Audit de la sécurité

informatique
Khlif Aymen
PhD Informatique
Expert Auditeur SI certifié ANSI
Postdoctorant CRDP
 Bibliographie

Fernandez-Toro, Management de la Stéphane Calé, Philippe Touitou.

sécurité de l'information: implémentation ,La sécurité informatique : réponses
ISO 27001: mise en place d'un SMSI et techniques, organisationnelles et juridiques,
audit de certification. Eyrolles. Paris : Hermès science publications c2007
 Système d’information,
une tentative de définition (1/2)
Un système d’information peut être défini comme l’ensemble des moyens matériels, logiciels,
organisationnels et humains visant à acquérir, stocker, traiter, diffuser ou détruire de l’information.

Processuss :
-  De gestion de crise
-  De recrutement
Organisation :
-  Service d’achat
-  Service juridique
-  Service d’admission
Applications :
-  Gestion comptable
-  Gestion financière
-  Gestion des RH
Infrastructure :
-  Serveurs
-  Routeurs
-  Réseau local

4
 Système d’information,
une tentative de définition (2/2)

Mais aussi …

5
 Objectifs de la sécurité des systèmes d'information (1/2)

v  Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou

techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le
système d’information.

v  L’objectif de ces mesures de sécurité est d’assurer la confidentialité, l’intégrité, la

disponibilité et la non-répudiation.

6
 Objectifs de la sécurité des systèmes d'information
(2/2)
PermeDant de garan/r le bon fonc/onnement du système
d'informa/on
PermeDant de garan/r que les données sont bien
celles que l'on croit être

PermeDant de garan/r que l’informa/on ne soit accessible

qu’aux personnes autorisées

PermeDant de garan/r qu'une transac/on ne peut être niée

Réalisés avec: des ou/ls technologiques (an/virus, pare-feu, méthodes de chiffrement,

etc.), procédures (ges/on des iden/fica/ons et du contrôle d’accès, etc.) et de personnes
(recrutement, forma/on des u/lisateurs, etc.)
 Le contexte de l’audit de sécurité

Sur quel périmètre ?

Pour qui ?
θ Département,
θ Direction Générale, θ Service,
θ Application, …

Par qui ?

θ Interne / externe
Selon quel référentiel ?

Dans quel but ? θ Méthode d’analyse des risques

θ Bonnes pratiques (ISO 27001, 27002, Etc…)
θ Alignement de la politique de sécurité sur
la stratégie d’entreprise,
θ Conformité aux lois et règlements,
De quelle nature ?
θ Identification des risques auxquels est
exposé le SI
θ Audit de la politique de sécurité,
θ Audit organisationnel et physique,
θ Audit technique,
θ Audit intrusif

26
 Définition de l’audit de sécurité du système d’information

v  L’audit de sécurité du système d’information est un examen méthodique d’une situation

liée à la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des
règles ou à des normes.

v  C’est un processus systématique, indépendant et documenté pour identifier

§  L’état des lieux du SI,

§  Les risques (perte de données, Accident physique, Divulgation
d’informations confidentielle, perte d'image de marque, etc,,,),
§  Les agents de menaces (employé, virus, concurrent, etc),
§  Leurs impacts,
§  Les mesures de critères de sécurité à prendre .

9
 Les questions auxquelles se doivent
de répondre les audits de sécurité du SI ?

8
 La démarche d’audit

v  Un audit de sécurité consiste à valider les moyens de protection mis en

œuvre sur les plans organisationnels, procéduraux et techniques, au
regard de la politique de sécurité en faisant appel à un tiers de confiance
expert en audit sécurité informatique,

v  L'audit de sécurité conduit, au delà du constat, à analyser les risques

opérationnels et à proposer des recommandations et plans d'actions
quantifiées et hiérarchisées pour corriger les vulnérabilités et réduire
l'exposition aux risques.

La démarche d’audit présente 3 grandes étapes :

v  Étape 1 : Préparation de l’audit

v  Étape 2 : Réalisation du travail d’audit
v  Étape 3 : Rapport de synthèse

25
 -Identification des responsables qui seront amenées à
Prépara/on de l’audit répondre au questionnaire d’audit.
-Rencontres avec les responsables de l’organisme à
auditer, etc.…
Audit organisa/onnel et -Identification des vulnérabilités d’ordre
physique organisationnel et physique.
-Évaluation des risques.

-Détection régulière et automatisée des

Audit technique vulnérabilités et des failles potentielles.

Audit intrusif -Test intrusif boite blanche/ boite noire.

-Test d’intrusion interne / externe.
-Recueil des principales vulnérabilités
Rapport d’audit (synthèse et insuffisances décelées.
et recommanda/on) - Recommandations & Solutions de sécurité.
 Cycle de vie d’un audit de sécurité des
systèmes d’information
Le processus d’audit de sécurité est un processus répé//f et perpétuel.
Failles critiques (semaine dernière)
 Les référentiels utilisés dans le cadre des audits de sécurité
Les référentiels sont adaptés à chaque type d’audit de sécurité.

Audit de Sécurité Référentiel

Audit organisationnel et physique v  Politique de sécurité de l’entreprise,
Respect des exigences de sécurité au v  Contexte légale et réglementaire,
sein de l’entreprise au travers de la mise v  ISO 27002,
en œuvre de mesures de sécurité v  ISO 27001,
adéquates et pérennes
v  ISO 27005
v  CoBIT (Control Objectives for Information
and related Technology),
Audit technique et intrusif v  Sites Web de sécurité de l'information,
ü  Agence nationale de la sécurité des SI
www.ssi.gouv.fr/
ü  Associa/on de la sécurité de l'informa/on du
Québec www.asiq.org/
v  Bases de vulnérabilités.
ü  www.symantec.com
ü  www.kaspersky.fr

12
 Famille ISO 27000

Les normes de la famille ISO/IEC 27000 constituent un ensemble de méthodes, mesures et bonnes
pratiques reconnues au niveau international dans le domaine de la sécurité de l'information.
ν

13
Norme ISO 27001 : 2013
v  la norme ISO 27001 décrit les exigences
nécessaires à la mise en œuvre du Système
de Management de la Sécurité de
l’Informa/on (SMSI).

v  Un système de management
§  Oblige à adopter de bonnes pra/ques
§  Augmente donc la fiabilité de
l'organisme dans la durée
§  Comme un système de management
est auditable, Il apporte la confiance
aux par/es intéressées

v  Un SMSI permet

§  D'adopter de bonnes pra/ques de
sécurité
§  D'adapter les mesures de sécurité aux
risques encourus
 SMSI selon la norme ISO 27001:2013
v  Le SMSI en tant que dispositif global gère et coordonne la manière dont la
sécurité de l’information est mise en place.

v  Le SMSI est défini pour un périmètre bien déterminé (une application, un

service, une organisation, un processus, un métier, un centre de
production…).
 Norme ISO 27002 : 2013

v  La norme ISO/IEC 27002:2013

cons/tue un code de bonnes
pra/ques. Elle est composée de
114 mesures de sécurité répar/es
en 14 chapitres couvrant les
domaines organisa/onnels et
techniques ci-contre.

v  C’est en adressant l’ensemble de

ces domaines que l’on peut avoir
une approche globale de la
sécurité des S.I.
 Norme ISO 27002 : 2013

v  Exemples de mesures sur le chapitre « Sauvegarde des informations» :

v  Exemple de mesures sur le chapitre « Sécurité des communications » :

 Phase 1 : Préparation de l’audit (1/3)

v  Appelée phase de pré audit. En effet, c’est au cours de ceDe phase que se
dessinent les grands axes qui devront être suivis lors de l’audit sur terrain. Elle se
manifeste par des rencontres entre auditeurs et responsables de l’organisme à
auditer.

v  Au cours de ces entre/ens, les espérances des responsables vis-à-vis de l’audit
devront être exprimées.

v  Les personnes qui seront amenées à répondre au ques/onnaire concernant l’audit

organisa/onnel doivent être également iden/fiées.
 Phase 1 : Préparation de l’audit (2/3)

Dans cette phase l’auditeur défini :

v  Les composantes organisationnelles

v  Les composantes matérielles

§  Les équipements passifs et ac/fs du réseau (switch,
routeurs, Modem,,,)
§  Les serveurs en exploita/on (Serveur an/virus,
serveur proxy,,,)

v  Liste des applications (gestion comptable, gestion des

stocks,,,)
 Phase 1 : Préparation de l’audit (3/3)
v  Schéma de l’architecture réseau
 Phase 2 : Audit organisationnel et physique (1/10)

v  Objec7f : permet de faire un état des lieux complet de la sécurité du SI et

d’en iden/fier les dysfonc/onnements et les risques poten/els.

v  Il permet ainsi de couvrir l’ensemble du SI de l’organisme et de détecter les
carences liées aux différents processus de ges/on et d’organisa/on de la
sécurité.

v  CeDe première phase de l’audit sécurité permet :

§  D’avoir une vision qualita/ve et quan/ta/ve des différents facteurs de
la sécurité informa/que du site audité.
§  D’iden/fier les points cri/ques du système d´informa/on.

v  Cet audit prendra comme référen/el la norme ISO/IEC 27002 et/ou l ’ISO
27001.
 Phase 2 : Audit organisationnel et physique (2/10)
Déroulement de l’audit des aspects Organisationnels et Physiques

1- Définir un référen/el sécurité,

2- Élabora/on d’un ques/onnaire d’audit sécurité à par/r du référen/el défini
précédemment et des objec/fs de la mission

v  Quelles méthodes d'authentification des utilisateurs employez-vous?
Exemple de ques/onnaire

v  A l’arrivée d’une nouvelle personne dans l’entreprise, doit-elle signer une charte
d’utilisation de l’informatique ? en cas de départ, son compte est-il
immédiatement désactivé (accès serveur, messagerie, services en ligne) ?

v  Les utilisateurs peuvent-ils installer des logiciels sur leurs ordinateurs sans
demander d’autorisation ? sont-ils formés à la prudence lors de la navigation
internet, lors de la réception de messages électroniques ?

v  Les données importantes enregistrées sur les ordinateurs portables et appareils

mobiles sont-elles sauvegardées, protégées (cryptées) y compris les clés et
disques USB ?

Phase 2 : Audit organisationnel et physique (3/10)
Phase 2 : Audit organisationnel et physique (4/10)
Phase 2 : Audit organisationnel et physique (5/10)
Phase 2 : Audit organisationnel et physique (6/10)
 Phase 2 : Audit organisationnel et physique (7/10)
Traduction graphique des résultats obtenus
Une synthèse globale est présentée selon le diagramme de Kiviat qui illustre les
résultats de l’audit suivant les 14 domaines décrits dans l’ISO 27002 : 2013

19
 Phase 2 : Audit organisationnel et physique (8/10)

Trois grandes composantes de la probabilité

 Phase 2 : Audit organisationnel et physique (9/10)
La compagnie ABC dépose des documents confiden/els sur son site Web hébergé chez un
fournisseur de services Internet
 Phase 2 : Audit organisationnel et physique (10/10)
Délivrables de la phase d’audit organisationnel et physique

v  Les rapports livrés à la fin de ceDe phase seront cons/tués des par/es suivantes :


§  Rapport sur l’étude de la situa/on existante en terme de sécurité au niveau
du site audité

§  Rapport d’audit organisa/onnel et physique, couvrant les composantes

organisa/onnelles, physiques et les éventuelles vulnérabilités de ges/on des
composantes du système (réseau, systèmes, applica/ons, ou/ls de sécurité,
centre de calcul, Plans de con/nuité) et les recommanda/ons
correspondantes pour la poli/que de sécurité.
 Phase 3: Audit technique (1/3)
v  Objec7f : déterminer si les firewalls, serveurs web, routeurs, connexions distantes,
connexion sans fils, applica/ons, sont configurés et mis en œuvre de manière
adéquate au regard des risques encourus

v  L’audit technique permet la détec/on des types de vulnérabilités suivantes, à savoir :

§  Les erreurs de programma/on et erreurs d’architecture.

§  Les erreurs de configura/ons des composants logiques installés tels que les ports
ouverts sur les machines, la présence de fichiers de configura/on installés par
défaut, l’u/lisa/on de comptes u/lisateurs par défaut.

§  Les problèmes au niveau de trafic réseau (flux ou trafic non répertoriés, écoute
réseau, etc …).

§  Les problèmes de configura/on des équipements d’interconnexion et de contrôle
d’accès réseau
 Phase 3: Audit technique (2/3)

v  Cet audit s’applique aux environnements suivants :

§  Réseau d’accès Internet,

§  réseau d’interconnexion intersites

§  Serveurs internes du site audité et les postes sensibles du LAN (Local Area Network)

§  Systèmes cri/ques spécifiques.

§  Composants et équipements ac/fs de l’infrastructure réseau du site audité (firewalls,

routeurs filtrants, commutateurs niveau 3, etc…)
 Phase 3: Audit technique (3/3)

Pour approfondir la dimension technique de l’audit de sécurité, des grilles

d’investigation sont nécessaires pour chaque composante du système d’information.
Audit d’un poste de
Audit de la connexion Internet Audit des accès distants travail

Audit de la Audit de
Gestion la solution Anti-vir
des Tiers

Revue du
plan de continuité

Audit de Gestion d’Incident

 Outils d’audit technique : NetworkView

Ce logiciel donne un plan complet de la configuration du réseau de l’entreprise à

auditer et analyse s'il est bien sécurisé.
 Outils d’audit technique : Wireshark (1/2)

Wireshark est un logiciel permettant l'interception et l'analyse des paquets

transitant sur le réseau de l’entreprise.
Outils d’audit technique : Wireshark (2/2)
 Outils d’audit technique : Nessus (1/2)

Nessus est un scanner de vulnérabilité,

Il signale les faiblesses potentielles ou
avérées sur les machines testées.

Il fournit :

v  les services vulnérables à des

attaques permettant l'accès à des
informations sensibles (lecture de
fichiers confidentiels par exemple),

v  les fautes de configuration

v  Des solutions

Le résultat de ce scanne est présenté sous forme de rapport (en page Html) qui
con7ent une descrip7on des vulnérabilités déceler de façon à les corriger
Outils d’audit technique : Nessus (2/2)
 Phase 4 : Audit Intrusif (1/3)

Indépendamment de la mise en œuvre des mesures de sécurité, un audit de leur

efficacité doit permettre de s’assurer qu’aucune vulnérabilité ne puisse porter atteinte
à la confidentialité, l’intégrité ou la disponibilité de l’information.

Test d’Intrusion (Audit intrusif)

Objectif : Pour s’assurer de la sécurité de l’Infrastructure face à des scénarii
d’attaques de personnes malveillantes (pirate, prestataire, ex- employé, utilisateur
interne …)

22
 Phase 4 : Audit Intrusif (2/3)

Tests de vulnérabilités ou tests d’intrusion

Test d’intrusion externe

Test d’intrusion interne
 Phase 4 : Audit Intrusif (3/3)

v  Le test intrusif externe a pour objec/f de simuler le comportement d’un /ers

malveillant n’ayant aucune connaissance préalable de votre système d’informa/on
et qui essaie d’y accéder depuis Internet. Ce test est communément appelé test en
« black box » (boite noire).

v  Le test intrusif interne (boite blanche) est un test qui se fait avec connaissance
totale du Système d’Informa/on local
 Phase 5 : Rapport d’audit (1/2)

La phase finale du processus d’audit Sécurité est consacrée à la rédac/on des

rapports de synthèse :

v  Recueil des principales vulnérabilités et insuffisances décelées.
v  Synthèse des solu/ons et ou/ls de sécurité proposés,
v  Synthèse des recommanda/ons de mise en œuvre (organisa/onnelles,
physiques et techniques),
v  Esquisse d’un plan d’ac/on sécurité (Es/ma/on des budgets à allouer pour la
mise en œuvre des mesures recommandées).
Phase 5 : Rapport d’audit (2/2)