Bienvenue dans notre agence de marketing digital & cybersécurité

APPEL INTERNATIONAL: (+33) 6 37 80 26 52   |   APPEL FR: 06 37 80 26 52

AUDIT CYBERSCURITÉ POUR LA SÉRÉNITÉ DE VOTRE ENTREPRISE 

SERVICE DE CYBERSÉCURITÉ WEB & INFRASTRUCTURE INFORMATIQUE

PACKS CYBERSÉCURITÉ

à partir de 300 €

Essentiel


Cybersécurité web

AUDIT DE SITE WEB

DESCRIPTION

  • Idéal pour les petites structures

 

  • Ceux et celles qui ont « juste » un site Web.

LIVRABLE

  • Rapport de l'audit site web

à partir de 300 €

Sérénité


Cybersécurité & évaluation

AUDIT DE SITE WEB
AUDIT D'ARCHITECTURE

DESCRIPTION

  • Audits techniques plus poussés

 

  • Valider la sécurité du serveur et les configurations systèmes et réseaux 

LIVRABLE

  • Rapport de l'audit de site web

 

  • Rapport de l'audit d'architecture

à partir de 850 €

Premium


Cybersécurité & évaluation

AUDIT DE SITE WEB
AUDIT D'ARCHITECTURE
AUDIT ORGANISATIONNEL
AUDIT PENTEST

DESCRIPTION

  • Audits complets, à la fois techniques et organisationnels

 

  • Valider les aspects techniques et organisationnels

LIVRABLE

  • Rapport de l'audit de site web

 

  • Rapport de l'audit d'architecture

 

  • Rapport de l'audit d'organisationnel

 

  • Rapport de l'audit de Pentest

 à partir de 2 600 €

AUDIT DE CYBERSÉCURITÉ
LES RISQUES D'UNE CYBERATTAQUE
LES TEST D'INTRUSIONS
LES BONNE PRATIQUES A SUIVRE
AUDIT DE CYBERSÉCURITÉ
LES RISQUES D'UNE CYBERATTAQUE
LES TEST D'INTRUSIONS
LES BONNE PRATIQUES A SUIVRE

Il existe de nombreuses publications qui fournissent des informations détaillées sur la façon de se préparer à un audit de cybersécurité, mais ce qui suit donne un large aperçu de ce que vous devez faire pour vous préparer à un audit externe.  

 

Élaborer une politique de sécurité

Toute organisation doit disposer d'une politique de sécurité qui définit les règles et les procédures à suivre pour utiliser l'infrastructure informatique de l'organisation, en particulier pour le traitement des données sensibles et privées. Si vous avez déjà élaboré ces politiques, il est temps de les revoir pour garantir la confidentialité et l'intégrité des données, ainsi que l'accès sécurisé aux données, conformément à votre secteur d'activité et aux exigences de conformité en vigueur. Par exemple, votre politique de sécurité devrait identifier :

 

Que faut-il protéger ? (par exemple, les données, les applications d'entreprise, le matériel, etc.)

Comment allez-vous les protéger ? (par exemple, en utilisant des mots de passe)

Comment l'accès aux données sera-t-il contrôlé et verrouillé ?

Comment sécuriser les données personnelles ou sensibles ?

Comment préserver l'exactitude et l'intégrité des données ?

Comment protéger les données archivées ?

 

Pour vous aider dans la préparation et/ou la révision de la politique de sécurité de votre organisation, vous pouvez vous référer au modèle de cybersécurité du National Institute of Standard and Technology (NIST). 

 

“Le dispositif NIST est un guide non contraignant, fondé sur des normes, des lignes directrices et des pratiques existantes, destiné à aider les organisations à mieux gérer et à réduire les risques liés à la cybersécurité. En plus d'aider les organisations à maîtriser et à réduire les risques, il a été conçu pour favoriser la communication sur la gestion des risques et de la cybersécurité entre les parties prenantes internes et externes des organisations, améliorer leur capacité à prévenir, détecter et répondre aux cyberattaques.”

 

Passez en revue et vérifiez vos politiques de cybersécurité

Il est plus que probable que vous disposiez d'une diversité de politiques de sécurité qui ont été créées à différents moments par différentes personnes. Il est temps de passer en revue chacune de ces politiques et de les croiser pour s'assurer qu'elles sont cohérentes. Par exemple, si votre politique de sauvegarde prévoit des sauvegardes tous les 30 jours, vous risquez de ne pas pouvoir atteindre vos objectifs de perte de données maximale admissible (RPO) selon votre politique de reprise après sinistre, qui dépend de ces sauvegardes. En cas de sinistre, vous pouvez perdre jusqu'à 30 jours de données. Si vos systèmes n'utilisent pas l'authentification multifactorielle, votre politique en matière de mots de passe doit exiger des mots de passe extraordinairement forts et fréquemment modifiés. Voici quelques exemples de ces politiques de sécurité :

 

Politiques de sécurité des données

Comment faire en sorte que vos données sensibles soient à l'abri des regards indiscrets ?

 

Politiques de confidentialité des données

Comment vous assurez-vous que les données privées restent privées ?

 

Contrôle d'accès au réseau

Comment limitez-vous l'accès au réseau aux seuls appareils autorisés et conformes aux politiques de sécurité ?

Les dispositifs du réseau disposent-ils des correctifs de sécurité et de la protection en matière de cybersécurité nécessaire ?

 

Politiques de sauvegarde

Quand et comment votre organisation sauvegarde-t-elle ses systèmes, ses applications et ses données ?

Politiques en matière de mots de passe. Quelles sont les politiques de votre organisation en matière de mots de passe et comment les gérez-vous ?

 

Politiques de reprise après sinistre

Votre plan de reprise d'activité est-il exécuté et mis à jour régulièrement pour garantir que vous pouvez récupérer vos systèmes et vos données ?

Serez-vous en mesure d'atteindre les objectifs de temps de récupération (RTO) et les RPO prévus ?

 

Politiques de télétravail

Comment votre entreprise garantit-elle la sécurité et la protection des appareils de vos travailleurs à distance ?

 

Politique des employés en matière de courrier électronique et d'Internet

Comment faire en sorte que vos employés utilisent le courrier électronique et le réseau Internet de l'entreprise à des fins professionnelles et ne puissent pas penser que les communications, les données et les fichiers personnels resteront privés ?

Comment pouvez-vous vous assurer que les employés comprennent qu'ils ne peuvent pas envoyer de courriels qui harcèlent, menacent ou offensent ?

 

Code de bonne conduite

Quelles procédures un employé doit-il accepter avant d'être autorisé à accéder au réseau de l'entreprise ?

 

Renforcer la structure de votre réseau

Il est important de créer une structure et une conception sécurisées de la topologie du réseau. Par exemple, si vous segmentez votre réseau, les serveurs financiers ne doivent pas se trouver dans le même réseau ou sous-réseau que vos serveurs de recherche et développement ou de ressources humaines. Au contraire, la segmentation de votre réseau en zones plus petites renforce votre sécurité, car vous avez compartimenté les services qui peuvent contenir des informations sensibles. Vérifiez également que votre pare-feu et les autres outils de sécurité réseau qui devraient être en place le sont, car ils devront être examinés et audités.

 

Examiner et appliquer les dispositions relatives à la conformité des entreprises

Si vous êtes soumis à des réglementations, telles que le RGPD, PCI ou HIPAA, assurez-vous d'être conforme aux réglementations applicables et incluez ce sujet dans vos échanges avec vos auditeurs. Les auditeurs interrogeront probablement votre équipe sur les réglementations applicables en matière de conformité, alors soyez prêt avec des documents qui attestent de votre conformité.

 

Examiner et appliquer les normes liées au lieu de travail des employés

Avant l'audit, assurez-vous que votre politique en matière de courrier électronique et d'Internet est comprise et respectée par tous les employés. Par exemple, les employés ne doivent pas consulter de sites web contenant des contenus criminels ou offensants, tels que des sites de jeux d'argent ou de pornographie. Les employés ne doivent pas stocker de contenu qui viole les lois sur les droits d'auteur. Les employés ne doivent pas utiliser leur adresse électronique professionnelle pour des affaires personnelles. Votre organisation a le droit d'examiner tous les courriels envoyés par les employés ou le contenu stocké sur leurs machines pour vérifier la présence de logiciels malveillants, de fraude ou de harcèlement au travail.

 

Pour réussir un audit de conformité, votre organisation doit utiliser différents outils et différentes technologies de cybersécurité pour répondre aux obligations légales essentielles en matière de sauvegarde des systèmes, de logiciels antivirus, de reprise après sinistre, etc.