Sécurité
Notre offre vous permet d’évaluer la sécurité de vos solutions.
Elle couvre toute la chaine de récupération des données, du capteur jusqu’au serveur afin de garantir la confidentialité et l’intégrité de celle-ci et la disponiblité globale du système.
Notre plan d’action
5 étapes pour évaluer la sécurité de votre solution
-
Analyse documentaire (optionnelle)
Une première phase d’analyse peut être effectuée sur la base de la documentation existante du système et d’un entretien initial avec les équipes de développement. Les informations recueillies lors de cette étape permettront de formuler des recommandations vis à vis de l’architecture proposée, et pourront être réutilisées pour les phases d’audit techniques suivantes
-
Analyse technique du matériel et du firmware
l’étude du PCB et l’identification des composants (microcontrôleur, mémoire, modules sans-fil…) aide à acquérir un premier niveau d’informations sur le matériel audité. Il est alors possible d’isoler des points d’entrée potentiels, tels que des interfaces dédiées au debugging (UART, JTAG, SPI, I2C…) ou encore des vulnérabilités connues sur le microcontrôleur utilisé. L’étape suivante consiste à déterminer si l’extraction du firmware est possible. Le cas échéant, il sera analysé afin de découvrir d’éventuels secrets stockés de manière statique, ou des défauts spécifiques de logique applicative.
-
Tentative d'interception des flux
cette phase vise à éprouver la sécurité des données en transit, aussi bien sur des protocoles sans fil utilisés entre les équipements terminaux (Bluetooth Low Energy, LoRa, ZigBee…) qu’entre les contrôleurs de donnée et les serveurs distants, connectés sur réseau IP.
-
Test d'intrusion sur les serveurs
enfin, sur la base des informations récupérées durant les phases précédentes et du référentiel de l’OWASP, des tentatives d’intrusion sont effectuées sur le backend. Après une étape de cartographie des ports ouverts sur la machine, les mécaniques d’authentification et de session seront auditées, ainsi que le modèle de permissions, ou encore les différentes fonctionnalités offertes par les web-services disponibles.
-
Rapport d'audit détaillé
Remise d’un rapport documentant les tests réalisés et comprenant :
- – Une synthèse haut niveau des risques mis en évidence pendant l’audit
- – Une analyse technique de vulnérabilités découvertes
- – Les préconisations à mettre en œuvre pour remédier aux défauts d’implémentation
Étudions la sécurité de votre solution
Vous souhaitez en savoir plus sur cette offre ?
Vous avez un besoin différent ?