Audit selon la démarche OSSTMM 3.0

Historique

L’OSSTMM a vu le jour en 2000 et elle est le fruit de la volonté de plusieurs auditeurs en sécurité informatique, rassemblés sous l’ISECOM, de s’appuyer sur un standard rigoureux et pragmatique permettant non seulement de structurer les audits de sécurité, mais également de leur apporter une métrique. Chaque étape est découpée
en item focalisé sur les détails techniques.

Audit OSSTMM

Un audit OSSTMM permet une mesure précise de la sécurité à un niveau opérationnel donné. Il s’agit d’un manuel de méthodologie de test de sécurité libre de droit, régulièrement mis à jours grâce à des centaines d’auditeurs faisant retour de leur expérience dans le domaine. On peut la définir comme :

  • un standard permettant la mesure précise de la sécurité à un niveau donné indépendamment des hypothèses et des données,
  • une méthodologie assurant une réelle mesure de la sécurité, cohérente et reproductible
  • une méthodologie entièrement indépendante des lois et d’une quelconque entreprise ou fournisseur,
  • une méthodologie pouvant être librement utilisée, employée et diffusée

En outre, il est spécifié qu’un audit ne peut être qualifié d’audit OSSTMM que s’il respecte les critères suivants :

  • les tests sont quantifiables
  • ils sont cohérents et répétables
  • leur validité est permanente
  • l’analyse est basée sur le concept et non pas sur les données ou les matériels
  • l’audit est approfondi
  • conforme à la législation en vigueur et au respect de la vie privée

Ainsi, les éléments suivants doivent être préalablement définis et pris en compte afin de respecter la méthodologie :

  1. Date et du test
  2. Durée du test
  3. Implication des auditeurs et des analystes
  4. Type de test
  5. Périmètre
  6. Index (méthode d’énumération)
  7. Vecteurs testés
  8. Vérification des tests et des calculs des paramètres permettant d’assurer le niveau de protection, de la perte de contrôle, et les limites de sécurité
  9. Tous les tests, qu’ils soient faits, ou pas, ou partiellement doivent être notifiés
  10. Tous les résultats doivent être publiés
  11. Les marges d’erreurs doivent être précisées
  12. Identifier les processus qui influencent le périmètre de sécurité
  13. Identifier les inconnues et les anomalies

Concepts OSSTMM

Ce que propose en premier lieu l’OSSTMM, c’est une méthode scientifique pour spécifier précisément un audit de sécurité et les résultats obtenus aux tests afin de les exploiter en les corrélant et en pouvant les « rejouer ».

Télécharger la plaquette OSSTMMM 3.0