Vous êtes sur la page 1sur 7

Chapitre 1 : contexte du sujet et étude préalable:

Introduction 
Dans ce premier chapitre, nous allons présenter brièvement la société d’accueil qui est la
société Tunisie Télécom, ainsi que et le service informatique ai sein de la quel a été réalisé le
projet et finalement l’étude de l’existant pour la partie contexte de projet. Pour la partie état de
l’art nous allons commencer par présenter les normes sur laquelle elle peut se baser une
mission d’audit, ensuit nous évoquerons ce que représente l’audit de sécurité des systèmes
d’informations et finalement nous allons détailler les étapes nécessaires pour le déroulement
de cette mission d’audit.
I. Contexte du projet :
1. Organisme d’accueil :

L’office national des télécommunications est créé suite à la promulgation de la loi N°36 du 17
avril 1995.
L’office a ensuite changé de statut juridique, en vertu de décret N°30 du 5 avril 2004, pour
devenir une société anonyme dénommée « Tunisie Telecom ».
En juillet 2006, il été procédé à l’ouverture du capital de Tunisie Telecom à hauteur de 35% en
faveur du consortium émirati Telecom DIG. Cette opération vise à améliorer la rentabilité de
Tunisie Telecom et à lui permettre de se hisser parmi les grands opérateurs internationaux.
Depuis sa création, Tunisie Telecom œuvre à consolider l’infrastructure des télécoms en Tunisie,
à améliorer le taux de couverture à renforcer sa compétitivité. Elle contribue également
activement à la promotion de l’usage de TIC et au développement de sociétés innovantes dans
le domaine des télécoms.
Pionnière du secteur des télécoms en Tunisie, Tunisie Telecom a établi un ensemble de valeurs
définitoires qui place le client au centre de ses priorités.
L’adoption de ces valeurs se traduit en particulier par une amélioration continue des standards
de l’entreprise et de la qualité des services. [1]
2. Description de projet :
L'audit sécurité d'un réseau informatique est un état des lieux de la sécurité du réseau
informatique actuel avec des propositions permettant de résoudre les problèmes potentiels une
fois l'audit sécurité effectue et les conclusions présentées par la partie effectuant cet audit
le présent projet d'audit à pour but d'évaluer les failles de sécurité du système d'information
d'entreprise et proposer des solutions aptes à corriger les vulnérabilités afin que le hacker ne
puisse s'en servir. Nous commencerons tout d’abord par une présentation des menaces
auxquelles l’entreprise fait face. Ensuite nous effectuerons les tests de vulnérabilités et
d’intrusions sur le réseau et nous terminerons par la recommandation portant sur d’éventuelles
améliorations à apporter au système d’information.

• Description des Normes d’audit :


L’organisation international de normalisation (ISO) a réservé la série ISO/IEC 27000 pour une
plage de normes dédiée au pilotage de sécurité de l’information, tout en s’accordant avec les
normes de gestion de la qualité et de gestion des questions relatives à l’environnement que
sont les normes ISO 9000 et ISO 14000.[2]

Elle porte essentiellement sur les questions de sécurité de l’information, Chaque norme
porte sur les aspects précis suivants de la sécurité de l’information :
ISO 27001 : Modèle d’établissement, de mise en œuvre, d’exploitation, de suivi,
d’examen, de maintien et d’amélioration de systèmes de gestion de la sécurité de l’information.
ISO 27002 : Liste de centaines de mesures et mécanismes de contrôle susceptibles d’être
adoptés suivant les lignes directrices de la norme ISO 27001.
ISO 27003 : Conseils et lignes directrices quant à la mise en œuvre de système de sécurité
de l’information, particulièrement en ce qui concerne la boucle d’amélioration continue.
ISO 27004 : Instruments de mesure et indicateurs d’évaluation de la gestion de la sécurité
de l’information (publication de la norme à venir).
ISO 27005 : Instrument de définition du processus de gestion des risques du système de
gestion de la sécurité de l’information, notamment le relevé des actifs, des menaces et des
vulnérabilités (publication de la norme à venir).
ISO 27006 : Lignes directrices à suivre pour accréditer les entités qui offrent le service
de certification et d’inscription relativement à un système de gestion de la sécurité de
l’information. Les lignes directrices précisent les éléments à observer en plus des exigences
stipulées dans la norme ISO 17021.
ISO 27007 : Rentrée très récemment en période d’étude, cette norme va être un guide
spécifique pour les audits d’ISMS, notamment en support à l’ISO 27006.
L'ensemble de ces normes constitue des standards internationaux. Elles sont donc destinées
à tout type de société, quelle que soit sa taille, son secteur d'activité ou son pays d’origine. Elles
ont donc pour but de décrire un objectif à atteindre et non la manière concrète d'y arriver, cette
dernière étant généralement dépendante du contexte de l'organisation
• Audit de sécurité de système d’information :
• Audit de sécurité de système d’information en Tunisie :

L’ANSI est l’organe accrédité pour les missions d’audit en Tunisie conformément au
décret N° 2004-5 du 3 février 2004 relatif à la sécurité informatique. Cet organisme définit
l’audit
de sécurité tel une « intervention de spécialistes, utilisant des techniques et des méthodes
adéquates, pour évaluer la situation de la sécurité d’un système d’information et les risques
potentiels. En Tunisie, la réalisation d’un audit de sécurité informatique possède un caractère
obligatoire. En effet depuis le décret N°2004-1250, du 25 Mai 2004, l’audit de sécurité
informatique est imposé aux organismes suivants :
Les opérateurs de réseaux publics de télécommunications et fournisseur des
services de télécommunication et d’Internet,
Les entreprises dont les réseaux informatiques sont interconnectées à travers des
réseaux externes de télécommunication,
Les entreprises qui procèdent au traitement automatisé des données personnelles
de leurs clients dans le cadre de la fourniture de leurs services à travers les réseaux
de télécommunications.
De ce point de vu, l’audit de sécurité se présente comme une nécessité, pour répondre à
une obligation règlementaire.
Cependant, l’audit de sécurité peu présenter un aspect préventif. C'est-à-dire qu’il est
effectué de façons périodiques afin que l’organisme puisse prévenir les failles de sécurité. [3]

• Objectifs d’audit de sécurité :

L’audit de sécurité vérifier le niveau de sécurité, une mission d’audit vise différents objectifs :

• Réagir à une attaque

• Se faire une idée précise du niveau de sécurité et de maturité de système d’information

• Tester la mise en place effective de la politique de sécurité du système d’information

Egalement, une mission d’audit de sécurité d’un système d’information se présente l’évolution de
la sécurité sur la durée grâce a des audits menés de façon périodique.

• Cycle de vie d’un audit de sécurité des systèmes d’information :

La mission d’audit de sécurité informatique est un processus répétitif et perpétuel. Il


décrit un cycle de vie qui est schématisé à l’aide de la figure suivante :
Ce processus permet d’étudie le niveau de sécurité du système d’information d’un point
de vue :
Organisationnel (étude des procédures de définition, de mise en place et de suivi de la
politique de sécurité, etc...).
Technique (les points d’entrées sur le réseau, les équipements de sécurité, les protocoles
mis en œuvre, etc…).
Enfin un rapport d’audit est établi à l’issue de ces étapes. Ce rapport présente une synthèse
de l’audit. Il présente également les recommandations à mettre en place pour corriger les
défaillances organisationnelles ou techniques constatées.

• Démarche de réalisation de mission d’audit :

D’après précédemment évoqué, l’audit de sécurité des systèmes d’information se déroule sur deux
principales étapes. Cependant il existe une phase tout aussi importante qui est une phase de
préparation. Nous schématisons les phases d’audit dans la figure suivante.
• Préparation de l’audit :

Cette phase est aussi appelée phase de pré audit elle constitue une phase importante pour la réalisation
de l’audit sur terrain. En effet c’est au cours de cette phase que se dessinent les grands axes qui devront
être suivis lors de l’audit sur terrain elle manifeste par des rencontres entre auditeurs et responsables de
l’organisme à auditeur. Au cours de ces entretiens les espérances des responsables vis-à-vis de l’audit
devront être exprime. Aussi le planning de réalisation de la mission de l’audit.

Les personnes qui seront amenées à répondre au questionnaire concernant l’audit organisationnel
doivent être également identifiées. L’auditeur pourrait également solliciter les résultats des précédents
audits. Cette phase sera suivie par l’audit organisationnel et physique.

• Audit organisationnel et physique :

Dans cette étape, il s’agit de s’intéresser à l’aspect physique et organisationnel de


l’organisme cible, à auditer. Nous nous intéressons donc aux aspects de gestion et d’organisation
de la sécurité, sur les plans organisationnels, humains et physiques. L’objectif visé par cette étape est
donc d’avoir une vue globale de l’état de sécurité du système d’information et d’identifier les risque
potentiels sue le plan organisationnel.

Afin de réaliser cette étape de l’audit, ce volet doit suivre une approche méthodologique
qui s’appuie sur « une batterie de questions ». Ce questionnaire préétabli devra tenir compte et
s’adapter aux réalités de l’organisme à auditer. A l’issu de ce questionnaire, et suivant une
métrique, l’auditeur est en mesure d’évaluer les failles et d’apprécier le niveau de maturité en
termes de sécurité de l’organisme, ainsi que la conformité de cet organisme par rapport à la norme
référentielle de l’audit.

Dans notre contexte, suivant les recommandations de l’ANSI et du fait de sa notoriété,


cet audit prendra comme référentiel une norme de l’ISO .Il s’agit de toutes les clauses (ou
chapitres ou domaines) de la version 2005 de la norme ISO/IEC 27001.

• Audit technique :

Cette étape de l’audit sur terrain vient en seconde position après celle de l’audit
organisationnel. L’audit technique est réalisé suivant une approche méthodique allant
de la découverte et la reconnaissance du réseau audité jusqu’au sondage des services
réseaux actifs et vulnérables.
Cette analyse devra faire apparaître les failles et les risques, les conséquences
d’intrusions ou de manipulations illicites de données. Au cours de cette phase,
l’auditeur pourra également apprécier l’écart avec les réponses obtenues lors des
entretiens. Il testera aussi la robustesse de la sécurité du système d’information et sa
capacité à préserver les aspects de confidentialité, d’intégrité, de disponibilité et
d’autorisation.
Cependant, l’auditeur doit veiller à ce que les tests réalisés ne mettent pas en cause la
continuité de service du système audité

• Rapport d’audit :

La phase finale du processus d’Audit Sécurité est consacrée à la rédaction des rapports
de synthèse :
Recueil des principales vulnérabilités et insuffisances décelées.
Synthèse des solutions et outils de sécurité proposés,
Synthèse des recommandations de mise en œuvre (organisationnelles, physiques et
techniques),
Esquisse d’un plan d’action sécurité (Estimation des budgets à allouer pour la mise en
œuvre des mesures recommandées)

Conclusion :

Ce chapitre nous a permis de présenter le cadre général du projet. Nous venons aussi
d’exposer, une liste non exhaustive d’un ensemble de normes qui constituent des références dans
le cadre d’un audit de systèmes d’information ainsi que les procédures de réalisation d’un audit
de systèmes d’information, et la place de l’audit des systèmes d’informations en Tunisie. La suite
de ce document consistera à mettre en pratique les précédents aspects de réalisation d’un audit,
par l’entame de l’audit organisationnel.

Vous aimerez peut-être aussi