Panorama général des normes et outils d’audit.

François VERGEZ – AFAI

3
 Système d’information,
une tentative de définition (1/2)

 Un système d’information peut être défini comme l’ensemble des moyens matériels, logiciels,
organisationnels et humains visant à acquérir, stocker, traiter, diffuser ou détruire de l’information.

4
 Système d’information,
une tentative de définition (2/2)

 Mais aussi …

5
 La problématique de sécurité
du système d’information (1/2)

 Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou

techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le
système d’information.

 L’objectif de ces mesures de sécurité est d’assurer la confidentialité, l’intégrité, la

disponibilité et la traçabilité de l’information.

 Ces mesures de sécurité doivent être mises en œuvre dans un cadre cohérent et
organisé.

 Ces mesures de sécurité répondent à des objectifs et des exigences de sécurité qui
traduisent les contraintes et les risques qui pèsent sur le système d’information.

6
 La problématique de sécurité
du système d’information (2/2)

 Les mesures de sécurité répondent à des objectifs et des exigences de sécurité qui
traduisent les contraintes et les risques qui pèsent sur le système d’information.

7
 Les questions auxquelles se doivent
de répondre les audits de sécurité du SI ?

 A quelles exigences légales et réglementaires le Système d’Information est-

il soumis ?
 Ces contraintes légales et réglementaires sont-elles respectées ?
 La politique de sécurité est elle alignée sur la stratégie d’entreprise ?
 L’organisation de la sécurité est-elle fonctionnelle ?
 Les objectifs et contrôles de sécurité sont-ils exhaustif ?
 La continuité des activités de l’entreprise est-elle assurée ?
 Les mesures de sécurité opérationnelles sont-elles alignées sur la politique
de sécurité ?
 Les mesures de sécurité opérationnelles mises en place sont-elles efficaces
?
 En une phrase …

Quels sont les risques auxquels est exposée l’entreprise ?

8
 L’audit de sécurité du
système d’information

 L’audit de sécurité du système d’information est un examen méthodique d’une

situation liée à la sécurité de l’information en vue de vérifier sa conformité à des
objectifs, à des règles ou à des normes.

 Compte tenu du cadre de gestion de la sécurité de l’information, les audits de

sécurité peuvent adresser des problématiques différentes comme par exemple :
• La prise en compte des contraintes,
• L’analyse des risques,
• La politique de sécurité,
• La prise en compte de contraintes spécifiques dans la mise en œuvre d’un
système d’information particulier (problématique liée à l’audit des projets),
• La mise en œuvre de politique de sécurité,
• Les mesures de sécurité.

9
 Les types
d’audit de sécurité

10
 Les principaux
types d’audit de sécurité

 Audit de la politique de sécurité,

 Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise,
aux contraintes légales et réglementaires et aux bonnes pratiques,

 Audit de la mise en œuvre de politique de sécurité,

 Respect des exigences de sécurité au sein de l’entreprise au travers de la mise
en œuvre de mesures de sécurité adéquates et pérennes,

 Audit de la prise en compte de la sécurité dans un projet

 Audit de l’efficacité des mesures de sécurité.

 Test d’intrusion, audit de vulnérabilité sur l’ensemble des composantes du SI …

11
 Les référentiels utilisés
dans le cadre des audits de sécurité
 Les référentiels sont adaptés à chaque grand type d’audit de sécurité.
Audit de Sécurité Référentiel
Audit de la politique de sécurité  Contexte légale et réglementaire,
Adéquation de la politique de sécurité à  Stratégie de risque de l’entreprise,

la stratégie de risques de l’entreprise,  ISO 13335,

aux contraintes légales et réglementaires  ISO 27002.
et aux bonnes pratiques,
Audit de la mise en œuvre de la  Politique de sécurité de l’entreprise,
politique de sécurité  ISO 27002,

Respect des exigences de sécurité au  CoBIT (mapping avec l’ISO 17799),

sein de l’entreprise au travers de la mise  Audit Program de l’ISACA.
en œuvre de mesures de sécurité
 ITIL
adéquates et pérennes
Audit de l’efficacité des mesures de  OWASP (Open Web Application Security
sécurité Project),
 Information Security Web sites,

 Bases de vulnérabilités.

12
 ISO 27000

 La nouvelle famille de norme ISO/IEC 27000

13
 ISO 27002

 Domaines de sécurité de l'information (niveau 1)

 La norme ISO/IEC 17799:2005 recense de
nombreux objectifs de contrôle répartis dans chacun
des onze domaines

 Catégories de sécurité (niveau 2)

 La structure de la norme est semblable pour
chacune des 39 catégories de sécurité :
 Un objectif de contrôle qui fait l'état sur ce qui doit être
appliqué est énoncé,
 Un ou plusieurs contrôles à appliquer sont proposés
pour remplir l'objectif de contrôle de la catégorie de
sécurité

 Contrôles (niveau 3)
 Au niveau inférieur, la structure de la norme est semblable pour chacun des 137 objectifs de
contrôle qui ont été définis :
 Control : le contrôle permet de définir précisément l'état pour satisfaire à l'objectif de contrôle,
 Implementation guidance : le guide d'implémentation propose les informations détaillées pour permettre
d'effectuer l'implémentation du contrôle et de satisfaire à l'objectif de contrôle.
 Other information

14
 Les principaux types d’audit de sécurité
Audit de la politique de sécurité

 L’audit de la politique de sécurité doit permettre de s’assurer de la pertinence de

celle-ci compte tenu de la stratégie de risques de l’entreprise, du contexte légale et
réglementaire ainsi que des bonnes pratiques.

 Le terme « politique de sécurité » peut recouvrir la politique de sécurité du groupe, la

déclinaison de la politique de sécurité du groupe au niveau des différentes entités ou
métiers ainsi que de l’ensemble des politiques de sécurité détaillées couvrant les
domaines comme le contrôle d’accès, la continuité, la classification de l’information,
la protection antivirale …

 L’audit peut également couvrir :

 la méthodologie d’analyse de risques mise en œuvre,
 des standards et procédures qui découlent de la politique de sécurité.

 L’approche repose sur des interviews et des analyses documentaires.

15
Les principaux types d’audit de sécurité
Audit de la politique de sécurité
Stratégique
Politique de sécurité
globale

Politique de Politique de Politique de

sécurité spécifique sécurité spécifique sécurité spécifique
1 2 3

Politique de
sécurité locale

Standards
Mesures techniques spécifiques
(architecture, solutions)

Opérationnel
16
 Les principaux types d’audit de sécurité
Audit de la mise en oeuvre de la PSSI

 L’audit de la mise en œuvre de la politique de sécurité doit permettre de s’assurer que les
exigences de sécurité sont satisfaites au travers de la mise en œuvre de mesures de sécurité.

 Les grilles d’investigation sont construites sur la base de la politique de sécurité et/ou de l’ISO
27002 et/ou de Cobit.

 L’approche repose sur des interviews, des visites de sites, des analyses documentaires et des
revues de paramétrage.

 Compte tenu du caractère technique du système d’information des grilles d’investigation

spécifiques sont construites pour approfondir des thématiques comme les solutions antivirus, les
dispositifs correctifs de sécurité et anti-spam, le plan de secours et de continuité …

Grille d’investigation globale Grilles d’investigation détaillées

17
 Les principaux types d’audit de sécurité
Audit de la mise en oeuvre de la PSSI

 Pour chaque domaine de la grille d’investigation ISO 27002, les processus sont
répartis en cinq niveaux de maturité qu’une organisation va gravir en fonction de la
qualité des processus qu’elle a mis en oeuvre.

18
 Les principaux types d’audit de sécurité
Audit de la mise en oeuvre de la PSSI

 Une synthèse globale est présentée selon le diagramme de Kiviat qui illustre les
résultats de l’audit suivant les 11 domaines décrits dans l’ISO 27002

19
 Les principaux types d’audit de sécurité
Audit de la mise en oeuvre de la PSSI
 Pour approfondir la dimension technique de l’audit de sécurité, des grilles
d’investigation sont nécessaires pour chaque composante du système d’information.
Audit d’un poste de
Audit de la connexion Internet Audit des accès distants travail

Audit de la Audit de
Gestion la solution Anti-viru
des Tiers

Revue du
plan de continuité

Audit de Gestion d’Incident

20
 Les principaux types d’audit de sécurité
Audit de la mise en oeuvre de la PSSI

 Les grilles d’investigation détaillée peuvent être issues de :

 « IS Auditing Procedures » de l’ISACA
 P3IDSReview
 P4VirusandMaliciousLogic
 P6Firewalls
 …
 « Audit program & Internal control questionnaire » de l’ISACA
 OracleDatabaseSecurityAuditPlanandICQ
 OS390-zOSAuditProgram
 SecuringtheNetworkPerimeterAuditProgramand
 …
 Des organismes officiels de certification,
 Des éditeurs ou des constructeurs,
 Des plans d’audit de sociétés spécialisées,
 …

21
 Les principaux types d’audit de sécurité
Audit de l’efficacité des mesures de SSI

 Indépendamment de la mise en œuvre des mesures de sécurité, un audit de leur

efficacité doit permettre de s’assurer qu’aucune vulnérabilité ne puisse porter atteinte
à la confidentialité, l’intégrité ou la disponibilité de l’information.

Test d’Intrusion
Pour s’assurer de la sécurité de l’Infrastructure face à des scénarii
d’attaques de personnes malveillantes (pirate, prestataire, ex-
employé, utilisateur interne …)

Audit de Sécurité Technique

Pour déterminer si les firewalls, serveurs web, routeurs, connexions
distantes, connexion sans fils, applications, sont configurés et mis en
œuvre de manière adéquate au regard des risques encourus

22
 Les principaux types d’audit de sécurité
Audit de l’efficacité des mesures de SSI

 Tests de vulnérabilités ou tests d’intrusion

23
 Les principaux types d’audit de sécurité
Audit de l’efficacité des mesures de SSI

 Le périmètre des audits de sécurité techniques

24
 La démarche d’audit

 L‘ISACA (association pour le contrôle et l'audit des systèmes d'information) a établi

que le caractère spécialisé de l'audit des systèmes d'information et les compétences
requises pour effectuer un tel audit rendent nécessaires le développement et la
promulgation de Normes Générales pour l'Audit des Systèmes d'Information.

 L'audit des systèmes d'information se définit comme tout audit qui comprend
l'examen et l'évaluation de tous les aspects (ou une partie d'entre eux) des systèmes
de traitement automatisé de l'information, y compris les procédures connexes non-
automatisées, et les interfaces qui les relient entre eux.

 La démarche d’audit présente 4 grandes étapes :

 Planification
 Réalisation du travail d’audit
 Rapport
 Activités de suivi

25
 Le contexte de l’audit de sécurité

 Pour qui ?  Sur quel périmètre ?

 Direction Générale,  Organisation,
 Audit interne,  Site,
 Métier,  Service,
 Maison mère,  Environnement technique,
 Organisme certificateur …  Application, …

 Par qui ?  Selon quel référentiel ?

 Interne / externe  Lois et règlements
 Organisme
 Dans quel but ?  Bonnes pratiques (ISO,…)
 Alignement de la politique de sécurité sur
la stratégie d’entreprise,  De quelle nature ?
 Conformité aux lois et règlements,  Audit de la politique de sécurité,
 Efficacité et efficience des contrôles,  Audit de la mise en œuvre de la politique
 SOX, contrôle interne, de sécurité,
 Identification des risques auxquels est  Audit de l’efficacité des mesures de
exposé le SI… sécurité.

26
 Les risques d’un audit de sécurité

 Référentiel inadapté
 Compétences inadaptées
 Rapport inadapté :
 Inadéquation de la recommandation dans le contexte (incompréhension des risques
spécifiques liés à l’activité de l’organisme avec le métier.
 Inadaptabilité de la recommandation dans le contexte de l’organisme (à qui prescrire une
cage de faraday !).
 Rapport non recevable :
 Constats non factuels.
 Constats non validés.
 Non prise en compte de la confidentialité
 Dérapage dans le temps :
 Ne pas avoir identifié les bons interlocuteurs.
 Absence de clauses d’audit dans les contrats d’externalisation

 IDENTIFICATION DE RISQUES TECHNIQUES ET NON DE RISQUES METIERS

27
Merci de votre attention

Questions / Réponses

fvergez@deloitte.fr

28