Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

ETUDE ET MISE EN PLACE D’UNE APPLICATION D’AUDIT AUTOMATIQUE DE LA SECURITE DES

ETUDE ET MISE EN PLACE D’UNE APPLICATION D’AUDIT AUTOMATIQUE DE LA SECURITE DES SYSTEMES D’INFORMATION THÈME Présenté et soutenu par M. Abd Azis KABORE Sous la direction de : M. Haikreo ADJEOUA Directeur général de 4ITSEC-AFRICA Octobre 2020 Promotion 2018 - 2020 Étude et mise en place d’une application d’audit automatique de sécurité des SI AVANT-PROPOS A la fin de chaque cycle d’enseignement théorique, il est recommandé que l’étudiant effectue un stage pratique dans une entreprise publique ou privée de son choix en vue d’associer la théorie à la pratique professionnelle. Les sociétés de télécommunications et d’informatique étant les lieux par excellence où nous pouvons mieux appendre grâce à leurs maitrises des différents services de l’informatique, nous avons décidé de porter notre choix sur elles pour notre stage pratique. C’est ainsi que 4ITSEC-AFRICA a eu cette volonté de nous accepter en son sein durant ces périodes pour notre formation afin que nous devenions capables d’assumer avec compétence nos futures responsabilités. Avant tout développement sur cette expérience professionnelle, il apparaît opportun de commencer ce mémoire par des remerciements à tous ceux qui ont eu la gentillesse de faire de ce temps un moment très profitable pour nous. I Étude et mise en place d’une application d’audit automatique de sécurité des SI Je dédie ce mémoire : A feu mon cher père et à ma chère mère pour toutes leurs bénédictions ; A mes précieux frère et sœur pour leur soutien ; Et à tous ceux qui me sont chers. II DEDICACES Étude et mise en place d’une application d’audit automatique de sécurité des SI III REMERCIEMENTS A la fin de mes études et de mon stage, je tiens à remercier dans un premier temps toute l’équipe pédagogique de l’École Supérieure Multinationale des Télécommunications (ESMT) et tous les intervenants professionnels responsables de ma formation d’ingénieur en sécurité des systèmes d’information, pour avoir assuré la partie théorique et pratique de celle-ci. Je remercie également : M. Adamou MOUSSA SALEY, Directeur général de l’ESMT, M. Jean Marie PREIRA, Responsable pédagogique, pour l’esprit d’organisation et de rigueur qu’il nous a communiqué tout au long de notre formation, M. Oumar BA SAMBA, Responsable du département technique, pour tout son accompagnement, M. Herve OUEDRAOGO, pour son soutien, Monsieur le président du jury et à tous les membres du jury pout le temps qu’ils ont passé à évaluer mon travail, c’est un grand honneur pour moi, Mes camarades de la Promotion MPSI 2018-2020, pour les moments agréables passés ensemble. Je tiens à remercier tout particulièrement et à témoigner toute ma reconnaissance aux personnes suivantes pour l’expérience enrichissante et pleine d’intérêts qu’elles m’ont fait vivre durant ces moments de travail : Dr Aikreo ADJEOUA, Directeur général de 4ITSEC-AFRICA, Dr Youssef KHLIL, Fondateur de KHLIL IT, Simplice Arnaud LEGMA, Co-fondateur de Reference NTIC. A tous ceux, qui, de près ou de loin ont apporté leur contribution pour la réussite de ce mémoire. Étude et mise en place d’une application d’audit automatique de sécurité des SI IV GLOSSAIRE Abréviation s Significations ACL Acces Control List CERT Computer Emergency Response Team CISA Certified Information System Auditor CMMI Capability Maturity Model Integration COBIT Control Objectives for Information and related Technology CRUD Create, Read, Update, Delete CSIRT Computer Security Incident Response Team DIC Disponibilité, Intégrité, Confidentialité DNS Domain Name System DSI Directeur des Systèmes d’Information EBIOS Expression des Besoins et Identification des Objectifs de Sécurité ESMT École Supérieure Multinationale des Télécommunications ITIL Information Technology Infrastructure Library ISACA Information Systems Audit and Control Association ISO International Organization for Standardization MEHARI Méthode Harmonisée d'Analyse des Risques PC Personnal Computer RSSI Responsable de la Sécurité des Systèmes d’Information SI Système d’Information SMSI Système de Management de la Sécurité des Systèmes d’Information TIC Technologie de l’Information et de la Communication Étude et mise en place d’une application d’audit automatique de sécurité des SI FIGURE 1: CYCLE DE VIE D’UN AUDIT.........................................................................................9 FIGURE 2: DÉMARCHE EBIOS..................................................................................................21 FIGURE 3: PHASE MEHARI......................................................................................................24 FIGURE 4: GESTION DIRECTE DES RISQUES...............................................................................28 FIGURE 5PHASE D’AUDIT..........................................................................................................31 FIGURE 6: LIENS ENTRE ISO 27001, ISO 27005 ET ISO 31000..............................................39 FIGURE 7: PROCESSUS DE GESTION DE RISQUE SELON ISO 31000...........................................39 FIGURE 8: GESTION DE RISQUES SELON ISO 27005..................................................................40 FIGURE 9: AUTRES RÉFÉRENTIELS............................................................................................40 FIGURE 10: PROCESSUS DE GESTION DE RISQUE SELON ISO 27005.........................................45 FIGURE 11: APPROCHE D’APPRÉCIATION ET DE TRAITEMENT DES RISQUES.............................46 FIGURE 12: ÉTABLISSEMENT DU CONTEXTE.............................................................................47 FIGURE 13: EXEMPLES VULNÉRABILITÉS/MENACES..................................................................50 FIGURE 14: EXEMPLE D’ESTIMATION DE LA PROBABILITÉ D’OCCURRENCE.............................51 FIGURE 15: EXEMPLE DE MATRICE D’ESTIMATION DU RISQUE.................................................51 FIGURE 16: EXEMPLE D’ESTIMATION DE L’IMPACT (COTATION)..............................................52 FIGURE 17: EXEMPLE D’ESTIMATION DU RISQUE......................................................................52 FIGURE 18: TRAITEMENT DU RISQUE........................................................................................53 FIGURE 19: OPTIONS DE TRAITEMENT DE RISQUE.....................................................................54 FIGURE 20: PLAN DE TRAITEMENT............................................................................................54 FIGURE 21: RISQUES RÉSIDUELS...............................................................................................55 FIGURE 22: ACCEPTATION DU RISQUE......................................................................................55 FIGURE 23: DIAGRAMME DE CLASSE.........................................................................................64 FIGURE 24: DIAGRAMME DE CAS D’UTILISATION.....................................................................66 FIGURE 25: AUTHENTIFICATION................................................................................................68 FIGURE 26: PANEL ADMINISTRATEUR.......................................................................................69 FIGURE 27: AJOUT CLIENT........................................................................................................69 FIGURE 28: LISTE CLIENT..........................................................................................................70 FIGURE 29: AJOUT DE DOMAINE D’ACTIVITÉ............................................................................70 FIGURE 30: LISTE DES DOMAINES D’ACTIVITÉ..........................................................................71 FIGURE 31: INTERFACE AJOUT D’OPÉRATION...........................................................................71 FIGURE 32: LISTE DES OPÉRATIONS..........................................................................................72 FIGURE 33: AJOUT DE QUESTION..............................................................................................72 FIGURE 34: INTERFACE DE CONNEXION ET SECTEUR D’ACTIVITÉ.............................................73 FIGURE 35: INTERFACE RÉPONSES AUX QUESTIONS..................................................................74 V LISTE DES FIGURES Étude et mise en place d’une application d’audit automatique de sécurité des SI INTRODUCTION............................................................................................................................................1 CHAPITRE 1 : CONTEXTE GENERAL..............................................................................2 1.1 PRÉSENTATION DE 4ITSEC-AFRICA.................................................................................................................3 1.2 PRÉSENTATION DU SUJET................................................................................................................................3 CHAPITRE 2 : ETAT DE L’ART..........................................................................................7 2.1 AUDIT DES SYSTÈMES D’INFORMATION..........................................................................................................8 2.2 TYPES D’AUDIT DES SYSTÈMES D’INFORMATION............................................................................................9 2.3 MÉTHODES ET NORMES D’AUDIT DE SÉCURITÉ DES SI.................................................................................11 2.4 MÉTHODES D’AUDIT DE SÉCURITÉ DES SI....................................................................................................19 2.5 DÉMARCHE STANDARD D'AUDIT...................................................................................................................29 2.6 DÉMARCHE DE RÉALISATION D’UN AUDIT DE SÉCURITÉ..............................................................................30 2.7 MOYENS DE COLLECTE.................................................................................................................................34 2.8 MÉTHODOLOGIE D’AUDIT.............................................................................................................................35 2.9 UTILITÉ DES OUTILS D’AUTOMATISATION DES QUESTIONNAIRES D’AUDIT..................................................36 CHAPITRE 3 : GESTION DES RISQUES..........................................................................37 3.1 FONDAMENTAUX ET RÉFÉRENTIELS DE GESTION DES RISQUES....................................................................38 3.2 LES ORIGINES DES RISQUES..........................................................................................................................41 3.3 DÉMARCHE DE GESTION DES RISQUES SELON ISO 27005............................................................................44 3.4 GESTION DES INCIDENTS DE SÉCURITÉ.........................................................................................................56 3.5 MÉTHODOLOGIE DE GESTION DES RISQUES POUR LES DSI...........................................................................58 CHAPITRE 4 : ETUDE, CONCEPTION ET REALISATION DE L’APPLICATION. 61 4.1 ÉTUDE ET SPÉCIFICATION DES BESOINS DU SYSTÈME...................................................................................62 4.2 CONCEPTION.................................................................................................................................................63 4.3 RÉALISATION DE L’APPLICATION..................................................................................................................67 4.4 BENCHMARKING...........................................................................................................................................74 CONCLUSION................................................................................................................................................76 BIBLIOGRAPHIE...................................................................................................................A WEBOGRAPHIE.....................................................................................................................A TABLE DES MATIERES.......................................................................................................B VI SOMMAIRE Étude et mise en place d’une application d’audit automatique de sécurité des SI INTRODUCTION Dans le nouveau contexte économique, le besoin d’informations sécurisées est de plus en plus crucial pour les entreprises. Certaines entreprises et institutions, en quête de développement de leurs activités, cherchent continuellement des informations qui leur permettent de mieux cerner les variables de leur environnement et de les maîtriser. Ce phénomène a toujours existé et ne fait qu’évoluer et se moderniser au fil du temps. Actuellement, si les technologies de l’information et de la communication permettent aux responsables et dirigeants, d’améliorer et de sécuriser leurs données, ces mêmes technologies permettent malheureusement à d’autres individus assez doués (comme les HACKERS) d’en prendre part et de les utiliser illégalement. Face à cette situation et pour protéger ces précieuses données, des barrières sont mises en place pour filtrer et bloquer les accès illicites. Toutefois, on se rend compte rapidement que les méthodes et la nature des attaques des Hackers changent et évoluent sans cesse, obligeant les institutions à sécuriser leurs systèmes d’information (SI) mis en place. Le meilleur moyen de suivre la sécurité d’un SI est d’effectuer un audit de sécurité des SI de façon périodique. L'audit, exercé par un auditeur, est un processus systématique, indépendant et documenté permettant de recueillir des informations objectives pour déterminer dans quelle mesure les éléments du système cible satisfont aux exigences des référentiels du domaine concerné. C’est dans ce contexte que s’inscrit ce projet qui vise à mettre en place un outil pour automatiser l’audit organisationnel, physique et technique pour les entreprises. Pour se faire, nous présenterons notre organisme cible, ensuite un état de l’art sur l’audit de façon générale. Par la suite, nous entamerons notre mission par l’étude de la gestion des risques et terminerons par l’étude, la conception et la réalisation de l’application. 1 Étude et mise en place d’une application d’audit automatique de sécurité des SI 2 CHAPITRE 1 : CONTEXTE GENERAL Étude et mise en place d’une application d’audit automatique de sécurité des SI 1.1 Présentation de 4itsec-africa 1.1.1 Historique Le développement de l’internet a fait émerger une nouvelle forme d’économie : économie numérique. En effet, tout comme dans la vie réelle, l’économie numérique est gravement menacée par des personnes malveillantes. Ainsi, il urge pour les gouvernements, les entreprises ou simplement toute personne de connaitre les enjeux de la sécurité des systèmes d’information. Faisant suite à ces réflexions, FOR IT SECURITY AFRICA (4itsec-africa) a été fondé en 2016 dont la vocation est de vulgariser l’acquisition des compétences (en sécurité de l’information) aux étudiants et de renforcer la capacité des professionnels et enfin d’accompagner les entreprises au travers des conseils, audit de sécurité des systèmes d’information et diverses prestations dans le domaine de l’informatique. 1.1.2 Objectifs 4itsec-africa a pour objectifs de : Donnez des compétences aux étudiants et renforcer la capacité des professionnels, Porter assistances aux entreprises confrontées à des soucis de sécurité, Aider les entreprises partenaires à prévenir et réduire uploads/Management/ memoire-abd-azis-corrige.pdf