Sécurité offensive

Tests d’intrusion IBM i / AS 400

Banque, assurance, logistique : le serveur IBM i (ex-AS 400) reste le socle de traitements critiques. Sa réputation de robustesse masque pourtant des risques concrets : profils all object, programmes interactifs mal signés, défaut de sécurisation des services réseaux… Le pentest IBM i Digitemis reproduit le mode opératoire d’un attaquant connaissant la plateforme, exploite les spécificités OS/400 et fournit un plan d’actions priorisé – sans perturber la production.

ETIgrands comptes
Logo

Pourquoi auditer un IBM i ?

La plupart des équipes considèrent encore l’OS400 comme un « système fermé ». Pourtant, l’ouverture aux API REST, l’intégration SFTP ou l’exposition ODBC multiplient les points d’entrée. Un test dédié mesure la solidité des contrôles d’accès, la qualité du cloisonnement librairie / fichier, la traçabilité QAUDJRN et l’efficacité des journaux de sécurité. Vous obtenez une vision claire du risque, des correctifs adaptés au cycle de changement et un rapport compréhensible pour l’équipe iSeries comme pour le RSSI.

Méthodologie certifiée PASSI

Nous commençons par la découverte passive : inventaire des profils, objets sensibles, ports ouverts (5250, 22, 8470). L’analyse statique vérifie les attributs USRPRF, l’usage des commandes privilégiées, les objets PUBLIC. L’exploitation manuelle cible l’élévation de privilèges via SQL CLI, la capture de sessions 5250 ou le détournement de programmes adoptant des autorités critiques. L’impact est quantifié — accès all libraries, exfiltration DB2, modification d’un fichier comptable. Un re-test confirme la mise en place des correctifs critiques.

Ils nous font confiance

EDF
MAIF
Vinci
Suez
SNCF
Sodebo

Scénarios testés le plus souvent

Profils & autorisations

Élévation via profils adoptants, all object, dérives QSECOFR.

Interfaces réseau

5250 non chiffré, Telnet actif, SSH mal durci, services NetServer.

Base DB2 & journaux

Injection SQL CLI, lecture QAUDJRN, exfiltration fichiers production.

informations

Contactez-nous

Besoin d’une expertise IBM i / AS 400 ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

    *Informations obligatoires

    Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.

    Ce site est protégé par reCAPTCHA. La politique de confidentialité et les conditions d'utilisation de Google s'appliquent.

    Expertise liée

    Systèmes critiques

    Audit de sécurité mainframe IBM

    Évaluer, tester et renforcer la sécurité de vos environnements z/OS.

    ETIgrands comptes

    FAQ

    Questions fréquentes

    Si vous avez d’autres questions, n’hésitez pas à nous contacter directement !

    contactez-nous
    Le test nécessite-t-il un accès QSECOFR ?

    Non ; nous démarrons avec un profil utilisateur standard pour reproduire l’attaque réaliste, puis nous vérifions l’élévation de privilèges.

    Les opérations de charge sont planifiées hors horaires critiques. Les commandes potentiellement disruptives (RTVOBJLCK, ENDJOB) ne sont jamais exécutées en production.

    Le périmètre couvre le système et peut inclure un échantillon RPG / ILE pour rechercher des commandes adoptantes risquées ou des appels QCMDEXC.

    Nous fournissons la liste cumulative PTF/Groupes requis ; l’application reste sous le contrôle de votre centre d’exploitation IBM i.

    cas client

    Découvrez notre approche

    cas client

    Découvrez notre approche projet