STRATégie :
AUDIT & évaluation
Préalable et outil d’amélioration,
intégré à l’écosystème SEKOIA.
• Audits de conformité
(PSSI, ISO, PAS, RGPD)
• Audits techniques spécifiques
(code, architecture, configuration)
• Tests d’intrusion
• Red Team
Nos équipes d’experts en tests d’intrusion auditent la robustesse technique et le niveau de sécurité de toutes les briques des SI de leurs clients, en simulant des scénarios d’attaques et de malveillance réels.
La conformité des SI vis-à-vis de référentiels internationaux est également évaluée en se basant sur les meilleures pratiques.
Audit de Conformité
SEKOIA vous accompagner pour maîtriser votre conformité.
Les périmètres de nos prestations d’audit de conformité outrepassent parfois le simple spectre fonctionnel :
audits de configuration d’équipements de sécurité (firewall, routeur, proxy, reverse proxy…) ou tests d’intrusions techniques permettant d’évaluer le niveau de conformité d’un périmètre vis-à-vis d’un référentiel (OWASP, PCI-DSS…).
SEKOIA mène des audits conjoints, fonctionnels et techniques, apportant une dimension 360° à notre démarche.
Pentest / Red Team
Mise en conformité des SI vis-à-vis des législations en vigueur, des contraintes internes et des référentiels de sécurité, grâce à l’implémentation de politiques de sécurité, de procédures et de standards conformes aux bonnes pratiques de sécurité.
Politiques de sécurité, standards internes, processus internes, procédures internes et contrôle interne.
audit de conformité
—
DÉFI
| Obtenir et maîtriser sa conformité.
Dans un contexte où le cadre réglementaire évolue extrêmement rapidement et devient de plus en plus contraignant, où les pénalités en cas de non-conformité sont de plus en plus élevées, les risques liés à la conformité légale et réglementaire, déjà importants auparavant, deviennent encore plus forts et cela dans tous les secteurs d’activité.
Il devient donc crucial d’être en capacité d’évaluer le niveau de conformité de son périmètre de responsabilité, d’identifier les écarts et d’évaluer les risques associés afin d’en tirer les plans d’actions nécessaires, de manière éclairée.
SEKOIA propose de vous accompagner pour relever ce défi en mettant à votre disposition ses compétences et son expertise pour :
• Auditer et évaluer le niveau de conformité de votre système d’information ;
• Piloter la mise en œuvre des plans de remédiation ;
• Contrôler la bonne mise en œuvre et l’efficacité des mesures implémentées.
L’OFFRE D’AUDIT
| L’EXPERTISE DE SEKOIA
Un audit de conformité permet de fournir une photo du niveau de conformité de votre système d’information vis-à-vis du référentiel d’audit choisi.
En fonction des exigences, réglementaires (Bâle, Solvabilité…), législatives (LPM, RGPD…) ou internes (PSSI, Plan d’Assurance Sécurité, référentiel Cloud…), les résultats de l’audit vont nous permettre d’identifier les plans d’actions à mettre en oeuvre pour atteindre rapidement vos objectifs de conformité.
Référentiels :
Fort de ses auditeurs expérimentés, SEKOIA est en capacité d’évaluer la conformité de votre S.I. vis-à-vis des référentiels standards et communs, mais aussi spécifiques :
• ISO 27001/27002
• RGPD, LPM, NIS
• HDS
• AICPA SOC1, SOC2 • PCI-DSS
• SecNumCloud
• NIST
• CSA STAR / CCM
Méthodologie globale
| APPROCHE ORIENTée risques
Forts de notre expérience, nous avons amélioré nos méthodes et outils d’audit pour gagner en efficacité et optimiser les missions.
Notre approche est d’abord orientée risques, à la fois bottom-up et top-down, et met en exergue les principales non-conformités à traiter en priorité.
— 1 —
déclenchement
de l’audit
Établissement
du contact initial
—
Objectifs d’audit
—
Validation
du périmètre d’audit
—
Critères d’audit
—
Faisabilité de l’audit
— 2 — préparation
de l’audit
Entretiens avec
les principaux intervenants
—
Revue synthétique
des documents
—
Élaboration
du plan d’audit
— 3 — réalisation
de l’audit
Réunion d’ouverture
—
Collecte d’informations
—
Réalisation
des tests d’audit
—
Constats d’audit
et rapports de
non-conformité
—
Revue qualité
— 4 —conclusion
de l’audit
Préparation
des conclusions
—
Discussion des conclusions
—
Réunion de clôture
—
Préparation du rapport
—
Diffusion du rapport
—
Clôture de l’audit
- Parmi les domaines que nous accompagnons et assistons :
Health & Personal Care industries
ASSURANCES
BANQUE
& FINANCE
INUSTRIES DES TECHNOLOGIES DE L’INFORMATION
ET DES COMUNICATIONS
pentest / red team
—
DÉFI
| identifier et corriger les vulnérabilitéS
TESTS D’INTRUSION :
Nous aidons nos clients à identifier les vulnérabilités de leurs systèmes d’information via des tests d’intrusions et nous proposons des recommandations pragmatiques pour les aider à corriger les vulnérabilités décelées.
AUDIT RED TEAM :
Nous proposons des tentatives d’intrusion à travers des scénarios réalistes et complexes. Nous lançons des attaques spécifiques afin d’atteindre un but défini, sans aucune restriction dans les techniques utilisées par nos auditeurs (social engineering, phishing, lock-picking, intrusion physique, etc.).
—
TESTS
D’INTRUSION
—
— 1 —
Accord &
autorisation
d’audit
- Formalisation et signature de la fiche d’autorisation de tests d’intrusion :
- Validation du périmètre d’audit
- Validation du planning d’audit
- Définition des conditions de réalisation
- Transmission des adresses IP utilisées par SEKOIA pour réaliser les tests
— 2 —
initialisation
de la
prestation
- Réunion de lancement :
- Rappel du contexte et du périmètre,
- Confirmation des objectifs,
- Présentation de la démarche et de la méthodologie,
- Validation du planning,
- Identification des interlocuteurs,
- Préparation d’un moyen d’échange sécurisé.
— 3 —
Réalisation
de l’audit
- Exécution des tests selon la méthodologie de SEKOIA et selon les conditions définies.
- Des points d’avancement réguliers sont réalisés afin de tenir informées le client de l’avancement des tests.
- En cas de découverte d’une vulnérabilité critique, les client est informé sans délai : une note technique décrivant la vulnérabilité et une recommandation à court terme sont communiquées.
— 4 —
restitution
des travaux
- Fourniture d’un rapport d’audit structuré en trois parties :
- Synthèse managériale,
- Synthèse technique,
- Rapport détaillé.
- Transmission d’une proposition de plan d’action.
- Réunion de restitution : présentation des résultats et des conclusions de l’audit, discussion des recommandations avec les parties prenantes.
- Audit de validation : vérification des corrections des vulnérabilités après mise en œuvre du plan d’actions.
—
audit
red team
—
—
Intrusion
physique
—
détournement
flux
et réseaux
—
intrusion
réseaux
ou systèmes
—
exploitation
de
vulnérabilités
—
exploitation
de
vulnérabilités
Nous proposons des tentatives d’intrusion à travers des scénarios réalistes et complexes. Nous lançons des attaques spécifiques afin d’atteindre un but défini, sans aucune restriction dans les techniques utilisées par nos auditeurs (social engineering, phishing, lock-picking, intrusion physique, etc.).
Nous conservons confidentiel la nature de nos clients, leurs noms ainsi que le détail des failles et manquements découverts.
AUDIT CONJOINT
| DIMENSION TECHNIQUE
Les périmètres de nos prestations d’audit de conformité outrepassent parfois le simple spectre fonctionnel :
audits de configuration d’équipements de sécurité (firewall, routeur, proxy, reverse proxy…) ou tests d’intrusions techniques permettant d’évaluer le niveau de conformité d’un périmètre vis-à-vis d’un référentiel (OWASP, PCI-DSS…) ; SEKOIA propose de mener des audits conjoints, fonctionnels et techniques, apportant une dimension 360° à notre démarche.
NOS CLIENTS Témoignent
| retour d’expérience
« Suite à l’audit de conformité ISO 27001:2013 de notre périmètre interne, nous souhaitions vérifier la robustesse technique de nos infrastructures exposées ; grâce à l’interopérabilité des équipes SEKOIA, des pentesters ont pu mettre à l’épreuve la résilience de nos infrastructures en simulant des intrusions et nous permettre d’améliorer notre sécurité périmétrique.»
— RSSI d’une banque Française.
NEVER WAS SO MUCH OWED BY SO MANY TO SO FEW —W. Churchild.