Scribd Logo
Importer

Bienvenue sur Scribd !

  • 23 24 Audit C1

    Transféré par

    silhadi2001
    19 vues16 pages

    Titre original

    23-24-Audit-C1

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    19 vues16 pages

    23 24 Audit C1

    Transféré par

    silhadi2001

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 16

    Audit Informatique

    M2-SSI
    Introduction

     Évolution des systèmes d’information a conduit à une croissance, à


    une globalisation et à une internationalisation des marchés

     Problème de certification des systèmes d’information vis-à-vis des


    référentiels et des normes informatiques

     Intégration de l’audit dans les opérations des organisations

     Quelle est la meilleure approche d’évaluation à l’échelle d’une


    organisation des risques et des contrôles ?
    Audit des systèmes d’information (IT
    audit)
     Une intervention réalisée par une personne indépendante et extérieure au
    service audité, qui permet d’analyser tout ou ne partie d’une organisation
    informatique, d’établir un constat des points forts et des points faibles et
    dégager ainsi les recommandations d’amélioration
     Ou bien
     L’évaluation des risques des activités informatiques dans le but d’apporter une
    diminution de ceux-ci et d’améliorer la maitrise des systèmes d’information
    Objectif

     Identifier, évaluer et déterminer les risques (opérationnels, financiers,


    de réputation, …)associés aux activités informatiques d’une
    entreprise ou d’une administration
     Un processus d’audit informatique se base sur
     Le cadre règlementaire du secteur d’activité
     Les référentiels de bonne pratiques existants
     Les benchmarks à disposition et l’expérience de l’auditeur
    Phase classiques d’un audit

     Phase 1 analyse de l’environnement SI, les applications et les produits, les modes de
    gestion, les relations entre applications/opérations, le recensement des actifs,…
     Phase 2 évaluation des risques et établissement d’un plan d’audit
     Le plan d’audit dépend de plusieurs facteurs organisationnels (secteur d’activité, chiffre
    d’affaire, type et complexité des opérations, zone géographique des opérations
     L’analyse de risque dépend des composantes et du rôle du SI
     Technologie utilisée, complexité, architecture, niveau de personnalisation des app,
    maintenance externalisé ou non, niveau d’évolution annuelle du SI
    Définition

    Réévaluation
    Stratégie Conception
    du SI

    Déploiement
    Principes généraux de l’audit

     La finalité doit être définie (contrôle fiscal, …)


     Il doit être explicite en déduisant les moyens d’investigation jugés
    nécessaires et suffisants (le comment et le pourquoi)
    Règles d’audit des systèmes
    d’information
     L’audit informatique doit porter non seulement au jugement, qui ne peut se limiter
    qu’à une approbation ou plus à une condamnation, , mais également préciser ce
    qu’il aurait fallu faire, et ce qu’il faudra faire pour corriger les défauts constatés.
     L’audit informatique doit consister à comparer l’observation d’un ou plusieurs objets,
    selon un ou plusieurs aspects, à ce qu’ils devraient être
     a tâche de l’auditeur doit être parfaitement définie quant à l’objet et l’aspect de
    l’audit à mener et elle ne doit pas en déborde
     L’auditeur ne doit jamais remettre en cause la finalité de son audit en fonction de ce
    qui est plus simple, ou plus intéressant de faire, selon ses goûts. Il est beaucoup plus
    facile de formuler cette règle que de l’appliquer
    Règles d’audit des systèmes
    d’information
     L’audit informatique doit toujours être faisable
     Les moyens et actions de l’auditeur doivent être adaptés exclusivement mais
    exhaustivement au sujet de l’audit
     L’audit informatique doit impliquer les méthodes et les programmes sensibles de
    l’application,les saisies d’informations, les recyclages d’anomalies, et la bibliothèque
     La sécurité de l’audit informatique ne doit s’appliquer qu’aux documents de travail et
    aux rapports, et non à leur diffusion hors destinataires autorisés
    Déontologie de l’auditeur

     s’interdire de cumuler audit et conseil, sur une même question


     L’auditeur doit garantir, même implicitement par une simple acceptation d’une
    tâche, qu’il a les compétences nécessaires
     L’auditeur doit être rapide, précis, avec juste les connaissances ponctuelles
    nécessaires et suffisantes
     L’auditeur doit s’intéresser au système d’information dans son ensemble, c’est-à-dire il
    ne doit pas s’atteler aux seuls éléments automatisés, ou au contraire à ceux qui ne le
    sont pas
     L’auditeur doit fournir des conclusions motivées, utiles, sur l’objet et l’aspect, ainsi que
    la période de temps qui a dû être considérée, qui ont été les éléments de sa mission
    Déontologie de l’auditeur

     L’audit informatique qui suggère une quantification des faits est inacceptables sauf
    éventuellement dans un contexte précis, et dans le délai imparti et accepté. Le
    domaine de la tâche d’un auditeur est donc très rigoureusement défini en termes
    d’objets, d’aspects, et de cadre temporel, et sa démarche et d’une démonstration
    rigoureuse et exhaustive. Les sujets d’audit doivent être maintenant évidents
    Audit de sécurité

     L’audit de sécurité consiste à évaluer le niveau de sécurité.

     Le risque de compromission dépend de plusieurs facteurs


    notamment l’exposition à internet

     Il est important d’évaluer la surface d’exposition

     Qu’est ce qu’une surface d’exposition ?


    Types d’audit

     Audit d’application web / audit d’application lourde


     Surface d’exposition / intrusif physique
     Test d’intrusion (pentest)
     Interne
     Externe
     Audit de vérification
     Audit de conformité : permet de vérifier la conformité ou l’écart
    existant entre des normes ou des règles et la réalité
    Mission d’audit
     La durée /coût de l’audit dépendent du nombre d’écrans (vues) de la cible
     La première matinée de l’audit est perdue avec les installations et la présentation
    de l’environnement
     Durant la mission d’audit il faut faire des check-up avec le client
     Pour s’assurer de la bonne installation et que vous êtes sur le bon chemin (1er point)
     Point final (avant la rédaction du rapport) : pour expliquer ce que vous avez trouvé
     Le dernier jour de l’audit n’est pas celui stipulé sur le contrat exp (7 jours sur le
    contrat signifie 3 jours d’audit + 3 jours de rédaction du rapport)
     Le dernier jour est généralement réservé à la révision du rapport. On charge
    généralement un collègue non impliqué dans l’audit
     Le rapport est tjr transmis au client en PDF
    La restitution

     Cette phase intervient après la remise du rapport d’audit. Elle


    consiste à présenter les vulnérabilité, leurs impacts et vos
    recommandations au client

     L’implémentation des recommandations est de la responsabilité de


    l’équipe IT du client
    Web
    Code
    Application lourde source
    Applicatif
    externe
    Audit
    intrusif passive GHDB DNS
    interne

    sécurité
    Brute force
    découverte active
    Port
    reseau nmap
    70% test 30%
    notions rapport Transfert
    oral
    Rapport de zone

    périmètre Contexte Mission reporting


    client restitution

    Tenue adéquate Points Test pendant


    réguliers les horaires slide
    du client

    Vous aimerez peut-être aussi