Un audit de sécurité informatique est une évaluation technique systématique et mesurable de la manière dont la politique de sécurité de l'organisation est utilisée sur un site spécifique. Les auditeurs de la sécurité informatique travaillent avec la connaissance complète de l'organisation, parfois avec une information interne considérable, afin de comprendre les ressources à auditer.
Les audits de sécurité ne se font pas en vase clos; ils font partie du processus en cours de définition et de maintien de stratégies de sécurité efficaces. Ce n'est pas simplement une activité de salle de conférence. Cela concerne tous les utilisateurs des ressources informatiques de l’organisation.
Les auditeurs de la sécurité informatique effectuent leur travail par le biais d'entretiens personnels, d'analyses de vulnérabilités, d'un examen des paramètres du système d'exploitation, d'analyses des partages réseau et de données historiques. Ils s'intéressent principalement à la manière dont les politiques de sécurité - le fondement de toute stratégie de sécurité organisationnelle efficace - sont réellement utilisées. Les audits de sécurité doivent tenter de répondre à un certain nombre de questions clés:
Les mots de passe sont-ils difficiles à déchiffrer?
Des listes de contrôle d'accès (ACL) sont-elles en place sur les périphériques réseau pour contrôler qui a accès aux données partagées?
Existe-t-il des journaux d’audit permettant d’enregistrer qui accède aux données?
Les journaux d'audit sont-ils examinés?
Les paramètres de sécurité des systèmes d'exploitation sont-ils conformes aux pratiques de sécurité acceptées dans l'industrie?
Toutes les applications et tous les services informatiques inutiles ont-ils été éliminés pour chaque système?
Ces systèmes d'exploitation et applications commerciales sont-ils corrigés aux niveaux actuels?
Comment les supports de sauvegarde sont-ils stockés? Qui y a accès? Est-ce que c'est à jour?
Existe-t-il un plan de reprise après sinistre? Les participants et les parties prenantes ont-ils déjà répété le plan de reprise après sinistre?
Existe-t-il des outils cryptographiques adéquats pour régir le cryptage des données, et ces outils ont-ils été configurés correctement?
Les applications personnalisées ont-elles été conçues dans un souci de sécurité?
Comment ces applications personnalisées ont-elles été testées pour les failles de sécurité?
Comment les modifications de configuration et de code sont-elles documentées à tous les niveaux? Comment ces dossiers sont-ils examinés et qui mène l'examen?
Ce ne sont là que quelques exemples des questions qui peuvent et doivent être évaluées lors d’un audit de sécurité. En répondant à ces questions de manière honnête et rigoureuse, une organisation peut évaluer de manière réaliste le niveau de sécurité de ses informations vitales.
En tant que petite entreprise, votre liste de contrôle d’audit n’est peut-être pas aussi détaillée, mais c’est là certaines des questions que vous voudriez poser à un auditeur externe au cas où vous décideriez de faire auditer votre système.
No comments:
Post a Comment