L'audit de sécurité doit être réalisé par une personne ou mieux une société spécialisée (ou disposant d'un département spécialisé). En effet, c'est un problème de méthodologie, où les règles changent en permanence, puisque les faiblesses des systèmes apparaissent tous les jours au même rythme que les systèmes eux-mêmes.

Audit de sécurité

Un audit de sécurité va porter sur deux fronts principaux :

• un examen interne des systèmes à la recherche des "grands classiques" (voir l'introduction),
• une recherche par tentative d'intrusion, éventuellement aidé par des logiciels ou des scanners de vulnérabilité.

Une telle étude débouche sur deux types de conclusions :

• un rapport général, plutôt à l'attention des décideurs, simple et clair qui fixe les enjeux. Il dresse la liste des failles, indique les risques vraiment encourus (sans verser dans le terrorisme intellectuel), défini les actions à mener et leur coût probable.
• des indications techniques précises ou des propositions d'intervention sur les systèmes pour les sécuriser. Attention, une activité de conseil et d'audit doit toujours être clairement disjointe des propositions d'intervention qui en découlent (il est trop facile d'effrayer tout le monde pour ensuite avoir le champ libre).

On le voit, s'il existe d'excellents dispositifs détectant les vulnérabilités (scanners ou logiciels), l'audit d'un spécialiste apportera deux avantages précieux :

• un rapport décisionnel, externe à l'entreprise (donc peut-être mieux écouté) et rédigé dans un langage clair et simple,
• une vraie expertise technique qui aidera les responsables système internes qui ne peuvent pas être excellents dans toutes les disciplines.

Surveillance distante

Plusieurs prestataires spécialisés proposent l'audit à distance ainsi que la surveillance permanente du site en ASP. L'audit à distance, moins poussé qu'un audit sur le terrain à l'avantage d'un coût moindre. La surveillance à distance permet de disposer de logiciels constamment remis à jour et de personnel spécialisé, deux avantages déterminants en matière de sécurité.

Scanner de failles

Le scanner de failles est un logiciel placé sur une machine du réseau et qui effectue régulièrement des "rondes" de sécurité en inspectant les faiblesses connues.
Automatiquement mis à jour comme un antivirus, c'est un moyen simple d'effectuer une surveillance permanente.