top of page

AUDITS DE SÉCURITÉ ET DE CONFORMITÉ RGPD

Les audits de sécurité informatique

Un audit de sécurité est une évaluation d’un système, d'un produit, de process, et/ou d’une organisation, afin de visualiser les points faibles ainsi que les points forts du système d’information associé, avant que ces vulnérabilités ne soient exploitées par des acteurs malveillants.

 

Un audit de sécurité est généralement réalisé par des prestataires extérieurs, experts du domaine.

Un audit peut être technique (et donc porter sur la détection de failles et de vulnérabilités de sécurité à l'intérieur même d'un système, d'un produit ou d'une application) ou non-technique, et ainsi porter sur la sécurité des pratiques organisationnelles internes.

1- Les audits techniques de sécurité

Lorsqu'on parle d'audit technique de sécurité, trois méthodologies d’audit existent :

  • L’audit boite noire : cette technique d’audit vise à reproduire une cyber-attaque afin d'identifier un certain nombre de failles qui pourraient permettre aux hackers de compromettre le système. Le consultant ne dispose d’aucune information sur l’entreprise lorsqu’il entreprend son attaque, si ce n’est un nom d’entreprise et/ou une adresse IP, soit des informations très facilement récupérables pour les attaquants. Les conditions réelles d’une attaque sont alors reproduites. Ce type d’audit est également appelé pentest (pour 'penetration testing', test de pénétration en Français).

  • L’audit boite grise : le consultant réalise son attaque en disposant cette fois de quelques informations supplémentaires (telles qu’un accès utilisateur, un identifiant administrateur, etc.) représentant une porte d’entrée vers l’organisation. Ici aussi le consultant utilise une/des information(s) que l’attaquant aurait préalablement pu récupérer pour mener à bien son attaque. Ce type d’audit est également considéré comme un pentest.

  • L’audit boite blanche n’est pas un pentest à proprement parler : aucune attaque n’est perpétrée. Il s’agit d’une analyse de sécurité beaucoup plus poussée. L’audit boite blanche porte ce nom afin d’insister sur l’aspect de 'transparence' : pour ce type d’audit, l’organisation demandeuse fournis aux consultants toutes les informations concernant les données, leurs stockage, leurs traitements, les systèmes d’information, etc. Les consultants sont alors chargés d'identifier les failles et les vulnérabilités dans ce système qu’on leur présente. Ce type d’audit permet une prise en compte 360° des failles et vulnérabilités d’une organisation. En ne testant pas uniquement un produit/une application ou une infrastructure réseau, mais en repassant en détail toute la conception du système d’information, l’audit boite blanche permet une vision plus complète et holistique de la situation.

Si nous avons tendance à privilégier la méthodologie de la boite blanche pour son exhaustivité, chacun des audits proposés ci-dessous peuvent être réalisés en mode boite blanche, grise ou noire. 

Pour en savoir plus sur nos prestations d'audits boite noire (pentest) veuillez consulter cette page.

audits cyber
audits cyber FR fiches produits.png

* la production des livrables en option n'est pas comprise ni dans la durée ni dans le prix de la prestation et ces éléments supplémentaires seront à ajouter à la prestation globale.

2- Les audits non-techniques de sécurité

Les audits non-techniques ne concernent pas un produit, une application ou un système d'information en particulier mais font état des pratiques de sécurité en interne. CyberSecura vous propose les audits non-techniques suivants :

  • L'audit organisationnel, afin de faire le point sur vos pratiques, procédures et politiques de sécurité en interne.

  • L'audit interne, dans le cadre de la poursuite ou de la mise à jour d'une certification ISO 27001 et afin de tester le SMSI en place, de vérifier les procédures et politiques internes, etc.

  • Le Gap Analysis, également dans le cadre de la poursuite ou de la mise à jour d'une certification ISO 27001 et afin de faire un bilan des éléments actuels et à mettre en place.

Les audits de conformité au RGPD

Ces audits de conformité réglementaire au RGPD ont pour objectif de vous offrir une première visibilité sur votre niveau de conformité ainsi que sur vos enjeux prioritaires de conformité.

audits RGPD FR site.png

* la production des livrables en option n'est pas comprise dans la durée ni dans le prix de la prestation et ces éléments supplémentaires seront à ajouter à la prestation globale.

N.B : les volumes horaires ne sont donnés qu'à titre indicatif et peuvent varier en fonction de la taille de l'organisation, des objectifs d'audit, du périmètre de l'audit, etc.

audits rgpd
bottom of page