Le client du projet était la filiale d’un célèbre fabricant d’équipements de télécommunications. Dans le laboratoire d’a1qa, de nombreux dispositifs de sécurité réseau ont été soumis à des tests.

Comme les travaux de test devaient être coordonnés avec le régulateur dans le domaine de la sécurité de l’information, les spécialistes d’a1qa ont préparé un document détaillé intitulé « Programme et méthodologie de tests », ainsi qu’un ensemble complet de documents techniques nécessaires à la certification.

L’objectif principal consistait à vérifier la conformité des dispositifs à la version régionale de la norme ISO 15408. L’équipement testé comprenait plusieurs types de complexes matériels et logiciels. Environ 5 000 tests ont été réalisés pour chaque dispositif.

Pour mener les tests, un environnement de laboratoire complet a été déployé, incluant plusieurs sous-réseaux isolant les ressources attaquantes des ressources protégées.

Les ingénieurs d’a1qa ont également développé une série de contrôles automatisés permettant d’effectuer régulièrement des tests de charge sur les dispositifs, dont la capacité variait de 3 Gbit/s à 100 Gbit/s.

Les tests de sécurité réalisés comprenaient une évaluation du niveau de protection, la détection des vulnérabilités et l’analyse de la préparation des dispositifs à la certification.

L’environnement de test a été déployé dans une infrastructure virtuelle VMware ESX(i) sur plusieurs plateformes matérielles. Le réseau interne protégé se composait de machines virtuelles interconnectées exécutant des systèmes d’exploitation serveur et utilisateur des familles Windows et Linux.

Les machines virtuelles hébergeaient un contrôleur de domaine avec les rôles DNS et DHCP, un serveur web avec application déployée, un serveur de messagerie, un serveur FTP, un serveur et un client NFS, un client mail, ainsi que d’autres composants nécessaires au fonctionnement du système.

Le réseau externe était également composé de machines virtuelles, et les outils de la distribution Kali Linux ont été utilisés pour mener les attaques.

L’équipe d’a1qa a réalisé l’ensemble des tests dans le strict respect des délais et du budget, et a confirmé que les fonctionnalités déclarées des dispositifs répondaient aux exigences de sécurité.

Tous les défauts identifiés ont été analysés et traités en collaboration avec le fabricant.

Nécessité de coordonner les tests avec le régulateur en sécurité de l’information :

• Les spécialistes d’a1qa ont préparé un document détaillé « Programme et méthodologie de tests » ainsi qu’un ensemble complet de documents techniques pour la certification.

Nécessité d’effectuer régulièrement des tests de charge sur des dispositifs de 3 Gbit/s à 100 Gbit/s :

• Pour répondre à cette exigence, les ingénieurs d’a1qa ont développé une série de tests automatisés.