AUDIT

Le but de tout système déployé est de fournir à ses utilisateurs un niveau de sécurité conforme à celui prévu lors de la rédaction de ses spécifications.

 

Par ailleurs, tout système opérationnel voit son niveau de sécurité se dégrader avec le temps : apparition de nouvelles failles de sécurité,
« effet routine » amenant à ne plus respecter les procédures de sécurité.

Il importe donc de contrôler le niveau de sécurité de tout système par la réalisation d’audit de sécurité. Ces audits concourent ainsi à l’amélioration continue de la sécurité. Les résultats de ces contrôles concourent à l’amélioration continue de la sécurité.

Audit de Sécurité Organisationnel

Ce type d’audit a pour objectif d’identifier les vulnérabilités liées aux différents processus d’exploitation du système et au management de la sécurité. Ces audits sont réalisés par rapport au référentiel interne de l’entreprise audité (s’il existe) ou par rapport à d’autres référentiels (par exemple la norme internationale ISO / IEC 27001 ou d’autres normes adaptées au métier de l’entreprise).

Procédures d’administration, de surveillance et d’exploitation

 

Les thématiques suivantes peuvent être abordées :

– Politique et Organisation de la sécurité

– Charte éthique du SI

– Politique de sauvegarde et de restauration

– Procédure de mise à jour et gestion des incidents

– Indicateurs de suivi et tableaux de bord

– Sensibilisation et formation du personnel

metier-AUDIT1
metier-AUDIT2
Audit de la sécurité physique de l’organisme

 

Les points suivants peuvent être abordés :

 

– Moyen de contrôle d’accès physique : moyens humains, moyens techniques (badges, etc…)

 

– Moyen de détection d’intrusions (alarmes, caméras, etc…)

 

– Système de détection et d’extinction d’incidents environnementaux : incendie, inondations, secours énergétiques…

 

– Moyen d’accès physiques aux serveurs et postes de travail fixes et mobiles

Audit du plan de continuité d’activité d’un organisme

 

Il s’agit ici d’évaluer le niveau de maîtrise et d’implémentation du plan de continuité d’activités de l’entreprise. Cet audit aborde les aspects « plan de sauvegarde », plan de gestion de crise, procédures techniques de reprise.

 

L’ensemble des procédures, des organisations et des moyens techniques concourant à la sécurité du système d’information, est audité. L’audit est structuré sur la base d’entretiens afin de déterminer objectivement les écarts par rapport au référentiel (méthodologique, technique, réglementaire voire législatif) de l’organisation.

 

Ces audits organisationnels aboutissent à la rédaction d’un rapport d’audit présentant les résultats de l’audit, les vulnérabilités techniques et organisationnelles identifiées et les actions hiérarchisées à mettre en place.

metier-AUDIT3

Test d'Intrusion Réseaux & Applicatifs

Les tests d’intrusion peuvent être externes (depuis Internet) ou internes (connecté au réseau de l’entreprise) et ont pour but de simuler les actions d’un attaquant sur Internet ou d’une personne ayant accès au réseau interne de l’entreprise.

En fonction de l’objectif précis de la prestation, ces tests peuvent être réalisés :

– En « Boîte noire » : sans information sur le système testé. Ces tests simulent les attaques d’un pirate informatique sur Internet.

– En  « Boîte blanche » : en ayant connaissance de l’ensemble des éléments d’architecture du système testé. Ces tests permettent de donner un avis plus pertinent sur le niveau des protections.

Avec ou sans compte utilisateur : permettant ainsi de mesurer la capacité du système à résister à un attaquant ne disposant d’aucune information d’authentification ou au contraire, ayant un accès, légitime.

En fonction des objectifs de la mission, ces tests peuvent porter uniquement sur l’infrastructure réseau et le système d’exploitation, uniquement sur l’application ou porter sur l’ensemble du système d’information (réseau et applicatif). Par exemple, les audits applicatifs peuvent être réalisés préalablement à la mise en production du service ou dans le cadre de campagnes régulières. Quelle que soit l’approche retenue, en raison des contraintes juridiques et des impacts possibles sur le système d’information, ces tests sont réalisés en collaboration avec le client.

 

Au delà de la simple liste des vulnérabilités, le rapport d’audit Oppida présente une synthèse managériale (présentant les enjeux métiers et la démarche d’audit), l’ensemble des tests réalisés et les résultats avec les préconisations permettant de corriger les failles détectées. Ce formalisme apporte une garantie sur l’exhaustivité des contrôles et du périmètre testé. Ces livrables peuvent être ainsi facilement utilisés dans le cadre d’audit menée par des autorités de contrôle interne (Inspection Générale) ou externe.

Audit de Code

Les audits de code sont réalisés d’une part dans le cadre des évaluations Critères Communs (ISO/ IEC 15408) ou CSPN pour des produits à haut niveau d’assurance et d’autre part pour des clients dont les applications revêtent une sensibilité particulière et qui souhaitent avoir un haut niveau de garantie sur la sécurité de leurs applications.

Pour réaliser ces missions d’audit, Oppida s’appuie sur des outils d’analyse qui permettent d’identifier de nombreux types de vulnérabilités dans de nombreux langages de programmation. En complément, une analyse manuelle est systématiquement effectuée afin d’éliminer les éventuels « faux positifs » retournés par ces outils, de quantifier le risque lié à chaque vulnérabilité avérée et d’identifier les vulnérabilités qui ne sont pas issues d’erreur de codage mais d’erreur de conception.
Ce type d’audit est ainsi régulièrement mené pour les dispositifs de signature électronique.

 

Certaines prestations sont également réalisées dans un cadre réglementaire ou légal. Ainsi, des missions d’audit sont également menées dans le domaine des jeux en ligne, où Oppida se positionne fortement en tant qu’expert et réalise des audits selon le référentiel de l’ARJEL.

Ces audits de code aboutissent à la rédaction d’un rapport d’audit présentant les résultats de l’audit, les vulnérabilités identifiées et les actions hiérarchisées à mettre en place.

Audit de Configuration

Les audits de configuration ont pour objectif de vérifier la conformité des éléments d’une infrastructure par rapport aux référentiels internes de l’entreprise auditée (s’ils existent) et par rapport aux « bonnes pratiques » en matière de sécurité (normes, guides de configuration, etc…).

L’audit de configuration, contrairement aux tests d’intrusion, est non invasif, ne nécessite l’installation d’aucun logiciel sur les systèmes à auditer et peut donc être parfaitement mené sur des systèmes en production, sans risque de perte de données ou de service.

 

Oppida utilise et développe des outils automatiques d’audit de configuration qui permettent à ses auditeurs de vérifier rapidement de très nombreux points de contrôle (droits sur les fichiers, mise à jour du système d’exploitation et des applications, partages, comptes systèmes et applicatifs, services en écoute, etc…)

 

En complément d’un audit de configuration, avec l’accord du client, des tests (internes ou externes) permettant d’exploiter les vulnérabilités identifiées peuvent être menés afin de vérifier leur faisabilité technique.

Ces audits de configuration aboutissent à la rédaction d’un rapport d’audit présentant les résultats, les vulnérabilités identifiées et les actions hiérarchisées à mettre en place.

Audit d'architecture

Les audits d’architecture permettent de détecter les failles d’un système d’information par rapport aux référentiels de bonne pratiques de sécurité. Ce type d’audit s’inscrit en général dans un cycle d’audit complet et est souvent effectué en préambule de tests d’intrusion ou d’audit de configuration.

L’audit se déroule sur plusieurs aspects :

 

  • – Une analyse documentaire des différents supports fonctionnels et techniques : examen du plan d’adressage, des routes, des VLAN, des access-list…
  • – Une étude des technologies et méthodes retenues et leur mode d’implémentation (par exemple, un focus sera effectué sur les modules d’authentification et les mécanismes de filtrage)
  • – Une approche globale du périmètre afin de modéliser fonctionnellement le système et identifier les vecteurs d’attaque les plus pertinents par rapport au flux de données à protéger

 

 

Ces audits aboutissent à la rédaction d’un rapport d’audit présentant les non-conformités à l’état de l’art ainsi que les vulnérabilités identifiées et les recommandations de correction.

Audits Spécifiques

Oppida réalise de nombreux audits, notamment par rapport à des référentiels spécifiques :

  • – Audit de conformité eIDAS, en vue d’une qualification par l’ANSSI.
  • Le Règlement « eIDAS » n°910/2014 du 23 juillet 2014 a pour ambition d’accroître la confiance dans les transactions électroniques au sein du marché intérieur. Il établit un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques.Oppida est agréé par l’ANSSI pour réaliser ces audits.

 

  • – Audit de conformité au référentiel PCI-DSS (Visa Master-Card) : fort d’une parfaite maîtrise du référentiel VISA Mastercard , Oppida assiste ses clients dans la mise en conformité avec le référentiel PCI DSS.  A ce jour, plus d’une trentaine de missions ont été menées.

 

  • – Audit des systèmes industriels : les réseaux industriels ont suivi l’évolution technologique et sont de plus en plus mutualisés avec les éléments du Système d’Information classique de la société.  Oppida intervient auprès des industriels dans la réalisation d’audits de sécurité sur des réseaux de type SCADA (systèmes de commande / contrôle) sensibles.
auditspé
  • – Audit de conformité HELIOS : homologation des dispositifs de dématérialisation des opérations en comptabilité publique (Arrêté du 27 juin 2007).

 

  • – Audit de conformité ACTES : homologation des dispositifs de télétransmission des actes soumis au contrôle de légalité dans le cadre de la dématérialisation des actes des collectivités (Arrêté du 19 octobre 2005).

 

  • – Audit de conformité ARJEL : audit de conformité des règles de jeu, audit de générateurs de nombres aléatoires, audit de code…(Décret n° 2010-482 du 12 mai 2010), audit de certification.

 

  • – Audit dans le cadre de certifications selon le RGS (Qualification des Prestataires de Services de Confiance, par exemple) : Oppida et ses consulatants interviennent dans le cadre d ela qualification de prestataires de services de confiance (fournisseurs de certificats électroniques, systèmes d’horodatatge) pour le compte de LSTI. Oppida a ainsi audité de nombreuses sociétés qualifiées RGS.

 

  • – Audit de technologies spécifiques : audit Wifi, VOIP, terminaux mobiles, Bluetooth.

EIDAS

 

 Le Règlement Européen « eIDAS » vise à établir la confiance dans les transactions électroniques au sein du marché intérieur.
  • Il définit un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques.

Les services de confiance qualifiés,
prévus par le règlement eIDAS sont les suivants :

 

    • – délivrance de certificats qualifiés de signature électronique, de cachet électronique et d’authentification de site internet

 

    • – validation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés ;

 

    • – conservation qualifiée des signatures électroniques qualifiées et des cachets électroniques qualifiés ;

 

    • – horodatage électronique qualifié ;

 

    • – envoi recommandé électronique qualifié
eidas-450

OPPIDA réalise depuis 2017 des accompagnements et des audits eIDAS pour ces services de confiance.

Audit PASSI

Oppida est qualifié Prestataire d’Audit de la Sécurité des Système d’Information (PASSI) selon le référentiel défini par l’ANSSI sur l’ensemble des portées :

  • – audit d’architecture
  • – audit de configuration
  • – audit de code source
  • – tests d’intrusion
  • – audit organisationnel et physique
  • – PASSI LPM (Loi de Programmation Militaire)

 

Cette qualification confirme le haut niveau de qualité et de technicité d’OPPIDA en terme de réalisation d’ audits