Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Missions comptables Audit légal Audit Contractuel Missions juridiques et fiscal

Missions comptables Audit légal Audit Contractuel Missions juridiques et fiscales Missions sociales Expertise et conseil de gestion Conseil en organisation Audit Systèmes d’Information Certification ISO Formation Audit Sécurité des Systèmes d’Information (ASSI) Offre de services PROJET POUR DISCUSSION Sommaire 2 OFFRE AUDIT DES SYSTÈMES D’INFORMATION LES DIFFÉRENTS TYPES DE MENACES AUDIT SÉCURITÉ DES SYSTÈMES D’INFORMATION (ASSI) LA CONDUITE D’UNE MISSION D’AUDIT SSI DÉMARCHE DE RÉALISATION D'UN AUDIT SÉCURITÉ SI CENTRE D’EXPERTISE SSI Notre offre Audit des Systèmes d’Information 3 Audit sécurité des systèmes d’information (ASSI) Audit sécurité des systèmes d’information (ASSI) L ’analyse des données L ’analyse des données l’examen des systèmes d’information l’examen des systèmes d’information Audit de la fonction informatique Audit de la fonction informatique Porteur de nouveaux usages, le numérique est facteur d’innovation. Il engendre une mutation de la plupart des métiers. Enrichis par l’apport du numérique, ces secteurs sont simultanément plus exposés aux menaces issues du numérique. Par conséquent, la sécurité et la fiabilité des systèmes d’information devient un élément primordial des dispositifs de contrôle à mettre en place au sein de l’entreprise. Il apparaît donc nécessaire d’évaluer ces dispositifs par des spécialistes techniques et juridiques. Les différents types de menaces 4 La disponibilité de l’information est indispensable à la survie de l’entreprise. En effet, la perte d’un fichier ou d’une banque de données ou la non disponibilité des équipements informatiques en temps opportun, causée par une erreur de programmation, d’un sabotage ou d’un désastre naturel, peut parfois signifier pour une entreprise, la fin permanente des opérations. l’importance de l’exactitude de l’information peut parfois être capitale pour une organisation. Prenons, par exemple, le cas du gestionnaire utilisant l’ordinateur pour manipuler des informations qui l’aideront à orienter une décision stratégique sur son entreprise. L ’entreprise doit aussi s’assurer qu’en cas de sinistre informatique, elle dispose de mesures palliatives, pour garantir la continuité de sa production (exploitation) informatique. Il s’agit donc pour l’entreprise de procéder de manière régulière à l’examen de son système d’information. L ’AUDIT INFORMATIQUE EST L ’OUTIL PRIVILEGIE POUR LA REALISATION D’UNE TELLE MISSION. Audit Sécurité des Systèmes d’Information (ASSI) 5 L ’équipe Audit Sécurité des Systèmes d’Information ASSI d’ORFIS vous apportent son expertise selon trois dimensions à savoir technique, juridique et organisationnelle. Le département ASSI dispose de toutes les compétences requises à ce domaine d’intervention, aussi bien en environnement privé que public. Selon les cas, le département ASSI peut associer ses compétences à celles du cabinet d’Avocats Brumm et Associés spécialisé dans le Droit de l'informatique et des nouvelles technologies. Le département ASSI d’ORFIS met en œuvre un ensemble de services qui permettent aux entreprises de mesurer l’efficacité du niveau de sécurité de leur système d’information. Ces services sont notamment constitués de : • Audit sécurité des accès aux données et aux infrastructures; • Sécurité de la conservation des données ; • Constitution des plans : PCA, PRA ; • Assistance à la gouvernance de sécurité SI ; • Rédaction et négociation de contrats relatifs à la sécurité du SI (consultant, AMO, éditeur, back up, test intrusif…) ; • Rédaction des chartes des systèmes d’information ; • Rédaction du Plan d’assurance sécurité • Tests d’intrusion, internes ou externes ; tests spécifiques liés à la fraude ; • Audit juridique de la sécurité ; • Gestion juridique des « violations de sécurité » ; Audit de Sécurité des Systèmes d’Information 6 UN AUDIT DE SÉCURITÉ CONSISTE À VALIDER LES MOYENS DE PROTECTION MIS EN ŒUVRE SUR LES PLANS ORGANISATIONNELS, PROCÉDURAUX ET TECHNIQUES, AU REGARD DE LA POLITIQUE DE SÉCURITÉ EN FAISANT APPEL À UN TIERS DE CONFIANCE EXPERT EN AUDIT SÉCURITÉ INFORMATIQUE. L ’AUDIT DE SÉCURITÉ INFORMATIQUE SE PRÉSENTE ESSENTIELLEMENT SUIVANT TROIS PARTIES À SAVOIR : L ’AUDIT ORGANISATIONNEL ET PHYSIQUE, L ’AUDIT TECHNIQUE, L ’AUDIT INTRUSIF (TEST D’INTRUSION). ENFIN UN RAPPORT D’AUDIT EST ÉTABLI À L ’ISSUE DE CES ÉTAPES. CE RAPPORT PRÉSENTE UNE SYNTHÈSE DE L ’AUDIT. IL PRÉSENTE ÉGALEMENT LES RECOMMANDATIONS À METTRE EN PLACE POUR CORRIGER LES DÉFAILLANCES ORGANISATIONNELLES OU TECHNIQUES CONSTATÉES. La conduite d’une mission d’audit SSI 7 1. La préparation de la mission, phase d’enquête préliminaire : il s’agit de l’ensemble des investigations nécessaires à l’élaboration de la lettre de mission, cette dernière matérialisera l’accord entre le mandant et son mandataire sur le contenu et les modalités pratiques de la mission. 2. Le programme de travail : Le programme de travail définit précisément les méthodes d’audit retenues et le travail à réaliser par les auditeurs  lancement de la mission  prise de connaissance du systèmes d’information : entretiens avec les principaux interlocuteurs SI, lecture de la documentation disponible  analyse critique des facteurs de risque  déploiement de logiciels d’audit SSI  rédaction du rapport et synthèse DÉMARCHE DE RÉALISATION D'UN AUDIT SÉCURITÉ SI Démarche de réalisation d'un audit Sécurité SI Tests d’intrusion Audit organisationnel et physique Audit technique Rapport de synthèse & recommandations Préparation de l’audit Objectifs Cette phase est aussi appelée phase de pré audit. Elle constitue une phase importante pour la réalisation de l’audit sur terrain. En effet, c’est au cours de cette phase que se dessinent les grands axes qui devront être suivis lors de l’audit sur terrain. Déroulement • Rencontres entre auditeurs et responsables de l’organisme à auditer. Au cours de ces entretiens, les espérances des responsables vis-à-vis de l’audit devront être exprimées • Identifier les personnes qui seront amenées à répondre au questionnaire concernant l’audit organisationnel • Définition de la charte d’audit qui a pour objet de définir la fonction de l'audit, les limites et modalités de son interventions, les responsabilités • Réalisation du planning de la mission d’audit Entrants • Solliciter les résultats des précédents audits • Résultats du questionnaire Livrables • La charte d’audit • Planning de l’audit • Participants à l’audit Acteurs • Fff • Jjj Charge de travail • ii • Jjj Démarche de réalisation d'un audit Sécurité SI Tests d’intrusion Audit organisationnel et physique Audit technique Rapport de synthèse & recommandations Préparation de l’audit Objectifs L’objectif visé par cette étape est donc d’avoir une vue globale de l´état de sécurité du système d ´information et d´identifier les risques potentiels sur le plan organisationnel. (selon taille et maturité SI entreprise ) Déroulement • Pour mener à bien cette phase, l'auditeur applique une méthodologie d'audit et d'analyse de risques "formelle" (Marion, Mehari, Melisa, Ebios...) comme il peut adapter ces méthodes selon les besoins de l'organisme • L'évaluation du niveau de sécurité s'établit à partir des entretiens avec les personnes interviewées et de l'analyse des ressources critiques et des documents fournis • Réduire les risques revient soit à agir sur les vulnérabilités, soit essayer de réduire l'impact qu'aurait l'exploitation d'une vulnérabilité par une menace conformément à la formule : Risque = Menace * Impact * Vulnérabilité Livrables • Recommandations pour la mise en place des mesures organisationnelles et d'une politique sécuritaire adéquate • présentation de la synthèse de la mission avec pour objectif de sensibiliser sur les risques potentiels et les mesures à mettre en œuvre Acteurs • Fff • Jjj • kkk Charge de travail • Fff • Jjj • kkk Entrants • Procédures de sauvegarde et d’archivage des documents • Plan d’exploitation et d’administration du SI • Plan de continuité de service • Documents décrivant les réseaux et télécoms 11 Démarche de réalisation d'un audit Sécurité SI Tests d’intrusion Audit organisationnel et physique Audit technique Rapport de synthèse & recommandations Préparation de l’audit Objectifs Cette analyse devra faire apparaître les failles et les risques, les conséquences d’intrusions ou de manipulations illicites de données. L’auditeur testera aussi la robustesse de la sécurité du système d’information et sa capacité à préserver les aspects de confidentialité, d’intégrité, de disponibilité et d’autorisation. Cependant, l’auditeur doit veiller à ce que les tests réalisés ne mettent pas en cause la continuité de service du système audité. Déroulement • Pour vous proposer une palette de solutions répondant précisément à vos vraies problématiques d’usage, ORFIS ASSI s’appuie sur une démarche d’analyse des risques, à forte valeur ajoutée dans les domaines suivants : • Firewall IDS/IDPS, antivirus; antispyware; anti spam; filtrage URL et filtrage Web; topologie des réseaux physique et Wifi; sécurisation des postes nomades : portables, PDA, clés USB…; cryptage des données (« coffres forts » fixes ou mobiles, cryptage des échanges…); NAC : Network Access Control. Livrables • Serveurs identifiés ; • Les performances des serveurs identifiées • Les moyens de contrôle d'accès identifiés • Stratégie d'administration revue Acteurs • Fff • Jjj • kkk Charge de travail • Fff • Jjj • kkk Entrants • Descriptif des systèmes (PC, serveur, logiciels de base, solution antivirale, les applications (méthodes de développement, procédures de tests et de maintenance,..) 12 Démarche de réalisation d'un audit Sécurité SI Tests d’intrusion Audit organisationnel et physique Audit technique Rapport de synthèse & recommandations Préparation de l’audit Objectifs Apprécier le comportement du réseau face à des attaques. Sensibiliser les acteurs par des rapports illustrant les failles décelées, les tests qui ont été effectués (scénarios et outils) ainsi que les recommandations pour pallier aux insuffisances identifiées. Les tests d'intrusion sont réalisés après uploads/Management/ audit-securite-si-v0-2.pdf