Audit d'architecture
Rechercher des faiblesses dans la conception du système d'information
DÉMARCHE D'AUDIT D'ARCHITECTURE
L'objectif d'un audit d'architecture consiste à identifier les points faibles dans la conception, le choix des protocoles utilisés, ou le non-respect des pratiques recommandées en matière de sécurité. Ce processus repose sur une analyse documentaire suivie éventuellement d'entretiens avec les responsables de la conception, de la mise en œuvre, de l'administration, de la supervision et de la maintenance du système d'information ciblé.
En complément, des analyses supplémentaires peuvent être effectuées sur des échantillons de configurations réseau (par exemple, commutateurs, pare-feu) pour enrichir cet audit.
Pendant la réalisation de cet audit, plusieurs aspects sont examinés, notamment (mais non exclusivement) :
Les dispositifs de défense périmétrique
La stratégie de défense en profondeur
Le cloisonnement
Les violations potentielles de protocole
La gestion des flux de données
Les politiques de gestion des changements, de sauvegarde et de journalisation
Le plan de reprise d'activité
La méthodologie adoptée s'appuie notamment sur les différents guides et recommandations techniques de l'ANSSI. À chaque niveau de l'infrastructure, une attention particulière est portée aux exigences de Sécurité des Systèmes d'Information (SSI), notamment la disponibilité, l'intégrité, la confidentialité et la traçabilité.
La satisfaction des besoins en matière de Défense d'Informations Classifiées et de Traitements est évaluée en tenant compte des principes généraux de la SSI, tels que le principe de moindre privilège et la défense en profondeur, ainsi que des guides et référentiels pertinents, notamment le Référentiel Général de Sécurité de l'ANSSI. Les contraintes opérationnelles éventuelles et les besoins spécifiques des métiers sont également pris en compte par les auditeurs Open BPO dans l'application de ces guides et recommandations.