Sécurité offensive

Audit de sécurité mainframe IBM

Évaluer, tester et renforcer la sécurité de vos environnements z/OS.

ETIgrands comptes
Logo

Vos mainframes méritent le même niveau d'exigence que le reste de votre SI

Les mainframes traitent la majorité de vos transactions critiques, concentrent vos données les plus sensibles et font tourner vos processus métier essentiels. Banques, assurances, industries, administrations : ces systèmes sont le socle invisible de votre activité quotidienne.

Pourtant, la plupart des organisations n’ont jamais fait auditer la sécurité de leur mainframe avec la même rigueur que leurs environnements web, cloud ou réseau. La réputation de robustesse de la plateforme z/OS a créé un angle mort : on suppose que le mainframe est sûr par nature, et on oublie de le vérifier.

Or, les environnements mainframe modernes ne fonctionnent plus en vase clos. Ils sont connectés au cloud, exposés via des API, intégrés dans des architectures hybrides. Chaque point d’intégration crée une surface d’attaque que les contrôles traditionnels du mainframe ne couvrent pas toujours. Et les vulnérabilités existent bel et bien : des dizaines de CVE sont publiées chaque année sur z/OS, les mots de passe sont souvent limités à huit caractères pour des raisons historiques, et la ségrégation réseau entre le mainframe et les environnements corporate reste l’exception plutôt que la règle.

C’est exactement le type de décalage que nos audits permettent d’identifier et de corriger.

Ce que nous auditons

Audit de configuration z/OS

Nous passons au crible la configuration de sécurité de votre environnement mainframe : politiques RACF (ou ACF2/TopSecret), profils d’accès aux datasets critiques, paramètres système, règles de contrôle d’accès aux régions CICS et IMS, configuration SMF pour la traçabilité, et paramètres réseau. L’objectif est de vérifier que les bonnes pratiques sont effectivement implémentées et que les configurations par défaut – souvent trop permissives – ont été durcies conformément à vos exigences de sécurité.

Tests d'intrusion mainframe

Nos auditeurs simulent des attaques réelles contre votre environnement mainframe pour identifier les vulnérabilités exploitables. Le périmètre couvre l’exploitation des failles de configuration RACF, les tentatives d’élévation de privilèges via TSO/ISPF, les attaques sur les régions CICS, l’extraction de données non autorisée, et la recherche de chemins d’accès latéraux entre le mainframe et les systèmes distribués.

Nous mettons aussi en œuvre des tests spécifiques sur des applications transactionnelles CICS souvent jugées critiques. Ces tests permettent d’identifier des failles applicatives liées à des pratiques de développement non sécurisées, des failles dans la logique applicative mais aussi des vulnérabilités associées à des défauts de contrôle d’accès.

Ces types de tests exigent des compétences rares : nos pentesteurs maîtrisent z/OS, JCL, CICS, les mécanismes internes de RACF, les protocoles TN3270 et VTAM, et les spécificités de l’écosystème IBM Z.

Audit de la gestion des identités et des accès (IAM)

Nous évaluons la gouvernance de vos accès mainframe : revue des habilitations, application du principe du moindre privilège, gestion des comptes à privilèges, détection des comptes dormants, politique de mots de passe, déploiement de l’authentification multifacteur. L’IAM est souvent le premier maillon faible identifié lors de nos missions – et le plus rapide à renforcer.

Pourquoi faire appel à Digitemis

  • Une qualification au plus haut niveau
    Digitemis est qualifié PASSI LPM – Visa de Sécurité ANSSI, au niveau élevé et sur l’ensemble des cinq portées : audit organisationnel et physique, audit d’architecture, audit de configuration, audit de code source et tests d’intrusion. Cette qualification atteste que nos méthodes d’audit répondent aux exigences les plus strictes de l’ANSSI, y compris sur les systèmes d’information d’importance vitale (SIIV) d’opérateurs d’importance vitale (OIV).

  • Un positionnement de tiers de confiance
    Nous ne vendons pas de solutions technologiques, nous n’éditons pas de logiciels, nous ne sommes pas juge et partie. Notre rôle est de vous fournir une évaluation objective, indépendante et actionnable de la sécurité de votre mainframe.

  • Des auditeurs expérimentés
    Nos équipes combinent expertise mainframe (z/OS, RACF, CICS, JCL…) et méthodologies d’audit de cybersécurité éprouvées. C’est la combinaison de ces deux compétences rares qui fait la différence sur ce type de mission.

  • Un accompagnement au-delà du diagnostic
    Chaque audit débouche sur un plan de remédiation concret, priorisé par niveau de risque, avec des recommandations directement actionnables par vos équipes.

Pour qui

Nos audits de sécurité mainframe s’adressent aux organisations qui exploitent des environnements z/OS dans des contextes métier critiques, notamment dans les secteurs bancaire, assurance, industriel, énergie et secteur public. Ils répondent aux besoins des RSSI, DSI, responsables GRC et directions générales qui doivent sécuriser un périmètre mainframe, se conformer à des exigences réglementaires (DORA, NIS2, PCI DSS, RGPD, ISO 27001) ou répondre à une obligation d’audit imposée par un client, un régulateur ou un partenaire.

Cadrons ensemble votre besoin

Chaque environnement mainframe est unique : technologies déployées, niveaux de criticité, obligations réglementaires, maturité des équipes. C’est pourquoi nous commençons toujours par un cadrage précis de votre contexte et de votre analyse de risques, pour définir le bon périmètre et le bon niveau d’audit.

Ils nous font confiance

EDF
MAIF
Vinci
Suez
SNCF
Sodebo

informations

Contactez-nous

Un projet d’audit de sécurité sur vos environnements mainframe ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour cadrer ensemble le bon périmètre.

    *Informations obligatoires

    Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.

    Ce site est protégé par reCAPTCHA. La politique de confidentialité et les conditions d'utilisation de Google s'appliquent.

    Expertise liée

    Systèmes critiques

    Tests d’intrusion IBM i / AS 400

    Banque, assurance, logistique : le serveur IBM i (ex-AS 400) reste le socle de traitements critiques. Sa réputation de robustesse masque pourtant des risques concrets : profils all object, programmes interactifs mal signés, défaut de sécurisation des services réseaux… Le pentest IBM i Digitemis reproduit le mode opératoire d’un attaquant connaissant la plateforme, exploite les spécificités OS/400 et fournit un plan d’actions priorisé – sans perturber la production.

    ETIgrands comptes

    FAQ

    Questions fréquentes

    Si vous avez d’autres questions, n’hésitez pas à nous contacter directement !

    contactez-nous
    Quelle est la durée d'un audit de sécurité mainframe ?

    Comptez en général deux à quatre semaines pour la phase terrain, selon le périmètre retenu (configuration seule, tests d’intrusion, revue IAM ou combinaison des trois). Une semaine supplémentaire est consacrée à l’analyse et à la restitution. Le cadrage initial permet de définir un planning précis adapté à vos contraintes d’exploitation.

    Non. Les tests sont menés sans interruption de service. Nous excluons les techniques destructrices, convenons de fenêtres de tir pour les actions sensibles et travaillons en coordination étroite avec vos équipes d’exploitation. Nos auditeurs connaissent les spécificités de z/OS et savent exactement quelles actions sont sûres.

    Un rapport détaillé comprenant les vulnérabilités identifiées classées par criticité, les preuves d’exploitation, l’impact métier associé et un plan de remédiation priorisé avec des recommandations directement actionnables. Le rapport est conçu pour être exploitable par vos équipes techniques et compréhensible par vos décideurs.

    Oui. Un audit de sécurité mainframe contribue directement à votre conformité DORA (résilience opérationnelle, objectifs RTO/RPO), NIS 2 (gestion des risques, sécurité de la chaîne d’approvisionnement), PCI DSS (sécurisation des environnements traitant des données de paiement) et RGPD (protection des données personnelles). Notre qualification PASSI LPM – Visa de Sécurité ANSSI est reconnue par les régulateurs comme gage de rigueur méthodologique.

    cas client

    Découvrez notre approche

    cas client

    Découvrez notre approche projet