Bastion sensible
Un bastion protégeant vos serveurs les plus sensibles, dont la configuration doit limiter strictement les chemins d’accès et d’administration.
Prendre rendez-vous Analyser en profondeur les paramètres, règles, services et composants d’un système d’information afin d’identifier les mauvaises configurations et vecteurs d’exposition aux risques.
Un mauvais paramétrage est l’une des causes majeures d’incidents de sécurité. L’audit de configuration cible un équipement ou service spécifique pour vérifier son niveau réel de durcissement.
L’analyse couvre notamment les paramètres système, les configurations réseau, les contrôles d’accès et permissions, les politiques de sécurité et la cohérence avec des référentiels reconnus.
Un bastion protégeant vos serveurs les plus sensibles, dont la configuration doit limiter strictement les chemins d’accès et d’administration.
Un serveur d’hébergement Web soutenant le portail SaaS au cœur de votre offre, exposé à Internet et central dans votre activité.
Un pare-feu isolant votre DMZ du reste de votre réseau d’entreprise, avec des règles et zones de confiance à valider précisément.
Vous êtes une PME ayant déjà commandé plusieurs audits, ce qui vous a permis d'acquérir un bon niveau de maturité cyber.
Vous souhaitez aller plus loin et vous assurer que des composants critiques de votre infrastructure ont une configuration à l'état de l'art.
Un audit de configuration vous permet d'avoir une vision claire du niveau de sécurisation d'un composant technique afin de l'amener au sommet des standards de sécurité actuels.
Également appelé "kickoff", ce point réunit tous les acteurs nécessaires au bon déroulement de la prestation : l’expert en charge de l’audit, votre RSSI et un collaborateur technique responsable du composant à auditer.
Ce point est planifié en amont de la prestation afin de déterminer les prérequis à fournir, confirmer les dates des tests et leurs modalités. Les prérequis peuvent inclure un export de configuration, un accès direct à l'interface d'administration ou l'exécution de scripts sur l'équipement.
L’audit débute par l’analyse de l’existant et sa contextualisation afin de comprendre le rôle du composant, son exposition, ses usages et ses contraintes opérationnelles.
Les points conformes et non conformes sont énumérés, puis traduits en livrable et en mesures de remédiation directement exploitables.
La configuration est comparée à des référentiels reconnus afin d’évaluer le delta entre l’état observé et les standards de sécurité attendus.
L’analyse ne se limite pas à cocher des règles : elle s’appuie sur l’expertise du consultant et la capitalisation interne pour prioriser les écarts selon leur impact concret.
Une synthèse managériale présentant les risques stratégiques et métiers identifiés, pondérés en fonction de vos enjeux spécifiques.
Un tableau récapitulatif des vulnérabilités identifiées et des recommandations associées.
Une synthèse technique offrant un aperçu des forces et des axes d’amélioration techniques.
Le détail des points de conformité et non-conformité avec, pour chacun : description succincte, résultat attendu, constat et mesures de remédiation à implémenter.
Après livraison du rapport, une réunion de restitution de 30 à 60 minutes est organisée avec les parties prenantes ayant pris connaissance du rapport. L'objectif est de présenter les principaux risques.
La restitution revient sur les vulnérabilités les plus critiques, leurs recommandations et conclut sur le niveau de sécurité observé durant la prestation.
C’est également l’occasion de traiter les points spécifiques du rapport qui nécessitent des informations supplémentaires en harmonie avec le contexte client.