Audit de sécurité et test d’intrusion
LOOTUS SECURITY évalue le niveau de sécurité de vos environnements IoT/IT/OT et Web grâce à une approche globale et pragmatique sur l’ensemble du spectre de la cybersécurité. Nous combinons expertise technique, connaissance des référentiels de sécurité et capacité d’adaptation aux contraintes propres à chaque environnement.
Nous réalisons ainsi des audits techniques approfondis, des analyses d’écarts par rapport aux standards de sécurité. Chaque fin de cycle de développement donne lieu à une contre visite, afin d’évaluer l’intégrité des mesures de sécurité implémentées conformément aux recommandations apportées lors du rapport initial.
Notre accompagnement IOT / IT / OT et Web
Audit de sécurité IoT
Nous auditons la sécurité des équipements embarqués et connectés tels que des capteurs, dispositifs médicaux, smarts home. Nous proposons une évaluation adaptée aux exigences des normes soumises EN 303 645, EN 18031…
Nous intervenons sur l’ensemble de la chaîne de sécurité, du matériel au cloud afin de garantir la résilience des produits face aux menaces actuelles. Notre expertise pointue porte donc sur :
- L’analyse de firmwares (rétro-ingénierie, identification de backdoors)
- Tests de robustesse sur l’ensemble des protocoles de communication (I2C, SPI, UART, JTAG/SWD, CAN, BLE, Zigbee, LoRa, WiFi…)
- Évaluation des mécanismes d’authentification, de mise à jour et de chiffrement…
- La vérification de la conformité liée aux normes soumises.
Audit de sécurité IT/OT
LOOTUS SECURITY évalue la sécurité des environnements informatiques traditionnels, incluant les postes de travail, serveurs, équipements réseau, applications métiers développées en interne, ainsi que les infrastructures WiFi.
Nos équipes réalisent des tests d’intrusion sur différents périmètres techniques tels que réseaux internes et externes, services Web, infrastructures Active Directory ou encore campagnes de sensibilisation via des scénarios d’hameçonnage ciblés. Chaque intervention s’adapte au contexte organisationnel et repose sur une méthodologie rigoureuse et éprouvée.
Concernant les systèmes industriels, LOOTUS SECURITY adopte une approche spécifique, qui conjugue haut niveau d’exigence en cybersécurité et respect strict de la disponibilité opérationnelle. Nos audits s’appliquent donc aux automates programmables, aux équipements de terrain et aux réseaux industriels associés. Nous réalisons notamment des analyses de segmentation réseau, des tests ciblés sur les protocoles industriels, ainsi qu’une évaluation de la sécurisation des accès distants, de la supervision et des interfaces de pilotage.
Ces actions s’inscrivent dans le cadre des référentiels normatifs reconnus tels que IEC 62443-3 et IEC 62443-4, permettant de mesurer les écarts par rapport aux bonnes pratiques attendues. Notre objectif est de fournir une vision claire, priorisée et exploitable du niveau de sécurité de vos environnements informatiques et industriels.
Audit de sécurité Web
LOOTUS SECURITY propose des audits de sécurité et des tests d’intrusion Web conçus pour identifier et corriger efficacement les vulnérabilités avant qu’elles ne soient exploitées. En simulant des attaques réelles dans un cadre maîtrisé, nos experts évaluent en profondeur la résistance de vos applications face aux menaces actuelles.
Chaque intervention repose sur une méthodologie éprouvée, conforme aux standards de sécurité les plus exigeants (OWASP, ISO 27001, NIST), et adaptée à votre contexte métier. Que ce soit dans une approche boîte noire, grise ou blanche, nous mettons en œuvre une démarche offensive rigoureuse pour révéler les failles techniques, logiques ou organisationnelles, sans jamais compromettre la disponibilité de vos services.
Notre valeur ajoutée réside dans la précision de nos analyses, la clarté de nos rapports, et la pertinence des recommandations fournies, toujours orientées vers l’action. LOOTUS SECURITY allie expertise technique, confidentialité et compréhension fine de vos enjeux opérationnels.
Étude de cas
étude de cas IOT
Test d’instrusion sur équipement médical
Un client spécialisé dans la conception d’équipement de chirurgie nous a sollicités pour notre expertise dans le domaine du test d’intrusion sur des systèmes médicaux à base de vision stéréoscopique et des systèmes de navigations par trackers.
Afin d’avoir une prise en main du système, le début de la prestation a démarré par un échange technique avec l’ensemble des intervenants sur le projet afin de s’assurer du bon fonctionnement de l’équipement reçu. Les tests d’intrusions ont été à la fois sur la partie logicielle et matérielle du produit afin d’être le plus exhaustif possible sur les capacités de contournement du système.
Pour cela nous avons procédé en partie à des tests sur les accès physiques afin de rechercher d’éventuelles vulnérabilités dans les protocoles utilisés. Nous avons également évalué les processus de mise à jour et de collecte de données pour analyser l’ensemble des forces et faiblesses du système avec un scénario de menaces différentes. Le test d’intrusion a été réalisé sur un équipement déconnecté d’une production.
étude de cas IT / OT
Audit de sécurité logique et physique d’un barrage hydroélectrique
Un client opérant dans le secteur de l’énergie nous a sollicités pour conduire un audit de sécurité physique et logique du système informatique d’un barrage hydroélectrique.
L’objectif était d’évaluer le niveau de sécurisation de la configuration de l’automate principal en conditions réelles, lors d’une mission de 2 jours sur site. Nos experts ont analysé l’exposition du système aux risques internes et externes en identifiant les vecteurs potentiels d’attaque. L’audit a porté sur plusieurs couches : durcissement du réseau industriel, configuration du système d’exploitation, gestion des services et applications installées, sécurisation des accès physiques et contrôle des droits d’accès sur les machines hôtes.
Cette évaluation a permis de cartographier les faiblesses résiduelles et de formuler des recommandations concrètes pour renforcer la posture de cybersécurité du site.
étude de cas Web
Test d’intrusion d’une solution bancaires
Un client spécialisé dans des solutions bancaires nous a sollicités afin de réaliser un test d’intrusion sur leur application Web ainsi qu’un audit de sécurité de l’infrastructure de production.
L’objectif était d’évaluer le niveau de sécurité opérationnel d’une application Web vis-à-vis de l’état de l’art de la cybersécurité durant un test d’intrusion en boîte grise. Le référentiel de l’OWASP nous permet d’évaluer les vulnérabilités les plus communément admises et de nous assurer qu’aucune d’entre elles n’est compromise.
Dans un second temps, l’objectif était de procéder à un échange en visioconférence durant 1 journée afin de faire une rétrospective de l’environnement de l’infrastructure de production du client. Pour cela, nous avons analysé l’ensemble de la documentation technique et interrogé l’équipe technique sur les processus mis en place.
Méthodologie
Nos méthodologies s’appuient sur les référentiels reconnus et visent à qualifier précisément le niveau d’exposition aux menaces, à mesurer les écarts par rapport à l’état de l’art et à recommander des mesures correctives pragmatiques et priorisées.
Nos évaluations intègrent les spécificités des environnements, des contraintes de disponibilité dans les systèmes OT, ainsi que les vecteurs d’attaque propres aux dispositifs embarqués. Ces méthodologies éprouvées identifient les vulnérabilités à chaque couche (cryptographie, architecture réseau, firmware, middleware, applicatif (interne ou Web), code, durcissement de configuration, documentation…) et fournissent une cartographie claire des risques avec recommandations concrètes, contextualisées et classées par criticité.
Boite noire
Peu de connaissances du système
Superficielle1-2 jours< 2000 € HT
Hors frais de déplacement
Boite grise
Hors frais de déplacement
Boite blanche
Hors frais de déplacement
Test d’intrusion
Intervention dite en “Boîte noire ou grise” pour laquelle le comportement de notre expert est cette fois-ci plus offensif, en prenant la position d’une personne malveillante et en analysant un périmètre plus restreint.
L’objectif est alors d’évaluer la robustesse d’une plateforme ou d’un système sans la moindre information ou en disposant d’un accès faible de droit tel qu’un utilisateur ou un stagiaire.
L’évaluation de notre expertise est apposée grâce au standard de notation CVSS 3.1
Audit de sécurité
Intervention dite en “Boîte Blanche”, correspondant à une analyse principalement documentaire et par des échanges techniques, d’un périmètre en s’appuyant sur des normes et l’état de l’art de la cybersécurité (OWASP, CVE…).
Nous vérifions par exemple la version du système, des échanges réseau, de la manière de déployer. À cela, nous rendons compte de la qualité de la sécurité des données dans le périmètre afin que notre client ait connaissance du niveau de sécurité de son système ou produit. Il est également possible de procéder à un audit de code pour plus d’exhaustivité.
Lootus Academy
Retrouvez l’ensemble de nos formations dédiées à la cybersécurité proposées par notre centre de formation Lootus Academy.