PME déjà mature
Vous êtes une PME ayant déjà commandé plusieurs audits, ce qui vous a permis d'acquérir un bon niveau de maturité cyber.
Prendre rendez-vous Évaluer la conception globale d’un système d’information, de son modèle fonctionnel à ses composants techniques, afin d’identifier les faiblesses structurelles, les points d’exposition et les incohérences de sécurité.
Les systèmes modernes sont souvent composés de multiples couches : applications, API, services, réseaux, plateformes cloud, procédures d’administration et dépendances techniques. Une mauvaise articulation ou des choix non sécurisés peuvent créer des risques systémiques.
L’audit d’architecture permet de cartographier les composants et leurs interactions, détecter les ruptures de sécurité dans les flux, puis évaluer la cohérence globale des mécanismes de défense.
Vous êtes une PME ayant déjà commandé plusieurs audits, ce qui vous a permis d'acquérir un bon niveau de maturité cyber.
Vous souhaitez aller plus loin et vous assurer que l'architecture globale de votre système d'informations permet un niveau de sécurisation optimal.
L’audit d’architecture vous permet d’avoir une vision globale du niveau de sécurisation de votre système d’informations afin de l’amener au sommet des standards de sécurité actuels.
Analyse des flux réseaux, zones de confiance, dépendances critiques et chemins d’administration afin d’identifier les ruptures de cloisonnement.
Évaluation de la robustesse des mécanismes d'authentification, des points d’entrée exposés et des choix structurants de sécurité.
Lecture transverse des mécanismes de détection, prévention et résilience afin d’identifier les angles morts et incohérences de défense.
Également appelé "kickoff", ce point réunit tous les acteurs nécessaires au bon déroulement de la prestation : l’expert en charge de l’audit, votre RSSI et un responsable d’architecture de votre SI, par exemple DSI ou architecte réseau.
Ce point permet de déterminer les prérequis à fournir, confirmer les dates et les modalités. Les prérequis incluent notamment la documentation du système d’informations, les schémas d’architecture réseau, les procédures d’administration et les matrices de flux.
L’audit repose sur l’analyse de la documentation fournie et sur des échanges avec les personnes compétentes afin d’approfondir l’analyse ou de couvrir les angles morts.
Les points conformes et non conformes sont énumérés, puis traduits en livrable avec des mesures de remédiation adaptées au contexte et directement exploitables.
La prestation combine revue documentaire, lecture des schémas, analyse des flux et réunions avec les équipes capables d’expliquer les choix structurants du SI.
L’analyse se base sur l’expertise du consultant, la capitalisation interne QS Cybersécurité et des référentiels éprouvés selon les composants et environnements audités.
Une synthèse managériale présentant les risques stratégiques et métiers identifiés, pondérés en fonction de vos enjeux spécifiques.
Un tableau récapitulatif des vulnérabilités identifiées et des recommandations associées.
Une synthèse technique offrant un aperçu des forces et des axes d’amélioration organisationnels et techniques.
Le détail des points de conformité et non-conformité avec, pour chacun : description succincte, résultat attendu, constat et mesures de remédiation à implémenter.
Après livraison du rapport, une réunion de restitution de 30 à 60 minutes est organisée avec les parties prenantes ayant pris connaissance du rapport. L’objectif est de présenter les principaux risques.
La restitution revient sur les vulnérabilités les plus critiques, leurs recommandations et conclut sur le niveau de sécurité observé durant la prestation.
C’est également l’occasion de traiter les points spécifiques du rapport qui nécessitent des informations supplémentaires en harmonie avec le contexte client.