Comment faire un audit de sécurité pour son site web
Ce ne sont pas que les grandes firmes qui doivent conduire un audit de sécurité sur leurs structures de données et leur site web. Tout propriétaire ou responsable de données et de site web doit conduire à intervalle régulier un audit de sécurité afin de déterminer si tout est bien sécurisé.
En raison des changements fréquents qui sont opérés dans les technologies et les logiciels, l’audit de sécurité est essentiel comme outil de prévention mais aussi comme outil de planification des besoins futurs en matériel, en programmation et en soutien logistique.
Comment conduire un audit de sécurité?
Avant de conduire un audit de sécurité, il faut faire un peu de planification ( un pré-audit ) et d’organisation de ce dossier récurrent. Un plan de l’infrastructure devrait être fait. Si vous n’avez qu’un petit système, vous pouvez toujours mettre la marque, modèle, puissance en disque et en mémoire, version des logiciels et preuve d’achat et de garantie.
Vous devriez ensuite faire un court résumé en quoi consiste l’infrastructure. En mentionnant combien d’ordinateurs composent le réseau, les point d’accès internet, les routeurs, les switchs, le câblage, où sont situés ces équipements et qui est le fournisseur internet avec tous les aspects du compte, allant du numéro au coût annuel de la solution.
Vous déterminez ensuite si votre audit de sécurité se fait globalement ou si celle-ci se fait par portions et ce dans l’année. Vous pourriez déterminer de vérifier que les transactions en ligne respectent les normes aux 6 mois, mais garder un audit de sécurité physique tous les 3 mois des systèmes. De plus, vous pourriez établir un audit des logiciels annuellement.
Une éventuelle division des audits doit respecter votre plan budgétaire, être bien ciblé en dates afin d’avoir toutes les ressources humaines compétentes disponibles lors de l’audit.
Il est utile de déterminer clairement les objectifs de l’audit de chaque départements en fonction de leur environnement en signifiant le degré de sensibilité des données qui y transitent. Toutes les politiques et procédures ou directives doivent être classifiées dans des dossiers manuscrits mis à la disposition de tous et clairement identifiés.
N’oubliez pas que l’audit de sécurité sert à renforcir la sécurité, c’est un outil de développement durable pour les systèmes et les données. Il ne faut pas rechercher un « coupable » mais plutôt améliorer la situation en prenant le pouls actuel de la situation.
Quels sont les éléments de l’audit de sécurité?
Selon le type d’organisation dans laquelle vous évoluez, les éléments constituant l’audit de sécurité seront plus nombreux. Néanmoins, vous devriez avoir ces éléments de base :
– Vérifier la protection des mots de passe;
– Vérifier les ports ouverts et accessibles sur le réseau;
– Déterminer s’il est possible de faire du SQL Injection;
– Déterminer si les copies de sauvegarde et les supports sont adéquats en nombre et en qualité;
– Vérifier que les mises à jours sont toutes faites;
– Vérifier les vulnérabilités des serveurs autant de part leur localisation, leur ancienneté, les risques de dégâts etc.
Dans un plan plus vaste d’audit, il y a des centaines de facteurs qui sont à évaluer par risque élevé, risque médium ou risque faible. Il faut déterminer un échéancier pour chacune de ces catégories et voter un budget afin de résoudre sa liste au lieu de la voir grandir en nombre.
Les problématiques arrivent souvent au plus mauvais moment. Le fait de ne pas conduire d’audit de sécurité vous expose non seulement aux hackers et à la perte des données mais aussi aux imprévus et aux malchances.
Si vous êtes vulnérable sur tous les points de vue, force est d’admettre que vous n’accomplirez certainement pas votre mission à court ou moyen terme.
Internet Cloud Canada conduit des audits de sécurité complètes pour tous types d’organisations. Notre solution vous permet de grandir, de vous développer et d’assurer la qualité du traitement de l’information dans votre entreprise!
Solutions grand public
Les besoins n’étant pas tous les mêmes, il y a des solutions dites « grand public » qui vont effleurer ce qu’est un réel audit, mais pour certains, ce sera suffisant voir mieux que de ne rien avoir!
Pour l’environnent LINUX, les outils de tests et d’audit suivants peuvent vous renseigner sur certaines failles dans vos systèmes.
Vous pouvez aussi utiliser les solutions gratuites ou quasi-gratuites de « scan » en ligne afin d’identifier certaines vulnérabilités.
Conclusion
Quel que soit la nature de votre organisation ou sa grandeur ou complexité, vous devez conduire minimalement un audit de sécurité par année et faire en sorte d’y inclure le maximum d’informations afin de prendre les décisions qui façonneront votre avenir.
Si vous avez besoin de conseils et constatez que les versions grand public ne répondent pas à vos besoins ou sont encore-là, trop complexes, nos techniciens se feront un plaisir de conduire vos audits pour vous.
Nous incluons dans nos vérifications : DOM-Based Cross-site Scripting, Reflected Cross-site Scripting, la vérification des mots de passe, les tests des certificats de sécurité ( https ), les normes PCI pour les marchands en ligne, l’encodage correct des données dans le HTML, la vérification de la sûreté physique du matériel et de son environnement. L’audit que nous conduisons s’arrimera à vos objectifs et à vos budgets!