HomeActivités

Audit de réseaux VoIP

Méthodologie d'audit

La méthodologie d'audit s’adresse aux auditeurs de sécurité de réseaux VoIP et décrit la méthodologie d’audit de réseaux VoIP développée dans le cadre du projet VaDeSe. Des checklists détaillés pour chaque étape de l’audit sont fournis. La méthodologie est complétée par des outils de tests, également développés dans le cadre du projet VaDeSe.

Cette page décrit la méthodologie d'audit développée. Les documents détaillés sont disponibles sur la page Documents .

Terminologie

Terme français
 Terme anglais
Définition
Menace Threat Objectif d’une attaque, p.ex. déni de service, vol de service, spam, écoute clandestine, redirection d’appels, …
(Cette définition est basée sur la taxonomie de menaces de VOIPSA. Elle ne correspond pas à la définition de NIST).
Vulnérabilité

Vulnerability

Une faiblesse d’un composant du système qui peut conduire à une violation de la politique de sécurité du système. Elle peut être exploitée intentionnellement par un attaquant ou déclenchée accidentellement par un utilisateur normal.
Exemples : mot de passe faible, buffer overflow d’un service, susceptibilité au déni de service
Contrôle Control Méthode de sécurisation des composants qui prévient certaines attaques. P.ex. un firewall, une méthode d’authentification, la désactivation d’un service.
Attaque Attack, Exploit Une ou plusieurs actions coordonnées qui exploitent une vulnérabilité afin de réaliser une menace.
Risque Risk Paramètre qui quantifie le danger pour le bon fonctionnement d’une entreprise. Tient compte de la probabilité d’une attaque et de son impact.
Composant du sytème
 System component

Elément du système, y compris :

  • Le matériel (serveurs, dispositifs de réseau)
  • Les logiciels
  • Les services
  • Les contrôles (méthodes de sécurisation, authentification, ...)
  • Les données gérées
Critères d'information
 Information criteria

Dimensions de sécrité, définies par CobiT :

  • Effectivité
  • Efficacité
  • Confidentialité
  • Intégrité
  • Disponibilité
  • Compliance
  • "Reliability" (Si les informations sont appropriées pour le but visé)

 

Procédure d'audit

Cette procédure suit la procédure décrite dans les documents NIST 800-30 et NIST Draft 800-100. Pour une description détaillée voir ces documents. Une procédure similaire et brièvement décrite dans les CobiT Audit Guidelines, comme alternative à la procédure CobiT.

 

Procédure d'audit

 

1-Caractérisation du système

Décrit les composants du système (voir terminologie) ainsi que fonctionnalités requises, les politiques de sécurité, etc.

2-Analyse des menaces

Sélectionne les menaces à considérer des les phases suivantes. Elle part d’une liste de menaces complète et élimine des menaces à ne pas considérer :

  • En fonction des composants du réseau
  • En fonction des priorités de l'entreprise

3-Analyse des contrôles

Analyser les mécanismes de sécurité en place dans le système

  • Enumération des contrôles
  • Définition des effets, et donc des menaces prévenues, pour chaque contrôle
  • Evaluation de l'efficacité du contrôle, par vérification de la configuration, et test du contrôle

4-Analyse des vulnérabilités

Identifie les vulnérabilités à considérer:

  • Qui pourraient être présentes dans le système
  • Qui ne sont pas couvertes par les contrôles en place

5-Analyse des risques

Priorise les dangers constatées en déterminant la probabilité d'une attaque et son impact.

6-Recommendations

Propose des contrôles supplémentaires, des procédures (pour augmenter l'efficacité des contrôles) et permettre de réduire les risques pour l'entreprise.