Audits de sécurité

Rarement effectués il y a encore quelques années, les audits de sécurité sont devenus une prestation incontournable pour les entreprises de taille moyenne à grande.

Ces tests existent sous plusieurs formats et permettent de cartographier les risques encourus par votre organisation.

Indispensables pour toutes les entreprises soucieuses de la confidentialité et de l’intégrité de leurs données, ces tests permettent d’évaluer le niveau de sécurité d’une organisation à un moment T et doivent en général être reproduits régulièrement pour être efficaces sur la durée (une fois par an au minimum).

Au fur et à mesure que la qualité de votre système d’information augmentera en terme de sécurité, ces tests deviendront principalement de la validation (ou de la mise en conformité vis à vis de normes) et pourront être réalisés beaucoup plus rapidement.

Nous pouvons ainsi trouver plusieurs tests différents:

  • Les audits de sécurité collaboratifs (boîte blanche)
  • Les audits de sécurité en aveugle (boîte noire, aussi appelés tests d’intrusion)

Pour chacun de ces tests, il est également possible de discerner les audits de sécurité internes (ASI) et externes (ASE).

Nous conseillons en général d’effectuer votre premier test comme un test en boîte noire et de passer à un test en boîte blanche par la suite. Pour une entreprise n’ayant jamais effectué d’audits de sécurité, notez bien que le premier audit en boîte noire révèle souvent beaucoup de vulnérabilités, et permet généralement de parer au plus pressé en corrigeant les bugs les plus importants. Ils sont néanmoins importants pour permettre à une entreprise de comprendre ce à quoi elle est exposée. Les tests en boîte blanche sont au contraire principalement destinés à augmenter durablement votre niveau de sécurité.

Dans ce cadre, Security Future se propose ainsi d’être l’allié de la DSI par rapport à ses collaborateurs, les remarques provenant d’un organisme externe étant régulièrement plus écoutées que des remontées d’informations effectuées par du personnel interne.

Bien qu’il soit possible d’adapter les tests à vos besoins, le scénario type d’un test en boîte noire est le suivant :

Pour la partie ASE en boîte noire (audit de sécurité externe) :

  • Cartographie des ressources de l’entreprise exposées sur internet
  • Identification des vulnérabilités présentes sur les machines exposant ces ressources
  • Si possible exploitation, dans un but démonstratif, de ces vulnérabilités
  • Réalisation d’un test de couverture de risque pour les attaques par ingénierie sociale
  • Evaluation des risques d’intrusion dans le réseau local de votre entreprise et de compromission des données
  • Rédaction d’un rapport décrivant les analyses effectuées lors de l’ASE en boîte noire et des préconisations/plan d’action.

Pour la partie ASI en boîte noire (audit de sécurité interne) :

  • Cartographie de votre réseau local ou du périmètre testé
  • Mapping des vulnérabilités sur les machines présentes dans le périmètre
  • Exploitation des vulnérabilités sur les machines mal configurées
  • Rebonds successifs jusqu’à obtention de la compromission maximale de votre réseau
  • Rédaction d’un rapport décrivant les analyses effectuées lors de l’ASI en boîte noire et des préconisations/plans d’action.

Pour la partie boîte blanche la différence entre ASI et ASE est moins marquée et elle est plus simple du point de vue du client :

  • Etude de votre besoin et du périmètre sélectionné pour la réalisation de la prestation
  • Vous fournissez tous les documents techniques que vous estimez nécessaires à l’élaboration de la prestation
  • Security Future effectue les tests et études nécessaires en fonction de vos objectifs et de l’état de vos infrastructures.
  • Rédaction d’un rapport décrivant les analyses effectuées lors de l’audit en boîte blanche et des préconisations/plans d’action.

Les rapports fournis lors des tests des AS (audits de sécurité), relatent chacune des interventions effectuées ainsi que les résultats aux différents tests. Ils mettent en avant les risques en les classifiant selon leur importance tout en proposant pour chacun d’eux une solution. Un plan d’action conclut ensuite le rapport, ce qui vous permet de corriger progressivement les problèmes rencontrés.

Selon vos besoins, Security Future peut en sus présenter ses résultats sous forme de fichiers Excell ou au format format de votre choix. Il est au contraire également possible d’écourter voire supprimer la phase de rapport si pour vous, seul le fond est important et que vous n’avez pas besoin de reporting. Vous pouvez par la suite demander à vos équipes de mettre en place les correctifs ou au contraire nous confier la maîtrise d’oeuvre.

Sur demande, Security Future peut également réaliser un PowerPoint pouvant être présenté à des décideurs. ll fournira sous une forme claire et destinée aux novices en informatique les résultats des audits effectués. Cette prestation est particulièrement adaptée pour faire réaliser une opération de communication auprès de votre direction générale (DG) ou de votre direction du système d’information (DSI).

Bien entendu, il est possible d’effectuer les audits de sécurité en suivant les référentiels et méthodologies de votre choix tels que OSSTMM 3, PCI ou même vos normes internes.