AUDIT DE SECURITE ET EVALUATION
Laboratoire d’évaluation et/ou d’essais
Organisme privé certifié ou accrédité
CAB (Certification Accreditation Body)
Nos prestations d’audit
accueil
Expertises techniques et organisationnelles spécifiques.
1. Etat des lieux flash pour les TPE et PME (<5 jours)
Extraction des configurations Windows (postes, serveurs, AD)
Analyse de l’architecture
Identification des vulnérabilités internes et exposées
2. Mise à disposition d’auditeurs pour les centres d’évaluation
Auditeurs organisationnels (certifiés ISO27001 LA)
Auditeurs de robustesse (agrément Expert Architecture sur standard ANSSI)
Référentiels déjà couverts : standards ANSSI (SNC, PDIS), ISO27001/HDS, systèmes de caisse, VIGIK, NF552)
CRYPT.ON IT déploie son expertise en audit auprès d’acteurs qui requièrent une démarche adaptée, aussi bien en organisationnel que physique :
Pour les TPE et PME : Etat des lieux en temps contraint (moins de 5 jours), visant les « quickwins » (extraction de configuration des postes et serveurs, configuration de l’AD, revue de segmentation et filtrage du réseau, suivi du patching, vérification des sauvegardes, etc.
Pour les organismes d’évaluation et certification : Evaluation organisationnelle ou de robustesse conforme ISO19011, basée sur le recueil de preuves sans intrusion ni outil via des entretiens, vérifications documentaires ou constats de visu au travers d’une visite de site. Les auditeurs sont certifiés ISO27001 Lead Auditor et/ou reconnus Expert Architecture pour un standard ANSSI.
Sécurité de site
Il s’agit d’auditer la sécurité de zones d’environnement de production, de R&D (catalogue ISO27002, classe ALC des Critères Communs, MSSR, IEC62443, etc.)
Robustesse
En audit de robustesse, nous auditons notamment les systèmes de caisse (certification au titre de l’article 88 de la Loi des Finances 2016) ou les logiciels traitant des données à caractère personnel (NF552)
Système de Management de la Sécurité
Ici, cela consiste à auditer un système de Management en conformité avec l’ISO27001 ou l’IEC62443
Dans le cadre d’une évaluation ANSSI
Audit de conformité avec les standards SecNumCloud ou PDIS pour la qualification de service, et Critères Communs ou CSPN pour la certification/qualification de produit
Quelques exemples de réalisation d’audits
Réalisation d’audits de la sécurité d’environnements de production et/ou R&D de composants électroniques (IOT, bancaire, défense, ferroviaire, médical, retail)
Systèmes de management de la sécurité (dans l’optique – ou pas – d’une certification ISO 27001), à usage interne tant qu’à destination d’un produit ou système à but commercial
Audit en boîte blanche sur site client pour des durées de 1 à 10 jours de produits embarquant des fonctions de sécurité (chiffrement de données, fonction de hachage, authentification et signature, assurance d’inaltérabilité de données ou de chaînes de données)
Valeur ajoutée de CRYPT.ON IT :
INTERNATIONAL
Des consultants avec un profil international et un anglais parfaitement opérationnel.
Rigueur
Méthodologie d’audit factuelle et respectueuse des critères d’audit alliée à une grande rigueur de réalisation.
Adaptabilité et dimensionnement
Les audits peuvent se réaliser sur une journée flash (pour un premier verdict de haut niveau) ou sur plusieurs semaines, pour plusieurs jours sur site et/ou en chambre selon le contexte.
Compétences
Polyvalence des compétences mises en œuvre, jusqu’à l’audit de portées fonctionnelles ou technologiques spécifiques.
ACCREDITATIONS
Des consultants déjà accrédités pour d’autres référentiels (avec un registre de plus de 100 audits déjà réalisés pour certains).
