Emplacement du logo client

Quel audit de
Scurit dans
quel contexte ?
Herv Morizot
09 avril 2002

(herve.morizot@solucom.fr)

Agenda

Quel audit ?
Selon quelle dmarche et avec quels outils ?
Une "stratgie d'audit"
Conclusion

09 Avril 2002

09 Avril 2002

Quel audit ?

Quel audit ?
Quelques dfinitions ...

Audit
 Mission d'examen et de vrification de la conformit (aux

rgles) d'une opration, d'une activit particulire ou de la

situation gnrale d'une entreprise

Systme d'Information
 Ensemble des moyens matriels, logiciels et

organisationnels qui permettent de recevoir, de stocker et

de traiter l'information

Donc un audit ncessite :

 Un primtre
 Un rfrentiel
 Une mthode
 Des moyens et comptences
09 Avril 2002

Quel audit ?
Les risques ...

Malversations
et fraudes
Divulgation,
desinformation

Accidents
(incendie,
dgts des eaux, )

Pannes

Sabotages
(physiques et logiques)
Engorgement,
dnis de services,
...

Erreurs
(conception,
utilisation,
exploitation)

...

- Particulirement variable selon les environnements 09 Avril 2002

Quel audit ?
Des besoins trs varis ...

valuer / comparer
Amliorer
Sensibiliser
Analyser, sur incident
Certifier / prouver
...

09 Avril 2002

Quel audit ?
Quel primtre (1/2) ?

Le primtre organisationnel et fonctionnel

 Organisation de la scurit

La rpartition des responsabilits

La sensibilisation / formation des intresss
Contrle et audit

 Politique et les guides de scurit

 Procdures de scurit
 Respect de la lgislation en engagements contractuels
La scurit physique
Les procdures d'administration / exploitation
 Gestion des habilitations / accs
 Sauvegardes et secours
La scurit des systmes et applications
09 Avril 2002

Quel audit ?
Quel primtre (2/2) ?

Dtection
d'intrusion

Filtrage
d'URL

Contrle de
contenu
Anti-virus

Gestion de la
priorit des flux

Chanes de liaison "services"

VPN
Authentification
renforce

Accs entrant
Messagerie

Internet

Relais SMTP
Serveurs proxy

WEB / HTTP / FTP

Partenaires

Rseau
Interne

Firewall

Infrastructure rseau

RTC/RNIS

Public
Postes
nomades

LS/FR

Routeurs

DMZ

Analyse des
logs

09 Avril 2002

Commutateurs

Administration
des services

Supervision

Serveurs
publics

Sauvegarde
des configurations
et des logs

Serveurs
internes

II
Selon quelle dmarche et avec quels
outils ?

09 Avril 2002

Selon quelle dmarche et avec quels

outils ?

Pour auditer, il faut :

 Un besoin clairement exprim
 Un primtre bien dfini
 Une mthode formelle ...
 Des outils ...
 Des moyens et des comptences
 ...

09 Avril 2002

Selon quelle dmarche et outils ?

Les mthodes (1/4)

Quelle mthode ?
 Les mthodes "globales"

Mehari
EBIOS
Marion
Melisa
...

 Les mthodes "propritaires"

 Les auto - valuations ...
 Les valuations / certification ...
 Sans mthode formelle
 ...

09 Avril 2002

Selon quelle dmarche et outils ?

Les mthodes (2/4)

Les mthodes "globales"

 Pourquoi une mthode ?

tre efficace
tre crdible
Se comparer
...

 Oui, mais

C'est trop lourd !

C'est pas adapt !
C'est thorique (analyse et plan d'action) !

Les mthodes "propritaires"

 Objectif : personnaliser et simplifier ...
09 Avril 2002

Selon quelle dmarche et outils ?

Les mthodes (3/4)

Les auto-valuations
 Lger
 Excellent en sensibilisation

Implication des intresss

 Exige un rfrentiel rod (dtaill, clair, didactique, )

 Demande confiance / engagement formel du "signataire"
 Demande des contrles (alatoires, par priorit, ...)
 Mais :

09 Avril 2002

Difficile dans des environnements htrognes

Les rsultats dpendent du "type de rpondant"

Les plans d'actions sont aussi en majorit dcentraliser ...

Selon quelle dmarche et outils ?

Les mthodes (4/4)

Les valuations / certifications

 Mandat d'un CESTI

Agrs par la DCSSI et accrdit par le COFRAC

Encore orient "matriel" (chiffrement, cartes puce, )

Des conditions de dveloppement encore "floues"

Un dmarrage lent (une poigne de CESTI en France)

Un avenir potentiellement prometteur (signature lectronique,

)

 Ncessite des documents formels

09 Avril 2002

Profil de protection

Cible de scurit

Cible d'valuation

Selon quelle dmarche et outils ?

Les outils (1/5)

Quels outils ?
 Outils mthodologiques
Attention aux limites de l'automatisation !

 Rfrentiels de scurit
 Tests de configuration ...
 Tests de vulnrabilit ...
 Tests d'intrusion ...
 ...

09 Avril 2002

Selon quelle dmarche et outils ?

Les outils (2/5)

Les rfrentiels de scurit

 La Politique de scurit de l'entreprise
 Les guides de scurit par environnement
 Les normes applicables

ISO 17799

Pertinents pour dterminer le "rfrentiel"

et les questionnaires associs
09 Avril 2002

Selon quelle dmarche et outils ?

Les outils (3/5)

Les tests de configuration "systme"

 Outils pour NT, W2K, UNIX, Mainframe (ESM de Symantec,
System Scanner de ISS, W2K, logiciels libres, )

 Ncessite de dfinir sa politique technique de scurit / pas

d'analyse de failles

 Diffrents modules sont disponibles (mots de passe,

protection d'accs, configuration LAN, niveaux de patchs, )

 Non intrusif, ni perturbateur

 Modulaire et progressif
 Ncessite une forte expertise pour la configuration
09 Avril 2002

Selon quelle dmarche et outils ?

Les outils (4/5)

Les tests de vulnrabilits "rseaux"

 Outils publics (Nessus, Satan, ) ou commerciaux (NetRecon
de Symantec, Internet Scanner de ISS, )

 Utilisent des bases de vulnrabilits et des bases de

recommandations

 Indiquent des vulnrabilits "potentielles" / potentiellement

intrusif

 Demande une adresse / plage(s) IP, domaine NT, ...

 Ncessite une expertise
 Utilis par les "hackers" ...
09 Avril 2002

Selon quelle dmarche et outils ?

Les outils (5/5)

Les tests de vulnrabilits en ligne

 Plthore d'offres en mode ASP
 Vision externe uniquement et test de ractivit des quipes
 Bases de vulnrabilits jour, compltes, Plug in
spcifiques

 Cot d'investissement "rduit"

 Service "complet", rcurent, peu d'implication client
 Chacun a sa mthode de restitution / notation
 Intrusif possible mais non souhait
 Rapports trs (trop ?) automatiss

09 Avril 2002

Prestations complmentaires ...

III

09 Avril 2002

Une "stratgie" d'audit scurit

Une stratgie d'audit (1/2)

valuation globale de la scurit du SI

 Dans le cadre d'une r-organisation (rachat, refonte, )

Audit complet, indpendant, mthode "incontestable"

 Dans un cadre de consolidation globale de la scurit

Analyse des risques souhaitable

Plan d'actions dtaill et "participatif"

Audits rguliers large primtre

(fonctionnels / techniques / juridiques)

 Dans le cadre d'une mise en cohrence de la scurit

Comparaison site site ou vis vis de "la profession"

Mthode rigoureuse et applications rgulires

 Dans le cadre d'une sensibilisation

Audits participatifs / auto valuation

 Dans le cadre d'une obligation (Administrations, )

09 Avril 2002

Une stratgie d'audit (2/2)

valuation "par composant" (projet, systme, )

 valuer la scurit d'un composant du SI

Scurit d'un produit (objectif commercial / marketing)

Y valuation Critres Communs

Qualifier / recetter / labelliser /

Y Mthode interne / ISO 17799 / ...

 Analyser, sur incident

Sur mesure ...

Ncessite une trs forte expertise technique

 ...

09 Avril 2002

Conclusion

09 Avril 2002

Conclusion

Le "sur mesure" est indispensable

 Dfinir ses besoins et en dduire sa stratgie
 Mettre en uvre les recommandations
Approche technique ou fonctionnelle ?
 Les outils automatiss sont utiles, voire indispensables
 Oui mais

Ils offrent une photo un instant T mais pas dans le temps ni

sur les cas "exceptionnels"
Il faut les paramtrer et exploiter les rsultats
Ils ne couvrent pas tout le primtre (organisation,
procdures, juridiques, traitement des incidents, )
Ils ne sensibilisent pas

 Donc des audits "organisationnels", voire fonctionnels sont

aussi indispensables

Organisation / responsabilits, principes, procdures, analyse de

risque, respect des obligations juridiques, ...

Une double comptence s'impose ...

09 Avril 2002