Audit de configuration

Contexte

Un mauvais paramétrage est l’une des causes majeures d’incidents de sécurité. L’audit de configuration cible un équipement ou service spécifique en évaluant notamment :

• Les paramètres système (OS, services, journaux)

• Les configurations réseau (firewalls, règles, segmentation)

• Les contrôles d’accès et permissions

• Les politiques de sécurité

• La cohérence avec des référentiels reconnus

A qui s'adresse cette offre ?

Vous êtes une PME ayant déjà commandé plusieurs audits, ce qui vous a permis d'acquérir un bon niveau de maturité cyber.

Vous souhaitez aller plus loin et vous assurer que des composants critiques de votre infrastructure ont une configuration à l'état de l'art.

Exemples :

• Bastion protégeant vos serveurs les plus sensibles ;

• Serveur d'hébergement Web soutenant le portail SaaS au cœur de votre offre ;

• Pare-feu isolant votre DMZ du reste de votre réseau d'entreprise.

Un audit de configuration se prête parfaitement à votre besoin. Il vous permet d'avoir une vision claire du niveau de sécurisation d'un composant technique afin de l'amener au sommet des standards de sécurité actuels.

Avec QS, vous faites le choix d'un prestataire réactif assurant un niveau de qualité à l'état de l'art, et ce pour un tarif 20% inférieur au marché.

Étapes

En nous faisant confiance pour effectuer cette prestation, voici ce à quoi vous pouvez vous attendre.

Réunion de cadrage

Également appelé "kickoff", ce point réunit tous les acteurs nécessaires au bon déroulement de la prestation, incluant :

• L'expert en charge de l'audit ;

• Votre RSSI ;

• Un collaborateur technique en responsable du composant à auditer.

Ce point doit idéalement être planifié en amont de la prestation afin de déterminer les prérequis à fournir, confirmer les dates des tests et leurs modalités. Les prérequis peuvent inclure un export de configuration, un accès direct à l'interface d'administration ou l'exécution de scripts sur l'équipement.

Déroulement de l'audit - méthodologie

L'audit de configuration sera effectué via la démarche suivante :

• Analyse de l'existant et contextualisation ;

• Comparaison avec des référentiels éprouvés, évaluation du delta ;

• Énumération des points conformes et non conformes, rédaction du livrable et des mesures de remédiation.

L'audit se base sur l'expertise du consultant, notre capitalisation interne ainsi que sur des référentiels éprouvés selon le composant à auditer :

• Les référentiels CIS ;

• Les publications de l’ANSSI ;

• Les recommandations de sécurisation de l'éditeur de la solution auditée.

Remise du rapport d'audit

Un rapport d'audit au format PDF vous sera remis à l'issue des tests. Il se compose notamment des éléments suivants :

• Une synthèse managériale présentant les risques stratégiques et métiers identifiés, pondérés en fonction de vos enjeux spécifiques ;

• Un tableau récapitulatif des vulnérabilités identifiées et des recommandations associées ;

• Une synthèse technique offrant un aperçu des forces et des axes d'amélioration techniques ;

• Le détail des points de conformité et non-conformité, avec pour chacun :

  • Une description succincte ;

  • Le résultat attendu ;

  • Le constat ;

  • Le cas échéant, les mesures de remédiation à implémenter.

Réunion de restitution

Après livraison du rapport, une réunion de restitution de 30 à 60 minutes est organisée avec les parties prenantes ayant pris connaissance du rapport.

L'objectif n'est pas de détailler le livrable dans une présentation, mais de présenter les principaux risques, les vulnérabilités les plus critiques, leurs recommandations et conclure sur le niveau de sécurité observé durant la prestation.

C'est également l'occasion de traiter des points spécifiques du rapport qui nécessitent des informations supplémentaires en harmonie avec le contexte client.