Application Audit
Cybersecurite

ISO 27001/27002 pour le management de la sécurité, NIST Cybersecurity Framework (CSF) pour l'approche par les risques, CIS Controls pour les mesures techniques prioritaires, ANSSI (guide d'hygiène informatique — 42 mesures) pour le contexte français. Le choix dépend du secteur : NIS2 pour les opérateurs essentiels, HDS pour les données de santé, PCI-DSS pour les données bancaires.

Scan de vulnérabilités (Nessus, Qualys), test d'intrusion (pentest) externe et interne, revue de configuration des équipements réseau et serveurs, analyse de l'Active Directory, revue des droits d'accès, test de phishing social engineering, analyse des journaux de sécurité (SIEM), et vérification de la segmentation réseau.

Directive européenne (UE 2022/2555) entrée en application en octobre 2024. Elle élargit le périmètre de NIS1 à 18 secteurs (énergie, transports, santé, numérique, eau, alimentation, etc.). Les entités essentielles et importantes doivent mettre en œuvre des mesures de cybersécurité proportionnées et notifier les incidents significatifs dans les 24h.

Document qui définit : les rôles et responsabilités (CSIRT interne ou externe), la classification des incidents (niveaux de sévérité), les procédures de détection et d'alerte, les étapes de confinement et d'éradication, la communication de crise (interne, autorités, personnes concernées si données personnelles), la collecte de preuves forensiques, et le retour à la normale.

Audit complet annuel minimum recommandé. Tests d'intrusion au moins annuels (exigés par PCI-DSS, recommandés par l'ANSSI). Scans de vulnérabilités mensuels ou après chaque changement majeur d'infrastructure. Revue des droits d'accès trimestrielle. En cas d'incident de sécurité, un audit post-incident est indispensable.