IT Sicherheit – frischer Wind
IT security – a breath of fresh air
Sécurité informatique – un vent de fraîcheur
Seguridad informática – un soplo de aire fresco
Hacker sind kreativ und finden immer neue Wege in Unternehmen einzudringen. Um Angreifern weiterhin einen Schritt voraus zu sein, braucht es immer wieder neue Ideen.

KALWEIT ITS – Wir bringen frischen Wind.
Hackers are creative and always find new ways to penetrate companies. To stay one step ahead of attackers, new ideas are always needed.

KALWEIT ITS – We bring a breath of fresh air.
Les pirates informatiques sont créatifs et trouvent toujours de nouveaux moyens de s'introduire dans les entreprises. Pour garder une longueur d'avance sur les attaquants, il faut sans cesse de nouvelles idées.

KALWEIT ITS – Nous apportons un vent de fraîcheur.
Los hackers son creativos y siempre encuentran nuevas formas de penetrar en las empresas. Para estar un paso por delante de los atacantes, siempre se necesitan nuevas ideas.

KALWEIT ITS – Traemos un soplo de aire fresco.

Test de pénétration

La discipline reine

Test d’intrusion Red Teaming

Les stratégies de sécurité informatique reposent sur les piliers élémentaires de la prévention, de la détection et de la réaction. L’infrastructure informatique devrait être à la pointe de la technologie, une culture de la sécurité informatique appropriée devrait être entretenue, la sécurité informatique physique devrait être garantie.

Mais toutes vos stratégies de sécurité résistent-elles à une attaque ? De nombreux concepts de sécurité semblent séduisants en théorie, mais échouent dans la pratique. Il est rarement possible d’évaluer lesquelles sont réellement efficaces sans un examen pratique.
Il est temps de vérifier si vos mesures de sécurité sont également amorties.

Les attaquants choisissent généralement le maillon le plus vulnérable d’une chaîne – ce n’est pas forcément l’informatique. Il est souvent possible d’utiliser des vecteurs d’attaque dans la sécurité informatique physique ou même dans la culture de sécurité de l’entreprise pour obtenir des informations à protéger. Dans le cadre du test d’intrusion Red Teaming, nous examinons votre entreprise dans son ensemble – avec tous les moyens dont pourrait disposer un agresseur potentiel.

Vous obtenez ainsi un aperçu réaliste de la capacité de défense et de réaction de votre entreprise.

Les pirates peuvent passer en moyenne 56 jours dans des réseaux d’entreprise étrangers avant d’être détectés.
(s’applique à la zone économique EMEA)

Nous effectuons un contrôle global :

Technique Nous menons des attaques contre l’informatique de votre entreprise.
Personnes Nous examinons la manière dont vos collaborateurs réagissent aux attaques réelles de pirates informatiques.
La sécurité informatique est-elle vraiment vécue dans le cadre de la culture d’entreprise ?
Sécurité informatique physique Nous vérifions comment les bâtiments de votre entreprise, les salles de serveurs ainsi que d’autres installations importantes de votre entreprise sont sécurisés.
Normes reconnues Nous travaillons selon des normes reconnues telles que ISECOM OSSTMM, PTES, OWASP Testing Guide ainsi que les directives et recommandations du TIBER-EU Framework de la Banque centrale européenne. En outre, tous nos contrôles de sécurité sont basés sur les recommandations de l’Office fédéral de la sécurité des technologies de l’information. En outre, nos projets sont assurés pour les pertes financières ainsi que pour les dommages corporels et matériels.

Test de pénétration

Les tests d’intrusion ne permettent pas seulement de trouver des failles de sécurité, mais aussi d’économiser de l’argent.
Le coût moyen par incident de sécurité était de 3,86 millions de dollars.

(monde entier, année 2018)

Ce que nous savons

Nous ne fournissons pas d’hypothèses, mais la clarté de savoir exactement ce qu’il faut (encore) faire. Nous aidons les entreprises à déterminer de manière indépendante et sans compromis la situation réelle de leur sécurité informatique. Pour ce faire, nous agissons comme des agresseurs potentiels en identifiant les vecteurs d’attaque et les points faibles par des attaques réelles. Vous obtenez ainsi un aperçu réaliste et sans compromis de l’état actuel de la sécurité de votre informatique.

C’est pourquoi KALWEIT ITS

L’objectif du test d’intrusion est de pénétrer efficacement dans les systèmes informatiques. Nous agissons comme des agresseurs potentiels, identifions les vecteurs d’attaque et les exploitons techniquement. Vous obtenez ainsi un aperçu réaliste des (in)sécurités de vos solutions informatiques et pouvez combler les failles de sécurité avant que les attaquants ne les exploitent.

En tant qu’entreprise de conseil indépendante spécialisée dans les disciplines de la sécurité informatique, la réalisation de tests d’intrusion fait partie de notre discipline reine. Notre ambition est de réaliser des tests d’intrusion peu automatisés avec une approche transparente et compréhensible. Les exigences spécifiques aux secteurs de la banque ou de la santé ne constituent pas un défi pour nous.

    Nous croyons qu'aujourd'hui, la sécurité informatique doit être différente . La sécurité, c'est la confiance dans des solutions indépendantes. La sécurité n'est pas un produit, mais un processus continu. C'est précisément pour cette raison que nous travaillons avec des méthodes de conseil holistiques et que nous considérons les entreprises comme facteur de sécurité global - comme le ferait un attaquant . Parce qu'un concept ne fait pas un système.
    Nous travaillons selon des normes reconnues telles que PTES, NIST, OWASP Testing Guide, PCI-DSS, Cyber Kill Chain ainsi que le concept d'exécution pour les tests d'intrusion de l'Office fédéral allemand de la sécurité dans la technologie de l'information. En outre, nos projets sont assurés pour les dommages pécuniaires ainsi que les dommages corporels et matériels.

Nous vous assistons dans tous les types de tests d’intrusion :

  • Test de périmètre
  • Test client
  • Test de délinquance interne
  • Tests d’applications web/logiciels d’application/applications mobiles
  • Tests de systèmes bancaires de base et de réseaux de détail
  • Revue de sécurité
  • Tests de calculateurs de moteur
  • Tests de dispositifs IoT
  • Tests dans l’environnement cloud (AWS, Microsoft Azure ou Google Cloud)
  • Tests de solutions de flutter
  • Projets de grande envergure avec plus de 400 jours de projet par an
  • Forte expertise dans la réalisation de tests d’intrusion dans les secteurs de la banque et de la finance, de la santé, des infrastructures critiques et de la vente au détail.

Cybersécurité automobile

Le processus de numérisation en cours n’épargne pas le monde de l’automobile.

Le nombre croissant d’unités de contrôle électronique (UCE) dans l’automobile, ainsi que la mise en réseau accrue des véhicules (C2X), augmentent également le risque d’accès non autorisé et de manipulation des systèmes critiques pour la sécurité.

Aujourd’hui en particulier, les véhicules sont souvent connectés, tant en interne qu’en externe. Par exemple, les appareils de navigation accèdent aux informations du bus CAN tout en offrant un accès externe via des interfaces telles que Bluetooth, WLAN ou LTE. Mais l’interface OBD-II prescrite représente déjà un vecteur d’attaque considérable. La tendance des « optimisations de cartographie » est un exemple de manipulation des calculateurs automobiles.
Grâce à des connaissances plus approfondies, il est toutefois possible d’utiliser les informations transmises par le bus CAN pour manipuler les fonctions les plus diverses du véhicule ou les utiliser à des fins d’extension des fonctions. La mise en réseau approfondie de différents appareils de commande dans le véhicule permet des fonctions d’avant-garde telles que la conduite autonome, les systèmes de régulation de la vitesse ou encore une navigation améliorée.

Une menace claire et présente

La manipulation des calculateurs est donc une menace claire et présente pour les automobilistes, les garages, les fournisseurs et les constructeurs automobiles. Qu’il s’agisse de modifier le kilométrage, d’augmenter potentiellement la puissance ou même de manipuler des paramètres sur le bus CAN.

Contrôle de la sécurité informatique

Le contrôle de sécurité informatique offre aux petites et moyennes entreprises une première évaluation de la situation générale en matière de sécurité informatique dans leur propre entreprise.

 

  • Où sommes-nous particulièrement bien placés et où avons-nous encore du retard à rattraper ?
  • clarté, savoir exactement ce qu’il reste à faire
  • Déterminer quelles sont les mesures indispensables et celles qui ne sont pas très pertinentes.
  • 2 jours de mise en œuvre avec plusieurs conseillers
  • Vérification de la sécurité informatique technique & organisationnelle basée sur la norme VdS 10000
  • QuickCheck de la présence de l'entreprise sur le web et des IP externes
  • Catalogue de recommandations pour la suite des opérations
  • Rapport de gestion (format PDF)
  • Entretien final
  • 3 jours de mise en œuvre avec plusieurs conseillers
  • Vérification de la sécurité informatique technique & organisationnelle basée sur la norme VdS 10000
  • QuickCheck de la présence de l'entreprise sur le web et des IP externes
  • Catalogue de recommandations pour la suite des opérations
  • Rapport de gestion (format PDF)
  • Entretien final
  • 4 jours de mise en œuvre avec plusieurs conseillers
  • Vérification de la sécurité informatique technique & organisationnelle basée sur la norme VdS 10000
  • QuickCheck de la présence de l'entreprise sur le web et des IP externes
  • Catalogue de recommandations pour la suite des opérations
  • Rapport de gestion (format PDF)
  • Entretien final

Recherche OSINT

L’Open Source Intelligence (OSINT) est un terme utilisé dans le domaine du renseignement et décrit une méthode de recherche qui utilise exclusivement des outils passifs pour examiner des données librement disponibles en tenant compte d’un objectif d’application spécifique.

Dans le cadre de la recherche OSINT, nous identifions des ensembles de données compromis tels que des documents confidentiels, des données de connexion ou des informations techniques utiles pour des tentatives concrètes de cyber-attaques de type « kill chain ». Ils donnent une image claire de la situation actuelle de votre entreprise en matière de sécurité informatique. Étant donné que seuls des outils passifs sont utilisés, ce type de contrôle de sécurité peut être facilement réalisé sans enfreindre les dispositions légales (en particulier les § 202a-c, § 303a-b).

Les recherches OSINT peuvent notamment être utilisées comme phase plus détaillée de la collecte d’informations dans le cadre d’un test d’intrusion.

Déroulement des tests

  • Premier entretien
  • Entretien avec toutes les parties prenantes
  • Mise en œuvre
  • Documentation
  • Évaluation des risques
  • Présentation des résultats

Dans le cadre du premier entretien, nous apprenons à mieux vous connaître, vous et votre entreprise. Lors de la deuxième série d’entretiens, nous discutons ensemble de la suite des événements avec tous les décideurs. Il s’agit de déterminer la méthodologie à appliquer pour le test d’intrusion.

Après avoir identifié les vecteurs d’attaque possibles dans le cadre du test d’intrusion et déterminé leur probabilité d’occurrence et le montant des dommages possibles, nous vous présentons les résultats dans le cadre d’un rapport final.

Celui-ci comprend, outre un Management Summary, une description détaillée des risques inhérents et une Proof of Concept, de sorte que vous puissiez reproduire les points faibles en interne avec vos propres experts informatiques.

Les recommandations d’action détaillées constituent le cœur de la documentation. Elles vous permettent de remédier aux points faibles de manière simple et compréhensible.

Indépendamment d’un débriefing gratuit pour clarifier les questions en suspens ou les incertitudes, nous vous proposons également, sur demande, une confirmation de la réussite d’un test d’intrusion. Vous pouvez l’utiliser comme preuve vis-à-vis de vos clients et partenaires commerciaux.

 

 

Le rapport final contient les éléments suivants :

  • Données cadre du projet (nom du projet, personne de contact, période de test, portée)
  • Résumé de la gestion
  • Description de la démarche et des méthodes utilisées
  • Résumé et évaluation des vulnérabilités identifiées en termes de criminalité (y compris mention des valeurs CVSS et des entrées CVE) et preuve de concept technique
  • Description technique détaillée des vulnérabilités / risques inhérents identifiés
  • Recommandation de mesures pour remédier à la vulnérabilité ainsi que liste de toutes les vulnérabilités sous forme de tableau (Excel).

Vos contacts

Vous pouvez toujours nous joindre personnellement. Parce que la fidélité du partenaire est bien plus importante pour nous que le succès à court terme.

Inf. dipl. Georg Koch

Inf. dipl. Georg Koch

Partenaire commercial principal

 

+49 40 285 301 252

hello@kalwe.it

Georg Koch, informaticien diplômé, est Senior Business Partner chez KALWEIT ITS et responsable de projets internationaux et nationaux au niveau stratégique dans l'environnement des PME et des grands groupes. Il dispose de 30 ans d'expérience professionnelle dans les domaines de l'informatique, des télécommunications et de l'énergie, par exemple en tant que cadre moyen avec des responsabilités européennes chez Sharp Electronics, Philips, Shell Solar ainsi qu'en tant qu'ancien directeur d'une entreprise informatique (160 collaborateurs, plus de 50 millions d'euros de chiffre d'affaires).

 

Philipp Kalweit

Philipp Kalweit

Managing Partner

 

+49 40 285 301 257

hello@kalwe.it

Philipp Kalweit est un consultant expérimenté en sécurité informatique sur les thèmes de la sensibilisation à la sécurité et de l'audit informatique offensif. Depuis six ans, il conseille et contrôle des clients issus de l'environnement des PME et des grands groupes, notamment des organisations réglementées par la BCE et la BaFin ainsi que des groupes dans le secteur de la vente au détail. Son activité de conseil est centrée sur la sécurité informatique holistique. Pour son travail, il a été honoré en 2019 par DIE ZEIT en tant que "Hamburger du mois" et a été intégré la même année dans la liste Forbes "30 under 30 DACH".