Pour bien protéger vos données et celles de vos clients, il est indispensable de savoir où vous en êtes dans votre maturité sécuritaire. Et surtout face aux risques qui vous concernent. C’est le but d’un Audit de sécurité. Aussi appelé Audit de Cybersécurité.
Toutes les entreprises-associations-institutions ne sont pas exposées aux mêmes risques, et n’ont pas le même métier. Toutes n’ont donc pas besoin d’être première de classe dans tous les domaines de la sécurité.
C’est pour cela que nous proposons un état des lieux circonstancié au sens large du terme. Nous chercherons à savoir où vous en êtes par rapport à vos besoins. Ce diagnostic est comparable à l‘audit de conformité RGPD. Il s’accompagne d’une liste pragmatique et concrète d’actions à mener avec leurs priorités. Le dernier livrable de cet audit est une feuille de route complète de votre mise à niveau de sécurité.
Vous saurez par où commencer, quand et comment.
Le RGPD est la première réglementation qui impose de mettre en place des mesures de cybersécurité pour les données en général. Ainsi que pour les données personnelles.
L’audit de sécurité en 5 étapes
Étape 1 – Identifier les risques et lacunes dans les contrôles.
Inventorier et analyser les contrôles, mesures de sécurité techniques ou procédures fonctionnelles en place pour couvrir les risques de sécurité.
Pour mener à bien cette première étape, nous rencontrerons plusieurs personnes clefs du département informatique et de l’entreprise : la direction générale, la direction RH, les responsables opérationnels, etc. Ceci est indispensable pour comprendre clairement votre métier, ses enjeux, les risques afférents, et l’implication du management.
Étape 2 – Analyse de l’architecture
Durant l’audit de sécurité nous examinerons, brièvement, votre architecture de manière générale. Nous nous concentrerons sur les points d’exposition critiques, la protection de votre réseau et vos systèmes ainsi que ceux qui gèrent le cœur de votre métier.
Etape 3 – Scan réseau et vulnérabilité (Optionnel)
En option, nous proposerons un Scan de vulnérabilité et de mapping du réseau. Celui-ci permet de donner une image globale de la sécurisation des serveurs, des stations de travail, des postes spécifiques et des systèmes connectés au réseau. Il s’agira d’un Scan prudent et passif afin de ne pas perturber les systèmes. Nous vous livrerons un rapport commenté/analysé par nos soins.
Étape 4 – Priorisation et établissement d’une proposition de programme de sécurité.
Nous identifierons les menaces réelles pour votre organisation ainsi que les priorités de votre entreprise . Ceci nous permettra d’effectuer une hiérarchisation des actions basée sur les risques et la stratégie.
L’audit de sécurité nous permettra d’établir ensuite une proposition de programme de sécurité, avec sa feuille de route.
Nous vous proposerons un partage des actions , permettant, en fonction de votre charge de travail, de déléguer plus ou moins de tâches au prestataire de sécurité.
Étape 5 – Validation du programme et de la feuille de route priorisée
Ensuite, nous analyserons et reverrons ensemble la proposition de programme sécurité produite.
Les échanges permettront enfin d’arriver à un programme formel. Celui-ci pourra être revu au fur et à mesure, en fonction de l’évolution des menaces, des incidents, et de la disponibilité de vos ressources.
A la fin de cet audit de sécurité, nous délivrerons un programme de sécurité global, une approche stratégique et une feuille de route détaillée, que votre équipe pourra s’approprier.
La sécurité de l’information, qui comprend la cybersécurité, est un élément essentiel de la gestion d’entreprise. Des grandes entreprises aux petites et moyennes , toutes ont besoin de sécuriser leur système d’information et de sécuriser leurs informations.
Le risque Zéro n’existe pas, mais ensemble, nous réduirons vos risque et votre surface d’attaque.
Le coût d’un tel audit varie en fonction de l’entreprise, mais on compte généralement moins de 7500€ HTVA.
Nous nous basons sur des référentiels reconnus tels que l’ISO, Ebios, ANSSI, SANS, etc.