Audit de sécurité
Notre approche
Pour une mission classique d’audit de sécurité global, notre approche s’articule autour des étapes suivantes :
Audit organisationnel
L’audit organisationnel est réalisé conformément à la norme ISO 27001. Il couvre ainsi l’ensemble des chapitres de la norme tels que :
- Politiques de sécurité de l'information
- Organisation de la sécurité de l'information
- Sécurité liée aux ressources humaines
- Gestion des actifs
- Contrôle d'accès
- Cryptographie
- Sécurité physique et environnementale
- Sécurité liée à l'exploitation
- Sécurité des communications
- Acquisition, développement et maintenance des systèmes d'information
- Relations avec les fournisseurs
- Gestion des incidents liés à la sécurité de l'information
- Aspects de la sécurité de l'information dans la gestion de la continuité d'activité
- Conformité
Audit technique
L’audit technique couvre plusieurs volets :
- Tests d’intrusion en aveugle
Il s’agit de mener des simulations sans informations au préalable à partir de l’externe. Pour y parvenir nous nous mettons dans la peau d’un hacker qui ne connaît rien du SI de l’organisation cible sauf son nom et d’essayer d’aller le plus loin possible.
- Tests d’intrusion internes
A travers les tests internes, nous allons devoir simuler des attaques à partir de l’interne pour savoir jusqu’à quel point un utilisateur, certes qui a un accès légitime au système, peut aller. Plusieurs scénarios doivent être explorés à travers ces tests. Il s’agit notamment de :
- Détournement des mécanismes d’authentification sur les applications métiers
- Audit d’étanchéité sur les applications critiques
- Ecoute réseau
- Captation des messages
- Usurpation des identités
- Dénis d’accès
- Gagner en privilège
- Audit d’architecture
A travers l’audit d’architecture, l’équipe DATAPROTECT examinera le positionnement des différents dispositifs de sécurité au niveau de l’architecture ainsi que la stratégie de sécurité sur les périmètres internes et externes mise en place. Au terme de cette analyse, un design d’architecture de sécurité réseau sera remis, et ce, en tenant compte des failles de sécurité identifiées, du dimensionnement du réseau ainsi que des nouvelles menaces auxquelles l’organisation cible devrait faire face.
- Audit de configuration
Il s’agit de revoir les configurations des dispositifs de sécurité et de les examiner en fonction des meilleures pratiques dans le domaine.
- Audit de poste de travail
Il s’agit d’auditer la sécurité du poste de travail en conformité avec les meilleures pratiques dans le domaine.
Plan d'actions
L’audit organisationnel et technique de la sécurité permettront à l’équipe DATATAPROTECT d’élaborer un plan d’actions détaillé et d’identifier les différents chantiers de sécurité sur le court, moyen et long terme.
Nos atouts
La réalisation des missions d’audit de sécurité SI a été conçue comme une offre à valeur ajoutée, à travers :
- La réalisation de la mission par des consultants compétents:
- Consultants formés et certifiés : CEH, OSCP, CISSP, CISA, PCI QSA, PA QSA, CISSP, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer,
- Consultants expérimentés : expérience confirmée sur des projets similaires
- Respect de la confidentialité : Elaboration d’un protocole de communication pour une meilleure protection et communication des résultats d’audit
- Un très bon retour d’expérience en sécurité des systèmes d’information:
- Plus de 100 missions d’audit de sécurité SI
- Veille permanente en matière de sécurité SI
- Expertise et outillage spécifique pour les tests d’intrusion
- La mise en place d’un Laboratoire d’Ethical Hacking :
- La norme est largement redondante et nécessite une lecture adaptée
- L’approche 27001 n’est pas un gage de qualité propre mais de l’amélioration continue
- L’approche 27001 contribue aux besoins réglementaires (ex. : PCI-DSS) sous réserve d’ajustements de l’approche