Les différents services d'audits du Système d'Information

En France, comme ailleurs dans le monde, il est très difficile d'estimer et d'identifier le nombre d'entreprises piratées.

Il est encore plus délicat d'estimer les coûts, directs et indirects, de ces actes de malveillance. Le Clusif vient pourtant d'émettre une alerte pour avertir qu'une très grande majorité d'entreprises n'a pas de plan de secours et qu'en cas d'incident un grand nombre de sociétés ne seraient pas en mesure de récupérer ses données ou de continuer son activité. Ce qui veut dire concrètement que, dans ce cas, elles ne sont pas en mesure de récupérer rapidement leurs données pour continuer normalement leur activité. Il est facile d'imaginer alors les conséquences dramatiques que cela entraîne tant sur le plan financier qu'humain.

Une étude réalisée aux Etats Unis démontre qu'en un an, (1999 à 2000) le coût du piratage serait passé de 265 millions de dollars à 378 millions de dollars (source Computer Security & FBI) soit une progression de 42 %.
Pire encore, selon une étude du cabinet Deloitte, plus de 83% des systèmes informatiques des institutions financières ont connu des problèmes de sécurité en 2004. Phénomène alarmant en pleine croissance, le même sondage ne révélait "que" 39 % de systèmes vulnérables en 2003. "Virus, vers informatiques, programmes malicieux, sabotage et usurpation d´identité", sont autant de moyens d'attaquer les systèmes cibles selon Ted DeZabala, un porte-parole de Deloitte & Touche. Parmi les révélations de cette enquête, les attaques réalisées tant de l´extérieur que de l´intérieur de l´entreprise... Télécharger le rapport complet de l'étude

Pourtant, il est véritablement possible de réduire significativement ces risques en menant une politique de sécurité efficace pour un coût raisonnable. Le premier réflexe à avoir est de se poser la question de l'état des lieux : "Qu'en est-il de mon Système d'Information ? Les moyens nécessaires à sa protection et son intégrité ont-ils été mis en oeuvre ?"

Pour répondre à ces questions, il est nécessaire de commencer par prendre une photographie à un instant T du périmètre à évaluer. Cette "photographie" est un Audit. Il existe plusieurs catégories d'audits pouvant être mis en oeuvre dans une entreprise :

Audit "Boîte blanche"	Audit "Boîte noire"	Audit "Intrusif"
Audit de "Vulnérabilités"	Audit "de code"	Audit "organisationnel"

Audit "Boîte Blanche"

Est appelé « audit boîte blanche », tout audit de sécurité dont les informations sont fournies par le client. Il permet de réaliser d'une manière totalement transparente, une vue complète de la sécurité en place sur les plans technique et organisationnel.
Cet audit de prévention se révèle très utile avant la mise en ligne d'un site web ou la mise en production d'architectures réseaux.

Procédure utilisée :

Le Client fournit à notre équipe tous les documents de la cible (pages sources d'un site web, plan d'architecture, documents organisationnels...)
L'équipe audite, étudie, teste et vérifie la cible.
Un compte rendu est rédigé par SecuriteInfo.com soulignant les éventuelles faiblesses de la cible.
Une série de préconisations hiérarchisées est établie afin de permettre au Client de sécuriser son Système d'Information.
Une réunion post-audit a lieu dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

Audit "boîte noire"

A l'inverse de l'audit boîte blanche, l'audit boîte noire est un audit de sécurité qui se fait à l'aveugle. Le client ne donne pas d'information concernant son système d'information.
Concrètement, un audit boîte noire permet, par exemple, de valider un site web déjà mis en place et permet d'avoir une vue complète de la sécurité sur le plan technique.
Nous proposons deux sortes d'audit boîte noire :

Audit "Boîte Noire" de réseau interne

Cet audit de sécurité permet de valider la sécurité à l'intérieur du réseau d'entreprise. En effet, selon les statistiques, 80% des méfaits informatiques sont d'origine interne à l'entreprise. Securiteinfo.com recherche toutes données sensibles accessibles via le réseau afin d'en informer le Client.

L'audit Boîte Noire de réseau interne est effectué de la manière suivante :

Le Client met à la disposition une connexion sur son réseau.
Le Client ne fournit aucune autre information
L'équipe de SecuriteInfo.com connecte une de ses machines sur le réseau et met tout en oeuvre pour tester le réseau et accéder aux informations.
Un compte rendu est rédigé par SecuriteInfo.com montrant les forces et les faiblesses du Système d'Information.
Une série de préconisations hiérarchisées est établie afin de permettre au Client de sécuriser son Système d'Information.
Une réunion post-audit a lieu dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

Audit "Boîte Noire" de l'extérieur

Cet audit de sécurité permet de valider la sécurité de la partie publique de l'entreprise (site web par exemple). Cette partie publique est la vitrine de l'entreprise. Elle est donc essentielle à l'image de celle-ci. Securiteinfo.com se met donc à la place d'un internaute malveillant et recherche toutes faiblesse de la zone publique.

L'audit Boîte Noire de l'extérieur est effectué de la manière suivante :

Le Client ne met rien à la disposition de l'équipe de SecuriteInfo.com
L'audit est réalisé en dehors de l'entreprise
L'équipe de SecuriteInfo.com tente de pénétrer le Système d'information du Client.
L'équipe de SecuriteInfo.com laisse des traces de son passage (fichiers textes) prouvant qu'il y a eu entrée dans le Système d'Information du Client.
Un compte rendu est rédigé par SecuriteInfo.com montrant les forces et les faiblesses du Système d'Information.
Une série de préconisations hiérarchisées est établie afin de permettre au Client de sécuriser son système d'information.
Une réunion post-audit a lieu dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

Audit "intrusif"

Cet audit de sécurité a pour objectif de valider le niveau d'imperméabilité à d'éventuelles intrusion de votre réseau d'entreprise.
Il peut être mené depuis l'extérieur de l'entreprise pour voir si il est possible de contourner les sécurités existantes pour pénétrer le réseau.
Il est aussi possible de mener cet audit depuis un point donné de votre réseau pour voir si il est possible d'accéder à d'autres parties du réseau interne.

L'audit Intrusif est effectué de la manière suivante :

Le Client ne met rien à la disposition de l'équipe de SecuriteInfo.com
L'audit est réalisé en dehors de l'entreprise ou à partir d'un point déterminé du réseau
L'équipe de SecuriteInfo.com tente de pénétrer le Système d'information du Client.
L'équipe de SecuriteInfo.com laisse des traces de son passage (fichiers textes) prouvant qu'il y a eu entrée dans le Système d'Information du Client.
Un compte rendu est rédigé par SecuriteInfo.com montrant les forces et les faiblesses du Système d'Information.
Une série de préconisations hiérarchisées est établie afin de permettre au Client de sécuriser son système d'information.
Une réunion post-audit a lieu dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

Audit de "vulnérabilités"

L'audit de vulnérabilité a comme son nom l'indique pour objectif d'identifier les vulnérabilités présentes dans un système.
Il s'agit généralement d'identifier les failles ou faiblesses existantes sur votre réseau au niveau des :

systèmes d'exploitation,
logiciels,
configurations des stations de travail ou serveurs,
etc.

Audit "de Code"

L'audit de code permet de valider la sécurité d'un programme.
Concrètement cela permet de valider la sécurité de tout programme écrit en HTML, PHP, ASP, Perl, Java, Javascript, C, C++, etc.

L'Audit de Code est réalisé de la manière suivante :

Le client met à la disposition de l'équipe de SecuriteInfo.com les sources du site internet ou de l'application à tester.
L'équipe de SecuriteInfo.com teste et valide les codes fournis.
Un compte rendu est rédigé par SecuriteInfo.com montrant les forces et les faiblesses des codes testés.
Une série de préconisations hiérarchisées est établie afin de permettre au Client de sécuriser les codes audités.
Une réunion post-audit a lieu dans les locaux du Client afin que notre Consultant puisse échanger avec les équipes techniques.

Audit "Organisationnel"

L'audit organisationnel prend en compte la sécurité en général dans l'entreprise.
Tout en respectant les contraintes de budget et de structure, il permet d'apprécier les éléments suivants :

Appréciation générale de la sécurité
Appréciation de la sécurité physique
Appréciation de la sécurité organisationnelle
Appréciation des études et réalisations
Appréciation de la production
Appréciation de l'exploitation
Appréciation logique et télécoms
Un compte rendu détaillé est rédigé par SecuriteInfo.com pour mettre en évidence les forces et les faiblesses de chaque catégorie appréciée
Une série de préconisations hiérarchisées est établie

Nous contacter pour en savoir plus

N'hésitez pas à contacter nos experts pour toute information complémentaire, étude et chiffrage gratuit d'une prestation d'audit.

Par téléphone :

03 44 39 76 46

Par internet :

* Requis.

Par courrier :