<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1033252670099820&amp;ev=PageView&amp;noscript=1">
New Call-to-action

Survivrez-vous à votre prochain audit de sécurité ?

› › › RETOUR AU BLOG

[fa icon="calendar"] 3 avr. 2018 17:13:38 / by Eric Gaudin

Les audits de sécurité deviennent de plus en plus courant pour toutes les sociétés qui manipulent des données clients voir pour toute société ayant une connexion internet. Sans élaborer sur les dernières régulations, ces audits, quand ils ne sont pas obligatoires, sont fortement recommandés.

security-audit-password-pam

Effectuer un audit de sécurité

Les audits de sécurité comportent généralement quatre étapes distinctes :

  • Audit des Procédures - Pour comprendre comment la sécurité est implémenté et si les bonnes pratiques sont respectées. Cette étape permet également de s’assurer que les politiques de sécurités suivies correspondent aux réglementations appropriées.
  • Tests de Pénétrations - Pour évaluer la résistance de votre infrastructure contre tous types d’attaques (« pentest »).
  • Audit de votre Système d’Information - Pour s’assurer que les mises à jour sont bien installées et que les systèmes sont sécurisés comme ils se doivent.
  • Audit des Logiciels - Afin d’identifier de potentielles vulnérabilités comme des « buffer overflow » ou des possibilités de « CRLF/SQL injection »
Ces audits vous aideront à identifier les faiblesses et les voies d’amélioration pour sécuriser votre infrastructure. Suivre quelques bonnes pratiques peut permettre d’éviter une déconvenue lors de ces audits. 

« Best Practices » de Sécurité pour les Audits Informatiques

Une méthode simple pour augmenter la résistance de votre infrastructure à un audit de sécurité.

Parmi ces bonnes pratiques, il est possible de citer les suivantes :

  • Identifier l’emplacement de vos données sensibles et s’assurer que les règles d’accès et de manipulation sont respectées
  • Vérifier que les patches de sécurités sont bien appliqués à vos systèmes
  • Revoir vos politiques de sécurités pour vous assurer qu'elles sont suivies et vous assurer que vos utilisateurs à privilèges n’ont pas plus de droits que nécessaire (« least privilege »)
  • Et bien sûr, être certain que les basiques soient respectés : est-ce que les accès à vos systèmes critiques sont suffisamment résistant ?

Piège de la Cybersécurité : La Gestion des Mots de Passe

La gestion des mots de passe reste un problème trop souvent rencontré par les administrateurs systèmes lors des audits.

Soyons très clair. Vous pouvez avoir mis en place toutes les protections du monde. Si il suffit de 4 heures, temps suffisant pour casser une chaîne simple de 7 caractères, pour trouver le mot de passe d’un de vos systèmes, alors vos efforts auront été inutiles. Après avoir découvert ce premier mot de passe, un intrus pourra alors élever ses privilèges, rebondir latéralement vers d’autres systèmes etc.

Il est donc critique d'avoir une politique de gestion des mots de passe. Il faut s’assurer que vos utilisateurs n’utilisent pas le même mot de passe pour plusieurs systèmes cibles, qu’ils n’utilisent pas de mot de passe faible, voir même tout simplement qu’ils puissent accéder à ces systèmes sans en connaitre le mot de passe.

En conséquence, l’utilisation d’outils de gestion automatique de mot de passe vous permettra d’éviter des déconvenues aux audits de sécurités et vous permettra d’augmenter drastiquement la sécurité de votre infrastructure.

 

WALLIX Discovery Telecharger Gratuitment

Topics: Optimizing Cyber-Insurance, Preventing Insider Threat

Eric Gaudin

Written by Eric Gaudin

Overseeing privileged access to your vital infrastructure, Product Marketing, WALLIX