Audit de cybersécurité

Phase 2 — Conduite des activités d'audit

• Volet organisationnel et physique : revue des politiques, gouvernance, procédures, sensibilisation (incluant campagne/suivi phishing anonymisé), rôles et responsabilités ; utilisation de questionnaires adaptés.
• Volet technique : inventaire des composants matériels et logiciels, cartographie d'architecture, scans de vulnérabilités, tests d'intrusion contrôlés (external/ internal selon périmètre), évaluation des protections (firewalls, IDS/IPS, solutions d'authentification), revue IAM, analyse de la sécurité applicative web, diagnostics d'administration et d'usage.
  • Les tests à risque doivent être identifiés, planifiés et exécutés sans compromettre la continuité de service (fenêtres d'intervention, supervision, etc.).
• Volet appréciation des risques : identification des actifs et processus critiques, menaces et vulnérabilités, estimation des impacts (confidentialité, intégrité, disponibilité), évaluation de la probabilité, classification des risques et proposition de mesures préventives et correctives.
• Méthodologie et outils : description des méthodologies pour chaque composante (organisationnelle/physique/technique), des outils logiciels (plateformes d'entretiens, scanners, frameworks de pentest), séquence d'actions et volumétrie en homme‑jours par tâche.

Phase 3 — Rédaction et remise des livrables

• Rapport détaillé contenant description du système d'information, sections organisationnelle/physique et technique, analyse des risques, plan d'action immédiat.
• Plan d'action cadre sur 3 ans avec planning indicatif et estimation des ressources humaines et financières, actualisable en années 2 et 3.
• Rapport de synthèse pour décideurs et PV de restitution accompagnant une réunion de restitution.
• Annexes techniques et preuves (logs, captures) dans le respect du secret professionnel et de la protection des données.
• Exigences formelles : rapport daté, signé par le responsable d'audit et revêtu du cachet du titulaire.

Ressources humaines et organisation

• Liste nominative des intervenants avec références et expériences, description des outils et méthodologies déployés, volumétrie homme‑jours par action.
• Personnel d'audit issu du personnel permanent ; recours à consultants externes possible sous conditions contractuelles et responsabilisation du soumissionnaire.
• Toute modification des personnes proposées requiert accord écrit préalable.

Contraintes opérationnelles et obligations

• Référentiels à appliquer : ISO/IEC 27002 et conformité à la directive NIS 2 pour l'infrastructure.
• Confidentialité et RGPD : obligation de secret professionnel, traitement des données en qualité de sous-traitant sur instruction, interdiction de transfert, restitution ou destruction des données en fin de mission, audits documentaires possibles.
• Déclaration de sous-traitance requise lorsque applicable et conditions particulières pour paiements directs et seuils.

Livrables attendus (par entité audité)

• PV de réunion préparatoire ; rapport d'audit détaillé ; plan d'action 3 ans (avec estimations RH/financières) ; rapport de synthèse pour directions ; PV et compte-rendu de restitution ; annexes techniques et preuves.