Cyber Security Audit

Suite à une attaque sur le réseau informatique d'une entreprise, des dysfonctionnements ont été découverts au niveau de la sécurité. Le gestionnaire de réseau décide de commander un audit de sécurité de l'infrastructure informatique.

Il veut le mettre en conformité sur la base des orientations de sécurité préconisé dans le cadre de l'audit.

Context

Les principaux objectifs de cet audit de sécurité sont les suivants:

  • Fournir à l'entreprise une revue de sa sécurité informatique sur la base des aspects techniques et organisationnels observés.
  • Évaluez les différences par rapport aux références de sécurité de l'entreprise.
  • Définir les mesures pour mettre l'ensemble de l'infrastructure en conformité.

La sécurité a conclu que des points forts étaient observés mais aussi des plus faibles à améliorer:

Méthodologie

Pour réaliser un audit, Sertalink utilise une approche méthodologique adaptée aux différents sujets et correspondant aux types de services demandés
Classification du niveau de risque

  • Security policy
  • Critical Security Controls
  • Design compliancy vs security policy
  • Current Network infrastructure and Access Controls
  • Design Compliancy vs Corporate Security Policy
  • Policy review
  • Business Continutity Plan
  • Incident Response Plan
  • Quick business flow analyze
  • Digital footprint (Mail (MX RECORDS), Websites ( Security Vulnerabilities, SSL-TLS version, Encryption…)
  • Remote access / Wifi
  • Design review
  • Conclusions

 

ÉTAPE 1: ENTREVUES ET VISITE DU SITE

L'approche d'audit générale de Sertalink commence par un revue de la situation existante, à travers des entretiens et des tests techniques.

a) Réunion d'initialisation

Une réunion d'initialisation est l'occasion d'expliquer les points suivants:

  • Le domaine de l'audit, par exemple les systèmes et processus à analyser,
  • La planification générale et les différentes étapes,
  • Identification des informations / documents à prendre en compte,
  • Contacts et entretiens nécessaires.
b) Entretiens et visites de sites

L'analyse du niveau de sécurité existant repose principalement sur des entretiens avec les personnes impliquées dans la sécurité, ainsi que sur des tests et vérifications techniques, réalisés lors d'une visite des installations concernées.

Sertalink formalisera un guide d'entretien qui sera approuvé par le chef de projet / responsable informatique / sécurité informatique.

 
ÉTAPE 2: ANALYSE DES RISQUES

Pour chaque composant, service ou fonction, Sertalink identifie et quantifie les risques résultant des menaces et vulnérabilités découvertes. Pour chaque risque, l'analyse détermine:

  • Une description du risque.
  • Les critères de sécurité considérés (disponibilité, intégrité, confidentialité, traçabilité).
  • La probabilité du risque et son impact, évalués au regard des problèmes de sécurité identifiés à l'étape 1.

ÉTAPE 3: RECOMMANDATIONS ET PLAN D'ACTION

Cette étape vise à expliquer les recommandations de sécurité et formaliser le plan d'action associé, en distinguant le très court terme (actions à réaliser en priorité pour couvrir les principaux risques et dont la mise en œuvre est facile) et le court / moyen terme (actions moins urgentes ou nécessitant un investissement plus important)

Pour chaque recommandation, le plan d'action détaillera:

  • La description de la mesure.
  • Son niveau de priorité de mise en œuvre, montrant en premier lieu les actions urgentes à mettre en œuvre à court terme ou permettant une amélioration facile et rapide de certains niveaux de sécurité.
  • Son périmètre (en termes de périmètre, de risques traités…).
  • Ses pré-requis techniques ou organisationnels.
  • Ses éventuels impacts sur la production.
  • Une estimation du coût de mise en œuvre.
  • Le risque résiduel.
X