Lundi 11 décembre 2017
NASDAQ : 0.0 0   nasdaq0 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Audit de sécurité : ne vous trompez pas sur la marchandise

Imprimer Envoyer à un ami Contacter la rédaction
Par Jérôme Saiz le 08/01/2003 - indexel.net
 

Entre audits organisationnels et techniques, tests d´intrusions ou simple analyse des vulnérabilités, le terme d´audit est certainement l´un des plus galvaudés du vocabulaire informatique. Pourtant, le véritable audit est une nécessité. Encore faut-il savoir ce que l´on commande. Explications.

 

Un audit de sécurité a pour objectif d´évaluer les risques encourus par le système d´information et de préconiser des parades. Dit comme cela, l´affaire paraît simple. Mais toutes les SSII ne fournissent pas sous ce vocable le même service. Certaines dépêchent un technicien pour installer et configurer un simple pare-feu, tandis que d´autres revendent des tests de vulnérabilités automatisés depuis Internet. D´autres encore se targuent d´ausculter le code source des applications maison, à la recherche de vulnérabilités oubliées par l´équipe de développement. Et toutes appellent cela un audit. Mais qu´est-ce que le véritable audit de sécurité ?

L´audit est avant tout une prestation interne, par opposition au test, qui se contente de mesurer la perméabilité en périphérie du réseau. Exit donc les tests de vulnérabilités automatisés, et même les tests d´intrusion. L´audit est ainsi l´affaire d´équipes dépêchées sur site afin de pratiquer des mesures. Même lorsqu´il est dit "technique", l´audit demeure interne : il est réalisé sur la base du code source, et non simplement d´une tentative de compromettre l´application depuis l´extérieur durant son fonctionnement. Autre critère essentiel : l´audit met en lumière des faiblesses et propose obligatoirement des solutions pour chacune d´elles.

L'audit organisationnel : une vue d'ensemble essentielle

La portée de l´audit définit ensuite son type : il sera organisationnel ou technique. Le premier couvre l´ensemble du système d´information de l´entreprise, de son personnel à ses procédures. Le second étudie en détail une architecture particulière (passerelle, interconnexion, application...). Il est plus courant de commencer par un audit organisationnel, qui est une mesure globale du système d´information et de ses points faibles. "Commencer par un audit technique, c´est prendre les choses par le mauvais bout. C´est un peu comme écrire une application sans avoir fait un cahier des charges. Il faut prendre un peu de recul par rapport à la sécurité, et avoir déjà défini un référentiel", explique Hervé Daussin (photo), directeur commercial de la société Lynx Technologies, qui pratique les deux types d´audit. La prestation organisationnelle permet ainsi de couvrir l´ensemble du système d´information et d´en identifier les dysfonctionnements et les risques potentiels. "L´audit général (organisationnel, ndlr) permet de définir ce que l´on veut faire. Il dicte les règles, la politique de sécurité, les normes. Cela donne une "cible" de sécurité, qui peut ensuite servir de mètre étalon lors d´audits successifs", poursuit Hervé Daussin.

Concrètement, un audit organisationnel dure entre 20 et 40 jours. Le prestataire dépêche un ou plusieurs consultants chez son client. Après une première série de réunions, chargées de définir le périmètre de l´audit, de nommer des correspondants au sein de l´entreprise et de planifier ses interventions, l´auditeur commence son travail. Il ne s´agit pas d´une analyse technique, mais plutôt d´un jeu de questions-réponses : qui s´occupe des sauvegardes ? Comment sont-elles planifiées ? Qui a accès à la salle des serveurs ? Combien de jeux de clés existe-t-il ? Qui les détient ? Qu´est-il prévu en cas de panne de courant ? Ces questions sont classées par thèmes (sécurité physique, contrôle d´accès, sabotage, pannes, erreurs humaines...). L´auditeur ne les invente pas : elles proviennent d´une méthode d´audit reconnue, dite "formelle" (Marion, Mehari, Melisa, Ebios...). En intégrant ensuite les réponses au moteur d´évaluation de la méthode (sa "logique"), l´auditeur obtient une mesure de la sécurité du système d´information de l´entreprise, et peut alors proposer des parades aux risques jugés les plus critiques, selon différents scénarii de crise.

Savoir là où ça fait mal

Mais ces méthodes sont lourdes, contiennent des milliers de questions dont toutes ne sont pas applicables dans le contexte de l´entreprise auditée et, surtout, qui demanderaient des mois de travail si elles devaient toutes être posées. La PME ne peut se les offrir et, d´ailleurs, la majorité des questions ne la concerne pas. C´est donc au prestataire de faire un tri, et de ne sélectionner qu´un sous-ensemble adapté au métier de l´entreprise. C´est ici que se fait la différence entre deux auditeurs et c´est ici aussi que naissent des méthodes dites "propriétaires", ou adaptées. "En PME, ce que nos clients veulent, c´est du concret rapidement. L´objectif est d´obtenir en un laps de temps restreint une visibilité des risques et un plan d´action. C´est pour cela aussi qu´il faut savoir adapter la méthode... sinon, on peut y passer 6 mois. Il faut donc identifier les priorités spécifiques à l´entreprise. C´est l´expérience du consultant qui fait alors la différence", explique Hervé Daussin.

Un avis partagé par Olivier Caleff (photo ci-dessus), directeur technique de la SSII Apogée Communications : "Sur le terrain, on ne peut de toute façon pas travailler idéalement avec une méthode : le résultat ne correspondra pas à l´attente du client si on se contente de la suivre à la lettre. Les PME sont très pragmatiques, elles veulent des réponses efficaces : savoir là où ça peut leur faire mal. Elles se moquent de savoir si elles répondent à des standards, telle la norme ISO". L´audit de sécurité dit "organisationnel" s´adapte donc aujourd´hui aux PME, qui ont poussé à plus de pragmatisme : les méthodes formelles, lourdes, qui ont donné à l´audit sa réputation de prestations réservées aux grands comptes, ne servent plus que de base. En les adaptant et n´utilisant qu´un sous-ensemble de leurs questions les plus pertinentes, saupoudré de celles issues de leur connaissance du terrain, les SSII proposent un audit organisationnel plus pragmatique, mais toujours aussi essentiel. Car le référentiel de sécurité ainsi créé est un document vital : il s´agit du mètre étalon garant du niveau de sécurité de l´entreprise dans le temps.

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages