L'approche de Sekoia se décline selon plusieurs étapes:
- L'analyse des enjeux. Sekoia conduit des entretiens avec les responsables métiers (Direction générale, RH, Finances, Production, Commercial, etc.) afin d'établir la sensibilité des informations qu'ils traitent ou qu'ils utilisent.
Cette sensibilité se mesure selon les quatre axes de la sécurité : Disponibilité, Intégrité, Confidentialité et Traçabilité.
Pour chacun de ces axes, à partir des informations recensées, une mesure de l'impact d'un sinistre est établie à partir d'une grille proposée par Sekoia.
Cette étape permet d'établir pour chaque métier de la structure les informations sensibles - L'état des lieux. Sekoia réalise un état des lieux du niveau de protection du système d'information. Ces constats s'établissent à partir d'un plan d'audit composé:
- d'entretiens avec les responsables de la direction des systèmes d'information (réseaux, études, exploitation, help desk,…). Ces interlocuteurs, désignés par le directeur informatique en début de mission, reçoivent préalablement à l'entretien un questionnaire qui servira de guide et permettra de rendre l'échange productif
- d'une analyse de la documentation existante dans la structure sur la configuration, l'exploitation et l'utilisation des ressources du système d'information
- d'investigations techniques sur un panel d'équipements représentatifs. Ces derniers auront été désignés en début de mission par les responsables informatiques. Ces investigations ont pour objectif d'apprécier la configuration de ces équipements et de déceler d'éventuels écarts avec les préconisations des constructeurs ou des organismes en charge de la sécurité
- par rapport à l'état de l'art
- en comparaison avec la situation constatée dans des structures similaires présentes dans le même secteur d'activité
- La présentation des résultats et des livrables. Les livrables d'une mission d'audit général de sécurité sont au nombre de trois et servent de support à deux réunions importantes. Les résultats sont présentés distinctement aux dirigeants de la structure et aux membres de la direction des systèmes d'informations.
Lors de la réunion avec la Direction des Systèmes d'Information les aspects techniques des insuffisances dans la configuration et l'utilisation des équipements et des systèmes d'exploitation et des logiciels sont présentés et explicités. Les ingénieurs de Sekoia exposent alors leurs constats et proposent des pistes pour réduire les écarts et les vulnérabilités.
La réunion avec les dirigeants présente une synthèse de l'audit et met en perspective les insuffisances constatées en matière de sécurité avec l'analyse des enjeux établie avec les métiers. Sekoia présente:- à partir de scénarios de sinistres fictifs, les risques les plus impactant et ayant une probabilité d'occurrence significative
- un plan d'actions hiérarchisé et valorisé pour réduire l'exposition aux risques de la structure.
Les livrables associés aux audits généraux de sécurité conduit par Sekoia sont:
- Une synthèse générale à destination de la Direction de la structure. Elle reprend succinctement les écarts constatés, les risques générés, l'analyse des enjeux et les actions à mettre en œuvre prioritairement.
- Un état des lieux complet, établi selon les chapitres de la norme ISO 27002, de la politique de sécurité et de sa mise en œuvre. Cet état des lieux présente pour chaque domaine:
- les constats
- le diagnostic. Ce paragraphe précise pour chaque constat les risques générés par cette vulnérabilité
- l'appréciation sur le niveau de sécurité
- les recommandations. Il s'agit des actions à mettre en œuvre pour pallier à ce constat et réduire le risque
- Un plan d'actions détaillé, valorisé et hiérarchisé
