Un audit de sécurité serveur est une revue systématique de l’exposition et de la configuration d’un serveur afin de déterminer par où un attaquant pourrait entrer et ce qu’il pourrait faire une fois à l’intérieur. Si l’on vous a demandé d’en commander un, ou si vous souhaitez mener une revue interne, ce guide explique précisément ce qu’un audit approfondi examine et pourquoi chaque domaine compte.

Un audit est diagnostique : il vous dit où vous en êtes. Il se marie naturellement avec le durcissement , qui est le travail de correction de ce que l’audit révèle.

En bref

  • Un audit serveur passe en revue la surface d’attaque, la configuration de l’OS et des services, l’état des correctifs, les contrôles d’accès, la configuration réseau et pare-feu, ainsi que la surveillance
  • Il compare généralement le serveur à une norme reconnue telle que le CIS Benchmark
  • Il inclut une analyse des malwares et rootkits ainsi qu’une revue de la journalisation afin que les intrusions soient réellement détectées
  • Le résultat doit être une liste de constats classés par priorité et notés selon le risque, sur lesquels vous pouvez agir, et non un déversement brut de scanner

1. Revue de la surface d’attaque

La première tâche consiste à établir ce que le serveur expose réellement.

  • Énumérer tous les services en écoute et les ports ouverts, et confirmer que chacun est intentionnel.
  • Distinguer les services exposés sur Internet de ceux qui devraient rester internes uniquement.
  • Signaler les services obsolètes ou inutiles qui élargissent la surface d’attaque sans apporter de valeur.

2. Audit du système d’exploitation et de la configuration

  • Vérifier la version de l’OS et son statut de support ; un OS en fin de vie est un risque permanent.
  • Comparer la configuration à une norme reconnue, généralement le CIS Benchmark de la distribution.
  • Évaluer l’état des correctifs de l’OS et des logiciels installés, et vérifier que les mises à jour de sécurité automatiques sont en place.

3. Contrôle d’accès et authentification

  • Passer en revue les comptes utilisateurs et de service, en supprimant les comptes obsolètes, par défaut et inutilisés.
  • Auditer les attributions sudo et de privilèges selon le moindre privilège.
  • Examiner la configuration SSH : authentification par clé, connexion root désactivée, authentification par mot de passe désactivée et protection contre le brute-force.
  • Vérifier l’authentification multifacteur sur l’accès administratif.

4. Pare-feu et segmentation réseau

  • Confirmer que le pare-feu suit une politique de refus par défaut et n’expose que les ports requis.
  • Passer en revue la segmentation réseau afin que la compromission d’un hôte n’autorise pas un déplacement libre à travers le réseau.
  • Vérifier que les interfaces de gestion sont restreintes à des sources de confiance ou à un VPN.

5. Détection des malwares et rootkits

  • Lancer une analyse des malwares et rootkits pour détecter une compromission existante.
  • Effectuer des contrôles d’intégrité de fichiers pour identifier les modifications inattendues des binaires système et de la configuration.

6. Journalisation, surveillance et détection

  • Vérifier que les événements pertinents pour la sécurité sont journalisés (par exemple via auditd) et conservés.
  • Confirmer que les journaux sont expédiés hors de l’hôte afin qu’un attaquant ne puisse pas les effacer trivialement.
  • Vérifier que les activités suspectes génèrent des alertes, afin qu’une intrusion soit réellement remarquée.

7. Protection des données et sauvegardes

  • Confirmer que les données sensibles sont chiffrées au repos et en transit.
  • Vérifier que les sauvegardes existent, sont stockées hors du serveur et ont été testées par restauration.
  • Vérifier qu’un processus de restauration existe et est documenté.

À quoi ressemble un bon résultat

Un audit utile ne vous remet pas un rapport brut de scanner. Il fournit des constats notés selon le risque et classés par priorité avec des étapes de remédiation claires, afin que vous sachiez quoi corriger en premier et pourquoi. N’importe qui peut lancer un scanner ; la valeur réside dans l’interprétation experte, l’élimination des faux positifs et la priorisation face au risque réel.

Points clés à retenir

  • Un audit de sécurité serveur passe en revue la surface d’attaque, la configuration, les correctifs, les contrôles d’accès, la configuration réseau, les malwares et la surveillance.
  • Attendez-vous à ce qu’il se compare à une norme reconnue telle que CIS et qu’il inclue une analyse des malwares et rootkits.
  • Le livrable doit être des constats classés par priorité et notés selon le risque avec des recommandations de remédiation, et non un déversement de scanner.
  • Un audit diagnostique ; le durcissement corrige. Utilisez-les ensemble.

Obtenez un audit de sécurité serveur professionnel

Un audit approfondi bénéficie d’un œil expérimenté qui sait quels constats comptent vraiment. Le service d’audit de sécurité serveur couvre une revue complète de la surface d’attaque, un alignement sur le CIS Benchmark, une détection des malwares et rootkits, une revue de la segmentation réseau et un rapport de durcissement priorisé. Une fois que vous savez où vous en êtes, le service de durcissement de serveur Linux et le guide de durcissement couvrent les corrections.

Foire aux questions (FAQ)

Qu’est-ce qu’un audit de sécurité serveur ? Une revue systématique de l’exposition et de la configuration d’un serveur pour identifier les faiblesses de sécurité, couvrant la surface d’attaque, la configuration de l’OS et des services, l’état des correctifs, les contrôles d’accès, la configuration réseau, les malwares et la surveillance. Elle vous indique où vous êtes vulnérable et comment y remédier.

En quoi un audit diffère-t-il du durcissement ? Un audit est diagnostique : il trouve et priorise les faiblesses. Le durcissement est le travail de remédiation qui les corrige. Vous auditez pour savoir où vous en êtes, puis vous durcissez pour combler les lacunes.

Un audit serveur inclut-il une analyse des malwares ? Un audit approfondi, oui. En plus de la revue de configuration, il devrait inclure une analyse des malwares et rootkits et des contrôles d’intégrité de fichiers pour détecter toute compromission existante, et pas seulement un risque futur.

Contre quelle norme un audit serveur doit-il se mesurer ? Le CIS Benchmark de votre système d’exploitation est la référence courante. Il fournit une norme objective et spécifique à la distribution afin que les constats soient mesurables et reproductibles plutôt que subjectifs.

À quelle fréquence devrions-nous auditer nos serveurs ? Périodiquement, et après des changements importants, car la configuration dérive et de nouvelles vulnérabilités apparaissent. De nombreuses organisations combinent un audit approfondi annuel ou semestriel avec un correctif et une surveillance automatisés continus entre-temps.