Site Internet d'audit de sécurité

Site Internet d'aide à l''audit de sécurité

Sur une idée du laboratoire, ce projet réalisé par deux étudiants avait pour objectif de permettre à une entreprise d'estimer son niveau de sécurité informatique. Le principe est dans un premier temps de proposer à un audité un questionnaire très complet portant sur son système d'information et sa sécurité informatique. Ensuite, après avoir vérifié un certain nombre de points de contrôle standards relatifs à la sécurité, le site réalise un rapport global sur la sécurité de l'audité avec des propositions de contre-mesures à mettre en place, et dans certains cas budgetisés.

siteauditsecu 1

Ce site Internet a été réalisé sous des technologies classiques (php/MySQL)

Ce site est constitué de deux parties : la partie configuration qui permet de gérer tout ce qui concerne les questionnaires et les contre-mesures et la partie publique utilisé par les audités.

siteauditsecu 11

La partie configuration permet d'adapter le questionnaire au contexte de l'entreprise (taille de celle-ci, moyens informatiques, ...) et de sélectionner les catégories de technologie et de risque à y inclure.

siteauditsecu 2 siteauditsecu 3

Le questionnaire se déroule pas à pas avec une centaine de question portant autant sur les moyens informatiques, les compétences techniques, l'organisation, le budget, ...

siteauditsecu 9 siteauditsecu 10

L'audité peut ensuite accédé à l'ensemble des questions/réponses et contre mesure de son audit.

siteauditsecu 4

Un rapport d'analyse complet est édité et disponible en téléchargement. Un indice de gravité est affiché pour chaque catégorie de risque. Une liste de contre-mesure à mettre en place est proposée. Une estimation du coût de chaque contre-mesure est proposée à titre indicatif.

siteauditsecu 5

En dehors de la partie développement, le travail le plus important a été d'élaborer les scénarios et questionnaires relatifs aux audits pour obtenir des résultats structurés, adaptés, et réellement représentatifs.

Si ce site ne remplace pas un véritable audit, il peut être utilisé comme audit d'agrément, pour sensibiliser à la sécurité informatique, ou dans le cadre d'un pré-audit pour mesurer le niveau de sécurité d'une entreprise.

 Pour tout contact : B. Chervy