A quoi sert un audit de sécurité informatique ?

Dans la sécurité informatique, il vaut toujours mieux prévenir que guérir. En effet, que ce soit le fait d’intrusions extérieures, de failles dans son architecture globale, votre système court des risques importants. Pour les cibler, les tester, et trouver par la suite les solutions les plus adaptées : un audit de sécurité informatique s’impose.
Les tâches effectuées lors de ce type d’opération de sécurité informatique sont ainsi de plusieurs ordres :
Les tests d’intrusion
Le test d’intrusion, comme son nom l’indique, permet d’évaluer la vulnérabilité d’un système face aux attaques extérieures. Pour cela, le testeur simule une intrusion, et vérifie que les données de configuration sont adaptées aux risques encourus. Ce type de tâche peut s’effectuer selon 3 modes :
- le test boîte blanche (le testeur dispose de toutes les informations concernant le système audité)
- le test boîte grise (le testeur ne dispose que d’informations partielles)
- le test boîte noire (le testeur ne dispose d’aucune information et effectue son intrusion dans les conditions réelles d’une attaque)
Les tests de configuration
Ici, c’est l’ensemble des composantes du système, de son architecture qui sont analysées dans le détail. Du chargeur de démarrage jusqu’à la configuration du réseau, en passant par les mécanismes d’identification, rien n’est laissé au hasard. Toutes les failles potentielles sont inspectées, listées puis traitées.
Le test de code
C’est l’une des tâches les plus fastidieuses lors d’un audit de sécurité informatique. Les applications web actuelles, trop souvent, ne respectent pas les règles fondamentales de sûreté, engendrant des failles (dépassement de tampon, bugs de formats…) parfaitement exploitables par n’importe quel pirate. Le test de code vous prémunit contre ces dernières.
Quand effectuer un audit de sécurité ?
Un audit de sécurité peut être envisagé comme un simple test ponctuel de sécurité. Cependant, on peut décider de l’effectuer à l’occasion d’un événement précis :
- tester l’installation d’un nouvel équipement
- tester la performance de votre PSSI (politique de sécurité des systèmes d’information) avant validation
- Réagir suite à une attaque