Évaluer la gouvernance SSI, les politiques et processus, la gestion des risques et les contrôles physiques et environnementaux afin de mesurer la conformité aux référentiels DGSSI/DNSSI et d’améliorer la résilience opérationnelle.

Périmètre type

1. Gouvernance : rôles et responsabilités, comités SSI, cartographie des actifs, registre des risques, tableaux de bord.
2. Conformité : politiques/standards/charte, sensibilisation, clauses contractuelles sécurité (prestataires), continuité (PCA/PRA) et sauvegardes, gestion des vulnérabilités et des correctifs, supervision et journaux, gestion des incidents.
3. Accès et identité : IAM/IGA, MFA, séparation des tâches, revues périodiques, comptes à privilèges.
4. Physique : contrôle d’accès, vidéoprotection, zones sensibles, salles serveurs, PRA site, procédures visiteurs.
5. Données : classification et sécurisation (au repos/en transit), rétention, chiffrement, suppression sécurisée.

Méthodologie

1. Revue documentaire et entretiens multi‑métiers ; échantillonnage de preuves ; visites de sites.
2. Évaluation croisée DNSSI / ISO 27001/27002 / bonnes pratiques DGSSI ; scoring de maturité.
3. Recommandations : quick wins, actions structurantes, trajectoire cible et indicateurs de suivi (KPI/KRI).

Livrables

• Rapport managérial (risques majeurs, conformité, feuille de route) et rapport détaillé (constats et preuves).

• Modèles de politiques/standards, matrice RACI, check‑lists d’audit et plans de remédiation.

Objectif

Apprécier la robustesse de l’architecture (on‑prem, cloud, hybride) face aux menaces actuelles, vérifier la segmentation et la maîtrise des flux, l’IAM, la détection et la réponse, et définir des patterns cibles conformes à la DNSSI et aux guides DGSSI.

Périmètre type

1. Réseau : zones de confiance, filtrage L3/L7, segmentation macro/micro, accès distants, bastions, DNS sécurisé.
2. Cloud et hybrides : comptes, IAM/MFA/SSO, réseaux et passerelles, stockage, chiffrement KMS/HSM, journaux, posture management.
3. Exposition : DMZ, reverse‑proxy/WAF, DNS, MTA, passerelles API, interconnexions partenaires.
4. Postes/serveurs/conteneurs/CI‑CD : durcissement, secrets, images et registries, pipeline sécurisé.
5. Détection‑réponse : SIEM/SOAR, EDR/NDR, playbooks, couverture de journaux, tests de détection.

Méthodologie

1. Ateliers d’architecture et revue de diagrammes/flux ; évaluation des règles (FW, ACL, SG/NSG, WAF).
2. Gap analysis vs DNSSI, principes Zero Trust, CIS Benchmarks et bonnes pratiques éditeurs ; cartographie des risques par flux.
3. Conception cible : schémas de référence, exigences minimales, trajectoire par paliers et critères d’acceptation.

Livrables

1. Rapport d’architecture (écarts, risques, schémas cibles) et backlog de remédiation priorisé.
2. Exigences/patterns prêts à l’emploi (réseau, IAM, cloud, journaux) et check‑list de validation.

Objectif

Vérifier la conformité et l’efficacité des paramètres de sécurité des systèmes, équipements réseau/sécurité, bases de données, middlewares, messagerie et services cloud, avec un focus sur durcissement, mises à jour, exposition et journalisation.

Périmètre type

1. OS et annuaires : Windows/Linux/macOS, Active Directory/Azure AD, GPO/Intune, durcissement et patching.
2. Réseau et sécurité : routeurs/switches, pare‑feu/VPN/WAF/proxy, IDS/IPS, NAC, Wi‑Fi d’entreprise.
3. Plateformes : bases SQL/NoSQL, serveurs web/app, MDM/MAM, messagerie et collaboration, M365.
4. Cloud IaaS/PaaS/SaaS : IAM, réseaux, stockage, clés, journaux, posture management.
5. Postes et mobiles : chiffrement disques, EDR, contrôle périphériques, politiques de sécurité.

Méthodologie

1. Collecte de configurations (scripts non intrusifs), inventaire des expositions, contrôle des versions.
2. Mesure vs benchmarks (guides DGSSI/DNSSI, CIS, constructeurs), contrôle du chiffrement et des logs.
3. Recommandations actionnables : durcissement, réduction de surface d’attaque, plan de patching et validation.

Livrables

1. • Tableau de conformité détaillé par actif/contrôle, preuves et risques.
2. • Kits de remédiation, modèles de GPO/policies, check‑list de réception et re‑test.

Objectif

Identifier des vulnérabilités, défauts de conception et non‑conformités aux pratiques de développement sécurisé, en s’alignant sur le Référentiel DGSSI de vérification de la sécurité des applications (basé sur OWASP ASVS 4.x) et en appliquant, pour nos livrables, OWASP ASVS 5.0 et OWASP MASVS v2.1.0 pour le mobile.

Périmètre type

1. Web, mobile, API, microservices, backends ; référentiels Git, secrets, CI/CD, SBOM et dépendances.
2. Langages et frameworks : Java, .NET, JS/TS, Python, PHP, Go, Swift/Kotlin, etc.
3. Contrôles : authN/authZ, gestion des sessions, validation d’entrées, crypto, gestion des secrets, erreurs et journaux.

Méthodologie

1. Modélisation des menaces ; revue manuelle assistée d’outils (SAST, SCA, secret scanning) ; tests ciblés.
2. Vérification par exigences (ASVS) ; mappage CWE ; priorisation par impact réel et exploitabilité.
3. Suggestions de refactorisation ; bonnes pratiques CI/CD (lint, tests, quality gates), PRs à la demande.

Livrables

1. Rapport technique avec preuves reproductibles et scénarios ; recommandations au niveau code.
2. Synthèse managériale (KPI de qualité/sécurité) ; plan d’élévation de maturité DevSecOps.

Objectif

Mesurer la résistance effective des actifs face à des attaques réalistes, valider l’exploitabilité et les impacts, et fournir des correctifs priorisés, sans dégrader la production.

Périmètres et modalités

1. Portées : externe Internet, interne, VPN/télétravail, Wi‑Fi, AD/Azure AD/M365, IoT/embarqués.
2. Applicatifs : web, mobile, API, microservices ; tests boîte noire/grise/blanche selon contexte.
3. Campagnes ciblées : phishing/spear‑phishing sur accord explicite, avec conformité loi 09‑08 et formalités CNDP si nécessaire.
4. Red Team/adversary simulation : scénarios guidés par objectifs, discrétion, mesure de la détection et de la réponse.

 Méthodologie

1. Règles d’engagement, fenêtres d’intervention, chaîne de garde et canaux de crise.
2. Reconnaissance, cartographie d’attaque, exploitation contrôlée, post‑exploitation limitée et réversible, pas de réutilisation d’identifiants ni d’exfiltration hors périmètre.
3. Validation conjointe des impacts, gestion des preuves, re‑test après remédiation (option).

Livrables

1. Rapport technique (chemins d’attaque, vulnérabilités, impacts, preuves) et remédiations concrètes.
2. Rapport managérial (score de risque, quick wins, actions structurantes) et attestation de correction.

Objectif

Renforcer la cybersécurité des environnements industriels en s’alignant sur IEC 62443 (zones et conduits, niveaux de sécurité) et les guides DGSSI pour les SI industriels, avec des méthodes adaptées aux contraintes de disponibilité et de sûreté.

Périmètre type

1. Inventaire des actifs OT ; cartographie zones/conduits ; segmentation IT/OT ; accès distants (tiers).
2. Automatismes et supervision : PLC/RTU, HMI, SCADA/DCS, protocoles industriels, passerelles.
3. Durcissement : systèmes, comptes et mots de passe, mises à jour/mesures compensatoires, sauvegardes OT.
4. Journalisation et détection : collecte d’événements OT, corrélation, playbooks d’incident OT.

Méthodologie

1. Entretiens exploitation/métiers ; revue d’architecture ; tests non intrusifs ; analyses de configuration.
2. Découverte réseau passive (SPAN/TAP) et DPI non intrusif sur protocoles industriels lorsque possible.
3. Gap analysis vs IEC 62443 et guides DGSSI ; plan d’amélioration gradué compatible avec la production.
4. Exercices : détection‑réponse, gestion de crise OT, tests de reprise (PRA) sur périmètres contrôlés.

Livrables

1. Rapport de risques OT (scénarios, impacts, priorisation) et fiches de durcissement par équipement.
2. Roadmap de mise en conformité (IEC 62443/DNSSI), check‑lists de réception et accompagnement re‑test.