Académique Documents
Professionnel Documents
Culture Documents
Quel audit de
Scurit dans
quel contexte ?
Herv Morizot
09 avril 2002
(herve.morizot@solucom.fr)
Agenda
Quel audit ?
Selon quelle dmarche et avec quels outils ?
Une "stratgie d'audit"
Conclusion
09 Avril 2002
09 Avril 2002
Quel audit ?
Quel audit ?
Quelques dfinitions ...
Audit
Mission d'examen et de vrification de la conformit (aux
Systme d'Information
Ensemble des moyens matriels, logiciels et
Quel audit ?
Les risques ...
Malversations
et fraudes
Divulgation,
desinformation
Accidents
(incendie,
dgts des eaux, )
Pannes
Sabotages
(physiques et logiques)
Engorgement,
dnis de services,
...
Erreurs
(conception,
utilisation,
exploitation)
...
Quel audit ?
Des besoins trs varis ...
valuer / comparer
Amliorer
Sensibiliser
Analyser, sur incident
Certifier / prouver
...
09 Avril 2002
Quel audit ?
Quel primtre (1/2) ?
Quel audit ?
Quel primtre (2/2) ?
Dtection
d'intrusion
Filtrage
d'URL
Contrle de
contenu
Anti-virus
Gestion de la
priorit des flux
Accs entrant
Messagerie
Internet
Relais SMTP
Serveurs proxy
Partenaires
Rseau
Interne
Firewall
Infrastructure rseau
RTC/RNIS
Public
Postes
nomades
LS/FR
Routeurs
DMZ
Analyse des
logs
09 Avril 2002
Commutateurs
Administration
des services
Supervision
Serveurs
publics
Sauvegarde
des configurations
et des logs
Serveurs
internes
II
Selon quelle dmarche et avec quels
outils ?
09 Avril 2002
09 Avril 2002
Quelle mthode ?
Les mthodes "globales"
Mehari
EBIOS
Marion
Melisa
...
09 Avril 2002
tre efficace
tre crdible
Se comparer
...
Oui, mais
Les auto-valuations
Lger
Excellent en sensibilisation
09 Avril 2002
09 Avril 2002
Profil de protection
Cible de scurit
Cible d'valuation
Quels outils ?
Outils mthodologiques
Attention aux limites de l'automatisation !
Rfrentiels de scurit
Tests de configuration ...
Tests de vulnrabilit ...
Tests d'intrusion ...
...
09 Avril 2002
ISO 17799
09 Avril 2002
III
09 Avril 2002
...
09 Avril 2002
Conclusion
09 Avril 2002
Conclusion