Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Audits et contrôle de la sécurité d'un S.I Terminologie Définition et Objectifs

Audits et contrôle de la sécurité d'un S.I Terminologie Définition et Objectifs Classifications Référentiels relatifs à la sécurité des SI Les domaines d’audit de la sécurité SI Audit Organisationnel et Physique Audit Technique de sécurité Audit des vulnérabilités infrastructure et système Audits d’architecture réseau Audits de configuration Tests d’intrusion Audits applicatifs Démarche Phase de déclenchement Phase d’exécution Clôture de l’audit Les exigences Les Compétences Sommaire Commanditaire de l’audit : Organisme ou personne demandant un audit. Audité : L’organisme qui est audité. Auditeur : Personne possédant la compétence nécessaire pour réaliser un audit. Prestataire d’audit : Organisme réalisant des prestations d’audits. Convention d’audit : Accord écrit entre un commanditaire et un prestataire d’audit pour la réalisation d’un audit. Plan d’assurance qualité : L’engagement du prestataire quant à la politique d’assurance qualité applicable aux prestations. Note de cadrage : Document de synthèse issu de la réunion du commanditaire d’audit, l’organisme audité et le prestataire d’audit. Terminologies Périmètre d’audit : Environnement physique, logique et organisationnel dans lequel se trouve le système d’information sur lequel l’audit est effectué. Critères d’audit : Ensemble de politiques, procédures ou exigences déterminées. Preuves d’audit : Enregistrements, énoncés de faits ou autres informations, qui se rapportent aux critères d’audit. Constats d’audit : Résultats de l’évaluation des preuves d’audit recueillies, par rapport aux critères d’audit. Plan de charge : Le plan de charge couvre les objectifs de l’audit, le périmètre, les critères d’audit, la démarche à suivre pour l’exécution de la mission, les activités à effectuer, ainsi que le planning prévisionnel de l’audit. Conclusions d’audit : Résultat d’un audit fourni par l’équipe d’audit après avoir pris en considération les objectifs de l’audit et tous les constats d’audit. Terminologies Un audit de sécurité informatique est une démarche qui permet de connaître le niveau de sécurité global de son système d’information, mais aussi de mettre à plat la politique d’accès aux données de l’entreprise et aux différentes configurations réseau. L’audit de sécurité informatique garantit la disponibilité du système d’information, l’intégrité de ses données, la confidentialité des accès et fournit des preuves qui permettent de savoir qui accède, à quel moment, à telle ou telle donnée ou application. L’audit permet de mettre en évidence les faiblesses et les vulnérabilités organisationnelles et/ou techniques du système d’information et de déterminer des axes d’amélioration visant à augmenter le niveau de sécurité Définition Un audit de sécurité SI peut être réalisé pour répondre à des besoins différents, notamment : Evaluer le niveau de maturité du SI en terme de sécurité suite à la demande du commanditaire d’audit ; Vérifier l’efficacité de la politique de sécurité du SI mise en place ; Tester l’installation d’un nouvel élément dans le SI ; Analyser et réagir suite à une attaque ; Tester la résistance du SI par la simulation des attaques dans des conditions réelles ; Se certifier (par exemple ISO 27001) ; etc. Objectifs Les audits peuvent être classifiés en trois catégories : Les audits internes sont réalisés pour les organismes souhaitant que leur système d’information soit examiné par rapport à des exigences de sécurité de système d’information. Ces audits sont établis par des auditeurs internes ou externes à l’organisme. Les audits externes sont commandités par des entités ayant un intérêt à l’égard de l’organisme audité, dans le but d’évaluer le niveau de sécurité du système d’information de ce dernier. Ces audits sont établis par des organismes d’audit externes. Les audits de certification sont réalisés pour les organismes qui souhaitent faire reconnaître que la sécurité de leur système d’information est conforme aux exigences comme celles de l’ISO/CEI 27001. Ces audits sont établis par des organismes externes généralement accrédités. Classifications Référentiels relatifs à la sécurité des SI Cette famille se décline en un ensemble de documents, que vous pouvez acheter : ISO/CEI 27000 – Introduction, glossaire des termes communs, vue globale de la suite des normes (mai 2009). ISO/CEI 27001 – Norme d’exigences des systèmes de management de la sécurité de l’information. C’est sur la base de cette norme que sont certifiées les organisations.(Publiée en 2005, révisée en 2013.) ISO/CEI 27002 – Guide des bonnes pratiques en SMSI. Autant la 27001 dit quoi faire, autant la 27002 apporte des réponses sur le comment faire. (Précédemment connue sous le nom de ISO/CEI 17799, renumérotée en ISO/CEI 27002:2005 en juillet 2007, dernière révision en 2013.) ISO/CEI 27003 – Guide d’implémentation d’un SMSI : lignes directrices pour la mise en œuvre du système de management de la sécurité de l’information. (Publiée en février 2010.) Référentiels relatifs à la sécurité des SI ISO/CEI 27004 – Norme de mesures de management de la sécurité de l’information ISO/CEI 27005 – Norme de gestion de risques liés à la sécurité de l’information. Il existe ensuite de nombreuses autres normes complémentaires au sein de la série ISO 27000. Par exemple, la norme ISO/CEI 27010 – Gestion de la sécurité de l’information des communications intersectorielles et inter organisationnelles. EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) Cette méthode permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information conformément à la norme ISO 27005. Elle permet également de construire une politique de sécurité en fonction d’une analyse des risques qui repose sur le contexte de l’organisme et des vulnérabilités liées à son SI. MEHARI (Méthode Harmonisée d’Analyse de Risques) : C’est une méthode d’évaluation et de management des risques liés aux systèmes d’information. Elle est conforme aux exigences de la norme ISO 27005. Référentiels relatifs à la sécurité des SI Référentiels relatifs à la sécurité des SI Top 10 de l’OWASP L’OWASP Top 10 est un document listant les 10 types de vulnérabilités applicatives les plus critiques et les plus souvent rencontrées. La liste se base sur des statistiques de centaines de milliers de vulnérabilités effectivement constatées. Ce document, qui est essentiellement un outil de sensibilisation, est destiné aux développeurs, aux architectes de solution, aux décideurs, aux auditeurs… https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project https://owasp.org/Top10/fr/ A01:2021-Ruptures de contrôles d'accès A02:2021-Défaillances cryptographiques A03:2021-Injection A04:2021-Conception non sécurisée A05:2021-Mauvaise configuration de sécurité A06:2021-Composants vulnérables et obsolètes A07:2021-Identification et authentification de mauvaise qualité A08:2021-Manque d'intégrité des données et du logiciel A09:2021-Carence des systèmes de contrôle et de journalisation A10:2021-Falsification de requête côté serveur Référentiels relatifs à la sécurité des SI CVE(Common Vulnerability And Exposure) L'acronyme CVE, pour Common Vulnerabilities and Exposures en anglais, désigne une liste publique de failles de sécurité informatique. Lorsque l'on parle d'une CVE, on fait généralement référence à l'identifiant d'une faille de sécurité répertoriée dans cette liste. Les CVE aident les professionnels à coordonner leurs efforts visant à hiérarchiser et résoudre les vulnérabilités, et ainsi renforcer la sécurité des systèmes informatiques. La liste CVE est supervisée par l'organisme MITRE et subventionnée par la CISA (Cybersecurity and Infrastructure Security Agency), qui fait partie du Département de la Sécurité intérieure des États-Unis. Lien: https://www.cvedetails.com/ L’audit organisationnel et physique permet de faire un état des lieux complet de la sécurité du SI et d’en identifier les dysfonctionnements et les risques potentiels. Il permet ainsi de couvrir l’ensemble du SI de l’organisme et de détecter les carences liées aux différents processus de gestion et d’organisation de la sécurité. L’audit organisationnel et physique permet de procéder à la vérification de la conformité et de la pertinence des mesures déployées par rapport à la politique de sécurité de l’organisme, à un référentiel, à une norme ou à des procédures. Audit Organisationnel et Physique En effet, cette phase repose sur l’utilisation de questionnaires adaptés au contexte de l’organisme audité, des interviews, ainsi que sur l’analyse des ressources et des documents fournis Pendant cet audit les éléments suivants peuvent être abordés : Politiques de sécurité de l’information : Cette section met l’accent sur la nécessité de la mise en place, et révision régulière d’une politique de sécurité de l’information. Organisation de la sécurité de l’information : Cette section définit un cadre de gestion et d’approbation de la politique de sécurité, et traite les aspects contractuels liés à la sécurisation des accès au système d’information par les tiers. Audit Organisationnel et Physique Sécurité des ressources humaines : Cette section donne des recommandations pour réduire le risque d’erreur ou de fraude favorisant la formation et la sensibilisation des utilisateurs sur les menaces affectant la sécurité de l’information, ainsi que les comportements à adopter pour protéger l’information. Gestion des actifs : Cette section décrit la nécessité d’inventorier et de classifier les actifs informationnels de l’organisme, dans le but d’identifier les besoins et le niveau de protection adapté à ces actifs. Contrôle d’accès : Cette section définit les mesures pour gérer et contrôler les accès à l’information afin d’assurer la protection des systèmes en réseau. Elle couvre également la sécurité de l’information lors de l’utilisation d’appareils mobiles. Cryptographie : Cette section traite les mesures visant à protéger la confidentialité et l’intégrité de l’information par des moyens cryptographiques. Audit Organisationnel et Physique Sécurité physique et environnementale : Cette section définit les mesures pour protéger les lieux et les locaux de l’organisme contre les accès non autorisés, et pour minimiser les dommages causés par les menaces environnementales. Elle traite également la sécurité uploads/Management/ audit-controles-v1-4.pdf