Qu’est-ce qu’un audit de conformité (de configuration) ?

La sécurité des systèmes d’information est étroitement liée à la configuration des équipements. C’est pourquoi nous réalisons des audits de conformité (aussi appelés audits de configuration). Ces prestations permettent d’évaluer la sécurité informatique de votre réseau en analysant la configuration de vos socles techniques. Ces derniers sont notamment les systèmes d’exploitation, middlewares (logiciels), serveurs d’applications et frameworks (infrastructures logicielles). Lors de cet audit, nos experts analysent ces éléments afin d’y déceler tout défaut de sécurité provenant de leur configuration.

Notre méthode d’audit de configuration

Pour ce type d’audit, contrairement aux tests d’intrusion, l’auditeur disposera de toutes les informations nécessaires, tels qu'un compte administrateur, des schémas d'infrastructures ou encore des éléments de documentation afin de mener à bien sa mission. La démarche peut être découpée en 4 étapes :

  • Une réunion de préparation permettant de connaître le périmètre audité et récolter les informations et documents le concernant
  • À l’issue de cette réunion, l’auditeur et le responsable opérationnel conviennent du mode opératoire nécessaire à la bonne exécution de la mission d’audit de configuration
  • Les exploitants du système ou l’auditeur exécutent les scripts nécessaires afin d’en extraire la configuration sécurité
  • L’auditeur vérifie par la suite la conformité vis-à-vis du référentiel choisi et rédige le rapport adéquat

Éléments essentiels composant le rapport d’audit :

  • Le document doit citer les sources du référentiel de sécurité audité
  • La synthèse des éléments principaux
  • Les points positifs trouvés lors de l’audit
  • Le taux de conformité de chacune des briques auditées en fonction du référentiel utilisé
  • Les principaux points critiques qu’il est nécessaire de corriger rapidement
  • Un listing complet des tests réalisés, reprenant le référentiel présenté en début de document

Nous pouvons réaliser des audits de configuration par rapport aux référentiels suivants:

  • CIS (Center for Internet Security)
  • SOC2 (Service Organization Control)
  • PCI DSS (Payment Card Industry Data Security Standard)
  • Swift (Society for Worldwide Interbank Financial Telecommunication)
  • ANSSI (Agence Nationale de la Sécurité des Sytèmes d'Information)

Obtenez gratuitement un exemple
de rapport de test de configuration !

audit