Nous présentons ci-dessous quelques missions types afin de répondre aux interrogations des étudiants qui s’intéresseraient aux missions d’un consultant en sécurité informatique. Ces interrogations ressortent souvent lors des échanges qu’ils peuvent avoir durant leur stage en sécurité informatique.
Auditer la sécurité d’un site Internet transactionnel SAP
Besoins du client : le mandataire de la mission souhaitait faire auditer la sécurité d’un site Internet transactionnel basé sur SAP, cette solution utilisait des moyens d’authentification reposant sur des calculettes matérielles spécifiques. L’architecture de la base de données reposait sur une plate-forme Oracle et l’ensemble de la solution était externalisée auprès d’une société tierce. Elle assurait la maintenance, l’évolution et la sécurité de l’applicatif dans un environnement partiellement mutualisé.
Résultats de la mission : l’audit a mis en exergue des failles dans le traitement des sessions des utilisateurs ainsi une perturbation du fonctionnement de la base Oracle a été possible.
ROI pour le client : cet audit a permis à notre client d’augmenter son niveau de sécurité, l’éditeur de la solution a pu de ce fait modifier en conséquence son applicatif.
Qualifier rapidement une plate-forme transactionnelle
Besoins du client : qualifier le niveau de sécurité d’une plate-forme transactionnelle devant être rapidement mise en production et obtenir un conseil technique face à l’éditeur de la solution logicielle.
Résultats de la mission : lors de cette prestation de conseil et suite au test d’intrusion, nous avons mis en exergue des faiblesses graves laissant transparaître des lacunes de programmation importantes chez l’éditeur de la solution.
ROI pour le client : notre prestation a permis au client de découvrir des failles dans un applicatif qui était déjà en production dans une de ses filiales et de sécuriser le nouveau déploiement par une modification du code source de l’application et l’installation d’une solution de filtrage applicatif (reverse proxy filtrant).
Auditer la sécurité d’un guichet automatique de banque
Besoins du client : auditer la sécurité d’un guichet automatique de banque devant être mis en production. Ce guichet automatique de banque est fabriqué par une société qui édite le logiciel de centralisation et fournit les automates de dépôt.
Résultats de la mission : lors de ce test d’intrusion nous avons pu analyser le protocole utilisé par le guichet automatique de banque et le logiciel de centralisation. Dès lors, il nous a été possible de réaliser un « proof of concept » : le logiciel HelloOtto. Cet applicatif permettait de geler les dépôts financiers ou de réaliser des dépôts fictifs.
ROI pour le client : Cette approche a permis au mandataire de la mission d’obtenir à titre gracieux une modification de son applicatif afin de tenir compte des failles découvertes lors de notre audit. Une évolution importante de l’architecture et l’isolement des différentes briques ont également été réalisés.
Obtenir le niveau de sécurité d’une solution de signature électronique
Besoins du client : obtenir une vision claire du niveau de sécurité d’une solution de signature électronique permettant de signer et d’authentifier les transactions réalisées en ligne. La totalité de la solution est hébergée chez un tiers et elle est basée sur une solution propriétaire.
Résultats de la mission : cette analyse nous a permis de valider le niveau de sécurité du jeton utilisé afin de conserver les certificats, mais le test d’intrusion a également mis en évidence la possibilité d’outrepasser l’authentification d’un utilisateur et de télécharger un certificat avant que le client officiel n’en prenne possession.
ROI pour le client : notre client a ainsi pu bénéficier d’une modification gracieuse de son portail par l’éditeur et le mandataire de la mission a pu diminuer en connaissance de cause le montant maximum alloué pour toute transaction signée avec cette technologie.
Evaluer la porosité du réseau interne et des applications SWIFT
Besoins du client : évaluer la porosité du réseau interne et des applications SWIFT tant au niveau des systèmes AIX que des plates-formes Windows.
Résultats de la mission : ce test d’intrusion a permis, avec les droits d’un simple salarié, de briser l’authentification SSO de l’applicatif de transaction SWIFT et de réaliser toutes sortes d’opérations sur le système visé. De plus, il nous a été possible de prendre le contrôle de l’ensemble du réseau AIX et Windows.
ROI pour le client : Cette prestation a permis le déblocage d’un budget pour la mise en place d’un isolement des zones critiques de l’infrastructure, la création de procédures de durcissement des systèmes et le contrôle des comportements déviants.
N’hésitez pas à nous contacter à stage@talsion.com, si vous chercher un stage en sécurité informatique pour l’année 2016.