Hubitech est là pour vous aider

Notre mission est d'intervenir au profit d'entreprises et d'institutions internationales pour les accompagner à prendre les bonnes décisions stratégiques et les protéger contre l'espionnage et la cybercriminalité.

Aide à la gouvernance de votre entreprise

Management des Risques et de la Sécurité

Le management de la sécurité doit être transversal (métier, technologique, physique, humain, légal...) et se baser sur l'appréciation continue des risques et le suivi de leur réduction effective.
Les méthodes d'analyse et d'évaluation des risques (EBIOS, Iso 27005) appliquées aux périmètres les plus sensibles permettent d'identifier les biens essentiels à protéger, de cartographier les composants technologiques, physiques et humains impliqués, d'identifier leurs vulnérabilités exploitables et les sources de menaces à maîtriser en priorité. Des tableaux de bord de suivi des risques peuvent alors être mis en place pour mieux communiquer auprès du management stratégique et des métiers, prioriser les projets et évaluer objective leur efficacité en terme de sécurité.
Les choix de traitement des risques, des mesures de sécurité pertinentes, la définition des indicateurs et l'identification claire des périmètres de responsabilités nécessitent un pilotage « éclairé » transversal et soutenu par le plus haut niveau de management. Pour cet accompagnement à la gouvernance, les principes de mise en place d'un SMSI (27001/2) et d'amélioration continue (PDCA, Iso 27003, CMM) apporteront une meilleure collaboration interne, une meilleure gestion des ressources et des coûts et la possibilité de communiquer une valeur ajoutée rassurante pour les clients et prescripteurs.
Les référentiels de sécurité les plus pertinents pourront enfin être utilisés au cas par cas pour sélectionner les meilleures pratiques, réutiliser un formalisme reconnu et communiquer plus facilement en terme de conformité (ITIL, RGPD, IES 42443, Cloud alliance, 20 CSC...).

Ces principes peuvent être packagés en mission courtes d'audit ou de conseil dans la durée :
Analyse de risque, évaluation des impacts, menaces et vulnérabilités (périmètre ciblé)
Audit de maturité de la sécurité (CMM v/s best practices Iso 27002, 20 CSC, ITIL/SecOps ... )
Audit interne de conformité (RGPD, Iso27001, PCI-DSS, SDL/Security by design...)
Mise en place de l'organisation (RACI), des politiques et chartes de sécurité (international)
Conseil en gouvernance sécurité (CISO, CSO, CTO...) et pilotage du changement (KPI, SMSI)

Sensibilisation / formation / entraînement à la sécurité

Quelle que soit la maturité des organisations et la qualité des technologies, la sécurité reposera essentiellement in fine sur l'humain (administrateur, développeur, utilisateur, manager...).
Pour améliorer fondamentalement la sécurité et la résilience de votre organisme il est nécessaire de diffuser la culture des risques auprès de chaque fonction métier, d'impliquer le management dans la conduite du changement auprès des personnels, de proposer des formations spécifiques à chaque fonction support et enfin de simuler des attaques pour évaluer les vulnérabilités et les réponses à incidents.
De nombreux supports et plateformes existent pour créer des campagnes (événementiels, poster et newsletters, eLearning, plateforme de phishing...) mais l'efficacité globale résidera dans le pilotage « transversal » des programmes (Sécurité IT, Industrielle, physique, DRH, Fournisseurs...), en lien avec l'analyse des risques (scénarios redoutés, vulnérabilités critiques, sources de menace), coordonné avec les projets de sécurité (IT, sûreté de sites, SLA fournisseurs, juridique...) et les audits techniques (PenTests).

Ces principes peuvent être packagés en conseil dans la durée ou mise en place de programme :
Campagne ciblée de sensibilisation aux risques (personnel / processus / contexte critique)
Simulation d'attaque et évaluation de résilience (phishing, ransomware, DRP, crise média...)
Mise en place, Formation/Certification, Animation du réseaux des correspondants sécurité
Mise en place de plateformes (eLearning, blogs, helpdesk ...) et des moyens de mesurage
Coaching de CISO/CSO/CTO... et animation des revues (objectifs, KPI, audits, incidents...)

Notre expertise technique à votre service

Administration Technique & Migration dans le cloud

Notre équipe vous accompagne pour vos tâches d'administration technique telles que l'administration de serveurs Linux internes et externes, l'hébergement de sites Internet et applications réseaux ainsi qu'au passage vers des solutions opensource (Active Directory, accès VPN, supervision etc...). Nous vous proposons aussi un accompagnement à la migration dans le cloud de vos services et de vos postes de travail. Basée sur notre expérience en sécurité informatique, notre administration est tournée vers une haute exigence en terme de protection et de prévention des menaces.

Tests d'intrusion physique et logique

Mode RedTeam: Test d'intrusion dans un périmètre non défini, il se rapproche le plus d'une véritable attaque. Le but est de compromettre le plus de données ou de pénétrer le plus loin dans le système institutionnel de la cible. Notre équipe va chercher l'ensemble des points faibles lui permettant d'avancer dans son attaque. L'équipe ne s'attarde pas à effectuer une analyse exhaustive, son objectif est simple: compromettre un maximum d'informations sans éveiller le moindre soupçon. Il permet de tester la réactivité de vos équipes en charge de la sécurité et ainsi d'en apprendre davantage sur votre sécurité mais surtout il reflète votre véritable exposition à une vraie attaque. Votre niveau de sécurité dépend du niveau de sécurité de votre élément le plus faible.

Mode BlackBox: Test d'intrusion dans un périmètre défini sans aucune information technique sur la cible. La démarche est la même que pour le mode RedTeam, mais il est restreint, à un site, un environnement, une application, un réseau...

Audits de sécurité physique et logique

En collaboration avec les différents acteurs projets (concepteurs et exploitants) nous réalisons des entretiens et une analyse documentaire, complétés par des constatations techniques (White Box, Blue Team) permettant d'obtenir un instantané cohérent du niveau de sécurité.

Recherche de vulnérabilités et analyses post mortem

Nous réalisons des audits de code permettant d'identifier les vulnérabilités de conception ou de mise en œuvre ou pour effectuer des vérifications avant publication. Nos équipes techniques sont aussi spécialisés dans la recherche d'exploit Zero Day. Nous réalisons des forensics et récupérations de données sur tout type de support, endommagé ou non, tout type de support logique, disques durs, smartphones (android, iOS)...

Recherche & Développement

Notre équipe R&D vous accompagne pour concrétiser toutes vos idées et concepts. Nous vous assistons ou réalisons pour vous le développement de prototypes fonctionnels. Nos équipes sont aussi bien expérimentées en développement de bas niveau que d'applications grand public.

Définition et mise en place de solutions de sécurité

Conception d'architectures robustes et résilientes

Nous prenons en compte la cybersécurité dès la phase de conception. Nous vous accompagnons, de la définition des besoins et des menaces, au déploiement et suivi du travail des intégrateurs. Chaque cas d'utilisation est étudié et détaillé pour fournir, à chaque problématique, la meilleure solution.

Solutions de détection des signaux faibles d'attaque

Les entreprises se reposent trop souvent sur des technologies de détection et de prévention centrées sur le traitement d'exploits frontaux (signaux forts). Cependant un attaquant qui pénètre sur votre réseau s'applique généralement à ne faire sonner aucune alarme de ce type et essaye de rester sous les radars ne générant ainsi que des signaux faibles. Nous vous accompagnons à la mise en place de solutions de détection de ces signaux. Nous vous aidons à créer des stratégies de journalisation et d'analyse spéciales ainsi qu'à la mise en place d'appâts pour détecter rapidement toute tentative d'intrusion.

Solutions pour les Systèmes d'Information Sensible

Nous vous aidons à définir vos besoins et déployer des solutions de traitement, de stockage et d'échange de données sensibles dans un Système d'Information dédié et hautement protégé.

En découvrir plus sur l'offre SanctuarIS
Développement Logiciel

Vous avez un besoin spécifique pour votre entreprise ? Nous vous assistons dans les tâches de rédaction de cahier des charges, plannification et développement de services et d'applications. Nous sommes spécialisés aussi bien en développement Linux que Windows, backend que frontend, C/C++ que Javascript...

Vous souhaitez que nous vous aidions à accéder et à protéger vos informations.

Contactez-nous