AUDITS DE SÉCURITÉ ET DE CONFORMITÉ RGPD
Les audits de sécurité informatique
Un audit de sécurité est une évaluation d’un système, d'un produit, de process, et/ou d’une organisation, afin de visualiser les points faibles ainsi que les points forts du système d’information associé, avant que ces vulnérabilités ne soient exploitées par des acteurs malveillants.
Un audit de sécurité est généralement réalisé par des prestataires extérieurs, experts du domaine.
Un audit peut être technique (et donc porter sur la détection de failles et de vulnérabilités de sécurité à l'intérieur même d'un système, d'un produit ou d'une application) ou non-technique, et ainsi porter sur la sécurité des pratiques organisationnelles internes.
1- Les audits techniques de sécurité
Lorsqu'on parle d'audit technique de sécurité, trois méthodologies d’audit existent :
-
L’audit boite noire : cette technique d’audit vise à reproduire une cyber-attaque afin d'identifier un certain nombre de failles qui pourraient permettre aux hackers de compromettre le système. Le consultant ne dispose d’aucune information sur l’entreprise lorsqu’il entreprend son attaque, si ce n’est un nom d’entreprise et/ou une adresse IP, soit des informations très facilement récupérables pour les attaquants. Les conditions réelles d’une attaque sont alors reproduites. Ce type d’audit est également appelé pentest (pour 'penetration testing', test de pénétration en Français).
-
L’audit boite grise : le consultant réalise son attaque en disposant cette fois de quelques informations supplémentaires (telles qu’un accès utilisateur, un identifiant administrateur, etc.) représentant une porte d’entrée vers l’organisation. Ici aussi le consultant utilise une/des information(s) que l’attaquant aurait préalablement pu récupérer pour mener à bien son attaque. Ce type d’audit est également considéré comme un pentest.
-
L’audit boite blanche n’est pas un pentest à proprement parler : aucune attaque n’est perpétrée. Il s’agit d’une analyse de sécurité beaucoup plus poussée. L’audit boite blanche porte ce nom afin d’insister sur l’aspect de 'transparence' : pour ce type d’audit, l’organisation demandeuse fournis aux consultants toutes les informations concernant les données, leurs stockage, leurs traitements, les systèmes d’information, etc. Les consultants sont alors chargés d'identifier les failles et les vulnérabilités dans ce système qu’on leur présente. Ce type d’audit permet une prise en compte 360° des failles et vulnérabilités d’une organisation. En ne testant pas uniquement un produit/une application ou une infrastructure réseau, mais en repassant en détail toute la conception du système d’information, l’audit boite blanche permet une vision plus complète et holistique de la situation.
Si nous avons tendance à privilégier la méthodologie de la boite blanche pour son exhaustivité, chacun des audits proposés ci-dessous peuvent être réalisés en mode boite blanche, grise ou noire.
Pour en savoir plus sur nos prestations d'audits boite noire (pentest) veuillez consulter cette page.
* la production des livrables en option n'est pas comprise ni dans la durée ni dans le prix de la prestation et ces éléments supplémentaires seront à ajouter à la prestation globale.
2- Les audits non-techniques de sécurité
Les audits non-techniques ne concernent pas un produit, une application ou un système d'information en particulier mais font état des pratiques de sécurité en interne. CyberSecura vous propose les audits non-techniques suivants :
-
L'audit organisationnel, afin de faire le point sur vos pratiques, procédures et politiques de sécurité en interne.
-
L'audit interne, dans le cadre de la poursuite ou de la mise à jour d'une certification ISO 27001 et afin de tester le SMSI en place, de vérifier les procédures et politiques internes, etc.
-
Le Gap Analysis, également dans le cadre de la poursuite ou de la mise à jour d'une certification ISO 27001 et afin de faire un bilan des éléments actuels et à mettre en place.
ILS TÉMOIGNENT
Guillaume Lepelletier, CTO chez Kheoos
"Les éléments que j’ai particulièrement apprécié dans la solution apportée par CyberSecura ont été cet aspect d’accompagnement “sur-mesure”. [...]
CyberSecura a vraiment essayé de comprendre nos besoins et d’adapter son offre en fonctions de nos besoins, et de nos moyens"
Stéphane Dothee, CEO chez Odonatech
"Nous avons choisi de confier cette mission à CyberSecura pour son professionnalisme reconnu, et pour la proximité de nos deux entreprises. [...]. Nous avons particulièrement apprécié la réactivité des équipes."
LES ÉTUDES DE CAS CLIENT
Afin que vous puissiez découvrir plus en détail nos prestations d'audit de sécurité.
Audit d'état des lieux
Pour Odonatech, solution logicielle à destination des institutions financières.
Audit approfondi
Pour Kheoos, place de marché BtoB pour les pièces de maintenance industrielle.
Les audits de conformité au RGPD
Ces audits de conformité réglementaire au RGPD ont pour objectif de vous offrir une première visibilité sur votre niveau de conformité ainsi que sur vos enjeux prioritaires de conformité.
* la production des livrables en option n'est pas comprise dans la durée ni dans le prix de la prestation et ces éléments supplémentaires seront à ajouter à la prestation globale.
N.B : les volumes horaires ne sont donnés qu'à titre indicatif et peuvent varier en fonction de la taille de l'organisation, des objectifs d'audit, du périmètre de l'audit, etc.
ILS TÉMOIGNENT
Laurent Sabot, Data Analyst à l'Office du Tourisme des 2 Alpes
"Cette étude de conformité nous a permis de mettre en lumière des opportunités qui ont tout de suite parlé aux différents décisionnaires. David nous certifiait que le RGPD ce n’était pas que des contraintes mais aussi beaucoup d’opportunités, ce qu’on a souvent du mal à croire quand on parle de réglementation. [...] Mais le résultat était tout inverse donc nous étions très contents.”
Lounis Lakhal, Co-fondateur de CountAct
"Nous avons trouvé ces diagnostics flash très adaptés aux start-ups : tout d’abord car la cybersécurité et la protection des données sont des enjeux très actuels, et puis pour ce côté gratuit aussi, qui permet aux plus petites entreprises comme nous d'avoir 'un pied dedans' ".
LES ÉTUDES DE CAS CLIENT
Afin que vous puissiez découvrir plus en détail nos prestations d'audit de conformité RGPD.
Étude de conformité de projet, privacy by design
Pour la Marie et l'Office du Tourisme des 2 Alpes en Isère.
Étude flash
Pour CountAct, start-up technologique.
Vous êtes une start-up, une TPE-PME ?
Découvrez nos offres de services exclusivement réservées aux petites entreprises !