Sécurité

Informatique -
ISO 27001
Chapitre 5 : Amélioration de l’efficacité
de l’audit et gestion des non-conformités
Objectifs

+ Comprendre les techniques pour rendre l'audit plus efficient et

productif.
+ Apprendre à gérer efficacement les non-conformités identifiées
lors de l'audit de sécurité informatique.

2
Sommaire

+ Optimisation de l’audit
+ Gestion des non-conformités
+ Utilisation des indicateurs de performance clés (KPI)
+ Méthodologie d’optimisation de l’audit
+ Méthodes avancées d’identification des vulnérabilités

3
Part 1: Optimisation de l’audit

+ Techniques pour rendre l’audit plus efficient : utilisation de

checklists, automatisation des tâches répétitives, etc.
+ Intégration de l’audit de sécurité dans les processus de gestion de
projet de l’entreprise.
+ Approches pour accélérer l’identification des vulnérabilités sans
compromettre la qualité de l’audit.

4
Techniques pour rendre l’audit plus efficient
+ Utilisation de checklists :
Créer des checklists détaillées pour chaque étape de l'audit.

Faciliter la vérification des éléments essentiels sans oublier de points importants.

Accélérer le processus d'évaluation grâce à une approche méthodique.

+ Automatisation des tâches répétitives :

Identifier les tâches répétitives dans le processus d'audit.

Automatiser les étapes telles que la collecte de données, l'analyse des journaux,
etc.

Gagner du temps et réduire les erreurs humaines.

+ Intégration dans les processus de gestion de projet :

Aligner l'audit de sécurité avec les processus de gestion de projet existants.

Intégrer les activités d'audit dans le calendrier global de l'entreprise.

Assurer une collaboration fluide avec d'autres projets en cours.

+ Approches agiles :
Adopter des méthodes agiles pour planifier et exécuter l'audit.

Travailler par itérations pour une adaptation continue aux changements.

Faciliter la communication et la collaboration au sein de l'équipe d'audit.

5
Techniques pour rendre l’audit plus efficient
+ Utilisation de technologies de collaboration :
Miser sur des outils de collaboration en ligne pour une communication
efficace.

Partager des documents, des rapports et des mises à jour en temps réel.

Favoriser la collaboration à distance si nécessaire.

+ Formation continue de l’équipe d’audit :

Assurer une formation régulière sur les nouvelles technologies, les
méthodologies d'audit, et les menaces émergentes.

Maintenir les compétences de l'équipe à jour pour une meilleure efficacité

opérationnelle.

+ Utilisation d’outils numériques pour la gestion de

l’audit :
Explorer des solutions logicielles dédiées à la gestion des audits.

Suivre l'avancement, attribuer des tâches, et générer des rapports

automatisés.

Simplifier la coordination entre les membres de l'équipe.

+ Feedback continu et amélioration continue :

Encourager les membres de l'équipe à fournir des retours sur le processus
d'audit.

Identifier les zones d'amélioration et mettre en place des ajustements.

6
Cultiver une culture d'amélioration continue.
Intégration de l’audit de sécurité dans les processus de
gestion de projet de l’entreprise.
+ Elaboration d’une matrice de risques stratégiques :
Créez une matrice qui associe les risques de sécurité informatique aux objectifs
stratégiques de l'entreprise.
Identifiez les zones où des compromis de sécurité pourraient avoir un impact significatif
sur la réalisation des objectifs.
+ Planification d’audit basée sur les priorités stratégiques :
Utilisez la matrice de risques stratégiques pour déterminer les priorités d'audit.
Planifiez les audits en mettant l'accent sur les domaines qui sont critiques pour les objectifs
de l'entreprise.

7
Intégration de l’audit de sécurité dans les processus de
gestion de projet de l’entreprise.
+ Développements de KPIs alignés sur les objectifs :
Définissez des KPI de sécurité qui sont alignés sur les objectifs stratégiques.
Utilisez ces KPI pour évaluer l'efficacité des contrôles de sécurité en relation avec la
réalisation des objectifs.
+ Personnalisation des scénarios d’audit :
Adaptez les scénarios d'audit pour refléter les situations réalistes qui pourraient affecter la
réalisation des objectifs.
Intégrez des simulations d'attaques ou de scénarios de menace spécifiques à l'industrie.

8
Approches pour accélérer l’identification des vulnérabilités
sans compromettre la qualité de l’audit.

+ Automatiser le balayage de vulnérabilités

+ Utiliser le machine learning
+ Analyser les logs par l’IA
+ Utilisation de services de Threat Intelligence

9
Part 2: Gestion des non-conformités

+ Processus de gestion des non-conformités : Identification,

enregistrement, évaluation de l'Impact.
+ Méthodes de correction des non-conformités : Mesures
Immédiates, corrections à Long Terme.

10
Processus de gestion des non-conformités.
+ Identification des non-conformités :
La première étape consiste à identifier toute non-conformité par rapport aux politiques, aux
procédures, ou aux exigences de la norme ISO 27001. Cela peut résulter d'audits, de tests de
sécurité, d'incidents de sécurité, ou d'autres mécanismes de surveillance.
+ Enregistrement des non-conformités :
Une fois identifiées, les non-conformités doivent être enregistrées de manière systématique. Cela
implique de documenter les détails spécifiques de la non-conformité, y compris la nature du
problème, l'emplacement, les parties impliquées, la date de découverte, etc.
+ Évaluation de l’impact :
Chaque non-conformité doit être évaluée pour comprendre son impact potentiel sur la sécurité
de l'information et les opérations de l'entreprise. Cette évaluation peut inclure la détermination
de la criticité, des conséquences potentielles, et de la probabilité de récurrence.

11
Processus de gestion des non-conformités.
+ Classification des non-conformités :
Les non-conformités peuvent être classées en fonction de leur gravité, de la criticité des
informations affectées, ou d'autres critères pertinents. Cela permet de hiérarchiser les actions
correctives en fonction de l'importance relative des non-conformités.
+ Assignation de responsabilités :
Chaque non-conformité identifiée doit être attribuée à une personne ou à une équipe responsable
de sa résolution. Cela garantit une responsabilité claire et un suivi approprié pour s'assurer que
des mesures correctives sont mises en œuvre.
+ Développement de plans correctifs :
Sur la base de l'évaluation de l'impact, des plans correctifs doivent être élaborés. Ces plans
détaillent les actions spécifiques nécessaires pour remédier à la non-conformité, en minimisant
les risques associés.

12
Processus de gestion des non-conformités.
+ Vérification de l'Efficacité des actions correctives :
Une fois les actions correctives implémentées, il est crucial de vérifier leur efficacité. Cela peut
inclure des tests de sécurité, des audits supplémentaires, ou d'autres mécanismes de vérification
pour s'assurer que la non-conformité a été correctement adressée.
+ Suivi et rapports :
Tout au long du processus, un suivi continu est essentiel. Des rapports réguliers peuvent être
générés pour fournir une visibilité aux parties prenantes sur l'état des non-conformités, des
actions correctives en cours, et de l'efficacité globale du processus.

13
Méthodes de correction des non-conformités
+ Mesures immédiates :
Isolation et Containment : Si la non-conformité présente un risque immédiat, des mesures de
confinement peuvent être mises en place pour minimiser l'impact. Par exemple, si une
vulnérabilité critique est identifiée, isoler la partie affectée du réseau peut réduire les risques.
Patchs d’urgence : Si la non-conformité est liée à des failles de sécurité logicielle connues,
l'application immédiate de correctifs ou de mises à jour peut réduire le risque. Cela inclut souvent
l'installation rapide de correctifs de sécurité.
+ Corrections à long terme :
Analyse des causes profondes : Il est essentiel de comprendre les causes profondes de la non-
conformité pour éviter qu'elle ne se reproduise. Une analyse approfondie peut identifier les
facteurs sous-jacents tels que des lacunes dans les processus, des erreurs humaines, ou des
problèmes structurels.
Restructuration des processus : Si la non-conformité est liée à des lacunes dans les processus,
une refonte des procédures peut être nécessaire. Cela peut impliquer une révision des politiques
de sécurité, des processus opérationnels, ou des protocoles de gestion des incidents.

14
Méthodes de correction des non-conformités
+ Corrections à long terme :
Formation et sensibilisation : Les erreurs humaines sont souvent à l'origine de non-
conformités. Une formation continue et une sensibilisation accrue peuvent contribuer à
améliorer la conformité en renforçant les connaissances et les comportements des
employés.
Mise en Place de contrôles supplémentaires : Identifier les lacunes dans les contrôles
existants et mettre en place des mesures de sécurité supplémentaires peut renforcer la
posture globale de sécurité. Cela peut inclure l'ajout de contrôles techniques,
organisationnels, ou physiques.
Révisions régulières : La mise en place d'un processus de revue régulière des non-
conformités permet d'ajuster continuellement les procédures et les contrôles en fonction
des évolutions du paysage de la sécurité informatique.

15
Part 3: Utilisation des indicateurs de performance clés (KPI)

+ Introduction aux KPI de sécurité informatique : taux de

conformité, temps moyen de résolution, taux de récidive, etc.
+ Suivi des KPI pour évaluer l’efficacité des mesures Correctives et
des actions préventives.
+ Utilisation des KPI pour communiquer l’efficacité de la gestion de
la sécurité aux parties prenantes.

16
Introduction aux KPI de sécurité informatique
+ Taux de conformité : Pourcentage d'éléments audités conformes aux normes et politiques de
sécurité établies.
Importance : Mesure la conformité aux normes de sécurité définies, offrant une indication de la robustesse des contrôles en
place.
+ Temps moyen de résolution (MTTR - Mean Time to Resolve) : La durée moyenne nécessaire
pour résoudre un problème de sécurité après son identification.
Importance : Mesure l'efficacité de la réponse aux incidents et l'aptitude à minimiser l'impact des incidents de sécurité.
+ Taux de récidive : Pourcentage d'incidents de sécurité qui se reproduisent après avoir été traités.
Importance : Identifie la persistance des problèmes de sécurité, soulignant la nécessité d'améliorations continues pour prévenir
les récidives.
+ Taux d'Incidents détectés internement (Internal Incident Detection Rate) : Pourcentage
d'incidents de sécurité détectés par des moyens internes par rapport à ceux découverts par des
sources externes.
Importance : Mesure l'efficacité des mécanismes de détection internes, contribuant à une réponse proactive.
+ Taux de faux positifs : Pourcentage d'alertes ou de notifications initiales signalant une menace
qui, après investigation, s'avèrent être des faux positifs.
Importance : Évalue la précision des systèmes de détection, minimisant le temps perdu sur de fausses alertes.

17
Introduction aux KPI de sécurité informatique
+ Taux d’adoption des bonnes pratiques de sécurité : Pourcentage
d'employés ou de départements adoptant et suivant les bonnes pratiques de
sécurité définies.
Importance : Mesure l'efficacité des programmes de sensibilisation et de formation à la sécurité.
+ Temps moyen de détection (MTTD - Mean Time to Detect) : La durée
moyenne nécessaire pour détecter un incident de sécurité après qu'il a eu
lieu.
Importance : Évalue la rapidité avec laquelle l'organisation peut identifier une menace potentielle.
+ Niveau de satisfaction des utilisateurs en matière de sécurité : Mesure
du degré de satisfaction des utilisateurs par rapport aux mesures de sécurité
mises en place.
Importance : Indique la perception des utilisateurs vis-à-vis de la sécurité, ce qui peut affecter leur
conformité aux politiques.

18
Suivi des KPI pour évaluer l’efficacité des mesures
correctives et des actions préventives.
+ Identification des tendances : En suivant les KPI au fil du temps, il est possible
d'identifier des tendances émergentes. Par exemple, une baisse constante du taux de faux
positifs peut indiquer une amélioration de la précision des systèmes de détection.
+ Mesure de la conformité : Les KPI liés à la conformité, tels que le taux de conformité,
peuvent indiquer l'efficacité des mesures mises en œuvre pour garantir le respect des
politiques et des normes de sécurité.
+ Évaluation du temps de résolution : En analysant le MTTR (Mean Time to Resolve), on
peut mesurer l'efficacité des équipes de réponse aux incidents. Un MTTR réduit indique
une capacité à résoudre rapidement les problèmes de sécurité.
+ Analyse des récidives : Le taux de récidive est un indicateur clé pour évaluer si les
actions correctives ont réussi à prévenir la répétition des incidents de sécurité. Une
diminution de ce taux suggère une amélioration des contrôles.

19
Suivi des KPI pour évaluer l’efficacité des mesures
correctives et des actions préventives.
+ Suivi des mesures préventives : Les KPI liés aux mesures préventives, tels que le taux
d'adoption des bonnes pratiques de sécurité, permettent d'évaluer la sensibilisation et la
conformité des utilisateurs.
+ Mesure de la satisfaction des utilisateurs : Un KPI spécifique peut être utilisé pour
évaluer le niveau de satisfaction des utilisateurs en matière de sécurité. Une amélioration de
ce KPI peut indiquer une meilleure acceptation des politiques de sécurité par les utilisateurs.
+ Évaluation de l’impact sur la détectabilité : Le MTTD (Mean Time to Detect) est crucial
pour mesurer l'efficacité de la détection des incidents. Une réduction de ce temps indique
une amélioration de la capacité à identifier rapidement les menaces.
+ Analyse de l’effet cumulatif : En agrégeant plusieurs KPI, il est possible d'obtenir une
vision holistique de l'impact cumulatif des mesures correctives et préventives sur la sécurité
globale de l'entreprise.

20
D’autres KPI
+ Taux de détectabilité : Mesure du pourcentage d'incidents de sécurité détectés par
rapport au total des incidents. Un taux élevé indique une capacité efficace à repérer les
anomalies.
+ Taux de faux négatifs : Pourcentage d'incidents réels qui ne sont pas détectés par les
systèmes de sécurité. Une diminution de ce taux indique une amélioration de la capacité
à détecter toutes les menaces.
+ Taux de réponse aux incidents : Mesure du temps nécessaire pour réagir à un incident
de sécurité depuis sa détection. Un taux bas indique une réponse rapide et efficace.
+ Nombre d’incidents par type : Classification des incidents de sécurité par type
(malwares, phishing, accès non autorisés, etc.) pour identifier les tendances et les
priorités d'amélioration.
+ Taux d’utilisation d’outils de sécurité : Pourcentage d'utilisateurs ou de systèmes
utilisant activement les outils de sécurité mis à disposition.

21
D’autres KPI
+ Temps d’arrêt dû à des incidents de sécurité : Mesure de la durée pendant
laquelle les opérations normales sont interrompues en raison d'incidents de sécurité.
+ Taux de mise en oeuvre des recos : Pourcentage des recommandations d'audit
mises en œuvre dans les délais prévus.
+ Indice de maturité de la sécurité : Évaluation globale de la maturité de la sécurité
de l'entreprise, basée sur des critères spécifiques.
+ Nombre de vulnérabilités résolues : Suivi du nombre de vulnérabilités identifiées
et résolues dans un laps de temps donné.
+ Taux d’utilisation des mécanismes d’authentification forte : Pourcentage
d'utilisateurs ou de systèmes utilisant des méthodes d'authentification forte.
+ Taux de formation continue : Mesure de la participation et de l'achèvement des
programmes de formation continue en sécurité.

22
Utilisation des KPI pour communiquer l’efficacité de la
gestion de la sécurité aux parties prenantes.
+ Choisissez les KPI pertinents : Sélectionnez les KPI qui sont pertinents pour les
préoccupations et les objectifs spécifiques des parties prenantes. Trop d'indicateurs peuvent
diluer le message.
+ Utilisez des tableaux de bord visuels : Créez des tableaux de bord visuels clairs et
compréhensibles. Les graphiques, les diagrammes en barres, et les camemberts peuvent rendre
les données plus accessibles.
+ Contextualisez les données : Expliquez le contexte autour des KPI pour aider les parties
prenantes à comprendre l'importance de chaque indicateur. Par exemple, expliquez pourquoi
une baisse du taux de faux positifs est une amélioration significative.
+ Utilisez des tendances : Présentez les données sur une période donnée pour montrer les
tendances. Cela peut aider à mettre en évidence les améliorations ou les problèmes persistants.
+ Évitez les jargons techniques : Adaptez votre langage pour votre audience. Évitez les termes
techniques complexes et utilisez un langage accessible à un public non technique.

23
Utilisation des KPI pour communiquer l’efficacité de la
gestion de la sécurité aux parties prenantes.
+ Mettez en évidence les réalisations : Soulignez les succès et les réalisations en lien avec les KPI.
Cela renforce la confiance des parties prenantes dans l'efficacité des mesures de sécurité.
+ Établissez des comparaisons : Comparez les performances actuelles avec des périodes antérieures
ou avec des benchmarks de l'industrie. Cela offre un cadre de référence pour évaluer la
performance.
+ Présentez des scénarios concrets : Utilisez des exemples concrets pour illustrer l'impact des
mesures de sécurité. Cela peut rendre les informations plus tangibles.
+ Anticipez les questions : Préparez-vous à répondre aux questions potentielles des parties prenantes.
Soyez prêt à expliquer les variations dans les données et les actions correctives entreprises.
+ Mettez en avant les objectifs atteints : Si les KPI sont alignés sur des objectifs spécifiques,
assurez-vous de souligner les objectifs atteints. Cela renforce le lien entre les mesures de sécurité et
les objectifs organisationnels.
+ Utilisez des rapports narratifs : En complément des tableaux de bord, incluez des rapports
narratifs pour expliquer les tendances et les résultats. Cela offre une perspective plus détaillée.

24
Part 4: Méthodologie d’optimisation de l’audit

+ Processus structuré pour rendre l’audit plus efficace : de la

planification à l’évaluation.
+ Utilisation de modèles et de guides pratiques pour accélérer
l’audit.
+ Étude de Cas : comparaison entre un audit traditionnel et un
audit optimisé.

25
Processus structuré pour rendre l’audit plus efficace
+ Identification des objectifs de l’audit : Définir clairement les objectifs de
l'audit, tels que la conformité à la norme ISO 27001, l'identification des
vulnérabilités, etc.
Aligner les objectifs avec les besoins spécifiques de l'organisation.
+ Détermination de la portée de l’audit : Identifier les départements, systèmes
et processus spécifiques à auditer.
Définir la portée en fonction des risques prioritaires et des objectifs de l'entreprise.
+ Élaboration du plan d’audit : Calendrier détaillé avec des jalons clés.
Allocation des ressources nécessaires, y compris les membres de l'équipe d'audit et les outils
technologiques.
Détailler les tâches spécifiques à accomplir à chaque étape.
+ Identification des domaines clés de la norme ISO 27001 : Politiques de
sécurité, gestion des accès, cryptographie, etc.
Établir des critères clairs pour évaluer la conformité à chaque domaine.

26
Processus structuré pour rendre l’audit plus efficace
+ Techniques pour évaluer la conformité : Utilisation d'entretiens, de revue documentaire, d'observation
et de tests techniques.
Personnalisation des approches en fonction des spécificités de chaque domaine.
+ Inclusion des aspects juridiques et réglementaires : Assurer que l'audit couvre les exigences légales
et réglementaires pertinentes.
Coordonner avec les services juridiques de l'entreprise si nécessaire.
+ Allocation des tâches aux membres de l’équipe d’audit : Définir les responsabilités spécifiques de
chaque membre.
S'assurer que chaque aspect de l'audit est couvert par une expertise appropriée.
+ Coordination des horaires : Minimiser les interruptions dans les opérations quotidiennes en
coordonnant les horaires d'audit.
Communiquer clairement les périodes d'indisponibilité prévues.
+ Planification des entretiens et des réunions : Organiser des entretiens avec les parties prenantes clés.
Planifier des réunions pour discuter des résultats préliminaires et des mesures correctives.
+ Évaluation des outils technologiques nécessaires : S'assurer que tous les outils requis, tels que les
scanners de vulnérabilités, sont disponibles et fonctionnent correctement.
Formation préalable sur l'utilisation des outils si nécessaire.

27
Suite du processus
+ Préparation des environnements de test : Créer des environnements de test pour
les tests techniques.
S'assurer que les tests n'auront pas d'impact négatif sur la production.
+ Identification des documents requis pour l’audit : Compiler une liste de
documents nécessaires pour évaluer la conformité.
Vérifier la disponibilité de ces documents.
+ Communication interne : Communiquer efficacement au sein de l'équipe d'audit.
Assurer une compréhension claire des rôles et des responsabilités.
+ Communication avec les audités : Informer les audités de la portée, des objectifs et
du calendrier de l'audit.
Encourager la coopération et la transparence.
+ Préparation des rapports : Élaborer des modèles de rapport pour assurer la
cohérence.
Prévoir des sections détaillant les constats, les recommandations et les actions correctives.

28
Suite du processus
+ Évaluation des risques potentiels : Identifier les risques potentiels liés à l'audit.
Élaborer un plan de gestion des incidents en cas de problème.
+ Développement d’un plan de gestion des incidents : Établir un plan détaillé
pour faire face aux incidents éventuels pendant l'audit.
Assurer la formation de l'équipe sur la gestion des incidents.
+ Révision de l’ensemble de la planification : Revue régulière de la planification
pour s'assurer que tous les aspects sont couverts.
Ajustements en fonction des changements de circonstances.
+ Évaluation des ressources allouées : Analyser l'efficacité des ressources
humaines, technologiques et documentaires alloués.
Ajuster si nécessaire pour optimiser l'efficacité.
+ Évaluation finale : Évaluer le processus d'audit dans son ensemble.
Identifier les leçons apprises pour améliorer les audits futurs.

29
Utilisation de modèles et de guides pratiques pour accélérer l’audit.

+ Modèles de planification d’audit :

Utilisation de modèles prédéfinis pour élaborer rapidement les plans d'audit.
Personnalisation en fonction des besoins spécifiques de chaque audit.
+ Guides de questions standardisées :
Création de guides de questions standardisées pour chaque domaine de la norme
ISO 27001.
Facilitation de l'entretien en suivant un ensemble de questions préétablies.
+ Modèles de rapports d’audit :
Élaboration de modèles de rapports standardisés pour assurer la cohérence.
Inclusion de sections préconçues pour les constats, les recommandations et les
actions correctives.
+ Guides pour l’identification des risques :
Développement de guides détaillés pour aider à l'identification des risques.
Utilisation de méthodologies standard pour évaluer l'impact et la probabilité des
risques.
+ Modèles d’évaluation de conformité :
Création de modèles structurés pour évaluer la conformité aux exigences
spécifiques.
Simplification du processus d'évaluation en suivant des critères prédéfinis.
+ Guides pour les tests techniques :
Élaboration de guides détaillés pour les tests techniques.
Inclusion d'instructions claires pour l'utilisation d'outils de test spécifiques.

30
Utilisation de modèles et de guides pratiques pour accélérer l’audit.

+ Modèles de matrices de risque :

Utilisation de modèles de matrices de risque pour évaluer rapidement l'impact
et la probabilité des risques.
Personnalisation en fonction des spécificités de chaque audit.
+ Guides pour la collecte d’échantillons :
Développement de guides pratiques pour la collecte d'échantillons.
Assurance d'une collecte d'informations représentative et exhaustive.
+ Modèles de scénarios d’audit simulés :
Création de modèles de scénarios d'audit pour des simulations pratiques.
Facilitation de l'entraînement des équipes d'audit avec des situations réalistes.
+ Guides de communication :
Élaboration de guides pour la communication interne et externe pendant l'audit.
Assurer une communication efficace et cohérente.
+ Modèles de plans de gestion des incidents :
Utilisation de modèles pour développer des plans de gestion des incidents.
Accélération de la réaction en cas de problème pendant l'audit.
+ Guides pour l’évaluation des ressources allouées :
Développement de guides pour l'évaluation des ressources humaines,
technologiques et documentaires.
Aide à l'optimisation des ressources pour un audit plus efficient.

31
Étude de cas : Comparaison entre un audit traditionnel et un
audit optimisé.

+ Quelles sont pour vous les différences entre un audit

traditionnel et un audit optimisé ?

32
Part 5: Méthodes avancées d’identification des vulnérabilités

+ Techniques d’analyse de la sécurité proactives : chasse aux

menaces, recherche de failles.
+ Utilisation d’intelligence artificielle dans l’analyse des données de
sécurité.
+ Rétroaction sur l’efficacité des nouvelles méthodes
d’identification des vulnérabilités.

33
Techniques d’analyse de la sécurité proactives : chasse aux
Menaces, recherche de Failles.

+ L'analyse proactive de la sécurité vise à anticiper les

menaces potentielles et à découvrir les failles de sécurité
avant qu'elles ne soient exploitées. Deux techniques
avancées utilisées dans ce contexte sont la chasse aux
menaces (Threat Hunting) et la recherche de failles
(Vulnerability Research).

34
Techniques d’analyses
+ Chasse aux menaces (Threat Hunting) : La chasse aux menaces est une approche proactive où des
analystes de sécurité recherchent activement des indicateurs de compromission au sein de
l'environnement informatique.
+ Méthodologie :
Collecte de Données : Rassemblement d'informations sur le réseau, les systèmes, et les journaux d'événements.
Analyse Heuristique : Utilisation de scénarios de menace pour détecter des activités suspectes qui pourraient échapper aux outils
automatisés.
Collaboration avec les Équipes : Implique souvent la collaboration entre les analystes de sécurité et d'autres équipes opérationnelles.
+ Recherche de failles (Vulnerability Research) : La recherche de failles consiste à identifier et à
exploiter des vulnérabilités dans les logiciels, les systèmes ou les réseaux. Cela peut être effectué de
manière éthique pour renforcer la sécurité.
+ Méthodologie :
Analyse du Code : Examen approfondi du code source des logiciels pour identifier des erreurs de programmation.
Test d'Intrusion : Utilisation d'outils automatisés et de techniques manuelles pour rechercher des faiblesses dans la configuration et le
code.
Recherche de Vulnérabilités Connues : Utilisation de bases de données de vulnérabilités pour trouver des failles documentées.

35
Utilisation d’intelligence artificielle dans l’analyse des
données de sécurité.
+ Détection des anomalies :
Algorithme d'Apprentissage Automatique : Utilisation d'algorithmes d'apprentissage automatique pour créer des
modèles de comportement normal. Les anomalies sont détectées lorsqu'elles s'écartent de ce modèle.
+ Analyse de comportement :
Modèles Prédictifs : L'IA peut analyser le comportement des utilisateurs et des systèmes pour détecter des
schémas qui pourraient indiquer des activités malveillantes.
Détection d'Activités Suspectes : Utilisation d'algorithmes pour identifier des activités qui ne correspondent pas
aux modèles normaux.
+ Corrélation d’événements :
Traitement des Big Data : L'IA peut gérer efficacement le traitement de grandes quantités de données provenant
de diverses sources pour identifier des corrélations significatives.
Analyse Contextuelle : Les modèles d'IA peuvent comprendre le contexte des événements, aidant à distinguer les
incidents réels des faux positifs.

36
Utilisation d’intelligence artificielle dans l’analyse des
données de sécurité.
+ Prédiction des menaces :
Analyse Prédictive : L'utilisation d'algorithmes prédictifs peut aider à anticiper les menaces futures en analysant les tendances actuelles.
Identification de Signatures : L'IA peut être formée pour identifier les signatures potentielles de nouvelles menaces.
+ Automatisation des réponses :
Réponse Automatique : Intégration de l'IA pour déclencher automatiquement des réponses appropriées à certaines menaces, réduisant
ainsi le temps de réaction.
Adaptation en Temps Réel : Capacité de l'IA à ajuster automatiquement les stratégies de sécurité en fonction des évolutions des
menaces.
+ Optimisation des règles de sécurité :
Apprentissage Automatique des Règles : L'IA peut analyser l'efficacité des règles de sécurité existantes et proposer des ajustements
pour une meilleure protection.
Adaptation Continue : Les modèles d'IA peuvent s'adapter en temps réel aux nouvelles informations pour améliorer la précision.
+ Réduction des faux positifs :
Affinement des Algorithmes : L'IA peut être utilisée pour affiner continuellement les algorithmes de détection, réduisant ainsi les faux
positifs et améliorant la pertinence des alertes.

37
Rétroaction sur l’efficacité des nouvelles méthodes d’identification des
vulnérabilités.

+ L'évaluation de l'efficacité des nouvelles méthodes d'identification des vulnérabilités est cruciale pour
garantir une sécurité informatique robuste. Voici comment procéder pour recueillir une rétroaction
significative :
+ Définition des indicateurs de performance (KPI) :
Identifier des KPI spécifiques liés à l'identification des vulnérabilités, tels que le temps moyen de détection, le nombre de vulnérabilités
détectées, le taux de faux positifs, etc.
+ Comparaison avec les méthodes antérieures :
Comparer les résultats des nouvelles méthodes avec ceux des méthodes précédentes pour évaluer les améliorations ou les différences
significatives.
+ Analyse de la pertinence des vulnérabilités identifiées :
Évaluer la pertinence des vulnérabilités détectées en les comparant aux menaces réelles et aux scénarios d'attaques récents.
+ Rétroaction des équipes opérationnelles :
Solliciter des retours d'informations des équipes opérationnelles qui traitent les résultats des analyses pour évaluer la praticité et la
pertinence des informations fournies.
+ Études de cas sur les incidents passés :
Examiner les incidents de sécurité passés pour voir si les vulnérabilités identifiées par les nouvelles méthodes auraient pu prévenir ces
incidents.

38
Questions

39
En résumé

+ Préparer des modèles pour

l’élaboration de vos audits
+ Gérer efficacement les non-
conformités
40
Chapitre 6 : Communication des résultats

41
Objectifs

+ Acquérir des compétences dans la communication des résultats.

+ Apprendre à établir des recommandations concrètes pour
améliorer la sécurité informatique.

42
Part 1: Communication des résultats d’audit

+ Rédaction de rapports d’audit clairs et pertinents : structuration,

langage accessible, inclusion des détails techniques si nécessaire.
+ Présentation orale des résultats d’audit aux parties prenantes :
compétences de présentation, gestion des questions et des
objections.
+ Techniques pour expliquer les non-conformités et les faiblesses de
sécurité de manière compréhensible pour les non-experts.

43
Rédaction de rapports d’audit clairs et pertinents
+ Résumé exécutif :
Présentation succincte des principales conclusions et
recommandations.
Récapitulation des objectifs de l'audit et de la méthodologie utilisée.
+ Introduction :
Contextualisation de l'audit : raisons, enjeux, et portée.
Présentation de l'équipe d'audit et des ressources utilisées.
+ Objectifs de l’audit :
Détailler les aspects spécifiques examinés, conformément aux
objectifs prédéfinis.
+ Méthodologie :
Explication des méthodes employées pour recueillir des données et
évaluer la conformité.
Détails sur les entretiens, les revues documentaires, les tests
techniques, etc.
+ Résultats :
Présentation structurée des découvertes, en commençant par les
aspects positifs.
Identification des vulnérabilités, des non-conformités et des zones
d'amélioration.

44
Rédaction de rapports d’audit clairs et pertinents
+ Recommandations :

Propositions concrètes pour remédier aux problèmes identifiés.

Priorisation des recommandations en fonction de leur impact.

+ Conclusions :

Récapitulation des points clés.

Confirmation de la conformité ou indication des domaines nécessitant une

action corrective.
+ Graphiques et visuels :

Utilisation de graphiques, tableaux et schémas pour illustrer les données de

manière visuelle.
+ Langage accessible :

Utilisation d'un langage clair et accessible pour favoriser la compréhension.

Définition des termes techniques si nécessaire.

+ Résumé exécutif (Insistance ) :

Courte répétition du résumé exécutif à la fin du rapport pour renforcer les points
essentiels.

45
Présentation orale des résultats d’audit aux parties prenantes

+ Compétences de présentation :
Confiance et Assurance : Affichez une posture confiante et assurez-vous que votre voix
est claire et audible.
Langage Corporel : Utilisez un langage corporel ouvert et engageant. Évitez de paraître
tendu ou fermé.
Contact Visuel : Établissez un contact visuel régulier avec l'audience pour maintenir son
attention.
Structure Logique : Suivez une structure logique dans la présentation pour une
compréhension claire.

46
Présentation orale des résultats d’audit aux parties prenantes

+ Compétences de présentation :
Confiance et Assurance : Affichez une posture confiante et assurez-vous que votre voix est claire et audible.
Langage Corporel : Utilisez un langage corporel ouvert et engageant. Évitez de paraître tendu ou fermé.
Contact Visuel : Établissez un contact visuel régulier avec l'audience pour maintenir son attention.
Structure Logique : Suivez une structure logique dans la présentation pour une compréhension claire.
+ Gestion des questions :
Encourager les Questions : Invitez les parties prenantes à poser des questions tout au long de la présentation.
Répondre Positivement : Répondez de manière positive, même aux questions difficiles, en soulignant l'engagement envers la transparence.
Clarifications immédiates : Adressez les points de confusion immédiatement pour éviter toute interprétation erronée.
Réponses Concises : Soyez concis dans vos réponses tout en fournissant des informations complètes.
+ Gestion des objections :
Écoute Active : Écoutez attentivement les objections et les préoccupations exprimées.
Empathie : Montrez de l'empathie envers les préoccupations des parties prenantes.
Explication Claire : Expliquez les raisons derrière les résultats d'audit de manière claire et détaillée.
Solutions Proposées : Proposez des solutions ou des plans d'action pour résoudre les problèmes soulevés.

47
Présentation orale des résultats d’audit aux parties prenantes

+ Gestion des questions :

Encourager les Questions : Invitez les parties prenantes à poser des questions tout au
long de la présentation.
Répondre Positivement : Répondez de manière positive, même aux questions difficiles,
en soulignant l'engagement envers la transparence.
Clarifications immédiates : Adressez les points de confusion immédiatement pour éviter
toute interprétation erronée.
Réponses Concises : Soyez concis dans vos réponses tout en fournissant des informations
complètes.

48
Présentation orale des résultats d’audit aux parties prenantes

+ Gestion des objections :

Écoute Active : Écoutez attentivement les objections et les préoccupations exprimées.
Empathie : Montrez de l'empathie envers les préoccupations des parties prenantes.
Explication Claire : Expliquez les raisons derrière les résultats d'audit de manière claire
et détaillée.
Solutions Proposées : Proposez des solutions ou des plans d'action pour résoudre les
problèmes soulevés.

49
Présentation des résultats
+ Utilisation d’exemples :
Cas Pratiques : Utilisez des exemples concrets pour illustrer vos points et renforcer la
crédibilité.
Scénarios Anticipés : Anticipez les objections possibles et préparez des réponses étayées.
+ Gestion des réactions émotionnelles :
Calme et Professionnalisme : Restez calme et professionnel, même face à des réactions
émotionnelles.
Perspective Objective : Présentez les résultats d'une manière objective, en mettant
l'accent sur les faits plutôt que sur les émotions.

50
Présentation des résultats
+ Récapitulation des points clés :
Récapitulation Finale : Résumez les points clés de la présentation à la fin pour renforcer
la compréhension.
Confirmation de Compréhension : Demandez à la fin si des points nécessitent des
clarifications supplémentaires.

51
Présentation des résultats
+ Réactivité :
Ajustement en Cours de Route : Soyez prêt à ajuster votre présentation en fonction des
réactions et des besoins des parties prenantes.
Flexibilité : Soyez flexible dans votre approche pour vous adapter à la dynamique de la
réunion.

52
A noter !

+ Ces postures orales sont utiles dans bons nombres de situations

de la vie professionnelle !

53
Techniques pour expliquer les non-conformités et les
faiblesses de sécurité de manière compréhensible pour les
non-experts.
+ Eviter le jargon compliqué
+ Visualisation claire
+ Présentez des exemples concrets
+ Un petit garçon de 10 ans doit pouvoir comprendre !

54
 Part 2: Établissement de recommandations

+ Méthodes pour formuler des recommandations basées sur les

résultats d’audit.
+ Techniques pour prioriser les recommandations en fonction du
niveau de risque et de l’impact sur l’entreprise.
+ Élaboration de plans d’action concrets pour mettre en œuvre les
recommandations et améliorer la sécurité.

55
Méthodes pour formuler des recommandations basées sur les
résultats d’audit.

+ Alignement avec les objectifs organisationnels :

Assurez-vous que les recommandations sont en ligne avec les objectifs généraux de l'entreprise.
Considérez les priorités stratégiques.
+ Compréhension des contraintes :
Tenez compte des contraintes budgétaires, temporelles et de ressources.
Formulez des recommandations tenant compte de ces contraintes.
+ Approche risque-bénéfice :
Évaluez les avantages potentiels de chaque recommandation.
Pesez ces avantages par rapport aux coûts et aux efforts associés.
+ Soyez factuel ! Basez-vous sur les résultats, ne spéculez pas.

56
Techniques pour prioriser les recommandations en fonction
du niveau de risque et de l’impact sur l’entreprise.

+ Utilisez les Matrices

+ Échelles
+ Conséquence
+ Vraisemblance

57
Élaboration de plans d’action concrets pour mettre en œuvre
les recommandations et améliorer la sécurité.

+ Identification des actions

+ Attribution des responsabilités
+ Définition des délais
+ Allocation des ressources
+ Intégration dans les processus existant

58
Exercice
+ Parmi les vulnérabilités détectées, il a été constaté qu’un serveur
Exchange 2013 SP2 présente une faille d’élévation de de
privilège (CVE-2022-41040).
+ Nos équipes ont su déployer pendant un pentest, un backdoor
permettant une prise en main à distance du serveur Exchange
avec le compte administrateur du domaine.
+ Proposez un rapport aux parties prenantes et des
recommandations pour annihiler ou atténuer le risque.

59
Questions

60
En résumé

+ Clarté dans les livrables

+ Communication orale maîtrisée
+ Restez factuel !

61