Tous les insides de la BU Audit et GRC : organisation, nouveautés...

Chez SNS Security, l’audit et la GRC sont au coeur de notre stratégie depuis 2020. Aujourd’hui, ce sont plus d’une dizaine de spécialistes pluridisciplinaires qui peuplent cette BU : pentest, audit réglementaire, accompagnement NIS 2, ISO, etc.

Dans cette nouvelle entrevue, nous recevons Joris Pepin. Il présente en détail l’organisation actuelle de la BU, les nouveautés techniques et organisationnelles, ainsi que les bénéfices de notre certification PASSI à venir.

Bonjour Joris, comment s’organise la BU Audit & GRC aujourd’hui ?

La BU Audit & GRC s’articule autour de deux pôles complémentaires : la sécurité offensive et la GRC (Gouvernance, Risques et Conformité), avec une équipe d’une dizaine de consultants répartis entre nos sites de Montpellier et Lyon.

Le pentest est le métier historique de la BU. L’équipe est composée d’experts spécialisés par domaine (Web, Active Directory, applicatif, OT, reverse engineering…) pour garantir un haut niveau d’expertise sur chaque périmètre que nous adressons. Forts de nombreuses certifications techniques et d’une solide expérience sur des projets variés, aussi bien dans le public que dans le privé, nous réalisons également des missions de Red Team. Ces dernières vont bien au-delà du simple pentest, avec une approche plus réaliste et sophistiquée, incluant notamment des phases d’OSINT, du social engineering et des intrusions physiques.

Le pôle GRC, en forte croissance, accompagne nos clients sur des missions de conformité, d’analyse de risques et d’audit organisationnel. Nous intervenons sur des référentiels variés (NIS 2, DORA, HDS, HAS, etc.) et proposons également des exercices de gestion de crise pour préparer les organisations à réagir efficacement en cas d’incident.

Cette organisation nous permet d’offrir à nos clients une approche globale de la sécurité, mêlant expertise technique et vision stratégique.

Quelles sont les nouveautés techniques et organisationnelles au sein de ton service ?

Nous avons récemment emménagé dans de nouveaux locaux spécialement aménagés pour nos activités techniques, avec un objectif clair : garantir un haut niveau de confidentialité et de sécurité pour nos missions sensibles. À cette fin, nous avons déployé un Système d’Information à Diffusion Restreinte (SIDR), qui nous permet de traiter des projets critiques en conformité avec les exigences de nos clients les plus sensibles.

Sur le plan technique, nous avons également investi dans un RIG, infrastructure dotée de puissantes cartes graphiques permettant la réalisation d’audit de vos mots de passe.

Cet outil nous permet de compléter notre analyse sur les vulnérabilités humaines et techniques liées aux identifiants.

Enfin, nous avons renforcé la synergie des équipes Consulting en travaillant en étroite collaboration avec notre nouvelle BU dédiée à l’Active Directory. Cette collaboration nous permet de mutualiser nos expertises, d’enrichir nos méthodologies offensives et défensives, et de proposer le meilleur accompagnement à nos clients.

Ton équipe est en phase finale d’obtention de le certification PASSI. Qu’est-ce que cela change concrètement pour nos clients ?

Nous sommes effectivement en phase finale d’obtention de la qualification PASSI, une étape essentielle pour la BU et pour l’entreprise. Cette qualification délivrée par l’ANSSI vient valider notre savoir-faire en matière d’audits de sécurité, qu’ils soient techniques ou organisationnels, ainsi que la solidité de nos processus internes.

Concrètement, cela signifie que nous serons bientôt habilités à intervenir sur des environnements réglementés ou sensibles, comme ceux des OIV, OSE, ou d’autres acteurs soumis à des exigences strictes en matière de cybersécurité.

Pour nos clients, cela représente une double garantie. D’une part, celle de s’appuyer sur un prestataire qualifié, dont les méthodes, l’organisation et le niveau d’exigence ont été rigoureusement évalués par l’autorité nationale. D’autre part, cela leur ouvre la possibilité de nous confier des audits encadrés par des obligations légales spécifiques, avec l’assurance que les critères de confidentialité, de traçabilité et de conformité seront pleinement respectés.

C’est aussi une reconnaissance du travail mené depuis plusieurs années par l’équipe, qui a structuré ses approches, renforcé ses processus qualité et su démontrer un haut niveau de maturité sur l’ensemble des typologies d’audit que couvre le périmètre PASSI. Au final, cela ne transforme pas notre manière de faire, mais vient officialiser un niveau de qualité que nos clients expérimentent déjà au quotidien.

Besoin d’auditer votre système d’information ? De vous conformer à un référentiel ?

Contactez-nous dès maintenant pour échanger avec nos experts.