Audits organisationnels

Nous vérifions que les politiques et procédures définies pour assurer le maintien en conditions opérationnelles et de sécurité du système d’information audité sont conformes aux besoins de notre client, à l’état de l’art et aux normes en vigueur. De même, nous vérifions que ces politiques et procédures complètent correctement les mesures techniques mises en place et qu’elles sont efficacement mises en pratique.

Objectifs

  • Vérifier la présence et la complétude des politiques et procédures de sécurité
  • Étudier leur conformité par rapport au besoin et à l'état de l'art en sécurité
  • Qualifier leur efficacité technique et leur couverture
  • Vérifier leur mise en application au sein du système d'information

Étapes

  1. Collecte et analyse de la documentation

    Ex : PSSI, PCA, PRA, Contrat, Guide d'installation, Procédures d'exploitation
  2. Interview des collaborateurs clés

    Ex : DSI, RSSI, Responsable d'architecture, Ingénieur sécurité
  3. Audit technique par échantillon

    Ex : configuration d'un serveur, rapport d'incident de sécurité

Thématiques abordées

Les thématiques abordées dans le cadre de nos audits organisationnels sont basés sur la méthodologie ISO 27002 :

  • Politiques de sécurité
  • Organisation de la sécurité
  • Sécurité des ressources humaines
  • Gestion des assets de la société
  • Control d'accès
  • Chiffrement
  • Sécurité physique
  • Opérations de sécurité
  • Sécurité des communications
  • Acquisition, développement et maintenance du système
  • Relation avec les tiers
  • Gestion des incidents de sécurité
  • Gestion de la continuité d'activité

Points de contrôles techniques

Les points techniques vérifiés dans le cadre de nos audits organisationnels sont en partie basés sur le guide d'hygiène de l'ANSSI

  • Accès physique
  • Administration à distance
  • Contrôle d'accès
  • Gestion des habilitations
  • Protection contre l'intrusion
  • Renforcement des configurations
  • Cloisonnement réseau
  • Accès internet
  • Connexion d'équipements
  • Supervision et alertes
  • Gestion des événements
  • Gestion de la sauvegarde/restauration
  • Application des mises à jour et correctifs
  • Redondance des plateformes
  • Continuité et reprise d'activité
  • Formation/Sensibilisation
  • Relation Fournisseurs
  • Entrée/Sortie de personnel