Audit des Systèmes d'Information - ODIT Gouvernance

Analyse et Tests
d'Intrusion

Analyse extra-entreprise

ODIT Gouvernance vous offre une équipe expérimentée en tests d’intrusion externes, audit et test des interfaces, applications ou infrastructures informatiques aux risques cybernétiques.

Les tests d’intrusion externes sont préconisés spécifiquement aux opérations d’audit complexes, qui visent à examiner avec précision des applications ou des infrastructures exposées sur Internet, telles que les plateformes Web, les applications mobiles (environnements Android, iOS), les services et solutions Web annexes, les points d’entrées VPN et tout autre matériel ou serveur connecté à la sphère cybernétique.

Afin de mettre en place ces opérations périodiques d’audit et test, ODIT Gouvernance utilise les fondements référentiels de l’Open Web Application Security Project, OWASP et le guide des bonnes pratiques PTES, de l’Agence Nationale de Sécurité des Systèmes d’Information, ANSSI, ainsi que les savoir-faire pratiques et méthodes heuristiques cumulées à partir de l’expérience de ses ingénieurs et experts sur des projets antérieurs.

“Plusieurs sources génériques peuvent en outre fournir des informations utiles, notamment le site de l’OWASP. Le document « OWASP secure coding practices quick reference guide » et les différentes itérations des « Top 10 » sont des sources d’information extrêmement appréciables pour les développeurs web.”

ANSSI _ Agence nationale de la sécurité des systèmes d'information

Analyse intra-entreprise

En optant aux tests d’intrusion internes ODIT Gouvernance vous donne la possibilité d’évaluer votre performance sécuritaire à un instant t et dans une condition donnée afin de mesurer la portée de l’action de chaque niveau d’utilisateur sur le système d’information.

Cette méthode de test vous permet de simuler l’action malveillante provenant du réseau interne et l’étendue de cette attaque une fois parvenue à s’infiltrer au réseau intra entreprise. Dans cette optique ODIT Gouvernance vérifie que le protocole d’échange des données sensibles et stratégiques afin de garder, toujours et dans n’importe quelle circonstance, une marge d’autonomie et de maitrise de la structure informationnelle.

L’audit de système de riposte face à l’intrusion interne doit prendre en considération les deux cas éventuels du profil du meneur d’attaque

Une personne extérieure à la structure étant capable de s’introduire dans le réseau interne ou les locaux de l’entreprise et tentant d’agir sur l’application ou le serveur.

Un collaborateur malveillant disposant des identifiants d’accès au réseau.

L’équipe ODIT Gouvernance admet toutes les tentatives comme probables et pour faire face et pro agir, nos experts sont prêts à simuler en boîte noire (sans aucune information préalable), en boîte grise (avec les identifiants d’accès) et en boîte blanche (avec toutes les informations exhaustives d’accès au Système d’Information) toutes les tentatives menaçantes. Ces tests d'intrusion internes permettent aussi d’évaluer les capacités de détection et de riposte des coéquipiers face à des actions malveillantes inattendues.

Les cyberattaques sont de plus en plus sophistiquées ! N’hésitez pas à nous contacter pour vos besoins Cybersécurité !

Audit de conformité

Audit SWIFT CSP :
Le cadre de contrôles de sécurité client SWIFT (CSCF) est composé de contrôles de sécurité obligatoires et consultatifs pour les utilisateurs de SWIFT. Les contrôles de sécurité obligatoires établissent une base de sécurité pour l’ensemble de la communauté. Ils doivent être mis en œuvre par tous les utilisateurs sur leur infrastructure locale. SWIFT a choisi de donner la priorité à ces contrôles obligatoires pour définir un objectif réaliste de gains de sécurité tangibles à court terme et de réduction des risques.

Une approche structurée pour relever vos défis liés
au programme SWIFT CSP

Les contrôles consultatifs sont basés sur la pratique rationnelle que SWIFT recommande à tous les utilisateurs de mettre en œuvre. Ces contrôles doivent s’adapter et changer en raison de l’évolution de la nature des menaces, du développement technologique, de l’évolution des réglementations liées à la sécurité dans les principales juridictions et de l’évolution des pratiques de cyber sécurité ou des manipulations des utilisateurs. Ainsi, certains contrôles consultatifs sont devenus obligatoires et de nouveaux contrôles ont été ajoutés.

Tous les contrôles sont articulés autour de trois objectifs généraux

Sécurisez votre environnement

Connaître et limiter l’accès

Prévenir, détecter et répondre

Ce contrôle doit être conforme aux normes existantes de l’industrie de la sécurité de l’information. Citant le cas échéant de la norme SWIFT CSP v2021, l’entreprise doit faire appel à une évaluation indépendante pour prendre en charge l’auto-attestation CSCF v2021.

Les experts ODIT Gouvernance sont disponibles pour vous accompagner
dans vos projets cybersécurité.

Audit ISO/CEI 27XXX :
L’ISO est le plus grand organisme de normalisation au monde. Il est fondé suite invitation de L’American Institute of Electrical Engineer de quatre autres instituts professionnels pour constituer une première organisation nationale, l’AESC (American Engineering Standards Committee) qui aura pour objectif de publier des standards industriels communs avant de prendre le nom d’ASA (American Standards Association) et d’établir des procédures standardisées pour la production militaire pendant la seconde guerre mondiale. En 1947, l’ASA, le BSI (British Standards Institute), l’AFNOR (Association Française de Normalisation) et les organisations de normalisation de 22 autres pays.

A nos jours, il est constitué de membres qui sont des organismes nationaux de normalisation de 163 pays, les résultats finaux des travaux de l’ISO sont publiés en tant que normes internationales, il a publié plus de 21000 Normes internationales depuis son entrée officielle en activité le 23 Février 1947.

Audit ISO/CEI 27701 :
Par conscience de l’importance de cette norme pour chaque organisation responsable disposant d’information personnellement identifiables (PII), ODIT Gouvernance vous permet d’opter à un audit de conformité à la norme ISO/CEI 27701 afin que votre entreprise s’assure des exigences sur la façon de gérer, de traiter ses données et de protéger leur confidentialité.

La norme ISO CEI/27701 enrichit un SMSI déjà mis en place pour répondre correctement aux problèmes de confidentialité afin d’agir selon des méthodes pratiques induisant à une gestion efficace des informations personnelles.

En vous livrant aux experts d'ODIT Gouvernance votre entreprise déploie l’ISO/CEI 27701 sur plusieurs axes :

Comprendre le processus de mise en œuvre du système de gestion de l’information sur une approche de confidentialité.

Acquérir les compétences nécessaires pour habiliter votre structure à la mise en œuvre d’un management de l’information sur la confidentialité conforme aux standards universels.

Activer le processus d’amélioration continue du système de gestion de l’information en adéquation avec votre User Experience.

Audit ISO/CEI 27001 :
Afin de garder un certain niveau de conformité aux exigences de la norme ISO / IEC 27001, l’entreprise doit impérativement faire appel à un auditeur externe afin d’évaluer les mesures et procédures mises en place pour la gestion de la sécurité informatique.

Auditer selon le standard ISO/IEC 27001 revient à rapprocher les actions prévues par l’organisme face aux problèmes de sécurité avec les exigences de la règlementation européenne.

Dans ce sens, ODIT Gouvernance met à votre disposition un staff habilité aux missions d’inspection des anomalies et des écarts relevant de la DSI.

Notre maitrise des exigences de la norme ISO/IEC 27001, converties sur le champ d’application, est notre atout majeur concernant cet audit.

Audit ISO/CEI 27002 :
L’audit selon la norme ISO/CEI 27002 est une mission de rapprochement des procédures appliquées en interne au manuel de bonnes pratiques pour la gestion de la Sécurité de l’Information.

ODIT Gouvernance vous permet d’analyser la conformité des prescriptions recourues par le personnel de la DSI aux standards de qualité universels listés dans la norme ISO/CEI 27002 qui propose 133 prérogatives applicables dans la formulation d’un SMSI. Auditer avec cette norme vous permet de vérifier la compatibilité avec un référentiel amélioré révisé 3 fois depuis l’année 1995 jusqu’à nos jours.

ODIT Gouvernance intervient en support à vos coéquipiers afin de toucher efficacement à un domaine d’application très vaste et complexe.

L’ISO 27002 sert de mesure et outil d’appréciation scientifique au degré d’efficacité des traitements suivis face aux risques liés à l’intégrité, la confidentialité et la traçabilité de l’information.

Audit ISO/CEI 27005 :
L’audit de conformité à la norme récemment révisée ISO/IEC 27005, Technologies de l’information – Techniques de sécurité – Gestion des risques liés à la sécurité de l’information, est réalisé par l’équipe de ODIT Gouvernance dans une optique améliorative.

Durant la mission d’audit l’équipe prestataire travail sur la définition d’un cadre normatif permettant de vérifier l’aptitude du système interne à gérer les risques potentiels qui peuvent porter atteinte à la fiabilité du système d’information.

La norme ISO/IEC 27005 propose des exigences de prévention contre les éléments malveillants au système d’information et vient en support à la norme ISO/IEC 27001 afin de couvrir les annexes récentes liés aux techniques de traitements des risques cybernétiques.

Audit transversal

Audit technique de l'infrastructures:
L’audit technique de l’infrastructure logicielle et matérielle dans une entreprise nécessite des compétences méthodologiques approfondies afin d’évaluer avec précision le niveau de sécurité des processus utilisés:.
Le niveau de sécurité des installations techniques et de la flotte logicielle et progicielle se traduit par la maitrise de la matière d’intrusion informatique, et de la vitesse de réponse à tous les niveaux de la structure informationnelle.

ODIT Gouvernance, dans ce scope, fournit à votre entreprise

Un manuel de contre-mesures techniques constatées de la documentation établie lors des interventions de maintenance ou de diagnostic.

Une simulation de manœuvres fiables en conditions réelles lors de dysfonctionnements provoqués.

Une identification des risques non récurrents, de suite la mesure d’impact en temps record et la simulation des scénarios d’interventions éventuelles face aux intrusions générées.

ODIT Gouvernance votre 1ère ligne de défense

Audit organisationnel de la structure
L’audit organisationnel de la structure est une méthode d’analyse pour déterminer les forces et les faiblesses d’une organisation.

ODIT Gouvernance réalise à travers son équipe formée de compétences pluridisciplinaires et expérimentée sur les spécialités des métiers de la DSI en relation avec les autres métiers de l’entreprise.

ODIT Gouvernance met à votre disposition un schéma d’escalade de problèmes optimisé afin d’agir avec un minimum de circuits structurels. L’audit organisationnel permettrait une évaluation objective de la méthode et des outils à chaque niveau hiérarchique afin de gérer l’intrusion source de menace aux matériels et informations de l’entreprise.

ODIT Gouvernance vous offre un audit structurel traçable et structuré afin de piloter votre organisation en agilité et avec un maximum de sécurité. L’audit de la sécurité au niveau des structures de gestion adhère aux recommandations de l’ANSSI par rapport aux mécanismes de sécurité physique.

ODIT Gouvernance a développé son expertise sur le volet organisationnel, à travers un audit de sécurité informatique progressif :

Évaluer le niveau de maturité et de conformité des procédures en place,
Mesurer le niveau d’efficacité des procédures conformes au référentiel.
Et finalement, reporter et recommander les mesures et les axes de travail de mise en conformité à mettre en place.

Audit de configuration & code

ODIT Gouvernance vous offre son expertise en matière d’Audit de configuration sur trois axes importants

La configuration fonctionnelle qui incorpore la vérification des éléments de la couche logicielle pour s’assurer que les exigences ont été correctement mises en œuvre, testées et satisfaites. En vérifiant les propositions de modifications techniques (ECP) autorisées et les rapports de problèmes logiciels doivent être évalués pour s’assurer qu’ils ont été résolus et assimilés dans le DDP logiciel.

La configuration physique qui incorpore les éléments matériels assurant le déploiement de l’ingénierie logicielle, dirige l’audit de la configuration afin de s’assurer que les exigences de sécurité de la flotte technique sont remplies. L’audit doit garantir que tous les ECP autorisés et les rapports de problèmes logiciels ont été résolus.

La vérification de la préparation au déploiement L’examen de l’état de préparation au déploiement doit être effectué pour examiner les résultats des tests d’acceptation et des audits de configuration.

L’état de chacune des qualifications du processus de post-développement doit être examiné pour s’assurer qu’elles sont prêtes à prendre en charge le déploiement de logiciels.

Par la même logique, ODIT Gouvernance opte à un audit de sécurité du code puisqu’il fait partie de l’ensemble des audits de sécurité qui assurent le contrôle permanent d’un ou plusieurs composants d’un système d’information. La vérification de la fiabilité du code source est essentielle afin d’identifier les actions correctives et ajuster en but de conformité.

Dans ce sens ODIT Gouvernance vous permet de saisir le niveau de robustesse de la programmation afin de s’assurer que les règles de bonnes pratiques de conception et de révision ont été respectées.

Audit intrusif & Certification ISO/CEI 27001/27002

L’objectif des tests d’intrusion est de simuler le comportement d’un attaquant dans différentes conditions :

En Boîte noire

En méconnaissance préalable du Système d’Information mis en place.

En Boîte grise

Avec des paramètres d’accès au système d’information en tant que simple utilisateur.

En Boîte blanche

Avec les paramètres d’administration en tant qu’administrateur malveillant.

Audit intrusif

La mission d’audit intrusif est fournie par ODIT Gouvernance sous plusieurs périmètres techniques, soit mobiles, internes ou externes. Nos experts utilisent des méthodes conformes aux référentiels OWASP relatifs aux méthodes de tests de pénétration et aux référentiels de l’OSSTMM (Open Source Security Testing Methodology Manual)

Ces tests, appelés Pentests, visent à détecter les défaillances de sécurité susceptibles de découvrir la couche backoffice aux personnes malveillantes ou dans un cas extrême engendrer la perte de la main sur les serveurs et applicatifs de l’organisation. Dans ce sens, l’audit intrusif est surement primordial afin de prévenir de tels incidents graves.

Certification ISO/CEI 27001/27002

ODIT Gouvernance vous accompagne dans les certifications :

ISO/IEC 27001 qui attesterait votre maitrise des éléments techniques et structurels nécessaires pour la mise en œuvre d’un management de la sécurité conforme à la norme ISO/IEC 27001.

ISO/IEC 27002 qui témoignerait votre veille sur la mise en œuvre des contrôles de sécurité de l’information basés sur les directives de la norme ISO/IEC 27001.

ODIT Gouvernance vous assiste dans la certification afin de vous permettre de comprendre l’interdépendance entre les mesures de contrôle connexes liées à un système de gestion de la sécurité de l’information.

Notre expérience nous a permis de cumuler les compétences nécessaires pour accompagner une organisation dans l’étude de faisabilité, l’implémentation et la gestion du SSI suivant les référentiels et contrôles de sécurité de l’information tout en se conformant aux normes ISO/IEC 27001 & 27002.

Audits PASSI & conformité sécurité

Pourquoi un audit PASSI ?

Conformité réglementaire : Respectez les exigences de l’ANSSI, notamment pour les OIV ou projets sensibles.
Crédibilité renforcée : Montrez votre engagement sécurité à vos partenaires, clients et autorités.
Identification des failles : Une vue claire sur vos vulnérabilités techniques et organisationnelles.
Prévention des cyberattaques : Réduisez les risques avant qu’un incident ne survienne.
Plan d’action sur-mesure : Des recommandations concrètes, hiérarchisées et adaptées à vos enjeux.
Experts certifiés PASSI : Audit réalisé par des professionnels reconnus par l’ANSSI.

Nos Portées d’Audit PASSI

Audit organisationnel & physique

• Conformité ISO 27001 / NIS2 / DORA
• Vérification documentaire, gouvernance et sécurité physique

Audit d’architecture

• Revue DAT, schémas OSI niveau 2–3
• Matrices de flux, interconnexions réseau

Audit de configuration

• Vérification des systèmes (AD, Linux, Cloud, EDR...)
• Conformité aux guides ANSSI, CIS

Audit de code source

• OWASP, analyse manuelle et automatisée
• Langages Java, Python, C++...

Test d’intrusion (Pentest)

• Simulation boîte noire & grise
• Rapport + plan d’action de remédiation

Gouvernance & Conformité Sécurité

RGPD – Protection des Données

Le respect du RGPD est essentiel pour garantir la protection des données personnelles. Nous déployons des contrôles robustes, assurons la formation continue de vos équipes et intégrons les meilleures pratiques pour optimiser vos processus tout en restant conformes.

DORA – Résilience Opérationnelle

DORA renforce la résilience numérique des services financiers. Nous concevons des infrastructures sécurisées et testées contre les cybermenaces, assurant une continuité d’activité même en cas d’incidents majeurs.

Stratégie de Sécurité

Nous élaborons pour vous une stratégie de sécurité globale, couvrant les aspects techniques, organisationnels et humains. Notre approche anticipative identifie et neutralise les risques pour garantir la pérennité de vos systèmes d’information.

Nos Audits Sécurité Spécifiques

Nos audits spécialisés permettent de renforcer la sécurité des systèmes d’information et de garantir leur conformité. L’audit Active Directory évalue la gestion des identités, tandis que l’audit 360º analyse l’ensemble du système pour détecter les vulnérabilités. L’audit SWIFT CSP assure la conformité avec les exigences de sécurité des transactions financières. Nos audits Cloud IaaS vérifient la sécurité des environnements Cloud (Azure, AWS, OVH), et l’audit Microsoft 365 protège les données et communications. Ces audits sont essentiels pour une sécurité optimale.