Auditware
ü Sécurité de l'Information
ü Continuité d'Activité

ü Management des Risques
   

Auditware News
Recevez par mail
l'actualité de la
sécurité de l'information et continuité d'activité
Accueil Formations Audit & Sécurité des SI Coaching 27000 Club CISSP Appui Audit interne Qui sommes nous? Publications

Certifications Professionnelles CISSP - CBCP - ARM54+(Risk Management)
ISO 27001 Lead Auditor - BS25999 Lead Auditor - Pro-Implementer 27000
Audit  et Conseil en Organisation des systèmes d'information
Nous employons la méthode CobIT pour l'audit de la gouvernance des SI. 
Cette méthode établie par l'ISACA est diffusée en France par l'AFAI est reconnue mondialement pour permettre une approche rapide des forces et faiblesses des SI. 
Le langage employé est celui des utilisateurs et non des informaticiens. 
Il est compréhensible par tous les acteurs de l'organisation, (à ce titre cette méthode se rapproche des techniques actuelles d'urbanisation des systèmes d'information orientées d'abord vers les clients).

Tous nos audits sont menés sur la base d'une analyse par les risques.
= > ("Dépenser les ressources à bon, escient")

Dans le cycle de vie des SI sont ainsi appréhendés les domaines suivants

  • Plan stratégique informatique versus le Plan stratégique de l'organisation
    Schéma directeur (ou similaire) - Adéquation des ressources mise en œuvre
    Relations Maîtrise d'Ouvrage - Maîtrise d'Ouvrage déléguée - Maîtrise d'Œuvre
  • Fonction informatique
    Son organisation, ses responsabilités, Contrats de service, Qualité
  • Service études et développement
    Organisation, ressources humaines et techniques
     Normes et standards, Conduite de projets, Suivi en heures et/ou en points de fonction.
  • Applications
  • Centre d'exploitation informatique.
  • Bases de données - DBA - Responsabilités, traces
  • Réseaux et télécoms
  • Technologies Internet implémentées: sites Web, Messagerie, Intranet, Extranet 
Audit et Conseil en sécurité des systèmes d'information
Toutes les missions sont basées sur les normes ISO  27000 :
ISO 27001 pour la partie référentiel de certification
ISO 27002 (ISO 17799)pour la partie Guide de bonnes pratiques de sécurité
ISO 27004 pour les métriques
ISO 27005 cadre de référence pour l'utilisation d'une méthode d'analyse de risque (EBIOS, MEHARI, OCTAVE ou méthode simplifiée selon les cas)

Ce type de mission a pour objectif d'assister les RSSI afin d'apporter aux Directions Générales l'assurance raisonnable que les dispositifs mis en place assure une protection efficace contre des attaques (internes ou externes) ainsi qu'une continuité d'activité même dégradée en cas de sinistre.

Les méthodes de travail employées sont les suivantes :

  • Analyse de risques
  • Adéquation de la Politique(s) sécurité
  • Architecture sécurité
  • Étude systémique des systèmes et des réseaux (y compris applications critiques)
  • Détection des dysfonctionnements systémiques ou ponctuels
  • Assistance à Maîtrise d'Ouvrage pour la mise en place de solutions
  • Mis en œuvre de métriques et tableaux de bord sécurité
  • Tests en Interne
    • Tests de capture de mots de passe
    • Test de vulnérabilité des mots de passe
    • Tentatives d'accès aux ressources Serveurs + Bases de données
    • Prise de possession des équipements réseaux (routers, switches, etc...)
    • IDS - IPS Intrusion Detection Systems/ Intrusion Prevention Systems
  • Tests en Externe
    • Surveillance des ports utilisés 
    • Détection des accès installés (modems, ISDN, DSL, WiFi...)
    • Tests de pénétration