Nous pouvons réaliser à distance un audit sécurité d’une plateforme existante, type applicatif web, serveur web, serveur de base de données; backends mobile ( xml, soap, json) et équipement réseau ( firewall, load balancers, SAN boxes, etc).

Sans avoir d’accès à l’infra, on peut déjà fournir

  • Soft hacking
  • Social engineering
  • “Monkey tests”
  • Load tests
  • DoS et DDoS simulations

Si on a accès à vos serveurs ( via NDA )

  • Backup policy
  • DRP policy
  • Information leaks
  • User privacy leaks

Contre mesures techniques

  • Firewall IPV4/IPV6
  • Web application firewall (WAF, NAXSI, ModSecurity, …)
  • Rate – limiting ( via routeur, WAF ou firewall )
  • System Hardening ( grsecurity, AppArmor, SELinux)
  • Intrusion Detection, Logging + réactions automatiques. OSSEC.
  • Surveillance des logs via Graylog ou Stack ELK (Logstash/Kibana).

Quelques technologies courantes ;

  • Selinux, Arachni, Nmap, OSscanner, Lynis, fragroute, miranda, SlowHTTPTest, THC-IPV6, Backdoor Factory, TrueCrack/RainbowCrack, pfSense, ipsec, slowloris, OpenVPN, IPtables, OSSEC, logwatch, logstash, kibana, graylog, fail2ban, grsecurity, systrace, mod_evasive, mod_security, mod_qos,  VPNs, SSL

Contactez-nous pour qu’on trouve les soucis avant les pirates !