Protéger vos projets et vos services IT.

Contact

Conseil

Abréviation de Developement, Security et Operations, l'accompagnement DevSecOps vise à inclure les bonnes pratiques de sécurité dans les processus de développement et de mise en production.

Gestion des risques et des menaces

En prenant en compte les informations publiquement accessibles (OSINT), la surface d'attaque, les chemins de compromission de l'infrastructure, des postes de travail, de la chaîne CI/CD (Continuous Integration/Continuous Deployment) et des technologies utilisées (Cloud, infrastructure as Code, Réseaux sans fil).

Tests de sécurité automatisés

Tests de non-régression, pour éviter de nouvelles vulnérabilités, étanchéité entre profils d’utilisateurs, tests d’analyses statiques et dynamiques (SAST/DAST/IAST), tests de conformité et intégration de la sécurité aux canaux CI/CD.

Gestion des dépendances

Minimiser les dépendances, évaluer et appliquer les correctifs de sécurité nécessaires avant déploiement.

Confidentialité et gestion des secrets

Cloisonnement et principe de moindre privilège. Utilisation des gestionnaires de secrets appropriés. Absence de secrets en dur dans le code source, dans les journaux d’événements des tâches (jobs), ou dans les dépôts de code.

Prendre RDV

Audit

Chaque audit technique ou pentest s'appuie sur des référentiels éprouvés et à l'état de l'art. Ils sont retenus en fonction du périmètre et du type d'audit.

Audit de code source

L’audit de code source consiste en l’analyse de tout ou partie du code source ou des conditions de compilation d’une application dans le but d’y découvrir des vulnérabilités, liées à de mauvaises pratiques de programmation ou des erreurs de logique, qui pourraient avoir un impact en matière de sécurité.

Audit de configuration

L’audit de configuration a pour vocation de vérifier la mise en œuvre de pratiques de sécurité conformes à l’état de l’art et aux exigences et règles internes de l’audité en matière de configuration des dispositifs matériels et logiciels déployés dans un système d’information. Ces dispositifs peuvent notamment être des équipements réseau, des systèmes d'exploitation (serveur ou poste de travail), des applications ou des produits de sécurité.

Tests d’intrusion applicatifs en boite blanche

Le principe du test d’intrusion est de découvrir des vulnérabilités sur l'application auditée et de vérifier leur exploitabilité et leur impact, dans les conditions réelles d’une attaque. Avec le temps, je me suis spécialisé dans le pentest applicatif avec analyse du code source, cela me permet de vous offrir une meilleure qualité de service.

Prendre RDV

Formation

L'offre de formation et de sensibilisation adresse les différents aspects de la cybersécurité pour répondre à vos besoins.

Intervention en organisme de formation

Les formations vont jusqu'au Bac+5, pour des cursus DevOps ou experts en cybersécurité. Une attention toute particulière est portée aux syllabus et référentiels de formation. Des mises en situations professionnelles concrètes et réalistes permettent l'acquisition des compétences opérationnelles attendues sur le marché du travail.

Intervention auprès des développeurs

Les formations sont adaptées aux enjeux de sécurité lors du déploiement continu et prennent en compte le cycle de vie de développement logiciel (SDLC). Nous abordons ensemble les risques, les menaces et les vulnérabilités en nous appuyant sur l'état de l'art de la cybersécurité.

Laboratoire en self-service

Les ressources de formations sont sous licence libre, une offre de parrainage vous permet d'obtenir les solutions aux challenges de cybersécurité proposés ainsi que des emplacements publicitaires. N'hésitez pas à prendre rendez-vous pour une démonstration du lab.

Prendre RDV