Contexte
À la suite d'une tentative d'intrusion détectée tardivement, la direction générale d'une compagnie d'assurance a commandé un état des lieux complet de sa sécurité : infrastructure, applications métier, pratiques des équipes et conformité aux exigences CIMA et de protection des données.
L'enjeu
Obtenir une vision honnête du niveau d'exposition réel — au-delà des audits documentaires —, prioriser la remédiation avec un budget contraint, et installer une dynamique d'amélioration continue plutôt qu'un rapport de plus dans un tiroir.
Notre approche
- 01
Tests d'intrusion externes et internes (réseau, applications web, ingénierie sociale ciblée) menés sous accord de confidentialité strict.
- 02
Revue de configuration des serveurs, postes et équipements réseau contre les référentiels de durcissement (CIS).
- 03
Plan de remédiation priorisé par le risque métier : 12 chantiers classés impact/effort, suivis en comité mensuel.
- 04
Mise en place des fondations ISO 27001 : politique de sécurité, gestion des accès à privilèges, sauvegardes testées, plan de réponse à incident exercé.
Résultats
Les vulnérabilités critiques ont été fermées dans les 90 premiers jours. Douze mois plus tard, la compagnie n'a subi aucun incident majeur, a réussi son audit à blanc ISO 27001 et a fait de son niveau de sécurité un argument commercial auprès des grands comptes.
