Notre Blog

L’audit de sécurité, non ça ne fait pas mal.

on septembre 11, 2018

Il faut le voir comme un test d’effort sur votre système d’information. Passé un certain âge, un certain cap il faut connaître ses points forts et ses points faibles pour vivre dans la durée.

Un système d’information à un cycle de vie durant lequel il subit des changements, des améliorations et des transformations qui peuvent mettre en péril son fonctionnement. L’audit permet de voir à un instant “T” son état et de le comparer à un référentiel de sécurité.

Il permet d’évaluer plusieurs choses:

  • Comment le système d’information(SI) réagit à une attaque
  • le bulletin de santé général du SI
  • tester la mise en place d’une politique de sécurité
  • analyser le comportement de nouvelles briques et de nouveaux équipements
  • évolution du niveau de sécurité dans le SI et en périphérie.

Il intervient après une modification ou juste avant afin de mesurer l’impact sur la sécurité. Cet audit permet de remonter des indicateurs sur les vulnérabilités découvertes dans le but de proposer un plan d’amélioration.

Son périmètre est très large, car son but est de balayer l’ensemble des briques et les acteurs gravitant autour du SI.

  • Interview des dsi, rssi, administrateurs , utilisateurs et éventuellement prestataires
  • Tests d’intrusion : votre système est audité pour trouver des vulnérabilités
  • analyse des configurations des serveurs, équipements de sécurité, authentifications …
  • analyse de code et fuzzing. Permet de déceler des manquements de sécurité dans le code des applications et d’observer les réactions des applications lors d’injections de codes aléatoires.

Suite à cet audit, il est souvent conseillé de faire une analyse de risque de son système d’information afin de définir un plan d’amélioration avec une priorisation des tâches pour arriver à un niveau de sécurité “acceptable”.

Le coût d’un audit de sécurité est variable selon le périmètre audité et le niveau de profondeur de l’inspection. Les tarifs sont de 400 euros à plusieurs dizaines de milliers d’euros. Servez-vous de l’analyse d’impact faite par votre référent RGPD pour borner l’audit et éviter des coûts importants.

N’attendez pas un problème de sécurité pour provoquer un audit de sécurité. La prévention coûte moins cher .

Cédric Lamouche

adminL’audit de sécurité, non ça ne fait pas mal.

Related Posts

Take a look at these posts