Accueil / Conseil – Audits

Conseil - Audits

Pourquoi réaliser un audit de sureté ?

La sécurisation des accès physiques constitue le meilleur garant pour protéger votre structure des risques de malveillance, de vol de vos produits ou de vos données confidentielles.

Vous disposez peut être déjà d’installation normées et supposez de ce fait que vos installations disposent d’une protection suffisante.

Malheureusement, l’expérience démontre que la méconnaissance des techniques actuelles d’intrusion conduit souvent à l’obsolescence de certains produits.

Notre expertise a donc pour but de vous informer sur les écarts existants entre votre référentiel de sécurité supposé et son efficience réelle, et de vous apporter nos préconisations pour combler ce différentiel.

Quelques exemples concrets et courants de risques avérés dans des structures censéements sécurisées, ayant à protéger des lieux ou des données sensibles :

Cas n° 1 : La récupération d’un cylindre mis sur un lieu de peu d’importance stratégique (ex : local poubelle) permet la fabrication du passe général de l’ensemble de la structure.

Cas n°2 : Présence de serrures A2P montées sur grilles : la norme A2P garantit la résistance à l’effraction pendant un temps donné…mais l’installateur ne sait probablement pas que le modèle concerné ne comporte pas de partie combinatoire coté intérieur, il est donc possible de déverrouiller l’ensemble du système avec un simple tournevis en passant la main coté intérieur.

Cas n°3 : Structure comportant un budget important de sécurisation des bases de données, tests réguliers d’intrusion informatique, mais salle des serveurs comportant un cylindre classique, ouvert physiquement sans traces d’effraction en quelques secondes, suivi de pose de key-loggers.

Cas n°4 : Mise en place d’un système de contrôle d’accès dans le domaine bancaire : après analyse du cylindre électromécanique concerné, est avérée une possibilité d’ouverture non destructive du cylindre, en quelques minutes et sans laisser de traces informatiques au niveau du contrôle d’accès.

Cas n° 5 : Structure ayant à protéger des données confidentielles à l’aide de coffres de classe 2 ...dont les clés visibles sur un panneau de clés non opaque, permettant leur reproduction à l’identique à l’aide d’une simple photographie prise à l’accueil du service concerné

Ces exemples pourraient être multipliés à l’envie et montrent simplement que la sécurité réelle ne saurait être réduite à un simple système normatif.

En effet, le fait de posséder des systèmes de sécurité ne signifie pas que vous soyez correctement protégé car votre niveau de sécurité réel est toujours égal au point le plus faible de votre système.

Nos prestations

Nous commencerons par définir vos besoins, les techniques et le périmètre de l’audit, ainsi que ses conditions logistiques (documents, échanges auditeurs / audités, analyses techniques à effectuer).

Sur cette base, tout audit est réalisé sur des constats d’écarts objectifs entre nos observations et analyses et le référentiel préalablement déterminé.

1 : Audit d’observation de type «boite blanche» :

Le client communique ouvertement avec le prestataire, en lui permettant d’étudier ses points d’accès.

Déroulement :

Phase 1 : définition du périmètre de l’audit

Réunion de copilotage visant à déterminer le périmètre exact de l’audit à effectuer

Phase 2 :collecte des documents et audit des locaux

Effectuée dans un premier temps avec le responsable HSE de votre structure puis par l'auditeur seul dans le cadre défini en copilotage, permet également la collecte des documents et matériels nécessaires à l’audit : plan d’organigramme des serrures, plans des bâtiments avec cartographie des points d’accès physiques et des contrôles d’accès existants, rapports d’incidents éventuels au cours des années précédentes...

Phase 3 : Analyse des éléments collectés

Etude approfondie des documents, observations et matériaux collectées durant la visite des locaux, rédaction du rapport d’audit et des préconisations associées.

Phase 4 : Remise du rapport d’audit

Réunion de présentation du rapport d’audit de ses conclusions et des préconisations visant à améliorer la sécurité physique du système d’information.

2 : Audit sous forme de test d’intrusion de type «boite noire» :

Le client définit avec le prestataire le ou les scénarios auxquels il peut être confronté en matière de vol ou d’espionnage industriel.

Le prestataire agit alors dans les limites fixées par le client, sans autres informations que celles disponibles pour l’attaquant décrit dans le ou les scénarii choisis.

Le test d’intrusion est effectué dans un délai défini avec le client, sans précisions sur le ou les jours de l’audit, pour appréhender objectivement le niveau de sécurité «normal» de l’entreprise.

Quelques exemples de scénarii :

- Stagiaire

- Employé de confiance avec accès ordinaires

- Prestataire extérieur

- Personne extérieure («cambrioleur lambda», «bande organisée», «concurrent espionnage» ...)

Déroulement :

Phase 1 : Mise en place du scénario

Mise en place conjointe du scénario par la direction et l’auditeur, impliquant la mise en condition totale de l’auditeur au regard de sa fonction supposée. (Par exemple, entretien d’embauche, présentation aux équipes, présence régulière dans l’entreprise sur plusieurs journées de travail).

Phase 2 : Analyse et utilisation des éléments collectés

Etude approfondie des éléments collectés, et exploitation des failles détectées afin d’en déterminer l’étendue et les aboutissements possibles, rédaction du rapport d’audit et des préconisations associées.

Phase 3 : Remise du rapport d’audit

Réunion de présentation du rapport d’audit de ses conclusions et des préconisations visant à améliorer la sécurité physique du système d’information concerné.

Quels sont les éléments pris en compte dans un audit de sécurité physique ?

- Accès « opportunistes » (portes ouvertes, fenêtres entrebâillées, toit, sous-sol, ventilation...)

- Accès sécurisés par clés ou contrôles d’accès électroniques

- Relève et positionnement des alarmes et caméras

- Gestion des clés et des badges (hiérarchisation des accès, distribution des clés et suivi)

- Sécurité de l’organigramme de serrures (copie des clés, escalade de privilèges par fabrication du passe général)

- Sécurité des systèmes électroniques de contrôle d’accès

- Etude approfondie des accès et protections physiques du système d’information et des biens de valeur (salles serveurs, coffre-fort, bureau de la direction, archives, local poubelles, photocopieurs...)

Tarifs et conditions :

Audit en boite blanche

900 Euros HT/jour, 800 euros HT/j à partir du 3ème jour
200 euros HT de frais/jour
Entreprise de moins de 300 salariés et 1 seul site : durée moyenne 2 jours
Entreprise entre 300 et 1000 salariés et 1 seul site : durée moyenne 4 jours
Au-delà de 1000 salariés : nous consulter
Option : site supplémentaire ou filiale de moins de 300 salariés : 1 jour supplémentaire

Audit en boite noire

Tarifs déterminés en fonction de vos besoins, contactez-nous pour une étude chiffrée

Nos références :

Travaillant pour certaines structures sensibles, nos références ne sont disponibles que sur demande, n’hésitez pas à nous contacter pour plus d'informations.