Académique Documents
Professionnel Documents
Culture Documents
Informatique -
ISO 27001
Chapitre 3 : Techniques d’audit et
questions types
Objectifs
2
Sommaire
+ Méthodologie d’audit
+ Questions types et scénarios d’audit
+ Préparation des questions d’audit
+ Simulation d’entretien d’audit
+ Scénario d’audit pratiques
3
Part 1 : Méthodologies d’audit
4
Revue des différentes méthodologies d’audit
+ Entretiens :
Avantages : Les entretiens permettent d'obtenir des informations qualitatives et des perspectives
personnelles. Ils facilitent la communication directe avec les parties prenantes, favorisant un dialogue
ouvert et la compréhension des préoccupations individuelles. Les réponses peuvent être clarifiées en
temps réel.
Limites : Les entretiens dépendent de l'exactitude des informations fournies par les personnes
interrogées. Les biais personnels ou les erreurs de communication peuvent altérer la précision des
données recueillies. Certains employés pourraient ne pas révéler des pratiques non conformes par
crainte de sanctions.
+ Revue documentaire :
Avantages : La revue documentaire offre une vue détaillée des politiques, procédures et autres
documents formels. Elle permet de comparer les pratiques actuelles aux normes et politiques établies.
Les documents peuvent servir de preuves tangibles lors de l'audit.
Limites : Les documents peuvent parfois ne pas être à jour ou ne pas refléter les pratiques réelles. De
plus, la documentation peut être limitée dans sa couverture, ne capturant pas tous les aspects des
opérations informatiques.
5
Revue des différentes méthodologies d’audit
+ Observation :
Avantages : L'observation offre une compréhension en temps réel des comportements des
utilisateurs et des processus. Elle permet de détecter les pratiques non conformes et d'identifier les
lacunes dans les procédures de sécurité.
Limites : L'observation peut être intrusive et peut perturber les opérations normales. Elle peut
également ne pas capturer toutes les activités, en particulier celles qui se déroulent en dehors des
périodes d'observation.
+ Tests techniques :
Avantages : Les tests techniques fournissent des données objectives sur les vulnérabilités
potentielles des systèmes. Ils permettent d'identifier des failles de sécurité spécifiques et de
hiérarchiser les risques. Les résultats sont reproductibles et quantifiables.
Limites : Les tests techniques ne peuvent pas évaluer toutes les vulnérabilités possibles. Ils ne
capturent que les failles connues à un moment donné. De plus, ils peuvent générer des faux
positifs ou ne pas détecter des vulnérabilités nouvelles ou inconnues.
6
Techniques de collecte d’information
+ Analyse des journaux : L'analyse des journaux (logs) permet de surveiller les activités système et d'application.
Elle identifie les comportements anormaux, les tentatives d'accès non autorisées et les erreurs système. Les
journaux peuvent fournir des preuves en cas d'incident de sécurité.
Avantages : Permet la détection précoce des menaces, facilite l'investigation en cas d'incident, aide à la conformité réglementaire en enregistrant
les activités.
Limites : Nécessite des outils de gestion des journaux efficaces, peut générer un grand volume de données difficile à analyser manuellement.
+ Scan de vulnérabilités : Le balayage de vulnérabilités consiste à analyser les systèmes, réseaux ou applications à
la recherche de vulnérabilités connues. Il identifie les failles de sécurité potentielles qui pourraient être exploitées
par des attaquants.
Avantages : Permet d'identifier les failles de sécurité avant qu'elles ne soient exploitées, aide à prioriser les correctifs en fonction du niveau de
risque.
Limites : Ne détecte que les vulnérabilités connues, ne garantit pas la découverte de vulnérabilités zéro-day (non connues), peut générer des faux
positifs ou n'identifier que les vulnérabilités superficielles.
+ Analyse des configurations : L'analyse des configurations évalue la conformité des systèmes aux normes et
politiques de sécurité établies. Elle vérifie si les configurations des systèmes sont sécurisées et correctement
optimisées.
Avantages : Identifie les configurations non conformes, aide à maintenir des normes de sécurité cohérentes, réduit les risques liés à des
configurations inappropriées.
Limites : Ne peut pas détecter les vulnérabilités non liées à la configuration, peut ne pas couvrir toutes les nuances des paramètres de
configuration.
7
Techniques de collecte d’information
+ Tests d’intrusion : Les tests d'intrusion consistent à simuler des attaques réelles sur le système ou le réseau pour identifier
les failles de sécurité. Ils peuvent être internes (menés par des membres internes de l'organisation) ou externes (menés par
des experts en sécurité externes).
Avantages : Révèle les vulnérabilités de manière approfondie, teste la résistance du système aux attaques réelles, identifie les vecteurs d'attaque.
Limites : Peut causer des interruptions temporaires des services, nécessite une expertise technique avancée, peut ne pas détecter les vulnérabilités non techniques
(comme les failles de processus).
+ Analyse de la sécurité des applications : Cette technique évalue la sécurité des applications logicielles en identifiant les
failles de sécurité dans le code source, les configurations et l'architecture des applications.
Avantages : Identifie les vulnérabilités spécifiques aux applications, aide à sécuriser les applications contre les attaques, améliore la robustesse des applications.
Limites : Nécessite des connaissances spécialisées en développement logiciel, peut être intensif en ressources, doit être régulièrement mis à jour pour suivre les
changements dans les applications.
+ Analyse de la sécurité des réseaux sans fil : Cette technique évalue la sécurité des réseaux sans fil (Wi-Fi) en identifiant
les vulnérabilités telles que les points d'accès non sécurisés, les protocoles de sécurité faibles et les configurations
inappropriées.
Avantages : Détecte les failles dans les réseaux sans fil, empêche les accès non autorisés, sécurise les données transitant via le Wi-Fi.
Limites : Limité à l'évaluation des réseaux sans fil, ne couvre pas d'autres aspects du réseau.
+ Analyse de la sécurité physique : L'analyse de la sécurité physique évalue les mesures de sécurité physiques, telles que
les serrures, les systèmes d'alarme, les caméras de surveillance, pour s'assurer qu'elles sont adéquates pour protéger les
actifs matériels de l'organisation.
Avantages : Protège contre les menaces physiques, prévient les intrusions et le vol, sécurise les locaux et les équipements.
Limites : Ne couvre que les aspects physiques de la sécurité, ne traite pas les menaces virtuelles.
8
Techniques de collecte d’information
+ Analyse de la sécurité des fichiers et des données : Évalue la sécurité des fichiers et des données stockés sur les systèmes, y
compris l'encryption, l'accès autorisé et les politiques de rétention.
Avantages : Protège les données sensibles contre l'accès non autorisé, assure la conformité avec les réglementations sur la confidentialité des données, minimise les
risques de fuite de données.
Limites : Nécessite des outils spécialisés pour l'analyse approfondie des fichiers et des données.
+ Évaluation de la sécurité des appareils mobiles : Évalue la sécurité des appareils mobiles tels que les smartphones et les
tablettes, en se concentrant sur les politiques de sécurité, l'accès aux données d'entreprise et la protection contre les applications
malveillantes.
Avantages : Sécurise les appareils utilisés pour accéder aux systèmes de l'entreprise, prévient les pertes de données en cas de vol ou de perte d'appareils, assure la
conformité avec les politiques de sécurité mobile.
Limites : Doit être constamment mis à jour en raison de l'évolution rapide des technologies mobiles.
+ Analyse de la sécurité des objets connectés (IoT) : Évalue la sécurité des dispositifs IoT, tels que les caméras de sécurité
intelligentes, les thermostats connectés et les appareils médicaux, en se concentrant sur la protection contre les attaques
physiques et en ligne.
Avantages : Protège les réseaux contre les vulnérabilités liées aux appareils IoT, prévient les attaques basées sur les objets connectés, garantit la confidentialité et
l'intégrité des données échangées avec les appareils IoT.
Limites : La variété des appareils IoT peut rendre l'évaluation complexe, nécessite une expertise spécialisée dans la sécurité des objets connectés.
+ Tests de résistance aux attaques DDoS (Distributed Denial of Service) : Évalue la capacité du système à résister aux attaques
DDoS, qui cherchent à rendre un service indisponible en submergeant le réseau ou le site web avec un trafic excessif.
Avantages : Assure la disponibilité des services même en cas d'attaques DDoS, identifie les points faibles du système face à ce type d'attaque.
Limites : Les tests DDoS doivent être effectués de manière éthique pour éviter de perturber les services réels.
9
Pratiques recommandées pour évaluer l’efficacité des contrôles
de sécurité.
+ Tests d’intrusion : Simuler des attaques réelles pour évaluer la capacité des systèmes à résister aux intrusions.
Pratique : Engager des professionnels en sécurité informatique pour effectuer des tests d'intrusion réguliers sur le réseau, les applications et les infrastructures pour identifier les
vulnérabilités.
+ Exercices de simulation d’incident (Incident Response Simulation) : Évaluer la capacité de l'équipe de réponse aux incidents à gérer
efficacement les incidents de sécurité.
Pratique : Organiser des exercices réguliers où l'équipe de réponse aux incidents doit réagir à des scénarios d'attaques simulées, en identifiant, en contenant et en éradiquant la menace.
+ Analyse des journaux et des alertes de sécurité : Surveiller en temps réel les journaux et les alertes de sécurité pour détecter les activités
suspectes.
Pratique : Utiliser des outils de gestion des informations et des événements de sécurité (SIEM) pour agréger, corréler et analyser les journaux et les alertes de sécurité, en signalant
toute activité anormale.
+ Évaluations régulières des politiques de sécurité : S'assurer que les politiques de sécurité sont à jour, pertinentes et suivies.
Pratique : Réviser régulièrement les politiques de sécurité pour garantir qu'elles couvrent les nouvelles menaces et technologies. Faire des évaluations périodiques pour vérifier la
conformité avec ces politiques.
+ Formation et sensibilisation continue des employés : Éduquer les employés sur les menaces de sécurité et les meilleures pratiques pour
les éviter.
Pratique : Organiser des sessions de formation régulières, des campagnes de sensibilisation par e-mail et des exercices de phishing simulés pour sensibiliser les employés aux menaces
en évolution et aux tactiques d'ingénierie sociale.
+ Évaluations des tiers (Third-Party Security Assessments) : Évaluer la sécurité des fournisseurs et des partenaires qui ont accès aux
systèmes ou aux données de l'organisation.
Pratique : Effectuer des évaluations de sécurité régulières des tiers, en s'assurant qu'ils suivent des pratiques de sécurité adéquates pour protéger les données de l'entreprise.
+ Surveillance et réponse en temps réel : Détecter et répondre rapidement aux incidents de sécurité en cours.
Pratique : Mettre en place des systèmes de surveillance en temps réel pour identifier les comportements suspects et les activités malveillantes, suivis d'une réponse rapide et appropriée.
10
Part 2 : Questions types et scénarios d’audit
12
Politique de sécurité (Clause 5) :
13
Gestion des actifs (Clause 7) :
15
Chiffrement (Clause 10) :
16
Gestion des opérations (Clause 12) :
+ Question : Y a-t-il des procédures pour la gestion des journaux d'audit, y compris
leur collecte, leur stockage sécurisé et leur analyse régulière ?
+ Question : Les procédures d'exploitation sont-elles documentées et suivies pour
garantir la continuité des activités en cas d'incidents ?
+ Question : Existe-t-il des procédures pour la gestion des vulnérabilités, y compris
les tests de sécurité et les correctifs ?
+ Question : Les politiques et procédures de gestion des opérations sont-elles
régulièrement révisées et mises à jour pour répondre aux nouvelles menaces et
vulnérabilités ?
17
Simulation d’entretiens d’audit : étude de cas avec des
réponses attendues.
18
Scénarios d’audit pratiques : évaluation de la conformité
dans des contextes variés (Entreprises de différentes tailles,
secteurs d’activité, etc.).
+ Exercices pratiques pour évaluer la conformité dans des
situations réalistes.
19
Part 3 : Préparation des questions d’audit
20
Structuration des questions d’audit
+ Questions ouvertes : Les questions ouvertes sont formulées de manière à encourager les audités à donner
des réponses détaillées et complètes.
Exemple : "Pouvez-vous expliquer en détail le processus que vous suivez pour assurer la sécurité des données des utilisateurs ?"
+ Utilisations : Les questions ouvertes sont idéales pour obtenir des informations détaillées et approfondies.
Elles encouragent les audités à partager des connaissances spécifiques et des exemples concrets. Utiles
lorsqu'il est important de comprendre en profondeur les processus, les politiques ou les pratiques.
+ Questions fermées : Les questions fermées nécessitent des réponses spécifiques et limitées, souvent sous
forme de "oui" ou de "non", ou en fournissant des réponses courtes.
Exemple : "Avez-vous mis en place l'authentification multifactorielle pour les comptes des utilisateurs ?"
+ Utilisations : Les questions fermées sont efficaces pour obtenir des réponses précises et concises. Elles
sont utiles pour confirmer des faits, des politiques ou des procédures spécifiques. Idéales pour les
vérifications de conformité.
+ QCM : Les questions alternatives présentent plusieurs options parmi lesquelles les audités peuvent choisir.
Exemple : "Quelles mesures de sécurité utilisez-vous pour protéger les données des utilisateurs ? A) Chiffrement B) Pare-feu C)
Authentification multifactorielle D) Toutes les réponses ci-dessus."
+ Utilisations : Les questions alternatives sont efficaces pour évaluer la connaissance des audités sur un
sujet spécifique. Elles peuvent être utilisées pour tester la compréhension des politiques, des procédures ou
des concepts de sécurité. Utiles pour les exercices de sensibilisation et de formation.
21
Personnalisation des questions pour chaque entreprise ou
secteur.
23
Part 4 : Simulation d’entretiens d’audit
24
Mise en Situation : Simulation d’un entretien d’audit en direct.
25
Révision et feedback en temps réel sur la performance des élèves.
26
Part 5 : Scénarios d’audit pratiques
27
Présentation de scénarios d’audit réalistes pour différents
contextes.
28
Travail en groupes : évaluation de la conformité et préparation de
rapports d’audit simplifiés.
29
Questions
30
En résumé
32
Objectifs
33
Sommaire
34
Part 1: Présentation des outils d’audit de sécurité
35
Vue d’ensemble des outils de sécurité informatique
37
Étude de Cas : Analyse des résultats d’un scanner de
vulnérabilités et identification des mesures correctives
nécessaires.
+ Analyse des résultats réels et recommandations pour les
correctifs d’une ou plusieurs cibles dans l’environnement
du cours.
38
Le cerveau et l’analyse de
configuration
+ Configuration des routeurs
+ Configuration des switches
+ Configuration des pares-feux
+ Topologie de l’infrastructure technique
+ Une analyse intelligente vaut parfois mille tests !
39
Part 2: Analyse des résultats et interprétation
40
Méthodes pour interpréter les résultats des outils d’audit
41
Mise en place de mesures correctives en fonction des résultats
d’audit.
42
Part 3: Démo d’outils de mesure de la sécurité
43
Présentation d’outils de mesure de la sécurité informatique
+ Métriques de Sécurité - Vos logiciels doivent pouvoir mesurer et évaluer :
Taux de conformité : Mesure le degré de conformité aux normes et aux politiques de sécurité établies.
Taux de vulnérabilités corrigées : Indique le pourcentage de vulnérabilités identifiées qui ont été corrigées.
Taux de réponse aux incidents : Mesure la rapidité et l'efficacité de la réponse aux incidents de sécurité.
Taux de détection des menaces : Évalue la capacité à détecter les menaces de sécurité en temps réel.
Taux de réduction des risques : Quantifie la réduction des risques de sécurité après la mise en place de mesures de sécurité spécifiques.
+ Tableaux de bord de sécurité – les outils doivent pouvoir proposer :
Tableaux de bord opérationnels : Fournissent des informations en temps réel sur l'état de la sécurité du réseau, les incidents en cours et les vulnérabilités.
Tableaux de bord stratégiques : Présentent des métriques de haut niveau aux parties prenantes, montrant l'efficacité globale des initiatives de sécurité.
Tableaux de bord de conformité : Suivent la conformité aux normes réglementaires et aux politiques internes de sécurité.
+ Tableaux de bord de gestion des risques : Mettent en évidence les risques majeurs, leurs impacts potentiels et les stratégies
d'atténuation.
+ Outils de mesure de la performance :
Outils de Suivi des indicateurs de performance (KPI) : Permettent de surveiller en continu les indicateurs clés de performance de la sécurité informatique.
Outils de cartographie de menaces : Aident à visualiser les menaces potentielles et à identifier les vulnérabilités exploitées.
Outils d’analyse de données de sécurité : Analyse les journaux et les données de sécurité pour identifier les tendances, les schémas et les comportements
suspects.
+ Outils de reporting et de documentation :
Logiciels de gestion des rapports : Facilitent la création de rapports automatisés sur l'état de la sécurité, les incidents et les actions correctives.
Outils de documentation des politiques et des procédures : Aident à créer, organiser et suivre la documentation des politiques et des procédures de sécurité.
44
Démonstration d’un tableau de bord de sécurité : Suivi des
indicateurs clés de performance (KPI) de la Sécurité.
45
Discussion sur l’importance de la surveillance continue et de
l’ajustement des mesures de sécurité en fonction des données
en temps réel.
+ Explorons les avantages de la surveillance continue et des
ajustements dynamiques de la sécurité.
46
Questions
47