Depuis la revue de failles logicielles connues jusqu'aux simulations d'intrusion, les procédures utilisées lors d'un audit ont pour but d'évaluer la vulnérabilité du réseau interne d'une entreprise, la sûreté de sa connexion au réseau mondial, ainsi que de faire l'inventaire des dommages que pourraient causer d'éventuelles attaques.

Une prévention au quotidien
La maintenance d'un système de protection se fait avant tout régulièrement, sous peine d'être très rapidement dépassé par la charge, de nombreuses failles étant en effet déclarées chaque semaine par les éditeurs, ce qui nécessite la mise en place de patches.

A cette fin, il est nécessaire de réaliser au moins une fois par mois un test de vulnérabilité, capable d'analyser le niveau de protection de l'infrastructure face aux attaques les plus courantes, notamment celles qui exploitent des failles logicielles connues. Il convient également d'appliquer cette procédure immédiatement après la publication de la découverte d'une vulnérabilité. Attention toutefois à conduire rigoureusement un tel test pour qu'il reste un test, et non... une attaque grandeur nature qui provoque l'effondrement du système !

A ce test mensuel peuvent venir s'ajouter, tous les trimestres, un contrôle point par point de l'état des mises à jour des applications utilisées, et une vérification du blocage des points susceptibles d'être attaqués, le tout à l'aide des Security Checklists publiés par les éditeurs de logiciels. outre cette fréquence trimestrielle, l'installation ou la mise à jour d'application nécessite de conduire un test.

Conduire des audits externes
Recueillir l'avis de professionnels de la sécurité en réalisant des audits externes de façon annuelle est également une garantie de l'efficacité des protections mises en place... de tells "visites médicales" des systèmes informatiques viennent en effet compléter très efficacement les opérations de maintenances conduites régulièrement par les administrateurs.

L'atout majeur, quoique coûteux, de telles interventions est la mise en place de tests d'intrusions, des simulations de piratage des systèmes. Ils se déclinent selon trois formes: le premier type de test est réalisé depuis un poste extérieur à l'entreprise, en condition "boîte noire", c'est à dire sans avoir recueilli d'information préalable sur l'infrastructure à pirater. Au contraire, l'intrusion de type "boîte blanche" s'appuie sur une meilleure connaissance du réseau, et permet d'évaluer le potentiel de destruction en cas d'attaque de personnes en contact avec l'entrepise et désirant lui nuire. Enfin, puisqu'il est nécessaire de tout envisager, la dernière simulation a lieu depuis un poste interne pour tester l'efficacité de la protection en cas d'attaque de la part d'employés ou d'invités malveillants.

La nécessité de l'information
Si ces procédures consistent en grande partie en une remise à niveau technique des installations techniques, la part de l'information du personnel est à ne pas négliger. Elle passe principalement par la publication des recommandations et des protocoles à appliquer lors de l'utilisation des postes de travail, ainsi que par des conférences et formation, généralement proposées par les sociétés d'audit de sécurité.

Outre ces politiques de sensibilisation, il est primordial de ne pas oublier que la sécurité se joue aussi à travers la réglementation et la limitation de l'accès aux équipements et aux postes de travail via des procédures d'identification des utilisateurs est une garantie majeure de sécurité. De telles mesures peuvent également être mises en place lors de la conduite d'audits externes.