TC Consulting. Réalisé par : M. T. CHOUKRI AUDIT DE SECURITE INFORMATIQUE T. CHOUKRI 1

Transcription

1 AUDIT DE SECURITE INFORMATIQUE Réalisé par : M. T. CHOUKRI T. CHOUKRI 1

2 Méthodologie d audit de la sécurité du SI TC Consulting a développé une méthodologie d audit de sécurité des systèmes d informations communicants. Elle est basée sur les normes en usage dans le monde et en particulier la Norme ISO Son objectif est de fournir au responsable de la sécurité et à l ensemble du S.I.C. une vision simple, synthétique et chiffrée des risques, de leurs causes et de leurs conséquences. Cette synthèse peut être complétée de façon optionnelle par un plan d action et de réalisation détaillé et chiffré. Elle est décomposée en quatre phases indépendantes : 1. Analyse sécuritaire de l architecture du réseau et du SI 2. Questionnaire d audit de sécurité QCM_ISO_ Tests d intrusion 4. Plan d action détaillé et chiffré pour chaque phase et plan de synthèse éventuel La phase 1 est obligatoire car elle permet de préparer et de personnaliser les phases 2 et 3. Pour les phases 1,2 et 3 les livrables sont constitués du rapport de réalisation de l étude, d une synthèse descriptive de la nature des risques et des recommandations correspondantes. Enfin TC Consulting peut superviser la mise en œuvre de ce plan dans le cadre d une prestation d assistance à la maîtrise d ouvrage ou bien en assurer la réalisation dans le cadre d une prestation d assistance à la maîtrise d œuvre. T. CHOUKRI 2

3 Description des phases de la méthode Présentation / Méthode QCM _ISO_27002 est une méthode d audit de sécurité Basée sur la Norme ISO_27002 sous forme d un Questionnaire à Choix Multiple Couvrant l ensemble des aires fonctionnelles de sécurité d un Système d Information : Aire sécurisée Responsabilité & Exploitation Evolution du système Protection contre logiciels Dangereux Sauvegarde du SI Contrôle réseau Sécurité des Médias Echanges d'informations Contrôle d'accès Responsabilité de l'utilisateur Contrôle d'accès Réseau Contrôle des accès aux systèmes Contrôle d'accès applications Supervision Plan de secours Check Résultats QCM _ISO_27002 permet d élaborer le niveau de conformité à la Norme ISO_27002, des Benchmarking quantifiables, et des plans d action sous forme de chantiers Aire sécurisé Plan de secours 10 Supervision Contrôle d'accès applications Contrôle des accès aux systèmes Contrôle d'accès Réseau Rosace Sécurité SI 5 0 Responsabilité de l'utilisateur Contrôle d'accès Do Responsabilité & Exploitation Evolution du système Protection contre logiciels Dangereux Sauvegarde du SI Contrôle réseau Sécurité des Médias Echanges d'informations Année 1 Intérêts QCM _ISO_27002 est une méthode d audit de sécurité Rigoureuse et Facile Permettant un travail collaboratif Dont les résultats sont quantifiables Plan T. CHOUKRI 3

4 Description des phases de la méthode Questionnaire à choix multiple à remplir Questionnaire à choix multiple Rempli Consolidation du Questionnaire : conformité à la norme / manquements / Benchmarking Plan d actions détaillé T. CHOUKRI 4

5 Description des phases de la méthode Analyse Sécuritaire 1. de l architecture générale du réseau (structure, fonctionnement, et points d accès) 2. des flux applicatifs et des services réseaux 3. des moyens spécifiques de sécurisation du réseau Interprétation de l audit général Définition d un plan de tests d intrusion Interprétation du Questionnaire QCM_ISO_27002 Tests d intrusion Bilans, Recommandations et plan d actions T. CHOUKRI 5

6 Description des phases de la méthode Selon l analyse sécuritaire de l architecture, un plan de tests d intrusion sera établi incluant plusieurs tests d intrusion selon la profondeur et les endroits des tests : Internet, réseaux locaux, serveurs spécifiques, applications particulières I. Des tests d intrusion vérifiant les vulnérabilités (en particulier CVE), II. Des tests de vérification du «Hardning» et de l installation (des patchs, ), III. Des tests d intrusion par nom d utilisateur / mot de passe en utilisant les différentes méthodes appropriées (en particulier de la méthode de «la force brute») IV. Des tests spécifiques selon les environnements en place (en particulier, des tests d intrusion utilisant les vulnérabilités des scripts CGI, apache, IIS, etc). T. CHOUKRI 6

7 Offre de Produits et de Services Adresse : Cette offre s adresse à des clients finaux qui souhaitent mettre en place un audit de sécurité des systèmes d information. Contenu de l offre : Plan d audit et Méthodologie, Analyse sécuritaire de l architecture du réseau et du SI, Questionnaire QCM_ISO_27002, Tests d intrusion, Bilans, recommandations et plan d actions, Transfert du savoir faire, Mise à jour, T. CHOUKRI 7

8 Offre de Produits et de Services Mode de Tarification Phases Commentaires Configurations complexes Configurations standard TJM Total Analyse sécuritaire de l architecture du réseau et du SI + recommandations Sur devis 4 Questionnaire d audit de sécurité QCM_ISO_ recommandations Test d intrusion +recommandations Sur devis 10 Sur devis 6 Plan d action détaillé et chiffré pour chaque phase Sur devis 3 jours par phase réalisée Mise en place des actions proposées en assistance à la maîtrise d ouvrage Suivi de la réalisation et la mise en œuvre du plan d action détaillé Sur devis 20% du temps prévu pour la réalisation Mise en place des actions proposées en réalisation et maîtrise d oeuvre Réalisation et recette du plan d action avec contrôle des résultats obtenus en Réalisant un audit d intrusion final Sur devis 100% du temps prévu pour la réalisation Total Ex : 30 jours Ex : k T. CHOUKRI 8