À la suite d'une attaque du réseau informatique d'une société, des dysfonctionnements en termes de sécurité ont été mis en évidence. Le directeur du système d'information décide de réaliser un audit de sécurité de ses infrastructures informatiques.

Il veut mettre en œuvre un plan de mise en conformité et il le fera sur base des orientations de sécurité préconisées dans le cadre de l'audit réalisé.

Contexte

Les principaux objectifs de cet audit de sécurité sont les suivants :

  • Fournir à la société un état des lieux du niveau de sa sécurité informatique en s’appuyant sur les aspects techniques et organisationnels constatés.
  • Mesurer les écarts avec le Référentiel de Sécurité de la société.
  • Définir des mesures pour la mise en œuvre d’un plan de mise en conformité.

À l’issue de l’audit de sécurité effectué sur les sites de la société, des points forts et des points à améliorer ont été observés :

Points positifs
  • Taille appropriée du système par rapport aux besoins,
  • Cloisonnement physique important du réseau,
  • Utilisation d’équipements et de standards industriels robustes : protocoles de communication, équipements de mesure, serveurs…

 

Axes d’amélioration
  • Intégration des nouvelles responsabilités dans le chef du responsable de la gestion opérationnelle,
  • Renforcement de la sécurité système, en remplaçant les systèmes obsolètes et en maîtrisant les partages réseau,
  • Formalisation et maintien à jour des procédures : plan de reprise d’activité, gestion de la sécurité, inventaire.

Méthodologie

Pour la réalisation de ses audits, BlueKrypt applique une méthodologie adaptée aux différents sujets à traiter et correspondant aux types de prestations concernés (tests d’intrusion, audits techniques, audits organisationnels, audits fonctionnels, audits de conformité, etc.). Dans le cas de cet exemple, 3 étapes ont été définies :

audit methodologie

 

ÉTAPE 1 : ENTRETIENS ET VISITES DE SITES

La démarche générale d’audit de BlueKrypt commence par une revue de l’existant, au moyen d’entretiens et de tests techniques.

a) Réunion d’initialisation

Une réunion d’initialisation permet d’aborder notamment les points suivants :

  • Le périmètre de l’audit, notamment les systèmes et processus à analyser,
  • Le planning général et les différentes étapes,
  • L’identification des informations/documents à prendre en compte,
  • Les contacts et entretiens nécessaires.
b) Entretiens et visite des sites

L’analyse du niveau de sécurité existant est principalement basée sur des entretiens avec les interlocuteurs concernés par la sécurité, ainsi que sur la réalisation de tests et de vérifications techniques, pratiquées lors de la visite des sites concernés.

BlueKrypt formalisera au préalable un guide d’entretien, soumis à validation du chef de projet.

Ce document s’inspire de :

  • La méthode MÉHARI éditée par le CLUSIF (Club de la sécurité des systèmes d’information français).
  • L'ISO 27000 qui fournit un ensemble complet de mesures de maîtrise comprenant les meilleures pratiques en matière de sécurité de l’information.

 

ÉTAPE 2 : ANALYSE DE RISQUES

Pour chaque composant, service ou fonction, BlueKrypt identifie et qualifie les risques résultants des menaces et vulnérabilités mises en évidence. L’analyse précise pour chaque risque :

  • Une description de ce risque.
  • Les critères de sécurité impactés (disponibilité, intégrité, confidentialité, traçabilité).
  • La probabilité du risque et son impact, évalués au regard des enjeux de sécurité identifiés lors de l’étape 1.

Ces éléments sont synthétisés dans un tableau similaire à celui présenté ci-dessous :

audit tableau

 

ÉTAPE 3 : RECOMMANDATIONS ET PLAN D’ACTION

Cette étape a pour objectif d’expliciter les recommandations de sécurité et de formaliser le plan d’actions associé, en distinguant le très court terme (actions à réaliser en priorité pour couvrir les principaux risques dont la mise en œuvre est aisée) et le court/moyen terme (actions moins urgentes ou nécessitant un investissement plus important).

Pour chaque recommandation, le plan d’action détaillera :

  • La description de la mesure.
  • Son niveau de priorité de mise en œuvre, en faisant apparaître en premier lieu les actions urgentes à mettre en œuvre sur le court terme ou permettant d’améliorer certains niveaux de sécurité simplement et rapidement.
  • Sa portée (en terme de périmètre, de risques traités…).
  • Ses prérequis techniques ou organisationnels.
  • Ses impacts éventuels sur la production.
  • Une estimation du coût de mise en œuvre.
  • Le risque résiduel.