fr | en
dessin

Audits et tests

Comment vous assurer que les mesures existantes protègent efficacement vos ressources informatiques? Les concepts développés sont-ils adéquats?

« Nous ne comprenons que ce que nous connaissons et nous ne connaissons que ce que nous savons mesurer. »

Les audits, les évaluations, les analyses et les tests sont les moyens d'acquérir cette connaissance par la mesure. De la simple évaluation de la sécurité à un test de pénétration intensif, Objectif Sécurité propose l'audit adapté à vos besoins. Une architecture sécurisée s'organise autour d'une série de composants protégés hiérarchiquement ordonnés:

  • stratégie, politique de sécurité
  • applications
  • bases de données
  • systèmes
  • protocoles
  • réseaux
  • équipements périmétriques/périphériques (routeurs, firewalls, proxies)

La totalité ou chacun des composants peut être examiné et audité par Objectif Sécurité.

D'autre part, la profondeur de l'audit est variable:

  • analyse de risques

    Définition

    L'analyse de risque est une opération préalable à l'élaboration de toute stratégie de sécurité informatique. Européennes ou américaines, de nombreuses méthodes existent aujourd'hui. La procédure utilisée par Objectif Sécurité a été développée pour le marché romand et répond aux souhaits de nombreux responsables de la sécurité des systèmes d'information.

    But

    L'analyse de risque permet de connaître les risques et les impacts associés à la matérialisation du risque. Elle débouche sur la définition des priorités dans le traitement des risques.
  • évaluation de la sécurité

    Définition

    L'évaluation du niveau de sécurité informatique d'un environnement consiste à le confronter aux bonnes pratiques en vigueur (best practices). Il est d'usage de comparer une politique de sécurité avec un standard tel l'ISO 27001. D'autres standard peuvent être utilisés : standards de l'International Security Forum (ISF) ou Sécurité de base (Grundschutz Handbuch) allemande.

    L'évaluation de la sécurité peut s'appliquer à divers composants individuels de l'architecture réseau (configuration des routeurs, des firewalls ou des proxy), des systèmes ou de l'environnement applicatif y compris les algorithmes.

    But

    L'objectif d'une évaluation est de s'assurer que la stratégie de sécurité informatique rejoint les bonnes pratiques. Le résultat de l'évaluation consiste en un ensemble de recommandations qui visent à adapter des processus, des procédures ou des configurations aux standards.

  • test de vulnérabilité

    Définition

    L'analyse de vulnérabilité s'effectue au moyen d'outils automatiques. Les outils sont adaptés au niveau hiérarchique de l'objet. Ainsi, un scanner réseau sera utilisé pour détecter les ports mal configurés d'un système. D'autres outils permettrons d'évaluer les règles de filtrage des firewalls ou les vulnérabilités présentes sur des systèmes. D'autres applications testeront les environnements Web (Cross Site Scripting, injection SQL, etc.)

    But

    Faire un état des lieux des vulnérabilités du système d'information.

  • test d'intrusion

    Définition

    Les tests d'intrusion reproduisent l'intégralité du mode opératoire d'une attaque réelle. Ils constituent la forme d'audit la plus élaborée et requièrent des compétences rares et pointues.

    Ce type de test peut se dérouler sans aucune connaissance préalable du système d'information du client (mode boîte noire). Le client peut aussi communiquer quelques informations préalables de manière à mettre l'accent sur certains points afin de maximiser la rentabilité du test (mode boîte grise).

    Les tests peuvent se dérouler exclusivement depuis Internet ou depuis l'intérieur du réseau de l'entreprise.

    La méthode d'intrusion comporte les étapes suivantes:

    1. reconnaissance de la cible
    2. scan des réseaux et services en ligne
    3. recherche de vulnérabilités
    4. exploitation des vulnérabilités
    5. acquisition de preuves de l'intrusion
    6. communication des résultats au client

    Ces tests se déroulent en étroite collaboration avec les responsables de l'infrastructure ciblée.

    But

    Le but de ces test consiste à évaluer la perméabilité d'une infrastructure (menace + vulnérabilité = risque) et les conséquences d'une éventuelle intrusion (dommages).
    De plus, le client bénéficie du transfert d'expérience concernant les pratiques de piratage les plus récentes.

| Audits | Conseil | Formation | Produits | OS Labs | Contact |

OS Objectif Sécurité SA  Route Cité-Ouest 19  CH-1196  Gland  Tel : +41 22 364 85 70  Fax : +41 22 364 85 79  
info@objectif-securite.ch