digitemis 
Sécurité offensive
Gouvernance & conformité
Protection des données
Tests d’intrusion IBM i / AS 400
Pourquoi auditer un IBM i ? La plupart des équipes considèrent encore l’OS400 comme un « système fermé ». Pourtant, l’ouverture aux API REST, l’intégration SFTP ou l’exposition ODBC multiplient les points d’entrée. Un test dédié mesure la solidité des contrôles d’accès, la qualité du cloisonnement librairie / fichier, la traçabilité QAUDJRN et l’efficacité des […]
Campagnes de smishing
Pourquoi simuler une campagne de smishing ? Le canal mobile échappe souvent aux filtres antispam et touche directement la poche (notifications, iMessage, RCS). Tester ce vecteur permet de : quantifier le taux d’ouverture, de clic et de saisie de données ; vérifier la détection par le SOC ou l’équipe fraude ; évaluer l’efficacité des consignes […]
Campagnes de vishing
Pourquoi organiser une campagne de vishing ? L’authentification multifactorielle et le filtrage des e-mails limitent le phishing, mais le téléphone reste un canal direct où la pression sociale joue à plein. Un scénario d’appel ciblé montre comment un attaquant pourrait obtenir un code OTP, un accès VPN temporaire ou la validation d’un virement ; il […]
Campagnes de phishing
Une campagne de phishing pour évaluer le niveau de sensibilisation de vos collaborateurs Assurer la sécurité technique et périmétrique du système d’information ne protège pas contre toutes les menaces. Les attaques d’ingénierie sociale, c’est-à-dire consistant à exploiter non pas une faille informatique, mais une faille humaine, sont un vecteur très prisé des attaquants. Une des formes les plus […]
Audit de configuration
L’audit de configuration pour durcir la sécurité de votre périmètre L’audit de configuration a pour vocation de vérifier la mise en œuvre de pratiques de sécurité conformes à l’état de l’art (bonnes pratiques, guides de configuration, etc.), aux exigences et règles internes de l’audité en matière de configuration des dispositifs matériels et logiciels déployés dans un système d’information. Complémentaire de l’audit de […]
Audit de code
L’audit de code pour identifier les vulnérabilités présentes dans le code de vos applications L’audit de code permet, en plus d’évaluer en profondeur le niveau de sécurité d’une application, d’identifier d’éventuelles mauvaises pratiques de programmation. Complémentaire de l’audit de configuration et des tests d’intrusion qui permettent d’évaluer la sécurité du point de vue de l’attaquant, la revue du […]
Audit Red Team
La réalisation d’un Red Team sert à évaluer la sécurité globale de votre entreprise : technique, organisationnelle et humaine Les systèmes d’information des entreprises sont complexes et perméables. Il est donc important de venir éprouver ces derniers avec des tests d’intrusion externes et internes. Pour autant, afin d’aller plus loin dans la démarche et de se mettre à […]
Tests d’intrusion mobile
Pourquoi tester vos applications mobiles ? Le marché impose des mises à jour fréquentes ; pourtant, chaque nouvelle fonctionnalité peut introduire un risque : token persistant dans le keystore , base SQLite accessible, endpoint GraphQL sans contrôle d’accès, attestation d’intégrité contournée. Un pentest mobile met en évidence ces scénarios, mesure l’impact business (vol de données, […]
Tests d’intrusion web
Pourquoi réaliser un pentest web ? Les scanners automatiques détectent les failles évidentes, mais ils passent à côté des enchaînements subtils : élévation de privilèges après changement de rôle, dérivation de workflow ou combinaison d’injections dans plusieurs modules. Un test mené par un auditeur expérimenté parcourt l’application comme le ferait un utilisateur – création de […]
Tests d’intrusion internes
Le test d’intrusion interne sert à évaluer le niveau de sécurité et de résilience de votre réseau interne Les profils d’attaquants simulés lors d’un test d’intrusion sont ceux d’une personne extérieure étant parvenu à s’introduire dans les locaux de l’entreprise et tentant de se connecter au réseau (boîte noire) ou d’un collaborateur malveillant ou dont le compte à été […]