Académique Documents
Professionnel Documents
Culture Documents
d’informations
Objectifs
À la fin de ce cours, l’étudiant sera capable de comprendre les fondements de l’audit des
systèmes d’informations, ces différents types, et comment évaluer les besoins en audit d’une
organisation ;
L’audit des systèmes d’informations est l’examen structuré des processus, des contrôles et
des politiques liés à la gestion des SI d’une organisation.
L’audit a pour objectif de s’assurer de :
- La conformité : s’assurer que les SI de l’organisation soit en conformité avec les lois,
la régulation en vigueur, et les politiques internes ;
- La sécurité : c’est-à-dire évaluer si les SI sont sécurisés contre les accès non autorisés,
les modifications et les pertes ;
- L’efficacité : elle est liée à l’analyse de l’efficacité des opérations liées au SI, et à
l’identification des domaines d’amélioration ;
L’audit de sécurité des SI est un processus complet qui nécessite une approche structuré, pour
s’assurer que tous les aspects de la sécurité sont examinés et évalués. Ci-dessous, voici un
aperçu du cycle de vie typique d’un audit de sécurité des SI :
Il a pour objectif principale, l’établissement d’un document formalisé qui détaille la portée, les
objectifs, les méthodologies et les critères d’évaluation de l’audit. Les éléments clés sont donc
les suivants :
- La portée de l’audit : quels sont les systèmes, les processus et les unités
organisationnelles qui seront examinés ?
- Objectif : quels sont les buts (conformité, identification des vulnérabilité, efficacité,
etc) de l’audit ?
- Méthodologie : quelles approches et quels outils seront utilisés ?
- Les parties prenantes : qui sera impliqué dans l’audit et quel sera son rôle ?
2. Préparation de l’audit
Elle a pour objectif, la mise en place de toutes les dispositions nécessaire, pour effectuer l’audit.
Ces éléments clés sont :
- La planification : établi un calendrier, assigner des tâches et des responsabilités ;
- La collecte des données : recueilli toutes les informations nécessaire pour conduire
l’audit (ne surtout pas oublier la politique de sécurité de l’organisation)
3. L’audit organisationnel et physique
4. L’audit technique
Il a pour objectif l’examinassions des aspects techniques de la sécurité des SI. Les éléments
clés sont les suivants :
- Configuration des systèmes : examiné les configurations des serveurs, des routeurs,
et autres ;
- La gestion d’accès : elle renvoie à l’évaluation des mécanismes des contrôles d’accès ;
- La cryptographie : vérifier l’efficacité des méthodes de chiffrement utilisé ;
Son objectif est de simuler des attaques pour identifier des vulnérabilités potentielles. Ses
éléments clés sont :
- Test de pénétration : tenter de violer les défenses de l’organisation, pour identifier les
failles ;
- Test de vulnérabilités : utiliser les outils pour scanner les systèmes en quête de
vulnérabilités connues ;
6. Rapport d’audit
Il fournit un compte rendu complet de l’audit avec les constatations et les recommandations.
Ses éléments clés sont :
- La synthèse : résumé les principales constations de l’audit ;
- Constatations : détails des vulnérabilités ou des problèmes identifiés ;
- Recommandations : suggestions pour corriger les vulnérabilités et améliorer la
sécurité.
Travail pratique