Este sitio web utiliza cookies para mejorar su experiencia de navegación y compilar estadísticas sobre el tráfico.
Más información sobre cómo usamos las cookies y de qué manera puede cambiar su configuración.
Empresa y sector público | Gobierno y conformidad
Toute organisation soumise à des contraintes réglementaires ou normatives doit pouvoir démontrer le respect des exigences applicables, et le niveau d'application dans ses processus organisationnels ou techniques : l’audit est l’un des moyens à sa disposition pour éprouver et s’assurer du niveau de sécurité de son système d’information, vérifier l'efficacité des mesures de sécurité et leur mise en œuvre effective dans les processus.
Il permet, en pratique, de mettre en évidence les forces mais surtout les faiblesses et vulnérabilités du système d’information de l'organisation.
Ils confirment l'atteinte d'un niveau acceptable des risques résiduels, et peuvent également s'incrire dans une démarche d'homologation (voir offre homologation).
Les mesures de sécurité devant être mises en place pour sécuriser le système d'information sont décidées à l'issue d'une analyse de risques préalable (selon la méthodologie EBIOS RM par exemple) et peuvent être de différentes natures : organisationnelles, physiques et techniques.
Grâce à sa forte connaissance du domaine Défense et Spatial, et de l'environnement associé, l’approche SCASSI est toujours une approche par le risque dans le contexte du client. L'audit est un excellent moyen d'évaluation, adapté à de multiples situations.
Bénéfices :
Mise en conformité normative ou réglementaire (et évitement du volet « sanctions »)
Instauration de la confiance dans les systèmes d’information et dans leur exploitation, avec un avis d'un tier indépendant
Maitrise des risques et des coûts,
Outil d'arbitrage des plans d’actions
Clarification de la relation industriel (maitrise d’œuvre) / donneur d’ordre (maitrise d’ouvrage)
Qualification PASSI / PASSI LPM
SCASSI est qualifiée PASSI, ce qui est attesté par un organisme tier (LSTI) et publié sur le site de LSTI et sur le site de l'ANSSI.
La qualification des prestataires d’audit de la sécurité PASSI fait partie du règlement général de sécurité (RGS) de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI).
La qualification atteste du respect par le prestataire :
des aspects contractuels, de la législation et de la réglementation et de l’impartialité
de la protection de l’information (au niveau Diffusion Restreinte)
des exigences de qualité et de sécurité de ses process d’audit
de la compétence de ses auditeurs pour les activités qualifiées
Une prestation d’audit non qualifiée peut potentiellement exposer le commanditaire à certains risques comme par exemple la fuite d’informations confidentielles, la compromission, la perte ou l’indisponibilité de son système d’information, sans présager des risques liés au non-respect de la règlementation en vigueur.
La méthodologie globale se déroule en 3 phases:
Cadrage et préparation (pour s’accorder ensemble sur le périmètre, les limites et les exclusions de l’audit et identifier les procédures d’audit applicables)
Réalisation de l'audit (réalisation des activités d’audit, conformément aux besoins exprimés propres à chaque portée, et dans le respect des bonnes pratiques. Restitution à chaud)
Restitution et Clôture (finaliser l’audit et assurer une restitution aux parties intéressées incluant le rapport technique détaillé, un document de synthèse et les recommandations / plan d'actions)
Lors de l'audit, les points suivants peuvent être abordés :
sur la partie organisationnelle :
Politiques et procédures de sécurité
Organisation de la sécurité
RH :
Charte informatique
Sensibilisation et formation du personnel
Moyens de contrôle d’accès logique
Sauvegarde et restauration
Mises à jour, maintien en conditions de sécurité (MCS)
Administration, surveillance / supervision et exploitation
Gestion des incidents
Continuité d'activité
Indicateurs et tableau de bord
Amélioration continue
sur la sécurité physique et environnementale :
Contrôle d'accès physique, détection d'intrusion, vidéosurveillance (CADIVS) : barrières périmétriques, badges, clés, alarmes, caméras etc…
Système de détection et d’extinction d’incidents environnementaux : incendie, inondations, secours énergétiques…
Facility management, contrats de sous-traitances, gardiennage
Outillage : Pour réaliser l’ensemble de ces audits, SCASSI utilise son propre outil développé en interne: AudiTool.
Les principales fonctionnalités de notre outil AudiTool sont les suivantes :
Nombreux référentiels intégrés (LPM, ANSSI, OWASP, NIST, 27001, CMMC, …)
Mécanisme de plugins pour intégrer de nouveaux référentiels rapidement
Travail collaboratif entre plusieurs auditeurs
Génération de rapport automatique et de restitution
Estimation automatique de la conformité entre plusieurs référentiels.
Notre outil permet de définir des équivalences entre les référentiels. Une fois l’audit réalisé, la conformité aux différents référentiels est alors automatiquement calculée.
Livrables:
Rapport d'audits PASSI (Audit, d'architecture, Audit de configuration, Audit organisationnel et de sécurité physique, Tests d'intrusion, Audit de code source. Restitution en commission)
Recommandations / Plan d'actions