audit cybersécurité.jpg

AUDITS DE SÉCURITÉ ET DE CONFORMITÉ RGPD À GRENOBLE

Un audit de sécurité est une évaluation d’un système, de process, et/ou d’une organisation, afin de visualiser les points faibles ainsi que les points forts du système d’information associé.

 

Un audit de sécurité est généralement réalisé par des prestataires extérieurs, experts du domaine.

 

Lorsqu'on parle d'audit de sécurité, trois formes d’audit existent :

  • L’audit boite noire : cette technique d’audit vise à reproduire une cyber-attaque afin d'identifier un certain nombre de failles qui pourraient permettre aux hackers de compromettre le système. Le consultant ne dispose d’aucune information sur l’entreprise lorsqu’il entreprend son attaque, si ce n’est un nom d’entreprise et/ou une adresse IP, soit des informations très facilement récupérables pour les attaquants. Les conditions réelles d’une attaque sont alors reproduites. Ce type d’audit est également appelé pentest (pour 'penetration testing', test de pénétration en Français).

  • L’audit boite grise : le consultant réalise son attaque en disposant cette fois de quelques informations supplémentaires (telles qu’un accès utilisateur, un identifiant administrateur, etc.) représentant une porte d’entrée vers l’organisation. Ici aussi le consultant utilise une/des information(s) que l’attaquant aurait préalablement pu récupérer pour mener à bien son attaque. Ce type d’audit est également considéré comme un pentest.

  • L’audit boite blanche n’est pas un pentest à proprement parler : aucune attaque n’est perpétrée. Il s’agit d’une analyse de sécurité beaucoup plus poussée. L’audit boite blanche porte ce nom afin d’insister sur l’aspect de 'transparence' : pour ce type d’audit, l’organisation demandeuse fournis aux consultants toutes les informations concernant les données, leurs stockage, leur traitements, les systèmes d’information, etc. Les consultants sont alors chargés d'identifier les failles et les vulnérabilités dans ce système qu’on leur présente. Ce type d’audit permet une prise en compte 360° des failles et vulnérabilités d’une organisation. En ne testant pas uniquement un produit/une application ou une infrastructure réseau, mais repassant en détail toute la conception du système d’information, l’audit boite blanche permet une vision plus complète et holistique de la situation.

Voici donc un tableau comparatif des différents types d’audits 'boite blanche' (ou équivalents) proposés par CyberSecura, en fonction des différents besoins des organisations.

Mis à part le pentest (pour lequel il est précisé qu'il s'agit d'un test d'intrusion) les autres audits présentés ci-dessous sont réalisés en mode boite grise ou blanche.

Pour en savoir plus sur nos prestations d'audits boite noire (pentest) veuillez consulter cette page.

 

AUDITS DE SÉCURITÉ INFORMATIQUE

Sans titre-2.png

* la production des livrables en option n'est pas comprise dans la durée ni dans le prix de la prestation, et ces éléments supplémentaire seront à ajouter à la prestation globale.

AUDITS DE CONFORMITÉ RGPD

Sans titre-3.png

* la production des livrables en option n'est pas comprise dans la durée ni dans le prix de la prestation, et ces éléments supplémentaire seront à ajouter à la prestation globale.

N.B : les volumes horaires ne sont donnés qu'à titre indicatif, et peuvent varier en fonction de la taille de l'organisation, des objectifs d'audit, du périmètre de l'audit, etc.

Sans titre-3.png