đ RĂ©aliser un audit de la sĂ©curitĂ© du service
|| Pour les services numĂ©riques ou systĂšmes dâinformation aux besoins de sĂ©curitĂ© Ă©lĂ©mentaires, un audit de sĂ©curitĂ© nâest pas nĂ©cessaire. <br> Pour les besoins de sĂ©curitĂ© modĂ©rĂ©s, un audit de sĂ©curitĂ© partiel est recommandĂ©, a minima un test dâintrusion. <br> Pour les besoins de sĂ©curitĂ© importants et Ă©levĂ©s, un audit de sĂ©curitĂ© complet est indispensable, a minima, un audit de code source, de configuration, dâarchitecture et un test dâintrusion.
SĂ©curiser un service numĂ©rique ou un systĂšme dâinformation de maniĂšre adaptĂ©e et proportionnĂ©e aux risques identifiĂ©s est essentiel. Les mesures de sĂ©curitĂ© mises en place dans ce but peuvent ĂȘtre de diffĂ©rentes natures : organisationnelles, physiques et techniques. Sur ce dernier volet, la mise en Ćuvre de produits de sĂ©curitĂ© est certes fondamentale, mais elle ne suffit pas : lâabsence dâapplication des mises Ă jour et des correctifs de sĂ©curitĂ©, le maintien de mots de passe faibles ou constructeur, la mauvaise configuration de logiciels ou le non respect de rĂšgles Ă©lĂ©mentaires de sĂ©curitĂ© lors du dĂ©veloppement dâun logiciel ou dâune application sont autant de vulnĂ©rabilitĂ©s exploitables par un attaquant.
Lâaudit de sĂ©curitĂ© est lâun des moyens Ă disposition de tout organisme pour Ă©prouver et sâassurer du niveau de sĂ©curitĂ© de son systĂšme dâinformation. Il permet, en pratique de :
Mettre en Ă©vidence les forces mais surtout les faiblesses et vulnĂ©rabilitĂ©s du systĂšme dâinformation.
Dâidentifier, Ă partir de ces conclusions, des axes dâamĂ©lioration, de proposer des recommandations et de contribuer ainsi Ă lâĂ©lĂ©vation de son niveau de sĂ©curitĂ©, en vue, notamment, de son homologation de sĂ©curitĂ©.
Un audit de sécurité peut comprendre plusieurs dimensions :
Lâaudit dâarchitecture qui consiste en la vĂ©rification de la conformitĂ© des pratiques de sĂ©curitĂ© relatives au choix, au positionnement et Ă la mise en Ćuvre des dispositifs matĂ©riels et logiciels dĂ©ployĂ©s dans un systĂšme dâinformation Ă lâĂ©tat de lâart et aux exigences et rĂšgles internes de lâauditĂ©. Lâaudit peut ĂȘtre Ă©tendu aux interconnexions avec des rĂ©seaux tiers, et notamment Internet.
Lâaudit de configuration qui a pour vocation de vĂ©rifier la mise en Ćuvre de pratiques de sĂ©curitĂ© conformes Ă lâĂ©tat de lâart et aux exigences et rĂšgles internes de lâauditĂ© en matiĂšre de configuration des dispositifs matĂ©riels et logiciels dĂ©ployĂ©s dans un systĂšme dâinformation. Ces dispositifs peuvent notamment ĂȘtre des Ă©quipements rĂ©seau, des systĂšmes d'exploitation (serveur ou poste de travail), des applications ou des produits de sĂ©curitĂ©.
Lâaudit de code source consiste en lâanalyse de tout ou partie du code source ou des conditions de compilation dâune application dans le but dây dĂ©couvrir des vulnĂ©rabilitĂ©s, liĂ©es Ă de mauvaises pratiques de programmation ou des erreurs de logique, qui pourraient avoir un impact en matiĂšre de sĂ©curitĂ©.
Le test dâintrusion dont la vocation est de dĂ©couvrir des vulnĂ©rabilitĂ©s sur le systĂšme dâinformation auditĂ© et de vĂ©rifier leur exploitabilitĂ© et leur impact, dans les conditions rĂ©elles dâune attaque sur le systĂšme dâinformation, Ă la place dâun attaquant potentiel. Un test dâintrusion seul nâa pas vocation Ă ĂȘtre exhaustif. Dâautres activitĂ©s dâaudit permettent dâamĂ©liorer lâefficacitĂ© ou de dĂ©montrer la faisabilitĂ© de lâexploitation des failles et vulnĂ©rabilitĂ©s dĂ©couvertes Ă des fins de sensibilisation. Les tests de vulnĂ©rabilitĂ©, notamment automatisĂ©s, ne reprĂ©sentent pas Ă eux seuls une activitĂ© dâaudit.
Lâaudit de lâorganisation de la sĂ©curitĂ© logique et physique visant Ă sâassurer que :
- Les politiques et procĂ©dures de sĂ©curitĂ© dĂ©finies par lâauditĂ© pour assurer le maintien en conditions opĂ©rationnelles et de sĂ©curitĂ© dâune application ou de tout ou partie du systĂšme dâinformation sont conformes au besoin de sĂ©curitĂ© de lâorganisme auditĂ©, Ă lâĂ©tat de lâart ou aux normes en vigueur ;
- Elles complĂštent correctement les mesures techniques mises en place ;
- Elles sont efficacement mises en pratique ;
- Les aspects physiques de la sĂ©curitĂ© de lâapplication ou du systĂšme dâinformation sont correctement couverts.
Vous pouvez consulter pour information le rĂ©fĂ©rentiel d'exigences des prestataires dâaudit de sĂ©curitĂ© qualifiĂ©s (PASSI) par lâANSSI.
Votre organisation peut se faire accompagner par un prestataire pour la rĂ©alisation dâun audit de sĂ©curitĂ© partiel ou complet.
Vous pouvez notamment consulter la liste des prestataires dâaudit de sĂ©curitĂ© qualifiĂ©s (PASSI) par lâANSSI.
à quoi sert un audit de sécurité ?
SĂ©curiser un service numĂ©rique ou un systĂšme dâinformation de maniĂšre adaptĂ©e et proportionnĂ©e aux risques identifiĂ©s est essentiel. Les mesures de sĂ©curitĂ© mises en place dans ce but peuvent ĂȘtre de diffĂ©rentes natures : organisationnelles, physiques et techniques. Sur ce dernier volet, la mise en Ćuvre de produits de sĂ©curitĂ© est certes fondamentale, mais elle ne suffit pas : lâabsence dâapplication des mises Ă jour et des correctifs de sĂ©curitĂ©, le maintien de mots de passe faibles ou constructeur, la mauvaise configuration de logiciels ou le non respect de rĂšgles Ă©lĂ©mentaires de sĂ©curitĂ© lors du dĂ©veloppement dâun logiciel ou dâune application sont autant de vulnĂ©rabilitĂ©s exploitables par un attaquant.
Lâaudit de sĂ©curitĂ© est lâun des moyens Ă disposition de tout organisme pour Ă©prouver et sâassurer du niveau de sĂ©curitĂ© de son systĂšme dâinformation. Il permet, en pratique de :
Mettre en Ă©vidence les forces mais surtout les faiblesses et vulnĂ©rabilitĂ©s du systĂšme dâinformation.
Dâidentifier, Ă partir de ces conclusions, des axes dâamĂ©lioration, de proposer des recommandations et de contribuer ainsi Ă lâĂ©lĂ©vation de son niveau de sĂ©curitĂ©, en vue, notamment, de son homologation de sĂ©curitĂ©.
En quoi consiste un audit de sécurité ?
Un audit de sécurité peut comprendre plusieurs dimensions :
Lâaudit dâarchitecture qui consiste en la vĂ©rification de la conformitĂ© des pratiques de sĂ©curitĂ© relatives au choix, au positionnement et Ă la mise en Ćuvre des dispositifs matĂ©riels et logiciels dĂ©ployĂ©s dans un systĂšme dâinformation Ă lâĂ©tat de lâart et aux exigences et rĂšgles internes de lâauditĂ©. Lâaudit peut ĂȘtre Ă©tendu aux interconnexions avec des rĂ©seaux tiers, et notamment Internet.
Lâaudit de configuration qui a pour vocation de vĂ©rifier la mise en Ćuvre de pratiques de sĂ©curitĂ© conformes Ă lâĂ©tat de lâart et aux exigences et rĂšgles internes de lâauditĂ© en matiĂšre de configuration des dispositifs matĂ©riels et logiciels dĂ©ployĂ©s dans un systĂšme dâinformation. Ces dispositifs peuvent notamment ĂȘtre des Ă©quipements rĂ©seau, des systĂšmes d'exploitation (serveur ou poste de travail), des applications ou des produits de sĂ©curitĂ©.
Lâaudit de code source consiste en lâanalyse de tout ou partie du code source ou des conditions de compilation dâune application dans le but dây dĂ©couvrir des vulnĂ©rabilitĂ©s, liĂ©es Ă de mauvaises pratiques de programmation ou des erreurs de logique, qui pourraient avoir un impact en matiĂšre de sĂ©curitĂ©.
Le test dâintrusion dont la vocation est de dĂ©couvrir des vulnĂ©rabilitĂ©s sur le systĂšme dâinformation auditĂ© et de vĂ©rifier leur exploitabilitĂ© et leur impact, dans les conditions rĂ©elles dâune attaque sur le systĂšme dâinformation, Ă la place dâun attaquant potentiel. Un test dâintrusion seul nâa pas vocation Ă ĂȘtre exhaustif. Dâautres activitĂ©s dâaudit permettent dâamĂ©liorer lâefficacitĂ© ou de dĂ©montrer la faisabilitĂ© de lâexploitation des failles et vulnĂ©rabilitĂ©s dĂ©couvertes Ă des fins de sensibilisation. Les tests de vulnĂ©rabilitĂ©, notamment automatisĂ©s, ne reprĂ©sentent pas Ă eux seuls une activitĂ© dâaudit.
Lâaudit de lâorganisation de la sĂ©curitĂ© logique et physique visant Ă sâassurer que :
- Les politiques et procĂ©dures de sĂ©curitĂ© dĂ©finies par lâauditĂ© pour assurer le maintien en conditions opĂ©rationnelles et de sĂ©curitĂ© dâune application ou de tout ou partie du systĂšme dâinformation sont conformes au besoin de sĂ©curitĂ© de lâorganisme auditĂ©, Ă lâĂ©tat de lâart ou aux normes en vigueur ;
- Elles complĂštent correctement les mesures techniques mises en place ;
- Elles sont efficacement mises en pratique ;
- Les aspects physiques de la sĂ©curitĂ© de lâapplication ou du systĂšme dâinformation sont correctement couverts.
Vous pouvez consulter pour information le rĂ©fĂ©rentiel d'exigences des prestataires dâaudit de sĂ©curitĂ© qualifiĂ©s (PASSI) par lâANSSI.
Comment réaliser un audit de sécurité ?
Votre organisation peut se faire accompagner par un prestataire pour la rĂ©alisation dâun audit de sĂ©curitĂ© partiel ou complet.
Vous pouvez notamment consulter la liste des prestataires dâaudit de sĂ©curitĂ© qualifiĂ©s (PASSI) par lâANSSI.
Mis Ă jour le : 03/09/2024
Merci !