La direction de l’audit interne d’un client a souhaité vérifier le niveau de sécurité de ses sites de production face aux cybermenaces. 3 sites représentatifs ont été choisis et audités. Le plan d’actions issus de ces audits a ensuite été déployé sur l’ensemble des sites du groupe.
Sur chacun des 3 sites, ont été réalisés :
– Un audit organisationnel basé sur l’ISO27002 et le guide de l’ANSSI,
– Des tests d’intrusion internes, externes, de cloisonnement,
– Des audits de configuration d’équipements critiques (serveur SCADA, poste d’administration…).
Les vulnérabilités ont ensuite été corrélées et un plan d’actions a été établis.
– Identification des risques pesant sur les sites de l’échantillon,
– Mise en place de plan d’actions visant à ramener les risques à un niveau acceptable,
– Mise en perspective des actions devant être appliquées sur l’ensemble des sites industriels.