Mini projet Audit de la sécurité du réseau informatique &

système d’information

Réaliser par : BEHRI KAMEL

Encadré par : KHEDHIRI kamel

Section : MP2SR

Année universitaire 2017-2018

I) Planing de réalisation de la mission presenter à la direction de
l’auditée le planing détaillé de réalisation de la mission d’audit :
- Nous signalons que la durée de réalisation de l’audit ne doit pas dépasser 60 jours (2mois).
- Toute l’activité informatique sensible et centralisée au niveau siège , les sites régionaux ne disposent pas des
serveurs de données locaux.
- Fournir les planing, d’exécution ,prévus pour chaque phase de mission (cas du site siège et du site direction
régionale).
II) Audit organisationnel et physique (Audit niveau 1) :
- Phase interview avec les responsables.
- Contacts par visite sur terrain de structure à auditer.
- Phase de resue documentaire.

1) Principe de failles et vulnérabilités sur le plan organisationnel, procédurale physique et technique :

- document de politique de sécurité non mis à jour et non formel .
- insistance d’un comité de sécurité et d’une nomination formelle de RSSI .
- insistance des fiches de fonctions avec les attributions des taches liées à la sécurité de SI .
- insistance d’un inventaire mis à jour et une classification des actifs .
- insistance d’un cloisement réseau et d’une politique de contrôle d’accès réseau.
- Insistance des outils de contrôle et de monitoring d’accès réseau.
- Possibilité de réaliser des attaques en interne et en destination des autres site distants, ni nentraliser .
- Les utilisateurs possèdent des privilèges administrateurs sur leur machine .

2) Réseau :
- nbre de sites distants interconnectés.
- Nbre de sous réseau (interne ou externe).
- Connexion externes : nbre de connexion permanents, leur types(LS , FR, VPN ..)
- Nbre de routeurs types de connexion supportées (01 routeur : LS+ADSL)
- Nbre de switeches et niveau (2,3, …)

3) Outils de sécurité :
FW : - nbr des FW , leur types , nbre des DM supportés , type de connexion vpn activés au niveau de FW
-SERVEUR ANTI-VIRUS
- Nbre de serveurs Anti-virus et nbre de licence
- Nbre de personnelles antiviral et leur usage (e-mail, web , FTP…)
- Outils d’authentification :
- Nbre de serveurs d’authentification réseau internet et nbre moyen d’utilisateur supportés .
Outils de détection d’intrusion :
- nbre de NIDS (IDS réseau)
- nbre des ondes HIDS (IDS hôte)
- nbre de FW PC ou distribués
- outils de sauvegarde automatique et leur types .
- outils intégrés d’administration de la sécurité et leurs types .
- autre outils..
1. Politique de sécurité de l’information
Y a-t-il une politique de sécurité écrite et disponible pour tout le personnel ?

La politique de sécurité spécifie-t-elle clairement les objectifs de sécurité de l’organisme, ainsi que des mesures
de révision ?

Cette politique de sécurité est-elle revue à intervalles réguliers ou lors du changement significatifs, afin d’assurer
le maintien de sa pertinence et de son efficacité ?

Quelles sont les règles et principes de sécurité qui figurent dans la politique de sécurité : Charte de sécurité,
procédures….

Est-ce que la politique de sécurité a été élaborée en tenant compte du principe avantages/coûts ?

Est-ce que cette politique fait référence à des documents qui aident dans la compréhension et le respect de
cette dernière ?

La politique de sécurité de l’organisme définie-t-elle :

Une structure en charge de la définition de la politique de sécurité des systèmes d’information ainsi que de sa
mise en place ?

Un plan de continuité d’exercice, une éducation aux exigences de sécurité et aux risques de sécurité, les
conséquences d’une violation des règles de sécurité ainsi que les responsabilités des incidents de sécurité ?

Une structure chargée de l’évaluation des risques et de leurs gestions ?

Des principes de sécurité de l'information tel qu’ils soient conforment à la stratégie d'affaires et aux objectifs de
l’organisme ?

Etablit-on annuellement un plan de sécurité des systèmes d’information regroupant l’ensemble des plans
d’action, moyens à mettre en œuvre, planning, budget ?

La politique de sécurité bénéficie-t-elle de l’appui de la direction générale ?

Est-ce que cette politique est publiée et communiquée :

 Aux employés

 Aux tiers

Est-ce que cette politique a un propriétaire qui est responsable de sa revue et maintenance selon un processus
prédéfini ?

Est-ce que le processus de revue est déclenché suite à des changements affectent le recensement du risque tel
que :

 Des incidents de sécurité grave

 Nouvelle vulnérabilités

 Changement dans l’organigramme

 Inefficacité des mesures mises en place

 Evolutions technologiques

L’organisation et la gestion de la sécurité sont-elles formalisées dans un document chapeau couvrant l’ensemble
du domaine pour le projet ?

Une démarche de certification iso 27002 a-t-elle été prévue pour le projet ?

2. Organisation de la sécurité de l’information

Quelles sont les fonctions définies dans la politique de sécurité ?

 Directeur responsable de la sécurité générale

 Responsable spécialiste de la sécurité physique

 Responsable spécialiste de la sécurité fonctionnelle et informatique

Les objectifs de sécurité sont-ils identifiés, intégrés à la politique globale de l’organisme, et sont-ils en
concordance avec les objectifs de l’organisme ?

Les règles de sécurité précisent t-elles une définition claire des tâches, rôles spécifiques affectation des
responsables de sécurité de l’information ?

Existe-t-il une coordination de l’exécution des tâches de sécurité des différentes entités en charge de la sécurité
de l’information au sein l’organisme ?

Les informations confidentielles à protéger sont-elles identifiées ?

Existe-t-il une politique de révision et de documentation de la politique d’organisation de la sécurité en vue de la

mettre à jour ou à niveau ?

Existe-il un comité de sécurité du SI ?

Existe-il un RSSI dans le site, avec une fiche de poste, ainsi qu’une délégation formelle mentionnant ses
attributions et ses moyens d’actions ?

L’entreprise entretient-elle des relations en cas de besoin avec :

 Des spécialistes indépendants

 Des partenaires

 Des autorités publiques

 Aucune relation

L’entreprise entretient-elle des relations en cas de besoin avec :

 Audit externe

 Audit interne

 Aucun

L’entreprise dispose elle d’un mécanisme qui permet :

 D’identifier les accès

 De classer les accès

 De savoir les raisons d’accès N

 Aucun

Y a-t-il un contrat qui stipule les conditions d’accès et les recours en cas de panne lors des accès par des tiers ou
des sous-traitants ?

Les risques dus aux effets externes sont-ils identifiés ?

En cas d’externalisation l’entreprise précise-t-elle dans un contrat les clauses relatives à :

 La sécurité des valeurs de l’organisation

 La sécurité physique

 L’existence d’un plan de secours

 Aucun

Avez-vous appliqué une démarche méthodologique d’analyse et de gestion des risques SSI ?

L’organisation de la sécurité est-elle formalisée dans un document ?

Une politique de confidentialité a-t-elle été élaborée dans le cadre de ce projet ?

Des révisions périodiques de la mise en œuvre de la gestion de la sécurité sont-elles prévues ?

3. Gestion des biens

Existe-t-il un inventaire des biens du projet ?

Existe-t-il une classification des biens par rapport à leurs critères de sensibilité (en termes de disponibilité,
d’intégrité et de confidentialité) ?

Les actifs de l’organisme sont-ils identifiés répertoriés ?

Est-ce qu’on a prévu une classification des informations selon leur importance ?

A chaque actif est-il associé un propriétaire qui doit en assurer également la responsabilité ?

Quelles sont les valeurs critiques de l’entreprise ?

 Les personnes

 Le matériel

 Les logiciels

 Les données

 Les services

 Les sous réseaux

 L’image de marque et réputation -Donnée s -Service s –Matériels l’entreprise procède-t-elle régulièrement à

un inventaire de ces avoirs ?
Existe-il des fiches concernant les mouvements ? (date d’entrée, date de sortie, date de mouvement,
destination, provenance)

Les informations sensibles bénéficient elles des procédures définissant leurs conservations ou destruction ?

Le matériel informatique est-il inventorié par un élément identifiable et unique ? (ex : n° de série ?

Le matériel en prêt est-il clairement identifié sur l’inventaire ? (nom de la personne ayant fait l’emprunt)

Existe-t-il un stock inventorié d’équipements et de pièces détachées de secours ?

Les logiciels installés ont-ils tous une licence d’acquisition ?

Contrôlez-vous si des logiciels autres que ceux de votre inventaire sont installés ? (logiciels pirates)

Est-ce qu’il y a un responsable de la bonne tenue des inventaires ?

Existe-il des règles d’utilisation des biens et des services d’information ?

Existe-il une procédure pour la dé-classification des biens d’information ?

Existe-il des procédures de manipulation des biens d’infirmation par des personnes externes à l’organisation ?

4. Sécurité liée aux ressources humaines Le contrat employeur employé tient il compte des responsabilités de
l’employé vis-à-vis de la sécurité de l’organisme ?

L’organisme s’accorde t-il les moyens de vérifier l’authenticité et la véracité des diplômes et documents fournis
par les potentiels futurs employés ?

Le personnel est il informé de ces responsabilités vis-à-vis de la sécurité des actifs :

 Avant l’embauche,

 Pendant la période de son exercice,

 Après remerciement ?

Y a t il une politique de rotation du personnel occupant des taches clefs ?

Existe-t-il des sessions d’information du personnel sur la sécurité des systèmes d’information de l’organisme ?

Le responsable de sécurité est il formé aux nouvelles technologies ?

Est-ce que le personnel a signé un document de confidentialité des informations lors de l’embauche ?

Existe-t-il des procédures disciplinaires pour les employés sources de failles de sécurité ?

Y a-t-il une procédure de revue de ce document, surtout en cas de départ ou une fin de contrat ?

Est-ce que les sous traitants ou le personnel contractuel a signé un document pareil ?

Est-ce que tout le personnel est informé vers qui et comment rendre compte des incidents de sécurité ?

Y a-t-il une procédure d’apprentissage des accidents et des failles de sécurité ?

A-t-on organisé régulièrement des tests pour vérifier le degré d’assimilation du personnel de la politique de
sécurité ainsi que sa culture en informatique.
5. Sécurité physique et environnementale La situation géographique de l’organisme tient elle compte des risques
naturels ou industriels ?

Le câblage électrique est il conforme aux règles de sécurité ?

Est-ce qu’une analyse de risque a été effectuée pour évaluer la sécurité physique de la société ?

Parmi ces procédures quels sont ceux qui figurent dans la protection physique des locaux :

 Contrôles des portes d’entrée

 Clôtures hautes

 Attribution des badges

 Contrôle à la sortie

 Caméra de surveillance

 Limitation d’accès

Est-ce que des mesures de sécurité particulière ont été instaurées pour le centre informatique ? (si oui
commenter...) ……………………………………………………………………………… ………………………………….

Y a-t-il une réglementation spéciale contre le fait de fumer, boire, et manger dans les locaux informatiques ?

Existe-il une protection de câblage informatique et de télécommunication à l’égard des risques électrique ?
(variation de tension…)

Les équipements acquis suivent ils une politique de maintenance ? N Existe-t-il un système de protection contre
les coupures et les micros coupures ? Si oui lesquels
?.............................................Onduleurs………………………………… … O - Onduleurs - Groupe électrogène

Existe-t-il un système de climatisation conforme aux recommandations du constructeur ?

Existe-t-il un groupe électrogène pour les coupures de longue durée ?

Y a-t-il une procédure de crise en cas de long arrêt ? (favoriser quelques machines sur d’autres…)

Quelles mesures de sécurité contre l’incendie figurent parmi ces mesures :

 Existence d’un système de détection automatique d’incendie pour l’ensemble de bâtiment

 Existence d’un système d’extinction automatique pour les salles d’ordinateur

 Existence d’extincteurs mobiles

 Existence des meubles réfractaires pour le stockage des documents et des supports informatique vitaux

 Formation et information du personnel

 Visite des pompiers pour prendre connaissance de la configuration des locaux A-t-on prévu des systèmes
d’évacuation en cas d’incendie ?

Est-ce que vous êtes assuré que l’eau ne peut envahir les locaux ?

Est-ce qu’un système de détection d’eau est instauré ?

Est-ce qu’un système d’évacuation d’eau est instauré ?

Existe-t-il une documentation liée à la sécurité physique et environnementale ?

6. Gestion des communications et de l’exploitation

Est-ce qu’il y a des procédures formelles pour les opérations d’exploitation : backup, maintenance et utilisation
des équipements et des logiciels ?

Existe-t-il une distinction entre les phases de développement, de test et d’intégration d‘applications ?

Existe-t-il une protection contre les codes malicieux (malveillants) (virus, vers, cheval de Troie,….) ainsi qu’une
mise à jour périodique et constante de ces derniers ?

Est-ce qu’il y a des procédures formelles pour la prévention contre la détection et la prévention contre les
logiciels malicieux ?

Y a-t-il une procédure définie pour la gestion des incidents ?

Est-ce que le backup est périodiquement effectué ?

Est-ce qu’il y a des recommandations écrites interdisant : l’utilisation des logiciels sans licence et le non respect
des droits d’auteur ?

Y a-t-il des procédures écrites pour la gestion des supports détachables ?

Y a-t-il une politique précise pour se débarrasser des documents ?

Y a-t-il une politique de sécurité pour email ? N Existe-t-il un système antiviral contre les virus et les vers ?

Est-ce que l’antivirus est régulièrement mis à jour ?

Existe-t-il une mise à jour contre les programmes malveillants ?

L’échange d’infirmations sur le réseau ainsi que les transactions en ligne sont elles sécurisée ?

Avec quel mécanisme de sécurité ? Droit d’accès - Certificat Numérique - Protocole SSL

Existe-t-il une DMZ qui se distingue parfaitement du réseau interne de l’organisme ?

7. Contrôle d’accès A-t-on prévu de protection logique pour les ressources informationnelles vitales ?

Les accès aux locaux (sensibles ou pas) sont ils contrôlés, enregistrés et analysés à travers des logs ?

Existe-t-il une politique qui hiérarchise les autorisations d’accès ?

Un ancien employé perd t-il ces droits d’accès aux locaux et aux informations sensibles de l’organisme ?

L’accès distant (logique) au réseau informatique est-il protégé ? Par quel équipement ou outil ou mécanisme ?

L’accès au système est il contrôlé par un dispositif d’identification et d’authentification ?

Existe-t-il un dispositif de revue des droits d’accès à des intervalles réguliers ?

N Est-ce que les terminaux sensibles sont équipés d’un économiseur d’écran avec mot de passe ?

Est-ce que les utilisateurs verrouillent leur session de travail avant de quitter leur poste de travail même pour
quelques instants ?
Les mots de passe sont-ils affectés individuellement ?

Y a-t-il des conditions à respecter lors du choix des mots de passe (ex : min 6 caractères…) ?

Un ancien employé perd t-il ces droits d’accès aux informations et locaux ?

Y a-t-il une suite aux tentatives d’accès infructueuses ?

A- t-on prévu des limitations contre :

 L’utilisation des applications

 Le téléchargement d’application

 L’utilisation des disquettes, CD…

8. Développement et maintenance des systèmes Existe-t-il des procédures de validation des changements
réalisés sur les programmes ?

La garantie de la confidentialité, l’authenticité et l’intégrité de l’information s’effectue-t-elle au moyen de

signature électronique ou de cryptographie ?

La sécurité de la documentation du système d’information est elle assurée ?

Est-ce que les programmes sont contrôles contre les portes dérobés et chevaux de trois ?

Existe-t-il des procédures de contrôle pour les logiciels développés en soustraitance ? N S’assure-t-on que
l’équipement à acquérir répondra aux besoins exprimé ?

S’assure-t-on de la non régression de service lors du développement ou de l’intégration des nouveaux services ?

Existe-t-il une politique de maintenance périodique et assidue des équipements ?

9. Gestion des incidents

Existe-t-il une politique de gestion des incidents ?

Les potentielles faiblesses descellées font elles objet de rapport complet et détaillé ?

La résolution des incidents se fait elle de façon cohérente ?

Existe-t-il un rapport détaillé des incidents qui surviennent ?

Existe-t-il une politique de réparation des responsabilités en cas d’incident ?

Les actions à entreprendre pour la résolution des incidents sont elles définies ?

Les employés sont ils informés du comportement à avoir en cas d’incident ?

10. Gestion de la continuité d’activité Est-ce que l’organisme a développé un plan de secours ?

Existe-t-il un plan stratégique basé sur une analyse du risque détaillant le plan d’urgence ?

Les données sauvegardées sont-elles mise à jour périodiquement ?

Est ildéfini des critères spécifiant les ayant accès à ces données ?

Existe-t-il une politique de sauvegarde d’autres actifs de l’organisme ?

Existe t-il une (des) alarme(s) pour l’avertissement lors d’accès aux actifs sensibles en dehors des heures de
travail ou en cas d’accès non autorisés?

Y a-t-il des plans écrits et implémentés pour restaurer les activités et services en cas de problèmes ?

Existe-t-il des mesures de sauvegarde des actifs (données sensibles), ainsi que de leur protection ?

Si oui sur quel support ? Disque, CD

En cas de changement d’équipe de travail, la continuité de service est elle assurée ?

Est-ce que les plans sont testés et maintenus par des revues régulières ?

11. Conformité Est-ce que chaque système d’information les exigences légales, réglementaires et contractuelles
sont explicitement définies et documentés ?

Existe-t-il un contrôle de la conformité technique ?

Les règles de sécurité appliquées restent elles conforment à une norme particulière ?

Existe-t-il une procédure définissant une bonne utilisation des technologies de l’information par le personnel ?

Est-ce que des procédures sont mises en place pour s’assurer du respect de la propriété intellectuelle ?

Est-ce que les enregistrements importants de l’organisme sont protégés de la perte, la destruction et falsification
?

Est-ce que l’entreprise est conforme aux lois en vigueur concernant le chiffrement ?

Les logicielles utilisées bénéficient ils de licence d’exploitation ?

Les règles de sécurité appliquées restent elles conforment à la législation en vigueur ?

Existe-il une procédure d’audit interne et régulier de l’organisme ?

Les règles de sécurité appliquées restent elles conforment à une norme particulière ?

Le droit à la propriété intellectuelle et la protection des données personnelles sont-ils préservés ?

Les audits externes sont-ils effectués et planifiés périodiquement ?