Vous êtes sur la page 1sur 24

Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri

Elyes Elyes - - Mai 2009 Mai 2009


1 1
Cours 1 Cours 1 D D marche d marche d Audit & Audit &
tude de Cas pratiques tude de Cas pratiques
Pr Pr sentation G sentation G n n rale de la D rale de la D marche marche
d d Audit Audit
(M (M thodologies,Outils) thodologies,Outils)
Anim Anim par Mr Khemiri par Mr Khemiri Elyes Elyes
Certifi Certifi ISO 27001 ISO 27001- -Lead Lead Auditor Auditor aupr aupr s du LSTI Accr s du LSTI Accr dit dit par le par le
COFRAC COFRAC
Certifi Certifi ANSI ANSI
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
2 2
D
D

marche de r
marche de r

alisation d
alisation d

une
une
mission d
mission d

Audit S
Audit S

curit
curit

Approches dAudit Scurit


Dfinir les tapes / les phases de la mission dAudit
Le Cycle dAudit
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
3 3
Approches d Approches d Audit S Audit S curit curit
Une approche " bo Une approche " bo t e bl anche t e bl anche " : " :
Un audit plus homog Un audit plus homog ne, l' ne, l' valuation poss valuation poss de une de une
caract caract ristique d'analyse " en compl ristique d'analyse " en compl tude " et les tude " et les
aspects techniques et organisationnels sont trait aspects techniques et organisationnels sont trait s s
de mani de mani re uniforme re uniforme
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
4 4
Une approche " bo Une approche " bo t e noi re t e noi re " : " :
Un audit avec une vue plus parcellaire, r Un audit avec une vue plus parcellaire, r v v lant lant
plutt des lacunes cibl plutt des lacunes cibl es es forte orientation forte orientation
technique. technique.
Les " tests d'intrusion " ou " tests intrusifs " font Les " tests d'intrusion " ou " tests intrusifs " font
partie de cette cat partie de cette cat gorie d'audit. gorie d'audit.
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
5 5
Dfinir les tapes / les phases de la
mission dAudit Scurit
Cette tape permet de :
Mettre en Mettre en uvre l uvre l audit s audit s curit curit en d en d finissant les finissant les
champs d champs d tude et les p tude et les p rim rim tres de la mission tres de la mission
D D finir un planning de r finir un planning de r alisation de la mission alisation de la mission
D D laborer d laborer d une batterie de questionnaires par rapport une batterie de questionnaires par rapport
un r un r f f rentiel d rentiel d fini fini partir des exigences et des partir des exigences et des
attentes des responsables du site audit attentes des responsables du site audit . .
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
6 6
Principalement, la mission sera subdivis Principalement, la mission sera subdivis e en e en
deux volets deux volets : :
Audi t Ni veau 1 : Audi t Ni veau 1 : A udi t Or gani sat i onnel &
Physi que , A nal yse de Ri sque
Audi t Ni veau 2 : Audi t Ni veau 2 : A udi t Techni que
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
7 7
Audi t Ni veau 1 Audi t Ni veau 1
Avoir une vue globale de l Avoir une vue globale de l tat de s tat de s curit curit du syst du syst me me
d d information et d information et d identifier les risques potentiels identifier les risques potentiels
(environ tous les deux ans) (environ tous les deux ans)
Audi t Ni veau 2 Audi t Ni veau 2
Concerne les composants du syst Concerne les composants du syst me d me d information information : :
validation d validation d une architecture de s une architecture de s curit curit , test de , test de
vuln vuln rabilit rabilit s internes et/ou externes (intrusifs) , s internes et/ou externes (intrusifs) ,
validation du code (failles dans une application web, validation du code (failles dans une application web,
contrle d contrle d acc acc s trivial...), s trivial...), etc etc
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
8 8
L L audit Technique d audit Technique d un p un p rim rim tre de s tre de s curit curit est pr est pr conis conis
dans les situations typiques suivantes ( d dans les situations typiques suivantes ( d une mani une mani re re
r r currente) currente) : :
Val i dat i on de l a s Val i dat i on de l a s curi t curi t d d un nouveau p un nouveau p ri m ri m t re, par exempl e d t re, par exempl e d un un
Fi rewal l Fi rewal l , d , d un si t e un si t e eBusi ness eBusi ness, d , d un un Ext ranet Ext ranet , d , d un acc un acc s I nt ernet , d s I nt ernet , d un un
syst syst me VPN me VPN
Anal yse pr Anal yse pr al abl e d al abl e d un si t e pour l un si t e pour l i nst al l at i on d i nst al l at i on d une nouvel l e une nouvel l e
i nfrast ruct ure. i nfrast ruct ure.
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
9 9
Le cycle de l Le cycle de l audit s audit s curit curit
La mi ssi on d La mi ssi on d audi t de s audi t de s curi t curi t i nformat i que est effect u i nformat i que est effect u e e
sel on un processus cycl i que permet t ant d sel on un processus cycl i que permet t ant d t udi e l e ni veau t udi e l e ni veau
de s de s curi t curi t du syst du syst me d me d i nformat i on d i nformat i on d un poi nt de vue : un poi nt de vue :
* Technique (les points d Technique (les points d entr entr es sur le r es sur le r seau, les seau, les quipements de quipements de
s s curit curit , les protocoles mis en , les protocoles mis en uvre, uvre, etc etc ) )
* Organisationnel ( Organisationnel ( tude des proc tude des proc dures de d dures de d finition, de mise en finition, de mise en
place et de suivi de la politique de s place et de suivi de la politique de s curit curit , etc...) , etc...)
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
10 10
La phase fi nal e du processus d La phase fi nal e du processus d Audi t S Audi t S curi t curi t est consacr est consacr e e
l a r l a r dact i on des rapport s de synt h dact i on des rapport s de synt h se : se :
*Recueil des pri ncipal es vul nrabil its et i nsuffi sances
dcel es
*Synthse des recommandations de mi se en uvre
(organisationnel s,physi ques et techniques)
*Synthse des sol uti ons et outil s de scurit proposs
*Esquisse dun pl an daction scurit (Esti mation des
budgets al l ouer pour l a mi se en uvre des mesures
recommandes )
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
11 11
La mission d La mission d audit s audit s curit curit constitue le point de constitue le point de
d d marrage du projet de s marrage du projet de s curisation d curisation d un site un site. .
Audi t Scuri t du Si te
Archi tecture & Sol uti on
de Scuri t proposes
Mi se en pl ace de l a
sol uti on de scuri t
Tests & Val i dati ons du
systme de scuri t i mpl ante
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
12 12
D
D

tail de la D
tail de la D

marche
marche
Etude Cas Pratique
Etude Cas Pratique
Audi t Ni veau 1 (AOP,AR) Audi t Ni veau 1 (AOP,AR)
Audi t Ni veau 2 (AT) Audi t Ni veau 2 (AT)
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
13 13
Audit Niveau 1
Audit Niveau 1
Audit Organisationnel & Physique (AOP), Analyse Audit Organisationnel & Physique (AOP), Analyse
de Risque de Risque
Obj ect i f
Droul ement de l audi t ni veau 1
t ude Cas val uat i on du ni veau de scuri t dun SI
Anal yse de Ri sque
Dl i vrabl es de l a phase dAOP
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
14 14
Objectif
Objectif
Cette premire phase de l audit scurit permet :
- Davoir une vision qual itative et quantitative des
diffrents facteurs de l a scurit informatique du site
audit
- Didentifier l es points critiques du systme di nformation
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
15 15
- Comprendre l a dmarche d'observation : niveau gl obal
pui s niveau spci fique
- Prsenter l es objectifs de l a dmarche daudit scurit avant
l es entretiens
- Instaurer un cl i mat de confiance , viter l a cul pabil it
Fact eurs cl s de succs de cet t e t ape :
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
16 16
Audit Niveau 2 (AT)
Contenu de la prsentation
Audit Technique (AT)
Dfi ni t i on des phases de l t ape dAT
Audi t de l archi t ect ure du syst me
Reconnaissance du rseau et du plan dadressage
Sondage des Systmes
Sondage des Services rseau
Audit des applications
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
17 17
Anal yse Anal yse des Vul n des Vul n rabi l i t rabi l i t s (i nt rusi f i nt erne) s (i nt rusi f i nt erne)
Analyse des vuln Analyse des vuln rabilit rabilit s des serveurs en exploitation s des serveurs en exploitation
Analyse des vuln Analyse des vuln rabilit rabilit s des postes de travail s des postes de travail
Anal yse Anal yse des Vul n des Vul n rabi l i t rabi l i t s (i nt rusi f ext erne) s (i nt rusi f ext erne)
Audi t de l Audi t de l Archi t ect ure de S Archi t ect ure de S curi t curi t exi st ant e exi st ant e
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
18 18
Venant en suite l ogi que l audit de niveau 1, l audit de
niveau 2 ou l audit technique sattache identifier l es
vul nrabil its techniques prsentes sur l es systmes
i nformatiques criti ques du site audit.
Droul ement de l t ape :
Laudit technique sera ral is sel on une succession de
phases respectant une approche mthodique al l ant de l a
dcouverte et l a reconnaissance du rseau audit jusqu l a
ral isation des scnarios dattaques expertes.
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
19 19
Laudi t t echni que permet l a dt ect i on des t ypes de
vul nrabi l i t s sui vant es, savoi r :
- Les erreurs de programmati on et erreurs darchi tecture.
- Les erreurs de confi gurati ons des composants l ogi ques
i nstal l s tel s que l es servi ces (ports) ouverts sur l es
machi nes, l a prsence de fi chi ers de confi gurati on i nstal l s
par dfaut, l uti l i sati on de comptes uti l i sateurs par dfaut.
- Les probl mes au ni veau de trafi c rseau (fl ux ou trafi c
non rpertori s, coute rseau, etc ).
- Les probl mes de confi gurati on des qui pements di nterconnexi on et
de contrl e daccs rseau
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
20 20
Cet audit sappl ique aux environnements sui vants :
- Rseau daccs Internet, rseau di nterconnexi on i nter-
si tes (Frame Rel ay , X25, Fai sceau Hertzi en, etc..).
- Serveurs i nternes du si te audi t et l es postes sensi bl es du LAN.
- Systmes cri ti ques spci fi ques.
- Composants et qui pements acti fs de l i nfrastructure
rseau du si te audi t (fi rewal l s, routeurs fi l trants, commutateurs
ni veau 3, etc)
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
21 21
Principales phases : Principales phases :
Phase 1 : Audi t de l archi t ect ure du syst me
OReconnai ssance du rseau et du pl an d adressage
O Sondage des Systmes
O Sondage Rseau
O Audi t des appl i cati ons
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
22 22
Phase 2 : Anal yse des Vul nrabi l i t s (i nt rusi f i nt erne)
OAnal yse des vul nrabi l its des serveurs en expl oitation
OAnal yse des vul nrabi l its des postes de travail
Phase 3 : Anal yse des Vul nrabi l i t s (i nt rusi f ext erne)
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
23 23
Phase 4 : Audi t de l archi t ect ure de scuri t exi st ant e
OAudi t des Fi rewal l s et Rgl es de Fi l trage
OAudi t des routeurs et des ACLs (Li ste de Contrl e d'Accs )
OAudi t des Sondes et des passerel l es anti vi ral es
OAudi t des stati ons proxy/Reverseproxy
OAudi t des serveurs DNS, dauthenti fi cati on
Ce document est Ce document est la propri la propri t t de Mr Khemiri de Mr Khemiri
Elyes Elyes - - Mai 2009 Mai 2009
24 24
OAudi t de l a zone dadmi ni strati on de l archi tecture de scuri t exi stante
OAudi t des commutateurs (swi tchs) et de l a confi gurati on en VLANs
OAudi t de l a pol i ti que dusage de mots de passe
OAudi t de l a sol i di t du systme, face aux essai s di ntercepti on des fl ux
OAudi t de l a rsi stance aux attaques de dni de servi ce

Vous aimerez peut-être aussi