Search Results for:
À propos
À propos de Orenda Security®
Orenda Security® est une firme de sécurité informatique d’élite fondée sur un esprit d’intégrité et de partenariat avec notre équipe et, surtout, nos clients.
Un groupe polyvalent de professionnels internationaux en sécurité se sont réunis et ont établi un partenariat afin d’avoir un impact positif et durable sur l’industrie de la sécurité. Avec un large éventail de compétences et d’expérience dans la sécurisation d’entreprises multinationales, dans plusieurs secteurs verticaux, une opportunité remarquable s’est présentée de livrer une valeur ajoutée unique à nos clients.
Notre équipe hautement qualifiée a réalisé des milliers d’évaluations de sécurité et de tests d’intrusion pour des entreprises, grandes et petites. Nous avons aidé nos clients à obtenir une tranquillité d’esprit en sécurisant leurs produits et services. Mais surtout, chaque membre de l’équipe jouit d’une excellente réputation dans la prestation de solutions de sécurité fiables et permanentes pour répondre aux besoins évolutifs de sécurité et d’affaires de nos clients.
Établissez un partenariat avec Orenda Security dès maintenant!
Notre passion pour notre travail, notre personnel et nos clients nous motive à être beaucoup plus qu’un simple fournisseur de sécurité. Nous nous distinguons des fournisseurs de sécurité en établissant un partenariat fiable avec vous pour protéger votre entreprise et vos clients. En tant que vos conseillers de confiance en sécurité, nous nous spécialisons dans l’identification de menaces qui pourraient s’attaquer à vos produits, services, systèmes et applications. Nous travaillons avec vous pour développer un plan fiable de remédiation et pour ultimement implanter une stratégie de protection en profondeur.
CERTIFICATIONS
Nous détenons fièrement les certifications suivantes de l’industrie, relatives à la sécurité des données et aux tests d’intrusion. L’évaluation de la sécurité de votre réseau externe comprend plusieurs étapes. Les principales étapes incluent:
OSCP
CCSP
CISM
CISSP
OSWP
CIPP/IT
GIAC GWAPT
GIAC GPEN
Nous sommes fiers d’annoncer qu’Orenda Security est accréditée par le CREST pour ses services de tests d’intrusion de haute qualité.
Nous sommes désormais accrédités en tant que Consultants Cloud de Confiance, prêts à renforcer votre sécurité cloud avec l’expertise et les meilleures pratiques de la CSA. »
Découvrez nos services en:
CONTACTEZ-NOUS!
Contactez-nous pour en apprendre davantage sur les renseignements en sécurité.
Témoignages
L’HISTOIRE ET L’ÉQUIPE
DERRIÈRE ORENDA SECURITY ®
Orenda Security ® est une firme de sécurité informatique d’élite fondée sur un esprit d’intégrité et de partenariat avec notre équipe et, surtout, nos clients.
Contact
Contact Orenda Security®
Les services d’évaluation d’Orenda Security® simulent des tentatives réelles de percer vos réseaux accessibles de l’externe.
Pour les ventes et les demandes de renseignements généraux
Témoignages
L’HISTOIRE ET L’ÉQUIPE
DERRIÈRE ORENDA SECURITY ®
Orenda Security ® est une firme de sécurité informatique d’élite fondée sur un esprit d’intégrité et de partenariat avec notre équipe et, surtout, nos clients.
Solutions de sécurité infonuagique
Solutions de sécurité infonuagique
Les services d’évaluation de Orenda Security simulent des tentatives réelles d’intrusion dans vos réseaux, applications et environnements infonuagiques.
Le nuage a un impact sur la plupart des industries et devient rapidement l’infrastructure de toutes les autres formes de technologies de l’information, telles que les appareils mobiles, l’internet des objets et les futures technologies qui n‘ont pas encore été inventées. Alors que les gouvernements, les entreprises et les consommateurs adoptent l’infonuagique, il importe plus que jamais de s’assurer que le nuage soit une plateforme de confiance, sûre, sécuritaire et transparente. Il est plus que jamais important d’identifier et de traiter les risques de sécurité que pose l’adoption du nuage. Nous pouvons vous aider à évaluer et tester la sécurité pour vous procurer l’assurance de risques dont vous avez besoin.
Infrastructure et applications infonuagiques
L’évaluation de la sécurité couvre l’intégration du réseau corporatif, les applications et l’infrastructure infonuagique. Nos services prennent en considération les spécificités de votre infrastructure infonuagique en tant que IaaS (Infrastructure comme service), PaaS (Plateforme comme service) ou SaaS (Logiciel comme service).
Orenda Security a une grande expérience en évaluation de déploiements infonuagiques. Nous pouvons évaluer l’efficacité de vos contrôles de sécurité et déterminer s’ils ont été implantés adéquatement. Nous aiderons votre équipe à réaliser comment facile ou difficile il serait pour un cyberprédateur de percer vos défenses et à en réaliser les impacts potentiels. Notre vérification a également pour but de s’assurer que vous rencontrez les exigences de conformité et les règlementations.
Nous déterminerons les étapes spécifiques que vous devriez prendre pour déplacer sécuritairement tout processus d’affaires vers le nuage, identifier les contrôles de sécurité qui sont disponibles, et définir comment ils devraient être déployés pour mitiger les risques et établir des critères de contrôle pour les fournisseurs de services infonuagiques et les différentes classes de données.
Services d’évaluation et de tests:
Découvrez nos services en:
CONTACTEZ-NOUS!
Contactez-nous pour en apprendre davantage sur les renseignements en sécurité.
Témoignages
L’HISTOIRE ET L’ÉQUIPE
DERRIÈRE ORENDA SECURITY ®
Orenda Security ® est une firme de sécurité informatique d’élite fondée sur un esprit d’intégrité et de partenariat avec notre équipe et, surtout, nos clients.
Évaluation de la vulnérabilité
Évaluation des vulnérabilités
Travaillez en partenariat avec Orenda Security pour mettre en place votre programme d’évaluation et de gestion des vulnérabilités. La gestion des vulnérabilités fait partie intégrante d’une forte posture de sécurité. Laissez nos professionnels chevronnés, qui ont déjà conçu et implanté des systèmes de gestion des vulnérabilités, vous aider.
Évaluation des vulnérabilités (VA) et gestion des vulnérabilités (VM)
Une évaluation des vulnérabilités offre une représentation précise de la posture de sécurité d’une organisation à un moment précis. Ce n’est cependant pas suffisant. Il doit y avoir un mécanisme intégré aux procédures pour s’assurer que le processus d’évaluation des vulnérabilités se poursuive sur une base continue. C’est la seule façon de minimiser réellement le risque global.
LES PRINCIPAUX AVANTAGES DE LA GESTION DÉLÉGUÉE DES VULNÉRABILITÉS DE ORENDA SECURITY INCLUENT:
- Mise en place et/ou ajustements des systèmes de gestion des vulnérabilités pour réaliser un balayage d’actifs qui fait du sens pour vos opérations d’affaires
- S’assurer d’obtenir le moins de faux-positifs possible
- Création de tableaux de bords utiles qui permettent de dégager des mesures réalisables
- S’assurer que vos risques d’affaires tolérables soient reflétés dans les rapports
- Accès aux vulnérabilités
- Experts en gestion
- Prix compétitifs
CONTACTEZ-NOUS!
Contactez-nous pour en apprendre davantage sur les renseignements en sécurité.
Découvrez nos services en:
Témoignages
L’HISTOIRE ET L’ÉQUIPE
DERRIÈRE ORENDA SECURITY ®
Orenda Security ® est une firme de sécurité informatique d’élite fondée sur un esprit d’intégrité et de partenariat avec notre équipe et, surtout, nos clients.
Modélisation de menaces
Modélisation de menaces
Travaillez en partenariat avec Orenda Security pour débuter avec la modélisation de menaces. La modélisation de menaces peut sembler un concept abstrait aujourd’hui mais nos professionnels ont une expérience éprouvée dans le développement de ces habiletés dans plusieurs environnements, industries et modèles de livraison. Nos professionnels en modélisation de menaces accompagnent votre équipe dans chaque étape d’apprentissage et de pratique pour rencontrer vos processus et modèles de livraison.
LES PRINCIPAUX AVANTAGES DE LA MODÉLISATION DE MENACES DE ORENDA SECURITY INCLUENT:
- Conseils sur la mise en place au sein de vos équipes
- Formation aux équipes pour qu’elles commencent à produire de réels diagrammes de flots de données et des arbres d’attaque (attack trees)
- Soutien et conseils sur les outils afin de produire tout artéfact requis ou simplement rappeler un statut de sécurité désiré
- Soutien et mentorat continu alors que les équipes progressent dans leurs tâches
- Prix compétitifs
CONTACTEZ-NOUS!
Contactez-nous pour en apprendre davantage sur les renseignements en sécurité.
Découvrez nos services en:
Témoignages
L’HISTOIRE ET L’ÉQUIPE
DERRIÈRE ORENDA SECURITY ®
Orenda Security ® est une firme de sécurité informatique d’élite fondée sur un esprit d’intégrité et de partenariat avec notre équipe et, surtout, nos clients.
Tests statiques de sécurité des applications (SAST)
Tests statiques de sécurité des applications (SAST)
Travaillez en partenariat avec Orenda Security pour vos besoins de tests statiques de sécurité des applications (SAST). Que vous ayez besoin de tests SAST maintenant ou que vous ayez un outil en tête et une vision sur comment vous aimeriez l’implanter, ou si vous avez besoin d’aide pour démarrer, laissez nos professionnels en sécurité des applications vous aidez à instaurer votre sécurité.
LES PRINCIPAUX AVANTAGES DES TESTS STATIQUES DE SÉCURITÉ DES APPLICATIONS (SAST) DE ORENDA SECURITY INCLUENT:
- Conseils dans le choix des outils appropriés à intégrer dans VOS processus
- Conseils lors de la mise en place des outils sélectionnés et développement de la formation sur ces outils
- Préparation des outils pour produire le plus bas taux de faux-positifs possible
- Analyse de mesures réalisables
- Mesures basées sur les risques
- Accès à des experts en SAST
- Prix compétitifs
CONTACTEZ-NOUS!
Contactez-nous pour en apprendre davantage sur les renseignements en sécurité.
Découvrez nos services en:
Témoignages
L’HISTOIRE ET L’ÉQUIPE
DERRIÈRE ORENDA SECURITY ®
Orenda Security ® est une firme de sécurité informatique d’élite fondée sur un esprit d’intégrité et de partenariat avec notre équipe et, surtout, nos clients.
Tests dynamiques de sécurité des applications (DAST)
Tests dynamiques de sécurité des applications (DAST)
Travaillez en partenariat avec Orenda Security pour vos tests dynamiques continus de sécurité des applications (DAST) et vous aurez accès à des professionnels de la sécurité qui vous guideront pour sécuriser vos applications. Donnez des outils à votre équipe de développement et maintenez la rapidité de livraison de vos applications.
LES PRINCIPAUX AVANTAGES DES TESTS DYNAMIQUES DÉLÉGUÉS DE SÉCURITÉ DES APPLICATIONS (DAST) DE ORENDA SECURITY INCLUENT:
- Évaluations continues
- Résultats validés (pratiquement aucun faux-positif)
- Rapports de mesures réalisables
- Analyse des tendances
- Mesures basées sur les risques
- Accès à des experts en sécurité
- Prix compétitifs
CONTACTEZ-NOUS!
Contactez-nous pour en apprendre davantage sur les renseignements en sécurité.
Découvrez nos services en:
Témoignages
L’HISTOIRE ET L’ÉQUIPE
DERRIÈRE ORENDA SECURITY ®
Orenda Security ® est une firme de sécurité informatique d’élite fondée sur un esprit d’intégrité et de partenariat avec notre équipe et, surtout, nos clients.
Services d’évaluation de la sécurité des applications
Services d’évaluation de la sécurité des applications
Les services d’évaluation de la sécurité des applications de Orenda Security sont personnalisés pour vous aider à sécuriser les applications essentielles à vos affaires et assurer leur conformité avec les exigences de sécurité de votre industrie.
La sécurisation des applications représente un défi plus grand que jamais alors que la rapidité de développement des applications continue d’augmenter. L’adoption des technologies infonuagiques, les pratiques de développement agile, le devops et les nouvelles technologies offrent tous une valeur d’affaires intéressante, mais la vitesse des changements a un impact important sur la capacité de sécuriser adéquatement les applications essentielles aux affaires. Une stratégie adéquate d’évaluation de la sécurité, incluant des tests manuels et automatisés durant le cycle de développement des systèmes (SDLC) et en production, est essentielle pour mitiger les risques; notre équipe peut vous aider en développant et en réalisant une solution de tests personnalisée pour répondre à vos besoins d’affaires.
Processus de tests d’intrusion
Les tests d’intrusion et l’évaluation des vulnérabilités du système et du réseau d’infrastructure sont essentiels pour déceler les vulnérabilités de sécurité qui sont utilisées pour lancer une cyberattaque via l’internet. Les tests de réseau interne ou l’évaluation de sécurité des systèmes faisant face à l’internet permettent de découvrir les services de réseau vulnérables qui peuvent être exploités par des sources inconnues de menaces.
Phase 1
Profilage et découverte
À cette étape, le profilage de l’application web ciblée est réalisé en identifiant les points d’accès des utilisateurs, en obtenant une compréhension des mécanismes de sécurité de base utilisés par l’application, ainsi que les interface avec les applications internes ou externes, en identifiant les rôles avec des niveaux de confiance variables et en déterminant le flux de données avec indication sur les limites de privilège.
Phase 2
Balayage automatisé de la sécurité des applications
Des scanners automatisés de vulnérabilités d’application (commerciaux ou de code source libre) sont utilisés pour détecter des vulnérabilités spécifiques aux applications, selon toutes les références OWASP, WASC et SANS.
Phase 3
Détermination des vulnérabilités des applications
Cette étape implique une approche hybride complète d’identification des vulnérabilités de sécurité des applications web à l’aide d’outils et de scripts automatisés, ainsi qu’une évaluation manuelle pour éliminer les faux-positifs et les faux-négatifs. L’évaluation manuelle utilise différentes bases de données de vulnérabilités pour identifier les vulnérabilités qui n’auraient pas été détectées pendant le balayage automatisé, en plus de vérifier la sécurité des failles de logique d’affaires, les contrôles d’accès rompus et plus.
Phase 4
Exploitation des vulnérabilités des applications
L’objectif principal de cette phase est d’utiliser des techniques manuelles de tests de sécurité pour exploiter les systèmes qui comprennent plusieurs exploits pour évaluer les mesures de renforcement des applications, les enjeux de cryptographie, les contrôles d’authentification et d’autorisation, le module de gestion des sessions, les failles de logique d’affaires et différentes mesures de validation. Les scénarios d’attaque des environnements de production utiliseront une combinaison de charge d’exploits en strict accord avec les règles établies du mandat.
Phase 5
Rapports
Toutes les vulnérabilités de sécurité exploitables de l’application web ciblée sont enregistrées avec leurs valeurs CVSS v2 associées et consignées dans un rapport. Les vulnérabilités de sécurité identifiées sont évaluées minutieusement et consignées dans un rapport avec les mesures de mitigation ou les recommandations appropriées.
Phase 6
Remédiation et réévaluation
La remédiation implique l’assistance pour remédier aux vulnérabilités de sécurité des applications qui ont été identifiées. Après la remédiation, une réévaluation sera réalisée afin de valider l’efficacité des contremesures de sécurité des applications utilisées pour mitiger les vulnérabilités de sécurité mentionnées dans le rapport.
Applications web
Notre équipe commence par une évaluation de la conception de votre application web et évalue la probabilité de rencontrer des enjeux de sécurité par une analyse de la modélisation des menaces. Les tests manuels sont la principale méthode de test utilisée mais des tests d’intrusion automatisés sont également réalisés. Orenda Security mettra l’emphase sur l’attaque, la modification et le détournement des interactions client-serveur, les services web et les APIs utilisés par les applications, et pourra même cibler les données d’entreprise utilisées dans vos systèmes de bases de données.
Nos experts dévoués trouveront et tenteront d’exploiter les failles de sécurité qui pourraient permettre l’élévation de privilèges, la divulgation de renseignements confidentiels, l’injection de code malveillant à l’intérieur de composantes fiables, des failles de logique et d’autres conditions habituellement reconnues pour présenter des vulnérabilités de sécurité. Cette approche nous permet d’identifier tous les vecteurs d’attaque existants et de démontrer les impacts qu’aurait une attaque réelle. Orenda Security classe les vulnérabilités selon la plus récente liste de l’OWASP des 10 plus importantes failles de sécurité des applications web. Les étapes principales incluent : L’évaluation de la sécurité de votre réseau externe comprend plusieurs étapes. Les principales étapes incluent :
Applications mobiles
Les tests d’intrusion d’applications mobiles de Orenda Security sont exhaustifs et débutent par une revue des documents techniques de conception, des diagrammes de processus et de l’architecture de sécurité des applications, afin d’identifier les surfaces d’attaque des applications.
Les vulnérabilités identifiées sont représentées selon la liste des 10 plus importantes failles de sécurité des applications de l’OWASP:
Découvrez nos services en:
CONTACTEZ-NOUS!
Contactez-nous pour en apprendre davantage sur les renseignements en sécurité.
Témoignages
L’HISTOIRE ET L’ÉQUIPE
DERRIÈRE ORENDA SECURITY ®
Orenda Security ® est une firme de sécurité informatique d’élite fondée sur un esprit d’intégrité et de partenariat avec notre équipe et, surtout, nos clients.
Services de tests d’intrusion
Services de tests d’intrusion
Les services d’évaluation d’Orenda Security simulent des tentatives réelles d’intrusion dans vos réseaux, applications et environnements infonuagiques.
Orenda Security offre des tests d’intrusion de grande qualité qui simulent les activités de réels cyberprédateurs pour trouver des vulnérabilités dans les systèmes ciblés et les exploiter dans des circonstances contrôlées. Nous utilisons notre expertise technique pour déterminer et documenter les risques et les impacts d’affaires potentiels, de façon professionnelle et sécuritaire, en accord avec la portée et les règles du mandat soigneusement établies, et avec pour objectif d’aider les organisations à prioriser leurs ressources dans l’amélioration de leur posture de sécurité. Nous personnalisons notre offre de tests d’intrusion pour nous assurer de rencontrer vos exigences de conformité, telles que les exigences de tests d’intrusion PCI DSS.
Processus de tests d’intrusion
Les tests d’intrusion et l’évaluation des vulnérabilités du système et du réseau d’infrastructure sont essentiels pour déceler les vulnérabilités de sécurité qui sont utilisées pour lancer une cyberattaque via l’internet. Les tests de réseau interne ou l’évaluation de sécurité des systèmes faisant face à l’internet aident à découvrir les services de réseau vulnérables qui peuvent être exploités par des sources inconnues de menaces.
Phase 1
Profilage et découverte
Cette étape implique l’utilisation de plusieurs outils de balayage pour identifier les serveurs et services actifs, incluant la cartographie du réseau, le banner grabbing, l’identification du système d’exploitation (OS fingerprinting), l’identification des services, la découverte des protocoles et les versions supportées.
Phase 2
Évaluation de la sécurité de l’infrastructure
L’étape d’évaluation implique le balayage automatisé des vulnérabilités dans les services réseau, les systèmes d’information et les contrôles de sécurité du périmètre par des outils d’entreprise les plus à jour. De plus, des analyses manuelles permettent de vérifier les résultats du balayage automatisé afin d’éliminer les faux-positifs.
Phase 3
Exploitation des vulnérabilités de l’infrastructure
Cette étape utilise l’information recueillie sur les services et ports actifs et les vulnérabilités qui y sont reliées pour exploiter, en toute sécurité, les services à risque. Les scénarios d’attaque des environnements de production utiliseront une combinaison de charge d’exploits en accord avec les règles établies du mandat.
Phase 4
Rapports
Toutes les vulnérabilités de sécurité exploitables du système ciblé sont enregistrées avec leurs valeurs CVSS v2 associées. Les vulnérabilités de sécurité identifiées sont évaluées minutieusement et consignées dans un rapport avec les mesures de mitigation ou les recommandations appropriées.
Phase 5
Remédiation et réévaluation
La remédiation implique de l’assistance pour remédier aux vulnérabilités de sécurité de l’infrastructure qui ont été identifiées. Après la remédiation, une réévaluation sera réalisée afin de valider l’efficacité des contremesures de contrôle des TI utilisées pour mitiger les vulnérabilités de sécurité mentionnées dans le rapport.
Réseau et
infrastructure
Pendant un test d’intrusion de réseau, nous tentons de percer le périmètre de votre réseau en exposant des faiblesses des serveurs et des appareils réseau. Nous utilisons notre accès initial à votre réseau pour sonder le cœur du réseau et les appareils associés. Nous procédons ensuite à une étude à l’intérieur du périmètre pour identifier des méthodes additionnelles pouvant compromettre les défenses de votre réseau.
L’évaluation de la sécurité de votre réseau externe comprend plusieurs étapes.
Les principales étapes incluent:
Tests d’intrusion interne
Mettre l’emphase sur l’exploitation de l’infrastructure et des services privés ou accessibles de l’interne qui peuvent poser un haut risque pour les applications et les systèmes essentiels à votre entreprise. L’évaluation de la sécurité de votre réseau externe comprend plusieurs étapes. Les principales étapes incluent:
Tests d’intrusion externe
Nous mettons l’emphase sur l’exploitation de l’infrastructure et des services accessibles de l’internet décrits ci-dessous. Il faut rester vigilants avec les services et systèmes externes car ils sont les cibles constantes des pirates informatiques en tant que points d’accès des systèmes qui hébergent des renseignements sensibles. En étudiant l’architecture de votre réseau externe et les services qui sont accessibles de l’internet, nous pouvons mieux identifier les menaces et les risques spécifiques à votre environnement d’affaires. Les cibles externes courantes incluent :
Tester l’internet des objets (IoT)
L’infrastructure et les appareils IoT sont déployés partout, des résidences aux infrastructures critiques. Les tests d’intrusion de Orenda Security abordent ces tests en étudiant les interactions entre les différentes composantes et en sécurisant chacune.
Selon la portée et les cibles spécifiques, les tâches et les composantes suivantes pourraient être évaluées:
Découvrez nos services en:
CONTACTEZ-NOUS!
Contactez-nous pour en apprendre davantage sur les renseignements en sécurité.
Témoignages
L’HISTOIRE ET L’ÉQUIPE
DERRIÈRE ORENDA SECURITY ®
Orenda Security ® est une firme de sécurité informatique d’élite fondée sur un esprit d’intégrité et de partenariat avec notre équipe et, surtout, nos clients.