Audit de la Sécurité Informatique

Cours présenté par

Dr. Ala eddine BAROUNI

abarouni@yahoo.com

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

1
 Partie
1
 Pourquoi sécuriser un réseau ?
 Principes de sécurité importants
 Rappel sur les normes utiles en sécurité réseau
 Introduction à l’Audit Sécurité

 Démarche de réalisation d’une mission d’Audit Sécurité

 Approches d’Audit Sécurité
 Les étapes d’Audit Sécurité (Audit Niveau 1, Audit Niveau 2)
 Description détaillée des phases de l’Audit Niveau 2 (Audit
Technique)

 Livrables de la phase d’audit niveau 2 (présentation d’un modèle

type d’un rapport d’audit technique)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

2 Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
 Partie2: Outils et logiciels utilisés lors de l’audit
niveau 2 (principalement de l’Open Source)

 Les outils utilisés pour chaque phase d’audit technique

 Outils et logiciels utilisés lors de la phase 1 de l’Audit Technique :
 Audit de l’architecture du système
 Outils et logiciels utilisés lors de la phase 2 de l’Audit Technique :
 Audit de la résistance du système face aux failles connues, via une analyse
automatisée des vulnérabilités
 Outils et logiciels utilisés lors de la phase 3 de l’Audit Technique :
 Audit de l’architecture de sécurité existante

 Description détaillée des tests de sécurité à réaliser au cours de la

l’audit technique

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

3
 Partie3: Outils de protection réseau (principalement
de l’Open Source)

 Prototype d’une architecture de sécurité basé sur

des outils du monde des logiciels libres (firewalls,
détection d’intrusions, contrôle d’intégrité, etc..)
 Présentation des solutions de corrélation de
vulnérabilités

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

4
 Pourquoi sécuriser un réseau ?

Intrus Intrus
intern extern
e e

Actifs de l'entreprise Autorisations

Virus incorrectes

Une conception de sécurité réseau protège les actifs des

menaces et vulnérabilités de façon organisée
Pour élaborer une conception de sécurité, analysez les risques
pesant sur vos actifs et créez des réponses
Dr. Ala eddine BA ROUNI ( abarouni@yahoo.com)
5
 Principes de sécurité importants

Principe Définition
Offre plusieurs niveaux de
Défense en protection contre les
profondeur menaces en plusieurs points
du réseau
Octroie à un utilisateur ou
une ressource les privilèges
Moindre
ou autorisations minimaux
privilège
nécessaires
à l'exécution d'une tâche
Surface d'attaque Réduit les points vulnérables
Dr. Ala edd ine BAROUNI ( abarouni@yahoo.com)
minimisée d'un réseau 6
 Les normes de sécurité
informatique
BS 7799 / ISO 17799, ISO 27002 ,
ISO 27001, BS 7799-2

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Plan

• Sécurité des informations, normes

BS 7799, ISO 17799, ISO 27001

• Normes BS 7799, ISO 17799 et ISO 27002

• Qualités de BS 7799 / ISO 17799

• Les dix contextes clés de ISO 17799

• Normes ISO 27001, BS 7799-2

• Approche de gestion (Modèle PDCA)

• Historique

• Pour qui ?

• Implantation

• Outils et logiciels

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Les normes de Sécurité Informatique

Sécurité des informations, normes

BS 7799, ISO 17799, ISO 27001

• Plusieurs normes, méthodes et

référentiels de bonnes pratiques en
matière de sécurité des systèmes
d’information sont disponibles. Elles
constituent des guides
méthodologiques ainsi que le moyen
de fournir l'assurance d'une démarche
de sécurité cohérente.
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
 Les normes de Sécurité Informatique
• L’ISO a entrepris un vaste effort de rationalisation
des travaux existants donnant naissance à la série
des ISO 27000. Certaines sont obligatoires pour
obtenir une certification (27001 et 27006), les autres
ne sont que des guides :

• l'ISO 17799 sera renommé en 27002, le 1er avril

2007.

• l'ISO 27006 est en cours de fabrication -sortie

prévue fin novembre.

• l'ISO 27004 et l'ISO 27005 sont à l'état de drafts

avancés.
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
 Normes BS 7799, ISO 17799 et ISO 27002 ?

• Un ensemble de contrôles basés sur

les meilleures pratiques en sécurité des
informations;

• Standard international qui couvre tous

les aspects de la sécurité informatique:
– Équipements;
– Politiques de gestion;
– Ressources
– humaines; Aspects
juridiques.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 • ISO 17799 (partie 1) se veut un guide contenant des
.

conseils et des recommandations permettant d’assurer

la sécurité des informations d’une entreprise.

• La norme ISO 17799 (partie 2 :2005), prochainement

renommée 27002, est directement tirée de la BS 7799-1
(créée par le BSI British Standard Institute).
Elle correspond à un niveau de détail plus fin que la
27001 et spécifie une Poltique de la Sécurité des
Systèmes d'Information. C'est une liste détaillée et
commentée de mesures de sécurité. Cette norme est
un guide de Bonnes Pratiques (Best Practices)
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
 Normes BS 7799, ISO 17799 et ISO 27002
Pour maîtriser la sécurité d'un système d'information.
plusieurs versions de la BS 7799 ont été élaborées
depuis le début des années 1990 et la dernière est
devenue la norme ISO/IEC 17799.

Schématiquement, la démarche de sécurisation du

système d'information doit passer par 4 étapes de
définition :

1. périmètre à protéger (liste des biens sensibles),

2. nature des menaces,
3. impact sur le système d'information,
4. mesures de protection à mettre en place.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Normes BS 7799, ISO 17799 et ISO 27002

• L’ ISO 17799 donne des exemples et des indications

sur les niveaux 1 à 3, mais ne traite vraiment que le
niveau 4 (et en partie seulement), en listant ce qui est
nécessaire de mettre en place, sans toutefois
préciser en détail comment.

• La norme ISO 17799 comporte 39 catégories de

contrôle et 133 points de vérification répartis en
11 domaines :

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Normes BS 7799, ISO 17799 et ISO 27002
• 1. Politique de sécurité

• 2. Organisation de la sécurité :
- organisation humaine, implication hiérarchique,
- notion de propriétaire d’une information et mode de
classification,
- évaluation des nouvelles informations,
- mode d’accès aux informations par une tierce partie,
- Répartition des responsabilités, groupes de travail, …

3. Classification et contrôle des biens

- Identifications des actifs, Classification de l’information

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Normes BS 7799, ISO 17799 et ISO 27002

• 4. Sécurité du personnel
- contrats de travail, Sensibilisation à la sécurité,
implication dans la sécurité
• 5. Sécurité physique
- organisation des locaux et des accès,
- protection contre les risques physiques (incendies,
inondations...)
- systèmes de surveillance et d’alerte,
- sécurité des locaux ouverts et des documents
circulant.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Normes BS 7799, ISO 17799 et ISO 27002
• 6. Communication et exploitation:
- Gestion des incidents,
- Gestion du réseau
- prise en compte de la sécurité dans les procédures
de l’entreprise,
- mise en oeuvre des systèmes de sécurisation (anti-
virus, alarmes..),

• 7. Contrôle d'accès:
- Utilisateurs
- Définition des niveaux d’utilisateurs et de leur droit
d’accès,
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
 Normes BS 7799, ISO 17799 et ISO 27002
- Gestion dans le temps des droits,
- Réseau
- Système d’exploitation
- Application

• 8. Acquisition, développement et maintenance des

systèmes
- Contrôles cryptographiques
- Sécurité des fichiers
- Chevaux de Troie

• 9. Gestion des incidents

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Normes BS 7799, ISO 17799 et ISO 27002
• 10. Management de la continuité de service
-Planification , test, réévaluation

• 11. Conformité:
- dispositions réglementaires
- dispositions légales
- dispositions internes (Politique)

• La norme n'impose pas d'autre formalisme que la mise en place

d'une organisation qui garantit un bon niveau de sécurité au fil du
temps.

• Elle est orientée processus et déborde de ce fait des simples

aspects de technique informatique. Elle s'intéresse à
l'organisation du personnel ainsi qu'aux problèmes de sécurité
physique (accès, locaux...).

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Qualités de BS 7799 / ISO 17799

• Couverture de la norme;
• Éprouvée;
• Publique;
• Internationale;
• Image de marque associé à « la
qualité »
• Évolutive et soup lesse
(s’ a d a p ter a ux c ontextes);
• Disponibilité d’outils et de support.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Les dix contextes clés de ISO 17799
Politique de
sécurité
Sécurité de
Conformité
L’organisati
on

Gestion de la Classification et
Intégrité Confidentialité
continuité contrôle des
actifs
Information
Développement Sécurité du
et maintenance personnel
Disponibilité

Contrôle des Sécurité physique et

accès Gestion des environnementale
Communications
et opérations
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
 Les dix contextes clés de ISO 17799
Organisationnel

Opérationnel
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
 Normes ISO 27001, BS 7799-2

• La norme ISO 27001, publiée en Novembre 2005,

définit la Politique du Management de la Sécurité
des SI au sein d'une entreprise. Elle est issue de la
BS 7799-2:1999 Specification for information
security management systems qui définit les
exigences à respecter pour créer un ISMS
(Information Security Management System). Elle
spécifie en annexe certains contrôles de sécurité,
tirés de la 17799, dont la mise en oeuvre est
obligatoire.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Normes ISO 27001, BS 7799-2

• La norme ISO 27001 comprend 6 domaines de

processus :
1. Définir une politique de la sécurité des
informations,
2. Définir le périmètre du Système de
Management de la sécurité de
l'information,
3. Réaliser une évaluation des risques liés à la
sécurité,
4. Gérer les risques identifiés,
5. Choisir et mettre en oeuvre les contrôles.
Préparer un SoA ( "statement of applicability").
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
 Normes ISO 27001, BS 7799-2

• Comme ISO 9000, l’ISO 27001 porte moins sur

l’efficacité des dispositions mises en place, que sur
leur existence, et la mise en place d’une boucle
d’amélioration (PDCA).

• BS 7799 (partie 2) propose des recommandations

afin d’établir un cadre de gestion de la sécurité de
l'information efficace. BS 7799-2 permet d’établir
un système de gestion de sécurité de l’information
(SGSI).

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Approche de gestion (Modèle PDCA)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Approche de gestion (Modèle PDCA)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Approche de gestion (Modèle PDCA)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Approche de gestion (Modèle PDCA)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Approche de gestion (Modèle PDCA)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Complémentarité avec d’autres normes ISO

Code de bonnes pratiques pour la gestion

de la sécurité de l’information
ISO 17799

Produits et systèmes
certifiés pa r ISO
15408(CC)

Guide de gestion de la sécurité

de la technologie de l’information
ISO13335 (GMITS)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Historique
La norme ISO 17799 (partie 2 :2005)
Avril 2007 renommée 27002

Novembre 2005 La norme ISO 17799 (partie 2), ISO 27001

Septembre 2002 Nouvelle version de BS 7799-2

revue et corrigée
2001
Révision de BS 7799-2

Décembre 2000 ISO/IEC 17799:2000

1999 Standards suédois SS 62 77 99 Partie 1 et 2

Nouvelle version de BS 7799 Partie 1 et 2
1998 BS 7799 Partie 2
1995 BS 7799 Partie 1

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Pour qui les normes?

• Les normes BS 7799/ISO 17799, …

peuvent être utilisée par tout
orga nisme ou entreprise. Il suffit
q u’ une orga nisa tion utilise des
systèmes informa tiq ues, à l’ interne ou
à
l’ externe, q u’ elle p ossè d e d es
données c onfid entielles, q u’ elle
dép en de de systèmes
d ’ informa tions d a ns le cadre de ses
a c tivités c om m ercia les ou encore
q u’ elle désire adopter un niveau
élevé d e sé c urité tout en se
conformant à une norme.
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
 Achat en ligne du standard ISO 17799
(% par région)

18 % 23 %
9%

35 %
6%

Autres : 9 %

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Audit et certification BS 7799 / ISO 17799

• Il n’existe pas de certification ISO 17799 pour le

moment.
• Une entreprise peut se conformer à ISO 17799
et ensuite se certifier BS 7799-2 : 2002, ISO
27001.
• Une démarche d’audit peut être appuyée:
– Vérification interne
– Vérification externe (lettre d’opinion)
– Bureau de registraire du BSI (certification officielle)

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Liste d’entreprises certifiés

• Plus de 80 000 entreprises se

c onforment à BS 7799/ISO à
17799 tra vers le m onde d o nt:
• Fujitsu Limited;
• Insight Consulting Limited;
• KPMG ;
• Marconi Secure Systems ;
• Sa msung Ele c tronic s Co
• Ltd ;
• Sony Bank inc. ;
• Symantec Security Services ;
Toshiba IS Corporate
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
 Avantages

• Se conformer aux règles de

gouvernance en matière de gestion
du risque.

• Une meilleure protection de

l’information confidentielle de
l’entreprise ;

• Une réduction des risques d’attaques ;

• Une récupération des opérations plus

rapidement et plus facilement lors
d’attaques ;

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Avantages (suite)

• Une mé thod olog ie de

sé c urité struc turée et
reconnue interna tiona lement ;

• Une confiance mutuelle accrue entre

partenaires ;

• Une diminution potentielle des primes

d’assurance contre les risques
informatiques ;

• Une amélioration des pratiques sur la

vie privée et une conformité aux lois
sur les renseignements personnels.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Méthodologie et cycle d’implantation
Éta pe de la Description
méthodologie
du cycle
d’implanta tio
n de la norme
Initiation du projet •Inciter l’engagement de la haute direction;
• Sélec tionner et former les memb res de l’ éq uip e initiale
d u p rojet.

Définition du SGSI L’identification de la portée et des limites du cadre de

(Systè m e de g e stio n de gestion de la sécurité de l’information est déterminante pour
la sé c urité de la bonne conduite du projet.
l’ info rma tio n)

Évaluation des risques •Identifier et évaluer les menaces et vulnérabilités;

•Calculer une valeur de risque associée;
•Diagnostiquer le niveau de conformité ISO 17799;
•Inventorier et évaluer les actifs à protéger.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Méthodologie et cycle d’implantation (suite)
Étape de la Description
méthodologie
du cycle
d’implantation
de la norme
Traitement de risque Vous comprendrez comment la sélection et l’implantation
des contrôles vous permettront de réduire les risques à
un niveau acceptable pour l’organisation.

Formation et sensibilisation Vos employés peuvent être le maillon faible dans la chaîne
de sécurité de votre organisation.

Préparation à l’audit Apprenez comment valider votre cadre de gestion et ce

qu’il faut faire avant la venue d’un auditeur externe pour la
certification BS 7799-2 ou ISO27000.

Audit Apprenez-en davantage sur les étapes réalisées par les

auditeurs externes et sur les organismes de certification
accrédités BS 7799-2 ou ou ISO27000.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Amélioration continue

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Livrables – ISO 17799

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Obstacles potentiels
• Cra inte, résista nc e
a u c ha ng ement;
• Aug menta tion d es
c oûts;
• Conna issa nc es
ina d éq ua tes p our
l’a p p roc he
sélec tionnée;
• Tâ c he a p p a remment
insurmonta b le.
Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
Fa cteur de succès
• Ressources et personnel
dédiés;
• Expertise externe;
• Bonne c omp réhension d es
fonc tionnements (g estion) et
d es p roc essus (op éra tions)
d e g estion du risq ue;
• Communications fréquentes;
• Sensibilisation des
gestionnaires et des
employés
•
Eng a g ement de la d irec tion
sup érieure;
•
Structure de l’approche.
 Implantation – ISO 17799

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Références

• Documents BSI (www.bsi.org.uk/index.xhtml)

• Information Security Management: An Introduction

(PD3000)
Fournit
une vue
d'ensem
ble du
fonction
Guide to BS7799 Risk Assessment and Risk
• nement
Management
pour la (PD3002)
Décrit les concepts sous-jacents à l'évaluation de
certificat
risque de BS 7799, y compris la terminologie, le
ion
processus d'évaluation et la gestion de risque.
accrédit
ée et
• forme
ISO/IEC Guidelines for the Management of IT Security
une
(GMITS)
préface
utile aux
• Selecting
autres BS7799 Controls (PD3005)
guides.
Déc rit le p ro c essus de sélec tion d es
c om ma nd es a p p ro p riées.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

 Introduction à l’Audit Sécurité

Définition

 L’Audit Sécurité est une mission d'évaluation de

conformité par rapport à une politique de
sécurité ou à défaut par rapport à un ensemble
de règles de sécurité

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

46
 Objectif Principal d’une mission d’Audit
Sécurité

 Répondre aux préoccupations concrètes de

l’entreprise , notamment de ses besoins en

sécurité, en :
 Déterminant les déviations par rapport aux bonnes
pratiques
 Proposant des actions d'améliorations du

niveau de sécurité de l’ infrastructure

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)
informatique 47
 Démarche de réalisation d’une mission d’Audit Sécurité

 Approches d’Audit Sécurité

 Définir les étapes / les phases de la mission d’Audit
 Le Cycle d’Audit

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

48
 Approches d’Audit Sécurité

 Une approche " boîte blanche " :

Un audit plus homogène, l'évaluation possède une caractéristique d'analyse " en

complétude " et les aspects techniques et organisationnels sont traités de

manière uniforme

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

49
  Une approche " boîte noire " :
Un audit avec une vue plus parcellaire, révélant plutôt des lacunes
ciblées à forte orientation technique.

Les " tests d'intrusion " ou " tests intrusifs " font partie de cette
catégorie d'audit.

Dr. Ala eddine BAROUNI ( abarouni@yahoo.com)

50