Vous êtes sur la page 1sur 161

AUDIT

 DE  LA  SECURITE  


DES  SYSTÈMES  D’INFORMATION  
ET  PROTECTION  DES  ACTIFS  

El  Hadji  Malick  GUEYE  |  CISA,  COBIT5,  ITIL  


malick@gueye.net  

Janvier  2016  
MPACG2  SOIR  
IntroducRon  et  
présentaRon  générale  
Audit  de  la  sécurité  des  systèmes  d’informaRon  

q  IntroducRon  et  présentaRon  générale  


q  Principes  généraux  des  systèmes  d’informaRon  
q  NoRons  de  base  de  la  sécurité  de  l’informaRon  
q  Processus  d'audit  des  systèmes  d’informaRon  
q  Importance  de  la  gesRon  de  la  sécurité  
q  PoliRque  et  administraRon  de  la  sécurité  des  SI  
q  Analyse  des  risques  
q  Démarches  de  l'audit  de  sécurité  
q  Contexte  législaRf  au  Sénégal  et  dans  la  CDEAO  
q  Exercices  &  Cas  PraRques  
q  CerRficaRons  

El  Hadji  Malick  GUEYE,  CISA  


Principes  généraux  
El  Hadji  Malick  GUEYE,  CISA  
Cybercriminalité  :  l'Afrique   CYBERCRIMINALITÉ  ET  
face  à  une  menace   ENLÈVEMENT:  
grandissante   Quatre  Nigérians  placés  sous  
JeuneAfrique,    19  Mai  2013   mandat  de  dépôt  
Journal  l’Enquête,    20  Juin  
Cybercriminalité  à  Dakar:   2014  
près  de  100  millions  de   Cybercriminalité:  L’afrique,  le  
FCFA  pompés  dans  une   nouveau  far-­‐west  
banque   Sifaris,  31  Octobre  2014  
Groupe  FM,  04  Dec.  2013  
La  cybercriminalité  au  
Cybercriminalité  au  Mali:  Le   Mali,  un  autre  front  
«  Broutage  »  se  transporte  de  la   contre  le  djihadisme.  
Côte  d’Ivoire  au  Mali.   Franceinter.fr,    09  Sept.  
Maliactu.net,  03  Fev.  2015   2015  
Principes  généraux  
Qu’est  ce  que  la  sécurité  du  système  d’informaRon?  

•  L'informaRon  est  un  acRf  précieux  de  l'entreprise.  


o  Recherche  et  développement  
o  Techniques  de  fabricaRon  
o  Stratégie  de  l'entreprise  
o  Données  financières  
o  InformaRons  commerciales    (tarifs,  marges,  proposiRons,  …)  
o  Données  personnelles  (médicales,  clients,  salariés,  ...)  
o  etc.  
 
•  A  ce  Rtre,  il  faut  la  protéger  contre  :  
o  La  perte,  
o  L'altéraRon,  
o  La  divulgaRon.  

El  Hadji  Malick  GUEYE,  CISA  


Principes  généraux  
Qu’est  ce  que  la  sécurité  du  système  d’informaRon?  
•  L'informaRon  se  présente  sous  de  nombreuses  formes  :  
o  Imprimée  ou  écrite  sur  papier,  
o  Enregistrée  sur  support  électronique,  films  ou  bandes  
magnéRques,  
o  Parlée  lors  de  conversaRons,  etc.  
 
•  Les  organisaRons  modernes  sont  de  plus  en  plus  
dépendantes  des  systèmes  informaRques  et  de  
télécommunicaRon,  qui  sont  eux-­‐mêmes  de  plus  en  plus  
ouverts  et  répandus.  
 
•  Ces  systèmes  doivent  donc  être  protégés  contre  :  
o  L'indisponibilité,  
o  L'intrusion.  

El  Hadji  Malick  GUEYE,  CISA  


Principes  généraux  
Le  système  d’informaRon  (rappel)  
Le  système  d'informa1on  est  cons1tué  de  l'ensemble  des  
moyens  matériels,  logiciels,  organisa1onnels  et  humains  qui  
agissent  entre  eux  afin  de  traiter,  conserver  ou  communiquer  de  
l'informa1on.  
 
Il  comprend  par  exemple  :  
•  Le  système  téléphonique  et  de  télécopie  (couramment  
appelé  «  fax  »),  
•  La  messagerie,  
•  Les  ordinateurs  (staRons  et  serveurs)  ainsi  que  leurs  logiciels,  
fichiers  et  bases  de  données,  et  tous  leurs  supports  (disques  
externes,  CD-­‐ROM,  etc.),  
•  Le  réseau  (Intranet  ou  Extranet),  
•  Les  imprimantes,  les  broyeurs  et  les  corbeilles  à  papier,  
•  Les  notes,  comptes  rendus,  dossiers,  mémos  et  documents  
divers,  
•  Les  conversaRons,  etc.  

El  Hadji  Malick  GUEYE,  CISA  


NoRons  de  base  de  la  sécurité  des  SI  
NoRons  de  base  de  la  sécurité  des  SI  
IntroducRon  
•  La  sécurité  n'est  pas  une  affaire  de  spécialistes,  mais  
relève  de  la  responsabilité  de  chaque  collaborateur,  de  
chaque  service  et  de  chaque  direcRon.  
o  Chacun  manipule  et  uRlise  des  informaRons  et  des  
ressources  qui  consRtuent  le  patrimoine  de  l'entreprise  
et,  à  ce  Rtre,  doit  garanRr  leur  protecRon.  
 
•  Toute  démarche  de  sécurité  doit  être  précédée  d’une  
analyse  des  risques.  
o  IdenRfier  les  enjeux  de  l’entreprise  
o  Évaluer  les  impacts  méRer  d’un  sinistre.  

•  Axes  d'expression  de  la  sécurité  :  


o  ConfidenRalité  
o  Intégrité    
o  Disponibilité  
o  Preuve:  imputabilité,  traçabilité,  auditabilité,  non-­‐répudiaRon.  
El  Hadji  Malick  GUEYE,  CISA  
NoRons  de  base  de  la  sécurité  des  SI  
Le  rôle  stratégique  de  l’individu  
•  L'individu  joue  le  rôle  central  dans  la  sécurité  de  l'entreprise  :  
o  il  manipule  quoRdiennement  les  acRfs  sensibles,  
o  il  applique  les  procédures  définies,  
o  il  met  en  œuvre  les  moyens  de  sécurité,  
o  il  idenRfie  les  situaRons  anormales,  
o  il  détecte  les  incidents,  
o  il  réagit  même  si  aucune  procédure  n'adresse  le  cas  rencontré.  

•  Un  personnel  responsable  et  vigilant  est  la  clé  d'une  sécurité  


efficace.  
o  Importance  de  la  sensibilisaRon  et  de  la  formaRon  (conduite  du  
changement).  

«La sécurité de la cité tient moins à la solidité de ses


fortifications qu’à la fermeté d’esprit de ses habitants.» Thucydide  

El  Hadji  Malick  GUEYE,  CISA  


NoRons  de  base  de  la  sécurité  des  SI  
Analyse  de  risques  et  mesures  de  sécurité  

•  Analyse  de  risques  :   •  Mesures  de  sécurité  :  


o  Faisabilité,   o  PrévenRon,  
o  Impact  financier,   o  DétecRon,  
o  Impact  sur  image  de   o  ProtecRon  (ou  réacRon).  
marque.  

El  Hadji  Malick  GUEYE,  CISA  


NoRons  de  base  de  la  sécurité  des  SI  
Le  vecteur  DICT:  Disponibilité  
Tout  système  doit  apporter  les  fonc1ons  aAendues  dans  les  
délais  prévus,  conformément  au  contrat  de  service  défini  avec  
les  u1lisateurs.  
 
•  La  conRnuité  de  service  doit  être  assurée  quelles  que  soient  
les  circonstances  :  
o  charge  importante  du  système,  
o  panne  d'un  composant,  
o  défaillance  d'un  fournisseur  (électricité,  télécoms,  etc.),  
o  sinistre  endommageant  ou  détruisant  le  système.  
 
•  Techniques  de  base  liées  à  la  disponibilité  :  
o  Systèmes  de  haute  disponibilité,  à  tolérance  de  panne  
o  Plan  de  Sauvegarde  
o  Plan  de  Reprise  d'AcRvité  (PRA)  
o  GesRon  de  la  Crise  

El  Hadji  Malick  GUEYE,  CISA  


NoRons  de  base  de  la  sécurité  des  SI  
Le  vecteur  DICT:  Intégrité  
Les  systèmes  et  les  informa1ons  ne  doivent  être  altérés  à  l'insu  de  
leurs  propriétaires.  
 
•  L'altéraRon  est  une  modificaRon  non  autorisée  préservant  la  
vraisemblance  des  données  ou  le  bon  foncRonnement  apparent  
des  systèmes.  
 
•  L'altéraRon  peut  provenir  :  
o  d'une  erreur,  
o  d'une  infecRon  par  un  virus,  
o  d'un  acte  de  malveillance.  
 
•  Les  techniques  de  sécurité  généralement  employées  ont  
davantage  pour  effet  de  détecter  l'altéraRon  que  de  l'interdire.  

El  Hadji  Malick  GUEYE,  CISA  


NoRons  de  base  de  la  sécurité  des  SI  
Le  vecteur  DICT:  ConfidenRalité  
L'informa1on  est  protégée  contre  la  divulga1on  à  des  1ers  non  
autorisés.  

•  L'informaRon  doit  être  protégée  à  tout  moment  :  


o  lors  de  son  stockage  (bases  de  données,  disqueres),  
o  lors  de  son  transfert  (réseaux),  
o  lors  de  sa  matérialisaRon  (documents  papier).  

El  Hadji  Malick  GUEYE,  CISA  


NoRons  de  base  de  la  sécurité  des  SI  
Le  vecteur  DICT:  Traçabilité  (ou  Preuve)  
Le  système  doit  permeAre,  chaque  fois  que  nécessaire,  d'enregistrer  
de  manière  incontestable  toute  ac1on  sur  tout  objet  par  tout  
auteur.  
 
•  Il  doit  permerre  d'imputer  toute  opéraRon  à  son  auteur  
(imputabilité).  
•  Il  doit  permerre  de  reconsRtuer  toutes  les  étapes  permerant  de  
passer  d'une  situaRon  à  une  autre  (traçabilité).  
•  Il  doit  permerre  de  vérifier  la  bonne  applicaRon  des  procédures  
prévues  (auditabilité).  
•  Il  doit  permerre  de  garanRr  l'idenRté  des  parRes  à  une  transacRon  
(non-­‐répudiaMon).  

El  Hadji  Malick  GUEYE,  CISA  


Processus  d’audit  des  SI  
DéfiniRons  
L’Audit  et  les  Auditeurs  
 
•  Audit  :  EvaluaRon  d’un  système,  d’un  processus,  
d’un  projet  ou  d’un  produit  d’une  organisaRon.  

•  Auditeur  :  Personne  qualifiée,  compétente  et  


indépendante  fournissant  avec  objecRvité  un  service  
d’audit  dans  le  but  de  rendre  un  rapport.  

El  Hadji  Malick  GUEYE,  CISA  


L’Auditeur  
QualificaRons  de  l’auditeur  

•  Indépendance  professionnelle,  

•  Indépendance  organisaRonnelle,  

•  Adhésion  à  un  code  professionnel  d’éthique  

•  DéRent  les  compétences  et  apRtudes  nécessaires  


pour  l’exécuRon  de  l’audit.  

Intégrité  –  Objec/vité  –  Confiden/alité  -­‐  Compétence  

El  Hadji  Malick  GUEYE,  CISA  


DéfiniRon  
Audit  SI  /  IT  

•  Analyse  parRelle  ou  exhausRve  du  foncRonnement  


d'un  centre  de  traitement  et  de  son  environnement  

•  Débouche  sur  un  diagnosRc  précisant  


o  l'adéquaRon  des  ressources  matérielles  et  humaines  aux  
besoins  de  l'entreprise  
o  l'adéquaRon  des  résultats  obtenus  en  regard  des  moyens  
engagés  
o  l'adéquaRon  des  moyens  en  regard  de  la  législaRon  

El  Hadji  Malick  GUEYE,  CISA  


Charte  d’audit  

•  Le  rôle  de  la  foncRon  d’audit  des  SI  est  établi  par  la  Charte  
d’Audit.  L’audit  SI  peut  faire  parRe  de  l’audit  interne  en  tant  
que  groupe  indépendant  ou  intégré  à  l’audit  financier  et  
opéraRonnel,  

•  La  charte  d’audit  doit  énoncer  clairement:  


o  Les  objecRfs  et  les  responsabilités  de  la  direcRon  pour  la  foncRon  
d’audit  des  SI  (entre  autres  types  d’audit),  
o  La  délégaRon  de  pouvoir  de  la  direcRon  à  la  foncRon  d’audit,  
o  L’autorité,  la  portée  et  les  responsabilités  globales  de  la  foncRon  
d’audit,  
o  L’organisaRon  de  la  foncRon  d’audit.  

El  Hadji  Malick  GUEYE,  CISA  


Planning  d’audit  

•  Court  terme  :  Généralement  dans  un  an.  


•  Long  terme  :  Plus  d’un  an  (5,  10,  15,  …)  

•  Analyser  les  enjeux  à  court  et  long  termes:    


o  Les  changement  dans  l’environnement  affectant  le  niveau  de  
risque;  
o  L’évoluRon  des  technologies  et  des  processus  administraRfs;  
o  L’amélioraRon  des  méthodes  d’évaluaRon;  
o  Nouvelles  réglementaRons  applicables.  

El  Hadji  Malick  GUEYE,  CISA  


Planning  d’audit  
Exemple  

Domaine  à  auditer   Période   Date  dernier  audit   Responsabilité  

Mise  à  disposiRon   P1   Jamais   Auditeur  Interne  


d’équipements  
informaRques  

Plan  de  conRnuité   P2   2014   DSI,  Consultant  


de  l’acRvité   Sécurité  

Qualité  de  service   P3   Jamais   Auditeur  Interne  


informaRque  

Sécurité  de   P4   2011   DSI,  Consultant  


l’exploitaRon   Sécurité  
informaRque  

El  Hadji  Malick  GUEYE,  CISA  


Etapes  d’un  audit  typique  
1-­‐  Sujet  d’audit:  Circonscrire  la  zone  à  auditer  
 
2-­‐  ObjecRf  de  l’audit:  Déterminer  par  exemple  si  des  changements  
au  code  source  d’un  programme  surviennent  dans  un  environnement  
bien  défini  et  contrôlé.  
 
3-­‐  Portée  de  l’audit:  IdenRfier  les  systèmes  spécifiques,  foncRons  
ou  unités  de  l’organisaRon  à  inclure  dans  l’examen.  
 
4-­‐  PlanificaRon  avant  Audit:    
o  Acquérir  la  compréhension  de  la  mission,  
o  IdenRfier  les  habiletés  techniques  et  les  ressources  nécessaires,  
o  IdenRfier  les  sources  d’informaRon  pour  les  tests  ou  les  examens  
comme  les  dossiers  foncRonnels,  les  poliRques,  les  normes,  les  
procédures  foncRonnelles  et  les  travaux  d’audit  précédents,  
o  IdenRfier  les  emplacements  ou  les  installaRons  à  auditer,  
o  Réaliser  une  analyse  des  risques,  
o  Prévoir  la  logisRque  du  mandat.  
 
El  Hadji  Malick  GUEYE,  CISA  
Etapes  d’un  audit  typique  

5-­‐  Procédures  d’audit  et  de  collecte  de  données:    


o  Tenir  la  réunion  de  lancement  de  la  mission,  
o  IdenRfier  et  sélecRonner  l’approche  d’audit  pour  vérifier  et  tester  les  
contrôles,  
o  IdenRfier  une  liste  d’individus  à  rencontrer,  
o  IdenRfier  et  obtenir  les  poliRques  de  département,  les  normes  et  direcRves  
pour  examen,  
o  Développer  les  ouRls  d’audit  et  la  méthodologie  pour  tester  et  vérifier  les  
contrôles.  
 
6-­‐  Procédures  d’évaluaRon  des  tests  ou  des  résultats  d’examen  
o  IdenRfier  les  procédures  d’examen  de  suivi,  
o  IdenRfier  les  procédures  pour  évaluer/tester  l’efficacité  opéraRonnelle,  
o  IdenRfier  les  procédures  de  test  de  contrôle,  
o  Examiner  et  évaluer  la  validité  des  documents,  poliRques  et  procédures.  
 
7-­‐  Procédures  de  communicaRon  avec  la  direcRon  
o  Soumission  du  projet  de  rapport,  
o  Tenir  la  réunion  de  clôture.  
 
8-­‐  Emission  du  rapport  d’audit  final  
El  Hadji  Malick  GUEYE,  CISA  
Différents  types  de  mission  d’audit  des  SI  
Audit  Interne  
•  Audit  de  l’organisaRon,  de  la  planificaRon  et  du  pilotage  des  SI  
•  Audit  des  Systèmes  et  Réseaux  
•  Audit  des  coûts  informaRques  
•  Audit  de  la  producRon  informaRque  
•  Audit  du  plan  de  conRnuité  d’acRvité  
•  Audit  du  parc  informaRque  et  du  support  uRlisateur  
•  Audit  de  la  sécurité  des  systèmes  d’informaRon  
•  Audit  des  projets  informaRques  
•  Audit  applicaRf  

El  Hadji  Malick  GUEYE,  CISA  


Différents  types  de  mission  d’audit  des  SI  
Audit  Externe  
•  Contrôles  généraux  informaRques  
•  Revue  des  processus  
•  Analyse  de  données  
•  Revue  des  projets  informaRque  

El  Hadji  Malick  GUEYE,  CISA  


Importance  de  la  gesRon  de  la  
sécurité  de  l’informaRon  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
IntroducRon  
Objectifs de sécurité permettant de répondre aux exigences
commerciales de l’entreprise:

•  Assurer la disponibilité continue des SI;


•  Assurer l’intégrité de l’information en transit ou stockée sur les
systèmes informatiques de l’organisation;
•  Préserver la confidentialité des données sensibles lorsqu’elles
sont stockées et en transit;
•  Assurer la conformité aux lois, aux règlementations et aux normes
applicables à l’organisation;
•  Assurer le respect des exigences de confiance et d’obligation en
lien avec toute information reliée à un individu identifié ou
identifiable;
•  Assurer que les données sensibles sont protégées adéquatement
pendant le stockage et le transport suivant les exigences de
l’organisation.
El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Eléments  clés  de  la  gesRon  de  la  sécurité  de  l’informaRon  

•  Un système des TI équipé de dispositifs de sécurité ne


sera protégé que s’il est adéquatement implémenté,
géré, ainsi qu’utilisé, supervisé et révisé avec soin.

•  Les  objecRfs  de  sécurité  ne  peuvent  être  areints  seulement  


en  ajoutant  des  protecRons  techniques  et  procédurales.  Une  
a{tude  de  culture  de  sécurité  et  l’arenRon  de  tous  les  
employés,  de  la  direcRon  ainsi  que  de  tous  les  fournisseurs  
de  services  externes  et  des  uRlisateurs/partenaires  des  TI  
externes  dignes  de  confiance  sont  vitales  pour  areindre  les  
objecRfs  de  sécurité.    

•  Les  éléments  clés  connexes  de  la  gesRon  de  la  sécurité  de  
l’informaRon  sont  les  suivants  :  

El  Hadji  Malick  GUEYE,  CISA  


Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Eléments  clés  de  la  gesRon  de  la  sécurité  de  l’informaRon  

•  Leadership, engagement et soutien de la haute


direction: Support de la haute direction pour mise en place
et maintien d’un programme de gestion de la sécurité de
l’information.

•  Politiques et Procédures: Correspondant aux objectifs


d’affaire, ainsi qu’aux normes et pratiques de sécurité
généralement acceptées.

•  Organisation: Rôle et responsabilité de sécurité au sein de


l’entreprise.

El  Hadji  Malick  GUEYE,  CISA  


Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Eléments  clés  de  la  gesRon  de  la  sécurité  de  l’informaRon  

•  Sensibilisation et éducation à la sécurité: Tous  les  


employés  d’une  entreprise  et,  si  perRnent,  les  uRlisateurs  des  
Rerces  parRes  doivent  recevoir  une  formaRon  appropriée  et  des  
mises  à  jour  régulières  pour  améliorer  la  sensibilisaRon  à  la  
sécurité  et  le  respect  des  poliRques  et  des  procédures  écrites.  

•  Contrôle et conformité: Les  auditeurs  des  SI  sont  souvent  


mandatés  pour  évaluer  régulièrement  l’efficacité  des  
programmes  de  sécurité  d’une  entreprise.  

•  Gestion et intervention face aux incidents: incluant la


perte de la confidentialité, le compromis de l’intégrité de
l’information, les dénis de service, l’accès non aux système,
le vol ou le dommage aux systèmes, etc.
El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Inventaire  et  classificaRon  des  acRfs  informaRonnels  
•  Le  contrôle  efficace  exige  un  inventaire  détaillé  des  acRfs  
informaRonnels.    

•  Une  telle  liste  consRtue  la  première  étape  dans  la  


classificaRon  des  acRfs  et  dans  l’établissement  du  niveau  de  
protecRon  devant  être  fourni  pour  chaque  acRf.    

•  L’inventaire doit inclure:


o  L’identification spécifique de l’actif
o  La valeur relative pour l’entreprise
o  L’emplacement
o  La classification de sécurité/risque
o  Le groupe d’actif
o  Le propriétaire de l’actif
o  Le détenteur de l’actif
o  Le niveau d’accès autorisé
o  L’étendue et la profondeur des contrôles de sécurité
El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Inventaire  et  classificaRon  des  acRfs  informaRonnels  

•  La  classificaRon  des  acRfs  informaRonnels  réduit  le  risque  et  


le  coût  de  surprotecRon  ou  de  sous-­‐protecRon  des  ressources  
d’informaRon  en  liant  la  sécurité  avec  les  objecRfs  
opéraRonnels.    
•  Les  données  doivent  toujours  être  traitées  comme  un  acRf  
essenRel  des  SI.  
•  L’adopRon  d’un  programme  de  classificaRon  et  l’arribuRon  
de  l’informaRon  à  un  niveau  de  sensibilité  permet  un  
traitement  uniforme  des  données,  par  le  biais  de  l’applicaRon  
par  niveau  de  poliRques  et  de  procédures  spécifiques  plutôt  
que  d’aborder  chaque  type  d’informaRon.    

El  Hadji  Malick  GUEYE,  CISA  


Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Inventaire  et  classificaRon  des  acRfs  informaRonnels  

•  Il  s’avère  très  difficile  de  se  conformer  aux  poliRques  de  


sécurité  de  l’informaRon  si  les  documents  et  les  médias  ne  
sont  pas  affectés  à  un  niveau  de  sensibilité  et  que  les  
uRlisateurs  ne  sont  pas  informés  de  la  manière  dont  ils  
doivent  traiter  chaque  pièce  d’informaRon.  

InformaRon  publique   Brochures  de  l’entreprise  


PoliRques  internes,  procédures,  
InformaRon  privée   message  d’entreprise  par  courriel  
habituels,  bulleRn  d’informaRon,  etc.  
Etats  financiers  non  publiés,  secrets  
InformaRon  sensible  
d’entreprise,  etc.  

El  Hadji  Malick  GUEYE,  CISA  


Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
AutorisaRon  d’accès  au  système  

•  PrérogaRve  pour  agir  sur  une  ressource  informaRque.  Cela  


fait  référence  à  un  privilège  technique,  par  exemple  la  
capacité  de  lire,  de  créer,  de  modifier  ou  de  supprimer  un  
fichier  ou  une  donnée,  d’exécuter  un  programme  ou  d’ouvrir  
ou  d’uRliser  une  connexion  externe.  
•  L’accès  système  aux  ressources  d’informaRon  informaRsées  
est  établi,  géré,  et  contrôlé  au  niveau  physique  et/ou  logique:  
o  Les  contrôles  d’accès  physiques  restreignent  l’entrée  et  la  sorRe  du  
personnel  d’un  endroit  comme  un  édifice  à  bureaux,  une  suite,  un  
centre  de  données  ou  une  salle  qui  conRent  des  équipements  de  
traitement  de  l’informaRon  tel  qu’un  serveur  de  réseau  local.  
o  Les  contrôles  d’accès  logiques  restreignent  l’accès  aux  ressources  
logiques  du  système.  
 
El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
AutorisaRon  d’accès  au  système  
•  Les  accès  aux  systèmes  physiques  ou  logiques  de  n’importe  quelle  
informaRon  automaRsée  doivent  être  basés  sur  un  principe  d’accès  
sélecRf  documenté  dans  lequel  on  retrouve  une  exigence  d’affaires  
légiRme  basée  sur  le  droit  d’accès  minimum  et  la  séparaRon  des  
tâches.  

•  Les  changements  de  personnel    et  de  départements,  les  efforts  


malveillants  et  tout  simplement  un  manque  de  diligence  entraînent  
un  niveau  d’autorisaRon  inadéquat  et  peuvent  avoir  un  impact  sur  
l’efficacité  des  contrôles  d’accès,  d’où  la  nécessité  d’un  contrôle  
régulier.  

El  Hadji  Malick  GUEYE,  CISA  


Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Contrôle  d’accès  obligatoire  (MAC)  
•  Les accès sont entièrement définis dans la politique de
sécurité de l’entreprise;

•  L’accès est accordé par comparaison de la sensibilité de la


ressource d’information et de la cote de sécurité de l’entité qui
demande l’accès;

•  Les utilisateurs ou les propriétaires de données ne peuvent


modifier les filtres de contrôle d’accès;

•  Ils sont prohibitifs, i.e. tout ce qui n’est pas expressément


permis est interdit.

 
El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Contrôle  d’accès  discréRonnaire  (DAC)  
•  L’accès est accordé suivant l’identité du système demandant
l’accès, ou du groupe auquel il appartient;

•  L’accès peut être accordé ou modifié par le propriétaire de la


donnée à sa discrétion;

•  L’accès peut être hérité;

•  Les contrôles d’accès discrétionnaires ne peuvent pas primer


sur les contrôles d’accès obligatoires;

El  Hadji  Malick  GUEYE,  CISA  


Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Rôle  des  auditeurs  et  GesRon  de  la  confidenRalité  
•  Soutenir ou réviser l’analyse d’impact de confidentialité:
o  Déterminer la nature de l’information personnellement
identifiable associé avec les procédés d’affaires.

o  Documenter la cueillette, l’utilisation, la divulgation et la


destruction de l’information personnellement identifiable.

o  Assurer qu’il existe une imputabilité pour les problèmes de vie


privée.

o  Identifier les exigences législatives, réglementaires et


contractuelles en matière de vie privée pour en assurer la
conformité.

o  Etre fondement de décisions éclairées sur la politique, les


activités et la conception du système en fonction de la
compréhension du risque de confidentialité.
El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Rôle  des  auditeurs  et  GesRon  de  la  confidenRalité  
•  Donner l’assurance aux gestionnaires de la conformité des
politiques aux lois et règlements:
o  Identifier et comprendre les exigences juridiques au sujet de la
confidentialité dans les lois, régulations et ententes
contractuelles.

o  Vérifier si les données personnelles sensibles sont gérées


correctement par rapport aux exigences.

o  Vérifier que les mesures de sécurité adéquates sont adoptées.

o  Réviser la politique de confidentialité de la gestion pour


s’assurer qu’elle tient compte des lois et des règlements
applicables concernant la confidentialité.

El  Hadji  Malick  GUEYE,  CISA  


Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Problèmes  et  exposiRon  aux  crimes  informaRques  (Menaces)  
•  Les systèmes informatiques peuvent être utilisés pour obtenir
frauduleusement de l’argent, des biens, des logiciels, ou de
l’information d’entreprise.
•  Les  crimes  informaRques  peuvent  se  produire  sans  que  rien  ne  soit  
physiquement  pris  ou  volé,  et  ils  peuvent  être  effectués  aussi  
facilement  qu’en  ouvrant  une  session  à  parRr  de  la  maison  ou  d’un  
restaurant.    
•  Les  crimes  qui  exploitent  l’ordinateur  et  les  renseignements  qu’il  
conRent  peuvent  être  dévastateurs  pour  la  réputaRon,  le  moral  et  
la  permanence  d’une  entreprise.  Il  peut  en  résulter  la  perte  de  
clients  ou  d’une  part  du  marché,  l’embarras  de  la  direcRon  et  des  
procédures  judiciaires  entreprises  contre  l’entreprise.    
•  Les  menaces  à  l’entreprise  comprennent  :    
El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Problèmes  et  exposiRon  aux  crimes  informaRques  (Menaces)  
Les pertes financières: Les  pertes  directes  ou  indirectes  comme  les  
frais  encourus  pour  corriger  l’exposiRon  

Les répercussions légales: Si  une  entreprise  n’est  pas  dotée  de  


moyens  de  sécurité  appropriés,  elle  peut  être  exposée  à  des  poursuites  de  la  
part  des  invesRsseurs  et  des  assureurs  si  une  perte  significaRve  survient  
après  une  infracRon  de  sécurité.  

Les pertes de crédibilité ou d’avantages concurrentiels: Des  


firmes  de  services  comme  les  banques,  les  firmes  d’épargne,  de  prêts  et  
d’invesRssement,  ont  besoin  de  crédibilité  et  de  la  confiance  du  public  pour  
maintenir  leur  avantage  concurrenRel.  Une  infracRon  à  la  sécurité  peut  
miner  sérieusement  la  crédibilité,  ce  qui  entraîne  une  perte  d’affaire  et  de  
presRge.  

El  Hadji  Malick  GUEYE,  CISA  


Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Problèmes  et  exposiRon  aux  crimes  informaRques  (Menaces)  
Le chantage, l’espionnage industriel ou le crime organisé: En  
ayant  accès  à  l’informaRon  confidenRelles  ou  à  un  moyen  d’influencer  
négaRvement  les  acRvités  informaRques,  un  auteur  de  crime  peut  extorquer  
des  paiements  ou  des  services  d’une  entreprise  en  menaçant  d’exploiter  les  
brèches  de  sécurité  ou  de  divulguer  publiquement  les  informaRons  
confidenRelles  de  l’entreprise.  

La divulgation d’informations confidentielles, sensibles ou


embarrassantes: Tel que mentionné précédemment, de tels
évènements peuvent endommager la crédibilité d’une entreprise et ses
moyens de faire des affaires. Des actions légales ou réglementaires
contre l’entreprise peuvent aussi être le résultat de la divulgation.

Le sabotage: Quelques auteurs de crime ne veulent pas de gains


financiers mais sont plutôt animés de sentiments divers tels que la
haine ou le besoin de satisfaction personnelle.
El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Problèmes  et  exposiRon  aux  crimes  informaRques  (Auteurs)  
Les  auteurs  des  crimes  informaMques  sont  souvent  les  mêmes  qui  
exploitent  les  exposiMons  physiques,  même  si  les  apMtudes  
nécessaires  pour  exploiter  les  exposiMons  logiques  sont  plus  
techniques  et  complexes.    

Les  auteurs  possibles  incluent  :    


•  Les pirates informatiques: individus tentant de briser la
sécurité du système de quelqu’un d’autre ou, d’y accéder sans
en être invité.

•  Les pirates adolescents: individus utilisant des scripts et des


programmes écrits par d’autres pour effectuer leurs intrusions.
Ils sont souvent incapables de les écrire par eux même.

 
El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Problèmes  et  exposiRon  aux  crimes  informaRques  (Auteurs)  
•  Les employés (autorisés ou non autorisés): affiliés à
l’entreprise et possédant un accès au système en raison de
leurs responsabilités professionnelles, ces personnes peuvent
causer un grand préjudice à l’entreprise.

•  Les employés des SI: possèdent l’accès le plus facile aux


renseignements informatiques puisqu’ils en sont
responsables.

•  Les utilisateurs finaux: personnel possédant souvent une


grande connaissance de l’information au sein de l’entreprise
et qui possède un accès facile aux ressources internes.

•  Les anciens employés: peuvent avoir un accès aux


systèmes si ce dernier n’a pas été automatiquement révoqué
au moment de la cessation d’emploi, ou si le système
possède des « portes dérobées ».
  El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Problèmes  et  exposiRon  aux  crimes  informaRques  (Auteurs)  
•  Les tiers intéressés ou éduqués: peuvent comprendre les
concurrents, les terroristes, les pirates, etc.

•  Les employés temporaires: par exemple le personnel


d’entretien des bureaux possède un grand nombre d’accès
physique et pourrait perpétrer un crime informatique.

•  Tierces parties: fournisseurs, visiteurs, consultants, et


d’autres tierces partie qui, par des projets, obtiennent l’accès
aux ressources de l’entreprise et pourrait perpétrer un crime.

•  Les ignorants accidentels: quelqu’un qui, sans le savoir,


perpètre une infraction.

 
El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Méthodes  et  techniques  d’araque  
1.  Attaque par altération
2.  Réseau zombie
3.  Attaque de force
4.  Déni de service
5.  Intrusion par réseau commuté
6.  Ecoute illégale
7.  Bombardement de courriel et pourriel
8.  Courriels frauduleux
9.  Inondation
10. Attaque par interruption
11. Code malveillant

El  Hadji  Malick  GUEYE,  CISA  


Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Méthodes  et  techniques  d’araque  
•  Attaque de l’homme du milieu
•  Usurpation d’identité
•  Modification de message
•  Analyse de réseau
•  Réinjection de paquets
•  Hameçonnage
•  Talonnage
•  Outils d’entretien à distance
•  Enumération des ressources et furetage
•  Saucissonnage
•  War chalking, war driving, war walking

El  Hadji  Malick  GUEYE,  CISA  


Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
IdenRficaRon  et  AuthenRficaRon  
•  Processus par lequel le système obtient d’un utilisateur son
identité proclamée et les justificatifs d’identité nécessaires
pour authentifier cette identité et valider les deux éléments
d’information.
•  Nécessaire pour établir la responsabilité de l’utilisateur.
•  L’indentification permet de connaître l’identité d’un individu,
alors que l’authentification permet de vérifier cette identité.
•  Trois catégories d’authentification:
o  Ce que l’on connaît (ex. mot de passe)
o  Ce que l’on possède (ex. carte jeton)
o  Ce que l’on est (ex. biométrie)
•  L’authentification multifactorielle améliore le niveau de
protection.
El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Mot  de  passe  forts  
Au minimum, les règles suivantes doivent être appliquées afin de
renforcer un mot de passe:

•  Idéalement, être d’une longueur minimale de huit caractères;

•  Exiger une combinaison d’au moins trois des caractéristiques


suivantes : alpha, numérique, lettres majuscules et
minuscules ainsi que des caractères spéciaux;

•  Ne doivent pas être particulièrement identifiable à l’utilisateur


( prénom, nom, nom de l’épouse, …);

•  Le système doit exiger des changements de mot de passe


réguliers et ne doit pas permettre à d’anciens mots de passe
d’être utilisés au moins un an après avoir été changé.
El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
AutorisaRon  
•  Le processus d’autorisation utilisé pour le contrôle d’accès
exige que le système soit en mesure d’identifier les utilisateurs
et de les différencier entre eux.

•  Les règles d’autorisation spécifient qui peut avoir accès à


quoi.

•  Les restrictions d’accès au niveau des fichiers incluent


généralement les fonctions suivantes:
o  Lire, demander les informations ou copier seulement;
o  Ecrire, créer, mettre à jour ou supprimer seulement;
o  Exécuter seulement;
o  Une combinaison des énoncés ci-haut.

El  Hadji  Malick  GUEYE,  CISA  


Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Sécurité  d’un  réseau  local  (Les  Risques)  
•  Les  LAN  facilitent  le  stockage  et  l’extracRon  des  programmes  et  des  
données  uRlisés  par  un  groupe  de  personnes.  

•  Les  logiciels  desRnés  aux  réseaux  locaux  ne  procurent  qu’un  faible  niveau  
de  sécurité.  L’accent  étant  mis  sur  les  capacités  et  les  foncRonnalités  
plutôt  que  sur  la  sécurité.    

•  Les  risques  associés  à  l’uRlisaRon  des  réseaux  locaux  inclus  entre  autres  :    
o  La perte de l’intégrité des données suite aux modifications non autorisées;
o  Le manque de protection des données courantes;
o  L’exposition à des activité externes à cause d’une vérification limitée des
utilisateurs;
o  L’infection informatique par des virus ou vers;
o  La divulgation inappropriée des données;
o  La violation des licences;
o  L’accès illégal par l’usurpation de l’identité d’un utilisateur du réseau local;
o  Le renifilage d’information relative à un utilisateur interne;
o  La mystification d’un utilisateur interne;
o  La destruction des données de journalisation et d’audit.
El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Sécurité  d’un  réseau  local  (GesRon  de  la  sécurité)  
•  Les  disposiRons  relaRves  à  la  sécurité  du  réseau  local  LAN  
dépendent  du  logiciel,  de  sa  version  et  de  son  implantaRon.    

•  Les  capacités  de  gesRon  de  la  sécurité  du  réseau  normalement  
disponibles  comprennent  notamment  :    
o  La déclaration de la propriété des programmes, des fichiers et du
stockage;
o  La restriction de l’accès à la consultation seule;
o  La mise en place du verrouillage des enregistrements et fichiers afin
d’empêcher la mise à jour simultanée;
o  La mise en place des procédures d’ouverture de session par ID et mot de
passe avec des règles relatives à la longueur, au format et à la fréquence
de mise à jour du mot de passe;
o  L’utilisation de commutateurs pour implanter des politiques de sécurité des
points d’accès, afin d’empêcher des hôtes inconnues de se brancher sur le
réseau;
o  L’encryptage du trafic local en utilisant le protocole IPSec
El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Sécurité  Client-­‐Serveur  
•  L’environnement  client-­‐serveur  désigne  un  mode  de  
communicaRon  à  travers  un  réseau  entre  plusieurs  programmes  ou  
logiciels:  l’un,  qualifié  de  client,  envoie  des  requêtes;  l’autre  ou  les  
autres  qualifiés  de  serveurs,  arendent  les  requêtes  des  clients  et  y  
répondent.  

•  Un  système  client-­‐serveur  
possède  de  nombreux  points  
d’accès.    

•  Les  systèmes  client-­‐serveur  


uRlisent  des  techniques  
réparRes,  ce  qui  accroît  le  
risque  d’accès  aux  données  
et  au  traitement.  
El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Sécurité  Client-­‐Serveur  
•  Les mesures de protection d’une architecture Client-Serveur
comprennent:

o  Identification de tous les points d’accès;

o  Désactivation des lecteurs de disque et port USB …;

o  Analyse de l’activité des utilisateurs connus et inconnus;

o  Cryptage des données sensibles;

o  Implémentation des méthodes d’authentification


multifactorielles;

o  Formation des utilisateurs.


El  Hadji  Malick  GUEYE,  CISA  
Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Sécurité  du  réseau  sans  fil  
•  Dans  le  cas  des  réseaux  sans  fil,  les  objecRfs  principaux  sont  de  
garanRr  la  confidenRalité,  l’intégrité,  l’authenRcité  et  la  
disponibilité.  
•  La  garanRe  que  les  ressources  ne  sont  uRlisées  qu’aux  fins  prévues  
fait  aussi  parRe  de  la  disponibilité.  
•  Les  risques  liés  aux  réseaux  sans  fil  sont  égaux  à  la  somme  des  
risques  liés  au  foncRonnement  d’un  réseau  câblé  et  des  nouveaux  
risques  introduits  par  la  faiblesse  des  protocoles  sans  fil.  Afin  
d’arénuer  ces  risques,  une  organisaRon  doit  adopter  des  mesures  
et  des  praRques  qui  permerront  de  gérer  ces  risques.    
•  Les  enRtés  malveillantes  possèdent  de  nombreux  moyens  pour  
accéder  aux  disposiRfs  sans  fil.  Ceux  qui  sont  liés  aux  réseaux  locaux  
sans  fil  (WLAN)  comprennent,  entre  autres,  trois  formes  de  piratage  
Wi-­‐Fi  :  les  war  driving,  war  walking  et  war  chalking.  

El  Hadji  Malick  GUEYE,  CISA  


Importance  de  la  gesRon  de  la  sécurité  de  l’informaRon  
Sécurité  du  réseau  sans  fil  
•  Les exigences de sécurité comprennent notamment :

o  L’authenticité : Une tierce partie doit être apte à vérifier que le


contenu d’un message n’a pas été modifié en cours de
transmission.

o  La non-répudiation : L’origine ou la réception d’un message


précis doit être vérifiable par une tierce partie.

o  La responsabilité : Les actions d’une entité ne doivent être


retraçables qu’à cette entité.

o  La disponibilité : Les ressources des TI doivent être


disponibles au moment opportun afin de satisfaire les exigences
de la mission ou pour éviter des pertes substantielles.

El  Hadji  Malick  GUEYE,  CISA  


PoliRque  et  administraRon  de  la  
sécurité  des  SI:  IntroducRon  aux  
normes  ISO  27000  
La  famille  ISO  2700x  

El  Hadji  Malick  GUEYE,  CISA  


Quel  cadre  pour  la  mise  en  œuvre  et  l’audit  de  la  sécurité  de  
l’informaRon?  
La  sécurité  de  l’informaRon  est  régie  principalement  par  deux  normes:    
•  ISO  27001  :  Cadre  de  gesRon  la  sécurité    
•  ISO  27002  :  Liste  des  contrôles  (meilleures  praRques)    

ISO  27001   ISO  27002  


   
   
 
   
   
   
   
   
   
 
   
   
   
Comment  m’organiser  pour  gérer   Quels  sont  les  objecRfs  de  contrôles  pour:  
la  sécurité?   •  Merre  en  œuvre  la  sécurité,  
•  Auditer  la  sécurité.  
El  Hadji  Malick  GUEYE,  CISA  
ISO  27001  
Cycle  de  vie  du  système  de  gesRon  de  la  sécurité  de  l’informaRon  (SGSI)  

El  Hadji  Malick  GUEYE,  CISA  


ISO  27001  
CerRfier  le  système  de  gesRon  
de  la  sécurité  de  l’organisaRon  
 
 
 
Merre  en  place  un  système/cadre  de  gesRon  de  la  sécurité  (ISMS)  
1.  Définir  le  périmètre  sur  lequel  le  système  de  gesRon  de  la  sécurité  
de  l’informaRon  s’applique  (Cœur  d’acRvité  de  l’organisaRon)  
2.  Définir  une  poliRque  de  gesRon  de  la  sécurité  (ISMS)  
3.  Définir  une  méthodologie  d’évaluaRon  des  risques  (elle  doit  
produire  des  résultats  comparables  et  reproducRbles)  
4.  IdenRfier  les  risques    
5.  Evaluer  les  risques  et  idenRfier  la  méthode  de  gesRon  du  risque  
6.  SélecRonner  les  contrôles  de  la  norme  ISO  27002  permerant  
pallier  les  risques  
7.  Faire  approuver  le  disposiRf  
8.  Préparer  un  «Statement  of  Applicability»  :  Liste  des  contrôles  de  la  
norme  ISO  27002  qui  sont  applicable  ou  non  à  l’organisaRon  
(toute  exclusion  doit  être  jusRfiée)  
 
El  Hadji  Malick  GUEYE,  CISA  
ISO  27001  
Cadre  de  gesRon  de  la  sécurité  
•  La  norme  impose  
l’établissement  d’un  
système  de  gesRon  de  la  
sécurité  de  l’informaRon  
(SGSI),  décrit  dans  un  cadre  
de  gesRon.  
•  Les  objecRfs  et  mesures  de  
contrôle  doivent  être  mis  
en  œuvre  et  documentés.  
•  La  documentaRon  doit  être  
contrôlée.  
•  Des  registres  matérialisant  
les  contrôles  doivent  être  
maintenus.  

El  Hadji  Malick  GUEYE,  CISA  


«  Chez  nous,  il  n’y  a  rien  à  protéger  »  

PoliMque  de  sécurité:  


Une  poli/que  de  sécurité  
informa/que  est  un  plan  d'ac/ons  
définies  pour  maintenir  un  certain  
niveau  de  sécurité.  Elle  reflète  la  
vision  stratégique  de  la  direc/on  de  
l'organisme  en  ma/ère  de  sécurité  
informa/que.  

Par  où  commencer  ?  


•  Obtenir  un  souRen  de  la  direcRon  dans  le  domaine  de  la  sécurité  de  l’informaRon.  
•  Formaliser  des  objecRfs  globaux  de  sécurité  dans  un  document.  
•  Porter  ce  document  à  la  connaissance  de  tous  les  employés.    
•  Un  engagement  de  respect  des  règles  de  sécurité  peut  être  formalisé  et  signé  par  
chaque  employé.  

El  Hadji  Malick  GUEYE,  CISA  


«  C’est  pas  moi,  c’est  lui  »  

OrganisaMon  de  la  sécurité:  


préciser  les  rôles  et  responsabilités  des  
ges/onnaires,  u/lisateurs,  contractuels  
et  fournisseurs  de  services,  propriétaires  
d'ac/fs  informa/onnels.  Détailler  
également  les  mécanismes  de  sécurité  à  
meHre  en  place  pour  assurer  la  
sécurisa/on  de  l'accès  des  /ers  aux  
informa/ons  et  ressources  de  
l’entreprise.    

Par  où  commencer  ?  


-­‐La  nominaRon  du  (ou  des)  responsables  est  effectuée  par  la  DirecRon.  
-­‐Formaliser  les  responsabilités  relaRves  à  la  sécurité  dans  les  fiches  de  postes.  
-­‐Les  modalités  d’accès  aux  ressources  et  aux  locaux  par  des  Rers  doivent  avoir  été  
prédéfinies.  Un  engagement  de  respect  des  règles  de  sécurité  peut  être  formalisé  et  signé  
par  chaque  sous-­‐traitant.  

El  Hadji  Malick  GUEYE,  CISA  


«  Qui  s’occupe  de  ça?  »  

GesMon  des  acMfs:  


Procéder  à  l'inventaire  des  ac/fs  
informa/onnels;  leur  déterminer  un  
propriétaire;  les  catégoriser;  déterminer  
leur  niveau  de  protec/on  et  établir  les  
mesures  de  sécurité  à  meHre  en  place  
selon  leur  contexte  d’u/lisa/on.  

Par  où  commencer  ?  


-­‐  Elaborer  un  inventaire  des  ressources  majeures  de  l’entreprise.  Cet  inventaire  peut  contenir  les  
acRfs  physiques  (matériel  informaRque,  moyen  de  communicaRon,  support  amovible),  les  
logiciels,  les  informaRons  (bases  et  fichiers  de  données,  contrats  et  accords,  procédures  
opéraRonnelles  …),  les  services  informaRques  et  de  télécommunicaRon,  de  support  
(climaRsaRon,  éclairage,…),  les  personnes  et  leur  qualificaRons/savoir-­‐faire/expériences,  les  
valeurs  immatérielles  comme  la  réputaRon  et  l’image  de  l’organisme.  
-­‐  Le  niveau  de  classificaRon  doit  permerre  d’idenRfier  le  niveau  d’importance  de  l’acRf  pour  
l’entreprise  et  par  là-­‐même,  les  mesures  de  protecRon  appropriées.  
El  Hadji  Malick  GUEYE,  CISA  
«  Je  ne  le  savais  pas  »  

Sécurité  du  personnel:  


Indiquer  au  personnel  les  bonnes  
pra/ques  à  u/liser  pour  protéger  les  
renseignements  confiden/els  et  
nomina/fs,  faire  un  bon  usage  de  leur  
équipement  informa/que  selon  les  
normes  et  les  règles  et  meHre  en  place  
un  programme  de  sensibilisa/on  à  la  
sécurité  de  l'informa/on  de  même  
qu'une  procédure  d'accueil  des  
nouveaux  employés.  

Par  où  commencer  ?  


-­‐  La  sensibilisaRon  peut  être  effectuée  au  travers  de  publicaRons  (intranet,  courriels,  arRcles),  
d’une  session  de  sensibilisaRon  des  nouveaux  entrants,  d’une  formaRon  périodique  de  tout  le  
personnel,  de  dépliants,  etc.  Elle  se  fera  dans  le  cadre  du  programme  de  sensibilisaMon  sur  la  
sécurité  de  l’informaMon.  
-­‐  Demander  aux  responsables  de  s’assurer  que  les  personnes  sous  leur  responsabilité  ont  été  
sensibilisées.  
-­‐  Formaliser  une  procédure  applicable  lors  du  départ  d’un  collaborateur  (RéarribuRon  des  
responsabilités  dans  le  domaine  de  la  sécurité,  retour  des  acRfs,  suspension  des  droits  d’accès).  
El  Hadji  Malick  GUEYE,  CISA  
Toute  sécurité  commence  par  la  sécurité  physique  

Sécurité  physique  et  sécurité  


de  l’environnement:  
Préciser  les  mesures  à  meHre  en  place  
pour  sécuriser  le  matériel  et  éviter  les  
accès  non  autorisés  dans  les  locaux,  de  
même  que  les  dommages  pouvant  
affecter  les  ac/fs  informa/onnels  et  les  
opéra/ons  quo/diennes.  

Par  où  commencer  ?  


-­‐Merre  en  place  un  disposiRf  de  contrôle  d’accès  aux  zones  contenant  les  ressources  
majeures  de  l’entreprise  (clés,  digicode,  badge).  
-­‐Merre  en  place  un  disposiRf  de  protecRon  contre  l’incendie  (porte  coupe-­‐feu,  alarme  
incendie,  disposiRf  d’exRncRon).  
-­‐  Vérifier  que  l’acRvité  ne  se  trouve  pas  dans  une  zone  inondable  en  période  d’hivernage.  

El  Hadji  Malick  GUEYE,  CISA  


La  sécurité  opéraRonnel  au  quoRdien  

GesMon  des  opéraMons  et  des  


communicaMons:  
Indiquer  comment  sécuriser  les  
communica/ons  et  les  informa/ons  
échangées  avec  les  partenaires  et  
clients;  assurer  la  sécurité  des  réseaux  
de  télécommunica/on,  des  systèmes  
d'exploita/on  et  des  applica/ons.  

Par  où  commencer  ?  


-­‐DésacRver  les  services  non  uRlisés  des  équipements  informaRques  (installaRon  par  
défaut).  
-­‐S’équiper  d’une  soluRon  de  protecRon  contre  les  codes  malveillant  et  mobiles  (anRvirus  
sur  les  postes  de  travail,  sur  les  serveurs,  anR-­‐virus  de  messagerie).  
-­‐Cloisonner  les  sous-­‐réseaux  (switch).  
-­‐Merre  en  place  des  disposiRfs  de  filtrage  applicaRf  (pare-­‐feu,  proxy,  IPS/IDS…).  
-­‐En  cas  d’uRlisaRon  de  réseaux  Wifi,  uRliser  WPA.    
El  Hadji  Malick  GUEYE,  CISA  
«  Login:  TOTO  –  Password:  TOTO  »  

Contrôle  d’accès:  
Gérer  et  contrôler  les  accès  logiques  et  
physiques  aux  informa/ons  et  
ressources;  détecter  les  ac/vités  non  
autorisées;  préciser  les  règles  à  observer  
concernant  l'iden/fiant  et  le  mot  de  
passe,  de  même  que  les  autorisa/ons  
reliées  au  profil  d'accès.  

Par  où  commencer  ?  


-­‐Merre  en  place  une  stratégie  de  mot  de  passe  (longueur  minimale  de  7  caractères,  obligaRon  
d’uRliser  des  caractères  étendus,  obligaRon  de  renouvellement  tous  les  3  mois,  impossibilité  de  
réuRliser  un  des  trois  derniers  mots  de  passe).  
-­‐AcRver  les  mises  en  veille  après  5  minutes  d’inacRvité  avec  une  protecRon  par  mot  de  passe.  
-­‐Bloquer  l’accès  à  un  compte  après  3  tentaRves  d’accès  infructueuses.  
-­‐Créer  des  comptes  nominaMfs  (bannir  les  comptes  génériques).  
-­‐Merre  en  place  une  stratégie  de  moindre  privilège.  
El  Hadji  Malick  GUEYE,  CISA  
La  sécurité  est  d’autant  plus  couteuse  qu’elle  est  intégrée  
tardivement  

AcquisiMon,  développement  
et  maintenance  des  systèmes  
d’informaMon  :  
indiquer  les  règles  de  sécurité  à  observer  
ou  à  exiger  dans  l'acquisi/on,  le  
développement,  l'implanta/on  et  
l'entre/en  d'applica/ons  et  de  logiciels.  

Par  où  commencer  ?  


-­‐Spécifier  les  exigences  de  sécurité  dès  l’origine  du  projet.  
-­‐Formaliser  les  règles  d’ajout,  de  modificaRon  et  de  suppression  de  tout  matériel  ou  logiciel  
sur  le  réseau  de  producRon.  
-­‐Merre  en  place  une  veille  sur  les  vulnérabilités  (éditeur  anR-­‐virus,  CERT,…).  
-­‐Me^re  à  jour  régulièrement  les  logiciels  et  les  systèmes  d’exploitaRon  en  téléchargeant  
les  correcRfs  (de  sécurité).  
El  Hadji  Malick  GUEYE,  CISA  
Limiter  les  dégâts  et  éviter  de  recommencer  

GesMon  des  incidents  de  


sécurité:  
indiquer  les  comportements  à  adopter  
lors  de  la  détec/on  d'un  incident  ou  d'un  
dysfonc/onnement  de  sécurité;  meHre  
en  place  un  processus  de  ges/on  des  
incidents  de  sécurité.  

Par  où  commencer  ?  


-­‐Paramétrer  les  fichiers  de  trace  (journaux)  des  équipements  afin  que  soient  enregistrés  au  
moins  les  connexions  infructueuses  et  les  erreurs  de  foncRonnement.  
-­‐Analyser  régulièrement  les  fichiers  de  trace  des  équipements.  

El  Hadji  Malick  GUEYE,  CISA  


«  Ca  n’arrive  pas  qu’aux  autres  »  

GesMon  de  la  conMnuité:  


décrire  les  façons  de  faire  pour  élaborer  
un  plan  de  con/nuité  et  de  relève  des  
services,  de  même  qu'un  plan  de  
sauvegarde  des  données  et  des  
applica/ons  de  l’entreprise.  

Par  où  commencer  ?  


-­‐Sauvegarder  régulièrement  les  données.  Externaliser  les  données  sauvegardées.  Procéder  à  des  
tests  de  restauraRon.  
-­‐IdenRfier  le  temps  d’indisponibilité  maximal  tolérable  pour  chaque  processus  de  l’organisaRon.    
-­‐IdenRfier  les  principaux  scénarios  (2  ou  3)  de  risque  auxquels  pourrait  être  confrontée  
l’organisaRon  (inaccessibilité  des  locaux,  panne  du  principal  serveur  de  producRon,  panne  
électrique,  etc.).  
-­‐Elaborer  un  plan  d’acRon  pour  chacun  des  scénarios  envisagés  (en  conformité  avec  le  temps  
d’indisponibilité  maximal  tolérable).  
El  Hadji  Malick  GUEYE,  CISA  
«  Nul  n’est  censé  ignorer  la  loi  »  

Conformité:  
Décrire  comment  s'assurer  du  respect  
des  lois  et  des  réglementa/ons,  ainsi  
que  de  l'efficacité  des  procédures,  de  
même  que  des  mesures  de  sécurité  en  
place,  en  rela/on  avec  la  poli/que  de  
sécurité  de  l'informa/on  édictée  par  
l’entreprise.  

Par  où  commencer  ?  


-­‐IdenRfier  les  exigences  auxquelles  l’organisaRon  est  soumise  :  
 +Légales  et  réglementaires,  
 +Contractuelles,  
 +Sectorielles.  
-­‐Ne  pas  oublier  les  déclaraRons  de  la  Commission  de  ProtecRon  des  Données  Personnelles  
(CDP),  de  la  CDEAO,  ni  les  licences  des  logiciels  !  
El  Hadji  Malick  GUEYE,  CISA  
Mesures  de  contrôle  ISO  27002  
1.PoliMque  de  sécurité   7.  Contrôle  des  accès  
  Exigences  de  l’entreprise  concernant  le  contrôle  des  accès  
2.OrganisaMon  de  la  sécurité   GesRon  des  accès  uRlisateurs  
Infrastructure  de  la  sécurité  de  l’informaRon   Responsabilité  des  uRlisateurs  
Sécurité  des  accès  par  des  Rers   Contrôle  de  l’accès  aux  réseaux  
Sous-­‐traitance   Contrôle  de  l’accès  aux  systèmes  d’exploitaRon  
  Contrôle  de  l’accès  aux  applicaRons  
3.ClassificaMon  et  contrôle  des  acMfs   Surveillance  des  accès  aux  systèmes  et  de  leur  uRlisaRon  
Responsabilités  liées  aux  acRfs   InformaRque  mobile  et  télétravail  
ClassificaRon  de  l’informaRon    
  8.Développement  et  maintenance  des  systèmes  
4.Sécurité  du  personnel   Exigences  de  sécurité  des  systèmes  
Sécurité  dans  la  déf.  Des  postes  et  des  ressources   Sécurité  des  systèmes  d’applicaRons  
FormaRon  des  uRlisateurs   Mesures  cryptographiques  
RéacRons  aux  incidents  de  sécurité  et  aux  mauvais   Sécurité  des  fichiers  
foncRonnements   Sécurité  des  environnements  de  développement  et  de  
  souRen  
5.  Sécu.  physique  et  sécu.  de  l’environnement    
Zones  de  sécurité   9.  GesMon  des  incidents  de  sécurité  
Sécurité  du  matériel   Signalement  des  événements  de  sécurité  et  faiblesses  
Mesures  générales   GesRon  des  incidents  de  sécurité  et  des  amélioraRons  
   
6.  GesMon  des  communicaMons  et  des  opéraMons   10.GesMon  de  la  conMnuité  des  acMvités  de  l’entreprise  
Procédures  et  responsabilités  opéraRonnelles   Stratégie  de  conRnuité  
PlanificaRon  et  recere  des  systèmes   CréaRon  et  mise  en  œuvre  des  plans  
ProtecRon  contre  les  logiciels  pernicieux   Test  et  réévaluaRon  des  plans  
Intendance    
GesRon  des  réseaux   11.Conformité  
ManipulaRon  et  sécurité  des  supports   Conformité  aux  exigences  légales  
Échanges  d’informaRons  et  de  logiciels   Examens  de  la  poliRque  de  sécurité  et  de  la  conformité  
  technique  
ConsidéraRons  concernant  les  audits  des  systèmes  
 
El  Hadji  Malick  GUEYE,  CISA  
Facteurs  clés  de  succès  
Pour  assurer  le  succès  de  la  gesRon  de  la  sécurité  au  sein  d'une  
organisaRon:  
o  Définir  une  poliRque  de  sécurité  correspondant  à  l'acRvité  de  
l'organisaRon.  
o  Adopter  une  démarche  de  mise  en  œuvre  de  la  gesRon  de  la  
sécurité  compaRble  avec  la  culture  de  l'organisaRon.  
o  S'assurer  un  souRen  total  et  un  engagement  visible  de  la  
DirecRon.  
o  Bien  comprendre  les  exigences  de  sécurité  et  bien  évaluer  les  
risques.  
o  Sensibiliser  et  informer  efficacement  tous  les  responsables  et  
employés.  
o  Distribuer  à  tous  les  employés  et  à  tous  les  fournisseurs  les  
lignes  directrices  de  la  poliRque  de  sécurité  et  des  normes  de  
sécurité  de  l'informaRon.  
o  Former  de  manière  appropriée  les  acteurs  de  la  sécurité.  
o  Merre  en  place  et  faire  vivre  un  système  de  mesure  complet  
pour  évaluer  l'efficacité  de  la  gesRon  de  la  sécurité  de  
l'informaRon  et  collecter  les  suggesRons  d'amélioraRon.  

El  Hadji  Malick  GUEYE,  CISA  


Panorama  d’autres  méthodes  
•  Schéma  directeur  de  sécurité  des  systèmes  d'informaRon  
o  MARION  (Grands  systèmes,  Micro)  
o  MEHARI  (Architectures  distribuées)  
o  COBIT  5  for  Informa/on  security  
•  DiagnosRc  de  sécurité  (audit  /  contrôle  interne)  
o  ERSI  
•  Critères  d'évaluaRon  
o  ITSEC  et  ISO  15408  
•  Méthodes  de  la  DCSSI  
•  Norme  de  gesRon  et  planificaRon  de  la  sécurité  informaRque  et  
télécom  
o  ISO  13335  
•  Modèle  de  maturité  pour  l’ingénierie  de  systèmes  de  sécurité  
o  ISO  21827  (SSE-­‐CMM)  
•  Norme  organisaRonnelle  et  d’évaluaRon  
o  BS  7799  /  ISO  17799  /  ISO  27001  
•  RéférenRel  de  bonnes  praRques  
o  ISF  (InformaRon  Security  Forum)  

El  Hadji  Malick  GUEYE,  CISA  


Analyse  des  risques  
Analyse  des  risques  
DéfiniRon  

•  Risque  :  La  possibilité  qu’une  menace  données  


exploite  la  vulnérabilité  d’un  acRf  ou  d’un  groupe  
d’acRfs  et  cause  ainsi  un  préjudice  à  l’organisaRon  
(ISO/IEC  PDTR  13335-­‐1).  

•  Analyse  de  Risque  (AR)  :  Technique  d’idenRficaRon  


et  d’évaluaRon  des  facteurs  suscepRble  de  
compromerre  un  processus  ou  un  objecRf.  

•  L’AR  =  EvaluaRon  -­‐>  ArénuaRon  -­‐>  Ré  évaluaRon.  

El  Hadji  Malick  GUEYE,  CISA  


Analyse  des  risques  
Evaluer  les  contre-­‐mesures  

•  Analyse  coût  /  bénéfices  :  Choisir  les  méthodes  de  


gesRon  des  risques  adéquates  en  se  basant  sur  :  
o  Le  coût  de  la  mesure  de  contrôle  en  comparaison  
au  degré  de  réducRon  du  risque  
o  La  propension  de  la  haute  direcRon  au  risque  
o  La/Les  méthode(s)  de  réducRon  du  risque  
privilégiée(s)  

El  Hadji  Malick  GUEYE,  CISA  


Analyse  des  risques  
ObjecRfs  et  Besoins  
•  IdenMfier  et  évaluer  les  risques  en  foncRon  des:  
o  Types  d’impact  (Impacts  méRers,  financiers,  clients,  juridiques,  
image  de  marque,  etc.)  

•  Définir  les  mesures  de  sécurité  pour  réduire  les  risques  idenRfiés  
par  l’implémentaRon  des  meilleures  mesures  de  contrôle  interne.  
 
•  GaranMr  la  conMnuité  des  acMvités  

•  Protéger  contre  les  acMvités  et  tentaMves  de  fraude  

•  Adapter  les  décision  stratégiques  en  foncRon  du  niveau  de  criRcité  
des  risques  encourus  

•  Etre  en  conformité  avec  la  réglementaRon  en  vigueur  

El  Hadji  Malick  GUEYE,  CISA  


Analyse  des  risques  
Menace,  vulnérabilité,  impact,  risque  

•  Le  niveau  de  criMcité  de  chaque  risque  est  évalué  comme  suit  
Risque=  Probabilité  d’occurrence  (Menace  x  Vulnérabilité)  x  Impact  

Vulnéra
Risque   Menace  
bilité  
Impact  

Le  catalyseur:   Le  problème:   La  conséquence:  


ViolaRon  potenRelle   Faiblesse  pouvant  être     résultat  de  l’exploitaRon  
de  la  sécurité   exploité  par  une  menace   de  la  vulnérabilité  
par  la  menace  
Exploite  une  vulnérabilité   Induit  à  un  impact  

•  Probabilité  d’occurrence:  PotenRalité  d’exploitaRon  d’une  


vulnérabilité  par  une  menace  tout  en  prenant  en  compte  les  
niveaux  de  couverture  existants.  

El  Hadji  Malick  GUEYE,  CISA  


Analyse  des  risques  
Menace,  vulnérabilité,  impact,  risque  

El  Hadji  Malick  GUEYE,  CISA  


Analyse  des  risques  
Traitement  du  risque  
•  ObjecMf:  Réduire  les  risques  à  un  niveau  acceptable  en  foncRon  de  
leur  impact.  
•  Le  niveau  de  risque  résiduel  doit  être  inférieur  aux  critères  
prédéfinis  d’acceptaRon  de  risques  
•  Les  critères  d’acceptaRon  des  risques  sont  basés  sur  l’analyse  des  
coûts  du  traitement  du  risque  face  aux  coût  de  reconstrucRon  
•  Le  plan  de  traitement  des  risques  consiste  à  la  mise  en  place  de  
contre-­‐mesures  de  sécurité:  
o  Contrôle  sur  la  menace  ou  la  vulnérabilité  afin  de  limiter  la  
cause  du  risque  
o  Contrôles  sur  l’impact,  afin  de  limiter  la  conséquence  du  
risque.  
•  Il  existe  de  nombreuses  contraintes  à  prendre  en  compte  dans  le  
cadre  de  la  mise  en  place  des  mesures  de  sécurité  (financières,  
techniques,  opéraRonnelles,  légales,  humaines)  
 
El  Hadji  Malick  GUEYE,  CISA  
Analyse  des  risques  
Traitement  du  risque  

El  Hadji  Malick  GUEYE,  CISA  


Réponse  au  risques  
Termes  

TERME   DEFINITION  
AppéRt  pour  le  risque   Le  niveau  de  risque  que  le  comité  de  direcRon  est  prêt  à  
prendre  pour  l’entreprise  dans  le  cadre  du  déroulement  de  sa  
mission.  

Tolérance  au  risque   Le  niveau  acceptable  de  variaRon  qu’une  entreprise  est  prête  à  
accepter  pour  tout  risque  parRculier  
Capacité  à  assumer  le   Le  niveau  maximal  de  perte  qu’une  entreprise  peut  tolérer  sans  
risque   risquer  de  porter  areinte  à  son  existence.  Ainsi  il  diffère  de  
l’appéRt  du  risque  qui  se  trouve  être  le  niveau  de  risque  
souhaité  par  la  DirecRon  Général  et  le  Comité  de  DirecRon.    

Réponse  au  risque   Consiste  à  merre  en  relief  les  risques  inhérents  dans  
l’entreprise,  précise  leurs  effets  et  propose  des  réacRons  
convenues  face  à  chaque  risque.  

Risque  résiduel   Risque  actuel  après  choix  et  implémentaRon  de  la  réponse  au  
risque.  

El  Hadji  Malick  GUEYE,  CISA  


Réponse  au  risques  
ObjecRf  

•  L’objecRf  de  la  mise  en  place  d’une  réponse  au  risque  est  de  
permerre  un  alignement  du  risque  avec  l’appéMt  pour  le  
risque  défini  dans  l’entreprise.  En  d’autres  termes,  une  
réponse  doit  être  choisie  de  sorte  que  le  risque  résiduel  soit  
en  deçà  de  la  limite  de  tolérance,  
•  L’évaluaRon  de  la  réponse  au  risque  n’est  pas  un  effort  
unique.  Il  doit  faire  parR  du  processus  de  gesRon  du  risque,  
•  Lorsque  l’analyse  de  tous  les  scenari  de  risque  idenRfiés  ont  
montré  un  non  alignement  avec  l’appéRt  du  risque  défini  et  le  
niveau  de  tolérance,  une  réponse  est  requise.  Cere  réponse  
peut  être:  
o  L’évitement  
o  L’acceptaRon  
o  Le  partage  
o  L’arénuaRon  

El  Hadji  Malick  GUEYE,  CISA  


Réponse  au  risques  
Evitement  du  risque  (1)  
•  L’évitement  consiste  à  ne  mener  aucune  acRvité  suscepRble  
d’engendrer  un  risque.  

•  L’évitement  du  risque  s’applique  lorsque  les  autres  réponses  


au  risque  sont  inadéquates.  C’est  le  cas  quand:  
o  Il  n’y  a  aucune  réponse  effecRve  en  terme  de  coût  pouvant  
aider  à  réduire  l’impact  et  la  fréquence  en  deçà  de  la  
limite  défini  d’appétence  au  risque,  
o  Le  risque  ne  peut  pas  être  partagé  ou  transféré,  
o  Le  niveau  d’exposiRon  est  considéré  comme  inacceptable  
par  la  haute  direcRon.  

El  Hadji  Malick  GUEYE,  CISA  


Réponse  au  risques  
Evitement  du  risque  (2)  
•  Quelques  exemples  d’évitement  de  risques  liés  aux  
Technologies  de  l’InformaRon:  
o  Délocaliser  un  centre  de  ressource  dans  une  région  avec  
moins  de  risques  naturels,  
o  Décliner  la  parRcipaRon  à  un  projet  de  grande  envergure  
dont  l’analyse  de  rentabilisaRon  montre  un  risque  notable  
d’échec,  
o  Décide  de  ne  pas  uRliser  une  technologie  parRculière  car  
non  extensible.  

El  Hadji  Malick  GUEYE,  CISA  


Réponse  au  risques  
AcceptaRon  du  risque  (1)  

•  L’acceptaRon  signifie  que  l’exposiRon  à  la  perte  est  connue  


mais  qu’aucune  acRon  n’est  prise  pour  contrer  un  risque  
parRculier.    

•  Ceci  est  différent  de  l’ignorance  du  risque.  

•  L’acceptaRon  du  risque  signifie  que  le  risque  est  connu  càd  
que  la  haute  direcRon  a  elle-­‐même  et  pour  des  raisons  
valables,  pris  la  décision  de  l’accepter  ainsi.  

El  Hadji  Malick  GUEYE,  CISA  


Réponse  au  risques  
AcceptaRon  du  risque  (2)  

•  Quelques  exemples  d’acceptaRon  de  risques  liés  aux  


Technologies  de  l’InformaRon:  
o  Il  peut  y  avoir  risque  qu’un  projet  ne  fournisse  pas  les  
foncRonnalités  méRers  désirées,  d’ici  la  date  prévue  de  
mise  en  producRon.  La  haute  direcRon  peut  décider  
d’accepter  le  risque  et  poursuivre  le  projet.  
o  Si  un  risque  parRculier  est  évalué  comme  étant  
extrêmement  rare,  avec  un  impact  très  important  (voir  
catastrophique)  et  des  approches  de  réducRon  très  
prohibiRfs,  la  haute  direcRon  peut  décider  de  l’accepter.  

El  Hadji  Malick  GUEYE,  CISA  


Réponse  au  risques  
Partage/Transfert  du  risque  (1)  

•  Le  partage  consiste  à  réduire  la  fréquence  ou  l’impact  de  


risque  en  transférant  ou  en  partageant  une  parRe  du  risque.  

•  Parmi  les  techniques  les  plus  usitées  nous  avons  l’assurance  et  
la  sous-­‐traitance.  Ces  techniques  ne  soulagent  pas  l’entreprise  
de  la  responsabilité  du  risque,  mais  elle  font  appel  aux  
compétences  d’une  autre  enRté  dans  la  gesRon  du  risque  et  la  
réducRon  des  conséquences  financière  si  un  évènement  
négaRf  arrivait  à  se  produire.  

El  Hadji  Malick  GUEYE,  CISA  


Réponse  au  risques  
Partage/Transfert  du  risque  (2)  
•  Quelques  exemples  de  partage/transfert  de  risques  liés  aux  Technologies  
de  l’InformaRon:  
o  Une  grande  entreprise    ayant  idenRfié  et  évalué  le  risque  d'incendie  
pour  son  infrastructure  réparRe  dans  plusieurs  endroits  du  pays,  
envisage  la  souscripRon  à  une  assurance  afin  de  partager  l'impact  du  
risque.  Elle  a  conclu  que  compte  tenu  de  la  localisaRon  de  ces  sites,  le  
cout  incrémental  d'une  assurance  n'était  pas  prohibiRf.  La  
souscripRon  a  finalement  été  faite.  
o  Dans  le  cadre  d'un  projet  d'envergure  dans  le  domaine  des  TI,  les  
risques  du  projet  peuvent  être  partagé  en  sous-­‐traitant  le  
développement  de  l'applicaRon  méRer  moyennant  un  cout  fixe.  
o  Certaines  entreprises  sous-­‐traitent  quelques  un  ou  la  totalité  de  leurs  
foncions  informaRques  à  des  prestataires  et  partagent  ainsi  le  risque.  
o  Lorsque  l'hébergement  des  applicaRons  est  sous-­‐traité,  l'entreprise  
reste  responsable  de  la  protecRon  des  données  clients,  mais  si  le  
prestataire  est  négligeant  et  qu'une  faille  est  exploitée,  le  risque  
(impact  financier)  peut  être  partagé  avec  le  client.  

El  Hadji  Malick  GUEYE,  CISA  


Réponse  au  risques  
MiRgaRon  du  risque  

La  miRgaRon  désigne  l’ensemble  des  mesures  et  moyens  d’arénuaRon  


pour  réduire  la  fréquence  et  /  ou  l'impact  d'un  risque.  
 
Parmi  les  moyens  de  miRgaRon  des  risques  nous  pouvons  citer:  
 
•  Le  renforcement  les  praRques  de  gesRon  du  risque  informaRque  
global,  à  savoir,  la  mise  en  œuvre  des  processus  de  gesRon  des  
risques  informaRques  suffisamment  matures  tels  que  définis  par  les  
référenRels,  
•  L'introducRon  d'un  certain  nombre  de  mesures  de  contrôle  visant  
soit  à  réduire  la  fréquence  d'un  événement  indésirable  ou  l'impact  
commercial/financier  d'un  événement.  Les  contrôles  sont,  dans  le  
contexte  de  la  gesRon  des  risques,  permerant  d'arénuer  le  risque.  
•  L’arénuaRon  des  risques  est  possible  par  d'autres  moyens  ou  
méthodes,  par  exemple,  il  existe  des  cadres  de  gesRon  informaRque  
de  renom  et  des  normes  capables  d'aider.  

El  Hadji  Malick  GUEYE,  CISA  


Type  de  risques  

•  Les  accidents  :  
o  Pannes  matérielles  ou  logicielles,  
o  Bris  de  machine  accidentel  (choc,  chute,  etc.),  
o  Sinistre  local  :explosion,  incendie,  dégât  des  eaux,  
o  Événements  naturels  :  tempête,  inondaRon,  etc,  
o  Perte  de  services  essenRels  :  électricité,  télécommunicaRon,  
eau,  etc.  
•  Les  erreurs  :  
o  Erreurs  d'uRlisaRon,  
o  Erreurs  de  concepRon  des  logiciels  et  des  procédures  
d'applicaRon.  
•  La  malveillance  :  
o  Vol  de  matériel,  
o  Sabotage  matériel,  
o  Fraude  (détournement  de  fonds,  de  biens  ou  de  services),  
o  Araque  logique,  
o  DivulgaRon  d'informaRons  confidenRelles,  
o  InfracRon  aux  lois  (contrefaçon).  

El  Hadji  Malick  GUEYE,  CISA  


Type  de  contrôles  

PREVENTIF   DETECTIF   CORRECTIF  


Personnel  qualifié   Message  d’erreur   Procédure  d’urgence  
SéparaRon  des  tâches   FoncRon  d’audit  interne   Procédure  de  sauvegarde  
Contrôle  d’accès   Procédure  de  reprise  
Documents  bien  conçus   Maintenance  
Logiciel  de  chiffrement  

El  Hadji  Malick  GUEYE,  CISA  


Démarche  de  l’audit  de  sécurité  
L’audit  de  sécurité  du  SI  

•  DéfiniMon:  L’audit  de  sécurité  du  système  d’informa/on  est  un  


examen  méthodique  d’une  situa/on  liée  à  la  sécurité  de  l’informa/on  
en  vue  de  vérifier  sa  conformité  à  des  objec/fs,  à  des  règles  ou  à  des  
normes.  
•  Compte  tenu  du  cadre  de  gesRon  de  la  sécurité  de  l’informaRon,  les  
audits  de  sécurité  peuvent  adresser  des  problémaRques  différentes  
comme  par  exemple  :  
o  Audit  de  la  poliRque  de  sécurité,  
ü  AdéquaRon  de  la  poliRque  de  sécurité  à  la  stratégie  de  risques  
de  l’entreprise,  aux  contraintes  légales  et  réglementaires  et  aux  
bonnes  praRques,  
o  Audit  de  la  mise  en  œuvre  de  poliRque  de  sécurité,  
ü  Respect  des  exigences  de  sécurité  au  sein  de  l’entreprise  au  
travers  de  la  mise  en  œuvre  de  mesures  de  sécurité  adéquates  
et  pérennes,  
o  Audit  de  l’efficacité  des  mesures  de  sécurité.  
ü  Test  d’intrusion.  
 

El  Hadji  Malick  GUEYE,  CISA  


Types  d’audit  de  sécurité  

El  Hadji  Malick  GUEYE,  CISA  


Exemples  de  risques  à  prendre  en  compte  lors  d’un  audit  

•  Risques  sur  le  patrimoine  de  l'entreprise  


o  Vol  d’acRfs  de  l’entreprise,  
o  DivulgaRon  d’informaRons  confidenRelles,  
o  Détournement  de  services,  
o  Sabotage.  

•  Risque  sur  l'acRvité  


o  Indisponibilité  du  poste  de  travail,  
o  Indisponibilité  du  réseau  ou  du  serveur.  

•  Risque  sur  l'intégrité  du  système  d'informaRon  


o  Araque  virale,  
o  Incohérence  des  données  entre  serveurs  et  staRons,  
o  Développements  mal  maîtrisés  ou  mal  documentés,  
o  Ouverture  de  failles  dans  la  sécurité  (connexions  incontrôlée  à  
Internet).  

•  Risque  juridique  
o  InfracRon  à  la  loi,  
o  Copie  illicite  de  logiciels,  
o  Fraude  informaRque  avec  le  matériel  de  l’entreprise.  
El  Hadji  Malick  GUEYE,  CISA  
Démarche  d’audit  de  sécurité  

1.Prise  de  connaissance  


o  Cartographier  le  système,  
o  Recenser  les  standards  et  règles.  
 
2.Analyse  des  risques  
o  Évaluer  les  enjeux  de  la  sécurité  du  système,  
o  IdenRfier  des  scénarios  de  menace  et  en  évaluer  l'impact  sur  
l'entreprise.  
 
3.ÉvaluaMon  de  la  sécurité  du  système  
o  Vérifier  que  les  contrôles  mis  en  œuvre  garanRssent  une  couverture  
suffisante  des  risques.  
o  Des  référenRels  existent  :  ISO  27002,  Cobit5  for  InformaRon  Security,  etc.  
 
4.ÉlaboraMon  de  recommandaMons  
o  Pour  chaque  vulnérabilité  idenRfiée  et  correspondant  à  un  risque,  
proposer  une  recommandaRon  correcRve,  
o  Préparer  les  recommandaRons  avec  les  personnels  opéraRonnels  de  
l’entreprise  !  
 

El  Hadji  Malick  GUEYE,  CISA  


Démarche  de  l’audit  de  sécurité  
1.  Prise  de  connaissance  
•  Collecter  l’informaRon  
o  Documents  de  l’entreprise,  
o  EntreRens,  
o  Visite  des  locaux.  
InformaRons  à  collecter:  
 
•  OrganisaRon  :   •  Matériels  :  
o  poliRque  de  sécurité,   o  serveurs,  
o  normes  et  standards  en  vigueur,   o  staRons  de  travail,  
o  personnes  et  équipes  impliquées  dans   o  équipements  réseau  (switch,  
l’exploitaRon  du  réseau  et  du  parc   routeurs),  
micro  (administraRon,  maintenance,   o  firewalls.  
sécurité,  support  uRlisateur),  
o  définiRon  des  responsabilités,   •  Logiciels  :  
o  procédures  appliquées  ou  prévues   o  systèmes  d’exploitaRon,  
(mode  dégradé),   o  middleware,  
o  plans  (de  sauvegarde,  d’archivage,  de   o  principales  applicaRons  uRlisées.  
secours,  de  reprise,  etc.),  
o  interlocuteurs  pour  l’audit  
(informaRque  et  uRlisateurs).   •  CommunicaRons  :  
o  architecture  du  réseau  (topologie),  
o  plan  de  câblage,  
•  Volumétrie  :   o  connexions  avec  l’extérieur.  
o  nombre  d’uRlisateurs,  
o  volumes  de  données  transmises,    
o  taille  des  données  sauvegardées.  
El  Hadji  Malick  GUEYE,  CISA  
 
Démarche  de  l’audit  de  sécurité  
2.  Analyse  du  risques  

El  Hadji  Malick  GUEYE,  CISA  


Démarche  de  l’audit  de  sécurité  
2.  Analyse  de  risques  

Etape  1  :  Compréhension  des  processus  méMers  


•  Les  objecRfs  de  cere  étape  sont  de  :  
o  merre  en  évidence  l’ensemble  des  processus  méRers  et  
leurs  interacRons,  
o  idenRfier  les  données  intervenant  à  l’intérieur  de  ces  
processus,  
o  idenRfier  les  composants  (applicaRon,  base  de  données,  
serveurs  et  infrastructure)  nécessaires  au  déroulement  
des  processus  méRers.    

•  DescripRon  des  processus  et  de  leurs  


composants  (applicaRons,  bases  de  données,  
serveurs,  infrastructure).  

El  Hadji  Malick  GUEYE,  CISA  


Démarche  de  l’audit  de  sécurité  
2.  Analyse  de  risques  
Etape  2  :  Analyse  d’impact  sur  les  processus  méMers  

El  Hadji  Malick  GUEYE,  CISA  


Démarche  de  l’audit  de  sécurité  
2.  Analyse  de  risques  

Etape  3  :  Menaces,  Vulnérabilités  et  Contrôles  


•  A  l’issue  de  l’analyse  de  l’impact  sur  les  processus  
méRers,  une  analyse  des  menaces,  des  vulnérabilités  et  
des  contrôles  sera  réalisée.    
•  En  foncRon  des  processus,  données  et  composants  du  
système  d’informaRon,  une  sélecRon  des  menaces  
perRnentes  sera  réalisée.  Ces  menaces  sont  
caractérisées  par  leur  type  (naturel,  humain,  ou  
environnemental)  et  les  causes  possibles  (accidentelle,  
intenRonnelle).  
•  Analyse  des  vulnérabilités  et  des  contrôles.  

El  Hadji  Malick  GUEYE,  CISA  


Démarche  de  l’audit  de  sécurité  
2.  Analyse  de  risques  

Etape  3  :  Menaces,  Vulnérabilités  et  Contrôles  

El  Hadji  Malick  GUEYE,  CISA  


Démarche  de  l’audit  de  sécurité  
2.  Analyse  de  risques  
Etape  3  :  Menaces,  Vulnérabilités  et  Contrôles  
 
Une  évaluaRon  de  la  probabilité  d’occurrence  de  la  menace  sera  
établie  en  foncRon  de  l’existence  de  vulnérabilité  et  la  présence  
de  contrôle.    
 

El  Hadji  Malick  GUEYE,  CISA  


Démarche  de  l’audit  de  sécurité  
2.  Analyse  de  risques  
Etape  4  :  FormalisaMon  des  risques  
 
L’appréciaRon  du  risque  encouru  résulte  de  la  probabilité  de  
réalisaRon  de  la  menace  et  du  niveau  de  conséquences  
dommageables  pour  un  ou  l’ensemble  des  processus.    
 
 

El  Hadji  Malick  GUEYE,  CISA  


Démarche  de  l’audit  de  sécurité  
2.  Analyse  de  risques  

Etape  5  :  ObjecMfs  et  exigences  de  sécurité  


 
•  Dans  un  premier  temps  et  en  foncRon  de  la  
stratégie  de  risques,  une  décision  sera  prise,  pour  
chaque  risque,  quant  à  la  gesRon  de  ce  risque:  
o  le  risque  est  négligeable,  
o  le  risque  est  acceptable,  
o  le  risque  est  inacceptable.  

•  Sur  la  base  de  ces  résultats,  des  objecRfs  et  des  
exigences  de  sécurité  seront  définis  afin  de  
réduire  ou  de  supprimer  les  risques  inacceptables.  

El  Hadji  Malick  GUEYE,  CISA  


Démarche  de  l’audit  de  sécurité  
2.  Analyse  de  risques  

Etape  5  :  ObjecMfs  et  exigences  de  sécurité  


 
Les  objecRfs  et  les  exigences  de  sécurité  pourront  être  sélecRonnés  à  parRr  du  
guide  «OuRllage  pour  le  traitement  des  risques  SSI»  de  la  méthode  Ebios.  Ce  
guide  présente  en  parRculier  des  exigences  de  sécurité  issues  des  normes  ISO  
15408  et  ISO  27002.    

El  Hadji  Malick  GUEYE,  CISA  


Démarche  de  l’audit  de  sécurité  
3.  EvaluaRon  de  la  sécurité  d’un  système  
•  ObjecMf  :  s’assurer  que  les  contrôles  mis  en  œuvre  au  sein  
ou  autour  du  système  audité  sont  en  mesure  de  garanRr  
une  couverture  suffisante  des  risques  pesant  sur  le  
système.  

•  Principaux  points  à  contrôler  :  


o  Sécurité  physique  
o  Sécurité  d’exploitaRon  
o  Contrôle  des  accès  et  des  habilitaRons  (sécurité  
logique)  
o  Audit  et  contrôle  
o  Prise  en  compte  de  la  sécurité  dans  les  projets  
o  Respect  des  lois  
El  Hadji  Malick  GUEYE,  CISA  
Démarche  de  l’audit  de  sécurité  
4.  ElaboraRon  de  recommandaRons  
•  ObjecMf  :  préparer  les  éléments  du  plan  d’acRon  sécurité.  

•  Pour  chaque  vulnérabilité  idenRfiée  et  correspondant  à  un  


risque,  proposer  une  acRon  correcRve.  
•  Hiérarchiser  les  recommandaRons  en  foncRon  de  l’importance  
du  risque  (applicaRon  des  résultats  de  l’analyse  de  risque).  
•  Valider  les  recommandaRons  avec  les  personnels  opéraRonnels  
de  l’entreprise  
Menace/ Priorité   Type  de   Recommanda Responsable   Date  de  
Vulnérabilité/ traitement   Mons   réalisaMon  
idenMfiant  du   du  risque   prévue  
risque  

El  Hadji  Malick  GUEYE,  CISA  


Contexte  législaRf  
Contexte  législaRf  
Les  textes  de  base  
La  CEDEAO  et  la  CDP  procèdent  progressivement  à  l’adop/on  d’une  
règlementa/on  des  TICs,  via  des  déclara/ons  de  poli/que  générale  et  
régula/ons  de  la  protec/on  des  données  personnelles.  
•  Propriété  intellectuelle      
o  LOI  n°  2008-­‐12  du  25  janvier  2008  portant  sur  la  ProtecRon  des  données  à  
caractère  personnel  

•  Signature  électronique  
o  Acte  addiRonnel  A/SA.2/01/10  du  16  février  2010  sur  les  transacRons  
électroniques  
o  Règlement  n°15/2002/CM/UEMOA  du  23  mai  2002  relaRf  aux  systèmes  de  
paiement  dans  les  états  membres  de  l’Union  Economique  et  Monétaire  Ouest  
Africaine  (UEOMA)  

•  Cybercriminalité  
o  DirecRve  C/DIR/1/08111  portant  lure  contre  la  cybercriminalité  dans  l’espace  de  
la  CEDEAO  

•  Cryptologie  
o  LOI  n°  2008-­‐41  du  20  août  2008    portant  sur  la  Cryptologie    

El  Hadji  Malick  GUEYE,  CISA  


Propriété  intellectuelle  

•  Le  traitement  des  données  à  caractère  personnel  est  considéré  


comme  légi/me  si  la  personne  concernée  donne  son  consentement.  
ArMcle  33  
•  Les  données  à  caractère  personnel  doivent  être  traitées  de  manière  
confiden/elle  et  être  protégées  conformément  aux  disposi/ons  de  
l’ar/cle  71  de  la  présente  loi,  notamment  lorsque  le  traitement  
comporte  des  transmissions  de  données  dans  un  réseau.    ArMcle  38  
•  Il  est  interdit  de  procéder  à  la  collecte  et  à  tout  traitement  qui  
révèlent  l’origine  raciale,  ethnique  ou  régionale,  la  filia/on,  les  
opinions  poli/ques,  les  convic/ons  religieuses  ou  philosophiques,  
l’appartenance  syndicale,  la  vie  sexuelle,  les  données  géné/ques  ou  
plus  généralement  celles  rela/ves  à  l’état  de  santé  de  la  personne  
concernée.  ArMcle  40    
•  Le  responsable  d’un  traitement  ne  peut  transférer  des  données  à  
caractère  personnel  vers  un  pays  /ers  que  si  cet  Etat  assure  un  
niveau  de  protec/on  suffisant  de  la  vie  privée,  des  libertés  et  droits  
fondamentaux  des  personnes  à  l’égard  du  traitement  dont  ces  
données  font  ou  peuvent  faire  l’objet.    ArMcle  49  

El  Hadji  Malick  GUEYE,  CISA  


Signature  électronique  

•  Une  signature  électronique  créée  par  un  disposi/f  de  sécurité  que  le  
signataire  peut  garder  sous  son  contrôle  exclusif  et  qui  repose  sur  un  
cer/ficat  numérique  est  admise  comme  signature  au  même  /tre  que  la  
signature  manuscrite.  ArMcle  35  

•  Enjeux  pour  la  sécurité  :  


o  protecRon  signature  contre  falsificaRon,  
o  menRons  du  cerRficat  :  nom  du  signataire,  date  de  début  et  de  fin  de  la  
validité  du  cerRficat,  limites  d'uRlisaRon  du  cerRficat.  

El  Hadji  Malick  GUEYE,  CISA  


Cybercriminalité  
•  Cons/tue  une  infrac/on,  au  sens  de  la  présente  Direc/ve,  le  
fait  de  commeHre  un  vol,  une,  escroquerie,  un  recel,  un  abus  
de  confiance,  une  extorsion  de  fonds,  un  acte  de  terrorisme,  
ou  une  contrefaçon  portant  les  données  informa/ques,  les  
logiciels  et  les  programmes.    ArMcle  25  
•  L’écrit  électronique  est  admis  comme  preuve  en  ma/ère  
d’infrac/on  à  condi/on  que  puisse  être  dûment  iden/fiée  la  
personne  dont  il  émane  et  qu'il  soit  établi  et  conservé  dans  
des  condi/ons  de  nature  à  en  garan/r  l’intégrité.    ArMcle  32  
•  En  cas  de  condamna/on,  la  juridic/on  compétente  peut  
prononcer  la  confisca/on  des  matériels,  des  équipements,  des  
instruments,  des  programmes  informa/ques  ou  des  données  
ainsi  que  des  sommes  ou  produits  résultant  de  l’infrac/on  et  
appartenant  au  condamné.  ArMcle  29  

El  Hadji  Malick  GUEYE,  CISA  


Cryptologie  
•  les  prestataires  de  services  de  cryptologie  à  des  fins  de  
confiden/alité  sont  responsables  du  préjudice  causé  dans  le  cadre  
desdites  presta/ons  aux  personnes  leur  confiant  la  ges/on  de  leurs  
conven/ons  secrètes,  en  cas  d’aHeinte  à  l’intégrité,  à  la  
confiden/alité  ou  à  la  disponibilité  des  données  transformées  à  
l’aide  de  ces  conven/ons.    ArMcle  18  
•  Les  personnes  assurant  des  presta/ons  de  cryptologie  ou  exerçant  
des  ac/vités  de  cryptologie  disposent  d’un  délai  de  six  (6)  mois  à  
compter  de  la  date  d’entrée  en  vigueur  de  la  présente  loi,  pour  
régulariser  leur  situa/on  auprès  de  la  Commission  na/onale  de  
cryptologie.  ArMcle  21  
•  Quiconque  aura  fourni  des  presta/ons  de  cryptologie  sans  avoir  
obtenu  préalablement  l’agrément  de  la  Commission  na/onale  de  
cryptologie  prévu  à  l’ar/cle  16  de  la  loi  sur  la  cryptologie,  sera  puni  
d’un  emprisonnement  d’un  an  à  cinq  ans  et  d’une  amende  de  
1.000.000  francs  à  20.000.000  francs  ou  de  l’une  de  ces  deux  
peines  seulement.    ArMcle  2  

El  Hadji  Malick  GUEYE,  CISA  


Lois  et  règlements  

Nul  n’est  censé  ignorer  la  loi  

El  Hadji  Malick  GUEYE,  CISA  


CerRficaRons  
CerRficaRons  

El  Hadji  Malick  GUEYE,  CISA  


QCM  DE  REVISION  
QuesRon  1:  
Parmi  les  raisons  suivantes,  laquelle  est  la  PLUS  
importante  raison  de  revoir  le  processus  de  
planificaMon  d’audit  à  des  intervalles  périodiques  ?  
A.  Pouvoir  planifier  le  déploiement  des  ressources  d’audit  
disponibles.  
B.  Pouvoir  tenir  compte  des  changements  à  
l’environnement  de  risque.  
C.  Pouvoir  alimenter  la  documentaRon  de  la  charte  
d’audit.  
D.  Pouvoir  cerner  les  normes  d’audit  des  SI  applicables.  
El  Hadji  Malick  GUEYE,  CISA  
QuesRon  2:  
La  PREMIERE  étape  de  planificaMon  d’un  audit  
est  de  :  
A.  définir  les  livrables  de  l’audit  
B.  Finaliser  la  portée  et  les  objecRfs  de  l’audit  
C.  acquérir  une  compréhension  des  objecRfs  de  
l’entreprise  
D.  concevoir  l’approche  pour  l’audit  ou  la  
stratégie  d’audit.  
El  Hadji  Malick  GUEYE,  CISA  
QuesRon  3:  
L’approche  que  doit  uMliser  un  auditeur  des  SI  
pour  planifier  la  couverture  de  l’audit  des  SI  
doit  se  baser  sur  :  
A.  le  risque  
B.  l’importance  relaRve  
C.  le  scepRcisme  professionnel  
D.  le  caractère  suffisant  des  éléments  probants  
de  l’audit  
El  Hadji  Malick  GUEYE,  CISA  
QuesRon  4:  
Une  entreprise  effectue  une  copie  de  sauvegarde  
quoMdienne  des  données  criMques  et  des  logiciels,  et  
entrepose  ce^e  copie  dans  une  installaMon  externe.  
La  copie  de  sauvegarde  est  uMlisée  pour  restaurer  les  
fichiers  en  cas  d’interrupMon.  Il  s’agit  de  :  
A.  Un  contrôle  prévenRf  
B.  Un  contrôle  de  gesRon  
C.  Un  contrôle  correcRf  
D.  Un  contrôle  de  détecRon  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  5:  
Pendant  l'étape  de  planificaMon  d'un  audit  
informaMque,  le  but  principal  de  l’auditeur  est  :  
A.  de  traiter  les  objecRfs  de  l'audit.  
B.  de  recueillir  suffisamment  de  preuves.  
C.  d'établir  les  spécificaRons  des  tests  
appropriés.  
D.  de  minimiser  les  ressources  de  l'audit.  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  6:  
Lors  de  la  sélecMon  des  procédures  d'audit,  
l’auditeur  en  SI  devrait  uMliser  son  jugement  
professionnel  pour  garanMr  que:  
A.  Les  preuves  recueillies  sont  suffisantes.  
B.  Toutes  les  défaillances  significaRves  idenRfiées  
seront  corrigées  dans  une  période  
raisonnable.  
C.  Toutes  les  faiblesses  matérielles  seront  
idenRfiées.  
D.  Les  coûts  de  l'audit  seront  maintenus  au  
minimum.  
El  Hadji  Malick  GUEYE,  CISA  
QuesRon  7:  
Lors  de  toutes  les  phases  d'une  mission  d'audit,  
l’auditeur  en  SI  devrait  se  concentrer  sur:  
A.  la  collecRon  de  preuve.  
B.  l'échanRllonnage.  
C.  les  tests  approfondis.  
D.  la  documentaRon  de  l'audit.  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  8:  
En  exécutant  une  enquête  légale  informaMque  
(experMse  judiciaire),  un  auditeur  de  SI  devrait  
être  concerné,  pour  ce  qui  est  des  preuves  
rassemblées,  par:  
A.  l'analyse  des  preuves.  
B.  l'évaluaRon  des  preuves.  
C.  la  préservaRon  des  preuves.  
D.  la  divulgaRon  de  preuves.  
El  Hadji  Malick  GUEYE,  CISA  
QuesRon  9:  
Un  auditeur  en  Si  interrogeant  un  employé  de  
bureau  affecté  à  la  gesMon  informaMsée  de  la  paie,  
constate  que  ses  réponses  ne  correspondent  pas  à  
sa  descripMon  d'emploi  ni  aux  procédures  
documentées.  Dans  ces  circonstances,  l’auditeur  
devrait:  
A.  conclure  que  les  contrôles  sont  inadéquats.  
B.  élargir  la  portée  pour  y  inclure  des  tests  
approfondis.  
C.  se  fier  fortement  sur  les  audits  précédents.  
D.  suspendre  l'audit.  
El  Hadji  Malick  GUEYE,  CISA  
QuesRon  10:  
Un  auditeur  en  SI  publie  un  rapport  d'audit  montrant  un  
manque  de  protecMon  au  niveau  de  la  passerelle  du  
réseau  et  son  périmètre  par  l’intermédiaire  du  firewall  
uMlisé  ;  il  recommande  alors  le  produit  d'un  fournisseur  
pour  traiter  ce^e  vulnérabilité.  L’auditeur  en  SI  a  
échoué  
dans  l'exercice  de  :  
A.  l'indépendance  professionnelle.  
B.  l'indépendance  d'organisaRon.  
C.  sa  compétence  technique.  
D.  sa  compétence  professionnelle.  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  11:  
La  raison  principale  pour  laquelle  un  auditeur  en  SI  
exécute  un  parcours  des  foncMonnalités  
pendant  la  phase  préliminaire  d'une  mission  
d'audit  est:  
A.  de  comprendre  les  processus  méRers  supportés  
par  le  SI.  
B.  de  se  conformer  aux  normes  de  vérificaRon.  
C.  d'idenRfier  la  faiblesse  des  contrôles.  
D.  de  planifier  des  essais  approfondis.  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  12:  
Un  auditeur  des  SI  qui  passe  en  revue  la  configuraMon  
d’un  système  de  détecMon  d’intrusion  (IDS)  fondé  sur  
les  signatures  serait  des  PLUS  inquiets  si  lequel  des  
éléments  suivants  était  découvert?  
 
A  .  La  mise  à  jour  automaRque  est  désacRvée.  
B  .  Le  balayage  des  vulnérabilité  de  l’applicaRon  est  
désacRvé.  
C  .  L’analyse  des  paquets  de  données  chiffrés  est  
désacRvée.  
D  .  L’IDS  est  placé  entre  la  zone  démilitarisée  (DMZ)  et  le  
coupe-­‐feu.  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  13:  
Lequel  des  énoncés  suivants  fournit  le  MEILLEUR  
contrôle  d’accès  pour  les  données  salariales  qui  sont  
traitées  sur  un  serveur  local  ?  
 
A  .  La  journalisaRon  de  l’accès  aux  informaRons  personnelles  
B.    URlisaRon  de  mots  de  passe  séparés  pour  les  transacRons  
sensibles  
C.    URlisaRon  de  logiciel  qui  restreint  les  règles  d’accès  au  
personnel  autorisé  
D.    Restreindre  l’accès  aux  systèmes  aux  heures  d’opéraRon  
  El  Hadji  Malick  GUEYE,  CISA  
QuesRon  14:  
Une  entreprise  propose  d’installer  une  seule  
foncMonnalité  d’ouverture  de  session  qui  donne  l’accès  
à  tous  les  systèmes.  L’entreprise  doit  être  consciente  
que:  
 
A.  L’accès  maximum  autorisé  serait  possible  si  un  mot  de  
passe  est  divulgué.  
B.  Les  droits  d’accès  des  uRlisateurs  seraient  restreints  
avec  des  paramètres  de  sécurité  supplémentaires.  
C.  La  charge  de  travail  de  l’administrateur  de  la  sécurité  
serait  augmentée.  
D.  Les  droits  d’accès  des  uRlisateurs  seraient  augmentés.  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  15:  
Un  auditeur  des  SI  qui  passe  en  revue  le  journal  
des  tentaMves  manquées  d’ouverture  de  session  
serait  des  PLUS  inquiets  si  lequel  des  comptes  
suivants  était  ciblé?  
 
A.    Administrateur  de  réseau  
B.    Administrateur  de  système  
C.    Administrateur  de  données  
D.    Administrateur  de  base  de  données  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  16:  
Un  site  Web  de  commerce  électronique  de  détail  désire,  
en  tant  que  parMe  de  son  programme  de  sécurité  de  
l’informaMon,  surveiller,  détecter  et  prévenir  les  
acMvités  des  pirates  informaMques  et  alerter  
l’administrateur  du  système  lorsque  surviennent  des  
acMvités  douteuses.  Lequel  des  composants  
d’infrastructure  suivants  pourrait  être  uMlisés  à  ce^e  
fin  ?  
 
A.  Système  de  détecRon  d’intrusion  
B.  Les  coupe-­‐feux  
C.  Les  routeurs  
D.  Encryptage  asymétrique  
El  Hadji  Malick  GUEYE,  CISA  
QuesRon  17:  
Lequel  des  problèmes  suivants  touchant  la  
sécurité  d’un  message  électronique  est  traité  
avec  les  signatures  numériques  ?  
 
A.  La  lecture  non  autorisée  
B.  Le  vol  
C.  La  copie  non  autorisée  
D.  L’altéraRon    
El  Hadji  Malick  GUEYE,  CISA  
QuesRon  19:  
Lequel  des  éléments  suivants  caractérise  une  a^aque  par  
déni  de  service  distribué  (DDoS)?  
 
A.  Une  commande  centrale  aux  ordinateurs  intermédiaires  de  
diriger  simultanément  du  trafic  de  messages  parasites  vers  un  
site  ciblé.  
B.  Une  commande  locale  aux  ordinateurs  intermédiaires  de  
diriger  simultanément  du  trafic  de  messages  parasites  vers  un  
site  ciblé.  
C.  Une  commande  centrale  à  un  ordinateur  principal  de  
diriger  simultanément  du  trafic  de  messages  parasites  vers    de  
mulRples  sites  ciblés.  
D.  Une  commande  centrale  aux  ordinateurs    intermédiaires  
de  diriger  du  trafic  de  messages  parasites  déclarés  vers  un  site  
ciblé.  
El  Hadji  Malick  GUEYE,  CISA  
QuesRon  20:  
Dans  un  processus  d'évaluaMon  des  contrôles  des  modificaMons  de  
maintenance  d’un  programme  pour  lequel  les  codes  sources  iniMaux  
ne  sont  plus  conservés,  un  auditeur  en  SI  uMliserait  un  logiciel  de  
comparaison  de  code  source  pour:  
A.  examiner  des  changements  de  programme  source  sans  
informaRons  provenant  du  personnel  informaRque.  
B.  découvrir  un  changement  de  programme  source  fait  entre  le  
moment  de  l'acquisiRon  de  la  copie  de  programme  source  et  
l'exécuRon  de  la  comparaison.  
C.  confirmer  que  la  copie  contrôlée  est  la  version  actuelle  du  
programme  en  producRon.  
D.  garanRr  que  tous  les  changements  faits  dans  la  copie  source  
actuelle  sont  découverts.  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  21:  
Un  auditeur  doit  SURTOUT  faire  preuve:  
 
A.  de  confidenRalité,  d'intégrité,  de  savoir-­‐faire  et  d'objecRvité,    
B.  de  savoir-­‐faire  et  d'objecRvité,  de  simplicité  et  de  compréhension  
C.  de  confidenRalité,  d'intégrité,  d'humilité  et  de  ténacité  
D.  d'intégrité,  de  savoir-­‐faire,  de  courage  et  de  simplicité  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  22:  
Me^re  en  place  un  cadre  de  gesMon  de  la  sécurité  ne  consiste  pas  à  :  
 
A.  Evaluer  les  risques  et  idenRfier  la  méthode  de  gesRon  du  risque  
B.  Définir  le  périmètre  sur  lequel  le  système  de  gesRon  de  la  sécurité  
de  l’informaRon  s’applique  (Cœur  d’acRvité  de  l’organisaRon)  
C.  Formaliser  des  objecRfs  globaux  de  sécurité  dans  un  document.  
D.  SélecRonner  les  contrôles  de  la  norme  ISO  27002  permerant  
pallier  les  risques  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  23:  
Le  niveau  de  criMcité  de  chaque  risque  est  évalué  grâce  au  produit:  
 
A.  de  la  menace  et  de  la  vulnérabilité  
B.  de  la  probabilité  d'occurrence  et  de  la  menace  
C.  de  la  probabilité  d'occurrence  et  de  la  gravité  de  ses  conséquences  
D.  de  la  vulnérabilité  et  de  la  probabilité  d'occurrence  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  24:  
Lequel  de  ces  incidents  ne  consMtue  pas  un  risque  de  disconMnuité  
d'un  service?  
 
A.  charge  importante  du  système  
B.  installaRon  d'un  nouveau  serveur  pour  un  logiciel  méRer  important  
C.  panne  d'un  composant  
D.  sinistre  endommageant  ou  détruisant  le  système  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  25:  
La  sécurité  de  l'informaMon  doit  être  assurée:  
 
A.  de  son  stockage  à  sa  destrucRon.  
B.  de  sa  créaRon,  son  uRlisaRon,  son  stockage  à  sa  destrucRon.  
C.  uniquement  durant  son  uRlisaRon  
D.  durant  tout  le  processus  d'uRlisaRon  et  de  transfert  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  26:  
Délocaliser  un  centre  de  ressource  dans  une  région  avec  moins  de  
risques  naturels  consiste  à:    
A.  Transférer  le  risque  
B.  Arénuer  le  risque  
C.  Eviter  le  risque  
D.  Accepter  le  risque  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  27:  
Me^re  en  place  un  cadre  de  gesMon  de  la  sécurité  ne  consiste  pas  à  :
   
A.  évaluer  les  risques  et  idenRfier  la  méthode  de  gesRon  du  risque  
B.  définir  le  périmètre  sur  lequel  le  système  de  gesRon  de  la  sécurité  
de  l’informaRon  s’applique  (Cœur  d’acRvité  de  l’organisaRon)  
C.  formaliser  des  objecRfs  globaux  de  sécurité  dans  un  document.  
D.  sélecRonner  les  contrôles  de  la  norme  ISO  27002  permerant  
pallier  les  risques  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  28:  
Un auditeur des SI vient juste de terminer la révision d’une
entreprise qui possède un ordinateur central et deux serveurs de
base de données dans lesquels se trouvent toutes les données de
production. Laquelle des faiblesses suivantes serait considérée
comme étant la PLUS sérieuse?

A. Le responsable de la sécurité joue aussi le rôle d’administrateur de


la base de données.
B. Les contrôles de mots de passe ne sont pas gérés sur les deux
serveurs de base de données.
C. On ne retrouve pas de plan de continuité des affaires pour les
applications non essentielles du système de l’ordinateur central.
D. La plupart des LAN ne sauvegardent pas les disques fixes des
serveurs de fichiers régulièrement.

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  29:  
Lequel  des  éléments  suivant  présente  la  mesure  de  contrôle  des  
virus  la  PLUS  efficace  ?    
 
A.  Le  balayage  des  pièces  jointes  sur  le  serveur  de  courriel.  
B.  La  récupéraRon  des  systèmes  à  parRr  de  copies  saines.  
C.  L’inhibiRon  des  ports  USB.  
D.  Un  scanneur  anRvirus  en  ligne  comprenant  des  descripRons  à  jour  
des  nouveaux  virus.  
 
 

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  30:  
Dans  le  processus  d'installaMon  d'un  système  de  détecMon  
d'intrusion  (IDS),  qu'est  ce  qui  est  le  plus  important?  
 
A.  localiser  correctement  l’IDS  dans  l'architecture  de  réseau  
B.  prévenir  contre  les  araques  de  déni  de  service  (Dos)  
C.  idenRfier  les  messages  qui  doivent  être  mis  en  quarantaine  
D.  minimiser  les  erreurs  dans  les  rejets  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  31:  
Dans  quel  domaine  de  la  norme  ISO  27002  sommes  nous  appelé  à  
formaliser  des  objecMfs  globaux  de  sécurité  dans  un  document:    
 
A.  OrganisaRon  de  la  sécurité  
B.  PoliRque  de  sécurité  
C.  Contrôle  d'accès  
D.  Sécurité  du  personnel  
 

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  32:  
La  PREMIERE  étape  dans  l'idenMficaMon  et  l'évaluaMon  des  risques  
informaMques  est  de:    
 
A.  confirmer  le  niveau  de  tolérance  de  l'entreprise  au  risque.  
B.  idenRfier  les  menaces  et  les  vulnérabilités.  
C.  recueillir  des  informaRons  sur  l'environnement  actuel  et  futur.  
D.  examiner  les  rapports  d'incidents  antérieurs  et  de  l'acRvité  de  
réponse.  
 
 

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  33:  
Lequel  de  ces  éléments  ne  consMtue  pas  un  acMf  du  SI  de  
l'entreprise:    
A.  Le  système  de  télécopie    
B.  Les  données  de  recherche  &  développement  de  la  concurrence  
C.  Les  mémorandums  
D.  Le  contenu  de  la  corbeilles  à  papier  
 
 

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  34:  
Lequel  des  énoncés  suivants,  préviendrait  les  changements  effectués  
sans  autorisaMon  aux  informaMons  mémorisées  dans  le  journal  d'un  
serveur?  
 
A.  La  protecRon  contre  l'écriture  du  répertoire  contenant  le  journal  
du  système  
B.  L'écriture  d'un  journal  en  duplicata  sur  un  autre  serveur  
C.  Tous  les  jours,  le  journal  de  système  est  imprimé  
D.  Le  fait  de  copier  le  journal  du  système  dans  un  média  protégé  
contre  la  réécriture  

El  Hadji  Malick  GUEYE,  CISA  


QuesRon  35:  
Parmi  ces  choix,  lequel  fournirait  la  meilleure  protecMon  contre  le  
piratage  d'un  ordinateur  connecté  à  Internet?  
 
A.  Un  serveur  d'accès  distant  
B.  Un  serveur  proxy  
C.  Un  pare-­‐feu  personnel  
D.  Un  jeton  produisant  un  mot  de  passe  

El  Hadji  Malick  GUEYE,  CISA  


pour  
Centre  Africain  
d’Etudes  Supérieures  
en  GesRon  
 
par  
El  Hadji  Malick  GUEYE  |  CISA,  COBIT5,  ITIL  
malick@gueye.net  
 
sources:  
Manuel  de  préparaRon  CISA  2015,  ISACA  
IntroducRon  à  la  gesRon  de  risque  informaRonnel,  Marc  André  LEGER  
Théorie  et  praRque  de  l’audit  interne,  Jacques  RENARD    
ISO  27001  /  27002  
Divers  arRcles  téléchargés  sur  Internet.  
 

Janvier  2016  
MPACG2  SOIR  

Vous aimerez peut-être aussi