Aller au contenu principal

Répondre à un audit de sécurité

Le contexte

Olivier est DSI chez HealthData, une entreprise qui traite des données de santé. Un auditeur externe vient vérifier la conformité ISO 27001 et RGPD. Il demande de prouver : qui a accès à quoi, comment les accès sont contrôlés, comment les départs sont gérés, et si les mots de passe respectent les bonnes pratiques.

  • Les droits d'accès sont dispersés sur chaque application
  • Aucun outil centralisé pour produire un inventaire complet
  • Impossible de prouver que les accès des anciens collaborateurs ont été révoqués
  • La politique de mots de passe est théorique — pas de moyen de vérifier son application
  • L'audit prend des semaines de collecte manuelle d'informations
  • Aucun rapport structuré à fournir : tout doit être compilé à la main
  • Pas de journal centralisé des événements de sécurité

Étape 1 — Inventaire des accès (immédiat)

Olivier ouvre le tableau de bord SmartLink. L'auditeur peut voir :

  • La liste complète des utilisateurs et leur statut
  • Les applications référencées et les dossiers de sécurité
  • Qui a accès à quoi, organisé par dossier et par équipe

Étape 2 — Politiques de sécurité (vérifiable)

Olivier présente les politiques d'accès configurées :

  • Les Device Access Policies définissent les conditions d'accès par application
  • L'anti-phishing est activé globalement
  • Les niveaux de sécurité VaultysID sont imposés pour les applications sensibles

Étape 3 — Journalisation en temps réel (prouvable)

Olivier ouvre la Journalisation (Audit Trail) — le journal centralisé de tous les événements de sécurité. L'auditeur peut :

  • Filtrer par type d'événement : connexions réussies/échouées, mots de passe sauvegardés, détections Shadow IT, approbations Bastion…
  • Rechercher un utilisateur, une application ou un appareil précis
  • Cliquer sur un utilisateur ou une application pour filtrer contextuellement sans quitter la page
  • Consulter le journal depuis le profil d'un utilisateur, la fiche d'une application ou la page d'un dossier

L'auditeur demande « Montrez-moi toutes les connexions de Marc Dupont ce mois-ci ». Olivier clique sur le profil de Marc, onglet Journalisation : l'historique complet s'affiche instantanément.

Étape 4 — Rapports de conformité (un clic)

Olivier génère directement les rapports demandés par l'auditeur depuis le menu Rapports :

  • Rapport RSSI mensuel — gestion des accès, hygiène des identifiants, incidents de sécurité, détections Shadow IT, gouvernance des accès
  • Rapport CTO mensuel — adoption de la plateforme, portefeuille d'applications, groupes d'accès, utilisation des licences
  • Rapport ISO 27001 A.9 — provisionnement/dé-provisionnement, politiques d'authentification, hygiène des mots de passe, conformité des droits d'accès

Chaque rapport est imprimable avec graphiques et téléchargeable en PDF. L'auditeur repart avec des livrables prêts à être annexés au dossier d'audit.

astuce

Pour les référentiels supplémentaires (NIST CSF, SOC 2, GDPR, NIS2, DORA…), SmartLink propose une intégration avec CISO Assistant d'Intuitem, accessible depuis la section Rapports.

Étape 5 — Gestion des mots de passe (démontrable)

Olivier montre que :

  • Les mots de passe sont stockés dans un coffre-fort chiffré
  • Les utilisateurs ne connaissent pas les mots de passe des applications critiques
  • L'authentification se fait via VaultysID (sans mot de passe) ou SSO

Ce que ça change

Sans SmartLinkAvec SmartLink
Semaines de collecte d'informationsDonnées disponibles immédiatement
Preuves difficiles à fournirHistorique complet et exportable
Politiques théoriquesPolitiques appliquées et vérifiables
Audit stressant et coûteuxAudit fluide et documenté
Pas de journal centraliséJournalisation temps réel filtrable par utilisateur, application ou dossier
Rapports compilés à la mainRapports RSSI, CTO et ISO 27001 générés en un clic

Fonctionnalités utilisées

  • 📊 Tableau de bord — Vue d'ensemble des utilisateurs, applications et sécurité
  • Journalisation — Journal temps réel de tous les événements de sécurité
  • 📑 Rapports — Rapports RSSI, CTO et ISO 27001 prêts à imprimer
  • �🛡️ Politiques d'accès — Règles d'accès vérifiables
  • 🔒 Anti-phishing — Protection contre le phishing
  • 📬 Messages et événements — Historique des actions et notifications
  • 🔗 SCIM — Provisioning et traçabilité des utilisateurs