STRATégie :
AUDIT & évaluation

Préalable et outil d’amélioration,
intégré à l’écosystème SEKOIA.

• Audits de conformité
(PSSI, ISO, PAS, RGPD)

• Audits techniques spécifiques
(code, architecture, configuration)

• Tests d’intrusion

• Red Team

 

Nos équipes d’experts en tests d’intrusion auditent la robustesse technique et le niveau de sécurité de toutes les briques des SI de leurs clients, en simulant des scénarios d’attaques et de malveillance réels.

La conformité des SI vis-à-vis de référentiels internationaux est également évaluée en se basant sur les meilleures pratiques.

Audit de Conformité

SEKOIA vous accompagne pour maîtriser votre conformité.

Les périmètres de nos prestations d’audit de conformité outrepassent parfois le simple spectre fonctionnel :
audits de configuration d’équipements de sécurité (firewall, routeur, proxy, reverse proxy…) ou tests d’intrusions techniques permettant d’évaluer le niveau de conformité d’un périmètre vis-à-vis d’un référentiel (OWASP, PCI-DSS…).

SEKOIA mène des audits conjoints, fonctionnels et techniques, apportant une dimension 360° à notre démarche.

Pentest / Red Team

Mise en conformité des SI vis-à-vis des législations en vigueur, des contraintes internes et des référentiels de sécurité, grâce à l’implémentation de politiques de sécurité, de procédures et de standards conformes aux bonnes pratiques de sécurité.

Politiques de sécurité, standards internes, processus internes, procédures internes et contrôle interne.

 

 

DÉFI
| Obtenir et maîtriser sa conformité.

Dans un contexte où le cadre réglementaire évolue extrêmement rapidement et devient de plus en plus contraignant, où les pénalités en cas de non-conformité sont de plus en plus élevées, les risques liés à la conformité légale et réglementaire, déjà importants auparavant, deviennent encore plus forts et cela dans tous les secteurs d’activité.

 

 

Il devient donc crucial d’être en capacité d’évaluer le niveau de conformité de son périmètre de responsabilité, d’identifier les écarts et d’évaluer les risques associés afin d’en tirer les plans d’actions nécessaires, de manière éclairée.

SEKOIA propose de vous accompagner pour relever ce défi en mettant à votre disposition ses compétences et son expertise pour :

Auditer et évaluer le niveau de conformité de votre système d’information ;
Piloter la mise en œuvre des plans de remédiation ;
Contrôler la bonne mise en œuvre et l’efficacité des mesures implémentées.

 

L’OFFRE D’AUDIT
| L’EXPERTISE DE SEKOIA

 

Un audit de conformité permet de fournir une photo du niveau de conformité de votre système d’information vis-à-vis du référentiel d’audit choisi.

En fonction des exigences, réglementaires (Bâle, Solvabilité…), législatives (LPM, RGPD…) ou internes (PSSI, Plan d’Assurance Sécurité, référentiel Cloud…), les résultats de l’audit vont nous permettre d’identifier les plans d’actions à mettre en oeuvre pour atteindre rapidement vos objectifs de conformité.

 

 

Référentiels :

Fort de ses auditeurs expérimentés, SEKOIA est en capacité d’évaluer la conformité de votre S.I. vis-à-vis des référentiels standards et communs, mais aussi spécifiques :

• ISO 27001/27002
• RGPD, LPM, NIS
• HDS
• AICPA SOC1, SOC2 • PCI-DSS
• SecNumCloud
• NIST
• CSA STAR / CCM

Méthodologie globale
| APPROCHE ORIENTée risques

Forts de notre expérience, nous avons amélioré nos méthodes et outils d’audit pour gagner en efficacité et optimiser les missions.

Notre approche est d’abord orientée risques, à la fois bottom-up et top-down, et met en exergue les principales non-conformités à traiter en priorité.

— 1 —

déclenchement
de l’audit

Établissement
du contact initial

Objectifs d’audit

Validation
du périmètre d’audit

Critères d’audit

Faisabilité de l’audit

— 2 —

préparation
de l’audit

Entretiens avec
les principaux intervenants

Revue synthétique
des documents

Élaboration
du plan d’audit

— 3 —

réalisation
de l’audit

Réunion d’ouverture

Collecte d’informations

Réalisation
des tests d’audit

Constats d’audit
et rapports de
non-conformité

Revue qualité

— 4 —

conclusion
de l’audit

Préparation
des conclusions

Discussion des conclusions

Réunion de clôture

Préparation du rapport

Diffusion du rapport

Clôture de l’audit

  • Parmi les domaines que nous accompagnons et assistons :

Health & Personal Care industries

ASSURANCES

BANQUE
& FINANCE

INUSTRIES DES  TECHNOLOGIES DE L’INFORMATION
ET DES
COMMUNICATIONS

pentest / red team

DÉFI
| identifier et corriger les vulnérabilitéS

 

TESTS D’INTRUSION :

Nous aidons nos clients à identifier les vulnérabilités de leurs systèmes d’information via des tests d’intrusions et nous proposons des recommandations pragmatiques pour les aider à corriger les vulnérabilités décelées.

 

AUDIT RED TEAM :

Nous proposons des tentatives d’intrusion à travers des scénarios réalistes et complexes. Nous lançons des attaques spécifiques afin d’atteindre un but défini, sans aucune restriction dans les techniques utilisées par nos auditeurs (social engineering, phishing, lock-picking, intrusion physique, etc.).


TESTS

D’INTRUSION

— 1 —

Accord &
autorisation
d’audit
 

  • Formalisation et signature de la fiche d’autorisation de tests d’intrusion :
    • Validation du périmètre d’audit
    • Validation du planning d’audit
    • Définition des conditions de réalisation
    • Transmission des adresses IP utilisées par SEKOIA pour réaliser les tests

— 2 —

initialisation
de la
prestation

  • Réunion de lancement :
    • Rappel du contexte et du périmètre,
    • Confirmation des objectifs,
    • Présentation de la démarche et de la méthodologie,
    • Validation du planning,
    • Identification des interlocuteurs,
    • Préparation d’un moyen d’échange sécurisé.

— 3 —

Réalisation
de l’audit

  • Exécution des tests selon la méthodologie de SEKOIA et selon les conditions définies.
  • Des points d’avancement réguliers sont réalisés afin de tenir informé le client de l’avancement des tests.
  • En cas de découverte d’une vulnérabilité critique, le client est informé sans délai : une note technique décrivant la vulnérabilité et une recommandation à court terme sont communiquées.

 

— 4 —

restitution
des travaux

  • Fourniture d’un rapport d’audit structuré en trois parties :
    • Synthèse managériale,
    • Synthèse technique,
    • Rapport détaillé.
  • Transmission d’une proposition de plan d’action.
  • Réunion de restitution : présentation des résultats et des conclusions de l’audit, discussion des recommandations avec les parties prenantes.
  • Audit de validation : vérification des corrections des vulnérabilités après mise en œuvre du plan d’actions.


audit

red team

Intrusion
physique

détournement
flux
et réseaux


intrusion
réseaux
ou systèmes

exploitation
de
vulnérabilités

Nous proposons des tentatives d’intrusion à travers des scénarios réalistes et complexes. Nous lançons des attaques spécifiques afin d’atteindre un but défini, sans aucune restriction dans les techniques utilisées par nos auditeurs (social engineering, phishing, lock-picking, intrusion physique, etc.).

Nous conservons confidentielle la nature de nos clients, leurs noms ainsi que le détail des failles et manquements découverts.

AUDIT CONJOINT
| DIMENSION TECHNIQUE

Les périmètres de nos prestations d’audit de conformité outrepassent parfois le simple spectre fonctionnel :
audits de configuration d’équipements de sécurité (firewall, routeur, proxy, reverse proxy…) ou tests d’intrusions techniques permettant d’évaluer le niveau de conformité d’un périmètre vis-à-vis d’un référentiel (OWASP, PCI-DSS…) ; SEKOIA propose de mener des audits conjoints, fonctionnels et techniques, apportant une dimension 360° à notre démarche.

 

NOS CLIENTS Témoignent
| retour d’expérience

« Suite à l’audit de conformité ISO 27001:2013 de notre périmètre interne, nous souhaitions vérifier la robustesse technique de nos infrastructures exposées ; grâce à l’interopérabilité des équipes SEKOIA, des pentesters ont pu mettre à l’épreuve la résilience de nos infrastructures en simulant des intrusions et nous permettre d’améliorer notre sécurité périmétrique.»

— RSSI d’une banque Française.

 

NEVER WAS SO MUCH OWED BY SO MANY TO SO FEW —W. Churchild.