SlideShare ist ein Scribd-Unternehmen logo

Audit

Als PPT, PDF herunterladen
zan
zan

Audit

1 von 34
Institut Supérieur de Gestion de Tunis Audit et sécurité des systèmes d’information Réalisé par Olfa Mechi mechi_olfa@yahoo.fr 2009-2010
Objectifs Objectif du cours Maîtriser les notions de base relatives à la sécurité Connaitre les objectifs de la sécurité et les mécanismes à mettre en place pour assurer la sécurité des systèmes d’information Connaitre les notions de base relatives à l’audit informatique Volume horaire : 30 min 18/10/13 Audit et sécurité des SI _ Olfa Mechi 2/34
Références Livre « Systèmes d’informations organisationnelles (Tome 2) »:chapitre XI de M Louadi Cours sécurité informatique de Mr Nouaari Hichem (2009/2010) Cours Introduction à la Sécurité Informatique de Abderrazak JEMAI Algorithmes de Chiffrement et Communications sécurisées Abderrazak JEMAI Livre « AUDIT DES SYSTEMES D’INFORMATION AUTOMATISES ET OUTILS INFORMATIQUES DE L’AUDITEUR » Cours Type d'attaques de Stéphane Gill  Le programme national « Sécurité des systèmes d’information » www.e-picardie.net OFFICE QUEBECOIS DE LA LANGUE FRANCAISE. Sécurité informatique : définition. In : BVc 18/10/13 Audit et sécurité des SI _ Olfa Mechi 3/34
Partie I:Securité des systèmes informations 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 4/34
Plan Definitions Objectifs de la sécurité informatique Sources de vulnérabilité des systèmes informatiques Types des menaces Origines et types des attaques Les effets d’une attaque Principaux outils de défense Politique de sécurité 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 5/34
Définitions (1/3) système d’information :  L’ensemble des moyens nécessaires à l’élaboration, au traitement, au stockage, à l’acheminement et à l’exploitation des informations SI représente un patrimoine essentiel de l’entreprise la confidentialité et la disponibilité de l’information constitue un enjeu très important pour la compétitivité de l’entreprise 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 6/34
Définitions (2/3) La sécurité du système d’information :  Ensemble de mesures de sécurité physique, logique, administrative et de mesures d'urgence, mises en place dans une organisation, en vue d'assurer: La confidentialité des données de son système d'information  La protection de ses biens informatiques la continuité de service OFFICE QUEBECOIS DE LA LANGUE FRANCAISE. Sécurité informatique : définition. In : BVc 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 7/34
Définitions (3/3) Les systèmes informatiques sont au cœur des systèmes d´information Ils sont devenus la cible de ceux qui convoitent l’information  Assurer la sécurité de l’information implique l’assurance la sécurité des systèmes informatiques. La sécurité informatique La science qui permet de s’assurer que celui qui consulte ou modifie des données du système en a l’autorisation 18/10/13 Cours A. Jemai - Introduction à la Sécurité Informatique-2008 Partie I_ Audit et sécurité des SI _ Olfa Mechi 8/34
. Objectifs de la sécurité informatique Les principaux objectifs à garantir: Authentification : vérifier l’identité des personnes qui veulent manipuler l’information Confidentialité : L’information ne peut être connue que par les personnes autorisées Disponibilité : Intégrité : Non répudiation : 18/10/13 L’information doit être utilisable à la demande L’information ne doit pas être altérée ou détruite par accident ou malveillance L’absence de possibilité de contestation d’une action une fois celle-ci est effectuée Partie I_ Audit et sécurité des SI _ Olfa Mechi 9/34
Pourquoi les systèmes sont-ils vulnérables ?(1/2) Vulnérabilité Faille ou bug pouvant être utilisé pour obtenir un niveau d’accès illicite à une ressource d’informations ou des privilèges supérieurs à ceux considérés comme normaux pour cette ressource La vulnérabilité caractérise les composants du système(matériel, logiciel, les règles, les procédures, personnel) susceptibles d’être attaquées avec succès Une vulnérabilité est exploitée par une menace pour causer une perte Exemples de vulnérabilités :  Utilisation des mots de passe non robustes Présence de comptes non protégés par mot de passe 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 10/34
Pourquoi les systèmes sont-ils vulnérables ?(2/2) La sécurité est cher et difficile: Les organisations n’ont pas de budget pour ça La sécurité ne peut être sûr à 100%, elle est même souvent inefficace La politique de sécurité est complexe et basée sur des jugements humains Les organisations acceptent de courir le risque, la sécurité n’est pas une priorité De nouvelles technologies (et donc vulnérabilités) émergent en permanence Les systèmes de sécurité sont faits, gérés et configurés par des hommes … 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 11/34
Les types des menaces(1/2) 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi z 12
Les types des menaces(2/2) accidentelle intentionnels  Panne disque  Le vol  Chute de tension  L’écoute  Echange des disquettes infectée …  La fouille … Livre de « Systèmes d’informations organisationnelles (Tome 2) »:chapitre XI de M louadi 18/10/13 13/34 Partie I_ Audit et sécurité des SI _ Olfa Mechi
Les Types d’attaques(1/5) Les attaques d’accès Les attaques de modification Les attaques par saturation (déni de service) Les attaques de répudiation Attaque = cible + méthode + Vulnérabilités Attaque = cible + méthode + Vulnérabilités 18/10/13 Type d'attaques Stéphane Gill 14/34 Partie I_ Audit et sécurité des SI _ Olfa Mechi
Les Types d’attaques(2/5) Les attaques d’accès  Ingénierie sociale : L’attaquant établit des relations avec le personnel pour obtenir des informations sur les mots de passe, La topologie du réseau,…  Portes dérobées (backdoors) : injecter un code dans la cible pour l’exploiter plus tard  Sniffing : L’attaquant se met à l’écoute sur le réseau pour obtenir des informations … Type d'attaques Stéphane Gill 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 15/34
Les Types d’attaques(3/5) Les attaques de modification Virus: un programme caché dans un autre qui peut s’exécuter et se reproduire en infectant d’autres programmes ou d’autres ordinateurs Ver: un programme qui se copie lui-même mais qui n’affecte pas d’autres fichiers  relâcher un ver dans internet permet de ralentir le trafic Bombe logique: un programme qui se déclenche à une date ou à un instant donnée Macro virus: Ils sont insérés dans certains fichiers d’extensions doc, xls, ppt… et ils donnent la possibilité d’exécuter de petits programmes spécifiques sur le document qui les contient cheval de Troie: est un programme qui lui est un ver ou autre type de programme aux effets pervers Livre de « Systèmes d’informations organisationnelles (Tome 2) »:chapitre XI de M louadi 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 16/34
Les Types d’attaques(4/5) Les attaques par saturation (déni de Le flooding: Envoyer à une machine de nombreux paquets IP de service) grosse taille. La machine cible ne pourra pas traiter tous les paquets et finira par se déconnecter du réseau. Le smurf: S’appuie sur le ping et les serveurs de broadcast . On falsifie d’abord son adresse IP pour se faire passer pour la machine cible Le débordement de tampon: On envoie à la machine cible des données d’une taille supérieure à la capacité d’un paquet. Celui-ci sera alors fractionné pour l’envoi et rassemblé par la machine cible il y aura débordement des variables internes. 18/10/13 Type d'attaques Stéphane Gill 17/34 Partie I_ Audit et sécurité des SI _ Olfa Mechi
Les Types d’attaques(5/5) Les attaques de répudiation Le IP spoofing: se faire passer pour une autre machine en falsifiant son adresse IP (Elle est en fait assez complexe) Travail à faire :différence entre IP spoofing et smurf Type d'attaques Stéphane Gill 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 18/34
Les effets d’une attaque Attaque passive : c’est la moins dangereuse - Ne modifie pas l’information - Consultation de l’information Attaque active : ce type d’attaque est dangereux - Modifie l’état d’une information, d’un serveur ou d’une communication - Connexion frauduleuse à un host ou un réseau - Altération des messages en transit sur un réseau (Denis de service) 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 19/34
Qui représente un danger ? Des utilisateurs  Pirate : celui qui distribue et vend des logiciels protégés sous copyright  Hacker : Celui qui visite des ordinateurs qui ne lui appartiennent pas sans leurs causer des dommages mais pour personnaliser son système  Cracker :celui qui veut casser un système et causer des dommages Les espions: Pirate payé par une entreprise ou un organisme concurrent pour récolter (de façon frauduleuse) des informations sur un domaine précis 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 20/34
Principaux outils de défense (1/5) Cryptographie : Technique utilisée pour assurer la confidentialité des informations Fondée sur des algorithmes mathématiques pour rendre les données illisibles pour les personnes non autorisées Utilisée lors des échanges des informations ou pour minimiser les dégâts des vols(des ordinateurs portables, des disques,…) 18/10/13 Algorithmes de Chiffrement et Communications sécurisées Abderrazak JEMAI 21/34 Partie I_ Audit et sécurité des SI _ Olfa Mechi
Principaux outils de défense (2/5) La signature numérique  Un moyen qui permet de garantir l’intégrité du message lors des échanges des données  Le principe de la signature numérique consiste à appliquer une fonction mathématique sur une portion du message qui est utilisé comme emprunte digitale pour ce message 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 22/34
Principaux outils de défense (3/5) Firewalls : Un firewall est un système ou un groupe de système qui gère les contrôles d’accès entre deux réseaux Agit comme une barrière entre le réseau interne de l’entreprise et l’extérieur Résea u interne STO P Firewal l STO P Extérieur  Protéger l’entreprise des intrus et des accès non identifiés La sécurité des réseaux http://www.guill.net/ 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 23/34
Principaux outils de défense (4/5) IDS (outil de Détection d’intrusion): Ce logiciel émet une alarme lorsqu'il détecte que quelqu'un de non-autorisé est entré sur le réseau Essaie de détecter toute violation de privilège interne ou externe Types des IDS: -Les scanners des vulnérabilités testent la cible afin d’identifier quelles sont les failles connues du système -Les IDS host based détectent des intrusions sur les hosts sur lesquels sont installés -Les IDS network based observent le trafic réseau directement 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 24/34
Principaux outils de défense (5/5) Serveur Proxy Antivirus Programme de test de vulnérabilité … 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 25/34
Politique de sécurité (1/2) Ensemble de règles spécifiant: -Comment les ressources sont gérées afin de satisfaire les exigences de la sécurité - Quels sont les actions permises et les actions interdites  Objectif: Empêcher les violations de sécurité telles que: accès non autorisé, perte de données, interruption de services, etc Implémentation: Partiellement automatisée, mais toutes les personnes sont impliquées. 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 26/34
Politique de sécurité (2/2) Domaine d’application: Elle doit fixer l’ensemble du personnel qui doit la respecter et l’appliquer Domaine de responsabilité: administrateur système, … Définit les règles pour : La gestion des mots de passe  L’authentification des utilisateurs  Le contrôle d’accès (réseau et système) L’architecture du réseau  La sécurité du personnel (formation, …)  La sécurité physique, etc. … 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 27/34
Partie II: Audit des systèmes informatiques 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 28/34
Plan Definitions Objectifs de l’audit informatique Travaux de l’audit informatique Les outils de l’auditeur informatique 18/10/13 Partie II_ Audit et sécurité des SI _ Olfa Mechi 29/34
Définitions Audit L’audit est l’examen d’une situation, d’un système d’informations, d’une organisation pour porter un jugement C’est la comparaison entre ce qui est observé et ce que cela devrait être, selon un système de références. Audit informatique l’audit informatique apporte : -Un conseil en organisation fourni par des spécialistes extérieurs -Le moyen d’accompagner et de justifier la mise en place de nouvelles structures ou de nouvelles méthodes 18/10/13 Partie II_ Audit et sécurité des SI _ Olfa Mechi 30/34
Les objectifs de l’audit informatique l’audit informatique concerne :  Les aspects stratégiques : conception et planification de la mise en œuvre du système d’informations  L’environnement et l’organisation générale de la gestion de l’informatique  Les activités courantes de gestion de l’informatique  Les ressources informatiques mises en service Les applications informatiques en service La sécurité 18/10/13 Partie II_ Audit et sécurité des SI _ Olfa Mechi 31/34
Travaux D’audit informatique Mission Evaluer: L'infrastructure informatique Une application informatique Un système ou une application informatique en cours de réalisation … Livrable Rapports contenant les faiblesses relevées Mesures proposées pour réduire et contrôles des risques des nouveaux systèmes … 18/10/13 Partie II_ Audit et sécurité des SI _ Olfa Mechi 32/34
Les outils de l’auditeur informatique L’auditeur informatique peut disposer de deux types d’outils importants dans le cadre de son activité :  Les méthodes d’analyse des risques informatiques  Les progiciels d’audit 18/10/13 Partie II_ Audit et sécurité des SI _ Olfa Mechi 33/34
Synthèse Aucune sécurité n'est parfaite Des outils sont nécessaires, mais le travail quotidien est indispensable  La sécurité n'apporte qu'un gain indirect. Par conséquent, il n'est pas facile de convaincre les décideurs de l'entreprise Le seul système informatique qui est vraiment sûr est un système éteint et débranché, enfermé dans un blockhaus sous terre, entouré par des gaz mortels et des gardiens hautement payés et armés. 18/10/13 Audit et sécurité des SI _ Olfa Mechi 34/34

Empfohlen

Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 

Empfohlen

Audit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationAudit et sécurité des systèmes d'information
Audit et sécurité des systèmes d'informationManuel Cédric EBODE MBALLA
 
Sécurité informatique
Sécurité informatiqueSécurité informatique
Sécurité informatiqueoussama Hafid
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueSaber Ferjani
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...mouliom matapit hermann cedric
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Mehari
MehariMehari
MehariHouda Elmoutaoukil
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit pptHajar Idehou
 

Weitere ähnliche Inhalte

Was ist angesagt?

Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asrTECOS
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)Diane de Haan
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEhpfumtchum
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détectionManassé Achim kpaya
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesMaxime ALAY-EDDINE
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques InformatiquesSylvain Maret
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Alaaeddine Tlich
 
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...mouliom matapit hermann cedric
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 

Was ist angesagt? (20)

Cours sécurité 2_asr
Cours sécurité 2_asrCours sécurité 2_asr
Cours sécurité 2_asr
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
Sécurité informatique - Etat des menaces
Sécurité informatique - Etat des menacesSécurité informatique - Etat des menaces
Sécurité informatique - Etat des menaces
 
Attaques Informatiques
Attaques InformatiquesAttaques Informatiques
Attaques Informatiques
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
 
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...
MISE EN PLACE DE SERVICES RESEAUX ET OPTIMISATION DE LA SECURITE AU SEIN DE l...
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Mehari
MehariMehari
Mehari
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 

Andere mochten auch

Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
Audit-audit-interne
Audit-audit-interneAudit-audit-interne
Audit-audit-interneWidad Naciri
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'auditBRAHIM MELLOUL
 
Conduite d'une mission d'audit interne
Conduite d'une mission d'audit interneConduite d'une mission d'audit interne
Conduite d'une mission d'audit internePasteur_Tunis
 
Audit SEO : les clés de la réussite
Audit SEO : les clés de la réussiteAudit SEO : les clés de la réussite
Audit SEO : les clés de la réussiteDaniel Roch - SeoMix
 
Audit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniquesAudit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniquestoutou0071
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’informationlara houda
 
ImagineCamps certification
ImagineCamps certificationImagineCamps certification
ImagineCamps certificationoussama Hafid
 
2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués
2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués
2015 Audit et Tests sécurité sur systèmes industriels et ou embarquésRajiv Ryan
 
Analyse des organisations
Analyse des organisationsAnalyse des organisations
Analyse des organisationsManon Cuylits
 
Comment changer de cabinet d'expertise comptable ?
Comment changer de cabinet d'expertise comptable ?Comment changer de cabinet d'expertise comptable ?
Comment changer de cabinet d'expertise comptable ?FIDAQUITAINE
 
Presentation BNI DTA Expertise Expert comptable
Presentation BNI DTA Expertise Expert comptablePresentation BNI DTA Expertise Expert comptable
Presentation BNI DTA Expertise Expert comptableFabian Puech
 

Andere mochten auch (20)

Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit ppt
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
audit 2009
audit 2009 audit 2009
audit 2009
 
Audit-audit-interne
Audit-audit-interneAudit-audit-interne
Audit-audit-interne
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
 
Rapport PFE
Rapport PFERapport PFE
Rapport PFE
 
Qu'est ce qu'un audit
Qu'est ce qu'un auditQu'est ce qu'un audit
Qu'est ce qu'un audit
 
Conduite d'une mission d'audit interne
Conduite d'une mission d'audit interneConduite d'une mission d'audit interne
Conduite d'une mission d'audit interne
 
Audit SEO : les clés de la réussite
Audit SEO : les clés de la réussiteAudit SEO : les clés de la réussite
Audit SEO : les clés de la réussite
 
Audit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniquesAudit comptable-financier-objectifs-demarches-et-techniques
Audit comptable-financier-objectifs-demarches-et-techniques
 
J2 me
J2 meJ2 me
J2 me
 
La sécurité des systèmes d’information
La sécurité des systèmes d’informationLa sécurité des systèmes d’information
La sécurité des systèmes d’information
 
ImagineCamps certification
ImagineCamps certificationImagineCamps certification
ImagineCamps certification
 
2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués
2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués
2015 Audit et Tests sécurité sur systèmes industriels et ou embarqués
 
Makrem DJEBALI CV
Makrem DJEBALI CVMakrem DJEBALI CV
Makrem DJEBALI CV
 
Analyse des organisations
Analyse des organisationsAnalyse des organisations
Analyse des organisations
 
Comment changer de cabinet d'expertise comptable ?
Comment changer de cabinet d'expertise comptable ?Comment changer de cabinet d'expertise comptable ?
Comment changer de cabinet d'expertise comptable ?
 
Controle comptes
Controle comptesControle comptes
Controle comptes
 
Presentation BNI DTA Expertise Expert comptable
Presentation BNI DTA Expertise Expert comptablePresentation BNI DTA Expertise Expert comptable
Presentation BNI DTA Expertise Expert comptable
 

Ähnlich wie Audit

Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptxZokomElie
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfFootballLovers9
 
Cours 1.pdf
Cours 1.pdfCours 1.pdf
Cours 1.pdfbkeit11
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdfbadrboutouja1
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéOUSMANESoumailaYaye
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA TidianeCYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane@aboukam (Abou Kamagaté)
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfsimogamer3
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques Manuel Cédric EBODE MBALLA
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.pptNatijTDI
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfFootballLovers9
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfFootballLovers9
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxBernardKabuatila
 
8-securite_reseaux.pdf
8-securite_reseaux.pdf8-securite_reseaux.pdf
8-securite_reseaux.pdfssuserbd922f
 
la sécurité informatique
la sécurité informatique la sécurité informatique
la sécurité informatique Mohamed Aguezzar
 

Ähnlich wie Audit (20)

Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
resume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdfresume-theorique-m108-3005-6298a1255e18a.pdf
resume-theorique-m108-3005-6298a1255e18a.pdf
 
Cours 1.pdf
Cours 1.pdfCours 1.pdf
Cours 1.pdf
 
1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf1- Les bases de la sécurité informatique.pdf
1- Les bases de la sécurité informatique.pdf
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA TidianeCYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
CYBERCRIMINALITES : DEFIS ET STRATEGIES D'UN PAYS EMERGENT par DOUMBIA Tidiane
 
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdfCopy of PARTIE-1 Introduction à la cyber sécurité.pdf
Copy of PARTIE-1 Introduction à la cyber sécurité.pdf
 
petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques petit cours sur la sécurité des réseaux informatiques
petit cours sur la sécurité des réseaux informatiques
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.ppt
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
RESUMT_1.PDF
RESUMT_1.PDFRESUMT_1.PDF
RESUMT_1.PDF
 
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdfresume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
resume-theorique-m107-3003-version-provisoire-6246c8ad85380 (1).pdf
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
 
siris1.pdf
siris1.pdfsiris1.pdf
siris1.pdf
 
Sécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potxSécurité Informatique_Licence 2 Rx UKV.potx
Sécurité Informatique_Licence 2 Rx UKV.potx
 
8-securite_reseaux.pdf
8-securite_reseaux.pdf8-securite_reseaux.pdf
8-securite_reseaux.pdf
 
la sécurité informatique
la sécurité informatique la sécurité informatique
la sécurité informatique
 

Mehr von zan

Gnu linux advanced administration arabic
Gnu linux advanced administration arabicGnu linux advanced administration arabic
Gnu linux advanced administration arabiczan
 
Apprendre python3 arab
Apprendre python3 arabApprendre python3 arab
Apprendre python3 arabzan
 
Scilabisnotnaive
ScilabisnotnaiveScilabisnotnaive
Scilabisnotnaivezan
 
Guide scilab
Guide scilabGuide scilab
Guide scilabzan
 
Mémento caml
Mémento camlMémento caml
Mémento camlzan
 
Aide mémoire de caml
Aide mémoire de camlAide mémoire de caml
Aide mémoire de camlzan
 
Caml intro
Caml introCaml intro
Caml introzan
 
Blue j
Blue jBlue j
Blue jzan
 
Cours c#
Cours c#Cours c#
Cours c#zan
 
Fonctionnement d'un reseau
Fonctionnement d'un reseauFonctionnement d'un reseau
Fonctionnement d'un reseauzan
 
Php mysql cours
Php mysql coursPhp mysql cours
Php mysql courszan
 
Architecture
ArchitectureArchitecture
Architecturezan
 
77232345 cours-ip-mobile
77232345 cours-ip-mobile77232345 cours-ip-mobile
77232345 cours-ip-mobilezan
 
Réseaux
RéseauxRéseaux
Réseauxzan
 

Mehr von zan (14)

Gnu linux advanced administration arabic
Gnu linux advanced administration arabicGnu linux advanced administration arabic
Gnu linux advanced administration arabic
 
Apprendre python3 arab
Apprendre python3 arabApprendre python3 arab
Apprendre python3 arab
 
Scilabisnotnaive
ScilabisnotnaiveScilabisnotnaive
Scilabisnotnaive
 
Guide scilab
Guide scilabGuide scilab
Guide scilab
 
Mémento caml
Mémento camlMémento caml
Mémento caml
 
Aide mémoire de caml
Aide mémoire de camlAide mémoire de caml
Aide mémoire de caml
 
Caml intro
Caml introCaml intro
Caml intro
 
Blue j
Blue jBlue j
Blue j
 
Cours c#
Cours c#Cours c#
Cours c#
 
Fonctionnement d'un reseau
Fonctionnement d'un reseauFonctionnement d'un reseau
Fonctionnement d'un reseau
 
Php mysql cours
Php mysql coursPhp mysql cours
Php mysql cours
 
Architecture
ArchitectureArchitecture
Architecture
 
77232345 cours-ip-mobile
77232345 cours-ip-mobile77232345 cours-ip-mobile
77232345 cours-ip-mobile
 
Réseaux
RéseauxRéseaux
Réseaux
 

Audit

  • 1. Institut Supérieur de Gestion de Tunis Audit et sécurité des systèmes d’information Réalisé par Olfa Mechi mechi_olfa@yahoo.fr 2009-2010
  • 2. Objectifs Objectif du cours Maîtriser les notions de base relatives à la sécurité Connaitre les objectifs de la sécurité et les mécanismes à mettre en place pour assurer la sécurité des systèmes d’information Connaitre les notions de base relatives à l’audit informatique Volume horaire : 30 min 18/10/13 Audit et sécurité des SI _ Olfa Mechi 2/34
  • 3. Références Livre « Systèmes d’informations organisationnelles (Tome 2) »:chapitre XI de M Louadi Cours sécurité informatique de Mr Nouaari Hichem (2009/2010) Cours Introduction à la Sécurité Informatique de Abderrazak JEMAI Algorithmes de Chiffrement et Communications sécurisées Abderrazak JEMAI Livre « AUDIT DES SYSTEMES D’INFORMATION AUTOMATISES ET OUTILS INFORMATIQUES DE L’AUDITEUR » Cours Type d'attaques de Stéphane Gill  Le programme national « Sécurité des systèmes d’information » www.e-picardie.net OFFICE QUEBECOIS DE LA LANGUE FRANCAISE. Sécurité informatique : définition. In : BVc 18/10/13 Audit et sécurité des SI _ Olfa Mechi 3/34
  • 4. Partie I:Securité des systèmes informations 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 4/34
  • 5. Plan Definitions Objectifs de la sécurité informatique Sources de vulnérabilité des systèmes informatiques Types des menaces Origines et types des attaques Les effets d’une attaque Principaux outils de défense Politique de sécurité 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 5/34
  • 6. Définitions (1/3) système d’information :  L’ensemble des moyens nécessaires à l’élaboration, au traitement, au stockage, à l’acheminement et à l’exploitation des informations SI représente un patrimoine essentiel de l’entreprise la confidentialité et la disponibilité de l’information constitue un enjeu très important pour la compétitivité de l’entreprise 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 6/34
  • 7. Définitions (2/3) La sécurité du système d’information :  Ensemble de mesures de sécurité physique, logique, administrative et de mesures d'urgence, mises en place dans une organisation, en vue d'assurer: La confidentialité des données de son système d'information  La protection de ses biens informatiques la continuité de service OFFICE QUEBECOIS DE LA LANGUE FRANCAISE. Sécurité informatique : définition. In : BVc 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 7/34
  • 8. Définitions (3/3) Les systèmes informatiques sont au cœur des systèmes d´information Ils sont devenus la cible de ceux qui convoitent l’information  Assurer la sécurité de l’information implique l’assurance la sécurité des systèmes informatiques. La sécurité informatique La science qui permet de s’assurer que celui qui consulte ou modifie des données du système en a l’autorisation 18/10/13 Cours A. Jemai - Introduction à la Sécurité Informatique-2008 Partie I_ Audit et sécurité des SI _ Olfa Mechi 8/34
  • 9. . Objectifs de la sécurité informatique Les principaux objectifs à garantir: Authentification : vérifier l’identité des personnes qui veulent manipuler l’information Confidentialité : L’information ne peut être connue que par les personnes autorisées Disponibilité : Intégrité : Non répudiation : 18/10/13 L’information doit être utilisable à la demande L’information ne doit pas être altérée ou détruite par accident ou malveillance L’absence de possibilité de contestation d’une action une fois celle-ci est effectuée Partie I_ Audit et sécurité des SI _ Olfa Mechi 9/34
  • 10. Pourquoi les systèmes sont-ils vulnérables ?(1/2) Vulnérabilité Faille ou bug pouvant être utilisé pour obtenir un niveau d’accès illicite à une ressource d’informations ou des privilèges supérieurs à ceux considérés comme normaux pour cette ressource La vulnérabilité caractérise les composants du système(matériel, logiciel, les règles, les procédures, personnel) susceptibles d’être attaquées avec succès Une vulnérabilité est exploitée par une menace pour causer une perte Exemples de vulnérabilités :  Utilisation des mots de passe non robustes Présence de comptes non protégés par mot de passe 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 10/34
  • 11. Pourquoi les systèmes sont-ils vulnérables ?(2/2) La sécurité est cher et difficile: Les organisations n’ont pas de budget pour ça La sécurité ne peut être sûr à 100%, elle est même souvent inefficace La politique de sécurité est complexe et basée sur des jugements humains Les organisations acceptent de courir le risque, la sécurité n’est pas une priorité De nouvelles technologies (et donc vulnérabilités) émergent en permanence Les systèmes de sécurité sont faits, gérés et configurés par des hommes … 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 11/34
  • 12. Les types des menaces(1/2) 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi z 12
  • 13. Les types des menaces(2/2) accidentelle intentionnels  Panne disque  Le vol  Chute de tension  L’écoute  Echange des disquettes infectée …  La fouille … Livre de « Systèmes d’informations organisationnelles (Tome 2) »:chapitre XI de M louadi 18/10/13 13/34 Partie I_ Audit et sécurité des SI _ Olfa Mechi
  • 14. Les Types d’attaques(1/5) Les attaques d’accès Les attaques de modification Les attaques par saturation (déni de service) Les attaques de répudiation Attaque = cible + méthode + Vulnérabilités Attaque = cible + méthode + Vulnérabilités 18/10/13 Type d'attaques Stéphane Gill 14/34 Partie I_ Audit et sécurité des SI _ Olfa Mechi
  • 15. Les Types d’attaques(2/5) Les attaques d’accès  Ingénierie sociale : L’attaquant établit des relations avec le personnel pour obtenir des informations sur les mots de passe, La topologie du réseau,…  Portes dérobées (backdoors) : injecter un code dans la cible pour l’exploiter plus tard  Sniffing : L’attaquant se met à l’écoute sur le réseau pour obtenir des informations … Type d'attaques Stéphane Gill 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 15/34
  • 16. Les Types d’attaques(3/5) Les attaques de modification Virus: un programme caché dans un autre qui peut s’exécuter et se reproduire en infectant d’autres programmes ou d’autres ordinateurs Ver: un programme qui se copie lui-même mais qui n’affecte pas d’autres fichiers  relâcher un ver dans internet permet de ralentir le trafic Bombe logique: un programme qui se déclenche à une date ou à un instant donnée Macro virus: Ils sont insérés dans certains fichiers d’extensions doc, xls, ppt… et ils donnent la possibilité d’exécuter de petits programmes spécifiques sur le document qui les contient cheval de Troie: est un programme qui lui est un ver ou autre type de programme aux effets pervers Livre de « Systèmes d’informations organisationnelles (Tome 2) »:chapitre XI de M louadi 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 16/34
  • 17. Les Types d’attaques(4/5) Les attaques par saturation (déni de Le flooding: Envoyer à une machine de nombreux paquets IP de service) grosse taille. La machine cible ne pourra pas traiter tous les paquets et finira par se déconnecter du réseau. Le smurf: S’appuie sur le ping et les serveurs de broadcast . On falsifie d’abord son adresse IP pour se faire passer pour la machine cible Le débordement de tampon: On envoie à la machine cible des données d’une taille supérieure à la capacité d’un paquet. Celui-ci sera alors fractionné pour l’envoi et rassemblé par la machine cible il y aura débordement des variables internes. 18/10/13 Type d'attaques Stéphane Gill 17/34 Partie I_ Audit et sécurité des SI _ Olfa Mechi
  • 18. Les Types d’attaques(5/5) Les attaques de répudiation Le IP spoofing: se faire passer pour une autre machine en falsifiant son adresse IP (Elle est en fait assez complexe) Travail à faire :différence entre IP spoofing et smurf Type d'attaques Stéphane Gill 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 18/34
  • 19. Les effets d’une attaque Attaque passive : c’est la moins dangereuse - Ne modifie pas l’information - Consultation de l’information Attaque active : ce type d’attaque est dangereux - Modifie l’état d’une information, d’un serveur ou d’une communication - Connexion frauduleuse à un host ou un réseau - Altération des messages en transit sur un réseau (Denis de service) 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 19/34
  • 20. Qui représente un danger ? Des utilisateurs  Pirate : celui qui distribue et vend des logiciels protégés sous copyright  Hacker : Celui qui visite des ordinateurs qui ne lui appartiennent pas sans leurs causer des dommages mais pour personnaliser son système  Cracker :celui qui veut casser un système et causer des dommages Les espions: Pirate payé par une entreprise ou un organisme concurrent pour récolter (de façon frauduleuse) des informations sur un domaine précis 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 20/34
  • 21. Principaux outils de défense (1/5) Cryptographie : Technique utilisée pour assurer la confidentialité des informations Fondée sur des algorithmes mathématiques pour rendre les données illisibles pour les personnes non autorisées Utilisée lors des échanges des informations ou pour minimiser les dégâts des vols(des ordinateurs portables, des disques,…) 18/10/13 Algorithmes de Chiffrement et Communications sécurisées Abderrazak JEMAI 21/34 Partie I_ Audit et sécurité des SI _ Olfa Mechi
  • 22. Principaux outils de défense (2/5) La signature numérique  Un moyen qui permet de garantir l’intégrité du message lors des échanges des données  Le principe de la signature numérique consiste à appliquer une fonction mathématique sur une portion du message qui est utilisé comme emprunte digitale pour ce message 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 22/34
  • 23. Principaux outils de défense (3/5) Firewalls : Un firewall est un système ou un groupe de système qui gère les contrôles d’accès entre deux réseaux Agit comme une barrière entre le réseau interne de l’entreprise et l’extérieur Résea u interne STO P Firewal l STO P Extérieur  Protéger l’entreprise des intrus et des accès non identifiés La sécurité des réseaux http://www.guill.net/ 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 23/34
  • 24. Principaux outils de défense (4/5) IDS (outil de Détection d’intrusion): Ce logiciel émet une alarme lorsqu'il détecte que quelqu'un de non-autorisé est entré sur le réseau Essaie de détecter toute violation de privilège interne ou externe Types des IDS: -Les scanners des vulnérabilités testent la cible afin d’identifier quelles sont les failles connues du système -Les IDS host based détectent des intrusions sur les hosts sur lesquels sont installés -Les IDS network based observent le trafic réseau directement 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 24/34
  • 25. Principaux outils de défense (5/5) Serveur Proxy Antivirus Programme de test de vulnérabilité … 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 25/34
  • 26. Politique de sécurité (1/2) Ensemble de règles spécifiant: -Comment les ressources sont gérées afin de satisfaire les exigences de la sécurité - Quels sont les actions permises et les actions interdites  Objectif: Empêcher les violations de sécurité telles que: accès non autorisé, perte de données, interruption de services, etc Implémentation: Partiellement automatisée, mais toutes les personnes sont impliquées. 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 26/34
  • 27. Politique de sécurité (2/2) Domaine d’application: Elle doit fixer l’ensemble du personnel qui doit la respecter et l’appliquer Domaine de responsabilité: administrateur système, … Définit les règles pour : La gestion des mots de passe  L’authentification des utilisateurs  Le contrôle d’accès (réseau et système) L’architecture du réseau  La sécurité du personnel (formation, …)  La sécurité physique, etc. … 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 27/34
  • 28. Partie II: Audit des systèmes informatiques 18/10/13 Partie I_ Audit et sécurité des SI _ Olfa Mechi 28/34
  • 29. Plan Definitions Objectifs de l’audit informatique Travaux de l’audit informatique Les outils de l’auditeur informatique 18/10/13 Partie II_ Audit et sécurité des SI _ Olfa Mechi 29/34
  • 30. Définitions Audit L’audit est l’examen d’une situation, d’un système d’informations, d’une organisation pour porter un jugement C’est la comparaison entre ce qui est observé et ce que cela devrait être, selon un système de références. Audit informatique l’audit informatique apporte : -Un conseil en organisation fourni par des spécialistes extérieurs -Le moyen d’accompagner et de justifier la mise en place de nouvelles structures ou de nouvelles méthodes 18/10/13 Partie II_ Audit et sécurité des SI _ Olfa Mechi 30/34
  • 31. Les objectifs de l’audit informatique l’audit informatique concerne :  Les aspects stratégiques : conception et planification de la mise en œuvre du système d’informations  L’environnement et l’organisation générale de la gestion de l’informatique  Les activités courantes de gestion de l’informatique  Les ressources informatiques mises en service Les applications informatiques en service La sécurité 18/10/13 Partie II_ Audit et sécurité des SI _ Olfa Mechi 31/34
  • 32. Travaux D’audit informatique Mission Evaluer: L'infrastructure informatique Une application informatique Un système ou une application informatique en cours de réalisation … Livrable Rapports contenant les faiblesses relevées Mesures proposées pour réduire et contrôles des risques des nouveaux systèmes … 18/10/13 Partie II_ Audit et sécurité des SI _ Olfa Mechi 32/34
  • 33. Les outils de l’auditeur informatique L’auditeur informatique peut disposer de deux types d’outils importants dans le cadre de son activité :  Les méthodes d’analyse des risques informatiques  Les progiciels d’audit 18/10/13 Partie II_ Audit et sécurité des SI _ Olfa Mechi 33/34
  • 34. Synthèse Aucune sécurité n'est parfaite Des outils sont nécessaires, mais le travail quotidien est indispensable  La sécurité n'apporte qu'un gain indirect. Par conséquent, il n'est pas facile de convaincre les décideurs de l'entreprise Le seul système informatique qui est vraiment sûr est un système éteint et débranché, enfermé dans un blockhaus sous terre, entouré par des gaz mortels et des gardiens hautement payés et armés. 18/10/13 Audit et sécurité des SI _ Olfa Mechi 34/34

Hinweis der Redaktion

  1. {"16":"Une attaque de type « modification » consiste, pour un attaquant à tenter de modifier des\ninformations. Ce type d’attaque est dirigé contre l’intégrité de l’information.\n","33":"Il existe sur le marché des différentes méthodes dont l’objectif est de fournir\nune évaluation globale de sécurité et des risques informatiques au sein d’une\nentreprise.\nLa plus célèbre d’entre elles est incontestablement la méthode MARION ,\nélaborée par le CLUSIF ( Club de la sécurité informatique Française),\nl’APSAIRD ( Assemblée Plénière des Sociétés d’Assurance contre l’incendie et\nles Risques Divers).\nCes méthodes ont toutes en commun de fournir :\n· un questionnaire d’évaluation du risque : chaque question donne lieu à une\nnotation de l’environnement étudié ;\n· une présentation conviviale des résultats de l’évaluation, souvent après saisie\ndes réponses au questionnaire sur un micro-ordinateur et traitement des\nrésultats.\n","22":"Dans toute transaction professionnelle, les deux parties doivent offrir une garantie de leur identité. La signature numérique et le certificat sont des moyens d’identification de l’émetteur du message.\n","17":"Les attaques par saturation sont des attaques informatiques qui consiste à envoyer des milliers\nde messages depuis des dizaines d'ordinateurs, dans le but de submerger les serveurs d'une\nsociété, de paralyser pendant plusieurs heures son site Web et d'en bloquer ainsi l'accès aux\ninternautes.\n","6":" Certaines destructions ou altérations de l’information peuvent Nuire à la crédibilité de l’entreprise Causer des pertes élevées à l’entreprise.\nSi votre partenaire n’est pas sécurisé, votre système d’information pourrait être affecté.\nUn SI comprend :\n- L’information elle-même\n- La manière d’organiser et de structurer l’information\n- Les moyens mis pour le traitement de l’information\n- Les moyens mis pour véhiculer l’information et la rendre disponible\n","12":"Une Attaque : n’importe quelle action qui compromet la sécurité des informations.\n","18":"La répudiation est une attaque contre la responsabilité. Autrement dit, la répudiation consiste à\ntenter de donner de fausses informations ou de nier qu’un événement ou une transaction se\nsoient réellement passé.\n","7":"- la protection de la fiabilité de ces données = la conservation de leur contenu au fil du temps ou lors de leur\nTraitement\n-La sécurité [des systèmes d’information] ne résulte pas d'une accumulation de moyens, mais est\nplutôt associée à une démarche méthodique d'analyse et de réduction des risques. Ainsi, de nombreuses\ntechniques sont mises en oeuvre pour réduire la vulnérabilité vis‐à‐vis des risques informatiques\n; elles concernent notamment l'organisation de l'entreprise, le contrôle des accès aux systèmes\nd'information, la protection des télécommunications, le plan de secours, les consignes de sécurité,\nla qualité des logiciels, les sauvegardes, le chiffrement, …\ncomporte trois aspects :\n- la protection physique des installations\n- la protection des données contre la consultation, la modification ou la dégradation, effectuées de façon volontaire ou accidentelle \npar des personnes non autorisées\n- la protection de la fiabilité de ces données\n","8":"l’essentiel du système d’information est porté par le système informatique et la notion de sécurité informatique recouvre pour l’essentiel la notion de sécurité des systèmes d’information (SSI). \n","14":"-Il existe quatre catégories principales d’attaque \n-Les attaques peuvent être réalisées grâce à des moyens techniques ou par ingénierie sociale.\nL’ingénierie sociale consiste à employer des méthodes non techniques pour obtenir un accès non\nautorisé.\n","20":"Un hacker construit et un cracker detruit\n","9":"Authentification : vérifier l’identité des personnes qui veulent manipuler l’information\nConfidentialité : L’information ne peut être connue que par les personnes autorisées\nDisponibilité : L’information doit être utilisable à la demande\nIntégrité : L’information ne doit pas être altérée, détruite par accident ou malveillance.\n","26":"Étendu: Organisationnel, ou individuel\n","15":"Une attaque d’accès est une tentative d’accès à l’information par une personne non autorisée. Ce\ntype d’attaque concerne la confidentialité de l’information.\n"}