Audits d'architecture

En s’appuyant sur des analyses documentaires, des entretiens, et des relevés, nos auditeurs examinent tout ou partie de l’architecture d’un système d’information. Ils vérifient si le choix, le positionnement et à la mise en œuvre des dispositifs matériels et logiciels déployés sont conformes à l’état de l’art ainsi qu’aux exigences et règles internes de l’audité.

Objectifs

  • Vérifier le choix et le positionnement des dispositifs de sécurité logiciels et matériels
  • Étudier leur conformité par rapport au besoin et à l'état de l'art en sécurité
  • Qualifier leur efficacité technique et leur couverture
  • Vérifier leur mise en application au sein du système d'information

Étapes

  1. Collecte et analyse de la documentation

    Ex : DAT, Schémas réseaux, Matrice de flux métiers
  2. Interview des collaborateurs clés

    Ex : Responsable d'architecture, Administrateur réseau, Ingénieur sécurité
  3. Audit technique par échantillon

    Ex : extrait des règles de filtrage, scan réseau d'une zone vers une autre

Des entretiens techniques permettent aux collaborateurs de présenter des points spécifiques de l'architecture auditée.

Sujets abordés pendant les entretiens

  • Compréhension du schéma d'architecture
  • Découpage des zones de sécurité
  • Positionnement des équipements de sécurité
  • Mise en place des systèmes de détection contre l'intrusion
  • Résilience de l'architecture face aux attaques
  • Administration à distance légitime
  • Gestion des flux non chiffrés
  • Mutualisation de zone ou de serveur
  • Gestion des flux entrants sur des zones back offices

Quelques exemples de vulnérabilités remontées

  • Flux d'administration back office disponible depuis la DMZ
  • Contournements de pare-feux possibles
  • Court-circuit dans le réseau par attaque pivot
  • Saut de vlan disponible
  • Exposition de services vulnérables sans protection
  • Exploitation de flux non chiffrée
  • Absence de filtrage de flux sortant
  • Méthodes d'exfiltration par tunnel autorisées