Audit Qualifié PASSI
Le Visa de sécurité pour la qualification PASSI est la recommandation par l’État français de services de cybersécurité éprouvés et approuvés par l’ANSSI.
Face aux risques numériques, les Visas de sécurité délivrés par l’ANSSI permettent d’identifier les solutions de sécurité fiables et reconnues comme telles à l’issue d’une évaluation réalisée par des laboratoires agréés, selon une méthodologie rigoureuse et éprouvée.Il est essentiel de souligner que chaque auditeur possède sa propre qualification PASSI en fonction de son domaine d'expertise.
Cette reconnaissance renforce la confiance dans les compétences et les capacités des auditeurs en matière de sécurité des systèmes d’information. Cette qualification est le fruit de plus de 15 ans d’expérience et d’expertise en sécurité informatique, et de l’investissement de toute notre équipe.
Audits réglementaires
Nos différentes portées d'audits qualifiés PASSI
Audit de Tests d’intrusion
Le principe du test d’intrusion est de découvrir des vulnérabilités sur le système d’information audité et de vérifier leur exploitabilité et leur impact, dans les conditions réelles d’une attaque sur le système d’information, à la place d’un attaquant potentiel.
Audit d’Architecture
L’audit d’architecture consiste en la vérification de la conformité des pratiques de sécurité relatives au choix, au positionnement et à la mise en œuvre des dispositifs matériels et logiciels déployés dans un système d’information à l’état de l’art et aux exigences et règles internes de l’audité.
Audit Organisationnel et Physique
L’audit de l’organisation de la sécurité logique et physique vise à s’assurer de la conformité et procédures de sécurité définies par l'audité pour s'assurer le maintien en conditions et de sécurité d'une application et complètent correctement les mesures techniques mises en place
Audit de Configuration
L’audit de configuration a pour vocation de vérifier la mise en œuvre de pratiques de sécurité conformes à l’état de l’art et aux exigences et règles internes de l’audité en matière de configuration des dispositifs matériels et logiciels déployés dans un système d’information.
Déroulement d’un audit
01
Désignation d'un responsable d'audit
• Un responsable d’audit et une équipe d'audit sont désignés après le contact commercial initial. Le responsable d’audit est votre interlocuteur principal durant tout l'audit.
02
Redaction d'une convention d'audit
• Une convention d’audit sera rédigée par ADACIS en accord avec vos objectifs, contextes et besoins, elle sera la garantie du bon respect de la qualification PASSI et des objectifs de la mission.
03
Etablissement du contact
• Avant le début de l’audit, une réunion de lancement réunira tous les acteurs de l’audit pour se présenter et assurer un contact avec vous et les audités. Nous vous demanderons notamment de pouvoir analyser votre documentation et de pouvoir échanger avec vos collaborateurs.
04
Recherche de vulnérabilités
• L'audit sera étalé sur deux à trois semaines, alternant entre interventions sur site et hors site, afin de mieux appréhender l'architecture de votre SI, la documentation et les exigences spécifiques, voire de réaliser des développements pour démontrer les vulnérabilités.
Les auditeurs suivent une méthodologie pour chaque activité, incluant des entretiens, des relevés de configuration et des tests d'intrusion sur un périmètre défini, en évitant les dénis de service.
05
Restitution et communication des vulnérabilités
• Le dernier jour de l’audit, une réunion de restitution à chaud permettra de vous communiquer les vulnérabilités critiques ou majeures constatées. Notamment dans le cas de vulnérabilités critiques, vous serez prévenus immédiatement à tout moment de l’audit.
06
Explication des résultats
• Suite à la livraison du rapport d’audit, une réunion de clôture permettra de finaliser la mission d’audit, de partager les conclusions et de pouvoir expliquer en détail les résultats d’audit. Tous les documents en possession d’ADACIS seront alors détruits ou restitués.
Des auditeurs et une expertise
Chacun de nos auditeurs dispose d’une qualification PASSI qui lui est personnelle, mais ils disposent aussi d’autres certifications en fonction de leur propre domaine d’expertise :
• OSCP (Tests d’intrusion)
• ISO 27001
• ISO 27005
• EBIOS Risk Manager
Et également des certifications techniques.
Une diversité des auditeurs PASSI d'ADACIS permet différentes visions.La diversité des activités d’audits et des profils des auditeurs ADACIS permet, lors d’un audit, d’avoir plusieurs visions du niveau de sécurité d’une organisation
Un audit indépendant et éthique
La participation à des audits peut être un moment particulier pour les équipes et pour les organisations. C’est pour cela que les qualités humaines des auditeurs d’ADACIS sont aussi évaluées.
Les valeurs des auditeurs PASSI d’ADACIS sont les suivantes :
• Déontologie
• Impartialité
• Professionnalisme
• Confidentialité
• Indépendance
• Preuve
Simplement, l’audit n’est pas là pour porter un jugement, c’est un outil de gouvernance qui permet de souligner les points positifs et de mettre en lumière des vulnérabilités qui pourraient porter atteinte aux missions, voire à la viabilité des organisations.
L’audit permet d’assurer l’amélioration continue des organisations ou des systèmes de management, vous garderez toujours le contrôle sur les solutions à mettre en œuvre.
Une qualité d’audit pour tous
La sécurité est l’affaire de tous, ADACIS propose donc également des offres TPE, PME et ETI. Le savoir-faire PASSI n’est pas réservé aux Grands Groupes, une PME comme ADACIS, met à votre portée son professionnalisme, son éthique, sa confidentialité et autres qualités reconnues par un tiers, sans obligation de supporter les contraintes de l’audit PASSI.
Le coût d’un audit PASSI
Le chiffrage d’un audit dépend de nombreux facteurs :
• Le périmètre, comme la taille du SI ou le nombre des équipements ;
• Nombre d’auditeurs intervenants ;
• Activités d’audit ;
• Audit réalisé à distance ou sur site.
Une facturation à la journée (JH) des auditeurs est précisée dans un devis qui vous sera transmis.
La taille humaine d’ADACIS et sa localisation en Nouvelle-Aquitaine nous permettent de pouvoir fournir des audits de qualités à toutes les organisations quelle que soit leur taille. Par ailleurs, nos clients ont une dimension National et International, nous restons mobiles.