Analyse des risques

IT CUBE réalise les analyses des risques encourus par le Système d’Information de ses clients selon la norme ISO 27005.

La norme ISO 27005 explique en détail comment conduire l'appréciation des risques et le traitement des risques, dans le cadre de la sécurité de l'information. La norme ISO 27005 propose une méthodologie de gestion des risques en matière d'information dans l'entreprise conforme à la norme ISO/CEI 27001.

La nouvelle norme a donc pour but d’aider à mettre en œuvre l’ISO/CEI 27001, la norme relative aux systèmes de management de la sécurité de l’information (SMSI), qui est fondée sur une approche de gestion du risque. Néanmoins, la norme ISO 27005 peut être utilisée de manière autonome dans différentes situations.

Audit de vérification

Ce type d'audit analyse l'état d'un système ou d'un réseau, du point de vue de l'organisation, de l'architecture, des configurations, de l'exploitation et des compétences. Il s'agit d'une approche à la fois globale et technique, basée sur la méthodologie et l'expérience d'IT CUBE.

L'audit est réalisé avec les exploitants, dans un environnement délimité.

Audit d’agrément

L'agrément vérifie l'état du système vis-à-vis d'un référentiel existant, par exemple le respect d'exigences de sécurité préalablement définies.

IT CUBE peut ainsi auditer un Système de Management de la Sécurité de l’Information pour s’assurer de sa conformité avec la norme ISO 27001.

Test de vulnérabilités

IT CUBE propose à ses clients un ensemble de tests de vulnérabilités assistés par un consultant à l’aide des outils développés par l’éditeur Rapid7. Les consultants d’IT CUBE sont formés aux logiciels proposés par Rapid7 et plus particulièrement l’outil de gestion de vulnérabilités Nexpose.

Ces tests sont réalisés sous la supervision d'un consultant IT CUBE et donnent lieu à un rapport entièrement validé et commenté. Ces tests se différencient des tests d'intrusion par le fait que les vulnérabilités sont détectées mais ne sont pas exploitées.

Chaque test sera destiné à une ou plusieurs adresses IP. Les adresses IP peuvent être changées dans le temps, avec un préavis supérieur à la période du test. Par ailleurs, chaque test peut être réalisé à des fréquences souhaitées : chaque jour, chaque semaine, chaque mois, etc. avec une date de début et une date de fin.

Les rapports de tests sont ensuite chiffrés et transmis par email au client. La clé de chiffrement est donnée oralement au client.