Académique Documents
Professionnel Documents
Culture Documents
Afai PDF
Afai PDF
3
Système d’information,
une tentative de définition (1/2)
Un système d’information peut être défini comme l’ensemble des moyens matériels, logiciels,
organisationnels et humains visant à acquérir, stocker, traiter, diffuser ou détruire de l’information.
4
Système d’information,
une tentative de définition (2/2)
Mais aussi …
5
La problématique de sécurité
du système d’information (1/2)
Ces mesures de sécurité doivent être mises en œuvre dans un cadre cohérent et
organisé.
Ces mesures de sécurité répondent à des objectifs et des exigences de sécurité qui
traduisent les contraintes et les risques qui pèsent sur le système d’information.
6
La problématique de sécurité
du système d’information (2/2)
Les mesures de sécurité répondent à des objectifs et des exigences de sécurité qui
traduisent les contraintes et les risques qui pèsent sur le système d’information.
7
Les questions auxquelles se doivent
de répondre les audits de sécurité du SI ?
8
L’audit de sécurité du
système d’information
9
Les types
d’audit de sécurité
10
Les principaux
types d’audit de sécurité
11
Les référentiels utilisés
dans le cadre des audits de sécurité
Les référentiels sont adaptés à chaque grand type d’audit de sécurité.
Audit de Sécurité Référentiel
Audit de la politique de sécurité Contexte légale et réglementaire,
Adéquation de la politique de sécurité à Stratégie de risque de l’entreprise,
Bases de vulnérabilités.
12
ISO 27000
13
ISO 27002
Contrôles (niveau 3)
Au niveau inférieur, la structure de la norme est semblable pour chacun des 137 objectifs de
contrôle qui ont été définis :
Control : le contrôle permet de définir précisément l'état pour satisfaire à l'objectif de contrôle,
Implementation guidance : le guide d'implémentation propose les informations détaillées pour permettre
d'effectuer l'implémentation du contrôle et de satisfaire à l'objectif de contrôle.
Other information
14
Les principaux types d’audit de sécurité
Audit de la politique de sécurité
15
Les principaux types d’audit de sécurité
Audit de la politique de sécurité
Stratégique
Politique de sécurité
globale
Politique de
sécurité locale
Standards
Mesures techniques spécifiques
(architecture, solutions)
Opérationnel
16
Les principaux types d’audit de sécurité
Audit de la mise en oeuvre de la PSSI
L’audit de la mise en œuvre de la politique de sécurité doit permettre de s’assurer que les
exigences de sécurité sont satisfaites au travers de la mise en œuvre de mesures de sécurité.
Les grilles d’investigation sont construites sur la base de la politique de sécurité et/ou de l’ISO
27002 et/ou de Cobit.
L’approche repose sur des interviews, des visites de sites, des analyses documentaires et des
revues de paramétrage.
17
Les principaux types d’audit de sécurité
Audit de la mise en oeuvre de la PSSI
Pour chaque domaine de la grille d’investigation ISO 27002, les processus sont
répartis en cinq niveaux de maturité qu’une organisation va gravir en fonction de la
qualité des processus qu’elle a mis en oeuvre.
18
Les principaux types d’audit de sécurité
Audit de la mise en oeuvre de la PSSI
Une synthèse globale est présentée selon le diagramme de Kiviat qui illustre les
résultats de l’audit suivant les 11 domaines décrits dans l’ISO 27002
19
Les principaux types d’audit de sécurité
Audit de la mise en oeuvre de la PSSI
Pour approfondir la dimension technique de l’audit de sécurité, des grilles
d’investigation sont nécessaires pour chaque composante du système d’information.
Audit d’un poste de
Audit de la connexion Internet Audit des accès distants travail
Audit de la Audit de
Gestion la solution Anti-viru
des Tiers
Revue du
plan de continuité
20
Les principaux types d’audit de sécurité
Audit de la mise en oeuvre de la PSSI
21
Les principaux types d’audit de sécurité
Audit de l’efficacité des mesures de SSI
Test d’Intrusion
Pour s’assurer de la sécurité de l’Infrastructure face à des scénarii
d’attaques de personnes malveillantes (pirate, prestataire, ex-
employé, utilisateur interne …)
22
Les principaux types d’audit de sécurité
Audit de l’efficacité des mesures de SSI
23
Les principaux types d’audit de sécurité
Audit de l’efficacité des mesures de SSI
24
La démarche d’audit
L'audit des systèmes d'information se définit comme tout audit qui comprend
l'examen et l'évaluation de tous les aspects (ou une partie d'entre eux) des systèmes
de traitement automatisé de l'information, y compris les procédures connexes non-
automatisées, et les interfaces qui les relient entre eux.
25
Le contexte de l’audit de sécurité
26
Les risques d’un audit de sécurité
Référentiel inadapté
Compétences inadaptées
Rapport inadapté :
Inadéquation de la recommandation dans le contexte (incompréhension des risques
spécifiques liés à l’activité de l’organisme avec le métier.
Inadaptabilité de la recommandation dans le contexte de l’organisme (à qui prescrire une
cage de faraday !).
Rapport non recevable :
Constats non factuels.
Constats non validés.
Non prise en compte de la confidentialité
Dérapage dans le temps :
Ne pas avoir identifié les bons interlocuteurs.
Absence de clauses d’audit dans les contrats d’externalisation
27
Merci de votre attention
Questions / Réponses
fvergez@deloitte.fr
28