L’audit et le conseil en sécurité informatique sont des activités qui se développent de plus en plus. Ceci s’explique entre autres par les récents évènements en matière de sécurité, la multiplication des actes de cyber-malveillance, les nombreux sinistres informatiques vécus par les entreprises…
De nos jours, les entreprises deviennent progressivement de plus en plus dépendantes de leur système informatique. Une faille dans le système provoquerait inévitablement une cessation de l’activité, aux conséquences financières importantes.
Enfin, l’adhésion à certains référentiels de sécurité comme Ebios exigent des audits réguliers afin de maintenir un niveau de maturité cyber correct.
C’est pour ces différentes raisons qu’Exig vous propose la réalisation d’audits, accompagnés de conseils, en sécurité informatique.
Pourquoi faire un audit de sécurité?
L’audit de sécurité informatique est une mesure de prévention parmi tant d’autres, qui vous aide à protéger votre entreprise de tout type d’incident.
Nous vous proposons de faire le point avec vous sur votre sécurité en interne, afin de vous permettre de vous « situer » un peu plus en terme de sécurité.
Ce type d’audit vous permet également de percevoir quels sont les risques qui pèsent sur votre infrastructure IT. Chaque point qui relevé par notre équipe lors de l’audit est accompagné d’un patch ou d’une contre-mesure, permettant de diminuer ou d’éliminer un risque.
Les objectifs de l’audit de sécurité
La réalisation d’un audit permet à l’entreprise d’atteindre plusieurs objectifs en matière de sécurité informatique :
- Réagir ou se préparer à une attaque informatique,
- Avoir un état des lieux du niveau de sécurité du système informatique,
- Tester la mise en place d’une Politique de Sécurité du Système d’Information,
- Tester une nouvelle solution ou un nouvel équipement,
- Évaluer une évolution en terme de sécurité.
Comment se déroule l’audit de sécurité ?
L’audit peut s’étendre sur une durée qui va d’une journée à une semaine. Il commence généralement par une interview des personnes jouant un rôle à l’intérieur du SI : DSI (direction du système d’information), le RSSI (responsable de la sécurité des systèmes d’informations), les administrateurs et les utilisateurs . Dans certains cas, la présence du DPO (Délégué à la Protection des Données) est indispensable.
Il peut être mené de plusieurs façons différentes: audit en boîte noire, audit en boîte grise, audit en boîte blanche et audit ciblé (cf. « les différents types d’audit » ci-dessous).
Au terme de l’audit, nous vous fournissons un rapport qui répertorie l’ensemble des informations récoltées par notre équipe. Ce rapport vous indique également un score subjectif évaluant la qualité de votre sécurité informatique.
Le conseil en sécurité informatique
La notion de conseil est étroitement liée à l’activité d’auditeur. C’est pourquoi EXIG fait le choix de proposer une prestation de conseil en sécurité informatique.
Cette prestation commence pour notre équipe par une veille continue de l’actualité cyber, et le choix de sujets pertinents à aborder en formation. Ces formations ont pour but de sensibiliser les internautes et de leur inculquer des notions de base en sécurité.variées.
Ces conseils sont également transmis aux internautes sous forme de webinaires (conférences en ligne) réguliers. Ils sont dispensés à titre gratuit.
Ces webinaires sont suivis d’une période d’échange avec le formateur.
Ils peuvent également être effectués à la demande ou sur un sujet particulier, moyennant une participation financière.
Les différents types d’audit de sécurité informatique
Audit en boîte noire
L’audit en boite noire est mené avec très peu d’informations sur votre entreprise (bien souvent, on dispose uniquement de quelques adresses IP ou d’une interface web). Le but de celui-ci est de s’introduire dans votre système d’information et d’en prendre le contrôle.
Audit en boîte grise
L’audit en boite grise se déroule avec un accès de type « utilisateur » sur le système informatique. Pour cela, nous pouvons être amenés à nous connecter avec les mêmes droits que vos collaborateurs, sans pour autant obtenir des droits administrateurs.
Audit en boîte blanche
L’audit en boite blanche est orchestré en tant qu’administrateur du système. Au cours de cet audit, nous pouvons accéder directement aux fichiers de configuration et à la documentation de votre SI. Il s’agit de l’audit le plus répandu car l’auditeur identifie rapidement les failles de sécurité.
Audit ciblé / orienté
L’audit peut également être orienté dans une direction particulière, pour correspondre par exemple a un référentiel de sécurité. Il peut s’agir d’un contrôle de conformité PASSI, LPM (Loi prog militaire), ISO 270001 ou 27002, PCI-DSS ou encore HDS.
Vous souhaitez réaliser un audit de sécurité informatique
Indiquez nous vos coordonnées ci-dessous en précisant « audit de sécurité informatique » en objet et notre équipe vous recontactera dans les plus brefs délais.
