Au sein d’Orange Business Services, la gestion des vulnérabilités concerne les clients au travers des contrats, les accords avec les fournisseurs et l’IT Interne. Une gouvernance, des processus et outils existent. Un audit a été confié à Orange Cyberdefense pour augmenter la visibilité sur les contrats, dresser des constats et proposer des améliorations.
Sur le périmètre sélectionné (Offres, IT) :
– Clarification des engagements contractuels client sur une sélection d’offres : clauses contractuelles et risques associés,
– Identification des points forts et faibles des accords avec les fournisseurs (équipementiers, éditeurs de solution),
– Identification des points forts et faibles de la gouvernance, des processus, outils et des activités de veille, analyse des vulnérabilités et de la gestion des remédiation.
Méthodes : entretiens, analyse de documents, suivi de vulnérabilités et analyse de la manière dont certaines ont été traitées (délai d’analyse, de remédiation, et informations des parties-prenantes…).
– Clarifier les engagements contractuels, la prise en compte des exigences légales des clients : LPM, GDPR, arrêtés métiers (ex: banque),
– Proposition pour améliorer la gestion des vulnérabilités et la remédiation par domaine et la gouvernance et le reporting de chaque domaine à la sécurité OBS,
– Proposition de rapprochement des pratiques ISO 27002 et ISO 20K/ITIL.