Samedi 21 octobre 2017
NASDAQ : 6629.0532 23.9863   nasdaq0.36 %
RECHERCHE
OK
 
NEWSLETTER
newsletter
Abonnez-vous gratuitement
à notre newsletter
hebdomadaire - Cliquez ICI
Indexel
  • DOSSIERS
  • PRATIQUE
pub Publicité
 

SECURITE

Audit technique de sécurité : indispensable mais insuffisant

Imprimer Envoyer à un ami Contacter la rédaction
Par Jérôme Saiz le 15/01/2003 - indexel.net
 

L´audit de sécurité technique entre dans le vif du sujet : plus exhaustif que l´audit organisationnel, il valide une application, une passerelle, voire l´architecture même du système d´information. Les auditeurs sont alors des techniciens et ne se contentent plus de poser des questions : ils auscultent eux-mêmes les rouages de la machine. Mais attention : un audit technique réalisé seul a une utilité limitée.

 

L´audit technique séduit les PME : plus concret et plus abordable qu´un audit organisationnel, il permet d´avoir l´assurance que son pare-feu est bien configuré, que sa passerelle de courrier est correctement déployée ou que l´application maison ne fragilise pas la sécurité du réseau local. C´est surtout l´aspect concret de la prestation, réalisée sur le terrain par des ingénieurs spécialisés, qui rassure. "L´idée de payer des gens pour venir poser des questions et gratter du papier (lors d´un audit organisationnel, ndlr) ne plaît pas vraiment aux PME !", fait ainsi observer Olivier Caleff (photo ci-dessus), directeur technique de la SSII Apogée Communications.

En pratique, un audit technique concerne les composants du système d´information. Il s´agit d´une étude exhaustive à la fois du matériel (choix et redondance des équipements, placement sur le réseau...) et du code (failles dans une application web, contrôle d´accès trivial...). Plus complet, il exige d´ausculter réellement les applications et doit donc être appliqué à des points-clés du SI clairement identifiés. "Les entreprises commandent un audit organisationnel environ tous les deux ans. Les audits techniques sont eux plus récurrents. Ils sont réalisés par exemple à la mise en ligne d´une nouvelle plate-forme, d´un nouvel outil, d´une passerelle Internet ou d´une architecture d´authentification à distance des utilisateurs", confirme Hervé Daussin (photo ci-dessous), directeur commercial de Lynx Technologies.

Des armes très diverses

Les armes de l´audit technique sont très diverses : les auditeurs peuvent ausculter le code source des applications s´il est disponible (d´où l´intérêt d´avoir recours à des logiciels libres), mais aussi procéder à des tests d´intrusion. Ils se chargent également de traquer les failles connues et les erreurs de configuration les plus évidentes pour les équipements mis en oeuvre. "Les entreprises nous demandent le plus souvent de valider des architectures composées de produits du marché assemblés entre eux, ainsi que leur configuration", poursuit Hervé Daussin. Il reste qu´identifier les architectures à examiner n´est pas chose facile pour qui n´a pas réalisé un audit organisationnel préalable. "L´audit technique concerne souvent les PME déjà sensibilisées à la sécurité. Les autres ont déjà bien du mal à travailler avec un antivirus et le mettre à jour !", constate Olivier Caleff.

Des tarifs abordables pour la plupart des PME

Ainsi, dans une configuration idéale, l´audit technique suit une étude organisationnelle, qui aura permis d´identifier les points critiques du système d´information qu´il est nécessaire de valider plus en détail. "La meilleure approche est de commencer par un audit organisationnel afin d´avoir une vue globale de l´état de sécurité du système d´information et d´identifier les risques potentiels. Ce n´est qu´après que l´on peut passer à un audit technique, dans lequel la recherche de vulnérabilités ou les tests d´intrusion peuvent jouer un rôle", confirme Joël Gasparato (photo ci-contre), responsable conseil pour le groupe Telindus.

Pour les autres, les PME qui n´ont pas encore subi d´audit ou ne sont pas vraiment sensibilisées à la sécurité, mieux vaut opter d´emblée pour un audit organisationnel adapté aux PME (voir la première partie de ce dossier), qui constituera une bien meilleure base pour sa politique de sécurité qu´une série de prestations techniques éparses. Elles pourront alors ensuite, à défaut de poursuivre par un audit technique, se tourner vers la détection de vulnérabilités en mode ASP, avec des sociétés telles Qualys, Intranode ou Vigilante.

"Ces outils permettent aux PME de mettre le pied à l´étrier de la sécurité. Après l´anti-virus et le firewall, le test de vulnérabilités automatisé en ASP est souvent la prochaine étape de la PME", préconise Olivier Caleff.Les tarifs des audits techniques sont cependant abordables pour beaucoup de PME. Le prix moyen observé chez plusieurs SSII reconnues est de 1000 euros par jour. La durée va d´une journée pour les audits les plus simples (un serveur web, une messagerie) à quatre ou cinq jours (une architecture complète).

 
Partager :
 
pub Publicité

CloudStack by IkoulaCloudStack by Ikoula

Cloud Computing : Atouts et freins, acteurs du marché, conseils et témoignages