Méthodologie

Pour la réalisation de ses audits, BlueKrypt applique une méthodologie éprouvée, organisée en trois étapes, adaptée aux différents sujets à traiter et suivant les types de prestations de sécurité (tests d’intrusion, audits techniques, audits organisationnels, audits fonctionnels, audits de conformité, etc.).

ÉTAPE 1 : ENTRETIENS AVEC LES INTERLOCUTEURS CONCERNÉS ET VISITES DE SITES

La démarche générale d’audit de BlueKrypt commence par une revue de l’existant, au moyen d’entretiens et de tests techniques.

a) Réunion d’initialisation

Une réunion d’initialisation permet d’aborder notamment les points suivants :

• Le périmètre de l’audit, notamment les systèmes et processus à analyser,
• Le planning général et les différentes étapes,
• L’identification des informations/documents à prendre en compte,
• Les contacts et entretiens nécessaires.

b) Entretiens et visite des sites

L’analyse du niveau de sécurité existant est principalement basée sur des entretiens avec les interlocuteurs concernés par la sécurité, ainsi que sur la réalisation de tests et de vérifications techniques, pratiqués lors de la visite des sites concernés.

BlueKrypt formalisera au préalable un guide d’entretien, soumis à validation du chef de projet.

Le document s’inspire de :

• La méthode MEHARI éditée par le CLUSIF (Club de la sécurité des systèmes d’information français).
• ISO 27000 qui fournit un ensemble complet de mesures de maîtrise comprenant les meilleures pratiques en matière de sécurité de l’information.