Une journée d'audit ordinaire - Actes du SSTIC
Une journée d'audit ordinaire - Actes du SSTIC
Une journée d'audit ordinaire - Actes du SSTIC
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Une</strong> <strong>journée</strong><br />
d’audit<br />
<strong>ordinaire</strong><br />
L. Estieux<br />
C. Estieux<br />
Plan<br />
Préparation<br />
Tests<br />
d’intrusion<br />
externes<br />
Audit dans les<br />
locaux de<br />
l’audité<br />
Sécurité<br />
physique<br />
Déroulement des<br />
entretiens<br />
Tests<br />
d’intrusions<br />
internes<br />
Conclusion<br />
<strong>Une</strong> <strong>journée</strong> d’audit <strong>ordinaire</strong><br />
Céline et Laurent Estieux<br />
SGDN/DCSSI/Bureau Inspections en SSI<br />
<strong>SSTIC</strong>, 3 juin 2005<br />
Coordonnées
Plan de l’exposé<br />
<strong>Une</strong> <strong>journée</strong><br />
d’audit<br />
<strong>ordinaire</strong><br />
L. Estieux<br />
C. Estieux<br />
Plan<br />
Préparation<br />
Tests<br />
d’intrusion<br />
externes<br />
Audit dans les<br />
locaux de<br />
l’audité<br />
Sécurité<br />
physique<br />
Déroulement des<br />
entretiens<br />
Tests<br />
d’intrusions<br />
internes<br />
Conclusion<br />
Coordonnées<br />
1 Préparation<br />
2 Tests d’intrusion externes<br />
3 Audit dans les locaux de l’audité<br />
Sécurité physique<br />
Déroulement des entretiens<br />
Tests d’intrusions internes<br />
4 Conclusion<br />
5 Coordonnées
Réunion de préparation<br />
<strong>Une</strong> <strong>journée</strong><br />
d’audit<br />
<strong>ordinaire</strong><br />
L. Estieux<br />
C. Estieux<br />
Plan<br />
Préparation<br />
Tests<br />
d’intrusion<br />
externes<br />
Audit dans les<br />
locaux de<br />
l’audité<br />
Sécurité<br />
physique<br />
Déroulement des<br />
entretiens<br />
Tests<br />
d’intrusions<br />
internes<br />
Conclusion<br />
Objectifs :<br />
bien cerner les origines de la demande d’audit ;<br />
définir le périmètre ;<br />
définir les actions à mener ;<br />
identifier les points de contact ;<br />
proposer un planning.<br />
Coordonnées
Tests d’intrusion externes<br />
<strong>Une</strong> <strong>journée</strong><br />
d’audit<br />
<strong>ordinaire</strong><br />
L. Estieux<br />
C. Estieux<br />
Plan<br />
Préparation<br />
Tests<br />
d’intrusion<br />
externes<br />
Audit dans les<br />
locaux de<br />
l’audité<br />
Sécurité<br />
physique<br />
Déroulement des<br />
entretiens<br />
Tests<br />
d’intrusions<br />
internes<br />
Conclusion<br />
Interaction avec le client :<br />
identifier la cible ;<br />
point de contact pour la prestation.<br />
Résultats :<br />
souvent peu probants via une attaque directe ;<br />
⇒ utilisation d’un cheval de Troie avec l’accord de<br />
l’audité ;<br />
réalisation d’un premier bilan avec le client.<br />
Coordonnées
Audit dans les locaux<br />
<strong>Une</strong> <strong>journée</strong><br />
d’audit<br />
<strong>ordinaire</strong><br />
L. Estieux<br />
C. Estieux<br />
Plan<br />
Préparation<br />
Tests<br />
d’intrusion<br />
externes<br />
Audit dans les<br />
locaux de<br />
l’audité<br />
Sécurité<br />
physique<br />
Déroulement des<br />
entretiens<br />
Tests<br />
d’intrusions<br />
internes<br />
Conclusion<br />
prise en compte de la sécurité physique ;<br />
réalisation d’entretiens ;<br />
réalisation de relevés techniques voire de tests d’intrusion<br />
internes.<br />
Coordonnées
Sécurité physique<br />
<strong>Une</strong> <strong>journée</strong><br />
d’audit<br />
<strong>ordinaire</strong><br />
L. Estieux<br />
C. Estieux<br />
Plan<br />
Préparation<br />
Tests<br />
d’intrusion<br />
externes<br />
Audit dans les<br />
locaux de<br />
l’audité<br />
Sécurité<br />
physique<br />
Déroulement des<br />
entretiens<br />
Tests<br />
d’intrusions<br />
internes<br />
Conclusion<br />
accès au bâtiment ;<br />
accès à la salle serveur, aux locaux techniques ;<br />
sécurité incendie, dégâts des eaux, . . . ;<br />
restauration (sauvegardes, procé<strong>du</strong>res, . . .).<br />
Coordonnées
Déroulement des entretiens<br />
<strong>Une</strong> <strong>journée</strong><br />
d’audit<br />
<strong>ordinaire</strong><br />
L. Estieux<br />
C. Estieux<br />
Plan<br />
Préparation<br />
Tests<br />
d’intrusion<br />
externes<br />
Audit dans les<br />
locaux de<br />
l’audité<br />
Sécurité<br />
physique<br />
Déroulement des<br />
entretiens<br />
Tests<br />
d’intrusions<br />
internes<br />
Conclusion<br />
rencontre de plusieurs personnes à différents niveaux<br />
(stratégique, pilotage et technique) ;<br />
différents sujets abordés :<br />
stratégie de SSI (PSSI, SDSSI, organisation, ...)<br />
administration quotidienne axée SSI (gestion comptes,<br />
mots de passe, mises à jour, . . .)<br />
paramétrages techniques (règles de pare-feu, fichiers de<br />
configuration de serveurs, . . .)<br />
Coordonnées
Tests d’intrusions internes<br />
<strong>Une</strong> <strong>journée</strong><br />
d’audit<br />
<strong>ordinaire</strong><br />
L. Estieux<br />
C. Estieux<br />
Plan<br />
Préparation<br />
Tests<br />
d’intrusion<br />
externes<br />
Audit dans les<br />
locaux de<br />
l’audité<br />
Sécurité<br />
physique<br />
Déroulement des<br />
entretiens<br />
Tests<br />
d’intrusions<br />
internes<br />
Conclusion<br />
définition <strong>du</strong> périmètre ;<br />
objectif :<br />
sensibilisation forte des équipes,<br />
⇒ devenir administrateur de domaine/root le plus<br />
rapidement possible, accéder à des données (dépend de<br />
l’objectif).<br />
Coordonnées
Conclusion<br />
<strong>Une</strong> <strong>journée</strong><br />
d’audit<br />
<strong>ordinaire</strong><br />
L. Estieux<br />
C. Estieux<br />
Plan<br />
Préparation<br />
Tests<br />
d’intrusion<br />
externes<br />
Audit dans les<br />
locaux de<br />
l’audité<br />
Sécurité<br />
physique<br />
Déroulement des<br />
entretiens<br />
Tests<br />
d’intrusions<br />
internes<br />
Conclusion<br />
les vulnérabilités les plus récurrentes sont présentes dans<br />
les actes,<br />
l’expérience de l’auditeur apprend vite à ne pas se fier aux<br />
apparences. . .<br />
Coordonnées
Coordonnées<br />
<strong>Une</strong> <strong>journée</strong><br />
d’audit<br />
<strong>ordinaire</strong><br />
L. Estieux<br />
C. Estieux<br />
Plan<br />
Préparation<br />
Tests<br />
d’intrusion<br />
externes<br />
Audit dans les<br />
locaux de<br />
l’audité<br />
Sécurité<br />
physique<br />
Déroulement des<br />
entretiens<br />
Tests<br />
d’intrusions<br />
internes<br />
Conclusion<br />
Céline et Laurent Estieux<br />
SGDN/DCSSI/SDO/Bureau Inspections en SSI<br />
celine.estieux@sgdn.pm.gouv.fr<br />
laurent.estieux@sgdn.pm.gouv.fr<br />
Coordonnées