Aujourd\u2019hui, il est pratiquement impossible pour une entreprise de travailler sans syst\u00e8mes d\u2019informations ni connexions \u00e0 Internet. Pourtant ces deux \u00e9l\u00e9ments essentiels sont potentiellement porteurs de risques importants concernant la disponibilit\u00e9, l\u2019int\u00e9grit\u00e9 et la confidentialit\u00e9 des donn\u00e9es et des syst\u00e8mes.
En effet, les menaces peuvent tout aussi bien \u00eatre ext\u00e9rieures qu\u2019internes comme nos coll\u00e8gues viennent de vous le montrer. Pour pouvoir se prot\u00e9ger de ces attaques, il est n\u00e9cessaire de s\u2019assurer de la s\u00e9curisation du syst\u00e8me d\u2019information.
Pour cela, il est conseill\u00e9 de recourir \u00e0 un audit de s\u00e9curit\u00e9 qui permet d\u2019\u00e9prouver le niveau de s\u00e9curit\u00e9 d\u2019un syst\u00e8me informatique en mettant en \u00e9vidence les forces et surtout les vuln\u00e9rabilit\u00e9s de l\u2019infrastructure, des logiciels ou des moyens humains en se reposant sur l\u2019expression des besoins et l\u2019identification des objectifs de s\u00e9curit\u00e9 (m\u00e9thode EBIOS).
Il est fortement recommand\u00e9 par l\u2019ANSSI de faire appel \u00e0 un intervenant ext\u00e9rieur sp\u00e9cialis\u00e9 pour ne pas risquer de fausser les r\u00e9sultats. En effet une personne connaissant l\u2019infrastructure aura d\u00e9j\u00e0 une id\u00e9e de ses forces et faiblesses et risque de passer \u00e0 c\u00f4t\u00e9 de certaines failles de s\u00e9curit\u00e9.
En faisant appel \u00e0 un prestataire de service un contrat d\u00e9finissant clairement les limites de l\u2019audit doit \u00eatre conclut. Toute tentative d\u2019intrusion effectu\u00e9e qui sort de cet accord est ill\u00e9gale est peut \u00eatre passible de poursuites judiciaires.<\/p>\n\n\n\n
Il y a trois types d\u2019audit :<\/p>\n\n\n\n
White Box:<\/strong> le pentester a acc\u00e8s \u00e0 la totalit\u00e9 des informations concernant le syst\u00e8me. Le testeur travaille dans ce cas en collaboration avec les \u00e9quipes techniques de l\u2019organisation afin de r\u00e9cup\u00e9rer un maximum d\u2019informations utiles. Il a acc\u00e8s \u00e0 tout ce dont il a besoin afin de d\u00e9tecter un maximum de vuln\u00e9rabilit\u00e9s. Black Box:<\/strong> le test consiste \u00e0 r\u00e9ussir \u00e0 s\u2019introduire dans un syst\u00e8me (la bo\u00eete) sans avoir la moindre information, tel un hacker d\u00e9couvrant pour la premi\u00e8re fois ce syst\u00e8me. Le pentester n\u2019a alors aucune connaissance de l\u2019environnement et teste \u00e0 l\u2019aveugle. Depuis l\u2019ext\u00e9rieur, son objectif est donc de trouver comment s\u2019introduire dans le syst\u00e8me cible comme un attaquant ext\u00e9rieur pourrait le faire. Grey Box, Mix des deux : <\/strong>tenter de s\u2019introduire dans le syst\u00e8me d\u2019informations en disposant d\u2019un nombre limit\u00e9 d\u2019informations sur l\u2019organisation et son syst\u00e8me. Ce cas permet de v\u00e9rifier les failles d\u2019un syst\u00e8me en se positionnant soit en tant que collaborateur de l\u2019entreprise ayant acc\u00e8s en interne \u00e0 quelques informations, soit en tant que point de d\u00e9part d\u2019un hacker qui aurait r\u00e9ussi \u00e0 avoir acc\u00e8s \u00e0 un compte utilisateur au sein de l\u2019organisation. \u00c9videment l\u2019auditeur s\u2019engage \u00e0 respecter la loi. Il doit aussi signaler tout contenu illicite d\u00e9couvert durant l\u2019audit au commanditaire. Il est par contrat oblig\u00e9 de ne pas divulguer d\u2019informations confidentielles et aussi de ne recourir qu\u2019a des m\u00e9thodes outils ou techniques valid\u00e9s. Enfin il doit agir avec \u00e9thique, loyaut\u00e9, discr\u00e9tion et en toute impartialit\u00e9. Tout d\u2019abord, l\u2019auditeur et l\u2019audit\u00e9 conviennent des attentes et des limites qui seront conclues dans le contrat. L\u2019auditeur doit s\u2019assurer d\u2019\u00eatre en mesure de r\u00e9aliser les t\u00e2ches demand\u00e9s et l\u2019audit\u00e9 doit \u00eatre en mesure de fournir les informations ou les acc\u00e8s n\u00e9cessaire au bon d\u00e9roulement de l\u2019audit.<\/p>\n\n\n\n Ensemble, ils recensent les missions, valeurs m\u00e9tier et biens support relatifs \u00e0 l\u2019objet d\u2019\u00e9tude. Ces \u00e9l\u00e9ments peuvent \u00eatre des entit\u00e9s ou des personnes interne ou externe \u00e0 l\u2019\u00e9cosyst\u00e8me vis\u00e9.<\/p>\n\n\n\n Puis ils identifient les impacts li\u00e9s aux \u00e9v\u00e9nements redout\u00e9s et l\u2019\u00e9valuation de leurs gravit\u00e9s puis la mise en place d\u2019une \u00e9chelle de gravit\u00e9. Les impacts peuvent influer sur les missions, le mat\u00e9riel, les personnes, la gouvernance, l\u2019image et les aspects aussi bien financiers que juridiques. L\u2019\u00e9chelle de gravit\u00e9 doit prendre en compte la totalit\u00e9 des impacts, du plus petit agissant \u00e0 la marge au plus grand qui peut faire s\u2019\u00e9crouler l\u2019ensemble de l\u2019organisation voir au-del\u00e0.<\/p>\n\n\n\n Cela fait, on d\u00e9termine le niveau de menace de chaque partie prenante, client, service interne ou prestataire dans un graphique d\u00e9coup\u00e9 en zones.<\/p>\n\n\n\n ZONE DE DANGER :<\/strong> zone pour laquelle le niveau de menace est consid\u00e9r\u00e9 comme tr\u00e8s \u00e9lev\u00e9 et difficilement acceptable. Par cons\u00e9quent, aucune partie prenante ne devrait se situer dans cette zone. Les mesures de s\u00e9curit\u00e9 prises par la suite devraient faire sortir de cette zone les parties prenantes qui viendraient \u00e0 s\u2019y trouver.<\/p>\n\n\n\n ZONE DE CONTR\u00d4LE :<\/strong> zone pour laquelle le niveau de menace est consid\u00e9r\u00e9 comme tol\u00e9rable sous contr\u00f4le. Les parties prenantes qui s\u2019y trouvent doivent faire l\u2019objet d\u2019une vigilance particuli\u00e8re et ont vocation, \u00e0 moyen terme, \u00e0 rejoindre une position moins mena\u00e7ante au travers de mesures de r\u00e9duction du risque.<\/p>\n\n\n\n ZONE DE VEILLE :<\/strong> zone pour laquelle le niveau de menace est consid\u00e9r\u00e9 comme faible et acceptable en l\u2019\u00e9tat. Les parties prenantes qui s\u2019y trouvent peuvent faire l\u2019objet d\u2019une veille sans \u00eatre prises en compte dans l\u2019\u00e9laboration des sc\u00e9narios strat\u00e9giques.<\/p>\n\n\n\n HORS P\u00c9RIM\u00c8TRE :<\/strong> les parties prenantes situ\u00e9es \u00e0 l\u2019ext\u00e9rieur de la zone de veille repr\u00e9sentent un niveau de menace jug\u00e9 n\u00e9gligeable.<\/p>\n\n\n\n Une fois ces v\u00e9rifications effectu\u00e9es, le contrat peut \u00eatre sign\u00e9. Les deux parties conviennent \u00e0 ce moment d\u2019une date de d\u00e9clenchement de l\u2019audit.<\/p>\n\n\n\n \u00c9tude des risques (m\u00e9thode EBIOS)<\/strong> \u00c9tude des \u00e9v\u00e9nements redout\u00e9s : <\/strong>Cette \u00e9tape contribue \u00e0 l\u2019estimation des risques et \u00e0 la d\u00e9finition des crit\u00e8res de risques. Elle permet aux utilisateurs du syst\u00e8me d\u2019exprimer leurs besoins en mati\u00e8re de s\u00e9curit\u00e9 pour les fonctions et informations qu\u2019ils manipulent. Ces besoins de s\u00e9curit\u00e9 s\u2019expriment selon diff\u00e9rents crit\u00e8res de s\u00e9curit\u00e9 tels que la disponibilit\u00e9, l\u2019int\u00e9grit\u00e9 et la confidentialit\u00e9. L\u2019expression des besoins repose sur l\u2019\u00e9laboration et l\u2019utilisation d\u2019une \u00e9chelle de besoins et la mise en \u00e9vidence des impacts inacceptables pour l\u2019organisme.<\/p>\n\n\n\n \u00c9tude des sc\u00e9narios de menaces :<\/strong> Cette \u00e9tape consiste en un recensement des sc\u00e9narios pouvant porter atteinte aux composants du SI. Une menace peut \u00eatre caract\u00e9ris\u00e9e selon son type (naturel, humain ou environnemental) et\/ou selon sa cause (accidentelle ou d\u00e9lib\u00e9r\u00e9e). Ces menaces sont formalis\u00e9es en identifiant leurs composants : les m\u00e9thodes d\u2019attaque auxquelles l\u2019organisme est expos\u00e9, les \u00e9l\u00e9ments mena\u00e7ants qui peuvent les employer, les vuln\u00e9rabilit\u00e9s exploitables sur les entit\u00e9s du syst\u00e8me et leur niveau.<\/p>\n\n\n\n Appr\u00e9ciation des risques :<\/strong> Un \u00e9l\u00e9ment mena\u00e7ant peut affecter des \u00e9l\u00e9ments essentiels en exploitant les vuln\u00e9rabilit\u00e9s des entit\u00e9s sur lesquelles ils reposent avec une m\u00e9thode d\u2019attaque particuli\u00e8re. Les objectifs de s\u00e9curit\u00e9 consistent \u00e0 couvrir les vuln\u00e9rabilit\u00e9s.<\/p>\n\n\n\n D\u00e9termination des exigences de s\u00e9curit\u00e9 : <\/strong>L\u2019\u00e9quipe de mise en \u0153uvre de la d\u00e9marche doit sp\u00e9cifier les fonctionnalit\u00e9s de s\u00e9curit\u00e9 attendues. L\u2019\u00e9quipe charg\u00e9e de la mise en \u0153uvre de la d\u00e9marche doit alors d\u00e9montrer la parfaite couverture des objectifs de s\u00e9curit\u00e9 par les exigences fonctionnelles et les exigences d\u2019assurance.<\/p>\n\n\n\n L\u2019auditeur doit remettre un rapport qui doit contenir une synth\u00e8se compr\u00e9hensible par des non-experts d\u00e9crivant les vuln\u00e9rabilit\u00e9s techniques ou organisationnelles et une appr\u00e9ciation du niveau de s\u00e9curit\u00e9 du syst\u00e8me d\u2019information. Aujourd\u2019hui, il est pratiquement impossible pour une entreprise de travailler sans syst\u00e8mes d\u2019informations ni connexions \u00e0 Internet. Pourtant ces deux…<\/p>\n","protected":false},"author":1,"featured_media":41,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[],"class_list":["post-40","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-securite"],"_links":{"self":[{"href":"https:\/\/francoisdeluca.fr\/index.php\/wp-json\/wp\/v2\/posts\/40","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/francoisdeluca.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/francoisdeluca.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/francoisdeluca.fr\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/francoisdeluca.fr\/index.php\/wp-json\/wp\/v2\/comments?post=40"}],"version-history":[{"count":1,"href":"https:\/\/francoisdeluca.fr\/index.php\/wp-json\/wp\/v2\/posts\/40\/revisions"}],"predecessor-version":[{"id":42,"href":"https:\/\/francoisdeluca.fr\/index.php\/wp-json\/wp\/v2\/posts\/40\/revisions\/42"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/francoisdeluca.fr\/index.php\/wp-json\/wp\/v2\/media\/41"}],"wp:attachment":[{"href":"https:\/\/francoisdeluca.fr\/index.php\/wp-json\/wp\/v2\/media?parent=40"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/francoisdeluca.fr\/index.php\/wp-json\/wp\/v2\/categories?post=40"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/francoisdeluca.fr\/index.php\/wp-json\/wp\/v2\/tags?post=40"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
La m\u00e9thode en White Box est utilis\u00e9e lorsqu\u2019une entreprise veut arriver \u00e0 d\u00e9celer la moindre faille et vuln\u00e9rabilit\u00e9 de son syst\u00e8me d\u2019information.
Les seules limites \u00e0 l\u2019approche en mode White Box sont les comp\u00e9tences du pentester choisi et la perp\u00e9tuelle chasse aux nouvelles techniques de hacking qui \u00e9voluent chaque jour.<\/p>\n\n\n\n
Les tests en black box sont le plus souvent utilis\u00e9s tout simplement sur des sites vitrines, sans espace membre car aucune information suppl\u00e9mentaire utile ne permettrait au hacker d\u2019aller plus loin dans la d\u00e9marche de cette attaque.
Le test en black box permet donc de montrer au client quels types d\u2019informations le hacker serait capable d\u2019obtenir et ainsi de mettre en avant les risques encourus dans le cas d\u2019une attaque.
Le test en boite noire aura tendance \u00e0 \u00eatre plus long que si le pentester a d\u00e9j\u00e0 quelques informations suppl\u00e9mentaires. Il se peut \u00e9galement qu\u2019il n\u2019arrive pas \u00e0 s\u2019introduire dans le syst\u00e8me, ce qui ne prouve pas qu\u2019un hacker n\u2019y arriverait pas et ne puisse pas obtenir les informations que le pentester n\u2019aura pas pu tester au-del\u00e0.<\/p>\n\n\n\n
En g\u00e9n\u00e9ral, lors d\u2019un test en Grey Box, le pentester dispose alors d\u2019identifiants et mots de passe lui permettant d\u2019aller au-del\u00e0 de l\u2019\u00e9tape d\u2019authentification. On utilise cette approche dans le cas d\u2019un site marchand ou d\u2019un site non marchand disposant d\u2019un espace membre ou espace clients.
La m\u00e9thode Grey Box est la plus souvent utilis\u00e9e dans le cadre de test d\u2019intrusion aupr\u00e8s des entreprises car elle est souvent la plus r\u00e9aliste. Le hacker dispose en effet dans la majorit\u00e9 des cas de quelques informations, ou si ce n\u2019est pas le cas, il aura trouver comment acc\u00e9der \u00e0 ses informations et pourra pousser son attaque au-del\u00e0 d\u2019une \u00e9tape d\u2019authentification.
Cependant, le pentester ou hacker \u00e9thique ne peut pas garantir que le hacker n\u2019aura pas trouv\u00e9 une nouvelle technique de piratage et ainsi trouver une nouvelle faille exploitable. Il y a donc toujours une limite de test d\u2019intrusion m\u00eame si le risque est minimis\u00e9.<\/p>\n\n\n\nQu\u2019elles sont les obligations et les droits des parties impliqu\u00e9es ?<\/h2>\n\n\n\n
L\u2019audit\u00e9 est en droit de rompre le contrat si l\u2019auditeur n\u2019est pas en mesure de r\u00e9aliser les t\u00e2ches d\u00e9finies dans celui-ci. Il d\u00e9fini selon ses attentes et besoins les limites de l\u2019audit et il est en droit de connaitre l\u2019identit\u00e9 et le r\u00f4le de chaque auditeurs. Enfin il peut se retourner judiciairement contre l\u2019auditeur si ce dernier enfreint la loi ou outrepasse sans accord les limites fix\u00e9es dans le contrat.<\/p>\n\n\n\nComment se pr\u00e9pare un audit ?<\/h2>\n\n\n\n
\u00c9tude du contexte : <\/strong>Cette \u00e9tape essentielle a pour objectif d\u2019identifier globalement le syst\u00e8me-cible et de le situer dans son environnement. Elle permet notamment de pr\u00e9ciser pour le syst\u00e8me les enjeux, le contexte de son utilisation, les missions ou services qu\u2019il doit rendre et les moyens utilis\u00e9s.<\/p>\n\n\n\nComment se conclut un audit ?<\/h2>\n\n\n\n
Il doit aussi contenir un tableau qui fait la synth\u00e8se en des termes technique des r\u00e9sultats de l\u2019audit avec les vuln\u00e9rabilit\u00e9s rencontr\u00e9es, leur niveau de criticit\u00e9, les mesures correctives envisag\u00e9s ainsi que leur faisabilit\u00e9 et leur co\u00fbt.
Toutes les donn\u00e9es fournies \u00e0 l\u2019auditeur doivent \u00eatre rendues. Un document stipulant que le syst\u00e8me \u00e0 bien \u00e9t\u00e9 audit\u00e9 doit \u00eatre sign\u00e9 par les deux parties.<\/p>\n","protected":false},"excerpt":{"rendered":"