Audit Système

1. 2 Audit système

Dans ce type d’intervention, toutes les recherches sont orientées sur la bonne configuration et la sécurité d'un système unique:

• Plateforme web (Portail e-business, portail GPAO/GMAO...)
• Solution de sécurité réseau (Routeur, Firewall …)
• Serveur de production (SAP, base de données, serveur hébergeant une application métier …)
• Système embarqué

Nous intervenons généralement, via cette procédure, pour tout système destiné à être mis en production de façon industrielle ou sur des serveurs servant de support à des services on-line et à des applicatifs métiers.

Comme lors d’un audit d'infrastructure, les points examinés sont :

• Les règles d'accès réseau au système.
• Les erreurs et faiblesses dans la configuration du système et des services.
• Les vulnérabilités de type applicatif dans les services et programmes internes.
• Les failles dans les pages web dynamiques.

Ce type de test peut être effectué :

• En boîte blanche, avec un accès limité ou total sur la plateforme, afin d'être sûrs de pouvoir découvrir toutes les vulnérabilités et autres problèmes potentiels, et assurer au système le maximum de sécurité.
• En boîte noire, sous la forme de test de pénétration. Ce test est alors effectué depuis notre laboratoire parisien sans connaissance préalable du système, et en prenant éventuellement en compte l’environnement informatique associé au système (règle de firewalling...)