Le challenge
Le CISO de ce client a souhaité faire réaliser une évaluation globale des mesures de cybersécurité mises en place au sein des filiales du Groupe. Cette évaluation devait porter sur les failles et les vulnérabilités techniques existantes au sein des différents SI de ses filiales.
Approche KPMG
- Évaluation de points de contrôles clés identifiés et issus des multiples référentiels (OWASP et CIS) via notamment des tests d’intrusion de type RedTeam ;
- Scans de vulnérabilité, tests d’intrusion et tests RedTeam :
- Tests d’intrusion internes sur les postes de travail, le bastion et la configuration de l’Active Directory ;
- Tests d’intrusion externes et des différentes applications Web internes et externes de la filiale ;
- Clés USB infectées, copie des badges, phishing, envoi de documents Word et Excel infectés ;
- Points d’accès Wi-Fi malveillants, DNS Spoofing, sites web malveillants, vols d’identifiants et de mots de passe ;
- Intrusion dans les serveurs, les systèmes et les applications (élévation de privilèges / droits, etc.) ;
- Audit de code et de configuration des services de messagerie, du VPN et de la gestion des téléphones portables ;
- Revue de la sécurité logique des équipements réseau (firewall, IPS, ségrégation réseau, etc.), systèmes d’exploitation (Unix, Windows), bases de données (Oracle, SQL Server, Mongo DB, etc.), appareils mobiles, postes de travail.
- Tests d’intrusion internes sur les postes de travail, le bastion et la configuration de l’Active Directory ;
- Tests d’étanchéité entre réseaux bancaires et réseaux non-bancaires ;
- Évaluation et revue des comptes partenaires ;
- Proposition de recommandations afin de réduire les risques cyber et améliorer le niveau global de cybersécurité.
Bénéfices clients
- Validation du niveau de protection par rapport à des référentiels cybersécurité connus ;
- Identification des domaines où la cybersécurité est moins développée ;
- Estimation de la capacité à prévenir et à identifier une cyberattaque ainsi que le temps et les charges nécessaires aux équipes pour répondre aux attaques, les contenir et les éliminer ;
- Obtention d’éléments détaillés permettant d’arbitrer sur les mesures de cybersécurité à renforcer vis-à-vis des enjeux et impacts métiers.