L'audit de sécurité

S'abonner :

Newsletters

Magazines

01men.

écrire à l'auteur		imprimer

envoyer par mail

	Sommaire du dossier
	L'audit de sécurité
	1. Définir une politique de sécurité : l'audit organisationnel précède l'audit technique
	2. Réussir la phase de mise en œuvre : des méthodes pour remédier à la vulnérabilité
	3. Protéger ses infrastructures : la sécurité physique requiert des spécialistes

Cet article est extrait de : Décision Informatique
		Seul hebdomadaire généraliste qui aide concrètement au choix et à la mise en œuvre opérationnelle, grâce à une information pragmatique et concrète. Découvrez le magazine Contactez la rédaction Abonnez vous

[ LE POINT SUR… ]
L'audit de sécurité
L'audit de sécurité est souvent négligé au profit de simples tests d'intrusion ou de vulnérabilité. Il est pourtant le préalable à toute vraie démarche de sécurisation.

Jérôme Saiz , Décision Micro, le 21/01/2002 à 00h00

Auditer sa sécurité physique est une double obligationFabrice Coquio, directeur général France d'Interxion.Pour un hébergeur comme Interxion, viser le plus haut niveau de sécurité physique est à la fois un argument commercial sur un marché ultraconcurrentiel et une obligation légale. La société fait appel une fois par an à un prestataire spécialisé, Veritas, pour vérifier sa conformité aux normes locales, auditer ses procédures et ses installations de sécurité.

C'est bien connu, la sécurité est un processus, et non une opération ponctuelle. Les antivirus doivent être mis à jour, les serveurs corrigés en permanence et les utilisateurs informés. Mais, pour amorcer ce processus, il est souvent nécessaire de procéder à une opération ponctuelle, capable de faire un état des lieux : c'est le rôle de l'audit.

Qu'il soit limité à une partie du système d'information ou global, qu'il soit organisationnel ou technique, l'audit de sécurité a un objectif double : dresser l'état des lieux et offrir des solutions. C'est souvent la première action d'un dirigeant fraîchement nommé. Mais c'est aussi son premier dilemme : quel type d'audit choisir ? Qui choisir ? " Le marché de la sécurité, et plus particulièrement celui de l'audit, s'est réellement atomisé. Beaucoup d'acteurs sont venus récemment à la sécurité par opportunisme. Le client doit impérativement mesurer le vécu de la société avant de lui confier une prestation d'audit ", avertit Jean-Philippe Iskia, responsable de l'activité audit chez CF6 (Groupe Telindus).

Autant d'audits que de besoins
En outre, les différences entre l'analyse automatisée de vulnérabilité, les tests d'intrusion et les vrais audits de sécurité ne sont pas toujours clairement identifiées. " Il y a un vrai besoin d'éducation du marché dans ce domaine ", fait remarquer Philippe Lemaire, responsable des tests d'intrusion chez CF6.

Les véritables audits, enfin, ne couvrent pas tous les mêmes besoins. Des spécialistes techniques comme le cabinet HSC disposent de compétences rares pour analyser en profondeur une architecture de sécurité et fouiller le code source d'une application réalisée en interne afin de s'assurer qu'elle ne présente pas un risque pour le système d'information. Mais ces spécialistes n'appliqueront pas les méthodes formelles d'audit dédiées à l'analyse du risque. Il faudra pour cela se tourner vers des prestataires adoptant des méthodes bien connues telles que Méhari ou Mélisa. Hélas, ces dernières ne reposent que sur la bonne foi des administrateurs systèmes, censés répondre correctement à une série de questions. Apparaît alors la scission entre audits techniques et organisationnels : " Un audit organisationnel est une optique à long terme. Il est important lorsqu'on n'est pas dans l'urgence, pour préserver un niveau de sécurité dans le temps. L'audit technique, lui, c'est du concret, applicable dans l'immédiat. On se place dans du court terme, pour mettre à niveau la sécurité dans l'urgence" , résume à merveille Alexandre Fernandez, consultant chez HSC.

Un processus cyclique

L'audit de sécurité est un processus initié par le recours à une méthode formelle. Celle-ci aide à réaliser un audit organisationnel dont la finalité est de déterminer les vulnérabilités critiques de l'entreprise. L'audit technique sert ensuite à couvrir les failles.