Audit de Sécurité des Systèmes d'Information (ASSI)

Il est souvent fait mention d’audits de vulnérabilité et de tests d’intrusion. La subtilité entre ces deux notions est souvent ignorée ou mal comprise.
Pour faire simple, un audit de sécurité c’est quand vous voulez vous mettre en conformité avec l’état de l’art et un test d’intrusion c’est quand vous voulez mettre à l’épreuve vos défenses.

Audit de vulnérabilité


Lors d’un audit de vulnérabilité, le but premier de l’expert est d’obtenir le plus d’informations sur la configuration des cibles de sorte à juger comment elles respectent les bonnes pratiques de sécurité. Pour cela, il peut combiner plusieurs approches:

  • Questionner le client
  • Disposer d’un accès privilégié (compte SSH sudo ou Admin du domaine) pour vérifier par lui-même
  • Déduire ces informations par ses propres moyens (comme le ferait un pirate)

Une fois qu’il a mesuré tous les écarts par rapport à l’état de l’art (les vulnérabilités), il va leur conférer un niveau de risque qui dépend des probabilités qu’un attaquant les exploite et de l’impact subi le cas échéant.

Voir notamment notre Guide du scoring des vulnérabilités.

Vous pourrez tirer de ces informations un plan d’action priorisé pour améliorer votre sécurité. Chaque vulnérabilité recensée sera accompagnée d’une préconisation quant au meilleur moyen de la corriger.

Les avantages d’un audit de vulnérabilité sont:

  • Le but est de découvrir le plus de vulnérabilités pour laisser le moins d’angles morts possibles, c’est donc l’approche la plus exhaustive
  • En travaillant en intelligence avec les équipes du client, l’audit de sécurité peut trouver en quelques minutes des vulnérabilités qu’un pirate (ou un test d’intrusion) mettrait plusieurs jours à trouver. C’est donc une économie de temps considérable

Les inconvénients sont :

  • Les risques d’une vulnérabilité peuvent demeurer abstraits pour le client car l’auditeur ne consacrera qu’un temps minime à l’exploitation. Son but est de couvrir le plus de vulnérabilités, pas de montrer ce qu’elles peuvent provoquer. Donc il faudra lui faire confiance quant à la gravité d’une vulnérabilité qu’il a relevée
  • L’auditeur compare la cible qu’il audite à l’état de l’art, il se cantonera donc à identifier les vulnérabilités publiquement connues. Des failles peuvent donc lui échapper (une vulnérabilité Web sur un intranet développé en interne par exemple).

Quand faire un audit de vulnérabilité ?

  • Quand on veut démontrer un engament de moyens
  • Quand on commence à aborder/intégrer le sujet de la sécurité

Test d’intrusion


Le test d’intrusion consiste à reproduire le cheminement d’un attaquant réel.
Il est courant qu’il soit préalablement définit avec le client une liste des ressources sensibles dont l’accès par l’expert démontrera la vulnérabilité du SI (fiches de paye ou accès à la boite mail du PDG, mot de passe Admin du domaine, etc.). L’expert cherchera donc les vulnérabilités les plus susceptibles de lui cotroyer cet accès.

Généralement les tests d’intrusion sont beaucoup plus extensifs en termes de moyens. L’expert peut notamment recourir à l’intrusion physique et au Social Engineering vis à vis des employés. La convention de ne pas tenter de déni de service reste tout de même de rigueur (sauf demande explicite du client).
Comme l’expert reproduit les conditions initiales d’un véritable attaquant il ne dispose d’aucune information prélable sur la cible.
Le revers de la médaille est qu’il ne s’interdira aucune cible. Vous ne pourrez pas lui dire “évitons de toucher à ce serveur il est un peu instable or il est critique” tout comme vous ne pouvez pas le dire aux pirates.

Le temps alloué à l’audit doit être représentatif de ce que vos vraies adversaires sont prêts à dépenser. Si le test d’intrusion ne donne rien après 3 jours mais que vous êtes une banque et que vos ennemis sont prêts à passer 3 semaines pour chercher des vulnérabilités, vous n’aurez pas une vision correcte de votre risque.

Le rapport du test d’intrusion mentionnera le cheminement qu’a suivi l’expert via la chaîne des vulnérabilités qu’il a exploitées et celles qui se sont révélées des cul-de-sac. Son but est de démontrer qu’il existe UN moyen de pirater l’entreprise. Le rapport n’a pas pour vocation de tous les énumérer. Le rapport présente donc un scénario d’attaque mais cela n’exclut pas que d’autres peuvent exister.
Pour chaque vulnérabilité, l’expert précisera les moyens de la corriger.

Les avantages d’un test d’intrusion sont:

  • Le résultat est palpable. Si l’expert apporte les données sensibles qui étaient la cible de l’audit, peut importe si l’on ne comprend pas tout le procédé technique qu’il a suivi, on sait que l’on est vulnérable.
  • L’expert utilise des techniques d’intrusion non simulées de sorte qu’il peut être amené à découvrir des vulnérabilités inconnues (0day) qu’un audit de sécurité n’aurait pas pu relever.

Les inconvénients sont :

  • L’expert est là pour démontrer si l’entreprise est vulnérable ou non, pas pour recenser TOUS les chemins par lesquels elle est vulnérable. Pour passer d’une étape de son attaque à une autre, l’expert n’a besoin que d’une seule vulnérabilité exploitée avec succès. S’il y avait d’autres vulnérabilités au même niveau, elles resteront ignorées.
  • Le résultat d’un test d’intrusion peut paraître ingrat vis-à-vis du travail des équipes informatiques. Vous pouvez avoir 99% de votre parc sans vulnérabilité (c’est à dire un excellent niveau) et mais être sévèrement perforé à cause d’une ou deux machines.

Quand faire un test d’intrusion ?

  • Quand on veut démontrer un engament de résultats
  • Quand on a intégré la sécurité informatique depuis plusieurs années et que l’on a déjà réalisé des audits de sécurité

La méthode A*


Un synthèse graphique illustrant la différence entre ces deux approches est la suivante:

Test intrusion vs Audit securite

Dans les faits, c’est souvent un approche hybride qui est choisie afin de coller au plus près de ce qu’attend le client.

La prestation ASSI (Audit de Sécurité du Système d’Information) d’Astar combine l’audit de vulnérabilité et le test d’intrusion.
En effet, recenser toutes les vulnérabilités de manière exhaustive n’est pas tout le temps pertinent. Dans un réseau qui n’a jamais encore effectué d’audit de sécurité, il y aura plusieurs centaines de vulnérabilités remontées, ce qui est peu exploitable pour le client.
Cependant ces centaines de vulnérabilités peuvent tenir à une dizaine de causes maximum: absence de politique d’application des patch, absence de revue des configuation, etc. Ce sont ces causes sur lesquelles Astar se focalisera. Ainsi le client pourra traiter les problèmes à la racine et corriger plusieurs dizaines de vulnérabilités par une seule mise en place.

Notre philosophie d’audit est: on arrête de remonter des vulnérabilités quand il y a plus d’un an pour mettre en place les corrections.
Dès lors, nous utilisons le temps restant pour démontrer les risques réels des vulnérabilités remontées. Nous exploitons donc les plus importantes afin de réaliser rebonds, vol de données, vol de mots de passe, etc. qui serviront à illustrer les dangers palpables pour l’entreprise.