L’audit de sécurité d’un système d’information est un bilan qui capture la situation de tout ou d’une partie du SI (Système d’Informations). Ce bilan permet de comparer l’état du SI à un référentiel. L’audit répertorie les points forts et les faiblesses de la sécurité du système.
Types d’audit de sécurité
Un audit de sécurité black box — boite noire est réalisé dans les conditions les plus proches d’une attaque externe perpétrée par un inconnu distant. Cela signifie qu’aucune information ou presque n’est fournie aux pentesters avant de commencer les tests.
Lors d’un test d’intrusion grey box — boite grise, les pentesters commencent leurs tests en ayant déjà des informations sur leur cible. Dans ce cas de figure, le commanditaire donne des informations sur le fonctionnement de la cible de l’audit. Ainsi, il peut fournir aux pentesters des comptes utilisateurs sur une plateforme à l’accès restreint ou un accès à une cible non accessible publiquement. Cela permet de réaliser des tests plus approfondis grâce à une appréhension et un point d’attaque différents.
Contrairement à la boite noire, un audit de sécurité white box — boite blanche (parfois boite de cristal) signifie qu’un maximum d’informations sont transmises aux pentesters avant l’audit. Les informations nécessaires au bon déroulement de l’audit sont partagées en toute transparence. Le fonctionnement de la cible est ainsi connu et rendu visible, d’où le terme boite blanche.
Analyse de risque
Le rapport doit se faire au format PDF avec différentes explications sur les potentielles failles de sécurité. Le client est en droit de demander les recours et les méthodes utilisés afin d’exploiter certaines failles de sécurité.
En revanche, si l’audit concerne un état des lieux du STAD, le client peut demander les méthodes utilisées, ainsi que les outils, pour déterminer les problèmes de configurations et les potentielles attaques qu’un utilisateur malveillant pourrait utiliser.
Pour l’analyse de risque, un tableau peut être fait en mentionnant les points clés du PRA (Plan de Reprise d’Activité) et de PCA (Plan de Continuité d’Activité). Ces deux plans sont essentiels pour toutes entreprises étant équipées de STAD dans leurs locaux ou dans le cloud.
Enfin, une analyse du risque potentiel et de la probabilité que ce dernier arrive peut être un atout majeur dans le cadre d’un audit de sécurité afin de sensibiliser les différents utilisateurs sur les risques potentiels (Attaque par phishing, BADUSB, etc…).
Exemple de risque
Faille de sécurité | Risque | Probabilité | CVE (si existe) | Score CVE (CVSSv3 Score) | PRA | PCA |
Elévation de privilège vertical | Contrôle total de la machine | Faible | CVE-2022-21999 | 7.8 | Couper les accès réseau de la machine et partir sur une sauvegarde | Enregistrer les données sensibles sur un autre support (Sauvegarde 3-2-1) |
Buffer Overflow | Exécution de code arbitraire | Faible | CVE-2023-25610 | 9.3 | Couper les interfaces réseaux internes à la société et mettre à jour l’équipement | Mettre à jour l’équipement |