Etude des techniques d’audit pouvant aboutir à la définition d’une politique de sécurité des réseaux informatiques

Introduction

L’audit de sécurité est un service qui est généralement offert par une société spécialisée dans la sécurisation des systèmes d’informations. Son principal objectif est la validation des moyens de protection des systèmes d’informations afin que l’intégrité du réseau informatique soit garantie[1]. La notion d’audit de sécurité informatique mène inévitablement donc à la mise en place d’une politique de sécurité des réseaux informatiques existants.

L’audit ne constitue pas seulement un moyen d’identification des risques d’une entreprise concernant son système d’information, mais constitue aussi une obligation pour l’entreprise. L’audit permet de rendre plus clair l’organisation et la structure de la fonction de sécurité du réseau informatique de l’entreprise. Il permet entre autre de constater le mode de gestion des procédures de sécurité ainsi que la disponibilité et l’accessibilité des outils de sécurisation du système informatique, et l’utilisation de ces derniers. Cette pratique a aussi comme objectif d’identifier les risques qui peuvent constituer un artéfact issu de l’audit même. Toutes ces étapes sont réalisées pour connaître le niveau de sécurité réel de l’entreprise par rapport à une référence[2].

La réalisation d’un audit implique la définition d’un référentiel, d’un ensemble de règles régissant l’organisation, la procédure ou les moyens techniques de référence. L’audit devrait donc comporter un descriptif de matériels, logiciels et documentation utilisés, l’appréciation générale de l’adéquation du système d’information existant aux besoins de l’entreprise, un examen de l’organisation, du contrôle et de planification des services informatiques. A la fin de l’audit, la formation, la qualification et l’aptitude du personnel sont notées. La qualité, l’accès, la disponibilité et la facilité de compréhension du document sont également considérés[3].

Les efforts menés pour réaliser un audit au sein de l’entreprise devraient conduire à la détermination d’une politique de sécurité. Il s’agit d’un document générique qui mentionne les règles à suivre pour les accès au réseau d’informations et pour les flux autorisés ou non[4]. La politique de sécurité vise à donner une option de direction à la sécurité de l’information. La politique de sécurité vise non seulement à protéger le réseau informatique de toute forme d’attaque, mais aussi à contrôler l’accès à l’information et l’acquisition, le développement et la maintenance des systèmes. Cette politique implique également que les incidents n’aient plus de mauvaises répercussions sur le système d’information du réseau de l’entreprise. Entre autre, elle assure la gestion de la suite des activités en tenant compte des interruptions qui peuvent survenir à cause des risques éventuels[5].

Bien que les audits menés auprès des entreprises aient la même organisation, ils présentent des fonctionnements très différents les uns des autres. Quel audit choisir alors devant telle ou telle situation ? Et quels résultats pourraient en découler ? Cette étude a pour objectif d’exposer les différents types d’audits qui sont susceptibles de conduire à l’établissement d’une politique de sécurité. Pour ce faire, nous allons analyser une à une les différentes techniques d’audit qui permettent de cerner les vulnérabilités du réseau de système d’information.

• Test d’intrusion

Le piratage fait partie des menaces d’un réseau informatique donné. Il peut s’agir de hackers qui s’infiltrent à l’intérieur du réseau informatique sans toutefois détruire les données[6]. A part les hackers, il existe aussi les crachers qui sont des pirates informatiques ayant pour but de voler des informations à l’intérieur du réseau, ou de détruire ce dernier[7].

Quelquefois, des programmes peuvent s’introduire à l’intérieur du système d’information, et se cacher dans un programme net comme les boîtes aux lettres ou les téléchargements faits par l’utilisateur. Une fois arrivé à l’intérieur du système, le pirate informatique peut introduire des virus, des bombes ou des vers. Dans d’autre cas, il modifie les données initiales, ce qui implique une vérification de l’authenticité des informations reçues à l’intérieur du réseau informatique.  Les pirates peuvent aussi installer des sniffers, des programmes espions qui décèlent toutes les informations de l’utilisateur[8].

L’intrusion informatique peut se manifester par les manipulations des données qui permettent d’entrer à l’intérieur du système ou des programmes existants. L’intrusion informatique peut également consister en une manipulation des commandes du terminal, des données à la sortie ou en une utilisation de services informatiques sur place ou à distance. Toutes ces manipulations se font de manière illégale[9].

L’intrusion informatique peut se manifester par ailleurs, par l’espionnage assisté par ordinateur. Dans cette forme d’intrusion, le pirate informatique vole des logiciels, des données ou l’utilise à ses propres fins. Dans d’autre cas, il peut s’agir d’un sabotage de l’ordinateur. Ce dernier se présente sous forme d’une destruction ou de modification des données ou des actes de vandalisme. D’autres formes d’intrusion informatique existent mais sont moins courants comme le vol de temps ordinateur ou les délits économiques. Ce dernier cas touche surtout les entreprises qui se consacrent au commerce. Le délit économique consiste en un détournement de fonds assisté par ordinateur[10].

Il a été remarqué que malgré la mise en place de dispositifs juridiques et de systèmes de sécurisation des systèmes d’informations, l’intrusion informatique gagne de plus en plus de terrain. C’est la raison pour laquelle de nombreuses entreprises optent pour un audit d’intrusion pour vérifier l’imperméabilité de leur système face à des menaces extérieures.

1. Principes

Le test d’intrusion consiste en une simulation des comportements intrusifs externes ou internes[11]. Ils peuvent être effectués sur l’infrastructure réseau ou sur le système d’exploitation. Quelquefois, il est effectué sur une application ou sur l’ensemble du système d’information, englobant le réseau et l’applicatif[12].

L’audit d’intrusion consiste à faire des tentatives d’intrusion dans le réseau informatique pour voir si ce dernier laissait passer des communications qui doivent rester confidentielles[13]. Cette pratique vise à évaluer le niveau d’imperméabilité du réseau de système d’information aux diverses intrusions[14].

En général, les tests d’intrusion se réalisent en six phases. La première phase consiste à recueillir les informations sur la cible. Ensuite, l’auditeur analyse les systèmes et les services et en établit la cartographie. La troisième phase consiste à rechercher et à exploiter les vulnérabilités du réseau et après, celles du système. Dans la cinquième phase, l’auditeur recherche et analyse les vulnérabilités applicatives et analyse en dernier lieu la progression[15].

Les tests d’intrusions sont englobés dans le groupe des audits techniques. Ils comprennent trois catégories de tests principaux. Il s’agit notamment du test boîte blanche, boîte grise et boîte noire[16].

Le test boîte noire consiste à se mettre dans des conditions réelles d’intrusion. L’auditeur se met alors à la place d’un pirate qui veut s’introduire dans le système. Aucune information ne lui est communiquée[17]. Il recherche donc tous les points faibles du système, les failles de sécurité d’un site Internet et/ ou d’un serveur Web[18]. C’est donc un test qui effectué à l’extérieur du réseau. Toutefois, il exige la connaissance de certaines informations.

Au cours du test boîte noire, l’auditeur collecte des informations publiques qu’il cherche à l’intérieur des pages web, des renseignements concernant les employés, les partenaires de l’entreprise auditée. L’auditeur observe aussi les points de présence sur Internet et d’écoute du réseau[19].

Le test boîte grise consiste à collecter quelques informations sur le réseau informatique audité. Un compte utilisateur est donné à l’auditeur afin qu’il puisse observer le travail d’un utilisateur normal[20]. Ce type d’audit est un intermédiaire entre la méthode boîte noire et d’un audit de code source[21].

Le test boîte blanche consiste à recueillir le plus d’informations possibles afin d’identifier les vulnérabilités du système notamment, au niveau de l’architecture du système testé[22]. Pour ce faire, différentes techniques comme la recherche des ports ouverts ou la version des applications peuvent être utilisées[23]. En effet, le fonctionnement interne des composants qui entrent en jeu dans la réalisation des processus à tester est bien connu par l’auditeur. Celui-ci va donc exploiter ces dernières dans le but de stresser le système. Ainsi, le comportement du système vis-à-vis de ces stress va permettre à l’auditeur de déterminer si son comportement était déterministe, autrement dit, différent de son fonctionnement nominal[24].

Le test d’intrusion au niveau du réseau peut être effectué à l’aide de certains logiciels ou matériels. Il existe deux types de systèmes de détection d’intrusion : le Host Intrusion Detection System (HIDS) et le Network Intrusion Detection System (NIDS)[25].

Le HIDS permet de contrôler  l’intégrité du système d’information grâce à des logiciels comme l’Advanced Intrusion Detection Environment (AIDE). Ce logiciel vérifie l’intégrité du système de fichier sur un serveur[26].

Le NIDS  de son côté vérifie les données qui transitent sur le réseau. Ce système d’intrusion réseau détecte en temps réel les attaques qui se réalisent sur une machine, grâce à une base de données des codes virales[27].

1. Avantages 

La détection d’intrus qui s’infiltrent à l’intérieur du système d’information permet de contrôler les activités anormales ou suspectes sur le réseau surveillé[28]. Le test d’intrusion permet de détecter les faiblesses des architectures du réseau de l’entreprise.

Le test d’intrusion et plus particulièrement, le test en boîte noire peut être effectué à distance. Il permet d’évaluer le niveau de sécurité de l’installation du système d’information de l’entreprise, la configuration et le paramétrage de son application web, serveur web et service web. Les tests d’intrusions exposent également à l’audité les failles au niveau de la sécurité du système d’informations, et notamment en terme d’imperméabilité de ce dernier aux menaces externes[29].

L’audit de sécurité boîte grise de son côté, permet de déceler le plus grand nombre de vulnérabilités, du fait que c’est une méthode mixte. Il permet entre autre de trouver rapidement et précisément les vulnérabilités du système. Les faux positifs sont donc réduits. Les problèmes de configuration de l’application web sont vérifiés grâce à cette démarche. L’audité peut également se rendre compte de tous les fichiers présents et accessibles via le serveur web. A part cela, les tests en boîtes grises permettent de détecter les injections SQL et d’intercepter toutes les entrées d’applications web. Issu de cet audit, toutes les entrées possibles dans le site peuvent être listées[30].

Le test d’intrusion permet de gagner des avantages en termes de réduction de risque pour un coût donné[31].

Le test en boîte blanche donne entre autres des idées précises et pertinentes sur le niveau de protections du réseau de système d’information de l’entreprise[32].

Les tests d’intrusion donnent une évaluation concernant la capacité du système d’information à résister aux pirates informatiques qui peuvent disposer d’une information d’authentification ou non[33]. Ils permettent aussi de connaître et de déceler les intrusions internes et externes grâce à l’analyse des activités des utilisateurs, à la mesure de la configuration des systèmes, le retraçage des violations des politiques d’utilisateurs et l’identification d’attaques potentielles envers le système[34].

Le test d’intrusion permet en outre de  connaître la qualité de la surveillance effectuée par les administrateurs. Ceci inclut l’état et le temps d’alerte, l’interprétation des différentes phases de tests par les administrateurs, ainsi que leur réaction[35].

Les tests d’intrusion permettent de définir une politique de contrôle d’accès en fonction de la finalité du traitement. Ces contrôles d’accès tiennent compte des procédures d’enregistrement et de radiation des utilisateurs. La politique de contrôle d’accès conduit entre autre à la détermination des mesures qui peuvent encourager les utilisateurs à respecter les bonnes pratiques de sécurité pendant leur travail. Enfin, cette politique considère les points à limiter et à contrôler pour que l’accès au réseau ne puisse plus être possible pour une personne non autorisée[36].

1. Limites

La détection d’intrusion ne permet pas de déceler les accès incorrects mais autorisés par un utilisateur légitime. Quelquefois, des erreurs peuvent survenir concernant la détection des intrus. Il s’agit notamment du taux de faux positifs et de faux négatifs[37].

Nous avons dit que les tests d’intrusion consistaient en une simulation d’une intrusion externe. Or, il n’est pas rare de constater que les auditeurs utilisent des outils d’évaluation automatisée de la sécurité des systèmes d’informations. Avec ces outils, il est possible qu’une utilisation malveillante ou mal contrôlée puisse atteindre l’intégrité du système audité, et dégrader par conséquent son niveau de sécurité[38].

Le test d’intrusion ne permet pas de connaître les différentes failles du système d’information. Par conséquent, même à l’issue de ce test, l’auditeur ne peut pas garantir une sécurisation correcte et sûre[39].

Les tests d’intrusion sont considérés comme un test technique qui n’apporte que très peu de valeur ajoutée. Mais ils sont également une des formes d’audit les plus choisies par les entreprises. La concurrence entre les différents auditeurs qui proposent les mêmes services est donc assez importante. Pour vaincre la concurrence, certains auditeurs proposent des services à prix très bas, mais dont la qualité est très mauvaise pour attirer le plus de clients[40]. La fiabilité de ces tests est donc très relative.

• Audits de vulnérabilité

La vulnérabilité dans le monde de l’informatique fait référence aux différentes failles qui peuvent exister à l’intérieur du réseau informatique[41].  Il s’agit de vérifier que les paramètres du système soient bien adéquats avec les règles de la sécurité informatique, notamment sur le plan de la gestion des droits d’accès, de la gestion des services pour palier aux vulnérabilités, etc.[42]. Les vulnérabilités ou les faiblesses du système peuvent être décelées en utilisant un outil qui permet de provoquer un comportement anormal de la part du réseau[43].

Nous avons parlé des pirates informatiques, des infiltrations de logiciels malveillants et des différents espionnages qui font en sorte qu’une tierce personne peut très bien s’approprier des données confidentielles sans l’autorisation de l’utilisateur. A part cela, la vulnérabilité du système informatique peut se manifester également par une utilisation imprudente du matériel informatique par des utilisateurs. Nous pouvons citer comme exemple, l’exposition des ordinateurs portables au vu de tous, dans les voies publiques, ou encore l’exposition des périphériques de stockage comme les USB dans des lieux où une tierce personne peut très bien regarder son contenu. Ce fait peut causer des fuites d’informations. En effet, les pirates informatiques ne sont pas les seuls à vouloir connaître le contenu d’un ordinateur, mais également les personnes extérieures au réseau. Ces personnes peuvent être de simples novices mais le fait d’exposer le portable au vu de tout le monde augmente l’accessibilité de ce dernier à un autre utilisateur[44].

Les vulnérabilités peuvent découler des faiblesses dans la conception du réseau, de la mise en œuvre ou l’utilisation d’un composant matériel ou logiciel du système. En général, la vulnérabilité du système provient des bugs logiciels, c’est-à-dire, d’un défaut de conception d’un programme informatique[45]. Des erreurs peuvent être commises par le programmeur, si bien que le système tout entier peut présenter de nombreuses difficultés. Par ailleurs, ces vulnérabilités sont exploitées par les pirates informatiques. Par conséquent, l’audit de vulnérabilité est opté par les entreprises pour mettre en évidence les failles à l’intérieur de leur réseau informatique.

1. Principes

L’audit de vulnérabilité consiste à mesurer le niveau de sécurité et de contrôler l’imperméabilité du réseau[46]. Ces vérifications sont faites par des solutions d’audits automatisés. Mais il existe entre autre des outils qui permettent de faire cette pratique plus rapidement et avec plus de précisions. Parmi eux, il y a les scanners, les MBSA[47].

Le scanner de vulnérabilité également appelé « analyseur de réseaux » est un outil d’audit qui permet de réaliser un balayage des ports ouverts sur un ordinateur cible ou sur un réseau tout entier[48]. Sa base de données renferme les différentes techniques d’attaques qui ont été récemment répertoriés. Ce logiciel permet de contrôler le système d’organisation pour identifier les points faibles qui peuvent être exploités par des attaqueurs[49].

Cet outil permet donc de déceler les ports ouverts sur un système en envoyant des requêtes successives sur les différents ports. Le scanner de vulnérabilité analyse entre autre lequel de ces ports sont actifs. Ils permettent de suivre et de contrôler la sécurité du parc informatique[50].

Le MBSA ou Microsoft Base Line Security Analyser, est un outil qui a été crée par l’équipe de Microsoft Security pour auditer la conformité des serveurs et postes de travail. Ce soft informe les utilisateurs sur l’état de sécurité des mots de passe des administrateurs, des comptes invités sans mots de passe, etc.[51].

Les analyses portent sur différents systèmes du réseau. Il s’agit notamment des:

• Systèmes d’exploitation
• Logiciels
• Configurations des stations de travail ou serveurs
• ..[52]

L’audit de vulnérabilité comporte quatre phases dont la phase de découverte, la phase de détection, la phase d’analyse des résultats et la phase de ré médiation.

La phase de découverte est l’étape pendant laquelle, les machines à auditer sont découvertes. Durant cette phase, le périmètre réseau interne et externe sont déterminés. Les machines qui sont considérées comme étant sensibles sont analysées en premier, avant d’entamer l’analyse des autres[53].

Durant la phase de détection ou « assessment », les vulnérabilités au niveau des machines ou des éléments actifs de l’entreprise sont déterminées. L’analyse des résultats consiste en une exploitation des résultats. Ceci implique un rapport des problèmes qui ont été identifiés et une proposition de solutions pour les résoudre. Quelquefois au cours du traitement des résultats, les auditeurs exposent l’état de la sécurité du système dans sa globalité, ainsi que des tendances de cette sécurité pendant une période donnée. Pendant le ré médiation, les interventions qui sont adoptées par l’entreprise suite à la découverte de ses vulnérabilités sont contrôlées.[54].

1. Avantages

L’audit de vulnérabilité permet de mettre à jour les niveaux de sécurité des éléments critiques du réseau de système d’information et d’évaluer en même temps l’efficacité des équipes de sécurité[55]. En effet, il n’est pas rare de constater que de nombreuses entreprises ne se rendent pas compte que leur système présente des défaillances.

En outre, les réseaux informatiques sont toujours en perpétuelle  évolution. Par conséquent, les systèmes de sécurisation du système d’information qui a été mise en place depuis un certain temps, peut ne plus  assurer la sécurité complète du réseau. Les administrateurs du réseau peuvent très bien suivre ces règles. Or, elles ne sont plus à jour et requièrent par conséquent, une mise à jour pour qu’elles puissent être adéquates à l’évolution actuelle. Ceci met en évidence l’importance de veille technologique pour mettre les connaissances des utilisateurs à jour. Cette veille peut être effectuée par les équipes de sécurité.

Dans d’autre cas, les équipes qui doivent s’assurer de la sécurisation du réseau ne suivent pas les règles de sécurité qui ont été imposées par l’entreprise ou les correctifs qui ont été avancés par les auditeurs antérieurs. Ceci pourrait provenir du fait que les administrateurs soient réticents aux évolutions technologiques modernes. Ils peuvent très bien s’habituer à l’ancienne méthode, et présentent par conséquent, des difficultés à s’adapter aux nouvelles méthodes.

L’audit de vulnérabilité permet de mettre à jour aussi bien les défaillances au niveau des matériels et des équipements, mais également, au niveau des personnes qui peuvent être aussi source de dommages au sein des logiciels et de l’ensemble du réseau même.

Des études ont permis d’affirmer que l’audit de vulnérabilité est considéré comme plus efficace pour déterminer les problèmes et les déficiences techniques. Ceci vient du fait qu’il permet une vue complète du système[56]. Nous avons affirmé que les audits de vulnérabilité permettent de déceler les défaillances au niveau du système et au niveau des ressources humaines. Aucun facteur n’est donc négligé avec ce type d’audit.

1. Limites

Nous avons évoqué que l’audit de vulnérabilité pouvait faire intervenir des outils comme les scanners de vulnérabilité. Or, il a été constaté que ces outils pouvaient également être utilisés par les pirates informatiques pour explorer les failles du système[57].

Les scanners permettent de fournir de nombreuses informations concernant le système d’information. Ces données ne peuvent être exploitées sans avoir une certaine connaissance du réseau ciblée[58]. En effet, les scanner de vulnérabilité sont en vente libre sur le marché. Les particuliers tout comme les entreprises peuvent donc les acheter[59]. Certes, ces scanners permettent de recueillir de nombreuses données. Il faut noter toutefois que les novices et les personnes qui connaissent peu la signification des valeurs qui sont fournies par les scanners peuvent être conduits à confusion, et peuvent donner par la suite, de fausses interprétations des données[60].

Quelquefois, les scanners peuvent consommer des ressources réseaux de manière importante, si bien qu’elles peuvent provoquer des congestions  du réseau informatique[61]. Cette congestion se manifeste par le ralentissement du réseau informatique quand il y a augmentation de flux. Ce phénomène provoque le rejet des trames entrantes dans les buffers des commutateurs[62].

Avec l’audit de vulnérabilité, le correctif qui est proposé à l’audité peut comporter des effets de bord. Ceci est particulièrement valable pour les versions récentes de système. Les correctifs qui sont proposés par l’auditeur concernant les vulnérabilités mineures peuvent être délaissés au profit des plus importantes[63].

Etant donné que le système d’information est en perpétuelle évolution, il est indispensable de renouveler fréquemment l’audit de vulnérabilité du système, pour que le système de sécurisation du réseau puisse poursuivre les progressions technologiques. Finalement, la sécurité d’un produit même après les audits ne peut être assurée que pendant une durée relativement courte[64] d’où la nécessité de faire des audits à des intervalles réguliers et courts.

• Audit du réseau informatique

Le réseau informatique est « un ensemble d’équipements reliés entre eux dans le but d’échanger des informations ».  Il s’agit d’un « ensemble de moyens  matériels et logiciels mis en œuvre pour assurer les communications entre ordinateurs, stations de travail et terminaux informatiques »[65]. Un réseau fait donc intervenir différentes fonctions et services pour le bon fonctionnement du traitement des données[66].

Les ordinateurs sont donc interconnectés et peuvent faire des échanges d’informations. En même temps, ce système d’information est accessible à un nombre important d’utilisateurs, partenaires et fournisseurs de services aux entreprises. Par conséquent, les ressources deviennent accessibles à de nombreuses personnes mais elles peuvent également être transportées voire modifiées tout au long de leur parcours jusqu’au destinataire final[67].

Chaque maillon du réseau peut être à l’origine des difficultés rencontrées par le réseau. Les problèmes peuvent résulter des buffers overflows, des formats strings, d’une erreur de filtrage de la part des utilisateurs ou encore d’un dysfonctionnement de la logique de traitement ou d’une erreur de configuration[68].

L’homme joue entre autre un rôle important dans ces problèmes. En effet, l’homme peut faire des erreurs de configuration et de conception des logiciels. Les utilisateurs de leur côté  ne connaissent pas les risques qui sont liés au réseau informatique[69] d’où la nécessité d’analyser chaque maillon du réseau pour connaître l’origine des problèmes.

1. Principes

L’audit du réseau informatique se focalise sur le réseau interne de l’entreprise qui a été à maintes reprises qualifié être à l’origine des problèmes au niveau du réseau[70]. L’objectif principal de cet audit est de dresser une cartographie du réseau informatique de l’entreprise auditée. Pour ce faire, il analyse le matériel, le câblage, les logiciels, les équipements d’interconnexion pour vérifier leurs performances.

Ces démarches sont entreprises dans le but  d’évaluer si le réseau garde toujours ses qualités et présente un fonctionnement direct et adéquat aux processus métiers de l’entreprise[71].

L’audit du réseau informatique vérifie également si la qualité du système d’information répond toujours à la qualité requise[72].

Durant l’audit d’un réseau informatique, l’auditeur se connecte au réseau de l’entreprise. Aucune information ne lui est donnée et l’auditeur explore tous les moyens pour accéder aux informations du réseau de l’entreprise.

Pour accomplir le plus vite possible l’audit, l’auditeur peut utiliser différents outils. Parmi eux, il y a :

• Les scanneurs de vulnérabilité qui permettent de préciser le nombre de vulnérabilités sur le réseau
• Des sondes qui sont placées à des lieux stratégiques du réseau. Elles permettent de déceler le goulot d’étranglement
• Des normes comme l’ISO 27 007 concernant la sécurité du système informatique
• Des méthodes d’audit comme le COBIT (Control Objectives for Information and Related Technology) ou le Mehari[73].

Le COBIT est un référentiel d’audit et de gouvernance du système d’information, qui vise à aligner ce dernier sur le métier de l’entreprise. Il vise également à maîtriser et à évaluer les risques et les bénéfices d’une entreprise donnée[74].

Avec la méthode Méhari, l’auditeur  procède à l’analyse de six facteurs de risques et six mesures de sécurité. La potentialité du système d’information est mesurée sur la base des paramètres suivants :

• l’exposition naturelle, incluant l’attrait et le ciblage ;
• le niveau de risque pour l’agresseur c’est-à-dire, que l’auditeur évalue les niveaux du risque de l’intrus d’être identifié et d’être sanctionné ;
• le niveau des moyens requis. Ce dernier facteur comprend les moyens intellectuels, matériels et le temps[75].

Après l’analyse de ces risques potentiels, l’auditeur analyse les impacts. Pour ce faire, il considère trois paramètres. L’auditeur évalue d’abord la circonscription des dommages au niveau des matériels et des données, les capacités de reprise de l’entreprise. Ceci tient compte des opérations que l’entreprise effectue, ses flux financiers et ses communications. Enfin, l’auditeur évalue sa capacité à récupérer financièrement. Après l’évaluation des impacts d’une potentielle intrusion dans le réseau informatique, l’auditeur procède à l’étude des paramètres qui peuvent influencer les facteurs[76].

Ces mesures sont respectivement[77] :

• Les mesures structurelles : localisation, l’architecture et organisation
• Les mesures dissuasives : identification, journalisation, sanctions
• Les mesures préventives : contrôle d’accès, détection et interception
• Les mesures de prévention : détection, intervention et non propagation
• Mesures palliatives : restauration, reconfiguration, secours
• Mesures de récupération : assurances, actions en justice

1. Avantages

L’audit du réseau informatique pourrait s’avérer bénéfique pour les entreprises qui font régulièrement une analyse de l’état de leur réseau informatique pour connaître leurs faiblesses et définir les projets d’améliorations futures. En effet, ce type d’audit permet à l’utilisateur de vérifier la conformité du réseau aux activités de l’entreprise, et d’anticiper les investissements qui seront destinés à l’optimisation des performances du système d’information et enfin, de vérifier la sécurité du réseau[78]. L’audit de sécurité du réseau peut être donc considéré comme un système de gouvernance du système d’informations[79].

Issu de cet audit, il est possible de mettre en place une politique pour limiter les flux de réseau au strict nécessaire. Il est également envisageable de mettre en place des connexions VPN (Virtual Private Network) pour sécuriser les accès au système d’information[80].

Par ailleurs, l’audit du réseau informatique, plus particulièrement avec les référentiels d’audit tels que le Mehari, permet d’envisager de nombreuses scénarios et d’évaluer en même temps l’efficacité et la fiabilité des mesures qui ont été mises en œuvre. De plus, cette méthode s’avère plus rapide[81].

1. Limites

Nous avons évoqué les différents types d’outils qui pouvaient être utilisés lors de l’audit du réseau informatique. La fiabilité des données et des résultats sont intimement liés à l’efficacité de ces outils. Or, nous avons soulevé dans l’audit de vulnérabilité que les scanners de vulnérabilité peuvent également être exploités par les pirates informatiques. Par conséquent, les audités ne peuvent voir la garantie d’une sécurisation complète de leur réseau informatique.

• Audit d’une application web

Une application web est un logiciel applicatif qui peut être manipulé grâce à un navigateur web[82]. Etant donné que ce système reste ouvert à de nombreux utilisateurs, il est possible qu’il existe des failles au niveau du système d’information. Ces vulnérabilités permettent à d’autres personnes, y compris celles qui n’ont pas été autorisées à accéder à cette application web. Si ce fait peut être possible, il est probable donc que les pirates informatiques peuvent facilement s’infiltrer à l’intérieur de cette application[83].

Il est possible que les données qui ne sont pas vérifiées dès leur entrée au sein de l’application web puissent être piratées. Comme résultat, un code malicieux est introduit à la place de l’information attendue. Le virus va donc exploiter les potentialités du langage d’application incluant par exemple la lecture, l’écriture, etc. Le pirate peut également connaître les commandes systèmes  comme les sendmails ou les rm. Il peut entre autre exploiter la machine où l’application tourne[84].

D’autre part, il a été constaté que ces attaques étaient très discrètes et il s’avère très difficile de retrouver les pistes des pirates informatiques.

1. Principes

Durant l’audit, les experts vérifient la sécurité de l’application Web. Ceci vise notamment à contrôler les accès au site. En effet, l’application Web ne devrait être accessible qu’aux personnes autorisées[85].

L’audit de l’application Web comprend également le contrôle à la saisie durant laquelle, l’auditeur vérifie l’intégrité des données dans le site. En effet, il n’est pas rare que des fausses informations, ne provenant pas de l’administrateur du réseau s’infiltrent à l’intérieur du site. L’auditeur vérifie si en introduisant des fausses données à l’intérieur du système d’information, ce dernier va être automatiquement rejetée ou non. Il vérifie en même temps que les procédures de contrôle sont toujours efficaces en termes de temps de réponses[86].

Le contrôle des traitements fait partie des audits de l’application Web. Une série de tests est réalisée afin de déterminer si les calculs répondent bien aux attentes de l’utilisateur et donc, qu’il n’existe pas de problème d’exactitude, d’erreur d’arrondi ou une quelconque autre imprécision[87].

Durant le contrôle de résultat, la totalisation, la vraisemblance et l’échantillonnage sont utilisées simultanément pour vérifier que les résultats produits par l’application sont bien exacts. Enfin, l’auditeur analyse la pérennité des données et des traitements. Ceci implique une mise en place de sauvegardes régulières de données[88].

L’audit d’une application Web implique une vérification de sa fiabilité. Pour ce faire, l’auditeur vérifie que :

• Une procédure de suivi des incidents est mise en place
• Il existe des grandeurs de référence qui permettent d’évaluer la fiabilité de l’application. Ces grandeurs de références sont à comparer avec un référentiel interne ou externe[89].

Au niveau de la documentation, des manuels sont mis à la disposition du personnel pour les aider à l’utilisation, l’exploitation et la maintenance de l’application. Ces manuels devraient être disponibles, adaptés au besoin de la société et à jour pour éviter les erreurs de manipulations causées par les évolutions technologiques.

Issu de l’audit de l’application Web, l’auditeur devrait être en mesure d’évaluer

• La fiabilité de l’application
• La cohérence de l’application, c’est-à-dire qu’elle répond aux standards de conception, de développement et de maintenance
• Sa performance : les temps de réponse ne devraient pas être trop lents. L’application ne devrait pas non plus avoir des répercussions négatives sur l’ensemble du système d’information
• La maintenabilité de l’application, ce qui implique une enquête auprès des informaticiens qui se chargent de cette fonction. Les interviews portent aussi bien sur la maintenance corrective que sur la maintenance évolutive.
• La rentabilité : Dans cette optique, l’auditeur évalue le retour de l’investissement de l’entreprise, les bénéfices réalisés par l’application[90]

En pratique donc, l’audit d’une application web consiste à identifier les inputs et à tester les caractères ou mots spéciaux, séparateurs des différents langages. Enfin, il implique un contrôle des messages d’erreurs pour vérifier la source d’information sur le système[91].

L’audit des applications web peuvent être classés en deux groupes. Il existe un audit basique d’une application web ou un audit complet d’une application web.

L’audit basique d’une application web permet de mettre en évidence les vulnérabilités au niveau de l’application. Les résultats qui en découlent sont utilisés pour déterminer une politique de sécurisation du réseau informatique[92].

L’audit complet d’une application web de son côté est particulièrement requis quand l’entreprise va lancer une nouvelle application web. Ces audits seront ensuite effectués à des intervalles réguliers. Cet audit permet de détecter toutes les failles au niveau des applicatifs, comprenant les serveurs web actifs, les pages web mal programmées. Ces dernières peuvent en effet présenter un défaut de manipulation des banques de données.

1. Avantages

L’audit de l’application web permet de connaître les vulnérabilités du système. Il permet de savoir si des intrus peuvent s’infiltrer dans le réseau et regarder les données des autres utilisateurs[93].

L’audit de l’application web peut être appliqué à toutes les technologies web. Elle peut se faire chez les sites e-marchands, les sites financiers et les FAI (Fournisseur d’Accès Internet). Cet audit est également applicable aux applications  intranet, extranet ou Internet[94].

Cet audit permet de connaître les différents scripts sensibles, les applications sensibles, les ressources suspectes. Cet audit permet de connaître entre autre les artéfacts indésirables et les risques potentiels. Par conséquent, la société peut prendre des mesures préventives pour s’affranchir des difficultés qui peuvent être rencontrées[95].

Issu de l’audit de l’application web, il est possible pour l’utilisateur de faire des journalisations pour que l’application puisse enregistrer les évènements relatifs à la sécurité[96].

Ainsi, l’audit permet de vérifier que l’identification et l’authentification de l’application Web ne soit pas violée ou connues par une tierce personne. Le contrôle des mots de passe fait partie également de l’audit de l’application Web[97].

• L’audit de site web

Chaque entreprise devrait avoir son propre site Internet afin d’optimiser sa visibilité. C’est un moyen efficace pour  faire connaître ses services et les produits qu’ils vendent. L’audit de site web pourrait de ce fait être considéré comme primordial à chaque entreprise pour évaluer ses risques de piratage informatique.

Mais il a été constaté que les sites Internet peuvent être altérés suite à l’action de différents malwares. En effet, il a été remarqué que 60 000 nouveaux malwares sont découverts chaque jour[98]. Ces malwares peuvent être déposés par un pirate informatique s’il parvient à accéder au site Internet d’une entreprise. Ce malware, dans la plupart des cas peut se cacher dans une page web, la page d’accueil. Cette insertion se fait par une balise I-Frame[99].

Dans d’autres cas, des robots.txt sont ajoutés ou modifiés par un compétiteur de l’entreprise. Ces robots.txt sont capables d’empêcher les robots des moteurs de recherche d’indexer les pages web de l’entreprise[100].

L’entreprise peut être victime d’un cloaking. De ce fait, les visiteurs n’arrivent pas à voir le contenu du site. Seuls les moteurs de recherche sont aptes à les voir. De ce fait, le site est très difficile à référencer[101], et ne sont pas visibles pour les visiteurs potentiels.

La modification d’un .htaccess peut conduire à la redirection des visiteurs sur son proche site. Le pirate peut faire en sorte que le revenu des entreprises soit diminué. Ceci provient du fait que le pirate remplace le code Adsense dans les scripts des pages de l’entreprise par les siens. Cette démarche est très difficile à détecter. Par ailleurs, il peut procéder à la modification ou à l’ajout de scripts dans le but d’utiliser le site pour l’envoi de spams en masse. Quelquefois, le pirate peut utiliser ces scripts pour contrôler le site ou recueillir les informations bancaires. D’autre part, le pirate peut pirater le DNS.  Pour ce faire, il peut procéder à l’attaque du serveur. Le nom de domaine aux adresses IP d’autres sites sont exploitées pour imiter l’original[102].

En d’autres termes, les attaques d’un site web conduit à la baisse de visiteurs ou à l’accessibilité des visiteurs au site ciblé.

1. Principes

L’audit de site web se focalise sur l’analyse des flux et des statistiques associées à l’utilisation du site. Il implique une méthode d’identification des profils des utilisateurs  grâce à un algorithme de classification des accès qui ont été enregistrées dans les journaux d’enregistrement du site. D’autres auditeurs proposent de faire une évaluation du web en fonction de son architecture, de sa visibilité, de son accessibilité son utilisabilité, l’adéquation de son contenu, ses interactivités son intégrité et sa conformité aux lois[103].

En principe, l’audit d’une application Web comprend un recueil d’informations qui se fait au début de l’audit, un entretien avec les fonctionnels suivis d’entretien avec les informaticiens et les utilisateurs. A la fin, les auditeurs réalisent des tests techniques[104].

Pour faire l’audit d’un site web, l’auditeur étudie l’organisation et la présentation du site web. Pour ce faire, il analyse les éventuels risques qui peuvent empêcher l’évolution du site Internet. Il évalue ensuite, les forces et les vulnérabilités d’un site Internet. Pour ce faire, le contenu rédactionnel et l’architecture de l’information communiquée dans le site web, incluant les libellés et les parcours clients, sont évalués[105].

Ensuite, l’auditeur fait des études ergonomiques pour déterminer l’utilité, l’efficience, l’utilisabilité et l’efficacité du site. Il étudie la spécificité du métier et des objectifs commerciaux de l’entreprise auditée. Il procède après à une étude marketing concernant l’organisation, l’environnement et la communication à l’intérieur de l’entreprise. Ensuite, il analyse le référencement du site[106].

Le but de cet audit est d’établir un diagnostic approfondi pour favoriser la performance économique d’un site Internet[107].

1. Avantages

L’audit de site Internet permet d’évaluer la qualité du site web. Par conséquent, cet audit permet d’optimiser l’obtention de trafic, les ventes et le référencement et les contacts d’un site web[108].

Cet audit permet entre autres de vérifier la qualité de toutes les pages d’un site web. De ce fait, le site audité pourra être performant. De plus, les objectifs et la rentabilité de chaque site web audité peuvent être améliorés. Cet audit constitue un moyen efficace pour augmenter le chiffre d’affaires de l’entreprise et de booster le taux de conversion du site Internet[109].

1. Limites

L’audit de site web vise certainement à améliorer la qualité d’un site web, mais seul le point de vue de l’auditeur est pris en compte. Or, l’amélioration d’un site web peut également se baser sur les attentes des utilisateurs en termes d’écriture et de présentation de contenu.

• Audit de code

Un code permet de vérifier et d’authentifier  l’utilisateur d’un ordinateur. Il est indispensable de le protéger afin de ne pas autoriser l’accès d’une tierce personne, surtout, un pirate aux informations contenus dans un système d’information.

Si un pirate arrive à connaître le code d’un site par exemple, il est capable d’y déposer des malwares pour contrôler le site et pour baisser le trafic de ce site.  De même, la sécurité des ordinateurs qui utilisent un logiciel dont le code source a été volé ou accessible aux pirates courent un grand risque.

Le code permet de garantir la confidentialité d’une information donné. La protection de cette confidentialité est d’un intérêt principal pour une entreprise. C’est la raison pour laquelle, l’audit de code constitue un système d’audit les plus choisis par les entreprises.

1. Principe

L’audit de code est un type d’audit qui se base sur le processus global des phases et des étapes de développement[110].

L’audit de code consiste à analyser les différentes applications au sein de l’entreprise. Les codes sources sont particulièrement analysés pour vérifier les débordements de tampon, les bugs de format ou encore les vulnérabilités qui peuvent conduire à des injections SQL pour les applications web[111].

La réalisation de ces tâches peut se faire grâce  à des outils comme le Rough Auditing Tool for Security (RATS)[112]. Des outils d’analyse statistiques sont utilisés afin de vérifier la qualité syntaxique du code[113].

La qualité syntaxique du code implique la comparaison des codes sources pour détecter les modifications, vérifier les règles d’écriture. Ceci englobe la syntaxe, le nommage, la documentation, la complexité des algorithmes, l’usage d’instructions obsolètes, etc. Durant l’audit, l’auditeur vérifier également les failles de sécurité ou de bugs potentiels qui peuvent être liés à la façon d’accéder aux bases de données[114].

L’audité donne à l’auditeur les sources du site Internet ou de l’application à tester. Les différents codes qui sont fournis par l’audité sont testés et validés pour voir leur fiabilité. Un suivi régulier permet de suivre l’évolution du code source[115].

1. Avantages

L’audit de code permet de vérifier et de valider la sécurité de tous les programmes existants sur le réseau informatique de l’entreprise, à savoir : HTML, PHP, ASP, Perl, Java, Javascript, C, C++, etc.[116].

A l’issue de l’audit de code, l’audité peut prévoir un système d’authentification et d’identification pour pallier aux problèmes d’intrusion. Par exemple, pour choisir un mot de passe, l’utilisateur devrait choisir un mot qui contient au moins 8 caractères et de types différents. Il est judicieux d’utiliser les majuscules, les minuscules, les chiffres et les caractères spéciaux, etc.[117].

Il permet entre autre de déterminer les profils d’habilitation dans les systèmes pour séparer les attributions des différents acteurs pour que l’accès aux données soit limité. Ces accès doivent être bloqués automatiquement dès que l’employé n’a plus d’habilité pour une fonction déterminé. L’audit de code pourrait donc mener à une politique de contrôle d’accès[118].

1. Limites

L’audit de code est une opération très lente à réaliser et de ce fait, très monotone. Dans la grande majorité des cas, il ne permet pas de donner de façon exhaustive les différentes vulnérabilités du code[119].

L’audit de code est également difficile à mettre en place parce que c’est une méthode coûteuse. Son coût tient compte en effet des ressources dédiées, des expertises et des formations. Par ailleurs, l’audit de code demande aussi beaucoup d’investissements en termes d’outils logiciels. Cet audit demande par ailleurs une gestion de l’entreprise[120].

• Audit de la sécurité physique

La sécurité physique implique la protection des matériels qui sont utilisés et de leur environnement. Les matériels peuvent en effet être détournés de l’usage auquel ils étaient prédestinés[121].

L’espionnage peut entre autre être compté parmi les difficultés de la sécurité physique. En effet, les périphériques nomades ont gagné une place importante. Les données stockées dans un ordinateur portable par exemple ne sont pas à l’abri de l’espionnage d’une autre personne dans les voies publiques. Les employés dans la plupart du temps négligent l’importance du stockage de ces données surtout celles qui sont sensibles hors de l’espace de travail, les rendant ainsi vulnérables à l’espionnage[122].

Par ailleurs, le vol des ordinateurs ou des périphérique de stockage peuvent survenir, d’où la nécessité d’assurer la sécurité physique du système d’information[123].

Il est très fréquent que des données disparaissent suite à des pannes de courant ou à une température excessive dans la salle du serveur, des intempéries. Certains périphériques comme les webcams ou les keyloggers, peuvent amenuiser certaines fonctionnalités de la machine[124].

1. Principes

L’audit de la sécurité physique est une pratique d’audit qui se fonde sur la politique de sécurité de l’entreprise. Cet audit consiste donc à vérifier le respect de ces règlements de sécurité par le personnel, la formation des employés à la sécurité du système d’information et l’analyse des traces et historiques du réseau de système d’information[125].

L’audit de sécurité physique veille à l’anonymat du site pour que les personnes extérieures ne puissent pas l’identifier, en utilisant si besoin est, un nom fantaisiste. En outre, il permet de cacher les data center dans les autres activités[126].

Le déroulement de l’audit de la sécurité physique se fait de manière concentrique, en partant de l’extérieur des locaux pour se terminer à la salle des serveurs. Les analyses peuvent porter sur les problèmes informatiques incluant l’emplacement des postes de travail en accès libre, ou sur l’organisation du réseau. L’auditeur peut demander par exemple des renseignements concernant le système d’identification du personnel du réseau et des visiteurs[127].

L’audit de sécurité physique consiste en une mesure ou un contrôle des pertes de capacités de traitement informatique causé par diverses infractions comme le vol, l’incendie, l’inondation, la destruction intentionnelle, les dommages volontaires, les défaillances de l’équipement mécanique et les pannes de courant. L’auditeur peut interroger le client s’il a trouvé des menaces physiques et environnementales au centre de données et s’il a déjà fait une quelconque démarche pour pallier à ce problème[128].

D’autre part, l’audit peut porter sur la conformité des matériels aux normes imposées par la loi. Il permet de confirmer ou d’infirmer l’évidence de l’implantation géographique des locaux[129].

L’audit de sécurité comprend donc une enquête menée auprès du personnel concerné, une inspection des installations, une analyse des procédures de sécurité. Ce dernier point porte particulièrement sur le contrôle d’accès, la gestion des clés, les mesures de surveillances et l’aménagement physique des centres de données[130].

1. Avantages

L’audit de sécurité physique harmonise la sécurité des infrastructures et du système d’information[131]. En effet, il est très difficile de trouver un équilibre entre ces deux choses puisque l’une des deux prime sur l’autre. Il n’est pas rare de constater que l’entreprise se préoccupe soit de l’infrastructure du système d’information seulement et fait de gros investissements pour améliorer la qualité du réseau, soit il délaisse cette dernière pour se focaliser sur la sécurité des informations. Mais pour la plupart des cas, les entreprises délaissent l’infrastructure au profit de l’information. Cette volonté se manifeste le plus souvent par une mise en place d’une politique de sécurité efficace[132].

Il permet de sécuriser physiquement le système d’information et de protéger en même temps l’environnement du centre de données et les ressources d’informations qui se trouvent à l’intérieur du système[133]. Il peut conduire par exemple à une politique de sécurisation des locaux où les traitements des données sont effectués. Pour ce faire, l’entreprise peut mettre en place des systèmes d’alarmes pour vérifier l’intrusion dans la zone sécurisée et pour contrôler l’accès des personnes à la salle de traitement de données. Il est possible par exemple de poser des portes verrouillées ou de sas d’accès pour les équipements les plus critiques. A part cela, la mise en place de système de climatisation permet entre autre de préserver les pannes qui peuvent survenir suite aux intempéries et des conditions extrêmes[134].

Contrairement à d’autres systèmes d’audit, l’audit de sécurité physique ne nécessite pas de fréquentes analyses. Pour une entreprise par exemple, un audit par an lui permet d’évaluer son niveau de sécurité[135].

L’audit de sécurité physique permet de déterminer une politique de maintenance des outils informatiques pour assurer la sécurité des données. Ceci implique la vérification de la vétusté des outils et des équipements qui sont exploités par l’entreprise. La maintenance inclut la suppression des données et des matériels qui sont vétustes, ou inutiles. Il n’est pas rare en effet de trouver que des utilisateurs gardent encore des matériels et des programmes qui viennent alourdir le réseau  alors qu’ils ne sont d’aucune utilité. La libération du réseau permet de mettre en place d’autres programmes qui peuvent être encore utilisés[136].

Les entreprises devraient éviter la télémaintenance qui s’effectue par le biais de certains outils dont les versions ne sont pas forcément efficaces et adaptées à la situation[137].

La création de cartes  d’accès munies  d’un numéro d’identification personnel peut être envisagée par exemple, pour que les personnes non autorisées à consulter les données sensibles qui ont été traitées ou stockées ne puissent pas s’infiltrer à l’intérieur de cette salle. Dans d’autre cas, l’entreprise peut opter pour un port de badge aussi bien pour le personnel que pour les visiteurs. Ces derniers en effet, peuvent enlever leur badge pour tromper les vrais employés et s’infiltrer dans les salles dont les accès sont interdits aux visiteurs[138].

1. Limites

La formation des ingénieurs à la sécurité logique est plus aisée par rapport à la sécurité physique[139] si bien que ceux qui s’y spécialisent ont très rares. De plus, cet audit dépend plus de l’expérience de l’auditeur que de sa formation antérieure[140].

Conclusion

Cette analyse nous a permis de réalise l’importance des différentes menaces auxquels les systèmes d’information sont exposés. L’évolution technologique a permis de faire de nombreuses avancées dans différents domaines. Toutefois, il a été remarqué que ces évolutions ont également permis aux pirates informatiques de se développer et de s’infiltrer à l’intérieur du réseau informatique pour le détruire, ou pour avoir accès à des informations importantes concernant l’entreprise. Tous ces faits justifient bien l’importance d’un audit pour  déterminer une politique de sécurité.

L’audit est important pour la détermination d’une politique de sécurité. Cependant, le succès et l’efficacité d’un audit est intimement lié aux objectifs de l’entreprise. Ces derniers par conséquent, devraient être fixés dès le début de l’audit. Ceci va permettre de  délimiter les champs d’actions de l’auditeur et des moyens qu’il va devoir tenir en compte pour choisir le type d’audit qui correspond le mieux à ses attentes.

Mais la mise en œuvre de ces audits s’avère très délicate. Notre étude nous a permis de voir que chacun des audits possèdent ses propres limites. Par conséquent, il s’avère judicieux de combiner différents types d’audits dont, les caractéristiques et les fonctions sont complémentaires.

La définition d’une politique de sécurité nécessite l’utilisation de plusieurs outils et matériels dont la complexité est caractéristique. Mais après la définition de cette politique, il est encore indispensable de la mettre en œuvre et de faire en sorte qu’elle soit bien gérée. Or, la réalisation de toutes ces tâches nécessitent beaucoup de vigilance. Mais la réalisation d’une politique de sécurité qui puisse apporter ses résultats reste encore à prendre en compte.

En effet, ceci requiert de la volonté de l’homme à suivre les correctifs qui sont proposés par les auditeurs. Nombreux sont les cas où les entreprises effectuent de audits pour sécuriser leurs réseaux informatique, mais peu seulement suivent les conseils de l’auditeur.

 

[1] Audits de sécurité, http://www.commentcamarche.net/contents/secu/audit-securite.php3

[2] Abdelli R. 2011. Audit et sécurité informatique d’un réseau local d’entreprise. Mémoire pour l’obtention du Diplôme de Licence. Technologie de l’information et communication. Université Virtuelle de Tunis. 53p.

[3] Abdelli R. 2011. Audit et sécurité informatique d’un réseau local d’entreprise. Mémoire pour l’obtention du Diplôme de Licence. Technologie de l’information et communication. Université Virtuelle de Tunis. 53p.

[4] Koualoroh G. 2008. Audit et définition de la politique de sécurité du réseau informatique de la First Bank. Master I professionnel en réseaux &applications multimédia. Catégorie : Informatique et Télécommunications. Université de Yaoundé, http://www.memoireonline.com/12/09/3035/m_Audit-et-definition-de-la-politique-de-securite-du-reseau-informatique-de-la-fi15.html

 

[5] Abdelli R. 2011. Audit et sécurité informatique d’un réseau local d’entreprise. Mémoire pour l’obtention du Diplôme de Licence. Technologie de l’information et communication. Université Virtuelle de Tunis. 53p.

[6] L’intrusion dans un système informatique et ses conséquences juridiques, http://www.abc-netmarketing.com/L-intrusion-dans-un-systeme.html

[7] Intrusion dans un système informatique, http://www.murielle-cahen.com/publications/p_intrusions.asp

[8] L’intrusion dans un système informatique et ses conséquences juridiques, http://www.abc-netmarketing.com/L-intrusion-dans-un-systeme.html

[9] Jaber A. 2009. Les infractions commises sur Internet. Editions L’Harmattan. 314p.

[10] Jaber A. 2009. Les infractions commises sur Internet. Editions L’Harmattan. 314p.

 

[11] http://www.ice-innov.com/audit.php

[12] Test d’intrusion réseaux & applicatifs, http://www.oppida.fr/prestations/test-d-intrusion-reseaux—applicatifs/

[13] Royer JM. 2004. Sécuriser l’informatique de l’entreprise : Enjeux, menaces, prévention et parades. Editions ENI. 422p.

[14] Pourquoi faire un audit informatique ? http://www.youscribe.com/catalogue/etudes-et-statistiques/savoirs/autres/pourquoi-faire-faire-un-audit-informatique-217294

[15] Chambet P. les tests d’intrusion externes. Tests d’intrusion réseau, système, applicatifs, http://www.chambet.com

[16] Les tests d’intrusion, http://fr.wikipedia.org/wiki/Audit_de_s%C3%A9curit%C3%A9

[17] Test d’intrusion réseaux & applicatifs, http://www.oppida.fr/prestations/test-d-intrusion-reseaux—applicatifs/

[18] Audit de sécurité boîte noire, http://www.securi-toile.com/audit-securite-boite-noire

[19] Les tests d’intrusion, http://fr.wikipedia.org/wiki/Audit_de_s%C3%A9curit%C3%A9

[20] Les tests d’intrusion, http://fr.wikipedia.org/wiki/Audit_de_s%C3%A9curit%C3%A9

[21] Audit de sécurité boîte noire, http://www.securi-toile.com/audit-securite-boite-noire

[22] Test d’intrusion réseaux & applicatifs, http://www.oppida.fr/prestations/test-d-intrusion-reseaux—applicatifs/

[23] Les tests d’intrusion, http://fr.wikipedia.org/wiki/Audit_de_s%C3%A9curit%C3%A9

[24] Guérin BA. 2009. Conduite de projets informatiques : Développement, analyse et pilotage. Editions ENI. 297p.

[25] Abdelli R. 2011. Audit et sécurité informatique d’un résea local d’entreprise. Mémoire pour l’obtention du Diplôme de Licence. Technologie de l’information et communication. Université Virtuelle de Tunis. 53p.

 

[26] Abdelli R. 2011. Audit et sécurité informatique d’un résea local d’entreprise. Mémoire pour l’obtention du Diplôme de Licence. Technologie de l’information et communication. Université Virtuelle de Tunis. 53p.

 

[27] Abdelli R. 2011. Audit et sécurité informatique d’un résea local d’entreprise. Mémoire pour l’obtention du Diplôme de Licence. Technologie de l’information et communication. Université Virtuelle de Tunis. 53p.

[28] Cousin B. Sécurité des réseaux informatiques.

[29] Audit de sécurité boîte noire, http://www.securi-toile.com/audit-securite-boite-noire

[30] Audit de sécurité boîte noire, http://www.securi-toile.com/audit-securite-boite-noire

[31] Adamiste S.

[32] Test d’intrusion réseaux & applicatifs, http://www.oppida.fr/prestations/test-d-intrusion-reseaux—applicatifs/

[33] Test d’intrusion réseaux & applicatifs, http://www.oppida.fr/prestations/test-d-intrusion-reseaux—applicatifs/

[34] Véronneau P. 2004. Technologie de l’information pour expert comptables. Presses Universitaires Laval. 495p.

[35] Chambet P. les tests d’intrusion externes. Tests d’intrusion réseau, système, applicatifs. MISC 11, http://www.chambet.com

[36] CNIL. 2010. La sécurité des données personnelles. http://www.cnil.fr/dossiers/securite

[37] Cousin B. Sécurité des réseaux informatiques.

[38] Blanc M. outils d’intrusion automatisée : risques et protections, www.actes.sstic.org

[39] Adamiste S. 187- Réflexions à propos des audits de sécurité, http://commedansdubeurre.ch/?p=201004151705201

[40] Adamiste S. 187- Réflexions à propos des audits de sécurité, http://commedansdubeurre.ch/?p=201004151705201

[41] Vulnérabilité informatique, http://www.cis-investigations.com/protection-des-informations/vulnerabilite-informaituqe

[42] L’audit de vulnérabilité, à privilégier face au test d’intrusion ? http://www.journaldunet.com/solutions/securite/dossier/l-audit-pierre-angulaire-de-la-securite-informatique/l-audit-de-vulnerabilite-a-privilegier-face-a-au-test-d-intrusion.shtml

[43] Llorens C. 2010. Tableaux de bord de la sécurité réseau. Editions Eyrolles. 561p.

[44] Vulnérabilité informatique, http://www.cis-investigations.com/protection-des-informations/vulnerabilite-informaituqe

[45] Bug (informatique), http://fr.wikipedia.org/wiki/Bug_informatique

[46] Direction Recherche et Ingénierie de Formation. Secteur NTIC. 2007. Audit de vulnérabilité réseau. Millésime. Pp 1- 16.

[47] Direction Recherche et Ingénierie de Formation. Secteur NTIC. 2007. Audit de vulnérabilité réseau. Millésime. Pp 1- 16.

[48] Les scanners de vulnérabilités – Balayage de ports, http://www.commentcamarche.net/contents/attaques/balayage-ports.php3

[49] Véronneau P. 2004. Technologie de l’information pour expert comptables. Presses Universitaires de Laval. 495p.

[50] Les scanners de vulnérabilités – Balayage de ports, http://www.commentcamarche.net/contents/attaques/balayage-ports.php3

[51] MBSA- Audit de vos serveurs/Postes de travail, http://zigmax.net/mbsa-audit-de-vos-serveurs-postes-de-travail/

[52] Pourquoi faire un audit informatique ? http://www.youscribe.com/catalogue/etudes-et-statistiques/savoirs/autres/pourquoi-faire-faire-un-audit-informatique-217294

[53] Direction Recherche et Ingénierie de Formation. Secteur NTIC. 2007. Audit de vulnérabilité réseau. Millésime. Pp 1- 16.

[54] Direction Recherche et Ingénierie de Formation. Secteur NTIC. 2007. Audit de vulnérabilité réseau. Millésime. Pp 1- 16.

[55] Direction Recherche et Ingénierie de Formation. Secteur NTIC. 2007. Audit de vulnérabilité réseau. Millésime. Pp 1- 16.

[56] Crochet-Damais A. 2009. L’audit de vulnérabilité, à privilégier face au test d’intrusion ? http://www.journaldunet.com/solutions/securite/dossier/l-audit-pierre-angulaire-de-la-securite-informatique/l-audit-de-vulnerabilite-a-privilegier-face-a-au-test-d-intrusion.shtml

[57] Les scanners de vulnérabilités – Balayage de ports, http://www.commentcamarche.net/contents/attaques/balayage-ports.php3

[58] Audit de vulnérabilité : indispensable à la sécurité, http://pro.01net.com/editorial/199296/audit-de-vulnerabilite-indispensable-a-la-securite/

[59] Audit de vulnérabilité : indispensable à la sécurité, http://pro.01net.com/editorial/199296/audit-de-vulnerabilite-indispensable-a-la-securite/

[60] Audit de vulnérabilité : indispensable à la sécurité, http://pro.01net.com/editorial/199296/audit-de-vulnerabilite-indispensable-a-la-securite/

[61] Audit de vulnérabilité : indispensable à la sécurité, http://pro.01net.com/editorial/199296/audit-de-vulnerabilite-indispensable-a-la-securite/

[62][62] Congestion (réseau), http://fr.wikipedia.org/wiki/Congestion_%28r%C3%A9seau%29

[63] Audit de vulnérabilité : indispensable à la sécurité, http://pro.01net.com/editorial/199296/audit-de-vulnerabilite-indispensable-a-la-securite/

[64] Estieux C et Estieux L. Audit d’un système d’Information : principales vulnérabilités. Actes du symposium SSTIC 05.

[65] Notion de réseau informatique, http://culturepc.com/comprendre/reseaux/notion-reseau.php

[66] CNIL. 2010. La sécurité des données personnelles. http://www.cnil.fr/dossiers/securite

[67] Figuigui A. 2010. Introduction à la sécurité informatique, http://www.nbs-system.com/blog/introduction-a-la-securite-informatique.html

[68] Figuigui A. 2010. Introduction à la sécurité informatique, http://www.nbs-system.com/blog/introduction-a-la-securite-informatique.html

[69] Figuigui A. 2010. Introduction à la sécurité informatique, http://www.nbs-system.com/blog/introduction-a-la-securite-informatique.html

[70] Pourquoi faire un audit informatique ? http://www.youscribe.com/catalogue/etudes-et-statistiques/savoirs/autres/pourquoi-faire-faire-un-audit-informatique-217294

[71] En quoi consiste  l’audit du réseau informatique ? http://reseau-informaticque.prestataires.com/conseils/audit-reseau-informatique

[72] En quoi consiste l’audit du réseau informatique ? http://reseau-informaticque.prestataires.com/conseils/audit-reseau-informatique

[73] En quoi consiste l’audit du réseau informatique ? http://reseau-informatique.prestataires.com/conseils/audit-reseau-informatique

[74] Présentation générale de COBIT, http://itil.fr/COBIT/presentation-generale-de-cobit.html

[75] Marion, Melisa, Mehari,Ebios,  http://activconseil.free.fr/M4-marion,melisa.htm

[76] Marion, Melisa, Mehari,Ebios,  http://activconseil.free.fr/M4-marion,melisa.htm

[77] Marion, Melisa, Mehari,Ebios,  http://activconseil.free.fr/M4-marion,melisa.htm

 

[78] En quoi consiste l’audit du réseau informatique ? http://reseau-informatique.prestataires.com/conseils/audit-reseau-informatique

[79]Réseau informatique : en quoi consiste un audit de sécurité ? http://reseau-informatique.prestataires.com/conseils/reseau-informatique%C2%A0-en-quoi-consiste-un-audit-de-securite%C2%A0

[80] CNIL. 2010. La sécurité des données personnelles. http://www.cnil.fr/dossiers/securite

[81] Marion, Melisa, Mehari,Ebios,  http://activconseil.free.fr/M4-marion,melisa.htm

[82] Application web, http://dictionnaire.sensagent.com/application+web/fr-fr/

[83] Vue d’ensemble des menaces de sécurité des applications web, http://msdn.microsoft.com/fr-fr/library/f13d73y6.aspx

[84] Hernandez N. Applications sécurisées.

[85] Akoka J et Comyn-Wattiau. Audit d’un site Web- une démarche structurée.

[86] Akoka J et Comyn-Wattiau. Audit d’un site Web- une démarche structurée.

[87] Akoka J et Comyn-Wattiau. Audit d’un site Web- une démarche structurée.

[88] Akoka J et Comyn-Wattiau. Audit d’un site Web- une démarche structurée.

[89] Akoka J et Comyn-Wattiau. Audit d’un site Web- une démarche structurée.

[90] Akoka J et Comyn-Wattiau. Audit d’un site Web- une démarche structurée.

[91] Analyse des applications web, http://www.integralis.com/fr/competences/audit-et-evaluation/analyse-des-applications-web/

[92] Analyse des applications web, http://www.integralis.com/fr/competences/audit-et-evaluation/analyse-des-applications-web/

[93] Analyse des applications web, http://www.integralis.com/fr/competences/audit-et-evaluation/analyse-des-applications-web/

[94] Quickshift. Audit des applications web, http://www.quickshift.fr/index.php/audit-des-applications-web.html

[95] Quickshift. Audit des applications web, http://www.quickshift.fr/index.php/audit-des-applications-web.html

[96] Principes de base de la sécurité des applications web, http://msdn.microsoft.com/fr-fr/library/ff648636.aspx#EDAA

[97] Akoka J et Comyn-Wattiau. Audit d’un site Web- une démarche structurée.

[98] Site web à risque ? Google vous alerte, http://www.indexel.net/actualites/site-web-a-risque-google-vous-alerte-3248.html

[99] Risque de piratage d’un site web, http://www.scriptol.fr/creation-site-web/piratage.php

[100] Risque de piratage d’un site web, http://www.scriptol.fr/creation-site-web/piratage.php

[101] Risque de piratage d’un site web, http://www.scriptol.fr/creation-site-web/piratage.php

[102] Risque de piratage d’un site web, http://www.scriptol.fr/creation-site-web/piratage.php

[103] Akoka J et Comyn-Wattiau. Audit d’un site Web- une démarche structurée.

[104] Desphande Y, Chandrarathna A et Ginige A. 2002. Web site auditing- fisrt step towards re-engineering. Proceedings of SEKE’02, pp 731 – 737.

[105] Devis/audit de site Internet, http://www.auditez.com/audit-site-internet.php

 

[106] Devis/audit de site Internet, http://www.auditez.com/audit-site-internet.php

[107] Devis/audit de site Internet, http://www.auditez.com/audit-site-internet.php

[108] Devis/audit de site Internet, http://www.auditez.com/audit-site-internet.php

[109] Devis/audit de site Internet, http://www.auditez.com/audit-site-internet.php

[110] Audit de sécurité, http://fr.wikipedia.org/wiki/Audit_de_s%C3%A9curit%C3%A9

[111] Audit de sécurité, http://fr.wikipedia.org/wiki/Audit_de_s%C3%A9curit%C3%A9

[112] Audit de sécurité, http://fr.wikipedia.org/wiki/Audit_de_s%C3%A9curit%C3%A9

[113] Chandèze A. 2010. L’audit de code en trois questions. Best Practices- Systèmes d’Information. N° 55, pp 6 – 7.

[114] Chandèze A. 2010. L’audit de code en trois questions. Best Practices- Systèmes d’Information. N° 55, pp 6 – 7.

[115] Pourquoi faire un audit informatique ? http://www.youscribe.com/catalogue/etudes-et-statistiques/savoirs/autres/pourquoi-faire-faire-un-audit-informatique-217294

[116] Pourquoi faire un audit informatique ? http://www.youscribe.com/catalogue/etudes-et-statistiques/savoirs/autres/pourquoi-faire-faire-un-audit-informatique-217294

[117] CNIL. 2010. La sécurité des données personnelles. http://www.cnil.fr/dossiers/securite

[118] CNIL. 2010. La sécurité des données personnelles. http://www.cnil.fr/dossiers/securite

[119] Audit de sécurité, http://fr.wikipedia.org/wiki/Audit_de_s%C3%A9curit%C3%A9

[120] Audit de code, http://www.test-performance.com/ei-technologies/audit-code/solutions-audit-de-code.html

[121] CNIL. 2010. La sécurité des données personnelles. http://www.cnil.fr/dossiers/securite

[122] CNIL. 2010. La sécurité des données personnelles. http://www.cnil.fr/dossiers/securite

[123] CNIL. 2010. La sécurité des données personnelles. http://www.cnil.fr/dossiers/securite

[124] CNIL. 2010. La sécurité des données personnelles. http://www.cnil.fr/dossiers/securite

[125] Gaspoz C. 2005. Audit de la sécurité physique. Cours audit des SI

[126] Gaspoz C. 2005. Audit de la sécurité physique. Cours audit des SI

[127] 3. Protéger ses infrastrctures : la sécurité phyique requiert des spécialistes, http://www.01net.com/editorial/175234/3-proteger-ses-infrastructures-la-securite-physique-requiert-des-specialistes/

[128] Audit de sécurité physique IT, http://www.npasc.be/fr/audit-securite-physique-it-18.htm

[129] 3. Protéger ses infrastrctures : la sécurité phyique requiert des spécialistes, http://www.01net.com/editorial/175234/3-proteger-ses-infrastructures-la-securite-physique-requiert-des-specialistes/

[130] Audit de sécurité physique IT, http://www.npasc.be/fr/audit-securite-physique-it-18.htm

[131] 3. Protéger ses infrastrctures : la sécurité phyique requiert des spécialistes, http://www.01net.com/editorial/175234/3-proteger-ses-infrastructures-la-securite-physique-requiert-des-specialistes/

[132] 3. Protéger ses infrastrctures : la sécurité phyique requiert des spécialistes, http://www.01net.com/editorial/175234/3-proteger-ses-infrastructures-la-securite-physique-requiert-des-specialistes/

[133] Audit de sécurité physique IT, http://www.npasc.be/fr/audit-securite-physique-it-18.htm

[134] CNIL. 2010. La sécurité des données personnelles. http://www.cnil.fr/dossiers/securite

[135] 3. Protéger ses infrastrctures : la sécurité phyique requiert des spécialistes, http://www.01net.com/editorial/175234/3-proteger-ses-infrastructures-la-securite-physique-requiert-des-specialistes/

[136] CNIL. 2010. La sécurité des données personnelles. http://www.cnil.fr/dossiers/securite

[137] CNIL. 2010. La sécurité des données personnelles. http://www.cnil.fr/dossiers/securite

[138] CNIL. 2010. La sécurité des données personnelles. http://www.cnil.fr/dossiers/securite

[139] 3. Protéger ses infrastrctures : la sécurité phyique requiert des spécialistes, http://www.01net.com/editorial/175234/3-proteger-ses-infrastructures-la-securite-physique-requiert-des-specialistes/

[140] 3. Protéger ses infrastrctures : la sécurité phyique requiert des spécialistes, http://www.01net.com/editorial/175234/3-proteger-ses-infrastructures-la-securite-physique-requiert-des-specialistes/