jssi

JSSI 2012 - Le rôle de la prestation de services en sécurité

g4l4drim

g4l4drim

2 min read

Philippe Bernard (RSSI MBDA)

« Le rôle de la prestation de services en sécurité »

L’objectif d’un audit est de faire un point, un bilan, vérifier l’évolution (positive ou non) de son SI et s’en servir comme argument pour justifier des investissements dans tel ou tel projet afin de le sécuriser.

Les RSSI sont souvent obligés de faire appel à un prestataire pour des raisons de compétences, mais aussi d’impartialité. Une méthodologie (erm…) et bien sur une plus grande expérience. L’intérêt aussi, c’est d’obtenir l’attention de la direction pour débloquer des budgets clefs.

Le choix se fait souvent sur des critères de réputation de la société, voir sur la réputation d’un individu particulier, et parfois les écarts entre les auditeurs d’une même société peuvent être importants : relationnel, compétences, implication…
L’actionnariat peut avoir son importance, car les contraintes de la défense implique un actionnariat 100% français. Parfois les propositions reçues sont énormes (200 pages !!!) ou ne font que 2 pages et n’apportent rien sur la méthodologie. Les commerciaux peuvent faire fort aussi, allant jusqu’à apporter les résultats d’audit d’une autre société sans aucun effort d’anonymisation (!!!). Les certifications sont plutôt secondaires finalement.

Sur le début de l’audit, la définition de la cible (le fameux périmètre) est très importante, ainsi que la méthodologie employée. L’identification des composants critiques est importante, afin d’éviter de les crasher à un moment clef. Il ne faut pas négliger la prise de connaissance de l’auditeur sur le contexte, pour qu’il comprenne bien les enjeux de l’audit et les contraintes associés au contexte (confidentialité des données etc.) La tendance est à fournir le matériel pour l’audit et de l’effectuer dans l’enceinte de l’entreprise.

Bien entendu, pendant l’audit, il est important d’obtenir l’acceptation des équipes qui sont auditées, et rester à l’écoute des besoins de l’auditeur.

Pour la restitution, il faut éviter de raconter toute l’histoire du pentest, et s’assurer que l’auditoire peut comprendre les résultats de l’audit et leur impact. Se mettre à niveau de l’auditoire et rapporter aussi bien les points négatifs que les points positifs pour encourager les équipes dans leur démarche d’amélioration.
Pour ce qui est des préconisation, l’analogie est faite avec une histoire de porte blindée dans une maison en rez-de-chaussé ou les fenêtres ne sont elle pas blindées :). De même dans les préconisations, il faut s’assurer de l’homogénéité de la sécurité dans le SI, et faire attention à ne pas introduire d’autres failles lorsqu’on met en place la solution, failles parfois induites par le comportement des utilisateurs vis à vis de la nouvelle solution.

Pour les RSSI, il faut bien définir ce qui est sensible, et ce qui ne l’est pas, Impliquer l’équipe dans l’audit et s’assurer qu’ils comprennent bien les enjeux de ce dernier.

Pour les auditeurs, faites vous accepter par les audités, échangez et transmettez le savoir, impliquez les audités dans l’audit, le résultat n’en sera que plus efficace.

Read more