Contrairement à une idée recue et entretenue, un audit de sécurité externe (scan de vulnérabilité, scan de sécurité, test de pénétration, etc.) ne doit pas concerner uniquement les systèmes critiques dans un réseau (Serveurs Web, firewall, IDS, etc.). Il doit concerner l'ensemble des systèmes les plus succeptibles d'attirer les pirates. Cet ensemble engloble non seulement les systèmes critiques du réseau mais aussi les systèmes qui ont des accès privilegiés aux systèmes critiques. Il faut toujours avoir à l'esprit que le niveau de sécurité d'un réseau est le niveau de sécurité de son maillon le plus faible.

Il est par exemple inapproprié d'auditer un système critique sans auditer la station d'administration de ce système car la compromission de cette station peut permettre à un pirate d'avoir des accès illimités au système critique. Imaginez les consequences lorsqu'un pirate prend en main la station d'administation d'un firewall!! Et bien, c'est une situation qui peut arriver si on decide d'auditer uniquement le firewall sans se soucier de sa station d'administration.

Auditer uniquement les systèmes critiques fait courir d'énormes risques au système d'information de l'entreprise. Entre autres risques, nous pouvons citer:
- La sensation d'une sécurité qui est en fait un leurre car le système critique est toujours vulnérable.
- La possibilité d'ecoute passive du réseau sans se faire reperer facilement (vol de mot de passe, capture de trafic, etc)
- La facilité d'effectuer des attaques par rebonds avec pour consequence extrême la compromission totale de tout le système d'information.

Il est donc indispensable de choisir de manière judicieuse les systèmes et équipements à auditer. Si le choix est mal fait, la sécurité du système d'information ne sera pas amélioré de manière significative même si on applique de manière rigoureuse les recommandations faites à l'issue de l'audit externe.

Choix des systèmes à auditer

Plusieurs méthodes peuvent être utilisées pour déterminer l'ensemble des noeuds à auditer dans un réseau. L'une des meilleures est:

1- Pour chaque système critique S, repertorier l'ensemble des noeuds qui lui ont accès.

2- Determiner le niveau de sécurité intrinsèque (nsi) de chacun des noeuds repertoriés (niveau de sécurité d'un point de vue système d'exploitation et applications installées). nsi peut prendre les valeurs: faible, moyen, fort.

3- Determiner pour chacun des noeuds repertoriés, leur capacité d'accès aux systèmes critiques (casc: faible, moyen, fort).

4- Determiner ensuite le dégré de confiance de chacun des noeuds repertoriés (dcn).
dcn = nsi * casc

Le dégré de confiance d'un noeud (dcn) est fort si son nsi est fort et sa casc est faible. Le dcn est faible si son nsi est faible ou moyen et sa casc est forte.

En plus des systèmes critiques, il faut auditer prioritairement les noeuds qui ont un dégré de confiance faible. Puis, selon le but recherché par l'entreprise, on pourra ensuite auditer les noeuds ayant un dégré de confiance moyen.


Conclusion

Le choix judicieux des systèmes à auditer est une étape très importante dans la mesure où elle conditionne le renforcement de la sécurité du système d'information d'une entreprise. Il n'est donc pas recommandable d'envisager de faire auditer uniquement les systèmes critiques de manière isolée. En effet, contrairement à ce que l'on peut penser, ceci ne permet pas toujours de renforcer de manière optimale leur sécurité.

Il faut donc évaluer le dégré de confiance de chacun des noeuds qui ont accès aux systèmes critiques, puis auditer (en plus des systèmes critiques) tous ceux qui ont des hauts privilèges d'accès.