Audit d'un systme d'information

Akiat 2011
Table des matires

Table des matires .................................................................................................................................. 2

1. Dfinition ......................................................................................................................................... 3
2. Introduction ..................................................................................................................................... 3
3. Procdure ........................................................................................................................................ 4
4. Les techniques d'audit ..................................................................................................................... 5
A. L'audit dit "boite blanche"........................................................................................................... 5
a) Audit de code .......................................................................................................................... 5
b) Audit de configuration............................................................................................................. 5
c) Audit de gestion des habilitations ........................................................................................... 5
d) Audit dclaratif ........................................................................................................................ 6
e) Audit organisationnel .............................................................................................................. 6
B. L'audit dit "boite noire" ............................................................................................................... 7
a) Audit de vulnrabilits ............................................................................................................ 7
b) Test dintrusion........................................................................................................................ 7
c) Audit technique ....................................................................................................................... 7
d) Le Fuzzing: ............................................................................................................................... 8
5. Les besoins ...................................................................................................................................... 8
6. La ralisation d'un audit .................................................................................................................. 8
A. La recherche d'informations ....................................................................................................... 8
B. Les techniques sans accs au SI................................................................................................. 13
C. Les techniques avec accs au SI ................................................................................................ 15
7. Les contremesures ........................................................................................................................ 16
8. Le rapport d'audit .......................................................................................................................... 17
9. Conclusion ..................................................................................................................................... 17

Akiat 2011
 1. Dfinition

L'audit de scurit d'un systme d'information (SI) est une vue un instant T de tout ou partie du SI,
permettant de comparer l'tat du SI un rfrentiel.

L'audit rpertorie les points forts, et surtout les points faibles (vulnrabilits) de tout ou partie du
systme. L'auditeur dresse galement une srie de recommandations pour supprimer les
vulnrabilits dcouvertes.

2. Introduction

Ce document n'a pas la prtention de prsenter toutes les attaques possibles, mais juste faire une
prsentation de certaines d'entres elle qui constitue de points d'entre frquents des attaques.

Un systme d'information doit tre protg. Cependant toutes les entreprises n'ont pas besoin du
mme niveau de scurit. Le contrat doit donc mentionner les secteurs tester. Il se peut, par
exemple, que l'entreprise ne soit pas intresse par un audit utilisant le Social engineering.

De mme, certaines phases comme la collecte d'informations dpendent directement du type

d'audit ralis.

Nous allons voir, dans les prochaines tapes de cette documentation, un certain nombre de
techniques d'intrusion. La liste n'est pas exhaustive bien entendu, les possibilits n'ayant de limite
que l'imagination, ou presque.

Nous ne parlerons pas ici de furtivit ou de suppressions de nos traces sur le rseau.

Akiat 2011
 3. Procdure

La premire tape consiste prendre connaissance de manire extrmement fine les attentes du
client. Il convient de bien comprendre ses besoins et de les reformuler.

Cette premire tape est particulirement importante dans la mesure o elle plante le contexte
prcis dans lequel laudit va tre men : autant dinformations qui seront incluses dans le rapport
daudit afin den faciliter linterprtation, mme plusieurs annes aprs sa ralisation.

Ensuite, une lettre de mission sera rdige. En plus de dfinir la procdure venir, elle a deux
objectifs principaux :

- elle est le contrat qui lie lentreprise et lauditeur ;

- elle permettra dinformer les diffrentes personnes impliques de larrive dun audit dans
lentreprise. Elle est dans le mme temps, auprs des salaris, une lgitimation de cet audit par la
direction.

Troisime phase : le recueil de toutes les informations ncessaires pour prparer la mission. Il sagit
de rcolter les lments relatifs la culture de lentreprise, au contexte gnral toujours en
corrlation avec le systme dinformation. Des rendez-vous sont donc organiss avec les personnes
concernes.

La quatrime phase est la ralisation de la mission, l'audition du systme d'information de

l'entreprise peu commenc.

Enfin, une runion de synthse est organise entre lauditeur et les personnes intresses. Il sagit
de sassurer ensemble :

- que les questions de lauditeur ont t bien comprises ;

- que les rponses ont t bien interprtes.

Le rapport est ensuite rdig, de plusieurs manires (concis et plus complet), car il sadresse en
gnral plusieurs types de publics.

Le rapport dtaill expliquera les attentes de dpart, le contexte, les limites, les faiblesses
constates, leur importance relative et les solutions.

Un rapport daudit doit tre clair et didactique. En aucun cas il ne doit tre technique.

Akiat 2011
 4. Les techniques d'audit

A. L'audit dit "boite blanche"

La mthode dite white box consistant tenter de s'introduire dans le systme en ayant
connaissance de l'ensemble du systme, afin d'prouver au maximum la scurit du rseau.

a) Audit de code
Il existe des bases de vulnrabilits trs fiables pour les applications rpandues. Nanmoins,
pour des applications moins utilises, ou codes par l'entreprise elle-mme, il peut tre ncessaire
d'analyser leur scurit. Si les sources de l'application sont disponibles, il faut lire et comprendre le
code source, pour dceler les problmes qui peuvent exister. Notamment, les dbordements de
tampon (Buffer Overflow), les bugs de format, ou pour une application web, les vulnrabilits
menant des injections SQL...

L'audit de code est une pratique fastidieuse et longue. De plus, elle ne permet gnralement pas, en
raison de la complexit, de dresser une liste exhaustive des vulnrabilits du code. Des mthodes
automatiques existent, et permettent de dgrossir le travail, avec des outils comme RATS. Mais se
reposer uniquement sur ce genre de mthodes peut nous faire passer ct de problmes flagrants
pour un humain.

b) Audit de configuration
Les audits de configuration permettent d'expertiser l'architecture technique dploye et de
mesurer la conformit des configurations des lments qui la composent (serveurs, bases de
donnes, quipements rseau, pare-feu, autocommutateurs privs, etc.) avec la politique de scurit
dfinie. Ils en exposent les points faibles de l'architecture et se concentrent sur les actions
entreprendre pour mettre en uvre un processus de scurisation par couche. La ralisation d'un
audit de configuration est par nature non destructrice (contrairement certaines tapes d'un test
d'intrusion). Ce type daudit est destin toutes les entreprises.

c) Audit de gestion des habilitations

Les audits de gestion des habilitations permettent danalyser les accs aux ressources
systmes ou applicatives et impliquant des utilisateurs internes ou externes l'entreprise. Ainsi, les
comptes et les droits fantmes seront dtects, les actions de fraude seront rendues plus difficiles et
la dtection des actes malicieux sera facilite. Ce type daudit est destin toutes les entreprises.

Akiat 2011
 d) Audit dclaratif
Les audits dclaratifs permettent dobtenir des rsultats reposant uniquement sur les
dclarations lors d'entretiens avec les acteurs du systme audit : cela introduit un biais du au
contrle volontaire/involontaire des audits sur les informations dlivres. Ce type daudit est
destin toutes les entreprises.

e) Audit organisationnel
Les audits organisationnels permettent de mesurer et didentifier les risques des lments
critiques de l'entreprise (processus mtier, outils de production dont le systme informatique, ). Ils
reprsentent une optique long terme. Ils sont importants pour prserver un niveau de scurit
dans le temps. Ils sont raliss l'aide de mthodes formelles telles Mhari, CRAMM, COBIT. Les
audits organisationnels prennent en compte la scurit en gnral dans l'entreprise. Cependant,
cest une dmarche lourde qui peut mobiliser une quipe de consultants spcialiss durant plusieurs
semaines, et elle est de ce fait rarement applique des entreprises de taille plus modeste. Ce type
daudit est donc destin aux grandes entreprises.

Akiat 2011
 B. L'audit dit "boite noire"

La mthode dite black box consistant essayer d'infiltrer le rseau sans aucune
connaissance du systme, afin de raliser un test en situation relle.

a) Audit de vulnrabilits
Les audits de vulnrabilits permettent de dtecter les ventuelles failles de scurit du
systme d'information dune entreprise tel qu'il peut tre vu de l'extrieur, c'est dire depuis
Internet. L'opration est possible l'aide de scanners de vulnrabilits. Ceux-ci lancent des attaques
connues sur le rseau cible (hormis celles qui pourraient neutraliser les systmes valus).
L'avantage de ces tests tient leur rapidit, leur simplicit de mise en oeuvre et leur faible cot. De
plus, les audits de vulnrabilits ne sont pas destructeurs. Leur inconvnient, bien sr, est que ces
tests ne dtectent vraiment que les failles connues et plutt simples exploiter. Ce type daudit est
destin aux PME.

b) Test dintrusion
Les tests d'intrusion permettent de valider priodiquement le niveau de scurit du systme
d'information et d'en mesurer les variations. Ils sont raliss de manire rcurrente. Ils consistent
prouver les moyens de protection d'un systme d'information en essayant de s'introduire dans le
systme en situation relle partir de lextrieur de lentreprise. Ils ne permettent pas de garantir la
scurit du systme, dans la mesure o des vulnrabilits peuvent avoir chapp aux testeurs. Ce
type daudit est destin toutes les entreprises.

c) Audit technique
Les audits techniques permettent dvaluer le niveau de scurit par analyse interne des
systmes en place. On se place dans du court terme, pour mettre niveau la scurit dans l'urgence.
Ils permettent dtudier les lments techniques en production dans lentreprise et den valider le
niveau de scurit. Il s'agit d'une prestation hautement technique, dont la plupart des PME peuvent
trs bien se passer. Ce type daudit est donc destin aux grandes entreprises.

Akiat 2011
 d) Le Fuzzing:
Pour les applications boite noire, o le code n'est pas disponible, il existe un pendant
l'analyse de code, qui est le fuzzing. Cette technique consiste analyser le comportement d'une
application en injectant en entre des donnes plus ou moins alatoires, avec des valeurs limites.
Contrairement l'audit de code qui est une analyse structurelle, le fuzzing est une analyse
comportementale d'une application.

5. Les besoins

La premire chose est de se tenir au courant des dernires vulnrabilits, ainsi, s'abonner
des mailing-list (securityfocus.com, seclists.org) et consulter frquemment des sites de veille sont des
moyens efficaces d'tre inform.

Une distribution de type Backtrack permettra davoir un environnement muni de la plupart

des outils ncessaires un pentest, mais peuvent tre remplac par un systme Unix quelconque.
Une cl/carte wifi compatible injection et monitor est galement recommand.

6. La ralisation d'un audit

A. La recherche d'informations

Un test d'intrusion commence toujours par une phase de collecte d'informations. Rcolter les
lments relatifs la culture de lentreprise, au contexte gnral toujours en corrlation avec le
systme dinformation.
Qui travail dans cette entreprise, sont-ils sensibiliss aux problmes de scurit ? Quelles sont leurs
infrastructures (sans parler de la partie logiciels), CISCO, Enterasys, CheckPoint ? Des priphriques
informatiques (cl USB etc...) peuvent-ils entrer dans l'entreprise ? Les employs ramnent ils des
donnes chez eux ? Quels sont les IP accessibles depuis l'extrieur ?
Autant de questions auxquels il faut tenter de rpondre avant de commencer un test d'intrusion.

Akiat 2011
On recherche tous les domaines enregistrs par la cible grce au Whois (Nous donne aussi noms,
adresses et tlphones des administrateurs).

On interroge DNS pour connatre les adresses IP des serveurs www, mail,

Akiat 2011
Grce DNS, nous avons obtenu des adresses IP du rseau cibl, nous faisons une recherche inverse
avec les bases dIP rgionales, afin de connatre lensemble des IP alloues la cible.

Exemples de Nicolas Dube

Akiat 2011
Le mail Bounce: Envoi dun mail une adresse invalide dans le domaine cible pour obtenir un retour.

En examinant les en-ttes dans le mail retourn nous obtenons des informations sur la structure du
rseau cibl.

Akiat 2011
Le Traceroute nous permet de dterminer de tous les intermdiaires (routeurs) entre nous et la
cible.

C'est l'envoi de paquets avec un TTL (Time To Live) incrment qui va permettre traceroute de
connaitre la route emprunte par un paquet vers la destination. Le TTL correspond la dure de vie
d'un paquet transitant sur un rseau. Chaque passage par un quipement de routage va
dcrmenter le TTL de un. Une fois le TTL zero, le routeur nous renvoie alors un message ICMP de
type : 11 ICMP TTL Exceeded. Ce qui permet de rcuprer ladresse du premier routeur.

Cependant certain quipements rseaux sont configurs pour ne pas envoyer de paquet
davertissement dans le cas o le TTL vaut 0 (Pour une question de scurit). Cette technique
prsente donc des limites.

Le Firewalking est une variante de traceroute qui permet de dterminer les ACL (Access Control List)
au niveau du firewall.

Il va dterminer le nombre de routeurs entre la machine source et la machine cible (situe donc
derrire le firewall). Ensuite, il envoie des paquets tests avec un TTL gal (nombre de routeurs + 1).
Le +1 permettra daller faire mourir le paquet sur la machine cible. Si le paquet est accept par le
firewall, il le traverse, et on obtient une rponse. Sinon le paquet est bloqu par lACL du firewall, il
sera abandonn et, selon la configuration du firewall, soit aucune rponse ne sera envoy, soit il
enverra un paquet de ICMP de type 13 (filtre admin).

Akiat 2011
 B. Les techniques sans accs au SI

La premire chose faire est de scanner le rseau, nous utiliserons pour cela le logiciel Nmap.
L'utilisation de la distribution Backtrack, bas sur une Linux Ubuntu, va nous permettre d'avoir tout
les outils porte de main.
Nmap permet beaucoup de chose, et connaitre son fonctionnement est primordial: Les principes et
techniques sont expliqus sur la documentation officielle de Nmap.
Nous allons commencer par nous renseigner sur les serveurs et postes accessible depuis l'extrieur.
Les IDS/IPS ou Firewall peuvent bloquer les tentatives de nmap, c'est pourquoi plusieurs techniques
de scan doivent tre utilises... Lors des scans effectus avec nmap pendant un audit de scurit, il
est recommand d'utiliser un logiciel de collecte et de classement les donnes. L'utilitaire Dradis
(compris dans le package Backtrack) pourra nous aider.
La diversit des scans de Nmap lui permette de contourner certaines protections, ainsi, les
diffrentes alternatives doivent tre choisies en fonction de la machine scanner, c'est pourquoi une
bonne connaissance de nmap et de ces techniques sont requises.
Connaitre le systme d'exploitation de la cible est une bonne chose, Nmap permet cela (Flag -O). Il le
dtermine en crant un Fingerprint avec les paquets reu, et le compare ensuite sa base de
donne. Si nmap n'arrive pas dterminer la version, il pourra certainement nous donner une liste
des systmes qui pourraient potentiellement correspondre (Flag --osscan-guess).
Si des ports sont ouverts, il faut maintenant tenter de les exploiter. Un port ssh ouvert pourra
conduire un simple bruteforce par dictionnaire, en effet, les mots de passe "commun" et donc peu
scuris, sont encore utiliss frquemment. Sur un protocole SSH, cela fait de l'attaque par
dictionnaire un moyen simple et fiable de dtecter un problme de scurit dans un systme
d'information.
D'innombrables possibilits tant possible, cette documentation n'est la que pour donner des pistes.
Si aucun port n'est ouvert, d'autres techniques sont possibles.
L'envoi d'un email infect une personne non sensibilis la politique de scurit est une voie
exploiter, de plus, cela ne ncessite que quelques minutes. Heureusement, un firewall quip d'un
antivirus de flux (VStream) ou un antivirus install sur la machine devrait dtecter cela. Cependant
des techniques de dissimulations existent, mme si elles ont leurs limites.
Le social engineering est une autre solution, qui consiste utiliser les failles humaines de l'entreprise.
En utilisant ses connaissances, son charisme, l'imposture ou le culot, nous pourrons souvent avoir
accs des informations confidentielles. Cela dpendra de votre imagination.
Un exemple rcent d'exploitation particulirement sournoise est l'utilisation d'une souris pige par
une socit d'audit. Cette dernire l'a envoy un employ qui l'a branch pensant un cadeau
promotionnel. Un cheval de Troie c'est alors dploy, crant une backdoor discrte puisque l'exploit
utilisait une faille zero-day de McAfee. (Une souris branch sur un port PS/2 n'aurait pu rpandre un
malware, d'o l'utilit d'tre attentif aux ports USB...)

Akiat 2011
Des antennes et carte wifi puissante peuvent tendre considrablement la porte des signaux wifi,
ainsi, nous pourrons tenter de capter le rseau wifi de l'entreprise.
Imaginons que celui ci utilise du WEP (Mme si aujourd'hui cela est trs rare, certaines petites
entreprise pourrait encore l'utiliser, cela est bien entendu une faille norme), nous pourrons alors le
pntrer en quelques minutes grce des outils spcialiss comme aireplay, airodump ou aircrack,
distribus avec Backtrack.
Cependant cela reste des cas isols. Comme le cassage d'un rseau WPA/WPA2, WPA Entreprise ou
WPA-PSK est l'heure actuelle, quasi impossible, a moins que les mots de passes choisis soit
brutforcable par dictionnaire, nous allons nous concentrer sur un autre type d'attaque wifi, les
rogues AP.
Le rogue AP est une solution efficace pour ce mettre en position de Man in the middle, et donc avoir
accs tout le trafic. L'utilisation d'une attaque dauth va vous permettre de dconnecter la
machine cible du wifi. En parallle, vous crerez un AP copiant tous les paramtres du rseau cibl
(SSID, adresse MAC...), si votre signal est plus fort que le signal rel (ce qui est possible grce des
cartes/routeurs wifi puissants), Windows se connectera automatiquement dessus. Vous pourrez
ensuite espionner et rerouter le trafic rseau.
La dernire attaque mettre en place est le DDOS (distributed denial-of-service attack), une attaque
simple, mais qui peut avoir des consquences conomiques relles pour une entreprise. Nous ne
dtailleront pas ici sa mise en uvre, des logiciels spcialiss pouvant s'en occuper trs facilement.
Si l'audit concerne un serveur web, ou que des identifiants peuvent tre rcuprer sur le site, les
failles XSS ou CSRF sont des moyens pertinents pour rcuprer un compte utilisateur.
L'injection SQL peut donner de bon rsultat en DROPANT les tables utilisateurs. Pour automatiser la
recherche de failles XSS CSRF ou SQL, certains outils peuvent tre utiliss.
Encore beaucoup de failles de ce type sont prsentes sur internet. Cependant, l'utilisation de
Framework du type Symfony ou Zend (Rservs des sites d'une taille importante) permette d'viter
ce genre de problme, le systme de token tant implment plus facilement pour les CSRF, des
ORM sont utiliss pour contrer les injections SQL et quelques lignes de configurations vitent les
failles XSS.

Akiat 2011
 C. Les techniques avec accs au SI

Disposer d'un accs l'intrieur du rseau nous permettra d'effectuer des tests plus fins et plus en
profondeur.

Connaitre la gnration des mots de passes est une bonne chose, s'ils ne sont pas assez robustes, un
brutforce (par dictionnaire ou non, en fonction des mots de passes) dmontrera les limites d'un
passe trop peu complexe.

La premire chose faire va tre de cartographier le rseau, nmap le permet. Mme si nous savons
combien d'htes constitue le rseau, il est important de savoir lesquels sont accessibles.

Une fois les htes dcouverts, nous devons savoir si des ports qui ne devrait pas l'tre sont ouvert, et
de par ce fait, peut-tre exploitable.

Dans le cas d'un audit avec accs au rseau, certains logiciels vont nous simplifier la vie, Nessus est
un programme qui va tester le rseau pour nous. Nessus doit tre configur et les htes ajoutes
son champ d'action. Une fois ceci fait, il va se charger de dtecter un bon nombre de failles notre
place.

Cependant, un logiciel comme Nessus n'est pas parfait, et il ne traitera pas tout. Il est donc
primordial de complter son analyse.

Nous pouvons tout d'abord vrifier les versions de chaque logiciel installs sur les htes du rseau,
un logiciel faillible peut conduire une escalade des privilges pour un pirate. Rechercher des logiciel
non mis a jour et ce renseigner sur les failles de scurit potentielles desdits logiciels.

Le Framework Metasploit qui est intgrer Backtrack, permet de crer des payloads personnaliss
avec de nombreux shellcodes fournies (Shell reverse TCP par exemple), et des techniques
d'offuscations (diffrents systme de cryptage du payload sont disponibles). Ainsi, si certains logiciels
utiliss sont faillibles (Buffer Overflow, Format String...), Metasploit nous permettra de crer et
d'utiliser un exploit aisment
Nous pouvons aussi tenter d'excuter des logiciels malicieux par les ports USB des machines.

Une attaque de type SSL Strip peut galement servir capturer des identifiants de pages scuriss.

L'attaque ARP spoofing/cache poisonning permet quand elle plusieurs types d'attaque, le DOS et
DDOS, le Man in the midlle et le MAC Flooding.

Le MAC Flooding est particulirement intressant. Certains matriels rseaux actifs, lorsquils sont
surchargs, basculent dans un mode moins gourmand en ressources, pour sauvegarder leurs liens :
ils deviennent de simples hubs et donc broadcastent tout le trafic rseau sur tous leurs ports. Ce qui
permet ensuite dcouter facilement tout ce qui transite sur le rseau.

Akiat 2011
 7. Les contremesures

Tout d'abord, nous venons de voir une des plus grandes faiblesses en termes de scurit
informatique, l'humain.
Une simple souris envoye a un employ peu compromettre la scurit de tout un rseau. C'est
pourquoi les ports USB des machines doivent tre vivement contrl, voir dsactiv s'il n'y en a pas
de besoin, et surtout, l'excution automatique des priphriques dsactive.
Mais le personnel doit galement tre sensibilis tout cela. Cette sensibilisation peut tre une
formation par des organismes extrieurs.
Exemple: un SSL Strip sur une page d'identification est grave, et il est presque invisible pour un
utilisateur lambda, encore plus si son navigateur n'est pas a jour. Quelques bonnes pratiques
peuvent viter cela.
Tous les logiciels doivent tre jours, en particulier les navigateurs si ils sont utiliss, pour viter
toute faille connue et non patch, qui pourrait tre exploitable.
Si l'entreprise utilise des logiciels dvelopps uniquement pour elle, celle ci doit s'assur de la qualit
de l'application en terme de scurit.
Les mots de passe constituent une norme porte d'entr si ils ne sont pas suffisamment robuste,
c'est pourquoi ils doivent tre changs rgulirement et tre gnr alatoirement, avec certaines
rgles (Caractres spciaux obligatoire par exemple).
La scurit nous l'avons vu, s'applique aussi et surtout la configuration du rseau. Un IDS/IPS est
une scurit en plus concernant la prvention des attaques, il va permettre de dtect facilement
d'ventuel scan et attaque, et permettra de les bloquer en amont.
Les mails sont une source d'infection importante (CF l'attaque de Bercy en 2011) c'est pourquoi un
antispam/antivirus comme ProofPoint est vivement conseill.
Il est videmment impratif d'avoir des firewalls qui filtre toutes les communications et un antivirus
sur chaque poste.
Les rseaux wifi doivent tre configur correctement, il est clair qu'un wifi en WEP ne tiendra pas
longtemps. Optez pour des scurits wifi d'entreprise.
La meilleure protection contre lARP Poisoning (et beaucoup d'autre attaques) est la surveillance de
votre rseau, en effet, avec les outils appropris, cette attaque ne peut pas passer inaperue. Par
exemple, il existe un outil nomm ARPwatch qui permet, en autres, denvoyer une alerte quand des
messages ARP anormaux apparaissent. Pour de tout petit rseaux, vous pouvez utiliser une mthode
imparable: Utiliser des Adresses IP fixes / Tables ARP statiques. Certains switch intgrent des options
port security (par exemple Cisco) cette option permet de dfinir une seule adresse MAC par ports
et qui, si cette adresse change, verrouille le port.

Akiat 2011
 8. Le rapport d'audit

Une fois le systme informatique de l'entreprise test, la socit auditrice doit rendre un rapport.
Le rapport est rdig de plusieurs manires (concis et plus complet), car il sadresse en gnral
plusieurs types de publics.

Le rapport dtaill expliquera les attentes de dpart, le contexte, les limites, les faiblesses
constates, leur importance relative et les solutions.

Un rapport daudit doit tre clair et didactique. En aucun cas il ne doit tre technique.

9. Conclusion

Nous venons de voir un certains nombre de techniques d'intrusion dans un systme d'information.

Comme vous l'aurez remarqu, il en existe beaucoup, et les pirates dveloppent sans cesse de
nouvelles mthodes. C'est pourquoi un rseau doit tre en permanence surveill, par des
quipements mais aussi par des administrateurs. La veille est un moyen efficace de ce protg de
presque tout type d'attaque.

De plus, les mesures prise par l'entreprise doivent tre en corrlation avec les sensibilits des
donnes de son rseau. Avant un audit, une analyse des risques est donc conseille afin de savoir ce
que l'on veut protger, et surtout, comment.

J'espre avoir donn un bon nombre de pistes qui pourront servir de "mmo" ou de pistes pour de
futurs audits.

Akiat 2011