Symantec France
Sites globaux
Produits et Services
Achats
Support
Partenaires/revendeurs
security response
Tlchargements
propos de Symantec
Recherche
votre avis

 

© 1995-2008 Symantec Corporation.
Tous droits réservés.
Mentions Légales
Politique de Confidentialité
Solutions PME/PMI

L'audit de sécurité : une nécessité méconnue

L'audit de sécurité est une nécessité dès lors que l'entreprise exploite un système d'information connecté. Et cela, quelles que soient sa taille et son activité. Mais une fois ce principe acquis, le passage à l'acte n'est pas toujours évident : qu'est-ce qu'un audit de sécurité réellement ?

On trouve de tout sur le marché de l'audit de sécurité : certains prestataires offrent une simple évaluation des vulnérabilités depuis Internet, d'autres prétendent mesurer les risques qui pèsent sur le système d'information de l'entreprise, et d'autres enfin promettent de s'introduire sur les systèmes afin d'en évaluer la résistance. Et tout cela est appelé communément « audit de sécurité » mais est vendu à des tarifs forts différents. Cela n'est guère étonnant car il s'agit en réalité de prestations qui n'ont pas grand chose à voir !
Le véritable audit de sécurité est celui dit « organisationnel ». Il s'agit d'une démarche lourde qui peut mobiliser une équipe de consultants spécialisés durant plusieurs semaines, et elle est de ce fait rarement appliquée à des entreprises de taille plus modeste.

Cet audit là a pour objectif de mesurer les éléments critiques de l'entreprise - ses processus métier, ses outils de production dont son système informatique, etc. -, d'identifier les risques qui pèsent sur ces derniers et, enfin, de confronter l'ensemble aux pratiques de sécurité existantes. Cette matrice complexe permet alors de mieux attribuer les ressources sécurité de l'entreprise - forcément limitées - afin de couvrir les risques les plus pressants ou de protéger les valeurs les plus critiques. Ce type d'audit est souvent facturé entre 1 500 et 2 000 euros la journée, et il est réalisé à l'aide de méthodes formelles telles Mehari, développée et entretenue par le Club de la Sécurité des Systèmes d'Information Français (Clusif), la méthode britannique CRAMM, inspirée des standards du gouvernement anglais, ou encore COBIT, développée par l'association anglo-saxonne ISACA. Voilà ce qui, pour les puristes de la sécurité, constitue un véritable audit : il est organisationnel avant d'être technique.

Détecter les failles connues avant qu'elles ne soient exploitées par les pirates

Mais la PME, elle, sera probablement plus intéressée par d'autres prestations qui, bien que se faisant appeler elles aussi « audit de sécurité », lui offrent une approche beaucoup plus concrète. C'est par exemple le cas des audits de vulnérabilités en ligne. Ici, il s'agit de détecter les éventuelles failles de sécurité du périmètre de l'entreprise (son système d'information tel qu'il peut être vu de l'extérieur, c'est à dire depuis Internet). L'opération est possible à l'aide de scanners de vulnérabilités qui s'appuient sur une base d'attaques connues et les essaient automatiquement toutes (hormis celles qui pourraient neutraliser les systèmes évalués, bien sûr). L'idée est de détecter les failles connues, celles régulièrement découvertes dans les serveurs web, FTP et autres applications, avant qu'elles ne soient exploitées par des pirates. L'avantage de ces tests tient à leur rapidité, leur simplicité de mise en oeuvre (il suffit souvent de les commander depuis Internet) et leur faible coût : guère plus de quelques milliers d'euros pour des tests illimités pendant une année sur un périmètre de quelques machines. Leur inconvénient, bien sûr, est que ces tests ne détectent vraiment que les failles connues et plutôt simples à exploiter.

Un résultat bluffant

Pour les autres - ces vulnérabilités pas si évidentes qui exigent une vraie expertise humaine afin d'être exploitées - il reste le test d'intrusion. Il s'agit ici de lancer des experts en sécurité à l'assaut de l'entreprise afin de voir comment ils parviennent à pénétrer son système d'information... et bien sûr de corriger ces failles avant qu'elles ne soient exploitées par de véritables pirates. Ces tests sont bien sûr plus chers que ceux automatisés, car ils exigent l'implication d'un expert. Ils durent généralement moins d'une semaine et sont facturés soit au forfait (souvent moins de 10 000 euros) soit à la journée, à un tarif proche de celui des audits organisationnels. Durant ces tests, l'expert va se comporter en véritable pirate et tenter de pénétrer le système à l'aide de toutes les astuces, de toutes les informations et de tous les outils dont il dispose. Le résultat est souvent bluffant et il n'est pas rare qu'à l'issue d'une telle prestation il lui soit possible de produire les fiches de salaire de l'ensemble de la direction générale ! La contre-partie de tels audits est leur portée parfois réduite : l'expert va percer un chemin dans l'entreprise à l'aide d'une série de vulnérabilités, et seules celles-ci seront identifiées, laissant dans l'ombre d'autres failles potentielles s'il ne les a pas recherchées activement.

Enfin, une dernière catégorie d'audits sont parfois proposés aux PME déjà mûres en termes de sécurité : l'audit purement technique. Proche de l'audit organisationnel (et souvent au même tarif !), l'audit technique va inspecter les rouages d'une nouvelle application web, d'un logiciel maison ou d'une série de serveurs, afin de s'assurer avant leur mise en ligne qu'ils ne présentent pas de faille de sécurité exploitable. Il s'agit alors d'une prestation hautement technique, dont la plupart des PME peuvent très bien se passer. Pour elles, des tests de vulnérabilités automatisés réguliers et des tests d'intrusion annuels constituent probablement la meilleure solution... et la moins chère !

Liens :

http://www.cramm.com/

http://www.isaca.org

https://www.clusif.asso.fr/fr/production/ouvrages/pdf/MEHARI_GB.pdf

Jérôme Saiz