Sous-agent Securite & Risques

Risques prioritaires du SI Laborie

Lecture visuelle issue des sources locales disponibles. Ce livrable rend visibles les risques prioritaires et les zones non documentees ; il ne pretend pas constituer un audit securite complet.

Vert : fait confirme Orange : hypothese documentee Rouge : a confirmer Score : maturite observee, pas certification
9axes de maturite observes
7axes avec inconnus critiques
0sauvegarde documentee dans les sources
3priorites a lever avant ecriture Copilote

Radar de maturite observee

Documente / partiellement maitrise Partiel ou hypothese Non documente
Radar securite et risques Laborie Radar qualitatif sur neuf axes : MFA, sauvegardes, droits admin, antivirus EDR, reseau, messagerie, procedures, documentation et tiers.

Echelle 0 a 5 : 0 = non documente dans la matiere locale ; 5 = controle documente, responsable identifie, preuve et procedure disponibles. Aucun axe n'est considere audite.

Matrice de maturite observee

Messagerie3/5

Google Workspace confirme, SPF et DKIM actifs. DMARC reste en observation p=none et MFA, retention, admin, DPA sont a confirmer.

Antivirus / EDR2/5

Installation antivirus ITSP confirmee. Marque, console, supervision, niveau EDR et procedure d'alerte non documentes.

Documentation2/5

Cartographie A2O avancee, mais schema reseau, inventaire postes, procedures de comptes et sauvegardes manquent encore.

Sauvegardes0/5

Aucune information confirmee sur postes, serveurs, Google Workspace, Copilote, retention, RTO/RPO ou test de restauration.

MFA1/5

Le besoin est identifie, mais l'activation Workspace, VPN FortiClient et comptes privilegies reste a confirmer.

Reseau1.5/5

VPN FortiClient confirme, FortiGate probable. Topologie multi-sites, VLAN, Wi-Fi, FAI, IP publiques et acces tiers non documentes.

Risques prioritaires

1

Ecriture dans Copilote sans preuve de restauration

Sauvegardes Copilote, responsabilite Infologic/ITSP/Laborie et dernier test de restauration non documentes. A lever avant tout import IA vers Copilote.

Critique
2

MFA inconnu sur Workspace, VPN et comptes privilegies

Google Workspace et FortiClient sont structurants. L'absence de preuve MFA laisse un risque majeur sur messagerie, acces distant et comptes admin.

Critique
3

Droits administrateurs non cartographies

Admins Workspace, domaine AD, Copilote et prestataires ne sont pas identifies. Sans cette cartographie, impossible de cadrer arrivees, departs et acces tiers.

Critique
4

Reseau multi-sites et acces exterieurs insuffisamment connus

Le VPN est confirme, mais modele FortiGate, segmentation, Wi-Fi, FAI, IP de sortie et acces Infologic/support restent a confirmer.

Eleve
5

Messagerie correctement amorcee mais DMARC non durci

SPF et DKIM Google sont en place. DMARC p=none sans reporting ne bloque pas l'usurpation et ne donne pas de visibilite operationnelle.

Eleve
6

Antivirus confirme mais niveau EDR inconnu

L'installation par ITSP est un fait confirme. La marque, la console, la supervision, les alertes et l'isolement poste ne sont pas documentes.

Eleve
7

Tarifs et donnees commerciales avec source de verite fragile

Les fichiers tarifaires semblent largement Excel manuels, avec exception probable export Copilote. Risque de donnees obsoletes dans les offres IA.

Eleve
8

DPA et registre RGPD a finaliser avant ingestion IA

DPA A2O en draft, autres DPA et registre de traitement non confirmes. Point bloquant pour emails, donnees personnelles et enrichissements prospects.

A cadrer

Quick wins

1

Obtenir une preuve de sauvegarde et un test de restauration

Demander pour Copilote, Google Workspace, serveurs/NAS eventuels et postes critiques : quoi, frequence, retention, responsable, dernier test.

2

Verifier MFA sur les comptes sensibles

Workspace admins, VPN FortiClient, comptes Copilote privilegies, comptes ITSP. Sortie attendue : liste oui/non et plan d'activation.

3

Durcir DMARC par etapes

Ajouter reporting rua, observer les flux, identifier Mailjet/idline/zindex, puis passer progressivement a quarantine/reject si les flux sont propres.

4

Cartographier les administrateurs

Un tableau simple suffit : systeme, admin interne, admin prestataire, compte de secours, MFA, procedure depart, date de derniere revue.

5

Faire valider le chemin SFTP Copilote

Clarifier internet direct, VPN, whitelist IP, compte technique, certificats, environnement de test et rollback avant tout flux automatisé.

6

Produire un inventaire minimal postes et reseau

Nombre de postes, sites, serveurs/NAS, FortiGate, VLAN/Wi-Fi, FAI et acces tiers. L'objectif est une base de decision, pas un audit exhaustif.

Faits, hypotheses, questions ouvertes

Faits confirmes

  • Google Workspace pour `@maison-laborie.com`, avec SPF et DKIM actifs.
  • VPN FortiClient operationnel pour l'acces distant A2O.
  • Active Directory present via integration domaine des postes.
  • ITSP identifie comme prestataire IT generaliste.
  • Antivirus installe par ITSP sur les postes.
  • Integration Copilote prevue uniquement par fichiers structures / SFTP.

Hypotheses documentees

  • FortiGate probable, par coherence avec FortiClient.
  • AD on-premise probable, faute de traces Entra dans le DNS public.
  • Flux EDI ou facturation dematerialisee probable via idline.fr dans le SPF.
  • Google Drive interne possible cote Laborie, mais usage non confirme.
  • Certains tarifs semblent maintenus hors Copilote dans des Excel manuels.

Questions ouvertes

  • MFA active sur Workspace, VPN, Copilote et comptes admin ?
  • Qui administre Workspace, AD, Copilote, FortiGate et antivirus ?
  • Quelle politique de sauvegarde et quel dernier test de restauration ?
  • Quels DPA sont signes avec Google, ITSP, Infologic, Mailjet, idline et A2O ?
  • Quels serveurs, NAS, VLAN, Wi-Fi et acces tiers existent sur les sites ?

Sources locales exploitees

Sources consultees dans le depot local, sans recherche externe. Les formulations ci-dessus restent derivees de ces sources ou marquees a confirmer.

audit_si/PLAN.mdZones 1 a 8, perimetre, inconnus et blocages par rail IA.
audit_si/livrables/phase_A_inventaire.mdInventaire consolide post matiere primaire et lookup DNS.
audit_si/livrables/phase_B_strategie_entretiens.mdQuestions a poser par interlocuteur et priorisation des entretiens.
audit_si/sources/NOTE_devis_itsp_2026-04-21.mdITSP, domaine AD, Windows Pro, antivirus, Office, portable IA.
audit_si/artefacts/dns_maison-laborie.com_2026-04-21.mdGoogle Workspace, SPF, DKIM, DMARC p=none, idline, Mailjet, OVH.
audit_si/cartographie_reseau.mdVPN FortiClient, infra connue, inconnus reseau et sauvegardes.
audit_si/cartographie_outils.mdOutils, sources de verite, flux Copilote SFTP, tiers identifies.
audit_si/artefacts/zone3_tarifs_forensics_2026-04-21.mdSignaux sur les fichiers tarifaires Excel et les flux manuels.