République du Cameroun republic of cameroon

Paix-travail-patrie peace-work-fatherland

Cameroun radio télévision

ormation Questionnaire sur l'audit de sécurité informatique au sein de la CRTV

Pour vous accompagner dans une démarche de sécurisation de votre système

d’information, nous vous proposons un guide d’auto évaluation à travers quelques questions
simples

I. DIVISION DES SYSTEMES INFORMATIQUES

1. Périmètre-internet
Audit de sécurité sur la navigation internet des utilisateurs

questions réponse proposition Réalisation et suivi

s
Le réseau informatique
dispose-t-il d'un équipement
capable de filtrer les URL
visitées (proxy ou firewall) ?

• Dispose-t-il de catégories à
risques bloquées comme
Phishing, Command and
Control, Malware, Hacking,
Proxy, Adulte, etc. ?
• Est-il capable d'authentifier
les utilisateurs (couplage AD,
Kerberos, portail captif,
etc.) ?
Y a-t-il des logs des URL
visitées qui sont conservées
et analysables (rapport sur
l'usage, etc.)
L'équipement de filtrage est-
il capable de faire de la
détection applicative ?
Le réseau dispose-t-il d'un
équipement capable de faire
de la détection
antimalware ?
• La détection est-elle active
 sur les principaux vecteurs de
propagation (http, smtp,
imap, pop, ftp, smb, etc.) ?
• L'équipement est-il capable
de faire du decrypt SSL et
celui-ci est-il activé ?
Le réseau dispose-t-il d'un
équipement capable de faire
de la détection contre les
intrusions ?

2. Périmètre - DMZ
Si des services sont publiés à destination d'internet, il est important d'assurer la sécurité
informatique contre les attaques opportunistes comme les attaques ciblées.

Questions Réponses Propositions Réalisations et suivi

Une zone cloisonnée
appelée DMZ est-elle
en place pour isoler
les serveurs publiés
sur internet du LAN ?
Les ports ouverts sur
internet sont-ils
identifiés, limités et
nécessaires ?
Un filtre IPS strict est-
il en place sur le trafic
entrant ? Voire un
Web Application
Firewall dans le cadre
d'une application
web ?

3. Cloisonnement LAN
Un ransomware ou tout autre piratage peut arriver même si on se pense à l'abri. Par
conséquent, il est primordial de limiter l'impact de l'intrusion par un cloisonnement réseau.
Quel que soit le scénario, l'intrusion doit être limitée à un pourcentage raisonnable de postes
et de serveurs afin de ne pas mettre en péril votre entreprise.
Y a-t-il un cloisonnement strict
entre les serveurs support de
l'infrastructure et les autres
serveurs et utilisateurs ?
Y a-t-il un cloisonnement ou
bien des règles de filtrage
fines, voire un IPS entre
différents groupes
d'utilisateurs (standard, VIP),
entre les utilisateurs et les
serveurs métiers, entre les
groupes de serveurs métiers ou
encore entre les sites ?

4. Authentification
La gestion des accès est au cœur des problématiques de sécurité. Il s'agit de faciliter l'accès
autorisé aux différents services tout en les protégeant contre les accès non permis.

Les utilisateurs
arrivent-ils facilement
à retenir leurs mots
de passe sans l'écrire
et à accéder aux
différents services ?
Les authentifications
sont-elles centralisées
?
Le nombre de mots
de passe à connaître
est-il raisonnable ?
Les utilisateurs qui
ont la nécessité
d'avoir beaucoup
d'identifiants
différents (services
externes non
maitrisés par la DSI)
ont-ils un gestionnaire
de mot de passe
robuste ?
Les services critiques
et les accès externes
disposent-ils d'une
authentification
forte ?

Les anciens
 utilisateurs sont-ils
désactivés ?

5. Mises à jour
Il est possible de considérer que tout système logiciel comporte des failles non découvertes.
Cependant, les éditeurs font de plus en plus d'efforts pour chercher les failles sur leurs propres
logiciels. Ils proposent même des primes en cas de découverte par un tiers ! Il y a donc
régulièrement des mises à jour de sécurité sur les composantes logicielles dont les codes
d'exploitation sont connus ou vont le devenir.

Y a-t-il une stratégie de

mise à jour des systèmes
d'exploitation (clients et
serveurs) ?

Tous les logiciels d'un

système sont-ils maîtrisés ?

Y a-t-il une stratégie de

mise à jour des logiciels ?

Les logiciels ne pouvant pas

être mis à jour et
comportant des
vulnérabilités sont-ils
connus et y a-t-il une
stratégie de minimisation
du risque ?

6. Antivirus et plus
Un antivirus aujourd'hui est un outil de sécurité destiné à protéger le poste de travail et le
serveur. Il intègre souvent une suite d'outils de sécurité comme l'antivirus, l'analyse
comportementale, l'IPS, la sandbox, l'antispam, l'antiphishing, l'analyse des pages web, l'audit
du poste notamment.
Les postes de travail et
les serveurs sont-ils
protégés contre les
codes malveillants
connus ?
La solution déployée
dispose-t-elle d'une
suite d'outils de
sécurité renforçant
son efficacité au-delà
de la base de
signatures connues ?
Une console de

gestion centralisée
permet-elle le
déploiement de
stratégie de sécurité et
autres fonctions
avancées (audit,
monitoring,
déploiement de mise à
jour, etc.) ?

7. Chiffrement
En cas de perte/vol d'un périphérique (Téléphone, PC portable), le chiffrement est le rempart
qui permet de limiter la perte à un cout matériel. Même chose dans un réseau, le chiffrement
point à point est ce qui permet d'empêcher l'interception de données et l'usurpation.

Questions réponses propositions Réalisations et suivi

Tous les périphériques
nomades embarquant
potentiellement des
données ou
identifiants de
l'entreprise sont-ils
chiffrés ?
Les accès distants
sont-ils chiffrés ?

Les accès métiers de

l'entreprise sont-ils
chiffrés ?

8. Sauvegarde / PRA
La sauvegarde est à catégoriser dans « récupération » et non pas « prévention » ou «
protection ». C'est évidemment une des solutions qui permet à l'entreprise de reprendre son
activité en cas d'incident majeur.

questions réponses propositions Réalisation et suivi

Les données les plus
importantes sont-elles
biens incluses dans les
jeux de sauvegarde
Les RTO (durée de
restauration donc
temps
d'indisponibilité) et
RPO (temps depuis la
dernière sauvegarde,
donc données
perdues) sont-ils en
adéquation avec le
besoin ?
La sauvegarde est-elle
supervisée ?

La sauvegarde
fonctionne-t-elle ?
Arrive-t-on à restaurer
les différents types de
données ?
La sauvegarde est-elle
externalisée ?

Y a-t-il un Plan de
Reprise d'Activité
(PRA) pour tous les
scénarios probables ?
Les RTO et RPO sont-
ils en adéquation avec
le besoin ?
 9. Politique de sécurité informatique
Une politique de sécurité est un document (ou un ensemble de documents) qui indique les
règles de sécurité de l'entreprise.

questions réponses propositions Réalisations et suivi

Disposez-vous d'une
politique de sécurité ?

Les personnes
concernées sont-elles
informées de son

existence ?

10. Sensibilisation
Il n'y a pas de mise à jour de sécurité pour les humains. Pourtant avec la sensibilisation il est
possible de réduire le risque humain et de gagner en sécurité.

questions réponses propositions Réalisations et

suivi
Les utilisateurs sont-ils
sensibilisés au risque
informatique (phishing,
malware, vol de
données, etc.) ?
Des actions de
sensibilisation

et des rappels réguliers

sont-ils effectués ?
Les nouveaux arrivants
sont-ils informés du
risque ?

11. Prestataire
Les prestataires n'appartiennent pas directement au système d'information de l'entreprise et
pourtant ils peuvent être le maillon faible de la sécurité.
Questions réponses propositions Réalisation et suivi
Les prestataires ont-ils
ratifié votre politique
de sécurité ?
Les prestataires ont-ils
de la donnée ou des
accès depuis leur
propre matériel ? Si
oui ont-ils été audités
ou bien ont-ils montré
leur niveau de sécurité
en adéquation avec
celui de votre système
d'information ?

Réaliser par Anicet COME ELOUNDOU STAGIAIRE PROFESSIONNEL CRTV