Audit de sécurité

Ayant mené une centaine de missions d’audit de sécurité des systèmes d’information pour le compte d’organisations exerçants dans divers domaines d’activité, DATAPROTECT dispose aujourd’hui d’un retour d’expérience très riche et varié en la matière. Des tests d’intrusion externes jusqu’à l’audit de code applicatif, en passant par les tests d’intrusion internes, l’audit des configurations, l’audit d’architecture de sécurité, l’audit de sécurité de poste de travail et l’audit organisationnel de sécurité, l’équipe DATAPROTECT est en mesure d’évaluer les différentes dimensions de la sécurité de l’information, et ce, en se basant sur les standards et référentiels internationalement reconnus.

Notre approche

Pour une mission classique d’audit de sécurité global, notre approche s’articule autour des étapes suivantes :


Audit organisationnel

L’audit organisationnel est réalisé conformément à la norme ISO 27001. Il couvre ainsi l’ensemble des chapitres de la norme tels que :

  • Politiques de sĂ©curitĂ© de l'information
  • Organisation de la sĂ©curitĂ© de l'information
  • SĂ©curitĂ© liĂ©e aux ressources humaines
  • Gestion des actifs
  • ContrĂ´le d'accès
  • Cryptographie
  • SĂ©curitĂ© physique et environnementale
  • SĂ©curitĂ© liĂ©e Ă  l'exploitation
  • SĂ©curitĂ© des communications
  • Acquisition, dĂ©veloppement et maintenance des systèmes d'information
  • Relations avec les fournisseurs
  • Gestion des incidents liĂ©s Ă  la sĂ©curitĂ© de l'information
  • Aspects de la sĂ©curitĂ© de l'information dans la gestion de la continuitĂ© d'activitĂ©
  • ConformitĂ©

Audit technique

L’audit technique couvre plusieurs volets :

- Tests d’intrusion en aveugle

Il s’agit de mener des simulations sans informations au préalable à partir de l’externe. Pour y parvenir nous nous mettons dans la peau d’un hacker qui ne connaît rien du SI de l’organisation cible sauf son nom et d’essayer d’aller le plus loin possible.

- Tests d’intrusion internes

A travers les tests internes, nous allons devoir simuler des attaques à partir de l’interne pour savoir jusqu’à quel point un utilisateur, certes qui a un accès légitime au système, peut aller. Plusieurs scénarios doivent être explorés à travers ces tests. Il s’agit notamment de :

  • DĂ©tournement des mĂ©canismes d’authentification sur les applications mĂ©tiers
  • Audit d’étanchĂ©itĂ© sur les applications critiques
  • Ecoute rĂ©seau
  • Captation des messages
  • Usurpation des identitĂ©s
  • DĂ©nis d’accès
  • Gagner en privilège
- Audit d’architecture

A travers l’audit d’architecture, l’équipe DATAPROTECT examinera le positionnement des différents dispositifs de sécurité au niveau de l’architecture ainsi que la stratégie de sécurité sur les périmètres internes et externes mise en place. Au terme de cette analyse, un design d’architecture de sécurité réseau sera remis, et ce, en tenant compte des failles de sécurité identifiées, du dimensionnement du réseau ainsi que des nouvelles menaces auxquelles l’organisation cible devrait faire face.

- Audit de configuration

Il s’agit de revoir les configurations des dispositifs de sécurité et de les examiner en fonction des meilleures pratiques dans le domaine.

- Audit de poste de travail

Il s’agit d’auditer la sécurité du poste de travail en conformité avec les meilleures pratiques dans le domaine.


Plan d'actions

L’audit organisationnel et technique de la sécurité permettront à l’équipe DATATAPROTECT d’élaborer un plan d’actions détaillé et d’identifier les différents chantiers de sécurité sur le court, moyen et long terme.


Nos atouts

La réalisation des missions d’audit de sécurité SI a été conçue comme une offre à valeur ajoutée, à travers :

- La réalisation de la mission par des consultants compétents:
  • Consultants formĂ©s et certifiĂ©s : CEH, OSCP, CISSP, CISA, PCI QSA, PA QSA, CISSP, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer,
  • Consultants expĂ©rimentĂ©s : expĂ©rience confirmĂ©e sur des projets similaires
  • Respect de la confidentialitĂ© : Elaboration d’un protocole de communication pour une meilleure protection et communication des rĂ©sultats d’audit
- Un très bon retour d’expérience en sécurité des systèmes d’information:
  • Plus de 100 missions d’audit de sĂ©curitĂ© SI
  • Veille permanente en matière de sĂ©curitĂ© SI
  • Expertise et outillage spĂ©cifique pour les tests d’intrusion
- La mise en place d’un Laboratoire d’Ethical Hacking :
  • La norme est largement redondante et nĂ©cessite une lecture adaptĂ©e
  • L’approche 27001 n’est pas un gage de qualitĂ© propre mais de l’amĂ©lioration continue
  • L’approche 27001 contribue aux besoins rĂ©glementaires (ex. : PCI-DSS) sous rĂ©serve d’ajustements de l’approche
- Une accréditation mondialement reconnue en tant que PCI QSA et PA QSA

Nos références

DATAPROTECT a mené une centaine de missions d’audit de sécurité pour le compte des organisations de renom aussi bien au Maroc que dans la région. Nous pouvons en citer notamment :