les typologies d’audits - Ecole2600

Vous venez de prendre vos fonctions en tant que RSSI d’une petite collectivité locale. Il s’agit d’une création de poste. Vous devez définir les chantiers cybersécurité prioritaires à traiter sur l’année. 

Pour cela, vous souhaitez obtenir un état des lieux du niveau de sécurité actuel du SI et de la maturité des processus cybersécurité existants. 

Quelle combinaison d’audits et de contrôles choisissez-vous ?

Vous êtes adjoint du RSSI d’un grand site de e-commerce. Le site est développé en mode Agile à l’aide d’une chaîne d’intégration et de déploiement continus. Vous réalisez actuellement 2 tests d’intrusion par an. La sécurité du site étant l’une des priorités de l’entreprise, les vulnérabilités identifiées sont à chaque fois traitées dans un temps très court par les équipes.

Le RSSI vous demande de vous assurer que chaque sprint de développement ne cause pas dans le code de nouvelles vulnérabilités qui pourraient être exploitées par un attaquant sur Internet.

Quels types d’audits ou de contrôles préconisez-vous ?

Votre entreprise dans le secteur de l’énergie veut acquérir une entreprise de construction de panneaux solaires. Le processus de “due diligence” est en cours afin d'effectuer l’ensemble des vérifications nécessaires à la fusion.

Après la fusion, il sera nécessaire d’interconnecter les SI des deux entreprises afin que les nouveaux employés puissent accéder à vos ressources. Vous souhaitez vous assurer que ce raccordement ne mettra pas en risque votre SI d’un point de vue cybersécurité. 

Quels types d’audits ou de contrôles proposez-vous de réaliser pour obtenir cette assurance ?

Vous avez souscrit à un service SOC pour votre entreprise. Les scénarios de détection ont été définis et implémentés, de même que les processus de traitement des alertes et d’escalade. Vous souhaitez vérifier que le SOC vous permettra bien de détecter une attaque qui toucherait vos actifs SI les plus sensibles.

Quel type d’audit ou de contrôle pourrait vous éclairer ?

Vous souhaitez mettre en place un comité cybersécurité mensuel au sein de votre entreprise afin de suivre et de piloter l’état de sécurité de votre SI.

Pour cela, vous souhaitez construire un tableau de bord avec différents indicateurs, dont : le niveau d’obsolescence du SI, le nombre de serveurs dont la configuration est en écart avec la PSSI, le pourcentage de postes de travail ayant les dernières mises à jour installées.

Quels types d’audits ou de contrôles pourraient vous permettre d’alimenter ce tableau de bord ?

Le contrat avec votre principal fournisseur SI arrive à son terme, et le DSI souhaite le renouveler pour les 2 prochaines années. Vous souhaitez profiter de cette opportunité pour vérifier que le fournisseur respecte bien les clauses cybersécurité qu’il a signées dans le plan d’assurance sécurité il y a 2 ans, lorsqu’il a remporté le contrat.

Quel type d’audit ou de contrôle proposez-vous de réaliser pour obtenir cette assurance ?

Vous êtes auditeur cybersécurité au sein d’un groupe du secteur de la logistique. Ce groupe compte plusieurs centaines de filiales dans le monde. Chaque filiale possède sa propre organisation et son propre SI. Un référentiel cybersécurité est cependant défini pour tout le groupe.

Vous souhaitez vérifier chaque année que toutes les filiales appliquent bien le référentiel cybersécurité du groupe.

Quel type d’audit ou de contrôle proposez-vous de réaliser pour cela ?

Vous êtes RSSI d’une entreprise qui propose un service de paiement en ligne. Vous venez d’obtenir la certification PCI-DSS. Vos actifs SI certifiés sont isolés dans une zone réseau dédiée, avec des firewalls en entrée qui filtrent tout le trafic entrant et sortant. La maîtrise de la configuration de ces firewalls est essentielle pour conserver votre certification.

Quel type d’audit ou de contrôle proposez-vous de réaliser pour conserver cette certification ?