L’Audit Interne et les Nouvelles

Technologies de l’Information
et de Communication

Audit de Sécurité du Système

d’Information de l’Entreprise

Taher ALLAOUI Ingénieur en chef

au Centre National de l'Informatique
taher.allaoui@cni.tn

16-07-2004 Centre National de l'Informatique 1

 Sommaire

 Chapitre 1
Quel Audit?
 Chapitre 2
Selon quelle démarche et avec quels outils?
 Chapitre 3
Une stratégie d’audit de sécurité de l’entreprise
 Chapitre 4
Conclusion

16-07-2004 Centre National de l'Informatique 2

 Chapitre 1: Quel Audit?

 Réglementation en Tunisie
 Définitions
 Enjeux et objectifs
 Risques
 Périmètre

16-07-2004 Centre National de l'Informatique 3

 Réglementation en Tunisie

 de monsieur le Premier Ministre N°51 du 30 Novembre 2001

portant sur l’obligation de l’audit de sécurité au moins une fois
par an

« l’Agence Nationale de la Sécurité Informatique »

Soumise à la tutelle du Ministère chargé des technologies de la
communication
Mission: contrôle général des systèmes informatiques et des
réseaux relevant des divers organismes publics ou privés, notamment:
 l’audit

16-07-2004 Centre National de l'Informatique 4

 Définitions
 Audit
 Mission d’examen et de vérification de la conformité (aux
règles) d’une opération, d’une activité particulière ou de la
situation générale d’une entreprise

 Système d’information
 Ensemble des moyens matériels, logiciels et
organisationnels qui permettent de recevoir, de stoker et
de traiter l’information

 Donc un audit nécessite

 Un périmètre
 Un référentiel
 Une méthode
 Des moyens et compétences

16-07-2004 Centre National de l'Informatique 5

 Enjeux et objectifs
 Pour maintenir son avantage compétitif de manière durable,
l’entreprise doit:

Assurer la disponibilité de ses outils, et

particulièrement de son outil informatique
Assurer l’intégrité de l’information stockée dans son
système d’information
Préserver la confidentialité de l’information

 La sécurité informatique se fixe l’objectif suivant: protéger les

actifs informatiques de l’entreprise contre les risques

<actifs=informations, applications, systèmes, ressources humaines>

16-07-2004 Centre National de l'Informatique 6

 Risques

Le Risque

Le fait qu’un événement puisse empêcher de

 Maintenir une situation donnée

et
 Maintenir un objectif dans des conditions fixées
et
 Satisfaire une finalité programmée

16-07-2004 Centre National de l'Informatique 7

 Risques

 3 types de Risques

 Exposition naturelle
 Intention de l’agresseur
 Possibilité de sinistre

16-07-2004 Centre National de l'Informatique 8

 Risques

Divulgation des Accidents

informations (incendie, dégâts des eaux,..)

Malversations et Pannes
fraudes

Erreurs
Attaques (utilisation, exploitation,..)
(tendance actuelle)

Particulièrement variables selon les environnements 

16-07-2004 Centre National de l'Informatique 9

 Périmètre

 Le périmètre organisationnel et fonctionnel

 Organisation de la sécurité
 La répartition des responsabilités
 La sensibilisation
 Contrôle

 Politique et les guides de

sécurité
 Procédures de sécurité
16-07-2004 Centre National de l'Informatique 10
 Périmètre

 La sécurité physique

Lutte anti-incendie, dégâts des eaux

Contrôle des accès
Sauvegarde et archivage des
documents

16-07-2004 Centre National de l'Informatique 11

 Périmètre

 La sécurité des systèmes

 Matériels (postes de travail et serveurs)

 Logiciels de base
 Lutte antivirale

 La sécurité des réseaux

 Matériels (routeurs, concentrateurs,..)

 Contrôle des accès logiques
 Lignes de transmissions

 La sécurité des applications/bases de données

16-07-2004 Centre National de l'Informatique 12

 Chapitre 2: Selon quelle
démarche et avec quels outils?
 Définitions
 La norme ISO17799/BS7799
 Les méthodes
Les méthodes globales
Les méthodes propriétaires
Sans méthode
 Les outils
Outils méthodologiques
Référentiel
Tests de configuration
Tests de vulnérabilités
16-07-2004 Centre National de l'Informatique 13
 Définitions

 Norme
code de bonnes pratiques de sécurité du système
d’information :

Va du général (l’organisation, politique

générale de sécurité, etc..) au détail
(gestion de mot de passe, contrôle
d’accès,etc..)

 Liste les mesures à prendre, mais n’explique

pas la façon de les mettre en œuvre

16-07-2004 Centre National de l'Informatique 14

 Définitions

 Méthode
sert à évaluer les pratiques de l’entreprise -par rapport à
un référentiel- face aux risques auxquelles elle s’expose et
propose des parades adaptées

Norme et méthode sont complémentaires

Pas de méthode sans norme

16-07-2004 Centre National de l'Informatique 15

 La norme
ISO17799/BS7799
 ISO17799

Défini des objectifs et des recommandations

concernant la sécurité de l’information
Norme globale à tout type d’organisme

 Historique ISO17799

Groupe britannique ayant produit BS7799:1995,

puis BS7799-1:1999
La première partie de BS7799 a été soumise deux fois en
procédure fast track à l’ISO
Elle a été acceptée en décembre 2000 et publiée sous le
numéro ISO 17799:2000

16-07-2004 Centre National de l'Informatique 16

 La norme
ISO17799/BS7799
 Usage
l’application de la norme ISO 17799 peut être le
résultat d’une série d’étapes schématisées comme
suit:

Le corps de la norme ISO 17799 décrit la

quatrième étape ‘’quoi faire ‘’ sans pour autant
préciser ‘’comment le faire’’

16-07-2004 Centre National de l'Informatique 17

 Les méthodes
 Les méthodes globales

Cobit
Cramm
Ebios
MEHARI
Mv3


 Se présentent sous forme de documents (questionnaires)

 Les réponses à ces questions servent à dresser

la cartographie des pratiques de sécurité

16-07-2004 Centre National de l'Informatique 18

 Les méthodes globales :
Comparatif des cinq méthodes d’audit

Nom de la mé thod e Cob it v 3 CRAMM v4 Ebi os 1 .0.2 Mehar i MV3

Caractéristiques
Analyse des risques Non Oui Oui Oui Oui
Analyse des vulnérabilités Non Oui Oui Oui Oui
Plan de sécurité Non Oui Oui Oui Oui
Contrôle et vérification Oui Non Non Oui Oui
Bilan de sécurité Non Non Non Oui Non
Périmètre
Adapté à toutes les tailles d’entreprise Oui Oui Oui Oui Oui
Conçu pour des environnements Oui Oui Oui Oui Oui
Technologiques divers
Outils
Questionnaires Oui Oui Oui Oui Oui
Modèles (formulaires, grilles..) Oui Oui Oui Oui Oui
Logiciel disponible Non Oui Non Oui Oui

16-07-2004 Centre National de l'Informatique 19

 Les méthodes globales:
La méthode MEHARI
 Développée par la commission Méthodes du CLUSIF
 Méthode d’analyse des ressources: mesurer l’impact du sinistre
en terme de D,C,I
 Classifier les ressources selon des seuils de gravité définis sur une
échelle de 1 à 4

Impact Gravité = f (I,P)

4 0 3 4 4 4
4 = Risques insupportables
3 = Risques inadmissibles
3 0 2 3 3 3 2 = Risques tolérés

0 1 1 2 2
2

1 0 0 0 1 1
Potentialité
0 1 2 3 4

16-07-2004 Centre National de l'Informatique 20

 Les méthodes globales:
La méthode MEHARI

causes
conséquences

16-07-2004 Centre National de l'Informatique 21

 Les méthodes globales:
La méthode MEHARI
 Traiter les risques :
en se basant sur un référentiel (ISO17799, base de
connaissances Mehari)

 Définir une politique de sécurité

 Etablir une charte de management: Droits et devoirs du

personnel de l’Entreprise

 Etablir un plan de sécurité

 Etablir un Bilan de sécurité

16-07-2004 Centre National de l'Informatique 22

 Les méthodes propriétaires

 Objectifs
personnaliser et simplifier
adapter à l’environnement de l’entreprise
obtenir une visibilité des risques et
un plan d’actions en un laps de temps restreint

 Plus pragmatique
 Un luxe pour le RSSI

16-07-2004 Centre National de l'Informatique 23

 Les méthodes propriétaires

 Démarches
modifier une méthode formelle
combiner les apports de plusieurs méthodes formelles

Sélection d’un sous ensemble de questions adapté

au métier de l’entreprise

L’expérience du consultant qui fait la différence

16-07-2004 Centre National de l'Informatique 24

 Sans méthode

 Se limite à:
Des tests des vulnérabilités
automatisés
Des tests d’intrusions réseaux

sécuriser un serveur ou un réseau est une chose

Mais
sécuriser un SI d’une entreprise est beaucoup plus
compliqué

16-07-2004 Centre National de l'Informatique 25

 Les outils

 Les outils méthodologiques

attention aux limites de l’automatisation
(Risicare pour Mehari, caliis, etc..)

 Les référentiels de sécurité

la politique de sécurité de l’entreprise
les guides de sécurité par environnement
les normes applicables (ISO17799,…)

16-07-2004 Centre National de l'Informatique 26

 Les outils

 Les tests de configuration

Otuils pour Windows, Unix
(logiciel commercial)
(logiciel libre)
Nécessitent de définir une politique technique
de sécurité /pas d’analyse de failles
Non intrusifs, non perturbateurs

Nécessitent une forte expertise pour la configuration

16-07-2004 Centre National de l'Informatique 27

 Les outils
 Les tests de vulnérabilités
Outils public (Nessus, Satan,…) ou
commerciaux (Internet Scanner de ISS,…)
Indiquent des vulnérabilités
potentielles/potentiellement intrusif
Demandent une adresse /plage(s) IP
Utilisés par les ‘’hackers’’

Nécessitent une forte expertise

16-07-2004 Centre National de l'Informatique 28
 Chapitre 3: Une stratégie
d’audit de sécurité de
l’entreprise
 Construire une stratégie d’audit
 Les différentes approches d’audit
 Une approche adaptée à l’entreprise

Présentation

Périmètre

Démarche

Apports

16-07-2004 Centre National de l'Informatique 29

 Construire une stratégie
d’audit
 Evaluation globale de la sécurité du SI
Dans le cadre d’une réorganisation ( rachat, refonte,…)
 Audit complet, indépendant
Dans un cadre de consolidation globale de la sécurité
 Analyse des risques ( fonctionnels/techniques/juridiques)
 Plan d’action détaillé
 Audits réguliers à large périmètre
Dans le cadre d’une mise en cohérence de la sécurité
 Comparaison site à site ou vis-à-vis de la profession
 Méthode rigoureuse et applications régulières

Dans le cadre d’une sensibilisation

 Audits participatifs / auto évaluation

16-07-2004 Centre National de l'Informatique 30

 Construire une stratégie
d’audit
 Evaluation par composant (projet, système,…)

Evaluer la sécurité d’un composant du SI

 Sécurité d’un produit
 Qualifier/recetter/..

Analyser, sur incident

 Sur mesure
 Nécessite une très forte expertise technique

16-07-2004 Centre National de l'Informatique 31

 Les différentes approches
 Audit de vérification
 Analyser l’état d’un système et/ou d’un réseau du point
de vue: organisation, architecture, configuration,
exploitation et compétences

 Audit d’agrément
 Vérifier l’état du système vis-à-vis d’un référentiel
existant

 Audit intrusif
 Rechercher les failles par un point donné du réseau
(utilisation des outils d’intrusions)
 Simuler des attaques: tests d’intrusion depuis l’extérieur

Elles ne sont pas exclusives

16-07-2004 Centre National de l'Informatique 32
 Une approche adaptée à
l’entreprise : Présentation
 Les méthodes formelles (Mehari, Cobit,etc..)
Lourdes
Reservées aux grands comptes
 Les méthodes Propriétaires
Souples
Peuvent ne pas couvrir tout le périmètre
Dépendent étroitement de l’auditeur

Une approche plus adaptée à l’entreprise

(Banque, Assurance, PME/PMI, etc..)

l’auditeur, précise et pragmatique

16-07-2004 Centre National de l'Informatique 33

 Une approche adaptée à
l’entreprise : Périmètre

 Les composantes du système d’information

le matériel (PC, serveurs, réseaux)

les logiciels (OS, gestion réseau, gestion sécurité)
les données (sécurité, sauvegarde,archivage)
l’architecture (C/S, intranet, extranet, Internet)
le personnel (les utilisateurs, les administrateurs, les
développeurs)
la documentation (procédures d’installation,
procédures de restauration, politique de sécurité, plan de
sécurité)

16-07-2004 Centre National de l'Informatique 34

 Une approche adaptée à
l’entreprise : Périmètre
 Les menaces
 Accidentelles
 pannes
 dysfonctionnement
 incendie
 dégâts des eaux
 coupure électrique

 Intentionnelles
 vol d’informations
 modification de données d’importance capitale
 vol et destruction des matériels

16-07-2004 Centre National de l'Informatique 35

 Une approche adaptée à
l’entreprise : Périmètre
 Les attaques par outils automatisés

Destruction par virus, ver, bombes logicielles

Intrusion par cheval de troie
Intrusion par portes dérobées
Espionnage d’analyse de trafic
Intrusion par bogues logiciels
Exploitation des accès non sécurisés
Déni de service
Surveillance des messageries d’entreprises
Man in the Middle

16-07-2004 Centre National de l'Informatique 36

 Une approche adaptée à
l’entreprise : Démarche
 La méthode est basée sur le référentiel ISO17799 et l’expérience des
consultants, appliquée en cinq phases:
Phase1: Définition/validation du périmètre de sécurité et des enjeux (entretiens)

Phase2: Identifications des menaces

Phase3: Identifications des vulnérabilités

Entretiens techniques, consultation de documents
Récupération des configurations
Tests d’intrusion automatisés (outils du logiciel libre, outils commerciaux)

Phase4: Analyse du risque par recoupement des phases 1 à 3

Phase5: Etablissement des recommandations (logique/organisationnel/physique)

Elaboration d’une solution technique

16-07-2004 Centre National de l'Informatique 37

 Une approche adaptée à
l’entreprise : Démarche

 Principaux résultats
Définition des moyens de sécurité couvrant les aspects technique physique et
organisationnel
Définition d’une politique de sécurité interne le cas échéant
 Principales fournitures
Rapport d’audit avec préconisations d’améliorations
Estimation du coût de la solution technique à acquérir
Présentation au management de l’entreprise
 Charge de travail
de trois à huit semaines, selon la taille de l’entreprise (architecture SI, BD,
réseau, serveurs, personnel)
un consultant et un/deux ingénieurs

16-07-2004 Centre National de l'Informatique 38

 Une approche adaptée à
l’entreprise : Apports
 Convivialité
les RSSI sont plus sensibles à leur vision du risque qu’à une conformité à une
méthode ou à une norme
appréciée par les responsables (management de l’entreprise, RSSI)
garantit une implication des intéressés dans le constat et la mise en œuvre des
actions correctrices

 Performance
complète (organisationnel et technique)
parades plus adaptées (tient compte de nouveau mode de fonctionnement de l’entreprise)
offre une solution technique optimale en terme d’architecture et outils

 Coût
faible coût (délais et charges: réduits)
évite d’investir dans des outils qui protègeraient d’un risque de faible impact

16-07-2004 Centre National de l'Informatique 39

 Chapitre 4: Conclusion

 L’audit reste:
une affaire de méthode
une prestation interne, même lorsque les tests d’intrusion se
font de l’extérieur
 L’audit est récurrent (1fois/1 ou 2 ans)
les risques se développent
le niveau de sécurité appliqué au SI est dynamique

Résultat de l’audit peut être contredit par le moindre changement du SI

16-07-2004 Centre National de l'Informatique 40

 Chapitre 4: Conclusion

 L’audit: Approche technique ou fonctionnelle ?

les outils automatisés sont utiles, voire indispensables
Oui mais

Ils offrent une photo à un instant t mais pas dans le temps
 Ils ne couvrent pas tout le périmètre (organisation, procédures,
traitement des incidents,…)
 Ils ne sensibilisent pas
Donc des audits ‘’organisationnels’’, voire fonctionnels
sont aussi indispensables
 Une double compétence s’impose…
 Le problème de certification de l’auditeur se pose…
16-07-2004 Centre National de l'Informatique 41
 L’Audit Interne et les Nouvelles Technologies
de l’Information et de Communication

16-07-2004 Centre National de l'Informatique 42