SlideShare une entreprise Scribd logo

Audit de sécurité informatique

Télécharger en tant que PPTX, PDF
Mohamed Ali Hadhri
Mohamed Ali Hadhri

audit de sécurité informatique d'un établissement universitaire avec des normes ISO, ISACA et une analyse des risques.

Ingénierie
1  sur  28
Approche pour l’audit de la sécurité d’un système d’information d’un établissement universitaire : Elaboré par : Mohamed Ali HADHRI 1
Plan • Problématique • Audit de sécurité informatique • Choix de normes et de méthodes • Processus d’audit • Recommandations • Plan d’action • Conclusion • Perspectives 2
Problématiques • Mauvaise réactivité de serveurs. • Refus et plantage de différents services dans l’Intranet. • Contamination par des virus malgré l’existence d’une solution d’antivirus. • Difficulté d’accéder aux différentes ressources partagées • Faible débit Internet. • Altération, modification ou suppression d’informations. • Vol de matériels ou de pièces électroniques du • Coupures électriques. 3
Conséquences • Indisponibilités des systèmes, • Manipulation des données et systèmes par des personnes non autorisés, • Destruction des données ou systèmes, • Difficulté de remise en marche, • Coûts importants de maintient en état, • Mise en jeu de la crédibilité 4
Nécessités • Perfectionner la sécurisation des Systèmes d’Information par : • vérification de l’identité déclinée par le requérant • gestion des droits d’accès et des autorisations • Protéger les données stockées ou en transit sur le réseau contre toute: • modification non autorisée, utilisation frauduleuse ou divulgation non autorisée. • Etablir un diagnostic sur la qualité du fonctionnement du système informatique actuel et proposer des mesures susceptibles de l’améliorer. • Prouver la crédibilité du système d’information à l’aide des analyses effectuées. •  Audit de sécurité informatique 5
L’audit de sécurité informatique C’est un processus systématique, indépendant et documenté pour identifier: • l’état des lieux du SI, • les risques • leurs menaces • leurs impacts • les mesures de critères de sécurité à prendre Il se réfère à des référentiels et normes spécifiques 6
La charte d’audit • Basée sur La Norme ISACA SI 1001.1 et 1001.2 • Document approuvé par la direction de l’ISET pour: • Définir la portée des activités de la fonction d’audit • Définir le pouvoir, l’objet, et limitations de la fonction d’audit • Définir les responsabilités de la fonction interne d’audit • Autoriser l’accès aux documents, biens personnels et physiques pertinents • Définir les normes professionnelles à suivre dans la conduite des missions d’audit et d’assurance des SI 7
La Norme ISO 27002:2005 • Ensemble de bonnes pratiques décrivant les principaux objectifs de contrôle de l’ensemble de la sécurité de l’information sans aucune obligation • Etablit des lignes directrices pour préparer, mettre en œuvre, entretenir et améliorer la gestion de la sécurité de l'information au sein d'un organisme. • Couvre tous les aspects de la sécurité des SI • Conforme à la loi et règlementation • Publique et internationale • Norme crédible éprouvée depuis plus que 10 années • Maitrise des coûts de la SSI • Évolutive et souple 8
ISO 27002: Insuffisances • La norme 27002:2005 ne fixe pas de niveaux ou d’objectifs de sécurité et rappelle la nécessité de faire des analyses de risques périodiques sans préciser la méthode d’évaluation du risque. • Solution:  Recourir à une méthode qui sera l’outil utilisé pour satisfaire à la norme ISO. 9
Pourquoi EBIOS ? • Expression des Besoins et Identification des Objectifs de Sécurité • Méthode qui permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information • permet d’identifier des objectifs et exigences de sécurité à la suite d’une appréciation de risques • elle permet de contribuer à la réalisation : • d’une politique de sécurité, • d’un plan d’action de sécurité des systèmes d’information, • d’une fiche d’expression rationnelle des objectifs de sécurité. 10
EBIOS: Démarche • L’étude du contexte • matériels, logiciels, réseaux, organisations, personnels et sites. • L’expression des besoins de sécurité • Chaque élément essentiel a un besoin de sécurité • L’étude des menaces • Chaque entité possède des vulnérabilités exploitées par les éléments menaçants • L’expression des objectifs de sécurité • couvrir les vulnérabilités exploitées par les attaquants • La détermination des exigences de sécurité • spécifier les fonctionnalités de sécurité attendues et spécifier les exigences d’assurance11
12 ACTIF Vulnérabilités Risques ImpactsMenaces Protections possède exploitent ciblent entrainent réduisent Protègent contre limitent
EBIOS: L’outil • Distribué sous Licence GNU GPL, • Multiplateformes, • Assiste les utilisateurs d’EBIOS, • Stocke les contextes, risques et besoins, • Donne accès à une base de connaissances des: • Risques courants • Attaques courantes • Risques fréquents 13
Avantages et Inconvénients d’EBIOS Avantages • Solution complète modulaire • Définit les Acteurs, Rôles, Interactions etVocabulaire • Adéquation des ressources aux besoins • Politique de sécurité claire et réaliste • Dispose d’un logiciel d’assistance pour la mise en œuvre Inconvénients • Pas de recommandations sécuritaires • Pas de méthode d’audit/évaluation • Possibilité d’évaluation incorrecte des risques • Oublis potentiels • Vocabulaire légèrement nuancé  EBIOS ne peut pas être utilisé seul 14
Norme d’audit des SI 1008.1, 1008.2 • Référence adoptée pour l’audit technique de L’ISET • Se base sur la sélection de critères d'évaluation des équipements informatiques afin de les mettre à la disposition de tous les utilisateurs • Fournit une base de critères validées établies par l’ISACA qui doivent être : • Objectifs • Complets • Pertinents • Mesurables • Intelligibles 15
Mission d’audit de sécurité 16
Audit organisationnel et physique • Conforme à la norme ISO 27002 : 2005. • Dresse un état des lieux des plans organisationnels, procéduraux et technologiques. • Couvre la sécurité physique des locaux et le contrôle d’accès logique. • Cherche à obtenir un aperçu global de l’état de sécurité du système d’information et identifier les risques potentiels 17
Domaines d’activité • Politique de sécurité • Organisation de la sécurité de l’information. • Gestion des biens. • Sécurité liée aux ressources humaines • Sécurité physique et environnementale. • Gestion opérationnelle et gestion de la communication. • Contrôle d’accès. • Acquisition, développement et maintenance des systèmes d’information. • Gestion des incidents liés à la sécurité de l’information. • Gestion de la continuité de l’activité. • Conformité 18
Constations • Absence d’un schéma directeur • Absence de documents de références • Absence de politique de sécurité • Absence d’un poste de RSSI • Absence d’affectation de responsabilités en matière de sécurité lors d’attribution des rôles • Absences de procédure d’accès, de gestion de supports de stockage, • Insuffisance au niveau du contrôle d’accès • Manque de sensibilisation des utilisateurs • Exposition à des facteurs environnementaux • Défaillances techniques au niveau des équipements informatiques 19
Analyse des risques Disponibilité d’accès à Moodle  significatif Cohérence et Intégrité des données dans Moodle  intolérable Confidentialité limitée d'accès à Moodle  intolérable Disponibilité des comptes utilisateurs  significatif Intégrité des comptes utilisateurs  intolérable Confidentialité des comptes utilisateurs  intolérable Disponibilité des applications  significatif Intégrité des applications  significatif Disponibilité du site internet  négligeable Intégrité maitrisée du contenu du site internet  significatif 20
Audit technique • Conforme à la norme d’ISACA concernant les actifs informationnels. • Ensemble de tests pour découvrir les failles et vulnérabilités des composants du système d’information: • réseau, • serveurs, • Systèmes d’exploitation, • équipements actifs de l’infrastructure réseau, • site web 21
Utilitaires deTAAO 22
Constatations • Des défauts de configuration. • Des services vulnérables. • Des patchs de sécurité non mis à jour. • Des Produits non plus supportés par l’éditeur telque XP. • Produits avec des licences expirées. • Produits nécessitant des mises à jour. 23
Recommandations • Activer le branchement du firewall physique • Ajouter un serveur proxy pour l’Administration. • Fermer les ports des services inutilisables sur machine • Mise à jour vers Apache httpd 2.2.21. • Désactiver les service SNMP, FTP,Telnet. • Migrer vers une version deWindows supportée actuellement • Installer les correctifs pourWindows et modifier des registres spécifiques • Appliquer la signature SMB pour les messages dans les machines Hôtes. • Installer un antivirus avec licence 24
Plan d’action • Elaboration d’un référentiel de sécurité. • Sensibilisation et formation à la sécurité. • Renforcement de la sécurité des locaux. • Sécurisation des systèmes. • Partitionnement du réseau local. • Assurer la continuité de fonctionnement. 25
Conclusion • La mission d’audit réalisée a permis d’identifier les risques du système d’information en utilisant une démarche structurée. • L’audit a détecté des lacunes sur le plan organisationnel, physique et technique et a présenté des propositions à mettre en œuvre pour pallier à ces insuffisances. • Nécessité de faire le suivi pour concrétiser les recommandations. 26
Perspectives • Personnalisation et adaptation du code source d’EBIOS • Intégration de l’audit dans le processus en cours de certification ISO 9001 • Des normes ISO en cours de rédaction • ISO 27007 : Guide d'audit • ISO 27008 : Guide pour les auditeurs concernant les contrôles du SMSI • ISO 27011 : 27002 adapté à certains secteurs d'activité (télécom, santé, …) 27
Bibliographie • [4] « About ISACA ». [En ligne]. Disponible sur: http://www.isaca.org/about- isaca/Pages/default.aspx. [Consulté le: 01-juin-2014]. • [5] « ISO - Organisation internationale de normalisation ». [En ligne]. Disponible sur: http://www.iso.org/iso/fr/. [Consulté le: 01-juin-2014]. • [1] webmestre [at] ssi.gouv.fr, « Site officiel de l’agence nationale de la sécurité des systèmes d’information ». [En ligne]. Disponible sur: http://www.ssi.gouv.fr/fr/anssi/. [Consulté le: 29-mai- 2014]. • [10] « EBIOS 2010 - Expression des Besoins et Identification des Objectifs de Sécurité - ANSSI ». [En ligne]. Disponible sur: http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/outils- methodologiques/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de- securite.html. [Consulté le: 29-mai-2014]. • [14] C. JeanFrançois, La sécurité informatique dans la petite entreprise. editions ENI • [22] B. Bernard et D. Benoit, "Linux, sécuriser un réseau», Edition Eyrolles, 3e éd. • [13] « Centre des Ressources Informatiques ». [En ligne]. Disponible sur: http://www.isetso.rnu.tn/index.php?option=com_content&view=article&id=47&Itemid=37&lang =fr. [Consulté le: 29-mai-2014]. 28

Recommandé

Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 

Recommandé

Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobitYoussef Bensafi
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
ISO 27001
ISO 27001ISO 27001
ISO 27001MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Ebios
EbiosEbios
Ebioskilojolid
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
Audit
AuditAudit
Auditzan
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationDimassi Khoulouda
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfsaadbourouis2
 

Contenu connexe

Tendances

Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Audit
AuditAudit
Auditzan
 

Tendances (20)

Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'information
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
Mehari
MehariMehari
Mehari
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Ebios
EbiosEbios
Ebios
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
EBIOS
EBIOSEBIOS
EBIOS
 
Audit
AuditAudit
Audit
 

Similaire à Audit de sécurité informatique

La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationDimassi Khoulouda
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfsaadbourouis2
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Le vérificateur général de Montréal et la sécurité
Le vérificateur général de Montréal et la sécuritéLe vérificateur général de Montréal et la sécurité
Le vérificateur général de Montréal et la sécuritéPECB
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptKhaledabdelilah1
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersSara SI-MOUSSI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pJean AMANI
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 pAAMOUMHicham
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel EverteamEverteam
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Patrick Leclerc
 
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0ben3a
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfFootballLovers9
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 

Similaire à Audit de sécurité informatique (20)

La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
 
Cisa domaine 4 operations maintenance et support des systèmes d’information
Cisa domaine 4 operations maintenance et support des systèmes d’informationCisa domaine 4 operations maintenance et support des systèmes d’information
Cisa domaine 4 operations maintenance et support des systèmes d’information
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Le vérificateur général de Montréal et la sécurité
Le vérificateur général de Montréal et la sécuritéLe vérificateur général de Montréal et la sécurité
Le vérificateur général de Montréal et la sécurité
 
securite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).pptsecurite-2014-fond-blanc (1).ppt
securite-2014-fond-blanc (1).ppt
 
Politique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliersPolitique de sécurité des systèmes d'information hospitaliers
Politique de sécurité des systèmes d'information hospitaliers
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p1 securite-des-reseaux.2 p
1 securite-des-reseaux.2 p
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
ITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FRITrust Security Operating Center (SOC) - Datasheet FR
ITrust Security Operating Center (SOC) - Datasheet FR
 
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam070219 Webinar Sensibilisation Sécurité Logiciel Everteam
070219 Webinar Sensibilisation Sécurité Logiciel Everteam
 
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014 Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
Securite applicative et SDLC - OWASP Quebec - 15 avril 2014
 
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0
 
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalitéIdentity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
Identity Days 2020 - Principe de moindre privilège, de la théorie à la réalité
 
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdfresume-theorique-m212-cybersecurite-v1-1509-_2.pdf
resume-theorique-m212-cybersecurite-v1-1509-_2.pdf
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 

Dernier

SciencesPo_Aix_InnovationPédagogique_Atelier_APC.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_APC.pdfSciencesPo_Aix_InnovationPédagogique_Atelier_APC.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_APC.pdfSKennel
 
CHAPITRE 2 VARIABLE ALEATOIRE probabilité.ppt
CHAPITRE 2 VARIABLE ALEATOIRE probabilité.pptCHAPITRE 2 VARIABLE ALEATOIRE probabilité.ppt
CHAPITRE 2 VARIABLE ALEATOIRE probabilité.pptbentaha1011
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfmia884611
 
présentation sur la logistique (4).
présentation sur la logistique (4).présentation sur la logistique (4).
présentation sur la logistique (4).FatimaEzzahra753100
 
Cours-de-Ponts Cours de Ponts Principes généraux - Conception Méthodes de con...
Cours-de-Ponts Cours de Ponts Principes généraux - Conception Méthodes de con...Cours-de-Ponts Cours de Ponts Principes généraux - Conception Méthodes de con...
Cours-de-Ponts Cours de Ponts Principes généraux - Conception Méthodes de con...maach1
 
Actions du vent sur les bâtiments selon lEurocode 1 – Partie 1-4.pdf
Actions du vent sur les bâtiments selon lEurocode 1 – Partie 1-4.pdfActions du vent sur les bâtiments selon lEurocode 1 – Partie 1-4.pdf
Actions du vent sur les bâtiments selon lEurocode 1 – Partie 1-4.pdfalainfahed961
 

Dernier (8)

SciencesPo_Aix_InnovationPédagogique_Atelier_APC.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_APC.pdfSciencesPo_Aix_InnovationPédagogique_Atelier_APC.pdf
SciencesPo_Aix_InnovationPédagogique_Atelier_APC.pdf
 
Note agro-climatique n°2 - 17 Avril 2024
Note agro-climatique n°2 - 17 Avril 2024Note agro-climatique n°2 - 17 Avril 2024
Note agro-climatique n°2 - 17 Avril 2024
 
CHAPITRE 2 VARIABLE ALEATOIRE probabilité.ppt
CHAPITRE 2 VARIABLE ALEATOIRE probabilité.pptCHAPITRE 2 VARIABLE ALEATOIRE probabilité.ppt
CHAPITRE 2 VARIABLE ALEATOIRE probabilité.ppt
 
CAP2ER_GC_Presentation_Outil_20240422.pptx
CAP2ER_GC_Presentation_Outil_20240422.pptxCAP2ER_GC_Presentation_Outil_20240422.pptx
CAP2ER_GC_Presentation_Outil_20240422.pptx
 
Câblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdfCâblage, installation et paramétrage d’un réseau informatique.pdf
Câblage, installation et paramétrage d’un réseau informatique.pdf
 
présentation sur la logistique (4).
présentation sur la logistique (4).présentation sur la logistique (4).
présentation sur la logistique (4).
 
Cours-de-Ponts Cours de Ponts Principes généraux - Conception Méthodes de con...
Cours-de-Ponts Cours de Ponts Principes généraux - Conception Méthodes de con...Cours-de-Ponts Cours de Ponts Principes généraux - Conception Méthodes de con...
Cours-de-Ponts Cours de Ponts Principes généraux - Conception Méthodes de con...
 
Actions du vent sur les bâtiments selon lEurocode 1 – Partie 1-4.pdf
Actions du vent sur les bâtiments selon lEurocode 1 – Partie 1-4.pdfActions du vent sur les bâtiments selon lEurocode 1 – Partie 1-4.pdf
Actions du vent sur les bâtiments selon lEurocode 1 – Partie 1-4.pdf
 

Audit de sécurité informatique

  • 1. Approche pour l’audit de la sécurité d’un système d’information d’un établissement universitaire : Elaboré par : Mohamed Ali HADHRI 1
  • 2. Plan • Problématique • Audit de sécurité informatique • Choix de normes et de méthodes • Processus d’audit • Recommandations • Plan d’action • Conclusion • Perspectives 2
  • 3. Problématiques • Mauvaise réactivité de serveurs. • Refus et plantage de différents services dans l’Intranet. • Contamination par des virus malgré l’existence d’une solution d’antivirus. • Difficulté d’accéder aux différentes ressources partagées • Faible débit Internet. • Altération, modification ou suppression d’informations. • Vol de matériels ou de pièces électroniques du • Coupures électriques. 3
  • 4. Conséquences • Indisponibilités des systèmes, • Manipulation des données et systèmes par des personnes non autorisés, • Destruction des données ou systèmes, • Difficulté de remise en marche, • Coûts importants de maintient en état, • Mise en jeu de la crédibilité 4
  • 5. Nécessités • Perfectionner la sécurisation des Systèmes d’Information par : • vérification de l’identité déclinée par le requérant • gestion des droits d’accès et des autorisations • Protéger les données stockées ou en transit sur le réseau contre toute: • modification non autorisée, utilisation frauduleuse ou divulgation non autorisée. • Etablir un diagnostic sur la qualité du fonctionnement du système informatique actuel et proposer des mesures susceptibles de l’améliorer. • Prouver la crédibilité du système d’information à l’aide des analyses effectuées. •  Audit de sécurité informatique 5
  • 6. L’audit de sécurité informatique C’est un processus systématique, indépendant et documenté pour identifier: • l’état des lieux du SI, • les risques • leurs menaces • leurs impacts • les mesures de critères de sécurité à prendre Il se réfère à des référentiels et normes spécifiques 6
  • 7. La charte d’audit • Basée sur La Norme ISACA SI 1001.1 et 1001.2 • Document approuvé par la direction de l’ISET pour: • Définir la portée des activités de la fonction d’audit • Définir le pouvoir, l’objet, et limitations de la fonction d’audit • Définir les responsabilités de la fonction interne d’audit • Autoriser l’accès aux documents, biens personnels et physiques pertinents • Définir les normes professionnelles à suivre dans la conduite des missions d’audit et d’assurance des SI 7
  • 8. La Norme ISO 27002:2005 • Ensemble de bonnes pratiques décrivant les principaux objectifs de contrôle de l’ensemble de la sécurité de l’information sans aucune obligation • Etablit des lignes directrices pour préparer, mettre en œuvre, entretenir et améliorer la gestion de la sécurité de l'information au sein d'un organisme. • Couvre tous les aspects de la sécurité des SI • Conforme à la loi et règlementation • Publique et internationale • Norme crédible éprouvée depuis plus que 10 années • Maitrise des coûts de la SSI • Évolutive et souple 8
  • 9. ISO 27002: Insuffisances • La norme 27002:2005 ne fixe pas de niveaux ou d’objectifs de sécurité et rappelle la nécessité de faire des analyses de risques périodiques sans préciser la méthode d’évaluation du risque. • Solution:  Recourir à une méthode qui sera l’outil utilisé pour satisfaire à la norme ISO. 9
  • 10. Pourquoi EBIOS ? • Expression des Besoins et Identification des Objectifs de Sécurité • Méthode qui permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information • permet d’identifier des objectifs et exigences de sécurité à la suite d’une appréciation de risques • elle permet de contribuer à la réalisation : • d’une politique de sécurité, • d’un plan d’action de sécurité des systèmes d’information, • d’une fiche d’expression rationnelle des objectifs de sécurité. 10
  • 11. EBIOS: Démarche • L’étude du contexte • matériels, logiciels, réseaux, organisations, personnels et sites. • L’expression des besoins de sécurité • Chaque élément essentiel a un besoin de sécurité • L’étude des menaces • Chaque entité possède des vulnérabilités exploitées par les éléments menaçants • L’expression des objectifs de sécurité • couvrir les vulnérabilités exploitées par les attaquants • La détermination des exigences de sécurité • spécifier les fonctionnalités de sécurité attendues et spécifier les exigences d’assurance11
  • 13. EBIOS: L’outil • Distribué sous Licence GNU GPL, • Multiplateformes, • Assiste les utilisateurs d’EBIOS, • Stocke les contextes, risques et besoins, • Donne accès à une base de connaissances des: • Risques courants • Attaques courantes • Risques fréquents 13
  • 14. Avantages et Inconvénients d’EBIOS Avantages • Solution complète modulaire • Définit les Acteurs, Rôles, Interactions etVocabulaire • Adéquation des ressources aux besoins • Politique de sécurité claire et réaliste • Dispose d’un logiciel d’assistance pour la mise en œuvre Inconvénients • Pas de recommandations sécuritaires • Pas de méthode d’audit/évaluation • Possibilité d’évaluation incorrecte des risques • Oublis potentiels • Vocabulaire légèrement nuancé  EBIOS ne peut pas être utilisé seul 14
  • 15. Norme d’audit des SI 1008.1, 1008.2 • Référence adoptée pour l’audit technique de L’ISET • Se base sur la sélection de critères d'évaluation des équipements informatiques afin de les mettre à la disposition de tous les utilisateurs • Fournit une base de critères validées établies par l’ISACA qui doivent être : • Objectifs • Complets • Pertinents • Mesurables • Intelligibles 15
  • 16. Mission d’audit de sécurité 16
  • 17. Audit organisationnel et physique • Conforme à la norme ISO 27002 : 2005. • Dresse un état des lieux des plans organisationnels, procéduraux et technologiques. • Couvre la sécurité physique des locaux et le contrôle d’accès logique. • Cherche à obtenir un aperçu global de l’état de sécurité du système d’information et identifier les risques potentiels 17
  • 18. Domaines d’activité • Politique de sécurité • Organisation de la sécurité de l’information. • Gestion des biens. • Sécurité liée aux ressources humaines • Sécurité physique et environnementale. • Gestion opérationnelle et gestion de la communication. • Contrôle d’accès. • Acquisition, développement et maintenance des systèmes d’information. • Gestion des incidents liés à la sécurité de l’information. • Gestion de la continuité de l’activité. • Conformité 18
  • 19. Constations • Absence d’un schéma directeur • Absence de documents de références • Absence de politique de sécurité • Absence d’un poste de RSSI • Absence d’affectation de responsabilités en matière de sécurité lors d’attribution des rôles • Absences de procédure d’accès, de gestion de supports de stockage, • Insuffisance au niveau du contrôle d’accès • Manque de sensibilisation des utilisateurs • Exposition à des facteurs environnementaux • Défaillances techniques au niveau des équipements informatiques 19
  • 20. Analyse des risques Disponibilité d’accès à Moodle  significatif Cohérence et Intégrité des données dans Moodle  intolérable Confidentialité limitée d'accès à Moodle  intolérable Disponibilité des comptes utilisateurs  significatif Intégrité des comptes utilisateurs  intolérable Confidentialité des comptes utilisateurs  intolérable Disponibilité des applications  significatif Intégrité des applications  significatif Disponibilité du site internet  négligeable Intégrité maitrisée du contenu du site internet  significatif 20
  • 21. Audit technique • Conforme à la norme d’ISACA concernant les actifs informationnels. • Ensemble de tests pour découvrir les failles et vulnérabilités des composants du système d’information: • réseau, • serveurs, • Systèmes d’exploitation, • équipements actifs de l’infrastructure réseau, • site web 21
  • 23. Constatations • Des défauts de configuration. • Des services vulnérables. • Des patchs de sécurité non mis à jour. • Des Produits non plus supportés par l’éditeur telque XP. • Produits avec des licences expirées. • Produits nécessitant des mises à jour. 23
  • 24. Recommandations • Activer le branchement du firewall physique • Ajouter un serveur proxy pour l’Administration. • Fermer les ports des services inutilisables sur machine • Mise à jour vers Apache httpd 2.2.21. • Désactiver les service SNMP, FTP,Telnet. • Migrer vers une version deWindows supportée actuellement • Installer les correctifs pourWindows et modifier des registres spécifiques • Appliquer la signature SMB pour les messages dans les machines Hôtes. • Installer un antivirus avec licence 24
  • 25. Plan d’action • Elaboration d’un référentiel de sécurité. • Sensibilisation et formation à la sécurité. • Renforcement de la sécurité des locaux. • Sécurisation des systèmes. • Partitionnement du réseau local. • Assurer la continuité de fonctionnement. 25
  • 26. Conclusion • La mission d’audit réalisée a permis d’identifier les risques du système d’information en utilisant une démarche structurée. • L’audit a détecté des lacunes sur le plan organisationnel, physique et technique et a présenté des propositions à mettre en œuvre pour pallier à ces insuffisances. • Nécessité de faire le suivi pour concrétiser les recommandations. 26
  • 27. Perspectives • Personnalisation et adaptation du code source d’EBIOS • Intégration de l’audit dans le processus en cours de certification ISO 9001 • Des normes ISO en cours de rédaction • ISO 27007 : Guide d'audit • ISO 27008 : Guide pour les auditeurs concernant les contrôles du SMSI • ISO 27011 : 27002 adapté à certains secteurs d'activité (télécom, santé, …) 27
  • 28. Bibliographie • [4] « About ISACA ». [En ligne]. Disponible sur: http://www.isaca.org/about- isaca/Pages/default.aspx. [Consulté le: 01-juin-2014]. • [5] « ISO - Organisation internationale de normalisation ». [En ligne]. Disponible sur: http://www.iso.org/iso/fr/. [Consulté le: 01-juin-2014]. • [1] webmestre [at] ssi.gouv.fr, « Site officiel de l’agence nationale de la sécurité des systèmes d’information ». [En ligne]. Disponible sur: http://www.ssi.gouv.fr/fr/anssi/. [Consulté le: 29-mai- 2014]. • [10] « EBIOS 2010 - Expression des Besoins et Identification des Objectifs de Sécurité - ANSSI ». [En ligne]. Disponible sur: http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/outils- methodologiques/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de- securite.html. [Consulté le: 29-mai-2014]. • [14] C. JeanFrançois, La sécurité informatique dans la petite entreprise. editions ENI • [22] B. Bernard et D. Benoit, "Linux, sécuriser un réseau», Edition Eyrolles, 3e éd. • [13] « Centre des Ressources Informatiques ». [En ligne]. Disponible sur: http://www.isetso.rnu.tn/index.php?option=com_content&view=article&id=47&Itemid=37&lang =fr. [Consulté le: 29-mai-2014]. 28