Audit & Consulting
Nos Services
Rejoint l’équipe pour faire face à l’évolution des demandes de nos clients et ainsi les satisfaire au mieux tant sur le plan des compétences que des délais de réalisation.
-
AUDIT DE SÉCURITÉ ORGANISATIONNEL.
1- Ce type d’audit a pour objectif d’identifier les vulnérabilités liées aux différents processus d’exploitation du système et au management de la sécurité.
2- Ces audits sont réalisés par rapport au référentiel interne de l’entreprise audité (s’il existe) ou par rapport à d’autres référentiels (par exemple la norme internationale ISO / IEC 27001 ou d’autres normes adaptées au métier de l’entreprise).
-
Procédures d’administration, de surveillance et d’exploitation.
1- Politique de sécurité.
2- Organisation de la sécurité.
3- Charte de sécurité.
4- Politique de sauvegarde et de restauration.
5- Procédure de mise à jour.
6- Gestion des incidents.
7- Indicateur et tableau de bord.
8- Sensibilisation et formation du personnel.
9- Moyen de contrôle d’accès logique.
-
Audit de la sécurité physique de l’organisme.
1- Moyen de contrôle d’accès physique : moyens humains, moyens techniques (badges, etc…)
2- Moyen de détection d’intrusions (alarmes, caméras, etc…)
3- Système de détection et d’extinction d’incidents environnementaux : incendie, inondations, secours énergétiques…
4- Moyen d’accès physiques aux serveurs et postes de travail fixes et mobiles.
-
Audit du plan de continuité d’activité d’un organisme.
1- Il s’agit ici d’évaluer le niveau de maîtrise et d’implémentation du plan de continuité d’activités de l’entreprise. Cet audit aborde les aspects « plan de sauvegarde », plan de gestion de crise, procédures techniques de reprise.
2- L’ensemble des procédures, des organisations et des moyens techniques concourant à la sécurité du système d’information, est audité.
3- L’audit est structuré sur la base d’entretiens afin de déterminer objectivement les écarts par rapport au référentiel (méthodologique, technique, réglementaire voire législatif) de l’organisation.
4- Ces audits organisationnels aboutissent à la rédaction d’un rapport d’audit présentant les résultats de l’audit, les vulnérabilités techniques et organisationnelles identifiées et les actions hiérarchisées à mettre en place.
-
Audit technique.
1- Test d’Intrusion Réseaux & Applicatifs.
2- En « Boîte noire » : sans information sur le système testé. Ces tests simulent les attaques d’un pirate informatique sur Internet.
3- En « Boîte blanche » : en ayant connaissance de l’ensemble des éléments d’architecture du système testé. Ces tests permettent de donner un avis plus pertinent sur le niveau des protections.
4- Avec ou sans compte utilisateur : permettant ainsi de mesurer la capacité du système à résister à un attaquant ne disposant d’aucune information d’authentification ou au contraire, ayant un accès, légitime.
-
L’audit se déroule sur plusieurs aspects.
1- Une analyse documentaire des différents supports fonctionnels et techniques : examen du plan d’adressage, des routes, des VLAN, des access-list…
2- Une étude des technologies et méthodes retenues et leur mode d’implémentation (par exemple, un focus sera effectué sur les modules d’authentification et les mécanismes de filtrage).
3- Une approche globale du périmètre afin de modéliser fonctionnellement le système et identifier les vecteurs d’attaque les plus pertinents par rapport au flux de données à protéger.
4- Ces audits aboutissent à la rédaction d’un rapport d’audit présentant les non-conformités à l’état de l’art ainsi que les vulnérabilités identifiées et les recommandations de correction.
-
L’audit se déroule sur plusieurs aspects.
-
Audit du plan de continuité d’activité d’un organisme.