Lorsque l'on définit le niveau de sécurité d'un système informatique il faut se focaliser sur 4 composantes essentielles :
* Disponibilité : propriété du système d'information qui le rend accessible pour le traitement des données.
* Intégrité : propriété du système d'information qui garantie la consistance des données.
* Confidentialité : propriété du système d'information qui garantie que l'information n'est accessible que par la bonne personne/application.
* Preuve : propriété du système d'exploitation qui garantie que l'on est capable de savoir qui a accédé à quel moment à une donnée ou une application
Lors d'un audit de sécurité informatique il est important de ne pas négliger l'ensemble de ces points.
L'offre actuelle des prestataires informatiques sur les audits de sécurité se place principalement sur la confidentialité. Le prestataire teste votre sécurité via un outil automatique(de type scanner de vulnérabilités) en le disposant chez lui ou chez vous. Puis ensuite il vous remet un beau rapport sur ce qu'il a trouvé.
Or dans ce rapport, n'apparaît nulle part votre disponibilité autrement qu'issue des attaques que pourrait tenter un méchant pirate venu de l'intérieur ou de l'extérieur... Et nulle part vous ne retrouvez les autres composantes...
Il est donc important lors de la phase de signature de votre contrat avec le prestataire de bien lui signifier l'ensemble des points sur lequel doit porter son audit. Imposez que lors de son audit il vérifie les quatre composantes.
Un audit de sécurité est cher et ne doit pas se limiter à une prestation de vérification par un outil de vulnérabilité réseau. Soyez vigilants !
En résumé : ne dites pas que vous avez fait faire un audit de la sécurité de votre système d'information si vous n'avez pas un rapport sur les quatre composantes...
(*) Le texte de la question de l'internaute peut avoir été réécrit par nos soins dans un soucis de clareté et de confidentialité. L'expert a, quant à lui, répondu à la question originale telle qu'elle a été posée sur www.cyberpro.fr.
