Audit SSI
Protéger votre système d’information
Évaluation de la protection sécuritaire des systèmes d’information
SSF possède ainsi une expérience reconnue dans plusieurs domaines de la Sécurité des Systèmes d’information :
L’audit organisationnel permet, notamment, d’évaluer la maturité de l’audité sur la sécurité des systèmes vis-à -vis du guide édité par l’ANSSI et de contrôler a minima sa conformité vis-à -vis des normes 27001 et 27002 auxquelles il peut être nécessaire d’ajouter d’autres référentiels tel que NIS, RGS, IGI 1300, etc. À la suite de ces évaluations et contrôles, un ou plusieurs plans d’action détaillés sont proposés pour répondre aux non-conformités, d’une part, et aux besoins de sécurité, d’autre part.
En résumé, un audit organisationnel permet à un audité de s’assurer que les actions entreprises sont pertinentes, cohérentes et efficaces vis-à -vis de son contexte, et d’en planifier de nouvelles dans le cadre d’une démarche d’amélioration continue (PDCA).
L’audit technique répond à un besoin de connaissance de l’efficacité d’un système. Il est généralement réalisé dans le cadre de tests d’intrusions et d’exploitations. Un audit d’architecture et de configuration peut être nécessaire en amont ou aval d’un test d’intrusion.
Les tests d’intrusion et d’exploitation sont généralement réalisés en quelques phases : découverte (recherche de failles externes, d’informations sur Internet ou sur le domaine public, etc.), énumération (tests et vérifications de vulnérabilité), exploitation des vulnérabilités identifiées et vérifiées par tentatives d’intrusion sur le système cible depuis l’extérieur et l’intérieur et finalement production documentaire sous forme d’un rapport à la destination de l’audité, généralement composé d’une partie technique et d’une partie vulgarisée à destination des personnes dites « non-techniques ».
Les audits d’architecture et de configuration sont menés selon les bonnes pratiques et documentations des fabricants ou de l’éditeur en prenant en compte le contexte et les besoins de production et d’exploitation de l’audité. Ces audits doivent également répondre aux besoins de sécurité technique découlant de sa propre exploitation et des risques de sécurité identifiés. Ces audits font référence aux standards de sécurité internationaux.
Le rapport produit comprend la totalité des dysfonctionnements et incohérences identifiées. Selon la demande de l’audité, un plan de remédiation ainsi qu’un accompagnement à sa mise en œuvre peut être proposé.
La Formation / Sensibilisation à la cyber sécurité / Cyber vigilance
Cette démarche pédagogique a pour support un serious game édité par un de nos partenaires. Il permet une inscription à différents niveaux de responsabilité dans l’entreprise et l’affectation d’un parcours dédié. Ce dernier se compose de séquences pédagogiques qui donnent des clés de compréhension et précisent les actions saines pour se prémunir des actions des hackeurs et garantir une meilleure attitude dans l’exploitation quotidienne des outils informatiques. Ces clés sont restituées dans un parcours de serious game proposé in fine et adapté à chaque niveau.
Préparation de l’audit en liaison avec le client
Lieu, contacts, documentation, calendrier, remise éventuelle d’une lettre d’intention.
Echanges sur la version 1 du rapport
Remise du rapport
En mains propres à la demande du client.