drap
 République Tunisienne
 Accueil | Contact | Plan du site English    عربي  
Ministère des technologies de l'information et de la communication
  bannere  
loup
puc Accueil puc Audit Niveau d'alerte National indicateur
necessaire pour effectuer l'audit
. Cadre légal ..
c Démarche d'audit clic
bord Termes de référence bord
 

Démarche d'audit de sécurité

Un audit de sécurité consiste à valider les moyens de protection mis en œuvre sur les plans organisationnels, procéduraux et techniques, au regard de la politique de sécurité en faisant appel à un tiers de confiance expert en audit sécurité informatique.

L' audit de sécurité conduit, au delà du constat, à analyser les risques opérationnels pour le domaine étudié, et par la suite à proposer des recommandations et un plan d'actions quantifiées et hiérarchisées pour corriger les vulnérabilités et réduire l'exposition aux risques.

L'équipe qui intervient dans une mission d'audit doit être composée de consultants et d'ingénieurs experts dans leurs domaines, elle est toujours dirigée par un chef de projet, responsable des opérations et des livrables.

Audit organisationnel de sécurité

L'objectif d'un audit organisationnel de sécurité est d'établir un état des lieux complet et objectif du niveau de sécurité de l'ensemble du système d'information sur les plans organisationnels, procéduraux et technologiques. Cette phase peut couvrir l'organisation générale de la sécurité : (réglementation, procédures, personnel), la sécurité physique des locaux (lutte anti-incendie, contrôle des accès, sauvegarde et archivage des documents), l'exploitation et administration (sauvegarde et archivage des données, continuité du service, journalisation ), les réseaux et télécoms (matériel (routeurs, modems, autocommutateur..), contrôle des accès logiques, lignes et transmission), les systèmes (poste de travail, serveur, logiciels de base, solution antivirale) et les applications (méthodes de développement, procédures de tests et de maintenance,..).

Au cours des réunions effectuées au sein de l'organisme audité, l'auditeur définit le périmètre de l´audit et les personnes interviewées et planifie ses interventions. Pour mener à bien cette phase, l'auditeur applique une méthodologie d'audit et d'analyse de risques "formelle" (Marion, Mehari, Melisa, Ebios...) comme il peut adapter ces méthodes selon les besoins de l'organisme ou suivre une démarche propriétaire personnalisée et simplifiée.

L'évaluation du niveau de sécurité s'établit à partir des entretiens avec les personnes interviewées et de l'analyse des ressources critiques et des documents fournis. Les vulnérabilités identifiées lors des précédentes étapes seront rapprochées des menaces pouvant survenir dans le contexte technique et fonctionnel, objet de l'audit. Réduire les risques revient soit à agir sur les vulnérabilités, soit essayer de réduire l'impact qu'aurait l'exploitation d'une vulnérabilité par une menace conformément à la formule :

Risque = Menace * Impact * Vulnérabilité.

A l'issue de cette phase, l'auditeur propose les recommandations pour la mise en place des mesures organisationnelles et d'une politique sécuritaire adéquate, il peut également présenter une présentation de la synthèse de la mission avec pour objectif de sensibiliser sur les risques potentiels et les mesures à mettre en ouvre.

Audit technique de sécurité

L'audit technique s'effectue en trois phases;

     t Phase d'approche :

Pour évaluer le niveau de sécurité d'un réseau, il faut d'abord le connaître.

Pour la reconnaissance de l'architecture du système, l'auditeur reçoit des informations inventoriées par l'équipe informatique locale afin de vérifier le plan d'adressage IP et éventuellement la stratégie de mise en œuvre de DHCP et de NAT. Il utilise ensuite de multiples outils de traçage du réseau et des passerelles, afin de détecter les stations, routeurs et firewalls du réseau et des outils de traçages des frontières externes du réseau : passerelles externes (routeurs et firewalls) et connexions modems pour déterminer les périmètres extérieurs du réseau. Il utilise également les informations disponibles à partir des éventuels services SNMP et des serveurs de noms locaux ou Internet.

Multiples outils de l'open source sont utilisés pour l'identification de la topologie réseau comme Cheops, traceroute et tcptraceroute.

Au cours de cette phase, l'auditeur effectue des tests de sondage réseau et système pour déterminer les services réseau, les types d'applications associées et de leur mises à jour, les partages réseau et les mesures de sécurité mises en ouvre. Les outils de scan de l'open source les plus utilisés sont Nmap, Nsat, knocker, Blaster Scan. Il effectue également des tests de sondage des flux réseaux pour analyser le trafic, identifier les protocoles et les services prédominant au niveau du réseau audité, le taux d'utilisation ainsi que les flux inter-stations. Les outils open source utilisés sont : Ntop, Bing, Iptraf et Network Probe.

Avant d'aborder la phase d'analyse des vulnérabilités des systèmes, l'auditeur identifie les serveurs ; serveurs de fichiers, de backup, de logs, NIS, et autres serveurs d'applications et de données importants puis utilise un ensemble d'outils afin de suivre leur état, leur activité et leur performances et inspecter les moyens de contrôle d'accès et de leur stratégie d'administration.

     t Phase d'analyse des vulnérabilités :

Au cours de cette phase, l'auditeur détermine, à l'aide des résultats obtenus à l'étape précédente, les vulnérabilités potentielles et des outils nécessaires à leur exploitation. En pratique, l'auditeur teste la résistance du système face aux failles connues, via une analyse automatisée des vulnérabilités, ainsi il établit pour chacune le type des applications et des services concernés.

Nessus est un exemple d'outil de test automatique de vulnérabilités, il offre des rapports évolués sur les degrés des vulnérabilités et les risques qu'imposent des failles détectées sur le système audité. Sara, Whisker, Webserver, fingerprinting, karma et Tnscmd.pl sont d'autres exemples d'outils d'analyse de vulnérabilités des serveurs de données & d'applications.

     t Phase de tests intrusifs :

L'objectif des tests intrusifs est d'expertiser l'architecture technique déployée et de mesurer la conformité des configurations équipements réseaux, firewall, commutateurs, sondes , etc. avec la politique de sécurité définie et les règles de l'art en la matière. Les tests d'intrusion sont réalisés après autorisation explicite du client et reposent sur un ensemble de scénarios d'attaques expertes (pénétration, intrusion, etc..) mis en œuvre pour compromettre un système d'information. Réalisés de manière récurrente, les tests d'intrusion permettent de valider périodiquement le niveau de sécurité du système d'information et d'en mesurer les variations.

Les tests d'intrusion commencent par une phase de collecte des informations disponibles publiquement, sans interagir avec l'environnement cible puis il s'agit de localiser et caractériser les composants cibles (systèmes d'exploitation et services applicatifs, positionnement des équipements les uns par rapport aux autres, types de dispositifs de sécurité mis en ouvre, etc.); c'est la phase de cartographie de l'environnement cible et enfin il s'agit d'exploiter les vulnérabilités mises en évidence pendant les phases précédentes de façon a obtenir un accès " non autorisé " aux ressources.

 
 
ban
ban
La publicite televisee
ban
pict6 Liens rapides
puc1 Liste des auditeurs
puc1 Termes de référence d'audit
puc1 Appels d'offres & consultations
puc1 Les bureaux certifiés
puc1 Encouragement des solutions nationales
L'ANSI est membre de
first
unctad
oic
oic
Copyright © 2013 ANSI webmaster@ansi.tn