Audit de sécurité

Audit de sécurité informatique : de quoi

s’agit-il ?
L’audit de sécurité informatique est une démarche qui consiste à évaluer le
niveau de sécurité du système informatique d’une entreprise. En effet, il est
assuré par un professionnel spécial qu’on appelle » auditeur « . Ce
professionnel procède généralement à l’analyse des éléments du système
d’informations de l’entreprise, à savoir les ressources matérielles, les
logiciels (antivirus, pare-feu), l’infrastructure réseau, etc.

L’objectif principal d’un tel audit est de protéger l’entreprise des

cyberattaques. Ainsi dit, l’une des appétences de ce professionnel est
d’identifier les failles de sécurité dans le système informatique et de
vérifier, voire limiter les risques d’intrusion.

Pour avoir un bon résultat, l’auditeur doit faire un test d’intrusion

informatique. Cela lui permet entre autres d’examiner le système
informatique dans son ensemble pour alors corriger les failles afférentes.
Que ce soient les faux mails, les malwares, les bots, la falsification des
informations.

Comment réaliser un audit de sécurité

informatique ?
Une telle opération se déroule en plusieurs étapes et varie généralement
selon chaque auditeur. La toute première consiste à faire une visite in situ
dans l’entreprise afin de cerner les habitudes des employés. Il s’agit par
exemple d’analyser leur façon d’ouvrir les mails, la fréquence de connexion
au wifi… Ainsi, une vérification générale des matériels (ordinateurs,
smartphones, imprimantes…) et des logiciels pourra donc s’effectuer
pour favoriser la mise en place d’une stratégie de défense contre les
risques de cyberattaque. L’étape suivante est le test d’intrusion. À ce
niveau, l’auditeur utilise des outils spécifiques pour vérifier la vulnérabilité
du système de l’entreprise. Il arrêtera le test si et seulement si le système
ne présente plus de faille. En conclusion, il convient de retenir que l’audit de
sécurité informatique est un moyen idéal pour optimiser la cybersécurité
dans une entreprise.

Tests d’intrusion et recherche de vulnérabilité :

Le test de pénétration de l’infrastructure informatique comprend la
vérification des serveurs, des pares-feux, des réseaux WLAN et de l’accès
VPN pour détecter les failles de sécurité. Des tests de pénétration de
l’infrastructure peuvent être effectués pour les systèmes accessibles de
l’extérieur via Internet ainsi que pour les réseaux internes d’entreprise et de
bureau.

L'audit de sécurité d'un système d'information (SI) est une

vue à un instant T de tout ou partie du SI, permettant de
comparer l'état du SI à un référentiel.
L'audit répertorie les points forts, et surtout les points
faibles (vulnérabilités) de tout ou partie du système.
L'auditeur dresse également une série de
recommandations pour supprimer les vulnérabilités
découvertes.
Test de pénétration black box ou boîte noire :
Les tests d’intrusion en boîte noire, également connus sous le nom de
mode de test de pénétration « boîte noire », consistent à pénétrer avec
succès dans un système (boîte) sans aucune information, comme un pirate
qui découvre pour la première fois le système. Le pentester ne dispose
donc d’aucune maîtrise de l’environnement et teste à l’aveugle.

Ainsi, les tests de pénétration black box ou boite noire aident à montrer aux
clients le genre d’informations que les pirates pourraient facilement trouver,
mettant ainsi en évidence les risques qui surviendront en cas d’attaque.
Les pentesters connaissent uniquement le nom de l’organisation
cible et souvent une adresse IP ou une URL.

Il est possible de réaliser un pentest black box sans en

informer les équipes chargées de détecter les attaques, afin
de constater la capacité de l’entreprise à détecter une
attaque et à réagir de façon appropriée.

Test de pénétration white box ou boîte blanche :

La méthode dite « white box » le pentester consiste à tenter de
s'introduire dans le système en ayant connaissance de l'ensemble du
système, afin d'éprouver au maximum la sécurité du réseau.
Contrairement à la boite noire, un audit de sécurité white box
— boite blanche signifie qu’un maximum d’information est
transmis aux pentesters avant l’audit.
Les informations peuvent être des documents d’architecture,
des accès administrateurs à des serveurs, l’accès au code
source…

L’audit de sécurité en boite blanche n’est pas un pentest à

proprement parler, puisque l’auditeur ne se place pas du point
de vue d’un attaquant. Il s’agit d’une analyse sécurité plus
poussée qu’un test d’intrusion, permettant de mieux comprendre
d’où proviennent les problèmes de sécurité. Cela permet
également de découvrir des vulnérabilités non visibles lors
d’un test d’intrusion, mais pouvant tout de même causer
un risque sécurité.
‫ًا بالمعنى الدقيق‬ ‫إن تدقيق أمن الصندوق األبيض ليس خبيث‬
‫يعد‬. ‫ ألن المدقق ل يضع نفسه من وجهة نظر المهاجم‬، ‫للكلمة‬
‫ مما‬، ‫ًا من اختبار الختراق‬ ‫ًا أكثر تعمق‬ ‫ل أمني‬ً‫هذا تحلي‬
‫هذا يجعل من الممكن‬. ‫ًا أفضل لمصدر مشكلت األمان‬ ‫يتيح فهم‬
‫ًا اكتشاف الثغرات غير المرئية أثناء اختبار الختراق‬ ‫أيض‬
، ‫ولكن ل يزال من الممكن أن تسبب مخاطر أمنية‬.

Test d’intrusion en boite grise :

Lors d’un test d’intrusion grey box — boite grise, les pentesters
commencent en ayant déjà des informations sur leur cible. Il
peut s’agir de donner des informations sur le fonctionnement
de la cible, de fournir des comptes utilisateurs sur une
plateforme à l’accès restreint, de donner un accès à une cible
non accessible publiquement, etc.

Le test en boite grise ou test hybride consiste à « tenter de s’introduire

dans un système d’information en ne disposant que d’un nombre limité
d’informations sur l’organisation ou son système ». On simule donc
l’attaque que pourrait perpétrer un client, des partenaires ou des salariés
de votre structure.

‫يتكون اختبار الصندوق الرمادي أو االختبار المختلط من "محاولة اقتحام نظام معلومات بكمية محدودة‬
‫ لذلك نقوم بمحاكاة الهجوم الذي يمكن أن يرتكبه عميل أو‬."‫فقط من المعلومات حول المنظمة أو نظامها‬
‫شركاء أو موظفون في الهيكل الخاص بك‬.

En résumé et en simplifiant,

• Black box – boite noire : tests d’intrusion du point de vue

d’un attaquant externe, niveau minimal d’informations mises à
disposition des pentesters
• Grey box — boite grise : tests du point de vue d’un utilisateur
standard, niveau intermédiaire d’informations partagées aux
pentesters
• White box — boite blanche : tests sécurité du point de vue
d’un administrateur, niveau maximal d’informations
transmises

Les vulnérabilités identifiées lors d’un pentest en boite

noire et en boite grise représentent donc des risques directs
et immédiats pour l’organisation, tandis qu’un audit en boite
blanche permet de pousser plus loin l’analyse sécurité.

Qu’est-ce qu’un test d’intrusion ?

Le test d’intrusion est un audit de cybersécurité dont l’objectif est de
mettre à l’épreuve une application ou un système d’information face à
des attaques réalistes.

Cette méthode est utilisée en sécurité informatique pour identifier les

vulnérabilités d’un système d’information. Le test d’intrusion consiste à
se mettre dans la peau d’un pirate (hacker) malveillant et d’essayer de
pénétrer une cible (le client).

La cible peut être de différent type : une IP, une application, un serveur
web ou encore un réseau complet.

Différence avec un audit et un scanner de

vulnérabilité et un test d’intrusion :
Un scanner de vulnérabilité analyse un réseau ou un système à la
recherche de faiblesses et de vulnérabilités de sécurité qui
pourraient être exploitées par une personne malveillante. En utilisant
l’automatisation, le scanner recherche principalement les vulnérabilités
logicielles, les défauts dans le code source et les mauvaises
configurations des applications web.

Par rapport au test d’intrusion, cela ne couvre donc qu’une partie

infime des vulnérabilités possibles, et la démarche d’automatisation
limite également les possibilités de découvrir des failles
insoupçonnées.

Quant à l’audit de sécurité, il permet d’évaluer la sécurité d’un

système ou d’une application par rapport à un référentiel (politique
de l’entreprise, textes de loi, normes, références et bonnes pratiques en
cours). Un test d’intrusion quant à lui évalue la sécurité non pas par
rapport à des normes, mais par rapport aux pratiques réelles de
piratage à un instant T.

Le Fuzzing: Pour les applications boite noire, où le code n'est

pas disponible, il existe un pendant à l'analyse de code, qui est
le fuzzing. Cette technique consiste à analyser le
comportement d'une application en injectant en entrée des
données plus ou moins aléatoires, avec des valeurs limites.
Contrairement à l'audit de code qui est une analyse
structurelle, le fuzzing est une analyse comportementale d'une
application.
La norme ISO 27001 :
Gestion des risques pour le système
d'information (ISMS):
Le champ d’application de la gestion des risques pour les
systèmes d’information est important et les risques liés à
l’activité et à la technologie sont généralement élevés. Ces
risques peuvent avoir un impact sur l’ensemble de l’entreprise.
La gestion des risques du système d’information (ISMS) commence par
la phase d’évaluation des risques et de traitement. Cela nécessite
l’organisation d’identifier et d’évaluer les risques et de quantifier leurs
probabilités de réalisation. Ensuite, l’organisation doit traiter ces risques
et mettre en œuvre des contrôles pour réduire leur niveau.
‫( تبدأ إدارة مخاطر نظام المعلومات‬ISMS) ‫وهذا يتطلب من المنظمة‬. ‫بتقييم المخاطر ومرحلة العالج‬
‫ يجب على المنظمة معالجة هذه المخاطر وتنفيذ‬، ‫بعد ذلك‬. ‫تحديد وتقييم المخاطر وتقدير احتماالت حدوثها‬
‫الضوابط لتقليل مستواها‬.

Les évaluations des risques sont cruciales pour protéger les actifs
d’information de l’organisation. Un ISME efficace identifie les
vulnérabilités et la probabilité d’entre eux se produisant. Une organisation
doit ensuite appliquer des contrôles pour réduire la probabilité des risques
identifiés. Après la phase d’évaluation initiale, une organisation doit
effectuer une analyse de sensibilité. Il doit également identifier un plan
global pour faire face aux vulnérabilités et atténuer ces risques. Après
l’identification des risques, l’organisation doit effectuer une analyse des
risques.
‫يحدد‬. ‫ تقييمات المخاطر رضورية لحماية أصول معلومات المنظمة‬ISME ‫الفعال نقاط‬
‫يجب عىل المنظمة بعد ذلك تطبيق الضوابط لتقليل احتمالية‬. ‫الضعف واحتمال حدوثها‬
‫ يجب عىل المنظمة إجراء تحليل‬، ‫بعد مرحلة التقييم األول‬. ‫المخاطر المحددة‬
‫كما يجب أن تحدد خطة شاملة لمعالجة نقاط الضعف والتخفيف من تلك‬. ‫الحساسية‬
‫ يجب عىل المنظمة إجراء تحليل للمخاطر‬، ‫بعد تحديد المخاطر المحتملة‬. ‫المخاطر‬.

L’évaluation des risques est l’étape la plus importante de la gestion

d’une ISMS. Son objectif principal est d’assurer la sécurité des systèmes
d’information. Il devrait également inclure l’identification et la mise en
œuvre de contrôles pour gérer les risques posés par les systèmes et
leurs composants. De plus, l’organisation doit avoir un fort engagement
de gestion envers les ISM pour assurer l’intégrité de ses données.

Qu'est-ce que la norme ISO 27001 ?

La norme ISO 27001 est un ensemble de lignes directrices reconnues au
niveau international qui se concentre sur la sécurité de l'information et
fournit un cadre pour le système de management de la sécurité de
l'information (ISMS). L'adhésion aux normes ISO 27001 peut aider
l'organisation à protéger ses données de manière systématique et à
maintenir la confidentialité, l'intégrité et la disponibilité des informations
pour les parties prenantes.

‫ معيار‬ISO 27001 : ‫عبارة عن مجموعة من اإلرشادات المعترف بها دوليًا‬

‫إطارا لنظام إدارة أمن المعلومات‬
ً ‫والتي تركز على أمن المعلومات وتوفر‬
(ISMS). ‫ يمكن أن يساعد االلتزام بمعايير‬ISO 27001 ‫المنظمة على حماية‬
‫بياناتها بشكل منهجي والحفاظ على سرية المعلومات وسالمتها وتوافرها‬
‫ألصحاب المصلحة‬.
la norme ISO 27001, la norme internationale qui décrit les meilleures
pratiques pour un SMSI (système de management de la sécurité de
l’information).

-ISO 27001. Elle définit une méthodologie pour identifier les cyber-
menaces, maîtriser les risques associés aux informations cruciales de
votre organisation, mettre en place les mesures de protection
appropriées afin d’assurer la confidentialité, la disponibilité et
l’intégrité de l’information.

-ISO 27001 fournit un cadre pour aider les organisations, de

toute taille ou de tout secteur, à protéger leurs informations de
manière systématique et rentable, grâce à l'adoption d'un
système de gestion de la sécurité de l'information (ISMS).

-L'objectif fondamental d'ISO 27001 est de protéger trois aspects de

l'information :
 • Confidentialité : seules les personnes autorisées ont le droit d'accéder
aux informations.
• Intégrité : seules les personnes autorisées peuvent modifier les
informations.
• Disponibilité : les informations doivent être accessibles aux personnes
autorisées chaque fois que cela est nécessaire.

Qu'est-ce qu'un SMSI ?

Un système de gestion de la sécurité de l'information (ISMS) est un ensemble
de règles qu'une entreprise doit établir, Cet ensemble de règles peut être écrit
sous la forme de politiques, de procédures et d'autres types de documents, ou
sous la forme de processus et de technologies établis qui ne sont pas
documentés.

Comment fonctionne la norme ISO 27001

?
L'objectif d'ISO 27001 est de protéger la confidentialité, l'intégrité et la
disponibilité des informations dans une entreprise. Cela se fait en découvrant
quels problèmes potentiels pourraient survenir aux informations (c.-à-d.
évaluation des risques), puis en définissant ce qui doit être fait pour éviter que
de tels problèmes ne se produisent (c.-à-d. atténuation des risques ou
traitement des risques).
Par conséquent, la philosophie principale de l'ISO 27001 reposes sur un
processus de gestion des risques : découvrir où se trouvent les risques, puis les
traiter systématiquement, grâce à la mise en œuvre de contrôles de sécurité
(ou sauvegardes)➔ Les contrôles ISO 27001 (également appelés sauvegardes)
sont les pratiques à mettre en place pour réduire les risques à des niveaux
acceptables. Les contrôles peuvent être techniques, organisationnels,
juridiques, physiques, humains, etc.

Auditez, tracez et simplifiez votre

mise en conformité grâce à Netwrix
Auditor :
Netwrix Auditor est une plateforme d’audit des modifications de fichiers et
des configurations en environnement Windows. Elle offre une visibilité
complète sur les changements opérés au sein du système d’information.
L’audit porte à la fois sur les configurations, les systèmes, et les données,
simplifiant ainsi la mise en conformité, tout en renforçant la sécurité et en
facilitant l’analyse des actions opérées.
Netwrix Auditor répond à deux questions majeures :
• Qui a modifié quoi ? où ? quand et comment ?
• Quelles sont les configurations ou les valeurs avant et après
changement ?