Professional Documents
Culture Documents
Technologies de l’Information
et de Communication
Chapitre 1
Quel Audit?
Chapitre 2
Selon quelle démarche et avec quels outils?
Chapitre 3
Une stratégie d’audit de sécurité de l’entreprise
Chapitre 4
Conclusion
Réglementation en Tunisie
Définitions
Enjeux et objectifs
Risques
Périmètre
Système d’information
Ensemble des moyens matériels, logiciels et
organisationnels qui permettent de recevoir, de stoker et
de traiter l’information
Le Risque
3 types de Risques
Exposition naturelle
Intention de l’agresseur
Possibilité de sinistre
Malversations et Pannes
fraudes
Erreurs
Attaques (utilisation, exploitation,..)
(tendance actuelle)
Organisation de la sécurité
La répartition des responsabilités
La sensibilisation
Contrôle
La sécurité physique
Norme
code de bonnes pratiques de sécurité du système
d’information :
Méthode
sert à évaluer les pratiques de l’entreprise -par rapport à
un référentiel- face aux risques auxquelles elle s’expose et
propose des parades adaptées
Historique ISO17799
Cobit
Cramm
Ebios
MEHARI
Mv3
Se présentent sous forme de documents (questionnaires)
Caractéristiques
Analyse des risques Non Oui Oui Oui Oui
Analyse des vulnérabilités Non Oui Oui Oui Oui
Plan de sécurité Non Oui Oui Oui Oui
Contrôle et vérification Oui Non Non Oui Oui
Bilan de sécurité Non Non Non Oui Non
Périmètre
Adapté à toutes les tailles d’entreprise Oui Oui Oui Oui Oui
Conçu pour des environnements Oui Oui Oui Oui Oui
Technologiques divers
Outils
Questionnaires Oui Oui Oui Oui Oui
Modèles (formulaires, grilles..) Oui Oui Oui Oui Oui
Logiciel disponible Non Oui Non Oui Oui
0 1 1 2 2
2
1 0 0 0 1 1
Potentialité
0 1 2 3 4
causes
conséquences
Objectifs
personnaliser et simplifier
adapter à l’environnement de l’entreprise
obtenir une visibilité des risques et
un plan d’actions en un laps de temps restreint
Plus pragmatique
Un luxe pour le RSSI
Démarches
modifier une méthode formelle
combiner les apports de plusieurs méthodes formelles
Se limite à:
Des tests des vulnérabilités
automatisés
Des tests d’intrusions réseaux
Présentation
Périmètre
Démarche
Apports
Audit d’agrément
Vérifier l’état du système vis-à-vis d’un référentiel
existant
Audit intrusif
Rechercher les failles par un point donné du réseau
(utilisation des outils d’intrusions)
Simuler des attaques: tests d’intrusion depuis l’extérieur
Intentionnelles
vol d’informations
modification de données d’importance capitale
vol et destruction des matériels
Principaux résultats
Définition des moyens de sécurité couvrant les aspects technique physique et
organisationnel
Définition d’une politique de sécurité interne le cas échéant
Principales fournitures
Rapport d’audit avec préconisations d’améliorations
Estimation du coût de la solution technique à acquérir
Présentation au management de l’entreprise
Charge de travail
de trois à huit semaines, selon la taille de l’entreprise (architecture SI, BD,
réseau, serveurs, personnel)
un consultant et un/deux ingénieurs
Performance
complète (organisationnel et technique)
parades plus adaptées (tient compte de nouveau mode de fonctionnement de l’entreprise)
offre une solution technique optimale en terme d’architecture et outils
Coût
faible coût (délais et charges: réduits)
évite d’investir dans des outils qui protègeraient d’un risque de faible impact
L’audit reste:
une affaire de méthode
une prestation interne, même lorsque les tests d’intrusion se
font de l’extérieur
L’audit est récurrent (1fois/1 ou 2 ans)
les risques se développent
le niveau de sécurité appliqué au SI est dynamique