13
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
Egalement les outils disponibles dans le monde du logiciel libre sont admis. L’ensemble des outils utilisés doit couvrir entièrement ou partiellement la liste non exhaustive des catégories ci-après : – Outils de sondage et de reconnaissance du réseau. – Outils de test automatique de vulnérabilités du réseau. – Outils spécialisés dans l’audit des équipements réseau (routeurs, switchs). – Outils spécialisés dans l’audit des systèmes d’exploitation. – Outils d’analyse et d’interception de flux réseaux. – Outils de test de la solidité des objets d’authentification (fichiers de mots clés) – Outils de test de la solidité des outils de sécurité réseau (firewalls, IDS, outils d’authentification). – Outils de scanne d’existence de connexions dial-up dangereuses (wardialing). – Outils spécialisés dans l’audit des SGBD existants. Chacun des outils à utiliser devra faire l’objet d’une présentation de leurs caractéristiques et fonctionnalités aux responsables de l’organisme audité pour les assurer de l’utilisation de ces outils. 5- Test d’intrusions (Audit intrusif) a. Objectifs Cet audit permet d’apprécier le comportement du réseau face à des attaques. Egalement, il permet de sensibiliser les acteurs (management, équipe informatique sur site, les utilisateurs) par des rapports illustrant les failles décelées, les tests qui ont été effectués (scénarios et outils) ainsi que les recommandations pour pallier aux insuffisances identifiées. b. Déroulement La phase de déroulement de cet audit doit être réalisée par une équipe de personnes ignorante du système audité avec une définition précise des limites et horaires des tests. Etant donné l’aspect risqué (pour la continuité de services du système d’information) que porte ce type d’audit, l’auditeur doit. – Bénéficier de grandes compétences. – Adhérer á une charte déontologique. – S’engager (la charte d’audit) à un non débordement: implication à ne pas provoquer de perturbation du fonctionnement du système, ni de provocation de dommages.