Audit de configuration

L’audit de configuration pour durcir la sécurité de votre périmètre

L’audit de configuration a pour vocation de vérifier la mise en œuvre de pratiques de sécurité conformes à l’état de l’art (bonnes pratiques, guides de configuration, etc.), aux exigences et règles internes de l’audité en matière de configuration des dispositifs matériels et logiciels déployés dans un système d’information. Complémentaire de l’audit de code, l’audit de configuration permet de renforcer la sécurité d’un élément du système d’information en utilisant des standards de configuration éprouvés.

La démarche d’audit s’appuie sur les référentiels de l’ANSSI, du SANS (SysAdmin, Audit, Network, Security), du CIS (Center for Internet Security), des référentiels de sécurité des éditeurs ainsi que sur l’état de l’art et les contraintes métiers spécifiques de l’audité.

Les 4 objectifs de l’audit de configuration :

1. Évaluer le niveau de sécurité général du périmètre audité
2. Confronter la configuration actuelle de l’équipement aux meilleures pratiques en termes de sécurité des systèmes d’information
3. Définir un plan d’action technique permettant de durcir le périmètre audité
4. Répercuter les bonnes pratiques sur des environnements similaires

Digitemis propose la méthode suivante :

audit de configuration

Quelques exemples de missions :

Audit de configuration sur pare-feu

1er exemple : réalisation d’un audit de configuration sur le pare-feu en amont d’une application

L’objectif est de vérifier que l’état de l’art et les bonnes pratiques en matière de configuration des équipements de filtrage réseau sont pris en compte. L’auditeur utilisera une copie de la configuration du pare-feu (export des règles de filtrage) ainsi qu’un plan du réseau.

Audit de configuration sur serveur

2nd exemple : réalisation d’un audit de configuration sur le serveur hébergeant une application

L’objectif est d’évaluer le niveau de conformité du serveur en matière de sécurité des configurations en fonction des matériels et logiciels présents, des standards des éditeurs (Microsoft, Cisco, Oracle, etc.) et des référentiels visés (ANSSI, 27002, SANS, NIST, CIS, …). L’environnement de l’application sera également pris en compte. L’auditeur analysera une copie de tous les fichiers de configuration pertinents présents sur le serveur, ainsi qu’un inventaire des droits appliqués aux fichiers et dossiers du serveur.

Votre message a été envoyé !
* Informations obligatoires Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître vos droits et la politique de DIGITEMIS sur la protection des données, Cliquez ici

Services complémentaires

Audit de code

Audit de code

Voir la prestation
Tests intrusion externes

Tests d’intrusion externes

Voir la prestation