Audit de configuration

Analyser en profondeur les paramètres, règles, services et composants d’un système d’information afin d’identifier les mauvaises configurations et vecteurs d’exposition aux risques.

Réduire les risques liés aux mauvais paramétrages

Un mauvais paramétrage est l’une des causes majeures d’incidents de sécurité. L’audit de configuration cible un équipement ou service spécifique pour vérifier son niveau réel de durcissement.

L’analyse couvre notamment les paramètres système, les configurations réseau, les contrôles d’accès et permissions, les politiques de sécurité et la cohérence avec des référentiels reconnus.

Une offre pensée pour les composants critiques

Bastion sensible

Un bastion protégeant vos serveurs les plus sensibles, dont la configuration doit limiter strictement les chemins d’accès et d’administration.

Serveur web exposé

Un serveur d’hébergement Web soutenant le portail SaaS au cœur de votre offre, exposé à Internet et central dans votre activité.

Pare-feu et DMZ

Un pare-feu isolant votre DMZ du reste de votre réseau d’entreprise, avec des règles et zones de confiance à valider précisément.

Valider l’état de l’art sur un périmètre ciblé

PME déjà mature

Vous êtes une PME ayant déjà commandé plusieurs audits, ce qui vous a permis d'acquérir un bon niveau de maturité cyber.

Composants critiques

Vous souhaitez aller plus loin et vous assurer que des composants critiques de votre infrastructure ont une configuration à l'état de l'art.

Vision claire du niveau de sécurité

Un audit de configuration vous permet d'avoir une vision claire du niveau de sécurisation d'un composant technique afin de l'amener au sommet des standards de sécurité actuels.

Un audit cadré autour du composant à sécuriser

01

Réunion de cadrage

Également appelé "kickoff", ce point réunit tous les acteurs nécessaires au bon déroulement de la prestation : l’expert en charge de l’audit, votre RSSI et un collaborateur technique responsable du composant à auditer.

02

Préparation des prérequis

Ce point est planifié en amont de la prestation afin de déterminer les prérequis à fournir, confirmer les dates des tests et leurs modalités. Les prérequis peuvent inclure un export de configuration, un accès direct à l'interface d'administration ou l'exécution de scripts sur l'équipement.

03

Analyse et contextualisation

L’audit débute par l’analyse de l’existant et sa contextualisation afin de comprendre le rôle du composant, son exposition, ses usages et ses contraintes opérationnelles.

04

Restitution des écarts

Les points conformes et non conformes sont énumérés, puis traduits en livrable et en mesures de remédiation directement exploitables.

Comparer, contextualiser, prioriser

Comparer aux référentiels éprouvés

La configuration est comparée à des référentiels reconnus afin d’évaluer le delta entre l’état observé et les standards de sécurité attendus.

Distinguer conformité et risque réel

L’analyse ne se limite pas à cocher des règles : elle s’appuie sur l’expertise du consultant et la capitalisation interne pour prioriser les écarts selon leur impact concret.

Des écarts évalués face aux standards adaptés

  • Les référentiels CIS adaptés au composant audité
  • Les publications et recommandations de l’ANSSI
  • Les recommandations de sécurisation de l’éditeur de la solution auditée
  • L’expertise du consultant et la capitalisation interne QS Cybersécurité

Un rapport orienté durcissement et remédiation

Synthèse managériale

Une synthèse managériale présentant les risques stratégiques et métiers identifiés, pondérés en fonction de vos enjeux spécifiques.

Tableau des vulnérabilités

Un tableau récapitulatif des vulnérabilités identifiées et des recommandations associées.

Synthèse technique

Une synthèse technique offrant un aperçu des forces et des axes d’amélioration techniques.

Détail conformité / non-conformité

Le détail des points de conformité et non-conformité avec, pour chacun : description succincte, résultat attendu, constat et mesures de remédiation à implémenter.

Transformer les constats en trajectoire de durcissement

Risques prioritaires

Après livraison du rapport, une réunion de restitution de 30 à 60 minutes est organisée avec les parties prenantes ayant pris connaissance du rapport. L'objectif est de présenter les principaux risques.

Recommandations critiques

La restitution revient sur les vulnérabilités les plus critiques, leurs recommandations et conclut sur le niveau de sécurité observé durant la prestation.

Points spécifiques au contexte

C’est également l’occasion de traiter les points spécifiques du rapport qui nécessitent des informations supplémentaires en harmonie avec le contexte client.