Overblog Suivre ce blog
Editer l'article Administration Créer mon blog

Lors des derniers mois nous avons passé en revue les principaux enjeux de sécurité informatique et la manière de mieux se protéger sur les "fondamentaux". Le but de cet article de synthèse est maintenant de se doter d'outils et de méthodes afin d'évaluer son niveau de sécurité réel vis à vis de ces fondamentaux.

Je rappelle qu'un "audit" est une méthode d'investigation basée sur la vérification d'exigences de référence à l'aide de preuves. Ces preuves peuvent être des documents, des interviews, l'examen d'enregistrements (journaux de logs ou comptes rendus), la visualisation d'écrans de console d'administration ou de configuration, les résultats de tests basés sur des outils (comme les tests d'intrusion) et enfin l’échantillonnage (suffisamment représentatif de la typologie de la cible).

Le résultat de la vérification d'une exigence d'audit est soit "conforme" soit "non-conforme". Dans le cas de notre "back-to-basics" les exigences correspondent justement aux bonnes pratiques vis à vis de ces fondamentaux de la sécurité. Ils ne sont pas issus d'une norme mais correspondent à la compilation de centaines d'audits que j'ai pu mener, pour les points qui font "mal" à chaque fois.

Voici les 20 points que nous allons étudier répartis en 4 catégories:

Postes de travail

1 Gestion des patches y compris les plug-ins navigateur

Comme nous l'avons vu dans l'article "patchez-patchez-patchez !", les pirates utilisent des systèmes de reverse engineering pour retrouver le code source correspondant au patch publié part l'éditeur. Ils obtiennent ainsi le code qui rectifie la vulnérabilité trouvée. Il est alors beaucoup plus simple d'écrire le code d'attaque qui exploite cette vulnérabilité sur toutes les machines non patchées... Il est donc OBLIGATOIRE de patcher les postes de travail dès connaissance d'une vulnérabilité et surtout de son patch correspondant et AUSSI VITE QUE POSSIBLE.

Autant pour les serveurs, les équipements réseaux, les bases de données et les machines autres que Windows comme Linux, l'application du patch doit être réfléchie, testée et validée, autant pour Windows on dispose d'une infrastructure quasi automatique de diffusion avec WSUS.

De plus, la plupart des attaques sur le système Windows ne fonctionnent que pour les postes dont l'utilisateur n'est pas administrateur local. Aussi les pirates ont trouvé une possibilité d'attaque en piégeant le navigateur web en utilisant les failles des plug-ins, j'ai nommé: flash, acrobat, windows media player,

2 Efficacité de l’anti-virus

3 Informations laissées en clair sur les machines notamment les mots de passe

4 Protection de la mise en veille/session et du boot

Réseau, Serveurs & Applications

5 Solidité des mots de passe et mots de passe par défaut - Authentification forte

6 Filtrage des accès internet et des flux sortants (protection et lutte contre la fuite d’informations sensibles)

7 Flux réseau en clair notamment les mots de passe

8 Sécurité des applications web

9 Sécurité des réseaux sans fil

10 Sécurité de la voix sur IP

11 Partages réseau non sécurisés

12 Sécurité de la messagerie, chiffrement et signature

Mobilité - Internet

13 Sécurisation des accès distants

14 Sécurité des smartphones, tablettes, BYOD, mémoires amovibles etc.

Organisation

15 Gestion des incidents de sécurité

16 Gestion des entrées-sorties-mouvements d’utilisateurs

17 Surveillance et traçabilité des administrateurs IT

18 Traçabilité des événements sécurité – gestion des logs

19 Gestion des mises au rebut des supports de données

20 Charte d’utilisation et respect des données personnelles

Back to Basics: techniques d'audit des fondamentaux de la sécurité

Partager cet article

Repost 0