Questions fréquentes (FAQ)

Ventes

Nous avons décidé d'utiliser Foundstone. Quelles sont les premières étapes ?
Nous vous remercions de votre confiance et espérons pouvoir entamer notre mission au plus tôt, mais avant que nous puissions débuter nos tests et évaluations, il nous faut régler certaines choses essentielles. Tout d'abord, tous les documents administratifs et juridiques doivent être remplis avant que nous puissions arrêter une date pour effectuer les tests. Les documents administratifs se composent généralement d'un contrat de services (modalités contractuelles), d'un énoncé des travaux et éventuellement d'un bon de commande, si ce dernier est requis par votre service des achats.

Quel est le meilleur moyen de joindre Foundstone ?
Vous pouvez contacter Foundstone par le moyen qui vous convient le mieux. Nos équipes de ventes peuvent être jointes par téléphone au 949-297-5600, par e-mail à l'adresse consulting@foundstone.com ou via notre site web.

Est-il possible de revoir le plan de travail ? Si oui, comment ?
Oui. Le plan de travail peut être facilement revu en contactant votre responsable de compte. L'étendue du projet est généralement définie avant l'énoncé des travaux, mais il est également possible de conclure un avenant à l'énoncé des travaux existant.

Réunion de démarrage

Quand la réunion de démarrage doit-elle avoir lieu ?
Foundstone convoque une téléréunion de démarrage au moins une semaine avant la date de début de la mission. Vous disposez ainsi d'un temps suffisant pour mettre au point tous les détails techniques et logistiques éventuellement nécessaires à un commencement sans heurts de l'évaluation.

Qui doit assister à la réunion de démarrage et qui dois-je informer de ce projet ?
Les personnes qui doivent être présentes à la réunion de démarrage et qui doivent être informées du projet dépendent des objectifs globaux de l'évaluation et de la façon dont nous effectuerons le test à proprement parler. Certains clients nous demandent de déterminer si leur équipe opérationnelle est alertée lorsque nous évaluons leur réseau. D'autres veulent avoir l'assurance que les systèmes de préproduction sont sécurisés avant le déploiement. D'autres encore souhaitent un test de leur environnement de production. En général, nous vous recommandons d'informer vos collègues de ce projet aussi tôt que possible et de leur fournir une explication complète et détaillée de la mission. L'obtention de l'accord des parties concernées à un stade précoce du projet permet d'éviter des objections inattendues à l'approche des dates de tests, qui pourraient entraîner des retards. Envisagez donc d'informer les personnes suivantes concernant la mission :

  • L'interlocuteur principal du projet ou le chef de projet
  • Un représentant de l'équipe chargée des opérations réseau
  • Un représentant de l'équipe de développement des applications, si l'évaluation inclut un test d'applications
  • Un représentant de l'équipe de sécurisation des informations
  • Un représentant des ingénieurs système
  • Un membre de l'équipe d'audit, si ce projet entre dans le cadre d'une exigence d'audit
  • L'hébergeur, si le réseau et/ou l'application cible sont hébergés par un tiers

Qui exécute réellement les tâches et comment Foundstone gère-t-il ses projets ?
Tous les tests techniques sont effectués par des consultants en sécurité Foundstone. Tous les membres du personnel sont employés à temps plein et assurés, et leurs antécédents ont été rigoureusement vérifiés. Nous n'avons pas recours à des sous-traitants.

Chaque mission est confiée à une équipe de projet. Vous n'aurez pas nécessairement de contacts avec tous les membres de l'équipe mais chaque membre joue un rôle crucial dans la réussite de la mission. Les équipes incluent généralement les membres suivants :

  • Des consultants techniques responsables des tâches de test au jour le jour. Ils font l'essentiel du travail.
  • Un chef de projet, qui est votre interlocuteur principal et est chargé de la gestion de votre projet. Chaque projet est confié à un chef de projet qui est responsable de la réunion de démarrage, des comptes rendus quotidiens et des éléments fournis au terme de la mission. Votre chef de projet vous accompagne tout au long du projet pour résoudre les éventuels problèmes.
  • Un directeur régional responsable de l'assurance qualité et de l'approbation de tous les rapports finaux. Les chefs de projet rendent compte aux directeurs régionaux. Les directeurs représentent l'échelon supérieur au sein de Foundstone si certains problèmes ne peuvent pas être résolus par le chef de projet.

Comment puis-je contacter Foundstone pour faire part de mes questions ou préoccupations ?
L'équipe Foundstone fournit des informations de contact détaillées pour tous les membres de l'équipe impliqués dans votre évaluation. Dans la plupart des cas, le chef de projet est en mesure de répondre à toutes vos questions, mais vous recevrez également les informations de contact du directeur régional et du responsable de compte si des problèmes doivent leur être communiqués. Les informations de contact sont envoyées avec la liste de contrôle des éléments préalables à l'intervention.

Puis-je demander la participation de consultants particuliers pour ce projet ?
Si vous souhaitez travailler avec des consultants particuliers, veuillez nous en informer dès que possible. Si le consultant n'est pas engagé sur un autre projet, nous tenterons de satisfaire votre demande. Soyez assuré que la réussite de votre projet nous tient autant à cœur qu'à vous, c'est pourquoi nous affecterons toujours à la mission les consultants les mieux à même d'atteindre les objectifs du projet. Par ailleurs, l'un des éléments clés de la réussite de Foundstone réside dans l'utilisation de méthodologies éprouvées nous permettant d'obtenir des résultats réguliers quels que soient les consultants assignés au projet.

De quelles informations Foundstone a-t-il besoin pour commencer les tests ?
Nous avons généralement besoin de deux types d'informations : logistiques et techniques.

  • Informations logistiques : Nous remplirons une liste de contrôle des éléments préalables à l'intervention lors de la réunion de démarrage, et nous la tiendrons à jour. Cette liste de contrôle contient les informations de contact, les détails d'organisation des déplacements, les procédures d'escalade et d'autres informations.
  • Informations techniques : Les besoins exacts varient en fonction du type d'évaluation mais incluent généralement les adresses IP ou des applications cibles, les stratégies écrites et d'autres éléments. Le chef de projet Foundstone vous fournira une liste détaillée des éléments requis avant la réunion de démarrage.

Foundstone pourra-t-il répondre aux problèmes spécifiques que nous pourrions avoir ?
Absolument. Si certains aspects de l'évaluation vous intéressent particulièrement, informez-en le chef de projet et nous nous efforcerons de vous apporter une réponse adaptée à votre situation. Il s'agit en fait là de la première question que le chef de projet Foundstone vous posera lors de la réunion de démarrage.

Exécution

De quelle visibilité disposons-nous sur le processus d'évaluation ?
Lors de la réunion de démarrage, le chef de projet détaille les différentes étapes du processus d'évaluation. Les comptes rendus quotidiens contiennent également des informations détaillées sur les activités effectuées ce jour-là et sur les activités prévues pour le jour suivant. Au terme du projet, le rapport technique fournit des détails sur la méthodologie utilisée pour mener à bien la mission, ainsi que les notes des tests. Si vous avez besoin d'informations supplémentaires ou souhaitez « accompagner » la mission, informez-en le chef de projet avant ou pendant la réunion de démarrage. Nous sommes prêts à travailler à vos côtés pour répondre à vos demandes, et toutes les questions sont les bienvenues.

Que se passe-t-il si mon infrastructure n'est pas prête ou ne fonctionne pas à la date de début des tests ?
Lors de la planification du projet, nous travaillons avec vous pour vous aider à comprendre les critères à réunir pour assurer la réussite du projet. Il s'agit notamment des éléments techniques et logistiques énumérés ci-dessus. Si ces éléments ne sont pas disponibles ou si le système ne fonctionne pas le jour où les tests sont censés commencer, nous ne sommes généralement pas en mesure de débuter la mission. Vous devez vérifier les modalités figurant dans votre contrat. Cette situation entraîne généralement des pénalités. Votre mission est alors renvoyée à l'équipe de programmation et peut être différée. Il vous incombe de vous assurer que les éléments requis par la liste de contrôle des éléments préalables à l'intervention sont disponibles, sans quoi Foundstone ne programmera pas le début de votre projet.

A quelle heure de la journée les tests seront-ils effectués ?
Nous effectuons généralement la majorité des tests pendant les heures de bureau normales de l'endroit où vous vous trouvez. Ceci nous permet de vous contacter immédiatement si des problèmes à haut risque sont identifiés. Nous utilisons par ailleurs certains outils d'analyse automatisés dont l'exécution peut prendre un certain temps, c'est pourquoi ces outils sont souvent exécutés pendant la nuit. Nous avons la possibilité d'accéder à nos serveurs d'évaluation à distance, ce qui nous permet d'interrompre immédiatement une analyse si nécessaire. Nous pouvons également planifier l'exécution d'un grand nombre de nos outils d'analyse pendant des périodes définies, si nécessaire. Il est possible de modifier ces plages, mais vous devez garder à l'esprit que des plages trop restrictives risquent de limiter l'efficacité de nous outils et des résultats que nous pourrons vous fournir au terme de la période d'évaluation. Si vos tests nécessitent des interventions en dehors des heures de bureau normales, vous devez en informer le chef de projet dès que possible et préalablement à la réunion de démarrage.

Si Foundstone parvient à accéder à un système, cet accès sera-t-il exploité pour tenter de compromettre d'autres systèmes ?
Lorsque nous parvenons à accéder à un système, nous interrompons la série de tests connexes et créons une capture d'écran pour illustrer le niveau d'accès obtenu. Nous vous fournissons ces informations et collaborons avec vous pour déterminer si vous souhaitez approfondir les tests pour clarifier les risques que court votre entreprise.

Combien de temps après l'évaluation recevrai-je les résultats ?
Tout au long de la période d'évaluation, nous vous fournissons des comptes rendus quotidiens contenant un document de conclusions préliminaires détaillant les problèmes identifiés jusque là. Ces conclusions sont présentées dans le même format que dans la section technique de notre rapport, afin que vous puissiez consulter les résultats sous une forme presque identique à celle du rapport final. Par ailleurs, si un problème à haut risque susceptible de permettre à un pirate d'accéder à un système ou à des données sensibles est détecté, ces résultats seront fournis séance tenante, sans attendre le compte rendu quotidien suivant. Après la conclusion des tests, nous fournissons généralement un rapport provisoire dans les cinq jours ouvrables.

Quels documents fournissez-vous au terme de la mission ?
Le document final standard est le rapport technique, qui comprend une synthèse des tests et toutes les données brutes récoltées au cours du projet. Votre énoncé des travaux mentionne les éventuels documents supplémentaires tels qu'une présentation technique, une présentation synthétique ou une déclaration de certification. Nous pouvons en outre fournir des rapports personnalisés, tels qu'un fichier au format CSV contenant les conclusions.

Que puis-je m'attendre à trouver dans le rapport ?
Le rapport technique fournit des informations détaillées sur le projet, notamment l'étendue de l'évaluation, les aspects positifs identifiés, les vulnérabilités identifiées, des recommandations tactiques et stratégiques destinées à corriger les vulnérabilités, des notes détaillées récoltées pendant la mission et la méthodologie suivie pour exécuter la mission.

La synthèse contient une vue globale du projet, notamment une brève description de l'étendue du projet, une présentation des conclusions, une série de recommandations stratégiques et une liste de notes d'évaluation sur la sécurité des zones considérées, qui compare votre entreprise aux moyennes dans son secteur d'activité.

Si vous souhaitez que le rapport contienne d'autres types d'informations, informez-en votre chef de projet avant ou pendant la réunion de démarrage. Nous pouvons satisfaire la plupart des demandes pourvu qu'elles nous parviennent avant le début de l'évaluation.

Aurai-je la possibilité d'examiner le rapport avant qu'il soit finalisé ?
Oui. Nous fournissons tous les rapports en version préliminaire (format Microsoft Word) et vous demandons vos commentaires dans les cinq jours ouvrables. Nous apportons ensuite les modifications souhaitées avant de finaliser le rapport. Si nous ne recevons aucun commentaire de votre part au terme de cinq jours ouvrables, nous vérifions auprès de vous que vous ne souhaitez faire aucun commentaire et finalisons le rapport. Nous ne sommes généralement en mesure d'apporter qu'une seule série de modifications au rapport. C'est pourquoi il est essentiel que vous nous transmettiez vos commentaires détaillés par écrit et en une fois, pour que nous puissions répondre à toutes vos préoccupations.

Foundstone teste-t-il à nouveau les problèmes identifiés pendant l'évaluation, lorsqu'ils sont corrigés ?
Si vous souhaitez inclure une série de tests de vérification, contactez votre responsable de compte pour l'ajouter à l'énoncé des travaux afin de garantir la disponibilité des ressources appropriées.

Quelles mesures Foundstone prend-il pour garantir la sécurité de nos informations ?
Toutes les informations client sont protégées par un chiffrement PGP pendant la période où elles sont stockées sur des ordinateurs portables pour les besoins de la mission. Le chiffrement des données s'ajoute au chiffrement des disques complets utilisé sur les disques durs des ordinateurs portables des consultants. Par ailleurs, tous les e-mails contenant des conclusions ou d'autres informations sensibles sont chiffrés. Les vulnérabilités sont uniquement évoquées avec les membres de votre personnel désignés par vos soins. Une fois la mission terminée, les informations client présentes sur les ordinateurs portables sont supprimées à l'aide d'utilitaires de suppression sécurisée et les rapports finaux sont archivés de façon centralisée.

Devons-nous prévoir des périodes d'indisponibilité pendant les tests ?
Foundstone prend de nombreuses mesures pour garantir que l'évaluation n'entraîne aucune période d'indisponibilité. Les périodes d'indisponibilité dues à une évaluation Foundstone sont extrêmement rares, mais la possibilité ne peut pas être totalement exclue. Si vous informez le chef de projet des actifs ayant des exigences de haute disponibilité, les consultants Foundstone feront preuve de la prudence nécessaire. Ces actifs doivent figurer dans la liste de contrôle des éléments préalables à l'intervention.

Des tests intrusifs seront-ils effectués ?
Nous n'exécutons aucun outil automatisé, exploit ou script connu pour entraîner des dénis de service, que ce soit en tant qu'effet principal ou effet secondaire. La plupart de nos évaluations d'applications sont effectuées à l'aide de processus manuels et toutes nos analyses automatisées sont exécutées en mode non intrusif. Il existe un risque minime que des analyses non intrusives engendrent des problèmes au niveau de certains périphériques réseau d'ancienne génération.

Dois-je suspendre les mises à jour des applications pendant la durée des tests ?
Pour effectuer un test approfondi complet, il est essentiel que Foundstone puisse avoir accès à un environnement de test stable. Cela permet d'accroître la productivité et d'éviter tout retard inattendu. Nous vous recommandons de ne pas apporter de modifications aux applications pendant la durée des tests. Remarque : cette recommandation s'applique uniquement à nos Services Sécurité des logiciels et des applications.

Clôture

Comment se marque la clôture du projet ?
Une fois le rapport technique final et la synthèse acceptés, nous considérons le projet d'évaluation comme clos. Foundstone organise une réunion de clôture pour fournir des informations détaillées sur les conclusions et les recommandations, et répond à toutes les préoccupations en souffrance. Foundstone réclame ensuite la signature d'un rapport d'activité de mission et d'un formulaire de commentaires.

Que dois-je faire si j'ai des questions après la réunion de clôture ?
Nous encourageons nos clients à nous contacter pour nous poser toutes leurs questions de suivi. Un membre de l'équipe Foundstone vous recontactera dès que possible.

Qui dois-je contacter pour les tâches de suivi ?
Pour toutes les demandes et propositions de tâches de suivi, contactez le responsable de compte ou le chef de projet. Leurs informations de contact figurent dans la liste de contrôle des éléments préalables à l'intervention.