Audit de sécurité informatique

Sécurité du Système d'Information

Face à la menace omniprésente et grandissante que représentent les attaques informatiques internes et externes, nos clients expriment une angoisse persistante à laquelle nous répondons par la mise en place de ressources humaines ainsi que de solutions techniques et organisationnelles adaptées.

Si nos procédures dans le domaine de la défense informatique sécurisent parfaitement les données des établissements avec lesquels nous travaillons, les responsables informatiques ne restent pas moins demandeurs de toujours plus d’informations concernant les nouvelles attaques informatiques, les solutions à apporter, ainsi que les futures situations à anticiper.

De ce constat est née l’idée de proposer un dossier complet portant sur nos procédures d’audit de sécurité informatique, dans lequel nous aborderons notamment le contexte actuel dans sa globalité, les problématiques rencontrées par nos clients, les raisons de réaliser un audit de sécurité, les tests d’intrusions de type Pentest ainsi que les plans d’action qui en découlent.

Ce dossier sera scindé en 2 parties, nous aborderons dans la première partie la « Phase d’audit externe », tandis que dans la seconde partie nous aborderons la « Phase d’audit interne ».


 

Un point sur la sécurité informatique des SI en 2016

virus-informatiqueLes mots « locky », « ransomware », « Cryptovirus » vous disent certainement quelque chose, en effet l’année 2016 a, sans nul doute, battu tous les records en matière de demande de rançons informatiques. (Consultez notre article sur les Ransomwares)

Le montant des transactions financières généré par cette nouvelle forme d’attaque est considérable. Montant réglé, la plupart du temps, par le biais de crypto-monnaies, rendant, du même coup, toutes transactions intraçables.

Cette soudaine rentabilité des attaques pousse les hackers à cibler les données les plus sensibles afin de s’assurer une rentabilité maximum, en un minimum de temps. Les cibles prioritaires sont désormais les entreprises, qui ne peuvent survivre plus de quelques jours sans leur réseau informatique.
C’est ainsi que, les données sensibles des entreprises, comme par exemple les données de santé, sont désormais particulièrement prisées, et le seront de plus en plus.

Courant Juin 2016, les services informatiques de 3 organismes de santé Américains auraient été pénétrés et les données qu’ils contenaient dérobées. En Août, c’est 150Go de données médicales issues d’un réseau de cliniques d’urologie qui auraient été victimes de piratage.

Un constat alarmant pour le secteur de la santé, mais ce n’est pas le seul secteur qui souffre d’une recrudescence des attaques informatiques. Tous les secteurs d’activité, et toutes les tailles d’entreprises sont dans la ligne de mire des assaillants. L’époque durant laquelle la combinaison d’un antivirus et d’un pare-feu suffisait à contrer 99 % des attaques informatiques est révolue.

Si un plan de sauvegarde permet de restaurer rapidement les données égarées ou détruites, la question reste ouverte concernant les données confidentielles, qui en aucun cas ne doivent être dérobées ?

La seule parade efficace contre les menaces informatiques modernes est l’anticipation.
C’est précisément à ce moment que l’audit de sécurité prend tout son sens !


 

L’objectif d’un audit de sécurité :

L’objectif principal d’un audit de sécurité est d’évaluer avec précision la capacité du système d’information à résister aux attaques informatiques, à identifier les failles et appliquer les actions correctives nécessaires avant qu’il ne soit trop tard.

Identifier les forces et les faiblesses du SI, permet d’obtenir une vision complète et réaliste de la capacité de l’infrastructure analysée à résister aux attaques de tous types et de toutes origines, en développant les axes de progression préalablement identifiés.

C’est la raison pour laquelle les audits que nous réalisons, reposent à la fois sur une méthode globale mais aussi sur une méthode segmentée, nous permettant ainsi de couvrir l’ensemble du spectre nécessaire à la sécurisation de votre SI.


 

Outils de gestion des risques et méthodologie :

La réalisation d’un audit de sécurité nécessite une indépendance complète vis-à-vis du système audité, il implique également une méthodologie spécifique et rigoureuse. Enfin celui-ci doit se dérouler dans le cadre défini par les normes internationales, garantissant ainsi le bon déroulement des différentes phases de l’audit.

Nous opérons dans le respect des lignes directrices définies par les normes internationales, notamment ISO/CEI 27005 et ISO 27001. Celles-ci définissent la structure de nos plans d’action, à travers différents chapitres dont l’objectif est d’établir un système de gestion de la sécurité de l’information complet, viable et fiable.

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a créé un outil complet de gestion des risques encourus par les systèmes d’informations respectant les normes évoquées précédemment.
Nous intégrons cet outil, nommée méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) dans notre plan d’actions afin de garantir un résultat qualitatif, simple et clair.

Cette méthode offre l’avantage de couvrir l’ensemble des besoins inhérents à toutes réflexions ayant pour objectif la sécurité de l’information.
Nous intégrons dans nos différentes démarches d’autres outils, tels que la méthode MEHARI définie par le CLUSIF (Club de la sécurité de l’information français). Cette méthode a pour principal objectif l’harmonisation de l’analyse des risques, reposant sur un concept de découpage en cellule.


Phase 1 : L’audit de sécurité externe

audit securite externe

L’audit de sécurité externe permet d’identifier le potentiel de vulnérabilité de votre réseau face aux attaques provenant de l’extérieur. Il va ainsi permettre de repérer les éléments à corriger et/ou à améliorer afin de maximiser le niveau de sécurité de l’infrastructure informatique.


Lors de la réalisation d’un audit de sécurité externe, de nombreux domaines doivent être couvert afin d’aboutir à un résultat complet et réaliste :

Obtention d’informations présentes librement sur internet (empreinte internet) :

Il est courant de trouver simplement dans un moteur de recherche un trop grand nombre d’informations, qui pourrait aider les personnes malveillantes à identifier et exploiter des failles potentielles. Cela peut être des documents internes, rendus accidentellement publiques, des noms ou coordonnées d’utilisateurs qui pourraient servir à réaliser une attaque par social engenering par exemple.

Tests d’intrusion :

Ces tests consistent à identifier et attaquer l’ensemble des points d’entrée du Système d’Information cible. Les plus courants sont les services web, tel qu’un site web, ou les services d’emails par exemple. Dans ce cas, les attaquants peuvent obtenir le numéro de version des versions en production, puis rechercher des failles connues pour ces versions, ou bien réaliser eux-mêmes un script capable de mettre à mal les services visés.

Sécurité applicative :

Il s’agit ici d’analyser le code des applications utilisées afin de repérer des erreurs de conception qui peuvent induire une faille de sécurité. Celle-ci pourrait, par exemple, permettre à un utilisateur mal intentionné d’injecter son propre code au sein de l’application et ainsi réaliser des actions non-autorisées.

Audit architecture :

Cette étape consiste à analyser l’architecture réseau du Système d’information afin d’identifier des erreurs pouvant laisser apparaître des failles sécuritaires. Il peut s’agir tout simplement d’un serveur mal configuré qui, dans certains cas, laisserait échapper plus d’informations qu’il ne le devrait.

Audit de conformité :

Ce type d’audit informatique est propre au domaine d’activité de l’entreprise cible. Il prend en compte la législation du secteur d’activité, afin de s’assurer que toutes les obligations sont bien remplies. Pour donner un exemple, les hébergeurs de données de santé doivent respecter des contraintes bien plus strictes qu’un hébergeur de données classique. Dans ce cas, nous nous assurons que l’ensemble de la réglementation est appliquée et scrupuleusement respectée.

Audit de compromission :

Cette étape consiste à trouver des éléments d’attaques ayant déjà eu lieu afin de les éradiquer. Et le cas échéant de remonter les actions qui ont été menées par les assaillants.

La méthodologie évalue le risque d’intrusion, la vulnérabilité et la criticité de l’infrastructure auditée en plusieurs phases et étapes prenant compte de :

  • L’impact potentiel d’une attaque exploitant cette vulnérabilité en termes de disponibilité de l’application, de confidentialité et d’intégrité des informations.
  • L’exploitabilité (la facilité d’exploitation) de la vulnérabilité. Une vulnérabilité facile à exploiter augmente le nombre d’attaques et d’attaquants potentiels ce qui favorise la probabilité d’occurrence d’une attaque.

 

Phase 2 : L’audit de sécurité interne

L’audit de sécurité interne a pour principal objectif l’évaluation des risques du système d’information en cours d’exploitation.

Sécurité

L’identification des faiblesses inhérentes au système audité, permet d’établir des recommandations, puis de sélectionner et enfin  de déployer toutes les ressources nécessaires afin d’atteindre le niveau de sécurité interne optimal de l’infrastructure informatique.
Il peut s’agir de ressources techniques, humaines ou encore organisationnelles.

La réalisation de l’audit de sécurité interne permet de s’assurer que les données sont protégées contre 3 types de menaces que sont : la perte, l’altération, et la divulgation des données.

Cette étape de l’audit repose sur 3 phases :

1, La phase d’acquisition :

Cette phase consiste à regrouper l’ensemble des documents techniques de l’architecture du Système d’Information ainsi que les publications propres au secteur d’activité de l’entreprise cible.

L’analyse de ces documents permet d’évaluer le périmètre d’action du système d’information en cours d’audit, comprenant par exemple le matériel exploité, les services ainsi que les solutions internes et externes.

2, La phase d’entretien :

Différents entretiens sont réalisés avec les responsables du Système d’Information mais également avec tous les référents de l’établissement manipulant des données sensibles. Il s’agit ici, d’appréhender les procédures préalablement formalisées, au sein de la politique de sécurité informatique. La méthodologie d’application, ainsi que la perception des différents intervenants sont également intégrées à cette phase.

3, La phase d’audit :

Il s’agit, ici, d’identifier les capacités du système d’information à répondre, efficacement, face aux  risques encourus par les différents éléments composant le SI. Cette phase permet de mettre en évidence les anomalies ou faiblesses significatives constatées.

Nous évaluons la capacité de la politique de sauvegarde à résoudre  la problématique engendrée par la perte totale ou partielle de données, les procédures de restauration ainsi que la disponibilité des services. Les situations d’altération des données sensibles ou critiques sont également au centre de l’analyse. Enfin les mesures visant à lutter contre la divulgation de données critiques sont testées, et les résultats analysées.


Quels sont les livrables fournis suite à un audit de sécurité ?

A la fin des deux audits, une phase de restitution des livrables techniques est assurée par nos équipes. Il s’agit alors de remettre les différents comptes rendus, clairs et détaillés, réalisés au fil des audits afin que le client puisse comprendre le déroulé exact de ces différents contrôles effectués sur son Système d’Information.

Des comptes rendus présentant une synthèse fonctionnelle et opérationnelle du SI, puis une synthèse technique résumant les points marquants de l’audit. Ils détailleront également les vulnérabilités découvertes d’un point de vue technique, ainsi qu’un plan d’actions priorisé à entreprendre afin de corriger les fragilités découvertes lors de la mission, et le cas échéant une partie budgétisation des actions à entreprendre, ou des solutions à acquérir pour sécuriser, gérer, maintenir et faire évoluer dans les règles de l’art le Système d’Information.


Cette restitution fait alors l’objet d’une réunion entre les auditeurs et le client afin de présenter l’audit de sécurité de manière synthétique, d’en expliquer les résultats et de proposer nos recommandations.

C’est également l’occasion pour le client de poser toutes les questions qu’ils souhaitent afin de valider les éléments qui lui seront présentés.


Pour conclure l’audit de sécurité

La réalisation d’un audit de sécurité permettra dans un premier temps d’identifier les forces, telle qu’une politique de sauvegardes appliquée, ainsi que les faiblesses, tels que des mots de passe triviaux noyés dans un établissement dépourvu de politique de sécurité.

Dans un second temps, l’audit permettra de sélectionner et d’appliquer les actions correctives qui amélioreront la sécurité des données au sein du SI.

Enfin, il influera dans les prises de décisions futures qui permettront de faire évoluer positivement le système audité.

Bien sûr la réussite de l’audit de sécurité repose sur de  nombreux critères dont nous avons égrainé les grands axes au fil de ce dossier. Ces critères de réussites sont nombreux et couvrent un large périmètre d’action à entreprendre. En effet, l’audit de sécurité n’est qu’un signal d’alarme pour le système analysé. L’efficacité de l’audit se révélera par la mise en place des actions mises en évidence par le plan d’actions, par leur suivi régulier mais également par la prise de conscience de tous les acteurs du système d’information que celui-ci est un élément clé dans la gestion de leur activité.

De plus, une méthodologie rigoureuse, intégrant des outils spécifiques ainsi que des méthodes d’analyse pointues seront les garants d’un audit de qualité.
Les livrables, tels que les comptes rendus doivent être complets en couvrant la totalité des domaines analysés.
Ils détailleront l’ensemble des failles identifiées ainsi que les actions à entreprendre.

Cependant, en complément d’un audit de sécurité, la mise en place d’un SOC (SecurityPLAN Operating Center) assurera sa continuité par la surveillance en permanence du Système d’Information. Ce centre de supervision et d’administration de la sécurité peut aussi être externalisé pour en faciliter la mise en œuvre sans disposer en interne de ressources et de compétences pointues sur un domaine aussi complexe que la sécurité.


Vous avez une question concernant les audits de sécurité ?

LinkedIn
Facebook
Twitter

Vous pourriez également être intéressé par les articles suivants :

gplexpert

10 ans d’évolution du SIH

D’hier à aujourd’hui, 10 ans d’évolution du SIH A l’aube de ses 10 ans de gestion du SIH, GPLExpert a demandé aux membres de son

Alfresco

Alfresco : La gestion de contenu

La solution de gestion de contenu alfresco a été développée en 2005 par l’entreprise « Alfresco Software ». Alfresco et la gestion de documents open-source Élaboré comme solution

Sécurité du Système d'Information

Audit de sécurité informatique

Face à la menace omniprésente et grandissante que représentent les attaques informatiques internes et externes, nos clients expriment une angoisse persistante à laquelle nous répondons

Sécurité du Système d'Information

Audits et conseils des systèmes d’information

Maîtriser son système d’information est un élément capital, qui favorise la dynamique de l’entreprise lorsque celui-ci répond précisément aux exigences métiers. Qu’il s’agisse d’intégrer le

Bacula

Bacula : Sauvegarde en réseau

Bacula est la solution open source de référence en matière de sauvegarde en réseau. Reposant sur un système de sauvegarde client / serveur, il est