Pratiquer un audit de sécurité - Précautions légales et juridiques. - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 12-03-2012 à 21:23:05
59 vues, pas une réponse.. Mince, ça inspire vraiment personne ?
Marsh Posté le 12-03-2012 à 22:05:57
Une petite doc (pas trop rescente) :
http://www.clusif.asso.fr/fr/produ [...] rusion.pdf
C'est pas simple comme sujet, mais les premiers points qui me viennent sont :
- définir clairement les points testé et l'objectif visé
- définir les méthode de test
-obtenir un accord écrit de la direction sur l'utilisation de tel méthode,
Marsh Posté le 13-03-2012 à 04:49:18
Merci pour ces docs intéressants.
Je reste demandeur si certains ont des retours d'expériences à faire partager.
Marsh Posté le 13-03-2012 à 09:29:37
Moi ce qui m'interpelle, c'est "Je veux faire des attaques réseaux, dois je en informer mon administrateur au préalable"... J'ai du mal à cerner quel est ton rôle dans cette boite si tu n'es pas du service IT... ça m'étonnerai que le DSI de ma boîte accepte/trouve ça bien que le service financier fasse des tests de ce style par exemple. (Et à fortiori le directeur financier )
Après je pense que tant que tu le montres sans délais à l'admin et que surtout, il n'y ait aucun vol d'information... Mais du moment où tu chopes les mot de passe...
Marsh Posté le 15-03-2012 à 23:26:52
Cela reste un acte illégal si le scan est fait à l'insu du responsable légal de l'entreprise. Le mieu est un papier signé.
Chose avoué est a moitié pardonné, je ne me rappelle plus trop bien de la vieille histoire du gars qui a piraté une CB, qui a appellé les banques pour les prévenir du danger et qui en récompense à une une convocation devant les juges. Pour lui c'est la 2ème moitié qui a été dur a avalé.
Marsh Posté le 16-03-2012 à 01:00:36
s@mus a écrit : Moi ce qui m'interpelle, c'est "Je veux faire des attaques réseaux, dois je en informer mon administrateur au préalable"... J'ai du mal à cerner quel est ton rôle dans cette boite si tu n'es pas du service IT... ça m'étonnerai que le DSI de ma boîte accepte/trouve ça bien que le service financier fasse des tests de ce style par exemple. (Et à fortiori le directeur financier ) |
Nous sommes 2 admins, et toutes ces choses qui nous paraissent logique ne semblent pas très appliquées. Nous remettons en cause certains tests d'intrusion (ou tentative) et autres tests qui auraient été fait non pas sans notre aval, mais sans une information (dans le cadre d'une étude PRELIMINAIRE en vue d'un audit de sécurité). Entre autre, le fait que mon collègue admin se rende compte que ça fait plus d'1 mois que 2 personnes (le RSI + un presta) connaissent son mot de passe. Bref, vous imaginez le climat et l'ambiance actuelle entre collègues.
Marsh Posté le 16-03-2012 à 09:22:13
En effet... une refonte de la sécurité semble nécessaire... Pour ce qui est des tests d'intrusions, si tu es administrateur, c'est à dire que tu gères ce réseau et en est donc responsable, cela n'a rien d'illégal dans la limite qu'il n'y ait aucun vol d'infos... Je ne connais pas la loi mais pour moi là c'est du bon sens
Marsh Posté le 16-03-2012 à 22:44:14
s@mus a écrit : En effet... une refonte de la sécurité semble nécessaire... Pour ce qui est des tests d'intrusions, si tu es administrateur, c'est à dire que tu gères ce réseau et en est donc responsable, cela n'a rien d'illégal dans la limite qu'il n'y ait aucun vol d'infos... Je ne connais pas la loi mais pour moi là c'est du bon sens |
Ce n'est pas par ce que l'on gère un réseau que l'on est juridiquement responsable.
Par défaut si tu fais des test même en interne dans la boite, sans l'accord du représentant légal, et que par tes test tu accède à des informations dont tu n'avais pas le droit ou si à cause d'une erreur tu provoque une perte de données ou une indisponibilté tu peux être poursuivi.
Le fait d'être administrateur d'un système n'inclut pas automatiquement que tu ai droit d'accéder à toutes les informations stockés sur ce système, ni le fait que tu ai le droit de faire un test intrusif qui pourrait entrainer un disfonctionnement ou une indisponibilité.
Moi je ne ferai pas de test intrusif sans un accord écrit même en étant salarié. L'accord permet de ne pas douter de ta bonne foi sur les raisons de ce test.
Après à chacun de voir quel type de test il veut faire, quel sont les risques de ce test et si elle ne remet pas en cause la confidentialité. S'il peut y avoir préjudice quelconque pour l'entreprise la responsabilité peut être engagé.
Marsh Posté le 18-03-2012 à 12:23:16
Et c'est bien pour ça que je parle bien dans la limite où il n'y ait aucun vol d'infos ou d'indisponibilité de production...
Mais les tests de sécurité font parties intégrantes de tout système d'information... Mais en général ces décisions sont pris par la DSI, reste à savoir si DSI il y a dans ta hiérarchie
Marsh Posté le 12-03-2012 à 01:51:58
Hello,
La question est dans le titre : que devons-nous satisfaire comme précautions légales/juridiques ou vis-à-vis de notre hiérarchie pour procéder à un audit de sécurité de notre réseau informatique ?
Doit-on en informer les équipes informatiques (admins réseaux en particulier) ?
Les tests peuvent-ils être no-limit, jusqu'à cracker des mots de passe utilisateurs ? Le mot de passe des administrateurs du réseau ? Des mots de passe de comptes administrateurs génériques ? Peut-on "utiliser" un compte cracké pour "voir" jusqu'où on peut aller ?
Si une faille vraiment importante est trouvée, dans quel délai est-il nécessaire d'en informer les intéressés (le crakage du mot de passe du compte de l’administrateur, par exemple).
Peut-on faire des pré-tests d'audit, en vue d'un audit ?
Existe t-il une procédure ou des documents type à utiliser pour l’organisation et la tenue de ce genre d'audit ?
Mes recherches sur le net sont restées vaines jusqu'ici.
Merci d'avance.