.Audit sécurité et RGPD

Cédric Millauriaux
Rédigé par Cédric Millauriaux, Architecte Logiciel
Mis à jour le

L'audit sécurité et RGPD couvre deux dimensions complémentaires : la sécurité technique (vulnérabilités, contrôles d'accès, chiffrement, journalisation) et la conformité réglementaire (RGPD, secteur spécifique). Mené ensemble, il permet d'identifier les risques et de chiffrer les remédiations.



Périmètre sécurité

  • Vulnérabilités applicatives : OWASP Top 10, injections, XSS, CSRF, désérialisation non sécurisée.
  • Authentification et autorisations : gestion des sessions, MFA, contrôle d'accès, principe du moindre privilège.
  • Chiffrement : at-rest, in-transit, gestion des clés (KMS, HSM).
  • Gestion des secrets : variables d'environnement vs. Vault, rotation, exposition dans les logs.
  • Journalisation et détection : couverture des logs, conservation, SIEM, capacité de réponse à incident.
  • Sécurité de la supply chain : dépendances, signature des artefacts, scanning des images conteneurs.


Audit sécurité et RGPD

Périmètre RGPD

  • Cartographie des traitements et tenue du registre.
  • Bases légales : consentement, contrat, obligation légale, intérêt légitime.
  • Droits des personnes : accès, rectification, portabilité, opposition, oubli. Procédures et capacité technique.
  • Minimisation et durée de conservation : purge des données obsolètes, anonymisation.
  • Sous-traitants : DPA, clauses contractuelles types, suivi des accès.
  • AIPD (analyse d'impact) : quand nécessaire, conformité de la méthodologie.
  • Transferts hors UE : encadrement, garanties, CCT.

Cas client confidentiel

Plateforme e-santé — audit sécurité & RGPD

Pour un éditeur de plateforme e-santé hébergée en HDS, nous avons mené un audit combiné sécurité applicative (OWASP Top 10, SAST, revue des accès) et RGPD (registre, bases légales, AIPD, droits des personnes, sous-traitants). Livrable : rapport de 45 pages, matrice de remédiation chiffrée, plan d’action 6 mois prêt à activer.
Un audit sécurité ou RGPD à réaliser ? Nous sommes là pour vous accompagner !


L'équipe DINNO derrière ce service

Une équipe permanente à Saint-Herblain, qui suit chaque projet du cadrage à la maintenance.

Aline Deschamps

Aline Deschamps

Directrice Générale, spécialiste Data

Co-fondatrice de DINNO, elle pilote la stratégie de l'agence et accompagne les clients dans la valorisation de leurs données. Elle intervient sur le cadrage des projets, la gouvernance et la dimension métier des solutions, en particulier auprès des acteurs de la santé.

LinkedIn →
Antoine Précigout

Antoine Précigout

Directeur Technique

Directeur technique de DINNO, il pilote l'équipe de développement et garantit la qualité d'ingénierie de bout en bout : architecture, industrialisation, CI/CD, tests automatisés et mise en production. Référent technique sur les projets web et mobiles.

LinkedIn →
Cédric Millauriaux

Cédric Millauriaux

Architecte Logiciel

Architecte logiciel chez DINNO, il intervient sur les audits techniques, la conception d'architecture et l'urbanisation des systèmes d'information. Il accompagne éditeurs et grands comptes dans leurs refontes et leurs choix structurants (cloud, intégration LLM, sécurité).

LinkedIn →

Questions fréquentes

Différence entre audit sécurité et pentest ?
Un pentest (test d'intrusion) est une simulation d'attaque externe, focalisée sur la trouvaille de vulnérabilités exploitables. Un audit sécurité est plus large : il évalue la posture globale (architecture sécurité, processus, gouvernance, conformité) en plus des vulnérabilités techniques. Les deux sont complémentaires.
Êtes-vous certifiés ?
Nos consultants sont formés aux référentiels EBIOS RM, ISO 27001, ANSSI. Nous ne sommes pas un PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) qualifié par l'ANSSI, mais nous travaillons en partenariat avec des PASSI qualifiés pour les audits qui exigent cette qualification (OIV, OSE, NIS2).
Et le RGPD ?
Nous auditons l'application des principes RGPD à votre système : minimisation des données, base légale, gestion du consentement, droits des personnes (accès, rectification, portabilité, oubli), durée de conservation, registre des traitements, transferts hors UE. Pour les cas santé, nous croisons avec le code de la santé publique et les exigences HDS.

À lire aussi