1. Définir une politique de sécurité : l'audit organisationnel précède l'audit technique

S'abonner :

Newsletters

Magazines

01men.

L'audit de sécurité

[ LE POINT SUR… L'AUDIT DE SÉCURITÉ ]
1. Définir une politique de sécurité : l'audit organisationnel précède l'audit technique
L'audit de sécurité est une vue interne du système d'information qu'il ne faut pas confondre avec des tests externes. Deux types d'audits se complètent, plus qu'ils ne s'opposent.

Jérôme Saiz , Décision Micro (n° 492), le 21/01/2002 à 00h00

"On met aujourd'hui beaucoup de choses dans le mot audit. Il devient urgent de se mettre d'accord sur le sens du terme ! ", s'exclame Stéphane Laurentin, consultant et RSSI chez Cashware. Et il a raison : en deux ans, les services " d'audit " de sécurité se sont multipliés, pour finalement rassembler, sous un terme commun, des prestations aussi différentes qu'un test d'intrusion ou un scan de vulnérabilité. Toutes ces prestations ne méritent pourtant pas l'appellation d'audit : " L'audit est une prestation locale. Le test, à l'opposé, est dirigé de l'extérieur de l'entreprise. Les actions ne sont pas les mêmes, même si, au final, les recommandations vont dans le même sens " , clarifie Frédéric Préto, directeur général et technique de la société Linkware. Voilà qui élimine d'emblée toutes les actions extérieures au réseau de l'entreprise.

L'audit organisationnel est cher mais efficace

Il existe deux types d'audit : technique et organisationnel. Contrairement à une idée répandue, l'audit technique n'est vraiment utile qu'après une analyse organisationnelle : " L'audit technique s'adresse à un client déjà mûr en terme de sécurité : il a déjà identifié ses risques, mis en place un plan d'action et ce n'est qu'à ce moment-là que nous intervenons ", confirme Jean-Philippe Isckia, responsable des audits chez CF6 du Groupe Telindus. Si l'on veut bien faire, donc, exit la simple prestation d'un consultant venu donner son avis sur la configuration d'un coupe-feu isolé. Mieux vaut d'abord recourir à un véritable audit organisationnel, certes plus cher, mais qui permettra alors d'identifier les points vulnérables, que l'on soumettra ensuite à un audit technique. Commencer par un audit technique revient en fait à prendre le problème à l'envers et peut coûter très cher en prestations techniques peu vitales. " Ne s'intéresser qu'aux vulnérabilités de son système informatique n'est pas forcément efficace. L'important est de mettre en adéquation ce qui est crucial et les risques encourus. Si un aspect du système d'information est vital et que les risques de survenance d'un sinistre sont élevés, c'est là qu'il faudra se pencher en priorité pour en diminuer la vulnérabilité " , explique Jean-Philippe Jouas, consultant et membre du Clusif.

Voilà qui positionne clairement l'audit organisationnel comme première étape d'un processus plus long, qui pourra éventuellement déboucher sur des audits techniques, des tests d'intrusion ou des scans de vulnérabilité.

Les vulnérabilités passées au crible

Un réseau a de nombreux points d'entrée pour le pirate. L'audit de sécurité offre une vision globale du système d'information afin de savoir quels éléments sont à protéger en priorité.Exemples :1. Quelle importance a la connexion Internet ? Un filtrage est-il en place ?2. Prend-il en compte toutes les connexions, même celles peu connues, jugées " pratiques " par les administrateurs ?3. Un PABX " intelligent " est-il indispensable ? Est-il bien configuré ?4. Existe-t-il une charte de sécurité ? Les utilisateurs la respectent-ils ?5. Doit-on toujours avoir accès au mainframe par Minitel ?6. Dans l'entreprise, qui peut y accéder?7. Des sauvegardes sont-elles effectuées régulièrement ? Par qui ?