Un Audit de sécurité

  1. Pourquoi ?!!!

        Un audit de sécurité informatique , dans le but de :
      • Réagir à une attaque.
      • Obtenir une idée précise du niveau de sécurité de son système d'information.
      • Tester la mise en place du plan de sécurité des systèmes d'informations.
      • Tester un élément actif ou passif de son réseau.
      • Augmenter le degré de sécurité au sein de son établissement.
      • Etc...
      Les exemples ci-dessus n'étant pas exhaustifs....

      En général, l'audit de sécurté a pour but d'irradier les failles de sécurité, tant au niveau informatique qu'au niveau de l'accès aux infrastructures ; le but à atteindre étant de préserver le savoir faire de l'entreprise en minimisant les actes de piratage et / ou de sabotage externe et interne, et ainsi visant à descréditer la socié, ou son savoir faire.

  2. Comment ?!!!

      Ainsi, la sécurité du système d'information s'inscrit dans un schéma pyramidale classique . Pour arriver à dresser une liste la plus exhaustive possible des vulnérabilités d'un système, différentes pratiques existent et sont traditionnellement mises en œuvre.
    1. L'interview du personnel lié à la sécurité
      • Le DSI
      • Le RSSI
      • Le ou les administrateurs
      • Les utilisateurs
    2. Les tests d'intrusion :
      • Boîte Noire, test d'intrusion de l'exterieur avec un minimum d'information
      • Boîte grise, test d'intrusion avec des informations supplémentaires, nom d'utilisateur
      • Boîte blanche, test d'intrusion et recherche de vulnérabilités tels que différents services non patchés, scan de ports
    3. Les relevés de configuration :
        4. Il s'agit ici d'analyser, profondément, les composants du système d'information
      • les mécanismes d'authentification (robustesse des mots de passe, utilisation d'authentification forte...)
      • le système de fichiers (droits d'accès, utilisation de chiffrement...)
      • Les services
      • La journalisation
      • Configuration réseau
      • .....
    4. L'audit de code :
      • Les débordements de tampon
      • Les bugs de format, ou pour une application web
      • les vulnérabilités menant à des injections SQL
      • ....
    5. Fuzzing :
      • Injection de données aléatoires en entré avec des valeurs limites

    1. Après ?!!!

    2. L'analyse de risques
      • EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), méthode qui conduit à rédiger une FEROS (Fiche d'Expression Rationnelle des Objectifs de Sécurité).
      • MARION (Méthode d'analyse de risques informatiques optimisée par niveau).
      • MEHARI (Méthode harmonisée d'analyse des risques).
    3. Outils utilisés
      • SPlint, Rats ou Flawfinder pour les tests dites Boite blanche, grise et noire.
      • Nessus, Nmap . Scappy