Un bon audit de sécurité informatique ?

Publié par

Qu'est-ce qu'un bon audit de sécurité informatique ?

Lorsque l'on définit le niveau de sécurité d'un système informatique il faut se focaliser sur 4 composantes essentielles :

* Disponibilité : propriété du système d'information qui le rend accessible pour le traitement des données.
* Intégrité : propriété du système d'information qui garantie la consistance des données.
* Confidentialité : propriété du système d'information qui garantie que l'information n'est accessible que par la bonne personne/application.
* Preuve : propriété du système d'exploitation qui garantie que l'on est capable de savoir qui a accédé à quel moment à une donnée ou une application

Lors d'un audit de sécurité informatique il est important de ne pas négliger l'ensemble de ces points.

L'offre actuelle des prestataires informatiques sur les audits de sécurité se place principalement sur la confidentialité. Le prestataire teste votre sécurité via un outil automatique(de type scanner de vulnérabilités) en le disposant chez lui ou chez vous. Puis ensuite il vous remet un beau rapport sur ce qu'il a trouvé.

Or dans ce rapport, n'apparaît nulle part votre disponibilité autrement qu'issue des attaques que pourrait tenter un méchant pirate venu de l'intérieur ou de l'extérieur... Et nulle part vous ne retrouvez les autres composantes...

Il est donc important lors de la phase de signature de votre contrat avec le prestataire de bien lui signifier l'ensemble des points sur lequel doit porter son audit. Imposez que lors de son audit il vérifie les quatre composantes.

Un audit de sécurité est cher et ne doit pas se limiter à une prestation de vérification par un outil de vulnérabilité réseau. Soyez vigilants !

En résumé : ne dites pas que vous avez fait faire un audit de la sécurité de votre système d'information si vous n'avez pas un rapport sur les quatre composantes...

Sebastien GIORIA
Cyberpro