Académique Documents
Professionnel Documents
Culture Documents
Les questions les plus fréquemment posées concernant les audits de sécurité en Tunisie :
(cliquer pour aller directement à la réponse)
Qui sont les organismes (publics et privés) concernés par l’obligation d’audit de la sécurité de leurs systèmes
d'information?
Quelle est la périodicité de l’audit de la sécurité et peut-t-elle être repoussée ?
Si je ne fais pas mon audit de sécurité, qu'est ce j'encours?
Comment procéder pour préparer mon cahier de charges d'audit?
Quel sont les délivrables d’une mission d'audit de la sécurité et dois-je les envoyer à l'ANSI?
Qui effectue l'opération d'audit la sécurité d’un système d’information ?
Quel serait l’apport d’une mission d’audit de sécurité ?
Comment se déroule une mission d’audit de la sécurité, quelles sont ses phases et quelles sont les méthodologies d'audit
les plus populaires ?
Qui sont les organismes concernés par l'obligation d'audit de la sécurité de leurs systèmes
d'information?
Tous les organismes publics sont sujets à l'obligation d'audit périodique de la sécurité de leurs systèmes d'information
En plus, l’obligation de l’audit de la sécurité informatique concerne aussi les institutions privées suivantes :
Les acteurs qui manipulent des données personnelles du citoyen : Les entreprises qui procèdent au traitement
automatisé des données personnelles de leurs clients.
Les opérateurs des infrastructures nationales critiques : Opérateurs des réseaux publics de télécommunication
et fournisseurs de services de télécommunication et d’Internet ;
Les (grandes) entreprises privées dont la sécurité pourrait affecter les infrastructures nationales de
communication : Les entreprises dont les réseaux informatiques sont interconnectés à travers des réseaux publics de
télécommunication ;
Toutefois et comme stipulé dans cet article, une entreprise pourrait demander le report de l'échéance de réalisation de son
audit, en envoyant une demande dans ce sens, appuyée par les raisons qui ont motivé cette décision de report et la période de
report demandée. Cette demande sera étudiée par les services de l'ANSI et une réponse sera adressée à l'organisme concerné
(soit par l'acceptation si des raisons de force majeure ou d'intérêt clair ont été évoquées, soit par le refus avec explicitation des
raisons de cette décision et éventuellement une réduction du champs de l'audit, le cas échéant).
Cette périodicité pourrait être modifié dans le futur (réforme du décret), dés que la situation sécuritaire de nos SI aura
atteint un niveau acceptable de sécurisation.
L'Agence Nationale de la Sécurité Informatique met à votre disposition un modèle de cahier des charges d'audit de la sécurité
informatique (Cliquez ici) afin de vous faciliter l'élaboration de votre cahier des charges. Ce modèle doit être raffiné selon les
besoins et les spécificités de votre organisme.
Il est à noter qu'une équipe d'assistance est à votre entière disposition au sein de l'Agence Nationale de Sécurité
Informatique, pour vous aider dans l'élaboration des termes techniques votre cahier des charges. Vous pouvez nous contacter :
-Soit en nous visitant au siège de l'agence (sis au 94, Av Jugurtha, Mutuelle Ville, 1002 Tunis).
" Une description et une évaluation complète de la sécurité du système informatique, comprenant les mesures qui ont
été adoptées depuis le dernier audit réalisé et les insuffisances enregistrées dans l’application des recommandations;
Une analyse précise des insuffisances organisationnelles et techniques relatives aux procédures et outils de sécurité
adoptés, comportant une évaluation des risques qui pourraient résulter de l’exploitation des failles découvertes;
La proposition des procédures et des solutions organisationnelles et techniques de sécurité qui devront être adoptées
pour dépasser les insuffisances découvertes."
De plus, le modèle de cahier de charges conçu par l'ANSI, explicite plus en détail le contenu de ces rapports :
o Les résultats et les recommandations de la phase d’audit organisationnel et physique avec l’évaluation des
impacts (calcul des risques);
o Les résultats et les recommandations de la phase d’audit technique avec une spécification des failles les plus
graves;
o Les importantes vulnérabilités décelées, leur impact (coût caché) et une synthèse des mesures importantes à
mettre en oeuvre dans l'immédiat et jusqu'au prochain audit.;
o L’esquisse d’une stratégie de sécurité cohérente et ciblée sur trois années.
Le rapport d'audit devra être envoyé à l'Agence Nationale de sécurité Informatique (sous pli fermé et confidentiel), dix
jours après la remise de la version définitive du rapport par l'expert auditeur, accompagné des PVs de réunions effectués durant
la mission. Les services de l'ANSI sont tenus de vérifier que l'audit a été effectué conformément aux directives de l'article n° 6 du
décret 1250-2004, tout en veillant à conserver une stricte confidentialité sur le contenu de ces rapports, conformément à
l'article n°9 de la loi.
Qui effectue l'opération d'audit de la sécurité d’un système d’information ?
Conformément au décret 1250-2004, les audits de la sécurité informatique doivent être effectués, sous la responsabilité d'un
chef de mission Tunisien, préalablement certifié par l’Agence Nationale de la Sécurité Informatique.
Le certificat d'auditeur dans le domaine de la sécurité informatique est délivré pour une période de 3 années renouvelables. De
plus et conformément à l'article n° 9 de la loi, les auditeurs sont tenus par une contrainte de confidentialité absolue et
encourent des peines pénales. En cas d'infraction l'auditeur certifié est passible aux sanctions prévues à l'article 254 du
code pénal.
La liste des auditeurs certifiés est disponible pour consultation sur le site de l’Agence Nationale de la Sécurité Informatique
:www.ansi.tn
Le but principal des premières opérations d’audit est d’élever de manière efficace le niveau de sécurité de votre système, en
tenant compte de la réalité de vos ressources humaines et financières.
C’est la règle du 20/80 qui est recherchée (20 % d’efforts pour atteindre une amélioration de 80% du niveau de sécurité).
S’il permet d’identifier et de neutraliser les failles les plus dangereuses, qui nécessitent généralement peu d’efforts pour
être éliminées (réaménagement de l’architecture du réseau, mise à jour des systèmes, mise en œuvre des fonctionnalités
de sécurité offerts en standard par vos systèmes et éventuellement le déploiement d’outils de protection de base, dont
quelques uns pourraient être choisis, en complément des outils commerciaux et en cas de contraintes budgétaires, parmi
la riche panoplie d’outils Open-Source disponibles.
S’il permet de sensibiliser le personnel et la DG sur les risques cachés, inhérents aux lacunes sécuritaires.
S’il permet d’aboutir à la désignation d’un Responsable Sécurité (RSSI : Responsable de la Sécurité du Système
d’Information), de sorte que la sécurité ait la place qu’elle mérite et qu’une responsabilité (donc de l’effort concret) est
dédié à cette tâche importante.
S’il institue une première politique de sécurité formelle, tenant compte de la gravité des risques, de la réalité humaine et
financière de l’organisme et de la culture du personnel.
S’il édifie un plan d’action pragmatique (réalisable) sur une année, avec une vision stratégique sur trois années et s’il tient
compte de la nécessaire formation des ressources humaines. En effet la sécurité est : 75% (minimum) d’expertise
technique des techniciens chargés de la sécurité et de sensibilisation des utilisateurs.
Un audit de la sécurité permet l’établissement d’un plan de sécurité clair et l’édification d’un premier schéma directeur de
sécurité ; ceci se traduit par un ensemble de procédures et de mesures à entreprendre pour aboutir à une élévation du niveau de
sécurisation du système d’information d’une manière réaliste et évolutive. Ces mesures se traduisent en:
o Structures organisationnelles ;
o Politique de sécurité ;
o Sensibilisation et Formation du personnel.
o Plan de réaction et Plan de continuité ;
Un bon audit est un audit qui tient compte de la réalité de l’organisme audité, de ses limites humaines et financières et qui
Inclut l’élévation du niveau de sensibilisation du personnel et la formation des gestionnaires .
Un audit de sécurité consiste à valider les moyens de protection mis en oeuvre sur les plans organisationnels, procéduraux et
techniques, au regard de la politique de sécurité en faisant appel à un tiers de confiance expert en audit sécurité informatique.L'
audit de sécurité conduit, au delà du constat, à analyser les risques opérationnels et à proposer des recommandations et plans
d'actions quantifiées et hiérarchisées pour corriger les vulnérabilités et réduire l'exposition aux risques.
Phase d'audit des aspects organisationnels, conformément au référentiel normatif international ISO/IEC 17799, avec
une évaluation et calcul des risques inhérents.
Phase d'audit Technique : une analyse technique de la sécurité de toutes les composantes du système informatique et
la réalisation de tests de leur résistance face aux attaques; avec une analyse et une évaluation des dangers qui
pourraient résulter de l’exploitation des failles découvertes suite à l’opération d’audit.
A rajouter à ces deux phases, une première phase (de lancement), englobant une opération de sensibilisation du
personnel.
L'équipe intervenant dans une mission d'audits doit être composée d'experts dans les différents domaines de la sécurité (et
éventuellement de consultants), et est toujours dirigée par un chef de projet certifié, responsable des opérations et des livrables.
L'objectif d'un audit organisationnel de sécurité est d'établir un état des lieux complet et objectif du niveau de sécurité de
l'ensemble du système d'information sur les plans organisationnels, procéduraux et technologiques. Cette phase doit couvrir
l'organisation générale de la sécurité : (réglementation, procédures, personnel,...), la sécurité physique des locaux (lutte anti-
incendie, contrôle des accès, sauvegarde et archivage des documents,...), l'exploitation et administration (sauvegarde et
archivage des données, continuité du service, journalisation,...), les réseaux et télécoms (matériel (routeurs,modems,
autocommutateur..), contrôle des accès logiques, (lignes et transmission), les systèmes (poste de travail, serveur, logiciels de
base, solution antivirale,...) et les applications (méthodes de développement, procédures de tests et de maintenance,..)
Au cours des réunions effectuées au sein de l'organisme audité, l'auditeur définit le périmètre de l´audit et les personnes
interviewées et planifie ses interventions. Pour mener à bien cette phase, l'auditeur applique une méthodologie d'audit et
d'analyse de risques "formelle" (Mehari, Callio, Cobit, Ebios...) comme il peut adapter ces méthodes selon les besoins de
l'organisme ou suivre une démarche propriétaire personnalisée et simplifiée.
L'évaluation du niveau de sécurité s'établit à partir des entretiens avec les personnes interviewées et de l'analyse des
ressources critiques et des documents fournis. Les vulnérabilités identifiées lors des précédentes étapes seront rapprochées
des menaces pouvant survenir dans le contexte technique et fonctionnel, objet de l'audit. Réduire les risques revient soit à agir
sur les vulnérabilités, soit essayer de réduire l'impact qu'aurait l'exploitation d'une vulnérabilité par une menace ( Risque =
Menace * Impact * Vulnérabilité) .
A l'issue de cette phase, l'auditeur propose les recommandations pour la mise en place des mesures organisationnelles et
d'une politique sécuritaire adéquate, il peut également présenter une présentation de la synthèse de cette phase de la mission
avec pour objectif de sensibiliser sur les risques potentiels et les mesures à mettre en œuvre.
Lors de cette phase on va recenser les caractéristiques d’un système d’information à travers :
Pour la reconnaissance de l'architecture du réseau, l'auditeur reçoit des informations inventoriées par l'équipe informatique
locale . Pour valider la conformité des documents reçus, l'auditeur utilisera ensuite de multiples outils de traçage du réseau et des
passerelles, afin de détecter les stations, routeurs et firewalls du réseau et des outils de traçages des frontières externes du
réseau : passerelles externes (routeurs et firewalls) et connexions modems pour déterminer les périmètres extérieurs du réseau.
Il utilise également les informations disponibles à partir des éventuels services SNMP et des serveurs de noms locaux ou
Internet. Il est à noter que de multiples outils du domaine de l'open-source sont disponibles pour réaliser ces sondages.
1.2- Audit de la résistance du système face aux failles connues, via une analyse automatisée des vulnérabilités
Cette phase consiste à scanner le réseau, par le biais de plusieurs outils automatisés d’identification et de test de
vulnérabilités, afin de déterminer les failles existantes et d’identifier les composants vulnérables du système.
Cette phase a pour but l’inspection de la qualité de l’architecture de sécurité du système audité, l’identification des périmètres
de sécurité mis en place, la sécurité de circulation des flux sensibles et la qualité d’administration des outils de sécurité.Parmi les
points essentiels à inspecter :
Au cours de cette phase on va vérifier les possibilités offertes à un attaquant de récupérer, depuis l’extérieur les caractéristiques
du système d’information.
Les méthodologies doivent leur succès croissant à leur souplesse: elles peuvent être appliquées à des sociétés de toute tailles,
dans tous domaine d'activité.
Il existe en ce moment plusieurs méthodologies d'audit privées et publiques, dont ci-joint une première liste exhaustive (classée
par ordre alphabétique) :
Cert-TCC
Computer Emergency Response Team - Tunisian Coordination Center
Agence Nationale de la Sécurité Informatique
Ministère les Technologies de la Communication
Adresse : 94, Av Jugurtha, Mutuelle Ville, 1002 Tunis, Tunisie
Tel : 71 843 200
Numéro Vert : 80 100 267
Fax : 71 846 363
Pour vous désinscrire de cette Mailing Liste envoyer "D" à l'adresse suivante desabonnement@ansi.tn
Pour toute information ou assistance, envoyez nous à l'adresse suivante: assistance@ansi.tn
Pour déclarer les incidents de sécurité envoyez nous à l'adresse suivante: incident@ansi.tn