+(237) 243 202 086

Présentation d'un audit de sécurité

Image Présentation d'un audit de sécurité

Audit de Sécurité Informatique et Système d'information

Un audit de sécurité (en anglais security audit) consiste à s'appuyer sur un tiers de confiance (généralement une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en œuvre, au regard de la politique de sécurité.

L'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de sécurité est correctement appliquée et que l'ensemble des dispositions prises forme un tout cohérent.

Un audit de sécurité permet de s'assurer que l'ensemble des dispositions prises par l'entreprise sont réputées sûres.

L'audit de sécurité d'un système d'information (SI) est une vue à un instant T de tout ou partie du SI, permettant de comparer l'état du SI à un référentiel.

L'audit répertorie les points forts, et surtout les points faibles (vulnérabilités) de tout ou partie du système. L'auditeur dresse également une série de recommandations pour supprimer les vulnérabilités découvertes. L'audit est généralement réalisé conjointement à une analyse de risques, et par rapport au référentiel. Le référentiel est généralement constitué de :

Pourquoi un audit de sécurité ?

L'audit peut être effectué dans différents buts :

  • réagir à une attaque
  • se faire une bonne idée du niveau de sécurité du SI
  • tester la mise en place effective de la PSSI
  • tester un nouvel équipement
  • évaluer l'évolution de la sécurité (implique un audit périodique)

Dans tous les cas, il a pour but de vérifier la sécurité. Dans le cycle de sécurisation, la vérification intervient après la réalisation d'une action. Par exemple, lors de la mise en place d'un nouveau composant dans le SI, il est bon de tester sa sécurité après avoir intégré le composant dans un environnement de test, et avant sa mise en œuvre effective. La roue de Deming illustre ce principe.

Le résultat est le rapport d'audit. Celui-ci contient la liste exhaustive des vulnérabilités recensées par l'auditeur sur le système analysé. Il contient également une liste de recommandations permettant de supprimer les vulnérabilités trouvées.

Le développement de topologies de réseaux (extranet, intranet, sociaux, VPN, etc.) et l'utilisation massive de nouveaux systèmes communicants (smartphones, tablettes, etc.) constituent une source de prolifération pour les nouvelles menaces au travers des organisations. Les vecteurs d'attaques, tant internes qu'externes, évoluent continuellement et deviennent très complexes à identifier de manière proactive (acte de malveillance ou de vandalisme, analyse concurrentielle, hacktivisme, script kiddies, etc.).

Cette situation impose à toute organisation responsable de définir une politique de sécurité (PSSI) et de vérifier régulièrement son efficacité et sa cohérence: la mise en place d'audit de sécurité informatique est ainsi un enjeu stratégique majeur pour identifier les éventuels points de vulnérabilité et de fragilité du SI, tant technique qu'organisationnel, avant qu'ils ne soient exploités par des tiers pouvant nuire au bon fonctionnement de l'organisation, à sa réputation et jusqu'à même son existence (compromission de processus métiers, vol de brevets).

La meilleure réponse à l'insécurité:
effectuer des audits de sécurité réguliers

Les organisations ont le devoir désormais de mieux connaitre leurs forces, mais aussi leurs faiblesses afin de mettre en œuvre des mesures de protection adaptées aux risques potentiels. La réponse à cet état de fait est l'audit de sécurité qui se présente en de multiples facettes selon les besoins, l'environnement concerné et le niveau de maturité du système d'information de l'organisation.

Mieux connaître son environnement et ses faiblesses afin de mieux se protéger

Nous proposons un panel complet d'audits de sécurité spécifiques:

  • l'audit de sécurité de site Web internet, avec une analyse complète des vulnérabilités connues et existantes lors de la phase de l'audit
  • l'audit de la sécurité informatique et des vulnérabilités, avec une recherche de vulnérabilités tant sur les systèmes que les infrastructures
  • le test d'intrusion, qui reproduit le comportement d'un pirate tentant de s'introduire dans le SI et permet de déterminer les impacts possibles sur le SI
  • l'audit de sécurité d'application, qui permet soit le test d'étanchéité d'une application en fonctionnement réel et/ou l'analyse de code source.