Audit d'architecture
Un audit d’architecture technique pour renforcer la sécurité de votre infrastructure informatique.
Identifiez les failles pour une architecture conforme
L’objectif d’un audit d’architecture est de rechercher des faiblesses dans la conception ou le non-respect de pratiques recommandées en termes de sécurité.
Un audit d’architecture est basé sur une analyse documentaire suivie d’éventuels entretiens avec les personnes en charge de la conception, de la mise en œuvre, de l’administration, de la supervision et du maintien en condition opérationnelle du système d’information cible.
En outre, des analyses complémentaires peuvent être menées sur des échantillons de configuration réseau (ex : commutateurs, pare-feu, security groups cloud, …) afin de compléter cet audit.
Découvrez les bénéfices d'un audit d'architecture technique
- L’identification des risques potentiels existants sur le périmètre audité ;
- Un plan d’actions comprenant les remédiations préconisées dans le contexte spécifique du système cible ;
- Le renforcement de la protection de vos données ;
- L’optimisation des ressources informatiques ;
- La vérification de la sécurité de votre architecture pour prévenir de futurs incidents.
Synetis étant une société qualifiée PASSI, l’audit d’architecture peut être réalisé sous cette qualification tel que défini par l’ANSSI. Cela s’applique par exemple dans le cas de l’audit d’un réseau de Diffusion Restreinte ou d’une qualification SecNumCloud.
Appuyez-vous sur une démarche rigoureuse et éprouvée
Pendant la réalisation d’un audit d’architecture, les aspects suivants sont notamment contrôlés (liste non-exhaustive) :
Notre méthodologie s’appuie sur les différents guides et recommandations techniques de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). En tout point de l’infrastructure, l’attention de nos auditeurs est portée sur la couverture des besoins de la Sécurité des Systèmes d’Information (SSI), à savoir : Disponibilité, Intégrité, Confidentialité et Traçabilité.
Les éventuelles contraintes opérationnelles et besoins métiers dans l’application de ces guides et les recommandations qui y sont associées sont pris en compte par nos auditeurs.
Étude documentaire
Cette partie de l’audit consiste à comparer votre documentation avec les référentiels sélectionnés. Notre équipe audit s’appuie sur les différentes cartographies fournies afin d’analyser votre sécurité.
- La cartographie de l'administration du système d'information ;
- La cartographie logique du réseau ;
- La cartographie des applications ;
- La cartographie physique du réseau.
Entretien avec les équipes
Réaliser un audit nécessite également des discussions autour du contexte métier du périmètre audité et des questions pour clarifier la compréhension des auditeurs et des équipes sur la documentation reçue.
Des questions complémentaires peuvent également être posées sur des parties moins techniques.
Découvrez des cas concrets de sécurisation issus de notre expertise terrain
- Cloisonnement insatisfaisant (risque de déplacement latéral) ;
- Absence de séparation entre les services critiques ;
- Peu ou pas de filtrage des flux entrants et/ou sortants ;
- Absence de contrôle des accès nomades ;
- Aucun durcissement système ;
- Aucune procédure de politique de maintenance ;
- Pas de centralisation et/ou supervision des journaux ;
- Exposition de services cloud internes à internet.
Réaliser un audit d’architecture est un investissement primordial pour toute entreprise souhaitant vérifier et améliorer la sécurité de son infrastructure. Par l’identification et la correction des vulnérabilités, vous réduisez considérablement vos risques d’incidents tout en améliorant la performance de votre service informatique