Normes d'audit des systèmes informatiques nationaux 

:
Assurer le fonctionnement continu et la prévention d'un Système d'Information n'est plus
aujourd'hui considéré comme un simple exploit mais c'est une nécessité.
Parmi toutes les tâches qui incombent aux Responsables de la Sécurité des Systèmes
d'Information (R.S.S.I) dans les organismes privés ou publics, celle qui consiste à bâtir une
politique de sécurité cohérente prenant en compte les aspects humains, organisationnels et
juridiques est certainement la plus difficile. Une telle politique doit se baser sur une norme
bien spécifique. En effet, il existe de nombreuses normes et méthodes sur lesquelles se basent
les missions d'audit de la sécurité des systèmes informatiques.
Une norme (qui peut être organisationnelle ou technique) a un objet souvent très vaste et
s'appuie généralement sur des concepts ou des notions générales. Le champ d'application de
chaque concept doit alors être précisé, pour que la norme puisse être appliquée efficacement.

 ISO / IEC 27002 : Comparatif entre la version 2013 et la version 2005

 La norme ISO 22301 le nouveau standard international de management de la
continuité de l’activité.
Cette norme est appelée à remplacer l’actuel standard Britannique BS25999. La
continuité des opérations dans le cas d’une perturbation due à un sinistre majeur, est
une exigence fondamentale pour chaque organisation.
 La norme 31000 fournit des principes et des lignes directrices génériques sur la
gestion des risques.
Elle peut être utilisée par toute entreprise public ou privée, groupe ou à titre
individuelle. Elle n'est pas spécifique à une industrie ou un secteur, elle peut être
appliquée, à tout type de risque, tout au long de la vie d'une organisation, et à un large
éventail d'activités, y compris les stratégies et les décisions, les opérations, les
processus, les fonctions, les projets, les produits, les services et les actifs. Il est prévu
que l'ISO 31000 est utilisée pour harmoniser la gestion des risques dans les normes
existantes et à venir. Elle fournit une approche commune à l'appui des normes de
maîtrise des risques et ne les substitue pas. L'ISO 31000:2009 n'est pas destinée à des
fins de certification.

 La norme 31010 est un logo double IEC/ISO, soutenant les normes pour l'ISO 31000
et fournit des orientations sur la sélection et l'application systématique des techniques
d'évaluation des risques. Cette norme n'est pas destinée à la certification, l'utilisation
réglementaire ou contractuelle.

 La Norme 27001 : La norme 27001 représente la nouvelle famille de normes de

sécurité informatique. Il s'agit d'une série de normes spécifiquement réservées par ISO
pour des sujets de sécurité de l'information. La norme 27001 est naturellement, alignée
avec un certain nombre d'autres matières, y compris ISO 9000 (gestion de qualité) et
ISO 14000 (gestion environnementale). La série de normes 2700X est la famille
relative à la sécurité informatique, l'ISO 27001 fait partie et c'est la seule norme de
 certification en matière de sécurité. La norme 27001 a été publiée en 2005 et elle
représente une nouvelle version du standard BS 7799 partie 2.

 La Norme ISO 27002 Information Security management - Code of practice for

information Security management (anciennement appelée ISO 17799). Reconnue
comme un standard international, la norme ISO 27002 est devenue le référentiel de
bonnes pratiques de sécurité et des contrôles liés

 La Norme ISO 27003 se concentre sur les aspects essentiels nécessaires pour la
conception et la mise en œuvre réussie d'un système de sécurité de l'information
(SMSI) en conformité avec la norme ISO / IEC 27001:2005

 La Norme ISO 27004 La norme ISO/IEC 27004:2009 fournit des lignes directrices
sur le developpement et l'utilisation des mesures afin d'évaluer l'efficacite du systeme
de gestion de la sécurité d'information (SMSI) et des controles misent en place,
comme spécifié dans la norme ISO/IEC 27001.

 La Norme ISO 27005 La norme ISO 27005 fixe un cadre pour la gestion des risques
de sécurité de l'information. Elle fournit ainsi les conditions à respecter par toute
démarche méthodologique. S'y conformer permet de garantir que les principes
communément reconnus ont été appliqués. La norme constitue une référence utile
pour les faire respecter, sans préjuger des méthodes et outils nécessaires pour les
mettre en oeuvre.

 La Norme BS 7799 La norme BS7799 a été publiée pour la première fois par le
"British Standard Institute" en 1995. Son objectif est de permettre la mise en place
dans l'entreprise un système de management de la sécurité de l'information ou SMSI
(ISMS ou Information Security Management System)

 La Norme ISO 15408 Née en 1996, la norme ISO 15408 (également baptisée «
Common Criteria » ou « Critères Communs ») permet d'avoir une assurance de
sécurité sur des critères précis pour un produit ou un système (matériel de sécurité,
firewall, mécanisme de cryptologie..)
 ISO 15443 "A framework for IT security assurance" (Cadre pour l'assurance de la
sécurité informatique)
 ISO 15446 "Guide on the production of protection profiles and security targets"
(Aspect de production pour les profils de protection et cibles sécuritaires)
 ISO 18028 "Network security" (Sécurité des réseaux)
 ISO 18043 "Guidelines for the implementation, operations and management of IT
Intrusion Detection Systems (IDS)"
Directives pour l'implémentation, le traitement et la gestion des systèmes de détection
d'intrusion. (IDS)
 ISO 18044 "Security incident management" (La gestion des incidents de sécurité)
 ISO 18045 "Methodology for IT security evaluation" (Méthodologie pour l'évaluation
de la sécurité des Technologies d'information)
Méthodologies d'audit de la sécurité informatique
La mission d'audit de la sécurité est une opération qui englobe divers volets ayant des
relations directes avec le systeme d'information touchant les facteurs humains,
organisationnel, technique, physique, environnemental et voir meme des facteurs de qualité,
ce qui rend l'opération d'audit assez complexe et assez vaste. Cet aspect a obligé les auditeurs
a développer des démarches claires et exhaustives pour couvrir toute l'opération d'audit. Ces
démarches sont traduites sous forme de méthodologies définissant des méthodes claires et
efficaces pour la mission. Les méthodologies se sont généralisées pour offrir une sorte de
standard pouvant etre un support aux auditeurs.
Les méthodes d'audit de la sécurité informatique sont a la base d'une politique efficace et, bien
souvent, des choix actionnels de gestion des risques.
Les méthodes doivent leur succes croissant a leur souplesse: elles peuvent etre appliquées
a des sociétés de toute taille, dans tout domaine d'activité.
Il existe en ce moment plusieurs méthodologies d'audit privées et publiques dont :
La plus ancienne de ces méthodes s'appelle MARION (Méthodologie d'Analyse de Risques
Informatiques Orientée par Niveaux). Élaborée par le CLUSIF (Club de la Sécurité des
Systemes d'Information Français), elle a surtout été appliquée dans les années 1980 et 1990. L
'entreprise auditée se soumet a un certain nombre de questionnaires débouchant sur différentes
notes de 0 a 4 (en tout, 27 indicateurs répartis en 6 catégories) évaluant sa performance a la
fois par rapport a un standard - jugé satisfaisant - mais aussi par rapport aux autres entreprises
ayant procédées a l'audit. Il existe en ce moment plusieurs méthodologies d'audit dont :

1. Méthodologies issues d'institutions gouvernementales

EBIOS Expression des Besoins et Identification des Objectifs de

Sécurité

Expression des Besoins et Identification des Objectifs de Sécurité. La méthode EBIOS

(Expression du Besoin et Identification des Objectifs de Sécurité) a été élaborée par la DCSSI
(Direction Centrale de la Sécurité des Systemes d'Information) en france.
Elle est particulierement déployée au sein de l'administration française. Elle comprend une
base de connaissances qui décrit les types d'entités, les méthodes d'attaques, les
vulnérabilités, les objectifs de sécurité et les exigences de sécurité. Elle propose également
un recueil des meilleures pratiques sur l'élaboration de schémas directeurs SSI, la rédaction
de profils de protection, de cibles de sécurité et de SSRS (System-specific Security
Requirement Statement).
La méthode se veut un outil de gestion des risques SSI mais aussi de sensibilisation, de
négociation et d'arbitrage. Elle est téléchargeable sur le site de la DCSSI et s'accompagne
d'un logiciel d'assistance, distribué sous licence libre.
 Les résultats de la méthode EBIOS peuvent etre exploités dans le cadre d'une FEROS (Fiche
d'Expression Rationnelle des Objectifs de Sécurité), document créé par la DCSSI (Direction
centrale de la sécurité des systemes d'information) qui dépend, elle aussi, des services du
Premier Ministre. Ce document est obligatoire pour les systemes traitant d'informations
classées "défense".
Il présente l'ensemble des objectifs de sécurité du systeme étudié et les risques résiduels,
mais aussi la démarche et l'argumentation qui a permis de les identifier. Ainsi, apres avoir
extrait certaines données (systeme étudié, besoins de sécurité, menaces, risques...) en
provenance d'une étude EBIOS, la fiche FEROS permet de réorganiser et de classer les
objectifs de sécurité et de définir les responsabilités qui doivent - ou ne doivent pas - etre
engagées. La méthode EBIOS (Expression du Besoin et Identification des Objectifs de
Sécurité) a été élaborée par la DCSSI (Direction Centrale de la Sécurité des Systemes
d'Information) en france.

ITIL (IT Infrastructure Library)

ITIL , un référentiel international édictés par l'Office public britannique du commerce,

définissant les meilleures pratiques étroitement liées a l'application de la norme ISO 17799
pour la sécurisation de l'infrastructure informatique, vient de répondre aux besoins des
entreprises qui cherchent a améliorer l'efficacité du systeme d'information, réduire les risques,
augmenter la qualité et l'évolutivité des services IT délivrés.
Le référentiel ITIL suit une démarche d'amélioration itérative des processus composant les
services IT, il met en place plusieurs moyens pour la définition des processus et leurs
interactions, la définition des rôles et des responsabilités, l'organisation des relations clients-
fournisseurs et la définition des moyens de contrôle des résultats obtenus.
ITIL comporte 6 modules principaux :

 Service Support : support aux utilisateurs.

 Service Delivery : gestion du service.
 Software Asset Management : gestion des logiciels.
 ICT Infrastructure Management : contrôle des processus.
 Application Management : gestion des projets.
 Security Management : gestion de la sécurité.

CRAMM

La méthode CRAMM est un outil complet d'évaluation des risques qui est entièrement
conforme avec la chaîne de BS7799 et 17799. Elle est complètement reconstruite par Insight
Consulting pour devenir un toolkit total de sécurité de l'information qui inclut un outil
complet d'évaluation des risques. Elle comprend des outils d'aide pour soutenir des
directeurs de sécurité de l'information pour créer rapidement les politiques de sécurité de
l'information ainsi que d'autres outils relatifs a la documentation.
CRAMM est une méthode de gestion du risque lourde, exhaustive, exhaustif (plus de 3000
commandes de sécurité référencées aux risques appropriés et rangées par les outils
essentiels d'efficacité et de cout pour aider a réaliser la certification ou la conformité a
BS7799) Cette méthode est donc, adaptée a de grosses entreprises uniquement (il y a 550
clients dans le monde).
 FEROS Fiche d'Expression Rationnelle des Objectifs de Sécurité

Développée par le SCSSI, Feros n'est pas une méthode a proprement parler mais un
document permettant a une autorité donnée (secteur secret défense notamment) de définir
le niveau d'engagement de sa responsabilité dans l'application d'une politique de sécurité.

Démarche d'audit
Un audit de sécurité consiste à valider les moyens de protection mis en œuvre sur les plans
organisationnels, procéduraux et techniques, au regard de la politique de sécurité en faisant
appel à un tiers de confiance expert en audit sécurité informatique.
L' audit de sécurité conduit, au delà du constat, à analyser les risques opérationnels pour le
domaine étudié, et par la suite à proposer des recommandations et un plan d'actions
quantifiées et hiérarchisées pour corriger les vulnérabilités et réduire l'exposition aux risques.
L'équipe qui intervient dans une mission d'audit doit être composée de consultants et
d'ingénieurs experts dans leurs domaines, elle est toujours dirigée par un chef de projet,
responsable des opérations et des livrables.

Audit organisationnel de sécurité:

L'objectif d'un audit organisationnel de sécurité est d'établir un état des lieux complet et
objectif du niveau de sécurité de l'ensemble du système d'information sur les plans
organisationnels, procéduraux et technologiques. Cette phase peut couvrir l'organisation
générale de la sécurité : (réglementation, procédures, personnel), la sécurité physique des
locaux (lutte anti-incendie, contrôle des accès, sauvegarde et archivage des documents),
l'exploitation et administration (sauvegarde et archivage des données, continuité du service,
journalisation ), les réseaux et télécoms (matériel (routeurs, modems, autocommutateur..),
contrôle des accès logiques, lignes et transmission), les systèmes (poste de travail, serveur,
logiciels de base, solution antivirale) et les applications (méthodes de développement,
procédures de tests et de maintenance,..).
Au cours des réunions effectuées au sein de l'organisme audité, l'auditeur définit le périmètre
de l´audit et les personnes interviewées et planifie ses interventions. Pour mener à bien cette
phase, l'auditeur applique une méthodologie d'audit et d'analyse de risques "formelle"
(Marion, Mehari, Melisa, Ebios...) comme il peut adapter ces méthodes selon les besoins de
l'organisme ou suivre une démarche propriétaire personnalisée et simplifiée.
L'évaluation du niveau de sécurité s'établit à partir des entretiens avec les personnes
interviewées et de l'analyse des ressources critiques et des documents fournis. Les
vulnérabilités identifiées lors des précédentes étapes seront rapprochées des menaces pouvant
survenir dans le contexte technique et fonctionnel, objet de l'audit. Réduire les risques revient
soit à agir sur les vulnérabilités, soit essayer de réduire l'impact qu'aurait l'exploitation d'une
vulnérabilité par une menace conformément à la formule :
Risque = Menace * Impact * Vulnérabilité.
A l'issue de cette phase, l'auditeur propose les recommandations pour la mise en place des
mesures organisationnelles et d'une politique sécuritaire adéquate, il peut également présenter
une présentation de la synthèse de la mission avec pour objectif de sensibiliser sur les risques
potentiels et les mesures à mettre en ouvre.

L'audit technique:
s'effectue en trois phases:

 Phase d'approche:
Pour évaluer le niveau de sécurité d'un réseau, il faut d'abord le connaître. Pour la
reconnaissance de l'architecture du système, l'auditeur reçoit des informations
inventoriées par l'équipe informatique locale afin de vérifier le plan d'adressage IP et
éventuellement la stratégie de mise en œuvre de DHCP et de NAT. Il utilise ensuite de
multiples outils de traçage du réseau et des passerelles, afin de détecter les stations,
routeurs et firewalls du réseau et des outils de traçages des frontières externes du
réseau : passerelles externes (routeurs et firewalls) et connexions modems pour
déterminer les périmètres extérieurs du réseau. Il utilise également les informations
disponibles à partir des éventuels services SNMP et des serveurs de noms locaux ou
Internet.
Multiples outils de l'open source sont utilisés pour l'identification de la topologie
réseau comme Cheops, traceroute et tcptraceroute.
Au cours de cette phase, l'auditeur effectue des tests de sondage réseau et système
pour déterminer les services réseau, les types d'applications associées et de leur mises
à jour, les partages réseau et les mesures de sécurité mises en ouvre. Les outils de scan
de l'open source les plus utilisés sont Nmap, Nsat, knocker, Blaster Scan. Il effectue
également des tests de sondage des flux réseaux pour analyser le trafic, identifier les
protocoles et les services prédominant au niveau du réseau audité, le taux d'utilisation
ainsi que les flux inter-stations. Les outils open source utilisés sont : Ntop, Bing, Iptraf
et Network Probe.
Avant d'aborder la phase d'analyse des vulnérabilités des systèmes, l'auditeur identifie
les serveurs ; serveurs de fichiers, de backup, de logs, NIS, et autres serveurs
d'applications et de données importants puis utilise un ensemble d'outils afin de suivre
 leur état, leur activité et leur performances et inspecter les moyens de contrôle d'accès
et de leur stratégie d'administration.
 Phase d'analyse des vulnérabilités:
Au cours de cette phase, l'auditeur détermine, à l'aide des résultats obtenus à l'étape
précédente, les vulnérabilités potentielles et des outils nécessaires à leur exploitation.
En pratique, l'auditeur teste la résistance du système face aux failles connues, via une
analyse automatisée des vulnérabilités, ainsi il établit pour chacune le type des
applications et des services concernés.
Nessus est un exemple d'outil de test automatique de vulnérabilités, il offre des
rapports évolués sur les degrés des vulnérabilités et les risques qu'imposent des failles
détectées sur le système audité. Sara, Whisker, Webserver, fingerprinting, karma et
Tnscmd.pl sont d'autres exemples d'outils d'analyse de vulnérabilités des serveurs de
données & d'applications.
 Phase de tests intrusifs:
L'objectif des tests intrusifs est d'expertiser l'architecture technique déployée et de
mesurer la conformité des configurations équipements réseaux, firewall,
commutateurs, sondes , etc. avec la politique de sécurité définie et les règles de l'art en
la matière. Les tests d'intrusion sont réalisés après autorisation explicite du client et
reposent sur un ensemble de scénarios d'attaques expertes (pénétration, intrusion, etc..)
mis en œuvre pour compromettre un système d'information. Réalisés de manière
récurrente, les tests d'intrusion permettent de valider périodiquement le niveau de
sécurité du système d'information et d'en mesurer les variations.
Les tests d'intrusion commencent par une phase de collecte des informations
disponibles publiquement, sans interagir avec l'environnement cible puis il s'agit de
localiser et caractériser les composants cibles (systèmes d'exploitation et services
applicatifs, positionnement des équipements les uns par rapport aux autres, types de
dispositifs de sécurité mis en ouvre, etc.); c'est la phase de cartographie de
l'environnement cible et enfin il s'agit d'exploiter les vulnérabilités mises en évidence
pendant les phases précédentes de façon a obtenir un accès " non autorisé " aux
ressources