Académique Documents
Professionnel Documents
Culture Documents
Réalisé par
Malék FERCHICHI
Nour SALEM
Groupe
CII-3-SSIR-A
Année académique
2023-2024
Table des matières
I. Introduction .................................................................................................5
1. Objectifs .....................................................................................................5
1. Présentation ................................................................................................7
2. Types ..........................................................................................................7
Conclusion ..........................................................................................................14
2
Table des illustrations
3
Introduction générale
4
I. Introduction
1. Objectifs
Une mission d’audit vise différents objectifs. Nous pouvons énumérer à ce titre :
Évaluation de la Conformité
Vérifier que le système d'information est en conformité avec les normes de sécurité, les
réglementations et les politiques internes.
Amélioration Continue
Également, une mission d’audit de sécurité d’un système d’information se présente comme
un moyen d'évaluation de la conformité par rapport à une politique de sécurité ou à défaut par
rapport à un ensemble de règles de sécurité.
5
2. Audit de sécurité de système d’information en Tunisie
La Tunisie a mis en place un cadre légal et réglementaire visant à garantir la sécurité des
systèmes d'information. L'audit de sécurité s'inscrit dans cette dynamique en assurant la
conformité aux normes nationales et internationales.
Avec la sensibilisation croissante à la protection des données, l'audit de sécurité des systèmes
d'information en Tunisie vise également à garantir la confidentialité, l'intégrité et la disponibilité
des informations sensibles.
Cybermenaces Spécifiques
De ce point de vue, l’audit de sécurité se présente comme une nécessité, pour répondre à une
obligation règlementaire.
Cependant, l’audit de sécurité peut présenter un aspect préventif. C'est-à-dire qu’il est effectué de
façon périodique afin que l’organisme puisse prévenir les failles de sécurité.
6
II. Audit ISO 27001
1. Présentation
Un audit interne ISO 27001 assure une évaluation détaillée du SMSI de votre organisation
pour s’assurer qu’il est conforme aux critères de la norme. Chaque exigence de la norme devra
être vérifiée, preuve à l’appui.
Contrairement à une évaluation de certification, l’audit interne peut être réalisé par vos
propres employés ou par une société externe. Il faudra veiller à l’indépendance du ou des
auditeurs.
L’audit interne ISO 27001 vous permettra d’identifier d’éventuelles non-conformités qui
nécessiteront votre attention et va vous aider à améliorer votre SMSI.
2. Types
Ils existent deux types d’audit ISO 27001 :
Audit interne
Les audits internes, sont les audits réalisés par l'organisation sur leur SMSI. Si l'organisation ne
dispose pas d'auditeurs compétents et objectifs, ces audits peuvent être réalisés par un sous-
traitant.
7
Audit externe
Il s'agit de l'identification précise des limites et des objectifs de l'audit, notamment les
processus, les domaines, et les emplacements spécifiques du système d'information qui feront
l'objet de l'évaluation.
2. Planifier l'audit
Ce plan inclut les objectifs spécifiques de l'audit, les ressources nécessaires, les
responsabilités des auditeurs, la période d'audit, ainsi que la méthodologie à suivre. La définition
claire de la portée garantit que l'audit se concentre sur les domaines critiques du système
d'information.
8
La phase englobe la collecte de documents pertinents, l'analyse des politiques en vigueur,
l'évaluation des enregistrements passés, et l'engagement d'entretiens pour obtenir des informations
qualitatives.
Ces informations servent de base pour évaluer la conformité aux normes de sécurité,
identifier des tendances ou des vulnérabilités, et guider les étapes suivantes de l'audit.
Cette étape assure une compréhension approfondie des menaces potentielles, des
vulnérabilités et des erreurs humaines qui pourraient compromettre la sécurité du système
d'information.
Les résultats de cette évaluation, classés par ordre de priorité, permettent d'élaborer
des plans d'action spécifiques visant à atténuer ces risques comme dans le tableau ci-
dessous.
9
5. Réaliser l'audit
Effectuer des interviews, des examens documentaires, des observations et des tests pour évaluer
la conformité aux politiques et aux procédures de sécurité de l'information.
a) Planification de l'audit
Avant de commencer l'audit, il est essentiel de planifier soigneusement. Cela implique de définir
les objectifs de l'audit, d'identifier les domaines spécifiques à évaluer, de déterminer les ressources
nécessaires et d'établir un calendrier.
b) Entrevues
L'une des méthodes les plus importantes pour recueillir des informations est de mener des
entrevues avec les parties prenantes concernées.
Cela peut inclure des entretiens avec le personnel de l'organisation, les responsables de la sécurité
de l'information, les utilisateurs finaux et d'autres parties prenantes pertinentes. Les questions
posées pendant ces entretiens devraient se concentrer sur les processus, les politiques et les
pratiques de sécurité en place.
c) Examens documentaires
Les audits nécessitent l'examen approfondi de documents tels que les politiques de sécurité, les
procédures opérationnelles standard, les rapports d'incidents de sécurité passés, et d'autres
documents pertinents. Cela permet de vérifier si les politiques sont correctement définies, mises
en œuvre et suivies.
d) Observations
L'observation directe des opérations en cours peut fournir des informations cruciales. Les
auditeurs peuvent observer comment les employés interagissent avec les systèmes, comment les
politiques sont appliquées dans la pratique, et identifier tout écart par rapport aux procédures
établies.
10
e) Tests
Les tests techniques sont souvent nécessaires pour évaluer la sécurité des systèmes informatiques.
Cela peut inclure des tests de pénétration, des analyses de vulnérabilités, des évaluations de
configuration, etc. Ces tests visent à identifier les faiblesses potentielles dans les défenses de
sécurité.
Documenter les constats de l'audit, en mettant en évidence les non-conformités et les points
forts du système d'information comme montre la figure ci-dessous.
Figure 3: FRAP
La FRAP permet d’analyser et de documenter un dysfonctionnement, en évitant,
autant que faire se peut, de confondre les différentes composantes du problème (les causes
des conséquences, par exemple).
11
Figure 4: Feuille de Révélation et d’Analyse de Problème (F.R.A.P)
Ce rapport détaillé résume les observations, les constats et les résultats obtenus tout au long de
l'audit.
Il comprend des recommandations pratiques pour remédier aux lacunes identifiées et des
observations pertinentes sur les processus de sécurité. Le résumé exécutif offre une vue
d'ensemble rapide pour les parties prenantes de haut niveau, tandis que la documentation détaillée
et les annexes fournissent une base solide pour une compréhension approfondie des résultats.
Ce rapport devient un outil crucial pour la prise de décision, la planification des actions
correctives et l'amélioration continue de la sécurité de l'information au sein de
l'organisation.
12
Cette communication comprend généralement les résultats des évaluations, les lacunes
identifiées, les points forts relevés et, le cas échéant, les recommandations pour améliorer la
sécurité du système d'information.
L'objectif principal est de garantir que les mesures correctives sont effectivement
appliquées, contribuant ainsi à renforcer la sécurité du système d'information. Cette étape de
suivi assure une gestion proactive des vulnérabilités et favorise une amélioration continue de
la posture de sécurité de l'organisation.
L’auditeur
Une structure indépendante
Une structure relevant de l’entité auditée
10. Réévaluation
13
Conclusion
Appelée à devenir une référence internationale reconnue, la famille des normes ISO 27000
donne aux responsables de la sécurité des systèmes d’information, l’opportunité de mettre en
œuvre un véritable système de management de la sécurité de l’information basé sur un guide
d’audit.
L'objectif ultime de ce guide est de doter les auditeurs, les responsables de la sécurité de
l'information et les parties prenantes d'un outil robuste et efficace pour évaluer, maintenir et
améliorer continuellement la sécurité des systèmes d'information au sein de notre organisation.
En suivant ces étapes, nous aspirons à renforcer la résilience de notre SI face aux menaces
émergentes et à garantir la protection des actifs informationnels essentiel.
14