Audits de sécurité techniques et organisationnels

Activités et périmètres techniques

• Tests d'intrusion manuels (interne/externe, authentifié ou non) couvrant applications web, API, infrastructure, applications mobiles, Wi‑Fi, ToIP, copieurs multifonctions, bornes/kiosques.
• Audits de sécurité de configuration (firewall, Active Directory, SGBD, OS, messagerie, équipements de sécurité).
• Audits d'architecture SI.
• Audits de code source visant à détecter mauvaises pratiques et failles.
• Option de contrôle d'audit technique pour vérifier la mise en œuvre des remédiations et réévaluer le niveau de sécurité.

Contraintes d'exécution technique

• Tests non destructifs : éviter perturbation, saturation ou indisponibilité des services et données.
• Pas d'opérations automatisées sans surveillance humaine.
• Scripts de récupération/configuration et résultats livrés en clair (non chiffrés, non obfusqués).
• Notification rapide pour vulnérabilités catégorisées critiques (procédure d'alerte interne à respecter).

Dimensionnement et estimation (trois niveaux indicatifs)

• Niveau 1 (simple) : test d'intrusion ≈ 3 jours ; audit configuration ≈ 2 jours ; code < 50 000 lignes ; internes ≈ 100 IP ; externes ≈ 10 IP ; web ≈ 5 FQDNs.
• Niveau 2 (moyen) : test ≈ 5 jours ; configuration ≈ 5 jours ; code 50k–500k lignes ; internes ≈ 1 000 IP ; externes ≈ 30 IP ; web ≈ 10 FQDNs.
• Niveau 3 (complexe) : test ≈ 7 jours ; configuration ≈ 10 jours ; code 500k–2M lignes ; internes ≈ 5 000 IP ; externes ≈ 50 IP ; web ≈ 30 FQDNs.

Ressources et compétences attendues

• Présentation des certifications et effectifs par certification (ex. PASSI RGS/LPM ou équivalent, CEH, OSCP, GPEN, CPT/CEPT) et attestations formation gestion des données personnelles.
• Capacité à produire livrables en anglais à préciser.