Sécurité

Audit de sécurité SI

Réalisation d'un audit de sécurité complet du système d'information d'une organisation publique, identification de 27 vulnérabilités et mise en œuvre d'un plan de remédiation priorisé.

Année

2023

Durée

6 semaines

Rôle

Auditeur principal

Référentiel

ISO 27001

Contexte

L'organisation souhaitait évaluer le niveau de maturité de la sécurité de son système d'information avant de lancer une démarche de certification ISO 27001. La mission couvrait l'ensemble du SI : infrastructure réseau, serveurs, postes de travail, applications métier et pratiques des utilisateurs.

J'ai conduit l'audit en me basant sur le référentiel ISO 27001 et les bonnes pratiques CIS Controls, en combinant analyse documentaire, tests techniques et entretiens avec les équipes.

Méthodologie d'audit

Cadrage & collecte documentaire

Recueil des politiques de sécurité existantes, schémas réseau, inventaires d'actifs, et entretiens avec la DSI et les directions métier.

Scan de vulnérabilités

Analyse automatisée avec Nessus Professional sur l'ensemble du périmètre (230 IP). Identification des CVE critiques, services exposés et configurations incorrectes.

Tests d'intrusion ciblés

Tests manuels sur les cibles à risque identifiées : tentatives d'escalade de privilèges, tests d'injection, évaluation des mécanismes d'authentification.

Analyse & rapport

Rédaction d'un rapport d'audit détaillé avec chaque vulnérabilité classée par sévérité (CVSS), impact potentiel et recommandation de remédiation priorisée.

Accompagnement à la remédiation

Suivi de la mise en œuvre des correctifs pendant 4 semaines, vérification des remédiations et retest des vulnérabilités critiques.

Principales vulnérabilités identifiées

CritiqueServeur FTP anonyme exposé sur Internet avec données sensiblesCorrigé

CritiqueMots de passe par défaut sur 4 équipements réseau actifsCorrigé

ÉlevéAbsence de MFA sur les accès VPN et administration distanteCorrigé

ÉlevéWindows Server 2008 R2 non maintenu (fin de vie) exposé en DMZCorrigé

MoyenPolitique de mots de passe insuffisante (longueur min. 6 car.)Corrigé

MoyenAbsence de segmentation entre le réseau invité et le SI interneEn cours

FaibleJournaux d'événements non centralisés (pas de SIEM)En cours

Résultats

Vulnérabilités identifiées

89%

Taux de remédiation à 60 jours

+40pts

Score de maturité ISO 27001

Technologies & outils

Nessus ProfessionalKali LinuxMetasploit WiresharkOpenVASISO 27001 CIS ControlsCVSS v3Burp Suite

← Autres projets Me contacter →