Audits de sécurité informatique
En fonction des besoins et du niveau de maturité de la sécurité du SI, Pérenne’IT propose une gamme d’audits globaux ou ciblés : ainsi l’Audit Flash de Sécurité donne une vision globale et convient tant aux clients qui n’ont jamais fait d’audit de sécurité qu’à ceux qui ont entamé une démarche suivie pour des évaluations périodiques. Les tests de vulnérabilité et les tests d’intrusions permettent de tester la solidité des dispositifs de protection.
POURQUOI FAIRE UN AUDIT ?
Une vision indépendante et globale
On constate que trop souvent la vision de la sécurité dans les entreprises est biaisée et incomplète.
Biaisée parce qu’elle se matérialise en premier lieu par l’achat et la mise en œuvre de solutions techniques. Or les solutions techniques ne sont pas une fin en soi, mais juste des outils dont le choix la mise en œuvre doit être la conséquence et d’une analyse de risque structurée et complète identifiant les risques et les priorités pour renforcer la sécurité
Incomplète parce que l’élément technique n’est qu’un instrument parmi d’autres dans l’arsenal de la sécurité : l’organisation de la sécurité, les procédures, ressources, les aspects juridiques, les assurances, la sensibilisation des utilisateurs, la formation des équipes informatiques, etc…
L’audit, un instrument indispensable dans une démarche de sécurité
La démarche de sécurité est un processus cyclique, comme cela apparaît sur la roue de Deming qui structure la norme de sécurité internationale ISO 27001.
L’audit périodique assure la phase de contrôle nécessaire pour améliorer constamment le dispositif.
Quels sont les objectifs de l'audit ?
L’audit sert en premier lieu à évaluer le niveau de sécurité en place, par rapport à un référentiel bien sûr. Selon la maturité de la démarche de sécurité de l’organisation, ce référentiel peut être basé sur des bonnes pratiques définies dans une norme, celle qui fait référence est la norme ISO 27000. Il peut être également personnalisé à l’entreprise qui aura préalablement mis en place une politique de sécurité (PSSI).
Évaluer
Une vision globale du niveau de sécurité de l’information.
Examen des aspects techniques, organisationnels, humains et de la conformité légales.
Identifier
Cerner les risques pour mieux maitriser.
Tests de vulnérabilités de votre système d’information.
Agir
Des recommandations concrètes pour établir des priorités et bâtir un plan d’action efficace.
Solutions techniques, outils organisationnels.
Gamme d’audits proposée par Pérenne’IT
Audit flash de sécurité
Présentation & budget
L’Audit Flash de sécurité parcourt tous les aspects de la sécurité selon le référentiel de bonnes pratiques ISO 27002, et permet de donner dans un temps court et un budget modique, une vision à 360° du niveau de sécurité en place sur le périmètre concerné.
L’Audit Flash de sécurité s’adresse à des entreprises et organisations soucieuses d’assurer la cohérence technique et organisationnelle de leur dispositif de Sécurité du Système d’Information (SSI), pour mieux se protéger contre les menaces externes et internes.
Budget : de 5000€ à 10000€ selon le périmètre.
Quand faire ce type d’audit ?
Ce type d’audit est vivement recommandé pour les organisations qui n’ont pas encore fait d’audit global de sécurité.
Il peut être reproduit tous les 3 ans environ, et circonscrit à tout ou partie du système d’information de l’entreprise.
Diligences
- Entretiens avec les membres de la DSI.
- Entretiens avec des représentants des métiers, de la direction, des fonctions support et des utilisateurs.
- Visite sur site, visite des salles informatiques.
- Etude de l’architecture des Systèmes d’information.
- Examen des documentations et procédures disponibles.
- Tests de vulnérabilités.
- Analyse des configurations techniques.
- Evaluation ISO 27002 : 114 points de contrôle
Livrables
- Rapport de synthèse (Executive Summary) destiné à la direction.
- Comptes-rendus d’entretiens.
- Rapports techniques selon les options retenues (dont tests de vulnérabilité).
- Evaluation de la conformité ISO 27002:2013 (détail et synthèse).
- Tableau des principales vulnérabilités et recommandations.
Bénéfices
L’Audit Flash de sécurité donne une vision concrète des enjeux de la sécurité au Dirigeant. C’est un outil d’aide à la décision qui permet de se prémunir contre les conséquences d’un sinistre informatique : perte financière, atteinte à l’image de marque de l’entreprise, recherche en responsabilité du chef d’entreprise. L’audit Flash de la sécurité est souvent la première étape pour mettre en place un dispositif de sécurité efficace et pérenne.
Audit flash SI/SSI
Présentation & budget
L’Audit SI/SSI vise à proposer un projet d’évolution significatif de tout ou partie du Système d’Information (SI), afin de favoriser la transformation numérique et mieux répondre aux enjeux de l’organisation, tout en intégrant des dispositions appropriées en matière de sécurité (SSI).
Budget : de 5000€ à 10000€ selon le périmètre
Quand faire ce type d’audit ?
Il arrive parfois qu’un système d’information soit le fruit d’implémentations sédimentaires, qu’il soit devenu obsolète ou ne corresponde plus parfaitement aux besoins de l’organisation. Il arrive également que l’insuffisance de la sécurité soit connue, voire flagrante, et donc qu’un audit de sécurité « pur » ne soit pas adapté.
L’Audit SI.SSI a été conçu pour répondre à ces situations, il vise non seulement à évaluer un dispositif en place mais surtout à proposer un projet d’évolution significative du Système d’Information (SI) qui répondra mieux aux enjeux du business, et intégrera des dispositions appropriées en matière de sécurité (SSI).
Diligences
- Entretiens avec des représentants des métiers, de la direction, des fonctions support et des utilisateurs.
- Entretiens avec les membres de la DSI.
- Visite sur site, visite des salles informatiques.
- Étude de l’architecture des Systèmes d’information.
- Étude des besoins.
- Examen des documentations et procédures disponibles.
- Évaluation sécurité ISO 27002 simplifiée.
Livrables
Rapport destiné à la direction qui comprend :
- Un état des lieux de l’existant, des principales vulnérabilités et des recommandations assorties.
- Présentation de scénario(s) de plan d’action avec budget associé.
Bénéfices
Pour un budget raisonnable, la présentation et l’exploitation du rapport d’audit contiennent toutes les bases d’un plan de modernisation et de sécurisation du Système d’Information.
Tests de vulnérabilité
Présentation & budget
Les tests de vulnérabilité servent à vérifier l’exposition d’un dispositif technique à des menaces connues. Ils s’appuient principalement sur l’usage d’un scanner de vulnérabilité qui permet de lancer de manière automatisée un grand nombre de tests en en temps très court.
Budget : 600€ pour un scan externe initial, 800€ pour 4 scans externes par an.
Quand faire ce type d’audit ?
Ponctuellement : Les tests de vulnérabilité peuvent viser un périmètre précis, ou faire partie de tout audit ponctuel, y compris de l’Audit Flash ou de l’Audit SI.SSI.
Périodiquement : il est recommandé de mettre en place des tests périodiques (mensuels ou trimestriels) pour s’assurer de la bonne protection face aux évolutions des menaces externes et aux changements opérés sur le SI.
Diligences
- Phase de découverte (si premier test sur le périmètre).
- Tests de vulnérabilité réseau internes.
- Tests de vulnérabilité réseau externes (pour tester la protection d’un site physique).
- Tests de vulnérabilité réseau externes (pour tester la protection d’un site Web).
- Tests applicatifs pour tester la protection d’un site Web ou d’une application.
Livrables
- Rapport de synthèse intégrant les vulnérabilités classées par criticité et les recommandations.
- Rapport détaillé des tests techniques (en anglais).
Bénéfices
- Mesurer la conformité d’un dispositif de protection.
- Renforcer le niveau de sécurité technique.
Tests d’intrusion (Pentest)
Présentation & budget
Alors que les tests de vulnérabilité se bornent à vérifier si la clé tourne dans la serrure, les pentests consistent à essayer de pénétrer le système d’information en se mettant dans la peau d’un attaquant. La résistance aux pentests permet ainsi de quantifier au mieux le niveau de protection du système d’information et de l’améliorer en conséquence.
Budget : de 5000€ à 15000€ selon périmètre
Quand faire ce type d’audit ?
Ponctuellement, notamment après la mise en place d’un nouveau dispositif.
Pour répondre à des exigences réglementaires.
Périodiquement, selon les enjeux de l’organisation peut effectuer des pentests tous les 3 ans environ.
Diligences
Au choix :
- Boite noire : aucune information n’est fournie aux pentesters afin de se mettre dans les conditions d’un attaquant externe.
- Boite grise : le pentester dispose déjà d’informations sur la cible, un compte utilisateur, un accès à une cible non accessible publiquement, etc.
- Boite blanche : un maximum d’informations est transmis avant l’audit. Il s’agit plutôt ici d’une analyse plus poussée visant à comprendre d’où peuvent provenir des problèmes de sécurité, ou bien de découvrir des vulnérabilités non visibles mais pouvant tout de même causer un risque.
- Tests externes (depuis Internet).
- Tests internes (depuis les locaux de l’organisation).
Livrables
- Rapport de synthèse (Executive Summary) destiné à la direction.
- Rapports techniques selon les options retenues.
- Le tableau des principales vulnérabilités et recommandations.
Bénéfices
- Mesurer l’efficacité d’un dispositif de protection.
- Renforcer le niveau de sécurité technique.
En savoir plus sur pérenne'IT
Visitez notre blog
Découvrez tous nos billets de blog en lien avec la thématique de la cybersécurité
Nos autres offres
Faire un état des lieux de la sécurité de votre SI est important. C’est ce que nous vous proposons avec notre gamme d’audits. Mais il est aussi nécessaire de mettre en place un plan d’action à l’aide de plusieurs outils, afin de renforcer la sécurité de votre SI.
Prenez contact
Vous avez une question, une demande, ou souhaitez tout simplement discutez avec nous à propos de notre offre ?