Audit d’architecture – PASSI

Portée et référentiel PASSI & CMDB- Jour 1

1-Panorama des 5 portées PASSI et positionnement architecture

• • Audit d’architecture :
    • Analyse globale de l’organisation technique d’un SI : cartographie réseau, segmentation, flux, dépendances ; identification des zones critiques, modélisation des risques structurels.
  • Audit de configuration :
    • Vérification des paramètres et réglages techniques réels des systèmes, équipements et logiciels (OS, serveurs, applicatifs, réseaux), au regard des bonnes pratiques et benchmarks (ANSSI, CIS…).
  • Audit du code source :
    • Analyse (automatisée et manuelle) du code applicatif pour détecter les failles logiques et techniques : injections, XSS, mauvaises gestions des accès, défauts de sécurisation.
  • Tests d’intrusion (Pentest) :
    • Simulation contrôlée d’attaques réelles pour identifier des vulnérabilités exploitables : phase externe, interne, sociale, selon un cadre légal et éthique strict.
  • Audit organisationnel et physique :
    • Évaluation de la gouvernance SSI (politiques, procédures), de l’application des règles (chartes, PRA/PCA) et de la sécurité physique des locaux/

2-Présentation des normes et de référentiel :

• ISO 27001,
• EBIOS RM
• BPF guides ANSSI
• Typologies d’architectures (monolithique, cloud, hybride), zones de confiance, DMZ
• Cartographie des interconnexions, flux essentiels, dépendances critiques

  3-Collecte et CMDB

• Rôle de la CMDB  (Configuration Management Data base )
  • Structure, inventorisation, liens composants
• Construction d’un schéma technique complet, identification des points d’entrée/sortie
• Analyse de la cohérence des données : recensement automatisé vs inventaire documentaire

Diagnostic en profondeur & Rapport et restitution- Jour 2

4-Audit type

• Audit segmentation réseau (VLAN, firewall, routages à risque)
• Analyse zones de rebond, flux non maîtrisés (cloud, mobilité, VPN)
• Identification des chemins d’attaque possibles (prélude portée pentest)
• Corrélation architecture et configuration : validation par scripts, reporting sur la CMDB

5- Rapport et restitution PASSI

• Structuration du rapport d’audit
  • Rédaction d’un rapport formel conforme aux attendus PASSI
• Atelier rédactionnel et constitution des livrables
  • Rédaction collaborative d’extraits de rapport
• Mise en situation : restitution client
  • Simulation de restitution du rapport auprès du client, orientée sur l’explication des risques majeurs, la valorisation du ROI des corrections proposées et la feuille de route recommandée pour le maintien en conformité.

6-Fin de session :

• Synthèse, question et réponses
• QCM d’évaluation à chaud
• Remise des supports de formation et outils pratiques

 Profil Intervenant DNDA :

Hadrien Gravet :

• Hadrien Gravet est spécialisé en Gouvernance, Risque et Conformité, certifié ISO 27005 Risk Manager et ISO 27001 Lead Implémenter .Fort de nombreuses missions en cybersécurité réglementaire (DORA, NIS2, ISO 27001), il accompagne des institutions financières et prestataires IT dans leurs projets de mise en conformité, d’audit et de gestion de crise.

Information :

• Dans le cadre de nos missions d’audit SSI, tous nos modules sont élaborés et délivrés en parfaite conformité avec les principaux référentiels reconnus à l’échelle nationale et internationale, notamment :
  • Guides ANSSI : référence nationale pour la sécurité des systèmes d’information (configurations, audits, procédures organisationnelles).
  • CIS Benchmarks : standards internationaux pour le durcissement et la vérification des configurations de systèmes, équipements et environnements cloud.
  • NIST SP 800-53/115 : cadre de contrôle de sécurité et méthodologie de tests techniques adoptée mondialement.
  • OWASP : bonnes pratiques et référentiels pour la sécurisation des applications, le développement sécurisé et l’audit du code source.
  • IEC 62443: norme de référence pour la sécurisation des environnements industriels/OT et des réseaux SCADA.
  • ISO 27000 et suivants : cadre de management, d’analyse et de gestion du risque en sécurité de l’information.

Ces référentiels structurent l’ensemble de nos contenus, ateliers pratiques et livrables, garantissant l’alignement méthodologique et la robustesse opérationnelle de chaque module.

Pour aller plus loin et  poursuivre l’acquisition de compétences et explorer d’autres domaines clés de l’audit PASSI, nous vous proposons :

• Audit d’architecture PASSI
• Audit de configuration SI PASSI
• Audit du code source PASSI
• Tests d’intrusion PASSI
• Audit organisationnel et physique PASSI
• Audit de configuration sécurité industrielle / SCADA PASSI

Besoin d’une démarche complète ?

Découvrez notre accompagnement sur-mesure en Diagnostic et Audit en Test d’intrusion — du diagnostic initial au pilotage opérationnel de vos plans d’action, avec audits blancs, coaching et suivi post-formation.

Contactez-nous pour bâtir ensemble un parcours personnalisé ou un projet clé en main