Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

2014 NDONGMO TONZEU ALEX L. Grid Engineering SARL Manuel de procédures d’audit

2014 NDONGMO TONZEU ALEX L. Grid Engineering SARL Manuel de procédures d’audit de sécurité d’un Système d’information Manuel de procédures d’audit de sécurité d’un Système d’information 1 AVANT PROPOS  Le présent manuel décrit l'organisation, les procédures d’audit de sécurité d’un système d’information. La mise en place des procédures formalisées répond aux objectifs ci-après :  Mettre à la disposition du responsable du Projet, un outil de référence à la fois opérationnel et pédagogique pour la conduite des missions d’audit.  Rendre plus productif l’équipe et responsabiliser davantage les auditeurs dans l'accomplissement des tâches respectives par une définition précise des objectifs visés à chaque phase du processus d’audit.  Si les aspects techniques mentionnés dans ce document peuvent devenir obsolètes, les concepts fondamentaux abordés restent valides. Le lecteur pourra actualiser son information en consultant les sites Internet des éditeurs des différents outils (référentiel, méthodes, logiciels…) répertoriés.  Conformément aux usages, nous avons laissé en anglais un certain nombre de termes du langage technique. Manuel de procédures d’audit de sécurité d’un Système d’information 2 SOMMAIRE AVANT PROPOS ............................................................................................................................ 1 LISTE DES FIGURES ........................................................................................................................ 5 LISTE DES TABLEAUX .................................................................................................................... 6 LISTE DES SIGLES ET ABREVIATIONS .............................................................................................. 7 INTRODUCTION: CONTEXTE .......................................................................................................... 9 PARTIE I : DESCRITION DU MANUEL ................................................................................ 10 I.1 OBJECTIFS DU MANUEL ................................................................................................................ 11 I.2 ORGANISATION DU MANUEL ....................................................................................................... 11 I.3 MISE A JOUR DU MANUEL ............................................................................................................ 12 I.3.1 Modification des procédures ................................................................................................ 12 I.3.2 Responsabilités de la tenue de la mise à jour du manuel ..................................................... 12 I.3.3 Méthodologie de mise à jour ................................................................................................ 13 PARTIE II : AUDIT DE SECURITE DES SYSTEMES D’INFORMATION AU CAMEROUN .................................................................................................................................................. 14 II.1 C’EST QUOI L’AUDIT DE SECURITE D’UN SI ? ................................................................................ 15 II.2 QUEL EST LE CADRE JURIDIQUE QUI REGIT CETTE ACTIVITE ? ..................................................... 15 II.3 POURQUOI FAUT-IL AUDITER LES SI ? .......................................................................................... 16 II.4 QU’EST-CE QU’IL FAUT AUDITER ? ............................................................................................... 16 II.5 QUI DOIT AUDITER ? .................................................................................................................... 17 II.5.1 Rôle de l’ANTIC ..................................................................................................................... 17 II.5.2 Rôle des auditeurs externes ................................................................................................. 18 II.6 COMMENT EST FACTUREE UNE MISSION D’AUDIT ? ................................................................... 18 PARTIE III : REFERENTIELS D’AUDIT DE SECURITE DES SI ......................................... 19 III.1 INTRODUCTION .......................................................................................................................... 20 III.2 DEFINITIONS ............................................................................................................................... 20 III.2.1 L’ISO (Organisation Internationale de Normalisation) ....................................................... 20 III.2.2 Les méthodes ...................................................................................................................... 21 III.2.3 Les normes .......................................................................................................................... 21 III.3 HISTORIQUE DES NORMES SUR LA SECURITE DE L’INFORMATION ............................................ 22 Manuel de procédures d’audit de sécurité d’un Système d’information 3 III.4 LA SUITE DES NORMES ISO 2700X .............................................................................................. 24 III.5 LES SYSTEMES DE MANAGEMENT .............................................................................................. 30 III.5.1 Le principe des systèmes de management ......................................................................... 30 III.5.2 Les principaux systèmes de management .......................................................................... 31 III.5.3 L’apport des systèmes de management ............................................................................. 32 III.5.4 Les Systèmes de Management de la Sécurité de l'Information (SMSI) ............................... 33 III.6 LA NORME ISO/CEI 27001 SELON LE MODELE PDCA .................................................................. 34 III.6.1 Définitions (le modèle PDCA) .............................................................................................. 34 III.6.2 La première phase du modèle PDCA : la phase « Plan » ..................................................... 35 A. Politique et périmètre du SMSI ............................................................................................ 36 B. Appréciation des risques ...................................................................................................... 36 C. Traitement des risques ......................................................................................................... 45 D. Sélection des mesures de sécurité ....................................................................................... 46 III.6.3 Phase « Do » ....................................................................................................................... 46 A. Plan de traitement ............................................................................................................... 47 B. Choix des indicateurs ........................................................................................................... 47 C. Formation et sensibilisation des collaborateurs .................................................................. 47 D. Maintenance du SMSI .......................................................................................................... 48 III.6.4 La phase « Check » .............................................................................................................. 48 A. Les audits internes ............................................................................................................... 48 B. Les contrôles internes .......................................................................................................... 49 C. Revues de direction .............................................................................................................. 49 III.6.5 La phase « Act » .................................................................................................................. 49 A. Actions correctives ............................................................................................................... 49 B. Actions préventives .............................................................................................................. 49 C. Actions d’améliorations ....................................................................................................... 50 PARTIE IV : DEMARCHE DE REALISATION D’UNE MISSION D’AUDIT DE SECURITE .................................................................................................................................................. 51 IV.1 CYCLE DE VIE DE L’AUDIT DE SECURITE D’UN SI.......................................................................... 52 IV.1.1 Description .......................................................................................................................... 53 IV.1.2 Intérêts................................................................................................................................ 53 IV.2 PROCESSUS DE REALISATION D’UNE MISSION D’AUDIT ............................................................ 54 IV.2.1 PREPARATION DE L’AUDIT .................................................................................................. 55 Manuel de procédures d’audit de sécurité d’un Système d’information 4 A. Objectifs ............................................................................................................................... 55 B. Préparation de la mission ..................................................................................................... 55 C. Détermination des référentiels ............................................................................................ 56 D. Organisation de l’audit ......................................................................................................... 56 E. Le périmètre de l’audit : ....................................................................................................... 57 F. Les documents à demander ................................................................................................. 57 G. Personnes à rencontrer et agenda ...................................................................................... 58 H. Durée de la mission .............................................................................................................. 58 I. Préparation des auditeurs ..................................................................................................... 58 IV.2.2 AUDIT NIVEAU 1 : AUDIT ORGANISATIONNEL ET PHYSIQUE ............................................ 61 A. Objectifs ............................................................................................................................... 61 B. Déroulement ........................................................................................................................ 62 IV.2.3 AUDIT NIVEAU 2 : AUDIT TECHNIQUE ................................................................................ 73 A. Objectifs ............................................................................................................................... 73 B. Déroulement ........................................................................................................................ 74 IV.2.4 PHASE DE TESTS INTRUSION ............................................................................................... 86 A. Objectifs, avantages et limites des tests d’intrusion ........................................................... 87 B. Types de test d’intrusion ...................................................................................................... 89 IV.2.5 PHASE DE SYSNTHESE ET RECOMMANDATIONS (LE RAPPORT D’AUDIT) .......................... 96 A. Analyse et évaluation des risques (cf. MEHARI) .................................................................. 97 B. Le rapport d’audit................................................................................................................. 97 IV.2.6 LA PHASE D’ACCOMPAGNEMENT POST-AUDIT ................................................................ 102 A. Objectifs ............................................................................................................................. 102 B. Déroulement ...................................................................................................................... 102 ANNEXES ............................................................................................................................... 105 ANNEXE 1 : QUESTIONNAIRE D’AUDIT ..................................................................................................... 105 ANNEXE 2 : INSTALLATION DE KALI ......................................................................................................... 134 ANNEXE 3 : ANALYSE DE FLUX D’UN RESEAU AVEC WIRESHARK. .................................................................. 142 ANNEXE 4 : ANALYSE DE VULNERABILITE AVEC NESSUS. ............................................................................. 150 ANNEXE 5 : TEST D’INTRUSION AVEC ARMITAGE ....................................................................................... 164 BIBLIOGRAPHIE ...................................................................................................................................... 173 Manuel de procédures d’audit de sécurité d’un Système d’information 5 Liste des Figures Figure 1: Résumé des normes ISO 2700X .............................................................................................. 30 Figure 2: Le processus du système de management ............................................................................ 31 Figure 3: Le modèle «PDCA » ................................................................................................................ 34 Figure 4: Processus de déroulement de la phase « Plan » .................................................................... 36 Figure 5: Le processus d’appréciation des risques ................................................................................ 37 Figure 6: Les cinq modules de la méthode EBIOS ........................................... Erreur ! Signet non défini. Figure 7: Enjeux critiques + Vulnérabilités fortes = Risques inacceptables .......................................... 40 Figure 8: La démarche MEHARI ............................................................................................................. 45 Figure 9: Cycle de vie d’audit de sécurité .............................................................................................. 52 Figure 10: Processus d’audit.................................................................................................................. 55 Figure 11: interface d’accueil de Kali .................................................................................................... 77 Manuel de procédures d’audit de sécurité d’un Système d’information 6 Liste des Tableaux Tableau 1: Historique des normes en matière de sécurité de l’information ........................................ 24 Tableau 2: Principaux référentiels de systèmes de management ........................................................ 32 Tableau 3: Outils d'audit technique ...................................................................................................... 76 Tableau 4: tableau d’accompagnement post audit ............................................................................. 104 Manuel de procédures d’audit de sécurité d’un Système d’information 7 Liste des sigles et abréviations ACL: Access Control List AESC: American Engineering Standards Committee AFNOR: Association Française de Normalisation ANSSI: Agence Nationale de la Sécurité des Systèmes d’Information ANTIC : Agence Nationale des Technologies de l’Information et de la Communication ARP: Address Resolution Protocol ASA: American Standards Association BSI: British Standards Institute CEI : Commission Electrotechnique Internationale CEN : Comité Européen de Normalisation CLUSIF: Club de la Sécurité de l’Information Français CMM: Capability Maturity Model DNS: Domain Name System EBIOS : Expression des Besoin et Identification des Objectifs Spécifique HIDS: Host Intrusion Detection System HTTP: HyperText Transfer Protocol IEEE: Institute of Electrical and Electronics Engineers IP: Internet Protocol IPS: Intrusion Prevention System ISO : organisation internationale de normalisation JTC : Joint Technical Committee MEHARI: Méthode Harmonisée d’Analyse des Risques. NDIS: Network Intrusion Detection System Manuel de procédures d’audit de sécurité d’un Système d’information 8 Nmap: Network Mapper OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation OHSAS: Occupational Health and Safety Assessment Series PCAP: Packet Capture PDCA: « Plan » « Do » « Act » « Check » POP: Post Office Protocol RATS: Rough Auditing Tool for Security RSSI: Responsable de Sécurité du Système d’Information SGSI : Système de Gestion de la Sécurité de l’information SI : Système d’Information SMQ : Système de Management de la Qualité SMSI : Système de Management de la Sécurité de l’Information SMTP: Simple Mail Transfer Protocol SoA: Statement of Applicability SSH: Secure Shell TCP: Transmission Control Protocol TELNET: TELecommunication NETwork UDP: User Datagram Protocol VLAN: Virtual Local Area Network Manuel de procédures d’audit de sécurité d’un Système d’information 9 INTRODUCTION: CONTEXTE Afin de protéger leurs données, le matériel et les personnes, la plupart des entreprises de grande taille ou même de dimensions plus modestes, doivent s'assurer de leur sécurité et d'une protection efficace face aux intrusions (menaces d'intrusion d'un réseau de données par l’Internet par exemple …). De même, les risques d'espionnage industriel pouvant mettre l'entreprise en danger sur le plan commercial et concurrentiel doivent également être considérés. Qu'elle soit discrète ou plus ostentatoire, la sécurité d'une entreprise et sa mise en pratique cohérente contre des risques potentiels se doit d'être contrôlée périodiquement pour s'assurer des performances des systèmes, protocoles et pratiques de sécurité. Pour répondre à cet impératif, chaque entreprise doit effectuer périodiquement un audit de sécurité de son système d’information (SI) afin de disposer d’un état des lieux, de mettre en évidence les forces et les faiblesses de sa configuration actuelle, et d’identifier les actions correctives à mettre en œuvre. Cela devra se faire en suivant un plan détaillé c’est-à-dire une démarche d’audit de sécurité adapté aux systèmes d’information qui sont en constante évolution. Ce document présente la démarche à suivre pour mener à bien une mission d’audit de sécurité uploads/Management/ manuel-de-procedures-d-x27-audit-de-securite2.pdf