Cours Audit des Systèmes

d’information
Amel Meddeb-Makhlouf,

1ème année Mastère RITEL

2020-2021

1
 Plan du cours
1. Rappel des notions et mécanismes de sécurité
2. Généralités sur l’audit
3. Politique de sécurité
4. Types d’audit
5. Métier d’auditeur
6. Processus et phases d’audit
7. Loi et règlementation en Tunisie
8. Normes d’audit
9. Effets des attaque et Outils d’audit
10. Les méthodes d’audit
11. La méthode MEHARI

2
 Rappel: Services de sécurité

• Authentification Services et protocoles

• Intégrité • Messagerie
• Confidentialité • Web
• Anti-rejeu • Connexion à distance
• Contrôle d’accès • Transfert de fichiers
• Disponibilité • ….
 Rappel : Attaques et outils connus
• Crack de mots de passe
• Sniffing (Ecoute à Wireshark)
• Scanning à NMAP et Nessus
• Spoofing
• Scanners
• Exploits à Metasploit
• DoS
– Bufferoverflow
– Flooding
– DDoS
 Vulnérabilités dans les systèmes
d'informations : Définitions
• Vulnérable (du latin vulnerare, blesser) : Faible qui
donne prise à une attaque.
Le Petit Larousse, 2001.

• On appelle vulnérabilité une condition, une faiblesse

ou l’absence de procédures de sécurité et de
contrôles (physiques ou autres) qui peuvent être
exploitées par une menace.
Sécurité des systèmes d’information, D.L. Pipkin, CampusPress, 2000.

5
 Classes de vulnérabilités
• Vulnérabilités liées aux applications
• Vulnérabilités liées aux protocoles de
communication
• Vulnérabilités liées à l’exploitation

6
 Vulnérabilités liées aux applications
• Une application permet aux utilisateurs d’interagir avec
une machine d’une façon directe (applications locales)
ou à distance (applications réseaux).
• Les applications étant développées par des êtres
humains, la probabilité pour qu’au moins une erreur
existe dans le code, d’une façon volontaire ou non, est
non nulle.
• La plupart des vulnérabilités concernent les types
d’application cités ci-dessous :
1. Les systèmes d’exploitation
2. Les applications web
3. Les applications des bases de données
4. Les implémentations des protocoles réseau
7
 Exemples de vulnérabilités des
systèmes d’exploitation
• OS : Linux RedHat
• Description : Après une installation par défaut
de linux RedHAT, et lors de l’étape de boot
(exécution du chargeur LILO), la commande
linux single (ou 1) permet un accès avec des
privilèges maximaux en mode 1.

8
 Exemples de vulnérabilités des
systèmes d’exploitation
• OS : Windows NT
• Description : Une faiblesse dans le système
Windows NT permet à un utilisateur normal
d’acquérir des droits d’administrateur sur la
machine.
« Intrusion Detection : Network Security Beyond the Firewall », Terry
Escamilla

9
 Exemples de vulnérabilités des
applications web
• Application : Internet Explorer (Logiciel de navigation)
• Description : Une vulnérabilité dans le mécanisme de
gestion des objets emboîtés dans un code HTML
peut générer le dépassement de capacité d’un buffer
permettant à un attaquant d’exécuter des
commandes sur la machine cible avec les privilèges
de l’utilisateur qui est en train d’utiliser le logiciel de
navigation.
Cert Advisory CA-2002-04

10
 Exemples de vulnérabilités des
applications web
• Application : Internet Information Server 4.0
(Serveur Web)
• Description : Une vulnérabilité permet à un
attaquant de réaliser une attaque de déni de
service sur un serveur du type IIS 4.0 si
l’option de redirection des URLs est activée sur
ce dernier et ceci via le ver Code Red.
Cert Incident Note IN-2001-10

11
 Exemples de vulnérabilités des
applications de base de données
• Application : Oracle 9i Application Server.
• Description : Une vulnérabilité dans le module
Apache PL/SQL utilisé par Oracle 9i AS permet
l’accès sans authentification à l’interface web
d’administration.
Cert Vulnerability Note VU#611776

12
 Exemples de vulnérabilités de
l’implémentation de protocoles

• Protocole : Radius
• Description : Plusieurs implémentations du
protocole d’authentification RADIUS
contiennent des vulnérabilités au niveau du
calcul de la fonction de hashage ce qui peut
aboutir au dépassement de la capacité de
quelques buffers et, par suite, à un déni de
service
Cert Advisory CA-2002-06

13
 Exemples de vulnérabilités de
l’implémentation de protocoles

• Protocole : FTP
• Description : Certaines versions daemon
FTPD (systèmes UNIX) contiennent une
vulnérabilité qui permet à un utilisateur
local ou distant d’accéder à la machine sur
laquelle est installé le daemon en tant que
super-utilisateur (root)
Cert Advisory CA-1994-08

14
 Exemples de vulnérabilités liées aux
protocoles
• Protocole : ICMP
• Description : Le fait que le protocole ICMP est
capable d’envoyer du trafic sur l’adresse de
diffusion peut être exploité pour effectuer des
attaques de déni de service (Attaque Smurf)

15
 Exemples de vulnérabilités liées aux
protocoles
• Protocole : RIP
• Description : Dans un réseau IP, les paquets
échangés entre les différents nœuds sont
acheminés sur la base de leurs adresses IP
source et destination. Un hôte peut alors
envoyer des paquets avec de fausses adresses
sources.

16
 Exemples de vulnérabilités liées aux
protocoles
• Protocole : DNS
• Description : La communication entre un
serveur DNS et un client se fait sur la base
d’adresse IP. Une personne peut alors envoyer
de fausses informations avec l’adresse IP
source du serveur DNS et la machine cliente
sera redirigée vers un faux site web.

17
 Exemples de vulnérabilités liées aux
protocoles de messagerie
• Protocole : SMTP
• Description : Quand un message transite par
un serveur SMTP, aucune vérification n’est
effectuée sur l’adresse e-mail source.

18
 Exemples de vulnérabilités liées aux
protocoles de messagerie
• Protocole : POP
• Description : Les mots de passe protégeant les
boîtes aux lettres des utilisateurs du serveur
POP sont échangés en clair entre la machine
de l’utilisateur et le serveur.

19
Vulnérabilités liées à l’exploitation
• Il s’agit de failles dans le comportement des
utilisateurs (administrateurs, concepteurs,
utilisateurs normaux …) du système quand ils
sont en interaction avec celui-ci

20
 Exemples de vulnérabilités liées à
l’exploitation
• Fausse configuration d’un équipement (i.e
firewall, routeur, switch …)
• Faible protection des mots de passe
• Divulgation de données confidentielles
• Placement d’un serveur public au niveau d’un
réseau local

21
 Scanners de vulnérabilités
• Inspectent la composition et la configuration du système pour
détecter les vulnérabilités
• L’inspection est réalisée à des instants discrets
• Limites :
– Un scanner a pour but la détection et non l’analyse des vulnérabilités
– Un scanner ne permet pas de détecter toutes les vulnérabilités (i.e celles
liées au comportement humain)
• Exemples de scanners :
– SATAN (Security Administrator Tool for Analyzing Networks)
– NESSUS
– SARA (Security Auditor’s Research Assistant)
– CYBERCOP (Network Associates)

22
 Rappel : Mécanismes de sécurité
• Cryptage, hachage, signature
• Certificats et PKI
• Filtrage (pare feu) et proxy
• Contrôle d’accès des utilisateurs
• Mécanismes pour garantir la disponibilité
(Dédoublement, Backup…)
• Détection d’intrusions
• VPN (SSL et IPSec)
 L’audit
• L’audit est un processus objectif et systématique
• L’audit cherche à évaluer la concordance entre
des assertions et la réalité

• L’audit est avant tout un processus rigoureux

d’identification des problèmes, de risques
d’attaques

24
 Notion de risques
Le risque est la combinaison de la probabilité d’un événement et de ses
conséquences
L’événement est l’exploitation d’une vulnérabilité par une menace
Risque = Menace * Vulnérabilité * Impact
o Une menace exploite une vulnérabilité d’un actif et cause un impact
o Quelle menace ?
o Quelle vulnérabilité ?
o Quel impact ?
o Combien dois-je investir pour me sécuriser ?
o Que dois-je faire?

o Exemple : le mot de passe:

92% utilisent un mot de passe au travail
30% ne le changent jamais
33% utilisent le même mot de passe pour plusieurs applications
25% connaissent le mot de passe du collègue

23% communiqueraient leur mot de passe au service informatique

25% l’ont déjà communiqué à un collègue
28% ne l’ont pas encore fait mais sont prêts à le faire
25
Relations Risque, menaces
et Vulnerabilités
exploit
Threats Vulnerabilities

Controls * Risk Information

reduce
ressources

Protection Ressource values

Requirements
* Controls: A practice, procedure or mechanism that reduces risk

26
2. Politique de sécurité
Objectif de la politique de sécurité
« Ensemble des lois, règlements et pratiques qui régissent la façon de gérer, protéger
et diffuser les biens, en particuliers les informations sensibles, au sein de
l'organisation » (ITSEC, Commission européenne, juin 1991 §2.10).

Objectifs :
- Informer et sensibiliser les individus sur les risques encourus par un système
d’information (provenance du risque, risque maximum toléré…).
- Fournir les moyens techniques et organisationnels pour se prémunir des risques
identifiés et garantir un niveau de sécurité durable vis-à-vis des clients de
l’entreprise, du système bancaire et de l’entreprise elle-même.
- Élaborer un cadre général permettant aux opérationnels et décisionnels de
construire et mettre en œuvre l’ensemble des procédures nécessaires à l’application
homogène de la politique de sécurité, afin de garantir la protection du système
d’information.

27
 Politique générale de sécurité
Contenu général de la politique
de sécurité
Un document décrivant la politique générale de l’entreprise (2/3
pages maximum), démontrant la motivation de la Direction
Générale, précisant les concepts et les directives générales, et
impliquant l’ensemble du personnel de l’entreprise.

28
 3. Types d’audit
• Méthode définie par l’auditeur lui même (la
qualité repose sur le savoir-faire), diversité de
nature(s) et de type(s) d’audit.
– Audit financier vs Audit opérationnel
– Audit légal vs Audit contractuel
– Audit de conformité / régularité
– Audit d’efficacité
– Audit de management
– Audit stratégique
– Audit interne vs Audit externe

29
 Audit interne vs Audit externe
• L’audit externe
- permet une plus grande indépendance pour
l’auditeur,
- une plus large gamme de références
extérieures (degré de professionnalisation plus élevé).
- permet de cacher la personnalité du
prescripteur.

30
 Audit interne vs Audit externe
• L’audit interne
- permet une certaine continuité des analyses
réalisées,
- possibilité de reprendre les conclusions des
interventions précédentes
- possède une meilleure connaissance de la
culture d’entreprise
- il est moins coûteux.

31
 Audit interne: Une fonction Périodique
• L’audit interne est une fonction permanente dans l’E/se.

• Les activités d’audit interne sont conduites suivant un plan

d’audit
• « L’audit interne, c’est tout ce que devrait faire un responsable
pour s’assurer de la bonne maîtrise de ses affaires
– S’il en avait le temps,
– Et s’il savait comment s’y prendre »

32
 Finalité de l’audit

• Définition:
• « fonction d’investigation et d’appréciation du contrôle interne,
exercée de façon périodique au sein de l’organisation pour aider les
responsables de tous niveaux à mieux maîtriser leurs activités »

• Le concept de contrôle interne

Définition de l’OEC (1977)
• « ensemble des sécurités contribuant à la maîtrise de l’entreprise »
• « but: assurer la protection, la sauvegarde du patrimoine et la
qualité de l’information…l’application des instructions de la
direction et favoriser l’amélioration des performances »
• « se manifeste par l’organisation, les méthodes et les procédures de
chacune des activités de l’entreprise pour maintenir la pérennité de
celle-ci »

33
• Objectifs
– Sécurité des actifs
– Qualité des informations
– Respect des directives
– Optimisation des ressources
• Démarche générale
– Appréciation des préalables
– Identification des dispositifs spécifiques
– 1. Découper l’activité
– 2. Identifier et évaluer les risques
– 3. Identifier les dispositifs
– 4. Qualifier les dispositifs
– Validation de la cohérence

34
 Audit interne – Audit externe: Différences et
Complémentarités
qDifférences:
o Statut,
o Bénéficiaires de l’audit,
o Objectifs de l’audit,
o Champ d’application de l’audit,
o Prévention des fraudes
o Indépendence,
o Périodicité des audits,
o Méthode.

35
 4. L’auditeur
• Neutre
• méthodique
• Objectif
• ponctuel
• indépendant • respect de l’éthique
• rigoureux • droit de réserve
• motivé • secret professionnel
• disponible

36
 L'auditeur
• possède des objectifs écrits
• est formé au recueil de données
• connaît le référentiel
• prend et confirme ses rendez - vous avec les
services audités
• vérifie l'ensemble du matériel dont il a
besoin pour enquêter

37
 L'auditeur
Au moment de l'enquête:
• est libéré de toute autre obligation
• respecte les horaires prévus
• se présente au responsable de service
• complète les fiches de manière lisible
• transmet l'ensemble des fiches et aide à la
saisie des données

38
 Normes et responsabilités
• Responsabilités de l’auditeur

- Responsabilité civile (fraude ou négligence)

- Responsabilité pénale (inf.mensongères, non respect
du secret professionnel)
- Responsabilité disciplinaire (déontologie)

39