Audit Sécurité Support Elyes 2011

Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009

1 1
Cours 1 Cours 1 D D marche d marche d Audit & Audit &
tude de Cas pratiques tude de Cas pratiques
Pr Pr sentation G sentation G n n rale de la D rale de la D marche marche
d d Audit Audit
(M (M thodologies,Outils) thodologies,Outils)
Anim Anim par Mr Khemiri par Mr Khemiri Elyes Elyes
Certifi Certifi ISO 27001 ISO 27001- -Lead Lead Auditor Auditor aupr aupr s du LSTI Accr s du LSTI Accr dit dit par le par le
COFRAC COFRAC
Certifi Certifi ANSI ANSI
2 2
D
D
marche de r
marche de r
alisation d
alisation d
une
une
mission d
mission d
Audit S
Audit S
curit
curit
Approches dAudit Scurit

Dfinir les tapes / les phases de la mission dAudit
Le Cycle dAudit
3 3
Approches d Approches d Audit S Audit S curit curit
Une approche " bo Une approche " bo t e bl anche t e bl anche " : " :
Un audit plus homog Un audit plus homog ne, l' ne, l' valuation poss valuation poss de une de une
caract caract ristique d'analyse " en compl ristique d'analyse " en compl tude " et les tude " et les
aspects techniques et organisationnels sont trait aspects techniques et organisationnels sont trait s s
de mani de mani re uniforme re uniforme
4 4
Une approche " bo Une approche " bo t e noi re t e noi re " : " :
Un audit avec une vue plus parcellaire, r Un audit avec une vue plus parcellaire, r v v lant lant
plutt des lacunes cibl plutt des lacunes cibl es es forte orientation forte orientation
technique. technique.
Les " tests d'intrusion " ou " tests intrusifs " font Les " tests d'intrusion " ou " tests intrusifs " font
partie de cette cat partie de cette cat gorie d'audit. gorie d'audit.
5 5
Dfinir les tapes / les phases de la
mission dAudit Scurit
Cette tape permet de :
Mettre en Mettre en uvre l uvre l audit s audit s curit curit en d en d finissant les finissant les
champs d champs d tude et les p tude et les p rim rim tres de la mission tres de la mission
D D finir un planning de r finir un planning de r alisation de la mission alisation de la mission
D D laborer d laborer d une batterie de questionnaires par rapport une batterie de questionnaires par rapport
un r un r f f rentiel d rentiel d fini fini partir des exigences et des partir des exigences et des
attentes des responsables du site audit attentes des responsables du site audit . .
6 6
Principalement, la mission sera subdivis Principalement, la mission sera subdivis e en e en
deux volets deux volets : :
Audi t Ni veau 1 : Audi t Ni veau 1 : A udi t Or gani sat i onnel &
Physi que , A nal yse de Ri sque
Audi t Ni veau 2 : Audi t Ni veau 2 : A udi t Techni que
7 7
Audi t Ni veau 1 Audi t Ni veau 1
Avoir une vue globale de l Avoir une vue globale de l tat de s tat de s curit curit du syst du syst me me
d d information et d information et d identifier les risques potentiels identifier les risques potentiels
(environ tous les deux ans) (environ tous les deux ans)
Audi t Ni veau 2 Audi t Ni veau 2
Concerne les composants du syst Concerne les composants du syst me d me d information information : :
validation d validation d une architecture de s une architecture de s curit curit , test de , test de
vuln vuln rabilit rabilit s internes et/ou externes (intrusifs) , s internes et/ou externes (intrusifs) ,
validation du code (failles dans une application web, validation du code (failles dans une application web,
contrle d contrle d acc acc s trivial...), s trivial...), etc etc
8 8
L L audit Technique d audit Technique d un p un p rim rim tre de s tre de s curit curit est pr est pr conis conis
dans les situations typiques suivantes ( d dans les situations typiques suivantes ( d une mani une mani re re
r r currente) currente) : :
Val i dat i on de l a s Val i dat i on de l a s curi t curi t d d un nouveau p un nouveau p ri m ri m t re, par exempl e d t re, par exempl e d un un
Fi rewal l Fi rewal l , d , d un si t e un si t e eBusi ness eBusi ness, d , d un un Ext ranet Ext ranet , d , d un acc un acc s I nt ernet , d s I nt ernet , d un un
syst syst me VPN me VPN
Anal yse pr Anal yse pr al abl e d al abl e d un si t e pour l un si t e pour l i nst al l at i on d i nst al l at i on d une nouvel l e une nouvel l e
i nfrast ruct ure. i nfrast ruct ure.
9 9
Le cycle de l Le cycle de l audit s audit s curit curit
La mi ssi on d La mi ssi on d audi t de s audi t de s curi t curi t i nformat i que est effect u i nformat i que est effect u e e
sel on un processus cycl i que permet t ant d sel on un processus cycl i que permet t ant d t udi e l e ni veau t udi e l e ni veau
de s de s curi t curi t du syst du syst me d me d i nformat i on d i nformat i on d un poi nt de vue : un poi nt de vue :
* Technique (les points d Technique (les points d entr entr es sur le r es sur le r seau, les seau, les quipements de quipements de
s s curit curit , les protocoles mis en , les protocoles mis en uvre, uvre, etc etc ) )
* Organisationnel ( Organisationnel ( tude des proc tude des proc dures de d dures de d finition, de mise en finition, de mise en
place et de suivi de la politique de s place et de suivi de la politique de s curit curit , etc...) , etc...)
10 10
La phase fi nal e du processus d La phase fi nal e du processus d Audi t S Audi t S curi t curi t est consacr est consacr e e
l a r l a r dact i on des rapport s de synt h dact i on des rapport s de synt h se : se :
*Recueil des pri ncipal es vul nrabil its et i nsuffi sances
dcel es
*Synthse des recommandations de mi se en uvre
(organisationnel s,physi ques et techniques)
*Synthse des sol uti ons et outil s de scurit proposs
*Esquisse dun pl an daction scurit (Esti mation des
budgets al l ouer pour l a mi se en uvre des mesures
recommandes )
11 11
La mission d La mission d audit s audit s curit curit constitue le point de constitue le point de
d d marrage du projet de s marrage du projet de s curisation d curisation d un site un site. .
Audi t Scuri t du Si te
Archi tecture & Sol uti on
de Scuri t proposes
Mi se en pl ace de l a
sol uti on de scuri t
Tests & Val i dati ons du
systme de scuri t i mpl ante
12 12
D
D
tail de la D
tail de la D
marche
marche
Etude Cas Pratique
Etude Cas Pratique
Audi t Ni veau 1 (AOP,AR) Audi t Ni veau 1 (AOP,AR)
Audi t Ni veau 2 (AT) Audi t Ni veau 2 (AT)
13 13
Audit Niveau 1
Audit Niveau 1
Audit Organisationnel & Physique (AOP), Analyse Audit Organisationnel & Physique (AOP), Analyse
de Risque de Risque
Obj ect i f
Droul ement de l audi t ni veau 1
t ude Cas val uat i on du ni veau de scuri t dun SI
Anal yse de Ri sque
Dl i vrabl es de l a phase dAOP
14 14
Objectif
Objectif
Cette premire phase de l audit scurit permet :
- Davoir une vision qual itative et quantitative des
diffrents facteurs de l a scurit informatique du site
audit
- Didentifier l es points critiques du systme di nformation
15 15
- Comprendre l a dmarche d'observation : niveau gl obal
pui s niveau spci fique
- Prsenter l es objectifs de l a dmarche daudit scurit avant
l es entretiens
- Instaurer un cl i mat de confiance , viter l a cul pabil it
Fact eurs cl s de succs de cet t e t ape :
16 16
Audit Niveau 2 (AT)
Contenu de la prsentation
Audit Technique (AT)
Dfi ni t i on des phases de l t ape dAT
Audi t de l archi t ect ure du syst me
Reconnaissance du rseau et du plan dadressage
Sondage des Systmes
Sondage des Services rseau
Audit des applications
17 17
Anal yse Anal yse des Vul n des Vul n rabi l i t rabi l i t s (i nt rusi f i nt erne) s (i nt rusi f i nt erne)
Analyse des vuln Analyse des vuln rabilit rabilit s des serveurs en exploitation s des serveurs en exploitation
Analyse des vuln Analyse des vuln rabilit rabilit s des postes de travail s des postes de travail
Anal yse Anal yse des Vul n des Vul n rabi l i t rabi l i t s (i nt rusi f ext erne) s (i nt rusi f ext erne)
Audi t de l Audi t de l Archi t ect ure de S Archi t ect ure de S curi t curi t exi st ant e exi st ant e
18 18
Venant en suite l ogi que l audit de niveau 1, l audit de
niveau 2 ou l audit technique sattache identifier l es
vul nrabil its techniques prsentes sur l es systmes
i nformatiques criti ques du site audit.
Droul ement de l t ape :
Laudit technique sera ral is sel on une succession de
phases respectant une approche mthodique al l ant de l a
dcouverte et l a reconnaissance du rseau audit jusqu l a
ral isation des scnarios dattaques expertes.
19 19
Laudi t t echni que permet l a dt ect i on des t ypes de
vul nrabi l i t s sui vant es, savoi r :
- Les erreurs de programmati on et erreurs darchi tecture.
- Les erreurs de confi gurati ons des composants l ogi ques
i nstal l s tel s que l es servi ces (ports) ouverts sur l es
machi nes, l a prsence de fi chi ers de confi gurati on i nstal l s
par dfaut, l uti l i sati on de comptes uti l i sateurs par dfaut.
- Les probl mes au ni veau de trafi c rseau (fl ux ou trafi c
non rpertori s, coute rseau, etc ).
- Les probl mes de confi gurati on des qui pements di nterconnexi on et
de contrl e daccs rseau
20 20
Cet audit sappl ique aux environnements sui vants :
- Rseau daccs Internet, rseau di nterconnexi on i nter-
si tes (Frame Rel ay , X25, Fai sceau Hertzi en, etc..).
- Serveurs i nternes du si te audi t et l es postes sensi bl es du LAN.
- Systmes cri ti ques spci fi ques.
- Composants et qui pements acti fs de l i nfrastructure
rseau du si te audi t (fi rewal l s, routeurs fi l trants, commutateurs
ni veau 3, etc)
21 21
Principales phases : Principales phases :
Phase 1 : Audi t de l archi t ect ure du syst me
OReconnai ssance du rseau et du pl an d adressage
O Sondage des Systmes
O Sondage Rseau
O Audi t des appl i cati ons
22 22
Phase 2 : Anal yse des Vul nrabi l i t s (i nt rusi f i nt erne)
OAnal yse des vul nrabi l its des serveurs en expl oitation
OAnal yse des vul nrabi l its des postes de travail
Phase 3 : Anal yse des Vul nrabi l i t s (i nt rusi f ext erne)
23 23
Phase 4 : Audi t de l archi t ect ure de scuri t exi st ant e
OAudi t des Fi rewal l s et Rgl es de Fi l trage
OAudi t des routeurs et des ACLs (Li ste de Contrl e d'Accs )
OAudi t des Sondes et des passerel l es anti vi ral es
OAudi t des stati ons proxy/Reverseproxy
OAudi t des serveurs DNS, dauthenti fi cati on
24 24
OAudi t de l a zone dadmi ni strati on de l archi tecture de scuri t exi stante
OAudi t des commutateurs (swi tchs) et de l a confi gurati on en VLANs
OAudi t de l a pol i ti que dusage de mots de passe
OAudi t de l a sol i di t du systme, face aux essai s di ntercepti on des fl ux
OAudi t de l a rsi stance aux attaques de dni de servi ce

Audit Sécurité Support Elyes 2011

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Audit Sécurité Support Elyes 2011

Uploaded by

Copyright:

Available Formats

Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri

Elyes Elyes - - Mai 2009 Mai 2009

Approches dAudit Scurit

You might also like