Audit de configuration
Un audit de configuration pour prévenir la présence de mauvaises configurations et renforcer la sécurité de votre Système d’Information
Partager :
Objectif d’un audit de configuration
L’audit de configuration consiste à analyser le paramétrage de vos équipements afin de vérifier l’intégration de mécanismes de sécurité et de réduire la surface d’attaque.
Cette évaluation peut s’appuyer sur les recommandations de sécurité du constructeur, de l’ANSSI, du CIS ou d’un référentiel interne.
Des entretiens peuvent être nécessaires afin d’évaluer la pertinence de l’analyse compte tenu des contraintes opérationnelles.
Bénéfices attendus d’un audit de configuration
Les apports d’un audit de configuration sont notamment :
- Un état des lieux de la qualité de la configuration de vos systèmes par un cabinet d’audit reconnu et indépendant ;
- Une meilleure compréhension des fonctionnalités exposées par vos systèmes ;
- Un plan d’actions pour la mise à niveau de la sécurité de vos équipements, tenant compte des risques identifiés et de la complexité de mise en place des recommandations.
Synetis étant une société qualifiée PASSI, l’audit de configuration peut être réalisé sous cette qualification tel que défini par l’ANSSI. Cela s’applique par exemple dans le cas de l’audit d’un réseau de Diffusion Restreinte ou d’une qualification SecNumCloud.
Méthodologie d’un audit de configuration
Après avoir déterminé les points de configuration à évaluer, les auditeurs comparent la configuration de l’équipement audité aux recommandations de sécurité. Cette analyse fine des défauts de configuration leur permet de remonter des métriques pertinentes pour l’évaluation et le traitement des risques.
Synetis réalise des audits de configuration de différentes briques, tant logicielles que matérielles, de votre Système d’Information.
En plus de s’appuyer sur des référentiels de sécurité adaptés et reconnus (ANSSI, CIS), notre démarche se base également sur les retours d’expérience de nos experts techniques en charge de l’intégration de solutions de sécurité.
Nous couvrons l’audit de configuration d’une grande variété de systèmes, que ce soit :
- Microsoft Active Directory ;
- Microsoft Windows (10, 11) ;
- Microsoft Windows Server (2003, 2008, 2012, 2016, 2019 et 2022) ;
- Serveurs Linux ;
- Bases de données (MySQL, MSSQL, Oracle, …) ;
- Composants de sécurité, tels que les pare-feux, les proxys, les solutions de PAM (Privileged Access Management)..., approche pouvant être complémentaire avec un audit d’architecture d’un Système d’Information cible.
Au sens large, Synetis réalise également des audits d’environnement de télétravail ou travail, à partir de l’étude de la configuration d’un poste de travail corporate. Ce type d’audit vise à vérifier le durcissement de la configuration (selon les règles de l’état de l’art) et les failles éventuelles qui pourraient permettre à un attaquant ou un collaborateur malveillant d’obtenir une élévation de privilèges.
Ce type d’audit peut également être complété par un audit hardware, qui permet de valider le choix du matériel et les configurations de “bas niveau” (Bios…).
Quelques exemples de recommandations techniques
Ci-après, à titre illustratif, sont données quelques recommandations issues de nos travaux d’audit de configuration :
Audit Active Directory
- Modifier les droits non désirés apparus suite à l’installation de Windows Server 2016 (bug AD PREP) ;
- Modifier la composition des groupes privilégiés ;
- Mettre en place un modèle d’administration en tiers ;
- Renforcer les éléments audités dans la politique d’audit.
Audit de serveur Web
- Désactiver le listage des répertoires et droits d’accès du serveurs Web au système de fichiers ;
- Gérer les verbes HTTP exposés ;
- Configurer les cookies de session pour gérer la durée d’une session.
Audit Cloud
- Activer la double authentification des comptes d’administration ;
- Mettre en place un filtrage réseau par défaut des VPC ;
- Définir des filtres de journalisation pour certains événements de sécurité (changement de groupe, modification du contrôle d’accès…).
Contactez nos experts Synetis pour plus d’informations sur les audits de configuration, afin d’améliorer votre cybersécurité !
Ces articles pourraient vous intéresser :
