Computer Emergency Response Team- Tunisian Coordination Center Bulletin N° 2007- 008

L'obligation d'audit sécurité des systèmes d'information, en Tunisie

Nous vous proposons dans cet e-mail un bref rappel sur l'audit de sécurité informatique et son cadre juridique en Tunisie.
Rappelons à cet effet que l’audit de la sécurité de l’information est régi par le Chapitre II de la loi n° 5-2004 du 3 février 2004 et
ses décrets associés 1249-2004 et 1250-2004.(cliquer, pour accéder à ces textes de loi)

Les questions les plus fréquemment posées concernant les audits de sécurité en Tunisie :
(cliquer pour aller directement à la réponse)

 Qui sont les organismes (publics et privés) concernés par l’obligation d’audit de la sécurité de leurs systèmes
d'information?
 Quelle est la périodicité de l’audit de la sécurité et peut-t-elle être repoussée ?
 Si je ne fais pas mon audit de sécurité, qu'est ce j'encours?
 Comment procéder pour préparer mon cahier de charges d'audit?
 Quel sont les délivrables d’une mission d'audit de la sécurité et dois-je les envoyer à l'ANSI?
 Qui effectue l'opération d'audit la sécurité d’un système d’information ?
 Quel serait l’apport d’une mission d’audit de sécurité ?
 Comment se déroule une mission d’audit de la sécurité, quelles sont ses phases et quelles sont les méthodologies d'audit
les plus populaires ?

Qui sont les organismes concernés par l'obligation d'audit de la sécurité de leurs systèmes
d'information?
Tous les organismes publics sont sujets à l'obligation d'audit périodique de la sécurité de leurs systèmes d'information

En plus, l’obligation de l’audit de la sécurité informatique concerne aussi les institutions privées suivantes :

 Les acteurs qui manipulent des données personnelles du citoyen : Les entreprises qui procèdent au traitement
automatisé des données personnelles de leurs clients.

 Les opérateurs des infrastructures nationales critiques : Opérateurs des réseaux publics de télécommunication
et fournisseurs de services de télécommunication et d’Internet ;

 Les (grandes) entreprises privées dont la sécurité pourrait affecter les infrastructures nationales de
communication : Les entreprises dont les réseaux informatiques sont interconnectés à travers des réseaux publics de
télécommunication ;

Quelle est la périodicité de réalisation des opérations d'audit de sécurité ?

La périodicité de l'audit de sécurité est actuellement annuelle, conformément aux dispositions de l'article n°5 du décret 1250-
2004

Toutefois et comme stipulé dans cet article, une entreprise pourrait demander le report de l'échéance de réalisation de son
audit, en envoyant une demande dans ce sens, appuyée par les raisons qui ont motivé cette décision de report et la période de
report demandée. Cette demande sera étudiée par les services de l'ANSI et une réponse sera adressée à l'organisme concerné
(soit par l'acceptation si des raisons de force majeure ou d'intérêt clair ont été évoquées, soit par le refus avec explicitation des
raisons de cette décision et éventuellement une réduction du champs de l'audit, le cas échéant).

Cette périodicité pourrait être modifié dans le futur (réforme du décret), dés que la situation sécuritaire de nos SI aura
atteint un niveau acceptable de sécurisation.

Si je ne fais pas mon audit de la sécurité, qu'est ce que j'encours?

Conformément à l'article n°6 de la loi n°5-2004, l'Agence Nationale de la Sécurité Informatique avertit l'organisme concerné,
 qui devra effectuer l'audit dans un délai ne dépassant pas un mois à partir de la date de cet avertissement. A l'expiration de ce
délai sans résultat, l'Agence Nationale de la Sécurité Informatique est tenue de désigner, aux frais de l'organisme contrevenant,
un expert auditeur qui sera tenu d'accomplir la mission d'audit.

Comment procéder pour élaborer mon cahier des charges d'audit?

L'Agence Nationale de la Sécurité Informatique met à votre disposition un modèle de cahier des charges d'audit de la sécurité
informatique (Cliquez ici) afin de vous faciliter l'élaboration de votre cahier des charges. Ce modèle doit être raffiné selon les
besoins et les spécificités de votre organisme.
Il est à noter qu'une équipe d'assistance est à votre entière disposition au sein de l'Agence Nationale de Sécurité
Informatique, pour vous aider dans l'élaboration des termes techniques votre cahier des charges. Vous pouvez nous contacter :

-Soit en nous visitant au siège de l'agence (sis au 94, Av Jugurtha, Mutuelle Ville, 1002 Tunis).

Soit par téléphone (au numéro 71 846 020, poste 135)

ou par e-mail à l’adresse suivante : assistance@ansi.tn,

Quel sont les délivrables d’une mission d’audit de la sécurité ?

Conformément à ce décret, les éléments suivants sont nécessités :

 " Une description et une évaluation complète de la sécurité du système informatique, comprenant les mesures qui ont
été adoptées depuis le dernier audit réalisé et les insuffisances enregistrées dans l’application des recommandations;

 Une analyse précise des insuffisances organisationnelles et techniques relatives aux procédures et outils de sécurité
adoptés, comportant une évaluation des risques qui pourraient résulter de l’exploitation des failles découvertes;

 La proposition des procédures et des solutions organisationnelles et techniques de sécurité qui devront être adoptées
pour dépasser les insuffisances découvertes."

De plus, le modèle de cahier de charges conçu par l'ANSI, explicite plus en détail le contenu de ces rapports :

 Un rapport d’audit contenant :

o Les mesures adoptées depuis le dernier audit;

o Un plan d’action clair spécifiant les mesures immédiates à prendre pour neutraliser les risques majeurs.
o Un plan de sécurité (Sur 1 année jusqu’au prochain audit) :

o Les résultats et les recommandations de la phase d’audit organisationnel et physique avec l’évaluation des
impacts (calcul des risques);
o Les résultats et les recommandations de la phase d’audit technique avec une spécification des failles les plus
graves;

 Un rapport de synthèse destiné aux décideurs (DG) , contenant

o Les importantes vulnérabilités décelées, leur impact (coût caché) et une synthèse des mesures importantes à
mettre en oeuvre dans l'immédiat et jusqu'au prochain audit.;
o L’esquisse d’une stratégie de sécurité cohérente et ciblée sur trois années.

Le rapport d'audit devra être envoyé à l'Agence Nationale de sécurité Informatique (sous pli fermé et confidentiel), dix
jours après la remise de la version définitive du rapport par l'expert auditeur, accompagné des PVs de réunions effectués durant
la mission. Les services de l'ANSI sont tenus de vérifier que l'audit a été effectué conformément aux directives de l'article n° 6 du
décret 1250-2004, tout en veillant à conserver une stricte confidentialité sur le contenu de ces rapports, conformément à
l'article n°9 de la loi.
Qui effectue l'opération d'audit de la sécurité d’un système d’information ?

Conformément au décret 1250-2004, les audits de la sécurité informatique doivent être effectués, sous la responsabilité d'un
chef de mission Tunisien, préalablement certifié par l’Agence Nationale de la Sécurité Informatique.

Le certificat d'auditeur dans le domaine de la sécurité informatique est délivré pour une période de 3 années renouvelables. De
plus et conformément à l'article n° 9 de la loi, les auditeurs sont tenus par une contrainte de confidentialité absolue et
encourent des peines pénales. En cas d'infraction l'auditeur certifié est passible aux sanctions prévues à l'article 254 du
code pénal.

La liste des auditeurs certifiés est disponible pour consultation sur le site de l’Agence Nationale de la Sécurité Informatique
:www.ansi.tn

Quel serait l’apport d’une mission d’audit de sécurité ?

Le but principal des premières opérations d’audit est d’élever de manière efficace le niveau de sécurité de votre système, en
tenant compte de la réalité de vos ressources humaines et financières.

C’est la règle du 20/80 qui est recherchée (20 % d’efforts pour atteindre une amélioration de 80% du niveau de sécurité).

En effet, un premier audit sera considéré comme réussi :

 S’il permet d’identifier et de neutraliser les failles les plus dangereuses, qui nécessitent généralement peu d’efforts pour
être éliminées (réaménagement de l’architecture du réseau, mise à jour des systèmes, mise en œuvre des fonctionnalités
de sécurité offerts en standard par vos systèmes et éventuellement le déploiement d’outils de protection de base, dont
quelques uns pourraient être choisis, en complément des outils commerciaux et en cas de contraintes budgétaires, parmi
la riche panoplie d’outils Open-Source disponibles.
 S’il permet de sensibiliser le personnel et la DG sur les risques cachés, inhérents aux lacunes sécuritaires.
 S’il permet d’aboutir à la désignation d’un Responsable Sécurité (RSSI : Responsable de la Sécurité du Système
d’Information), de sorte que la sécurité ait la place qu’elle mérite et qu’une responsabilité (donc de l’effort concret) est
dédié à cette tâche importante.
 S’il institue une première politique de sécurité formelle, tenant compte de la gravité des risques, de la réalité humaine et
financière de l’organisme et de la culture du personnel.
 S’il édifie un plan d’action pragmatique (réalisable) sur une année, avec une vision stratégique sur trois années et s’il tient
compte de la nécessaire formation des ressources humaines. En effet la sécurité est : 75% (minimum) d’expertise
technique des techniciens chargés de la sécurité et de sensibilisation des utilisateurs.

Un audit de la sécurité permet l’établissement d’un plan de sécurité clair et l’édification d’un premier schéma directeur de
sécurité ; ceci se traduit par un ensemble de procédures et de mesures à entreprendre pour aboutir à une élévation du niveau de
sécurisation du système d’information d’une manière réaliste et évolutive. Ces mesures se traduisent en:

 Des mesures organisationnelles à mettre place :

o Structures organisationnelles ;
o Politique de sécurité ;
o Sensibilisation et Formation du personnel.
 o Plan de réaction et Plan de continuité ;

 Des mesures techniques :

o Mesures Physiques ;
o Mécanismes de Protection logique ;
o Mécanismes d ’Audit.

Un bon audit est un audit qui tient compte de la réalité de l’organisme audité, de ses limites humaines et financières et qui
Inclut l’élévation du niveau de sensibilisation du personnel et la formation des gestionnaires .

Comment se déroule une mission d’audit de la sécurité ?

Un audit de sécurité consiste à valider les moyens de protection mis en oeuvre sur les plans organisationnels, procéduraux et
techniques, au regard de la politique de sécurité en faisant appel à un tiers de confiance expert en audit sécurité informatique.L'
audit de sécurité conduit, au delà du constat, à analyser les risques opérationnels et à proposer des recommandations et plans
d'actions quantifiées et hiérarchisées pour corriger les vulnérabilités et réduire l'exposition aux risques.

L'audit de la sécurité du système d'information est décomposé en deux grandes phases :

 Phase d'audit des aspects organisationnels, conformément au référentiel normatif international ISO/IEC 17799, avec
une évaluation et calcul des risques inhérents.
 Phase d'audit Technique : une analyse technique de la sécurité de toutes les composantes du système informatique et
la réalisation de tests de leur résistance face aux attaques; avec une analyse et une évaluation des dangers qui
pourraient résulter de l’exploitation des failles découvertes suite à l’opération d’audit.

A rajouter à ces deux phases, une première phase (de lancement), englobant une opération de sensibilisation du
personnel.
L'équipe intervenant dans une mission d'audits doit être composée d'experts dans les différents domaines de la sécurité (et
éventuellement de consultants), et est toujours dirigée par un chef de projet certifié, responsable des opérations et des livrables.

1- Audit organisationnel de sécurité

L'objectif d'un audit organisationnel de sécurité est d'établir un état des lieux complet et objectif du niveau de sécurité de
l'ensemble du système d'information sur les plans organisationnels, procéduraux et technologiques. Cette phase doit couvrir
l'organisation générale de la sécurité : (réglementation, procédures, personnel,...), la sécurité physique des locaux (lutte anti-
incendie, contrôle des accès, sauvegarde et archivage des documents,...), l'exploitation et administration (sauvegarde et
archivage des données, continuité du service, journalisation,...), les réseaux et télécoms (matériel (routeurs,modems,
autocommutateur..), contrôle des accès logiques, (lignes et transmission), les systèmes (poste de travail, serveur, logiciels de
base, solution antivirale,...) et les applications (méthodes de développement, procédures de tests et de maintenance,..)

Au cours des réunions effectuées au sein de l'organisme audité, l'auditeur définit le périmètre de l´audit et les personnes
interviewées et planifie ses interventions. Pour mener à bien cette phase, l'auditeur applique une méthodologie d'audit et
d'analyse de risques "formelle" (Mehari, Callio, Cobit, Ebios...) comme il peut adapter ces méthodes selon les besoins de
l'organisme ou suivre une démarche propriétaire personnalisée et simplifiée.

L'évaluation du niveau de sécurité s'établit à partir des entretiens avec les personnes interviewées et de l'analyse des
ressources critiques et des documents fournis. Les vulnérabilités identifiées lors des précédentes étapes seront rapprochées
des menaces pouvant survenir dans le contexte technique et fonctionnel, objet de l'audit. Réduire les risques revient soit à agir
sur les vulnérabilités, soit essayer de réduire l'impact qu'aurait l'exploitation d'une vulnérabilité par une menace ( Risque =
Menace * Impact * Vulnérabilité) .

A l'issue de cette phase, l'auditeur propose les recommandations pour la mise en place des mesures organisationnelles et
d'une politique sécuritaire adéquate, il peut également présenter une présentation de la synthèse de cette phase de la mission
 avec pour objectif de sensibiliser sur les risques potentiels et les mesures à mettre en œuvre.

2- Phase d'audit technique

L’audit technique s’effectue, princpalement, en quatre phases :

1.1- Audit de l’architecture du système

Lors de cette phase on va recenser les caractéristiques d’un système d’information à travers :

 La reconnaissance du réseau et du plan d’adressage

 Le sondage des systèmes
 Le sondage des services réseau
 Le sondage des applications (A ne pas confondre avec un audit des applications)

Pour la reconnaissance de l'architecture du réseau, l'auditeur reçoit des informations inventoriées par l'équipe informatique
locale . Pour valider la conformité des documents reçus, l'auditeur utilisera ensuite de multiples outils de traçage du réseau et des
passerelles, afin de détecter les stations, routeurs et firewalls du réseau et des outils de traçages des frontières externes du
réseau : passerelles externes (routeurs et firewalls) et connexions modems pour déterminer les périmètres extérieurs du réseau.
Il utilise également les informations disponibles à partir des éventuels services SNMP et des serveurs de noms locaux ou
Internet. Il est à noter que de multiples outils du domaine de l'open-source sont disponibles pour réaliser ces sondages.

1.2- Audit de la résistance du système face aux failles connues, via une analyse automatisée des vulnérabilités

Cette phase consiste à scanner le réseau, par le biais de plusieurs outils automatisés d’identification et de test de
vulnérabilités, afin de déterminer les failles existantes et d’identifier les composants vulnérables du système.

1.3- Audit de l’architecture de sécurité existante

Cette phase a pour but l’inspection de la qualité de l’architecture de sécurité du système audité, l’identification des périmètres
de sécurité mis en place, la sécurité de circulation des flux sensibles et la qualité d’administration des outils de sécurité.Parmi les
points essentiels à inspecter :

 La politique d’usage de mots de passe

 La solidité du système, face aux essais d’interception des flux
 La résistance aux attaques de déni de Service
 Les firewalls & des ACLs (Liste de Contrôle d'Accès)

1.4- Audit de l’opacité du réseau depuis l’extérieur

Au cours de cette phase on va vérifier les possibilités offertes à un attaquant de récupérer, depuis l’extérieur les caractéristiques
du système d’information.

Lors de cette phase l'auditeur procéde à :

 L’énumération des services et protocoles internes du réseau

 L’édification de scénarios d’éventuelles attaques expertes

.5 Méthodologies d'audit de sécurité informatique

 La mission d'audit de la sécurité est une opération qui englobe divers volets ayant des relations directes avec le système
d'information et touchant les facteurs humains, organisationnels, techniques, physiques et environnementaux. Ceci a obligé à
développer des démarches claires et exhaustives pour couvrir toute l'opération d'audit. Ces démarches se sont traduites sous
forme de méthodologies définissant des méthodes claires et efficaces pour la mission. Les méthodologies se sont généralisées
pour offrir une sorte de standard pouvant être un support aux auditeurs.

Les méthodologies doivent leur succès croissant à leur souplesse: elles peuvent être appliquées à des sociétés de toute tailles,
dans tous domaine d'activité.
Il existe en ce moment plusieurs méthodologies d'audit privées et publiques, dont ci-joint une première liste exhaustive (classée
par ordre alphabétique) :

1- Méthodologies issues d'institutions gouvernementales

CRAMM
EBIOS Expression des Besoins et Identification des Objectifs de Sécurité
FEROS Fiche d'Expression Rationnelle des Objectifs de Sécurité

2. Méthodologies issues d'associations de sécurité

MEHARI(Méthode Harmonisée d'Analyse de Risques)
COBIT (Control Objectives for Information and Technology)

3. Méthodologies issues du CERT/CC

OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation
OCTAVE-S ( OCTAVE-S est une version réduite de OCTAVE à destination des entreprises de moins de 100 personnes)

4. Méthodologies issues de sociétés privées

CALLIO(solution commerciale de Callio Technonolgies)
SCORE (Ageris consulting)
COBRA (Consultative, Objective and Bi-functional Risk Analysis)
ITIL (IT Infrastructure Library)

Cert-TCC
Computer Emergency Response Team - Tunisian Coordination Center
Agence Nationale de la Sécurité Informatique
Ministère les Technologies de la Communication
Adresse : 94, Av Jugurtha, Mutuelle Ville, 1002 Tunis, Tunisie
Tel : 71 843 200
Numéro Vert : 80 100 267
Fax : 71 846 363
Pour vous désinscrire de cette Mailing Liste envoyer "D" à l'adresse suivante desabonnement@ansi.tn
Pour toute information ou assistance, envoyez nous à l'adresse suivante: assistance@ansi.tn
Pour déclarer les incidents de sécurité envoyez nous à l'adresse suivante: incident@ansi.tn