EXPOSÉ D’AUDIT INFORMATIQUE

THÈME :

AUDIT DE LA SECURITE
INFORMATIQUE

Classe : SR3A GROUPE 9

NOMS DES EXPOSANTS :

 OWONA ZANGA
 ROXANE MANDON
 TADIE PIEGANG CLAIRE
 TAGNE KAMDEM GUALBERT

Sous la supervision de : Mr MEKWONTCHOU Albert

ANNEE ACADEMIQUE :
2022-2023
 AUDIT INFORMATIQUE

INTRODUCTION

A l’ère du digital, toutes les organisations disposent aujourd’hui d’un système

d’information fortement dématérialisé. La sécurité informatique concerne donc toutes les
organisations, les grandes comme les petites entreprises, les administrations et les associations.
Une faille ou une défaillance de la sécurité de votre SI peut mettre en risque la continuité de
votre activité. Pour éviter de vous retrouver face à un verrouillage ou un vol de données, pensez
à réaliser régulièrement des audits de sécurité informatique qu’il s’agisse de gérer les risques
internes ou les risques externes car la prévention réduit fortement le risque. Ainsi, qu’est-ce
qu’on entend par audit de sécurité informatique ? La sécurité du système d’information étant
désormais un enjeu de taille dans la gouvernance de toute structure, il revient de droit de définir
qu’est-ce qu’un audit informatique en entreprise et expliquer son fonctionnement. Il sera donc
question pour nous de présenter dans les lignes qui suivent, le concept proprement dit de l’audit
de la sécurité informatique.

REDIGE PAR LES MEMBRES DU GROUPE 9 1

 AUDIT INFORMATIQUE

I. DEFINITION DES TERMES

La sécurité des systèmes d’information (SSI) ou plus simplement sécurité

informatique, est l’ensemble des moyens techniques, organisationnels, juridiques ethumains
nécessaires à la mise en place de moyens visant à empêcher l'utilisation non autorisée, le
mauvais usage, la modification ou le détournement du système d'information. Assurer la
sécurité du système d'information est une activité du management du système d'information
(selon Wikipédia).

L’audit informatique est un état des lieux de tout ou partie de votre informatique. Il a
pour objectif d’analyser et évaluer les risques ou points d’améliorations

L’audit de sécurité est un diagnostic de l’état de sécurité de votre système

d’information pour en révéler d’éventuels failles ou dysfonctionnements qui pourraient
compromettre vos activités.

Un audit de sécurité informatique est une démarche, censée être périodique, qui
permet de connaître le niveau de sécurité global de votre système d’information, et d’évaluer
le degré de sa conformité par rapport à votre politique de sécurité, un ensemble de règles
relatives à la sécurité de l’information, ou des référentiels en vigueur. Il garantit ainsi la
disponibilité du système d’information, l’intégrité de vos données, la confidentialité des accès,
et permet de déceler les vulnérabilités du SI afin d’en maitriser les risques.

REDIGE PAR LES MEMBRES DU GROUPE 9 2

 AUDIT INFORMATIQUE

II. CONTEXTE ET OBJECTIFS

1. CONTEXTE

Le développement d’Internet, l’interconnexion des réseaux et l’interconnexion des

appareils sont tout autant de facteurs qui multiplient les risques informatiques au sein des
entreprises. Qu’il s’agisse de risques internes (manque de sensibilisation des collaborateurs,
erreurs et incidents, accès aux données critiques, malveillance, anciens collaborateurs…) ou de
risques externes (virus, intrusions, phishing, espionnage…) la sécurité du système
d’information est désormais un enjeu de taille dans la gouvernance de toute structure. L’audit de
sécurité permet d’assurer la protection des données sensibles pour répondre aux exigences des
règles de conformité relatives à la sécurité des données privées. À ce titre, votre entreprise est
susceptible de recevoir un jour ou l’autre un audit officiel organisé par les autorités. Avant de
vous retrouver devant de mauvaises nouvelles, prenez les devants et montrez patte blanche !
Que vous fassiez appel à un auditeur interne ou externe, Selon qu’il s’agisse d’un audit de
sécurité organisationnel et/ou technique, l’audit des systèmes est un donc état des lieux pour
évaluer les risques d’intégrité, de fuite ou d’intrusion permettant ainsi de définir des axes
d’amélioration pour en relever le niveau de sécurité.

2. OBJECTIFS
L'objectif principal de l'audit de sécurité informatique est d'évaluer la sécurité des
systèmes informatiques d'une entreprise en identifiant les vulnérabilités et les risques de
sécurité.

Les audits de sécurité informatique peuvent également aider les entreprises à :

● Identifier les faiblesses dans les politiques et les procédures de sécurité informatique

● Évaluer l'efficacité des contrôles de sécurité existants

● Identifier les zones à risque élevé et les priorités pour les améliorations de sécurité

● Évaluer la formation et la sensibilisation à la sécurité des employés

● Évaluer la conformité aux normes et réglementations en matière de sécurité

● Évaluer la résilience des systèmes en cas d'incident de sécurité ou de catastrophe

naturelle.

REDIGE PAR LES MEMBRES DU GROUPE 9 3

 AUDIT INFORMATIQUE

● Évaluer le niveau de maturité du SI (analyse de l’architecture réseau, configuration,

contrôle des accès, sécurité des ressources humaines et des communications,
cryptographie, etc.) ;
● Évaluer la sécurité informatique d’un système d’information
● Évaluer la sécurité des systèmes avant une fusion ou une acquisition
● Détecter les activités malveillantes ou pour renforcer la sécurité des systèmes

III. NORMES ET REFERENTIELS UTILISES

Il existe de nombreuses normes et références utilisées dans les audits de sécurité

informatique que les organisations peuvent utiliser pour évaluer leurs systèmes de sécurité de
l'information. Certains des plus courants incluent :
 ISO 27001 : Il s'agit d'une norme internationale qui fournit un cadre pour
l'établissement, la mise en œuvre, la maintenance et l'amélioration continue d'un système de
gestion de la sécurité de l'information (ISMS). Il comprend un ensemble de meilleures
pratiques et de contrôles pour la gestion des risques de sécurité de l'information.
 NIST Cybersecurity Framework : il s'agit d'un cadre développé par le National
Institute of Standards and Technology (NIST) des États-Unis qui fournit un ensemble de
lignes directrices et de meilleures pratiques pour gérer et réduire les risques de cybersécurité.
 PCI-DSS : La norme de sécurité des données de l'industrie des cartes de paiement
(PCI-DSS) est un ensemble de normes de sécurité développées par les principales sociétés de
cartes de crédit pour se protéger contre la fraude par carte de crédit. Il comprend un ensemble
d'exigences pour les commerçants et les fournisseurs de services qui traitent les transactions par
carte de crédit.
 Contrôles CIS : les contrôles du Centre pour la sécurité Internet (CIS) sont un
ensemble de meilleures pratiques pour la sécurisation des systèmes et des données informatiques.
 RGPD : Le Règlement général sur la protection des données (RGPD) est un
règlement de l'Union européenne qui établit des normes de protection des données personnelles.
Il comprend un ensemble d'exigences pour les organisations qui traitent les données personnelles
des citoyens de l'UE.
En adhérant à ces normes, les organisations peuvent améliorer leur posture de sécurité
globale et réduire le risque de violation de données et d'autres incidents de sécurité.

REDIGE PAR LES MEMBRES DU GROUPE 9 4

 AUDIT INFORMATIQUE

IV. ETAPES DE L’AUDIT DE SECURITE INFORMATIQUE

La norme ISO 27001 est largement utilisée dans l'audit de sécurité informatique comme
cadre d'évaluation du système de gestion de la sécurité de l'information (ISMS) d'une
organisation. Il fournit un cadre permettant aux organisations d'établir, de mettre en œuvre, de
maintenir et d'améliorer continuellement leurs systèmes de gestion de la sécurité de
l'information La norme ISO 27001 comprend un ensemble de contrôles et de meilleures
pratiques pour gérer les risques de sécurité de l'information. Ces contrôles sont organisés en 14
chapitres ou catégories.

Le chapitre qui va permettre à l’auditeur de suivre une bonne démarche pour faire l’audit
de sécurité informatique est le Chapitre 1 portant sur la politique de sécurité qui définit
l'approche globale de l'organisation en matière de sécurité des informations et donne le ton de la
gestion de la sécurité dans l'ensemble de l'organisation. Il dispose de quelques contrôles à
savoir :

 Direction de la gestion de la sécurité de l'information : ce contrôle exige que

la direction générale assure la direction et le soutien de la sécurité de l'information au sein de
l'organisation. Cela comprend l'établissement d'une politique de sécurité de l'information,
l'attribution des responsabilités en matière de sécurité et la fourniture de ressources adéquates
pour la sécurité de l'information.

 Politiques et normes de sécurité internes : Ce contrôle exige que l'organisation

élabore et maintienne des politiques et des normes internes de sécurité de l'information. Cela
inclut les politiques de contrôle d'accès, la sécurité du réseau, la protection des données et
d'autres domaines de la sécurité des informations

 Revue de la politique de sécurité : Ce contrôle nécessite que la politique de

sécurité soit revue et mise à jour régulièrement pour s'assurer qu'elle reste pertinente et efficace.

 Répartition des responsabilités : Ce contrôle exige que les responsabilités en

matière de sécurité de l'information soient clairement définies et attribuées à des personnes
spécifiques au sein de l'organisation. Cela inclut les responsabilités de mise en œuvre des
contrôles de sécurité, de surveillance des incidents de sécurité et de signalement des incidents de
sécurité.

REDIGE PAR LES MEMBRES DU GROUPE 9 5

 AUDIT INFORMATIQUE

 Processus d'autorisation pour les installations de traitement de

l'information : ce contrôle exige qu'un processus d'autorisation soit en place pour les
installations de traitement de l'information, y compris les centres de données, les salles de
serveurs et d'autres zones où l'information est traitée ou stockée

 Accords de confidentialité : ce contrôle exige que des accords de confidentialité

soient en place pour les employés, les sous-traitants et les autres tiers qui ont accès à des
informations sensibles
Lors de la réalisation d'un audit de sécurité informatique à l'aide de la norme ISO
27001, les auditeurs suivent généralement une approche structurée qui comprend les étapes
suivantes :
 Évaluation des risques : l'auditeur doit identifier tous les actifs informatiques
importants de l'organisation (matériel, logiciel, données, processus) et évaluer les risques
associés à chacun d'entre eux.
 Analyse des politiques et des procédures de sécurité : L'auditeur doit examiner tous
les documents de sécurité de l'organisation, tels que les politiques, les procédures et les normes
de sécurité, pour s'assurer qu'ils sont conformes aux meilleures pratiques de l'industrie et aux
réglementations en vigueur.
 Évaluation technique : L'auditeur doit effectuer un examen technique des systèmes
informatiques de l'entreprise pour détecter tout problème de sécurité. Cette évaluation technique
peut inclure des tests d'intrusion, des tests de vulnérabilité, des examens des journaux de
sécurité et des audits de configuration.
 Analyse des mesures de sécurité existantes : L'auditeur doit examiner les mesures de
sécurité existantes de l'organisation, telles que les pare-feu, les antivirus et les systèmes de
détection d'intrusion, pour s'assurer qu'elles sont configurées et gérées de manière adéquate.
 Rapport et recommandations : L'auditeur doit compiler les résultats de l'audit de
sécurité informatique dans un rapport détaillé, qui peut inclure une analyse des risques
identifiés, des observations sur les politiques et les procédures de sécurité de l'organisation, des
résultats de l'analyse technique et des recommandations pour améliorer la sécurité globale de
l'entreprise.

REDIGE PAR LES MEMBRES DU GROUPE 9 6

 AUDIT INFORMATIQUE

Rapport entre l'audit de la sécurité informatique, l'audit des systèmes

d'information et l’audit des systèmes informatiques

L'audit des systèmes d'information, l'audit des systèmes informatiques et l'audit de la

sécurité informatique sont tous liés à l'évaluation de l'infrastructure et des contrôles
technologiques d'une organisation. Cependant, ils ont chacun un objectif et une portée différents.

L'audit des systèmes d'information est un terme général qui englobe l'évaluation de
l'ensemble de l'infrastructure technologique d'une organisation, y compris le matériel, les
logiciels, les réseaux et les bases de données. Ce type d'audit peut couvrir des domaines tels que
la disponibilité du système, l'intégrité des données et la conformité aux normes et
réglementations de l'industrie. L'audit des systèmes informatiques, quant à lui, est davantage axé
sur l'évaluation de la performance et de la fiabilité des systèmes informatiques d'une
organisation. Ce type d'audit peut couvrir des domaines tels que l'architecture du système, la
configuration du système et la maintenance du système. L'audit de la sécurité informatique est un
type d'audit spécialisé qui se concentre spécifiquement sur l'évaluation des systèmes et des
contrôles de sécurité de l'information d'une organisation. Ce type d'audit peut couvrir des
domaines tels que la sécurité du réseau, la sécurité des applications, la sécurité des données, la
sécurité physique et la conformité aux normes et réglementations de l'industrie.
En résumé, L'audit des systèmes d'information est une évaluation générale de
l'infrastructure technologique d'une organisation, l'audit des systèmes informatiques est axé sur
l'évaluation des performances et de la fiabilité des systèmes informatiques d'une organisation, et
l'audit de la sécurité informatique est axé sur l'évaluation des systèmes de sécurité de
l'information d'une organisation et contrôles.

REDIGE PAR LES MEMBRES DU GROUPE 9 7

 AUDIT INFORMATIQUE

V. ETUDE DE CAS
Une entreprise XYZ, qui travaille dans le domaine du commerce de détail, engage une
société d'audit de sécurité informatique pour effectuer un audit de ses systèmes informatiques.
L'objectif de l'audit est de trouver les vulnérabilités potentielles dans les systèmes de
l'entreprise, de recommander les mesures de sécurité à mettre en place pour les protéger contre
les cyber-attaques et d'identifier les secteurs à risque.
Au cours de l'audit, les auditeurs ont effectué des tests de pénétration pour tenter
d'accéder aux données sensibles de l'entreprise. Ils ont également examiné les processus de
sécurité informatique en place, y compris les politiques de sécurité, les plans de continuité des
affaires et les plans de récupération en cas d'incident de sécurité.
Les auditeurs ont identifié plusieurs secteurs à risque, notamment les mots de passe
faibles, l'accès non autorisé aux données sensibles, les systèmes obsolètes sans mises à jour de
sécurité régulières, les sauvegardes insuffisantes, les politiques de sécurité informatique mal
configurées et l'absence de formation des employés en matière de sécurité informatique.
En se basant sur leurs résultats, les auditeurs ont formulé des recommandations pour
améliorer la sécurité informatique de l'entreprise. Ils ont suggéré de mettre en place des
politiques de sécurité informatique solides, de surveiller l'activité du réseau, de mettre à jour
régulièrement les systèmes de sécurité et de sensibiliser les employés à la sécurité informatique.
En conclusion, l'audit de sécurité informatique a permis à l'entreprise XYZ de prendre
conscience des menaces potentielles pour ses systèmes informatiques et de mettre en place les
mesures de sécurité appropriées pour les protéger contre les cyber-attaques.

REDIGE PAR LES MEMBRES DU GROUPE 9 8

 AUDIT INFORMATIQUE

CONCLUSION
En résumé, l'audit de sécurité informatique est un processus important pour garantir que
les systèmes informatiques d'une entreprise sont sécurisés et protégés contre les cyberattaques
et les violations de données. L'importance de l'audit de sécurité informatique est d’assurer la
sécurité des données et des informations sensibles, et de se conformer aux réglementations en
matière de sécurité, telle que la norme ISO 27001.

REDIGE PAR LES MEMBRES DU GROUPE 9 9

 AUDIT INFORMATIQUE

Table des matières

INTRODUCTION ......................................................................................................................................1
I. DEFINITION DES TERMES ............................................................................................................2
II. CONTEXTE ET OBJECTIFS............................................................................................................3
1. CONTEXTE ...................................................................................................................................3
2. OBJECTIFS....................................................................................................................................3
III. NORMES ET REFERENTIELS UTILISES ......................................................................................4
IV. ETAPES DE L’AUDIT DE SECURITE INFORMATIQUE ............................................................5
V. ETUDE DE CAS ................................................................................................................................8
CONCLUSION ..........................................................................................................................................9

REDIGE PAR LES MEMBRES DU GROUPE 9 10