Audit d'architecture

Contexte

Les systèmes modernes sont souvent composés de multiples couches (applications, API, services, réseaux, plateformes cloud, etc.). Une mauvaise articulation ou des choix non sécurisés peuvent créer des risques systémiques. L’audit d’architecture permet de :

• Cartographier les composants et leurs interactions

• Détecter les ruptures de sécurité dans les flux

• Évaluer la cohérence globale des mécanismes de défense

A qui s'adresse cette offre ?

Vous êtes une PME ayant déjà commandé plusieurs audits, ce qui vous a permis d'acquérir un bon niveau de maturité cyber.

Vous souhaitez aller plus loin et vous assurer que l'architecture globale de votre système d'informations permet un niveau de sécurisation optimal.

Exemples :

• Cloisonnement des flux réseaux ;

• Robustesse des mécanismes d'authentification ;

• Détection et prévention des attaques ;

• Etc.

Un audit d'architecture couvre tous ces aspects. Il vous permet d'avoir une vision globale du niveau de sécurisation de votre système d'informations afin de l'amener au sommet des standards de sécurité actuels. En parallèle, des audits de configuration ciblés peuvent être menés afin d'améliorer la profondeur du livrable.

Avec QS, vous faites le choix d'un prestataire réactif assurant un niveau de qualité à l'état de l'art, et ce pour un tarif 20% inférieur au marché.

Étapes

En nous faisant confiance pour effectuer cette prestation, voici ce à quoi vous pouvez vous attendre.

Réunion de cadrage

Également appelé "kickoff", ce point réunit tous les acteurs nécessaires au bon déroulement de la prestation, incluant :

• L'expert en charge de l'audit ;

• Votre RSSI ;

• Un responsable d'architecture de votre SI (DSI, architecte réseau).

Ce point doit idéalement être planifié en amont de la prestation afin de déterminer les prérequis à fournir, confirmer les dates des tests et leurs modalités.

Les prérequis sont nombreux et incluent également toute la documentation relative au système d'informations, les schémas d'architecture réseau, les procédures d'administration, les matrices de flux, etc.

Déroulement de l'audit - méthodologie

L'audit d'architecture repose sur l'analyse de l'existant et implique les actions suivantes :

• Analyse de la documentation fournie ;

• Réunions avec les personnes compétentes afin d'approfondir l'analyse de la documentation ou couvrir les angles morts ;

• Énumération des points conformes et non conformes, rédaction du livrable et des mesures de remédiation.

L'audit se base sur l'expertise du consultant, notre capitalisation interne ainsi que sur des référentiels éprouvés selon le composant à auditer :

• Les référentiels CIS ;

• Les publications de l’ANSSI ;

• Les recommandations de sécurisation de l'éditeur de la solution auditée.

Remise du rapport d'audit

Un rapport d'audit au format PDF vous sera remis à l'issue des tests. Il se compose notamment des éléments suivants :

• Une synthèse managériale présentant les risques stratégiques et métiers identifiés, pondérés en fonction de vos enjeux spécifiques ;

• Un tableau récapitulatif des vulnérabilités identifiées et des recommandations associées ;

• Une synthèse technique offrant un aperçu des forces et des axes d'amélioration organisationnels et techniques ;

• Le détail des points de conformité et non-conformité, avec pour chacun :

  • Une description succincte ;

  • Le résultat attendu ;

  • Le constat ;

  • Le cas échéant, les mesures de remédiation à implémenter.

Réunion de restitution

Après livraison du rapport, une réunion de restitution de 30 à 60 minutes est organisée avec les parties prenantes ayant pris connaissance du rapport.

L'objectif n'est pas de détailler le livrable dans une présentation, mais de présenter les principaux risques, les vulnérabilités les plus critiques, leurs recommandations et conclure sur le niveau de sécurité observé durant la prestation.

C'est également l'occasion de traiter des points spécifiques du rapport qui nécessitent des informations supplémentaires en harmonie avec le contexte client.