|
LES PROGRAMMES D'AUDIT Le JDNet Solutions met à la disposition de ses lecteurs, pour les aider dans leur démarche d'autoévaluation, des "programmes d'audit". Leur contenu a été développé et mis en oeuvre par des consultants.
Objectif
de contrôle : sécurité des réseaux
|
|
0/
Préalable
|
Oui/Non
|
Q1
|
L'ensemble
des composants réseaux sont-ils correctement répertoriés
dans un outil de gestion de parc ? Un outil de gestion de
parc permet de recenser les ressources pour faciliter le
travail de sécurisation.
|
Q2
|
Avant
toute chose, s'est-on assuré que l'on possède une licence
pour chacun des logiciels utilisés sur chaque poste de de
l'entreprise ? Vous devez être en mesure de produire les
licences (la facture peut s'avérer suffisante) de chaque
poste de travail. Cela concerne également les logiciels
livrés gratuitement avec le matériel. Assurez-vous dans
ce cas également que vous disposez d'une licence, et que
le produit est bien spécifié sur la facture.
|
Q3
|
Si
votre contrat de licence prévoit une autorisation de "n"
utilisateurs simultanés, disposez-vous d'un outil permettant
de bloquer les connexions à partir de "n+1" utilisateurs
? Ce type d'outil permet de s'assurer que le serveur est
en conformité avec le contrat de licence et permet dans
certains cas d'éviter l'achat de licences inutiles.
|
Q4
|
A-t-on
consulté le département juridique pour s'assurer que l'on
est en conformité avec la loi ?
|
|
|
1/
Contrôle d'accès
|
|
Q5
|
Utilisez-vous
un économiseur d'écran avec mot de passe ? Lorsqu'une personne
s'absente de son bureau, si le poste reste connecté au réseau
un individu pourrait s'introduire avec des droits qui ne
sont pas les siens.
|
Q6
|
La
gestion des mots de passe est-elle rigoureuse ? - chaque
utilisateur doit disposer d'un mot de passe. - le mot de
passe doit comporter au minimum 5 caractères dont un numérique.
- il doit être changé tous les 30 ou 60 jours. Il est primordial
de ne pas utiliser des mots de passe triviaux (prénom de
sa famille, hobby, nom du chien...). Il faut aussi supprimer
les mots de passes standard (system, oper, admin, login...)
souvent livrés avec le système.
|
Q7
|
Le
réseau est-il ouvert à des intervenants extérieurs (SSII,
consultants) ? L'ouverture à des tiers constitue toujours
un risque, il faut dans ce cas ne leur attribuer que des
droits minimum, leur faire signer une décharge et surveiller
leur activité.
|
Q8
|
Utilisez-vous
les fonctions de log et d'audit de votre système ? Les fonctions
systèmes de sécurité sont généralement sous-utilisées pour
des motifs de performance. Veillez à ce que les log soient
activées et étudiez les rapports fournis pour détecter d'éventuelles
anomalies.
|
Q9
|
En
cas de connexions externes, les ports sont-ils protégés
par un système de rappel automatique ? Les mots de passe
pouvant être piratés par des personnes malveillantes, il
est préférable de se doter d'un modem à rappel automatique
: lorsque l'utilisateur autorisé se connecte, le modem raccroche
et rappelle l'utilisateur concerné.
|
Q10
|
En
cas de connexions externes, les ports sont-ils protégés
par un système de rappel automatique ? Les mots de passe
pouvant être piratés par des personnes malveillantes, il
est préférable de se doter d'un modem à rappel automatique
: lorsque l'utilisateur autorisé se connecte, le modem raccroche
et rappelle l'utilisateur concerné.
|
|
|
2/
Sauvegardes
|
|
Q11
|
Les
données critiques des disques durs des postes de travail
sont-elles régulièrement sauvegardées ? Les sauvegardes
doivent être faites soit localement par l'utilisateur, soit
en centralisé à l'aide d'outils de sauvegarde. Une sauvegarde
quotidienne pour les fichiers-clé, une sauvegarde par incrément
chaque semaine et une sauvegarde complète par mois.
|
Q12
|
Les
données du serveur sont-elles rigoureusement sauvegardées
? Une sauvegarde par incrément doit être faite quotidiennement
ou plusieurs fois par jour et une sauvegarde complète chaque
semaine.
|
Q13
|
Les
sauvegardes complètes sont-elles stockées hors-site dans
un lieu sécurisé contre le vol et les accès non autorisés
?
|
Q14
|
Les
fichiers obsolètes sont-ils régulièrement purgés ? Les utilisateurs
disposent-ils d'emplacements limités sur le serveur ? Conserver
des fichiers superflus constitue une dépense inutile. En
matière de sécurité, cela allonge inutilement les temps
de sauvegarde au point parfois de dissuader la prise de
sauvegardes.
|
Q15
|
Le
système de sauvegarde est-il régulièrement testé pour vérifier
sa qualité ? En général, une sauvegarde sur dix ne peut
pas être restaurée, il est donc primordial de tester une
fois par mois les sauvegardes-clés pour l'entreprise.
|
|
|
3/
Plan de secours
|
|
Q16
|
Un
plan de secours a-t-il été élaboré ? Ce plan couvre-t-il
tous les systèmes du réseau ?
|
Q17
|
Les
services utilisateurs ont-ils participé à la mise au point
du plan ? Le plan a-t-il été diffusé et le personnel informé
et formé ?
|
Q18
|
Le
plan est-il régulièrement testé en grandeur nature : batch
et TP ? Un plan non testé dans des conditions proches d'un
sinis- tre a peu de chances de s'appliquer dans de bonnes
conditions. Les tests doivent être réalisés au minimum une
fois par trimestre.
|
|
|
Responsable de rubrique : Alain Steinmann
Pour tout problème de consultation, écrivez au Webmaster
Copyrights
et reproductions . Données
personnelles
Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE
|
|