Introduction :
Avant de commencer à auditer votre système d'information il faut définir le périmètre du SI, pour cela il faut faire voire la société avec une eye global avant d'entrer dans le détail, un premier coup d'eye nous permettre à dégager les quatre principales parties suivantes : l'architecture physique comment nos différents équipements informatiques sont liés entre eux, les applications métiers, Les processus métiers, et les utilisateurs de notre système d'information.
Après le premier scan, nous devons prendre chaque puzzle parmi les quatre et essayer de le décortiquer afin d'améliorer son fonctionnement, le premier puzzle de notre système d'information est l'architecture physique.
Architecture Physique :
En commençons par le composant élémentaire qu'est la prise informatique, il ne faut pas brasser que les prises qui se sont liées à un équipement ou bien désactiver les ports des prises qui ne sont pas liées à un équipement via un Switch manageable, cela va nous permettre d'éviter qu'une personne se log dans notre réseau sans que nous le constate et nous crée par la suite des problèmes de disfonctionnement de notre réseau, par exemple si quelqu'un ramène avec lui un équipement contenant un serveur DHCP ceci risque que nos équipements consulte ce serveur en premier afin d'obtenir une adresse IP et par la suite de non communication de cet équipement avec les autres.
En outre si on utilise un réseau WIFI, nous devons le sécurisé via des clés WPA.
La deuxième chose élémentaire c'est de penser à sécuriser vos ordinateurs portables contre le vol, surtout si vous travailler dans un open space et exposé au public comme par exemple dans un showroom, en utilisant des câbles de verrouillage des ordinateurs portables.
Le troisième point c'est de sécuriser nos serveurs en les mettant dans une salle à clés avec contrôle d'accès, détection d'incendie, détection de changement de température avec possibilité de notification via SMS ou E-mail si vous déployez une solution de messagerie sur mobile.
Applications métier :
Lorsqu'on parle des applications métiers, la première étape à faire c'est d'essayer à répondre à ces questions :
Quels sont les applicatifs installées dans mon parc informatique ?
Sur quelle plate-forme tourne chaque application ?
Où elles sont installées ? Localement ou distant ?
Comment les utilisateurs se connecteront à ces applications et via quel moyen ?
Quels sont les recommandations de chaque application en termes de ressource matériels et logiciel ?
Est ce qu'il y a une relation entre ces applications ?
Quels sont les utilisateurs de ces applicatifs ?
Quels sont les droits d'accès de chaque utilisateur ?
Après la réponse à ces questions, il faut établir un rapport dans lequel on dégage les faiblesses et les forces de notre système d'information, un plan de travail dans lequel on définisse des objectifs étalés sur le temps en suivant le modèle SWOT (Strengths - Forces, Weakness - Faiblesses, Opportunities - Opportunités, Threats - Menaces).
Avant de commencer à auditer votre système d'information il faut définir le périmètre du SI, pour cela il faut faire voire la société avec une eye global avant d'entrer dans le détail, un premier coup d'eye nous permettre à dégager les quatre principales parties suivantes : l'architecture physique comment nos différents équipements informatiques sont liés entre eux, les applications métiers, Les processus métiers, et les utilisateurs de notre système d'information.
Après le premier scan, nous devons prendre chaque puzzle parmi les quatre et essayer de le décortiquer afin d'améliorer son fonctionnement, le premier puzzle de notre système d'information est l'architecture physique.
Architecture Physique :
En commençons par le composant élémentaire qu'est la prise informatique, il ne faut pas brasser que les prises qui se sont liées à un équipement ou bien désactiver les ports des prises qui ne sont pas liées à un équipement via un Switch manageable, cela va nous permettre d'éviter qu'une personne se log dans notre réseau sans que nous le constate et nous crée par la suite des problèmes de disfonctionnement de notre réseau, par exemple si quelqu'un ramène avec lui un équipement contenant un serveur DHCP ceci risque que nos équipements consulte ce serveur en premier afin d'obtenir une adresse IP et par la suite de non communication de cet équipement avec les autres.
En outre si on utilise un réseau WIFI, nous devons le sécurisé via des clés WPA.
La deuxième chose élémentaire c'est de penser à sécuriser vos ordinateurs portables contre le vol, surtout si vous travailler dans un open space et exposé au public comme par exemple dans un showroom, en utilisant des câbles de verrouillage des ordinateurs portables.
Le troisième point c'est de sécuriser nos serveurs en les mettant dans une salle à clés avec contrôle d'accès, détection d'incendie, détection de changement de température avec possibilité de notification via SMS ou E-mail si vous déployez une solution de messagerie sur mobile.
Applications métier :
Lorsqu'on parle des applications métiers, la première étape à faire c'est d'essayer à répondre à ces questions :
Quels sont les applicatifs installées dans mon parc informatique ?
Sur quelle plate-forme tourne chaque application ?
Où elles sont installées ? Localement ou distant ?
Comment les utilisateurs se connecteront à ces applications et via quel moyen ?
Quels sont les recommandations de chaque application en termes de ressource matériels et logiciel ?
Est ce qu'il y a une relation entre ces applications ?
Quels sont les utilisateurs de ces applicatifs ?
Quels sont les droits d'accès de chaque utilisateur ?
Après la réponse à ces questions, il faut établir un rapport dans lequel on dégage les faiblesses et les forces de notre système d'information, un plan de travail dans lequel on définisse des objectifs étalés sur le temps en suivant le modèle SWOT (Strengths - Forces, Weakness - Faiblesses, Opportunities - Opportunités, Threats - Menaces).
