Audit d'architecture

Évaluer la conception globale d’un système d’information, de son modèle fonctionnel à ses composants techniques, afin d’identifier les faiblesses structurelles, les points d’exposition et les incohérences de sécurité.

Prendre du recul sur les flux et les choix structurants

Les systèmes modernes sont souvent composés de multiples couches : applications, API, services, réseaux, plateformes cloud, procédures d’administration et dépendances techniques. Une mauvaise articulation ou des choix non sécurisés peuvent créer des risques systémiques.

L’audit d’architecture permet de cartographier les composants et leurs interactions, détecter les ruptures de sécurité dans les flux, puis évaluer la cohérence globale des mécanismes de défense.

Une offre pensée pour les systèmes d’information complexes

PME déjà mature

Vous êtes une PME ayant déjà commandé plusieurs audits, ce qui vous a permis d'acquérir un bon niveau de maturité cyber.

Vision globale du SI

Vous souhaitez aller plus loin et vous assurer que l'architecture globale de votre système d'informations permet un niveau de sécurisation optimal.

Standards de sécurité actuels

L’audit d’architecture vous permet d’avoir une vision globale du niveau de sécurisation de votre système d’informations afin de l’amener au sommet des standards de sécurité actuels.

Identifier les ruptures de défense et les angles morts

Cloisonnement des flux

Analyse des flux réseaux, zones de confiance, dépendances critiques et chemins d’administration afin d’identifier les ruptures de cloisonnement.

Authentification et exposition

Évaluation de la robustesse des mécanismes d'authentification, des points d’entrée exposés et des choix structurants de sécurité.

Détection et prévention

Lecture transverse des mécanismes de détection, prévention et résilience afin d’identifier les angles morts et incohérences de défense.

Un cadrage orienté architecture, flux et dépendances

01

Réunion de cadrage

Également appelé "kickoff", ce point réunit tous les acteurs nécessaires au bon déroulement de la prestation : l’expert en charge de l’audit, votre RSSI et un responsable d’architecture de votre SI, par exemple DSI ou architecte réseau.

02

Préparation documentaire

Ce point permet de déterminer les prérequis à fournir, confirmer les dates et les modalités. Les prérequis incluent notamment la documentation du système d’informations, les schémas d’architecture réseau, les procédures d’administration et les matrices de flux.

03

Analyse de l’existant

L’audit repose sur l’analyse de la documentation fournie et sur des échanges avec les personnes compétentes afin d’approfondir l’analyse ou de couvrir les angles morts.

04

Constats et remédiation

Les points conformes et non conformes sont énumérés, puis traduits en livrable avec des mesures de remédiation adaptées au contexte et directement exploitables.

Croiser documentation, terrain et standards

Analyse documentaire et échanges ciblés

La prestation combine revue documentaire, lecture des schémas, analyse des flux et réunions avec les équipes capables d’expliquer les choix structurants du SI.

Capitalisation et référentiels éprouvés

L’analyse se base sur l’expertise du consultant, la capitalisation interne QS Cybersécurité et des référentiels éprouvés selon les composants et environnements audités.

Des constats évalués face aux référentiels adaptés

  • Les référentiels CIS adaptés aux composants audités
  • Les publications et recommandations de l’ANSSI
  • Les recommandations de sécurisation des éditeurs des solutions auditées
  • L’expertise du consultant et la capitalisation interne QS Cybersécurité

Un rapport orienté robustesse et résilience

Synthèse managériale

Une synthèse managériale présentant les risques stratégiques et métiers identifiés, pondérés en fonction de vos enjeux spécifiques.

Tableau récapitulatif

Un tableau récapitulatif des vulnérabilités identifiées et des recommandations associées.

Synthèse technique

Une synthèse technique offrant un aperçu des forces et des axes d’amélioration organisationnels et techniques.

Détail conformité / non-conformité

Le détail des points de conformité et non-conformité avec, pour chacun : description succincte, résultat attendu, constat et mesures de remédiation à implémenter.

Transformer la cartographie des risques en trajectoire de sécurisation

Principaux risques

Après livraison du rapport, une réunion de restitution de 30 à 60 minutes est organisée avec les parties prenantes ayant pris connaissance du rapport. L’objectif est de présenter les principaux risques.

Recommandations critiques

La restitution revient sur les vulnérabilités les plus critiques, leurs recommandations et conclut sur le niveau de sécurité observé durant la prestation.

Points spécifiques au contexte

C’est également l’occasion de traiter les points spécifiques du rapport qui nécessitent des informations supplémentaires en harmonie avec le contexte client.