Audit de configuration

L’audit de configuration permet d’évaluer la conformité des matériels, logiciels ou services applicatifs présents sur le système d’information à l’aide de l’ensemble des documentations disponibles (code source, guide d’installation/d’exploitation, bonnes pratiques de l’éditeur, etc.) et d’attribuer un niveau de sécurité en fonction des besoins et exigences de l’organisme.
Un état des lieux de la configuration (emplacement, fichiers, accès, droits) est effectué sur les équipements les plus importants pour l’activité de l’organisme (serveurs, applications, postes, etc.).
Les éléments recueillis sont ensuite confrontés aux bonnes pratiques en vigueur et des constats de conformité ou de non-conformité sont établis. Les écarts observés sont classés afin que l’organisme visualise aisément les points les plus importants à corriger.
L’audit de configuration s’adresse à tout organisme souhaitant évaluer la conformité de sa configuration vis-à-vis des bonnes pratiques et standards de sécurité.

Les audits de configuration permettent d’évaluer la sécurité des points névralgiques du système d’information en utilisant des standards de configuration internationaux et des guides constructeurs. L’objectif est d’identifier les vulnérabilités et failles éventuelles de sécurité présentes sur les matériels et logiciels, et de mesurer leurs impacts sur le système d’information. Des services peuvent donc être tout à fait opérationnels et remplir leurs missions sans que la sécurité des informations traitées ne soit assurée !

Les menaces et vulnérabilités inhérentes aux technologies évoluent ; il en va de même pour leurs bonnes pratiques. L’audit de configuration s’inscrit dans une démarche de sécurisation globale du système d’information, et concerne donc tout organisme voulant s’assurer de la sécurité de ses ressources matérielles et logicielles. Le besoin de conformité peut être aussi issu de la règlementation, contractuelle ou légale, qui est imposé à l’organisme.

La démarche proposée par Digitemis consiste en une analyse de la configuration des divers équipements, par échantillonnage.
Les informations extraites sont ensuite confrontées aux critères de sécurité basés sur les normes constructeurs, standards de sécurité et bonnes pratiques, soit par comparaison visuelle, soit automatiquement par logiciel.
Digitemis a développé des outils collectant ou évaluant automatiquement les informations caractérisant le système d’informations (mises à jour, droits et privilèges, durcissement, etc.), qui permettent de révéler efficacement aux auditeurs les conformités et points d’amélioration. En cas de présence de faille critique mettant en danger immédiat la sécurité du système, une alerte est immédiatement transmise aux parties prenantes.
Les audits de configuration sont réalisés en accord avec les recommandations d’audit des systèmes de management (ISO 19011).

Accompagnement complémentaire