Audit de sécurité de votre infrastructure cloud
Vous souhaitez connaître les risques de sécurité de votre infrastructure cloud ? Nos experts cybersécurité auditent votre infrastructure et vous proposent un plan de remédiation avec des recommandations concrètes et sur mesure.
LES ENJEUX
Pourquoi faire un audit de sécurité ?
Dans quelle situation faut-il auditer la sécurité informatique de son infrastructure ? Il existe 3 raisons qui poussent nos clients à faire appel à nos services pour un audit de sécurité cloud :
Protéger leur activité
Nos clients souhaitent se prémunir au maximum contre une cyberattaque visant leur infrastructure cloud. Ils désirent en comprendre les points faibles et connaître les corrections possibles avec un audit de sécurité.
Rassurer leurs partenaires
Une entreprise possède de nombreux partenaires : les investisseurs, les utilisateurs, les fournisseurs… Nos clients souhaitent rassurer ces différents interlocuteurs et nous demandent donc de certifier la sécurité de leur infrastructure cloud. Nous délivrons ces certificats une fois les éventuelles failles identifiées et corrigées.
Être conforme
Certaines normes nécessitent un haut niveau de sécurité (HDS, hébergement de données bancaires, RGPD), nos clients nous demandent donc d’identifier les chantiers à mener pour mettre la sécurité de leur infrastructure cloud au niveau requis. L’audit de sécurité débouche alors sur la liste des chantiers et la roadmap afin de les piloter efficacement.
NOS PARTENAIRES & EXPERTISES
Des experts de la sécurité cloud
Theodo Cloud est partenaire de Google Cloud, AWS, Microsoft Azure, OVHcloud et Kubernetes. Nos experts DevSecOps sont formés et certifiés sur ces technologies. Cette maîtrise leur permet d’identifier les vulnérabilités exploitables pour assurer un niveau de sécurité maximal pour votre infrastructure.
Ils nous font confiance
"On a fait appel à Theodo Cloud pour évaluer notre niveau de sécurité avec un pentest et un audit. Résultat : on a eu bien plus qu’une simple feuille de route. Ils nous ont vraiment accompagnés sur la compréhension de nos risques de manière pertinente et ciblée."
Chief Technical Officer
"Notre objectif était d’assurer la sécurité de notre infrastructure pour les années futures. D’un point de vue technique comme humain, l’équipe Theodo Cloud a fait un travail exceptionnel"
CTO Online Banking
“Le niveau d’expertise de l’équipe est impressionnant ! Ils se sont vraiment mis à notre place en ciblant nos enjeux et en nous proposant une solution sur-mesure.”
Lead Developer
Les audits de sécurité se déroulent selon le processus suivant :
.jpg)
-
1
Point de cadrage
Ce point permet de rappeler les objectifs de l’audit et de mieux comprendre votre contexte. L’expert sécurité de Theodo Cloud vérifie qu’il a tous les éléments pour intervenir (accès, interlocuteurs, etc.).
-
2
Audit
L’expert analyse la sécurité de l’infrastructure. Vos équipes techniques sont impliquées pour assurer que le rendu soit le plus concret et le plus activable possible.
-
3
Atelier de restitution
L’expert en cybersécurité présente les conclusions de l’audit lors d’une réunion. Vous choisissez les personnes qui doivent être présentes à la restitution. Cet atelier permet d’apporter des précisions sur les résultats, et de répondre aux questions des équipes.
Les livrables de nos audits
Les livrables sont définis avec vous en début de mission pour répondre au mieux à ses besoins et vous sont remis à la fin de l’audit. Voici quelques exemples de livrables Theodo Cloud :
Board Trello de stratégie technique
Le Trello comprend tous les tickets à effectuer pour sécuriser l’infrastructure ou l’applicatif. Chaque ticket contient la stratégie technique conçue par l’expert sécurité de Theodo Cloud et les critères d’acceptance permettant de valider la tâche.
Restitution et rapport d’audit
Theodo Cloud vous fournit la présentation faite lors de l’atelier de restitution ainsi que le rapport d’audit. Ils reprennent tous les éléments de l’audit et les actions à mettre en place.
Certificat d’audit Theodo Cloud
À la fin de l’audit, nos experts délivrent un certificat Theodo Cloud attestant de votre niveau de sécurité. Vous êtes libre de l’utiliser et de le partager à votre convenance.
Identifier et résoudre vos risques de sécurité
Nos experts en cybersécurité comprennent vos enjeux de sécurité et vous proposent des solutions concrètes pour vous aider à les résoudre.
-
Une expertise technique de haut niveau sur la sécurité du cloud
-
Des recommandations priorisées en fonction de l’impact
-
Des recommandations concrètes, activables et durables
-
Une collaboration avec vos équipes de devs et d’ops pour un résultat sur mesure
Audit de sécurité d’un acteur de la MedTech
Notre client (dont l'anonymat est préservé pour des raisons de sécurité) est un acteur majeur de la MedTech qui propose une application de mise en relation entre patients et médecins. Du fait de la criticité des données de l’application, ils doivent régulièrement évaluer leurs risques de sécurité. La verticale sécurité de Theodo Cloud est ainsi intervenu pour contrôler la sécurité de leur application et de l'infrastructure. Suite à l’audit, nous avons mis en place les recommandations proposées.
Durée du projet
- 4 semaines d’audit
Points clés
- 2 failles critiques détectées sur l'application Web permettant l'accès à tous les dossiers médicaux avec un simple compte “patient” sur l’application mobile
- 3 failles critiques détectées sur l'infrastructure, permettant la compromission totale du système d'information à partir d’un accès développeur
- 7 autres failles majeures ou importantes détectées (conditions d'exploitation plus complexes ou impact limité)
- Démonstration d'exploitation aux équipes pour les sensibiliser aux risques puis formation aux bonnes pratiques
Recommandations
- Reconfiguration de l'API GraphQL pour interdire l’appel à des méthodes privilégiées
- Réduction des privilèges des runners Gitlab sur les clusters Kubernetes
- Mise en place de checks de sécurité by design dans les pipelines de CI/CD pour interdire le déploiement de composants vulnérables