Audit d'architecture

Fondamentaux de l’audit d’architecture.

Photo de Pierre Blaché

Audit d’architecture

Définition

L’ANSSI nous donne une parfaite définition qui est:

L’audit d’architecture consiste en la vérification de la conformité des pratiques de sécurité relatives au choix, au positionnement et à la mise en œuvre des dispositifs matériels et logiciels déployés dans un système d’information à l’état de l’art et aux exigences et règles internes de l’audité. L’audit peut être étendu aux interconnexions avec des réseaux tiers, et notamment Internet.

Pour entrer dans les détails, les pratiques de sécurité proviennent de différentes sources. Elles peuvent donc être contradictoires. Il n’existe donc aucune vérité absolue, même parmi ces référentiels. Il sera nécessaire de s’adapter aux contextes. Cependant pour les auditeurs des entreprises adoubés par l’ANSSI, sa réalisation doit suivre des exigences spécifiques présentes sur le réferentiel PASSI.

PASSI

En ce qui concerne le référentiel, trois points restent à retenir. Il y a d’abord les ressources dont l’auditeur a besoin pour accomplir son travail. Deuxièmement, le déroulement et la composition de la mission. Le troisième et dernier point définit les compétences requises à l’audit.

Ressources

C’est une zone d’ombre pour toutes les structures qui manque de maturité, la documentation.

S’ils existent l’ANSSI recommande d’utiliser certains documents, tel que:

  • schémas d’architectures de niveau 2 et 3 du modèle OSI ;
  • matrices de flux ;
  • règles de filtrage ;
  • configuration des équipements réseau (routeurs et commutateurs) ;
  • interconnexions avec des réseaux tiers ou Internet ;
  • analyses de risques système ;
  • documents d’architecture technique liés à la cible.

Tous les autres documents peuvent toujours servir et être complémentaires.

La deuxième ressource est la plus importante, bien évidemment, la ressource humaine. Les informaticiens auront plutôt tendance à échanger directement à l’oral que de faire la rédaction d’un document à jour. Il n’y a aucune remarque sur les entretiens avec le personnel, cependant il est important pour moi de rappeler que:

  • Le personnel en face est constitué d’humains.
  • Ils sont sûrement déjà conscients des lacunes dans leurs infrastructures, insinuer ou juger n’a rien de constructif.
  • Lorsqu’ils sont sur la défensive, inutile d’insister, afin d’éviter l’escalade. Essayez plutôt de désamorcer avec bienveillance. Cela veut dire qu’il faudra parler plus calmement. Si vous devez expliquer à nouveau votre mission, n’oubliez pas que vous êtes dans la même équipe.

Mission

Il est possible d’aider dans de nombreux domaines, celui de l’auditeur en architecture consiste principalement à rédiger un rapport pour identifier les vulnérabilités et les recommandations associées.

L’auditeur commence à collecter et traiter les informations récoltées dans les documentations puis pendant les entretiens. Je vous conseille aussi de structurer l’audit et le rapport en se basant sur le plan du Guide d’hygiène informatique ou de la norme ISO/CEI 27002. Il faudra néanmoins creuser beaucoup plus en fonction des résultats dans certains chapitres.

Pour la rédaction du rapport, il faut commencer par une synthèse adaptée à tous les publics qui reprend le contexte et le périmètre et un aperçu global de l’audit. Il faut continuer avec l’ajout des tableaux récapitulatifs des vulnérabilités et des recommandations. Ce à quoi s’ajoute la rédaction du déroulement de l’audit, la vérification des exigences qui peuvent conduire à des vulnérabilités et recommandations.

Une réunion de restitution est conseillé pour clôturer le projet, celle-ci doit permettre de vérifier que le rapport a bien été compris, et que les recommandations pourront être appliquées

Compétences

Il est recommandé d’avoir des connaissances solides en informatique. Cela implique aussi bien le système que le réseau mais il ne faut pas oublier la programmation. Si une application PHP a été conçu en interne, il y a fort à parier qu’elle présentera des vulnérabilités 😋.Plus sérieusement une formation post-bac en informatique (RNCP 7) doit normalement permettre de voir tous ces connaissances. Cependant si vous avez perdu vos notes, il est possible réviser sur les plateformes suivantes françaises suivantes Fun Mooc, OpenClassrooms, les plateformes anglaises Cisco, edX, TryHackMe.

Conclusions

L’architecture est le témoin incorruptible de l’histoire

#Octavio Paz

Dans le monde de la cybersécurité, cette histoire est celle de l’investissement dans le système d’information. Pour que la fin soit heureuse, il sera nécessaire d’assurer la bonne évolution de l’architecture. Cela commence par se préparer et finit par le commanditaire et l’audité satisfait.

Pour résumer, il faut avoir des compétences à jour et les ressources nécessaires à l’audit pour réaliser à bien sa mission. Et on évite de fâcher les gens, on reste prévenant, quitte à sortir des petites phrases comme “Je perçois une tension. Si mes propos ont pu vous contrarier sachez que mon objectif n’est pas de vous juger. Je suis ici pour estimer le niveau de sécurité de l’infrastructure. Cela permettra à la direction de comprendre vos besoins pour vous former ou recruter d’autres personnes.”

Si cette présentation vous a plu, je vous invite à lire le réferentiel PASSI, ainsi que la norme ISO/CEI 19011, la norme ISO/CEI 27002 et le maximum d’autres documentations!

Merci à Mérovingien pour la relecture

David Perez
David Perez
Auditeur en Cybersécurité

#auditor #cyber #insider