Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Audit de la sécurité informatique Khlif Aymen PhD Informatique Expert Auditeur

Audit de la sécurité informatique Khlif Aymen PhD Informatique Expert Auditeur SI certifié ANSI Postdoctorant CRDP Bibliographie Fernandez-Toro, Management de la sécurité de l'information: implémentation ISO 27001: mise en place d'un SMSI et audit de certification. Eyrolles. Stéphane Calé, Philippe Touitou. ,La sécurité informatique : réponses techniques, organisationnelles et juridiques, Paris : Hermès science publications c2007 Système d’information, une tentative de définition (1/2) Un système d’information peut être défini comme l’ensemble des moyens matériels, logiciels, organisationnels et humains visant à acquérir, stocker, traiter, diffuser ou détruire de l’information. 4 Applications : - Gestion comptable - Gestion financière - Gestion des RH Infrastructure : - Serveurs - Routeurs - Réseau local Organisation : - Service d’achat - Service juridique - Service d’admission Processuss : - De gestion de crise - De recrutement Système d’information, une tentative de définition (2/2) Mais aussi … 5 Objectifs de la sécurité des systèmes d'information (1/2) v Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information. v L’objectif de ces mesures de sécurité est d’assurer la confidentialité, l’intégrité, la disponibilité et la non-répudiation. 6 Objectifs de la sécurité des systèmes d'information (2/2) Réalisés avec: des ou/ls technologiques (an/virus, pare-feu, méthodes de chiﬀrement, etc.), procédures (ges/on des iden/ﬁca/ons et du contrôle d’accès, etc.) et de personnes (recrutement, forma/on des u/lisateurs, etc.) PermeDant de garan/r qu'une transac/on ne peut être niée PermeDant de garan/r que l’informa/on ne soit accessible qu’aux personnes autorisées PermeDant de garan/r que les données sont bien celles que l'on croit être PermeDant de garan/r le bon fonc/onnement du système d'informa/on Le contexte de l’audit de sécurité Pour qui ? θ Direction Générale, Par qui ? θ Interne / externe Dans quel but ? θ θ θ Alignement de la politique de sécurité sur la stratégie d’entreprise, Conformité aux lois et règlements, Identification des risques auxquels est exposé le SI Sur quel périmètre ? θ θ θ Département, Service, Application, … Selon quel référentiel ? θ θ Méthode d’analyse des risques Bonnes pratiques (ISO 27001, 27002, Etc…) De quelle nature ? θ θ θ Audit de la politique de sécurité, Audit organisationnel et physique, Audit technique, Audit intrusif 26 θ Définition de l’audit de sécurité du système d’information v L’audit de sécurité du système d’information est un examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes. v C’est un processus systématique, indépendant et documenté pour identifier § L’état des lieux du SI, § Les risques (perte de données, Accident physique, Divulgation d’informations confidentielle, perte d'image de marque, etc,,,), § Les agents de menaces (employé, virus, concurrent, etc), § Leurs impacts, § Les mesures de critères de sécurité à prendre . 9 Les questions auxquelles se doivent de répondre les audits de sécurité du SI ? 8 La démarche d’audit v Un audit de sécurité consiste à valider les moyens de protection mis en œuvre sur les plans organisationnels, procéduraux et techniques, au regard de la politique de sécurité en faisant appel à un tiers de confiance expert en audit sécurité informatique, v L'audit de sécurité conduit, au delà du constat, à analyser les risques opérationnels et à proposer des recommandations et plans d'actions quantifiées et hiérarchisées pour corriger les vulnérabilités et réduire l'exposition aux risques. La démarche d’audit présente 3 grandes étapes : v Étape 1 : Préparation de l’audit v Étape 2 : Réalisation du travail d’audit v Étape 3 : Rapport de synthèse 25 Prépara/on de l’audit Audit organisa/onnel et physique Audit technique Audit intrusif Rapport d’audit (synthèse et recommanda/on) -Identification des responsables qui seront amenées à répondre au questionnaire d’audit. -Rencontres avec les responsables de l’organisme à auditer, etc.… -Identification des vulnérabilités d’ordre organisationnel et physique. -Évaluation des risques. -Détection régulière et automatisée des vulnérabilités et des failles potentielles. -Test intrusif boite blanche/ boite noire. -Test d’intrusion interne / externe. -Recueil des principales vulnérabilités et insuffisances décelées. - Recommandations & Solutions de sécurité. Cycle de vie d’un audit de sécurité des systèmes d’information Le processus d’audit de sécurité est un processus répé//f et perpétuel. Failles critiques (semaine dernière) Les référentiels utilisés dans le cadre des audits de sécurité Les référentiels sont adaptés à chaque type d’audit de sécurité. Audit de Sécurité Référentiel Audit organisationnel et physique Respect des exigences de sécurité au sein de l’entreprise au travers de la mise en œuvre de mesures de sécurité adéquates et pérennes v Politique de sécurité de l’entreprise, v Contexte légale et réglementaire, v ISO 27002, v ISO 27001, v ISO 27005 v CoBIT (Control Objectives for Information and related Technology), Audit technique et intrusif v Sites Web de sécurité de l'information, ü Agence nationale de la sécurité des SI www.ssi.gouv.fr/ ü Associa/on de la sécurité de l'informa/on du Québec www.asiq.org/ v Bases de vulnérabilités. ü www.symantec.com ü www.kaspersky.fr 12 Famille ISO 27000 ν 13 Les normes de la famille ISO/IEC 27000 constituent un ensemble de méthodes, mesures et bonnes pratiques reconnues au niveau international dans le domaine de la sécurité de l'information. Norme ISO 27001 : 2013 v la norme ISO 27001 décrit les exigences nécessaires à la mise en œuvre du Système de Management de la Sécurité de l’Informa/on (SMSI). v Un système de management § Oblige à adopter de bonnes pra/ques § Augmente donc la ﬁabilité de l'organisme dans la durée § Comme un système de management est auditable, Il apporte la conﬁance aux par/es intéressées v Un SMSI permet § D'adopter de bonnes pra/ques de sécurité § D'adapter les mesures de sécurité aux risques encourus SMSI selon la norme ISO 27001:2013 v Le SMSI en tant que dispositif global gère et coordonne la manière dont la sécurité de l’information est mise en place. v Le SMSI est défini pour un périmètre bien déterminé (une application, un service, une organisation, un processus, un métier, un centre de production…). Norme ISO 27002 : 2013 v La norme ISO/IEC 27002:2013 cons/tue un code de bonnes pra/ques. Elle est composée de 114 mesures de sécurité répar/es en 14 chapitres couvrant les domaines organisa/onnels et techniques ci-contre. v C’est en adressant l’ensemble de ces domaines que l’on peut avoir une approche globale de la sécurité des S.I. Norme ISO 27002 : 2013 v Exemples de mesures sur le chapitre « Sauvegarde des informations» : v Exemple de mesures sur le chapitre « Sécurité des communications » : Phase 1 : Préparation de l’audit (1/3) v Appelée phase de pré audit. En eﬀet, c’est au cours de ceDe phase que se dessinent les grands axes qui devront être suivis lors de l’audit sur terrain. Elle se manifeste par des rencontres entre auditeurs et responsables de l’organisme à auditer. v Au cours de ces entre/ens, les espérances des responsables vis-à-vis de l’audit devront être exprimées. v Les personnes qui seront amenées à répondre au ques/onnaire concernant l’audit organisa/onnel doivent être également iden/ﬁées. Phase 1 : Préparation de l’audit (2/3) Dans cette phase l’auditeur défini : v Les composantes organisationnelles v Les composantes matérielles § Les équipements passifs et ac/fs du réseau (switch, routeurs, Modem,,,) § Les serveurs en exploita/on (Serveur an/virus, serveur proxy,,,) v Liste des applications (gestion comptable, gestion des stocks,,,) v Schéma de l’architecture réseau Phase 1 : Préparation de l’audit (3/3) v Objec7f : permet de faire un état des lieux complet de la sécurité du SI et d’en iden/ﬁer les dysfonc/onnements et les risques poten/els. v Il permet ainsi de couvrir l’ensemble du SI de l’organisme et de détecter les carences liées aux diﬀérents processus de ges/on et d’organisa/on de la sécurité. Phase 2 : Audit organisationnel et physique (1/10) v CeDe première phase de l’audit sécurité permet : § D’avoir une vision qualita/ve et quan/ta/ve des diﬀérents facteurs de la sécurité informa/que du site audité. § D’iden/ﬁer les points cri/ques du système d´informa/on. v Cet audit prendra comme référen/el la norme ISO/IEC 27002 et/ou l ’ISO 27001. Déroulement de l’audit des aspects Organisationnels et Physiques 1- Déﬁnir un référen/el sécurité, 2- Élabora/on d’un ques/onnaire d’audit sécurité à par/r du référen/el déﬁni précédemment et des objec/fs de la mission v Quelles méthodes d'authentification des utilisateurs employez-vous? v A l’arrivée d’une nouvelle personne dans l’entreprise, doit-elle signer une charte d’utilisation de l’informatique ? en cas de départ, son compte est-il immédiatement désactivé (accès serveur, messagerie, services en ligne) ? v Les utilisateurs peuvent-ils installer des logiciels sur leurs ordinateurs sans demander d’autorisation ? sont-ils formés à la prudence lors de la navigation internet, lors de la réception de messages électroniques ? v Les données importantes enregistrées sur les ordinateurs portables et appareils mobiles sont-elles sauvegardées, protégées (cryptées) y compris les clés et disques USB ? Exemple de ques/onnaire Phase 2 : Audit organisationnel et physique (2/10) Phase 2 : Audit organisationnel et physique (3/10) Phase 2 : Audit organisationnel et physique (4/10) Phase 2 : Audit organisationnel et physique (5/10) Phase 2 : Audit organisationnel et physique (6/10) Une synthèse globale est présentée uploads/Management/ cours-audit 2 .pdf