PREMIER MINISTRE

Secrtariat gnral de la dfense et de la scurit nationale Agence nationale de la scurit des systmes dinformation

PRESTATAIRES DAUDIT DE LA SECURITE DES SYSTEMES DINFORMATION

Rfrentiel dexigences
Version 0.9 du 11 mai 2011

PROJET
pour appel commentaires

51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP

Sommaire
1. Introduction ....................................................................................................................... 3 Contexte rglementaire ................................................................................................... 3 Contexte technique ......................................................................................................... 3 Objet du document .......................................................................................................... 4 Terminologie................................................................................................................... 4 Structure du document .................................................................................................... 5 2. Activits daudit vises par le rfrentiel ........................................................................ 5 2.1. Audit de code source ...................................................................................................... 6 2.2. Audit de configuration .................................................................................................... 6 2.3. Audit darchitecture ........................................................................................................ 6 2.4. Audit organisationnel...................................................................................................... 6 2.5. Tests dintrusion ............................................................................................................. 6 2.6. Activits daudit non couvertes par le rfrentiel ........................................................... 6 3. Exigences relatives au prestataire daudit ...................................................................... 7 3.1. Exigences gnrales ........................................................................................................ 7 3.2. Charte dthique.............................................................................................................. 8 3.3. Gestion des ressources et des comptences .................................................................... 8 3.4. Protection de linformation du prestataire daudit ........................................................ 10 4. Exigences relatives aux auditeurs .................................................................................. 10 4.1. Aptitudes gnrales ....................................................................................................... 10 4.2. Formation et exprience ............................................................................................... 10 4.3. Aptitudes et connaissances spcifiques laudit .......................................................... 10 4.4. Engagements ................................................................................................................. 11 5. Exigences relatives au droulement dun audit ............................................................ 11 5.1. Dfinition de laudit et de son primtre ...................................................................... 11 5.2. Exigences relatives aux activits daudit ...................................................................... 11 5.2.1. Audit de code source ............................................................................................. 11 5.2.2. Audit de configuration .......................................................................................... 12 5.2.3. Audit darchitecture............................................................................................... 12 5.2.4. Audit organisationnel ............................................................................................ 12 5.2.5. Tests dintrusion .................................................................................................... 13 5.3. Convention daudit ....................................................................................................... 13 5.4. Prparation et dclenchement de laudit ....................................................................... 14 5.5. Excution de laudit ...................................................................................................... 15 5.6. Restitution ..................................................................................................................... 15 5.7. Elaboration du rapport daudit ...................................................................................... 15 5.8. Conclusion de laudit .................................................................................................... 16 6. Rfrences documentaires .............................................................................................. 17 6.1. Textes rglementaires ................................................................................................... 17 6.2. Normes et documents techniques ................................................................................. 17 6.3. Autres rfrences documentaires .................................................................................. 18 7. Annexe A : Liste dtaille des comptences techniques dun prestataire daudit ..... 18 8. Annexe B : Recommandations lintention des commanditaires daudits................ 19 8.1. Recommandations gnrales ........................................................................................ 19 8.2. Types daudit recommands par lANSSI .................................................................... 19 1.1. 1.2. 1.3. 1.4. 1.5.

Page 2 sur 21

PREMIER MINISTRE

Secrtariat gnral de la dfense et de la scurit nationale Agence nationale de la scurit des systmes dinformation

1.

Introduction 1.1. Contexte rglementaire

Lordonnance n 2005-1516 du 8 dcembre 2005, relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives, introduit la notion de prestataires de services de confiance (PSCO), publics ou privs, et prvoit quils peuvent obtenir une qualification attestant de leur conformit au rfrentiel gnral de scurit (RGS). La version en vigueur du RGS ne permet la qualification que de deux types de PSCO : les prestataires de services de certification lectronique et les prestataires de services dhorodatage lectronique. Afin denrichir les prestations de services contribuant la scurisation des systmes dinformation et susceptibles dtre qualifies selon le schma dcrit au chapitre IV du dcret n 2010-112, dit dcret RGS , du 2 fvrier 2010 pris pour lapplication des articles 9, 10 et 12 de lordonnance prcite, lANSSI labore un rfrentiel dexigences lintention des prestataires de services qui ralisent des audits techniques de la scurit des systmes dinformation des autorits administratives. 1.2. Contexte technique Les avantages et gains associs la dmatrialisation des processus et documents, aux changes par voie lectronique ainsi que linterconnexion des systmes dinformation Internet ne sont plus dmontrer mais ne sont pas sans risques. En effet, les points dinterconnexion avec lextrieur (et en particulier les tlservices) sont autant daccs quun attaquant peut tenter dutiliser pour sintroduire au sein mme du systme dinformation de lorganisme, pour drober, dnaturer ou encore dtruire son patrimoine informationnel. Pour sen protger, les organismes doivent, l'issue d'une dmarche de gestion des risques, scuriser leur systme dinformation de faon adapte et proportionne. Les mesures de scurit mises en place dans ce but peuvent tre de diffrentes natures : organisationnelles, physiques et techniques. Sur ce dernier volet, la mise en uvre de produits de scurit est certes fondamentale, mais elle ne suffit pas : labsence dapplication des mises jour et des correctifs de scurit, le maintien de mots de passe faibles ou constructeur, la mauvaise configuration de logiciels ou le non respect de rgles lmentaires de scurit lors du dveloppement dun logiciel ou dune application sont autant de vulnrabilits exploitables par un attaquant. Laudit est lun des moyens disposition de tout organisme pour prouver et sassurer du niveau de scurit de son systme dinformation. Il permet, en pratique, de mettre en vidence les forces mais surtout les faiblesses et vulnrabilits du systme dinformation. Ses conclusions permettent didentifier des axes damlioration et de contribuer ainsi llvation de son niveau de scurit, en vue, par exemple, de son homologation de scurit.

10

15

20

25

30

51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP

35

1.3. Objet du document Lautorit administrative, si elle dcide dexternaliser la prestation daudit de la scurit de son systme dinformation, doit attacher le plus grand soin dans le choix du prestataire. En effet, lactivit daudit est trs critique eu gard aux vulnrabilits quelle est susceptible de rvler ainsi qu lexploitation qui pourrait en tre faite. De plus, lautorit administrative audite doit disposer de garanties sur la comptence du prestataire daudit et de ses auditeurs, sur la qualit des audits quils effectuent et sur la confiance quelle peut leur accorder, notamment en matire de confidentialit et de dontologie, avant de lui donner accs son systme et aux informations quil contient. Cest dans le but didentifier de tels prestataires de confiance que lANSSI souhaite permettre la qualification, au sens du dcret RGS , des prestataires daudit de la scurit des systmes dinformation . A ce titre, le prsent rfrentiel contient les exigences que les prestataires daudit de la scurit de systmes dinformation doivent respecter pour tre qualifis au sens du RGS.

40

45

50

Il fournit galement des recommandations afin dorienter les autorits administratives, et plus gnralement les commanditaires daudits, dans leurs expressions de besoins, et les prestataires daudit dans les solutions quils leur proposent. Les prestataires qui feront lobjet dune qualification, attestant de leur conformit aux exigences du prsent rfrentiel, garderont la facult de raliser des prestations de services et des activits daudit en dehors du primtre pour lequel ils sont qualifis (cf. chapitre 2.6), mais ne pourront, pour celles-ci, se prvaloir du label. Par ailleurs, le commanditaire dun audit en dehors de ce primtre peut slectionner dans ce rfrentiel, dans le cadre de son expression de besoin, les exigences pertinentes pour son audit que les prestataires daudit candidats devront respecter. 1.4. Terminologie

55

60

Les dfinitions ci-dessous sont issues de la norme ISO 19011, du glossaire du document relatif la stratgie publique de la France en matire de dfense et de scurit des systmes dinformation et de lordonnance n 2005-1516 du 8 dcembre 2005 relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives. Rfrentiel : le prsent document. Autorit administrative : sont considres comme autorits administratives les administrations de lEtat, les collectivits territoriales, les tablissements publics caractre administratif, les organismes grant des rgimes de protection sociale relevant du code de la scurit sociale et du code rural ou mentionns aux articles L. 223-16 et L. 351-21 du code du travail et les autres organismes chargs de la gestion dun service public administratif. Systme dinformation : tout ensemble organis de ressources (matriel, logiciels, personnel, donnes et procdures) permettant de traiter et de diffuser de linformation. Scurit dun systme dinformation : ensemble des moyens techniques et non-techniques de protection, permettant un systme dinformation de rsister des vnements susceptibles de compromettre la disponibilit, lintgrit ou la confidentialit des donnes, traites ou transmises et des services connexes que ces systmes offrent ou rendent accessibles. Audit : sous-ensemble des activits daudit de la scurit dun systme dinformation correspondant celles dcrites au chapitre 2. Prestataire daudit : organisme ralisant des prestations daudits de la scurit des systmes dinformation. Auditeur : personne ralisant un audit pour le compte dun prestataire daudit.

65

70

75

Page 4 sur 21

80

85

90

95

100

105

Responsable dquipe daudit : personne responsable de laudit et de la constitution de lquipe daudit, en particulier de la complmentarit de leur comptences. Commanditaire de laudit : organisme client du prestataire daudit, et qui ordonne laudit. Audit : organisme(s) audit(s) responsable(s) de tout ou partie du systme dinformation audit1. Le commanditaire de laudit peut tre laudit. Primtre daudit : environnement physique et logique dans lequel se trouve le systme dinformation ou la portion du systme dinformation, sur lequel laudit est effectu. Convention daudit : accord crit entre un commanditaire et un prestataire daudit pour la ralisation dun audit. Dans le cas o le prestataire daudit est un organisme priv, la convention daudit est le contrat. Critres daudit : ensemble des rfrentiels, guides, procdures ou exigences applicables la scurit du systme dinformation audit. Preuves daudit : enregistrements, noncs de faits ou autres informations qui se rapportent aux critres daudit et sont vrifiables. Constats daudit : rsultats de lvaluation des preuves daudit recueillies par rapport aux critres daudit. Champ de laudit : tendue et limites de laudit. Rapport daudit : document de synthse labor par le prestataire daudit lissue de laudit et remis au commanditaire de laudit. Il prsente les rsultats de laudit et en particulier les vulnrabilits dcouvertes ainsi que les mesures correctives proposes. Etat de lart : ensemble des bonnes pratiques, des technologies et des documents de rfrence relatifs la scurit des systmes dinformation publiquement accessibles un instant donn, et des informations qui en dcoulent de manire vidente. Ces documents peuvent tre propres laudit, mis en ligne sur Internet par la communaut de la scurit des systmes dinformation, diffuss par des organismes de rfrence, ou encore dorigine rglementaire. Ltat de lart suit une volution permanente et ncessite que les auditeurs mettent jour par une veille active leurs comptences et leur mthodologie rgulirement. 1.5. Structure du document Les exigences du rfrentiel sont prsentes en trois domaines : celles relatives au prestataire daudit (chapitre 3), celles relatives aux auditeurs (chapitre 4) et celles relatives au droulement de laudit (chapitre 5). Lannexe A dtaille les comptences techniques, thoriques et pratiques, que doit possder le prestataire daudit. Lannexe B donne des recommandations lintention des autorits administratives dans le but de les aider exprimer leurs besoins en termes daudit et rdiger dventuels appels doffres.

110

115

2.

Activits daudit vises par le rfrentiel

Ce chapitre prsente les activits daudit quun prestataire daudit conforme aux exigences du prsent rfrentiel doit tre en mesure de proposer au commanditaire de laudit. Les exigences associes ces activits sont dcrites au chapitre 5. Ce chapitre prcise galement les activits daudit non couvertes par le rfrentiel.
Exemples : prestataires dhbergement, dinfogrance, dexploitation et dadministration du systme dinformation, de tierce maintenance applicative
1

Page 5 sur 21

120

2.1. Audit de code source Laudit de code source consiste en lanalyse de tout ou partie du code source dune application dans le but dy dcouvrir des vulnrabilits, lies de mauvaises pratiques de programmation ou des erreurs de logique, qui pourraient avoir un impact en terme de scurit. 2.2. Audit de configuration

125

Laudit de configuration a pour vocation de vrifier la mise en uvre des bonnes pratiques de scurit dans la configuration des dispositifs matriels et logiciels dploys dans un systme dinformation. Ces dispositifs peuvent notamment tre des quipements rseau, des produits de scurit, des serveurs, des systmes dexploitation ou des applications. 2.3. Audit darchitecture

130

Laudit darchitecture consiste en la vrification de la prise en compte des bonnes pratiques de scurit relatives au choix, au positionnement, au dploiement et la mise en uvre des dispositifs matriel et logiciels dploys dans un systme dinformation. Laudit peut tre tendu aux interconnexions avec des rseaux tiers, et notamment Internet. 2.4. Audit organisationnel

135

Laudit de lorganisation de la scurit vise sassurer que les politiques et procdures de scurit dfinies par laudit pour assurer le maintien en conditions oprationnelles et de scurit dune application ou de tout ou partie du systme dinformation sont conformes au besoin de scurit de lorganisme audit, ltat de lart ou aux normes en vigueur, compltent correctement les mesures techniques mises en place, et enfin sont mises en pratique. 2.5. Tests dintrusion Le principe du test dintrusion est de vrifier lexploitabilit et limpact des vulnrabilits dcouvertes sur le systme dinformation audit, dans les conditions relles dune attaque sur le systme dinformation, la place dun utilisateur malveillant potentiel.

140

145

Cette activit daudit peut tre ralise soit depuis lextrieur du systme dinformation audit (notamment depuis Internet ou le rseau interconnect dun tiers), soit depuis lintrieur. Un test dintrusion seul na pas vocation tre exhaustif. En revanche, il sagit dune activit qui peut tre effectue en complment des activits dcrites dans les chapitres 2.1, 2.2, 2.3 et 2.4 afin den amliorer lefficacit ou de dmontrer la faisabilit de lexploitation des failles et vulnrabilits dcouvertes des fins de sensibilisation.

150

2.6. Activits daudit non couvertes par le rfrentiel Le rfrentiel ne couvre pas : - les audits de systmes dinformation traitant dinformations relevant du secret de la dfense nationale ; - les audits de la scurit physique des locaux ; - les audits raliss au titre dune certification une norme2 ; - les audits de systmes industriels de type SCADA ; - les audits isols de dtection (scan) de vulnrabilits ; - les prestations utilisant des mthodes dingnierie sociale.
2

155

Normes ISO 27001 et 27005 par exemple.

Page 6 sur 21

3. 160

Exigences relatives au prestataire daudit 3.1. Exigences gnrales

Les exigences listes dans ce chapitre portent sur les domaines suivants : juridique, structurel, responsabilit, sant financire et impartialit du prestataire daudit. a) Le prestataire doit tre une entit dote de la personnalit morale de faon pouvoir tre tenu juridiquement responsable de toutes ses activits daudit. Une autorit administrative qui agit comme prestataire daudit est considre comme tel sur la base de sa qualit dautorit administrative. b) Le prestataire daudit ralise ses audits dans le cadre dune convention daudit. c) Le prestataire daudit assume lentire responsabilit de laudit quil ralise pour le compte du commanditaire de laudit, en particulier des dommages ventuellement causs au cours de laudit. d) Le prestataire daudit doit pouvoir apporter la preuve quil a valu les risques rsultant de ses activits daudit et quil a pris les dispositions appropries pour couvrir les risques rsultant de ses prestations daudit. 175 Il est, ce titre, recommand que le prestataire daudit souscrive une assurance couvrant les dommages ventuellement causs aux systmes dinformation de ses clients, y compris aprs la livraison de la prestation. e) Le prestataire daudit peut sous-traiter une partie de laudit demand par le commanditaire de laudit un prestataire daudit qualifi conforme aux exigences du prsent rfrentiel sous rserve que : - il existe une convention ou un cadre contractuel documents entre le prestataire daudit et le sous-traitant ; - le recours la sous-traitance est connu et accept par le commanditaire et laudit. f) Le prestataire daudit est tenu de respecter la lgislation et la rglementation en vigueur sur le territoire franais, notamment en matire de traitements de donnes caractre personnel3, de prt de main duvre illicite, de proprit intellectuelle4 et de fraude informatique5. g) Le prestataire daudit doit dcrire lorganisation de son activit daudit. h) Le prestataire daudit doit garantir que les informations quil fournit, y compris la publicit, ne sont ni fausses ni trompeuses. 190 i) Le prestataire daudit doit dcrire ses sources de revenus et tre en capacit dapporter la preuve quil est libre de toutes pressions commerciales, financires ou susceptibles de compromettre son impartialit et la qualit de ses prestations. j) Tous les documents produits par le prestataire daudit lors des audits doivent tre au moins fournis en langue franaise. 195 k) Le prestataire daudit doit sengager ce que les audits quil effectue soient raliss en toute impartialit.

165

170

180

185

Loi n 78-17 du 6 janvier 1978 modifie relative linformatique, aux fichiers et aux liberts, loi n 91-646 du 10 juillet 1991 modifie sur le secret des correspondances, loi n 2004-669 du 9 juillet 2004 relative aux communications lectroniques et aux services de communication audiovisuelle. 4 Exemples : licences des logiciels utiliss, des scripts et programmes dvelopps. 5 Articles 323-1 et suivants du code pnal.

Page 7 sur 21

l) Le prestataire daudit doit tre en mesure didentifier les conflits dintrt potentiels relatifs tout audit envisag, quils rsultent des auditeurs ou des activits antrieures ou prvues du prestataire daudit, et apporter la preuve de la manire dont il limine ou limite ce risque au maximum. 200 m) Le prestataire daudit ne doit pas divulguer un tiers dinformations relatives laudit, obtenues ou accdes lors dun audit, sauf autorisation crite de ce dernier (cf. chapitres 3.2. et 5.3). n) Le prestataire daudit doit raliser la prestation de manire loyale, en toute bonne foi et dans le respect de laudit, de son personnel et de ses infrastructures. 205 Les points 3.1.d, 3.1.h et 3.1.i ne sappliquent quaux prestataires daudit privs. 3.2. Charte dthique a) Le prestataire daudit doit disposer dune charte dthique prvoyant notamment que : - les prestations daudit sont ralises avec loyaut, discrtion, impartialit et indpendance ; - les auditeurs ne recourent quaux mthodes, outils et techniques valids par le prestataire daudit ; - les auditeurs sengagent ne pas divulguer dinformations obtenues ou gnres dans le cadre des audits ; - les auditeurs signalent au commanditaire de laudit tout contenu illicite dcouvert durant laudit ; - les auditeurs sengagent respecter la loi et la rglementation en vigueur ainsi que les bonnes pratiques lies laudit. b) Le prestataire daudit doit faire signer la charte daudit aux auditeurs quil emploie. 3.3. Gestion des ressources et des comptences a) Le prestataire daudit doit employer un nombre suffisant dauditeurs et de responsables dquipe daudit pour assurer totalement et dans tous leurs aspects les audits pour lesquels il a tabli des conventions daudit avec des commanditaires daudits. b) Le prestataire daudit doit sassurer, pour chaque audit, que les auditeurs dsigns pour raliser laudit ont les comptences techniques et organisationnelles requises. 225 c) Le prestataire daudit doit sassurer du maintien jour des comptences des auditeurs. Pour cela, il doit disposer dun processus de formation et assurer une veille technologique6. d) En matire de recrutement, le prestataire daudit doit procder une vrification des formations, qualifications et rfrences professionnelles des auditeurs candidats et de la vracit de leur CV. Le prestataire daudit peut demander au candidat une copie du bulletin n 3 de son casier judiciaire. e) Un processus disciplinaire doit tre labor par le prestataire daudit lintention des salaris ayant enfreint les rgles de scurit ou la charte dthique.

210

215

220

230

Le prestataire daudit peut par exemple mettre en place une formation continue, des modules d'auto-formation, des sminaires internes, sabonner des revues spcialises, contracter avec un ou plusieurs CERT, disposer d'un accs une ou plusieurs bases de vulnrabilits offrant un certain niveau de garantie en matire de couverture et de ractivit ou toute autre mthode lui permettant dassurer lvolutivit de ses comptences ainsi que celles de ses auditeurs.

Page 8 sur 21

235

f) Le prestataire daudit est responsable des outils (logiciels ou matriel) utiliss par ses auditeurs et de leur bonne utilisation (prcautions dusage, matrise de la configuration). Pour cela, il doit mettre en uvre un processus de formation des auditeurs ses outils et assurer une veille technologique sur leur mise jour. g) Le prestataire daudit doit sassurer que les comptences techniques, thoriques et pratiques, de lensemble des auditeurs quil emploie couvrent les domaines suivants, dtaills dans lannexe A : - protocoles et rseaux ; - systmes dexploitation ; - couche applicative ; - systmes de gestion de bases de donnes ; - technologies sans-fil ; - tlphonie ; - virtualisation ; - dveloppement doutils utiliss adapts la cible audite dans le cadre des audits ou des tests dintrusion ; - utilisation des outils techniques, matriel et logiciels, mis disposition par le prestataire daudit. Par ailleurs, il est recommand que le prestataire daudit dispose de comptences en matire de rseaux de tlcommunication. h) Le prestataire daudit doit sassurer que les comptences organisationnelles, thoriques et pratiques, de lensemble des auditeurs quil emploie couvrent les exigences suivantes : - matrise des rfrentiels techniques et rglementaires : o le RGS et les rfrentiels cryptographiques associs ; o les normes ISO 27001 et ISO 27002 ; o les guides et rfrentiels7 de lANSSI ; o les textes rglementaires relatifs la scurit des systmes dinformation, aux audits et aux sujets connexes8. - matrise des domaines relatifs lorganisation de la scurit des systmes dinformation : o analyse des risques ; o politique de scurit des systmes dinformation ; o chaines de responsabilits en scurit des systmes dinformation ; o scurit lie aux ressources humaines ; o gestion de lexploitation et de ladministration du systme dinformation ; o contrle daccs logique au systme dinformation ; o dveloppement et maintenance des applications ; o gestion des incidents lis la scurit de linformation ;
7

240

245

250

255

260

265

Mthode de gestion de risques EBIOS 2010, guide pour llaboration dune PSSI, guide dlaboration de tableaux de bord SSI, guide dintgration de la SSI dans les projets, guide relatif la maturit SSI, guide de lexternalisation. Tous ces guides sont publis sur http://ssi.gouv.fr. 8 Notamment les rgles relatives la protection de la vie prive, du secret professionnel, des correspondances prives ou des donnes caractre personnel, aux atteintes aux intrts fondamentaux de la nation, au terrorisme, aux atteintes la confiance publique, la proprit intellectuelle, lusage des moyens de cryptologie, au patrimoine scientifique et technique national.

Page 9 sur 21

270 -

o gestion du plan de continuit de lactivit. matrise des techniques daudit : o conduite dentretien ; o visite sur site ; o analyse documentaire. 3.4. Protection de linformation du prestataire daudit

275

280

a) Les informations sensibles relatives aux audits, et notamment les preuves, les constats et les rapports daudit, doivent tre protgs au niveau Diffusion Restreinte. Le systme que le prestataire daudit utilise pour le traitement de ces informations doit respecter les rgles de linstruction interministrielle relative aux mesures de protection des systmes d'information traitant d'informations sensibles non classifies de dfense de niveau Diffusion Restreinte (document en cours de validation). b) Il est recommand que le systme que le prestataire daudit utilise pour le traitement des informations voques au a) soit certifi selon la norme ISO 27001.

4. 285

Exigences relatives aux auditeurs 4.1. Aptitudes gnrales

a) Lauditeur doit disposer des qualits personnelles dcrites au chapitre 7.2 de la norme ISO 19011. b) Lauditeur doit matriser la rglementation applicable aux audits. 290 c) Lauditeur doit disposer de qualits rdactionnelles et de synthse et savoir sexprimer loral de faon claire et comprhensible, en langue franaise. 4.2. Formation et exprience Il est recommand que lauditeur : - soit issu dune cole dingnieur dlivrant un diplme reconnu par la commission des titres dingnieur, ou ait suivi un cursus universitaire de niveau Master minimum, avec une spcialisation en informatique ; - justifie dau moins deux annes dexprience dans le domaine des systmes dinformation et de communication ; - justifie dau moins une anne dexprience dans le domaine de la scurit des systmes dinformation ; - justifie dau moins une anne dexprience dans le domaine de laudit de systmes dinformation. 4.3. Aptitudes et connaissances spcifiques laudit a) Lauditeur doit matriser les bonnes pratiques et la mthodologie daudit dcrite dans la norme ISO 19011 et tre en mesure de raliser des audits conformment aux exigences relatives au droulement dune prestation daudit (cf. chapitre 5) ; b) Lauditeur doit disposer de connaissances techniques ou organisationnelles approfondies parmi celles dcrites au 3.3.g et dtailles dans lannexe A ainsi que celles dcrites au 3.3.h.

295

300

305

Page 10 sur 21

4.4. Engagements a) Lauditeur doit avoir un contrat avec le prestataire daudit. 310 b) Lauditeur doit avoir sign la charte dthique labore par le prestataire daudit.

5.

Exigences relatives au droulement dun audit 5.1. Dfinition de laudit et de son primtre

315

La dfinition du primtre de laudit et la description de laudit attendu, formules gnralement dans un appel doffres, sont du ressort du commanditaire de laudit (une autorit administrative dans le cadre du RGS). Lannexe B du rfrentiel fournit des recommandations de lANSSI cet effet. Bien que le prestataire daudit ne puisse quadapter et moduler sa proposition de service la demande, il doit informer, dans la mesure du possible, et titre de conseil, le commanditaire daudit des recommandations de lannexe B.

320

5.2. Exigences relatives aux activits daudit Lorsquelles sont demandes par le commanditaire de laudit, les activits daudit ralises par le prestataire daudit doivent tre conformes aux exigences prcises ci-dessous. Les numrations listes dans les chapitres 5.2.1 5.2.5 sont donnes titre indicatif et ne sont pas exhaustives. Par ailleurs, elles ne doivent tre ralises que lorsquelles sont applicables la cible audite. 5.2.1. Audit de code source

325

a) Le code source doit tre fourni au prestataire daudit ainsi que la configuration des lments de compilation et dexcution, dans les limites des droits dont disposent le commanditaire de laudit et laudit. 330 b) Le : prestataire daudit doit, a minima, vrifier la scurit des parties du code source relatives lauthentification ; la gestion des utilisateurs ; le contrle daccs aux ressources ; les interactions avec dautres applications ; les relations avec les systmes de gestion de bases de donnes ; la conformit des exigences de scurit relative lenvironnement dans laquelle est dploye lapplication.

335

340

c) Le prestataire daudit doit, a minima, rechercher les vulnrabilits suivantes : cross-site scripting, injections SQL, cross-site Request Forgery, erreurs de logique applicative, dbordement de tampon ( buffer overflow ), dni de service, excution de commandes arbitraires, inclusion de fichiers (locaux ou distants), fuites dinformations. d) Les audits de code source peuvent tre raliss manuellement ou automatiquement par des outils spcialiss. Les phases automatises, ainsi que les outils utiliss, doivent tre identifis dans les livrables et en particulier dans le rapport daudit.

345

Page 11 sur 21

5.2.2.

Audit de configuration

a) Les lments de configuration des cibles audites doivent tre fournis au prestataire daudit. Ils peuvent tre rcuprs manuellement ou automatiquement, partir dun accs privilgi sur les cibles audites, sous la forme de fichiers de configuration ou de captures dcran. 350 Cette action peut tre entreprise directement par lauditeur aprs accord de laudit. b) Le prestataire daudit doit, a minima, vrifier la scurit des configurations : - des quipements rseau de type commutateurs ou routeurs (rgles de filtrage et de configuration de VLAN par exemple) ; - des quipements de scurit de type pare-feu ou relais inverse (filtrant ou non) et leurs rgles de filtrage ; - des systmes dexploitation ; - des systmes de gestion de bases de donnes ; - des services rseau classiques : SSH, HTTP, SMTP, DNS... ; - des serveurs dapplications : JBoss, Apache Tomcat, IBM Websphere... ; - des quipements de tlphonie ; - des environnements de virtualisation. c) Le prestataire daudit doit, lissue de laudit de la configuration effectuer des recommandations sur : - les mcanismes dauthentification (robustesse des mots de passe) ; - les mcanismes cryptographiques utiliss ; - les rgles de filtrage rseau (entre, sortie, routage, NAT...) ; - les bonnes pratiques en matire de segmentation par VLAN ; - les bonnes pratiques de durcissement des systmes dexploitation et des services rseau. 5.2.3. Audit darchitecture a) Le prestataire daudit doit procder la revue des documents suivants : - schmas darchitectures de niveau 2 et 3 du modle OSI ; - matrices de flux ; - rgles de filtrage ; - configuration des quipements rseau (routeurs et commutateurs) ; - interconnexions avec des rseaux tiers ou Internet ; - documents darchitecture technique lis la cible. b) Le prestataire daudit peut organiser des entretiens avec le personnel concern par la mise en place et ladministration de la cible audite, notamment en ce qui concerne les procdures dadministration. 5.2.4. Audit organisationnel

355

360

365

370

375

380

a) Le prestataire daudit doit analyser la scurit des domaines relatifs lorganisation de la scurit des systmes dinformation sur la base des rfrentiels techniques et rglementaires en utilisant les techniques daudit dcrits au 3.3.h.

Page 12 sur 21

5.2.5. 385

Tests dintrusion

390

395

a) Lquipe daudit en charge de la ralisation dun test dintrusion sur une cible donne devrait effectuer les phases suivantes et dans lordre indiqu : - phase bote noire : lauditeur ne dispose daucune autre information que les adresses IP et URL associes la cible audite. Cette phase est gnralement prcde de la dcouverte dinformations et lidentification de la cible par interrogation des services DNS, par le balayage des ports ouverts, par la dcouverte de la prsence dquipements de filtrage... ; - phase bote grise : les auditeurs disposent des connaissances dun utilisateur standard du systme dinformation (authentification lgitime, poste de travail standard ...). Les identifiants peuvent appartenir des profils dutilisateurs diffrents afin de tester des niveaux de privilges distincts ; - phase bote blanche : les auditeurs disposent du maximum dinformations techniques (architecture, code source, contacts tlphoniques, identifiants...) avant de dmarrer lanalyse. Ils ont galement accs des contacts techniques lis la cible. b) Le prestataire daudit doit avoir un contact permanent avec laudit et lauditeur doit prvenir le commanditaire de laudit et laudit avant toute action qui pourrait entraner un dysfonctionnement, voire un dni de service de la cible audite. c) Lorsquelles sont connues pour rendre la cible audite instable voire provoquer un dni de service, les vulnrabilits dcouvertes ne devraient pas tre exploites. Labsence de tentative dexploitation de telles vulnrabilits doit tre indique et justifie dans le rapport daudit. 5.3. Convention daudit

400

405

a) La convention tablie entre le prestataire daudit et le commanditaire de laudit doit : dcrire le primtre et les modalits de laudit (jalons, livrables attendus en entre, les livrables prvus en sortie, objectifs, champs et critres de laudit...) ; prciser les noms, rles, responsabilits et le besoin den connatre des personnes dsignes par le prestataire daudit, le commanditaire de laudit et laudit ; prvoir que laudit ne peut dbuter sans une autorisation formelle du commanditaire de laudit ; prciser les actions qui ne peuvent tre menes sur le systme dinformation auditer sans autorisation expresse du commanditaire de laudit, ainsi que leurs modalits (mise en uvre, personnes prsentes, dure, excutant) ; prciser les dispositions dordre logistique mises disposition du prestataire daudit par laudit (moyens matriels, humains, techniques) ; inclure les clauses relatives lthique du prestataire daudit ; prvoir la non divulgation un tiers, par le prestataire daudit et par les auditeurs, de toute information relative laudit et laudit, sauf autorisation crite ; stipuler que le prestataire daudit ne fait pas intervenir dauditeur ayant fait lobjet dune condamnation pour fraude informatique, nayant pas de relation contractuelle avec lui ou n'ayant pas sign sa charte dthique ; prvoir une clause relative aux risques potentiels lis la prestation, notamment en matire de disponibilit (dni de service lors du scan de vulnrabilits dune machine ou dun serveur par exemple) ;

410

415

420

425

Page 13 sur 21

dfinir les rgles de titularit des lments protgs par la proprit intellectuelle tels que les outils dvelopps spcifiquement pour laudit.

Il est recommand que la convention prvoie une procdure de recueil du consentement des audits pour la ralisation de laudit. 430 5.4. Prparation et dclenchement de laudit a) Le prestataire daudit doit nommer un responsable dquipe daudit pour tout audit quil effectue. b) Le responsable dquipe daudit doit constituer une quipe dauditeurs ayant les comptences adaptes la nature de laudit. Le responsable dquipe daudit peut, sil dispose des comptences suffisantes, raliser laudit lui-mme et seul. c) Le responsable dquipe daudit doit, ds le dbut de la prparation de l'audit, tablir un contact avec les personnes responsables de laudit chez laudit. Ce contact, formel ou informel, a notamment pour objectif dtablir les circuits de communication et de prciser les modalits dexcution de laudit. 440 d) Le responsable dquipe daudit labore un plan d'audit. Ce plan daudit couvre en particulier les points suivants : les objectifs, champs et critres de laudit, le primtre technique et organisationnel de la prestation, les dates et lieux o seront menes les activits daudit et notamment celles ventuellement menes chez laudit, les informations gnrales sur les runions de dmarrage et de clture de la prestation, les auditeurs qui constituent lquipe daudit, la confidentialit des donnes rcupres et lanonymisation des constats et des rsultats. e) Les objectifs, le champ, les critres et le planning de laudit doivent tre dfinis entre le prestataire daudit et le commanditaire de laudit, en considration des contraintes dexploitation du systme dinformation de laudit. Ces lments doivent figurer dans la convention ou dans le plan daudit. f) En fonction de lactivit daudit, lquipe dauditeurs doit obtenir, le cas chant, avant le dbut mme de laudit, toute la documentation existante (exemples : politique de scurit, analyse des risques, procdures dexploitation de la scurit) de laudit relative la cible audite dans lobjectif den faire une revue. 455 g) Laudit ne doit dbuter qu'aprs une runion formelle au cours de laquelle les reprsentants habilits du prestataire daudit et ceux de laudit confirment leur accord sur l'ensemble des modalits de la prestation. Cette runion peut tre tlphonique. h) Le prestataire doit sensibiliser son client sur lintrt de sauvegarder et prserver les donnes prsentes sur les machines audites. 460 i) En pralable, et dans le cas spcifique des tests dintrusion, une fiche dautorisation doit tre signe par le commanditaire de laudit, laudit et dventuelles tierces parties. Elle prcise en particulier : - la liste des cibles audites (adresses IP, noms de domaine, ) ; - la liste des adresses IP de provenance des tests ; - la date et les heures exclusives des tests ; - la dure de lautorisation.

435

445

450

465

Page 14 sur 21

5.5. Excution de laudit a) Le responsable dquipe daudit doit tenir inform le commanditaire de laudit des vulnrabilits majeures dcouvertes au cours de l'audit. Il doit rendre compte immdiatement laudit de tout lment constat prsentant un risque immdiat et significatif, et dans la mesure du possible, lui proposer des mesures permettant de lever ce risque. b) Les constatations et observations effectues par les auditeurs doivent tre factuelles et bases sur la preuve. 475 c) Les auditeurs doivent rendre compte des constats daudit au responsable dquipe daudit, lequel peut en avertir sans dlai sa hirarchie ainsi que laudit. d) Les constats daudit doivent tre documents, tracs, et conservs. e) Les actions susceptibles dentraner une compromission dinformations sensibles ou un dni de service doivent tre effectues en prsence de laudit. 480 f) Le prestataire daudit et les auditeurs doivent prendre toutes les prcautions utiles pour prserver la confidentialit des documents et informations relatives laudit. g) Les actions et rsultats des auditeurs du prestataire daudit sur le systme dinformation audit, ainsi que leurs dates de ralisation, devraient tre tracs. Ces traces peuvent par exemple servir identifier les causes dun incident technique survenu lors de laudit. 5.6. Restitution 485 Ds la fin de laudit, et sans attendre que le rapport daudit soit achev, le responsable dquipe daudit doit restituer laudit et au commanditaire de laudit les constats et les premires conclusions de laudit, ainsi que, le cas chant, les vulnrabilits majeures et critiques qui ncessiteraient une action rapide ainsi que les recommandations associes. 5.7. Elaboration du rapport daudit 490 a) Pour tout audit, le prestataire daudit doit tablir un rapport daudit. b) Le rapport daudit doit contenir en particulier : - une synthse, comprhensible par des non experts, qui prcise : o le contexte et le primtre de laudit9 ; o les vulnrabilits critiques, dorigine technique ou organisationnelle, et les mesures correctives proposes ; o lapprciation du niveau de scurit global du systme dinformation audit. - un tableau synthtique des rsultats de laudit, qui prcise : o la synthse des vulnrabilits releves, classes selon lchelle de valeur dcrite au 5.7.c) ; o la synthse des mesures correctives proposes, classes par criticit et par complexit ou cot estim de correction ; - lorsque raliss, une description du droulement linaire des tests dintrusion et de la mthodologie employe pour dtecter les vulnrabilits et, le cas chant, les exploiter ; - une analyse de la scurit du systme dinformation audit, qui prsente les rsultats des diffrentes activits daudit ralises.
9

470

495

500

505

Compte tenu du fait que le commanditaire dispose gnralement dj dune description du primtre audit, dans la convention daudit ou dans le plan daudit, la synthse du contexte du primtre de laudit peut tre trs succincte.

Page 15 sur 21

510

515

520

525

530

c) Les vulnrabilits, quelles soient dorigine technique ou organisationnelle, doivent tre classes en fonction de leur impact sur la scurit du systme dinformation et leur difficult dexploitation ; autrement dit en fonction du risque quelles font peser sur le systme dinformation et selon lchelle de valeur suivante : - Mineur : faible risque sur le systme dinformation et pouvant ncessiter une correction ; - Important : risque modr sur le systme dinformation et ncessitant une correction moyen terme ; - Majeur : risque majeur sur le systme dinformation ncessitant une correction court terme ; - Critique : risque critique sur le systme dinformation et ncessitant une correction immdiate. La difficult dexploitation correspond au niveau dexpertise et aux moyens ncessaires la ralisation de lattaque. Elle est apprcie selon lchelle suivante : - Facile : exploitation triviale, sans outil particulier ; - Modre : exploitation ncessitant des techniques simples et des outils disponibles publiquement ; - Eleve : exploitation de vulnrabilits publiques ncessitant des comptences en scurit des systmes dinformation et le dveloppement doutils simples ; - Difficile : exploitation de vulnrabilits non publies ncessitant une expertise en scurit des systmes dinformation et le dveloppement doutils spcifiques et cibls. Limpact correspond aux consquences que lexploitation de la vulnrabilit peut entrainer sur le systme dinformation de laudit. Il est apprci selon lchelle suivante : - Faible : pas de consquence directe sur la scurit du systme dinformation audit ; - Modr : consquences isoles sur des points prcis du systme dinformation audit ; - Important : consquences restreintes sur une partie du systme dinformation audit ; - Critique : consquences gnralises sur lensemble du systme d'information audit. Le tableau suivant indique les risques inhrents aux vulnrabilits dcouvertes, en fonction de leur difficult dexploitation et de leur impact prsum :
Difficult dexploitation Impact Faible Modr Important Critique Difficile Mineur Mineur Important Important Eleve Mineur Important Majeur Majeur Modre Important Important Majeur Critique Facile Majeur Majeur Critique Critique

535 d) Il doit tre mentionn dans le rapport daudit les rserves relatives lexhaustivit des rsultats de laudit (lies aux dlais contraints de laudit, la disponibilit des informations demandes). 5.8. Conclusion de laudit a) Une runion de clture de laudit doit tre organise suite la livraison du rapport daudit. Cette runion permet de prsenter la synthse du rapport daudit, des dmonstrations dexploitation de certaines failles, et dorganiser un jeu de questions / rponses.

540

Page 16 sur 21

545

b) Le responsable dquipe daudit doit faire signer laudit un document attestant de l'intgrit et du bon fonctionnement du systme dinformation qui a t audit, dgageant ainsi, dans le principe, la responsabilit des auditeurs et du prestataire daudit de tout problme postrieur laudit. c) Toutes les traces obtenues par le prestataire daudit doivent tre restitues laudit ou, sur sa demande, dtruites.

550

d) Le prestataire daudit doit fournir, la fin de laudit, les dveloppements spcifiques raliss lors de laudit pour valider les scnarios dexploitation des vulnrabilits. Ces dveloppements peuvent tre fournis sous la forme de scripts ou de programmes compils, accompagns de leur code source, ainsi que dune brve documentation de mise en uvre et dutilisation. e) Laudit est considr comme termin lorsque toutes les activits prvues ont t ralises et que le commanditaire de laudit a reu et approuv le rapport daudit. f) Il est recommand de proposer au commanditaire de laudit deffectuer un audit de validation afin de vrifier si les mesures correctives proposes lors de laudit ont t correctement mises en uvre.

555

6. 560

Rfrences documentaires 6.1. Textes rglementaires

Ordonnance n 2005-1516 du 8 dcembre 2005 relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives. 565 Dcret n 2010-112 du 2 fvrier 2010 pris pour lapplication des articles 9, 10 et 12 de lordonnance n 2005-1516. Arrt du 6 mai 2010 portant approbation du rfrentiel gnral de scurit et prcisant les modalits de mise en uvre de la procdure de validation des certificats lectroniques http://www.ssi.gouv.fr/rgs. 570 Instruction interministrielle Recueil de mesures de protection des systmes dinformation traitant dinformations sensibles non classifies de dfense de niveau Diffusion Restreinte, version du 28 avril 2011 (en cours de validation). 6.2. Normes et documents techniques Norme internationale ISO 17021 : Evaluation de la conformit, exigences pour les organismes procdant laudit et la certification de systmes de management. 575 Norme internationale ISO 19011 : Lignes directrices pour laudit des systmes de management de la qualit ou de management environnemental. Norme internationale ISO 27001 : Techniques de scurit Systmes de gestion de la scurit de linformation Exigences. 580 Norme internationale ISO 27002 : Techniques de scurit Code de bonne pratique pour la gestion de la scurit de l'information. Guides et documentation de lOpen Web Application Security Project (OWASP). Guides de dveloppement scuris Microsoft http://msdn.microsoft.com/fr-fr/library/ms954624.aspx Guides de dveloppement scurit Java http://www.oracle.com/technetwork/java/seccodeguide-139067.html

Page 17 sur 21

6.3. Autres rfrences documentaires 585 Dfense et scurit de linformation Stratgie publique (de la France) Glossaire Publi sur http://www.ssi.gouv.fr.

7.

Annexe A : Liste dtaille des comptences techniques dun prestataire daudit

590

595

600

605

610

615

620

Les lments suivants sont donns dans le but de dcrire prcisment les exigences requises au titre de la rgle 3.3.g) : - Protocoles et rseaux : o protocoles rseau et infrastructures (TCP/IP, mcanismes de routage, IPsec, MPLS, ) ; o protocoles applicatifs courants (HTTP, SMTP, DNS, FTP, LDAP, SSH, protocoles Microsoft, ) ; o configuration et scurisation des principaux quipements rseau du march (parefeu, commutateurs, routeurs, relais inverses). - Systmes dexploitation (environnement et durcissement) : o architectures Microsoft (domaines Active Directory, principaux mcanismes de scurit Windows, GPO, ) o systmes UNIX/Linux ; - Couche applicative : o mthodes dintrusion dans le contexte dapplications web et principales vulnrabilits rencontres (injections SQL, Cross-Site Scripting, erreurs de logiques, etc.) ; o guides et principes de dveloppement scurit, tels que ceux produits par la communaut de lOpen Web Application Security Project, OWASP, Microsoft ou Oracle ; o audit dapplications lourdes de type client/serveur ; o langages de programmation dans le cadre daudits de code (PHP, Java, ASP.NET, C, C++...). - Systmes de gestion de bases de donnes : o configuration et durcissement des solutions du march (Oracle, Microsoft SQL Server, MySQL, PostgreSQL, ) ; o techniques dintrusion sur les SGBD (excution de requtes, lvation de privilges, rebond). - Technologies sans-fil : o 802.11 (Wi-Fi). - Tlphonie : o Audits de PABX ; o ToIP (IPBX, protocoles de VoIP). - Virtualisation o configuration et durcissement des solutions du march (VMware, Citrix (Xen), VirtualBox, KVM, Hyper-V) ; o architecture des plates-formes de virtualisation.

Page 18 sur 21

625

630

Les comptences thoriques et pratiques des auditeurs du prestataire daudit permettant de couvrir le domaine technique facultatif li aux rseaux de tlcommunications recommandes au paragraphe 3.3.g sont les suivantes : o Architectures des rseaux de tlcommunication ; o Protocoles SS7 / SIGTRAN ; o GSM, GPRS, UMTS...

8.

Annexe B : Recommandations lintention des commanditaires daudits

Cette annexe liste les recommandations de lANSSI lintention des autorits administratives, et plus gnralement des commanditaires daudits, dans le cadre de la passation de marchs publics, ainsi quaux prestataires daudit dans le cadre de leur devoir de conseil. 635 8.1. Recommandations gnrales a) Il est recommand que le prestataire puisse fournir des rfrences permettant destimer de sa comptence : rfrences clients, participation des programmes de recherche... b) Les audits devraient tre le plus exhaustif possible, tout en tenant compte des contraintes temporelles et budgtaires du commanditaire de laudit. c) La dure de laudit demand par les commanditaires daudits devrait tre adapte en fonction : - du primtre daudit et de sa complexit ; - des exigences de scurit attendues du systme dinformation audit. d) Afin de rduire le volume global dlments auditer et donc le cot de laudit, et tout en conservant un primtre daudit pertinent, il devrait tre ralis un chantillonnage respectant les principes suivants : - pour les audits de configuration, seuls les serveurs les plus sensibles sont audits : contrleurs de domaine Active Directory, serveurs de fichiers, serveurs dinfrastructure (DNS, SMTP, etc.), serveurs applicatifs... - pour un audit de code source, seules les parties sensibles du code source sont audites : gestion des authentifications, gestion des contrles daccs des utilisateurs... e) Il est prfrable de raliser les audits sur un environnement de test (ou de pr-production ) afin dviter les consquences lies aux ventuels dysfonctionnements sur un environnement de production. Ceci dit, afin de garantir la pertinence de laudit, il convient de sassurer que cet environnement soit similaire celui de production. 8.2. Types daudit recommands par lANSSI a) LANSSI recommande aux commanditaires et aux prestataires daudit de la scurit des systmes dinformation de recourir et demander des audits composs des activits daudit suivantes : - audit applicatif : o audit de code source ; o audit de configuration (serveur dapplication, serveur HTTP, base de donnes). - audit dun centre serveur : o audit darchitecture rseau (liaison entre les diffrentes zones et entits, filtrage) ;

640

645

650

655

660

Page 19 sur 21

665

670

675

680

685

o audit de configuration (quipements rseau et de scurit, serveurs dinfrastructure) ; o audit organisationnel. - audit dun rseau bureautique : o audit darchitecture rseau ; o audit de configuration (quipements rseau, serveurs bureautique, serveurs AD) ; o audit organisationnel. - audit dune plate-forme de tlphonie : o audit darchitecture ; o audit de configuration (quipements rseau et de scurit, IPBX, tlphones). - audit dune plate-forme de virtualisation : o audit darchitecture ; o audit de configuration (quipements rseau et de scurit, systmes de virtualisation). Cette liste est non exhaustive et peut tre complte par les commanditaires daudits et les prestataires daudit. b) Chacun des types daudit dcrits ci-dessus peut inclure lactivit de tests dintrusion. c) En revanche, lactivit de tests dintrusion ne devrait jamais tre ralise seule et sans aucune autre activit daudit. En effet, un test dintrusion peut servir de complment pour un audit de configuration ou de code auquel il est adoss afin damliorer la porte de ce dernier. Ceci permet par exemple de vrifier quune faille dcouverte lors dun audit de code source est bien exploitable dans les conditions dexploitation de la plate-forme, ainsi que les consquences de cette exploitation (excution de code, fuite dinformations, rebond...). d) Les tests dintrusion ne devraient pas tre raliss sur des plates-formes dhbergement mutualises

Page 20 sur 21

PREMIER MINISTRE

Secrtariat gnral de la dfense et de la scurit nationale Agence nationale de la scurit des systmes dinformation

51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP