L’audit d’architecture est notre prestation de conseil fonctionnel et technique sur le design d’une infrastructure sécurisée.
L’état des lieux et l’analyse sont réalisés sur la base documentaire fournie par le commanditaire et sous forme d’entretiens auprès des experts (techniques et métier) et propriétaires d’actifs (direction, gestion projet).
L’audit vise à vérifier l’adéquation des mesures de sécurité d’un système d’information face aux menaces de sécurité, sous le prisme de la conformité avec des référentiels internes ou externes, et du retour d’expérience de l’auditeur.
Ce travail de vérification permet de produire un état des lieux, sur lequel l’auditeur basera ses préconisations ou des scénarios d’évolution plus larges.
L’audit d’architecture intervient généralement pendant la phase d’étude ou de conception d’un nouveau système d’information, comme élément de contrôle ou de conseil sur des critères de sécurité.
Il est aussi très utile sur un système d’information existant, généralement à faible niveau de maturité, afin d’en dresser l’état des lieux , puis de proposer un schéma directeur et une feuille de route avec des actions classées par priorités.
L’auditeur doit être avant tout parfaitement imprégné du contexte de l’audité, afin d’en saisir les enjeux métier, les directions stratégiques effectuées, les contraintes et les modèles de menace auxquels il est principalement exposé.
Cette compréhension est essentielle pour mieux comprendre l’environnement technique, réaliser un état des lieux pertinent et enfin des recommandations adéquates (en termes de coût, de complexité et d’efficacité).
Ainsi, l’audit est avant tout un travail collaboratif entre l’auditeur, qui apporte son expertise technique et sa vision du théâtre offensif, et les intervenants de l’audité, dont la connaissance du métier et l’environnement technique comme fonctionnel sont essentiels à la réussite de l’audit.
Tout au long de l’audit, de l’état des lieux à l’élaboration d’un plan d’action en passant par l’analyse, l’auditeur adopte une démarche proche de l’analyse de risque concernant la prise d’information et l’évaluation des menaces comme des mesures de sécurité.
L’analyse effectuée par l’auditeur vise à :
Un scénario d’évolution consiste à un ensemble de mesures ou un changement de grande envergure. Il répond à un besoin du client ou à une menace qui ne peut être traitée par des mesures unitaires, mais uniquement par un changement en profondeur.
En cas de besoin, l’auditeur propose plusieurs scénarios, lorsque par exemple plusieurs choix techniques ou stratégiques sont possibles, ou encore pour offrir plusieurs lignes budgétaires.
Nous garantissons naturellement la parfaite confidentialité de l’ordre de mission, des traces d’audit et des rapports émis.
Cet engagement est concrétisé par notre charte d’éthique, appliquée sur notre organisation et nos analystes, ainsi que par les mesures techniques que nous mettons en œuvre (chiffrement, infrastructure isolée, stricte gestion des droits, politique de rétention des données, etc.).
D’autres parts, le cadre technique , notamment les conditions et la durée de rétention de l’information sont contractualisées dès avant l’audit.
Un compte-rendu de clôture de l’audit vous sera également remis, avec les indications de retour à la normale des systèmes audités (éventuels comptes de test et fichiers à supprimer, ou autres actions).
N’hésitez pas à nous contacter, nous nous ferons un plaisir de partager avec vous plus de précisions à ce sujet.