Sécurité informatique : L’audit des vulnérabilités


L’audit des vulnérabilités

épée de Damoclès

L’épée de Damoclès

Dans le cadre de la sécurité informatique et des mesures à prendre pour pallier aux défauts, pannes, malveillance, etc., il convient de faire le point sur les mesures déjà existantes avant d’envisager d’étendre la protection du système d’information.

La vulnérabilité

La vulnérabilité est le caractère, qui, par ses insuffisances, ses imperfections, peut donner prise à des attaques (Petit Larousse).

C’est au travers d’un audit des vulnérabilités d’un système d’information, que l’on va évaluer son degré de maturité en termes de protection.

Moins il y a de vulnérabilités et mieux le SI sera protégé

Comme l’informatique et les systèmes d’information évoluent en permanence et à une vitesse toujours de plus en plus croissante, l’audit des vulnérabilités est donc à reconduire régulièrement.
Dans l’idéal, ce sera à chaque changement d’un des composants physiques ou logiciels.

Cependant, dans la réalité et pour tenir compte de l’établissement des budgets dans une organisation, c’est une fois par an que cet audit devrait avoir lieu.

Les domaines de l’audit

Le systématisme est nécessaire pour éviter d’oublier l’un ou l’autre des domaines d’un système d’information dans l’audit des vulnérabilités.

Voici les domaines de cette analyse :

  1. Organisation de la sécurité
  2. Sécurité des sites et des bâtiments
  3. Sécurité des locaux
     
  4. Réseau étendu (intersites)
  5. Réseau local (LAN)
  6. Exploitation des réseaux
     
  7. Sécurité des systèmes et de leur architecture
  8. Production informatique
  9. Sécurité applicative
     
  10. Sécurité des projets et développements applicatifs
  11. Protection de l’environnement de travail
  12. Juridique et réglementaire

Les questions à se poser

Pour analyser ces 12 domaines, il convient de se poser les questions appropriées à chacun d’eux :

  1. Qui s’occupe de la sécurité ? Avec quels moyens et quel mode de fonctionnement ?
  2. Comment les sites et les bâtiments sont-ils surveillés et protégés : gardien de nuit, caméras, etc. ?
  3. Quels systèmes sont en place : alarme, détecteur de présence, anti-incendie, identification des visiteurs, etc. ?
     
  4. Quels moyens ont été déployés pour protéger l’accès à distance des informations : identification, chiffrement, etc. ?
  5. Comment et par quoi le réseau local est-il protégé : parafoudre, pare-feu, armoires de brassage fermées, etc. ?
  6. Quels sont les moyens de pallier aux défauts de l’exploitation du réseau : maintenance des serveurs, enregistrements des mouvements des personnels (arrivants et partants), etc. ?
     
  7. Comment les systèmes et architectures sont-ils protégés : sauvegardes, virtualisation, etc. ?
  8. Par quels moyens la production informatique, c’est-à-dire les données sortantes du système d’information sous forme de papier ou à l’écran, est-elle protégée ?
  9. Comment les applications, progiciels ou logiciels sont-elles sécurisées : autorisations d’accès, archivage des versions, etc. ?
     
  10. De quelles manières sont protégés les projets informatiques, de l’idée à leur réalisation : fuite d’information, erreurs de programmation, paramétrages, etc. ?
  11. Quelles sont les protections de l’environnement de travail en place : démultiplication des prises, fermeture des écrans inutilisés pendant quelques minutes, etc.
  12. Quelles mesures de bons comportements sont-elles en place : déclarations CNIL, charte informatique et d’Internet, etc. ?

Cette liste de questions et les quelques exemples associés montrent l’étendu, non exhaustif, des questionnaires à mettre en place pour déterminer le degré de maturité des mesures de protection contre les vulnérabilités détectées.

Vigilance

Il faut être particulièrement vigilant en matière de sécurité informatique.

Par exemple, pour le point 1, il faut que le responsable de la sécurité informatique soit une personne indépendante de la hiérarchie des informaticiens. Son indépendance vis-à-vis de cette hiérarchie va permettre de surveiller et d’agir contre tout informaticien indélicat, responsable du service inclus.

Pour cela,

  • soit un service séparé doit être défini et rattaché, par exemple, directement au responsable de l’établissement, pour une entreprise importante,
  • soit à un collaborateur d’un autre service qui en sache suffisamment en matière informatique, pour des organisations plus petites.

Philippe Garin, plus de 20 ans de management en entreprise

Pour mieux protéger votre système d’informations, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Lexique informatique
Menace – Vulnérabilité – Risque
Parefeu : Utilité et risques

Liste des risques de sécurité informatique
Plan d’un rapport d’audit en entreprise
RCO, LCC et MTBF expliqués pour les nuls

Autres Informatique, Management, Organisation et Sécurité :

Récapitulatif 15 Informatique
Récapitulatif 15 Management
Récapitulatif 15 Organisation
Récapitulatif 15 Sécurité

abonnez_vous_ICI_a_la_Newsletter

Le TCO ne suffit pas pour changer de logiciel en entreprise


Le TCO permet de savoir quand changer de logiciel, mais ça ne suffit pas

Représentation schématique de la qualité de logiciel

source : Wikipedia

Il faut partir aussi du principe que le logiciel dure plus longtemps que le matériel où il sera installé : Un ERP est amorti sur 7 ans alors qu’un PC fixe l’est sur 3 ans et un PC portable sur 2 ans.

Quant aux logiciels, généralement amorti sur 1 ou 2 ans, sauf ERP (= PGI, Progiciel de gestion intégrée), cela dépend de leur origine et il y a quatre types :

  1. Le système, attaché et fourni avec le matériel, dont la durée de vie est identique à la machine, son coût est intégré à celui de la machine
    .
  2. La bureautique et assimilés, dont la durée de vie est identique à 1 ou 2 fois la durée de vie du système, bien que cela dépend de la fréquence de l’évolution des versions de Windows, de Linux ou d’un autre.
    C’est ainsi que Office2003 est encore utilisé malgré les versions 2007n 2010 et suivantes
    .
  3. Les progiciels métiers, plus spécialisés que les logiciels généralistes que sont ERP et bureautique, sont développés par des entreprises extérieures et répondent à un besoin très précis, tout en étant commercialisés.
    Par exemple, la PAO, Publication Assistée par Ordinateur, la DAO, Dessin Assisté par Ordinateur, un CRM, Gestion de la relation client, etc. Ils coûtent chers et le but est de les conserver le plus longtemps possible. Parfois, ils évoluent aussi et alors il faut faire évoluer l’ensemble de leur environnement : matériels et logiciels, en même temps.
    Cette remarque concerne aussi les bases de données de type Oracle ou autre que j’assimile aux logiciels
    .
  4. Les développements spécifiques sont de deux ordres :
    – Les « purs » développements car aucun logiciel ne peut répondre au besoin, qu’il faut donc couvrir par des programmes spécifiques, par soi-même ou en sous-traitance. Les coûts sont là encore différents selon qui développe et qui maintient les développements.- L’autre ordre est celui des interfaces entres les logiciels et progiciels.
    Par exemple, entre un logiciel de paie et un logiciel de comptabilité ou de trésorerie, entre un logiciel de CAO et un ERP, un CRM et un ERP.

    Ces interfaces sont indispensables pour simplifier le travail de transfert d’informations d’un logiciel à l’autre.

    Elles concernent aussi des transferts entre systèmes différents. Par exemple, entre un lecteur de badge et le système des ressources humaines ou de la sécurité des bâtiments.

    A chaque fois, qu’un des composants changent les interfaces sont à refaire et cela peut s’avérer très coûteux. Malheureusement, c’est la rentabilité de l’entreprise qui est en jeu. Elles sont donc indispensables, même si parfois on se dit qu’il vaut mieux ressaisir les données plutôt que de les transférer.
    Ce n’est pas possible car purement numérique ou encore parce que la volumétrie est trop importante et l’embauche de personnels ne répond pas à ce besoin, et cela coûte aussi

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

TCO : Les éléments à prendre en compte pour le calcul
Le projet d’entreprise
Pourquoi un schéma directeur ?

Facteurs Critères Mesure de la Qualité
Les étapes pour acheter votre informatique
Comment favoriser le renouvellement et le dynamisme des organisations

Autres Informatique et Management :

Récapitulatif 1 Informatique
Récapitulatif 3 Informatique
Récapitulatif 7 Informatique

Récapitulatif 3 Management
Récapitulatif 5 Management
Récapitulatif 7 Management

Tous les articles de ces catégories sont listés dans les pages Informatique et Management

abonnez_vous_ICI_a_la_Newsletter

Bus en informatique n’est pas synonyme d’autocar


Bus en informatique n’est pas synonyme d’autocar

bus en informatiqueBen non ! Un bus, en informatique c’est…

Voir la suite sur

Le Lexique informatique de Philippe Garin

Autre définition :

Matériel ou Hardware

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :

Industrie commence en 1765
Technologie n’est pas technology
Ordinateur

Tenté (e) par l’informatique ? : Motivations et capacités
La climatisation de la salle informatique
Matériels ou Hardware

Autres Informatique :

Récapitulatif 4-1 Informatique
Récapitulatif 4-2 Informatique

abonnez_vous_ICI_a_la_Newsletter

Objectifs pour définir un plan stratégique informatique


Objectifs pour définir un plan stratégique informatique

stratégie en entrepriseLors d’une réflexion sur un plan stratégique informatique à long terme plusieurs objectifs peuvent être fixés, comme, par exemple :

  1. Extension planifiée systématique et coordonnée des services proposés par l’informatique et ses infrastructures
  2. Mises en œuvre efficace et régulière des ressources informatiques à disposition
  3. Diminution des doublons par une évaluation et la mise en place de nouveaux composants matériels et logiciels
  4. Utilisation optimale de l’infrastructure informatique par les utilisateurs finaux
  5. Rationalisation du plan stratégique informatique et amélioration les bases d’informations pour des décisions stratégiques dans le domaine informatique
  6. Diminution des obligations, en particulier des obligations technologiques
  7. Assurance que la stratégie informatique soit totalement intégrée à la stratégie générale de l’entreprise

Philippe Garin, plus de 20 ans de management en entreprise

Pour plus de conseils, contactez-moi : phgarin@gmail.com

Pour en savoir plus :


En complément :
Plan d’un rapport d’audit en entreprise
Évolution de l’informatique dans l’entreprise
Pourquoi un schéma directeur ?

Les schémas directeurs classiques
Approche d’un schéma directeur
Application du schéma directeur

Autres Informatique et Management :

Récapitulatif 3 Informatique
Récapitulatif 5 Informatique
Récapitulatif 5 Management

abonnez_vous_ICI_a_la_Newsletter

%d blogueurs aiment cette page :