Académique Documents
Professionnel Documents
Culture Documents
PLAN DU COURS
BUT DU COURS............................................................................................................................... 0
I. INTRODUCTION .......................................................................................................................... 1
I.1. BREF HISTORIQUE DE L’AUDIT ....................................................................................... 2
I.2. AUDIT INTERNE ET AUDIT INFORMATIQUE ................................................................ 3
I.3. BESOIN ET NECESSITE D’AUDIT INFORMATIQUE ...................................................... 4
I.4. POSTES DE COUT INFORMATIQUE ................................................................................. 4
CHAP II. CONTEXTE TECHNIQUE POUR LA MISSION D’AUDIT ......................................... 6
II.1. L’EVOLUTION DES DIFFERENTS SYSTEMES .............................................................. 8
II.2. TYPOLOGIE D’AUDIT INFORMATIQUE ........................................................................ 8
II.3. L’AUDIT INFORMATIQUE FONCTIONNEL ................................................................... 9
II.4. L’AUDIT INFORMATIQUE OPERATIONNEL ................................................................. 9
CHAP III. PHASES D’UNE MISSION D’AUDIT ......................................................................... 10
III.1. ENQUETE PRELIMINAIRE ......................................................................................... 11
III.2. PHASE DE VERIFICATION ......................................................................................... 12
III.3. PHASE DE RESTITUTION DU RAPPORT ................................................................. 13
CHAP IV. MISSIONS D’AUDIT ................................................................................................... 15
IV.1. AUDIT DE LA POLITIQUE D’ACQUISITION EN VUE DE L’INFORMATISATION
...................................................................................................................................................... 15
IV.2. AUDIT SUR L’UTILISATION DES LOGICIELS ........................................................... 18
IV.3. AUDIT DE QUALITE DE SERVICE ET DE L’INFORMATIQUE HORIZONTALE ... 19
IV.4. AUDIT D’UN GRAND CENTRE SERVEUR .................................................................. 20
IV.5. AUDIT DES RESSOURCES HUMAINES ....................................................................... 21
CHAP V. PROBLEME DE SECURITE ET AUDIT ASSOCIE .................................................... 23
A. PLAN DE SECURITE CONCERNANT LA PROTECTION DE MATERIEL ET DE LA
SALLE DE STOCKAGE ............................................................................................................ 23
B. SECURITE CONCERNANT LES FICHIERS ....................................................................... 24
C. SECURITE DES MATERIELS .............................................................................................. 24
D. SECURITE DE LA DOCUMENTATION ............................................................................. 24
E. AUDIT ET SECURITE DANS LE DOMAINE DU RESEAU .............................................. 25
BUT DU COURS
Initier les futurs informaticiens aux techniques et procédures d’audit
1
Cours d’Audit Informatique universite lumiere de BUJUMBURA
informatique.
I. INTRODUCTION
L’Audit vient du mot latin AUDIRE qui signifie écouter, faire un
diagnostic. Il s’agit donc d’une activité qui diagnostique les forces et les
faiblesses d’un système en référence à des objectifs déclarés ou sousentendus,
qui analyse les raisons de ces lacunes et qui propose un plan d’action afin que
le service audité réponde aux besoins et exigences de l’entreprise en terme de
qualité de service, de sécurité, d’efficacité, de cohérence,...
L’entreprise peut être considérée comme une boîte noire avec à
l’entrée des flux d’information et à la sortie des produits finis. D’où, la nécessité
de coordination et de synchronisation de tous ses éléments.
L’entreprise comme système a besoin d’outils de systèmes
d’information et informatiques. Ces outils doivent être fiables. Pour fiabiliser ces
moyens, il faut diagnostiquer, vérifier, contrôler et prévenir, trouver les moyens
de défaillances, formuler des recommandations. Tous ces problèmes font
partis du rôle des auditeurs.
FLUX
D’INFORMATION
ENTREPRISE PRODUITS FINIS
OU "BOITE NOIRE"
ENTREE AUTRES
SORTIE
INFORMATIONS
- Vérifier
- Diagnostic
- Contrôle
SECURITE
CONTROLEUR DE DG, DFC F
GESTION
AUDITEUR INTERNE DG, DFC B
REVISEUR COMPTABLE INDEPENDANT A
CONSULTANT INDEPENDANT C
A : Contrôleur Comptable
B : Contrôleur Technique, Commercial, Comptable, Sécurité
C : Diagnostic, Avis et Conseil
D : Sécurité physique du système ou des agents
E : Avis et Conseil, Planification d’un projet
F : Contrôleur des résultats de divers services
Les raisons qui invitent les dirigeants à effectuer les audits informatiques
sont :
- La connaissance de l’impact de changement dû aux introductions de
système informatique dans l’environnement du travail ;
- Le besoin de connaître les chiffres d’affaire et le retour des investissements
(ROI) avec les divers coûts et les risques encourus.
- Le coût de programmation
LOGICIELS
LOGICIELS DE
LOGICIELS
BASE
D’APPLICATION
SYSTÈME
D’EXPLOITATION
PROGICIELS (LOGICIELS LOGICIELS D’APPLICATION LOGICIELS SPECIFIQUES
POLYVALENTS) PROPREMENT DITS
- MS DOS
- WINDOWS -CAO
- UNIX - GESTION DE STOCK -DAO
- LINUX - COMPTABILITE -EAO
- NOS - GESTION DES MALADES -FAO
- OS/2 - Etc. -MAO
-PAO
-GPAO
-Etc.
GESTION DES
TEXTEUR TABLEUR GRAPHEUR RESEAUX
DONNEES
- LOTUS
- EXCEL - SPSS - INTERNET EXPLORER
- MULTIPLAN - ACCESS - EPI-INFO - NETSCAPE
- WORD - Etc. - DBASE - SPHINX - NAVIGATEUR
- WORDPERFECT - ORACLE - Etc. - Etc.
- POWER POINT - SQL SERVER
- Etc. - FRAMEWORK
- Etc;
8
Cours d’Audit Informatique universite lumiere de BUJUMBURA
- Cycle de décision
- Cycle d’abstraction
Tous ces problèmes font que la nécessité d’audit devient de plus en
plus présente.
Page
- L’audit de sécurité d’une façon globale
4. L’audit financier
ENQUETE PRELIMINAIRE
PLAN DE VERIFICATION
PREUVE N
SUFFISANTE
RAPPORT D’AUDIT
- La phase de vérification
ETABLISSEMENT D’UN
PLAN D’APPROCHE
PROGRAMME DE
VERIFICATION
VERIFICATION RAPIDE
VERIFICATION DETAILLEE
NON
BBK PR CONFIRMATION
EXPLOITATION ET MISE EN
FORME
PHASE DE RAPPORT
Remarque :
BBK : Black Blur Key (B ilan mettant en évidence les points forts et les points
faibles)
PR : Point de Reprise
- Les contraintes
d. Les directives :
- Les recommandations
- Les prévisions d’extension du système
e. Conclusion et engagement
- Rapport des engagements mutuels
- Délai des travaux
- Calendrier des réalisations, etc.
Pour une mission d’audit, le cahier de charges est utilisé pour faciliter
par exemple :
- Récolter les informations sur le choix des matériels achetés (leurs
caractéristiques notamment le type de processeur, la capacité mémoire
centrale, les types des périphériques, les types de réseau installé, etc.)
- Récolter les informations sur les logiciels réalisés ou achetés
- Détecter les copies et les logiciels illicitement installés o Les logiciels sont
HEURES)
NOMBRE MOYEN D’ARRET 1,91 1,92
DUREE MOYENNE D’UN 1,05 1,10
ARRET (EN HEURES)
TAUX D’INTERVENTION
Commentaire :
Les tableaux ci-dessus indiquent les différentes qualités de services
dans des centres informatiques en tenant compte des critères ci-après :
- Taux d’indisponibilité
- Sécurité de la documentation
D. SECURITE DE LA DOCUMENTATION
- Eviter l’éparpillement de la documentation notamment la
documentation concernant le système d’exploitation
- Garder les documents dans des classeurs ou armoires métalliques
- Restriction d’accès
- Etc.
La plupart de ces tâches sont confiées à des sociétés de service (Voir cours de
télématique et réseaux). Avec le développement de l'utilisation d'internet, de plus en plus
La menace (en anglais « threat ») représente le type d'action susceptible de nuire dans l'absolu,
tandis que la vulnérabilité (en anglais « vulnerability », appelée parfois faille ou brêche)
représente le niveau d'exposition face à la menace dans un contexte particulier. Enfin la contre-
mesure est l'ensemble des actions mises en oeuvre en prévention de la menace.
Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions techniques mais
également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi
qu'un ensemble de règles clairement définies.
Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et
donc de connaître et de prévoir la façon de procéder de l'ennemi. Le but est ainsi de donner un
aperçu des motivations éventuelles des pirates, de catégoriser ces derniers, et enfin de donner
une idée de leur façon de procéder afin de mieux comprendre comment il est possible de limiter
les risques d'intrusions.
Le système d'information est généralement défini par l'ensemble des données et des ressources
matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le
système d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de
protéger.
La sécurité informatique, d'une manière générale, consiste à assurer que les ressources
matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.
Lester Hill, mathématicien cryptographe (1891-1961) publie en 1929 dans la revue American
MathematicalMonthly un article intitulé Cryptography in an algebraic alphabet, où il détaille
un nouveau type d'algorithme de chiffrement. Son idée n'est plus de coder lettres par lettres,
mais de coder simultanément des groupes de m lettres! Bien sûr, plus m est grand, plus les
analyses statistiques ne deviennent difficiles! Le chiffre de Hill est une méthode de chiffrement
qui utilise des matrices carrées. On désigne par 2-chiffre de Hill, le chiffre obtenu en codant les
lettres par blocs de deux, par 3- chiffre de Hill celui obtenu en codant les lettres par blocs de
trois, et ainsi de suite. Chiffrement
Dans une première phase, chaque lettre du texte à chiffrer est remplacée par une valeur
numérique, celle de son rang dans l’alphabet, c'est-à-dire, nous remplaçons chaque lettre par
son ordre dans l'alphabet : A devient 1, B devient 2,..., Z devient
26. On groupe les nombres ainsi obtenus par m (prenons par exemple m=2).
Les lettres Pk et Pk+1 du texte clair seront chiffrés Ck et Ck+1 avec la formule ci-dessous:
Ce qui signifie, pour fixer les idées, que les deux premières lettres du message clair (P1 et P2)
seront chiffrées (C1 et C2) selon les deux équations suivantes:
a b c d e f g
1 2 3 4 5 6 7
h I j k l m n
8 9 10 11 12 13 14
o P q r s t U
15 16 17 18 19 20 21
v W x y z
Par NIYO Pierre Page 27
28
Cours d’Audit Informatique universite lumiere de BUJUMBURA
22 23 24 25 0
La valeur 0 est attribuée à la lettre Z afin de travailler
modulo 26. Cependant, d'autres auteurs posent "A"=0, "B"=1, ..., "Z"=25. Les deux conventions
se défendent.
L'essentiel est que les protagonistes se mettent d'accord avant d'échanger des messages. On
pourrait même imaginer de prendre un alphabet désordonné, par exemple "A"=15, "B"=6, etc.,
ce qui constituerait un surchiffrement.
Exemple de chiffrement
Alice prend comme clef de chiffrement la matrice 9574 pour chiffrer le message
« je
vous aime ».
Déchiffrement :
Pour déchiffrer, le principe est le même que pour le chiffrement: on prend les lettres deux par
deux, puis on les multiplie par une matrice.
Introduction
Il est de notoriété publique aujourd’hui que les systèmes informatiques ne sont pas infaillibles.
Régulièrement, des personnes que nous dénommerons « assaillants, attaquants » internes ou
externes, pénètrent ces systèmes afin de les détruire ou pour le challenge de l’opération, mais
surtout, la plus grande majorité du temps, s’introduisent en eux, pour dérober de l’information
sensible, ou à défaut, utile à leurs fins, dans un but lucratif ou politique.
Virus
Un virus peut être défini comme un logiciel malveillant écrit dans le but de se dupliquer sur
d’autres ordinateurs, afin de provoquer pertes de données, « plantage » du système
d'exploitation sur les ordinateurs contaminés. Certains virus, programmés par des hackers
particulièrement talentueux et malveillants, peuvent provoquer des dégâts matériels : crash du
disque dur, voire « flashage » de la carte mère, ce qui met l'ordinateur totalement hors-service.
Les Virus se reproduisent en infectant des applications hôtes, c’est-à-dire en copiant une portion
de code exécutable au sein d’un programme existant.
Or, afin de ne pas avoir un fonctionnement chaotique, ils sont programmés pour ne pas infecter
plusieurs fois un même fichier.
Les virus vont de la simple balle de ping-pong qui traverse l’écran, aux virus informatiques les
plus dangereux destructeurs de données. Ce dernier étant la forme de virus la plus virulente.
Ainsi, étant donné qu’il existe une vaste gamme de virus ayant des actions aussi diverses que
variées,
Les virus informatiques ne sont pas classés selon leurs dégâts mais selon leur mode de
propagation et d’infection.
Les antivirus sont capables de les détecter si il les connaissent, permettant ainsi de nettoyer
celui-ci dans la mesure du possible si jamais un ou des virus sont trouvés.
■Ralentir la messagerie. Les virus se propageant par courriel comme Sobig peuvent générer
un trafic de messagerie si important que cela peut entraîner le ralentissement ou l’arrêt brutal
des serveurs. Même si cela ne se produit pas, l’entreprise peut tout de même réagir enéteignant
les serveurs.
■ Subtiliser des données confidentielles. Lever Bugbear-D enregistre les saisies clavier de
l’utilisateur, ycompris les mots de passe, et donne à l’auteur du virus l’accès àces données.
■ Utiliser votre ordinateur pour attaquer les sites Web : MyDoom utilisait des ordinateurs
infectés pour inonder dedonnées le site Web de la société informatique SCO, rendantainsi le
site inutilisable (une attaque par déni de service).
■ Effacer des données. Le ver Sircam peut tenter un jour donnéde supprimer ou d’écraser le
disque dur.
■ Désactiver des matériels. CIH, plus connu sous le nom deChernobyl, entreprend d’écraser
le BIOS le 26 avril, rendant dece fait la machine inutilisable.
■ Faire des farces. Le ver Netsky-D fait émettre à l’ordinateur dessignaux sonores sporadiques
pendant toute une matinée.
■ Afficher un message. Cone-F affiche unmessage politique s’il s’agit du mois de mai. ■ Nuire
à la crédibilité. Si un virus s’expédie delui-même de votre ordinateur vers ceux de vosclients
ou de vos partenaires commerciaux, cesderniers pourront refuser de collaborer avec vousou
souhaiteront obtenir des compensations.
■ Mettre dans l’embarras. Par exemple, PolyPost place vos documents et votre nom sur des
forums à caractère sexuel.
Vers
Définition
Un ver informatique (en anglais worm) est un programme qui peut s'auto-reproduire et se
déplacer à travers un réseau en utilisant les mécanismes réseau, sans avoir réellement besoin
d'un support physique ou logique pour se propager; un ver est donc un virus réseau.
Fonctionnement actuel
Les vers actuels se propagent principalement grâce à la messagerie (et notamment par le client
de messagerie Outlook) grâce à des fichiers attachés contenant des instructions permettant de
récupérer l'ensemble des adresses de courrier contenues dans le carnet d'adresse et en envoyant
des copies d'eux-même à tous ces destinataires.
Ces vers sont la plupart du temps des scripts (généralement VBScript) ou des fichiers
exécutables envoyés en pièce jointe et se déclenchant lorsque l'utilisateur destinataire clique sur
le fichier attaché.
Comment se protéger ?
Il est simple de se protéger d'une infection par ver. La meilleure méthode consiste à ne pas
ouvrir "à l'aveugle" les fichiers qui vous sont envoyés en fichierattachés. Ainsi, tous les fichiers
exécutables ou interprétables par le système d'exploitation peuvent potentiellement infecter
votre ordinateur. Les fichiers comportant notamment les extensions suivantes sont
potentiellement susceptible d'être infectés :
Les logiciels espions ne sont pas des virus (vous ne pouvez pas les propager sur d’autres
ordinateurs), mais ils peuvent avoir des effets indésirables. Des logiciels espions peuvent
s’installer sur votre ordinateur lorsque vous visitez certains sites Web.
Un message contextuel peut vous inviter à télécharger un logiciel utilitaire dont vous pouvez
“avoir besoin” ou un logiciel peut à votre insu se télécharger automatiquement.
Le logiciel espion fonctionne alors sur l’ordinateur, suit à la trace vos actions (par exemple, les
visites sur les sites Web) et en fait un compterendu destiné par exemple à un annonceur. Il peut
aussi changer la page d’accueil qui apparaît lorsquevous lancez votre navigateur Internet et
utiliser un modem à composition automatique pour appeler des numéros de téléphone de type
0900 (tarifssurtaxés). Le logiciel espion utilise la capacité mémoire et de traitement, et peut
ralentir l’ordinateur ou l’arrêter brutalement.
Il existe des logiciels qui permettent de détecter les programmes espions connus et de les
supprimer. Exemples : Cookies
Lorsque vous visitez un site Web, il peut placer sur l’ordinateur un petit ensemble de données
appelé un “cookie”.
Le site se rappelle ainsi des détails vous concernant et possède une trace de vos visites.
Les cookies ne constituent pas une menace pour vos données.
En revanche, ils menacent votre confidentialité. Si vous préférez rester anonyme, utilisez les
paramètres de sécurité de votre navigateur pour désactiver les cookies.
Définition
La famille des standards ISO 2700011, adoptée par de nombreuses organisations dans le monde,
et reprise par de multiples standards fonctionnels et techniques12, définit une vulnérabilité
comme une faiblesse - au sein d’un actif ou groupe d’actifs - dont l’exploitation potentielle (par
une menace) peut porter préjudice à l'organisation : fuite d’informations confidentielles, image
détériorée, perte de confiance des clients, non-respect de règlementations, baisse des revenus,
réduction de la marge opérationnelle, etc.
III.2. Cycle de vie de la vulnérabilité
Le cycle de vie d’une vulnérabilité débute par sa découverte. Dans le cas où une personne
malveillante la découvre, elle va tenter de l’exploiter en développant un code spécifique appelé
exploit (zero-day13) en attendant que cette vulnérabilité devienne publique (remontée par des
sociétés spécialisées en sécurité informatique, des éditeurs de logiciels, des cellules de veille,
etc), soit qualifiée puis enfin corrigée. A ce titre, l’ANSSI a publié un guide sur les
vulnérabilités 0-day de « Prévention et bonnes pratiques ». Dans le cas d’une vulnérabilité
logicielle, l’éditeur devra fournir soit un correctif (patch) qui sera installé sur les systèmes
vulnérables soit une nouvelle version du logiciel qui corrige la vulnérabilité.
La norme ISO 27001, intitulée "Management de la sécurité de l'information" peut être utilisée
comme méthode afin de créer un processus de gestion des vulnérabilités. Voici ci-après son
fonctionnement.
3. ÉVALUER : Identifier les vulnérabilités ou les menaces potentielles sur chaque ressource.
5. CORRIGER : Éliminer les vulnérabilités les plus sérieuses des ressources les plus
importantes.
Questions du TP
1. Soit la répartition professionnelle ci-après : A)
La conception et la réalisation :
ETAPE RATIO
13% du total du
ETUDE PREALABLE projet
ETUDE DETAILLEE 30% du total du projet
ETUDE TECHNIQUE 18% de la charge de
réalisation
REALISATION
2 fois la charge d’étude
détaillée
34 % de la charge de
MISE EN ŒUVRE réalisation
Directeur 1
Service divers 3
Responsable Personnel 2
Logistique 1
Approvisionnement 1
Chaîne de production 1
TOTAL 9
La charge de la phase d’observation pour cette étude étant de 1/2 de la
charge de l’étude préalable. On estime celle-ci à 26 jours par homme.
Déterminer :
a) La charge du projet
b) La charge préalable
e) La charge de la réalisation
f) La Mise en œuvre