Conseil - Audits

Informations

On vous rappelle

Veuillez inscrire votre numéro de téléphone, un conseiller prendra contact avec vous.

Numéro :

Conseil - Audits

Conseil - Audits

 

Pourquoi réaliser un audit de sécurité ?

 

La sécurisation des accès physiques constitue le meilleur garant pour protéger votre structure des risques d’effraction et de vol de vos produits ou de vos données confidentielles.

 

Vous disposez peut être déjà  d’installation normées et supposez de ce fait que vos installations disposent d’une protection suffisante.

 

Malheureusement, l’expérience démontre que la méconnaissance des techniques actuelles d’intrusion conduit souvent à l’obsolescence de certains produits.

 

Notre expertise a donc pour but de vous informer sur les écarts existants entre votre référentiel de sécurité supposé et son efficience réelle, et de vous apporter des préconisations pour combler ce différentiel.

 

 

Quelques exemples de risques avérés lors de nos prestations, dans des structures hautement sécurisées, ayant à protéger des lieux ou des données très sensibles :

 

Cas n° 1 : La récupération d’un cylindre mis sur un lieu de peu d’importance stratégique (ex : local poubelle) permettait la fabrication du passe général de l’ensemble de la structure => sécurisation par mise en place de deux niveaux distincts d’organigrammes.

 

Cas n°2 : Présence de serrures A2P montées sur grilles : la norme A2P garantit la résistance à l’effraction pendant un temps donné…mais l’installateur ne savait probablement pas que le modèle concerné ne comportait pas de partie combinatoire coté intérieur, il était donc possible de déverrouiller l’ensemble du système avec un simple tournevis en passant la main coté intérieur => sécurisation par mise en place de cylindres A2P comportant des parties combinatoires coté intérieur.

 

Cas n°3 : Structure comportant un budget important de sécurisation des bases de données, tests réguliers d’intrusion informatique, mais salle des serveurs comportant un cylindre classique, ouvert physiquement sans traces d’effraction en quelques secondes et suivi de pose de key-loggers => sécurisation par remplacement du cylindre concerné avec un système fiable de contrôle d’accès.

 

Cas n°4 : Mise en place d’un système de contrôle d’accès aux distributeurs automatiques de billets de certaines structures bancaires: après analyse du cylindre électromécanique concerné, est avérée une possibilité d’ouverture non destructive du cylindre, en quelques minutes et sans laisser de traces informatiques au niveau du contrôle d’accès => sécurisation par mise en place d’un autre système de contrôle d’accès, résistant aux techniques permettant l’ouverture du précédent

 

Cas n° 5 : Structure ayant à protéger des données confidentielles à l’aide de coffres de niveau B, mais clés visibles sur un panneau de clés non opaque, permettant la reproduction à l’identique des clés à l’aide d’une simple photographie prise à l’accueil du service concerné => mise en place d’un système protégé de gestion des clés

 

Ces exemples pourraient être multipliés à l’envie et montrent simplement que la sécurité réelle ne saurait être réduite à un simple système normatif.

 

En effet, le fait de posséder des systèmes de sécurité ne signifie pas que vous soyez correctement protégé car votre niveau de sécurité réel est toujours égal au point le plus faible de votre système.

 

 

Nos prestations

 

Experts reconnus de la sécurité physiques, nous commencerons par définir vos besoins, les techniques et le périmètre de l’audit, ainsi que ses conditions logistiques (documents, échanges auditeurs / audités, analyses techniques à effectuer).

 

 Sur cette base, tout audit est réalisé sur des constats d’écarts objectifs entre nos observations et analyses et le référentiel préalablement déterminé.

 

1 : Audit d’observation de type «boite blanche» :

 

Le client communique ouvertement avec le prestataire, en lui permettant d’étudier ses points d’accès.

 

 Déroulement :

 

 Phase 1 : définition du périmètre de l’audit

 

Réunion de copilotage visant à déterminer le périmètre exact de l’audit à effectuer

 

 Phase 2 : Visite des locaux

 

 Effectuée avec le responsable de la sécurité du bâtiment, permet également la collecte des documents et matériels nécessaires à l’audit : plan d’organigramme des serrures, plans des bâtiments avec cartographie des points d’accès physiques et des contrôles d’accès existants, rapports d’incidents éventuels au cours des cinq années précédentes...

 

  Phase 3 : Analyse des éléments collectés

 

 Etude approfondie des documents, observations et matériaux collectées durant la visite des locaux, rédaction du rapport d’audit et des préconisations associées.

 

  Phase 4 : Remise du rapport d’audit

 

 Réunion de présentation du rapport d’audit de ses conclusions et des préconisations visant à améliorer la sécurité physique du système d’information.

  

 

 

2 : Audit sous forme de test d’intrusion de type «boite noire» :

 

Le client définit avec le prestataire le ou les scénarios auxquels il peut être confronté en matière de vol ou d’espionnage industriel.

 

 Le prestataire agit alors dans les limites fixées par le client, sans autres informations que celles disponibles pour l’attaquant décrit dans le ou les scénarii choisis.

 

 Le test d’intrusion est effectué dans un délai défini avec le client, sans précisions sur le ou les jours de l’audit, pour appréhender objectivement le niveau de sécurité «normal» de l’entreprise.

 

 

Quelques exemples de scénarii :

 

- Stagiaire

- Employé de confiance avec accès ordinaires

- Prestataire extérieur

- Personne extérieure («cambrioleur lambda», «bande organisée», «concurrent espionnage»...)

 

Déroulement :

 

Phase 1 : Mise en place du scénario

 

 Mise en place conjointe du scénario par la direction et l’auditeur, impliquant la mise en condition totale de l’auditeur au regard de sa fonction supposée. (Par exemple, entretien d’embauche, présentation aux équipes, présence régulière dans l’entreprise sur plusieurs journées de travail).

 

 Phase 2 : Analyse et utilisation des éléments collectés

 

 Etude approfondie des éléments collectés, et exploitation des failles détectées afin d’en déterminer l’étendue et les aboutissements possibles, rédaction du rapport d’audit et des préconisations associées.

 

 Phase 3 : Remise du rapport d’audit

 

 Réunion de présentation du rapport d’audit de ses conclusions et des préconisations visant à améliorer la sécurité physique du système d’information concerné.

 

 

Quels sont les éléments pris en compte dans un audit de sécurité physique ?

 

-  Accès « opportunistes » (portes ouvertes, fenêtres entrebâillées, toit, sous-sol, ventilation...)

-  Accès sécurisés par clés ou contrôles d’accès électroniques

-   Relève et positionnement des alarmes et caméras

-   Gestion des clés et des badges (hiérarchisation des accès, distribution des clés et suivi)

-   Sécurité de l’organigramme de serrures (copie des clés, escalade de privilèges par fabrication du passe général)

-   Sécurité des systèmes électroniques de contrôle d’accès

-   Etude approfondie des accès et protections physiques du système d’information et des biens de valeur (salles serveurs, coffre-fort, bureau de la direction, archives, local poubelles, photocopieurs...)

 

Tarifs et conditions :

 

 Audit en boite blanche

 

  • 900 Euros HT/jour, 800 euros HT/j à partir du 3ème jour
  • 200 euros HT de frais/jour
  • Entreprise de moins de 300 salariés et 1 seul site : durée moyenne 2 jours
  • Entreprise entre 300 et 1000 salariés et 1 seul site : durée moyenne 4 jours
  • Au-delà de 1000 salariés : nous consulter
  • Option : site supplémentaire ou filiale de moins de 300 salariés : 1 jour supplémentaire

 Audit en boite noire

 

 Tarifs déterminés en fonction de vos besoins, contactez-nous pour une étude chiffrée

 

Nos références :

 

Travaillant pour certaines structures sensibles, nos références ne sont disponibles que sur demande, n’hésitez pas à nous contacter pour plus d'informations.

 

Conseil - Audits  Aucun produit dans cette catégorie.