Le programme d'audit de

cyber sécurité au sein des

organisations.

Réalisé par :

Encadré par :

1
Remerciement

Table des matières

2
Introduction

Dans un paysage numérique en constante évolution, la cybersécurité est

devenue une priorité cruciale pour les organisations de toutes tailles et de tous
secteurs. Face à une menace croissante de cyberattaques sophistiquées, la
mise en place d'un programme d'audit de cybersécurité devient indispensable
pour garantir la protection des actifs numériques, la confidentialité des

3
données sensibles et la continuité des opérations. Ce programme d'audit de
cybersécurité est conçu pour évaluer et renforcer la robustesse des systèmes
informatiques, des réseaux et des processus au sein de notre organisation. En
adoptant une approche hypothético-déductive qui vise à formuler des
hypothèses sur les différentes vulnérabilités possibles du système
d'information de l'organisation. Ces hypothèses sont ensuite testées et validées
à l'aide d'outils d'audit spécialisés, de méthodes de simulation d'attaques et
d'analyses approfondies des configurations des systèmes. En utilisant cette
approche, le programme d'audit de cybersécurité vise à fournir une vision
globale de l'état de la sécurité informatique de l'organisation, en identifiant les
points faibles et en mettant en évidence les domaines qui nécessitent une
attention particulière. L'approche hypothético-déductive du programme
d'audit de cybersécurité offre une méthodologie solide pour évaluer et
améliorer la sécurité informatique de l'organisation. En identifiant les
vulnérabilités potentielles et en déduisant des conclusions basées sur des faits,
il permet de renforcer la posture de sécurité de l'entreprise et de prévenir les
incidents de cybersécurité. Pour ce faire, il faut poser la problématique
suivante : Quels sont les principaux facteurs qui influencent la réussite ou
l'échec des programmes d'audit de cybersécurité au sein des
organisations ?
Pour répondre à cette problématique, dans une première partie, nous allons
expliquer les concepts de l’audit communication. Dans la deuxième partie,
nous allons comprendre le cadre contextuel et méthodologie. Dans une
troisième partie, nous allons mettre en lumière un cadre analytique pour
l’analyse des données. Et la dernière partie est consacrée à la synthèse de
résultat obtenu.
4
 CHAPITRE 1 : CADRE CONCEPTUEL ET
THEORIQUE
Au niveau de ce chapitre nous allons aborder les différentes concepts en
relation avec notre problématique . Dans un premier temps , un aperçu
générale et une vue plus profonde sur le cadre théorique de l’audit de
cybersécurité au sien des organisations.
1/Définition des mots clés :
5
 Programme d'audit : Un programme d'audit est un ensemble organisé
d'activités d'audit planifiées et réalisées de manière systématique pour
évaluer la conformité, l'efficacité et/ou la performance d'un processus, d'un
système ou d'une entité.
 Cybersécurité : La cybersécurité désigne l'ensemble des mesures, des
politiques, des procédures et des technologies mises en place pour protéger
les systèmes informatiques, les réseaux, les données et les informations
contre les attaques, les intrusions et les menaces numériques.
 Organisations : Dans ce contexte, les organisations font référence à toutes
les entités, qu'elles soient publiques ou privées, qui utilisent des systèmes
informatiques et des technologies de l'information pour soutenir leurs
opérations commerciales ou leurs activités.
 Audit de cybersécurité : L'audit de cybersécurité est une évaluation
systématique et indépendante des politiques, des processus, des contrôles
et des mesures de sécurité informatique d'une organisation. L'objectif
principal est d'identifier les vulnérabilités, les lacunes et les risques
potentiels pour la sécurité des systèmes d'information.
 Systèmes d'information : Les systèmes d'information désignent
l'ensemble des ressources informatiques, des logiciels, des données et des
technologies utilisées pour collecter, stocker, traiter, analyser et transmettre
des informations au sein d'une organisation.

2/La revue de littérature :

La revue de littérature sur le programme d'audit de cybersécurité au sein
des organisations consiste à explorer et à analyser de manière approfondie les

6
recherches existantes, les pratiques courantes et les normes pertinentes dans le
domaine de l'audit de cybersécurité. Voici quelques éléments clés qui
pourraient être abordés dans une telle revue
 Normes et réglementations : Examen des normes et réglementations
internationales, nationales et sectorielles en matière de cybersécurité, telles
que les normes ISO, les directives de l'UE sur la protection des données
(GDPR) et les exigences réglementaires spécifiques à certaines industries.
 Cadres méthodologiques : Étude des cadres méthodologiques et des
bonnes pratiques pour la réalisation d'audits de cybersécurité, tels que le
framework COBIT (Control Objectives for Information and Related
Technologies) ou le NIST Cybersecurity Framework.
 Recherches académiques : Analyse des études académiques, des articles
de recherche et des thèses pertinentes sur les méthodes d'audit de
cybersécurité, les défis rencontrés et les meilleures pratiques pour garantir
la sécurité des systèmes d'information.
 Outils et technologies : Examen des outils, des logiciels et des
technologies utilisés dans le cadre de l'audit de cybersécurité, tels que les
scanners de vulnérabilités, les outils de détection d'intrusion et les solutions
de gestion des incidents de sécurité.
 Tendances et évolutions : Identification des tendances émergentes, des
innovations technologiques et des défis futurs dans le domaine de la
cybersécurité, notamment en ce qui concerne les menaces et les attaques
cybernétiques.

En résumé, la revue de littérature sur le programme d'audit de cybersécurité

au sein des organisations permet de se familiariser avec l'état actuel des
7
connaissances et des pratiques dans ce domaine, fournissant ainsi une base
solide pour la conception et la mise en œuvre de programmes d'audit efficaces
et adaptés aux besoins spécifiques des organisations .
3/ Le risque d'absence du programme d'audit de
cybersécurité au sein des organisations :
L'absence d'un programme d'audit de cybersécurité dans les organisations
représente un risque majeur, présentant plusieurs facettes :
 Exposition accrue aux menaces cybernétiques : L'absence d'un
programme d'audit de cybersécurité expose davantage les organisations
aux cyberattaques telles que les piratages de données, les logiciels
malveillants et les intrusions. Ces attaques peuvent entraîner des pertes
financières, des préjudices à la réputation et des interruptions des activités
commerciales.
 Manque de connaissance des vulnérabilités : Sans un audit régulier de la
cybersécurité, les organisations ont une visibilité limitée sur leurs propres
vulnérabilités et faiblesses en matière de sécurité. Ceci les empêche
d'identifier et de corriger les lacunes de sécurité avant qu'elles ne soient
exploitées par des attaquants.
 Non-respect des normes et réglementations : De nombreuses industries
sont soumises à des réglementations strictes en matière de protection des
données et de sécurité informatique. L'absence d'un programme d'audit de
cybersécurité peut entraîner une non-conformité à ces normes, exposant
ainsi l'organisation à des amendes et à des sanctions réglementaires.
 Perte de confiance des parties prenantes : L'absence de mesures
adéquates de cybersécurité peut entraîner une perte de confiance des

8
 clients, des partenaires commerciaux et des investisseurs. Cela peut avoir
un impact négatif sur la réputation de l'organisation et sa capacité à
maintenir des relations commerciales solides.
 Difficulté à détecter les incidents de sécurité : Sans un programme
d'audit de cybersécurité, les organisations peuvent avoir du mal à détecter
rapidement les incidents de sécurité et à y répondre efficacement. Cela peut
prolonger la durée des violations de données et aggraver les conséquences
pour l'organisation et ses parties prenantes.
En résumé, l'absence d'un programme d'audit de cybersécurité expose les
organisations à des risques importants en matière de sécurité des
informations, de conformité réglementaire et de réputation. Il est donc
essentiel pour les organisations de mettre en place des processus d'audit
robustes pour protéger leurs actifs numériques et garantir leur viabilité à long
terme.
4/Les principaux facteurs qui influencent la réussite ou
l'échec des programmes d'audit de cybersécurité au sein
des organisations :
Les programmes d'audit de cybersécurité au sein des organisations rencontrent des défis
et des opportunités qui influencent leur succès ou leur échec. Tout d'abord, l'engagement
de la direction est essentiel. La haute direction doit démontrer un soutien clair envers la
cybersécurité pour allouer les ressources nécessaires et garantir la mise en œuvre des
recommandations d'audit. Ensuite, la culture de sécurité joue un rôle crucial. Une culture
organisationnelle qui valorise la sécurité des informations et encourage la conformité aux
politiques de sécurité est nécessaire pour garantir l'efficacité du programme d'audit.
De plus, les compétences et la formation des auditeurs sont des facteurs déterminants.
Une équipe d'audit bien qualifiée, formée aux dernières techniques et menaces en matière

9
de cybersécurité, est essentielle pour évaluer efficacement les systèmes informatiques et
détecter les vulnérabilités. L'adaptabilité et l'évolutivité du programme d'audit sont
également importantes. Un programme flexible qui peut s'adapter aux changements
technologiques et aux nouvelles menaces est plus susceptible de réussir sur le long terme.
La communication et la collaboration entre les différentes équipes de l'organisation sont
également indispensables. Une coordination efficace entre les équipes d'audit, les
équipes informatiques et les parties prenantes de l'organisation permet d'identifier
rapidement les problèmes de sécurité et de mettre en œuvre les recommandations d'audit
de manière appropriée. Enfin, le suivi et l'évaluation continus sont essentiels pour
mesurer l'efficacité du programme d'audit et identifier les domaines nécessitant des
améliorations. Des mécanismes de suivi réguliers, tels que des audits internes et des
évaluations des risques, sont nécessaires pour garantir que le programme d'audit reste
efficace dans un environnement en constante évolution.

5/Recherche antérieure
L’intérêt de notre recherche est de présenter un modèle conceptuel à partir des modèles
théoriques et des études empiriques qui met l’importance cruciale d’un programmes
d’audit de cybersécurité au sein des organisation. Ces expert et cadres théoriques
mettent en avant plusieurs arguments pour soutenir cette importance .Parmi ses auteurs
on peut citer :
 Bruce Schneier : Expert renommé en sécurité informatique, Schneier a écrit de
nombreux ouvrages sur la cybersécurité et a mis en avant l'importance de la gestion
proactive des risques et de l'audit de sécurité .

 Peter Gregory : Expert en sécurité de l'information, Gregory a contribué à plusieurs

publications et ouvrages sur l'audit de cybersécurité et les meilleures pratiques pour
évaluer et renforcer la sécurité des systèmes d'information.

10
  James R. Chapple : Spécialiste en audit de sécurité et en gestion des risques,
Chapple a publié plusieurs ouvrages sur l'audit de sécurité informatique et son rôle
dans la protection des organisations contre les menaces numériques.

Ces auteurs et organisations ont contribué à sensibiliser les professionnels et les

organisations à l'importance de mettre en place des programmes d'audit de cybersécurité
pour protéger les systèmes d'information et les données contre les menaces numériques.

CHAPITRE 2 : CADRE CONTEXTUEL ET

METHODOLOGIQUE
1. Terrain d’étude : secteur de télécommunication
L'audit de cybersécurité au sein des organisations est très important, notamment dans des
secteurs sensibles comme le secteur télécommunication. Notre choix de ce secteur
spécifique est justifié par plusieurs raisons. Tout d'abord pour la protection des données
sensibles puisque les opérateurs de télécommunications gèrent d'énormes quantités de
données personnelles et sensibles de leurs clients, en suite la conformité réglementaire
car le secteur des télécommunications est soumis à des réglementations strictes en
matière de protection des données, de confidentialité et de sécurité. Un audit de
cybersécurité aide les opérateurs à s'assurer qu'ils respectent les normes et les exigences
11
réglementaires, telles que le RGPD en Europe ou la FCC aux États-Unis, et enfin pour
garantir de la disponibilité des services : Les réseaux de télécommunications doivent être
opérationnels en permanence pour garantir la connectivité des clients, un audit de
cybersécurité permet de détecter les vulnérabilités et de renforcer la résilience du réseau
contre les attaques.
Le secteur des télécommunications englobe toutes les technologies et services liés à la
transmission de signaux, de données et de voix à travers des réseaux. Cela inclut les
téléphones fixes, les téléphones mobiles, Internet, la télévision par câble et satellite, ainsi
que les réseaux sans fil. Les principaux acteurs du secteur des télécommunications sont
les opérateurs de réseaux, qui construisent et exploitent les infrastructures nécessaires à
la transmission des données et des communications. Ces infrastructures comprennent les
réseaux de câbles en fibre optique, les réseaux de téléphonie mobile, les satellites de
communication et les réseaux de distribution de télévision. En outre, le secteur des
télécommunications comprend également les fabricants d'équipements de
télécommunication, les fournisseurs de services Internet, les fournisseurs de services de
téléphonie mobile, les fournisseurs de services de télévision par câble et satellite, ainsi
que les entreprises de technologie qui développent des logiciels et des applications pour
les communications et la connectivité.
En résumé, l'audit de cybersécurité est un élément essentiel de la gestion des risques pour
les opérateurs de télécommunications, leur permettant de protéger les données, de
maintenir la disponibilité des services, de respecter les réglementations et de garantir la
confiance des clients.

2. La société Orange :
L'audit de communication de crise dans le diagnostic interne des entreprises est très
important, notamment dans des secteurs sensibles comme le secteur de
télécommunication. Nous avons choisi de travailler sur société Orange, notre choix de ce
secteur spécifique et cette société est justifié par plusieurs raisons.
Tout d’abord, Orange est l'un des principaux opérateurs de télécommunications au
monde, offrant une gamme complète de services de communication à des millions de
12
clients dans plus de 26 pays à travers l'Europe, l'Afrique et le Moyen-Orient. Voici une
présentation générale de la société Orange :
1. Historique : Orange a été fondée en 1988 en France sous le nom de "France
Télécom". Elle a été privatisée en 1997 et a adopté le nom commercial "Orange"
en 2000. Depuis lors, Orange a étendu ses activités à l'international, devenant l'un
des principaux acteurs mondiaux du secteur des télécommunications.
2. Services : Orange propose une large gamme de services de communication,
notamment la téléphonie mobile, la téléphonie fixe, l'Internet haut débit et la
télévision. Elle fournit également des services de cloud, des solutions IoT (Internet
des objets), des services de cybersécurité, ainsi que des services aux entreprises et
aux gouvernements.
3. Présence internationale : Orange opère dans de nombreux pays à travers le
monde, avec une forte présence en Europe (notamment en France, en Espagne, en
Pologne, en Belgique) et en Afrique (notamment en Côte d'Ivoire, au Sénégal, en
Égypte). La société est également active au Moyen-Orient, en Asie et dans les
Caraïbes.
4. Innovation : Orange est reconnue pour son engagement envers l'innovation et la
technologie. Elle investit dans le développement de nouvelles technologies telles
que la 5G, l'Internet des objets, la cybersécurité et les services cloud. Orange Labs,
son centre de recherche et développement, est à l'avant-garde de l'innovation dans
le secteur des télécommunications.
5. Responsabilité sociale et environnementale : Orange s'engage à promouvoir la
durabilité et la responsabilité sociale des entreprises. Elle développe des initiatives
visant à réduire son empreinte environnementale, à promouvoir la diversité et
l'inclusion, ainsi qu'à soutenir les communautés locales à travers des programmes
de responsabilité sociale d'entreprise.
En résumé, Orange est un leader mondial dans le secteur des télécommunications, offrant
une large gamme de services de communication à des millions de clients à travers le

13
monde, tout en restant engagée envers l'innovation, la durabilité et la responsabilité
sociale des entreprises.

3.Approche quantitative (formulaire) :

o Composantes du formulaire (voir l’annexe)
Dans cette étude quantitative réalisée dans le cadre de notre projet de matière pour
l’opérateur ORANGE, nous avons utilisé un questionnaire qui contient :
1. Le titre du formulaire afin de présenter le sujet de l’enquête
2. Une description au-dessous du titre qui est considérée comme introduction à
l’enquête et qui contient : l’objectif de l’enquête et dans quel cadre nous
effectuons cette étude.
3. Des question fermés (ou structurées) et qui sont dichotomiques (réponse oui ou
non).
4. Des questions ouvertes pour donner plus de libertés aux personnes remplissant le
formulaire

o Analyse et interprétation de chaque question du formulaire:

Echantillon :
Nombre de répondants : 20
Raison de choix de la question
Question 1 Elle permet d'évaluer l'importance accordée par les individus à la
sécurité de leurs données personnelles.
Question 2 Elle permet de comprendre le niveau de confiance des
consommateurs dans la capacité des fournisseurs de services de
télécommunication à protéger leurs données personnelles contre les
cybermenaces.
Question 3 Elle permet de mieux comprendre les préoccupations des
14
 utilisateurs en matière de cybersécurité dans le contexte spécifique
des services de télécommunication
Question 4 Elle permet d’évaluer la sensibilisation, la transparence, les
connaissances et la perception des clients concernant les pratiques
de cybersécurité des entreprises de télécommunication.
Question 5 Elle permet d’évaluer la perception des utilisateurs sur l'efficacité
des audits de cybersécurité dans les entreprises de
télécommunication.
Question 6 C’est une question fermée dichotomique à choix unique (oui/non),
elle permet d’évaluer directement les expériences des utilisateurs
en matière de sécurité des données et de cyberattaques liées à
l'utilisation de services de télécommunication.
Question 7 C’est une question fermée dichotomique à choix unique (oui/non),
elle permet évaluer la disposition des utilisateurs à payer un
supplément pour une meilleure sécurité des données dans les
services de télécommunication.

o Interprétations des résultats :

 Analyse

15
 Analyse

 Analyse

16
 35% déclarent ne pas être au courant des audits de cybersécurité dans les
entreprises de télécommunication,40% sont au courant et 25% ne sont pas sûrs s'ils
sont au courant ou non des audits de cybersécurité menés par les entreprises de
télécommunication.

17
 15,8% et 5,3% indiquent qu'une proportion significative des répondants a une
perception positive de l'efficacité des audits de cybersécurité, les considérant
comme extrêmement ou très efficaces. Alors que 52,6% estime que les audits de
cybersécurité modérément efficaces.

 70% ont déjà été victimes d’une cyberattaque liée à l'utilisation de services de
télécommunication.

18
 Près de la moitié (45%) des répondants sont prêts à payer un montant
supplémentaire pour des services de télécommunication offrant une meilleure
sécurité des données et des services.

19
20
Conclusion

En conclusion, notre projet a permis d'explorer en profondeur les principaux

facteurs qui jouent un rôle crucial dans le succès ou l'échec des programmes
d'audit de cybersécurité au sein de notre organisation. En comprenant ces
facteurs et en les intégrant dans nos stratégies d'audit de cybersécurité, nous
sommes mieux préparés à faire face aux défis croissants de sécurité
informatique et à protéger nos actifs numériques de manière proactive. En
poursuivant notre engagement envers l'amélioration continue et l'adaptation
aux évolutions du paysage cybernétique, nous renforçons notre position en
tant qu'organisation sécurisée et résiliente face aux menaces actuelles et
futures.

21