Entreprises / Audits Organisationnel et Physique

Toute organisation soumise à des contraintes réglementaires ou normatives doit pouvoir démontrer le respect des exigences applicables, et le niveau d'application dans ses processus organisationnels ou techniques : l’audit est l’un des moyens à sa disposition pour éprouver et s’assurer du niveau de sécurité de son système d’information, vérifier l'efficacité des mesures de sécurité et leur mise en œuvre effective dans les processus.

Il permet, en pratique, de mettre en évidence les forces mais surtout les faiblesses et vulnérabilités du système d’information de l'organisation.

Ils confirment l'atteinte d'un niveau acceptable des risques résiduels, et peuvent également s'incrire dans une démarche d'homologation (voir offre homologation).

Les mesures de sécurité devant être mises en place pour sécuriser le système d'information sont décidées à l'issue d'une analyse de risques préalable (selon la méthodologie EBIOS RM par exemple) et peuvent être de différentes natures : organisationnelles, physiques et techniques.

Grâce à sa forte connaissance du domaine Défense et Spatial, et de l'environnement associé, l’approche SCASSI est toujours une approche par le risque dans le contexte du client. L'audit est un excellent moyen d'évaluation, adapté à de multiples situations.

Bénéfices :

1. Mise en conformité normative ou réglementaire (et évitement du volet « sanctions »)

2. Instauration de la confiance dans les systèmes d’information et dans leur exploitation, avec un avis d'un tier indépendant

3. Maitrise des risques et des coûts,

4. Outil d'arbitrage des plans d’actions

5. Clarification de la relation industriel (maitrise d’œuvre) / donneur d’ordre (maitrise d’ouvrage)

Qualification PASSI / PASSI LPM

SCASSI est qualifiée PASSI, ce qui est attesté par un organisme tier (LSTI) et publié sur le site de LSTI et sur le site de l'ANSSI.

La qualification des prestataires d’audit de la sécurité PASSI fait partie du règlement général de sécurité (RGS) de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI).

La qualification atteste du respect par le prestataire :

1. des aspects contractuels, de la législation et de la réglementation et de l’impartialité

2. de la protection de l’information (au niveau Diffusion Restreinte)

3. des exigences de qualité et de sécurité de ses process d’audit

4. de la compétence de ses auditeurs pour les activités qualifiées

Une prestation d’audit non qualifiée peut potentiellement exposer le commanditaire à certains risques comme par exemple la fuite d’informations confidentielles, la compromission, la perte ou l’indisponibilité de son système d’information, sans présager des risques liés au non-respect de la règlementation en vigueur.

La méthodologie globale se déroule en 3 phases:

1. Cadrage et préparation (pour s’accorder ensemble sur le périmètre, les limites et les exclusions de l’audit et identifier les procédures d’audit applicables)

2. Réalisation de l'audit (réalisation des activités d’audit, conformément aux besoins exprimés propres à chaque portée, et dans le respect des bonnes pratiques. Restitution à chaud)

3. Restitution et Clôture (finaliser l’audit et assurer une restitution aux parties intéressées incluant le rapport technique détaillé, un document de synthèse et les recommandations / plan d'actions)

Lors de l'audit, les points suivants peuvent être abordés :

1. sur la partie organisationnelle :

2. Politiques et procédures de sécurité

3. Organisation de la sécurité

4. RH :

5. Charte informatique

6. Sensibilisation et formation du personnel

7. Moyens de contrôle d’accès logique

8. Sauvegarde et restauration

9. Mises à jour, maintien en conditions de sécurité (MCS)

10. Administration, surveillance / supervision et exploitation

11. Gestion des incidents

12. Continuité d'activité

13. Indicateurs et tableau de bord

14. Amélioration continue

15. sur la sécurité physique et environnementale :

16. Contrôle d'accès physique, détection d'intrusion, vidéosurveillance (CADIVS) : barrières périmétriques, badges, clés, alarmes, caméras etc…

17. Système de détection et d’extinction d’incidents environnementaux : incendie, inondations, secours énergétiques…

18. Facility management, contrats de sous-traitances, gardiennage

Outillage : Pour réaliser l’ensemble de ces audits, SCASSI utilise son propre outil développé en interne: AudiTool.

Les principales fonctionnalités de notre outil AudiTool sont les suivantes :

1. Nombreux référentiels intégrés (LPM, ANSSI, OWASP, NIST, 27001, CMMC, …)

2. Mécanisme de plugins pour intégrer de nouveaux référentiels rapidement

3. Travail collaboratif entre plusieurs auditeurs

4. Génération de rapport automatique et de restitution

5. Estimation automatique de la conformité entre plusieurs référentiels. 

Notre outil permet de définir des équivalences entre les référentiels. Une fois l’audit réalisé, la conformité aux différents référentiels est alors automatiquement calculée.

Livrables:

1. Rapport d'audits PASSI (Audit, d'architecture, Audit de configuration, Audit organisationnel et de sécurité physique, Tests d'intrusion, Audit de code source. Restitution en commission)

2. Recommandations / Plan d'actions