Académique Documents
Professionnel Documents
Culture Documents
• Préventif :
– Périodique
– Validation de nouvelles mesures/installations,..
• Induit :
– Suite á des incidents internes alarmants.
– En réponse à des Plaintes/suspicion d’attaques depuis votre site
• Nécessité :
– Obligations réglementaires
– Recherche de Certification (PCI/DSS, ISO 27001, Basel II, ).
• Porté :
– Toute l‘Organisation
– Exceptionnellement et en cas de contraintes (contraintes
budgétaires, urgence) : Entités et applications sensibles
Audit de la sécurité informatique
• Attendus de l’audit Sécurité SI :
– Identification des vulnérabilités & Évaluation
de leurs risques
– Mise á jour (/au point) de la Politique de
sécurité
– Mise á jour(/au point) du plan d’action de la
sécurité
– Sensibilisation du personnel et formation des
gestionnaires
Audit de la sécurité informatique
• Objectifs courants de contrôle :
– Inventaire exhaustif des actifs informationnels
de l'entreprise ,
– Identification des risques,
– Évaluation des menaces :
• mesurer les impacts :
– cartographie des risques associés au système
d'information
– scénarios d‘occurrence et d'évaluation des points de
vulnérabilité
• définir les parades :
– Contrôles d'accès,
– Chiffrement des données,
– Plans de secours,...
Problèmes de sécurité et audits associés
Sécurité physique
• Rôle de l’auditeur :
– Contrôler l’existence des moyens de protection
d’accès aux salles machines
– Contrôler l’existence de règles de sécurité (établies
par le service sécurité de l’entreprise)
– Vérifier la bonne application de ces règles Contrôler
le respect des normes de ventilation et de
– climatisation préconisées par les constructeurs
– Vérifier l’existence et l’efficacité des plans PCA, PRA :
• PCA Plan de continuité d’activité
• PRA Plan de reprise d’activité
Sécurité réseaux
• Rôle de l’auditeur :
– S’assurer de la sécurité des échanges effectués sur
le réseau
– Gérer et contrôler les accès aux commutateurs et
routeurs
– Vérification de l’intégrité des messages
– Contrôler et analyser les journaux et traces
réseaux
– S’assurer du bon état des équipements, de leurs
supports et de leurs contrats de maintenance
– S’assurer de l’existence des procédures de
sauvegarde, de vérification et de surveillance des
matériels et configurations du réseau
Sécurité réseaux
• Rôle de l’auditeur :
– Surveiller la transmission :
• Les collisions, les retransmissions
• Vérifier les circuits physiques
• L’état physique des lignes
– Contrôler la cohérence de l’architecture réseau
• Vérifier les problèmes d’adressage
• Contrôler les tables de routage
• Vérification les charges
– Nombre d’utilisateurs
– Statistiques protocolaires
– S’assurer de la cohérence des tailles de paquets
Outils d’audit
Outils d’audit
• La formation
• Les techniques de réunion
• Le questionnaire
• Les interviews
• Les techniques d’échantillonnage
• Les techniques d’évaluation
• Les outils logiciels
La formation
• L’auditeur doit :
– Se former régulièrement et se remettre à
niveau :
– Se former aux outils techniques auprès des
constructeurs adéquats
– Échanger et bénéficier des retours
d’expériences avec les autres auditeurs
Les techniques de réunion
• Une réunion demande une préparation
sérieuse et comporte deux phases :
– Phase préparatoire :
• Convocation, sujets, champ d’étude, objectifs
• Plan de réunion, lieu, liste des participants
– Déroulement proprement dit :
• Présentation des participants,
• Rappel des objectifs
• Désigner un animateur
• Désigner un rapporteur =>rédaction compte rendu
Le questionnaire
• Moins contraignant
• Moins d’appréhension :
– Interlocuteur invisible, peut être anonyme
• Inconvénients de cette technique :
– Absence de réponse pour certaines questions
– Les fournisseurs de réponse maximisent leurs points forts et
minimisent leurs points faibles
– Questionnaire non exploitable :
• Retour hors délai,
• Réponses hors sujet
• Non-retour du questionnaire
• Conduite de l’interview :
– Préparation minitieuse
– Questions précises, claires ouvertes et sans ambiguïté
– Taille des questionnaires : questions ni trop courtes, ni trop
longues
Les interviews
• Privilégier les interviews individuelles
• L’interview permet de collecter des informations et
comporte deux phases :
– Préparation d’une liste de thèmes :
• Check-list
• Choix de l’interlocuteur du service audité
• Établissement des questionnaires
– Conduite de l’interview :
• Tact et souplesse
• Mettre à l’aise la personne interviewée
• Rappeler les objectifs de l’entretien
• Faire attention aux inconvénients de cette technique :
– Nombre d’interviews nécessaires
– Difficulté de prise de rendez-vous
– Nécessite parfois de nombreux déplacements
Les techniques d’évaluation
• Revue technique:
– documentation, journaux, l'examen de la
configuration du système, le sniff du réseau et de
vérification de l'intégrité des fichiers:
• Identification de la cible et techniques d'analyse:
– la découverte du réseau, l'identification des ports et
services réseaux, scan de vulnérabilité, scan sans fil, et
un examen de la sécurité des applications
• Techniques de validation des vulnérabilités
– crack de mot de passe, des tests de pénétration,
l'ingénierie sociale, et les tests de sécurité des
applications
La revue technique
La revue technique