Audit des Systèmes d’Information

Standards, Normes, Référentiels

et Méthodes d’Audit

Mr. Papa Samour Diop

Email = papasamour.diop@esp.sn
Sommaire
Les Normes et Référentiels d’Audit
• ITIL
• La suite des normes ISO 27000SMSI
• ISACAStandards, guidelines, procédures
– Référentiel COBIT
• Méthodes :
– MEHARI
– EBIOS
– COBIT
– CMMi
– MARION
 Le référentiel ITIL
• ITILInformation Technology Infrastructure Library
• ITIL = collection de livres qui recense, synthétise et
détaille les meilleures pratiques pour le
management du système d’information
• Édictée par L'OGC (Office of Government
Commerce ou Office du Commerce britannique)
• ITILRéférentiel qui aborde les sujets :
– Organisation
– L'efficacité
– La réduction des risques
– La qualité des services informatiques
 ITIL

• Itil v1
– Lancée par le gouvernement britannique en
1980
– 40 livres
• Itil v2
– élaborée entre 1990 et 2004
– 9 livres,
– les 2 livres les plus connus :
• Le soutien des services (Service Support) La
• fourniture des services (Service Delivery)
ITIL v3
Les Normes ISO 27000
 La suite des normes ISO 27000
• Publiés conjointement par :
– L'Organisation Internationale de Normalisation (ISO),
– et la Commission Electrotechnique Internationale (CEI),
• La suite ISO/CEI 27000 contient des recommandations des
meilleures pratiques en management de la sécurité de
l'information
• BUT initialisation, implémentation et maintenance de
systèmes de management de la sécurité de l'information
(SMSI).
• Un Système de management est un système permettant :
– Établir une politique
– Définir des objectifs
– Atteindre ces objectifs
Système de management
Système de management PDCA
ISO 27001 : La phase « Plan » du SMSI
 ISO 27001 : La phase « Do » du SMSI
• Plan de traitement des risques
• Déployer les mesures de sécurite :
• Générer des indicateurs
• Former et sensibiliser le personnel
• Gérer le SMSI au quotidien
• Détection et réaction rapide aux incidents de
sécurité :
 ISO 27001 : La phase « Check » du SMSI
• Moyens de contrôle dont le but est de surveiller en permanence :
– L’efficacité
– Sa conformité par rapport aux spécifications
• 3 outils permettent de répondre à cette exigence :
– Les audits internes
– Le contrôle interne
– Les revues
• Résultats des audits internes
• Retour des parties prenantes
• État des lieux sur les actions en cours
– Préventives
– Correctives
• Menaces mal appréhendées lors de l’appréciation des risques
• Interprétation des indicateurs
• Nouvelles priorités
• Changements survenus dans l’entreprise (réorganisations, fusions, acquisitions)
 ISO 27001 : La phase « Act » du SMSI

• Actions correctives :
– Elles sont entreprises lorsqu’un incident ou un écart a été constaté
– But :
• Agir sur les effets pour corriger
• Puis sur les causes pour éviter qu’il ne se reproduise
• Actions préventives :
– Elles sont lancées lorsqu’on détecte une situation qui risque d’entrainer un
écart ou un incident si rien n’est fait
– Agir sur les causes avant que l’incident ne se reproduise
• Actions d’amélioration :
– Leur but n’est pas de corriger, ni d’éviter
– But
• améliorer la performance d’un processus
• Vérifier que les actions correctives, préventives ou d’amélioration,
une fois appliquées, ont bien permis d’atteindre les objectifs fixés
Standards ISO 27k publiés
Standards ISO 27k en préparation
Méthodes d’audit
Quelques méthodes d’audit
 La Méthode MEHARI
• Méthode destinée à l’audit sécurité des
systèmes d’information
• MEHARI s’articule sur trois plans :
– le plan Stratégique de sécurite
– les plans Opérationnels de Sécurite
– le plan Opérationnel d’Entreprise
 La méthode EBIOS

• La méthode EBIOS :
– Expression des Besoin et Identification des Objectifs de
Sécurité,
– Élaborée par la DCSSI (Direction Centrale de la Sécurité des
Systèmes d’Information devenue ANSSI),
– Largement déployée au sein de l’administration française.
• Méthode destinée à l’audit sécurité des systèmes
d’information
• Elle comprend une base de connaissances qui décrit :
– les types d’entités, les méthodes d’attaques,
– les vulnérabilités,
– les objectifs de sécurité,
– les exigences de sécurité.
 La méthode EBIOS
• Elle propose également un recueil :
– des meilleures pratiques
– schémas directeurs ,
– profils de protection,
– cibles de sécurité,
– SSRS
• (System-specific Security Requirement Statement qui
proviennent de l’OTAN).
• Cette méthode se veut un outil :
– de gestion des risques mais aussi
– de sensibilisation,
– de négociation
– et d’arbitrage.
 La méthode COBIT
• COBIT
– Control Objectives for Information and Technology
– Vient de l’ISACA (Information Systèmes Audit and Control
Association).
• Diffusée en France par l’AFAI :
– Association Française de l’Audit et du Conseil Informatique
– L’AFAI est la branche française de l’ISACA
• CobiT :
– Cadre de référence pour maitriser la gouvernance des SI.
– Fondé sur un ensemble de « bonnes pratiques » collectées auprès
d’experts du SI
– Vise à aider le management à gérer les risques (sécurité, fiabilité,
conformité) et les investissements.
– Pas uniquement dédiée à la sécurité des SI : méthode généraliste
 La méthode Cobit
• Ce référentiel décompose n’importe quel
environnement en 34 processus répartis
suivant 4 domaines fonctionnels (de
management) :
– Planifier et organiser (10 processus) :
– Acquérir et implémenter (7 processus) :
– Délivrer et supporter (13 processus) :
– Surveiller et évaluer (4 processus) :
La méthode Cobit
 La méthode Cobit
• Améliorer l’information selon les 7 critères suivants :
– L'efficacité
– L'efficience
– La confidentialité
– L'intégrité
– La disponibilité
– La conformité
– La fiabilité
Pour atteindre ses objectifs, le SI dispose des 5 ressources suivantes :
– Les compétences,
– Les applications,
– Les technologies,
– Le « facility management » :
• gestion des actifs,
• des installations,
• des Data Center,
– Les données.
 La méthode Cobit
• CobiT propose un modèle de maturité pour
chaque processus afin de le situer par rapport
aux meilleures pratiques du marché
• Le modèle comprend 6 niveaux (0 à 5) :
– 0. Inexistant
– 1. Initial
– 2. Répétitif
– 3. Défini
– 4. Géré et mesurable
– 5. Optimisé
 La méthode Cobit
COBIT
– méthodologie d’évaluation des services
informatiques au sein de l’entreprise.
– démarche qui s'appuie sur un référentiel de
bonnes pratiques, des indicateurs d'objectifs
(KGI) et de performance (KPI)
– BUT :
• permettre de mettre les processus sous contrôle afin
de disposer des données permettant à l'entreprise
d'atteindre ses objectifs
– Alignement des technologies sur la stratégie de
l’entreprise.
Cobit : démarche d’audit
 Exemple d’application de la Méthode
CobiT :
DS5  Assurer la Sécurité des Systèmes
Cobit : DS5, assurer la sécurité des systèmes
Objectifs et métriques (DS5)