Pourquoi réaliser un Audit de Sécurité ?

"Les cyberattaques sont désormais considérées par les entreprises françaises comme le risque le plus menaçant pour leur activité." (Rapport Hiscox sur les cyber-risques, 2022)

Il y a 1 cyberattaque toutes les 39 secondes dans le monde

En France, 1 entreprise sur 2 est cible d’une cyberattaque

71% des TPE-PME françaises doivent déposer le bilan à la suite d’une cyberattaque

Nos services

Assurez-vous que votre site réseau interne, application ou objet connecté est protégé contre les cyberattaques

Audit Red Team


red team

Simulation d'attaque réelle où tous les moyens légaux seront employés pour compromettre le système d'information cible, incluant le facteur humain.
L'audit comprend 3 phases : OSINT, ingénierie sociale et audit interne.
Démontrer la présence d'un ou plusieurs vecteurs de compromission permettant de prendre le contrôle du système d'information, ou de s'emparer de certains actifs critiques.
  • Évaluez la surface d'attaque publique de votre entreprise
  • Testez la sensibilisation de vos employés aux e-mails d'hameçonnage et de harponnage
  • Confrontez votre structure et vos employés à des attaques développées sur-mesure
  • Expérimentez vos processus internes de réponse à attaque malveillante dans un scénario réel mais contrôlé
  • Prouvez à vos clients qu'ils peuvent travailler avec vous en toute sécurité

Entreprises disposant d'un minimum de maturité en sécurité des systèmes d'information (sensibilisation, déploiement d'outils de sécurité,...).

L'auditeur se met à la place d'un attaquant externe et commence son test d'intrusion avec le moins d'informations possible sur sa cible (boîte noire).

Ce format inclut :

  • OSINT
  • Ingénierie sociale
  • Phishing et harponnage
  • Configuration réseau
  • Infrastructure (AD, Windows, Linux)
  • Vulnérabilités des clients web et mail
  • Accès distants (IPSec, SSL)

Audit Interne


grey box

Simulation d'une intrusion utilisant le modèle de l'employé compromis (par exemple, un mot de passe faible ou fuité).
Obtenir une vision exhaustive des vecteurs de compromission potentiels.
  • Vérifiez que les standards de sécurité sont respectés dans l'ensemble de votre système
  • Evaluez la sécurité des composants critiques de votre système en définissant des cibles d'audit prioritaires
  • Prouvez à vos clients qu'ils peuvent travailler avec vous en toute sécurité

Toute entreprise disposant d'un système d'information interne.

Ce type d'audit permet de concentrer les tests sur les éléments du système déjà identifiés : les plus à risque, les plus critiques et ceux accessibles en interne.

Ce format inclut :

  • Infrastructure (AD, Windows, Linux)
  • Configuration réseau
  • Vulnérabilités des clients web et mail
  • Accès distants (IPSec, SSL)
  • Contrôle d'accès
  • Utilisateurs et privilèges

Rétro-Conception


reverse engineering

Projets de recherche sur-mesure permettant l'analyse en profondeur des fonctions de sécurité existantes ainsi que de leurs vulnérabilités.
Vérifier la robustesse des implémentations de sécurité grâce à la rétro-conception.
Objets connectés, clients lourds et toute application faisant l'objet de développement en interne.

Le type d'informations généralement obtenus sont de nature suivante :

  • Cryptographie
  • Licences logicielles
  • Contrôle d'accès
  • Vulnérabilités d'implémentation (buffer overflow, lectures/écritures arbitraires,...)
  • Attaques matérielles (UART, JTAG, dessoudage de composants)

Formation pentest & audit technique

new offer
Formation de 1 à 3 collaborateurs à la réalisation d'un audit de sécurité informatique au choix : audit interne ou pentest web.
La formation consiste en la réalisation d'un audit complet sur le système d'information de l'entreprise cliente, de sa planification jusqu'à la transmission du rapport d'audit.
Les participants à la formation apprennent à mettre en place un audit en le réalisant eux-mêmes, tout en étant accompagnés par l'un de nos auditeurs expérimentés.
Former le ou les collaborateurs dédiés à la cybersécurité en interne, à réaliser un audit de sécurité informatique respectant les standards.
A la fin de la prestation, les participants auront toutes les clefs en main pour auditer en toute autonomie.
  • Réalisez un audit de sécurité complet tout en formant vos équipes techniques
  • Maintenez un niveau minimal de sécurité en autonomie
  • Formez vos représentants informatique à la réalisation d'un pentest sur tous les composants de votre système d'information
  • Apprenez à manier les outils de référence du domaine, et à détecter les vulnérabilités classiques
  • Diminuez les surprises lors des audits approfondis réalisés avec des prestataires externes

Les structures ayant un département informatique interne composé à minima d'une personne.
Le ou les participants doivent maîtriser le système d'information cible et ainsi que disposer d'un minimum de compétences techniques en informatique (exemples : réseau, administration système,...).

Réalisé entièrement sur place, dans les locaux du client.
Format "learning by doing", 100% travaux pratiques appliqués.

Nous recommandons que les personnes formées mettent en pratique leurs nouvelles compétences à chaque modification conséquente du système ou périodiquement.
Cet audit réalisé en autonomie en interne ne se substitue pas entièrement à des audits réalisés par des prestataires externes expérimentés.

Pentest Web et Android


web and android pentest

Attaques boite noire et boite grise des applicatifs web ou android permettant la mise en lumière de vulnérabilités.
Evaluer le niveau de sécurité global d'une application vis-à-vis des standards web et android (OWASP).
  • Evaluez la sécurité de vos applicatifs exposés
  • Protégez les données de vos clients
  • Anticipez vos futures certifications (PCI DSS, RGPD,...)

Les structures développant des applications web et android.

Nous employons la méthodologie OWASP pour réaliser les audits Web. L'audit passe par l'utilisation des logiciels standards, tels que BurpSuite et SQLMap, mais aussi par l'élaboration d'outils plus spécifiques.
Pour Android, nous utilisons des appareils rooté pour vérifier les vulnérabilités sur les protocoles réseau, ainsi que les attaques locales (code, permissions, journaux sensibles).

Unicorn Security Top 5 :

  • XML External Entity (XXE)
  • Java Deserialization
  • Authentication Bypass
  • Cross Site Scripting (XSS)
  • SQL Injection

Parcours de Cybersécurité


logo France Relance and ANSSI

Unicorn Security est prestataire terrain dans le cadre des Parcours Cybersécurité de France Relance pilotés par l'ANSSI.
Les Parcours de Cybersécurité sont subventionnés par l'ANSSI.
Renforcer rapidement et durablement la sécurité informatique des systèmes d'information des bénéficiaires.
  • Évaluez votre niveau de sécurité
  • Identifiez les mesures de sécurité les plus urgentes à mettre en place
  • Effectuez des formations et des sensibilisation à la sécurité informatique
  • Mettez en place d'un plan de sécurisation

Les collectivités territoriales, et organismes au service des citoyens (social, santé, formation, audiovisuel, sécurité).

Unicorn Security s'est associé au Groupe Prorisk, experts en audit organisationnel et centre de formation afin de vous proposer nos services sur le Parcours Fondation et le Parcours Intermédiaire.




Autres services

Vous n'avez pas trouvé ce que vous cherchiez ?
Nous travaillons avec des partenaires et freelances experts dans divers domaines transverses afin de vous proposer des services complets, en toute flexibilité.

Discutons-en ensemble !

Rencontrez l'équipe

Antoine

Antoine Royer

Fondateur & Expert Cybersécurité
ANSSI    Offensive Security logo Amadeus   
Nathalie

Nathalie Cochard

Fondatrice & Gestion des Opérations
Shippeo    Française des Jeux    Amadeus

Nos partenaires

ANSSI
France Relance
UBT
Prorisk
GACYB
Témoignages

Ce que nos clients
pensent de nous !

Nous avons pour but d'aider nos clients dans leurs projets avec flexibilité et professionnalisme.

Mais puisqu'une preuve est plus convaincante qu'une promesse, voici ce que nos clients pensent de nous !



Localisation de nos clients :


Localisation clients Unicorn Security

“Nous avons demandé à Unicorn Security d'auditer notre serveur ainsi que nos différents frontends. Le rapport a été livré très rapidement avec des recommandations adaptées, il a également montré une très bonne compréhension de notre business. Je recommande vivement et travaillerai de nouveau avec eux avec plaisir.”

Gains Associates
Estonie
Lotfi Z.
CTO, GAINS Associates

“Unicorn Security nous a aidé à évaluer la sécurité d'une application unique que nous développons. Nous les avons trouvé très collaboratifs, efficaces et connaisseurs sur le sujet. Je retravaillerai très certainement avec eux.”

Meazure Learning
usa
Matthew J.
Co-Créateur, Meazure Learning

“L'équipe de Unicorn Security est à la fois professionnelle et sympathique. Nous avons bénéficié d'un audit technique efficace avec des recommandations adéquates pour renforcer la sécurité de notre système d'information. Je recommande vivement cette équipe très disponible et à taille humaine.”

Mairie de Clamart
France Relance France
Vincent D.
DSI, Mairie de Clamart

“Nous avons réalisé une revue de sécurité avec Unicorn Security, incluant des attaques d'ingénierie sociale et un audit interne. Nous avons trouvé leurs e-mails de phishing extrêmement convaincants, et c'était une très bonne occasion de tester notre temps de réaction et notre hygiène informatique de sécurité. L'audit interne a permis de consolider les mesures de sécurité de défense en profondeur et s'est déroulé sans impact notable sur le réseau de l'entreprise. Le rapport a été livré rapidement après la fin de la dernière phase, il était clair et précis.”

Enviro Group logo
Germany
Tizian V.
Directeur Marketing & IT, Enviro Group

“Je recommande chaudement Unicorn Security. Ils ont rapidement compris notre contexte et leur audit nous a permis d'identifier plusieurs points d'amélioration. Nous avons particulièrement apprécié leur autonomie et leur méthode de travail structurée. Un plaisir de travailler avec des personnes comme ça !”

SportEasy
France
Karl W.
CTO, SportEasy

“Unicorn Security a aidé l'équipe YOOS à évaluer l'hygiène de sécurité de son écosystème complexe, composé de configurations matérielles, OS, APIs et logicielles. Plus que l'audit lui-même, des recommandations adaptées et un partenariat durable en ont résulté. Cela permet à l'équipe YOOS de renforcer la confiance de ses clients et d'avoir la confiance nécessaire pour construire un avenir plus sûr.”

YOOS
singapore
L'équipe YOOS
Your Own Online Server

“Nous avons demandé à Unicorn Security de nous aider avec un audit d'infrastructure car nous contrôlons le full-stack de notre produit. Ils ont mis en évidence des points très critiques concernant la configuration au niveau du système, des problèmes réseau ainsi que plusieurs aspects du flux de l'application. Ils étaient toujours disponibles lorsque nous avions des questions concernant des atténuations ou des développements ultérieurs, et nous ont aidé à mettre en place des mesures de sécurité. Nous nous soucions des données de nos clients et il ne fait aucun doute qu'elles sont désormais plus sûres.”

Hellogova
France
Louis M.
CTO, Hellogova

Contactez-nous !

Parlons ensemble de la sécurité de votre système interne, application, site web ou objet connecté !

Envoyez-nous un email !

contact (at) unicornsecurity.io

Réservez un appel avec nous

Choisissez votre créneau préféré et discutons de votre projet

Rejoignez-nous sur Discord

Posez-nous vos questions sur Discord