Qu’est-ce qu’un audit de sécurité ?
Les audits de sécurité ont pour but de mesurer le niveau de sécurité d’un système, de déterminer précisément les failles de sécurité et faiblesses dans les mécanismes de sécurité et de pouvoir ainsi définir le degré d’exposition aux risques et menaces internes et externes et de mettre en oeuvre un plan de remédiation avec des actions correctives. L’audit de sécurité informatique que vous propose LCONSULTING comporte les prestations suivants :
Audit des vulnérabilités infrastructure et système
L’objectif de cette prestation consiste en la recherche de vulnérabilités potentielles sur les composants inscrits au périmètre de l’audit. Cette recherche est conduite à l’aide d’un panel d’outils spécifiques, tels les scanners de vulnérabilités systèmes, et scanners de vulnérabilités applicatives et web. L’audit de vulnérabilité se déroule en deux phases:
– Phase de découverte des vulnérabilités : cette phase consiste à effectuer des tests automatisés à l’aide d’outils spécifiques pour détecter les éventuelles vulnérabilités du système d’information.
– Phase d’analyse des vulnérabilités : cette phase consiste à analyser les vulnérabilités identifiées lors de la première phase, d’éliminer les faux positives et enfin de proposer les actions de remédiation en cohérence avec les pratiques et les exigences de sécurité adoptées au sein de l’organisme audité.
Audit d’architecture réseau
L’objectif de cette prestation est d’analyser l’architecture réseau existante afin de déterminer les maillons faibles de la sécurité. L’audit réseau englobe entre autres les aspects suivants :
– Analyse de la topologie du réseau et les schémas d’interconnexion entre systèmes.
– Respect de la segmentation entre systèmes
– Sécurité des accès aux ressources systèmes
– Haut disponibilité des composantes critiques
– Respect des bonnes pratiques.
Audit de configuration
L’audit de configuration repose sur une évaluation technique de la configuration des composants du système d’information afin de s’assurer que les mesures de sécurité déployées respectent les bonnes pratiques en matière de sécurité. Les audits de configuration peuvent s’effectuer sur tout type d’élément informatique (équipements réseaux, systèmes d’exploitation, etc.).
Tests d’intrusion
L’objectif des tests d’intrusion est de valider l’exploitation des failles identifiées durant les phases de scan des vulnérabilités afin de mesurer l’impact réel sur la sécurité du système d’information. Ces tests simulent des scénarios d’attaques préparés à l’avance dans des conditions réelles. L’objectif est de tester la résistance du système d’information aux attaques informatiques provenant de l’intérieur ou de l’extérieur du réseau de l’organisme.
– Les tests d’intrusion externes : permettent d’évaluer la capacité d’un attaquant externe à pénétrer le réseau interne de l’organisme audité ;
– Les tests d’intrusion internes : permettent d’évaluer l’impact d’un acte malveillant mené de l’intérieur du réseau de l’organisme audité.