El Hadji Malick GUEYE | cisa, cosits, TIL malick@gueye.net y Mars 2017 Introduction et présentation généraleDE LA SECURITE DES SYSTEMES D’INFORMATION Fraude bancaire Carbanak :usqu’a 1 milliard de dollars évaporés Des centaines de millions de dollars auraient été dérobées dans plus d'une centaine d'établissements bancaires de 30 pays. Véditeur russe Kaspersky annonce un minimum de 300 millions de dollars de détournements et précise que le montant pourrait tre trols fois plus élevé. La plus grande fraude informatique de Vhistoire vient done d'etre La poste vietime de piratage : des hackers emportent 400 millions Des hackers se sont introduits dans le systéme de transfert financier international du réseau pour sfemparer de 411 millions FCFA, lls ont réussi leur coup en piratant le compte d'un agent du bureau de Poste de ‘Ouakam. Enquéte, 17 octobre, 2016 déwilée. linformaticien.com, 16 Fev. 2015 \Vaste piraterie a la carte bancaire en Afrique du Sud Afrique du Sud est victime de fraudes a la carte bancaire, Tiana ae ne Plusieurs banques sud-africaines ont perdu des millions deuros depuis le début de Yennée 2013. Les fraudeurs auraient réussi 8 laae ten Taree ae ea rare plrater des serveurs informatiques dans des commerces et des fictive, avait réeussi faire un trou de 143 millions de |_| chaines de restauration. FCFA ‘ify, 17 Oct. 2013 Picemi.com, 22 Avril 2016 Fraude cur le réseau « Joni Joni» : la Section de Recherches de Dakar a arrété huit pers Selon les informations de Libération, 286 millions de F Cfa ‘ont été pompés sur le réseau « Joni Joni» via le compte d'un ‘agent de La Poste de This. mardi, Sep 29, 2015 Fraude en ligne : Ecobank alerte ses clients La banque panafricaine met en garde contre ces vvoyous qui font tout pour avoir le code Pin ou le mot {de passe des clients pour pouvoir accéder & leurs comptes. leral.net le Vendredi 21 Mars 2014 I Hadji Malick GUEYE, CISA INTRODUCTION ET PRESENTATION GENERALE PRINCIPES GENERAUX DES SYSTEMES D’ INFORMATION NOTIONS DE BASE DE LA SECURITE DE UINFORMATION COMPOSANTS DES SI PROCESSUS D'AUDIT DES SYSTEMES D’ INFORMATION IMPORTANCE DE LA GESTION DE LA SECURITE POLITIQUE ET ADMINISTRATION DE LA SECURITE DES SI ANALYSE DES RISQUES DEMARCHES DE L'AUDIT DE SECURITE 10. CONTEXTE LEGISLATIF AU SENEGAL ET DANS LA CDEAO. 11. EXERCICES & CAS PRATIQUES 12. CERTIFICATIONS PON auawnep El Hadj Malick GUEYE, CISAEnjeux des Systemes d’Information Erase > Pen ene PeefT apa) Aligner la stratégie SI sur celle de Ventreprise et mattriser les coats pour obtenir une qualité de service conforme 8 ses besoins et moyens. Etablir une politique industrielle \nerioninaires Ouvrir la DSI vers la clientéle et claire en adéquation avec le métier transformer son image de centre de de lentreprise et tirer le meilleur coat peu lisible vers celle d'un péle profit des partenaires. maitrisé et piloté. Clients Fournisseurs Collaborateurs Environnement Motiver les collaborateurs de la DSI Positioner la DSI constamment et gérer leur développement dans comme le meilleur allié des métiers lune optique gagnant-gagnant et tirer le meilleur profit des Patent ie: opportunités de business. Systéme d’Information i Construire et entretenir un systéme diinformation agile, cohérent et aligné sur ensemble des processus métiers de lentreprise. fT apa) Cee reer ny Seer ny eee Pee vee ie Serer Ce cas re Coens Seer eePrincipes générau Poeisskoa hd QU’EST CE LA SECURITE DU SYSTEME D'INFORMATION ? * L'information est un actif précieux de l'entreprise. Recherche et développement Techniques de fabrication Stratégie de l'entreprise Données financiéres Informations commerciales (tarifs, marges, propositions, ...) Données personnelles (médicales, clients, salariés, ...) etc. eo000000 * Acetitre, il faut la protéger contre : o Laperte, o L'altération, © La divulgation.PRINCIPES GENERAUX (eT ete OL ae * L'information se présente sous de nombreuses formes : o. Imprimée ou écrite sur papier, o Enregistrée sur support électronique, films ou bandes magnétiques, 0. Parlée lors de conversations, etc. * Les organisations modernes sont de plus en plus dépendantes des systémes informatiques et de télécommunication, qui sont eux-mémes de plus en plus ouverts et répandus. * Ces systemes doivent donc étre protégés contre : oO L'indisponibilité, o Lintrusion. PRINCIPES GENERAUX formation est constitué de l'ensemble des moyens mateériels, logiciels, organisationnels et humains qui agissent entre eux afin de traiter, conserver ou communiquer de I'information. q comprend par exemple : Le systéme téléphonique et de télécopie (couramment appelé « fax »), * Lamessagerie, * Les ordinateurs (stations et serveurs) ainsi que leurs logiciels, fichiers et bases de données, et tous leurs supports (disques externes, CD-ROM, etc.), + Le réseau (Intranet ou Extranet), * Les imprimantes, et les broyeurs a papier, * Les notes, comptes rendus, dossiers, mémos et documents divers, * Les conversations, etc.Notions de base de la sécurité des SI * Lasécurité n'est pas une affaire de spécialistes, reléve de la responsabilité de chaque collaborat chaque service et de chaque direction. Chacun manipule et utilise des informations et det ressources qui constituent le patrimoine de l'entr et, ace titre, doit garantir leur protection. * Toute démarche de sécurité doit étre précédée, analyse des risques. o Identifier les enjeux de l’entreprise o Evaluer les impacts métier d’un sinistre.Selene aca anes a se) zeit Kel) INTEGRITE DISPONIBILITE TRIADE DE LA SECURITE C-I-D CONFIDENTALITE Selena ca aera a se) ROLE STRATEGIQUE DE L'INDIVIDU “Réagir méme si aucune procédure “Appliquer les procedures prédéfinies” n'adresse le cas rencontré” “Manipuler Cen eas Pere una “Identifier les situations anormales” BC une oa Car “Détecter les incidents”Selena ca aera a se) ROLE STRATEGIQUE DE L'INDIVIDU * ; «La sécurité de Ia cité tient moins a Ia solidité de ses fortifications qu’a Ia fermeté d’esprit de ses habitants.» D Thucydide NOTION DE BASE DE LA SECURITE DES SI ANALYSE DE RISQUES ET MESURES DE SECURITE * Analyse de risques : * Mesures de sécurité : o. Faisabilité, o Prévention, oO Impact financier, o Détection, o Impact sur image de marque. o Protection (ou réaction). Faisabilité Sinistre Impact Prévention Détection Protection El Hadj Malick GUEYE, CISANOTION DE BASE DE LA SECURITE DES SI LE VECTEUR DICT : DISPONIBILITE Tout systéme doit apporter les fonctions attendues dans les délais prévus, conformément au contrat de service défini avec les utilisateurs. * Lacontinuité de service doit étre assurée quelles que soient les circonstances : o charge importante du systéme, © panne d'un composant, o défaillance d'un fournisseur (électricité, télécoms, etc.), 0 sinistre endommageant ou détruisant le systéme. * Techniques de base liées a la disponibilité : © Systémes de haute disponibilité, a tolérance de panne o Plan de Sauvegarde o Plan de Reprise d'Activité (PRA) © Gestion de la Crise NOTION DE BASE DE LA SECURITE DES SI LE VECTEUR DICT : INTEGRITE Les systémes et les informations ne doivent étre altérés a I'insu de leurs propriétaires. * L'altération est une modification non autorisée préservant la vraisemblance des données ou le bon fonctionnement apparent des systémes. * L'altération peut provenir : o. d'une erreur, © d'une infection par un virus, © d'un acte de malveillance. * Les techniques de sécurité généralement employées ont davantage pour effet de détecter I'altération que de l'interdire.eee Roda ih aoa seers ast) > L'information est protégée contre la divulgation a des tiers non autorisés. ‘information doit étre protégée a tout moment : 0 lors de son stockage (bases de données, disquettes), 0 lors de son transfert (réseaux), 0 lors de sa matérialisation (documents papier). ae eRe ih aoa aeesse ast) > Le systéme doit permettre, chaque fois que nécessaire, d'enregistrer de maniére incontestable toute action sur tout objet par tout auteur. * Il doit permettre d'imputer toute opération a son auteur (imputabilité). * Il doit permettre de reconstituer toutes les étapes permettant de passer d'une situation a une autre (tragabilité). * Il doit permettre de vérifier la bonne application des procédures prévues (auditabilité). * Il doit permettre de garantir l'identité des parties a une transaction (non-répudiation).Les composants logiciels permettent au systéme d'information, qui stocke et traite les données nécessaires aux opérations métiers, de fonctionner. Afin d’évaluer leur exposition au risque opérationnel il est indispensable, dans le cadre des travaux d’audit, d'examiner les applications afin de comprendre comment elles fonctionnent et comment elles communiquent avec d'autres composants du systéme d'information. Dans la suite de cette section nous présenterons les composants logiciels dans les systémes d’information, leur architecture habituelle et leur rdl © Qu’est-ce qu’un logiciel ? Y © Qu’est-ce qu’un logiciel systéme ? © Comment échanger des données ? © Qu’est-ce qu’un langage de programmation? El Had Malick GUEYE, CISA 2ees niece staat) (IN Mie sels aL eed Lele aE a OL LE LOGICIEL SYSTEME POUR GERER LES RESSOURCES MATERIELLES * C’est un ensemble de logiciels gérant les ressources matérielles d’un ordinateur (unité centrale de traitement, mémoire, stockage de données, interfaces entées/sorties, etc.) et permettant I’exécution de ses programmes. * Le logiciel systéme est un élément essentiel dans un ordinateur. Les programmes (ou applications) requiérent un logiciel systeme pour pouvoir fonctionner. * Les logiciels systémes peuvent se trouver dans n'importe quel matériel assimilable a un ordinateur: des téléphones cellulaires et des consoles de jeux vidéo jusqu’aux superordinateurs, et serveurs. El Hadi Malick GUEYE, CSA 2 ees niece staat) (IN Mie sels aL eed Lele aE a OL LE LOGICIEL SYSTEME POUR GERER LES RESSOURCES MATERIELLES * Quelques exemples de logiciels systeme : 0032415 EI Hadi malik 6 26es uiecestist Miia) Lela ay LES APPLICATIONS POUR ACCOMPLIR LES TACHES + Un composant logiciel fournit les instructions de commande a un ordinateur, Cest a dire quoi faire et comment le faire. * Un composant logiciel peut étre divisé en trois grandes catégories : le logiciel systéme, le logiciel de programmation et application, bien que cette distinction soit arbitraire et souvent floue. =Tapplication est congue pour accomplir wimporte quelle tSche Tappuyant sur des capachtes de calcul. C’est un ensemble de programmes qui permet & Vordinateur de réaliser une tache spécifique de traitement de données. + Cest une catégorie vaste qui comprend les logiciels d'entreprise, de prise de décision, de retouche dlimages, de tableurs ou encore de jeux vidéos. * Le logiciel de programmation inclut les outils, programmes ou applications que les développeurs de logiciel tilisent pour créer, déougger, maintenir ou supporter d'autres programmes et applications. nde * ce terme fait généralement référence aux programmes tels que les compilateurs, les débogueurs, Peers les intorprétes, éditeurs de liens et éditours de texte, * Le logicial systéme est un logiciel concu pour faire fonctionner la couche matérialle en fournissant les fonctionnalités de base afin de pouvoir exécuter des applications. + Le logiciel systéme inclut les pilotes périphériques, les systémes d'exploitation, et les utiltaires. Tl Hadi Malick GUEYE, GSA eres eae) CNUs e eA Ms eel NA a ae) FOCUS SUR UN LOGICIEL D’APPLICATION : ERP * Un ERP (Enterprise Resource Planning) est une application de “gestion intégrée” regroupant et interconnectant de nombreuses fonctions de l’entreprise dans un systéme informatique centralisé (ex: regroupement des fonctions finance, comptabilité, vente, gestion de la relation client, etc.) * Les systemes ERP automatisent ces activités avec un logiciel d’application intégré. Leur but est de faciliter le flot d'information entre les lignes métiers au sein de Ventreprise et de gérer les liens avec les collaborateurs extérieurs. 26Neuen etsy) ARCHITECTURE LOGICIELLES LANGAGES DE PROGRAMMATION Un langage de programmation est un langage artificiel cong¢u pour communiquer des instructions a un ordinateur. Les langages de programmation peuvent étre utilisés pour créer des programmes qui contrdlent le comportement d’une machine. * Les langages de programmation de haut niveau d’abstraction sont plus abstraits et plus facile a comprendre pour un humain mais s’exécutent plus lentement sur la machine. * Le processus « standard » de développement d’une nouvelle application (ou le développement d’une nouvelle partie d’une application déja existante) est décrit ci-dessous : COMPOSANTS LOGICIELS DES SI ARCHITECTURE LOGICIELLES ARCHITECTURES LOGICIELLES Dans l’ingénierie logicielle, architecture multi-tiers est une architecture dans laquelle la couche de présentation (ou interface utilisateurs), la couche gérant Vapplicatif et la couche en charge de la gestion des données, sont des processus logiquement séparés. * Par exemple, une application web qui permet a un utilisateur d’accéder a des données repose généralement sur une architecture mul 5 E E ‘Stockane de custe Ireigence oy - ‘Selabanaue en stews pone * Toutes ces couches peuvent étre réparties sur différents composants (comme pour des applications web) ou encore combinées en un seul composant logiciel (comme un client lourd installé sur un ordinateur). * De nouveaux modéles d’architecture se développent: LeCkud campaingpemetaucerteonsesdnsbermer | LeSotwareas a cones (Saa5) al cccmasle iursappcatore cans un « 00's (isepean mere | mega sun poi appar es routes pleats re leabases oo Imetrhabergoart elope et es deans dan ut [pasadena comamcaunes "=" evaluation Gmail 3 oweNeuen etsy) ARCHITECTURE LOGICIELLES LA COMMUNICATION ENTRE COMPOSANTS LOGICIELS Les interfaces sont utilisées afin de faciliter la connexion et le traitement des données entre différents modules du logiciel. * Pour échanger avec le monde externe, une infrastructure Electronic Data Interchange (ED!) est généralement mise en place. L’EDI est la transmission structurée de données entre des organisations par des moyens électroniques. © Messages formatés et standardisés © D’une application (ERP) a une application (ERP © Au moyen de télécommunications (Internet ou Réseau a valeur ajoutée) © Entre partenaires économiques distincts =§ >a é- ‘serveur ED EI Hadi Malick GUEYE, CSA 3 eres aise staat (2ca ig ee a} st INE BANQUE DE DETAIL + Regroupe les systémes des coeurs de métier (gestion des échanges interbancaires, comptabilité, dépéts, préts, etc.) et quelques fonctions transversales (finance, contréle des cotits, contréle de gestion, etc.) * Utilisé pour le marketing produits et les activités de service (gestion des contrats, pilotage des objectifs commerciaux, gestion du réseau commercial, etc.) ** Utilisée pour certaines fonctions étendues regroupant différents services ainsi que les canaux de paiement électronique. Elle prend en charge le systéme bancaire multicanal. * Déployée pour gérer correctement l’activité bancaire (gestion des risques, reporting stratégique commercial, etc.) EI Hadi Malick GUEYE, CSA 32Ne IO anatase] INTRODUCTION + Les composants d’infrastructure sont au coeur du systéme d'information qui héberge et traite les données nécessaires a la réalisation des opérations meétiers. * Tout comme les opérations métiers qu’ils servent, ils peuvent étre la cause d’une certaine exposition aux risques opérationnels lorsqu’ils ne sont pas correctement maitrisés. Aussi, il est important lors des travaux d’audit, de revoir les principaux composants d’infrastructures et de comprendre quels sont les composants clés de l’infrastructure auditée et leurs rdles. * Cette section présente les infrastructures informatiques et les composants hardware les plus importants : serveurs, clients, topologies réseaux et équipements, composants sécurité, etc. El Hadi Malick GUEYE, CSA 3 eI anatase] BSNS SMC Las vaN=SA O)TeN LEN = Ca IDLO} CE QUI SE CACHE DERIERE LE MOT "SERVEUR“ ? + Dans le cas d’une architecture « client-serveur », un serveur est un programme hébergé sur un ordinateur, traitant les demandes d’autres programmes appelés les "clients", * Leserveur réalise des taches ou des calculs pour le compte de ses "clients” (qui fonctionnent sur le méme ordinateur ou se connectent via le réseau). * En fonction des services qu’il fournit, on parle de serveur de base de données, de serveur de fichier, de serveur mail, de serveur d’imprimante, de serveur web, ou d'autres types de serveur. esanecr Lassen ———— serveurs stu eas pour Lessee Lessee waerucae noereres wen sot ae Septcsore tes vote pour vee Samet socient i aoe neeera Septeaore scenes techie pour ae sepicaons banaue oan = rtemazen, El Hadi Malick GUEYE, CSA ueI anatase] BSNS SMC Las vaN=SA O)TeN LEN = Ca IDLO} DU PC AU COMPOSANT DE TRAITEMENT LE PLUS AVANCE ee ee * Puissance de tratement * Puissance de traitement moyenne Pulssance de tratement élevée faible mais de lourdes taches peuvent étre ‘et capable de prendre en * Directementtisé parles distrouées entre diérents serveurs chargede nombreux ilisateus pour réalser (ordinateur dstibués) programmes acts simutanés, des tches de bureaulique |» Plusieurs architectures coexistent Uutiisateurs et cients ‘basiques (emails, éition x86 (similaire au PC, utlisé pour Expertise spéciique exigge de documents, navigation héberger Windows ou Linux) et RISC our développer les applications surle web, etc.) (uilisé pour Unix) ‘ou administreres systemes LW, El Had Malick ee IO a ata] iis oP AeO NN ese eee PLUSIEURS RESEAUX POUR INTERCONNECTER LES RESSOURCES INFORMATIQUES Un réseau informatique est une variété de composants hardware et d’ordinateurs interconnectés par des canaux de communication qui permettent le partage des ressources et de l’information. * les réseaux locaux (LAN pour Local Area Network) est le réseau le plus simple pour interconnecter les ressources réparties sur une petite zone géographique. La vitesse de transfert peut étre de l'ordre de 10Mbps & 1Gbps * les réseaux métropolitains (MAN pour MetropolitanArea Network) sont utilisés pour interconnecter géographiquement des réseaux proches localement (quelques kilomatres maximum). Ceci est généralement réalisé avec des équipements réseaux interconnectés et des liens a haute vitesse (fibre optique). + les réseaux étendus (WAN pour Wide Area Network) sont utilisés pour interconnecter différents réseaux locaux sur de longues distances. II faut alors trouver un compromis entre vitesse du lien et coats du lien (qui augmentent avec la distance). El Had Malick asa 30ee IO a ata] SFO MAReO eee ele Wide Area Network MAN ‘Metropolitan Area Network ~ LAN Local Area Network el Had Malick GUEYE, cl ee IO a ata] Fane MAROON ee ele COMMENT FONCTIONNENT LES RESEAUX * Les équipements peuvent étre interconnectés de deux facons : © CAblé : échange de données entre deux composants reliés par un cable & travers I'émission de signaux électriques (en cuivre) ou des signaux lumineux (fibre optique). © Sans fil : change de données entre des composants recevant un signal via des émissions d'ondes électromagnétiques a travers une antenne.ee IO a ata] uaa LES EQUIPEMENTS RESEAUX * Plusieurs équipements réseaux sont utilisés pour assurer le transport des données : lis connectent de nombreux réseaux locaur pour orpaniser et assurer au mieux la crreulation des données (niveau MAN ou WAN). De tes composants sont le exeur de tus les réseaux de connexion (comme hiemet) et aigllent dyramiquement fensemble du trale mondial (ou national) eve les réseaux locaux 1s connectentcférents composants ene eux (htes, hubs, routeurs) tout en ctoisonnant le réseau (niveau LAN). Contraement aux hubs, is pemettent dinierconnecter tes ‘composanis avec des dbs de transfert levés (de 100Mbps 4 1Gops). is sont Uilsés pour niareonnecer tes dnérents composanis erie eux (weau LAN). ‘comme il est pas possible de colsonner un réseau infomatique avec do tls EI Hadi Malick GUEYE, CSA 32 ee IO a ata] RESEAUX POUR INTERCONNECTER LES RESSOURCES DES ENTREPRISES LES COMPOSANTS SECURITE PROTEGEANT LE RESEAU ET LES RESSOURCES IT * Les réseaux sont partout et interconnectent des ressources de différentes zones avec des niveaux de sécurité hétérogénes. Pour protéger les ressources internes des attaques, on déploie des composants sécurité : ‘nrusion venart de ferteneur. Le pare-eu est un systéme qu fitre les [paquets de données échangés sur le feseau pour n’autorser que le trafic sain, ‘un serveur proxy est une machine qui agit comme un intermétiare pour es ‘oqubtes des clients qui requirent les ressources d'autres serveus. ll ost Drincipalement utlisé pour contrdler les raquétes entrantes et sortantes des | ‘machines clents afin de vader que les données échangées sont sanes. * Unclient qui se connecte a un proxy, demande un certain service, comme un dossier ou une page web. Le serveur proxy évalue la requéte (pour des questions de sécurité ou de performance). Puis le proxy exécute la demagde et envoie le résultat au cl ies données EI Hadi Malick GUEYE, CSA 0ee IO a ata] Gael Me us essa Un Datacenter est un batiment utilisé pour héberger et protéger des ordinateurs et des équipements réseaux qui stockent et traitent les données nécessaires pour réaliser les opérations métiers informatisées. Les ressources informatiques hébergées au sein des Datacenter sont généralement des systémes et des données critiques. Processus d’audit des SIPROCESSUS D’AUDIT DES SI LA FONCTION D’AUDIT * doit étre gérée et dirigée de maniére a assurer que les différentes taches exécutée et réalisée par 'équipe répondent aux objectifs de la mission, tout en permettant a ’équipe de conserver son indépendance. Créer de la valeur ajoutée pour l’organisation ER Colire tol) d’audit des SI Cllis lee assurer a la haute direction une gestion efficience de ses Tl et Vatteinte des objectifs métiers Sa EI Hadi Malick GUEYE, CSA a PROCESSUS D’AUDIT DES SI Nees) EI Hadi Malick GUEYE, CSA aPROCESSUS D’AUDIT DES SI Pye ia | Externe : | Auditeur Provenant | d une firme audit | indépendante de I Organisation auditée, EI Hadi Malick GUEYE, CSA PROCESSUS D’AUDIT DES SI QUALIFICATION DE L’AUDITEUR EI Hadi Malick GUEYE, CSAcesar nse) Exe al + Analyse partielle ou exhaustive du fonctionnement d'un centre de traitement et de son environnement, El Had Malick GUEYE, CISA * PROCESSUS D’AUDIT DES SI een sie NOL Le rdle de la fonction d’audit des SI est établi par la Charte d’Audit. Vaudit SI peut faire partie de l’audit interne en tant que groupe indépendant ou intégré a l'audit financier et opérationnel. La charte d’audit doit énoncer clairement: El Had Malick GUEYE, CISA a8PROCESSUS D’AUDIT DES SI PE NININCeULE * Court terme : Généralement dans un an. * Long terme : Plus d’un an (5, 10, 15, ...) Ilest important dans la planification de tenir compte des question liées au risque, qui influeront sur environnement technologique de |’organisation: >» ‘Changement dans l'environnement affectant leniveau de risque » 6 2 ) {¥évolution des technologies et des processus administratifs ‘Amélioration des méthodes d’évaluation » © » © Nouvelles réglementations applicables. EI Hadi Malick GUEYE, CSA PROCESSUS D’AUDIT DES SI PLANNING D’AUDIT DOE cg Procédures et politique aa Jamais d’enregistrement Pree att ry > Pee Auditeur Interne Plan de continuité des a2 2014 affaires Gouvernance des SI 03 Jamais Sécurité de a4 2006 Vexploitation informatique EI Hadi Malick GUEYE, CSA DSI, Consultant Sécurité Auditeur Interne DSI, Consultant Sécurité soPROCESSUS D’AUDIT DES SI COMPREHENSION DE L’ENTITE A AUDITER * Dans le cadre de la planification d’une mission, l’auditeur doit : (Créer un plan d’audit qui prend Orne cen a ade Fentité c a Sree Creer nica wn Rooney eta ack GUEYE, OA By PROCESSUS D’AUDIT DES SI MPREHENSION DE L’ENTITE A AUDITER Les étapes 8 franchir pour acquérir une compréhension sont : _ etaraet jeux commer TaePROCESSUS D’AUDIT DES SI eyET a 31e Neo} * Chaque organisation doit se conformer a un certain nombre d’exigences gouvernementales et externes, liées a la pratique et aux mesures de contréle des systémes d’information et la maniére dont les ordinateurs, les programmes et les données sont conservées et utilisées. * Exemple: o Cadre de mesures intégrée de réglementation interne, du COSO, © Accords de Bale El Hadji Malick GUEYE, CISA 33 PROCESSUS D’AUDIT DES SI SS ACPA ale els 1- Sujet d’audit: Circonscrire la zone a auditer 2- Objectif de l’audit: Déterminer par exemple si des changements au code source d’un programme surviennent dans un environnement bien défini et contrélé. 3- Portée de I’audit: Identifier les systemes spécifiques, fonctions ou unités de l’organisation a inclure dans l’examen. 4- Planification avant Audit: 0 Acquérir la compréhension de la mission, o Identifier les habiletés techniques et les ressources nécessaires, o Identifier les sources d'information pour les tests ou les examens comme les dossiers fonctionnels, les politiques, les normes, les procédures fonctionnelles et les travaux d’audit précédents, Identifier les emplacements ou les installations a auditer, Réaliser une analyse des risques, oO Prévoir la logistique du mandat. 0°PROCESSUS D’AUDIT DES SAU Ee MmN ae 5- Procédures d’audit et de collecte de donnée: oO. Tenir la réunion de lancement de la mission, o Identifier et sélectionner l’approche d’audit pour véri contréles, 0 Identifier une liste d’individus a rencontrer, o Identifier et obtenir les politiques de département, les normes et directives pour examen, © Développer les outils d’audit et la méthodologie pour tester et vérifier les contréles. ret tester les 6- Procédures d’évaluation des tests ou des résultats d’examen Identifier les procédures d’examen de suivi, Identifier les procédures pour évaluer/tester l’efficacité opérationnelle, Identifier les procédures de test de contréle, Examiner et évaluer la validité des documents, politiques et procédures. 0000 7- Procédures de communication avec la direction © Soumission du projet de rapport, oO Tenir la réunion de cléture. 8- Emission du rapport d’audit final. os. PROCESSUS D’AUDIT DES SI aaa EM Ada 9) ee ication, de fa planifiation &t «= audit de Forganisation, | gu pilotage des 5! es Systemes et Réseau | enudit \ informatiques \ (eau spudit des coats i ait des etudes informatiaues =pudit de la production {informatiques | ‘audit du plan de continuité d'activite equdit du parc informatiaue et du support utilisateur epudit de fa sécurté des st | des projets informatiques audit ‘eaudit applicatif Ti tiadi Malick GUEYE, CSA 36ines nants anise aaa eeu) INTRODUCTION Objectifs de sécurité permettant de répondre aux exigences commerciales de l'entreprise: + Assurer la disponibilité continue des SI; + Assurer lintégrité de l'information en transit ou stockée sur les systémes informatiques de organisation; * Préserver la confidentialité des données sensibles lorsqu’elles sont stockées et en transit; * Assurer la conformité aux lois, aux réglementations et aux normes applicables a l’organisation; * Assurer le respect des exigences de confiance et d’obligation en lien avec toute information reliée a un individu identifié ou identifiable; * Assurer que les données sensibles sont protégées adéquatement pendant le stockage et le transport suivant les exigences de Vorganisation.iene ea nants anise aaa cee ELEMENTS CLES DE LA GESTION DE LA SECURITE DE L'INFORMATIOI * Un systéme des TI équipé de dispositifs de sécurité ne sera protégé que s’il est adéquatement implémenté, géré, ainsi qu’utilisé, supervisé et révisé avec soin. * Les objectifs de sécurité ne peuvent étre atteints seulement en ajoutant des protections techniques et procédurales. Une attitude de culture de sécurité et ’attention de tous les employés, de la direction ainsi que de tous les fournisseurs de services externes et des utilisateurs/partenaires des TI externes dignes de confiance sont vitales pour atteindre les objectifs de sécurité. * Les éléments clés connexes de la gestion de la sécurité de l'information sont les suivants : iene ea nants anise aaa cee [aeRO CLO ee LA UO + Leadership, engagement et soutien de la haute direction: Support de la haute direction pour mise en place et maintien d’un programme de gestion de la sécurité de l'information. + Politiques et Procédures: Correspondant aux objectifs daffaire, ainsi qu’aux normes et pratiques de sécurité généralement acceptées. * Organisation: Réle et responsabilité de sécurité au sein de Ventreprise.iene ea nants anise aaa cee foe 9) ACS 0 La + Sensibilisation et éducation a la sécurité: Tous les employés d’une entreprise et, si pertinent, les utilisateurs des tierces parties doivent recevoir une formation appropriée et des mises a jour réguliéres pour améliorer la sensibilisation a la sécurité et le respect des politiques et des procédures écrites. * Contréle et conformité: Les auditeurs des SI sont souvent mandatés pour évaluer réguliérement l’efficacité des programmes de sécurité d’une entreprise. + Gestion et intervention face aux incidents: incluant la perte de la confidentialité, le compromis de l'intégrité de l'information, les dénis de service, l’accés ou non aux systeme, le vol ou le dommage aux systémes, etc. Dene a ae eat eae eel aaa ee Neel INVENTAIRE ET CLASSIFICATION DES ACTIFS INFORMATIONNELS * Le contréle efficace exige un inventaire détaillé des actifs informationnels. * Une telle liste constitue la premiére étape dans la classification des actifs et dans I’établissement du niveau de protection devant étre fourni pour chaque actif. Vinventaire doit inclure: identification spécifique de l’actif La valeur relative pour l’entreprise Uemplacement La classification de sécurité/risque Le groupe d’actif Le propriétaire de l’actif Le détenteur de l’actif Le niveau d’accés autorisé U’étendue et la profondeur des contréles de sécurité ooc0c0000ieneesa nants anise uaaon seu) SNES a ee LOSE LOL IAS La classification des actifs informationnels réduit le risque et le coat de surprotection ou de sous-protection des ressources d'information en liant la sécurité avec les objectifs opérationnels. Les données doivent toujours étre traitées comme un actif essentiel des SI. Uadoption d’un programme de classification et l’attribution de l'information a un niveau de sensibilité permet un traitement uniforme des données, par le biais de l’application par niveau de politiques et de procédures spécifiques plutét que d’aborder chaque type d’information. ieneesa nants anise uaaon seu) SNES a ee LOSE LOL IAS Il s'avére trés difficile de se conformer aux politiques de sécurité de l’information si les documents et les médias ne sont pas affectés a un niveau de sensibilité et que les utilisateurs ne sont pas informés de la maniére dont ils doivent traiter chaque piéce d’information. Information publique _| Brochures de l’entreprise Politiques internes, procédures, Information privée message d'entreprise par courriel habituels, bulletin d'information, etc. Etats financiers non publiés, secrets Information sensible i r d’entreprise, etc.Lele eee EUAN ines nants anise aaa cee) > * Prérogative pour agir sur une ressource informatique. Cela fait référence a un privilege technique, par exemple la capacité de lire, de créer, de modifier ou de supprimer un fichier ou une donnée, d’exécuter un programme ou d’ouvrir ou d’utiliser une connexion externe. * Uaccés systéme aux ressources d'information informatisées est établi, géré, et contrdlé au niveau physique et/ou logique: o Les contréles d'accés physiques restreignent l'entrée et la sortie du personnel d’un endroit comme un édifice a bureaux, une suite, un centre de données ou une salle qui contient des équipements de traitement de I’information tel qu’un serveur de réseau local. o Les contréles d’accés logiques restreignent l'accés aux ressources logiques du systéme. ines nants anise aaa cee) Lele eee EUAN * Les accés aux systemes physiques ou logiques de n’importe quelle information automatisée doivent étre basés sur un principe d’accés sélectif documenté dans lequel on retrouve une exigence d'affaires légitime basée sur le droit d’accés minimum et la séparation des taches. * Les changements de personnel et de départements, les efforts malveillants et tout simplement un manque de diligence entrainent un niveau d’autorisation inadéquat et peuvent avoir un impact sur lefficacité des contréles d’accés, d’ou la nécessité d’un contréle régulier.Dene a ae cate eae eel alae ee Nie) CONTROLE D’ACCES OBLIGATOIRE (MAC) * Les accés sont entiérement définis dans la politique de sécurité de l’entreprise; * Vaccés est accordé par comparaison de la sensibilité de la ressource d’information et de la cote de sécurité de l’entité qui demande l’accés; * Les utilisateurs ou les propriétaires de données ne peuvent modifier les filtres de contréle d’accés; * Ils sont prohibitifs, i.e. tout ce qui n’est pas expressément permis est interdit. ene aa eee pee eae ial ae lee Niel CONTROLE D’ACCES DISCRETIONAIRE (DAC) * Vaccés est accordé suivant l’identité du systeme demandant Vaccés, ou du groupe auquel il appartient; * Vaccés peut étre accordé ou modifié par le propriétaire de la donnée a sa discrétion; * Uaccés peut étre hérité; * Les contréles d’accés discrétionnaires ne peuvent pas primer sur les contréles d’accés obligatoires;Mines nants anise aaa ze ue [key P NMOS e ARCOM e od) ala a OL * Soutenir ou réviser l’analyse d’impact de confidentialit © Déterminer la nature de l’information personnellement iden’ associé avec les procédés d’affaires. o Documenter la cueillette, l'utilisation, la divulgation et la destruction de l'information personnellement identifiable. © Assurer qu’il existe une imputabilité pour les problémes de vie privée. o Identifier les exigences législatives, réglementaires et contractuelles en matiére de vie privée pour en assurer la conformité. oO Etre fondement de décisions éclairées sur la politique, les activités et la conception du systéme en fonction de la compréhension du risque de confidentialité. ene a ae eat eae eel ia aa ee Niel eee Se UMS USAR UO eke als * Donner l’assurance aux gestionnaires de la conformité des politiques aux lois et reglements: o Identifier et comprendre les exigences juridiques au sujet de la confidentialité dans les lois, régulations et ententes contractuelles. o Vérifier si les données personnelles sensibles sont gérées correctement par rapport aux exigences. o Vérifier que les mesures de sécurité adéquates sont adoptées. o Réviser la politique de confidentialité de la gestion pour s’assurer qu’elle tient compte des lois et des reglements applicables concernant la confidentialité.Dee a ae eat eae eel aaa ee Neel PROBLEMES ET EXPOSITION AUX CRIMES INFORMATIQUES (MENACES) * Les systémes informatiques peuvent étre utilisés pour obtenir frauduleusement de largent, des biens, des logiciels, ou de information d’entreprise. * Les crimes informatiques peuvent se produire sans que rien ne soit physiquement pris ou volé, et ils peuvent étre effectués aussi facilement qu’en ouvrant une session a partir de la maison ou d’un restaurant. * Les crimes qui exploitent l’ordinateur et les renseignements qu’il contient peuvent étre dévastateurs pour la réputation, le moral et la permanence d’une entreprise. II peut en résulter la perte de clients ou d’une part du marché, l’embarras de la direction et des procédures judiciaires entreprises contre l’entreprise. * Les menaces a l’entreprise comprennent : iia ra heosn anise eae ete PROBLEMES ET EXPOSITION AUX CRIMES INFORMATIQUES (MENACES) * Les pertes financiéres: Les pertes directes ou indirectes comme les frais encourus pour corriger ‘exposition. * Les répercussions légales: Si une entreprise n’est pas dotée de moyens de sécurité appropriés, elle peut étre exposée a des poursuites de la part des investisseurs et des assureurs si une perte significative survient aprés une infraction de sécurité. * Les pertes de crédibilité ou d’avantages concurrentiels: Des firmes de services comme les banques, les firmes d’épargne, de préts et d’investissement, ont besoin de crédibilité et de la confiance du public pour maintenir leur avantage concurrentiel. Une infraction a la sécurité peut miner sérieusement la crédibilité, ce qui entraine une perte d’affaire et de prestige.PROBLEMES ET EXPOSITION AUX CRIMES INFORMATIQUES (MENACES) * Le chantage, l’espionnage industriel ou le crime organisé: En ayant accés & Vinformation confidentielles ou & un moyen d’influencer négativement les activités informatiques, un auteur de crime peut extorquer des paiements ou des services d’une entreprise en menacant d’exploiter les bréches de sécurité ou de divulguer publiquement les informations confidentielles de Ventreprise. * La divulgation d’informations _confidentielles, | sensibles ou embarrassantes: Tel que mentionné précédemment, de tels évanements peuvent endommager la crédibilité d’une entreprise et ses moyens de faire des affaires. Des actions légales ou réglementaires contre |’entreprise peuvent aussi étre le résultat de la divulgation. * Le sabotage: Quelques auteurs de crime ne veulent pas de gains financiers mais sont plutét animés de sentiments divers tels que la haine ou le besoin de satisfaction personnelle. Dee a ae eat eae eel aaa ee Neel PROBLEMES ET EXPOSITION AUX CRIMES INFORMATIQUES (MENACES) Les auteurs des crimes informatiques sont souvent les mémes qui exploitent les expositions physiques, méme si les aptitudes nécessaires pour exploiter les expositions logiques sont plus techniques et complexes. Les auteurs possibles incluent : * Les pirates informatiques: individus tentant de briser la sécurité du systéme de quelqu’un d’autre ou, d’y accéder sans en étre invité. * Les pirates adolescents: individus utilisant des scripts et des programmes écrits par d’autres pour effectuer leurs intrusions. Ils sont souvent incapables de les écrire par eux méme.Dee a ae eat eae eel aaa ee Neel PROBLEMES ET EXPOSITION AUX CRIMES INFORMATIQUES (MENACES) * Les employés (autorisés ou non autorisés): affiliés a l’entreprise et possédant un accés au systéme en raison de leurs responsabilités professionnelles, ces personnes peuvent causer un grand préjudice a l’entreprise. * Les employés des SI: possédent I’accés le plus facile aux renseignements informatiques puisqu’ils en sont responsables. * Les utilisateurs finaux: personnel possédant souvent une grande connaissance de l'information au sein de l’entreprise et qui posseéde un accés facile aux ressources internes. * Les anciens employés: peuvent avoir un accés aux systemes si ce dernier n’a pas été automatiquement révoqué au moment de la cessation d’emploi, ou si le systeme posséde des « portes dérobées ». Dee a ae eat eae eel aaa ee Neel PROBLEMES ET EXPOSITION AUX CRIMES INFORMATIQUES (MENACES) * Les tiers intéressés ou éduqués: peuvent comprendre les concurrents, les terroristes, les pirates, etc. * Les employés temporaires: par exemple le personnel d’entretien des bureaux posséde un grand nombre d’accés physique et pourrait perpétrer un crime informatique. * Tierces parties: fournisseurs, visiteurs, consultants, et d’autres tierces partie qui, par des projets, obtiennent l’accés aux ressources de l’entreprise et pourrait perpétrer un crime. * Les ignorants accidentels: quelqu’un qui, sans le savoir, perpétre une infraction.iene ea nants aetse aaa secure) Lisuiso)?) 2am ee RUC * Attaque par altération * Attaque de I’homme du milieu * Réseau zombie * Usurpation d’identité * Attaque de force * Analyse de réseau * Déni de service * Réinjection de paquets * Ecoute illégale * Hameconnage * Bombardement de courriel * Talonnage et pourriel * Outils d’entretien a distance * Courriels frauduleux * Saucissonnage * Code malveillant * War chalking, war driving, war * Enumération des ressources —_ walking et furetage IMPORTANCE DE LA GESTION DE LA SECURITE DE L’INFORMATION eae) RU NOs ie eae + Processus par lequel le systeme obtient d’un utilisateur son identité proclamée et les justificatifs d’identiteé nécessaires pour authentifier cette identité et valider les deux éléments d'information. + Nécessaire pour établir la responsabilité de l'utilisateur. + Lindentification permet de connaitre l'identité d’un individu, alors que l’authentification permet de vérifier cette identité. * Trois catégories d’authentification: o Ce que l'on connait (ex. mot de passe) o Ce que l'on posséde (ex. badge d’accés) o Ce que |'on est (ex. biométrie) + Lauthentification multifactorielle améliore le niveau de protection.ines nants anise aaon seu) Leslee ane Au minimum, les régles suivantes doivent étre appliquées afin de renforcer un mot de passe: + Idéalement, étre d'une longueur minimale de huit caractéres; + Exiger une combinaison d’au moins trois des caractéristiques suivantes : alpha, numérique, lettres majuscules_ et minuscules ainsi que des caractéres spéciaux; + Ne doivent pas étre particuliérement identifiable a l'utilisateur ( prénom, nom, nom de I’épouse, ...); + Le systéme doit exiger des changements de mot de passe réguliers et ne doit pas permettre a d’anciens mots de passe d’étre utilisés au moins un an aprés avoir été changé. ines nants anise aaa cere AUTORISATION + Le processus d’autorisation utilisé pour le contrdle d’accés exige que le systeme soit en mesure d’identifier les utilisateurs et de les différencier entre eux. ¢ Les régles d’autorisation spécifient qui peut avoir accés a quoi. + Les restrictions d’accés au niveau des fichiers incluent généralement les fonctions suivantes: o Lire, demander les informations ou copier seulement; o Ecrire, créer, mettre a jour ou supprimer seulement; o Exécuter seulement; o Une combinaison des énoncés ci-haut.eee a, nelel + Les LAN facilitent le stockage et l'extraction des programmes et des donni utilisés par un groupe de personnes. ines nants anise aaa cece > * Les logiciels destinés aux réseaux locaux ne procurent qu’un faible niveau de sécurité. Vaccent étant mis sur les capacités et les fonctionnalités plutét que sur la sécurité. + Les risques associés a l'utilisation des réseaux locaux inclus entre autres : o La perte de I'intégrité des données suite aux modifications non autorisées; o Le manque de protection des données courantes; L’exposition a des activité externes a cause d’une vérification limitée des utilisateurs; Linfection informatique par des virus ou vers; La divulgation inappropriée des données; La violation des licences; Laccés illégal par l'usurpation de l'identité d'un utilisateur du réseau local; Le renifilage d'information relative a un utilisateur interne; La mystification d'un utilisateur interne; o La destruction des données de journalisation et d’audit. ere a ae eat Eee eel ia ae ee Neel Se Annee * Les dispositions relatives a la sécurité du réseau local LAN dépendent du logiciel, de sa version et de son implantation. 0000 0 oo * Les capacités de gestion de la sécurité du réseau normalement disponibles comprennent notamment : o La déclaration de la propriété des programmes, des fichiers et du stockage; o Larestriction de l'accés a la consultation seule; o La mise en place du verrouillage des enregistrements et fichiers afin d’empécher la mise a jour simultanée; o Lamise en place des procédures d’ouverture de session par ID et mot de passe avec des régles relatives a la longueur, au format et a la fréquence de mise a jour du mot de passe; o Lutilisation de commutateurs pour implanter des politiques de sécurité des points d’acces, afin d’empécher des hdétes inconnues de se brancher sur le réseau; o Lencryptage du trafic local en utilisant le protocole IPSec.Dene a ae eat pee eae alae ee Neel Sees * Lenvironnement client-serveur désigne un mode de communication a travers un réseau entre plusieurs programmes ou logiciels: I’un, qualifié de client, envoie des requétes; l’autre ou les autres qualifiés de serveurs, attendent les requétes des clients et y répondent. Un systéme client-serveur posséde de nombreux points d’accés. Les systémes client-serveur utilisent des techniques réparties, ce qui accroit le risque d’accés aux données et au traitement. El Hadj Malick GUEYE, CISA ee ea ae ec s tie eae ee aa ee Ne A ee ee ae aa daeus + Les mesures de protection d’une architecture Client- Serveur comprennent: o Identification de tous les points d’accés; o Désactivation des lecteurs de disque et port USB . o Analyse de l’activité des utilisateurs connus et inconnus; ° Cryptage des données sensibles; o Implémentation des méthodes d’authentification multifactorielles; o Formation des utilisateurs. El Hadj Malick GUEYE, CISAiene ea nanos anise aaon secure eS ea + Dans le cas des réseaux sans fil, les objectifs principaux sont de garantir la confidentialité, l'intégrité, l’authenticité et la disponibilité. * La garantie que les ressources ne sont utilisées qu’aux fins prévues fait aussi partie de la disponibilité. + Les risques liés aux réseaux sans fil sont €gaux a la somme des risques liés au fonctionnement d’un réseau cablé et des nouveaux risques introduits par la faiblesse des protocoles sans fil. Afin d’attenuer ces risques, une organisation doit adopter des mesures et des pratiques qui permettront de gérer ces risques. + Les entités malveillantes possédent de nombreux moyens pour accéder aux dispositifs sans fil. Ceux qui sont liés aux réseaux locaux sans fil (WLAN) comprennent, entre autres, trois formes de piratage Wi-Fi : les war driving, war walking et war chalking. iene ea nanos anise aaon secure eS SONS * Les exigences de sécurité comprennent notamment : o Lauthenticité : Une tierce partie doit étre apte a vérifier que le contenu d’un message n’a pas été modifié en cours de transmission. o Lanon-répudiation : Lorigine ou la réception d’un message précis doit étre vérifiable par une tierce partie. o La responsabilité : Les actions d’une entité ne doivent étre retragables qu’a cette entité. o La disponibilité : Les ressources des TI doivent étre disponibles au moment opportun afin de satisfaire les exigences de la mission ou pour éviter des pertes substantielles.Politique et administration de la sécurité des SI: Introduction aux normes ISO 27000 La famille ISO 2700x er) coed ryQuel cadre pour la mise en ceuvre et l’audit de la sécurité de formation? La sécurité de l'information est régie principalement par deux normes: * ISO 27001 : Cadre de gestion la sécurité * ISO 27002 : Liste des contrdles (meilleures pratiques) IsO 27001 1sO 27002 Comment m’organiser pour gérer -—-_Quels sont les objectifs de contrdles pour: la sécurité? + Mettre en ceuvre la sécurité, os soo via ue Alter la séurte ISO 27001 Cycle de vie du systéme de gestion de la sécurité de l'information (sos) Interested parties Interested partes Inermatin socunity requirements and expectations Figure | — PDCA model applied to ISMS processes El Hadj Malick GUEYE, CISAISO 27001 Certifier le systéme de gestion Es de la sécurité de organisation Metre en place un systéme/cadre de gestion de la sécurité (isms) Définir le périmétre sur lequel le systeme de gestion de la sécurité de l’information s’applique (Coeur d’activité de l’organisation) Définir une politique de gestion de la sécurité (ISMS) Définir une méthodologie d’évaluation des risques (elle doit produire des résultats comparables et reproductibles) Identifier les risques Evaluer les risques et identifier la méthode de gestion du risque Sélectionner les contréles de la norme ISO 27002 permettant pallier les risques Faire approuver le dispositif Préparer un «Statement of Applicability» : Liste des contréles de la norme ISO 27002 qui sont applicable ou non a l'organisation (toute exclusion doit étre justifiée) By SS MUS ISO 27001 Cadre de gestion de la sécurité + Lanorme impose l’établissement d’un T systéme de gestion de la = Dararasase | emvemnes _ sécurité de l'information ace (SGSI), décrit dans un cadre nu = de gestion. - | sateen + * Les objectifs et mesures de eo a contréle doivent étre mis Set owes | eee ——+| en ceuvre et documentés. ee * La documentation doit étre Sra Al setcoee contrélée. se _| Sete * Des registres matérialisant = Tatianna: les contréles doivent étre swe ae etree | maintenus. i 4 gure 1 Raaihing« management amowoek« Chez nous, il n’y a rien a protéger » (elo Atténuation -> Ré évaluation.Analyse des risques Evaluer les contre-mesures * Analyse coat / bénéfices : Choisir les méthodes de gestion des risques adéquates en se basant sur : o Le colt de la mesure de contréle en comparaison au degré de réduction du risque o La propension de la haute direction au risque o La/Les méthode(s) de réduction du risque privilégiée(s) Analyse des risques Objectifs et Besoins * Identifier et évaluer les risques en fonction des: © Types d’impact (Impacts métiers, financiers, clients, juridiques, image de marque, etc.) * Définir les mesures de sécurité pour réduire les risques identifiés par l’implémentation des meilleures mesures de contréle interne. * Garantir la continuité des activités * Protéger contre les activités et tentatives de fraude + Adapter les décision stratégiques en fonction du niveau de criticité des risques encourus * Etre en conformité avec la réglementation en vigueurAnalyse des risques Menace, vulnérabilité, impact, risque * Le niveau de criticité de eon risque est évalué comme suit Risque= Probabilité d’occurrence (Menace x Vulnérabilité) x Impact Le catalyseur: Le probléme: La conséquence: Violation potentielle Faiblesse pouvant étre —_résultat de I'exploitation de la sécurité exploité par une menace de la vulnérabilité par la menace Tnduitaunimpact_ > * Probabilité d’occurrence: Potentialité d’exploitation d’une vulnérabilité par une menace tout en prenant en compte les niveaux de couverture existants. Analyse des risques Menace, vulnérabilité, impact, risque oN a rtgede sgrsnte eee vet NTROLES | —“ +] aisouns ACTIFS state pr J cre J " a VALEUR EXIGENCES 7 i DE SECURITE, Geepact peleniteh)Analyse des risques Traitement du risque * Objectif: Réduire les risques a un niveau acceptable en fonction de leur impact. * Le niveau de risque résiduel doit étre inférieur aux critéres prédéfinis d’acceptation de risques * Les critéres d’acceptation des risques sont basés sur l’analyse des coats du traitement du risque face aux coat de reconstruction * Le plan de traitement des risques consiste 4 la mise en place de contre-mesures de sécurité: © Contréle sur la menace ou la vulnérabilité afin de limiter la cause du risque © Contréles sur impact, afin de limiter la conséquence du risque. * Il existe de nombreuses contraintes a prendre en compte dans le cadre de la mise en place des mesures de sécurité (financiéres, techniques, opérationnelles, légales, humaines) Analyse des risques Traitement du risque 4-Compréhension des processus mitiers Processus Application Plateforme Base de doonées Inrasiructure 2-Analyse d'impact surles ( 3-Analyse des menaces, des vulnérabiités et processus métiers des contréles Disronibité - Confidentatté Identicaton oes menaces Ineegnte— Tragabiné Fessules des aucits (vuinérabiltés et contréles) 4. Formalisation des risque! | 5. Détermination des objectits ot des ‘exigences de sécurité Traitement dos risques gjectis et engences de sécurté permettant de cour es risquesRéponse au risques Termes fans Pea on Appétit pour le risque _Le niveau de risque que le comité de direction est prét a prendre pour l'entreprise dans le cadre du déroulement de sa mission. Tolérance au risque Le niveau acceptable de variation qu'une entreprise est préte & accepter pour tout risque particulier Capacité & assumerle _Le niveau maximal de perte qu’une entreprise peut tolérer sans risque risquer de porter atteinte a son existence. Ainsi il différe de Vappétit du risque qui se trouve étre le niveau de risque souhaité par la Direction Général et le Comité de Direction. Réponse au risque Consiste 4 mettre en relief les risques inhérents dans Fentreprise, précise leurs effets et propose des réactions convenues face & chaque risque. Risque résiduel Risque actuel aprés choix et implémentation de la réponse au risque. Réponse au risques Objectif * Uobjectif de la mise en place d’une réponse au risque est de permettre un alignement du risque avec l’appétit pour le risque défini dans l’entreprise. En d’autres termes, une réponse doit étre choisie de sorte que le risque résiduel soit en dega de la limite de tolérance; * Lévaluation de la réponse au risque n’est pas un effort unique. | doit faire parti du processus de gestion du risque; * Lorsque l’analyse de tous les scenari de risque identifiés ont montré un non alignement avec l’appétit du risque défini et le niveau de tolérance, une réponse est requise. Cette réponse peut étre: o Lévitement o Vacceptation o Le partage © LatténuationRéponse au risques Evitement du risque (1) + Lévitement consiste 4 ne mener aucune activité susceptible d’engendrer un risque. + Lévitement du risque s’applique lorsque les autres réponses au risque sont inadéquates. C’est le cas quand: © Iln’ya aucune réponse effective en terme de cotit pouvant aider a réduire l’impact et la fréquence en dega de la limite défini d’appétence au risque, o Le risque ne peut pas étre partagé ou transféré, o Leniveau d’exposition est considéré comme inacceptable par la haute direction. Réponse au risques Evitement du risque (2) * Quelques exemples d’évitement de risques liés aux Technologies de I’Information: © Délocaliser un centre de ressource dans une région avec moins de risques naturels, o Décliner la participation a un projet de grande envergure dont l’analyse de rentabilisation montre un risque notable d’échec, o Décide de ne pas utiliser une technologie particuliére car non extensible.Réponse au risques Acceptation du risque (1) * Uacceptation signifie que l’exposition a la perte est connue mais qu’aucune action n’est prise pour contrer un risque particulier. * Ceci est différent de l’ignorance du risque. * Lacceptation du risque signifie que le risque est connu cad que la haute direction a elle-méme et pour des raisons valables, pris la décision de l’accepter ainsi. Réponse au risques Acceptation du risque (2) * Quelques exemples d’acceptation de risques liés aux Technologies de I’Information: © Il peut y avoir risque qu’un projet ne fournisse pas les fonctionnalités métiers désirées, d’ici la date prévue de mise en production. La haute direction peut décider d’accepter le risque et poursuivre le projet. © Siun risque particulier est évalué comme étant extrémement rare, avec un impact trés important (voir catastrophique) et des approches de réduction tres prohibitifs, la haute direction peut décider de l’accepter.Réponse au risques Partage/Transfert du risque (1) * Le partage consiste a réduire la fréquence ou I’impact de risque en transférant ou en partageant une partie du risque. * Parmi les techniques les plus usitées nous avons l’assurance et la sous-traitance. Ces techniques ne soulagent pas l’entreprise de la responsabilité du risque, mais elle font appel aux compétences d’une autre entité dans la gestion du risque et la réduction des conséquences financiére si un évenement négatif arrivait a se produire. Réponse au risques Partage/Transfert du risque (2) + Quelques exemples de partage/transfert de risques liés aux Technologies de lInformation: © Une grande entreprise ayant identifié et évalué le risque d'incendie pour son infrastructure répartie dans plusieurs endroits du pays, envisage la souscription a une assurance afin de partager I'impact du risque. Elle a conclu que compte tenu de la localisation de ces sites, le cout incrémental d'une assurance n'était pas prohibitif. La souscription a finalement été faite. © Dans le cadre d'un projet d'envergure dans le domaine des TI, les risques du projet peuvent étre partagé en sous-traitant le développement de |'application métier moyennant un cout fixe. ©. Certaines entreprises sous-traitent quelques un ou la totalité de leurs fonctions informatiques a des prestataires et partagent ainsi le risque. © Lorsque I'hébergement des applications est sous-traité, I'entreprise reste responsable de la protection des données clients, mais si le prestataire est négligeant et qu'une faille est exploitée, le risque (impact financier) peut étre partagé avec le client.Réponse au risques Mitigation du risque La mitigation désigne 'ensemble des mesures et moyens d’atténuation pour réduire la fréquence et / ou l'impact d'un risque. Parmi les moyens de mitigation des risques nous pouvons citer: + Le renforcement les pratiques de gestion du risque informatique global, 8 savoir, la mise en ceuvre des processus de gestion des risques informatiques suffisamment matures tels que définis par les référentiels, . L'introduction d'un certain nombre de mesures de contréle visant soit a réduire la fréquence d'un événement indésirable ou l'impact commercial/financier d'un événement. Les contréles permettent , dans le contexte de la gestion des risques, d'atténuer le risque. + Uatténuation des risques est possible par d'autres moyens ou méthodes, par exemple, il existe des cadres de gestion informatique de renom et des normes capables d'aider. Type de risques * Les accidents : Pannes matérielles ou logicielles, Bris de machine accidentel (choc, chute, etc.), Sinistre local explosion, incendie, dégat des eaux, Evénements naturels : tempéte, inondation, etc, Perte de services essentiels : électricité, t¢lécommunication, eau, etc. oo0000 * Les erreurs : oO Erreurs d'utilisation, © Erreurs de conception des logiciels et des procédures d'application. + La malveillance : o Vol de matériel, Sabotage matériel, Fraude (détournement de fonds, de biens ou de services), Attaque logique, Divulgation d'informations confidentielles, Infraction aux lois (contrefagon). ooo0ceType de contréles rn cm fconmecne Personnel quallfié Message d'erreur Procédure d’urgence Séparation des taches Fonction d’audit interne _Procédure de sauvegarde Contréle d’accés Procédure de reprise Documents bien concus Maintenance Logiciel de chiffrement ae Prévention Détection Protection Démarche de |’audit de sécuritéaudit de sécurité du SI . Définition: L’audit de sécurité du systéme d'information est un examen méthodique d’une situation liée a la sécurité de I’information en vue de verifier sa conformité a des objectifs, a des régles ou a des normes. . Compte tenu du cadre de gestion de la sécurité de I’information, les audits de sécurité peuvent adresser des problématiques différentes comme par exemple : o Audit de la politique de sécurité, v — Adéquation de la politique de sécurité a la stratégie de risques de lentreprise, aux contraintes légales et réglementaires et aux bonnes pratiques, o Audit de la mise en ceuvre de politique de sécurité, v Respect des exigences de sécurité au sein de l’entreprise au travers de la mise en ceuvre de mesures de sécurité adéquates et pérennes, o Audit de lefficacité des mesures de sécurité. v Test d’intrusion. Types d’audit de sécuritéExemples de risques a prendre en compte lors d’un audit * — Risques sur le patrimoine de l'entreprise © Vold’actifs de l’entreprise, © Divulgation d’informations confidentielles, o Détournement de services, o Sabotage. * — Risque sur l'activité ° Indisponibilité du poste de travail, 0 Indisponibilité du réseau ou du serveur. * — Risque sur l'intégrité du systeme d'information Attaque virale, Incohérence des données entre serveurs et stations, Développements mal maitrisés ou mal documentés, Ouverture de failles dans la sécurité (connexions incontrélée a Internet). e000 * — Risque juridique o Infraction a la loi, oO — Copie illicite de logiciels, © Fraude informatique avec le matériel de 'entreprise. Démarche d’audit de sécurité Prise de connaissance © Cartographier le systéme, © Recenser les standards et régles. 2.Analyse des risques co Evaluer les enjeux de la sécurité du systéme, o Identifier des scénarios de menace et en évaluer |'impact sur Nentreprise. 3.Evaluation de la sécurité du systeme © Vérifier que les contrdles mis en ceuvre garantissent une couverture suffisante des risques. o Des référentiels existent : ISO 27002, Cobit5 for information Security, etc. 4.Elaboration de recommandations © Pour chaque vulnérabilité identifiée et correspondant a un risque, proposer une recommandation corrective, o Préparer les recommandations avec les personnels opérationnels de Ventreprise !Démarche de l’audit de sécurité 1. Prise de connaissance Collecter l'information © Documents de lentreprise, © — Entretiens, © Visite des locaux. Informations a collecter: * Organisation : * Matériels : © politique de sécurité, © serveurs, © normes et standards en vigueur, © stations de travail, © personnes et Equipes impliquées dans 9 équipements réseau (switch, routeurs), exploitation du réseau et du parc © firewalls. micro (administration, maintenance, sécurité, support utilisateur), a © définition des responsabilités, * Logiciels : ; © procédures appliquées ou prévues © systémes d’exploitation, (mode dégradé), o middleware, . © plans (de sauvegarde, d'archivage,de © _ principales applications utilisées. secours, de reprise, etc.), © interlocuteurs pour audit « Communissnong? (informatique et utilisateurs). ‘© architecture du réseau (topologie), ae © plan de cablage, * Volumétrie : © connexions avec I'extérieur. © nombre d’utilisateurs, © volumes de données transmises, © taille des données sauvegardées. Démarche de l’audit de sécurité 2. Analyse du risques 1- Comprehension des processus métiers Processus Applicaton Prateforme Base de données. Ifrasructure oH, 2-Analyse d'impact surles processus métiers Disgoribilié - Confdentialté Integite———Tracabité ( 3-Analyse des menaces, des vulnérabiités et | ‘des cortrdles !onsfication des menaces essultats des aueits (vunerabiltés ot contréias) =—_-Z= «(Cl 4. Formalisation des risques | (_ 8-Détermination des of exigences de sécurité Traitement des risques bjectits et des Chjectts et exigerces de sécutté nermettant cle couvir les risques.Démarche de l’audit de sécurité 2. Analyse de risques Etape 1 : Compréhension des processus métiers * — Les objectifs de cette étape sont de : © mettre en évidence l’ensemble des processus métiers et leurs interactions, © identifier les données intervenant a l’intérieur de ces processus, 0 identifier les composants (application, base de données, serveurs et infrastructure) nécessaires au déroulement des processus métiers. * Description des processus et de leurs composants (applications, bases de données, serveurs, infrastructure). Démarche de l’audit de sécurité 2. Analyse de risques Etape 2 : Analyse d’impact sur les processus métiers fs rat pe | sum me stipe | pes de jest a ons ae fee alban nro 4 | 10% sea sat [Poi ph ml ie ones —— seater ects ne 3 | te mn atone | poo pret ome ges fe 2 | we | Sedge |Petcot Ames Teper eso nan ca din 1 _| ssn m7 feaupaie | ca o | sx Hesinps| _tatopetDémarche de l’audit de sécurité 2. Analyse de risques Etape 3 : Menaces, Vulnérabilités et Contréles Alissue de l’analyse de I’impact sur les processus métiers, une analyse des menaces, des vulnérabilités et des contréles sera réalisée. En fonction des processus, données et composants du systéme d'information, une sélection des menaces pertinentes sera réalisée. Ces menaces sont caractérisées par leur type (naturel, humain, ou environnemental) et les causes possibles (accidentelle, intentionnelle). * — Analyse des vulnérabilités et des contréles. Démarche de l’audit de sécurité 2. Analyse de risques Etape 3 : Menaces, Vulnérabilités et Contréles Eléments menagants Criteres de sécurité Type Cause touchés 4 _ & |g 2 3 Els je |$ |g 8 |5 3 = /§ [2 [8 |§ 3\2\s Méthodes d'attaque = |= |s f= |S os ie 1 [incendie + + + + + +] + 13 | Perte des moyens de télécommunications + + + + 19 |Ecoute passive + + + + 20 | Vol de supports ou de documents + + + 21 | Vol de matériels + + + + 23 | Divulgation ++ D> b+ + 26 | Piégeage du logiciel + + epee 42 |Aiteinte a la disponibilité du personnel + + + + + +Démarche de l’audit de sécurité 2. Analyse de risques Une évaluation de la probabilité d’occurrence de la menace sera établie en fonction de l’existence de vulnérabilité et la présence de contrdle. Menace | Potentialité 5 Tres frequent (devrait arriver de nombreuses fois durant le cycle de vie du systéme) 4 Fréquent (devrait arriver plusieurs fois durant le cycle de vie du systeéme) 3 Probable (devrait normalement arriver durant le cycle de vie du systeme) zi Peu probable (ne devrait normalement pas arriver durant le cycle de vie du systeme) 1 Trés peu probable (ne devrait jamais arriver durant le cycle de vie du systeme) Démarche de l’audit de sécurité 2. Analyse de risques Vappréciation du risque encouru résulte de la probabilité de réalisation de la menace et du niveau de conséquences dommageables pour un ou l’ensemble des processus. Probabilité de séalisation de la menace a erred fore Con Coe et mC ee eee ee ee et oonenters i pas ete et ere ae Se oe eo ee eer eee eee Pon ee systime) pee) du systéme) Desastre Tacident InterruptionDémarche de l’audit de sécurité 2. Analyse de risques Etape 5 : Objectifs et exigences de sécurité * Dans un premier temps et en fonction de la stratégie de risques, une décision sera prise, pour chaque risque, quant a la gestion de ce risque: © lerisque est négligeable, ole risque est acceptable, ole risque est inacceptable. * Sur la base de ces résultats, des objectifs et des exigences de sécurité seront définis afin de réduire ou de supprimer les risques inacceptables. Démarche de l’audit de sécurité 2. Analyse de risques Etape 5 : Objectifs et exigences de sécurité Les objectifs et les exigences de sécurité pourront étre sélectionnés & partir du guide «Outillage pour le traitement des risques SSI» de la méthode Ebios. Ce guide présente en particulier des exigences de sécurité issues des normes ISO 15408 et ISO 27002. 327 BMA: Controle des acc (Chapitre 9) 3271 BMA_EMA: Exigences de enrepiseconcmart conti des asks (6.1) ume popans fscamatios fess or Sve tad 3272 BMA_GAD: Gestion ex secs utters 92) ote } faun_caus [atmuen poutocrsae Tesi St as tree tine sercs romance ran aT ananon pgs Gave Bn avons mar SEES oie Se Fee Gt Wee MSbaUG a un Pests 62 fesinensses res ‘aaaDémarche de l’audit de sécurité 3. Evaluation de la sécurité d’un systeme * Objectif : s’assurer que les contrdles mis en ceuvre au sein ou autour du systéme audité sont en mesure de garantir une couverture suffisante des risques pesant sur le systéme. * Principaux points a contréler : Sécurité physique Sécurité d’exploitation Contr6le des accés et des habilitations (sécurité logique) Audit et contréle Prise en compte de la sécurité dans les projets Respect des lois oooaoo0o9d0 Démarche de l’audit de sécurité 4, Elaboration de recommandations * Objectif : préparer les éléments du plan d’action sécurité. * Pour chaque vulnérabilité identifiée et correspondant a un risque, proposer une action corrective. + Hiérarchiser les recommandations en fonction de l’importance du risque (application des résultats de l’analyse de risque). + Valider les recommandations avec les personnels opérationnels de l’entreprise Menace/Vulnéra | Priorité |Typede | Recommanda | Responsable | Date de traitement Chet Pirie cu tid Cree te pea neeContexte législatif Contexte législatif es La CEDEAO et la CDP procédent progressivement 4 l'adoption d’une réglementation des TICs, via des déclarations de politique générale et régulations de la protection des données personnelles. * Propriété intellectuelle © LOI n® 2008-12 du 25 janvier 2008 portant sur la Protection des données & caractére personnel * Signature électronique © Acte additionnel A/SA.2/01/10 du 16 février 2010 sur les transactions électroniques © Réglement n°15/2002/CM/UEMOA du 23 mai 2002 relatif aux systemes de paiement dans les états membres de I’Union Economique et Monétaire Quest Africaine (UEOMA) + Cybercriminalité © Directive C/DIR/1/08111 portant lutte contre la cybercriminalité dans l'espace de la CEDEAO * — Cryptologie © LOln® 2008-41 du 20 actit 2008 portant sur la CryptologiePropriété intellectuelle Le traitement des données a caractére personnel est considéré comme légitime si la personne concernée donne son consentement. Article 33 Les données a caractére personnel doivent étre traitées de maniére confidentielle et étre protégées conformément aux dispositions de article 71 de la présente loi, notamment lorsque le traitement comporte des transmissions de données dans un réseau. Article 38 Il est interdit de procéder 4 Ia collecte et 4 tout traitement qui révélent l’origine raciale, ethnique ou régionale, la filiation, les opinions politiques, les convictions religieuses ou philosophiques, Vappartenance syndicale, la vie sexuelle, les données génétiques ou plus généralement celles relatives a I’état de santé de la personne concernée. Article 40 Le responsable d’un traitement ne peut transférer des données a caractére personnel vers un pays tiers que si cet Etat assure un niveau de protection suffisant de la vie privée, des libertés et droits fondamentaux des personnes a |’égard du traitement dont ces données font ou peuvent faire l'objet. Article 49 Signature électronique Une signature électronique créée par un dispositif de sécurité que le signataire peut garder sous son contréle exclusif et qui repose sur un certificat numérique est admise comme signature au méme titre que la signature manuscrite. Article 35 Enjeux pour la sécurité : © protection signature contre falsification, © mentions du certificat : nom du signataire, date de début et de fin de la validité du certificat, limites d'utilisation du certificat.Cybercriminalité Constitue une infraction, au sens de la présente Directive, le fait de commettre un vol, une, escroquerie, un recel, un abus de confiance, une extorsion de fonds, un acte de terrorisme, ou une contrefacgon portant les données informatiques, les logiciels et les programmes. Article 25 Lécrit électronique est admis comme preuve en matiére d’infraction a condition que puisse étre diment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature a en garantir ’intégrité. Article 32 En cas de condamnation, la juridiction compétente peut prononcer la confiscation des matériels, des équipements, des instruments, des programmes informatiques ou des données ainsi que des sommes ou produits résultant de I’infraction et appartenant au condamné. Article 29 Cryptologie Les prestataires de services de cryptologie a des fins de confidentialité sont responsables du préjudice causé dans le cadre desdites prestations aux personnes leur confiant la gestion de leurs conventions secrétes, en cas d‘atteinte a I’intégrité, ala confidentialité ou a la disponibilité des données transformées @ Vaide de ces conventions. Article 18 Les personnes assurant des prestations de cryptologie ou exercant des activités de cryptologie disposent d’un délai de six (6) mois @ compter de la date d’entrée en vigueur de la présente loi, pour régulariser leur situation auprés de la Commission nationale de cryptologie. Article 21 Quiconque aura fourni des prestations de cryptologie sans avoir obtenu préalablement I’agrément de la Commission nationale de cryptologie prévu a larticle 16 de la loi sur la cryptologie, sera puni d’un emprisonnement d’un an a cing ans et d'une amende de 1.000.000 francs & 20.000.000 francs ou de I’'une de ces deux peines seulement. Article 2