Audit sureté / sécurité Niveau 2 “En immersion dans l’entreprise”

Le client définit avec le prestataire le ou les scénarios auxquels il peut être confronté en matière de vol ou d’espionnage industriel.

Le prestataire agit alors dans les limites fixées par le client, sans autres informations que celles disponibles pour l’attaquant décrit dans le ou les scénarii choisis.

Le test d’intrusion est effectué dans un délai défini avec le client, sans précisions sur le ou les jours de l’audit, pour appréhender objectivement le niveau de sécurité «normal» de l’entreprise.

Quelques exemples de scénarii :

  • Stagiaire
  • Employé de confiance avec accès ordinaires
  • Prestataire extérieur
  • Personne extérieure («cambrioleur lambda», «bande organisée», «concurrent espionnage»…)

Déroulement :

Phase 1 : Mise en place du scénario

Mise en place conjointe du scénario par la direction et l’auditeur, impliquant la mise en condition totale de l’auditeur au regard de sa fonction supposée. (Par exemple, entretien d’embauche, présentation aux équipes, présence régulière dans l’entreprise sur plusieurs journées de travail).

Phase 2 : Analyse et utilisation des éléments collectés

Etude approfondie des éléments collectés, et exploitation des failles détectées afin d’en déterminer l’étendue et les aboutissements possibles, rédaction du rapport d’audit et des préconisations associées.

Phase 3 : Remise du rapport d’audit

Réunion de présentation du rapport d’audit de ses conclusions et des préconisations visant à améliorer la sécurité physique du système d’information concerné