Vous êtes sur la page 1sur 15

Missions comptables

Audit lgal
Audit Contractuel
Missions juridiques et

AuditScuritdesSystmes
dInformation
(ASSI)

fiscales
Missions sociales
Expertise et conseil de

Offredeservices

gestion
Conseil en organisation
Audit Systmes
dInformation
Certification ISO
Formation

PROJET POUR DISCUSSION

Sommaire
OFFRE AUDIT DES SYSTMES DINFORMATION
LES DIFFRENTS TYPES DE MENACES
AUDIT SCURIT DES SYSTMES
DINFORMATION (ASSI)
LA CONDUITE DUNE MISSION DAUDIT SSI
DMARCHE DE RALISATION D'UN AUDIT
SCURIT SI
CENTRE DEXPERTISE SSI

Notre offre Audit des Systmes dInformation

Porteur de nouveaux usages, le numrique est


facteur dinnovation. Il engendre une mutation
de la plupart des mtiers. Enrichis par lapport
du numrique, ces secteurs sont simultanment
plus exposs aux menaces issues du numrique.
Par consquent, la scurit et la fiabilit des
systmes dinformation devient un lment
primordial des dispositifs de contrle mettre
en place au sein de lentreprise.
Il apparat donc ncessaire dvaluer ces
dispositifs par des spcialistes techniques et
juridiques.

Audit
scurit
des systmes
Audit
dedes
la fonction
lexamen
systmes
dinformation
(ASSI)
Lanalyse
des donnes
informatique
dinformation

Les diffrents types de menaces


La disponibilit de linformation est indispensable la survie de lentreprise. En
effet, la perte dun fichier ou dune banque de donnes ou la non disponibilit des
quipements informatiques en temps opportun, cause par une
erreur de programmation, dun sabotage ou dun dsastre naturel, peut parfois signifier
pour une entreprise, la fin permanente des oprations.
limportance de lexactitude de linformation peut parfois tre capitale pour une
organisation. Prenons, par exemple, le cas du gestionnaire utilisant lordinateur pour
manipuler des informations qui laideront orienter une dcision stratgique sur son
entreprise.
Lentreprise doit aussi sassurer quen cas de sinistre informatique, elle dispose de
mesures palliatives, pour garantir la continuit de sa production (exploitation)
informatique.
Il sagit donc pour lentreprise de procder de manire rgulire lexamen de son
systme dinformation.
LAUDIT INFORMATIQUE EST LOUTIL PRIVILEGIE POUR LA REALISATION DUNE
TELLE MISSION.

Audit Scurit des Systmes dInformation


(ASSI)
Lquipe Audit Scurit des Systmes dInformation ASSI dORFIS vous apportent son
expertise selon trois dimensions savoir technique, juridique et organisationnelle. Le
dpartement ASSI dispose de toutes les comptences requises ce domaine dintervention,
aussi bien en environnement priv que public. Selon les cas, le dpartement ASSI peut
associer ses comptences celles du cabinet dAvocats Brumm et Associs spcialis dans
le Droit de l'informatique et des nouvelles technologies.
Le dpartement ASSI dORFIS met en uvre un ensemble de services qui permettent aux
entreprises de mesurer lefficacit du niveau de scurit de leur systme dinformation.
Ces services sont notamment constitus de :

Audit scurit des accs aux donnes et aux infrastructures;


Scurit de la conservation des donnes ;
Constitution des plans : PCA, PRA ;
Assistance la gouvernance de scurit SI ;
Rdaction et ngociation de contrats relatifs la scurit du SI (consultant, AMO,
diteur, back up, test intrusif) ;
Rdaction des chartes des systmes dinformation ;
Rdaction du Plan dassurance scurit
Tests dintrusion, internes ou externes ; tests spcifiques lis la fraude ;
Audit juridique de la scurit ;
Gestion juridique des violations de scurit
;
5

Audit de Scurit des Systmes dInformation

UN AUDIT DE SCURIT CONSISTE VALIDER LES MOYENS DE


PROTECTION MIS EN UVRE SUR LES PLANS ORGANISATIONNELS,
PROCDURAUX ET TECHNIQUES, AU REGARD DE LA POLITIQUE DE
SCURIT EN FAISANT APPEL UN TIERS DE CONFIANCE EXPERT EN
AUDIT SCURIT INFORMATIQUE.
LAUDIT DE SCURIT INFORMATIQUE SE PRSENTE
ESSENTIELLEMENT SUIVANT TROIS PARTIES SAVOIR : LAUDIT
ORGANISATIONNEL ET PHYSIQUE, LAUDIT TECHNIQUE, LAUDIT INTRUSIF
(TEST DINTRUSION).
ENFIN UN RAPPORT DAUDIT EST TABLI LISSUE DE CES TAPES. CE
RAPPORT PRSENTE UNE SYNTHSE DE LAUDIT. IL PRSENTE
GALEMENT LES RECOMMANDATIONS METTRE EN PLACE POUR
CORRIGER LES DFAILLANCES ORGANISATIONNELLES OU TECHNIQUES
CONSTATES.
6

La conduite dune mission daudit SSI


1.

La prparation de la mission, phase denqute prliminaire : il sagit de


lensemble des investigations ncessaires llaboration de la lettre de mission, cette
dernire matrialisera laccord entre le mandant et son mandataire sur le contenu et les
modalits pratiques de la mission.

2.

Le programme de travail : Le programme de travail dfinit prcisment les


mthodes daudit retenues et le travail raliser par les auditeurs

lancement de la mission
prise de connaissance du systmes dinformation : entretiens avec les
principaux interlocuteurs SI, lecture de la documentation disponible
analyse critique des facteurs de risque
dploiement de logiciels daudit SSI
rdaction du rapport et synthse

DMARCHE DE
RALISATION D'UN
AUDIT SCURIT SI

Dmarche de ralisation d'un audit Scurit SI


Rapport de synthse
Audit techniqueTests dintrusion
Prparation de laudit
Audit organisationnel et physique
& recommandations

Objectifs
Cette phase est aussi appele phase de pr audit. Elle constitue une phase importante pour la ralisation de
laudit sur terrain. En effet, cest au cours de cette phase que se dessinent les grands axes qui devront tre
suivis lors de laudit sur terrain.
Entrants

Solliciter les rsultats


des prcdents audits
Rsultats du
questionnaire

Acteurs

Fff
Jjj

Livrables

Droulement

Rencontres entre auditeurs et responsables de


lorganisme auditer. Au cours de ces
entretiens, les esprances des responsables
vis--vis de laudit devront tre exprimes
Identifier les personnes qui seront amenes
rpondre au questionnaire concernant laudit
organisationnel
Dfinition de la charte daudit qui a pour objet
de dfinir la fonction de l'audit, les limites et
modalits
de
son
interventions,
les
responsabilits
Ralisation du planning de la mission daudit

Charge de travail

ii
Jjj

La charte daudit
Planning de laudit
Participants laudit

Dmarche de ralisation d'un audit Scurit SI


Rapport de synthse
Tests dintrusion
Prparation de Audit
lauditorganisationnel et physique
Audit technique
& recommandations
Objectifs
Lobjectif vis par cette tape est donc davoir une vue globale de ltat de scurit du systme d
information et didentifier les risques potentiels sur le plan organisationnel. (selon taille et maturit SI
entreprise )

Entrants

Procdures de
sauvegarde et
darchivage des
documents
Plan dexploitation
et dadministration
du SI
Plan de continuit
de service
Documents
dcrivant les
rseaux et
tlcoms

Acteurs

Fff
Jjj
kkk

Droulement

Livrables

Pour mener bien cette phase, l'auditeur


applique une mthodologie d'audit et d'analyse
de risques "formelle" (Marion, Mehari, Melisa,
Ebios...) comme il peut adapter ces mthodes
selon les besoins de l'organisme
L'valuation du niveau de scurit s'tablit
partir des entretiens avec les personnes
interviewes et de l'analyse des ressources
critiques et des documents fournis
Rduire les risques revient soit agir sur les
vulnrabilits, soit essayer de rduire l'impact
qu'aurait l'exploitation d'une vulnrabilit par une
menace conformment la formule :

de travail
Risque = Menace *Charge
Impact * Vulnrabilit
Fff

Jjj
kkk

Recommandations
pour la mise en
place des mesures
organisationnelles
et d'une politique
scuritaire
adquate
prsentation de la
synthse de la
mission avec pour
objectif de
sensibiliser sur les
risques potentiels
et les mesures
mettre en uvre

Dmarche de ralisation d'un audit Scurit SI


Rapport de synthse
Tests dintrusion
Prparation de Audit
lauditorganisationnel et physique
Audit technique
& recommandations
Objectifs
Cette analyse devra faire apparatre les failles et les risques, les consquences dintrusions ou de
manipulations illicites de donnes. Lauditeur testera aussi la robustesse de la scurit du systme
dinformation et sa capacit prserver les aspects de confidentialit, dintgrit, de disponibilit et
dautorisation. Cependant, lauditeur doit veiller ce que les tests raliss ne mettent pas en cause la
continuit de service du systme audit.

Entrants

Descriptif des
systmes (PC,
serveur, logiciels
de base, solution
antivirale, les
applications
(mthodes de
dveloppement,
procdures de tests
et de
maintenance,..)

Acteurs

Fff
Jjj
kkk

Droulement

Livrables

Pour vous proposer une palette de solutions


rpondant
prcisment

vos
vraies
problmatiques dusage, ORFIS ASSI sappuie sur
une dmarche danalyse des risques, forte
valeur ajoute dans les domaines suivants :
Firewall IDS/IDPS, antivirus; antispyware; anti
spam; filtrage URL et filtrage Web; topologie des
rseaux physique et Wifi; scurisation des postes
nomades : portables, PDA, cls USB; cryptage
des donnes ( coffres forts fixes ou mobiles,
cryptage des changes); NAC : Network Access
Control.

Charge de travail

Fff
Jjj
kkk
11

Serveurs identifis ;
Les performances
des serveurs
identifies
Les moyens de
contrle d'accs
identifis
Stratgie
d'administration
revue

Dmarche de ralisation d'un audit Scurit SI


Rapport de synthse
Tests dintrusion
Prparation de Audit
lauditorganisationnel et physique
Audit technique
& recommandations
Objectifs
Apprcier le comportement du rseau face des attaques. Sensibiliser les acteurs par des rapports
illustrant les failles dceles, les tests qui ont t effectus (scnarios et outils) ainsi que les
recommandations pour pallier aux insuffisances identifies. Les tests d'intrusion sont raliss aprs
autorisation explicite du client et reposent sur un ensemble de scnarios d'attaques expertes
(pntration, intrusion, etc..) mis en uvre pour compromettre un systme d'information.

Entrants

Politique de
scurit
Les tests

d'intrusion
commencent par
une phase de
collecte des
informations
disponibles
publiquement, sans
interagir avec
l'environnement
cible puis il s'agit
de localiser et
Acteurs
caractriser les
composants
Fff
cibles

Jjj
kkk

Droulement

Livrables

L'objectif des tests intrusifs est d'expertiser


l'architecture technique dploye et de mesurer
la conformit des configurations quipements
rseaux, firewall, commutateurs, sondes , etc.
avec la politique de scurit dfinie et les rgles
de l'art en la matire

Il s'agit d'exploiter les vulnrabilits mises en


vidence pendant les phases prcdentes de
faon a obtenir un accs " non autoris " aux
ressources

Charge de travail

Fff
Jjj
kkk
12

Rsultats des tests


Recommandations
pour pallier aux
failles

Dmarche de ralisation d'un audit Scurit SI


Rapport de synthse
Tests dintrusion
Prparation de Audit
lauditorganisationnel et physique
Audit technique
& recommandations
Objectifs
A la fin des prcdentes phases daudit sur terrain, lauditeur est invit rdiger un rapport de synthse
sur sa mission daudit. Cette synthse doit tre rvlatrice des dfaillances enregistres

Entrants

Rsultats de laudit
organisationnel
Rsultats de laudit
technique
Rsultats des tests
dintrusion

Acteurs

Fff
Jjj
kkk

Droulement

Livrables

Rdiger le rapport de synthse identifiants les


dfaillances enregistres
Lauditeur est galement invit donner ses
recommandations, pour pallier aux dfauts quil
aura constats
Ces recommandations doivent tenir compte de
laudit organisationnel et physique, ainsi que de
celui technique et intrusif.

Charge de travail

Fff
Jjj
kkk

13

Rapport de
synthse sur la
mission daudit SSI
Recommandations
SSI

CENTRE DEXPERTISE
SSI

NOTRE SAVOIR FAIRE SSI

15

Vous aimerez peut-être aussi