Audit de cybersécurité et simulations d'attaque

Simulations d'attaque minimales obligatoires

• Phishing ciblé pour mesurer la vulnérabilité du facteur humain (environ 100 postes informatiques).
• Test d'intrusion externe en boîte noire sur vecteurs exposés (site web, messagerie, autres services accessibles Internet).
• Test d'intrusion externe ou interne (boîte noire, boîte grise ou hybride) visant l'exfiltration ou la compromission de données sur un ou deux systèmes d'information désignés.
• Possibilité d'adapter outils et techniques en cours d'exécution après validation du cadrage.

Travaux complémentaires (optionnels)

• Simulations complémentaires et audits techniques supplémentaires prévus en option selon besoin identifié lors du cadrage.

Analyse, priorisation et plan de remédiation

• Qualification et priorisation des vulnérabilités, reconstitution des chemins d'attaque, évaluation des impacts métier et formalisation d'un plan de remédiation priorisé.
• Le plan doit proposer mesures techniques, organisationnelles et procédurales, priorisation courts/moyens/longs termes, estimations en jours/homme et dépendances entre actions.

Phases et organisation

• Phase de cadrage (définition détaillée du périmètre, modalités d'intervention, planning, convention d'engagement).
• Phase d'exécution des simulations selon le cadrage.
• Phase d'analyse, rédaction des livrables et plan de remédiation.
• Phase de restitution présentielle et production de supports exploitables.

Livrables

• Rapport technique détaillé (méthodes, dates d'exécution des campagnes, cartographie des techniques utilisées, description des vulnérabilités, preuves d'exploitation, chemins d'attaque, criticité et limites des simulations, niveau de confiance).
• Synthèse décisionnelle destinée aux décideurs (~10 pages) présentant risques, scénarios critiques et priorités d'action.
• Plan de remédiation priorisé avec charges estimées et dépendances.
• Supports de restitution exploitables (formats éditables et non modifiables).
• Convention d'engagement validée en phase de cadrage.

Méthodologie, qualité et référentiels

• Méthodologie concertée lors du cadrage avec production de fiches d'attaque détaillées (objectifs, périmètre, principes d'intervention).
• Utilisation de cadres méthodologiques reconnus pour la cartographie des techniques (ex. MITRE ATT&CK) et conformité aux bonnes pratiques de sécurité.
• Livrables rédigés en français et fournis en formats éditables et non modifiables.

Aspects humains, confidentialité et conformité RGPD

• Intégration du facteur humain dans les scénarios et dans les livrables.
• Respect du cadre de confidentialité et de traçabilité des interventions.
• Scénarios impliquant données personnelles encadrés de manière proportionnée, avec rôle du DPO et limites sur l'extraction de données ; obligations de notification en cas d'incident.

Exigences de preuve et traçabilité

• Fourniture d'éléments de preuve d'exploitation, cartographies des techniques utilisées et justification des conclusions pour exploitation par différents publics techniques et décisionnels.