Audit de configuration

L’audit de configuration a pour objectif de vérifier la mise en œuvre de pratiques de sécurité conformes à l’état de l’art et aux exigences et règles internes de l’audité en matière de configuration des dispositifs matériels et logiciels déployés dans un système d’information. Ces dispositifs peuvent notamment être des équipements réseau, des systèmes d’exploitation, des applications ou des produits de sécurité.

Les audits de configuration peuvent être réalisés sur les équipements suivants :

  • Équipements réseau
  • Équipements de sécurité (pare-feu, reverse proxy, …)
  • Système d’exploitation
  • Système de gestion de bases de données
  • Postes de travail
  • Etc.

Deux méthodologies sont proposées afin d’extraire les fichiers de configuration :

  1. Extraction à chaud : Le client donne accès à l’équipement aux auditeurs afin qu’ils puissent visualiser les configurations en direct depuis l’appareil.
  2. Extraction à froid : Le client fournit la configuration de l’équipement aux auditeurs soit par ses propres moyens, soit à l’aide d’un script d’extraction fourni par les auditeurs.