Systèmes d’Information / Sécurité informatique

Méthodologie de AT & PARTNERS pour la conduite d’Audit Informatique et de Sécurité

Pour les différents audits en informatique et en sécurité, AT & PARTNERS passe par différentes phases:

Phase 1 : Préparation et déclenchement de l’audit

Le client devra mettre à disposition :

  • La documentation existante à  propos du système d’Information (politiques et procédures du système d’information, organigramme, les rapports d’audits précédents, schéma d’architecture réseau, les documentations relatifs aux déploiements effectués dans le Système d’information).
  • Opérer les sauvegardes avant l’audit ( S’assurer de tester la restauration en vue de garantir la fiabilité de sa sauvegarde).
  • Le plan d’adressage.

Le client devra également avoir pris connaissance du contenu de :

  • La charte d’audit informatique et de sécurité.
  • Le client devra valider le périmètre de l’audit et en restreindre des éléments ci-nécessaire.
  • Le client devra valider la charte par apposition de la signature de son management et retourner la dite charte signé à  AT & PARTNERS qui se chargera de lui transmettre en retour une offre financière de l’audit.
  • Les documents ci-dessus précités constitueront le mandat de l’audit.

Phase 2 : Exécution de l’audit

Audit Organisationnel :

L’audit organisationnel  est réalisé conformément aux normes ISO 17799, ISO 27001 et les recommandations ITIL. Il couvrira notamment les champs:

  • Politiques de sécurité du Système d’Information ;
  • Processus et procédures ;
  • Organisation de la sécurité de l’information ;
  • Sécurité liée aux ressources humaines ;
  • Gestion des actifs et contrôle d’accès aux locaux ;
  • Sécurité physique (Contrôle d’accès, certification du câblage,…) ;
  • Sécurité liée à l’exploitation ;
  • Sécurité des communications et échanges ;
  • Acquisition, développement et maintenance du SI ;
  • Relations avec les tiers / fournisseurs ;
  • Gestion des incidents liés à la sécurité ;
  • Aspects de la sécurité de l’information dans la gestion de la continuité des activités (Plan de secours informatique, plan de gestion de crise, plan de repeuplement.) ;
  • Audit du support aux utilisateurs et de la gestion du parc informatique.

Audit des projets informatiques

  • Enjeux des projets ;
  • Planification et instances de pilotages ;
  • Méthodes et outils ;
  • Analyse et Conception ;
  • Tests et recettes ;
  • Conduite du changement ;
  • Formation / Documentation ;
  • Mise en production ;
  • Gestion des évolutions / Améliorations continues.

Audit technique

Tests d’intrusions externes

A cette étape nous réalisation des simulations sans information préalable à  partir de l’extérieur (Le test de pénétration se fera en étant à  l’extérieur du réseau local). Nous procéderons tel un hacker n’ayant à  la base aucune information sur l’organisation cible.

Tests d’intrusions internes

Des tests internes permettrons d’évaluer les privilèges et niveaux d’accréditation qu’un utilisateur même disposant des accès légitimes dans le système pourra  outrepasser.  Il s’agira des tests de pénétration interne à savoir:

  • Détournement des mécanismes d’authentification sur les applications métiers.
  • Audit de perméabilité par rapport aux applications critiques.
  • Ecoute du réseau.
  • Usurpation d’identité.
  • Denis de Service (DoS).
  • Gain de privilège.
  • Maintien de l’accès.

Audit d’architecture

  • Positionnement des différents équipements dans l’architecture / Dispositifs de sécurité.
  • Evaluation des stratégies de sécurité relativement à l’interne et l’externe.
  • Identification des risques et vulnérabilités.
  • Analyse des risques.

Audit des configurations

  • Passage en revue des fichiers de configuration et configuration type au niveau des dispositifs de sécurité.
  • Configuration (En termes d’authentification, Base de données, Système d’exploitation, Environnement de virtualisation, téléphone IP).
  • Confrontation des configurations actuelles avec des bonnes pratiques dans le domaine (normes).

Audit réseau et secours énergétique

  • Certification du câblage.
  • Performance du réseau.
  • Plan d’adressage.
  • Interconnexion avec les tiers.
  • Règle de filtrage.
  • Evaluation du réseau sans fil.

 

Audit des applications web

 

Audit des postes de travail

Audit de sécurité du poste de travail en conformité avec les pratiques dans le domaine.

 

Phase 3: Appréciation générale

  • Constat.
  • Analyse des risques.
  • Recommandations.

Phase 4: Rapports

  • Rédaction d’une première version du rapport de l’audit pour validation.
  • Séance de présentation du rapport .
  • Soumission du rapport à  l’équipe commanditaire de l’audit.
  • Finalisation du rapport de l’audit avec la prise en compte des remarques.