Professional Documents
Culture Documents
informatique
Khlif Aymen
PhD Informatique
Expert Auditeur SI certifié ANSI
Postdoctorant CRDP
Bibliographie
Processuss :
- De gestion de crise
- De recrutement
Organisation :
- Service d’achat
- Service juridique
- Service d’admission
Applications :
- Gestion comptable
- Gestion financière
- Gestion des RH
Infrastructure :
- Serveurs
- Routeurs
- Réseau local
4
Système d’information,
une tentative de définition (2/2)
Mais aussi …
5
Objectifs de la sécurité des systèmes d'information (1/2)
6
Objectifs de la sécurité des systèmes d'information
(2/2)
Permettant de garantir le bon fonctionnement du système
d'information
Permettant de garantir que les données sont bien
celles que l'on croit être
Permettant de garantir que l’information ne soit accessible
qu’aux personnes autorisées
Réalisés avec: des outils technologiques (antivirus, pare-feu, méthodes de chiffrement, etc.),
procédures (gestion des identifications et du contrôle d’accès, etc.) et de personnes
(recrutement, formation des utilisateurs, etc.)
Le contexte de l’audit de sécurité
Par qui ?
Interne / externe
Selon quel référentiel ?
26
Définition de l’audit de sécurité du système d’information
9
Les questions auxquelles se doivent
de répondre les audits de sécurité du SI ?
8
La démarche d’audit
25
11
12
Famille ISO 27000
Les normes de la famille ISO/IEC 27000 constituent un ensemble de méthodes, mesures et bonnes
pratiques reconnues au niveau international dans le domaine de la sécurité de l'information.
13
Norme ISO 27001 : 2013
la norme ISO 27001 décrit les exigences
nécessaires à la mise en œuvre du Système
de Management de la Sécurité de
l’Information (SMSI).
Un système de management
Oblige à adopter de bonnes pratiques
Augmente donc la fiabilité de
l'organisme dans la durée
Comme un système de management
est auditable, Il apporte la confiance
aux parties intéressées
Un SMSI permet
Appelée phase de pré audit. En effet, c’est au cours de cette phase que se
dessinent les grands axes qui devront être suivis lors de l’audit sur terrain. Elle se
manifeste par des rencontres entre auditeurs et responsables de l’organisme à
auditer.
Cet audit prendra comme référentiel la norme ISO/IEC 27002 et/ou l ’ISO 27001.
Phase 2 : Audit organisationnel et physique (2/10)
Déroulement de l’audit des aspects Organisationnels et Physiques
A l’arrivée d’une nouvelle personne dans l’entreprise, doit-elle signer une charte
d’utilisation de l’informatique ? en cas de départ, son compte est-il
immédiatement désactivé (accès serveur, messagerie, services en ligne) ?
Les utilisateurs peuvent-ils installer des logiciels sur leurs ordinateurs sans
demander d’autorisation ? sont-ils formés à la prudence lors de la navigation
internet, lors de la réception de messages électroniques ?
19
Phase 2 : Audit organisationnel et physique (8/10)
Les rapports livrés à la fin de cette phase seront constitués des parties suivantes :
Les erreurs de configurations des composants logiques installés tels que les ports
ouverts sur les machines, la présence de fichiers de configuration installés par
défaut, l’utilisation de comptes utilisateurs par défaut.
Les problèmes au niveau de trafic réseau (flux ou trafic non répertoriés, écoute
réseau, etc …).
Serveurs internes du site audité et les postes sensibles du LAN (Local Area Network)
Audit de la Audit de
Gestion la solution Anti-vir
des Tiers
Revue du
plan de continuité
Il fournit :
Des solutions
Le résultat de ce scanne est présenté sous forme de rapport (en page Html) qui
contient une description des vulnérabilités déceler de façon à les corriger
Outils d’audit technique : Nessus (2/2)
Phase 4 : Audit Intrusif (1/3)
22
Phase 4 : Audit Intrusif (2/3)
Le test intrusif interne (boite blanche) est un test qui se fait avec connaissance
totale du Système d’Information local
Phase 5 : Rapport d’audit (1/2)