Scribd Logo
Importer

Bienvenue sur Scribd !

  • Chapitre I

    Transféré par

    El Dazaï
    9 vues4 pages

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    9 vues4 pages

    Chapitre I

    Transféré par

    El Dazaï

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 4

    Chapitre I : Introduction à l’audit des systèmes

    d’informations

    Objectifs

    À la fin de ce cours, l’étudiant sera capable de comprendre les fondements de l’audit des
    systèmes d’informations, ces différents types, et comment évaluer les besoins en audit d’une
    organisation ;

    I.1 Définition et objectif de l’audit

    L’audit des systèmes d’informations est l’examen structuré des processus, des contrôles et
    des politiques liés à la gestion des SI d’une organisation.
    L’audit a pour objectif de s’assurer de :
    - La conformité : s’assurer que les SI de l’organisation soit en conformité avec les lois,
    la régulation en vigueur, et les politiques internes ;
    - La sécurité : c’est-à-dire évaluer si les SI sont sécurisés contre les accès non autorisés,
    les modifications et les pertes ;
    - L’efficacité : elle est liée à l’analyse de l’efficacité des opérations liées au SI, et à
    l’identification des domaines d’amélioration ;

    I.2 Les types d’audit

    Il existe plusieurs types d’audit dont 04 sont les plus courant :


    - L’audit interne : il est réalisé par les employés de l’organisation pour un examen en
    profondeur des processus et contrôles internes ;
    - L’audit externe : réaliser par des auditeurs indépendant, souvent requis pour la
    conformité règlementaire ou contractuelle ;
    - L’audit de conformité : il est spécifiquement conçu pour évaluer la conformité à des
    normes ou des régulations spécifique ;
    - L’audit technique ou de sécurité : ce dernier est axé sur des aspects technique du
    système d’informations, il évalue par exemple, les configurations de sécurité, les
    vulnérabilités.

    I.3 Cycle de vie d’un audit de sécurité d’un système


    d’informations

    L’audit de sécurité des SI est un processus complet qui nécessite une approche structuré, pour
    s’assurer que tous les aspects de la sécurité sont examinés et évalués. Ci-dessous, voici un
    aperçu du cycle de vie typique d’un audit de sécurité des SI :

    1. Définition de la charte d’audit

    Il a pour objectif principale, l’établissement d’un document formalisé qui détaille la portée, les
    objectifs, les méthodologies et les critères d’évaluation de l’audit. Les éléments clés sont donc
    les suivants :
    - La portée de l’audit : quels sont les systèmes, les processus et les unités
    organisationnelles qui seront examinés ?
    - Objectif : quels sont les buts (conformité, identification des vulnérabilité, efficacité,
    etc) de l’audit ?
    - Méthodologie : quelles approches et quels outils seront utilisés ?
    - Les parties prenantes : qui sera impliqué dans l’audit et quel sera son rôle ?

    2. Préparation de l’audit

    Elle a pour objectif, la mise en place de toutes les dispositions nécessaire, pour effectuer l’audit.
    Ces éléments clés sont :
    - La planification : établi un calendrier, assigner des tâches et des responsabilités ;
    - La collecte des données : recueilli toutes les informations nécessaire pour conduire
    l’audit (ne surtout pas oublier la politique de sécurité de l’organisation)
    3. L’audit organisationnel et physique

    Il a pour objectif principale l’évaluation des aspects organisationnel et physique de la sécurité


    des SI. Ses éléments clés sont :
    - L’évaluation des politiques et des procédures : c’est-à-dire vérifier l’existence et
    l’efficacité des politiques et procédure de sécurité ;
    - La sécurité physique : elle consiste à l’évaluation des mesures physique en place pour
    protéger les ressources physique de l’organisation.

    4. L’audit technique

    Il a pour objectif l’examinassions des aspects techniques de la sécurité des SI. Les éléments
    clés sont les suivants :
    - Configuration des systèmes : examiné les configurations des serveurs, des routeurs,
    et autres ;
    - La gestion d’accès : elle renvoie à l’évaluation des mécanismes des contrôles d’accès ;
    - La cryptographie : vérifier l’efficacité des méthodes de chiffrement utilisé ;

    5. Les tests d’intrusions (audit intrusif)

    Son objectif est de simuler des attaques pour identifier des vulnérabilités potentielles. Ses
    éléments clés sont :
    - Test de pénétration : tenter de violer les défenses de l’organisation, pour identifier les
    failles ;
    - Test de vulnérabilités : utiliser les outils pour scanner les systèmes en quête de
    vulnérabilités connues ;

    6. Rapport d’audit

    Il fournit un compte rendu complet de l’audit avec les constatations et les recommandations.
    Ses éléments clés sont :
    - La synthèse : résumé les principales constations de l’audit ;
    - Constatations : détails des vulnérabilités ou des problèmes identifiés ;
    - Recommandations : suggestions pour corriger les vulnérabilités et améliorer la
    sécurité.

    Travail pratique

    Évaluation des besoins en audit d’une entreprise : TechFinCorp.

    Vous aimerez peut-être aussi