Un audit de sécurité permet de savoir si un plan de reprise d’activité est en accord avec les exigences de l’entreprise. Il s’agit de découvrir la performance du système d’information à faire face aux attaques. Il faut aussi détecter les erreurs et procéder à temps aux actions correctives pour que les données ne soient pas compromises. Cette évaluation de risque s’intéresse à tous les aspects du SI. Faisons le point sur sa mise en place.

Les objectifs d’un audit PRA

L’objectif est d’évaluer la performance du système d’information d’une manière plus précise afin d’identifier ses failles. Ce qui aide les responsables informatiques à procéder aux actions correctives.

Cette démarche sert également à déterminer et à assurer la capacité de l’infrastructure à faire face efficacement aux attaques informatiques. Les méthodes utilisées dans cette approche décèlent alors les forces et les faiblesses du SI de l’entreprise en vue d’une amélioration évolutive.

Le contenu d’un dossier d’audit PRA

Le dossier renferme les procédures utilisées ainsi que toutes les phases ayant été abordées. Il montre les détails de l’audit à mettre en place.

Les tests d’intrusions et les plans d’action doivent aussi y figurer. Le contenu du dossier affiche uniquement le contexte actuel de la sécurité informatique et les points à améliorer. Il faut envisager d’autres contrôle pour voir comment cette sécurité évolue.

Les outils utilisés

Le prestataire qui prend en charge le diagnostic du SI utilise l’outil de son choix, mais ceci doit être indépendant du système audité. L’outil doit être conforme aux lignes directrices imposées par les normes internationales pour garantir la réussite de la démarche.

La méthodologie mise en œuvre doit alors respecter l’ISO/CEI 27005 et ISO 27001 qui déterminent la meilleure stratégie de gestion des données qui circulent. Le plan d’action doit se conformer à ces normes.

Le plan d’action doit être élaboré suivant la méthode BIOS qui est l’expression des Besoins et Identification des Objectifs de Sécurité. Cet outil a été élaboré par l’Agence Nationale de la Sécurité des SI. Il sert à assurer la gestion des risques qui pourraient survenir et impacter le SI de l’entreprise. Ce qui permet de clarifier et d’améliorer les résultats.

En France, la réalisation d’un audit PRA/PCA fait intervenir aussi l’utilisation d’autres outils comme le MEHARI. C’est la méthode établie par le Club de la sécurité de l’information français (CLUSIF). Avec cet outil, le contrôle est basé sur le procédé de découpage en cellule pour ordonner l’analyse des risques.

L’audit PRA externe interne

L’évaluation des risques implique de contrôler à la fois la sécurité interne et externe du SI. L’audit externe ou de vulnérabilité consiste à observer et à analyser la fragilité du réseau en cas d’attaques venant de l’extérieur. La démarche va mettre en avant les actions correctives à établir afin d’optimiser le niveau de sécurité de l’ensemble de l’infrastructure informatique.

En interne, il s’agit d’évaluer tous les cas d’imprévus qui peuvent avoir un impact. Suite à la détermination des éléments à corriger, il est possible de faire le bon choix sur les ressources nécessaires améliorant la sécurité interne de l’infrastructure informatique.

Il est question de déployer les ressources humaines et organisationnelles mais surtout techniques. Ce qui permet de renforcer la protection des données pour éviter et leur perte, leur piratage et leur utilisation frauduleuse.

Une femme travaillant sur un macbookLes constats et les domaines explorés dans l’audit PRA externe

L’empreinte internet

Il s’agit surtout d’observer les données qui sont présentes sur internet. En effet, les attaques informatiques peuvent en provenir, surtout si elles permettent aux hackers d’exploiter les failles potentielles.

Il faut alors s’assurer qu’aucun document interne ne s’est glissé par mégarde sur la toile. Il faut aussi observer tous les documents mis en ligne. Ils ne doivent contenir aucun renseignement confidentiel comme des noms d’utilisateurs, des coordonnées… Tous les éléments qui risquent d’être utilisés par les personnes malveillantes sont à déterminer pour ne pas être rendus publics.

Les tests d’intrusion

Les tests d’intrusions servent à détecter la totalité des points d’entrée du SI cible et de les attaquer. Il faut prioriser le constat des sites web et des actions afférentes à l’adresse mail. Ces services facilitent les attaques.

L’audit permet alors d’empêcher les personnes malveillantes d’avoir le numéro de version des services ciblés qui les aideraient à les corrompre plus facilement. Certains hackers savent même créer des scripts de piratage sans connaître les numéros de version. Le contrôle externe identifie ces cas pour anticiper les attaques et la solution de sauvegarde.

Le code des applications

La sécurité applicative est également observée minutieusement. Il s’agit d’observer les codes des applications. En cas d’erreurs dans la conception de ces codes, le système devient extrêmement vulnérable. Les attaquants pourraient introduire leur code et se permettre de faire tout ce qu’ils veulent du SI de l’entreprise victime.

L’architecture du réseau du SI

Ce type de projet permet aussi de faire le constat de l’architecture du réseau du SI lors de l’audit pra. C’est le moyen d’éviter les fuites aléatoires des informations. Dans la plupart des cas, une mauvaise configuration du serveur informatique de l’entreprise est à l’origine de ces failles sécuritaires.

La législation du secteur d’activité

Pourquoi faut-il prendre en compte la législation du secteur d’activité ? Les obligations liées à l’hébergement des données doivent être respectées pour garantir le bon fonctionnement et la sécurité du SI. Il faut alors réaliser un audit de conformité pour s’en assurer.

Les attaques informatiques précédentes

Un audit de compromission est nécessaire pour analyser les attaques informatiques ayant déjà atteint le système. Il faut prendre en compte l’impact potentiel de chaque attaque et les actions mises en œuvre pour solutionner les problèmes. Le but est toujours d’améliorer la bonne sauvegarde des infos.

Les phases de l’audit PRA interne

L’acquisition

Il est ici question de commencer par réunir tous les documents techniques de l’architecture du SI. Il faut ensuite étudier ces documents afin de déceler les équipements, services et solutions nécessaires. Il s’agit des éléments servant à assurer la fiabilité du plan prévu pour la continuité de l’activité de l’entreprise.

Les entretiens

C’est la deuxième phase qui consiste à consulter tous les responsables et référents de l’entreprise, notamment ceux du service informatique. L’objectif est de déterminer les procédures d’application de la politique de sécurité informatique en cherchant à connaître comment les intervenants les conçoivent.

Comment ça se passe ?

Dans cette phase, il faut déterminer le niveau de tolérance et d’efficacité du SI en cas d’attaque. Tous les éléments composants le SI sont à identifier pour mieux détecter sa vulnérabilité.

Les failles sécuritaires sont alors mises en évidence. Ce qui permet d’analyser et de concevoir les solutions de sauvegarde et de restauration ainsi que les mesures prises pour les établir. Tout cela permet d’anticiper les situations d’altérations des données sensibles pour permettre de les sécuriser au mieux.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici