Suivi de Sécurité Opérationnelle

Audit de vulnérabilité périodique

 

Fidens a développé une offre de service visant à permettre à ses clients de suivre le niveau de sécurité opérationnelle de ses infrastructures critiques.

 

Cette offre, basée sur l’expertise d’audit tant méthodologique que technique de Fidens, propose différents niveaux de services selon les attentes, les besoins et les exigences règlementaires imposées à ses clients.

* : offre intégrant l'accompagnement à la mise en oeuvre des recommandations

La durée contractuelle de l’offre est de 1 an. La fréquence d’audit est définie selon les besoins du client (semestrielle / trimestrielle / mensuelle). L’intervalle de temps entre chaque audit est une « période ».

 

Phase d’initialisation

L’objectif de cette phase est d’initier la prestation : valider le périmètre, identifier les comptes de tests (un par site analysé), signer la décharge légale autorisant Fidens à procéder aux tests, définir le planning et le mode de communication (débriefing téléphonique mensuel par exemple, moyens de sécurisation : certificat issu de la PKI Fidens par exemple).

 

 

 

Les différentes phases d’audit

La procédure complète d’audit de vulnérabilités se décompose en trois phases. Ces phases d’audit sont déroulées lors de chaque audit. La phase 3 n’est réalisée qu’à partir d’une souscription de l’offre « Gamma ».

 

La phase 1 : Recueil d’information

L’objectif de cette phase consiste en la récolte d’informations sur le périmètre à analyser et son exposition externe. Elle permet notamment de valider l’accessibilité des composants inscrits au périmètre et d’identifier les outils qui permettront de conduire la phase 2.

La phase 2 : Découverte de vulnérabilités

L’objectif de cette phase consiste en la recherche de vulnérabilités potentielles sur les composants inscrits au périmètre et validés à la phase précédente. Cette recherche est conduite à l’aide de notre outillage spécifique (différents types de scanners de vulnérabilités reconnus du domaine : scanners de vulnérabilités systèmes, et scanners de vulnérabilités applicatives). Les vulnérabilités identifiées donnent lieu à des recommandations de la part de FIDENS, pour améliorer la sécurité du SI. Cette phase est principalement automatisée. Elle met en œuvre différents outils spécialisés en Opensource et du secteur privé (avec lesquels Fidens dispose d’une licence partenaire).

La phase 3 : Analyse spécifique

L’objectif de cette phase consiste en l’approfondissement de l’analyse par nos auditeurs dans le but d’identifier des vulnérabilités spécifiques nécessitant une expertise et une investigation plus complète. Les vulnérabilités identifiées donnent lieu à des recommandations de la part de FIDENS, pour améliorer la sécurité du SI. Cette phase est complètement manuelle, réalisée sous l’expertise de nos auditeurs.

 

 

Rapport (succinct issu directement de l'outillage)

Un rapport est proposé au client. Celui-ci est directement consolidé à partir des résultats fournis par notre outillage. Ce rapport est expurgé des différents faux-positifs.

 

Rapport détaillé

Un rapport détaillé, en langue française, est formalisé à la fin de chaque période d’audit. Ce rapport recense les vulnérabilités identifiées et les recommandations associées pour chaque composant analysé.

 

 

    Les vulnérabilités et recommandations sont caractérisées de la façon suivante :

Outre le détail des vulnérabilités et recommandations par composant, le rapport propose un tableau récapitulatif des vulnérabilités et recommandations, ainsi qu’une conclusion de l’analyse sur la période.

 

 

Analyse évolutive et synthèse

Nos auditeurs mesurent l’évolution d’une période à l’autre (nouvelles vulnérabilités, vulnérabilités traitées, vulnérabilités persistantes).

Une synthèse périodique illustrative est proposée. Cette synthèse présente différentes statistiques.  Une vue globale des vulnérabilités découvertes sur la période (nouvelles vulnérabilités), les vulnérabilités présentes sur les composants du périmètre (vulnérabilités nouvelles et persistantes) :

 

    Une synthèse pour chaque composant analysé :

 

 

 

Point téléphonique (post émission du rapport)

Nos auditeurs contactent l’équipe en charge du périmètre audité et présentent les résultats de l’audit. Cet échange permet en général d’initialiser la phase corrective.

 

 

Suivi du plan d’actions correctives

Notre équipe accompagne le client dans la définition, la conduite et le suivi du plan d’actions correctives.

 

 

Accompagnement (téléphone/email) à la mise en œuvre des recommandations

Notre équipe accompagne l’équipe en charge du périmètre audité à la mise en œuvre des recommandations. Elle travaille à ses côtés à la recherche de solutions adaptées qui permettent une couverture satisfaisante du risque. Cet accompagnement est réalisé par l’intermédiaire de points téléphoniques et d’échanges électroniques sécurisés.

 

 

Accompagnement sur site à la mise en œuvre des recommandations

Notre équipe accompagne sur site l’équipe en charge du périmètre audité. La charge à défiinr par période d’audit sera estimé selon la taille du périmètre. Elle sera consacrée à cet accompagnement.

 

Contact commercial: 01 42 66 23 60 - e-mail : contact@fidens.fr