Engagée dans une démarche de qualification PASSI, la société Trust&Cie a vocation à devenir un Prestataire d’Audit de la Sécurité des Systèmes d’Information. Cette qualification viendra sanctionner la qualité des procédures mises en œuvre lors de nos prestations d’audit et les compétences de nos auditeurs.
Celles-ci s’exerceront dans le cadre du référentiel régissant les activités d’audit PASSI et dans les 4 domaines principaux :
– Audit organisationnel et physique [ORGAPHY],
– Audit d’architecture [ARCHI],
– Audit de configuration [CONF],
– Tests d’intrusion [PENTEST].
Complémentaires pour apprécier le niveau de sécurité d’un système d’information (SI), ces prestations offrent à l’entité auditée l’opportunité d’évaluer la conformité de tout ou partie de leur système vis-à-vis d’un ensemble de règles, de bonnes pratiques, de guides, de référentiels, ou de normes, mais aussi de d’en identifier les vulnérabilités.
Cette qualification viendra sanctionner la qualité des procédures mises en œuvre lors de nos prestations d’audit et les compétences de nos auditeurs.
Cette prestation va comporter :
• Un volet documentaire, qui s’attachera à examiner comment l’entité auditée a documenté ses pratiques, la pertinence et la cohérence des documents.
• Et un volet pratique, qui vérifiera que ces politiques et procédures sont correctement implémentées, et que les personnels concernés les maitrisent suffisamment pour garantir que le système d’information cible est correctement maintenu en conditions opérationnelles et de sécurité.
—
Lors de cette prestation, les auditeurs vont donc examiner le corpus documentaire établi par l’entité et conduire des entretiens complémentaires avec différentes personnes, représentant les services concernés : Responsable de la sécurité de l’information (RSSI), Directeur des systèmes d’information (DSI), Responsable des opérations, Responsable du développement et développeurs ainsi que la Direction Générale.
Ils s’attacheront également à vérifier les moyens de protection physique mis en place pour protéger l’information au sein de l’entité : protection des postes de travail, authentification des utilisateurs, sécurité des locaux hébergeant des serveurs ou des postes de travail, etc.
La prestation est réalisée en partie dans nos locaux et en partie sur le site désigné par le client.
Les auditeurs vont accorder la plus grande attention aux documents décrivant l’architecture technique du SI et interviewer les personnes en charge de sa conception et de sa maintenance : Responsable de la sécurité de l’information (RSSI), Directeur des systèmes d’information (DSI), ou architecte réseau. Les interconnexions avec des réseaux tiers et tout particulièrement Internet seront étudiées sous l’angle de la sécurité de l’information et de la résilience. Ainsi, les mesures de défense périmétrique et de défense en profondeur déployées par l’organisation seront d’une grande importance dans la capacité de résistance aux incidents.
Cette architecture sera confrontée aux bonnes pratiques du domaine, telles que notamment celles définies par l’ANSSI. Le rapport produit à la fin de la prestation permettra de mettre en évidence les zones de fragilité et de déterminer les actions correctives à mettre en place.
Cette prestation va donc conduire les auditeurs à examiner attentivement la documentation produite par l’entité auditée, que ce soit la description des paramètres initiaux pour tel ou tel type d’équipement, mais également les procédures de mises à jour, de sauvegarde, de gestion des comptes ou l’authentification des utilisateurs distants. Les éléments relevés dans la documentation sont confrontés à ceux relevés sur le terrain (sans que les auditeurs n’interviennent directement sur les équipements), et évalués au regard des bonnes pratiques répandues dans l’industrie (ANSSI, CIS, etc.).
Les points de contrôle principaux portent sur la gestion des utilisateurs (notamment distants), les éléments d’authentification, les politiques de sécurité, et la configuration des différents logiciels.
Etape ultime de la validation du niveau de sécurité atteint par le système d’information, les tests d’intrusion, aussi appelés « tests de pénétration » ou pentest, visent à détecter les vulnérabilités présentes sur le système et vérifier si elles sont exploitables par un attaquant potentiel. Ces tests vont mettre à l’épreuve le système de sécurité déployé par l’entité auditée en évaluant et testant chacune des mesures de protection mise en œuvre.
Effectués selon plusieurs modes de travail, les tests d’intrusion nécessitent une grande technicité et font l’objet d’un encadrement méthodologique strict, afin de garantir l’invariance du système audité.
Ils sont donc réalisés par des experts confirmés qui peuvent opérer :
—
• En mode « boite noire » : ils ne disposent d’aucune information sur le système testé et se placent donc dans le rôle d’un attaquant externe malveillant (le fameux « hacker »).
• En mode « boite blanche » : à l’inverse du mode précédent, les auditeurs disposent, grâce à leurs échanges avec les équipes du client, de nombreuses informations relatives à la configuration du SI. Plus proche d’un audit formel, ce mode offre en revanche la possibilité de tester des couches profondes du système d’information.
• En mode « boite grise » : compromis entre les modes « boite noire » et « boite blanche », ce mode autorise les auditeurs à obtenir quelques informations sur le système cible et permet par exemple de simuler une attaque interne. Les scénarios déroulés les placent souvent dans le rôle d’un salarié ou ancien salarié, ou d’un intervenant externe.
Cette prestation requiert une définition précise du périmètre de l’audit, ainsi des attentes du client. Elle impose la validation d’une convention qui offre un cadre légal aux interventions des auditeurs, décrit les responsabilités des acteurs et inclut notamment les limites des opérations acceptées.
—
Toutes les prestations réalisées par Trust & Cie sont conclues par une réunion de clôture, qui permet aux auditeurs de parcourir avec les responsables concernés toutes les vulnérabilités ou faiblesses détectées et d’apporter leurs conseils pour leur résolution.
Un rapport détaillé est ensuite livré au client, ouvrant sur une synthèse destinée à la Direction Générale, qui pourra ainsi apprécier les impacts métier des éventuelles faiblesses relevées et évaluer les investissements à prévoir pour améliorer le niveau de sécurité global. Le rapport liste ensuite, de façon détaillée, l’ensemble des éléments audités, les techniques et outils mis en œuvre et les constatations contextualisées des auditeurs.
Enfin, un plan d’action correctif est proposé par l’équipe d’audit, qui prend en compte les priorités à accorder aux différentes actions, les budgets associés et les ressources dont dispose le client.
— “Une prestation est considérée conclue lorsque le client a explicitement accepté le rapport livré”.
Les auditeurs procèdent alors, selon les choix consignés dans le contrat initial, à la restitution ou la destruction de tous les éléments collectés ou produits pendant la prestation, pour des raisons évidentes de sécurité.
Trust&Cie est un cabinet d’audit
spécialisé dans la sécurité numérique.
Centre d’Affaires Alta Rocca, Bât A,
1120 route de Gémenos
13400 Aubagne
(+33) 7 56 944 007
—
contact@trustandcie.fr
Mentions légales I Politique de confidentialité I © TRUST&CIE 2023