Société de Sécurité Informatique - Audit Firewall Appliances
La sécurité informatique - La sécurité des informations

Les différents services d'audits du Système d'Information


Partagez cet article

Envoyer cet article par Email ! Imprimer cet article ! Exporter cet article en PDF ! Facebook Twitter Google Bookmarks

Introduction



En France, comme ailleurs dans le monde, il est très difficile d'estimer et d'identifier le nombre d'entreprises piratées.

Il est encore plus délicat d'estimer les couts, directs et indirects, de ces actes de malveillance. Le Clusif vient pourtant d'émettre une alerte pour avertir qu'une très grande majorité d'entreprises n'a pas de plan de secours et qu'en cas d'incident un grand nombre de sociétés ne seraient pas en mesure de récupérer ses données ou de continuer son activité. Ce qui veut dire concrètement que, dans ce cas, elles ne sont pas en mesure de récupérer rapidement leurs données pour continuer normalement leur activité. Il est facile d'imaginer alors les conséquences dramatiques que cela entraine tant sur le plan financier qu'humain.

Une étude réalisée aux États Unis démontre qu'en un an, (1999 à 2000) le coût du piratage serait passé de 265 millions de dollars à 378 millions de dollars (source Computer Security & FBI) soit une progression de 42 %.
Pire encore, selon une étude du cabinet Deloitte, plus de 83% des systèmes informatiques des institutions financières ont connu des problèmes de sécurité en 2004. Phénomène alarmant en pleine croissance, le même sondage ne révélait "que" 39 % de systèmes vulnérables en 2003. "Virus, vers informatiques, programmes malicieux, sabotage et usurpation d´identité", sont autant de moyens d'attaquer les systèmes cibles selon Ted DeZabala, un porte-parole de Deloitte & Touche. Parmi les révélations de cette enquête, les attaques réalisées tant de l'extérieur que de l'intérieur de l´entreprise... Télécharger le rapport complet de l'étude

Pourtant, il est véritablement possible de réduire significativement ces risques en menant une politique de sécurité efficace pour un cout raisonnable. Le premier réflexe à avoir est de se poser la question de l'état des lieux : "Qu'en est-il de mon Système d'Information ? Les moyens nécessaires à sa protection et son intégrité ont-ils été mis en oeuvre ?"

Pour répondre à ces questions, il est nécessaire de commencer par prendre une photographie à un instant T du périmètre à évaluer. Cette "photographie" est un Audit. Il existe plusieurs catégories d'audits pouvant être mis en oeuvre dans une entreprise :

Audit "Boîte Blanche"



Est appelé « audit boîte blanche », tout audit de sécurité dont les informations sont fournies par le client. Il permet de réaliser d'une manière totalement transparente, une vue complète de la sécurité en place sur les plans technique et organisationnel.
Cet audit de prévention se révèle très utile avant la mise en ligne d'un site web ou la mise en production d'architectures réseaux.


Procédure utilisée :

Audit "boîte noire"



A l'inverse de l'audit boîte blanche, l'audit boîte noire est un audit de sécurité qui se fait à l'aveugle. Le client ne donne pas d'information concernant son système d'information.
Concrètement, un audit boîte noire permet, par exemple, de valider un site web déjà mis en place et permet d'avoir une vue complète de la sécurité sur le plan technique.
Nous proposons deux sortes d'audit boîte noire :


Audit "Boîte Noire" de réseau interne



Cet audit de sécurité permet de valider la sécurité à l'intérieur du réseau d'entreprise. En effet, selon les statistiques, 80% des méfaits informatiques sont d'origine interne à l'entreprise. Securiteinfo.com recherche toutes données sensibles accessibles via le réseau afin d'en informer le Client.

L'audit Boîte Noire de réseau interne est effectué de la manière suivante :


Audit "Boîte Noire" de l'extérieur



Cet audit de sécurité permet de valider la sécurité de la partie publique de l'entreprise (site web par exemple). Cette partie publique est la vitrine de l'entreprise. Elle est donc essentielle à l'image de celle-ci. Securiteinfo.com se met donc à la place d'un internaute malveillant et recherche toutes faiblesse de la zone publique.

L'audit Boîte Noire de l'extérieur est effectué de la manière suivante :

Audit "intrusif"


Cet audit de sécurité a pour objectif de valider le niveau d'imperméabilité à d'éventuelles intrusion de votre réseau d'entreprise.
Il peut être mené depuis l'extérieur de l'entreprise pour voir si il est possible de contourner les sécurités existantes pour pénétrer le réseau.
Il est aussi possible de mener cet audit depuis un point donné de votre réseau pour voir si il est possible d'accéder à d'autres parties du réseau interne.

L'audit Intrusif est effectué de la manière suivante :

Audit de "vulnérabilités"


L'audit de vulnérabilité a comme son nom l'indique pour objectif d'identifier les vulnérabilités présentes dans un système.
Il s'agit généralement d'identifier les failles ou faiblesses existantes sur votre réseau au niveau des :

Audit "de Code"


L'audit de code permet de valider la sécurité d'un programme.
Concrètement cela permet de valider la sécurité de tout programme écrit en HTML, PHP, ASP, Perl, Java, Javascript, C, C++, etc.

L'Audit de Code est réalisé de la manière suivante :

Audit "Organisationnel"


L'audit organisationnel prend en compte la sécurité en général dans l'entreprise.
Tout en respectant les contraintes de budget et de structure, il permet d'apprécier les éléments suivants :


Nous contacter pour en savoir plus


N'hésitez pas à contacter nos experts pour toute information complémentaire, étude et chiffrage gratuit d'une prestation d'audit.

Par téléphone :
Par email :
Par courrier :


SecuriteInfo.com est une entreprise française de sécurité informatique. Nous proposons différentes solutions matérielles et prestations de services permettant de sécuriser les données des Systèmes d'Information d'entreprises ou de collectivités.
Twitter SecuriteInfo.com
Facebook SecuriteInfo.com
BOINC calcul scientifique
© 2004-2016 - Tous droits réservés - SecuriteInfo.com