| Recenser, évaluer, conformiser, confronter |
En quoi consitste un audit de sécurité informatique?
Lesaudits de sécurité informatique visent à recenser les points forts et faibles d'une architecture, de configurations d'éléments clés du SI (OS, modules réseaux, outils de sérité, AD, ...). Les résultats, qu'ils soient issus de ponctions techniques ou d'ateliers, sont confrontés à l'état de l'art, les référentiels de sécurités applicables, ainsi qu'aux risques identifiés de l'entreprise ou du périmètre.
Cela permet d'avoir une vision claire sur le niveau de sécurité de la cible, et des étapes à entreprendre pour le r&actute;hausser ou se mettre en conformité.
Dépendamment de leur nature, j'opère mes audits en respectant l'approche et les méthodes d'évaluation PASSI, pour lesquelles je suis qualifié sur les portées proposées. |
| Audits réalisés : |
Audit d'architecture
L'audit d'architecture consiste en la vérification de la cohérence sécurité d'une architecture informatique donnée (SI simple, sous-partie, plateforme ou segments particuliers), ainsi que des politiques et de leur bonne application.
Organisé en plusieurs ateliers, il s'appuie sur une revue documentaire et sur l'analyse de plusieurs configuration de briques clés (modules réseaux structurants, filtrage/cloisonnement, serveurs/applications sensibles, postes de travail/d'administration,...). A l'idéal avec tests d'intrusions à l'appui.
Les ateliers abordent les sujets suivants :
Authentification, identification - Cartographie technique et applicative - Cloisonnement / Filtrage - Accès distants - Journalisation et corrélation des logs - Politiques d'installation, déploiement et durcissement - MCS - Gestion de l'administration de la plateforme - Gestion des incidents et détection.
L'évalutation de la maturité sécurité est établie par domaine, et les vulnérabilités de principe identifiées sont recensées et mesurées. L'audit d'architecture s'assure de la prise en considération globale des problématiques de sécurité dans le design. |
Audit de configuration
L'évaluation de la configuration peut être menée sur un appareil (OS, firmware, COTS), un service, une application, le paramétrage d'un composant de sécurité (firewall, DC, bastion, IAM, EDR, ...).
Il consiste en une analyse de chaque point impliqué directement ou indirectement dans la sécurité, que l'on évalue en fonction des points de contrôles d'un ou plusieurs référentiels :
STIG - CIS - ANSSI - Guidelines éditeur - Conformité légale.
Pour chaque point de contrôle, cela permet d'identifier vulnérabilité et impact.
Ils sont complémentaires aux tests d'intrusion. Ils peuvent notamment permettent de valider des vulnérabilités suspectées, d'en trouver des nouvelles qui n'auraient pas été détectées, comme d'estimer les politiques de durcissement appliquées. |
Audit Active Directory
L'audit AD est un audit configuration et d'architecture, se concentrant sur le paramétrage et l'implémentation de l'Active Directory, composant névralgique d'une entreprise l'utilisant.
La partie configuration est conduite via des ponctions manuelles, scriptées et outillées, des analyses comparatives aux référentiels, une contextualisation et un classement.
Une attention particulière porte sur les caractéristiques propres à l'AD audité :
GPOs - LDAP - stratégies de sécurité - authentification - comptes, groupes, objets - droits
En complément, des ateliers sont animés avec les architectes/administrateurs AD, afin de parfaire la compréhension du design, des motifs, besoins et procédures.
A l'instar des audits de configuration et d'architecture, l'audit AD permet de déterminer le niveau de sécurité de l'AD, d'identifier les vulnérabilités tout en adaptant les remédiations vis-à-vis des contraintes du contexte. |
Audit Flash
L'audit "Flash" est une analyse de sécurité concise et contextuelle d'une solution en place ou en cours de déploiement. L'objectif est d'obtenir une évaluation rapide des faiblesses, de remonter le cas échéant les vulnérabilités majeures ainsi que de souligner les points d'attention et d'émettre des recommandations.
Plusieurs activités peuvent être impliquées, dépendamment de la solution auditée, comme par exemple :
- Analyse des points de configurations clé de la cible
- Architecture macro et zonage
- Stratégie et paramétrage d'authentification, de droit
- Possibilités de journalisation et détection d'incidents
- Déploiement et administration
Cette approche permet de constituer des guidelines sécurité pour la solution, ainsi que d'amender le DAT. |
Hardening syst`me
Le hardening système consite en premier lieu en un audit de configuration du système cible (majoritairement un OS), pour lequel on opère une ponction de tous les points de contrôle d'un référentiel exhaustif (CIS + Microsoft baselines ou Linux baselines applicables à la distribution et ANSSI DAT NT-028).
Pour chaque point de sécurité, l'état est recensé, et ceux dérogeant aux référentiels sont notés, avec leur justification sécurité et les impacts contextuels potentiels. Une fois conjointement validés, les points sont durcis soit directement, soit par une série de scripts réutilisables. En fonction des technologies, un template durci peut également être créé pour réutilisation.
Cet opération permet une défense en profondeur, afin de mitiger les impacts et possibilités d'exploitation de vulnérabilités dans lequel le système est impliqué. |
Analyse forensique (forensics)
L'approche "forensics" est une analyse de compromission, une collecte de preuve, de traces, suite à une attaque, un virus, un incident, une malveillance ou contrevenance.
Elle vise à déterminer les failles utilisées, les techniques employées, et à d'identifier l'origine de l'attaque. Elle permet également de qualifier l'impact sur le SI et les données (exfiltration, altération de données, accès aux informations). Enfin, le cas échéant, elle permet d'identifier et bloquer les accès conservés (housekeeping).
Elle peut permettre la constitution d'un dossier de preuves légales. |