Академический Документы
Профессиональный Документы
Культура Документы
Agenda
Quel audit ? Selon quelle dmarche et avec quels outils ? Une "stratgie d'audit" Conclusion
09 Avril 2002
Quel audit ?
09 Avril 2002
rgles) d'une opration, d'une activit particulire ou de la situation gnrale d'une entreprise
Donc un audit ncessite : Un primtre Un rfrentiel Une mthode Des moyens et comptences
09 Avril 2002
Malversations et fraudes Divulgation, desinformation Sabotages (physiques et logiques) Engorgement, dnis de services, ...
Accidents
(incendie, dgts des eaux, )
Pannes
Erreurs
(conception, utilisation, exploitation)
...
valuer / comparer Amliorer Sensibiliser Analyser, sur incident Certifier / prouver ...
09 Avril 2002
Politique et les guides de scurit Procdures de scurit Respect de la lgislation en engagements contractuels La scurit physique Les procdures d'administration / exploitation Gestion des habilitations / accs Sauvegardes et secours La scurit des systmes et applications
09 Avril 2002
Dtection d'intrusion
Filtrage d'URL
Internet
Infrastructure rseau
Partenaires Public Postes nomades
Rseau Interne
RTC/RNIS
LS/FR
Routeurs
Serveurs internes
Supervision
09 Avril 2002
09 Avril 2002
Pour auditer, il faut : Un besoin clairement exprim Un primtre bien dfini Une mthode formelle ... Des outils ... Des moyens et des comptences ...
09 Avril 2002
Les mthodes "propritaires" Les auto - valuations ... Les valuations / certification ... Sans mthode formelle ...
09 Avril 2002
tre efficace tre crdible Se comparer ... C'est trop lourd ! C'est pas adapt ! C'est thorique (analyse et plan d'action) !
Oui, mais
Exige un rfrentiel rod (dtaill, clair, didactique, ) Demande confiance / engagement formel du "signataire" Demande des contrles (alatoires, par priorit, ...) Mais :
Difficile dans des environnements htrognes Les rsultats dpendent du "type de rpondant" Les plans d'actions sont aussi en majorit dcentraliser ...
09 Avril 2002
Agrs par la DCSSI et accrdit par le COFRAC Encore orient "matriel" (chiffrement, cartes puce, ) Des conditions de dveloppement encore "floues" Un dmarrage lent (une poigne de CESTI en France)
09 Avril 2002
Rfrentiels de scurit Tests de configuration ... Tests de vulnrabilit ... Tests d'intrusion ... ...
09 Avril 2002
Les rfrentiels de scurit La Politique de scurit de l'entreprise Les guides de scurit par environnement Les normes applicables
ISO 17799
Les tests de configuration "systme" Outils pour NT, W2K, UNIX, Mainframe (ESM de Symantec,
System Scanner de ISS, W2K, logiciels libres, )
Non intrusif, ni perturbateur Modulaire et progressif Ncessite une forte expertise pour la configuration
09 Avril 2002
Les tests de vulnrabilits "rseaux" Outils publics (Nessus, Satan, ) ou commerciaux (NetRecon
de Symantec, Internet Scanner de ISS, )
Demande une adresse / plage(s) IP, domaine NT, ... Ncessite une expertise Utilis par les "hackers" ...
09 Avril 2002
Les tests de vulnrabilits en ligne Plthore d'offres en mode ASP Vision externe uniquement et test de ractivit des quipes Bases de vulnrabilits jour, compltes, Plug in
spcifiques
Cot d'investissement "rduit" Service "complet", rcurent, peu d'implication client Chacun a sa mthode de restitution / notation Intrusif possible mais non souhait Rapports trs (trop ?) automatiss
09 Avril 2002
III
09 Avril 2002
Plan d'actions dtaill et "participatif" Audits rguliers large primtre Comparaison site site ou vis vis de "la profession" Mthode rigoureuse et applications rgulires Audits participatifs / auto valuation
...
09 Avril 2002
Conclusion
09 Avril 2002
Conclusion
Le "sur mesure" est indispensable Dfinir ses besoins et en dduire sa stratgie Mettre en uvre les recommandations Approche technique ou fonctionnelle ? Les outils automatiss sont utiles, voire indispensables Oui mais
Ils offrent une photo un instant T mais pas dans le temps ni sur les cas "exceptionnels" Il faut les paramtrer et exploiter les rsultats Ils ne couvrent pas tout le primtre (organisation, procdures, juridiques, traitement des incidents, ) Ils ne sensibilisent pas
Organisation / responsabilits, principes, procdures, analyse de risque, respect des obligations juridiques, ...