Audit de configuration
L’audit de configuration pour durcir la sécurité de votre périmètre
L’audit de configuration a pour vocation de vérifier la mise en œuvre de pratiques de sécurité conformes à l’état de l’art (bonnes pratiques, guides de configuration, etc.), aux exigences et règles internes de l’audité en matière de configuration des dispositifs matériels et logiciels déployés dans un système d’information. Complémentaire de l’audit de code, l’audit de configuration permet de renforcer la sécurité d’un élément du système d’information en utilisant des standards de configuration éprouvés.
La démarche d’audit s’appuie sur les référentiels de l’ANSSI, du SANS (SysAdmin, Audit, Network, Security), du CIS (Center for Internet Security), des référentiels de sécurité des éditeurs ainsi que sur l’état de l’art et les contraintes métiers spécifiques de l’audité.
Les 4 objectifs de l’audit de configuration :
1. Évaluer le niveau de sécurité général du périmètre audité
2. Confronter la configuration actuelle de l’équipement aux meilleures pratiques en termes de sécurité des systèmes d’information
3. Définir un plan d’action technique permettant de durcir le périmètre audité
4. Répercuter les bonnes pratiques sur des environnements similaires
Digitemis propose la méthode suivante :
Quelques exemples de missions :
1er exemple : réalisation d’un audit de configuration sur le pare-feu en amont d’une application
L’objectif est de vérifier que l’état de l’art et les bonnes pratiques en matière de configuration des équipements de filtrage réseau sont pris en compte. L’auditeur utilisera une copie de la configuration du pare-feu (export des règles de filtrage) ainsi qu’un plan du réseau.
2nd exemple : réalisation d’un audit de configuration sur le serveur hébergeant une application
L’objectif est d’évaluer le niveau de conformité du serveur en matière de sécurité des configurations en fonction des matériels et logiciels présents, des standards des éditeurs (Microsoft, Cisco, Oracle, etc.) et des référentiels visés (ANSSI, 27002, SANS, NIST, CIS, …). L’environnement de l’application sera également pris en compte. L’auditeur analysera une copie de tous les fichiers de configuration pertinents présents sur le serveur, ainsi qu’un inventaire des droits appliqués aux fichiers et dossiers du serveur.