En effet, le fait de posséder des systèmes de sécurité ne signifie pas que vous soyez correctement protégé car votre niveau de sécurité réel est toujours égal au point le plus faible de votre système.
Nous commencerons par définir vos besoins, les techniques et le périmètre de l’audit, ainsi que ses conditions logistiques (documents, échanges auditeurs / audités, analyses techniques à effectuer).
Sur cette base, tout audit est réalisé sur des constats d’écarts objectifs entre nos observations et analyses et le référentiel préalablement déterminé.
1 : Audit d’observation de type «boite blanche» :
Le client communique ouvertement avec le prestataire, en lui permettant d’étudier ses points d’accès.
Déroulement :
Phase 1 : définition du périmètre de l’audit
Réunion de copilotage visant à déterminer le périmètre exact de l’audit à effectuer
Phase 2 :collecte des documents et audit des locaux
Effectuée dans un premier temps avec le responsable HSE de votre structure puis par l'auditeur seul dans le cadre défini en copilotage, permet également la collecte des documents et matériels nécessaires à l’audit : plan d’organigramme des serrures, plans des bâtiments avec cartographie des points d’accès physiques et des contrôles d’accès existants, rapports d’incidents éventuels au cours des années précédentes...
Phase 3 : Analyse des éléments collectés
Etude approfondie des documents, observations et matériaux collectées durant la visite des locaux, rédaction du rapport d’audit et des préconisations associées.
Phase 4 : Remise du rapport d’audit
Réunion de présentation du rapport d’audit de ses conclusions et des préconisations visant à améliorer la sécurité physique du système d’information.
2 : Audit sous forme de test d’intrusion de type «boite noire» :
Le client définit avec le prestataire le ou les scénarios auxquels il peut être confronté en matière de vol ou d’espionnage industriel.
Le prestataire agit alors dans les limites fixées par le client, sans autres informations que celles disponibles pour l’attaquant décrit dans le ou les scénarii choisis.
Le test d’intrusion est effectué dans un délai défini avec le client, sans précisions sur le ou les jours de l’audit, pour appréhender objectivement le niveau de sécurité «normal» de l’entreprise.
Quelques exemples de scénarii :
- Stagiaire
- Employé de confiance avec accès ordinaires
- Prestataire extérieur
- Personne extérieure («cambrioleur lambda», «bande organisée», «concurrent espionnage» ...)
Déroulement :
Phase 1 : Mise en place du scénario
Mise en place conjointe du scénario par la direction et l’auditeur, impliquant la mise en condition totale de l’auditeur au regard de sa fonction supposée. (Par exemple, entretien d’embauche, présentation aux équipes, présence régulière dans l’entreprise sur plusieurs journées de travail).
Phase 2 : Analyse et utilisation des éléments collectés
Etude approfondie des éléments collectés, et exploitation des failles détectées afin d’en déterminer l’étendue et les aboutissements possibles, rédaction du rapport d’audit et des préconisations associées.
Phase 3 : Remise du rapport d’audit
Réunion de présentation du rapport d’audit de ses conclusions et des préconisations visant à améliorer la sécurité physique du système d’information concerné.
Quels sont les éléments pris en compte dans un audit de sécurité physique ?
- Accès « opportunistes » (portes ouvertes, fenêtres entrebâillées, toit, sous-sol, ventilation...)
- Accès sécurisés par clés ou contrôles d’accès électroniques
- Relève et positionnement des alarmes et caméras
- Gestion des clés et des badges (hiérarchisation des accès, distribution des clés et suivi)
- Sécurité de l’organigramme de serrures (copie des clés, escalade de privilèges par fabrication du passe général)
- Sécurité des systèmes électroniques de contrôle d’accès
- Etude approfondie des accès et protections physiques du système d’information et des biens de valeur (salles serveurs, coffre-fort, bureau de la direction, archives, local poubelles, photocopieurs...)
Tarifs et conditions :
Audit en boite blanche
Audit en boite noire
Tarifs déterminés en fonction de vos besoins, contactez-nous pour une étude chiffrée
Nos références :
Travaillant pour certaines structures sensibles, nos références ne sont disponibles que sur demande, n’hésitez pas à nous contacter pour plus d'informations.
Services Administratifs.
Attention PAS DE VENTE SUR PLACE.
OFC SARL
1 Allée de l'Observatoire
69009 Lyon, France
Vous êtes intéressés par une de nos formations ?
Contactez-nous via le formulaire ci-dessous afin de nous demander un devis
ATTENTION : Nos formations étant des formations courtes, elles ne sont pas éligibles au Compte Professionnel de Formation (CPF). Il ne vous sera donc pas possible de mobiliser votre CPF pour financer une formation au sein de notre établissement mais la prise en charge reste possible par de nombreux OPCA.