Symposium sur la sécurité des technologies de l'information et des communications

L’intérêt de la réalisation d’audits de configuration des composants d’un système sensible fait aujourd’hui consensus. Ce type d’audit fait notamment partie des prestations pour lesquelles l’ANSSI a mis en place une structure permettant de reconnaitre les compétences des auditeurs (PASSI). Dans les faits, la réalisation d’audits de configuration se heurte encore à des réticences des responsables informatiques provenant d’inquiétudes légitimes. Les accès nécessaires à l’obtention des informations sur lesquelles se basent les analyses sont élevés et les personnes en charges de systèmes sensibles (notamment en disponibilité) sont légitimement peu enclines à laisser la main sur leurs équipements aux auditeurs. Nous apportons dans cet article une solution permettant de répondre à ces inquiétudes tout en permettant une analyse approfondie des configurations. L’architecture de notre solution permet également un accompagnement de l’auditeur dans les tâches d’analyse les plus répétitives et permet ainsi des analyses plus complètes tout en limitant le risque d’erreur. Dans cet article, nous nous focalisons sur l’analyse de la configuration de serveurs et prenons l’exemple de l’analyse des mises à jour des paquets logiciels sur les systèmes Linux, tâche fastidieuse et impossible à réaliser de manière exhaustive en temps contraint.