RAPPORT D’AUDIT DE

L’ENVIRONNEMENT
INFORMATIQUE DE LA
SOCIÉTÉ ALPHA

02/03/2024 Audit de la sécurité informatique et des actifs informationnels

 SOMMAIRE

01 02
Contexte et objectifs Présentation de
de l’intervention l’équipe d’intervention

03 04
Présentation synthétique de Présentation des constats
l’environnement et recommandations
informatique
 01
Contexte et objectifs
de l’intervention
 Contexte et objectifs de l’intervention

Dans le cadre de l’évaluation de la sécurité de son environnement informatique, la

société ALPHA, spécialisée dans la vente de produits électroménagers a sollicité
notre équipe d’auditeurs afin d'évaluer l'efficacité, la sécurité et la conformité de
ses systèmes et processus informatiques.
Bien plus qu’une simple mission d’audit, notre intervention s’accompagne d’une
importance stratégique qui permettra à la société Alpha de pouvoir garantir sa
sécurité informatique et la protection de ses actifs informationnels.
En tant qu'auditeurs IT, notre objectif principal est d'identifier toute lacune,
vulnérabilité ou risque dans le système d'information de la société Alpha. Nous
nous efforçons également de proposer des recommandations pour améliorer la
sécurité, optimiser les opérations et garantir la conformité aux normes et
réglementations en vigueur.
 02
Présentation de l’équipe
d’intervention
 Présentation de l’équipe d’intervention

N’GUESSAN Serge Axel MAIGA Fatoumata HOUNYOVI Arnaud Jude

IT Security Project Manager Senior IT Security Consultant Lead IT Security Auditor
(Audit Lead) (Technical Expert) (Audit Oversight)

ABRO Ruth Christy THIAM Coumba NDAW Ndeye Arame

IT Security Consultant IT Security Auditor Cybersecurity Analyst
(Lead Analyst) (Junior Auditor) (Technical Support)
 03
Présentation synthétique de
l’environnement informatique
 ➢ INFRASTRUCTURES ➢ ORGANISATION
• Direction des Moyens Techniques et
• Siège social à Abidjan avec deux points de
Informatiques avec trois
vente en Côte d'Ivoire et quatre au Sénégal.
départements: Réseaux Exploitation,
Sécurité, Gestion des applications.
• Deux entrepôts de stockage à Dakar et à
Abidjan.
• Service informatique à Dakar pour la
traduction de la stratégie
informatique du groupe au Sénégal.
➢ APPLICATIONS
UTILISÉES
• Application DELTA RH pour la gestion
des ressources humaines. ➢ PARC INFORMATIQUE AU
SÉNÉGAL
• ERP SAGE X3 pour la gestion des
• 1 1 1 postes de travail : sept (7) sont
approvisionnements, la production, le
sous Windows XP, vingt-huit (28)
stockage et les ventes.
sous Windows 7 et le reste sous
Windows10
• Outil GLPI pour la gestion des incidents
• Domaine Active Directory en place.
• Antivirus Kaspersky
 04
Présentation des constats et
recommandations
 Fiche d’observation N 1
-
-
DOMAINES CRITERTE D’AUDIT CONSTATS CAUSES

- Identification des biens

BP 1: Existence d’une informatiques en possession de
Objectifs de
politique de sécurité. l'organisation
contrôle
-Une mauvaise gestion des
MESURES DE BP 2: Réalisation biens et autorisations alloués
SECURITE Politique de d’inventaire du parc aux personnes ;
ORGANISATIO informatique de l’entreprise
sécurité des
NNELES -Manque d’accompagnement
systèmes Vulnérabilité 1: dans le déploiement de la
d’information Manquement au niveau de politique de sécurité dans la
( PSSI) mise en œuvre de la filiale sénégalaise;
politique de sécurité au
Sénégal -Mauvaise communication des
pratiques de sécurité adoptées
dans le groupe.
 Fiche d’observation N 2
DOMAINES CRITERTE CONSTATS - CAUSES
-
D’AUDIT

Objectifs de Vulnérabilité 2: - Manque de processus

contrôle Indisponibilité
clair de gestion des accès ;
des chartes ;
MESURES DE
SECURITE
Non mise à jour
ORGANISATIO
Politique et et manque de
procédure : traçabilité des - Problèmes de stockage ou
NNELES
Charte chartes d'archivage ;
informatiqu informatiques
e - Absence de formation ou
de sensibilisation le
groupe.
 Fiche d’observation N 3 -
-

DOMAINES CRITERES CONSTATS CAUSES

D’AUDIT

Objectifs de Vulnérabilités 1:
contrôle Manque de Complexité du
processus clair de processus
MESURES DE gestion des - Manque de ressources
SECURITE accès ; -Communication
APPLICABLES Gestion des - Problèmes de inefficace
AUX identités stockage ou
PERSONNES d'archivage ;
- Absence de
formation ou de
sensibilisation
 Fiche d’observation N 4
-
-
DOMAINES CRITERES D’AUDIT CONSTATS CAUSES

Objectifs de
contrôle Vulnérabilités 2:
- Les comptes
MESURES DE Non-récurrence de revues
d’utilisateurs périodiques des comptes
SECURITE
ayant quitté en d’utilisateurs ;
APPLICABLES Gestion des
AUX 2018 et au - Absence de demande de
identités premier semestre désactivation des comptes
PERSONNES
2019 sont par les RH
toujours actifs.
 Fiche d’observation N 5

DOMAINES CRITERES D’AUDIT CONSTATS -

-
CAUSES

Objectifs de
contrôle
-Bonne traçabilité
MESURES DE
BP 1: des personnes ayants
SECURITE Gestion Bonne stratégie accès à
APPLICABLES de mot de passe l’information
AUX des
PERSONNES identités
 Fiche d’observation N 6

DOMAINES CRITERES D’AUDIT CONSTATS - CAUSES

-

Objectifs de
contrôle Filtrer les entrées des
BP 1: Tenue d’un
personnes pour
MESURES DE registre d’accès accéder à la salle,
SECURITE absence de système
PHYSIQUES L’accès
physique
de vidéosurveillance.
 Fiche d’observation N 7

DOMAINES CRITERES D’AUDIT CONSTATS CAUSES

-
-

Objectifs de
contrôle

Vulnérabilités 1:
MESURES DE Existence d’un -Mauvais Mauvaise architecture
SECURITE système d’un positionnement de
PHYSIQUES contrôle la salle de serveur
d’accès
 Fiche d’observation N 8

DOMAINES CRITERES CONSTATS CAUSES

D’AUDIT
-
-

Objectifs de
contrôle Vulnérabilités 2:

Absence de
MESURES DE L’accès système de
SECURITE physique Manque de fonds pour
contrôle dans la
PHYSIQUES Après avoir pouvoir acquérir des
salle de serveur.
obtenu le badges
En effet ceux qui
rapport
pénètrent dans la
ISAE3402 nous
avons relevé salle n’ont aucun
comme moyen de
problèmes s’identifier.
 Fiche d’observation N 9

-
DOMAINES CRITERES CONSTATS - CAUSES
D’AUDIT

Objectifs de
contrôle
- Manque de rigueur,
Vulnérabilités:
MESURES DE - Manque de
Non suivi de la
SECURITE sensibilisation ou de
PHYSIQUES L’accès procédure formation
physique
 Fiche d’observation N 10
-
-

DOMAINES CRITERES D’AUDIT CONSTATS CAUSES

Objectifs de
contrôle
-Négligence de la part
des responsables,
MESURES DE Vulnérabilités 2:
SECURITE manque de fonds.
Sécurité Non fonctionnement
CONTRE LES
technologique d’un des climatiseurs
RISQUES
ENVIRONNMENTAUX
 Fiche d’observation N 11 -
-

DOMAINES CRITERES D’AUDIT CONSTATS CAUSES

Objectifs Vulnérabilités 3:
de contrôle
MESURES DE Mauvaise
SECURITE
CONTRE LES position des - Absence de suivi,
RISQUES extincteurs et
ENVIRONNMENTAUX négligence
Sécurité aucune
technologi maintenance
que depuis 2019
 FICHE
RECAPITULATIVE
 FICHE RECAPITULATIVES

POINT DE RISQUES NIVEAU DE RISQUE RECOMMANDATIONS

CONTROLE
1- Risque de fuite de Mettre en place un processus
données. 1- Elevé formalisé de gestion des identités
et des accès ;
- Effectuer régulièrement des
Politiques et procédures: 2.Risque de non- examens des droits d'accès ;
Sécurité informatique conformité règlementaire 2. Elevé - Désigner un responsable de la
sécurité informatique pour la filiale
sénégalaise, chargé de superviser
la mise en œuvre effective de la
3.Risque de méfiance et de 3. Moyen politique de sécurité ;
- Organiser des sessions de
scepticisme formation régulières pour
sensibiliser le personnel aux
bonnes pratiques de sécurité
informatique et aux procédures à
4.Méconnaissance des 4. Moyen respecter ;
politiques de sécurité - Établir des canaux de
communication clairs et
accessibles pour diffuser les
pratiques de sécurité .
 FICHE RECAPITULATIVES

POINT DE CONTROLE RISQUES NIVEAU DE RECOMMANDATIONS

RISQUE

Mettre en place un système centralisé de

gestion des accès qui assure la traçabilité
Politiques et des chartes informatiques signées par les
employés ;
procédures:
- Vulnérabilité aux
violations de sécurité -Moyen - Communiquer de manière proactive les
CHARTE mises à jour des chartes informatiques et
les changements de politiques aux
INFORMATIQUE employés ;

- Définir des politiques d'archivage

claires pour assurer la conservation à
long terme des chartes informatiques.
 FICHE RECAPITULATIVES

POINT DE RISQUES NIVEAU DE RISQUE RECOMMANDATIONS

CONTROLE

1- Retards
dans la gestion des Mettre en place une
demandes d'accès 1- Moyen meilleure coordination entre
les filiales pour garantir une
gestion efficace et sécurisée
Gestion des 2. Erreurs de validation des des comptes utilisateurs et
2. Elevé
Identités comptes et des droits d'accès des droits d'accès ;

- Impliquer activement la
3. Sécurité informatique affaiblie filiale de Dakar dans le
en raison d'une gestion incohérente processus de gestion des
des accès 3. Elevé comptes ;

- Former le personnel sur

les bonnes pratiques de
gestion des accès
 FICHE RECAPITULATIVES

POINT DE CONTROLE RISQUES NIVEAU DE RISQUE RECOMMANDATIONS

- Automatisation de la gestion des

comptes utilisateurs .

- Les départements des ressources

Gestion des Risque de humaines et de la sécurité informatique
Identités violation de la . Elevé doivent collaborer pour s'assurer que les
confidentialité comptes sont désactivés en temps
opportun.

- Mettre en place des processus réguliers

de revues des accès aux systèmes et aux
données.
 FICHE RECAPITULATIVES

POINT DE CONTROLE RISQUES NIVEAU DE RISQUE RECOMMANDATIONS

- Piratage -- Rajouterdes
- Faible
( La stratégie du mot caractères spéciaux
de passe )
Gestion des Accès - Revoir l’architecture de
- Vols ; Dégâts ; l’infrastructure.
À la salle serveur
Problèmes de
- Elevé
traçabilité - Fabrications de clés
(Positionnement de la numériques, Mettre en
salle serveur ) place des badges d’accès
personnels.
 FICHE RECAPITULATIVES

POINT DE CONTROLE RISQUES NIVEAU DE RISQUE RECOMMANDATIONS

-- Enregistrement numérique
- Difficulté à identifier des visiteurs (date, heure
les personnes et -Moyen d’arrivée, heure de départ)
déterminer la
responsabilité des - Mettre en place un système
Gestion des individus, vols de pour éviter que le personnel
d’entretien non accrédité n’ait
Accès matériaux ( Accès a la
accès à la salle.
À la salle serveur salle serveur )
- Moyen
- Risque de non- - Sensibiliser et former
conformité réglementaire régulièrement les employés
aux procédures en place. Ce
problème pourrait être résolu
après la mise à jour de la
politique de sécurité.
 FICHE RECAPITULATIVES

POINT DE CONTROLE RISQUES NIVEAU DE RISQUE RECOMMANDATIONS

-Planifier des contrôles et des

- Risque de chaleur maintenances réguliers.
excessives, surtension - Elevé - Installer un système de
de la salle. surveillance automatique de la
Gestion des température et de l’humidité
-Incendies dans la salle des serveurs avec
risques des alertes en cas de variations
hors des plages acceptables
environnementaux ( En raison de la non-
maintenance des - Prévoir le budget et acheter
de nouveaux extincteurs.
appareils ) -Elevé
- Mettre en œuvre un planning
annuel pour la maintenance des
extincteurs
Revue
globale
Thanks!
Do you have any questions?