Audit

Audit

SEC-IT est PASSI : Prestataire de services de confiance pour l'activité d'audit. La qualification PASSI est une recommandation par l'État français de prestations d'audits éprouvées et approuvées par l'Agence Nationale de la Sécurité des SI. Le cahier des charges PASSI assure le respect par le prestataire qualifié des standards d'audit (ISO 19011) et des bonnes pratiques en matière d'évaluation des vulnérabilités techniques et organisationnelles.

Les rapports sont rédigés en prenant soin de vulgariser les constats et les préconisations. Nos restitutions sont orientées vers une audience de décideurs, afin de faciliter leurs arbitrages. Nous mettons l'accent sur la pertinence des préconisations et leur faisabilité, en particulier lorsque nous intervenons pour les TPE/PME.

Audit d'architecture

Vérifier la sécurité des architectures réseau, système, cloud

Audit de configuration

Contrôler le paramétrage des machines, applications et équipements réseau

Audit d'organisation

Faire un état des lieux de la maturité cyber ou du respect d'un référentiel

Audit de sous-traitance

Évaluer la sécurité des données confiées à vos fournisseurs et sous-traitants

Test d'intrusion

Notre méthode d'évaluation et d'audit est conçue pour répondre aux attentes des grands comptes et aussi pour s'adapter aux organisations non expertes en sécurité du SI, notamment les TPE/PME et les métiers contraints à la transformation digitale.

Les rapports sont rédigés en prenant soin de vulgariser les constats et les préconisations. Nos restitutions sont orientées vers une audience de décideurs, afin de faciliter leurs arbitrages. Nos équipes d'audit sont construites afin de garantir la cohérence des constats, la pertinence des préconisations et la faisabilité de leur mise en oeuvre.

De manière unitaire ou packagée, nous réalisons :

Test d'intrusion Web

Évaluer la sécurité de vos applications et API web

Test d'intrusion Infrastructure

Évaluer la sécurité de votre réseau interne : postes de travail, serveurs, équipements réseau, partages de fichier, Active Directory.

Test d'intrusion d'Application mobile

Évaluer la sécurité de vos applications Android

Test d'intrusion Cloud

Évaluer la sécurité de votre environnement Cloud AWS, Azure, GCP

Test d'intrusion

Conseil et gouvernance

Conseil et gouvernance

La sécurité s'impose désormais à toute la chaine de produits et de services. Nos retours d'expérience et notre expertise portent à la fois sur les référentiels normatifs (ISO 27001, RGPD, PCI-DSS, Guides ANSSI…) et sur les exigences de sécurité imposées aux sous-traitants par leurs clients.

Pour définir et atteindre vos objectifs de sécurité, nous proposons un suivi de bout-en-bout, des solutions réalistes, un juste équilibre entre l'application des mesures et leur impact sur vos activités. Grâce à une sensibilisation concrète et opérationnelle de vos équipes, nous favorisons l'adoption de la culture sécurité numérique dans votre organisation.

Nous vous accompagnons et réalisons :

Créer les fondations cyber

Pour répondre à la question "Par où commencer avec la Sécurité du SI ?"

Analyse de risques

Pour évaluer et construire un plan de traitement des cyber risques. Approche EBIOS, EBIOS Risk Manager (EBIOS RM) ou ISO 27005

PSSI

Défintion, rédaction du document et plan d'action pour la mise en œuvre concrète de la Politique de Sécurité du SI (PSSI)

Plan d'Assurance Sécurité (PAS)

Défintion et rédaction du document rassemblant les objectifs et les mesures de sécurité pour un projet ou une prestation de service

Plan d'action - remédiation

Comment corriger les failles mises en évidence dans un rapport d'audit ? Où sont les priorités ? Mon équipe saura-t-elle les traiter ?

Résilience et continuité d'activité

Mettre en œuvre l'approche "Préparer-Détecter-Réagir" pour assurer la reprise d'activité en cas de cyber-attaque

Homologation SI

Pour répondre aux exigences du Règlement Général de Sécurité (RGS), nous réalisons tout ou partie du dossier d'homologation.

Formation

Les sessions de formation sont réalisées par les collaborateurs SEC-IT afin de partager leurs compétences et des retours terrain.

Nos modules sont construits pour transmettre de manière vivante et concrète. Des cas pratiques issus du monde réel sont proposés aux apprenants avec un retour d'expérience du formateur.

Nous focalisons nos actions de formation sur :

  • La montée en compétences des futurs acteurs SSI dans l'entreprise
  • La prise en compte des risques et des besoins SSI dans les projets SI

Nos sessions s'adressent selon la thématique :

  • Aux fonctions métiers et pilotage de projet : Manager d'équipe, Chef de service, MOA, AMOA, Directeur de programme, chef de projet, Dev lead, Recetteur..
  • Aux profils techniques souhaitant acquérir les bonnes pratiques en développement logiciel sécurisé, ou en audit (tests d'intrusion)

Devenir correspondant SSI

Le CSSI, acteur interne à l'entreprise, apporte ses connaissances métier et contribue à la maitrise des risques cyber.

Intégrer la sécurité dans les projets

Comprendre et maitriser les besoins en sécurité du SI et les risques cyber lors de la mise en œuvre d'un système d'information.

Développement sécurisé

Maitriser les principes et bonnes pratiques en matière de développement sécurisé. Connaitre les vulnérabilités classiques afin de s'en prémunir.

Initiation aux techniques de hacking

S'initier à la methodologie du Ethical Hacking, s'approprier les attaques et les vulnérabilités communes.

Formation

Sécurité opérationnelle

Sécurité opérationnelle

L'apport des compétences cybersécurité SEC-IT dans les équipes de nos clients, pour des missions telles que :

  • Assistance à maitrise d'ouvrage (AMOA SSI)
  • Pilotage de projets (MOE SSI)
  • Cyber tech lead, risk manager, correspondant SSI
  • Implémentation de solutions de sécurité (IAM, PKI, EDR..)
  • Sécurité réseau, système, poste de travail
  • Sécurité du cloud (Azure, AWS, GCP, O365)
  • Maintien en condition de sécurité (MCS)
  • Fonctions SOC N1 -> N3