Hors-sujet
Besoin d’information sur un audit de sécurité
Bonjour 😎 ,
Je me permets de venir ici pour avoir des renseignements sur un "audit de sécurité SI avec test de pénétration".
Si quelqu’un parmi vous a déjà fait des audits de sécurité ça serait super.
1) Quels sont les documents essentiels dont l’auditeur à besoin ? Moi j’ai noté le PSSI, l’ISO 27001 & 27003 et la réglementation interne de l’entreprise auditée.
2) L’auditeur pour l’analyse de risque, est-il obliger de passé par une méthode connue comme EBIOS, MEHARI, etc., ou peut-il faire par sa propre méthode d’analyse de risque qu’il a développée ?
3) Concernant le test de pénétration (pentest), dans la démarche de l’audit, remplace-t-il l’audit technique où c’est en complémentaire ?
Besoin d’information sur un audit de sécurité
1. Tout dépend de l’audit que tu commandes. Que veux tu faire auditer ? Je te met ci joint une partie de mon mémoire de fin d’étude sur la partie des audits d’orga
L’objectif d’un audit organisationnel est de pouvoir connaître la maturité de la sécurité d’un système d’information d’une organisation sur la base de différents référentiels techniques. L’audit organisationnel doit être en accord avec les réglementations et méthodes applicables dans le domaine d’activité du client (industriel, santé, hébergement, banque, etc.). Cet audit permet via le point de vue d’un acteur externe d’identifier les écarts présentant les vulnérabilités du système audité.
De nombreux aspects sont abordés lors d’un audit organisationnel :
- Politique de sensibilisation des utilisateurs
- Charte de sécurité & politique de sécurité
- Politique de sauvegarde et de reprise d’activité
- Politique de mise à jour
- Tableaux de bord de sécurité
- Politique de contrôle d’accès
2. Encore une fois cela dépend de ce que vous lui demandez d’auditer
3. On dit "test d’intrusion" en français et pas "test de pénétration". Le test d’intrusion est un audit technique. Ci dessous une liste d’autres audit technique (toujours tiré de mon mémoire)
Les audits techniques possèdent une très grande variété d’expertise. On y retrouve :
- L’analyse de documentation.
- L’analyse de journaux.
- La recette de règles.
- L’audit de configuration système.
- L’audit de configuration réseau.
- Le contrôle d’intégrité de fichiers.
- L’audit d’architecture.
- L’audit de code source.
- L'audit sans fil.
- La découverte de périmètre.
- L’évaluation d’infrastructure.
- L’audit de mots de passe.
- Les tests d'intrusion.
- L’ingénierie sociale.
Besoin d’information sur un audit de sécurité
Bonjour Th1b4ud 🙂
Déjà merci d’avoir pris le temps de lire mon sujet et de me répondre.
Concernant la partie 1 et 2 c’est pour faire un audit de sécurité du SI (Système d’Information), quels sont les documents auxquels l’auditeur va prendre en compte (PSSI, etc.) ?
Concernant la partie 3 j’étais dans le brouillard donc merci d’avoir enlevé mon doute, ce qui m’a perturbé c’est cette image qui revient souvent suivant les différents sites que j’ai consultés, l’image en soit n’est pas fausse, mais quand tu débutes ça te met un doute.
phases_-_audit_si.png (PNG, 53 ko)
Besoin d’information sur un audit de sécurité
Du coup en audit de sécurité SI tu entends tous les points suivants non ?
– Politique de sensibilisation des utilisateurs
– Charte de sécurité & politique de sécurité
– Politique de sauvegarde et de reprise d’activité
– Politique de mise à jour
– Tableaux de bord de sécurité
– Politique de contrôle d’accès
Si c’est bien cela je ne sais pas précisément les documents nécessaire à un auditeur mais tu peux trouver facilement sur internet en creusant un peu.
Le schéma est inexact en effet
Besoin d’information sur un audit de sécurité
Alors en fait c’est un sujet blanc pour s’entraîner qui est à rendre dans 1 mois, le vrai passage de l’examen est dans 3 ans.
Alors le formateur nous a donnés comme travaux (et ne donnera rien d’autre comme information 😐 ) :
*****
Il faut démontrer que vous soyez capable de projection et de faire une "simulation d’audit du SI avec pentest" en abordant les parties organisationnelles, opérationnelle et fonctionnelle, en insistant sur la partie technique opérationnelle.
> Un audit de sécurité des systèmes d’information (technique et organisationnel)
> un plan d’action concret
> une conclusion
> PPT oral entre 40 et 60 min (je pense le faire sur le test d’intrusion avec les phases, etc.)
À inclure dans le sujet :
– ISO 27001
– ISO 27005
– Forensics
– Pentest
– CDCF
– PCA
– Gestion des incidents
Cherché des informations sur internet, surtout dans des forums, des chats IRC, les ressources référentielles peuvent également vous aider, bon courage.
*****
Voila, je dois cherché un sujet avec c’est élément, pas facile (enfin pour moi), si tu as une idée de sujet je suis preneuse.
Besoin d’information sur un audit de sécurité
Wouaaa... Qu’est ce qu’il te demande... Alors loin de la à vouloir critiquer le travail de ton intervenant, c’est beaucoup trop vague comme sujet d’examen. De plus, le forensic et la gestion d’incident n’a rien à voir avec les audits orgas et techniques. Faire un cahier des charges (CDCF) et réaliser un plan de continuité d’activité (PCA) est plutôt tendu dans ce contexte... J’ai l’impression qu’il vous a balancé une liste de mot sans trop comprendre et vous demande de faire quelques chose avec ça.
Passe en privée je vais te filer le détail de chaque presta d’audit tech et orga, ca devrait t’apporter du contenu.
Et tu lui diras aussi d’apprendre le français et de faire des consignes claires...
Besoin d’information sur un audit de sécurité
Alors ça me rassure si tu penses ainsi car pour nous (mes collègues de classes et moi-même) c’est la même chose, on lui a fait part de nos impressions il nous as répondu "dans un contexte professionnelle il faut savoir s’adapter ou imaginer différents scénarios afin de pouvoir schématisé ton audit, soyez créatif".
Alors bon, il a peut-être raison, mais quand tu débutes dans tout ça, il vaut mieux avoir quelque chose de plus précis pour comprendre comment ça fonctionne, car dans dans ma tête ça m’a faits "WTF" 😳
Je t’envoie un message en privé. 😎