Audit réseaux dans un SI
par
, 23/01/2017 à 10h34 (3106 Affichages)
Bonjour la communauté !
Voici donc mon premier billet sur mon blog, celui-ci traitera de l'audit (au niveau des configurations réseaux)dans un SI.Je vais organiser ce billet selon le plan suivant :
- I. Définitions
- II. Plan d'action
- Qu'est-ce qu'un audit réseau ?
- A quoi sert un audit réseau ?
- Quand faire un audit réseau ?
- Comment faire un audit réseau ?
- Avantages / Inconvénient d'un audit réseau ?
- III. Conclusion
Un dernier petit mot et on y va, comme précisé plus haut, ceci est mon premier billet j'espère qu'il vous plaira et qu'il pourra être utile à certains d'entre vous. Si certaines choses vous choquent, que vous trouver des informations fausses ou erronés, n'hésitez pas à me les remonter je me ferais un plaisir de corriger cela, nous sommes tous passé par le statut de débutant et ne demandons qu'à apprendre avec des critiques constructives après tout.
I. Définitions
Audit : (en anglais, Information Technology Audit ou IT Audit) a pour objectif d’identifier et d’évaluer les risques (opérationnels, financiers, ou encore de réputation) associés aux activités informatiques liés à une entreprise ou administration.
Configurations réseaux : Ensemble des caractéristiques techniques d’un logiciels, matériel, ou d’un réseau informatique.
II.Plan d'action
Qu'est-ce qu'un audit réseau ?Un audit informatique en général, a pour objectif d’identifier et d’évaluer les risques associés aux activités informatiques d’une entreprise ou administration. A cette fin, l’audit va se baser sur le cadre réglementaire du secteur d’activité du pays concerné (exemple le CRBF 97-02 pour une banque française) sur les référentiels de bonnes pratiques existants (exemple, le référentiel CobiT).
Ici, quelques exemples de référentiels d’audit informatique :
CobiT / Val IT / EBIOS /
Il existe 2 grandes catégories d’audit :
La première, comporte les audits globaux d’entité durant lesquels toutes les activités ayant trait aux systèmes d’informations sont évaluées
La seconde, correspond aux audits thématiques, ayant pour objectifs la revue d’un thème informatique au sein d’une entité (la gestion de projet, la sécurité informatique, par exemple).
L’audit n’est pas à confondre avec l’activité de conseil qui vise, de manière générale, à améliorer les fonctionnements et la performance d’une organisation avec une éventuelle implication dans la mise en œuvre de cette amélioration.
A quoi sert un audit réseau ?
L’audit informatique, permet de mesurer la performance d'un système d'information et des processus.
Bien mené, il vous permettra de dégager un plan d’action correctif efficace, voir des économies.
Il doit contrôler, dans l'environnement de l'utilisateur, le service rendu par le système d’information.
L’auditeur intervient en tant que mesureur des risques, il identifie les faiblesses et les risques si des mesures ne sont pas prises.
La finalité de l’audit est d'assurer un niveau de service adéquat aux activités de l'entreprise :
- Améliorer l’efficacité de l’activité informatique ;
- Assurer la protection des données, réduire les risques de malveillance ;
- Garantir la formalisation des procédures et méthodes.
Dans le cadre de l’analyse de performance, l’auditeur s’emploie à analyser 3 composantes essentielles :
- Performance et dimensionnement des machines ;
- Adéquation aux besoins des logiciels systèmes ;
- Existence d’un plan de secours en cas d’incident.
Quand faire un audit de son SI ?Nombres des audits informatiques dans les entreprises sont lancés alors qu’un incident vient de se produire : une faille de sécurité, une panne systèmes critique et voilà qu’il faut être en mesure de réaliser des rapports précis et des analyses de son SI.
En réalité, ce n’est pas la façon la plus productive de mettre en œuvre un audit informatique. En effet, la DSI devrait à tout moment être capable de comprendre le fonctionnement des ses infrastructures, et les actions qui ont pu être effectuées par tel ou tel processus, logiciel ou utilisateur.
C’est pourquoi la planification d’un audit ne doit pas répondre à la résolution d’un problème mais d’avantage à la prévention de ces problèmes. Des audits réguliers peuvent être profitables à l’entreprise.
Comment faire un audit réseau ?Un audit se déroule en plusieurs étapes :
1. Préparation de l'audit :
Il faut identifier les enjeux stratégiques de l’entreprise, puis rédiger une proposition commerciale qui détaille chacune des étapes nécessaires à la réalisation de l’audit, puis la soumettre à l’entreprise pour validation.
2. Cartographie du SI :
Après l’étude du SI, il faut effectuer une évaluation de l’environnement général de l’informatique, accompagné par une cartographie des différents composants logiciels, de l’infrastructure réseaux et télécoms ainsi que des matériels du parc.
3. Mise en place des processus de tests :
Mise en œuvre des outils et des ressources adaptées afin de collecter les informations nécessaires à l’évaluation de l’ensemble des éléments du système (supervision, tests de charge, tests de panne, etc…) par exemple on peut se baser sur ces points :
+ Analyse du trafic réseau ;
+ Analyse des performances réseau et évolution ;
+ Mesure de la charge réseau ;
+ Effet des applications sur la bande passante ;
+ Définition des utilisateurs ;
+ Définition des protocoles ;
+ Tracking des flux et temps de réponse ;
+ Analyse des échanges entre stations, serveurs et routeurs ;
+ Identification des stations générant des trafics important ;
+ Mesure de la longueur des trames ;
+ Rapport d’audit des éléments actifs ;
4. Rédaction du rapport d’audit :
Rédaction du rapport d’audit afin de mettre en évidence les éléments constatés et proposer des solutions adaptées.
5. Présentation du rapport :
Pour finir, il faut présenter les résultats de l’audit à travers un entretien afin de permettre à l’entreprise de comprendre précisément chacun des points du rapport.
Avantages et Inconvénients d'un audit ?Avantages :
- Prévention de la perte des données (gestion des sauvegardes restaurations)
- Prévention des défaillances (matérielles des systèmes)
- Préserver l’intégrité des données (de l’entreprise : accès, passwords, réseaux)
- Optimiser (les logiciels internes et les ressources informatiques)
- Pérenniser (les méthodologies métier).
Inconvénients :
- Attention à la société prestataire (en général) à laquelle vous faite appel, parfois certains société sont fausses et sont présentent uniquement dans le but de récupérer vos données ce qui peut ensuite mettre en péril l'entreprise complète.
III. ConclusionPour conclure, je vous conseillerez tout simplement, de réaliser 1 (voir 2) audits par an dans votre société, certes cela à un coût et je sais qu'en général les DR, ou les DG vous diront que l'entreprise peut s'en passer et ils vous enverront balader, mais si une attaque survient et qu'aucun audit n'a était réalisé, alors sachez, cher comité de direction, que le coût des pertes est comparable à 10x le prix d'un audit complet. Nous vivons en ce moment même et depuis plusieurs années déjà, une Cyber-Guerre qui n'est pas prête de s'arrêter, la technologie et les SI ne cessent d'évoluer tout comme leur failles qui elles ne cessent de se décupler..
Le mot de la fin : Voilà ce billet est à présent terminé, je tiens à préciser qu'aucun copié/collé d'un article n'a était fait. Je me suis inspiré de ce que j'ai pu trouver sur Internet et les différents sujets d'actualités qui traitent de cela, car "l'article" que vous voyez là est en réalité un document que j'ai rédigé pour mon stage de 3ème année, dans une entreprise où ma mission est celle-ci : Audit et préconisations de solutions/corrections des configurations réseaux (LAN).
Je vous remercie pour le temps consacré à la lecture de ce billet.
Comme dit plus haut, n'hésitez pas à participer à l'amélioration de ce billet de quelconque manière que ce soit (fautes, mauvaises informations, rajout ou complément d'informations, etc...)
Bien cordialement, Skyxia.