Audit d'architecture

DÉMARCHE D'AUDIT D'ARCHITECTURE

L'objectif d'un audit d'architecture consiste à identifier les points faibles dans la conception, le choix des protocoles utilisés, ou le non-respect des pratiques recommandées en matière de sécurité. Ce processus repose sur une analyse documentaire suivie éventuellement d'entretiens avec les responsables de la conception, de la mise en œuvre, de l'administration, de la supervision et de la maintenance du système d'information ciblé.

En complément, des analyses supplémentaires peuvent être effectuées sur des échantillons de configurations réseau (par exemple, commutateurs, pare-feu) pour enrichir cet audit.

Pendant la réalisation de cet audit, plusieurs aspects sont examinés, notamment (mais non exclusivement) :

• Les dispositifs de défense périmétrique

• La stratégie de défense en profondeur

• Le cloisonnement

• Les violations potentielles de protocole

• La gestion des flux de données

• Les politiques de gestion des changements, de sauvegarde et de journalisation

• Le plan de reprise d'activité

La méthodologie adoptée s'appuie notamment sur les différents guides et recommandations techniques de l'ANSSI. À chaque niveau de l'infrastructure, une attention particulière est portée aux exigences de Sécurité des Systèmes d'Information (SSI), notamment la disponibilité, l'intégrité, la confidentialité et la traçabilité.

La satisfaction des besoins en matière de Défense d'Informations Classifiées et de Traitements est évaluée en tenant compte des principes généraux de la SSI, tels que le principe de moindre privilège et la défense en profondeur, ainsi que des guides et référentiels pertinents, notamment le Référentiel Général de Sécurité de l'ANSSI. Les contraintes opérationnelles éventuelles et les besoins spécifiques des métiers sont également pris en compte par les auditeurs Open BPO dans l'application de ces guides et recommandations.