CIS Benchmarks
Les guides de durcissement consensuels du Center for Internet Security, avec des profils Niveau 1 et Niveau 2 explicites selon le degré recherché.
Audit de sécurité informatique
Audit de sécurité informatique
Un audit de sécurité est un examen structuré de vos systèmes face à un référentiel reconnu, qui documente chaque écart, lui assigne un responsable et une estimation de remédiation, pour savoir exactement où vous en êtes et quoi corriger en premier.
Les services d'audit de sécurité CloudKey mesurent vos systèmes de production face aux CIS Benchmarks, examinent les identités et les accès, et vérifient la configuration cloud. Vous obtenez un plan de remédiation priorisé, pas un PDF de 200 pages que personne ne lit.
- CIS Benchmarks
- Revue des identités et accès
- Remédiation priorisée
- Réaudit planifié
3/7
Contrôles conformes
- Chiffrement disque imposé sur tous les postes Réussi
- MFA exigé pour chaque compte à privilèges Échoué
- Connexion root SSH désactivée en production Réussi
- Politique de mot de passe conforme à la longueur du référentiel Partiel
Checklist illustrative, pas un système réel. Votre audit rapporte vos propres contrôles face au profil CIS Benchmark en périmètre.
Périmètre de l'audit
Ce que couvre le référentiel
Aperçu
Savoir où vous en êtes face à un référentiel, pas à une intuition
Un audit de sécurité répond à une question simple mais difficile à trancher de l'intérieur : notre configuration réelle se compare-t-elle à un standard reconnu ? CloudKey audite vos systèmes de production face aux CIS Benchmarks, les bases de durcissement consensuelles utilisées dans toute l'industrie, puis examine comment identités, accès et configuration cloud tiennent autour d'eux.
Le résultat est une évaluation de posture exploitable. Chaque écart est documenté avec sa preuve, classé par risque, attribué à un responsable et assorti d'une estimation de remédiation réaliste. Nous bouclons la boucle par un réaudit planifié, pour prouver que les écarts ont bien été corrigés, pas seulement consignés.
Un audit de sécurité est une activité de vérification. Il dit si vos défenses sont configurées comme vous le pensez. Il se marie naturellement avec le test offensif, qui prouve si ces défenses tiennent sous attaque.
Ce que nous auditons
Que couvre un audit de sécurité CloudKey ?
Nous concentrons l'audit là où la mauvaise configuration se transforme en incident.
Durcissement face aux CIS Benchmarks
Serveurs, postes et services clés mesurés face au niveau CIS Benchmark pertinent, chaque écart documenté et noté.
- Systèmes d'exploitation et services clés comparés réglage par réglage
- Profils Niveau 1 et Niveau 2 selon le degré recherché
- Chaque écart documenté avec la preuve derrière lui
- Pare-feu en refus par défaut en entrée Réussi
- TLS 1.0 obsolète encore activé Échoué
- Mises à jour de sécurité automatiques activées Partiel
- Comptes de service au moindre privilège Réussi
Illustratif. Les réglages sont vérifiés face au profil CIS Benchmark en périmètre.
Identités et accès
Comptes à privilèges, revues d'accès, couverture MFA et hygiène des arrivées-départs, les contrôles que les attaquants abusent le plus.
- Comptes à privilèges inventoriés et ajustés au juste besoin
- Couverture MFA vérifiée à chaque point d'entrée
- Hygiène des arrivées-départs et accès dormants signalés
12 Comptes à privilèges
3 Sans MFA
5 Connexions dormantes
- Admin de domaine sans MFA Échoué
- Compte de service partagé, sans responsable Échoué
- Accès prestataire au-delà de la date de fin Partiel
- Revue d'accès trimestrielle effectuée Réussi
Illustratif. Les revues réelles rattachent chaque compte à un responsable nommé.
Configuration cloud et plan de remédiation
Stockage mal configuré, rôles trop larges et services exposés sur AWS, Azure et GCP, chacun arrivant dans un plan de remédiation priorisé. Le plan rattache votre état actuel au référentiel visé, pour que l'audit alimente directement la préparation SOC 2 ou ISO 27001. Pour une mission cloud plus approfondie, voir nos services de sécurité cloud.
- Stockage mal configuré et rôles trop larges mis au jour
- Services exposés sur AWS, Azure et GCP
- Constats classés par risque et effort, avec responsables et estimations
- Imposer le MFA sur les comptes à privilèges Critique - semaine 1
- Rendre les buckets de stockage privés Critique - semaine 1
- Retirer le TLS 1.0 obsolète Moyen - ce trimestre
- Clôturer les accès prestataires dormants Moyen - ce trimestre
Illustratif. Chaque élément est livré avec un responsable et une estimation d'effort.
Référentiels
Mesuré face à des standards que vos auditeurs reconnaissent
Nous auditons face à des référentiels publiés, pour des constats objectifs et un rapport défendable.
NIST CSF
Les constats peuvent être cadrés selon les fonctions du NIST Cybersecurity Framework pour que la direction voie la couverture sur identifier, protéger, détecter, répondre et rétablir.
Votre référentiel
Si vous visez SOC 2 ou ISO 27001, nous rattachons les constats à ces contrôles pour que l'audit serve aussi de preuve de préparation.
Déroulé
Comment se déroule un audit de sécurité ?
Une mission ciblée, cadrée sur votre environnement.
- 01
Cadrage
Nous convenons des systèmes, comptes et comptes cloud en périmètre, et des profils CIS Benchmark applicables.
- 02
Collecte de preuves
Nous recueillons les preuves de configuration des systèmes en périmètre, en lecture seule autant que possible, avec accès convenu à l'avance.
- 03
Évaluation
Nous comparons les preuves au référentiel, confirmons les constats à la main et notons chaque écart par risque et effort.
- 04
Plan de remédiation
Vous recevez un plan priorisé : chaque écart, un responsable, une estimation d'effort et l'ordre de correction.
- 05
Réaudit
Après remédiation, nous revérifions les écarts et confirmons ce qui est clos, pour montrer la progression dans le temps.
Ce que vous obtenez
Un plan que votre équipe peut appliquer ce trimestre
Documenté, priorisé, attribué. Conçu pour être corrigé, pas classé.
Constats documentés
Chaque écart avec sa preuve et le contrôle du référentiel auquel il se rattache, sans débat sur sa réalité.
Feuille de route de remédiation priorisée
Classée par risque et effort, avec responsables et estimations, pour savoir quoi corriger d'abord et ce qui peut attendre.
Attestation de réaudit
Confirmation de ce qui a été clos après remédiation, une preuve utile pour la direction, les auditeurs et les clients.
FAQ
L'audit de sécurité, en clair
Un audit de sécurité est un examen structuré de vos systèmes face à un standard reconnu, comme les CIS Benchmarks. Il documente où votre configuration s'écarte du référentiel, note chaque écart par risque et vous donne un plan priorisé pour les corriger.
Un audit vous mesure face à un standard défini et produit une preuve de conformité par contrôle. Une évaluation est plus large et plus consultative, jugeant le risque et la maturité globale. CloudKey audite face aux CIS Benchmarks et présente le résultat comme une évaluation de posture.
Les CIS Benchmarks sont des réglages de durcissement détaillés, spécifiques aux systèmes, vérifiables directement. Les cadres NIST comme le CSF sont de plus haut niveau et décrivent ce que votre programme doit atteindre. Nous auditons face à CIS et pouvons rattacher le résultat à NIST pour la direction.
Le coût dépend du nombre de systèmes et de comptes cloud en périmètre et des profils CIS Benchmark applicables. Nous cadrons chaque mission et donnons un prix fixe avant tout travail.
Au moins une fois par an, et après tout changement important de votre infrastructure ou de votre environnement cloud. Beaucoup d'équipes font une vérification trimestrielle plus légère entre deux audits complets pour détecter tôt la dérive de configuration.
Oui. Nous examinons la configuration sur AWS, Azure et GCP dans le cadre d'un audit de sécurité. Pour une mission cloud plus approfondie couvrant la gestion de posture et les contrôles spécifiques au cloud, voir nos services de sécurité cloud.
Prochaine étape
Découvrez où vous en êtes
Dites-nous ce que vous exploitez et le standard que vous visez. Nous cadrons l'audit, convenons d'un accès en lecture seule, et revenons avec un plan priorisé et un prix fixe.