Nos audits techniques de sécurité sont basés sur les normes les plus pointues, et les exigences légales spécifiques à l’industrie. L’approche d’audit est conçue pour couvrir tous les aspects de sécurité, les personnes, les processus et les technologies utilisées. Nos consultants sont certifiés CISSP, CISA, ISO 27001 LI & LA, CEH, CAST. Plus important encore, ils possèdent un large éventail de compétences techniques..
Nos audits techniques se font à travers notre Ethical Hacking LAB doté de dizaines de logiciels spécialisés.
Nos compétences sont mises en évidence par le nombre de bugs décelés sur des logiciels critiques d'éditeurs et constructeurs mondiaux.
Notre expérience dans ce domaine couvre des évaluations de sécurité de progiciels CRM ou ERP, de solutions web, eBanking/mBanking, d'applications e-commerce ou de logiciels de type clients de cryptage entre autres.
Les évaluations de sécurité des applications sont conçues pour identifier et évaluer les menaces pesant sur l’organisation à travers des applications propriétaires ou développés par des fournisseurs. Notre méthodologie d’évaluation de la sécurité des applications est conçu autour de guides d’évaluation de la sécurité connus tels que:
• OWASP Top 10 (Open Web Application Security Project)
• Processus de modélisation des menaces tells que STRIDE et DREAD
• OWASP’s Software Assurance Maturity Model (OpenSAMM)
• Open Security Testing Methodology Manual (OSTMM)
• Web Application Security Consortium (WASC) guide lines
LMPS vous propose des tests d’intrusion permettant de simuler le comportement d’un individu malveillant visant à compromettre votre système d’information. Les missions de tests d’intrusion se présentent généralement sous les formes suivantes :
Test en boite noire : sans aucune connaissance préalable du réseau et de ses défenses.
Test en boite grise : avec des connaissances limitées des défenses et des actifs.
Test en boite blanche : en pleine connaissance du réseau, des défenses utilisées et avec des comptes d’accès ayant différent profils.
Nos experts technique vous permettent de vérifier la mise en œuvre des bonnes pratiques de sécurité dans la configuration des dispositifs matériels et logiciels déployés sur votre système d’information (équipements réseaux et sécurité, serveurs, systèmes d’exploitation, bases de données, applications). Il s’agit notamment de réaliser les analyses et revues suivantes :
• Réseau : configuration des équipements actifs et passifs (Pare-feu, routeurs…), architecture logique, plan d’adressage, détection automatique de vulnérabilités, liens télécoms.
• Serveurs : dispositifs de sécurité (Antivirus, IPS, IDS), authentification, cryptographie, mises à jour et patch, systèmes d’exploitation, services réseau et internet, ports, messagerie, bases de données.
• Applications : gestion des profils et privilèges, gestion des formats de données, cryptographie, authentification.
L’analyse du code source effectués par nos consultants certifiés n’identifie pas seulement la ligne de code qui est vulnérable, mais permet également d’identifier la variable qui introduit la vulnérabilité. De cette façon, elle illustre la propagation depuis la racine pour corriger le mauvais résultat.
Nos experts en développement sécurisé ont testé et fait des examens de code source pour une grande variété de langages de programmation tels que C, C + +, Java, PHP, CGI, J2EE, Perl, ASP et les Systèmes.NET. Nous avons élargi nos capacités à la revue de code source d’applications mobiles sur Android, Windows Mobile, et iOS. Nous pouvons appliquer le même ensemble de principes et de méthodes web aux environnements mobiles. Nous sommes fiers d’adapter nos revues à la recherche de problèmes spécifiques à vos besoins et à votre architecture
Par rétro-ingénierie en mode Black-box, ou par examen du code source, nous avons non seulement réalisé de nombreux audits de sécurité mobile, mais nous avons aussi développé une expérience solide en la matière.
LMPS Group peut vous aider à simuler les attaques DDOS sur l’infrastructure sélectionnée par exécution de sa méthodologie unique de tests de DDOS qui démontre bien à quel niveau votre infrastructure IT est robuste pour faire face à une attaque DDOS. En planifiant soigneusement et en s’assurant que le test est exécuté d’une manière étroitement contrôlé qui n’affecte pas votre environnement de production, nous sommes en mesure de fournir une cartographie assez précise de votre sensibilité potentielle à une telle attaque.