Aplicación Auditoría
Ciberseguridad

ISO 27001/27002 pour le management de la sécurité, NIST Cybersecurity Framework (CSF) pour l'approche par les risques, CIS Controls pour les mesures techniques prioritaires, ANSSI (guide d'hygiène informatique — 42 mesures) pour le contexte français. Le choix dépend du secteur : NIS2 pour les opérateurs essentiels, HDS pour les données de santé, PCI-DSS pour les données bancaires.

Scan de vulnérabilités (Nessus, Qualys), test d'intrusion (pentest) externe et interne, revue de configuration des équipements réseau et serveurs, analyse de l'Active Directory, revue des droits d'accès, test de phishing social engineering, analyse des journaux de sécurité (SIEM), et vérification de la segmentation réseau.

Directiva europea (UE 2022/2555) en aplicación desde octubre de 2024. Amplía el perímetro de NIS1 a 18 sectores (energía, transporte, salud, digital, agua, alimentación, etc.). Las entidades esenciales e importantes deben implementar medidas de ciberseguridad proporcionadas y notificar los incidentes significativos en 24 horas.

Document qui définit : les rôles et responsabilités (CSIRT interne ou externe), la classification des incidents (niveaux de sévérité), les procédures de détection et d'alerte, les étapes de confinement et d'éradication, la communication de crise (interne, autorités, personnes concernées si données personnelles), la collecte de preuves forensiques, et le retour à la normale.

Audit complet annuel minimum recommandé. Tests d'intrusion au moins annuels (exigés par PCI-DSS, recommandés par l'ANSSI). Scans de vulnérabilités mensuels ou après chaque changement majeur d'infrastructure. Revue des droits d'accès trimestrielle. En cas d'incident de sécurité, un audit post-incident est indispensable.