Audit de sécurité de votre infrastructure cloud

Vous souhaitez connaître les risques de sécurité de votre infrastructure cloud ? Nos experts cybersécurité auditent votre infrastructure et vous proposent un plan de remédiation avec des recommandations concrètes et sur mesure.

audit-clean

LES ENJEUX

Pourquoi faire un audit de sécurité ?

Dans quelle situation faut-il auditer la sécurité informatique de son infrastructure ? Il existe 3 raisons qui poussent nos clients à faire appel à nos services pour un audit de sécurité cloud :

proteger

Protéger leur activité

Nos clients souhaitent se prémunir au maximum contre une cyberattaque visant leur infrastructure cloud. Ils désirent en comprendre les points faibles et connaître les corrections possibles avec un audit de sécurité.

rassurer

Rassurer leurs partenaires

Une entreprise possède de nombreux partenaires : les investisseurs, les utilisateurs, les fournisseurs… Nos clients souhaitent rassurer ces différents interlocuteurs et nous demandent donc de certifier la sécurité de leur infrastructure cloud. Nous délivrons ces certificats une fois les éventuelles failles identifiées et corrigées.

conforme

Être conforme

Certaines normes nécessitent un haut niveau de sécurité (HDS, hébergement de données bancaires, RGPD), nos clients nous demandent donc d’identifier les chantiers à mener pour mettre la sécurité de leur infrastructure cloud au niveau requis. L’audit de sécurité débouche alors sur la liste des chantiers et la roadmap afin de les piloter efficacement.

Nos offres d’audit de sécurité

Nos experts en cybersécurité vous accompagnent sur tous vos besoins de sécurité cloud. Ils vous proposent des recommandations concrètes et vous aident à les prioriser.

Audit de sécurité d’infrastructure

Vous avez des doutes sur la sécurité de votre infrastructure cloud ? Nos experts en cybersécurité font un audit complet de l’infrastructure (architecture, IAM, CI/CD, etc.) pour faire remonter les risques de sécurité et vous suggérer des remédiations. 

Audit de sécurité applicative

Vous souhaitez évaluer le niveau de sécurité de vos applications web ou mobile ? Nos experts réalisent un audit de sécurité afin de répertorier toutes les vulnérabilités applicatives présentes et de proposer des remédiations.

Audit de sécurité Kubernetes

Vous souhaitez savoir si vos clusters Kubernetes sont sécurisés ? Nos experts DevSecOps réalisent un audit de votre infrastructure Kubernetes pour vous donner de la visibilité sur vos risques de sécurité et vous proposer un plan de remédiation activable.

NOS PARTENAIRES & EXPERTISES

Des experts de la sécurité cloud

Theodo Cloud est partenaire de Google Cloud, AWS, Microsoft Azure, OVHcloud et Kubernetes. Nos experts DevSecOps sont formés et certifiés sur ces technologies. Cette maîtrise leur permet d’identifier les vulnérabilités exploitables pour assurer un niveau de sécurité maximal pour votre infrastructure.

aws-partner
GCP-Partner
Gold Azure
kubernetes
argo cd
Vault

Ils nous font confiance

Samir Bouaked
sebastien monchamps
yoann gasque
NOTRE MÉTHODOLOGIE

Les audits de sécurité se déroulent selon le processus suivant :

methodo_experts_devsecops
  1. 1

    Point de cadrage

    Ce point permet de rappeler les objectifs de l’audit et de mieux comprendre votre contexte. L’expert sécurité de Theodo Cloud vérifie qu’il a tous les éléments pour intervenir (accès, interlocuteurs, etc.).

  2. 2

    Audit

    L’expert analyse la sécurité de l’infrastructure. Vos équipes techniques sont impliquées pour assurer que le rendu soit le plus concret et le plus activable possible.

  3. 3

    Atelier de restitution

    L’expert en cybersécurité présente les conclusions de l’audit lors d’une réunion. Vous choisissez les personnes qui doivent être présentes à la restitution. Cet atelier permet d’apporter des précisions sur les résultats, et de répondre aux questions des équipes.

Les livrables de nos audits

Les livrables sont définis avec vous en début de mission pour répondre au mieux à ses besoins et vous sont remis à la fin de l’audit. Voici quelques exemples de livrables Theodo Cloud :

strategie-technique

Board Trello de stratégie technique

Le Trello comprend tous les tickets à effectuer pour sécuriser l’infrastructure ou l’applicatif. Chaque ticket contient la stratégie technique conçue par l’expert sécurité de Theodo Cloud et les critères d’acceptance permettant de valider la tâche.

restitution-audit

Restitution et rapport d’audit

Theodo Cloud vous fournit la présentation faite lors de l’atelier de restitution ainsi que le rapport d’audit. Ils reprennent tous les éléments de l’audit et les actions à mettre en place. 

certificat

Certificat d’audit Theodo Cloud

À la fin de l’audit, nos experts délivrent un certificat Theodo Cloud attestant de votre niveau de sécurité. Vous êtes libre de l’utiliser et de le partager à votre convenance.

NOTRE PROMESSE

Identifier et résoudre vos risques de sécurité

Nos experts en cybersécurité comprennent vos enjeux de sécurité et vous proposent des solutions concrètes pour vous aider à les résoudre.

  • check-icon

    Une expertise technique de haut niveau sur la sécurité du cloud

  • check-icon

    Des recommandations priorisées en fonction de l’impact

  • check-icon

    Des recommandations concrètes, activables et durables

  • check-icon

    Une collaboration avec vos équipes de devs et d’ops pour un résultat sur mesure

Cas Client

Audit de sécurité d’un acteur de la MedTech

Notre client (dont l'anonymat est préservé pour des raisons de sécurité) est un acteur majeur de la MedTech qui propose une application de mise en relation entre patients et médecins. Du fait de la criticité des données de l’application, ils doivent régulièrement évaluer leurs risques de sécurité. La verticale sécurité de Theodo Cloud est ainsi intervenu pour contrôler la sécurité de leur application et de l'infrastructure. Suite à l’audit, nous avons mis en place les recommandations proposées.

duree

Durée du projet

  • 4 semaines d’audit
points-cles

Points clés

  • 2 failles critiques détectées sur l'application Web permettant l'accès à tous les dossiers médicaux avec un simple compte “patient” sur l’application mobile
  • 3 failles critiques détectées sur l'infrastructure, permettant la compromission totale du système d'information à partir d’un accès développeur
  • 7 autres failles majeures ou importantes détectées (conditions d'exploitation plus complexes ou impact limité)
  • Démonstration d'exploitation aux équipes pour les sensibiliser aux risques puis formation aux bonnes pratiques
resultat

Recommandations

  • Reconfiguration de l'API GraphQL pour interdire l’appel à des méthodes privilégiées
  • Réduction des privilèges des runners Gitlab sur les clusters Kubernetes
  • Mise en place de checks de sécurité by design dans les pipelines de CI/CD pour interdire le déploiement de composants vulnérables