Audits & Conseils iT/oT (GRC)

L’Audits & Conseils des Systèmes informatique en Réseaux et leurs Cybersécurité ISO27001 sont les fondements de notre méthode.

Chez Blue Informatique, nous comprenons l’importance critique des systèmes d’informations dans la réussite de votre entreprise. En conséquence avec l’évolution de la technologie et la complexité croissante des environnements informatiques, il est essentiel de s’assurer que vos systèmes sont efficaces, sécurisés et alignés sur les objectifs stratégiques de votre organisation.

Audit et conseils en Systèmes d’Informations.

L’audits et les conseils en cybersecurité ISO27001 correspondent à  une évaluation systématique, indépendante et méthodique des activités, des processus, des systèmes, ou des organisations. En d’autres termes, le but est de vérifier leur conformité à des normes, des réglementations, des politiques ou des pratiques établies. Cela permet d’identifier les points strategiques. Points forts, faiblesses, risques et opportunités d’amélioration.

Dans le contexte des systèmes d’informations, l’audit se concentre sur l’évaluation de la sécurité, de l’intégrité, de la disponibilité. Mais il vise aussi à garantir que les SI répondent aux exigences des meilleures pratiques et aux objectifs commerciaux de l’entreprise.

Domaines d’expertise.

Notre équipe d’experts évalue méticuleusement la santé de vos systèmes d’informations. C’est-à-dire que nous identifions les points faibles, les vulnérabilités potentielles et les opportunités d’amélioration. Garantit que vos systèmes sont robustes et conformes aux normes de sécurité.

Nous offrons des conseils personnalisés pour optimiser vos systèmes d’informations en fonction de vos besoins spécifiques. Par exemple que ce soit pour une migration cloud, l’intégration de technologies de pointe ou l’optimisation de vos systèmes opérationnels existants, notre équipe vous accompagne à chaque phase pour garantir une transition fluide et réussie.

Nos consultants sont des experts certifiés dans les technologies de l’information et cadres de gestion. Nous disposons des meilleurs certifications sur le marché. Ainsi leur expertise approfondie garantit une réponse précise et efficace à vos demandes les plus complexes et spécialisées.

  • Microsoft Cybersecurity Architect
  • Azure Solutions Architect Expert
  • DevOps Engineer Expert
  • M365 Enterprise Administrator Expert
  • MCSE Core Infrastructure
  • MCSA Windows Server 2003/2016
  • PECB ISO 27001 Lead Auditor
  • PECB ISO 27001 Lead Implementer
  • PECB ISO 27005 Risk Manager
  • PECB EBIOS Risk Manager (2018)
  • PECB ISO 27034 App Security Implementer
  • PECB ISO 27035 Lead Incident Manager
  • PECB NIST Cybersecurity Professional
  • PECB SOC 2 Lead Analyst
  • PECB SCADA Lead Security Manager
  • PECB Certified Data Protection Officer
  • PECB Lean Management Black Belt
  • PECB Lean Management Green Belt
  • IASSC Lean Six Sigma Black Belt
  • IASSC Lean Six Sigma Green Belt
  • IASSC Lean Six Sigma Yellow Belt
  • WatchGuard Certified UTM
  • WatchGuard Certified EDR
  • WatchGuard Certified MFA
  • VMWARE VCP6-DCV
  • CITRIX CCA-V
  • CISCO CCNA Security
  • CISCO CCNA
  • AXELOS ITIL
  • ISACA COBIT

Audit DT.

Document Technique (DT) représente une cartographie de votre réseau informatique. Son but est de fournir une perspective factuelle et approfondie du Système d’Information (SI). Cependant il met surtout en lumière les atouts et les points faibles du système. Cela permet d’anticiper les difficultés et planifier les dépenses informatiques. La documentation personnalisée, propose une analyse de risque. Par exemple, celle ci englobe très souvent les composants suivants du système d’information : infrastructure Private Cloud, Public Cloud, Hybrid Cloud, outils collaboratifs, procédures, formations, cybersécurité, etc..

En fonction des missions et dans la plupart des cas, nous nous appuyons sur des cadres ou approches ci dessous : 

Audit RGPD.

RGPD (Règlement Général sur la Protection des Données) ou GDPR (General Data Protection Regulation) est en vigueur depuis le 25/05/18. Il compte 99 articles organisés en 11 chapitres. Blue Info propose à ses clients du personnel certifié CDPO (Certified Data Protection Officer), ou plus simplement DPO. En résumé, nous pouvons vous aider dans le processus de conformité.  Afin de clarifier les choses, la CNIL (La Commission nationale de l’informatique et des libertés) rappel que selon l’article 33 du RGPD, une violation de données personnelles doit être notifiée à l’autorité de contrôle dans les meilleurs délais et au plus tard dans les 72 heures après en avoir pris connaissance. Le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4 % du chiffre d’affaires annuel mondial.

Les 7 principes clés du RGPD

  • Licéité, loyauté et transparence → Les données doivent être collectées et traitées de manière légale, équitable et transparente vis-à-vis des personnes concernées.
  • Limitation des finalités → Les données ne peuvent être utilisées que pour des objectifs précis, explicites et légitimes, définis dès leur collecte.
  • Minimisation des données → Seules les données strictement nécessaires à la finalité doivent être collectées et traitées.
  • Exactitude → Les données doivent être exactes, mises à jour et corrigées si nécessaire.
  • Limitation de la conservation → Les données personnelles ne doivent pas être conservées plus longtemps que nécessaire pour atteindre la finalité prévue.
  • Intégrité et confidentialité (sécurité) → Les données doivent être protégées contre tout accès non autorisé, perte ou destruction, grâce à des mesures techniques et organisationnelles adaptées.
  • Responsabilité (Accountability) → L’organisme doit être capable de démontrer à tout moment sa conformité au RGPD (registre des traitements, politiques internes, preuves documentées).

Voici les missions qu’une organisation doit mettre en place pour assurer sa conformité :

  • Cartographie des traitements – recenser toutes les données personnelles collectées et leur usage.
  • Analyse de conformité – vérifier que chaque traitement respecte les principes du RGPD (finalité, minimisation, légitimité).
  • Mise en place de politiques internes – définir des procédures claires pour la collecte, le stockage et la suppression des données.
  • Gestion des droits des personnes – permettre l’exercice des droits (accès, rectification, effacement, portabilité, opposition).
  • Sécurisation des données – mettre en œuvre des mesures techniques et organisationnelles pour protéger les données contre les fuites ou attaques.
  • Documentation et preuve de conformité – tenir un registre des traitements et démontrer la conformité en cas de contrôle.
  • Notification des violations – informer la CNIL (ou autorité compétente) et les personnes concernées en cas de violation de données.
  • Désignation d’un DPO/CDPO – nommer un délégué à la protection des données pour superviser la conformité

Audit NIS 2.

La directive NIS 2 a été publiée le 27/12/2022 au Journal Officiel de l’Union européenne. Elle est entrée en vigueur le 17/10/ 2024, et les États membres doivent assurer la transposition dans leur droit national d’ici fin 2024. La date limite de mise en conformité complète pour les entreprises concernées est fixée à fin 2027.

Elle vise à renforcer la cybersécurité des secteurs critiques (énergie, santé, transport, numérique, etc.). Elle impose aux entreprises concernées de mettre en place une gestion des risques, des politiques de sécurité et des plans de continuité. Les organisations doivent aussi déclarer rapidement tout incident majeur aux autorités compétentes. En cas de non-respect, les sanctions peuvent atteindre 10 M€ ou 2 % du CA mondial pour les entités essentielles, et 7 M€ ou 1,4 % pour les entités importantes. Les dirigeants peuvent être personnellement responsables.

NIS2 Directive: securing network and information systems | Shaping Europe’s digital future

Audit iSO 27001.

La norme ISO/CEI 27001 constitue le standard international de référence pour la gouvernance de la sécurité des systèmes d’information. Elle aide les organisations à renforcer la protection de leurs Systèmes d’Information.

« Le SI est un ensemble de ressources humaines (personnel, formation, procédures, etc.) et de ressources techniques (matériel, logiciel, données, réseau, etc.) permettant, à travers plusieurs processus, de collecter, regrouper, classer, traiter et diffuser l’information. »

Son objectif est de créer de la Valeur Ajoutée (VA) pour l’entreprise dans :

  • Le monde physique
  • Le monde virtuel (Cyberspace)

Pour protéger ce fameux Système d’information (SI),  La norme ISO/CEI 27001 exige la mise en place d’un SMSI (Système de Management de la Sécurité de l’Information) ou en anglais un ISMS (Information Security Management System), qui joue le rôle de cadre méthodologique pour organiser et piloter la cybersécurité de l’entreprise.

« La cybersécurité est la combinaison de personnes, de politiques, de processus et de technologies mises en œuvre par une entreprise pour protéger ses actifs numériques. Elle est optimisée selon les niveaux définis par les dirigeants, en équilibrant les ressources nécessaire entre la facilité d’utilisation/gestion et le niveau de risque compensé. Les sous domaines de la cybersécurité incluent la sécurité informatique (IT), la sécurité de l’Internet des objets (IoT), la sécurité de l’information et la sécurité des technologies opérationnelles (OT). »

Remarque : Dans un contexte réglementaire, une distinction est faite entre la sécurité de l’information, qui concerne tous les types d’informations quel que soit leur support (papier, oral, électronique, numérique, etc.), et la cybersécurité, qui se concentre principalement sur la protection des informations numériques (systèmes, réseaux et données informatiques). Pour résumer, la sécurité de l’information englobe la cybersécurité.

La cybersécurité peut être explorée à travers 3 facettes différentes :

  • Normative (ISO27001, RGPD, NIS 2, NIST, 62443, SOC2 etc..)
  • Défensive (Firewall, UTM, EDR, XDR, MDR etc..)
  • Offensive (Pentest, Red Team, Blue Team, Purple Team etc..)

Le SMSI est avant tout une approche normative, destinée à structurer la gouvernance de la sécurité de l’information. De manière simplifiée, après l’identification des actifs et l’analyse des risques, il permet de mettre en place des procédures, configurations et autres contrôles défensifs (hardening, firewall, UTM, EDR, etc.) afin de supprimer, réduire, externaliser ou accepter le risque sur les actifs. Enfin, ces contrôles doivent être audités, ce qui peut prendre la forme de tests d’intrusion (pentests), par exemple. 

Quelques principes récurrents d’une approche SMSI :

  • Garantir sur les actifs la triade CIA (confidentialité, intégrité et disponibilité)
  • Risque Management Framework (RMF) ou cadre de gestion des risques
  • Cycle PDCA (Plan-Do-Check-Act) pour assurer une amélioration continue.
  • Intégrer des politiques, processus, outils et contrôles afin de gérer les risques liés à l’information.

Chez Blue Info, nos conseils en cybersécurité orientés ISO 27001 reposent sur une méthodologie pragmatique et éprouvée. Ils permettent à notre cellule Audits d’implémenter et/ou d’auditer un SMSI / ISMS.

À noter : on parle de SMSI uniquement lorsqu’une entreprise est certifiée ISO 27001.

Étapes synthétiques de la mise en place d’un SMSI :

  • Périmètre & objectifs → définir ce qu’on protège et pourquoi.
  • Analyse des risques → identifier menaces, vulnérabilités, impacts.
  • Politique sécurité → fixer règles et responsabilités.
  • Mesures & procédures → mettre en place contrôles techniques/organisationnels.
  • Sensibilisation → former et impliquer les équipes.
  • Surveillance & audits → mesurer, contrôler, corriger.
  • Amélioration continue (PDCA) → ajuster et renforcer en boucle.

L’ISO 27001 s’appuie fortement sur la norme ISO 27005 qui est un cadre de la gestion du risque que l’on appel souvent Risk Management Framework (RMF).  En bref cela inclus l’identification, l’analyse et et la gestion des risques. La norme ISO/CEI 27005 est un cadre international reconnu pour la gestion des risques liés à la sécurité de l’information. Cependant, elle est surtout considérée comme l’un des référentiels les plus complets et largement utilisés, mais elle coexiste avec d’autres méthodes reconnues comme EBIOS RM (ANSSI), MEHARI (CLUSIF) ou le NIST RMF. En fonction des situations, nous pouvons utiliser plusieurs méthodes.

  • EBIOS RM (Expression des Besoins et Identification des Objectifs de Sécurité : ANSSI)
  • MEHARI (Méthode Harmonisée d’Analyse des Risques : CLUSIF)
  • NIST RMF (Risk Management Framework : NIST)

Audit ISO 27002.

ISO/IEC 27002 est une norme internationale qui fournit des bonnes pratiques pour la sécurité de l’information. Publiée par l’ISO et la CEI, elle accompagne l’ISO 27001 en détaillant les mesures de sécurité à mettre en œuvre. La version la plus récente, ISO/IEC 27002:2022, contient 93 mesures organisées en domaines thématiques.

Elle sert de référence pratique pour les responsables sécurité RSSI (Responsable de la Sécurité des Systèmes d’Information) afin de renforcer un SMSI (Système de Management de la Sécurité de l’Information).

Exemples de contrôles ISO 27002 :

  • 5.1 – Politique de sécurité de l’information, la direction doit fournir une orientation et un soutien clairs en matière de sécurité.
  • 6.2 – Protection des appareils mobiles et du réseau, mise en place de mesures pour sécuriser les terminaux et les connexions.
  • 7.1 – Sécurité avant l’emploi, vérification des antécédents et de la fiabilité des employés avant leur embauche.
  • 8.2 – Classification des informations, définir une méthode pour classer les données selon leur sensibilité (ex. public, interne, confidentiel).
  • 9.1 – Contrôle des accès, établir une politique pour gérer les droits d’accès aux systèmes et aux données.

Audit ISO 27034.

ISO/IEC 27034 – Application Security, est la norme internationale dédiée à la sécurité des applications. Elle fournit un cadre pour intégrer la sécurité tout au long du cycle de vie applicatif. Elle aide les organisations à réduire les vulnérabilités logicielles et à renforcer la confiance des utilisateurs. La norme définit des concepts clés. Voici l’ordre logique de ces éléments, qui structurent la démarche suivante :

  • ONF (Organizational Normative Framework), Cadre normatif de l’organisation (politiques, règles, standards) qui guide la sécurité applicative.
  • ASMP (Application Security Management Process), Processus de gestion qui applique l’ONF pour piloter la sécurité des applications.
  • ANF (Application Normative Framework), Cadre normatif spécifique à une application, dérivé de l’ONF et adapté à son contexte.
  • ACS (Application Security Controls), Contrôles de sécurité sélectionnés et mis en œuvre pour l’application, selon l’ANF.
  • ASV (Application Security Verification), Vérification systématique des contrôles (conception, mise en œuvre, efficacité) pour confirmer la conformité et la robustesse.

Audit ISO 27035.

Cette norme aide les organisations à mettre en place un processus complet de gestion des incidents de sécurité de l’information. Elle couvre la préparation, la détection, le signalement, l’évaluation, la réponse et l’amélioration continue après incident. Ainsi elle permet de réduire les impacts financiers, opérationnels et réputationnels liés aux cyberattaques.

  • IM (Incident Management)
  • IRM (Incident Response Management)
  • ISIM (Information Security Incident Management)
  • IRP (Incident Response Plan)
  • IRT (Incident Response Team)
  • CSIRT (Computer Security Incident Response Team)
  • SOC (Security Operations Center)

Audit EBIOS RM.

EBIOS RM 2018 ( Expression des Besoins et Identification des Objectifs de Sécurité ) est une méthode française développée par l’ANSSI pour l’analyse des risques en cybersécurité. Elle permet d’identifier les menaces, vulnérabilités et impacts sur les systèmes d’information. La démarche repose sur des ateliers collaboratifs pour définir les scénarios de risques pertinents. Elle aide les organisations à prioriser leurs mesures de sécurité et à renforcer leur résilience. Cette approche nécessite un bon niveau de maturité du SI et de l’analyse des risques.

Reconnue au niveau européen, EBIOS RM 2018 s’intègre facilement aux cadres internationaux comme ISO 27005 ou le NIST RMF.

La méthode EBIOS Risk Manager – Le guide | ANSSI

Audit NIST.

Le NIST (National Institute of Standards and Technology) est une agence américaine qui définit des normes et référentiels reconnus mondialement en cybersécurité. Son Cybersecurity Framework (CSF) fournit une approche structurée pour faire face aux menaces. Il est construit sur trois composants (Core, Tiers, Profils) :

Core (Noyau)

  • Décrit les fonctions (Govern, Identify, Protect, Detect, Respond, Recover),
  • les catégories et les sous‑catégories de résultats attendus.
  • Sert de langage commun pour toutes les organisations afin de définir leurs pratiques de cybersécurité.

Implementation Tiers (Niveaux de mise en œuvre)

  • Quatre niveaux (Tier 1 à Tier 4) qui indiquent le degré de maturité et de sophistication de la gestion des risques cyber.
  • Tier 1 = approche partielle, ad hoc.
  • Tier 4 = approche adaptative, intégrée et en amélioration continue.
  • Permet aux organisations de se situer et de progresser.

Profiles (Profils)

  • Adaptation du CSF aux besoins spécifiques d’une organisation.
  • Sert à comparer l’état actuel (Current Profile) avec l’état cible (Target Profile).
  • Aide à définir un plan d’action pour combler les écarts et aligner la cybersécurité avec les objectifs business.

Remarque : Le NIST utilise la triade CIA (Confidentialité, Intégrité, Disponibilité) comme base conceptuelle, mais il utilise souvent le modèle AAA (Authentification, Autorisation, Accountability/Audit) et l’enrichit systématiquement en y intégrant des mécanismes complémentaires tels que le chiffrement (encryption) et la journalisation (logging).

Ce cadre s’applique à toutes les organisations, quelle que soit leur taille ou leur secteur, et aide à renforcer la gestion des risques, la conformité réglementaire et la résilience opérationnelle.

Parmi les standards NIST les plus importants, on retrouve :

NIST SP 800-53, catalogue de contrôles de sécurité, référence pour appliquer des mesures robustes aux systèmes d’information. C’est le révérenciel officiel du FISMA (Federal Information Security Modernization Act) qui est obligatoire pour les agences fédérales américaines. En dehors du périmètre fédéral, toute organisation privée ou publique peut l’utiliser comme cadre de référence. Beaucoup d’entreprises, y compris dans le secteur privé, adoptent SP 800‑53 pour renforcer leur cybersécurité, car c’est l’un des catalogues de contrôles les plus complets et détaillés. Elle est souvent utilisée comme complément à ISO/CEI 27001, car elle fournit des contrôles techniques très précis.

NIST SP 800-61 – Incident Response Recommendations and Considerations for Cybersecurity Risk Management. Fournit des recommandations pratiques pour préparer, détecter, répondre et récupérer efficacement face aux incidents, en les intégrant dans la gestion globale des risques.

NIST SP 800-82 – Guide to Operational Technology (OT) Security – Un guide incontournable pour sécuriser les systèmes industriels (ICS/SCADA) et protéger les infrastructures critiques (énergie, eau, transport). Dans ces environnements, une indisponibilité ou un arrêt brutal peut entraîner des conséquences physiques directes pour les personnes, les biens ou l’environnement. Alors que, dans les systèmes informatiques classiques, l’accent est souvent mis sur la confidentialité (C) des données sensibles au sein de la triade CIA, le NIST souligne que, dans les systèmes industriels, la disponibilité (A) devient la priorité absolue.

 NIST SP 800-30, méthodologie d’analyse et de gestion des risques, permettant d’identifier menaces, vulnérabilités et impacts.

NIST SP 800-37, Risk Management Framework (RMF), qui intègre la gestion des risques dans tout le cycle de vie des systèmes.

Ces standards, combinés aux déclinaisons sectorielles (manufacturing, supply chain, IoT), offrent un cadre complet pour sécuriser vos systèmes, protéger vos données et garantir la conformité de vos environnements industriels.

Audit SOC2.

La norme SOC 2 (System and Organization Controls 2) est un cadre de conformité en cybersécurité qui garantit la protection des données des clients. Bien qu’elle ne soit pas une obligation légale, la conformité SOC 2 est devenue un standard incontournable pour les entreprises technologique.

SOC 2 a été élaborée par l’AICPA (American Institute of Certified Public Accountants), la plus grande association professionnelle de comptables aux États‑Unis (plus de 412 000 membres dans 144 pays).

L’AICPA s’appuie sur le cadre COSO (Committee of Sponsoring Organizations of the Treadway Commission) pour définir les TSC 2017 (Trust Services Criteria 2017) du SOC 2.

COSO est un référentiel international de contrôle interne et gestion des risques. Il a été créé pour améliorer la fiabilité des états financiers, lutter contre la fraude et renforcer la gouvernance des organisations (Opérations, Informations financiere, Conformité) s’appliquent à tous les domaines de l’entreprise (pas seulement le SI).

Ses composantes sont transversales (Common Criteria ou CC) :

  • CC1 Control Environment Criteria
  • CC2 Information and Communication Criteria
  • CC3 Risk Assessment Criteria
  • CC4 Monitoring Activities Criteria
  • CC5 Control Activities Criteria

Les TSC reprennent les CC COSO et les appliquent aux domaines de la sécurité informatique et de la protection des données. Il ajoute les CC suivants :

  • CC6 Logical and Physical Access Controls
  • CC7 System Operations controls
  • CC8 Change Management controls
  • CC9 Risk Mitigation Controls

Il y a quelques critères additionnelles :

  • A1 Additional criteria for Availability
  • C1 Additional criteria for Confidentiality
  • Pi1 Additional criteria for Processing Integrity
  • P1 Additional criteria for Privacy

Les CC TSC sont regroupés sous les catégories (Controls List) suivantes :

  • Security Controls (tous les CC, surtout CC6–CC9).
  • Availability Controls (CC7 et CC9)
  • Processing Integrity Controls (CC5 et CC8)
  • Confidentiality Controls (CC6 et CC9)
  • Privacy controls (CC2, CC3 et CC6)

Remarque : En dehors de « Security Controls », qui couvre à lui seul la triade CIA, les autres critères sont « optionnels » selon les objectifs de l’entreprise.

L’objectif est d’assurer que les données sensibles sont stockées et traitées de manière sécurisée et fiable. Pour informations il y plusieurs rapports SOC :

  • Rapport SOC 1 (Les contrôles internes liés aux états financiers)
  • Rapport SOC 2 (Les contrôles liés à la sécurité et confidentialité des données | NDA – stakeholder)
  • Rapport SOC 3 (Similaire au SOC 2, mais sous une forme simplifiée | Publique)

Le rapport SOC 2 peut etre de deux formes :

  • Type I (Évalue la conception des contrôles à un instant donné.)
  • Type II (Évalue l’efficacité des contrôles sur une période donnée souvent 6 à 12 mois).

Audit COBiT.

L’approche COBIT (Control Objectives for Information and related Technology) vise à aligner les systèmes d’information (SI) avec la stratégie de l’entreprise. Ce cadre définit les relations et les processus essentiels à la gouvernance et à la gestion des technologies de l’information. En conclusion il est primordial pour la direction d’une entreprise de l’adopter pour atteindre efficacement ses objectifs stratégiques. Le plus important ici c’est le guide COBiT v5  disponible sur le site ISACA. Pour résumer, il permet à travers de nombreux schéma d’optimiser les activités et satisfaire les exigences métiers intégrées dans le plan stratégique de l’entreprise.

Audit iTiL.

Les audits orienté iTiL (Information Technology Infrastructure Library) ont pour objectifs de fournir des services informatiques de haute qualité alignés sur les besoins de l’entreprise. En priorisant l’optimisation des ressources et la minimisation des risques.

ITiL est un ensemble d’ouvrages recensant les bonnes pratiques « best practices » du management du système d’information. Il s’agit certainement de l’un des référentiels méthodologiques les plus complets traitant des sujets suivants :

  • Améliorer la satisfaction client
  • Optimiser les processus
  • Accroître la productivité
  • Renforcer la transparence et la communication
  • Assurer la stabilité et la disponibilité des services
  • Gérer efficacement les risques
  • Faciliter l’alignement stratégique
Call Now Button
x Powerful Protection for WordPress, from Shield Security
Ce Site Est Protégé Par
Shield Security