Table des matières Questions...............................................................................................................................................1 Etude de cas:..........................................................................................................................................2 1. Identification des actifs de l’organisation qui entre dans le périmètre de l’étude.....................2 Périmètre...........................................................................................................................................2 2. Identifions les risques encourus par l’organisation et les conséquences possibles si le risque se réalise.................................................................................................................................................3 3. Mesures de sécurités appropriées pour maitriser ces risques...................................................5 4. Dans le cadre de l’estimation du risque financier que pourrait courir l’entreprise :......................8 a) désignation de la définition des niveaux de risque acceptables ou non par la DG.....................8 b) décision que l’auditeur devrait-il recommander au regard des seuils définis...........................9 5. En nous appuyant sur les normes pertinentes de l’ISACA et de l’IIA, présenter une FAR typique avec les rubriques nécessaire pour un bon reporting........................................................................9 6. Elaboration d’une FAR en rapport avec l’étude de cas ci-dessus..............................................10
60% AUDIT DE LA SECURITE DU SYSTEME D'INFORMATION i
MPCGF2 A 2019-2020 GROUPE N°4 i
Questions
REPONSE Questions REPONSES
Questions S 21 C 1 C 22 D 2 C 23 C 3 B 24 A 4 C 25 I 5 B 26 C 6 C 27 D 7 A 28 B 8 D 29 B 9 B 30 D 10 C 31 A 11 D 32 H 12 D 33 D 13 C 34 C 14 C 35 J 15 D 36 P 16 D 37 T 17 D 38 D 18 A,C,F 39 W 19 A 40 B 20 B
MPCGF2 A 2019-2020 GROUPE N°4 1
Etude de cas: 1. Identification des actifs de l’organisation qui entre dans le périmètre de l’étude Périmètre Propriétaire Valeur Types de Critères Actif l’actif C I D
L’application comptable Logiciel Responsable cellule IT 3 4 3 3
Le responsable informatique Compétence Responsable RH 2 4 3 3
Les formateurs contractuels Compétence Responsable RH 4 4 4 4
Clé USB Matériel Informaticien 4 4 4 4
Serveur Matériel Administrateur WEB 3 4 4 4
Légende des Valeurs
1- Faible 2- Moyen/Significatif 3- Elevé/Fort 4- Très élevé/Majeur
Correspondance des valeurs
*1
MPCGF2 A 2019-2020 GROUPE N°4 2
2. Identifions les risques encourus par l’organisation et les conséquences possibles si le risque se réalise.
ACTIF MENACE Mesure de Vulnérabilité Conséquences
Sécurité Existante Site web Indisponibilité ; Authentification ; Lié au serveur ; Indisponibilité due Lenteur ; Développement Altération du bon à une panne du Intrusion ; d’un système Ad fonctionnement serveur ; Phishing ; hoc. de l’application Lenteur liée à une Remote file web. congestion du inclusion. serveur ; Intrusion due à la porosité du serveur.
Réseau privé Indisponibilité ; Anti-virus Cryptographie Intrusion liée à
Intrusions ; pare-feu ; l’absence de Perte de données. Maintenance cryptographie ; insuffisante ; Indisponibilité due Absence à l’absence de onduleurs et groupes groupes électrogènes ; électrogènes. Panne liée au défaut d’onduleurs. 05 ordinateurs Indisponibilité Antivirus Faible résistance Court-circuit lié à Court-circuit du réseau aux l’absence Vol intrusions ; d’onduleurs ; Délestages Intrusion liée à la fréquents ; porosité du réseau Absence Indisponibilité due onduleurs et à l’absence de groupes groupes électrogènes ; électrogènes ; Mobilité des Vol lié à la mobilité laptops Défaut de des laptops Vol lié surveillance. au défaut de surveillance. 10 Micro- Indisponibilité ; Antivirus Faible résistances Court-circuit lié à ordinateurs Court-circuit ; dû aux intrusions ; l’absence Intrusion ; Délestage d’onduleurs ; Vol ; fréquents ; Intrusion liée à la Piratage ; Vol lié au défaut porosité du Virus. de surveillance réseau ; Indisponibilité due à l’absence de groupes électrogènes. Comptable Abus de droit ; Authentifications Bonne Abus de droit
MPCGF2 A 2019-2020 GROUPE N°4 3
Fraude ; connaissance des favorisé par le Erreurs ; failles du logiciel ; niveau d’accès aux d’enregistrements. Absence de applications ; contrôle cohérent Fraude liée à et conforme. l’absence de contrôle cohérence et conformité ; Fraude liée à la bonne connaissance des failles du logiciel ; Erreurs d’enregistrement liées au défaut d’interface site web / application comptable. Application Erreur d’utilisation ; Authentifications Maintenance Erreur d’utilisation comptable Dysfonctionnement. insuffisante ; liée à une Indisponibilité indisponibilité du récurrente du système ; système. Dysfonctionnement du fait de l’insuffisance de la maintenance. Formateurs Indisponibilité ; Ressources Portabilité des clés Vol d’informations Contractuels Perte de fichiers humaines USB Insuffisance stratégiques du fait de formation ; qualifiées du système de de la portabilité Incompétence des sécurité de leurs des clés USB ; formateurs. ordinateurs ; Perte de fichiers Absence liée à l’insuffisance d’évaluation des du système de formateurs. sécurité des PC des formateurs ; Indisponibilité des formateurs liée à la pression de la concurrence ; Incompétence des formateurs liée à l’absence de leur évaluation pouvant détériorer l’image de l’entreprise. L’informaticien Indisponibilité Authentifications Mobilité de Indisponibilité liée Erreur de l’information à sa mobilité ; manipulation Absence de Erreurs de malveillance contrôle manipulation Cohérence et favorisées par conformité l’absence de contrôle cohérence
MPCGF2 A 2019-2020 GROUPE N°4 4
et conformité ; Malveillance favorisée par sa parfaite maîtrise du système d’information. Serveur Indisponibilité Antivirus Absence serveur ; Intrusion due à Intrusion ; Sécurisation de Maintenance l’absence de pare- Perte de donnée ; la salle des insuffisante ; feu ; Administration ; serveurs ; Absence Perte de données Inattentive. Activation des onduleurs et du fait de la systèmes de groupes défaillance du détection des électrogènes. système de intrusions. maintenance ; Indisponibilité liée aux courts-circuits dus à l’absence d’onduleurs et groupes électrogènes
3. Mesures de sécurités appropriées pour maitriser ces risques
Reference Risque
R1 Indisponibilité liée à une panne du serveur
R2 Lenteur liée à une congestion du serveur R3 Intrusion due à la porosité du serveur R4 Intrusion due à l’absence de pare-feu R5 Perte de données du fait de la défaillance du système de maintenance R6 Indisponibilité liée aux court-circuit dus à l’absence d’onduleurs et groupes électrogènes R7 Intrusion liée à l’absence de cryptographie R8 Indisponibilité due à l’absence de groupes électrogènes R9 Panne liée au défaut d’onduleurs R10 Court-circuit lié à l’absence d’onduleurs R11 Intrusion liée à la porosité du réseau R12 Indisponibilité due à l’absence de groupes électrogènes R13 Vol lié au défaut de surveillance R14 Court-circuit lié à l’absence d’onduleurs R15 Intrusion liée à la porosité du réseau R16 Indisponibilité du l’absence de groupes électrogènes R17 Vol lié à la mobilité des laptops
MPCGF2 A 2019-2020 GROUPE N°4 5
R18 Vol lié au défaut de surveillance R19 Abus de droit favorisé par le niveau d’accès aux applications R20 Fraude liée à l’absence de contrôle cohérence et conformité R21 Fraude liée à la bonne connaissance des failles du logiciel R22 Erreurs d’enregistrement liées au défaut d’interface site web / application comptable R23 Indisponibilité liée à sa mobilité R24 Erreurs de manipulation favorisées par l’absence de contrôle cohérence et conformité R25 Malveillance favorisée par sa parfaite maîtrise du système d’information R26 Erreur d’utilisation liée à une indisponibilité du système R27 Dysfonctionnement du fait de l’insuffisance de la maintenance R28 Vol d’informations stratégiques du fait de la portabilité des clés USB R29 Perte de fichiers liée à l’insuffisance du système de sécurité des PC des formateurs R30 Indisponibilité des formateurs liée à la pression de la concurrence R31 Incompétence des formateurs liée à l’absence de leur évaluation pouvant détériorer l’image de l’entreprise
Pour les mesures de sécurité il est important d’évaluer les différents risques afin de voir et élaborer des
Le tableau d’évaluation se résume comme suit :
Le niveau des risques, jaugés de 1 à 10,à la croisée de la vraisemblance, la conséquence et la valeur
de l’actif, sera analysée de la manière suivante:
[1; 3]<=> Risques acceptables
[4;6]<=> Risques à suivre
MPCGF2 A 2019-2020 GROUPE N°4 6
[7; 10]<=> Risques à traiter
(Po = Probabilité occurrence)
REFER Po Valeur Valeur Valeur du RECOMMANDATIONS
ENCE impact actif risque R13 2 1 2 3 Accepter
R1 3 2 2 5 Suivre R2 4 1 2 5 Suivre
R17 3 2 2 5 Suivre R18 3 2 2 5 Suivre
R26 3 2 2 5 Suivre R10 4 2 2 6 Suivre
R12 4 2 2 6 Suivre R14 4 2 2 6 Suivre
R16 4 2 2 6 Suivre R22 3 2 3 6 Suivre
R24 2 3 3 6 Suivre R27 3 3 2 6 Suivre
R5 2 4 3 7 Renforcer la politique d’entretien
R6 4 2 3 7 Mettre en place des onduleurs Renforcer la maintenance du circuit électrique
R8 4 2 3 7 Intégrer des groupes électrogènes au système
R9 4 2 3 7 Disposer d’onduleurs supplémentaires pour rechange
R20 2 4 3 7 Mettre en place un dispositif de contrôle
R21 2 4 3 7 Limiter le niveau d’accès aux applications de la structure
Dupliquer automatiquement le journal log dans
un serveur en mode lecture seule
R25 2 4 3 7 Dupliquer automatiquement le journal log dans
un serveur en mode lecture seule R31 1 4 4 7 Mettre en place une politique d’évaluation des formateurs
R3 4 4 2 8 Intégrer un pare-feu au réseau
Disposer d’une DMZ et la sécuriser
MPCGF2 A 2019-2020 GROUPE N°4 7
R7 3 4 3 8 Procéder au cryptage des ressources rendues accessibles et créer une clé d’activation personnelle par client du réseau
R11 4 4 2 8 Renforcer le réseau privé par la disposition
d’IPS R15 4 4 2 8 Disposer de pare-feu
R19 3 4 3 8 Limiter le niveau d’accès du comptable aux
applications
Allouer aux clients du réseau des ID spécifiques
R23 4 3 3 8 Insérer une puce de traçage GPS
Définir les règles de sauvegarde du matériel et
des données
R28 2 4 4 8 Imposer le cryptage de la clé USB dès l’entrée
des données R30 2 4 4 8 Intégrer les formateurs dans la conception du programme annuel de formation
R4 4 4 3 9 Intégrer un pare-feu au système
R29 3 4 4 9 Exiger le respect de la politique de
confidentialité des données de l’entreprise
4. Dans le cadre de l’estimation du risque financier que pourrait courir l’entreprise :
a) désignation de la définition des niveaux de risque acceptables ou non par la DG Le niveau de risque acceptable ou non par le DG est L’appétence du risque
VALEUR RISQUE FINANCIER NIVEAU DE RISQUE
[0%; 10% [ Acceptable
[10%; 35% [ Moyen
[35%; 100%] Inacceptable
b) décision que l’auditeur devrait-il recommander au regard des seuils définis
L’impact du risque financier constaté est de 15%. Selon la politique de la société pour les risques compris entre 10% et 35% la recommandation est de transférer le risque. Dans ce cas la société Gamma fera appel à des sociétés d’assurances.
La décision consistera à transféré le risque tout en assurant le suivi.
MPCGF2 A 2019-2020 GROUPE N°4 8
5. En nous appuyant sur les normes pertinentes de l’ISACA et de l’IIA, présenter une FAR typique avec les rubriques nécessaire pour un bon reporting Ci-dessous un exemple de FAR que nous utiliserons
Ref Entité Exercice
Objet FAR n°01/N
Risque
Constats/faits
Causes
Conséquences
Recommandation Priorité D’action
Etabli par Approuvé par : Validé par :
MPCGF2 A 2019-2020 GROUPE N°4 9
6. Elaboration d’une FAR en rapport avec l’étude de cas ci-dessus Parmi tous les risques recensés nous avons traité des risques R14 (Court-circuit lié à l’absence d’onduleurs) et de l’obsolescence de l’anti-virus. Même si le risque est à suivre nous avons proposé quelques recommandations.
Ref Entité : une entreprise de formation Exercice
Objet de la mission : Audit du système informatique FAR n°01/N
Risque : l’obsolescence de l’anti-virus qui ne permet pas d’assurer une
une protection optimale de données enregistrées sur les micros ordinateurs et les ordinateurs portables
Constats/faits Les ordinateurs de l’entreprise possèdent un anti-virus qui est mis à jour chaque semestre
Causes Ceci est dû au fait que le responsable informatique part très souvent en voyage de formation
Conséquences Les ordinateurs sont exposés aux intrusions des nouveaux virus qui ne sont pas répertoriés dans la base de données de l’anti-virus du fait de son obsolescence
Recommandation - Mettre à jour régulièrement l’anti-virus au moins une fois par mois Priorité d’action
MPCGF2 A 2019-2020 GROUPE N°4 10
Etabli par Approuvé par : Validé par :
Ref Entité : une entreprise de formation Exercice
Objet de la mission : Audit du système informatique FAR n°01/N
Risque : Court-circuit lié à l’absence d’onduleurs entrainant ainsi des arrêts de travail, pertes financières et de données importantes.
Constats/faits L'entreprise ne dispose pas d'onduleur, ni de groupe électrogène.
Causes
Délestage très important survenant en moyenne neuf (9) heures par semaine
Conséquences
Arrêt de travail, perte financière, perte de données importantes
Recommandation Se doter des onduleurs et d’un groupe électrogène Priorité d’action
