audit de sécurité réseau

audit de sécurité réseau - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 30-09-2011 à 20:02:10    

Bonjour.
 
Ma direction me demande de trouver une entreprise pour faire un audit de sécurité de notre réseau.
Les objectifs classés par ordre sont:
- test d'intrusion depuis internet, test des firewall.
- test de faille de notre extranet applicatif et de notre DMZ en général.
- analyse des trous au niveau du pare feu avec des réseaux vpn tiers.
- audit de sécurité du réseau interne pour se prémunir d'action d'utilisateur en interne.
 
Nous disposons de 4 sites dont deux possèdent une DMZ.
 
- A quoi dois je m'attendre au niveau prise d'information de la part de la société qui va auditer? Car si je leur fournit un schéma de notre réseau je trouve que cela fausse le test.
- A quoi dois je m'attendre au niveau budget?
- Y'a t'il des dispositions juridiques que je dois prendre vis à vis des fournisseurs d'accès Internet? Et si oui lesquels?
- Comment puis je vérifier la fiabilité de l'entreprise ? J'ai pu lire sur le net que certains avaient eu de très mauvaises expériences.
- Auriez-vous des conseils ou des retours d'expérience?
- je ne sais pas si j'ai le droit de le demander sur ce forum mais auriez-vous des sociétés à me conseiller?
 
Merci à tous.
   
 

Reply

Marsh Posté le 30-09-2011 à 20:02:10   

Reply

Marsh Posté le 30-09-2011 à 20:54:14    

Les fourniture des schéma réseau dépend si c'est un audit en boite noir (donc sans connaissance du réseau) ou en en boite blanche (donc en interne).

Reply

Marsh Posté le 01-10-2011 à 00:37:31    

Hello,
 
Difficile à dire pour le budget.
 
A vrai dire c'est souvent facturé au nombres de jours passés.
Parfois au nombre d'adresse IP.
Il faut voir ce que tu souhaites comme "rendu". Plusieurs langues, présentation managériale, présentation technique ........
 
N'espère rien en dessous de 6000€.
 
Tu dois demander l'accord écrit de tous les presta (infogéreur ....). On va te demander les jours d'interventions, les heures, garantir qu'ils ne tenteront pas de déni service, la liste des IP que les auditeurs vont utiliser
 
J'ai fait réaliser 2 audits sécu, ce fut le jour et la nuit entre les 2.
 
Pour un premier audit je te conseille le mode "boite noire", tu ne donnes aucune info.  
 
Pour l'extranet, demande une liste exhaustive des tests qu'ils vont réaliser avant l'audit, puis apres l'audit exige le résultat pour chaque test.
 
Mais ça fait beaucoup d'objectifs, je te conseille d'en faire 1 seul en premier pour tester la boite.

Reply

Marsh Posté le 03-10-2011 à 19:28:51    

Merci beaucoup pour vos conseils.
 
Cordialement

Reply

Marsh Posté le 04-10-2011 à 09:17:05    

je connais une boite qui fait ça bien par contre aucune idée de leurs tarifs : intrinsec

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed