Audit des Systèmes d’Information

L’audit technique informatique

Mr. Papa Samour Diop

Email = papasamour.diop@esp.sn
Sommaire
Démarche d'audit informatique
Démarche d'audit basée sur les risques
Typologies d’audits informatiques
 Audit de la fonction informatique
• Bonnes pratiques en matière d'organisation de la
fonction informatique :
– clarté des structures et des responsabilités de
l'équipe informatique
– définition des relations entre la direction générale,
les directions fonctionnelles et opérationnelles et la
fonction informatique
– l'existence de dispositifs de mesures de l'activité et
notamment d'un tableau de bord de la fonction
informatique
– le niveau des compétences et des qualifications du
personnel de la fonction
Audit de la fonction informatique
• Objectifs de contrôle :
– l'existence d'un comité de pilotage de
l'informatique
– politiques, de normes et de procédures
– la définition des responsabilités
– coûts informatiques,
– évaluation périodique des risques,
– mesure de l'impact de l'informatique sur les
performances de l'entreprise
 Audit de l'exploitation
• Bonnes pratiques :
– la clarté de l'organisation de la fonction notamment
le découpage en équipes, la définition des
responsabilités,
– l'existence d'un système d'information dédié à
l'exploitation :
• Identification des actifs et des ressources
• la gestion des ressources,
• la planification des travaux,
• les procédures d'exploitation,
• la gestion des incidents, ...
– la mesure de l'efficacité et de la qualité des services
fournies par l'exploitation informatique
 Audit de l'exploitation
• dentification des actifs et des ressources:
– Identification du périmètre d’audit.
– Identification de tout système en relation directe ou
indirecte avec ce périmètre.
• Au cours de cette phase, l’auditeur devra avoir à sa
disposition tout type d’information en relation avec
le système d’information :
– Documents descriptifs ou documents de configuration
– Interview avec des responsables sur les systèmes à
auditer
– Anciens rapports d’audit
– Accès sur les systèmes pour lancer des collectes
automatiques
 Audit de l'exploitation
• Objectifs de contrôle :
– la qualité de la planification de la production
– la gestion des ressources
– le suivi des performances,...
– la gestion des incidents
– plan de secours,
– la maîtrise des coûts de production
 Audit de la sécurité informatique
• But  assurance raisonnable du niveau de risque
• Risques liés aux :
– Menaces significatives concernant les biens matériels et
immatériels de l’entreprise,
– Vulnérabilités
– Incidents :
• Physiques : incendie, inondation
• destruction des données, détournement de trafic,..
• Manques de maîtrise et de gestion du risque :
– contrôle d'accès insuffisant ou inapproprié
– l'authentification des utilisateurs : inexistant,
inefficace ,...
 Audit de la sécurité informatique

• Préventif :
– Périodique
– Validation de nouvelles mesures/installations,..
• Induit :
– Suite á des incidents internes alarmants.
– En réponse à des Plaintes/suspicion d’attaques depuis votre site
• Nécessité :
– Obligations réglementaires
– Recherche de Certification (PCI/DSS, ISO 27001, Basel II, ).
• Porté :
– Toute l‘Organisation
– Exceptionnellement et en cas de contraintes (contraintes
budgétaires, urgence) : Entités et applications sensibles
 Audit de la sécurité informatique
• Attendus de l’audit Sécurité SI :
– Identification des vulnérabilités & Évaluation
de leurs risques
– Mise á jour (/au point) de la Politique de
sécurité
– Mise á jour(/au point) du plan d’action de la
sécurité
– Sensibilisation du personnel et formation des
gestionnaires
 Audit de la sécurité informatique
• Objectifs courants de contrôle :
– Inventaire exhaustif des actifs informationnels
de l'entreprise ,
– Identification des risques,
– Évaluation des menaces :
• mesurer les impacts :
– cartographie des risques associés au système
d'information
– scénarios d‘occurrence et d'évaluation des points de
vulnérabilité
• définir les parades :
– Contrôles d'accès,
– Chiffrement des données,
– Plans de secours,...
Problèmes de sécurité et audits associés
 Sécurité physique
• Rôle de l’auditeur :
– Contrôler l’existence des moyens de protection
d’accès aux salles machines
– Contrôler l’existence de règles de sécurité (établies
par le service sécurité de l’entreprise)
– Vérifier la bonne application de ces règles Contrôler
le respect des normes de ventilation et de
– climatisation préconisées par les constructeurs
– Vérifier l’existence et l’efficacité des plans PCA, PRA :
• PCA Plan de continuité d’activité
• PRA Plan de reprise d’activité
 Sécurité réseaux
• Rôle de l’auditeur :
– S’assurer de la sécurité des échanges effectués sur
le réseau
– Gérer et contrôler les accès aux commutateurs et
routeurs
– Vérification de l’intégrité des messages
– Contrôler et analyser les journaux et traces
réseaux
– S’assurer du bon état des équipements, de leurs
supports et de leurs contrats de maintenance
– S’assurer de l’existence des procédures de
sauvegarde, de vérification et de surveillance des
matériels et configurations du réseau
 Sécurité réseaux
• Rôle de l’auditeur :
– Surveiller la transmission :
• Les collisions, les retransmissions
• Vérifier les circuits physiques
• L’état physique des lignes
– Contrôler la cohérence de l’architecture réseau
• Vérifier les problèmes d’adressage
• Contrôler les tables de routage
• Vérification les charges
– Nombre d’utilisateurs
– Statistiques protocolaires
– S’assurer de la cohérence des tailles de paquets
Outils d’audit
 Outils d’audit

• La formation
• Les techniques de réunion
• Le questionnaire
• Les interviews
• Les techniques d’échantillonnage
• Les techniques d’évaluation
• Les outils logiciels
 La formation
• L’auditeur doit :
– Se former régulièrement et se remettre à
niveau :
– Se former aux outils techniques auprès des
constructeurs adéquats
– Échanger et bénéficier des retours
d’expériences avec les autres auditeurs
 Les techniques de réunion
• Une réunion demande une préparation
sérieuse et comporte deux phases :
– Phase préparatoire :
• Convocation, sujets, champ d’étude, objectifs
• Plan de réunion, lieu, liste des participants
– Déroulement proprement dit :
• Présentation des participants,
• Rappel des objectifs
• Désigner un animateur
• Désigner un rapporteur =>rédaction compte rendu
 Le questionnaire
• Moins contraignant
• Moins d’appréhension :
– Interlocuteur invisible, peut être anonyme
• Inconvénients de cette technique :
– Absence de réponse pour certaines questions
– Les fournisseurs de réponse maximisent leurs points forts et
minimisent leurs points faibles
– Questionnaire non exploitable :
• Retour hors délai,
• Réponses hors sujet
• Non-retour du questionnaire
• Conduite de l’interview :
– Préparation minitieuse
– Questions précises, claires ouvertes et sans ambiguïté
– Taille des questionnaires : questions ni trop courtes, ni trop
longues
 Les interviews
• Privilégier les interviews individuelles
• L’interview permet de collecter des informations et
comporte deux phases :
– Préparation d’une liste de thèmes :
• Check-list
• Choix de l’interlocuteur du service audité
• Établissement des questionnaires
– Conduite de l’interview :
• Tact et souplesse
• Mettre à l’aise la personne interviewée
• Rappeler les objectifs de l’entretien
• Faire attention aux inconvénients de cette technique :
– Nombre d’interviews nécessaires
– Difficulté de prise de rendez-vous
– Nécessite parfois de nombreux déplacements
 Les techniques d’évaluation
• Revue technique:
– documentation, journaux, l'examen de la
configuration du système, le sniff du réseau et de
vérification de l'intégrité des fichiers:
• Identification de la cible et techniques d'analyse:
– la découverte du réseau, l'identification des ports et
services réseaux, scan de vulnérabilité, scan sans fil, et
un examen de la sécurité des applications
• Techniques de validation des vulnérabilités
– crack de mot de passe, des tests de pénétration,
l'ingénierie sociale, et les tests de sécurité des
applications
La revue technique
 La revue technique

• Revue des règles de sécurité

– Une règle de filtrage temporaire doit être supprimé dès la
fin de son utilité
– Uniquement le trafic autorisé par les règles de filtrage a le
droit de passer (Politique restrictive  tout bloquer par
défaut)
– Règle de moindre privilège
– Les ports non-nécessaires doivent être désactivés
• Revue de la configuration des systèmes
– Systèmes non-endurcis
– Systèmes non-confirmes à la politique de sécurité
– Cette revue doit dégager : Les services et applications non-
nécessaires, Paramètres de compte incorrects,
Journalisation et back-up incorrect
 La revue technique
• Sniff du trafic réseau:
• Le sniff de trafic est utilisé pour :
– Capture et rejoue de trafic réseau,
– Lancer une exploration passive du réseau,
– Identifier les systèmes d’exploitation, services, applications, et
protocoles,
– Identifier les activités non-autorisées et inappropriées (Exp:
Données sensible non-cryptées),
– Collecte de données comme les login et mot de passes
– L’opération de sniff doit pouvoir accéder au réseau via un hub ou
un switch ayant un port qui peut être déployé au niveau de
l’extrémité du réseau, derrière le firewall, derrière un IDS/IPS,
devant un système critique, ou dans un segment réseau spécifique
• Vérification de l’intégrité des fichiers:
 Les outils logiciels

• Les outils logiciels utilisés vont dépendre de la cible auditée

• Pour auditer la sécurité des réseaux :
– Scanneurs de ports réseaux (nmap)
– Outils de capture du trafic réseau (sniffers)
– Outils d’analyse et corrélation de logs
– Outils de détection et de prévention d’intrusion
– Scanneurs de vulnérabilités (IBM ISS scanner, Nessus vulnerability scanner)
– Outils spécifiques (crackers de mots de passe, audit de site web, audit d’applications, etc )
 Différences entre
« Vulnerabilities Assessment », «
Pentesting »,
& « Audit »
 Vulnerability Assessment (VA)
• Vulnerability Assessment (VA):
– L’auditeur n’a qu’à scanner le système cible à la
recherche de vulnérabilités. Et par la suite
quantifier et donner des priorités pour chaque
vulnérabilité découverte
– VA peut être caractérisée par :
• Les tests de VA peuvent être réalisés depuis l’intérieur
ou l’extérieur du réseau.
• Pas d’exploitation de vulnérabilités.
• Pas d’attaques dangereuses tels que DOS qui peuvent
perturber le système cible.
• Utilisation des outils de scan automatiques tels que
Nessus, Retina, GFI Languard, etc
 Penetration Testing (PT)
Pentesting ou Penetration Testing (PT) :
• L’auditeur ne se limite pas aux scans de vulnérabilités mais il doit
exploiter les vulnérabilités découvertes afin de gagner l’accès sur le
système cible.
• PT peut être caractérisé par:
– Les tests de PT peuvent être réalisés depuis l’intérieur ou l’extérieur du réseau.
– Les vulnérabilités doivent être exploités
– Les attaques dangereux tels que DOS peuvent être réalisées
– Utilisation des outils de scan automatiques ainsi que les outils d’exploits tels que
Metasploit
 Audit
• Audit :
– L’auditeur suit une méthodologie d’audit
– L’auditeur se réfère à des normes de sécurité tels que ISO
27001, Iso 17799, BS 7799, etc.
– L’auditeur commence généralement par une étude de
l’existant afin de détecter les failles d’ordre physique et
organisationnel.
– L’auditeur doit réaliser des scans sur les différents
équipements et applications qui se trouvent inclus dans le
périmètre d’audit afin d’identifier les vulnérabilités
présentes sur chaque ressource de l’entreprise auditée
– L’auditeur passe ensuite à quantifier et donner des priorités
pour chaque vulnérabilité découverte ainsi qu’une analyse
des risques  classification des vulnérabilités.
– L’auditeur rédige un rapport de recommandation ou PLAN
D’ACTION
 Différence entre « Vulnerabilities
Assessment », « Pentesting » & Audit
En Pratique
 L’audit des systèmes
Rôle de l’auditeur :
• Analyser toutes les composantes des postes clients et
serveurs afin de déterminer si leurs capacités sont
suffisantes pour l’utilisation et les besoins des utilisateurs.
• Plus précisément, il s’agit d’examiner les aspects suivants:
– Configuration système : vérifier les services, les comptes, les
applications, les partages, etc. qui sont actives sur chaque
équipement. Il convient par la suite de les comparer par
rapport aux besoins normaux de travail des utilisateurs.
– Mises à jour
– Robustesse des mots de passes
– Applications installés, Licences, Protection (antivirus, anti-
spyware)
– Périphériques locaux (imprimantes, scanners, etc.)
– Problèmes soulignés par les utilisateurs
 L’audit des systèmes
• Rôle de l’auditeur :
– Détecter les systèmes d’exploitation ainsi que leurs
versions pour les serveurs et les postes connectés
au réseau.
– Détecter les services (ports) ouverts sur chaque
machine.
• nmap, Knocker,
– Ca peut être réaliseé à distance ou en local.
• Audit à distance : GFI languard, Retina, nmap, nessus,
• Audit local : MBSA, manuel
– Des check-lists de best practices de configuration
peuvent être utilisés manuellement ou à travers des
scanners automatiques ayant accès aux systèmes
 L’audit de l’architecture réseau
• Rôle de l’auditeur :
– Cela permet de dévoiler les caractéristiques techniques (réseau câblé, wireless, PABX, etc.) et
architecturales du réseau.
– L’auditeur doit dégager les écarts entre l’architecture réelle et celle décrite lors des entretiens
(interviews) ou dans la documentation fournie ainsi que les défaillances d’ordre
architecturales et conceptuels du réseau
– Plusieurs points sont à vérifier :
• Analyse fonctionnelle :
• Plan d’adressage
L’audit de l’architecture réseau
 L’audit de l’architecture réseau
• Rôle de l’auditeur :
– Routeurs/Switchs/Hubs
– DMZs
– Etude des Points frontaux
– Matrice de flux
L’audit de l’architecture réseau
L’audit de l’architecture réseau