Discussion :

[olivanto]

Bonjour,

je viens de recevoir un projet aussi nébuleux qu'ambitieux ; réaliser un "audit" de la sécurité informatique et télécoms de ma boite, lister ce qui peut être fait et fonction des choix de la Direction créer une politique de sécurité SI...(inexistante pour l'heure ...)

Informaticien, je n'ai aucune idée par où commencer, ni même par quel bout prendre ce projet que je trouve un peu amusant compte tenu de l'ampleur de la tâche...(je suis dans une boite de 350 salariés sur 15 sites différents...pouf...)

Je pensai dans un premier temps (pour le simili audit) me tourner vers COBIT, mais cela me semble un peu déconnecté de ma technicité habituelle, et pas évident à comprendre.

Je me demandais si par ici (sur ce forum), il y avait des idées, des pistes peut être ? Ou si des personnes avaient déjà travaillé dans ce domaine et voulaient un peu échanger à ce sujet...?

[bytecode]

Bonjour, c'est un sujet que je trouve passionnant et même si je n'ai pas le niveau je me rappel une histoire sur un audit d'une société qui pensait qu'elle avais tous verrouiller ce qui étais le cas bien sur
Il aura suffit d'offrir une souris type publicitaire à un employé pour faire rentrer le ver dans la pomme ils avais soudé sur L’USB de la souris un espace de stockage ou se trouvais le logiciel malveillant
le gros soucis en sécurité reste l'utilisateur si il n'est pas sensibilisé alors c'est perdu... sources

dans la dernière boite ou j'ai bossé j'ai pu voir l'utilisateur ignorant ou plutôt non sensibilisé tous les matin en allumant l'ordi le systéme seven demander d'appliquer la mise a jour de java la personne ne la jamais faite de peur de faire une bêtise c'est là qu'il faut commencer l'audit a mon sens

et dans une autre boite c'est un hta qui n'étais pas filtrer dans la boite de messagerie interne.

Un audit c'est se mettre dans la peau de l'attaquant réfléchir comme lui et se donner les moyens technique de parvenir à ses fin.

une des boite avais ceci qui est intéressant gamme sophos

tu vas t'amuser c clair

[Neckara]

Bonjour,

Je ne suis pas très calé dans ce domaine, je commence juste à lire un livre sur le sujet

Une chose très importante, ne pas oublier le facteur humain qui est souvent la faille la plus importante d'un système :
- ne pas ouvrir/renvoyer de mails frauduleux ;
- ne pas laisser son mot de passe sur des post-it ;
- ne pas donner ses identifiants à une autre personne ;
- se déconnecter/verrouiller la session lorsqu'on quitte son poste ;
- ...

Ensuite, tu as trois types d'audit :
- "black box" : tu ne connais rien au système et tu vas tenter d'y pénétrer ;
- "grey box" : tu as quelques accès au système pour "aller plus loin" qu'en "black box" ;
- "white box" : tu as tous les accès et tu vérifies la configuration de chaque service etc.

[olivanto]

oui je sens que je vais m'amuser....

bon, évidemment le facteur humain est essentiel, même si je n'y avais pas spécialement pensé ! donc, merci .... je l'intègre de suite dans le fourre-tout qui me sert de base de travail....

[Malick]

Bonsoir,
c'est un sujet très intéressant et en ma qualité d'auditeur, je suis très intéressé.
En premier lieu, essayer de demander si la société dispose d'un manuel des procédures?

[gangsoleil]

Bonjour,

Pour savoir quoi chercher, il faut savoir ce que tu veux/dois trouver, c'est a dire quel resultat est attendu par le demandeur.

Par exemple s'il a peur pour les donnees de l'entreprise, tu ne devras pas chercher la meme chose que s'il a peur de l'introduction d'un virus, ou s'il a peur de l'espionnage industriel.

Et non, tu ne peux pas aller dans toutes les directions en meme temps.

[olivanto]

oui alors, moi je suis bien d'accord avec cette rapide analyse.
Mais mon patron me paie, alors s'il veut que je me disperse, je lui dis que c'est une erreur mais au final je le fais quand même ...
Je crois que l'idée, est qu'il a peur sur tout les domaines (avec raison, vu le laxisme), qu'il veut pouvoir surveiller les flux de communications numériques, et sécuriser les process. (rien n'est écrit chez nous, ce serait trop simple).
Maintenant, bien que le travail soit énorme, je n'ai pas forcément à rentrer dans le détail pour tous les éléments ; cela doit être jouable....

Manque juste la méthode !

[Invité]

La sécu d'un SI, c'est transversal et c'est compliqué.

Sur le net, fais des recherches du style "IT security audit checklist", tu devrais trouver de quoi structurer un peu ce qu'on te demande.

Steph

[bytecode]

En premier lieu je m'occuperai du réseau ensuite du serveur et des postes de travail puis des périphériques comme les imprimantes :-) trouver en premier l'architecture réseaux de l'entreprise pour pouvoir dégrossir un peu la tache !

[olivanto]

ce sont de bonnes idées...que je vais mettre en pratique...

"IT security audit checklist" ; en effet, je trouve pas mal d'infos. Dire que je suis allergique à l'anglais est très loin de la vérité... enfin, pas le choix, là ....

merci...n'hésitez pas à relancer vos pistes & idées ; quand j'aurai une ébauche d'axe de travail, bien formatée, je la laisserai ici-bas !

[darkcrift]

Bonjour,

Si tu es toujours à la recherche d'infos tu peux aller voir du côté de l’ANSSI (agence national de la sécurité des systèmes d'informations), il y a beaucoup de ressources sur leur site notamment dans les guides et bonnes pratiques. Je m'en étais servi de base pour la rédaction d'un rapport d'une dizaine de pages dans le cadre de ma dernière année de master.
Tu devrais également chercher du côté de la gestion des risques car les deux sont très liés

En espérant aider.
Cordialement,

[olivanto]

oh oui, je suis toujours là dessus pour quelques mois encore !

merci pour ton idée, je prends note !!

[sneb5757]

Je pense que pour entamer un projet de sécurisation de SI ( système informatique ou système d'information ?) il faut commencer par un travail très haut niveau et organisationnel. Le risque est que tu fasses une jolie politique de sécurité, qui reprendra les standards et les templates en la matière mais qui ne sera potentiellement pas appliqué et pire encore ne correspondrait pas à la réalité.

On peut penser ce que l'on veut des normes et standard mais la norme ISO/IEC 2700x explique clairement quels sont les étapes pour créer un système de management de la sécurité de l'information (SMSI) sur de bonne bases. Voici de mémoire les grandes étapes à suivres :

1. Définir les rôles et responsabilités
2. Clairement définir les activités de l'entreprise
3. Dire quels sont les activités concernés par le SMSI
4. Lister les biens de support permettant la réalisation de cette activité ( serveur , logiciel , personnel)
5. Réalisez une analyse de risque. Non pas seul dans son coin mais avec les parties prenante ( direction , responsable d'équipe ...) pour bien cerner les craintes de chacun et les modéliser.
6. Faire un état des lieux des mesures de sécurités déjà en place ( fait partie de l'analyse de risque)
7. Evaluer les risques en fonction de leur gravité et leur vraisemblance
8. Appliquer de nouvelles mesures
9. Vérifier le bon fonctionnement des mesures dans le temps
10. Corrigé et mettre à jour l'analyse de risques et la/les politiques de sécurité

Pour l'analyse de risque je te renvoie à la norme ISO/IEC 27005 ( payante ) ou EBIOS version 2010 ( gratuite compatible 27005).

Je ne sais pas si tu es obligé de faire ces 10 points. Mais la partie cartographie des asset, analyse de risques et état des lieux me paraissent indispensables.

[olivanto]

merci à toi pour ces éléments.

Je suis effectivement parti sur la norme EBIOS qui semble pas trop lourde, et possède quelques avantages pour la mise en place (le petit soft fourni est bien pratique...).

[bytecode]

Ah oui j'avais oublié suivre des chemins définis c'est pas ce que je ferais aveuglément mais quitte a suivre une normalisation..

http://www.subnet.com/solutions/nerc-cip.aspx

[Emily Prevost]

Bonsoir,

C'est vrai que c'est une tache très lourde la réalisation d'un audit de sécurité, mais je te conseille surtout de suivre une fois pour toute une démarche bien précise, parce-qu'il y a plusieurs méthodes qui traitent ce sujet.
Sinon je te propose de lire la norme de l'ISO 27002 qui te donnera un aperçu sur les bonnes pratiques à suivre pour la réalisation d'un audit et c'est dans ce cadre que tu vas pouvoir te situer selon les 11 chapitres que L’ISO Offre.
Enfin j'ai déjà été membre des conférences et séminaires de sécurité des SI et la plupart des prestataires que j'ai rencontrés qui réalisent l'audit de sécurité, dans leurs rapports ils traitent les 11 chapitres de l'ISO d'une façon détaillés.


Voila les 11 chapitre de la norme :

Chapitre n° 1 : Politique de sécurité de l'information
Chapitre n° 2 : Organisation de la sécurité de l'information
Chapitre n° 3 : Gestion des actifs
Chapitre n° 4 : Sécurité liée aux ressources humaines
Chapitre n° 5 : Sécurités physiques et environnementales
Chapitre n° 6 : Exploitation et gestion des communications
Chapitre n° 7 : Contrôle d'accès
Chapitre n° 8 : Acquisition, développement et maintenance des systèmes d'informations
Chapitre n° 9 : Gestion des incidents
Chapitre n° 10 : Gestion de la continuité d'activité
Chapitre n° 11 : Conformité

Il faut noter aussi qu'il faut être conscient d'abord du périmètre sur lequel tu feras cet audit (audit de la salle machine, audit global...) et ainsi l'audit technique sera en (white box ou black box)?

Voilà je te souhaite bon courage!

[sneb5757]

Oui je confirme que l'ISO 27002 est un bon guide. Même si parfois elle n'est pas clair du tout sur la formulation de certaines mesures de sécurité. J'ai déjà eu des débat d'interprétation de certaines mesures avec les auditeur de notre ISMS.

[olivanto]

il y a beaucoup trop de normes possibles. Et comme le dit sneb5757, la sémantique utilisée amène des débats impossibles.

basée sur EBIOS, voilà le contexte expurgé que je vais alimenter, ce en fontion de mes besoins et des demandes qui m'ont été faites (et en fonction, accessoirement, des acteurs...)

1. Etude du contexte
1.1 Cadre
1.2 Métriques
1.3 Identifications des biens

2. Scénarios des menaces (et appréciation des menaces)

3. étude des risques (et appréciation des risques)

4. Etude des mesures de sécurité
4.1 Formalisation des mesures de sécurité
4.2 Mise en œuvre

Le tout permettant ;
1. de mettre en place une politique de SSI pour et par le DSI.
2. de livrer des éléments permettant la mise en place d'un document livrable, pour conduire d'autres projets tels la charte informatique, etc... En gros, un document d'aide à la décision pour la Direction.