Audit de sécurité

 

Pourquoi un audit de sécurité ?

La sécurité des technologies de l’information (TI) se rapporte aux mesures de protection visant à préserver la confidentialité, l'intégrité, la disponibilité, l'utilisation prévue et la valeur des renseignements conservés, traités ou transmis par voie électronique. Elle comprend aussi les mesures de protection qui s'appliquent aux biens utilisés pour recueillir, traiter et conserver ou détruire des renseignements par voie électronique.

L'audit peut être effectué dans différents buts :

  • réagir à une attaque ;
  • se faire une bonne idée du niveau de sécurité;
  • tester la mise en place effective de la politique de sécurité ;
  • tester un nouvel équipement ;
  • évaluer l'évolution de la sécurité (implique un audit périodique).

Dans tous les cas, il a pour but de vérifier la sécurité. Dans le cycle de sécurisation, la vérification intervient après la réalisation d'une action. Par exemple, lors de la mise en place d'un nouveau composant, il est bon de tester sa sécurité après avoir intégré le composant dans un environnement de test, et avant sa mise en œuvre effective.  Le résultat est le rapport d'audit. Celui-ci contient la liste exhaustive des vulnérabilités recensées sur le système analysé. Il contient également une liste de recommandations permettant de supprimer les vulnérabilités trouvées.

Pour arriver à dresser une liste la plus exhaustive possible des vulnérabilités d'un système, différentes pratiques existent et sont traditionnellement mises en œuvre. La pratique la plus connue consiste à effectuer un test d’intrusion.

 

Test d’intrusion : les deux principales catégories sont les tests externes et internes.

Un test externe signifie que la personne effectuant le test se situe dans des conditions réelles d'une intrusion : le test est effectué de l'extérieur, et l'auditeur dispose d'un minimum d'informations sur le système d'information. Ce genre de tests débute donc par l'identification de la cible :

  • Collecte d'informations publiques : pages web, informations sur les employés, entreprise ayant un lien de confiance avec la cible ;
  • Identification des points de présence sur internet ;
  • Écoute du réseau.

Le test interne est effectué à l’intérieur de l’entreprise.  Celui-ci commence par la recherche des vulnérabilités à l'aide de différents tests techniques comme la recherche des ports ouverts, la version des applications, etc.

La dernière phase est l'exploitation des vulnérabilités.  Elle consiste à déterminer les moyens à mettre en œuvre pour compromettre le système à l'aide des vulnérabilités découvertes. Selon les moyens à mettre en œuvre, le client pourra décider que le risque associé à la vulnérabilité décelée est négligeable (probabilité d'exploitation faible) ou au contraire à prendre en compte. Pour prouver la faisabilité de l'exploitation, les auditeurs créent des programmes qui exploitent la vulnérabilité, appelés exploits. Il s'agit de faire une simulation d'une attaque qui pourrait être menée par un groupe ou des individus malveillants. Plusieurs techniques aussi bien informatiques que d’ingénierie sociale voir d'intrusion physique peuvent être utilisées dans ce type de test.

NOUS VOUS ÉCOUTONS, NOUS ANALYSONS ET TROUVONS DES SOLUTIONS