Professional Documents
Culture Documents
considr
comme
un
simple
exploit
mais
c'est
une
ncessit.
Parmi toutes les tches qui incombent aux Responsables de la Scurit des Systmes
d'Information (R.S.S.I) dans les organismes privs ou publics, celle qui consiste btir une
politique de scurit cohrente prenant en compte les aspects humains, organisationnels et
juridiques est certainement la plus difficile. Une telle politique doit se baser sur une norme
bien spcifique. En effet, il existe de nombreuses normes et mthodes sur lesquelles se basent
les
missions
d'audit
de
la
scurit
des
systmes
informatiques.
Une norme (qui peut tre organisationnelle ou technique) a un objet souvent trs vaste et
s'appuie gnralement sur des concepts ou des notions gnrales. Le champ d'application de
chaque concept doit alors tre prcis, pour que la norme puisse tre applique efficacement.
La norme 31000 fournit des principes et des lignes directrices gnriques sur la
gestion des risques.
Elle peut tre utilise par toute entreprise public ou prive, groupe ou titre
individuelle. Elle n'est pas spcifique une industrie ou un secteur, elle peut tre
applique, tout type de risque, tout au long de la vie d'une organisation, et un large
ventail d'activits, y compris les stratgies et les dcisions, les oprations, les
processus, les fonctions, les projets, les produits, les services et les actifs. Il est prvu
que l'ISO 31000 est utilise pour harmoniser la gestion des risques dans les normes
existantes et venir. Elle fournit une approche commune l'appui des normes de
matrise des risques et ne les substitue pas. L'ISO 31000:2009 n'est pas destine des
fins de certification.
La norme 31010 est un logo double IEC/ISO, soutenant les normes pour l'ISO 31000
et fournit des orientations sur la slection et l'application systmatique des techniques
d'valuation des risques. Cette norme n'est pas destine la certification, l'utilisation
rglementaire ou contractuelle.
avec un certain nombre d'autres matires, y compris ISO 9000 (gestion de qualit) et
ISO 14000 (gestion environnementale). La srie de normes 2700X est la famille
relative la scurit informatique, l'ISO 27001 fait partie et c'est la seule norme de
certification en matire de scurit. La norme 27001 a t publie en 2005 et elle
reprsente une nouvelle version du standard BS 7799 partie 2.
La Norme ISO 27003 se concentre sur les aspects essentiels ncessaires pour la
conception et la mise en uvre russie d'un systme de scurit de l'information
(SMSI) en conformit avec la norme ISO / IEC 27001:2005
La Norme ISO 27004 La norme ISO/IEC 27004:2009 fournit des lignes directrices
sur le developpement et l'utilisation des mesures afin d'valuer l'efficacite du systeme
de gestion de la scurit d'information (SMSI) et des controles misent en place,
comme spcifi dans la norme ISO/IEC 27001.
La Norme ISO 27005 La norme ISO 27005 fixe un cadre pour la gestion des risques
de scurit de l'information. Elle fournit ainsi les conditions respecter par toute
dmarche mthodologique. S'y conformer permet de garantir que les principes
communment reconnus ont t appliqus. La norme constitue une rfrence utile
pour les faire respecter, sans prjuger des mthodes et outils ncessaires pour les
mettre en oeuvre.
ISO 15443 "A framework for IT security assurance" (Cadre pour l'assurance de la
scurit informatique)
ISO 15446 "Guide on the production of protection profiles and security targets"
(Aspect de production pour les profils de protection et cibles scuritaires)
ISO 18044 "Security incident management" (La gestion des incidents de scurit)
CRAMM
La mthode CRAMM est un outil complet d'valuation des risques qui est
entirement conforme avec la chane de BS7799 et 17799. Elle est
compltement reconstruite par Insight Consulting pour devenir un toolkit
total de scurit de l'information qui inclut un outil complet d'valuation
des risques. Elle comprend des outils d'aide pour soutenir des directeurs
de scurit de l'information pour crer rapidement les politiques de
scurit de l'information ainsi que d'autres outils relatifs a la
documentation.
CRAMM est une mthode de gestion du risque lourde, exhaustive,
exhaustif (plus de 3000 commandes de scurit rfrences aux risques
appropris et ranges par les outils essentiels d'efficacit et de cout pour
aider a raliser la certification ou la conformit a BS7799) Cette mthode
est donc, adapte a de grosses entreprises uniquement (il y a 550 clients
dans le monde).
Dmarche d'audit
Un audit de scurit consiste valider les moyens de protection mis en uvre sur les plans
organisationnels, procduraux et techniques, au regard de la politique de scurit en faisant
appel un tiers de confiance expert en audit scurit informatique.
L' audit de scurit conduit, au del du constat, analyser les risques oprationnels pour le
domaine tudi, et par la suite proposer des recommandations et un plan d'actions
quantifies et hirarchises pour corriger les vulnrabilits et rduire l'exposition aux risques.
L'quipe qui intervient dans une mission d'audit doit tre compose de consultants et
d'ingnieurs experts dans leurs domaines, elle est toujours dirige par un chef de projet,
responsable des oprations et des livrables.
Audit organisationnel de scurit:
L'objectif d'un audit organisationnel de scurit est d'tablir un tat des lieux complet et
objectif du niveau de scurit de l'ensemble du systme d'information sur les plans
organisationnels, procduraux et technologiques. Cette phase peut couvrir l'organisation
Phase d'approche:
Pour valuer le niveau de scurit d'un rseau, il faut d'abord le connatre. Pour la
reconnaissance de l'architecture du systme, l'auditeur reoit des informations
inventories par l'quipe informatique locale afin de vrifier le plan d'adressage IP et
ventuellement la stratgie de mise en uvre de DHCP et de NAT. Il utilise ensuite de
multiples outils de traage du rseau et des passerelles, afin de dtecter les stations,
routeurs et firewalls du rseau et des outils de traages des frontires externes du
rseau : passerelles externes (routeurs et firewalls) et connexions modems pour
dterminer les primtres extrieurs du rseau. Il utilise galement les informations
disponibles partir des ventuels services SNMP et des serveurs de noms locaux ou
Internet.
Multiples outils de l'open source sont utiliss pour l'identification de la topologie
rseau comme Cheops, traceroute et tcptraceroute.
Au cours de cette phase, l'auditeur effectue des tests de sondage rseau et systme
pour dterminer les services rseau, les types d'applications associes et de leur mises
jour, les partages rseau et les mesures de scurit mises en ouvre. Les outils de scan
de l'open source les plus utiliss sont Nmap, Nsat, knocker, Blaster Scan. Il effectue
galement des tests de sondage des flux rseaux pour analyser le trafic, identifier les
protocoles et les services prdominant au niveau du rseau audit, le taux d'utilisation
ainsi que les flux inter-stations. Les outils open source utiliss sont : Ntop, Bing, Iptraf
et Network Probe.
Avant d'aborder la phase d'analyse des vulnrabilits des systmes, l'auditeur identifie
les serveurs ; serveurs de fichiers, de backup, de logs, NIS, et autres serveurs
d'applications et de donnes importants puis utilise un ensemble d'outils afin de suivre
leur tat, leur activit et leur performances et inspecter les moyens de contrle d'accs
et de leur stratgie d'administration.