Système d'information est un ensemble de ressource qui représente un

ensemble d'éléments participant à la gestion au traitement au transport et

à la diffusion de l'information dans une entreprise.

Un Système d'information se construit autour des processus metier et ses

interactions.

Securitié de l'information est l'ensemble des moyens techniques, organisa

tionnel, juritdique et humain mis en place pour faire face aux risques iden
tifié afin d'assurer la confidentialité, l'intégrité, la disponibilité et la traça
bilité de l'information.

Il est essentiel de se protéger pour éviter:

-Perte financière
-Perte de son image
-Perte de production ou d'efficacité

La politique de sécurité est l'ensemble des documents indicant les directive

s, les procédures, les ligne de conduite, les règles organisationnelles et te
chnique à suivre relativement à la sécurité de l'information et à sa gestion.

Elle permet de definir, réaliser, entretenir et améliorer la sécurité de l'infor

mation au sein d'une entreprise.

Un audit ne peut se faire si on n'établit pas au préalable un reférentiel.

Ce reférentiel, représente l'ensemble des règles techniques, organisation
nelles et procedurales de reférence et permet au cours de l'audit, d'évaluer
le niveau de sécurité réel du "terrain" par rapport à une cible.

Un reférentiel se doit d'être:

-Complet
-Homogène
-Pragmatique

Une mision d'audit consiste à mesurer le niveau d'application des règles

sur les SI par rapport au règles qui devraient être effectivement appliqué
es selon les processus édictés.

Les différents objectifs d'un audit sont:

-La determination des déviations par rapport aux bonne pratique
de sécurité.

- La proposition d'actions visant l'amélioration du niveau de sécuri

té du système d'information.

Cycle de vie d'un audit sécurité des SI

Le SI objets de l'audits ---> Evaluation des risques ---> Detection régulière

et automatique des vulnérabilités et des failles potentielles ---> Identifica
tion des vulnérabilités depuis l'extérieur

Demarche de réalisation d'un audit de sécurité

 - Charte d'audit : Définition des fonctions de l'audit, des limites et
modalités d'intervention, des responsabilités et des principes régissant
la relation entre les auditeurs et les audités.
- Préparation de l'audit: Définition des grands axes qui devront être
suivis sur le terrain.
- Audit organisationnel et physique: Il s'agit de s'intéresser aux as-
pect de gestion et d'organisation de la sécurité sur les plans organisa
tionnels, humains et physiques. L'objectif ici est d'avoir une vue globale
de l'état de sécurité des SI et identifier les risques potentiels.
- Audit technique: Il s'agit de découvrir l'ensemble du réseau et al-
ler jusqu'au sondage des services réseaux actifs et vulnérable.
- Audit intruisif: Sensibilisation des acteurs par des rapports illus-
trant les failles décelées, les tests ainsi que les recommandations pour
pallier aux insuffisances identifiées.
- Rapport de synthèse et recommandation: Revelation des defail
lances enregistrées et recommandations palliative à travers un rapport
de synthèse.