Vous êtes sur la page 1sur 14

Centre Africain d’Etudes Supérieures en Gestion

Master professionnel en comptabilité et


CESAG GRANDE ECOLE gestion financière (MPCGF2 A)

AUDIT DE LA SECURITE DU SYSTEME


D'INFORMATION

Présenté par : Professeur :


M.Charles BLE

RABIOU ZAKARI Issoufou

Année Académique: 2019-2020


Table des matières
Questions...............................................................................................................................................1
Etude de cas:..........................................................................................................................................2
1. Identification des actifs de l’organisation qui entre dans le périmètre de l’étude.....................2
Périmètre...........................................................................................................................................2
2. Identifions les risques encourus par l’organisation et les conséquences possibles si le risque se
réalise.................................................................................................................................................3
3. Mesures de sécurités appropriées pour maitriser ces risques...................................................5
4. Dans le cadre de l’estimation du risque financier que pourrait courir l’entreprise :......................8
a) désignation de la définition des niveaux de risque acceptables ou non par la DG.....................8
b) décision que l’auditeur devrait-il recommander au regard des seuils définis...........................9
5. En nous appuyant sur les normes pertinentes de l’ISACA et de l’IIA, présenter une FAR typique
avec les rubriques nécessaire pour un bon reporting........................................................................9
6. Elaboration d’une FAR en rapport avec l’étude de cas ci-dessus..............................................10

60% AUDIT DE LA SECURITE DU SYSTEME D'INFORMATION i

MPCGF2 A 2019-2020 GROUPE N°4 i


Questions

REPONSE Questions REPONSES


Questions S
21 C
1 C
22 D
2 C
23 C
3 B
24 A
4 C
25 I
5 B
26 C
6 C
27 D
7 A
28 B
8 D
29 B
9 B
30 D
10 C
31 A
11 D
32 H
12 D
33 D
13 C
34 C
14 C
35 J
15 D
36 P
16 D
37 T
17 D
38 D
18 A,C,F
39 W
19 A
40 B
20 B

MPCGF2 A 2019-2020 GROUPE N°4 1


Etude de cas:
1. Identification des actifs de l’organisation qui entre dans le périmètre de l’étude
Périmètre
Propriétaire Valeur
Types de Critères
Actif l’actif
C I D

Site Web Logiciel webmaster 2 4 4 4

Réseau privé Réseaux Responsable réseau 3 3 3 4

Agence Site Chef agence 3 3 3 3

05 ordinateurs portables Matériel Responsable cellule IT 2 3 3 3

10 micro- ordinateurs Matériel Responsable cellule IT 2 3 3 3

Comptable Personne Comptable 3 4 3 3

L’application comptable Logiciel Responsable cellule IT 3 4 3 3

Le responsable informatique Compétence Responsable RH 2 4 3 3

Les formateurs contractuels Compétence Responsable RH 4 4 4 4

Clé USB Matériel Informaticien 4 4 4 4

Serveur Matériel Administrateur WEB 3 4 4 4

Légende des Valeurs

1- Faible
2- Moyen/Significatif
3- Elevé/Fort
4- Très élevé/Majeur

Correspondance des valeurs

*1

MPCGF2 A 2019-2020 GROUPE N°4 2


2. Identifions les risques encourus par l’organisation et les conséquences possibles
si le risque se réalise.

ACTIF MENACE Mesure de Vulnérabilité Conséquences


Sécurité
Existante
Site web Indisponibilité ; Authentification ; Lié au serveur ; Indisponibilité due
Lenteur ; Développement Altération du bon à une panne du
Intrusion ; d’un système Ad fonctionnement serveur ;
Phishing ; hoc. de l’application Lenteur liée à une
Remote file web. congestion du
inclusion. serveur ;
Intrusion due à la
porosité du
serveur.

Réseau privé Indisponibilité ; Anti-virus Cryptographie Intrusion liée à


Intrusions ; pare-feu ; l’absence de
Perte de données. Maintenance cryptographie ;
insuffisante ; Indisponibilité due
Absence à l’absence de
onduleurs et groupes
groupes électrogènes ;
électrogènes. Panne liée au
défaut d’onduleurs.
05 ordinateurs Indisponibilité Antivirus Faible résistance Court-circuit lié à
Court-circuit du réseau aux l’absence
Vol intrusions ; d’onduleurs ;
Délestages Intrusion liée à la
fréquents ; porosité du réseau
Absence Indisponibilité due
onduleurs et à l’absence de
groupes groupes
électrogènes ; électrogènes ;
Mobilité des Vol lié à la mobilité
laptops Défaut de des laptops Vol lié
surveillance. au défaut de
surveillance.
10 Micro- Indisponibilité ; Antivirus Faible résistances Court-circuit lié à
ordinateurs Court-circuit ; dû aux intrusions ; l’absence
Intrusion ; Délestage d’onduleurs ;
Vol ; fréquents ; Intrusion liée à la
Piratage ; Vol lié au défaut porosité du
Virus. de surveillance réseau ;
Indisponibilité due
à l’absence de
groupes
électrogènes.
Comptable Abus de droit ; Authentifications Bonne Abus de droit

MPCGF2 A 2019-2020 GROUPE N°4 3


Fraude ; connaissance des favorisé par le
Erreurs ; failles du logiciel ; niveau d’accès aux
d’enregistrements. Absence de applications ;
contrôle cohérent Fraude liée à
et conforme. l’absence de
contrôle cohérence
et conformité ;
Fraude liée à la
bonne
connaissance des
failles du logiciel ;
Erreurs
d’enregistrement
liées au défaut
d’interface site
web / application
comptable.
Application Erreur d’utilisation ; Authentifications Maintenance Erreur d’utilisation
comptable Dysfonctionnement. insuffisante ; liée à une
Indisponibilité indisponibilité du
récurrente du système ;
système. Dysfonctionnement
du fait de
l’insuffisance de la
maintenance.
Formateurs Indisponibilité ; Ressources Portabilité des clés Vol d’informations
Contractuels Perte de fichiers humaines USB Insuffisance stratégiques du fait
de formation ; qualifiées du système de de la portabilité
Incompétence des sécurité de leurs des clés USB ;
formateurs. ordinateurs ; Perte de fichiers
Absence liée à l’insuffisance
d’évaluation des du système de
formateurs. sécurité des PC des
formateurs ;
Indisponibilité des
formateurs liée à la
pression de la
concurrence ;
Incompétence des
formateurs liée à
l’absence de leur
évaluation pouvant
détériorer l’image
de l’entreprise.
L’informaticien Indisponibilité Authentifications Mobilité de Indisponibilité liée
Erreur de l’information à sa mobilité ;
manipulation Absence de Erreurs de
malveillance contrôle manipulation
Cohérence et favorisées par
conformité l’absence de
contrôle cohérence

MPCGF2 A 2019-2020 GROUPE N°4 4


et conformité ;
Malveillance
favorisée par sa
parfaite maîtrise du
système
d’information.
Serveur Indisponibilité Antivirus Absence serveur ; Intrusion due à
Intrusion ; Sécurisation de Maintenance l’absence de pare-
Perte de donnée ; la salle des insuffisante ; feu ;
Administration ; serveurs ; Absence Perte de données
Inattentive. Activation des onduleurs et du fait de la
systèmes de groupes défaillance du
détection des électrogènes. système de
intrusions. maintenance ;
Indisponibilité liée
aux courts-circuits
dus à l’absence
d’onduleurs et
groupes
électrogènes

3. Mesures de sécurités appropriées pour maitriser ces risques


Reference Risque

R1 Indisponibilité liée à une panne du serveur


R2 Lenteur liée à une congestion du serveur
R3 Intrusion due à la porosité du serveur
R4 Intrusion due à l’absence de pare-feu
R5 Perte de données du fait de la défaillance du système de maintenance
R6 Indisponibilité liée aux court-circuit dus à l’absence d’onduleurs et groupes
électrogènes
R7 Intrusion liée à l’absence de cryptographie
R8 Indisponibilité due à l’absence de groupes électrogènes
R9 Panne liée au défaut d’onduleurs
R10 Court-circuit lié à l’absence d’onduleurs
R11 Intrusion liée à la porosité du réseau
R12 Indisponibilité due à l’absence de groupes électrogènes
R13 Vol lié au défaut de surveillance
R14 Court-circuit lié à l’absence d’onduleurs
R15 Intrusion liée à la porosité du réseau
R16 Indisponibilité du l’absence de groupes électrogènes
R17 Vol lié à la mobilité des laptops

MPCGF2 A 2019-2020 GROUPE N°4 5


R18 Vol lié au défaut de surveillance
R19 Abus de droit favorisé par le niveau d’accès aux applications
R20 Fraude liée à l’absence de contrôle cohérence et conformité
R21 Fraude liée à la bonne connaissance des failles du logiciel
R22 Erreurs d’enregistrement liées au défaut d’interface site web / application
comptable
R23 Indisponibilité liée à sa mobilité
R24 Erreurs de manipulation favorisées par l’absence de contrôle cohérence et
conformité
R25 Malveillance favorisée par sa parfaite maîtrise du système d’information
R26 Erreur d’utilisation liée à une indisponibilité du système
R27 Dysfonctionnement du fait de l’insuffisance de la maintenance
R28 Vol d’informations stratégiques du fait de la portabilité des clés USB
R29 Perte de fichiers liée à l’insuffisance du système de sécurité des PC des
formateurs
R30 Indisponibilité des formateurs liée à la pression de la concurrence
R31 Incompétence des formateurs liée à l’absence de leur évaluation pouvant
détériorer l’image de l’entreprise

 Pour les mesures de sécurité il est important d’évaluer les différents risques afin de voir et
élaborer des

Le tableau d’évaluation se résume comme suit :

Le niveau des risques, jaugés de 1 à 10,à la croisée de la vraisemblance, la conséquence et la valeur


de l’actif, sera analysée de la manière suivante:

[1; 3]<=> Risques acceptables

[4;6]<=> Risques à suivre

MPCGF2 A 2019-2020 GROUPE N°4 6


[7; 10]<=> Risques à traiter

(Po = Probabilité occurrence)

REFER Po Valeur Valeur Valeur du RECOMMANDATIONS


ENCE impact actif risque
R13 2 1 2 3 Accepter

R1 3 2 2 5 Suivre
R2 4 1 2 5 Suivre

R17 3 2 2 5 Suivre
R18 3 2 2 5 Suivre

R26 3 2 2 5 Suivre
R10 4 2 2 6 Suivre

R12 4 2 2 6 Suivre
R14 4 2 2 6 Suivre

R16 4 2 2 6 Suivre
R22 3 2 3 6 Suivre

R24 2 3 3 6 Suivre
R27 3 3 2 6 Suivre

R5 2 4 3 7 Renforcer la politique d’entretien


R6 4 2 3 7 Mettre en place des onduleurs Renforcer la
maintenance du circuit électrique

R8 4 2 3 7 Intégrer des groupes électrogènes au système


R9 4 2 3 7 Disposer d’onduleurs supplémentaires pour
rechange

R20 2 4 3 7 Mettre en place un dispositif de contrôle


R21 2 4 3 7 Limiter le niveau d’accès aux applications de la
structure

Dupliquer automatiquement le journal log dans


un serveur en mode lecture seule

R25 2 4 3 7 Dupliquer automatiquement le journal log dans


un serveur en mode lecture seule
R31 1 4 4 7 Mettre en place une politique d’évaluation des
formateurs

R3 4 4 2 8 Intégrer un pare-feu au réseau

Disposer d’une DMZ et la sécuriser

MPCGF2 A 2019-2020 GROUPE N°4 7


R7 3 4 3 8 Procéder au cryptage des ressources rendues
accessibles et créer une clé d’activation
personnelle par client du réseau

R11 4 4 2 8 Renforcer le réseau privé par la disposition


d’IPS
R15 4 4 2 8 Disposer de pare-feu

R19 3 4 3 8 Limiter le niveau d’accès du comptable aux


applications

Allouer aux clients du réseau des ID spécifiques


R23 4 3 3 8 Insérer une puce de traçage GPS

Définir les règles de sauvegarde du matériel et


des données

R28 2 4 4 8 Imposer le cryptage de la clé USB dès l’entrée


des données
R30 2 4 4 8 Intégrer les formateurs dans la conception du
programme annuel de formation

R4 4 4 3 9 Intégrer un pare-feu au système

R29 3 4 4 9 Exiger le respect de la politique de


confidentialité des données de l’entreprise

4. Dans le cadre de l’estimation du risque financier que pourrait courir l’entreprise :


a) désignation de la définition des niveaux de risque acceptables ou non par la DG
Le niveau de risque acceptable ou non par le DG est L’appétence du risque

VALEUR RISQUE FINANCIER NIVEAU DE RISQUE


[0%; 10% [ Acceptable

[10%; 35% [ Moyen


[35%; 100%] Inacceptable

b) décision que l’auditeur devrait-il recommander au regard des seuils définis

L’impact du risque financier constaté est de 15%. Selon la politique de la société pour les risques
compris entre 10% et 35% la recommandation est de transférer le risque. Dans ce cas la société
Gamma fera appel à des sociétés d’assurances.

La décision consistera à transféré le risque tout en assurant le suivi.

MPCGF2 A 2019-2020 GROUPE N°4 8


5. En nous appuyant sur les normes pertinentes de l’ISACA et de l’IIA, présenter
une FAR typique avec les rubriques nécessaire pour un bon reporting
Ci-dessous un exemple de FAR que nous utiliserons

Ref Entité Exercice

Objet FAR n°01/N

Risque

Constats/faits

Causes

Conséquences

Recommandation Priorité
D’action

Etabli par Approuvé par : Validé par :

MPCGF2 A 2019-2020 GROUPE N°4 9


6. Elaboration d’une FAR en rapport avec l’étude de cas ci-dessus
Parmi tous les risques recensés nous avons traité des risques R14 (Court-circuit lié à l’absence
d’onduleurs) et de l’obsolescence de l’anti-virus. Même si le risque est à suivre nous avons
proposé quelques recommandations.

Ref Entité : une entreprise de formation Exercice

Objet de la mission : Audit du système informatique FAR n°01/N

Risque : l’obsolescence de l’anti-virus qui ne permet pas d’assurer une


une protection optimale de données enregistrées sur les micros ordinateurs et les ordinateurs
portables

Constats/faits
Les ordinateurs de l’entreprise possèdent un anti-virus qui est mis à jour chaque semestre

Causes
Ceci est dû au fait que le responsable informatique part très souvent en voyage de formation

Conséquences
Les ordinateurs sont exposés aux intrusions des nouveaux virus qui ne sont pas répertoriés
dans la base de données de l’anti-virus du fait de son obsolescence

Recommandation
- Mettre à jour régulièrement l’anti-virus au moins une fois par mois Priorité
d’action

MPCGF2 A 2019-2020 GROUPE N°4 10


Etabli par Approuvé par : Validé par :

Ref Entité : une entreprise de formation Exercice

Objet de la mission : Audit du système informatique FAR n°01/N

Risque : Court-circuit lié à l’absence d’onduleurs entrainant ainsi des arrêts de travail, pertes
financières et de données importantes.

Constats/faits
L'entreprise ne dispose pas d'onduleur, ni de groupe électrogène.

Causes

Délestage très important survenant en moyenne neuf (9) heures par semaine

Conséquences

Arrêt de travail, perte financière, perte de données importantes

Recommandation
Se doter des onduleurs et d’un groupe électrogène Priorité
d’action

MPCGF2 A 2019-2020 GROUPE N°4 11


Etabli par Approuvé par : Validé par :

MPCGF2 A 2019-2020 GROUPE N°4 12

Vous aimerez peut-être aussi