Les offres Audits Sécurité techniques et organisationnels regroupent les prestations suivantes :

AUDITS TECHNIQUES :

• Tests d’intrusion : externes (depuis Internet) ou internes (connecté au réseau de l'entreprise), les tests d'intrusion ont pour but de simuler les actions d'un pirate ou d'un employé malicieux. De l'application WEB au système d'information complet de la compagnie, la prestation consiste à révéler les failles de sécurité en usant de tous les moyens techniques connus par les experts. Ensuite, les auditeurs seront en charge d'évaluer les risques associés pour finalement proposer un plan d'action complet pondéré par le contexte de l'entreprise. L'objectif d'un tel audit est d'augmenter significativement le niveau de sécurité du périmètre audité.

Audit de vulnérabilités : cet audit est souvent réalisé durant un test d'intrusion. Moins approfondi que ce dernier, il est réalisé très rapidement et permet d'avoir une vue sur les principales failles de sécurité visibles sur les systèmes ou équipements réseau audités. A l'issue de l'audit, un plan d'action est établi tenant compte de la politique de mise à jour et les problèmes de sécurité les plus connus. S'en suit une phase d'analyse sur les risques encourus et l'établissement d'un plan d'action sur les éléments de sécurité à améliorer ou corriger. Audit de configuration : Appelé aussi audit en "boîte blanche", les audits de configurations sont plus approfondis puisque l'expert dispose de toutes les informations techniques sur le Système d’Information. Cela lui permet de compléter la recherche des failles existantes par la détection de points faibles liés à la configuration des équipements audités. Comme pour les autres types d'audit, un rapport complet, un rapport managérial et un plan d'action seront remis au client à la fin de la prestation.

• Audit Wifi, VoIP, PDA : L'audit des réseaux sans fil, des télécommunications sur IP et des solutions sans fil permet d'évaluer la sécurité des informations transmises en termes de confidentialité et d'intégrité dans un premier temps. Puis, les contrôles d'accès et les moyens d'authentification sont étudiés pour déterminer les risques existants. La sécurisation des réseaux Wifi, de la VoIP et des PDA est souvent critique en raison notamment de la jeunesse relative de leur implémentation.

Audit applicatif : La plupart du temps, un audit applicatif est mené avant la mise en production d'une application sur Internet ou son déploiement sur le réseau interne de la compagnie. Pour s'assurer que la mise à disposition de la solution n'engendre pas de risque de sécurité qui compromettrait le niveau de sécurité global du Système d’Information, l'audit est réalisé en ciblant à la fois l'application et son environnement. L'expert aura pour objectif de repérer les failles de l'application afin de les exploiter et connaître le niveau d'information disponible pour une personne malicieuse. Audit de code : Quand une application est critique ou représente un enjeu financier ou d'image pour une entreprise, l'audit de code permet de révéler de manière exhaustive ses faiblesses. Le but est donc d'évaluer son niveau de sécurité et d'évaluer les menaces et risques induits. A noter qu'une telle prestation peut conduire à la certification de l'application auditée dans le cadre d'une CSPN [Plus d'info].

• Audit Post-Mortem :
Parce que personne n'est à l'abri d'une attaque réussie, la compagnie touchée aura besoin de connaître :
• la cause de l'incident et les méthodes de prévention pour éviter qu'il se reproduise ;
• les conséquences de l'incident pour évaluer les pertes éventuelles.


• Audit des réseaux industriels :
Les réseaux industriels ont suivi l'évolution technologique et sont de plus en plus mutualisés avec les éléments du Système d’Information classique de la société. Cela implique des risques supplémentaires en termes de sécurité de l'information. Quand on connaît les conséquences possibles d'une attaque réussie sur un tel réseau, il paraît nécessaire de connaître le niveau de sécurité de celui-ci afin de se parer aux éventuelles failles. L'audit est ici réalisé sur tous les éléments de l'Information Control System (i.e. les éléments SCADA, DCS et PLC) contenus dans le périmètre défini.

AUDITS ORGANISATIONNELS :

• Audit flash ISO 27002 : Réalisé en quelques jours, l'audit flash ISO 27002 permet de couvrir les principaux chapitres de la norme. En s'appuyant sur l'interview des interlocuteurs clés de l'entreprise et de l'expertise des auditeurs certifiés Lead Auditor, la prestation permet de faire un point sur l'état des lieux de la compagnie vis-à-vis de la méthodologie ISO.
  

Audit de conformité ISO 27001/27002 : Le périmètre de l'audit porte sur le niveau d'application des bonnes pratiques de l'ISO 27002 (articles 5 à 15 de la norme ) et sur l'évaluation du niveau de gestion de la sécurité selon le modèle d'amélioration continue PDCA préconisé par l'ISO 27001, les phases d'établissement, de mise en œuvre, de contrôle et d'amélioration continue de la sécurité sont donc évaluées. Cet audit (ou état des lieux) constitue une étape préliminaire pour toute entreprise souhaitant mettre en œuvre un Système de Management de la Sécurité de l'Information (SMSI). Audit de maturité : Pour les entreprises disposant d'un référentiel de sécurité conséquent (politiques, procédures et règles de sécurité nombreuses), l'objectif est de fournir au Responsable Sécurité des Systèmes d'Information une visibilité des procédures et règles de sécurité de l'entreprise (et non pas de bonnes pratiques supposées) appliquées ou non sur le terrain (ce qui implique la modélisation de vos règles de sécurité pour établir les questionnaires) en vue de préparer un plan d'actions pluri annuel basé sur la refonte, la mise à jour des politiques et procédures, la création de nouvelles procédures et les priorités en matière de communication.

• Audit PCI/DSS : Doté d'une double expertise en monétique et en sécurité, l'ESEC peut aider les entreprises stockant, traitant ou transmettant de données cartes de paiement à se mettre en conformité avec les standards sécuritaires PCI-DSS.
  

AUDITS COMBINES :

• Audits techniques & Audit flash ISO 27002
  


• Audits techniques & Audit PCI/DSS
  

Récapitulatif de nos offres Audit

• Télécharger la plaquette de notre offre Audit [PDF]
• Télécharger la plaquette de notre offre Tests d'intrusion [PDF]
• Télécharger la plaquette de notre offre Tests de vulnérabilité et audit de configuration [PDF]
• Télécharger la plaquette de notre offre Audit applicatif [PDF]
• Télécharger la plaquette de notre offre Audit Flash ISO 27002 [PDF]
• Télécharger la plaquette de notre offre Audit SMSI [PDF]