nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à 01Business et Technologies : 19 €/mois
Abonnez-vous à la version digitale
|
||||||
écrire à l'auteur
imprimer
envoyer par mail
[ LE POINT SUR… ]
L'audit de sécurité
L'audit de sécurité est souvent négligé au profit de simples tests d'intrusion ou de vulnérabilité. Il est pourtant le préalable à toute vraie démarche de sécurisation.
Jérôme Saiz , Décision Micro, le 21/01/2002 à 00h00
|
C'est bien connu, la sécurité est un processus, et non une opération ponctuelle. Les antivirus doivent être mis à jour, les serveurs corrigés en permanence et les utilisateurs informés. Mais, pour amorcer ce processus, il est souvent nécessaire de procéder à une opération ponctuelle, capable de faire un état des lieux : c'est le rôle de l'audit.
Qu'il soit limité à une partie du système d'information ou global, qu'il soit organisationnel ou technique, l'audit de sécurité a un objectif double : dresser l'état des lieux et offrir des solutions. C'est souvent la première action d'un dirigeant fraîchement nommé. Mais c'est aussi son premier dilemme : quel type d'audit choisir ? Qui choisir ? " Le marché de la sécurité, et plus particulièrement celui de l'audit, s'est réellement atomisé. Beaucoup d'acteurs sont venus récemment à la sécurité par opportunisme. Le client doit impérativement mesurer le vécu de la société avant de lui confier une prestation d'audit ", avertit Jean-Philippe Iskia, responsable de l'activité audit chez CF6 (Groupe Telindus).Autant d'audits que de besoins
En outre, les différences entre l'analyse automatisée de vulnérabilité, les tests d'intrusion et les vrais audits de sécurité ne sont pas toujours clairement identifiées. " Il y a un vrai besoin d'éducation du marché dans ce domaine ", fait remarquer Philippe Lemaire, responsable des tests d'intrusion chez CF6. Les véritables audits, enfin, ne couvrent pas tous les mêmes besoins. Des spécialistes techniques comme le cabinet HSC disposent de compétences rares pour analyser en profondeur une architecture de sécurité et fouiller le code source d'une application réalisée en interne afin de s'assurer qu'elle ne présente pas un risque pour le système d'information. Mais ces spécialistes n'appliqueront pas les méthodes formelles d'audit dédiées à l'analyse du risque. Il faudra pour cela se tourner vers des prestataires adoptant des méthodes bien connues telles que Méhari ou Mélisa. Hélas, ces dernières ne reposent que sur la bonne foi des administrateurs systèmes, censés répondre correctement à une série de questions. Apparaît alors la scission entre audits techniques et organisationnels : " Un audit organisationnel est une optique à long terme. Il est important lorsqu'on n'est pas dans l'urgence, pour préserver un niveau de sécurité dans le temps. L'audit technique, lui, c'est du concret, applicable dans l'immédiat. On se place dans du court terme, pour mettre à niveau la sécurité dans l'urgence" , résume à merveille Alexandre Fernandez, consultant chez HSC.
 |
 |
> Anti-Hacks:
Protège votre ordinateur des hackers et autres tentatives d'intrusion !
|
 |
||
publicité
articles les plus lus
 |
|
Kaspersky Anti Virus 2012 :
Telechargez gratuitement la protection essentielle contre les virus !
|
|
||
classement FAI
Retrouvez chaque semaine le classement des fournisseurs d'accès avec 
1 Numericable2 Darty câble 30Mbps3 Orange
> Plus de détails
1 Numericable2 Darty câble 30Mbps3 Orange
> Plus de détails
 |
|
Mystery Case Files : The 13th Skull
Menez une enquête palpitante en Louisiane
|
|
||
