L’audit éthique pour détecter et corriger les failles de sécurité de votre système d’information
23 Fév

L’audit éthique pour détecter et corriger les failles de sécurité de votre système d’information

Vous avez dit hacker éthique certifié ?

Voici trois approches et méthodes d’accompagnement par des auditeurs dont l’éthique est normalisée, pour détecter les vulnérabilités de votre système d’information. L’objectif est d’élaborer des plans d’actions priorisés et combler les failles de sécurité.

L’association pour la Fondation d’un Internet Nouvelle Génération (FING), dans un webinaire de novembre 2020, met en avant la pratique courante des collectivités publiques, Etat compris, d’audits éthiques des infrastructures numériques.

Exercés par des organismes indépendants ou auditeurs éthiques certifiés (CEH, CISSP, PASSI, ECSA …), la normalisation des audits garantie la confidentialité des tests effectués, la validité de ces tests, mais également l’assurance de ne pas perturber de manière irréversible les services numériques audités.

Les structures d’audit présentent 3 champs d’applications :

  • Les pentests ou tests d’intrusions externes (accès depuis Internet sur le système d’information de la collectivité) ;
  • Les pentests web (sites institutionnels, services webs publiés par la collectivité, hébergés en propre ou par un prestataire partenaire de la collectivité) ;
  • Les pentests internes (détection d’intrusions internes depuis un site de la collectivité).

Ces pentests ou tests d’intrusion peuvent être réalisés sous 3 formes d’attaques référencées et normalisées :

  • En boîte noire, sans aucune connaissance des infrastructures par l’auditeur ;
  • En boîte grise, avec une cible connue des services à auditer ;
  • En boîte blanche, avec la connaissance de l’architecture et d’un jeu d’utilisateur simple/mot de passe connu par l’auditeur.

En résultat, les auditeurs certifiés proposent un plan d’actions priorisé sur les failles de sécurité détectées, des plus critiques aux plus bégnines, accompagné d’une aide à la résolution des vulnérabilités.

L’opération est à renouveler périodiquement (chaque année ou tous les 2 ans), afin de mesurer les évolutions de la couverture de sécurité.

Ces tests contribuent à l’élaboration d’une Politique de Sécurité des Systèmes d’Informations (PSSI), assurant le suivi des évolutions en termes de sécurité numérique pour vos collectivités.

L’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) propose sur son site des accompagnements variés sur des acteurs identifiés de la CyberSécurité.

COGITIS peut vous aider à l’élaboration de cahiers des charges et stratégies pour la recherche de partenaires en audit éthique de sécurité.

Vous souhaitez en savoir plus sur l’audit éthique de sécurité ?

Les commentaires sont fermé

0 Partages
Partagez
Tweetez
Partagez