Vous êtes sur la page 1sur 2

Confidentiel Audit VPN

Audit VPN
Le but de ce document est de fournir les étapes générales d’audit d’un réseau privé virtuel (VPN).
Ce programme fournit le descriptif des tâches et tests à réaliser selon quatre domaines : documentation, journalisation, monitoring et les groupes
d'utilisateurs.

Etape Responsable Remarques


A. Documentation
1. Examiner la documentation, le diagramme des
flux illustrant les points d'accès extérieurs et les
risques associés à chacun :
 Discutez des points d'accès distants avec
l'administrateur VPN.
 Juger l’existence des points d'accès extérieur.
2. Examiner les politiques et les procédures régissant
l'utilisation, les utilisateurs autorisés et les contrôles
d'accès :
 Obtenir et examiner les politiques et
procédures d’utilisation de l'administrateur
3. Vérifiez si le processus d'approbation d’accès
VPN suit les politiques, normes et procédures
établit :
 Demander un exemple de formulaire de
demande d'accès VPN
 Vérifier s’il inclut les champs : Approbation
du supérieur, Justificatif, Définition de
l’accès
B. Configuration
1. Configuration des équipements VPN :
 Demander la configuration
 Analyser les paramètres

Réalisé par : ABDELILAH Youssef 1


Confidentiel Audit VPN
C. Journalisation
1. les fichiers journaux sont utilisés pour enregistrer
tout les événements des phases de connexion.
 Vérifier Les droits sur les logs
 Vérifier la période de rétention
 Les informations contenues dans un log
2. Le processus d'examen des journaux VPN et
d'identification des incidents de sécurité
 Discuter de l'examen et le suivi des logs.
 Discuter de la procédure de réponse aux
incidents Si un incident de sécurité est
identifié durant l'examen.
D. Monitoring
1. Surveillance des connexions VPN :
 Traiter l'utilisation des dispositifs de
détection/ prévention d'intrusion (IDS / IPS)
2. Examiner le plan de réponse aux incidents de
sécurité :
 Vérifier l’existence de procédures
d'intervention en cas d'incidents de sécurité
 Vérifier si le plan de réponse aux incidents
est testé périodiquement.
 Examiner une réponse aux incidents pour la
définition des rôles et des responsabilités.
E. User Pool
Les utilisateurs VPN ont des droits en fonction des
rôles définis dans l'entreprise :
 Demander la liste des utilisateurs VPN pour
analyser les droits.
 Discuter du processus et justification de
l'octroi d'accès VPN.

Réalisé par : ABDELILAH Youssef 2