Please enable JavaScript.

Coggle requires JavaScript to display documents.

PASSI_référentiel_d'exigences Version_2.1_du_06_octobre_2015…

- - - - Pour l'audit d'architecture, revue des documents suivants, lorsqu'ils existent:
        schémas d'architectures de niveau 2 et 3 du modèle OSI; matrice de flux; règles de filtrage; configuration des équipements réseau (routeurs et commutateurs); inteconnexions avec des réseaux tiers ou internet; analyses de risques système; documents d'architecture technique liés à la cible; entretiens concernant les procédures d'administration.
      - Audit de configuration:
        Fournir les éléments de configuration des cibles auditées, sous la forme de fichiers de configuration ou de captures d'écran.
        Vérifier la sécurité des configurations: des équipements réseau filaire ou sans fil de type commutateurs ou routeurs; des équipements de sécurité (type pare-feu ou relais inverse (filtrant ou non) et leurs règles de filtrage, chiffreurs, etc.); des systèmes d'exploitation; des systèmes de gestion de base de données; des services d'infrastructure; des serveurs d'application; des postes de travail; des équipements de téléphonie; des environnements de virtualisation; entretiens sur les standards de configuration.
      - Audit de code source:
        Objectif: permettre d'éviter les fuites d'information et les altérations du fonctionnement du SI.
        Fourniture à l'auditeur du code source, de la doc. relative à la mise en oeuvre, les méthodes et rapports de tests et l'architecture du SI audité, et la config. des éléments de compilation et d'exécution; entretien avec développeur (contexte applicatif, besoins de sécurité,...);
        Vérifier la sécurité des parties du code source relatives:
        aux mécanismes d'authentification; aux mécanismes cryptographiques; à la gestion des utilisateurs; au contrôle d'accès aux ressources; aux interactions avec d'autres applications; aux relations avec les systèmes de base de données; à la conformité à des exigences de sécurité relative à l'environnement dans laquelle est déployée l'application.
        Il est recommandé la recherche des vulnérabilités les plus répandues dans les domaines suivants: cross-site scripting, injections SQL, cross-site request forgery, erreurs de logique applicative, débordement de tampon, exécution de commandes arbitraires, inclusion de fichiers (locaux ou distants).
      - Tests d'intrusion:
        l'auditeur peut effectuer une ou plusieurs des phases suivantes:
        Phase boîte noire: l'info que des adresses IP et URL;
        Phase boîte grise: connaissances d'un utilisateur standard du SI;
        Phase boîte blanche: maximum d'infos techniques.
        Les vulnérabilités non publiques découvertes lors de l'audit doivent être communiquées à l'ANSSI.
      - Audit organisationnel et physique:
        L'auditeur doit analyser l'organisation de la sécurité du SI sur la base des référentiels techniques et réglementaires. L'audit doit permettre de mesurer la conformité du SI par rapport aux référentiels et identifier les écarts présentant les vulnérabilités majeures du système audité.
- - - - [LOI_IL]: loi informatique et liberté; des articles du CP; [IGI_1300]; [II_910]; [II_901]: protection des SI sensibles(n°901/SGDSN/ANSSI, 28/01/2015).
    - - [PASSI_LPM]; [ETSI_ISG_ISI]: www.etsi.org; [ISO17020]; [ISO19011]; [ISO27000]; [ISO27001]; [ISO27002]; [ISO27011]; [EBIOS]; [PSSI]; [TABLEAU_BORD]; [PROJE; TS]; [MATURITE_SSI]; [EXTERNALISATION]; [DEFENSE_PROF][SYS_INDUS]; [JAVA]; [NT_JOURNAL]; [NT_PASSE]; [HOMOLOGATION]; [HYGIENE]; [ENISA]; [MICROSOFT]; [OWASP]
    - - [STRAT_NUM]: stratégie nationale pour la sécurité du numérique, octobre 2015 (ssi.gouv.fr).
      - [PROCESS_QUALIF]: processus de qualification des prestataires de services de confiance (ssi.gouv.fr).
      - [GUIDE_ACHAT]: guide d'achat de produits de sécurité et de services de confiance (ssi.gouv.fr).
  - - - Réseaux et protocoles:
        protocoles réseau et infrastructures; protocoles applicatifs courants et service d'infrastructure; configuration et sécurisation des principaux équipements réseau du marché; réseaux de télécommunication; technologie sans fil; téléphonie.
      - Equipements et logiciel de sécurité:
        pare-feu; système de sauvegarde; système de stockage mutualisé; dispositifs de chiffrement des communications; serveurs d'authentification; serveurs mandataires inverses; solutions de gestion de la journalisation; équipements de détection et prévention d'intrusion.
      - Avoir les autres qualités suivantes:
        savoir synthétiser et restituer l'information utile pour du personnel technique et non technique; savoir rédiger des rapports; savoir travailler en équipe.
    - - Réseaux et protocoles:
        protocoles réseau et infrastructures; protocoles applicatifs courants et service d'infrastructure; configuration et sécurisation des principaux équipements réseau du marché; réseaux de télécommunication; technologie sans fil; téléphonie.
      - Equipements et logiciels de sécurité:
        pare-feu; système de sauvegarde; système de stockage mutualisé; dispositifs de chiffrement des communications; serveurs d'authentification; serveurs mandataires inverses; solutions de gestion de la journalisation; équipements de détection et prévention d'intrusion; logiciels de sécurité côté poste client.
      - Systèmes d'exploitation (environnement et durcissement):
        systèmes Microsoft; systèmes UNIX/Linux; systèmes centralisés (basés par exemple sur OS400 ou zOS); solution de virtualisation.
      - Couche applicative:
        applications de type client/serveur; langages de programmation utilisés pour la configuration (ex.: scritps, filtres WMI, etc.); mécanismes cryptographiques; socle applicatif (serveurs web, serveurs d'application, systèmes de gestion de bases de données, progiciels).
      - Techniques d'intrusion
      - idem autres qualités que précédemment.
    - - Couche applicative:
        guides et principes de développement sécurité; architectures applicatives (client/serveur, n-tiers, etc.); langages de programmation; mécanismes cryptographiques; mécanismes de communication (interne au système et par le réseau) et protocoles associés; socle applicatif (serveur web, serveurs d'application, systèmes de gestion de bases de données, progiciels); attaques (principes et méthodes d'intrusion applicatives, contournement des mesures de sécurité logicielles, techniques d'exploitation de vulnérabilités et d'élévation de privilèges).
    - - Réseaux et protocoles:
        protocoles réseau et infrastructures; protocoles applicatifs courants et service d'infrastructure; configuration et sécurisation des principaux équipements réseau du marché; réseaux de télécommunication; technologie sans fil; téléphonie.
      - Equipements et logiciels de sécurité:
        pare-feu; système de sauvegarde; système de stockage mutualisé; dispositifs de chiffrement des communications; serveurs d'authentification; serveurs mandataires inverses; solutions de gestion de la journalisation; équipements de détection et prévention d'intrusion; logiciels de sécurité côté poste client.
      - Systèmes d'exploitation (environnement et durcissement):
        systèmes Microsoft; systèmes UNIX/Linux; systèmes centralisés (basés par exemple sur OS400 ou zOS); solution de virtualisation
      - Couche applicative:
        applications de type client/serveur; langages de programmation utilisés pour la configuration (ex.: scritps, filtres WMI, etc.); mécanismes cryptographiques; socle applicatif (serveurs web, serveurs d'application, systèmes de gestion de bases de données, progiciels).
      - Couche applicative:
        guides et principes de développement sécurité; application de type client/serveur; langages de programmation dans le cadre d'audits de code; mécanismes cryptographiques; mécanismes de communication (interne au système et par le réseau) et protocoles associés; socle applicatif (serveur web, serveurs d'application, systèmes de gestion de bases de données, progiciels); attaques (principes et méthodes d'intrusion applicatives, contournement des mesures de sécurité logicielles, techniques d'exploitation de vulnérabilités et d'élévation de privilèges).
    - - Maitrise des référentiels techniques; maîtrise du cadre normatif: les normes [ISO27001] et [ISO27002]; les textes réglementaires relatifs à la sécurité des SI, aux audits et aux sujets connexes; maîtrise des domaines relatifs à l'organisation de la sécurité des SI: analyse des risques, politique de SSI, chaînes de responsabilités en SSI, sécurité liée aux RH, gestion de l'exploitation et de l'administration du SI, contrôle d'accès logique au SI, développement et maintenance des applications, gestion des incidents liés à la sécurité de l'information, gestion du plan de continuité de l'activité, sécurité physique; maîtrise des pratiques liées à l'audit: conduite d'entretien, visite sur site, analyse documentaire.
  - - - L'ANSSI recommande aux commanditaires d'audits et aux prestataires d'audit de recourir et demander des audits composés des activités d'audit suivantes:
        audit applicatif: audit de code source, audit de configuration (serveur d'application, serveur HTTP, base de données, etc.);
        audit d'un centre serveur: audit d'architecture (liaison entre les différentes zones et entités, filtrage, etc.), audit de configuration (équipements réseau et de sécurité, serveurs d'infrastructure), audit organisationnel et physique;
        audit d'un réseau bureautique: audit d'architecture, audit de configuration (postes bureautique, équipements réseau, serveurs bureautique, serveurs AD, etc.), audit organisationnel et physique;
        audit d'une plate-forme de téléphonie: audit d'architecture, audit de configuration (équipements réseau et de sécurité, IPBX, téléphones, etc.);
        audit d'une plate-forme de virtualisation: audit d'architecture, audit de configuration (équipements réseau et de sécurité, systèmes de virtualisation, etc.);
        Chacun des types d'audit décrits ci-dessus peut inclure l'activité de tests d'intrusion.