PREMIER MINISTRE

Secrtariat gnral de la dfense et de la scurit nationale Agence nationale de la scurit des systmes dinformation

PRESTATAIRES DAUDIT DE LA SECURITE DES SYSTEMES DINFORMATION

Rfrentiel dexigences
Version 1.0 du 31 octobre 2011

51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP

Sommaire
1. Introduction ....................................................................................................................... 3 Contexte rglementaire ................................................................................................... 3 Contexte technique ......................................................................................................... 3 Objet du document .......................................................................................................... 3 Terminologie................................................................................................................... 4 Structure du document .................................................................................................... 5 2. Activits daudit vises par le rfrentiel ........................................................................ 5 2.1. Audit darchitecture ........................................................................................................ 5 2.2. Audit de configuration .................................................................................................... 6 2.3. Audit de code source ...................................................................................................... 6 2.4. Tests dintrusion ............................................................................................................. 6 2.5. Audit organisationnel...................................................................................................... 6 3. Qualification des prestataires daudit ............................................................................. 6 3.1. Modalits de la qualification .......................................................................................... 6 3.2. Porte de la qualification ................................................................................................ 7 4. Exigences relatives au prestataire daudit ...................................................................... 7 4.1. Exigences gnrales ........................................................................................................ 7 4.2. Charte dthique.............................................................................................................. 8 4.3. Gestion des ressources et des comptences .................................................................... 9 4.4. Protection de linformation du prestataire daudit ........................................................ 10 5. Exigences relatives aux auditeurs .................................................................................. 10 5.1. Aptitudes gnrales ....................................................................................................... 10 5.2. Exprience .................................................................................................................... 11 5.3. Aptitudes et connaissances spcifiques aux activits daudit ....................................... 11 5.4. Engagements ................................................................................................................. 11 6. Exigences relatives au droulement dun audit ............................................................ 11 6.1. Convention daudit ....................................................................................................... 12 6.2. Prparation et dclenchement de laudit ....................................................................... 13 6.3. Excution de laudit ...................................................................................................... 14 6.4. Exigences spcifiques aux activits daudit ................................................................. 14 6.4.1. Audit darchitecture............................................................................................... 15 6.4.2. Audit de configuration .......................................................................................... 15 6.4.3. Audit de code source ............................................................................................. 16 6.4.4. Tests dintrusion .................................................................................................... 16 6.4.5. Audit organisationnel ............................................................................................ 17 6.5. Elaboration du rapport daudit ...................................................................................... 17 6.6. Conclusion de laudit .................................................................................................... 18 7. Rfrences documentaires .............................................................................................. 19 7.1. Textes rglementaires ................................................................................................... 19 7.2. Normes et documents techniques ................................................................................. 19 7.3. Autres rfrences documentaires .................................................................................. 19 Annexe A : Recommandations lintention des commanditaires daudits ........................... 20 7.4. Recommandations gnrales ........................................................................................ 20 7.5. Types daudit recommands par lANSSI .................................................................... 21 Annexe B : Liste dtaille des comptences techniques et organisationnelles dun prestataire daudit ....................................................................................................................... 22 A. Comptences techniques ............................................................................................... 22 B. Comptences organisationnelles ................................................................................... 22 8. Annexe C : Echelle de classification des vulnrabilits................................................ 24 1.1. 1.2. 1.3. 1.4. 1.5.
Page 2 sur 24

1.

Introduction 1.1. Contexte rglementaire

Lordonnance n 2005-1516 du 8 dcembre 2005, relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives, introduit la notion de prestataires de services de confiance (PSCO), publics ou privs, et prvoit quils peuvent obtenir une qualification attestant de leur conformit aux rgles du rfrentiel gnral de scurit (RGS) qui leur sont applicables. La version 1.0 du RGS, approuve par arrt du Premier ministre le 6 mai 2010, permet la qualification de deux catgories de PSCO : les prestataires de services de certification lectronique et les prestataires de services dhorodatage lectronique. Afin denrichir les prestations de services contribuant la scurisation des systmes dinformation sujettes la qualification selon le schma dcrit au chapitre IV du dcret n 2010112 du 2 fvrier 2010 pris pour lapplication des articles 9, 10 et 12 de lordonnance prcite, lANSSI a labor un rfrentiel dexigences lintention des prestataires de services qui ralisent des audits de la scurit des systmes dinformation des autorits administratives. 1.2. Contexte technique

Les avantages et gains associs la dmatrialisation des processus et documents, aux changes par voie lectronique ainsi que linterconnexion des systmes dinformation Internet ne sont plus dmontrer mais ne sont pas sans risques. En effet, les points dinterconnexion avec lextrieur (et en particulier les tlservices) sont autant daccs quun attaquant externe lorganisme peut tenter dutiliser pour sintroduire au sein mme du systme dinformation de lorganisme, pour drober, dnaturer ou encore dtruire son patrimoine informationnel. Les attaquants sont parfois des utilisateurs autoriss accder au systme dinformation (exemples : salaris, stagiaires, prestataires de lorganisme). Il convient de prendre en considration cette source de menace. Pour sen protger, les organismes doivent, l'issue d'une dmarche de gestion des risques, scuriser leur systme dinformation de faon adapte et proportionne. Les mesures de scurit mises en place dans ce but peuvent tre de diffrentes natures : organisationnelles, physiques et techniques. Sur ce dernier volet, la mise en uvre de produits de scurit est certes fondamentale, mais elle ne suffit pas : labsence dapplication des mises jour et des correctifs de scurit, le maintien de mots de passe faibles ou constructeur, la mauvaise configuration de logiciels ou le non respect de rgles lmentaires de scurit lors du dveloppement dun logiciel ou dune application sont autant de vulnrabilits exploitables par un attaquant. Laudit est lun des moyens disposition de tout organisme pour prouver et sassurer du niveau de scurit de son systme dinformation. Il permet, en pratique, de mettre en vidence les forces mais surtout les faiblesses et vulnrabilits du systme dinformation. Ses conclusions permettent didentifier des axes damlioration et de contribuer ainsi llvation de son niveau de scurit, en vue, notamment, de son homologation de scurit. 1.3. Objet du document

Lautorit administrative, si elle dcide dexternaliser la prestation daudit de la scurit de son systme dinformation, doit attacher le plus grand soin dans le choix du prestataire. En effet, lactivit daudit est critique eu gard aux vulnrabilits quelle est susceptible de rvler ainsi qu lexploitation qui pourrait en tre faite. A ce titre, lautorit administrative audite doit disposer de garanties sur la comptence du prestataire daudit et de ses auditeurs, sur la qualit des audits quils effectuent et sur la confiance quelle peut leur accorder, notamment en matire
51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP

de confidentialit et de dontologie, avant de lui donner accs son systme et aux informations quil contient. Cest dans le but didentifier de tels prestataires de confiance que lANSSI permet la qualification des prestataires daudit de la scurit des systmes dinformation (PASSI), selon les modalits dcrites au chapitre 3. Ce document nexclut ni lapplication des rgles gnrales imposes aux prestataires daudit en leur qualit de professionnel et notamment leur devoir de conseil vis--vis de leurs clients, ni lapplication de la lgislation nationale et notamment des articles L. 323-1 et suivants du code pnal. 1.4. Terminologie Les dfinitions ci-dessous sont notamment issues de la norme ISO 19011, du glossaire du document relatif la stratgie publique de la France en matire de dfense et de scurit des systmes dinformation et de lordonnance n 2005-1516 du 8 dcembre 2005 relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives. Rfrentiel : le prsent document. Autorit administrative : sont considres comme autorits administratives les administrations de lEtat, les collectivits territoriales, les tablissements publics caractre administratif, les organismes grant des rgimes de protection sociale relevant du code de la scurit sociale et du code rural ou mentionns aux articles L. 223-16 et L. 351-21 du code du travail et les autres organismes chargs de la gestion dun service public administratif. Systme dinformation : ensemble organis de ressources (matriel, logiciels, personnel, donnes et procdures) permettant de traiter et de diffuser de linformation. Scurit dun systme dinformation : ensemble des moyens techniques et non-techniques de protection, permettant un systme dinformation de rsister des vnements susceptibles de compromettre la disponibilit, lintgrit ou la confidentialit des donnes, traites ou transmises et des services connexes que ces systmes offrent ou rendent accessibles. Audit : processus systmatique, indpendant et document en vue d'obtenir des preuves d'audit et de les valuer de manire objective pour dterminer dans quelle mesure les critres d'audit sont satisfaits. Pour les besoins du Rfrentiel, un audit est constitu dun sous-ensemble des activits daudit de la scurit dun systme dinformation dcrites au chapitre 2. Critres daudit : ensemble des rfrentiels, guides, procdures ou exigences applicables la scurit du systme dinformation audit. Preuves daudit : enregistrements, noncs de faits ou autres informations qui se rapportent aux critres daudit et sont vrifiables. Constats daudit : rsultats de lvaluation des preuves daudit recueillies par rapport aux critres daudit. Prestataire daudit : organisme ralisant des prestations daudits de la scurit des systmes dinformation. Auditeur : personne ralisant un audit pour le compte dun prestataire daudit. Responsable dquipe daudit : personne responsable de laudit et de la constitution de lquipe daudit, en particulier de la complmentarit de leur comptences. Commanditaire de laudit : organisme ou personne demandant un audit.

Page 4 sur 24

Audit : organisme(s) responsable(s) de tout ou partie du systme dinformation audit1. Le commanditaire de laudit peut tre laudit. Primtre daudit : environnement physique, logique et organisationnel dans lequel se trouve le systme dinformation ou la portion du systme dinformation, sur lequel laudit est effectu. Convention daudit : accord crit entre un commanditaire et un prestataire daudit pour la ralisation dun audit. Dans le cas o le prestataire daudit est un organisme priv, la convention daudit est le contrat. Rapport daudit : document de synthse labor par lquipe daudit et remis au commanditaire de laudit lissue de laudit. Il prsente les rsultats de laudit et en particulier les vulnrabilits dcouvertes ainsi que les mesures correctives proposes. Etat de lart : ensemble des bonnes pratiques, des technologies et des documents de rfrence relatifs la scurit des systmes dinformation publiquement accessibles un instant donn, et des informations qui en dcoulent de manire vidente. Ces documents peuvent tre mis en ligne sur Internet par la communaut de la scurit des systmes dinformation, diffuss par des organismes de rfrence ou encore dorigine rglementaire. 1.5. Structure du document

Le chapitre 2 dcrit les activits daudit vises par le prsent rfrentiel. Le chapitre 3 prsente les modalits de la qualification, qui atteste de la conformit du PASSI aux exigences qui leurs sont applicables. Ces exigences sont prsentes en trois domaines : celles relatives au prestataire daudit lui-mme (chapitre 4), celles relatives ses auditeurs (chapitre 5) et celles relatives au droulement de laudit (chapitre 6). Lannexe A donne des recommandations lintention des autorits administratives dans le but de les aider exprimer leurs besoins en termes daudit et rdiger dventuels appels doffres. Lannexe B dtaille les exemples des comptences techniques, thoriques et pratiques dont doit disposer un prestataire daudit pour tre qualifi. LAnnexe C propose une chelle de classification des vulnrabilits. 2. Activits daudit vises par le rfrentiel

Ce chapitre prsente les diffrentes activits daudit traites dans le prsent document et dont les exigences spcifiques associes sont dcrites au chapitre 6. Lannexe A fournit des recommandations de lANSSI sur les types daudit raliser en fonction du primtre de laudit. 2.1. Audit darchitecture

Laudit darchitecture consiste en la vrification de la conformit des pratiques de scurit relatives au choix, au positionnement et la mise en uvre des dispositifs matriel et logiciels dploys dans un systme dinformation ltat de lart et aux exigences et rgles internes de laudit. Laudit peut tre tendu aux interconnexions avec des rseaux tiers, et notamment Internet.

Exemples : prestataires dhbergement, dinfogrance, dexploitation et dadministration du systme dinformation, de tierce maintenance applicative

Page 5 sur 24

2.2.

Audit de configuration

Laudit de configuration a pour vocation de vrifier la mise en uvre de pratiques de scurit conformes ltat de lart et aux exigences et rgles internes de laudit en matire de configuration des dispositifs matriels et logiciels dploys dans un systme dinformation. Ces dispositifs peuvent notamment tre des quipements rseau, des systmes d'exploitation (serveur ou poste de travail), des applications ou des produits de scurit. 2.3. Audit de code source

Laudit de code source consiste en lanalyse de tout ou partie du code source ou des conditions de compilation dune application dans le but dy dcouvrir des vulnrabilits, lies de mauvaises pratiques de programmation ou des erreurs de logique, qui pourraient avoir un impact en matire de scurit. 2.4. Tests dintrusion

Le principe du test dintrusion est de dcouvrir des vulnrabilits sur le systme dinformation audit et de vrifier leur exploitabilit et leur impact, dans les conditions relles dune attaque sur le systme dinformation, la place dun attaquant potentiel. Les vulnrabilits testes peuvent galement avoir t identifies au cours dautres activits daudit dfinies dans ce chapitre. Cette activit daudit peut tre ralise soit depuis lextrieur du systme dinformation audit (notamment depuis Internet ou le rseau interconnect dun tiers), soit depuis lintrieur. Un test dintrusion seul na pas vocation tre exhaustif. Il sagit dune activit qui doit tre effectue en complment dautres activits daudit afin den amliorer lefficacit ou de dmontrer la faisabilit de lexploitation des failles et vulnrabilits dcouvertes des fins de sensibilisation. Les tests de vulnrabilit, notamment automatiss, ne reprsentent pas eux seuls une activit daudit au sens du Rfrentiel. 2.5. Audit organisationnel

Laudit de lorganisation de la scurit vise sassurer que les politiques et procdures de scurit dfinies par laudit pour assurer le maintien en conditions oprationnelles et de scurit dune application ou de tout ou partie du systme dinformation sont conformes au besoin de scurit de lorganisme audit, ltat de lart ou aux normes en vigueur, compltent correctement les mesures techniques mises en place, et enfin sont efficacement mises en pratique.

3.

Qualification des prestataires daudit 3.1. Modalits de la qualification

Le Rfrentiel contient les exigences que les prestataires daudit de la scurit de systmes dinformation doivent respecter dans le but dobtenir la qualification. Il donne galement des recommandations afin dorienter les autorits administratives, et plus gnralement les commanditaires daudits, dans leurs expressions de besoins, et les prestataires daudit dans les solutions quils leur proposent. La qualification des prestataires daudit est ralise conformment au schma dcrit au chapitre IV du dcret n 2010-112 du 2 fvrier 2010.

Page 6 sur 24

Les recommandations sont donnes titre de bonnes pratiques et ne feront pas l'objet d'une quelconque valuation ou vrification en vue de la labellisation. La procdure dvaluation de la conformit des prestataires daudit aux rgles du Rfrentiel qui leur sont applicables fera lobjet de documents complmentaires. 3.2. Porte de la qualification

Le prestataire daudit peut demander la qualification pour tout ou partie des activits daudit dcrites au chapitre 2. Toutefois, la qualification dun prestataire daudit ne portant que sur lactivit de tests dintrusion ou lactivit daudit organisationnel nest pas autorise, une telle activit tant juge insuffisante si elle est mene seule. Le prestataire daudit respectera en consquence les exigences du chapitre 6.2 en cohrence avec la porte demande. La qualification est accorde notamment au regard de la comptence des auditeurs qui raliseront les prestations qualifies. Les auditeurs seront reconnus comptents pour tout ou partie des types dactivit pour lequel le prestataire a demand la qualification, lissue dun processus dvaluation par rapport ltat de lart. Les auditeurs ainsi que les activits daudit pour lesquelles ils ont t reconnus comptents sont inscrits dans une liste spcifique. Les prestataires qualifis gardent la facult de raliser des prestations de services en dehors du primtre pour lequel ils sont qualifis, mais ne peuvent, dans ce cas, se prvaloir du label.

4.

Exigences relatives au prestataire daudit 4.1. Exigences gnrales

Les exigences listes dans ce chapitre portent sur les domaines suivants : juridique, structurel, responsabilit et impartialit du prestataire daudit. b) Le prestataire daudit doit tre une entit ou une partie dune entit dote de la personnalit morale de faon pouvoir tre tenu juridiquement responsable de toutes ses activits daudit. Une autorit administrative qui ralise des activits daudit peut tre considre comme un prestataire daudit. c) Le prestataire daudit ralise ses audits dans le cadre dune convention daudit pralablement approuve par le commanditaire de laudit. La loi applicable la convention daudit est la loi franaise. La convention daudit doit tre conforme aux exigences du paragraphe 6.1 du Rfrentiel. d) Le prestataire daudit assume la responsabilit de laudit quil ralise pour le compte du commanditaire de laudit, en particulier des dommages ventuellement causs au cours de laudit. Le prestataire et le commanditaire de laudit peuvent prciser les modalits de partage des responsabilits au sein de la convention daudit. Le prestataire peut sexonrer de tout ou partie de sa responsabilit sil est avr que le dommage ventuellement subi par le commanditaire de laudit rsulte dun dfaut dinformation de ce dernier. Il est recommand que le prestataire daudit garde, notamment, la responsabilit des actions quil effectue lors de laudit de son propre fait ainsi que de celles pour lesquelles le commanditaire de laudit ne dispose pas de comptence particulire.

Page 7 sur 24

e) Le prestataire daudit doit pouvoir apporter la preuve quil a valu les risques rsultant de ses activits daudit et quil a pris les dispositions appropries pour couvrir les risques rsultant de ses prestations daudit. Il met disposition du commanditaire de laudit ces lments de preuve. Il est, ce titre, recommand que le prestataire daudit souscrive une assurance couvrant les dommages ventuellement causs aux systmes dinformation de ses clients. f) Le prestataire daudit peut sous-traiter une partie de laudit demand par le commanditaire de laudit un prestataire daudit qualifi conforme aux exigences qui lui sont applicables du prsent rfrentiel sous rserve que : - il existe une convention ou un cadre contractuel documents entre le prestataire daudit et le sous-traitant ; - le recours la sous-traitance est connu et accept par le commanditaire et laudit. g) Le prestataire daudit est tenu de respecter la lgislation et la rglementation en vigueur sur le territoire franais, notamment en matire de traitements de donnes caractre personnel2, de prt de main duvre illicite, de proprit intellectuelle3 et de fraude informatique4. h) Le prestataire daudit doit dcrire lorganisation de son activit daudit au bnfice de chaque commanditaire daudit. i) Le prestataire daudit doit garantir que les informations quil fournit, y compris la publicit, ne sont ni fausses ni trompeuses. j) Le prestataire sassure du consentement du commanditaire de laudit avant toute communication au public dlments dinformation relatifs laudit, laudit ou au commanditaire de laudit, que ces informations soient obtenues lors de laudit ou non. k) Le prestataire daudit doit sengager ce que les audits quil effectue soient raliss en toute impartialit. Le prestataire daudit doit tre en mesure dapporter une preuve suffisante que les modalits de son fonctionnement, notamment financires, ne sont pas susceptibles de compromettre son impartialit et la qualit de ses prestations lgard du commanditaire de laudit ou de provoquer des conflits dintrts. l) Tous les documents produits par le prestataire daudit lors des audits doivent tre au moins fournis en langue franaise. m) Le prestataire daudit doit raliser la prestation de manire loyale, en toute bonne foi et dans le respect de laudit, de son personnel et de ses infrastructures. Les points 4.1.d, 4.1.g et 4.1.i ne sappliquent quaux prestataires daudit privs. 4.2. Charte dthique a) Le prestataire daudit doit disposer dune charte dthique prvoyant notamment que : - les prestations daudit sont ralises avec loyaut, discrtion, impartialit et indpendance ;

Loi n 78-17 du 6 janvier 1978 modifie relative linformatique, aux fichiers et aux liberts, loi n 91-646 du 10 juillet 1991 modifie sur le secret des correspondances, loi n 2004-669 du 9 juillet 2004 relative aux communications lectroniques et aux services de communication audiovisuelle. 3 Exemples : licences des logiciels utiliss, des scripts et programmes dvelopps. 4 Articles 323-1 et suivants du code pnal.

Page 8 sur 24

les auditeurs ne recourent quaux mthodes, outils et techniques valids par le prestataire daudit ; les auditeurs sengagent ne pas divulguer dinformations obtenues ou gnres dans le cadre des audits sauf autorisation du commanditaire de laudit ; les auditeurs signalent au commanditaire de laudit tout contenu manifestement illicite dcouvert durant laudit ; les auditeurs sengagent respecter la loi, la rglementation en vigueur ainsi que les bonnes pratiques lies laudit.

b) Lensemble des auditeurs valus au titre de la qualification du prestataire daudit doivent signer la charte dthique prvue au paragraphe prcdent pralablement la ralisation dun quelconque audit. 4.3. Gestion des ressources et des comptences a) Le prestataire daudit doit employer un nombre suffisant dauditeurs, de responsables dquipe daudit et ventuellement de sous-traitants pour assurer totalement et dans tous leurs aspects les audits pour lesquels il a tabli des conventions daudit avec des commanditaires daudits. b) Le prestataire daudit doit sassurer, pour chaque audit, que les auditeurs dsigns pour raliser laudit ont les qualits et les comptences requises. Des auditeurs dbutants du prestataire daudit peuvent, au titre de leur formation et de leur monte en comptence, tre incorpors lquipe daudit. Ils doivent cependant respecter la charte dthique du prestataire ainsi que lensemble des obligations contractuelles, rglementaires ou lgales imposes aux auditeurs. c) Le prestataire daudit doit sassurer du maintien jour des comptences des auditeurs. Pour cela, il doit disposer dun processus de formation et assurer une veille technologique5. d) En matire de recrutement, le prestataire daudit doit procder une vrification des formations, qualifications et rfrences professionnelles des auditeurs candidats et de la vracit de leur CV. Le prestataire daudit peut galement demander au candidat une copie du bulletin n 3 de son casier judiciaire. e) Un processus disciplinaire doit tre labor par le prestataire daudit lintention des salaris ayant enfreint les rgles de scurit ou la charte dthique. f) Le prestataire daudit est responsable des mthodes, outils (logiciels ou matriels) et techniques utiliss par ses auditeurs et de leur bonne utilisation (prcautions dusage, matrise de la configuration). Pour cela, il doit mettre en uvre un processus de formation des auditeurs ses outils et assurer une veille technologique sur leur mise jour et leur pertinence. g) Le prestataire daudit justifie, au travers des auditeurs valus au titre de la qualification du prestataire daudit, quil dispose des comptences techniques, thoriques et pratiques, affrentes aux activits daudit cites aux paragraphes 2.1 2.4, couvrant les domaines suivants : - rseaux et protocoles ;
5

Le prestataire daudit peut par exemple mettre en place une formation continue, des modules d'auto-formation, des sminaires internes, sabonner des revues spcialises, contracter avec un ou plusieurs CERT, disposer d'un accs une ou plusieurs bases de vulnrabilits offrant un certain niveau de garantie en matire de couverture et de ractivit ou toute autre mthode lui permettant dassurer lvolutivit de ses comptences ainsi que celles de ses auditeurs.

Page 9 sur 24

systmes dexploitation ; couche applicative ; quipements et logiciels de scurit ; dveloppement doutils utiliss adapts la cible audite dans le cadre des audits ou des tests dintrusion ; - techniques dingnierie inverse ; - exigences techniques requises par le Rfrentiel Gnral de Scurit. Ces domaines sont dtaills en annexe B. h) Le prestataire daudit justifie, au travers des auditeurs valus au titre de la qualification du prestataire daudit, quil dispose des comptences organisationnelles, thoriques et pratiques, affrentes aux activits daudit cites au paragraphe 2.5, couvrant les domaines suivants : - matrise des normes relatives la scurit des systmes dinformation ; - matrise des domaines relatifs lorganisation de la scurit des systmes dinformation ; - matrise des pratiques lies laudit. Ces domaines sont dtaills en annexe B. i) Le prestataire daudit justifie, au travers des auditeurs valus au titre de la qualification du prestataire daudit, quil matrise les rfrentiels et guides relatifs la scurit des systmes dinformation. Ces rfrentiels et guides sont dtaills en annexe B.

4.4.

Protection de linformation du prestataire daudit

Les informations sensibles relatives aux audits, et notamment les preuves, les constats et les rapports daudit, doivent tre protgs au minimum au niveau Diffusion Restreinte. Le systme dinformation que le prestataire daudit utilise pour le traitement de ces informations doit respecter les rgles de linstruction interministrielle relative aux mesures de protection des systmes d'information traitant d'informations sensibles non classifies de dfense de niveau Diffusion Restreinte et tablie par lANSSI.

5.

Exigences relatives aux auditeurs 5.1. Aptitudes gnrales

a) Lauditeur doit disposer des qualits personnelles dcrites au chapitre 7.2 de la norme ISO 19011. b) Lauditeur doit matriser la rglementation applicable aux activits daudits quil met en uvre (matrise de la rglementation spcifique aux types daudits, la nature ou au secteur dactivit du commanditaire et de laudit, etc.). c) Lauditeur doit disposer de qualits rdactionnelles et de synthse et savoir sexprimer loral de faon claire et comprhensible, en langue franaise. d) Lauditeur met rgulirement jour ses comptences par une veille active sur celles-ci, sur la mthodologie, les techniques ou les outils utiliss lors des activits daudit. Il est recommand que lauditeur participe lvolution de ltat de lart par une participation des vnements professionnels de son domaine de comptence, des travaux de recherche ou la publication darticles.

Page 10 sur 24

5.2.

Exprience

Lauditeur doit avoir reu une formation en technologie des systmes dinformation et de communication et en audit. Il est recommand que lauditeur : - justifie dau moins deux annes dexprience dans le domaine des systmes dinformation et de communication ; - justifie dau moins une anne dexprience dans le domaine de la scurit des systmes dinformation ; - justifie dau moins une anne dexprience dans le domaine de laudit de systmes dinformation. Ces recommandations ne sont pas cumulatives. 5.3. Aptitudes et connaissances spcifiques aux activits daudit

a) Lauditeur doit matriser les bonnes pratiques et la mthodologie daudit dcrite dans la norme ISO 19011 et tre en mesure de raliser des audits conformment aux exigences relatives au droulement dune prestation daudit (cf. chapitre 6). b) Lauditeur doit tre comptent dans au moins une des activits daudit dcrites au chapitre 2 pour lesquelles le prestataire daudit demande la qualification. Pour cela, lauditeur doit disposer de connaissances techniques ou organisationnelles approfondies dans au moins un des domaines cits dans les paragraphes 4.3.g et 4.3.h. Il est recommand que lauditeur soit sensibilis lensemble des autres activits daudit pour lesquelles le prestataire daudit demande la qualification. c) Le responsable daudit doit disposer des comptences de gestion dquipe ncessaire la constitution adquate de lquipe daudit par rapport aux objectifs viss dans la convention daudit. 5.4. Engagements

a) Lauditeur doit avoir un contrat avec le prestataire daudit. b) Lauditeur doit avoir sign la charte dthique labore par le prestataire daudit. c) Lauditeur sengage subir une valuation personnelle de ses comptences au titre de la procdure de qualification du prestataire daudit dont il dpend. d) Il est recommand que le commanditaire de laudit ait la capacit rvoquer un auditeur qui ne disposerait pas des comptences attendues.

6.

Exigences relatives au droulement dun audit

La dfinition du primtre de laudit et la description de laudit attendu, formules gnralement dans un appel doffres, sont du ressort du commanditaire de laudit. Lannexe A du rfrentiel fournit des recommandations de lANSSI cet effet. Bien que le prestataire daudit ne puisse quadapter et moduler sa proposition de service la demande, il doit informer, dans la mesure du possible, et titre de conseil, le commanditaire de laudit des recommandations issues de lannexe A. Le prestataire daudit sassure que le commanditaire lui fournit un environnement de travail adapt ses missions.

Page 11 sur 24

Le prestataire daudit vrifie que le commanditaire a identifi correctement le systme audit ainsi que ses dpendances externes. Le prestataire daudit sassure que laudit est adapt au contexte et aux objectifs souhaits par le commanditaire de laudit. A dfaut, le prestataire daudit en informe le commanditaire de laudit pralablement laudit. Dans la suite de ce chapitre, les exigences auxquelles doivent se conformer les prestataires daudit sont regroupes dans les diffrentes tapes du droulement dun audit, savoir : - tablissement de la convention daudit ; - prparation et dclenchement de laudit ; - excution de laudit (les exigences spcifiques chacune des activits daudit sont listes) ; - laboration du rapport daudit ; - conclusion de laudit. Dune manire gnrale, le droulement de laudit doit respecter les dispositions de la norme ISO 19011. 6.1. Convention daudit dcrire le primtre et les modalits de laudit (jalons, livrables attendus en entre, livrables prvus en sortie, objectifs, champs et critres de laudit...) ; prciser les noms, rles, responsabilits et le besoin den connatre des personnes dsignes par le prestataire daudit, le commanditaire de laudit et laudit ; prvoir que laudit ne peut dbuter sans une autorisation formelle du commanditaire de laudit ; prciser les actions qui ne peuvent tre menes sur le systme dinformation auditer ou sur les donnes recueillies sans autorisation expresse du commanditaire de laudit et ventuellement accord ou prsence de laudit, ainsi que leurs modalits (mise en uvre, personnes prsentes, dure, plage horaire, excutant, description des donnes sensible et des actions autorises) ; prciser les dispositions dordre logistique mises disposition du prestataire daudit par laudit (moyens matriels, humains, techniques) ; inclure les clauses relatives lthique du prestataire daudit ; prvoir la non divulgation un tiers, par le prestataire daudit et par les auditeurs, de toute information relative laudit et laudit, sauf autorisation crite ; stipuler que le prestataire daudit ne fait pas intervenir dauditeur nayant pas de relation contractuelle avec lui, n'ayant pas sign sa charte dthique ou ayant fait lobjet dune inscription au bulletin n 3 du casier judiciaire en lien avec les systmes dinformation ; prvoir une clause relative aux risques potentiels lis la prestation, notamment en matire de disponibilit (dni de service lors du scan de vulnrabilits dune machine ou dun serveur par exemple) ; prciser si le prestataire daudit dispose dune assurance couvrant les dommages ventuellement causs lors de la ralisation des activits daudit et, le cas chant, la surface de couverture de celle-ci ;

a) La convention tablie entre le prestataire daudit et le commanditaire de laudit doit :

Page 12 sur 24

dfinir les rgles de titularit des lments protgs par la proprit intellectuelle tels que les outils dvelopps spcifiquement pour laudit ; prvoir les livrables ainsi que leurs modalits de restitution.

b) Le prestataire daudit peut sous-traiter une partie de laudit demand par le commanditaire de laudit un prestataire daudit qualifi conforme aux exigences du prsent rfrentiel sous rserve que : - il existe une convention ou un cadre contractuel documents entre le prestataire daudit et le sous-traitant ; - le recours la sous-traitance est connu et accept par le commanditaire et laudit. c) Il est recommand que la convention prvoie une procdure de recueil du consentement des audits pour la ralisation de laudit. 6.2. Prparation et dclenchement de laudit

a) Le prestataire daudit doit nommer un responsable dquipe daudit pour tout audit quil effectue. b) Le responsable dquipe daudit doit constituer une quipe dauditeurs ayant les comptences adaptes la nature de laudit. Le responsable dquipe daudit peut, sil dispose des comptences suffisantes, raliser laudit lui-mme et seul. Il peut incorporer lquipe daudit des auditeurs dbutants, au titre de leur formation et de leur monte en comptence sous rserve du respect des obligations dcrites au paragraphe 4.3 b) alina 2. c) Le responsable dquipe daudit doit, ds le dbut de la prparation de l'audit, tablir un contact avec les personnes responsables de laudit chez laudit. Ce contact, formel ou informel, a notamment pour objectif dtablir les circuits de communication et de prciser les modalits dexcution de laudit. d) Le responsable daudit sassure auprs du commanditaire et de laudit que les reprsentants lgaux des entits impactes par laudit ont t pralablement averties et quils ont donn leur accord. e) Le responsable dquipe daudit labore un plan d'audit. Ce plan daudit couvre en particulier les points suivants : les objectifs, champs et critres de laudit, le primtre technique et organisationnel de la prestation, les dates et lieux o seront menes les activits daudit et notamment celles ventuellement menes chez laudit, les informations gnrales sur les runions de dmarrage et de clture de la prestation, les auditeurs qui constituent lquipe daudit, la confidentialit des donnes rcupres et lanonymisation des constats et des rsultats. f) Les objectifs, le champ, les critres et le planning de laudit doivent tre dfinis entre le prestataire daudit et le commanditaire de laudit, en considration des contraintes dexploitation du systme dinformation de laudit. Ces lments doivent figurer dans la convention ou dans le plan daudit. g) En fonction de lactivit daudit, lquipe dauditeurs doit obtenir, au pralable, toute la documentation existante (exemples : politique de scurit, analyse des risques, procdures dexploitation de la scurit) de laudit relative la cible audite dans lobjectif den faire une revue. h) Laudit ne doit dbuter qu'aprs une runion formelle au cours de laquelle les reprsentants habilits du prestataire daudit et ceux de laudit confirment leur accord sur l'ensemble des

Page 13 sur 24

modalits de la prestation. Cette runion peut tre tlphonique mais doit, dans ce cas, faire lobjet dune confirmation crite. i) Le prestataire doit sensibiliser son client sur lintrt de sauvegarder et prserver les donnes, applications et systmes prsents sur les machines audites. j) En pralable, et dans le cas spcifique des tests dintrusion, une fiche dautorisation doit tre signe par le commanditaire de laudit, laudit et dventuelles tierces parties. Elle prcise en particulier : - la liste des cibles audites (adresses IP, noms de domaine) ; - la liste des adresses IP de provenance des tests ; - la date et les heures exclusives des tests ; - la dure de lautorisation. 6.3. Excution de laudit

a) Le responsable dquipe daudit doit tenir inform le commanditaire de laudit des vulnrabilits critiques dcouvertes au cours de l'audit. Il doit rendre compte immdiatement laudit de tout lment constat prsentant un risque immdiat et significatif, et dans la mesure du possible, lui proposer des mesures permettant de lever ce risque. b) Laudit doit tre ralis dans le respect des personnels et des infrastructures physiques et logiques de laudit. c) Les constatations et observations effectues par les auditeurs doivent tre factuelles et bases sur la preuve. d) Les auditeurs doivent rendre compte des constats daudit au responsable dquipe daudit, lequel peut en avertir sans dlai sa hirarchie ainsi que laudit, dans le respect des clauses de confidentialit fixes dans la convention daudit. e) Toute modification effectue sur le systme dinformation audit, durant l'audit, doit tre trace, et en fin d'audit, le systme d'information concern doit retrouver un tat dont la scurit nest pas dgrade par rapport ltat initial. f) Les constats daudit doivent tre documents, tracs, et conservs, par le prestataire daudit, durant toute la dure de laudit. g) Le prestataire daudit et les auditeurs doivent prendre toutes les prcautions utiles pour prserver la confidentialit des documents et informations relatives laudit. h) Les actions et rsultats des auditeurs du prestataire daudit sur le systme dinformation audit, ainsi que leurs dates de ralisation, devraient tre tracs. Ces traces peuvent par exemple servir identifier les causes dun incident technique survenu lors de laudit. i) Ds la fin de laudit, et sans attendre que le rapport daudit soit achev, le responsable dquipe daudit doit informer laudit et le commanditaire de laudit des constats et des premires conclusions de laudit, ainsi que, le cas chant, des vulnrabilits majeures et critiques qui ncessiteraient une action rapide ainsi que des recommandations associes. 6.4. Exigences spcifiques aux activits daudit

Lorsquelles sont demandes par le commanditaire de laudit, les activits daudit ralises par le prestataire daudit doivent tre conformes aux exigences prcises dans les chapitres 6.4.1 6.4.5. Le cas chant, conformment au RGS, il est recommand dutiliser des produits qualifis.

Page 14 sur 24

Remarques : les activits techniques dcrites dans les paragraphes 6.4.1 6.4.4 nexcluent pas lvaluation de lorganisation de la scurit logique et physique des lments audits. Cette valuation consiste en la vrification que les politiques de scurit et procdures dfinies pour assurer le maintien en conditions de scurit du systme dinformation audit sont conformes ltat de lart ; les numrations listes dans les chapitres 6.4.1 6.4.5 sont donnes titre indicatif et ne sont pas exhaustives. Par ailleurs, elles ne doivent tre ralises que lorsquelles sont applicables la cible audite.

6.4.1. Audit darchitecture a) Le prestataire daudit doit procder la revue des documents suivants lorsquils existent : - schmas darchitectures de niveau 2 et 3 du modle OSI ; - matrices de flux ; - rgles de filtrage ; - configuration des quipements rseau (routeurs et commutateurs) ; - interconnexions avec des rseaux tiers ou Internet ; - analyses de risques systme ; - documents darchitecture technique lis la cible. b) Le prestataire daudit doit pouvoir organiser des entretiens avec le personnel concern par la mise en place et ladministration de la cible audite, notamment en ce qui concerne les procdures dadministration. 6.4.2. Audit de configuration

a) Les lments de configuration des cibles audites doivent tre fournis au prestataire daudit. Ils peuvent tre rcuprs manuellement ou automatiquement, partir dun accs privilgi sur les cibles audites, sous la forme de fichiers de configuration ou de captures dcran. Cette action peut tre entreprise directement par lauditeur aprs accord de laudit. Il est recommand que le prestataire daudit vrifie, conformment ltat de lart ou aux exigences et rgles spcifiques de laudit, la scurit des configurations : - des quipements rseau filaire ou sans fil de type commutateurs ou routeurs ; - des quipements de scurit (type pare-feu ou relais inverse (filtrant ou non) et leurs rgles de filtrage, chiffreurs, etc.) ; - des systmes dexploitation ; - des systmes de gestion de bases de donnes ; - des services dinfrastructure ; - des serveurs dapplications - des postes de travail ; - des quipements de tlphonie ; - des environnements de virtualisation. c) Le prestataire daudit doit, lissue de laudit de la configuration effectuer des recommandations sur : - les mcanismes dauthentification (robustesse des dispositifs) ; - les mcanismes cryptographiques utiliss ;

Page 15 sur 24

les rgles de filtrage rseau (entre, sortie, routage, NAT...) ; les bonnes pratiques en matire de segmentation (VLAN) ; les bonnes pratiques de durcissement des systmes dexploitation, des configurations des serveurs applicatifs et des services dinfrastructure. 6.4.3. Audit de code source

a) Le code source, la documentation relative la mise en uvre, les mthodes et rapports de tests et larchitecture du systme dinformation audit doivent tre fournis au prestataire daudit ainsi que la configuration des lments de compilation et dexcution, dans les limites des droits dont disposent le commanditaire de laudit et laudit. b) Il est recommand de procder des entretiens avec un dveloppeur ou le responsable de la mise en uvre du code source audit afin de disposer dinformations relatives au contexte applicatif, aux besoins de scurit et aux pratiques lies au dveloppement. c) Il est recommand que laudit de code fasse pralablement lobjet dune analyse de la scurit de lapplication audite afin de limiter laudit aux parties critiques de son code. d) Il est recommand que le prestataire daudit vrifie la scurit des parties du code source relatives : - lauthentification ; - la gestion des utilisateurs ; - le contrle daccs aux ressources ; - les interactions avec dautres applications ; - les relations avec les systmes de gestion de bases de donnes ; - la conformit des exigences de scurit relative lenvironnement dans laquelle est dploye lapplication. e) Il est recommand que le prestataire daudit recherche les vulnrabilits les plus rpandues dans les domaines suivants : cross-site scripting, injections SQL, cross-site request forgery, erreurs de logique applicative, dbordement de tampon, excution de commandes arbitraires, inclusion de fichiers (locaux ou distants). Laudit de code source doit permettre dviter les fuites dinformation et les altrations du fonctionnement du systme dinformation. f) Les audits de code source peuvent tre raliss manuellement ou automatiquement par des outils spcialiss. Les phases automatises, ainsi que les outils utiliss, doivent tre identifis dans les livrables et en particulier dans le rapport daudit. 6.4.4. Tests dintrusion

a) Lquipe daudit en charge de la ralisation dun test dintrusion sur une cible donne peut effectuer une ou plusieurs des phases suivantes : - phase bote noire : lauditeur ne dispose daucune autre information que les adresses IP et URL associes la cible audite. Cette phase est gnralement prcde de la dcouverte dinformations et lidentification de la cible par interrogation des services DNS, par le balayage des ports ouverts, par la dcouverte de la prsence dquipements de filtrage... ; - phase bote grise : les auditeurs disposent des connaissances dun utilisateur standard du systme dinformation (authentification lgitime, poste de travail standard ...). Les identifiants peuvent appartenir des profils dutilisateurs diffrents afin de tester des niveaux de privilges distincts ;

Page 16 sur 24

phase bote blanche : les auditeurs disposent du maximum dinformations techniques (architecture, code source, contacts tlphoniques, identifiants...) avant de dmarrer lanalyse. Ils ont galement accs des contacts techniques lis la cible. Si plusieurs de ces prestations sont effectues, il est recommand de prserver l'ordre d'excution dcrit ci-dessus. b) Le prestataire daudit et le commanditaire doivent, pralablement tout test dintrusion, dfinir un profil dattaquant simul. c) Le prestataire daudit doit avoir un contact permanent avec laudit et lauditeur doit prvenir le commanditaire de laudit et laudit avant toute action qui pourrait entraner un dysfonctionnement, voire un dni de service de la cible audite. d) Lorsquelles sont connues pour rendre la cible audite instable voire provoquer un dni de service, les vulnrabilits dcouvertes ne devraient pas tre exploites sauf accord du commanditaire et de laudit. Labsence de tentative dexploitation de telles vulnrabilits doit tre indique et justifie dans le rapport daudit. e) Les vulnrabilits non publiques dcouvertes lors de laudit doivent tre communiques au CERTA (http://www.certa.ssi.gouv.fr). 6.4.5. Audit organisationnel

Le prestataire daudit doit analyser la scurit des domaines relatifs lorganisation de la scurit des systmes dinformation sur la base des rfrentiels techniques et rglementaires en accord avec les rglementations et les mthodes applicables dans le domaine dactivit de laudit. Laudit organisationnel doit permettre de mesurer la conformit du systme dinformation audit par rapport aux rfrentiels et identifier les carts prsentant les vulnrabilits majeures du systme audit. 6.5. Elaboration du rapport daudit

a) Pour tout audit, le prestataire daudit doit tablir un rapport daudit. b) Le rapport daudit doit tre adapt en fonction de lactivit daudit ralise par le prestataire daudit. c) Le rapport daudit doit contenir en particulier : - une synthse, comprhensible par des non experts, qui prcise : o le contexte et le primtre de laudit6 ; o les vulnrabilits critiques, dorigine technique ou organisationnelle, et les mesures correctives proposes ; o lapprciation du niveau de scurit du systme dinformation audit par rapport ltat de lart et en considration du primtre daudit. - un tableau synthtique des rsultats de laudit, qui prcise : o la synthse des vulnrabilits releves, classes selon une chelle de valeur ; o la synthse des mesures correctives proposes, classes par criticit et par complexit ou cot estim de correction ;

Compte tenu du fait que le commanditaire dispose gnralement dj dune description du primtre audit, dans la convention daudit ou dans le plan daudit, la synthse du contexte du primtre de laudit peut tre trs succincte.

Page 17 sur 24

lorsque raliss, une description du droulement linaire des tests dintrusion et de la mthodologie employe pour dtecter les vulnrabilits et, le cas chant, les exploiter ; une analyse de la scurit du systme dinformation audit, qui prsente les rsultats des diffrentes activits daudit ralises.

d) Les vulnrabilits, quelles soient dorigine technique ou organisationnelle, doivent tre classes en fonction de leur impact sur la scurit du systme dinformation et leur difficult dexploitation Il est recommand dutiliser lchelle propose par lANSSI en annexe C. A dfaut, le prestataire daudit doit tre en mesure de proposer une chelle pertinente. e) Il doit tre mentionn dans le rapport daudit les rserves relatives lexhaustivit des rsultats de laudit (lies aux dlais allous laudit, la disponibilit des informations demandes) ou la pertinence de la cible audite. f) Le rapport daudit mentionne les noms et coordonnes des auditeurs, responsables dquipe daudit et commanditaires de laudit. 6.6. Conclusion de laudit a) Une runion de clture de laudit doit tre organise avec le commanditaire de laudit et laudit suite la livraison du rapport daudit. Cette runion permet de prsenter la synthse du rapport daudit, des scnarios dexploitation de certaines failles, des recommandations et dorganiser un jeu de questions / rponses. b) Le responsable dquipe daudit doit demander laudit de signer un document attestant que le systme dinformation qui a t audit est, lissue de laudit, dans un tat dont la scurit nest pas dgrade par rapport ltat initial, dgageant ainsi, dans le principe, la responsabilit des auditeurs et du prestataire daudit de tout problme postrieur laudit. c) Toutes les traces, relevs de configuration, informations ou documents relatifs au systme dinformation audit obtenue par le prestataire daudit doivent tre restitus laudit ou, sur sa demande, dtruits. Le cas chant, le responsable d'audit produit un procs verbal de destruction de ces donnes qu'il remet l'audit et prcisant les donnes dtruites et leur mode de destruction. d) Afin quil puisse sassurer de la pertinence des mesures correctives mises en uvre pour corriger les vulnrabilits dcouvertes lors de laudit, le commanditaire de laudit peut demander au prestataire daudit la fourniture des dveloppements spcifiques autonomes raliss lors de laudit pour valider les scnarios dexploitation des vulnrabilits. Ces dveloppements peuvent tre fournis sous la forme de script ou de programmes compils, accompagns de leur code source, ainsi que dune brve documentation de mise en uvre et dutilisation. Les modalits relatives cette mise disposition sont prcises dans la convention daudit. e) Laudit est considr comme termin lorsque toutes les activits prvues ont t ralises et que le commanditaire de laudit a reu et attest que le rapport daudit est conforme aux objectifs viss dans la convention daudit. f) Il est recommand que le prestataire daudit propose au commanditaire de laudit deffectuer ultrieurement un audit de validation afin de vrifier si les mesures correctives proposes lors de laudit ont t correctement mises en uvre.

Page 18 sur 24

7.

Rfrences documentaires 7.1. Textes rglementaires

Ordonnance n 2005-1516 du 8 dcembre 2005 relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives. Dcret n 2010-112 du 2 fvrier 2010 pris pour lapplication des articles 9, 10 et 12 de lordonnance n 2005-1516. Arrt du 6 mai 2010 portant approbation du rfrentiel gnral de scurit et prcisant les modalits de mise en uvre de la procdure de validation des certificats lectroniques http://www.ssi.gouv.fr/rgs. Instruction interministrielle Recueil de mesures de protection des systmes dinformation traitant dinformations sensibles non classifies de dfense de niveau Diffusion Restreinte, version du 28 avril 2011. 7.2. Normes et documents techniques

Norme internationale ISO/IEC 17020 :1998 : Critres gnraux pour le fonctionnement de diffrents type dorganismes procdant linspection. Norme internationale ISO/IEC 19011 :2002 : Lignes directrices pour laudit des systmes de management de la qualit ou de management environnemental. Norme internationale ISO/IEC 27001 : 2005 : Techniques de scurit Systmes de gestion de la scurit de linformation Exigences. Norme internationale ISO/IEC 27002 : 2005 : Techniques de scurit Code de bonne pratique pour la gestion de la scurit de l'information. Guides de lANSSI et notamment les guides Scurit de lexternalisation et Javasec , publis sur http://www.ssi.gouv.fr. . Guides et documentation de lOpen Web Application Security Project (OWASP). Guides de dveloppement scuris Microsoft http://msdn.microsoft.com/fr-fr/library/ms954624.aspx Guides de dveloppement scurit Java http://www.oracle.com/technetwork/java/seccodeguide-139067.html

7.3.

Autres rfrences documentaires

Dfense et scurit de linformation Stratgie publique (de la France) Glossaire Publi sur http://www.ssi.gouv.fr. Les rgles dhygine informatique promues par lANSSI.

Page 19 sur 24

Annexe A : Recommandations lintention des commanditaires daudits Cette annexe liste les recommandations de lANSSI lintention des autorits administratives, et plus gnralement des commanditaires daudits, dans le cadre de la passation de marchs publics, ainsi quaux prestataires daudit dans le cadre de leur devoir de conseil. LANSSI peut tre consulte pour participer la dfinition du cahier des charges des audits faisant lobjet dun appel doffres. 7.4. Recommandations gnrales

a) Il est recommand que le prestataire puisse fournir des rfrences permettant destimer de sa comptence : rfrences clients, participation des programmes de recherche... b) Les audits devraient tre le plus exhaustif possible, tout en tenant compte des contraintes temporelles et budgtaires alloues laudit. c) La dure de laudit demand par les commanditaires daudits devrait tre adapte en fonction : - du primtre daudit et de sa complexit ; - des exigences de scurit attendues du systme dinformation audit. d) Afin de rduire le volume global dlments auditer et donc le cot de laudit, et tout en conservant un primtre daudit pertinent, il devrait tre ralis un chantillonnage respectant les principes suivants : - pour les audits de configuration, seuls les serveurs les plus sensibles sont audits : contrleurs de domaine Active Directory, serveurs de fichiers, serveurs dinfrastructure (DNS, SMTP, etc.), serveurs applicatifs... - pour un audit de code source, seules les parties sensibles du code source sont audites : gestion des authentifications, gestion des contrles daccs des utilisateurs, accs aux bases de donnes, contrle des saisies utilisateur... e) Il est prfrable de raliser les tests dintrusions sur un environnement de test (ou de prproduction ) afin dviter les consquences lies aux ventuels dysfonctionnements sur un environnement de production. Ceci dit, afin de garantir la pertinence de laudit, il convient de sassurer que cet environnement soit similaire celui de production. Lapplicabilit des rsultats des audits techniques dans lenvironnement de production doit tre vrifie. Les audits darchitecture, de configuration, de code source et organisationnels doivent tre raliss dans lenvironnement de production. f) La dfinition du primtre d'un audit doit tre base sur une analyse pralable des risques mtier de laudit. Il est recommand au commanditaire de laudit dindiquer les lments les plus sensibles de la cible audite au prestataire daudit. g) Il est recommand que le commanditaire de laudit dsigne, en son sein, un rfrent charg de la gestion des relations avec le prestataire et des modalits de ralisation des activits daudit (horaires des interventions, autorisations, etc.). h) Il est recommand que le commanditaire et laudit prennent les mesures de sauvegarde ncessaires la protection de leurs systmes dinformation et de leurs donnes pralablement tout audit.

Page 20 sur 24

7.5.

Types daudit recommands par lANSSI

a) LANSSI recommande aux commanditaires et aux prestataires daudit de la scurit des systmes dinformation de recourir et demander des audits composs des activits daudit suivantes : - audit applicatif : o audit de code source ; o audit de configuration (serveur dapplication, serveur HTTP, base de donnes). - audit dun centre serveur : o audit darchitecture rseau (liaison entre les diffrentes zones et entits, filtrage) ; o audit de configuration (quipements rseau et de scurit, serveurs dinfrastructure) ; o audit organisationnel. - audit dun rseau bureautique : o audit darchitecture rseau ; o audit de configuration (quipements rseau, serveurs bureautique, serveurs AD) ; o audit organisationnel. - audit dune plate-forme de tlphonie : o audit darchitecture ; o audit de configuration (quipements rseau et de scurit, IPBX, tlphones). - audit dune plate-forme de virtualisation : o audit darchitecture ; o audit de configuration (quipements rseau et de scurit, systmes de virtualisation). Cette liste est non exhaustive et peut tre complte par les commanditaires daudits et les prestataires daudit. b) Chacun des types daudit dcrits ci-dessus peut inclure lactivit de tests dintrusion. c) En revanche, lactivit de tests dintrusion ne devrait jamais tre ralise seule et sans aucune autre activit daudit. En effet, un test dintrusion peut servir de complment pour un audit de configuration ou de code auquel il est adoss afin damliorer la porte, en terme dimpacts, de ce dernier. Ceci permet par exemple de vrifier quune faille dcouverte lors dun audit de code source est bien exploitable dans les conditions dexploitation de la plate-forme, ainsi que les consquences de cette exploitation (excution de code, fuite dinformations, rebond...). d) Les tests dintrusion ne devraient pas tre raliss sur des plates-formes dhbergement mutualises sauf accord express de lhbergeur et aprs que les risques aient t valus et matriss, et que les responsabilits aient t clairement tablies.

Page 21 sur 24

Annexe B : Liste dtaille des comptences techniques et organisationnelles dun prestataire daudit

A. Comptences techniques Les lments suivants sont inclus dans les domaines cits dans la rgle 4.3.g : - rseaux et protocoles : o protocoles rseau et infrastructures ; o protocoles applicatifs courants et service dinfrastructure ; o configuration et scurisation des principaux quipements rseau du march ; o rseaux de tlcommunication ; o technologie sans fil ; o tlphonie ; - systmes dexploitation (environnement et durcissement) : o architectures Microsoft ; o systmes UNIX/Linux ; o solution de virtualisation. - couche applicative : o mthodes dintrusion dans le contexte dapplications web ; o guides et principes de dveloppement scurit ; o applications de type client/serveur ; o langages de programmation dans le cadre daudits de code ; o mcanismes cryptographiques ; o socle applicatif : serveurs web, serveurs dapplication, systmes de gestion de bases de donnes ; - quipements et logiciels de scurit : o pare-feu ; o systme de sauvegarde ; o systme de stockage mutualis ; o serveurs mandataires inverses ; o dtection et prvention d'intrusion (rseau et hte) ; o logiciels de scurit ct poste client. B. Comptences organisationnelles Les lments suivants sont inclus dans les domaines cits dans la rgle 4.3.h : - matrise des rfrentiels techniques : - matrise du cadre normatif : o les normes ISO/IEC 27001 et ISO 27002 ;

Page 22 sur 24

o les textes rglementaires relatifs la scurit des systmes dinformation, aux audits et aux sujets connexes7 ; matrise des domaines relatifs lorganisation de la scurit des systmes dinformation : o analyse des risques ; o politique de scurit des systmes dinformation ; o chaines de responsabilits en scurit des systmes dinformation ; o scurit lie aux ressources humaines ; o gestion de lexploitation et de ladministration du systme dinformation ; o contrle daccs logique au systme dinformation ; o dveloppement et maintenance des applications ; o gestion des incidents lis la scurit de linformation ; o gestion du plan de continuit de lactivit ; o scurit physique. matrise des pratiques lies laudit : o conduite dentretien ; o visite sur site ; o analyse documentaire.

C. Connaissances des rfrentiels Les lments suivants sont inclus dans les domaines cits dans la rgle 4.3.i : - matrise du RGS et des rfrentiels cryptographiques associs ; - matrise des guides et rfrentiels8 de lANSSI.

Notamment les rgles relatives la protection de la vie prive, du secret professionnel, des correspondances prives ou des donnes caractre personnel, aux atteintes aux intrts fondamentaux de la nation, au terrorisme, aux atteintes la confiance publique, la proprit intellectuelle, lusage des moyens de cryptologie, au patrimoine scientifique et technique national. 8 Mthode de gestion de risques EBIOS 2010, guide pour llaboration dune PSSI, guide dlaboration de tableaux de bord SSI, guide dintgration de la SSI dans les projets, guide relatif la maturit SSI, guide de lexternalisation. Tous ces guides sont publis sur http://ssi.gouv.fr.

Page 23 sur 24

8.

Annexe C : Echelle de classification des vulnrabilits

LANSSI propose lchelle de classification des vulnrabilits suivante. Les vulnrabilits, quelles soient dorigine technique ou organisationnelle, sont classes en fonction du risque quelles font peser sur le systme dinformation, c'est--dire en fonction de limpact de la vulnrabilit sur le systme dinformation et de sa difficult dexploitation. Le niveau du risque li chaque vulnrabilit est apprci selon lchelle de valeur suivante : - Mineur : faible risque sur le systme dinformation et pouvant ncessiter une correction ; - Important : risque modr sur le systme dinformation et ncessitant une correction moyen terme ; - Majeur : risque majeur sur le systme dinformation ncessitant une correction court terme ; - Critique : risque critique sur le systme dinformation et ncessitant une correction immdiate ou imposant un arrt immdiat du service. La facilit dexploitation correspond au niveau dexpertise et aux moyens ncessaires la ralisation de lattaque. Elle est apprcie selon lchelle suivante : - Facile : exploitation triviale, sans outil particulier ; - Modre : exploitation ncessitant des techniques simples et des outils disponibles publiquement ; - Eleve : exploitation de vulnrabilits publiques ncessitant des comptences en scurit des systmes dinformation et le dveloppement doutils simples ; - Difficile : exploitation de vulnrabilits non publies ncessitant une expertise en scurit des systmes dinformation et le dveloppement doutils spcifiques et cibls. Limpact correspond aux consquences que lexploitation de la vulnrabilit peut entrainer sur le systme dinformation de laudit. Il est apprci selon lchelle suivante : - Mineur : pas de consquence directe sur la scurit du systme dinformation audit ; - Important : consquences isoles sur des points prcis du systme dinformation audit ; - Majeur : consquences restreintes sur une partie du systme dinformation audit ; - Critique : consquences gnralises sur lensemble du systme d'information audit. Le tableau suivant indique le niveau de risque inhrent chaque vulnrabilit dcouverte, en fonction de leur difficult dexploitation et de leur impact prsum :
Facilit dexploitation Impact Mineur Important Majeur Critique Mineur Mineur Important Important Mineur Important Majeur Majeur Important Important Majeur Critique Majeur Majeur Critique Critique

Difficile

Eleve

Modre

Facile

Page 24 sur 24