Présentation

Article

1 - QUID DES AUDITS

  • 1.1 - Contexte
  • 1.2 - Buts
  • 1.3 - Méthodologies d'analyse de risques
  • 1.4 - Différents contextes et audits
  • 1.5 - Certifications

2 - TECHNIQUES ET OUTILS

3 - DIFFÉRENTS TYPES D'AUDITS – DIFFÉRENTES MÉTHODOLOGIES

4 - RETOUR D'EXPÉRIENCES

5 - CONCLUSION

Article de référence | Réf : H5130 v1

Retour d'expériences
Audits de sécurité - Méthodologies, outils et retour d'expériences

Auteur(s) : Laurent BUTTI

Relu et validé le 04 déc. 2019

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

NOTE DE L'ÉDITEUR

La norme NF EN ISO 19011 de janvier 2012 citée dans cet article a été remplacée par la norme NF EN ISO 19011 (X50-136) "Lignes directrices pour l'audit des systèmes de management" Révision 2018

Pour en savoir plus, consultez le bulletin de veille normative VN1806 (juillet 2018).

11/01/2019

RÉSUMÉ

La sécurité des systèmes d'information est, depuis toujours, un élément clé de la survie de l'entreprise. L'audit est une brique nécessaire de l'implémentation de la roue de Deming représentative du cycle d'amélioration continue. Dans un contexte de système d'information, l'audit de sécurité doit vérifier que les phases amont sont bien implémentées en vue d'émettre les recommandations nécessaires pour la correction des vulnérabilités éventuellement découvertes. Cet article présente les principales approches et outils utilisés lors des audits de sécurité techniques, que ce soit aux niveaux système, réseau ou applicatif.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Security audits - Methodology, tools and feedback

The safety of information systems has always been essential to the survival of the company. Auditing is a necessary stage in the implementation of the Deming wheel, representative of the continuous improvement cycle. Within the context of an information system, the security audit must verify that the upstream phases have been soundly implemented in order to provide the necessary recommendations for the correction of possible vulnerabilities. This article presents the principal approaches and tools used during technical security audits at the system, network or application level.

Auteur(s)

INTRODUCTION

La sécurité des systèmes d'information (SSI) est l'ensemble des moyens techniques, organisationnels, juridiques et humains, nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité du système d"information. » (source : Wikipedia).

Les trois primitives essentielles de la sécurité des systèmes d'information sont :

  • l"intégrité : les données doivent être celles initialement déclarées, et ne doivent pas être altérées de façon fortuite ou volontaire ;

  • la confidentialité : propriété qu'une information n'est, ni disponible, ni divulguée aux personnes, entités ou processus non autorisés ;

  • la disponibilité : le système doit fonctionner sans défaillance durant les plages d'utilisation prévues, garantir l'accès aux services et ressources installées avec le temps de réponse attendu.

La sécurité des systèmes d'information est, depuis toujours, un élément clé de la survie de l'entreprise. Mais, ce n'est que depuis quelques années qu'une prise de conscience est apparue, du fait probablement d'événements médiatiques majeurs ayant impacté les activités de quelques multinationales ou États.

  • L'année 2011 a été particulièrement riche en événements marquants

    Exemples

    Nous pouvons citer Sony qui n'a pu empêcher la compromission de millions de comptes de ses clients, ainsi que la perte de son service Playstation Network durant plusieurs mois.

    Les détails publics sur ces attaques ont malheureusement témoigné d'erreurs majeures de la part de Sony vis-à-vis de ses procédures de sécurité opérationnelle. Cela, combiné à une forte arrogance (ou inconscience), a mené au naufrage de certains de ses services, avec des pertes estimées à plusieurs dizaines de millions de dollars.

    Les sociétés dont le métier est la sécurité informatique ne sont pas non plus épargnées, comme l'atteste la compromission des réseaux internes de la société RSA où, malheureusement, les attaquants n'ont utilisé que des techniques et outils classiques (comprendre disponibles sur Internet et utilisables donc par n'importe qui sans requérir de compétences pointues) (voir le Pour en savoir plus).

    Les États ne sont pas en reste avec un exemple, parmi tant d'autres, comme la compromission du réseau du ministère des Finances et de l'Industrie française découvert en début d'année 2011.

    De la même manière, les organismes étatiques, qui se sont engagés dans la voie de l'informatique offensive depuis de nombreuses années, n'hésitent plus à l'avouer publiquement, comme cela a été le cas de l'Administration américaine vis-à-vis du développement d'armes informatiques (cf. les vers informatiques Stuxnet, Duqu et Flame qui ne sont vraisemblablement que la partie visible de l'iceberg).

  • En juin 2012, près de 6 millions de comptes utilisateurs du réseau social LinkedIn ont été compromis, ce qui dénote que personne n'est à l'abri. Mais, le fait a aussi pu mettre en lumière des lacunes majeures sur les mécanismes de sécurité mis en œuvre par la société en question. Ce n'est pas parce que la visibilité d'une entreprise est importante, et que peu d'incidents de sécurité ont été rendus publics, que les mécanismes de sécurité sont robustes !

    Tout le monde est potentiellement une cible, pour peu bien entendu que vos infrastructures, vos données ou votre image de marque, présentent un intérêt pour des personnes ou organisations malveillantes. Dans ce contexte d'insécurité, où toute faille de sécurité peut être exploitée, et donc impacter l'activité de l'entreprise ciblée, il s'agit alors de réduire les risques autant que possible. Le risque « zéro » n'existant pas par nature, du moment que l'on prend certaines hypothèses (entreprise multinationale par exemple), le but est alors d'identifier ses biens et d'évaluer leur exposition à ces risques afin de sélectionner les mesures de réduction, ou de couverture, du risque les plus adéquates.

  • Enfin, les futures législations européennes relatives à la protection des données personnelles prévoient des sanctions financières aux contrevenants (les entreprises dont des données clientes seraient compromises) avec « une amende égale à 5 % du chiffre d'affaires mondial ». Du même acabit, les failles de sécurité relatives à la compromission de données personnelles devront aussi donner lieu à une notification officielle vers les victimes et les autorités.

    Si cela n'est pas déjà fait, ces nouveaux éléments vont fortement inciter les entreprises à engager des moyens conséquents pour assurer leur niveau de sécurité.

    La sécurité est certes l'affaire de tous, mais elle est aussi, et surtout, une question de politique d'entreprise et de moyens dédiés à cet effet.

Cet article est réservé aux abonnés.
Il vous reste 93% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

Computer   |   safety

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-h5130


Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais En anglais

4. Retour d'expériences

Ce chapitre présente des retours d'expériences de cas pratiques d'audits de sécurité et de leur mise en œuvre dans un contexte opérationnel.

4.1 Implémentation de la phase « audit » dans la gestion de projet

Dans un contexte d'intégration des préceptes de sécurité dans un cycle projet (qu'il soit orienté développement ou produit), des points de contrôles doivent être mis en place tout au long des différentes phases projet. En effet, l'audit de sécurité (par exemple, technique) est une phase à effectuer dans ce cycle parmi d'autres.

Les budgets (ressources) sur les aspects sécurité n'étant pas infinis, il est intéressant de réaliser une première phase de triage des projets, ce qui a pour rôle d'identifier la criticité du projet en question. Cette phase de triage peut être effectuée rapidement grâce à un ensemble de questions prédéfinies afin d'identifier la nécessité (ou pas) de passer dans un suivi rapproché du projet par une personne dédiée aux aspects sécurité.

Tout cela est à englober dans une politique de sécurité globale dont les principes doivent se greffer dans les processus projets existants. Il est donc primordial que les processus organisationnels intègrent les principes de sécurité. C'est à ce prix que le niveau de sécurité des produits, applications ou services, pourra s'élever ; sans cette démarche, le mécanisme dans sa globalité est voué à l'échec.

HAUT DE PAGE

4.2 Implémentation d'audits récurrents en cycle de vie logiciel

Le National Institute of Standards and Technology (NIST) fait état de 1 000 à 10 000 erreurs de programmation par million de lignes de code. Certes, ces erreurs n'entraînent pas forcément un impact sur la sécurité (confidentialité, intégrité, disponibilité), cependant, elles ont un impact sur la qualité des développements et les coûts de maintenance associés. Dans ce contexte, il est primordial de découvrir les erreurs de programmation durant le cycle de développement logiciel afin de minimiser leur présence lorsque les développements sont alors mis en production (et donc accessibles à tous).

L'implémentation des principes de sécurité...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Retour d'expériences
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - SHEWHART, WALTER (A.) -   Economic control of quality of manufactured product/50th Anniversary Commemorative Issue.  -  American Society for Quality, déc. 1980, ISBN 0-87389-076-0. OCLC 223422287 (1930).

  • (2) - ANSSI -   *  -  Recommandations et guides (2013) http://www.ssi.gouv.fr.

  • (3) - CLUSIF -   *  -  Guide de développement d'une base de connaissances d'analyse de risque MEHARI (2012) PDF à télécharger sur le site http://www.clusif.asso.fr.

  • (4) - FARMER (D.), VENEMA (W.) -   Improving the security of your site by breaking into it.  -  (1993) PDF à télécharger sur http://www.des.ed.ac.uk.

  • (5) - MITNICK (K.) -   L'art de la supercherie.  -  CampusPress (2005).

  • (6) - EAGLE (C.) -   The unofficial guide to the world's most popular disassembler.  -  IDA ProBook 2e...

Cet article est réservé aux abonnés.
Il vous reste 92% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Sécurité des systèmes d'information

(76 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS