Audit Sécurité

Vous êtes dans:Accueil/Nos Services/Audit Sécurité

LA RÉUNION DE CADRAGE

L'élaboration du cahier des charges comporte les attentes du client, les limites de l’opération et le détail des aspects techniques.

  • Elaboration d’une convention d’audit pour définir un cadre légal d’intervention et l’implication de l’entreprise.
  • Etablir le périmétre d’action et les scénarios du test.
  • Définir les objectifs de l’audit (contraintes externes comme I’obtention d’une certification,la demande d’un partenaire commercial, la réponse a un incident de sécurité ou défini suite a une analyse de risques ou a un audit de reconnaissance permettant d’identifier la surface d’attaque de l'entreprise) et validation du planning des opérations.
  • Préciser les conditions particuliéres du test (plage horaire spécifique pour certains tests....).
  • Signature des autorisations nécessaires (pour la phase de Blackbox) et d’une clause de confidentialité
  • Définir les moyens de communication et les modalités d’alerte en cas de problème.
  • Création d’un compte rendu de réunion qui reprend toutes les modalités discutées.

Les livrables attendus lors de cette étape sont :
  • Le chiffrage du projet
  • La Convention d’audit
  • Le planning estimatif qui comprend un délai estimé de réalisation
  • Le compte rendu de réunion

Compter 3 heures de réunion. Une itération sera proposée pour valider cette reunion de cadrage.

MÉTHODOLOGIE DE PROJET

Méthodologie utilisée au cours du projet. (Basée sur des standards reconnus).
Parmi les méthodologies reconnues, on retrouve :

  • OWASP (Open Web Application Security Project) ;
  • OSSTMM (Open Source Security Testing Methodology Manual) ;
  • NIST (Institut national des normes et de Ia technologie) ;

Remise d un plan d’action comprenant des préconisations techniques, organisationnelles, opérationnelles et humaines. Elles sont implémentées par les équipes IT et adaptées au budget qui leur est alloué.

POST PROJET

Phase de restitution finale
Parmi les méthodologies reconnues, on retrouve :

  • Le mandataire sera avertit d’une vulnérabilité majeure au cours des tests. Des bilans réguliers sont effectués.
  • Rapport de test d’intrusion ou livrable (détaillé pour le public technique et résumé pour le public non technique)*
  • Réunion de restitution avec formation et atelier pédagogique sous forme de design thinking pour les sensibiliser aux risques d’intrusion et aux maniéres de s’y prémunir (voir fiche formation).
  • Mise en place un test post-audit ciblé sur les vulnérabilités les plus critiques et les plus exposées, aprés remédiation.

Le rapport d’audit comprend

  • Un inventaire des vulnérabilités détectées adapté au SI et aux enjeux financiers de votre entreprise.
  • Un plan d’action en fonction de votre budget.
  • Une synthése managériale. Elle a pour objectif d’exposer les risques de cybersécurité a travers le prisme des enjeux métiers du client.

Le rapport de test d’intrusion technique comprend les éléments suivants

  • Sommaire exécutif présentant les principales observations et recommandations.
  • Matrice des vulnérabilités classées par niveau de risque.
  • Détails des vulnérabilités incluant les suivants
  • Niveau de risque basé sur l’impact potentiel et l’exploitabilité.
  • Recommandations pour corriger les vulnérabilités.
  • Références a des ressources externes pour faciliter la mise en ceuvre de nos recommandations.
  • Détails Techniques tels que des captures d’écrans, traces du systéme, registres, etc.
  • Annexe détaillant des informations techniques complémentaires.