Après avoir répondu à un appel d'offre, le client nous demande de subir un
audit de sécurité pour gagner le contrat. C'est la première fois que cela
arrive est nous ne sommes pas préparé pour cela. J'avais donc quelques
questions à ce sujet.
Quels sont les points qui seront principalement audités et comment s'y
préparer au mieux ? Est-ce que en fonction des organismes on peut en
profiter pour obtenir une certification ou un truc dans le genre ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Geo
Bonjour Jeff Sibierski
Bonjour,
Après avoir répondu à un appel d'offre, le client nous demande de subir un audit de sécurité pour gagner le contrat. C'est la première fois que cela arrive est nous ne sommes pas préparé pour cela. J'avais donc quelques questions à ce sujet. Quels sont les points qui seront principalement audités et comment s'y
préparer au mieux ? Est-ce que en fonction des organismes on peut en profiter pour obtenir une certification ou un truc dans le genre ?
Ca parait difficile de répondre comme ça, sans connaître le contexte. Si le client demande cela c'est peut-être parce que vous serez connecté sur son système, il tient donc à s'assurer que les points d'entrée sont protégés; mais ça peut être aussi pour la protection de la documentation, ou pour vérifier le niveau de culture sécurité. etc. Tout dépend donc du cas de figure. Une méthode serait de faire soi-même une analyse de risques selon une méthode comme celle du Clusif : Mehari. Déjà ça fait prendre conscience de manques et de l'avoir fait donne une bonne image, même si les notes ne sont pas terribles. Les assureurs apprécient aussi. A+
Bonjour Jeff Sibierski
Bonjour,
Après avoir répondu à un appel d'offre, le client nous demande de
subir un audit de sécurité pour gagner le contrat. C'est la première
fois que cela arrive est nous ne sommes pas préparé pour cela.
J'avais donc quelques questions à ce sujet.
Quels sont les points qui seront principalement audités et comment
s'y
préparer au mieux ? Est-ce que en fonction des organismes on peut en
profiter pour obtenir une certification ou un truc dans le genre ?
Ca parait difficile de répondre comme ça, sans connaître le contexte.
Si le client demande cela c'est peut-être parce que vous serez
connecté sur son système, il tient donc à s'assurer que les points
d'entrée sont protégés;
mais ça peut être aussi pour la protection de la documentation,
ou pour vérifier le niveau de culture sécurité.
etc.
Tout dépend donc du cas de figure.
Une méthode serait de faire soi-même une analyse de risques selon une
méthode comme celle du Clusif : Mehari.
Déjà ça fait prendre conscience de manques et de l'avoir fait donne
une bonne image, même si les notes ne sont pas terribles.
Les assureurs apprécient aussi.
A+
Après avoir répondu à un appel d'offre, le client nous demande de subir un audit de sécurité pour gagner le contrat. C'est la première fois que cela arrive est nous ne sommes pas préparé pour cela. J'avais donc quelques questions à ce sujet. Quels sont les points qui seront principalement audités et comment s'y
préparer au mieux ? Est-ce que en fonction des organismes on peut en profiter pour obtenir une certification ou un truc dans le genre ?
Ca parait difficile de répondre comme ça, sans connaître le contexte. Si le client demande cela c'est peut-être parce que vous serez connecté sur son système, il tient donc à s'assurer que les points d'entrée sont protégés; mais ça peut être aussi pour la protection de la documentation, ou pour vérifier le niveau de culture sécurité. etc. Tout dépend donc du cas de figure. Une méthode serait de faire soi-même une analyse de risques selon une méthode comme celle du Clusif : Mehari. Déjà ça fait prendre conscience de manques et de l'avoir fait donne une bonne image, même si les notes ne sont pas terribles. Les assureurs apprécient aussi. A+
Cedric Blancher
Le Tue, 22 Jun 2004 21:32:35 +0000, Geo a écrit :
Une méthode serait de faire soi-même une analyse de risques selon une méthode comme celle du Clusif : Mehari.
Appliquer Mehari, c'est se lancer dans un audit qui va durer entre 6 mois et 1 an selon la taille de l'infrastructure...
Déjà ça fait prendre conscience de manques et de l'avoir fait donne une bonne image, même si les notes ne sont pas terribles. Les assureurs apprécient aussi.
Les assureurs n'en tiendront pas compte, dans le mesure où la base de la certification, c'est de se faire auditer par un organe _indépendant_ et _reconnu_, comprendre un CESTI pour ce qui est de la France.
-- Canis in via, Ben Hur venit, Paf canisque. -+- EL in GFA : Perseverare Diabolicum -+-
Le Tue, 22 Jun 2004 21:32:35 +0000, Geo a écrit :
Une méthode serait de faire soi-même une analyse de risques selon une
méthode comme celle du Clusif : Mehari.
Appliquer Mehari, c'est se lancer dans un audit qui va durer entre 6 mois
et 1 an selon la taille de l'infrastructure...
Déjà ça fait prendre conscience de manques et de l'avoir fait donne
une bonne image, même si les notes ne sont pas terribles. Les assureurs
apprécient aussi.
Les assureurs n'en tiendront pas compte, dans le mesure où la base de la
certification, c'est de se faire auditer par un organe _indépendant_ et
_reconnu_, comprendre un CESTI pour ce qui est de la France.
--
Canis in via,
Ben Hur venit,
Paf canisque.
-+- EL in GFA : Perseverare Diabolicum -+-
Une méthode serait de faire soi-même une analyse de risques selon une méthode comme celle du Clusif : Mehari.
Appliquer Mehari, c'est se lancer dans un audit qui va durer entre 6 mois et 1 an selon la taille de l'infrastructure...
Déjà ça fait prendre conscience de manques et de l'avoir fait donne une bonne image, même si les notes ne sont pas terribles. Les assureurs apprécient aussi.
Les assureurs n'en tiendront pas compte, dans le mesure où la base de la certification, c'est de se faire auditer par un organe _indépendant_ et _reconnu_, comprendre un CESTI pour ce qui est de la France.
-- Canis in via, Ben Hur venit, Paf canisque. -+- EL in GFA : Perseverare Diabolicum -+-
vra-ck2
Hello,
Je ne comprends pas tout.
Le client est d'accord d'outsourcer chez toi a condition d'etre a peu pres convaincu que vous n'allez pas vous faire haquer au prochain worm?
Si c'est le cas, il existe de tres grands prestataires capables de faire un audit aussi profond que ton prospect le veut ;-)
Internet_Security_Systems par exemple a un departement Managed_Security_Services offrant des scans avec rapports.
Le departement Managed Security Services d'ISS: www.iss.net/products_services/managed_services/
Sur le site, il y a pas mal de details sur les normes, regles pour etre compliant ;-)
The ISS Approach to Security Best Practices for Industries http://www.iss.net/products_services/market_solutions/
Leur adresse en France: http://www.iss.net/emea/locations.php
Voila,
Bonne chance,
Cedric
Hello,
Je ne comprends pas tout.
Le client est d'accord d'outsourcer chez toi a condition d'etre a peu
pres convaincu que vous n'allez pas vous faire haquer au prochain
worm?
Si c'est le cas, il existe de tres grands prestataires capables de
faire un audit aussi profond que ton prospect le veut ;-)
Internet_Security_Systems par exemple a un departement
Managed_Security_Services offrant des scans avec rapports.
Le departement Managed Security Services d'ISS:
www.iss.net/products_services/managed_services/
Sur le site, il y a pas mal de details sur les normes, regles pour
etre compliant ;-)
The ISS Approach to Security Best Practices for Industries
http://www.iss.net/products_services/market_solutions/
Leur adresse en France:
http://www.iss.net/emea/locations.php
