Expertise et audit en matière de sécurité de l’information

Notre client, une société de services de la région neuchâteloise, nous a confié un mandat d’audit qui portait sur deux aspects du fonctionnement du système d’information : la téléphonie et la sécurité du système d’information interne.

La téléphonie

Il y a passablement de temps que notre client s’interrogeait sur le fonctionnement du système téléphonique. Si celui-ci permettait de téléphoner sans grand problème la solution propriétaire héritée (un système Avaya) faisait la part belle aux interventions extérieures dès lors qu’il s’agissait de changer la moindre des configurations.

Et, en effet, les interviews menés nous ont montré que des manipulations de base, de celles qu’on attend de tout système téléphonique, ne semblaient pas, soit figurer dans les fonctionnalités du système, soit, si elles l’étaient, être connues des utilisateurs du système.

De plus, et c’est là également un autre élément important, le fournisseur du système Avaya n’avait plus la confiance des dirigeants de la société mandante.

Forts de ces considérations et en tenant compte également de l’âge du système existant nous avons estimé superflu de passer du temps à trouver une solution dans la solution actuelle pour nous concentrer sur l’idée de trouver un système téléphonique bien plus souple et ouvert de manière à ce que la société mandante devienne autonome vis-à-vis de son système de téléphonie. Nous avons donc proposé à notre client de l’équiper d’une solution à base de serveur Asterisk, un central téléphonique Open Source qui se décline dans de nombreuses distributions.

La téléphonie utilisée maintenant fait pleinement partie du système d’information. Elle utilise des protocoles communs au système informatique, le même câblage et se gère via un navigateur web.

La sécurité du système d'information

La notion de risques est omniprésente actuellement. Il est, par conséquent, tout à fait légitime et logique que notre client se soit préoccupé des risques encourus par le système d’information de la société.

Il s’agit de préciser que le système d’information de notre client se composait de deux entités séparées :

N

Le site physique: des serveurs et des postes de travail, avec des applicatifs spécifiques à la branche d’activité de notre client, une suite bureautique et un grand nombre de fichiers sur le serveur de fichiers. S’y ajoutait également la possibilité de travailler en Bureau à distance via un serveur Windows Terminal Server

N

Le site dédié aux applications web utilisées par les clients de la société, hébergé à l’extérieur

Pour ce rapport nous avons utilisé deux outils: le système Mehari développé par le Clusif (Club de la sécurité des systèmes d’informations en France), et les normes ITIL. Le choix de parler de norme découle du fait que, lorsqu’ils nous ont confiés ce mandat, la préoccupation des dirigeants de notre client était de s’assurer du niveau de sécurité de leur système d’information mais aussi de déterminer s’il était correctement administré.

Dans la norme, la sécurité du SI est étroitement liée à une gestion correcte du SI, une mise en œuvre de ces fameuses bonnes pratiques. Ce qui signifie qu’il n’y a pas véritablement de chapitre Sécurité isolé de tous les autres chapitres car la sécurité est un concept essentiel, fondamental qui est présent partout dans la norme.

Dans le cadre de cet audit, nous avons choisi de prendre le problème via la sécurité et non pas en comparant les directives avec la mise en œuvre pratique sur le site.

La démarche

Avant de parler risques il convenait d’évoquer le fonctionnement et la gestion d’un service informatique. Par service informatique on entend une entité interne ou externe offrant des prestations de services aux différents métiers que constitue l’entreprise dont il est question.

La mise à disposition de services nécessite la mise en place et l’exploitation d’un cadre de travail rigoureux. Ce cadre de travail est régit par des normes, les principales et les plus utilisées étant, à l’époque :

N

CobiT (Control Objectives for Business ant Related Technology)

N

Spice IOS 15504

N

CMMI (Capability Maturity Model Integration)

N

ISO 20000

N

PMIOK (Project Management Body of Knowledge)

N

ITIL (Information Technology Infrastructure Library)

N

PRINCE (Projects In Controlled Environments)

La vulnérabilité du site dédié aux applications web, au niveau des accès via Internet, a fait l’objet d’un audit externe, de la part d’une société spécialisée en tests de pénétrations. Suite au rapport établi un certain nombre de mesures ont été prises. Nous n’avons donc pas pris en compte l’aspect vulnérabilité face aux attaques extérieures lors de l’audit.

Conclusions

Au terme de cette étude, nous avons voulu montrer deux aspects de la conduite d’un même audit de sécurité d’un système d’information.

En partant des bonnes pratiques de gestion d’un système informatique un certain nombre de problèmes sont apparus, nous les avons mentionnés au fur et à mesure et avons préconisé des mesures à prendre dans chaque cas. C’est une approche analytique à partir de règles de bonnes pratiques. Cette approche ne donne pas véritablement le niveau de gravité du risque comparé à des repères établis. Par contre elle est relativement simple, facilement compréhensible, débouche sur des mesures presque évidentes. C’est pourquoi nous avons privilégié cette approche.

Pour aller plus loin il aurait fallu conduire, dans le détail, une démarche complète MEHARI, à partir de ce qui est apparu avec ITIL et de comparer les résultats au terme de la démarche MEHARI.

Nous n’avons pas voulu conduire cette démarche jusqu’au bout des mesures et des différents projets qui en découlent. C’est un travail de titan pour l’auditeur et cela nécessite la participation active et motivée de tous les acteurs d’une entreprise sous la forme de groupe de projets. De plus la démarche est conçue pour tous types d’entreprises, mais il faut passablement l’adapter et ne choisir que certains tableaux pertinents si l’analyse se fait sur de plus petites structures.

Sans aller jusque-là, nous avons trouvé intéressant de compléter un certain nombre de tableaux MEHARI pour voir ce qui en ressort et pouvoir faire une comparaison avec ce qui a été dit en lien avec ITIL.

MEHARI a l’avantage de classifier les actifs, les objets, les événements, les causes, de quantifier la gravité des sinistres et d’en tirer des tableaux statistiques éloquents. La classification permet en outre d’adapter les mesures en fonction de l’impact d’un sinistre, de l’occurrence de celui-ci et d’en déterminer la gravité. S’ajoutent là-dessus les mesures déjà prises, l’organisation des différents secteurs dans le domaine de la sécurité, toutes choses qui viennent atténuer la gravité des risques décelés. En fin de compte cela donne une liste de mesures à prendre en fonction d’un facteur de gravité que l’on peut dire résiduel.

Le rapport final fournit à notre client contenait les divers éléments théoriques de base, l’étude réalisée, les conclusions selon ITIL mais également quelques tableaux issus de la méthode MEHARI appliquée à la société.

Besoin d'un audit ?