Audit de sécurité informatique

Audit de sécurité

Pour aller plus loin

L'audit de sécurité est une démarche collaborative visant l'exhaustivité. Elle est moins réaliste qu'un test d'intrusion mais permet en contrepartie de passer méthodiquement en revue tout le réseau et chacun de ses composants en détail. De surcroît son aspect collaboratif permet aux personnes travaillant dans l'entreprise de s'imprégner des connaissances de nos experts le temps de leur mission et de leur poser nombre de questions.

Audit de sécurité Technique

Audit de sécurité des serveurs

• Mise à jour, vulnérabilités classiques
• Respect des politiques de mots de passe
• Contrôle des accès à distance (filtrage)
• Contrôle sur les élévations de privilèges
• Fuites d'informations (techniques/métier) en local, à partir de profils non privilégiés

Audit niveau de sécurité des postes de travail

• Audit du niveau de sécurité globale (Niveau de cohérence des OS, patchs et mises à jour)
• Résistances aux attaques par ingénierie sociale. Firewall personnels et/ou HIPS, exfiltration de données

Audit de sécurité des flux réseaux (les flux critiques sont-ils chiffrés, évaluer les risques d'écoute par exemple)

• Recensement et évaluation de la criticité des flux non chiffrés présents (accès à distance type Telnet, mais aussi applicatif comme du HTTP par exemple)
• Vérification de l'impact des attaques man in the middle sur les protocoles chiffrés, évaluation de la solidité des chiffrements, gestion des certificats et cryptographie asymétrique

Audit de sécurité Organisationnel

Audit de la PSSI

• Audit de la PSSI sous forme de document déjà réalisé
• Audit de la PSSI sous forme de règles non formalisées

Audit de sécurité concernant l'exfiltration des données (connexions sortantes et canaux cachés)

• Traçabilité et Marquage de l'information
• Connexions sortantes
• Périphériques amovibles

Segmentation de la donnée sur les serveurs de fichiers ou sur certaines applications à forte connotation métier (qui a accès à quoi ? et dans quelle mesure ces accès sont légitimes)

• Applications métier : Perméabilité entre les différents profils
• Serveurs de fichiers (Windows), Groupes, ACL et segmentation de l'information
• Les échanges de données sont ils correctement effectués ou sont ils trop laxistes

Traçabilité des événements (accès aux données par ex)

• Présence de logs, niveau de détail et pertinence
• Sauvegarde des logs et intégrité de ceux-ci
• Capture d'information par des éléments réseaux autres que ceux qui contiennent l'information (par exemple en cas de compromission avancé cela permet d'avoir une meilleure garantie de l'intégrité des logs)

Audit/Vérification PCA/PRA

• Vérification de la fréquence, et de l'intégrité des sauvegardes. Vérification de la cohérence des données sauvegardées
• Simulation de mise en situation réelle du PRA/PCA, réplication sur les serveurs de secours, et évaluation du temps de remise en services réel

Audit de sécurité « théorique » de l'architecture et/ou des choix technologiques

Audit de sécurité des applicatifs internes

Audit de sécurité des applicatifs internes et développements internes (intranet par exemple, ou autre logiciels réalisés/maintenus en interne)

• Test applicatif sur les logiciels internes (intrusif non exhaustif)
• Audit de sécurité du code source des logiciels internes (vulnérabilités classiques : buffer Overflow, injection SQL, XSS, mais aussi chiffrement, authentification, bugs algorithmiques)

Audit de sécurité Physique

Contrôle d'accès

• Accès aux bâtiments
• Archivage des mouvements
• Gestion de droits d'accès et authentification

Surveillance

• Vidéosurveillance
• Remonté de logs et système alertes
• Protection contre le vol

Protection physique, Normes, PCA-PRA

• Audit de sécurité des salles machines (climatisation, électricité, redondance, système anti incendie)
• Système de sauvegardes (avec rotation, tests, externalisation)
• Création ou audit & tests de vos PCA et PRA