Audit de la sécurité

informatique
Khlif Aymen
PhD Informatique
Expert Auditeur SI certifié ANSI
Postdoctorant CRDP
 Bibliographie

Fernandez-Toro, Management de la Stéphane Calé, Philippe Touitou.

sécurité de l'information: implémentation ,La sécurité informatique : réponses
ISO 27001: mise en place d'un SMSI et techniques, organisationnelles et juridiques,
audit de certification. Eyrolles. Paris : Hermès science publications c2007
 Système d’information,
une tentative de définition (1/2)
Un système d’information peut être défini comme l’ensemble des moyens matériels, logiciels,
organisationnels et humains visant à acquérir, stocker, traiter, diffuser ou détruire de l’information.

Processuss :
- De gestion de crise
- De recrutement
Organisation :
- Service d’achat
- Service juridique
- Service d’admission
Applications :
- Gestion comptable
- Gestion financière
- Gestion des RH
Infrastructure :
- Serveurs
- Routeurs
- Réseau local

4
 Système d’information,
une tentative de définition (2/2)

Mais aussi …

5
 Objectifs de la sécurité des systèmes d'information (1/2)

 Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou

techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le
système d’information.

 L’objectif de ces mesures de sécurité est d’assurer la confidentialité, l’intégrité, la

disponibilité et la non-répudiation.

6
 Objectifs de la sécurité des systèmes d'information
(2/2)
Permettant de garantir le bon fonctionnement du système
d'information
Permettant de garantir que les données sont bien
celles que l'on croit être
Permettant de garantir que l’information ne soit accessible
qu’aux personnes autorisées

Permettant de garantir qu'une transaction ne peut être niée

Réalisés avec: des outils technologiques (antivirus, pare-feu, méthodes de chiffrement, etc.),
procédures (gestion des identifications et du contrôle d’accès, etc.) et de personnes
(recrutement, formation des utilisateurs, etc.)
 Le contexte de l’audit de sécurité

Sur quel périmètre ?

Pour qui ?
 Département,
 Direction Générale,  Service,
 Application, …

Par qui ?

 Interne / externe
Selon quel référentiel ?

Dans quel but ?  Méthode d’analyse des risques

 Alignement de la politique de sécurité sur
la stratégie d’entreprise,
 Conformité aux lois et règlements,
 Identification des risques auxquels est
exposé le SI
 Bonnes pratiques (ISO 27001, 27002, Etc…)
De quelle nature ?
 Audit de la politique de sécurité,
 Audit organisationnel et physique,
 Audit technique,
 Audit intrusif

26
 Définition de l’audit de sécurité du système d’information

 L’audit de sécurité du système d’information est un examen méthodique d’une situation

liée à la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des
règles ou à des normes.

 C’est un processus systématique, indépendant et documenté pour identifier

 L’état des lieux du SI,

 Les risques (perte de données, Accident physique, Divulgation
d’informations confidentielle, perte d'image de marque, etc,,,),
 Les agents de menaces (employé, virus, concurrent, etc),
 Leurs impacts,
 Les mesures de critères de sécurité à prendre .

9
 Les questions auxquelles se doivent
de répondre les audits de sécurité du SI ?

8
 La démarche d’audit

 Un audit de sécurité consiste à valider les moyens de protection mis en

œuvre sur les plans organisationnels, procéduraux et techniques, au
regard de la politique de sécurité en faisant appel à un tiers de confiance
expert en audit sécurité informatique,

 L'audit de sécurité conduit, au delà du constat, à analyser les risques

opérationnels et à proposer des recommandations et plans d'actions
quantifiées et hiérarchisées pour corriger les vulnérabilités et réduire
l'exposition aux risques.

La démarche d’audit présente 3 grandes étapes :

 Étape 1 : Préparation de l’audit

 Étape 2 : Réalisation du travail d’audit
 Étape 3 : Rapport de synthèse

25
11

-Identification des responsables qui seront amenées à

Préparation de l’audit répondre au questionnaire d’audit.
-Rencontres avec les responsables de l’organisme à
auditer, etc.…
Audit organisationnel et -Identification des vulnérabilités d’ordre
physique organisationnel et physique.
-Évaluation des risques.

-Détection régulière et automatisée des

Audit technique vulnérabilités et des failles potentielles.

Audit intrusif -Test intrusif boite blanche/ boite noire.

-Test d’intrusion interne / externe.
-Recueil des principales vulnérabilités
Rapport d’audit (synthèse et insuffisances décelées.
et recommandation) - Recommandations & Solutions de sécurité.
 Cycle de vie d’un audit de sécurité des
systèmes d’information
Le processus d’audit de sécurité est un processus répétitif et perpétuel.
Failles critiques (semaine dernière)
 Les référentiels utilisés dans le cadre des audits de sécurité
Les référentiels sont adaptés à chaque type d’audit de sécurité.

Audit de Sécurité Référentiel

Audit organisationnel et physique
Respect des exigences de sécurité au
sein de l’entreprise au travers de la mise
en œuvre de mesures de sécurité
adéquates et pérennes
Audit technique et intrusif
 Politique de sécurité de l’entreprise,
 Contexte légale et réglementaire,
 ISO 27002,
 ISO 27001,
 ISO 27005
 CoBIT (Control Objectives for Information
and related Technology),
 Sites Web de sécurité de l'information,
 Agence nationale de la sécurité des SI
www.ssi.gouv.fr/
 Association de la sécurité de l'information du
Québec www.asiq.org/
 Bases de vulnérabilités.
 www.symantec.com
 www.kaspersky.fr

12
 Famille ISO 27000

Les normes de la famille ISO/IEC 27000 constituent un ensemble de méthodes, mesures et bonnes
pratiques reconnues au niveau international dans le domaine de la sécurité de l'information.

13
Norme ISO 27001 : 2013
 la norme ISO 27001 décrit les exigences
nécessaires à la mise en œuvre du Système
de Management de la Sécurité de
l’Information (SMSI).

 Un système de management
 Oblige à adopter de bonnes pratiques
 Augmente donc la fiabilité de
l'organisme dans la durée
 Comme un système de management
est auditable, Il apporte la confiance
aux parties intéressées

 Un SMSI permet

 D'adopter de bonnes pratiques de

sécurité
 D'adapter les mesures de sécurité aux
risques encourus
 SMSI selon la norme ISO 27001:2013
 Le SMSI en tant que dispositif global gère et coordonne la manière dont la
sécurité de l’information est mise en place.

 Le SMSI est défini pour un périmètre bien déterminé (une application, un

service, une organisation, un processus, un métier, un centre de
production…).
 Norme ISO 27002 : 2013

 La norme ISO/IEC 27002:2013

constitue un code de bonnes
pratiques. Elle est composée de
114 mesures de sécurité réparties
en 14 chapitres couvrant les
domaines organisationnels et
techniques ci-contre.

 C’est en adressant l’ensemble de

ces domaines que l’on peut avoir
une approche globale de la
sécurité des S.I.
 Norme ISO 27002 : 2013

 Exemples de mesures sur le chapitre « Sauvegarde des informations» :

 Exemple de mesures sur le chapitre « Sécurité des communications » :

 Phase 1 : Préparation de l’audit (1/3)

 Appelée phase de pré audit. En effet, c’est au cours de cette phase que se
dessinent les grands axes qui devront être suivis lors de l’audit sur terrain. Elle se
manifeste par des rencontres entre auditeurs et responsables de l’organisme à
auditer.

 Au cours de ces entretiens, les espérances des responsables vis-à-vis de l’audit

devront être exprimées.

 Les personnes qui seront amenées à répondre au questionnaire concernant l’audit

organisationnel doivent être également identifiées.
 Phase 1 : Préparation de l’audit (2/3)

Dans cette phase l’auditeur défini :

 Les composantes organisationnelles

 Les composantes matérielles

 Les équipements passifs et actifs du réseau (switch,
routeurs, Modem,,,)
 Les serveurs en exploitation (Serveur antivirus,
serveur proxy,,,)

 Liste des applications (gestion comptable, gestion des

stocks,,,)
 Phase 1 : Préparation de l’audit (3/3)
 Schéma de l’architecture réseau
 Phase 2 : Audit organisationnel et physique (1/10)

 Objectif : permet de faire un état des lieux complet de la sécurité du SI et

d’en identifier les dysfonctionnements et les risques potentiels.

 Il permet ainsi de couvrir l’ensemble du SI de l’organisme et de détecter les

carences liées aux différents processus de gestion et d’organisation de la
sécurité.

 Cette première phase de l’audit sécurité permet :

 D’avoir une vision qualitative et quantitative des différents facteurs de

la sécurité informatique du site audité.
 D’identifier les points critiques du système d´information.

 Cet audit prendra comme référentiel la norme ISO/IEC 27002 et/ou l ’ISO 27001.
 Phase 2 : Audit organisationnel et physique (2/10)
Déroulement de l’audit des aspects Organisationnels et Physiques

1- Définir un référentiel sécurité,

2- Élaboration d’un questionnaire d’audit sécurité à partir du référentiel défini

précédemment et des objectifs de la mission

 Quelles méthodes d'authentification des utilisateurs employez-vous?

Exemple de questionnaire

 A l’arrivée d’une nouvelle personne dans l’entreprise, doit-elle signer une charte
d’utilisation de l’informatique ? en cas de départ, son compte est-il
immédiatement désactivé (accès serveur, messagerie, services en ligne) ?

 Les utilisateurs peuvent-ils installer des logiciels sur leurs ordinateurs sans
demander d’autorisation ? sont-ils formés à la prudence lors de la navigation
internet, lors de la réception de messages électroniques ?

 Les données importantes enregistrées sur les ordinateurs portables et appareils

mobiles sont-elles sauvegardées, protégées (cryptées) y compris les clés et
disques USB ?
Phase 2 : Audit organisationnel et physique (3/10)
Phase 2 : Audit organisationnel et physique (4/10)
Phase 2 : Audit organisationnel et physique (5/10)
Phase 2 : Audit organisationnel et physique (6/10)
 Phase 2 : Audit organisationnel et physique (7/10)
Traduction graphique des résultats obtenus
Une synthèse globale est présentée selon le diagramme de Kiviat qui illustre les
résultats de l’audit suivant les 14 domaines décrits dans l’ISO 27002 : 2013

19
 Phase 2 : Audit organisationnel et physique (8/10)

Trois grandes composantes de la probabilité

 Phase 2 : Audit organisationnel et physique (9/10)
La compagnie ABC dépose des documents confidentiels sur son site Web hébergé chez un
fournisseur de services Internet
 Phase 2 : Audit organisationnel et physique (10/10)
Délivrables de la phase d’audit organisationnel et physique

 Les rapports livrés à la fin de cette phase seront constitués des parties suivantes :

 Rapport sur l’étude de la situation existante en terme de sécurité au niveau

du site audité

 Rapport d’audit organisationnel et physique, couvrant les composantes

organisationnelles, physiques et les éventuelles vulnérabilités de gestion des
composantes du système (réseau, systèmes, applications, outils de sécurité,
centre de calcul, Plans de continuité) et les recommandations
correspondantes pour la politique de sécurité.
 Phase 3: Audit technique (1/3)
 Objectif : déterminer si les firewalls, serveurs web, routeurs, connexions distantes,
connexion sans fils, applications, sont configurés et mis en œuvre de manière
adéquate au regard des risques encourus

 L’audit technique permet la détection des types de vulnérabilités suivantes, à savoir :

 Les erreurs de programmation et erreurs d’architecture.

 Les erreurs de configurations des composants logiques installés tels que les ports
ouverts sur les machines, la présence de fichiers de configuration installés par
défaut, l’utilisation de comptes utilisateurs par défaut.

 Les problèmes au niveau de trafic réseau (flux ou trafic non répertoriés, écoute
réseau, etc …).

 Les problèmes de configuration des équipements d’interconnexion et de contrôle

d’accès réseau
 Phase 3: Audit technique (2/3)

 Cet audit s’applique aux environnements suivants :

 Réseau d’accès Internet,

 réseau d’interconnexion intersites

 Serveurs internes du site audité et les postes sensibles du LAN (Local Area Network)

 Systèmes critiques spécifiques.

 Composants et équipements actifs de l’infrastructure réseau du site audité (firewalls,

routeurs filtrants, commutateurs niveau 3, etc…)
 Phase 3: Audit technique (3/3)

Pour approfondir la dimension technique de l’audit de sécurité, des grilles

d’investigation sont nécessaires pour chaque composante du système d’information.
Audit d’un poste de
Audit de la connexion Internet Audit des accès distants travail

Audit de la Audit de
Gestion la solution Anti-vir
des Tiers

Revue du
plan de continuité

Audit de Gestion d’Incident

 Outils d’audit technique : NetworkView

Ce logiciel donne un plan complet de la configuration du réseau de l’entreprise à

auditer et analyse s'il est bien sécurisé.
 Outils d’audit technique : Wireshark (1/2)

Wireshark est un logiciel permettant l'interception et l'analyse des paquets

transitant sur le réseau de l’entreprise.
Outils d’audit technique : Wireshark (2/2)
 Outils d’audit technique : Nessus (1/2)

Nessus est un scanner de vulnérabilité,

Il signale les faiblesses potentielles ou
avérées sur les machines testées.

Il fournit :

 les services vulnérables à des

attaques permettant l'accès à des
informations sensibles (lecture de
fichiers confidentiels par exemple),

 les fautes de configuration

 Des solutions

Le résultat de ce scanne est présenté sous forme de rapport (en page Html) qui
contient une description des vulnérabilités déceler de façon à les corriger
Outils d’audit technique : Nessus (2/2)
 Phase 4 : Audit Intrusif (1/3)

Indépendamment de la mise en œuvre des mesures de sécurité, un audit de leur

efficacité doit permettre de s’assurer qu’aucune vulnérabilité ne puisse porter atteinte
à la confidentialité, l’intégrité ou la disponibilité de l’information.

Test d’Intrusion (Audit intrusif)

Objectif : Pour s’assurer de la sécurité de l’Infrastructure face à des scénarii
d’attaques de personnes malveillantes (pirate, prestataire, ex- employé, utilisateur
interne …)

22
 Phase 4 : Audit Intrusif (2/3)

Tests de vulnérabilités ou tests d’intrusion

Test d’intrusion externe

Test d’intrusion interne
 Phase 4 : Audit Intrusif (3/3)

 Le test intrusif externe a pour objectif de simuler le comportement d’un tiers

malveillant n’ayant aucune connaissance préalable de votre système d’information
et qui essaie d’y accéder depuis Internet. Ce test est communément appelé test en
« black box » (boite noire).

 Le test intrusif interne (boite blanche) est un test qui se fait avec connaissance
totale du Système d’Information local
 Phase 5 : Rapport d’audit (1/2)

La phase finale du processus d’audit Sécurité est consacrée à la rédaction des

rapports de synthèse :

 Recueil des principales vulnérabilités et insuffisances décelées.

 Synthèse des solutions et outils de sécurité proposés,
 Synthèse des recommandations de mise en œuvre (organisationnelles,
physiques et techniques),
 Esquisse d’un plan d’action sécurité (Estimation des budgets à allouer pour la
mise en œuvre des mesures recommandées).
Phase 5 : Rapport d’audit (2/2)