je dois effectuer un mini audit de securité informatique pour mon entreprise
(PME de 150 personnes) et je me demandais si quelqu'un d'entre vous pourrait
me dire s'il y a un plan, un sommaire à respecter ?
Quoi qu'il en soit je ne veux pas tomber dans une etude exaustive et trop
technique car je doit remettre ce rapport relativement tot et à destination
de lecteur non technicien.
Pour infos :
plusieurs serveur de Type W2K quelque uns en W2K3
Un SAN regroupant un cluster de serveur W2K une MANAP
2 switchs federateur redondant donnant ds les etages (liaison fibre + back
up cuivre gigaBit)
un serveur de messagerie (sur la DMZ)
Un serveur Web ( apliance de load banlancing, 2 serveur Web, un serveur de
base de données)
un firewall
routeur cisco pour l'acces internet
cote logiciel :
Veritas ( gestion du cluster)
HP (monitoring + sauvegarde)
SQL serveur 2K
Mysql
divers logiciels de paye et de compta
Voila
Merci d'avance à ceux qui pourront m'aider
Stephane
P.S : excuser pour le multi post mais je ne peux pas faire du cross post de
là où je suis ... Encore milles excuses pour le derangement
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Olivier Masson
Quoi qu'il en soit je ne veux pas tomber dans une etude exaustive et trop technique car je doit remettre ce rapport relativement tot et à destination de lecteur non technicien.
Alors ce n'est pas un audit de sécurité !
Il est relativement inutile de faire un audit non exhaustif (c'est d'ailleurs totalement antinomique) car cela signifie que tu te permets de laisser des incertitudes quant à ta sécurité. J'ai passé 6 mois - certes c'était mon premier - pour en faire un dans une structure comparable à la tienne et je n'ai, à juste titre, pas oser apellé ça ''audit de sécurité''. Et puis sécurité, mais de quoi ? Il s'agit en général de sécurité des systèmes d'informations et ça regroupe bcp de choses !
Sans aller vers les méthodes payantes du Clusif, tu peux aller voir la méthode EBIOS (www.ssi.gouv.fr quand ça marche) et OSSTM (en anglais, la version 3 doit sortir depuis des mois... http://www.isecom.org/osstmm/). Me suis servi de ça comme base. Côté audit technique, un portable pourri sous n'importe quoi de léger avec ce qu'il faut (nmap, nessus, hping2, etc.) et un autre portable avec windows xp et linux pour tester les failles. Pour le reste, il faut de l'expérience - ce qu'il me manquait -, de le reflexion, bcp bcp de doc, discuter avec tous le monde et des capacités redactionnelles : un rapport illisible ne sera pas... lu surtout par les non-techniciens à qui tu dois le remettre !
Quoi qu'il en soit je ne veux pas tomber dans une etude exaustive et trop
technique car je doit remettre ce rapport relativement tot et à destination
de lecteur non technicien.
Alors ce n'est pas un audit de sécurité !
Il est relativement inutile de faire un audit non exhaustif (c'est
d'ailleurs totalement antinomique) car cela signifie que tu te permets
de laisser des incertitudes quant à ta sécurité.
J'ai passé 6 mois - certes c'était mon premier - pour en faire un dans
une structure comparable à la tienne et je n'ai, à juste titre, pas oser
apellé ça ''audit de sécurité''.
Et puis sécurité, mais de quoi ? Il s'agit en général de sécurité des
systèmes d'informations et ça regroupe bcp de choses !
Sans aller vers les méthodes payantes du Clusif, tu peux aller voir la
méthode EBIOS (www.ssi.gouv.fr quand ça marche) et OSSTM (en anglais, la
version 3 doit sortir depuis des mois... http://www.isecom.org/osstmm/).
Me suis servi de ça comme base.
Côté audit technique, un portable pourri sous n'importe quoi de léger
avec ce qu'il faut (nmap, nessus, hping2, etc.) et un autre portable
avec windows xp et linux pour tester les failles.
Pour le reste, il faut de l'expérience - ce qu'il me manquait -, de le
reflexion, bcp bcp de doc, discuter avec tous le monde et des capacités
redactionnelles : un rapport illisible ne sera pas... lu surtout par les
non-techniciens à qui tu dois le remettre !
Quoi qu'il en soit je ne veux pas tomber dans une etude exaustive et trop technique car je doit remettre ce rapport relativement tot et à destination de lecteur non technicien.
Alors ce n'est pas un audit de sécurité !
Il est relativement inutile de faire un audit non exhaustif (c'est d'ailleurs totalement antinomique) car cela signifie que tu te permets de laisser des incertitudes quant à ta sécurité. J'ai passé 6 mois - certes c'était mon premier - pour en faire un dans une structure comparable à la tienne et je n'ai, à juste titre, pas oser apellé ça ''audit de sécurité''. Et puis sécurité, mais de quoi ? Il s'agit en général de sécurité des systèmes d'informations et ça regroupe bcp de choses !
Sans aller vers les méthodes payantes du Clusif, tu peux aller voir la méthode EBIOS (www.ssi.gouv.fr quand ça marche) et OSSTM (en anglais, la version 3 doit sortir depuis des mois... http://www.isecom.org/osstmm/). Me suis servi de ça comme base. Côté audit technique, un portable pourri sous n'importe quoi de léger avec ce qu'il faut (nmap, nessus, hping2, etc.) et un autre portable avec windows xp et linux pour tester les failles. Pour le reste, il faut de l'expérience - ce qu'il me manquait -, de le reflexion, bcp bcp de doc, discuter avec tous le monde et des capacités redactionnelles : un rapport illisible ne sera pas... lu surtout par les non-techniciens à qui tu dois le remettre !
Stephane Lacroux
Alors ce n'est pas un audit de sécurité !
Il est relativement inutile de faire un audit non exhaustif (c'est d'ailleurs totalement antinomique) car cela signifie que tu te permets de laisser des incertitudes quant à ta sécurité. J'ai passé 6 mois - certes c'était mon premier - pour en faire un dans une structure comparable à la tienne et je n'ai, à juste titre, pas oser apellé ça ''audit de sécurité''.
Je suis completement d'accord avec toi ! D'autant que j'ai deja effectuer de vrais audit avec les remontées technique ad oc ! Mais la c'est un nouvel exercice de style de la par de mes boss.
Et puis sécurité, mais de quoi ? Il s'agit en général de sécurité des systèmes d'informations et ça regroupe bcp de choses !
he bien au sens large : reseaux, systeme , web, communication electronique,...
Sans aller vers les méthodes payantes du Clusif, tu peux aller voir la méthode EBIOS (www.ssi.gouv.fr quand ça marche) et OSSTM (en anglais, la version 3 doit sortir depuis des mois... http://www.isecom.org/osstmm/). Me suis servi de ça comme base.
Merci bcp cela va me servir ennormemment !
Côté audit technique, un portable pourri sous n'importe quoi de léger avec ce qu'il faut (nmap, nessus, hping2, etc.) et un autre portable avec windows xp et linux pour tester les failles.
Pour le reste, il faut de l'expérience - ce qu'il me manquait -, de le reflexion, bcp bcp de doc, discuter avec tous le monde et des capacités redactionnelles : un rapport illisible ne sera pas... lu surtout par les non-techniciens à qui tu dois le remettre !
Alors ce n'est pas un audit de sécurité !
Il est relativement inutile de faire un audit non exhaustif (c'est
d'ailleurs totalement antinomique) car cela signifie que tu te permets
de laisser des incertitudes quant à ta sécurité.
J'ai passé 6 mois - certes c'était mon premier - pour en faire un dans
une structure comparable à la tienne et je n'ai, à juste titre, pas oser
apellé ça ''audit de sécurité''.
Je suis completement d'accord avec toi ! D'autant que j'ai deja effectuer de
vrais audit avec les remontées technique ad oc !
Mais la c'est un nouvel exercice de style de la par de mes boss.
Et puis sécurité, mais de quoi ? Il s'agit en général de sécurité des
systèmes d'informations et ça regroupe bcp de choses !
he bien au sens large : reseaux, systeme , web, communication
electronique,...
Sans aller vers les méthodes payantes du Clusif, tu peux aller voir la
méthode EBIOS (www.ssi.gouv.fr quand ça marche) et OSSTM (en anglais, la
version 3 doit sortir depuis des mois... http://www.isecom.org/osstmm/).
Me suis servi de ça comme base.
Merci bcp cela va me servir ennormemment !
Côté audit technique, un portable pourri sous n'importe quoi de léger
avec ce qu'il faut (nmap, nessus, hping2, etc.) et un autre portable
avec windows xp et linux pour tester les failles.
Pour le reste, il faut de l'expérience - ce qu'il me manquait -, de le
reflexion, bcp bcp de doc, discuter avec tous le monde et des capacités
redactionnelles : un rapport illisible ne sera pas... lu surtout par les
non-techniciens à qui tu dois le remettre !
Il est relativement inutile de faire un audit non exhaustif (c'est d'ailleurs totalement antinomique) car cela signifie que tu te permets de laisser des incertitudes quant à ta sécurité. J'ai passé 6 mois - certes c'était mon premier - pour en faire un dans une structure comparable à la tienne et je n'ai, à juste titre, pas oser apellé ça ''audit de sécurité''.
Je suis completement d'accord avec toi ! D'autant que j'ai deja effectuer de vrais audit avec les remontées technique ad oc ! Mais la c'est un nouvel exercice de style de la par de mes boss.
Et puis sécurité, mais de quoi ? Il s'agit en général de sécurité des systèmes d'informations et ça regroupe bcp de choses !
he bien au sens large : reseaux, systeme , web, communication electronique,...
Sans aller vers les méthodes payantes du Clusif, tu peux aller voir la méthode EBIOS (www.ssi.gouv.fr quand ça marche) et OSSTM (en anglais, la version 3 doit sortir depuis des mois... http://www.isecom.org/osstmm/). Me suis servi de ça comme base.
Merci bcp cela va me servir ennormemment !
Côté audit technique, un portable pourri sous n'importe quoi de léger avec ce qu'il faut (nmap, nessus, hping2, etc.) et un autre portable avec windows xp et linux pour tester les failles.
Pour le reste, il faut de l'expérience - ce qu'il me manquait -, de le reflexion, bcp bcp de doc, discuter avec tous le monde et des capacités redactionnelles : un rapport illisible ne sera pas... lu surtout par les non-techniciens à qui tu dois le remettre !
Dominique Blas
Bonjour à toutes et à tous !
je dois effectuer un mini audit de securité informatique pour mon entreprise (PME de 150 personnes)
Curieux qu'une PME << sérieuse >> demande cela à un de ses salariés. Il y a tout de même des compétences spécialement formées pour cela dans des boîtes spécialisées dans cela (qui ne font que ça), justement. En soi, le résultat qu'on peut attendre d'un tel audit, réalisé par une personne sans expérience (*), n'a aucune valeur.
On ne demande pas à un informaticien d'ausculter des patients et de fournir un diagnostic et le traitement qui va avec que je sache. Etre médécin ça s'apprend et ça s'entretient. Pourquoi en serait-il différemment de métiers spécialisés comme la sécurité des SI ? Parce que c'est de l'informatique ? Vision bien pauvre du métier.
Un audit ne consiste pas simplement à se taper des ISS, des nmap et des Nessus (**), ça fait partie du jeu bien entendu mais ce n'est qu'une bien faible partie de l'ensemble (même pas la partie méergée de l'iceberg) : analyse d'infrastructures, de codes, de procédures (installation, suivi, qui fait quoi, qui reporte à qui, qui sauvegarde quoi, qui communique à l'extérieur, qui transporte quoi, qui embrasse qui ou quoi, etc), de flux humains et matériels (papiers, machines, supports, etc), alignement vis-à-vis de la stratégie d'entreprise, vision à court, moyen et long terme, etc. Ce ne sont là que quelques éléments du puzzle.
Ainsi, pour le cadre de réflexion et de gestion, au-delà des méthodes (Mehari, EBIOS) : ISO17799.
Ce n'est qu'un cadre pas une méthode, hein ?
db
(*) Je n'ai pas écrit cela à ton endroit, c'est juste une réflexion générale.
(**) Je me suis récemment frité (gentiment) avec un gars qui se proclamait << directeur technique >> d'un intermédiaire (une miniSSII quelconque en région parisienne) qui prétendait proposer à un client final, parmi d'autres choses, un << audit sécurité >> par le biais d'un ISS qu'il avait sous le coude.
J'ai eu beau lui expliquer qu'un audit sécurité ne se résumait pas à une analyse réseau des ports mais à bien d'autres choses auquel son pauvre ISS ne pouvait rien faire, j'ai vraiment eu l'impression que ce mec me prenait pour un ignare. Pour lui hors ISS point de salut, le Dieu de la sécurité était descendu parmi nous et quiconque dénigrait son pouvoir n'était que larve ne méritant pas de (sur)vivre.
J'aurais également souhaité avoir mon mot à dire sur le blabla qu'il allait faire à son client sur la méthodologie d'intervention. Mais ... niet !
Avec de telles considérations sur le métier, il était inutile, bien entendu, d'espérer obtenir la mission. Le client final n'est pas (toujours) idiot non plus.
En fait, la plupart des gens considèrent que, parce qu'il ont fait de l'informatique pendant des années, ils sont, da fait, aptes à << faire
de la sécurité.
Désolé, mais c'est mille fois non. Ca s'apprend et ça s'entretient.
--
Courriel : usenet blas net
Bonjour à toutes et à tous !
je dois effectuer un mini audit de securité informatique pour mon entreprise
(PME de 150 personnes)
Curieux qu'une PME << sérieuse >> demande cela à un de ses salariés. Il
y a tout de même des compétences spécialement formées pour cela dans des
boîtes spécialisées dans cela (qui ne font que ça), justement.
En soi, le résultat qu'on peut attendre d'un tel audit, réalisé par une
personne sans expérience (*), n'a aucune valeur.
On ne demande pas à un informaticien d'ausculter des patients et de
fournir un diagnostic et le traitement qui va avec que je sache.
Etre médécin ça s'apprend et ça s'entretient.
Pourquoi en serait-il différemment de métiers spécialisés comme la
sécurité des SI ? Parce que c'est de l'informatique ? Vision bien pauvre
du métier.
Un audit ne consiste pas simplement à se taper des ISS, des nmap et des
Nessus (**), ça fait partie du jeu bien entendu mais ce n'est qu'une
bien faible partie de l'ensemble (même pas la partie méergée de
l'iceberg) : analyse d'infrastructures, de codes, de procédures
(installation, suivi, qui fait quoi, qui reporte à qui, qui sauvegarde
quoi, qui communique à l'extérieur, qui transporte quoi, qui embrasse
qui ou quoi, etc), de flux humains et matériels (papiers, machines,
supports, etc), alignement vis-à-vis de la stratégie d'entreprise,
vision à court, moyen et long terme, etc.
Ce ne sont là que quelques éléments du puzzle.
Ainsi, pour le cadre de réflexion et de gestion, au-delà des méthodes
(Mehari, EBIOS) : ISO17799.
Ce n'est qu'un cadre pas une méthode, hein ?
db
(*) Je n'ai pas écrit cela à ton endroit, c'est juste une réflexion
générale.
(**) Je me suis récemment frité (gentiment) avec un gars qui se
proclamait << directeur technique >> d'un intermédiaire (une miniSSII
quelconque en région parisienne) qui prétendait proposer à un client
final, parmi d'autres choses, un << audit sécurité >> par le biais d'un
ISS qu'il avait sous le coude.
J'ai eu beau lui expliquer qu'un audit sécurité ne se résumait pas à une
analyse réseau des ports mais à bien d'autres choses auquel son pauvre
ISS ne pouvait rien faire, j'ai vraiment eu l'impression que ce mec
me prenait pour un ignare. Pour lui hors ISS point de salut, le Dieu de
la sécurité était descendu parmi nous et quiconque dénigrait son pouvoir
n'était que larve ne méritant pas de (sur)vivre.
J'aurais également souhaité avoir mon mot à dire sur le blabla qu'il
allait faire à son client sur la méthodologie d'intervention.
Mais ... niet !
Avec de telles considérations sur le métier, il était inutile, bien
entendu, d'espérer obtenir la mission. Le client final n'est pas
(toujours) idiot non plus.
En fait, la plupart des gens considèrent que, parce qu'il ont fait de
l'informatique pendant des années, ils sont, da fait, aptes à << faire
de la sécurité.
Désolé, mais c'est mille fois non. Ca s'apprend et ça s'entretient.
je dois effectuer un mini audit de securité informatique pour mon entreprise (PME de 150 personnes)
Curieux qu'une PME << sérieuse >> demande cela à un de ses salariés. Il y a tout de même des compétences spécialement formées pour cela dans des boîtes spécialisées dans cela (qui ne font que ça), justement. En soi, le résultat qu'on peut attendre d'un tel audit, réalisé par une personne sans expérience (*), n'a aucune valeur.
On ne demande pas à un informaticien d'ausculter des patients et de fournir un diagnostic et le traitement qui va avec que je sache. Etre médécin ça s'apprend et ça s'entretient. Pourquoi en serait-il différemment de métiers spécialisés comme la sécurité des SI ? Parce que c'est de l'informatique ? Vision bien pauvre du métier.
Un audit ne consiste pas simplement à se taper des ISS, des nmap et des Nessus (**), ça fait partie du jeu bien entendu mais ce n'est qu'une bien faible partie de l'ensemble (même pas la partie méergée de l'iceberg) : analyse d'infrastructures, de codes, de procédures (installation, suivi, qui fait quoi, qui reporte à qui, qui sauvegarde quoi, qui communique à l'extérieur, qui transporte quoi, qui embrasse qui ou quoi, etc), de flux humains et matériels (papiers, machines, supports, etc), alignement vis-à-vis de la stratégie d'entreprise, vision à court, moyen et long terme, etc. Ce ne sont là que quelques éléments du puzzle.
Ainsi, pour le cadre de réflexion et de gestion, au-delà des méthodes (Mehari, EBIOS) : ISO17799.
Ce n'est qu'un cadre pas une méthode, hein ?
db
(*) Je n'ai pas écrit cela à ton endroit, c'est juste une réflexion générale.
(**) Je me suis récemment frité (gentiment) avec un gars qui se proclamait << directeur technique >> d'un intermédiaire (une miniSSII quelconque en région parisienne) qui prétendait proposer à un client final, parmi d'autres choses, un << audit sécurité >> par le biais d'un ISS qu'il avait sous le coude.
J'ai eu beau lui expliquer qu'un audit sécurité ne se résumait pas à une analyse réseau des ports mais à bien d'autres choses auquel son pauvre ISS ne pouvait rien faire, j'ai vraiment eu l'impression que ce mec me prenait pour un ignare. Pour lui hors ISS point de salut, le Dieu de la sécurité était descendu parmi nous et quiconque dénigrait son pouvoir n'était que larve ne méritant pas de (sur)vivre.
J'aurais également souhaité avoir mon mot à dire sur le blabla qu'il allait faire à son client sur la méthodologie d'intervention. Mais ... niet !
Avec de telles considérations sur le métier, il était inutile, bien entendu, d'espérer obtenir la mission. Le client final n'est pas (toujours) idiot non plus.
En fait, la plupart des gens considèrent que, parce qu'il ont fait de l'informatique pendant des années, ils sont, da fait, aptes à << faire
de la sécurité.
Désolé, mais c'est mille fois non. Ca s'apprend et ça s'entretient.
--
Courriel : usenet blas net
Fabien LE LEZ
On 21 Jun 2005 13:04:55 GMT, Dominique Blas :
je dois effectuer un mini audit de securité informatique pour mon entreprise (PME de 150 personnes)
Curieux qu'une PME << sérieuse >> demande cela à un de ses salariés.
Bof... S'il s'agit vraiment d'un "mini-audit", genre vérifier si on peut accéder directement aux répertoires partagés des PC depuis Internet, ou autres joyeusetés du même style, pourquoi pas. Disons que ça peut permettre de repérer les failles les plus flagrantes. Une fois que ces failles sont réparées, on peut faire un audit "sérieux" pour savoir si on peut être rassuré ou pas.
Bon, évidemment, il faut une connexion à Internet indépendante du LAN, mais c'est un autre problème.
On 21 Jun 2005 13:04:55 GMT, Dominique Blas <db@internet.invalid>:
je dois effectuer un mini audit de securité informatique pour mon entreprise
(PME de 150 personnes)
Curieux qu'une PME << sérieuse >> demande cela à un de ses salariés.
Bof... S'il s'agit vraiment d'un "mini-audit", genre vérifier si on
peut accéder directement aux répertoires partagés des PC depuis
Internet, ou autres joyeusetés du même style, pourquoi pas.
Disons que ça peut permettre de repérer les failles les plus
flagrantes. Une fois que ces failles sont réparées, on peut faire un
audit "sérieux" pour savoir si on peut être rassuré ou pas.
Bon, évidemment, il faut une connexion à Internet indépendante du LAN,
mais c'est un autre problème.
je dois effectuer un mini audit de securité informatique pour mon entreprise (PME de 150 personnes)
Curieux qu'une PME << sérieuse >> demande cela à un de ses salariés.
Bof... S'il s'agit vraiment d'un "mini-audit", genre vérifier si on peut accéder directement aux répertoires partagés des PC depuis Internet, ou autres joyeusetés du même style, pourquoi pas. Disons que ça peut permettre de repérer les failles les plus flagrantes. Une fois que ces failles sont réparées, on peut faire un audit "sérieux" pour savoir si on peut être rassuré ou pas.
Bon, évidemment, il faut une connexion à Internet indépendante du LAN, mais c'est un autre problème.
Nicob
On Thu, 23 Jun 2005 08:20:59 +0000, Fabien LE LEZ wrote:
Bof... S'il s'agit vraiment d'un "mini-audit", genre vérifier si on peut accéder directement aux répertoires partagés des PC depuis Internet, ou autres joyeusetés du même style, pourquoi pas.
En tout cas, il serait de prendre en compte la confidentialité des informations liées au SI de la société et diffusées sur le Net. Dans le cas présent, l'OP a filé une tonne d'informations intéressantes pour un attaquant potentiel. Et on peut sans peine retrouver à partir de son post quelle est la société en question ...
Nicob
On Thu, 23 Jun 2005 08:20:59 +0000, Fabien LE LEZ wrote:
Bof... S'il s'agit vraiment d'un "mini-audit", genre vérifier si on peut
accéder directement aux répertoires partagés des PC depuis Internet, ou
autres joyeusetés du même style, pourquoi pas.
En tout cas, il serait de prendre en compte la confidentialité des
informations liées au SI de la société et diffusées sur le Net. Dans le
cas présent, l'OP a filé une tonne d'informations intéressantes pour un
attaquant potentiel. Et on peut sans peine retrouver à partir de
son post quelle est la société en question ...
On Thu, 23 Jun 2005 08:20:59 +0000, Fabien LE LEZ wrote:
Bof... S'il s'agit vraiment d'un "mini-audit", genre vérifier si on peut accéder directement aux répertoires partagés des PC depuis Internet, ou autres joyeusetés du même style, pourquoi pas.
En tout cas, il serait de prendre en compte la confidentialité des informations liées au SI de la société et diffusées sur le Net. Dans le cas présent, l'OP a filé une tonne d'informations intéressantes pour un attaquant potentiel. Et on peut sans peine retrouver à partir de son post quelle est la société en question ...
