Description de services : Security Rating® et AD Rating®

I. Les services Security Rating®

I.1. Description générale

‍Security Rating® est une solution SaaS non intrusive qui évalue la maturité d'une entreprise en matière de cybersécurité à travers ses actifs publics (adresse IP, URL, nom de domaine). La solution fournit une note globale de 0 à 1000 sur la performance de la cybersécurité d'une entreprise, ainsi qu'une note de A à E dans 6 domaines d'analyses :

1. Surface d'attaque : identifie les points d'entrée ouverts sur l'internet qu'un attaquant pourrait potentiellement exploiter pour accéder aux informations.
   
2. Messagerie : vérification de la présence de dispositifs techniques limitant l'usurpation d'identité et l'interception des échanges, ainsi que de la présence de services de relais ouverts.
   
3. Web TLS/SSL : inspecte les aspects liés au renforcement des composants web : certificats, en-têtes de sécurité et vulnérabilités SSL.
   
4. Contrôle de sécurité : estime la capacité d'un attaquant à falsifier les entrées du système de noms de domaine (DNS) afin de rediriger les visiteurs vers un site malveillant.
   
5. Vulnérabilités : collecte des indices (identification des types et versions des services récupérés) permettant de déduire les composants utilisés et donc l'existence de vulnérabilités potentielles dans le périmètre évalué.
   
6. Incidents de sécurité découverts : suit les événements de sécurité découverts parmi les actifs présents dans la carte du périmètre, grâce à l'interconnexion avec les bases de données de renseignement sur les cybermenaces (CTI).
   

A partir de 2 entreprises évaluées, la solution donne accès à :

• Un tableau de bord multi-notes : Le système de nuage de points vous permet de visualiser en un coup d'œil la performance de l'ensemble de vos notations et de comparer chaque entreprise de votre portefeuille aux acteurs de son secteur.
  

• Niveau de maturité par domaine de sécurité : visualisez les performances de votre écosystème dans chaque domaine d'analyse, avec une répartition des entreprises par note de A à E.
  

• Un benchmark par secteur d'entreprise (divisé en 22 secteurs) pour évaluer les secteurs des entreprises de votre portefeuille.
  

• Un système de filtres : 3 catégories de filtres (secteur, type d'audit, étiquette) pour accéder en un clic aux données recherchées. Des tags peuvent également être ajoutés.
  
  

  I.2. Principales caractéristiques

  Cette notation globale, par domaine d'analyse, est accessible directement sur la plateforme Security Rating®. Un tableau de bord est disponible pour chaque entreprise notée. En plus de cette notation, Security Rating® offre plusieurs fonctionnalités :
  

• Un benchmark sectoriel : évaluez le classement de votre entreprise par rapport à toutes les entreprises notées dans le même secteur. L'indice de référence indique la note minimale, la note maximale et la médiane du secteur.
  

• Une fonction timeshift : accédez à l'historique de toutes les notes générées. Visualisez l'évolution de la note dans le temps et téléchargez des rapports à chaque date clé.
  

• Comparateur de notation : à deux dates choisies, comparez l'évolution de votre notation pour chaque domaine d'analyse, ainsi que l'évolution de votre cartographie, afin de mieux comprendre votre notation.
  

• Rapports à télécharger avec le logo de l'entreprise:
  

  • Un rapport de synthèse, en versions PPT et PDF, comprenant l'évaluation globale, le tableau de bord et l'analyse par domaine d'analyse pour évaluer le risque cybernétique avec votre conseil d'administration;
    
  • Un rapport détaillé, au format Excel et PDF, avec des observables, des recommandations et des niveaux de criticité pour aider l'équipe SSI à améliorer sa cyber performance;
    
  • Pour les comptes multi-sociétés : exportation des correspondances pour toutes les sociétés, au format ZIP ou Excel;
    
  • Pour les comptes multi-entreprises : Observables pour toutes les entreprises, en format ZIP ou Excel.
    
  • Cartographie : vérifiez et modifiez le périmètre de valorisation de l'entreprise, l'administrateur a le contrôle de la cartographie et peut ajouter ou désactiver un actif. Une fonction de comparaison à deux dates est également disponible.
    

• Notifications personnalisées : paramétrez des alertes de décrochage et d'autres notifications envoyées par courriel, sur des webhooks (Slack, Teams) ou sur la plateforme.
  

• Répartition des fournisseurs : représentation graphique de la proportion des différents fournisseurs d'adresses IP liées aux actifs découverts de l'entreprise,
  

• Priorités et points d'amélioration : visualisez le nombre de biens évalués et à risque pour chaque domaine d'analyse, accédez au niveau de criticité indiqué pour chaque problème identifié et faites un zoom sur les points d'amélioration en sélectionnant une vue par bien à risque ou par point de contrôle.
  

• Explications détaillées et recommandations : accédez à des explications détaillées et à des recommandations pour chaque problème identifié, afin de vous rapprocher de l'état de l'art et d'améliorer votre cyberposture.
  

• Cadence de correction des vulnérabilités : analysez votre cadence de correction pour chaque niveau de gravité afin de vous assurer que vous suivez les meilleures pratiques. Identifiez les URL les plus exposées pour améliorer votre organisation et votre plan de remédiation.
  
  

  I.3 Questionnaires disponibles

  Les questionnaires peuvent être remplis sur la plateforme Security Rating. Ils fournissent un niveau supplémentaire d'information sur la maturité des entreprises en matière de cybersécurité. Ces questionnaires peuvent également bénéficier d'un système de notation pour faciliter l'analyse. Ces scores ne sont pas pris en compte dans la notation globale de l'entreprise. Les questionnaires peuvent être répétés 3 fois par an.
  

3 modèles élaborés par Board of Cyber peuvent être mis à disposition :

1. Evaluation du besoin de sécurité :
   
   • Conséquences potentielles d’un incident de sécurité
     
   • Sensibilité du patrimoine IT
     
   • Degré d’exposition aux menaces
     
   • Importance des vulnérabilités
     
2. Evaluation de la maturité cybersécurité :
   
   • Sensibiliser et former
     
   • Connaître le système d’information
     
   • Authentifier et contrôler les accès
     
   • Sécuriser les postes et les serveurs
     
   • Sécuriser le réseau
     
   • Sécuriser l’administration
     
   • Gérer le nomadisme
     
   • Maintenir à jour le système d’information
     
   • Contrôler et auditer
     
   • Détecter au plus tôt les incidents de sécurité
     
   • Être préparé à gérer les incidents de sécurité
     
   • Continuité d’activité
     
3. Audit de maturité au RGPD/data protection :
   
   • Gouvernance
     
   • Audit, Registre, légalité
     
   • Transfert en dehors de l’UE
     
   • Conformité RGPD des sous-traitants
     
   • Formation et sensibilisation
     
   • Outils, processus, chartes et procédures
     
   • Période de rétention
     
   • Information sur la collecte des données
     
   • Consentement des personnes concernées
     
   • Droits des personnes concernées
     
   • Sécurité du SI
     
     

     I.4. La mise en service de la solution

     La mise en service de la solution se fait dans les plus brefs délais après réception du devis selon l’échange d’informations entre le client et le prestataire. L’onboarding équivaut à :
     

• Création du compte, de la ou des société.s ;
  
• Lancement de l'évaluation d'une ou plusieurs notes ;
  
• Vérification et paramétrage de la cartographie ;
  
• Ajout des utilisateurs principaux sur la plateforme ;
  
• Mise en place parle CSM d’une réunion de lancement (approx. 1h) avec le client afin de vérifier les accès utilisateurs, présenter la plateforme et ses principales fonctionnalités et la.les note.s émise.s ;
  
• CSM et service support mis à disposition, assistance à l’utilisation ;
  
• Base de connaissances partagée donnant un premier niveau d’information sur la solution.
  

II. Les produits complémentaires

En option sur l’offre de base Security Rating®, 3 produits peuvent compléter votre notation et adapter celle-ci en fonction de vos besoins.

II.1. La fréquence de notation

La fréquence de la notation est adaptable en fonction des besoins :Notation quotidienne, hebdomadaire, mensuelle, trimestrielle, semestrielle ou annuelle. Une notation de 45 jours, dite “Due Diligence”, est disponible.

II.2. Le périmètre évalué : la cartographie

Il est possible de choisir entre 3 tailles d’actifs analysées. Les actifs sont les noms de domaine, URL et les adresses IP :

• Cartographie de max 1000 actifs - inclus.
  
• Cartographie étendue (entre 1 001 et 2 500actifs) - en option.
  
• Cartographie étendue (entre 2501 et 5000 actifs)- en option.
  

II.3. Les questionnaires personnalisés :

Les modèles sur mesures peuvent être intégrés pour être complétés et évalués directement dans la plateforme, sur demande spécifique.
Questionnaires intégrés et/ou créés par nos partenaires sur la base de divers référentiels : eg. NIS Directive, OSE, LPM, référentiel sectoriel spécifique…

II.4. Les tests avancés :

Les tests avancés peuventêtre mis en place par les partenaires de Board of Cyber. Un onglet dédiépermettra de partager les informations et comptes rendus des tests sur laplateforme par le partenaire.

III. Les services de la solution AD Rating®

III.1. Description générale

Le Service AD Rating® est un service d’évaluation en continu de la configuration de l’Active Directory. Il fonctionne grâce à deux composantes principales :

1. L’agent AD Rating, installé sur une machine serveur du client :

a. L’agent évalue la configuration de l’AD ;

b. L’agent génère un rapport chiffré de configuration de l’AD ;

c. L’agent communique le rapport chiffré via une connexion sécurisée avec la Plateforme SaaS.

2. La Plateforme SaaS, hébergée dans les environnements Board of Cyber :

a. La plateforme reçoit et stock le rapport chiffré ;

b. Le rapport transmis n’est jamais stocké en version déchiffrée ;

c. La note est calculée et affichée sur la plateforme. Les recommandations d’amélioration de la configuration sont fournies.

A partir de 2 entreprises évaluées, la solution donne accès à :

• Un tableau de bord multi-notes : Le système de nuages de points vous permet de visualiser la performance de toutes vos évaluations en un seul coup d’œil.

III.2. Les fonctionnalités principales

Cette notation globale et par domaine d’analyse est accessible directement sur la plateforme AD Rating®. Un tableau de bord est disponible pour chaque société notée et pour chaque domaine Active Directory évalué. Au-delà de cette notation, AD Rating® offre plusieurs fonctionnalités :

• Une fonction timeshift : accédez à l’historique de la totalité des notes générées. Visualisez l’évolution dans le temps de la note et téléchargez les rapports à chaque date clé souhaitée.

• Comparateur de notation : comparez à deux dates choisies l’évolution de la notation sur chaque domaine d’analyse, ainsi que les évolutions de votre cartographie pour mieux comprendre votre notation.

• Rapports à télécharger avec le logo de la société :

o Un rapport de synthèse, en version PPT et PDF, comprenant l’appréciation globale, le tableau de bord et l’analyse par domaine d’analyse pour évaluer le risque cyber avec votre board ;

o Un rapport détaillé, en version Excel et PDF, avec les observables, les recommandations et le niveau de criticité pour aider l’équipe SSI à améliorer sa performance cyber sur ses domaines d’Active Directory ;

• Notifications personnalisées : paramétrez des alertes de décrochage et autres notifications envoyées par e-mail, sur webhooks (Slack, Teams) ou sur la plateforme.

• Les priorités et points d’amélioration : visualisez le nombre d’observables et le niveau de criticité et zoomez sur les points d’amélioration.

• Explications détaillées et recommandations : accédez à des explications détaillées et des recommandations sur chaque problème identifié pour vous rapprocher de l’état de l’art et améliorer votre posture cyber sur l’Active Directory.

III.3. La mise en service de la solution

La mise en service de la solution se fait dans les plus brefs délais après réception de la Commande signée devis selon l’échange d’informations entre le Client et le Prestataire. L’onboarding équivaut à :

• Création du compte, de la ou des sociétés ;

• Téléchargement de l’installeur AD Rating et récupération de la clé d’API depuis la plateforme AD Rating ou via mail ;

• Installation de l’agent sur une machine du domaine Active Directory du Client : La machine Windows a besoin d’appartenir au domaine AD à évaluer. La machine ne doit pas être un contrôleur de domaine. La machine doit pouvoir se connecter au serveur du produit via une connexion internet et être allumée 24/7. Elle n’a pas besoin de droit administrateur particulier sur le réseau. L'installation du programme requiert les droits d'administrateur local sur la machine.

• Insertion de la clé d’API spécifique de l’agent pour finaliser l’installation ;

• La clé d’API unique permet à l’agent distant de remonter les informations à l’intérieur de la plateforme AD Rating ;

• Ajout des utilisateurs principaux sur la plateforme ;

• Mise en place par le CSM d’une réunion de lancement (approx. 1h) avec le Client afin de vérifier les accès utilisateurs, présenter la plateforme et ses principales fonctionnalités et la oules notes émises ;

• CSM et service support mis à disposition, assistance à l’utilisation.