Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Audit et sécurité réseau informatique I. DEFINITIONS DE QUELQUES CONCEPTS FONDA

Audit et sécurité réseau informatique I. DEFINITIONS DE QUELQUES CONCEPTS FONDAMENTAUX 1. Réseau informatique Un réseau informatique est un regroupement des ordinateurs et d'autres dispositifs interconnectés entre eux par des câbles ou non, permettant la communication entre eux et partage des ressources (informations et matériels). En informatique, on peut élaborer un réseau sans fil (wifi) ou un réseau avec fil. 2. Les réseaux LAN Les réseaux LAN (Local Area Network) sont des réseaux ne dépassant pas 10 km (exemple d'un immeuble) ; Ils sont privés. Le débit peut aller de quelque Mb/s à 100 Mb/s. Le réseau LAN permet de relier des ordinateurs généralement situés dans le même édifice. Ils sont privés. 3. Audit informatique Un audit de sécurité consiste à s'appuyer sur un tiers de confiance afin de valider les moyens de protection mis en œuvre. Un audit de sécurité permet de s'assurer que l'ensemble des dispositions prises par l'entreprise sont réputées sures. 4. Sécurité informatique La sécurité informatique est un terme générique qui s'applique aux réseaux, à Internet, aux points de terminaison, aux API, au cloud, aux applications, à la sécurité des conteneurs et autres. Elle consiste à établir un ensemble de stratégies de sécurité qui fonctionnent conjointement pour vous aider à protéger vos données numériques. Il n'y a encore pas si longtemps, la sécurité informatique n'était contrôlée qu'à la fin d'un cycle de développement. Le processus était lent. Les entreprises recherchent actuellement des moyens pour créer un programme de sécurité intégré qu'ils seront en mesure d'adapter plus facilement et plus rapidement. La sécurité est donc intégrée dès la conception au lieu d'être ajoutée plus tard. 1. Apparition du thème audit informatique en Tunisie L’agence nationale de la sécurité informatique (ANSI) a été crée selon la loi N°2004-5 du 3 Février 2004 et est chargée des missions suivantes : Veiller à l’exécution des orientations nationales et de la stratégie générale en matière de  sécurité des systèmes informatiques et des réseaux. Suivre l’exécution des plans et des  programmes relatifs à la sécurité informatique dans le secteur public et assurer la coordination entre les intervenants dans ce domaine. Assurer la veille technologique dans le domaine de  la sécurité informatique. Participer à la consolidation de la formation et du recyclage dans le  domaine de la sécurité informatique. Etablir les normes spécifiques à la sécurité  informatique et élaborer les guides techniques en l’objet et procéder à leur publication.  Veiller à l’exécution des réglementations relatives à l’obligation de l’audit périodique de la sécurité des systèmes informatiques et des réseaux. L‟apport juridique  La loi N° 2004-5 du 3 Février 2004 a promulgué l’obligation d’un audit périodique de la sécurité des systèmes d’information et des réseaux relevant à diverses structures publiques et privées et qui sera assuré par des experts en audit du secteur privé certifiés par l’agence nationale de la sécurité informatique. Les organismes soumis à l’obligation d’audit doivent effectuer l’audit périodique de leur système d’information au moins une fois par an. L’opération d’audit se déroule par le biais d’une enquête sur le terrain basé sur les principaux éléments suivants : Audit des aspects organisationnels et de la structuration de la fonction sécurité, ainsi que du  mode de gestion des procédures de sécurité et la disponibilité des outils de sécurisation du système informatique et de leur mode d’utilisation. Importance de la sécurité informatique Pourquoi la sécurité informatique est-elle importante pour les entreprises ? Traditionnellement, la sécurité informatique consistait avant tout à renforcer, maintenir et contrôler le périmètre des datacenters, mais aujourd'hui ce périmètre tend à disparaître. Les méthodes de développement, de déploiement, d'intégration et de gestion informatiques sont en pleine mutation. Avec l'arrivée des clouds publics et hybrides, les responsabilités en matière de sécurité et de conformité réglementaire sont désormais partagées entre différents fournisseurs. L'adoption massive des conteneurs a fait surgir le besoin d'instaurer de nouvelles méthodes d'analyse, de protection et de mise à jour de la distribution des applications. Les applications mobiles fonctionnent sur une multitude d'appareils différents et l'infrastructure repose de plus en plus sur des logiciels, plutôt que sur du matériel. Résultat : les méthodes traditionnelles de gestion de la sécurité sont dépassées. Pour suivre le rythme de la transformation numérique, les programmes de sécurité doivent être adaptés afin que celle-ci soit continue, intégrée et flexible. Pour assurer la sécurité, certaines entreprises recrutent un responsable de la sécurité des informations métier. Ces responsables sont intégrés à l'équipe métier et sont impliqués dans le cycle de vie des produits, de leur conception à leur adoption. Sous la direction des responsables de la sécurité des systèmes d'information, ils doivent s'assurer que les enjeux de sécurité sont pris en compte et gérés à toutes les phases, en trouvant le juste équilibre entre sécurité et risques pour l'entreprise afin que la distribution du produit soit à la fois rapide et sûre. 1 Définition Un audit de sécurité consiste à s’appuyer sur un tiers de confiance afin de valider les moyens de protection mis en œuvre Un audit de sécurité permet de s’assurer que l’ensemble des dispositions prises par l’entreprise sont réputées sures. 2 Contenu de l‟audit L’opération d’audit prend notamment en compte des éléments suivants : Descriptif des matériels, logiciels et documentations. Appréciation globale de l’adéquation   entre les besoins et le système d’information existant. Examen des méthodes d’organisation,  de contrôle et de planification des services informatiques. Appréciation de la formation, de  la qualification et de l’aptitude du personnel. Appréciation de la qualité, de l’accès, de la  disponibilité et de la facilité de compréhension de la documentation. Les risques de sécurité informatique : 1. Les types de risques : En ce qui concerne l'analyse de risque, on a défini 12 types de menaces.  Accidents physiques.  Malveillance physique  Panne du SI  Carence de personnel.  Interruption de fonctionnement du réseau.  Erreur de saisie.  Erreur de transmission.  Erreur d'exploitation.  Erreur de conception/ développement.  Copie illicite de logiciels.  Indiscrétion/ détournement d'information  Attaque logique du réseau. Introduction Les relations entre entreprises ou administrations rendent nécessaire la définition de référentiels communs .Dans ce contexte, plusieurs normes se présentent pour assurer les relations de la sécurité des systèmes d’information : ISO 14000 : traitant de l’environnement. FIPS140 : traitant de la cryptographie BS7799:    Specifications for security management. A la différence de ces normes, la norme  internationale ISO (International Organisation) 17799 « publiée en juin 2005 » qui est la dernière version de la norme BS7799, peut être utilisée principalement comme base de construction du référentiel d’audit sécurité de l’entité. Cette norme est souvent perçue par  les spécialistes de la sécurité de l’information comme une réponse à cette attente 1 Couverture thématique : La norme identifie ces objectifs selon trois critères : La confidentialité. L’intégrité. La disponibilité.    Ces objectifs sont regroupés au travers des dix grandes thématiques suivantes : *la politique de sécurité : pour exprimer l’orientation de la direction à la sécurité de l’information. *l’organisation de la sécurité : pour définir les responsabilités du management de la sécurité de l’information au sein de l’entité. *la sécurité et les ressources humaines : pour réduire les risques d’origine humaine, de vol ou d’utilisation abusive des infrastructures, notamment par la formation des utilisateurs. *la sécurité physique : pour prévenir les accès non autorisés aux locaux. *la gestion des opérations et des communications : pour assurer le fonctionnement correct des infrastructures de traitement de l’information, et minimiser les risques portant sur les communications. *les contrôles d’accès : pour maitriser les accès au patrimoine informationnel. *l’acquisition, le développement et la maintenance des systèmes : Pour que la sécurité soit une part intégrante du développement et de la maintenance des systèmes d’information. *la gestion des incidents : pour s’assurer d’une bonne gestion des événements liés à la sécurité de l’information. *la gestion de la continuité d’activité : pour parer aux interruptions des activités de l’entité et permettre aux processus cruciaux de l’entité de continuer malgré des défaillances majeures. *la conformité à la réglementation interne et externe : pour éviter les infractions de nature légale, réglementaire ou contractuelle « pour vérifier la bonne application de la politique de sécurité ». L’application de cette norme peut donc être le résultat d’une série d’étapes qui peuvent être schématisées ainsi : Exemples de bien Sensibles 1/Que Protéger et pourquoi ? 2/De quoi les protéger ? Liste des biens sensibles Liste des menaces Liste des impacts et probabilités Liste les contre mesures 2/Quels sont les risques ? 3/Comment protéger l’entreprise ? 2 Les contraintes de sécurité *intégrité : garantir que l’information et les processus de l’information demeurent justes et complets. *accessibilité : garantir que les personnes autorisées ont accès aux informations et aux avoirs associés en temps voulu. *disponibilité : c’est la possibilité de pouvoir obtenir l’information recherchée au moment ou elle est nécessaire .garantie de continuité de service et de performances des applications ,du matériel et de l’environnement organisationnel. *confidentialité : assurer que des informations demeurent accessibles qu’aux personnes autorisées. uploads/Management/ chapitre-ii 1 .pdf