Procèdure
Technologies
Références
Adresse
Le Futur
Systèmes
Etudes de cas

raid-expert.com tél. 01 75 43 20 20

Les bonnes questions à se poser pour votre audit de risques

Le système CAAT (Computer-Assisted Audit Techniques) sont souvent employés pour aider les auditeurs à analyser les infrastructures des systèmes d’information afin de localiser rapidement les vulnérabilités en termes de sécurité. Les CAAT génèrent des rapports d’audit ou surveillent en continu les technologies en présence afin de détecter et prévenir tous changements du système de fichiers ou de configurations. Les CAAT peuvent être utilisés sur les stations de travail, serveurs, mainframe, routeurs, switch réseaux et tous types de systèmes et périphériques.

Pendant que les CAAT peuvent fournir des informations sur les systèmes informatiques, les auditeurs gardent un œil sur les activités et pratiques de l’entreprise qui ne peuvent être quantifiées aisément. Certaines des questions clés que l’auditeur doit poser sont :

Qui est responsable de la sécurité et à qu’il reporte-t-il ?

Est-ce que les listes de contrôle (ACL - Access Control List) sont placées sur les équipements réseaux afin de contrôler qui a accès aux données partagées ?

Comment sont générés et gérés les mots de passe ?

Y-a-t-il des fichiers log qui enregistrent l’activité des utilisateurs sur l’accès aux données ?

Qui passe en revue les fichiers log, et à quelle fréquence ?

Est-ce que la configuration de sécurité des systèmes d’exploitation et des applications est en accord avec les pratiques de sécurité couramment utilisés dans l’Industrie ?

Est-ce que les applications et services obsolètes sont-ils retirés du système d’information ? et à quelle fréquence cette tâche est-elle réalisée ?

Est-ce que les systèmes d’exploitation et applications sont à jour ?

Comment sont conservés vos médias de sauvegarde ? Qui à accès à ces médias ? Ces sauvegardes sont-elles à jour ?

Comment est adressée la sécurité des emails ?

Comment est adressée la sécurité des accès web ?

Comment est adressée la sécurité des accès wifi ?

Est-ce que les collaborateurs itinérants sont-ils dans le schéma de sécurité de l’entreprise ?

Est-ce qu’un Plan de Reprise d’Activités (PRA) est en place ? Est-ce que ce plan a déjà été testé, répété ?

Est-ce que les applications personnalisées ont été testés sur le plan de la sécurité ?

Comment sont documentés les changements de configurations ou de code ? A quelle fréquence ces procédures sont passées en revue ?

Beaucoup d’autres questions concernant la nature exacte de l’activité de l’entreprise doivent être également posées.

Alors que l’audit de sécurité d’un système informatique est une action spécifique, la sécurité d’un système informatique est un processus en continu. Il permet de concevoir, déployer et maintenir une politique de sécurité, des technologies et bonnes pratiques, mais doit également garder un état constant de préparation à passer un audit de sécurité à n’importe quel moment.