Audit organisationnel de sécurité informatique

Notre méthodologie

Nous réalisons l’audit organisationnel de sécurité informatique au regard de référentiels (norme ISO 27002), de l’état de l’art ainsi que des bonnes pratiques SSI rédigé par l’ANSSI.

Nos consultants prennent en compte les 3 piliers des systèmes d’informations, « People/Process/Technology » et réalise les étapes suivantes :

• Interview, recueil d’informations et de documentations : interviews auprès des différentes parties prenantes de l’entreprise dont les responsables de processus (Direction, achat / DAF, DSI, administrateurs, développeurs…) pour déterminer les éléments essentiels à protéger, l’organisation et le fonctionnement, …
• Analyse documentaire : revue des documents existants relatifs aux systèmes d’Information, comprenant les process écrits, la revue des sauvegardes, des PCA/PRA, des politiques d’accès, du Patch Management, des procédures d’exploitation, etc…
• Identification et évaluation des besoins de sécurité : notre consultant établit le bilan des écarts avec les bonnes pratiques. Il réalisera une appréciation du coût (humain, financier, temps) versus le gain en sécurité de chaque mesure pour mieux vous guider et vous permettre de prioriser les actions à réaliser. Exemples de points vérifiés :
  • Conformité des processus et des mesures de sécurité mis en place (les processus sont-ils bien établis, contrôlés et efficace ?)
  • Répartition des responsabilités
  • Sensibilisation des collaborateurs aux risques cyber
  • Niveau de sécurité des implémentations techniques (au regard de la documentation fournis ou suite aux interviews réalisées)
  • Sécurisation physique des serveurs
• Rédaction du rapport d’audit et remise du livrable : notre consultant échange avec vous autour des conclusions et recommandations suite à cet audit organisationnel afin de vous garantir une bonne compréhension du bilan.
• Restitution et échanges : notre consultant échange avec vous autour des conclusions et recommandations suite à cet audit organisationnel afin de vous garantir une bonne compréhension du bilan.

Notre valeur ajoutée :

• Notre exigence technique : nous basons notre audit organisationnel sur les mêmes normes que l’audit de conformité, à savoir la norme ISO27002, et sur l’état de l’art de la cybersécurité.
• Notre expérience des audits organisationnels et de conformité.
• Notre pragmatisme : nous délivrons une feuille de route adaptée à votre contexte et vos besoins de sécurité pour vous permettre de prioriser vos actions.
• Notre pluralité de compétences internesstrong> qui permet de fournir des livrables de qualité.