De même que le propriétaire d’une maison individuelle fera, sans méthodologie particulière, la liste des menaces qui pèsent sur sa propriété afin de la protéger au mieux, le responsable d’un système d’information se doit d’évaluer les vulnérabilités qui pourraient affecter le fonctionnement de ce système.
Il va donc procéder à une évaluation précise du périmètre technique et métier qu’il veut protéger et déterminera alors les évènements qui pourraient entrainer un dysfonctionnement quelconque des services opérés dans ce périmètre.
Ces menaces (ou « évènements redoutés ») peuvent résulter de causes diverses : est-ce un attaquant externe qui cherche à s’emparer de données sensibles, est-ce un employé de la compagnie qui fait une erreur de manipulation, est-ce une fragilité particulière dans le circuit d’alimentation de l’infrastructure qui provoquerait un arrêt des serveurs ?
Faiblesses et menaces connues, le responsable peut calculer les risques pèsent sur le SI : c’est en effet la conjonction d’une vulnérabilité et d’une menace pouvant l’exploiter qui crée le risque !
Il lui faut alors maintenant imaginer les scenarios qui permettraient d’activer le risque pour commencer à envisager les mesures de protection nécessaires :
• Peut-on annuler ou diminuer le risque en ajoutant des éléments matériels ou logiciels ?
• En formant mieux le personnel ?
• En contrôlant plus régulièrement le data center ?
Toutes les étapes de cette procédure peuvent aujourd’hui s’appuyer sur des méthodologies robustes d’analyse des risques, telles qu’AMDEC ou EBIOS.
Les cybercriminels peuvent tenter d’exploiter les vulnérabilités des systèmes en suivant diverses tactiques, selon qu’ils visent un individu particulier (ex. le dirigeant d’une société), un groupe de personnes (ex. le département Achats d’un grand groupe ou des concessionnaires automobiles) ou le maximum de personnes.
Toutes ces méthodes sont étudiées par nos experts, qui les pratiquent eux-mêmes sur des systèmes de tests afin d’en comprendre tous les rouages et maintenir leur expertise par une veille quasi-quotidienne.
Pour atténuer l’impact que pourrait avoir un incident de sécurité, plusieurs outils sont à la disposition des responsables.
Trust & Cie peut vous fournir des formations sur-mesure et l’assistance nécessaire pour augmenter votre résilience face aux dangers de la vie numérique.
Autrefois vécu comme un contrôle fiscal, l’audit est aujourd’hui un moyen de contrôle normalisé des capacités d’une organisation à protéger l’information qu’elle génère ou détient. Portant sur plusieurs volets de ces capacités, l’audit peut se concentrer sur les procédures mises en place, les mesures techniques déployées ou la résistance des composants du système d’information.
Les auditeurs s’appuient sur plusieurs référentiels selon le type d’audit retenu ISO 2700x, guide OWASP, guide d’hygiène informatique de l’ANSSI, etc. et vont contrôler a minima que :
• Les méthodes de protection de l’information sont documentées.
• Les documents identifiés sont correctement implémentés.
• Les personnes habilitées à développer et configurer le SI disposent des compétences nécessaires.
• L’infrastructure est suffisamment robuste pour résister aux principales menaces.
Le rapport d’audit présentera alors des vues synthétique et détaillée des vulnérabilités détectées et des conseils pour les corriger. L’organisation auditée dispose ainsi d’une photo instantanée de son niveau de sécurité et des éléments nécessaires pour concevoir son plan d’amélioration et de suivi.
— Trust & Cie s’est engagée dans une démarche de qualification PASSI pour vous offrir le meilleur niveau de service dans ses prestations d’audit.
Trust&Cie est un cabinet d’audit
spécialisé dans la sécurité numérique.
Centre d’Affaires Alta Rocca, Bât A,
1120 route de Gémenos
13400 Aubagne
(+33) 7 56 944 007
—
contact@trustandcie.fr
Mentions légales I Politique de confidentialité I © TRUST&CIE 2023