La sécurité opérationnelle est au cœur des discours actuels des DSI et RSSI. Souvent à l’initiative d’une réorganisation, les audits de sécurité opérationnelle ont le vent en poupe.

Ils ont pour objectif de répondre à des exigences (réglementaires ou non) de sécurité aujourd’hui très fortes en raison de la forte augmentation des attaques, vulnérabilités et de la professionnalisation de la cybercriminalité.

Comment s’y prendre ? Dans quel ordre ? Avec qui ? Selon quels moyens ? Et surtout avec quelle disponibilité ?

Si la démarche d’un audit opérationnel reste globalement la même d’un audit à un autre (démarche déclarative, technique ou les deux), les audits s’enchaînent mais ne se ressemblent pas.

Et il y a plusieurs raisons à cela, à commencer par la plus évidente :

  • le périmètre : la norme 27002:2013 propose un vaste choix de sujets au travers de 14 articles principaux, les critères de l’ANSSI et du SANS Institute confortent ces notations (plus ou moins adaptés au contexte, à traiter idéalement en globalité cependant tout est question d’objectifs et de budget) ;
  • le secteur d’activité qui définit clairement quelles sont les composantes sensibles à contrôler en priorité ;
  • le budget alloué à la sécurité du SI : dans le même secteur d’activité, les budgets sont clairement différents selon la taille de l’entreprise, sa stratégie, le périmètre donné à l’audit etc. ;

Mais il y a en plus quelques facteurs que SYNETIS aborde avec respect, neutralité et impartialité :

  • l’histoire de ses clients qui justifie les choix des années 2000 comme étant les meilleurs à cette époque ;
  • la charge de travail des chefs de projet qui ne permet pas toujours d’inclure des contrôles de sécurité tout au long des phases projets ;
  • le parcours des RSSI dont la sensibilité à différents domaines explique les contrôles en place et ceux à venir ;
  • les précédentes attaques dont a été victime la structure auditée qui peuvent définir sa trajectoire sécurité actuelle ;
  • le regard des collaborateurs sur la sécurité du SI ;
  • le cœur de métier dont l’informatique reste un outil.

Tous ces paramètres enrichissent chacun de nos audits sur les observations, les recommandations, l’analyse des risques et le plan d’actions associé.

SYNETIS peut avoir, une mécanique froide de notation selon les réponses à un questionnaire, SYNETIS peut donner toutes sortes de recommandations, peut aussi lister les bonnes pratiques de toutes les normes, mais si son expérience n’est pas couplée à l’historique, la stratégie et les moyens de ses clients, alors les audits ne sont pas pertinents ni adaptés au contexte du client.

La trajectoire que nous proposons à la suite de ces audits tient donc compte de la demande et de l’identité du client, avec un profond respect pour les choix technologiques et stratégiques passés, tout en veillant à la réalisation d’un audit impartial et neutre.

Nous n’endossons pas le rôle de juge ni de critiques, mais plutôt de conseillers-consultants accompagnateurs pour améliorer votre sécurité globale avec un plan d’action réaliste, adapté et le plus respectueux des standards actuels.

Sources & ressources :

 

Laurence

Manager / Chef de Projets