Aller au contenu
  1. Cyber-Posts-Audits/

PASSI

·802 mots·4 mins
Cybersécurité PASSI PASSI Préparation
Amine Louzar
Auteur
Amine Louzar
Passionné de cybersécurité et de développement
Sommaire

Introduction #

Tout d’abord, PASSI, dans le cadre de l’ANSSI, fait référence à une méthode d’évaluation de la sécurité des systèmes d’information. Le terme “PASSI” signifie “Prestation d’Assistance en matière de Sécurité des Systèmes d’Information”. Il s’agit d’une prestation proposée par l’ANSSI qui permet aux organisations publiques ou privées d’évaluer la sécurité de leurs systèmes d’information en faisant appel à des experts certifiés par l’ANSSI.

Je vais passer les 5 portées certifiantes par l’ANSSI, et pour cela, je rédige une série d’articles qui ont pour objectif ce synthétiser les différents points découverts tout le long.

ISO 19011 #

L’ISO 19011 est une norme internationale qui fournit des lignes directrices pour l’audit de systèmes de management, y compris les audits liés à la sécurité des systèmes d’information. Cette norme joue un rôle crucial dans le contexte du PASSI, car elle définit les principes et les processus fondamentaux de l’audit, ainsi que les compétences requises pour mener à bien ces évaluations. Pour réussir le PASSI, les auditeurs doivent être familiers avec les directives de l’ISO 19011 et être en mesure de les appliquer de manière cohérente tout au long du processus d’audit. Cette norme met l’accent sur des éléments tels que la planification de l’audit, la collecte de preuves, l’analyse des résultats, la communication des conclusions, et la surveillance des actions correctives. Se conformer à l’ISO 19011 garantit que l’audit est mené de manière méthodique, impartiale et efficace, ce qui contribue à l’obtention de résultats fiables et pertinents.

Audit Organisationnel #

L’audit organisationnel est la première étape cruciale dans la préparation au PASSI. Elle exige une compréhension approfondie des processus et des politiques de sécurité de l’organisation. Vous devrez vous familiariser avec les normes de sécurité en vigueur, telles que ISO 27001, et comprendre leur mise en œuvre dans l’entreprise. Il est important de se concentrer sur l’identification et l’évaluation des risques liés à la sécurité des systèmes d’information. Vous devrez également analyser la gouvernance de la sécurité, les rôles et les responsabilités des différents acteurs impliqués dans la sécurité de l’organisation. La documentation et la communication des résultats sont des compétences essentielles pour cette portée.

Audit de Configuration #

L’audit de configuration implique l’évaluation des configurations techniques des systèmes, des applications et des périphériques utilisés dans l’organisation. Pour cette étape, il est essentiel d’acquérir une connaissance approfondie des meilleures pratiques de sécurité pour la configuration des systèmes d’exploitation, des bases de données, des pare-feu, des routeurs, etc. Vous devrez identifier les paramètres de sécurité mal configurés, les vulnérabilités potentielles et les éventuelles erreurs de configuration. Une expertise en outils d’audit de sécurité, tels que Nessus ou OpenVAS, peut s’avérer précieuse pour automatiser certaines tâches de découverte et d’analyse des vulnérabilités.

Audit d’Architecture #

Dans cette étape, vous examinerez en détail l’architecture globale du système d’information de l’organisation. Cela implique de comprendre la conception des réseaux, des serveurs, des applications et des services, ainsi que les interactions entre eux. Une solide connaissance des principes de conception sécurisée est nécessaire pour identifier les éventuelles failles de sécurité et les points de vulnérabilité dans l’architecture. Vous devrez également être capable d’évaluer la résilience du système face aux attaques potentielles et de proposer des mesures d’amélioration pour renforcer la sécurité de l’infrastructure.

Audit de Code #

L’audit de code est une étape fondamentale pour évaluer la sécurité des applications développées en interne ou utilisées par l’organisation. Vous devrez vous familiariser avec les principaux langages de programmation utilisés dans l’entreprise et comprendre les meilleures pratiques de sécurité liées au développement logiciel, telles que l’évitement des injections SQL, la gestion des sessions sécurisées, la validation des entrées, etc. L’utilisation d’outils d’analyse statique et dynamique du code, comme SonarQube ou OWASP ZAP, est essentielle pour identifier les vulnérabilités et les erreurs de programmation susceptibles d’être exploitées par des attaquants.

Audit Test d’Intrusion #

L’audit test d’intrusion, souvent appelé “pentest”, est l’étape finale et la plus pratique du PASSI. Elle consiste à simuler une attaque réelle sur les systèmes de l’organisation pour évaluer leur résistance face à une intrusion potentielle. Pour cette portée, vous devrez vous former aux méthodes d’attaque courantes, telles que l’ingénierie sociale, le scan de ports, l’exploitation de vulnérabilités, etc. Vous devrez également apprendre à documenter rigoureusement chaque étape du test et à fournir des recommandations pour améliorer la sécurité des systèmes testés. Une bonne connaissance des lois et réglementations en matière de cybersécurité est essentielle, car les tests d’intrusion doivent être effectués de manière légale et éthique.

Conclusion #

Je vais rédiger, 1 article par portée qui résume globalement mes découvertes sur les différentes portées. Chaque article qui suivera celui-ci sera principalement composé de : - Objectif de l’audit - Suite à quel type d’audit - Méthodologie d’audit - Déroulement de l’audit - Attendus clients - Quelques vulnérabilités types de l’audit - Documentation pratique ANSSI (ou autre)