Sécurité < 10 min

Audit de sécurité informatique : Analysez votre système d'information en 40 questions.

Pour vous accompagner dans une démarche de sécurisation de votre système d'information, nous vous proposons un guide d'auto-évaluation à travers quelques questions simples.

Même si il ne peut remplacer un audit de sécurité informatique qui pondère le risque en fonction de la gravité et de la vraisemblance à travers différents scénarios de menaces, cela vous donnera la liste de vos points de vigilance et vous aidera à répondre aux exigences du RGPD.

Contactez-nous pour avancer sur ces sujets en toute sérénité !

Audit de sécurité informatique

1/12 - Périmètre - Internet

Audit de sécurité sur la navigation internet des utilisateurs :

Le réseau informatique dispose-t-il d'un équipement capable de filtrer les URL visitées (proxy ou firewall) ?

  • • Dispose-t-il de catégories à risques bloquées comme Phishing, Command and Control, Malware, Hacking, Proxy, Adulte, etc. ?
  • • Est-il capable d'authentifier les utilisateurs (couplage AD, Kerberos, portail captif, etc.) ?
  • • Y a-t-il des logs des URL visitées qui sont conservées et analysables (rapport sur l'usage, etc.) ?
Mon entreprise correspond à ces critères
Ce sont des points de vigilance

L'équipement de filtrage est-il capable de faire de la détection applicative ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance
1/12 - Périmètre - Internet

Le réseau dispose-t-il d'un équipement capable de faire de la détection antimalware ?

  • • La détection est-elle active sur les principaux vecteurs de propagation (http, smtp, imap, pop, ftp, smb, etc.) ?
  • • L'analyse supporte-t-elle différents formats de fichiers (exe, doc, excel, pdf, apk, jar, archives, flash, etc.) ?
  • • L'équipement est-il capable de faire du decrypt SSL et celui-ci est-il activé ?
  • • Bonus : La solution est-elle capable de faire une analyse dynamique du fichier et non statique basée sur un hash ?
Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Le réseau dispose-t-il d'un équipement capable de faire de la détection contre les intrusions ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

2/12 - Périmètre - DMZ

Si des services sont publiés à destination d'internet, il est important d'assurer la sécurité informatique contre les attaques opportunistes comme les attaques ciblées.

Une zone cloisonnée appelée DMZ est-elle en place pour isoler les serveurs publiés sur internet du LAN ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Les ports ouverts sur internet sont-ils identifiés, limités et nécessaires ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Un filtre IPS strict est-il en place sur le trafic entrant ? Voire un Web Application Firewall dans le cadre d'une application web ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance
2/12 - Périmètre - DMZ

3/12 - Cloisonnement LAN

Un ransomware type Wannacry ou tout autre piratage peut arriver même si on se pense à l'abri. Par conséquent, il est primordial de limiter l'impact de l'intrusion par un cloisonnement réseau. Quel que soit le scénario, l'intrusion doit être limitée à un pourcentage raisonnable de postes et de serveurs afin de ne pas mettre en péril votre entreprise.

3/12 - Cloisonnement LAN

Y a-t-il un cloisonnement strict entre les serveurs support de l'infrastructure et les autres serveurs et utilisateurs ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Y a-t-il un cloisonnement ou bien des règles de filtrage fines, voire un IPS entre différents groupes d'utilisateurs (standard, VIP), entre les utilisateurs et les serveurs métiers, entre les groupes de serveurs métiers ou encore entre les sites ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

4/12 - Authentification

La gestion des accès est au cœur des problématiques de sécurité. Il s'agit de faciliter l'accès autorisé aux différents services tout en les protégeant contre les accès non permis.

Les utilisateurs arrivent-ils facilement à retenir leurs mots de passe sans l'écrire et à accéder aux différents services ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Les authentifications sont-elles centralisées ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Le nombre de mots de passe à connaiître est-il raisonnable ? Les utilisateurs qui ont la nécessité d'avoir beaucoup d'identifiants différents (services externes non maitrisés par la DSI) ont-ils un gestionnaire de mot de passe robuste ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Les services critiques et les accès externes disposent-ils d'une authentification forte ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Les anciens utilisateurs sont-ils désactivés ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance
4/12 - Authentification

5/12 - Mises à jour

Il est possible de considérer que tout système logiciel comporte des failles non découvertes. Cependant, les éditeurs font de plus en plus d'efforts pour chercher les failles sur leurs propres logiciels. Ils proposent même des primes en cas de découverte par un tiers ! Il y a donc régulièrement des mises à jour de sécurité sur les composantes logicielles dont les codes d'exploitation sont connus ou vont le devenir.

5/12 - Mises à jour

Y a-t-il une stratégie de mise à jour des systèmes d'exploitation (clients et serveurs) ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Tous les logiciels d'un système sont-ils maîtrisés ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Y a-t-il une stratégie de mise à jour des logiciels ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Les logiciels ne pouvant pas être mis à jour et comportant des vulnérabilités sont-ils connus et y a-t-il une stratégie de minimisation du risque ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

6/12 - Antivirus et plus

Un antivirus aujourd'hui est un outil de sécurité destiné à protéger le poste de travail et le serveur. Il intègre souvent une suite d'outils de sécurité comme l'antivirus, l'analyse comportementale, l'IPS, la sandbox, l'antispam, l'antiphishing, l'analyse des pages web, l'audit du poste notamment.

Les postes de travail et les serveurs sont-ils protégés contre les codes malveillants connus ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

La solution déployée dispose-t-elle d'une suite d'outils de sécurité renforçant son efficacité au-delà de la base de signatures connues ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Une console de gestion centralisée permet-elle le déploiement de stratégie de sécurité et autres fonctions avancées (audit, monitoring, déploiement de mise à jour, etc.) ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance
6/12 - Antivirus et plus

7/12 - Chiffrement

En cas de perte/vol d'un périphérique (Téléphone, PC portable), le chiffrement est le rempart qui permet de limiter la perte à un cout matériel. Même chose dans un réseau, le chiffrement point à point est ce qui permet d'empêcher l'interception de données et l'usurpation.

7/12 - Chiffrement

Tous les périphériques nomades embarquant potentiellement des données ou identifiants de l'entreprise sont-ils chiffrés ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Les accès distants sont-ils chiffrés ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Les accès métiers de l'entreprise sont-ils chiffrés ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

8/12 - Sauvegarde / PRA

La sauvegarde est à catégoriser dans « récupération » et non pas « prévention » ou « protection ». C'est évidemment une des solutions qui permet à l'entreprise de reprendre son activité en cas d'incident majeur.

Les données les plus importantes sont-elles biens incluses dans les jeux de sauvegarde ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Les RTO (durée de restauration donc temps d'indisponibilité) et RPO (temps depuis la dernière sauvegarde, donc données perdues) sont-ils en adéquation avec le besoin ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

La sauvegarde est-elle supervisée ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

La sauvegarde fonctionne-t-elle ? Arrive-t-on à restaurer les différents types de données ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

La sauvegarde est-elle externalisée ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Y a-t-il un Plan de Reprise d'Activité (PRA) pour tous les scénarios probables ? Les RTO et RPO sont-ils en adéquation avec le besoin ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance
8/12 - Sauvegarde / PRA

9/12 - BYOD (Bring Your Own Device)

Avec la multiplication des accès cloud et la mobilité, la situation d'un utilisateur qui utilise un appareil personnel à des fins professionnelles est courante. Cependant, cet usage présente un risque, car l'appareil n'est pas maîtrisé et sécurisé alors qu'il possède des accès et des données de l'entreprise.

9/12 - BYOD

Si l'usage BYOD est autorisé, est-il encadré ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

L'usage non maitrisé ou non autorisé du BYOD est-il impossible ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

10/12 - Politique de sécurité informatique

Une politique de sécurité est un document (ou un ensemble de documents) qui indique les règles de sécurité de l'entreprise.

Disposez-vous d'une politique de sécurité ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Couvre-t-elle tous les sujets importants ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Est-elle applicable en condition réelle ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Les personnes concernées sont-elles informées de son existence ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance
10/12 - Politique de sécurité

11/12 - Sensibilisation

Il n'y a pas de mise à jour de sécurité pour les humains. Pourtant avec la sensibilisation il est possible de réduire le risque humain et de gagner en sécurité.

11/12 - Sensibilisation

Les utilisateurs sont-ils sensibilisés au risque informatique (phishing, malware, vol de données, etc.) ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Des actions de sensibilisation et des rappels réguliers sont-ils effectués ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Les nouveaux arrivants sont-ils informés du risque ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

12/12 - Prestataire

Les prestataires n'appartiennent pas directement au système d'information de l'entreprise et pourtant ils peuvent être le maillon faible de la sécurité.

Les prestataires ont-ils ratifié votre politique de sécurité ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance

Les prestataires ont-ils de la donnée ou des accès depuis leur propre matériel ? Si oui ont-ils été audités ou bien ont-ils montré leur niveau de sécurité en adéquation avec celui de votre système d'information ?

Mon entreprise correspond à ces critères
Ce sont des points de vigilance
12/12 - Prestataire

Découvrez les résultats de notre quizz et vos points de vigilance grâce à une étude personnalisée envoyée directement par email.
En complément vous pourrez télécharger notre guide sécurité.

Abonnez-vous à notre newsletter de contenus exclusifs Le Lab Compufirst (1 article chaque mardi, 100% conseil de nos experts).

* Champs obligatoire

POUR SUIVRE TOUTES NOS FICHES CONSEILS

Pour être au courant des derniers conseils de nos experts, inscrivez-vous à notre newsletter spéciale contenu.