01
Contexte
Dans un contexte de forte évolution de son SI et d’un manque organisationnel (surcharge des technologies, manque de documentation, équipe IT réduite), un établissement médical spécialisé a fait appel à AISI pour l’accompagner dans la réalisation d’un audit d’architecture et de sécurité sur l’ensemble de son infrastructure.
02
Objectifs
- Tester la mise en conformité (règles d’hygiène informatiques de l’ANSSI, Norme ISO 27001)
- Tester la résistance aux attaques depuis l’extérieur, l’intérieur et sur le réseau public
- Déterminer des écarts / risques d’architectures entre le SI en place et les bonnes pratiques
- Apporter un plan d’action et une roadmap pour l’équipe IT (schéma directeur sur les prochaines années)
03
Méthodologie
- Test de la sécurité du Système d’Information
- Audit de configuration / comparaison
- Étude de conformité
- Rédaction du livrable : écarts/risques et roadmap associée
- Sensibilisation des équipes aux risques opérationnels du DSI/DGA/RH et auprès de l’équipe IT
04
Résultats
- Découvrir de nombreuses vulnérabilités
- Devenir Admin du domaine
- Constater une visibilité incomplète des équipements connectés à son réseau et un manque de performance de la solution d’authentification réseau en place
- Obtenir de la Direction Générale des budgets supplémentaires pour la DSI
- Identifier des faiblesses organisationnelles avec notamment le manque de procédures
Ils parlent de nous
AISI a accompagné l'équipe Infrastructures de Ludendo pour la réalisation d'un audit de sécurité portant sur la configuration de son réseau et de son infrastructure virtuelle. La mission a été réalisée dans les locaux de Ludendo par plusieurs experts de AISI. L'effet immédiat de la présentation des conclusions de l'audit a été de rassurer la Direction Informatique sur l'état général des systèmes. Par ailleurs, le plan de remédiation produit par la mission a servi de base pour l'organisation du travail de l'équipe dans les mois suivants, et a fourni les arguments nécessaires pour soutenir le projet de renouvellement des firewalls et proxy. Nous sommes donc satisfaits de l'ensemble de la démarche et recommandons vivement AISI.
Christophe Couplan — Ludendo
AISI a accompagné l’hôtel du Collectionneur dans le cadre de notre projet de sécurisation du SI (Audit de sécurité / Audit GDPR) qui avait pour but d’analyser et de découvrir nos failles de sécurité si elles existaient. Ce projet nous a permis de formaliser et de revoir notre PSSI.
Je suis très satisfaite du résultat et je poursuis ma collaboration avec les équipes AISI.
Saâdia Nitelhadj — The Gate Collection
Directrice des Systèmes Informatiques/IT System Director
Algonis, filiale Adef Résidences (médico-social et sanitaire) dédiée aux systèmes informatiques.La maîtrise et la couverture Wifi sont des éléments importants pour les Etablissements (EPHAD, FAM, MAS, Foyer de vie) car l’objectif est que les professionnels ne soient pas limités par ces questions, leur priorité étant l’accompagnement des Résidents. Cette couverture permet le déploiement d’objets connectés, de tablettes, de smartphones,… de ce qui permet de fluidifier le travail des professionnels.
Dans ce cadre, c’est tout naturellement qu’Algonis s’est appuyé sur l’expertise de AISI pour penser puis mettre en œuvre ces technologies 2.0.
AISI a conçu une architecture mêlant connectivité WIFI avec Aerohive et sécurité avec Sentinel One. Nos contraintes budgétaires étaient fortes et AISI a su intégrer ce facteur dans l’équation.
Nous sommes très satisfaits d’avoir fait appel à AISI pour nous appuyer dans la conception et la mise en œuvre de ces technologies 2.0. Egalement, AISI a su prendre en compte nos contraintes budgétaires.
Jacques Pinto — Algonis
DSI
Fin 2016, la société AISI a été sollicitée par la Fondation A. de Rothschild afin de mener des tests de sécurité et d’intrusions (Pentests).
À l’issue de la restitution de ce travail, la Fondation a décidé de poursuivre sa collaboration avec AISI pour la mise en œuvre de plusieurs des recommandations effectuées dont en particulier la mise en place d’une technologie de contrôle d’accès au réseau (solution retenue : Forescout).
Cette collaboration, fructueuse, se poursuit aujourd’hui avec, entre autres, une réflexion autour des outils permettant de faciliter la conformité au Règlement Général de Protection des Données (RGPD) et la préparation pour 2019 d’un nouveau test de sécurité.
Philippe Rouilhac — Fondation A. de Rothschild
DSITM