DIAGNOSTIQUER | EXPERT

1. Évaluation de la maturité cyber

OBJECTIF

• Aligner votre posture de sécurité sur un référentiel (ISO 27001, NIST CSF, ANSSI) pour identifier les écarts et prioriser le plan de remédiation.

DÉTAILS

• Audit organisationnel : PSSI, délégations de responsabilités (RSSI, DPO), sensibilisation des équipes, process GRC.
• Maturité & scoring: Gap analysis, scoring sur référentiel, définition d’un plan d’amélioration (rapide, moyen, long terme).
• Audit technique: Carto VLAN/DMZ, paramétrage FW/IDS, versions patch OS, comptes AD dormants.

2. Audit d’architecture et de configuration

OBJECTIF

• Vérifier et durcir la configuration de l’infrastructure (réseau, serveurs, applis) pour prévenir les failles.

DÉTAILS

• Revue ACL: Contrôle des rulesets sur NGFW, segmentation VLAN, DMZ, reverse proxies.
• Paramétrage logs: S’assurer que les journaux critiques (authent, OS logs, etc.) sont collectés (SIEM / Syslog centralisé).
• Hardening Baselines: Vérif. compliance aux CIS Benchmarks, ANSSI RGS, etc.

3. Tests d’intrusion et Pentests

OBJECTIF

• Evaluer la robustesse de votre Si via des attaques simulées (Black/Grey box) et prioriser les failles

DÉTAILS

• Scénarios: Pentest web (OWASP Top10), pentest réseau interne (mouvement latéral, AD exploitation), social engineering ciblé (phishing).
• Reporting technique: Preuve d’exploitation (PoC), rating en fonction de l’impact.
• Plan de remédiation: Correctifs prioritaires (patching, reconfiguration), timeline, responsables.

4. Planification et gouvernance

OBJECTIF

• Structurer la gouvernance cyber (ISMS, cycle PDCA) et définir un cadre GRC (Governance, Risk management, Compliance).

DÉTAILS

• Politiques SSI : Classification data, revue annexe A (ISO 27001).
• Comité cyber: Instances de pilotage, reporting, KPI (MTTD, MTTR, taux de patching).
• Feuille de route: Plan CAPEX/OPEX sur 1-3 ans, priorisation projets (SOC, EDR, SIEM…).

5. Communication des résultats et engagement exécutif

OBJECTIF

• Sensibiliser le top management (C-Level) et obtenir la validation budgétaire pour la roadmap cyber.

DÉTAILS

• Rapport C-level : Vulgarisation des findings, ROI des mesures, exposition réglementaire (GDPR, NIS2).
• Workshops internes: Pour RSSI/DSI, managers fonctionnels, alignement sur la stratégie.
• Validation: Feu vert officiel (budget, ressources, priorités) pour lancer les actions.