SlideShare ist ein Scribd-Unternehmen logo

Référentiels et Normes pour l'Audit de la Sécurité des SI

Alghajati
Alghajati

Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information.

Leadership & Management
1 von 32
Downloaden Sie, um offline zu lesen
Référentiels et Normes pour l'Audit de la Sécurité des SI Fadhel GHAJATI fadhel.ghajati@ansi.tn Lead Auditor ISO 27001 Risk Manager ISO 27005 Cyber Security Day 2016 Jendouba 13-04-2016
• Introduction • Problématique • L’audit de la sécurité du SI • Types d’audit • ISO 27002 • Référentiel de l’ANSI • Conclusion 2 Plan
Introduction 3
Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information. Un cadre cohérent et organisé. Objectifs et des exigences de sécurité qui traduisent les contraintes et les risques qui pèsent sur le système d’information. L’objectif de ces mesures de sécurité La confidentialité L’intégrité La disponibilité La traçabilité Problématique 4
Contraintes spécifiques (légales et réglementaire) Stratégie de risque de l’entreprise Contraintes spécifiques (légales et réglementaire) Bonnes pratiques Standards, Guidelines Analyse de risque sur un SI Métier Exigences de sécurité Mesures de sécurité Bonnes pratiques Maitrised’ouvrageMaitrise d’ouvre Politique de sécurité Périmètre de l’entreprise Problématique 5
Les questions auxquelles se doivent de répondre les audits de sécurité du SI A quelles exigences légales et réglementaires le Système d’Information est il soumis ? Ces contraintes légales et réglementaires sont elles respectées ? La politique de sécurité est elle alignée sur la stratégie d’entreprise ? L’organisation de la sécurité est elle fonctionnelle ? Les objectifs et contrôles de sécurité sont ils exhaustifs? La continuité des activités de l’entreprise est elle assurée ? Les mesures de sécurité opérationnelles sont elles alignées sur la politique de sécurité ? Les mesures de sécurité opérationnelles mises en place sont elles efficaces ? Pistes de vérification 6
L’audit de sécurité du SI • L’audit de sécurité du système d’information est un examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes. • Compte tenu du cadre de gestion de la sécurité de l’information, les audits de sécurité peuvent adresser des problématiques différentes comme par exemple :  La prise en compte des contraintes,  L’analyse des risques,  La politique de sécurité,  La prise en compte de contraintes spécifiques dans la mise en œuvre d’un système d’information particulier (problématique liée à l’audit des projets),  La mise en œuvre de politique de sécurité,  Les mesures de sécurité. 7
ISO 19011 v 2011 – ISO 27007 Il convient que le programme d’audit comporte les informations et ressources nécessaires pour organiser et réaliser ses audits de façon efficace et effective dans les délais spécifiés. Ce programme peut également inclure: des objectifs pour le programme d’audit et les audits individuels l’étendue/le nombre/les types/la durée/les lieux/le calendrier des audits les procédures de programme d’audit; les critères d’audit; les méthodes d’audit; la constitution des équipes d’audit les ressources nécessaires, y compris les déplacements et l’hébergement; les processus de traitement des questions relatives à la confidentialité, à la sûreté des informations, à la santé et à la sécurité, et autres sujets similaires. 8
Contraintes spécifiques (légales et réglementaire) Stratégie de risque de l’entreprise Contraintes spécifiques (légales et réglementaire) Bonnes pratiques Standards, Guidelines Analyse de risque sur un SI Métier Exigences de sécurité Mesures de sécurité Bonnes pratiques Maitrised’ouvrageMaitrise d’ouvre Politique de sécurité Périmètre de l’entreprise Audit de Sécurité Audit de Sécurité Audit de Sécurité Audit de Sécurité Audit de Sécurité Les types d’audit de sécurité 9
Les principaux types d’audit de sécurité Audit de la politique de sécurité, Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise, aux contraintes légales et réglementaires et aux bonnes pratiques, Test d’intrusion, audit de vulnérabilité sur l’ensemble des composantes du SI … Audit de l’efficacité des mesures de sécurité. Audit de la prise en compte de la sécurité dans un projet Audit de la mise en œuvre de politique de sécurité, Respect des exigences de sécurité au sein de l’entreprise au travers de la mise en œuvre de mesures de sécurité adéquates et pérennes, Audit réglementaire 10
Les référentiels Audit de sécurité Référentiel Audit de la politique de sécurité Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise, aux contraintes légales et réglementaires et aux bonnes pratiques, Contexte légale et réglementaire, Stratégie de risque de l’entreprise, ISO 27002. Audit de la mise en œuvre de la politique de sécurité Respect des exigences de sécurité au sein de l’entreprise au travers de la mise en œuvre de mesures de sécurité adéquates et pérennes Politique de sécurité de l’entreprise, ISO 27002, CoBIT ITIL ISO 20000 Audit de l’efficacité des mesures de sécurité OWASP (Open Web Application Security Project), Information Security Web sites, Bases de vulnérabilités. Audit réglementaire ISO 27002 Référentiel de l’ANSI 11
5. Politiques de sécurité de l'information 6. Organisation de la sécurité de l'information 7. Sécurité des ressources humaines 8. Gestion des actifs 9. Contrôle d'accès 10. Cryptographie 11. Sécurité physique et environnementale 12. Sécurité liée à l'exploitation 13. Sécurité des communications 14. Acquisition, développement et maintenance des systèmes d'information 15. Relations avec les fournisseurs 16. Gestion des incidents liés à la sécurité de l'information 17. Aspects de la sécurité de l'information dans la gestion de la continuité de l'activité 18. Conformité Domaines de sécurité de l'information (niveau 1) La norme ISO/IEC 27002:2013 recense de nombreux objectifs de contrôle répartis dans chacun des 14 domaines Catégories de sécurité (niveau 2) • La structure de la norme est semblable pour chacune des 35 catégories de sécurité : • Un objectif de contrôle qui fait l'état sur ce qui doit être appliqué est énoncé, • Un ou plusieurs contrôles à appliquer sont proposés pour remplir l'objectif de contrôle de la catégorie de sécurité Contrôles (niveau 3) Au niveau inférieur, la structure de la norme est semblable pour chacun des 114 objectifs de contrôle qui ont été définis : Control : le contrôle permet de définir précisément l'état pour satisfaire à l'objectif de contrôle, Implementation guidance : le guide d'implémentation propose les informations détaillées pour permettre d'effectuer l'implémentation du contrôle et de satisfaire à l'objectif de contrôle. Other information ISO 27002 12
• L’audit de la politique de sécurité doit permettre de s’assurer de la pertinence de celle-ci compte tenu de la stratégie de risques de l’entreprise, du contexte légale et réglementaire ainsi que des bonnes pratiques. • Le terme « politique de sécurité » peut recouvrir la politique de sécurité du groupe, la déclinaison de la politique de sécurité du groupe au niveau des différentes entités ou métiers ainsi que de l’ensemble des politiques de sécurité détaillées couvrant les domaines comme le contrôle d’accès, la continuité, la classification de l’information, la protection antivirale … • L’audit peut également couvrir : • la méthodologie d’analyse de risques mise en œuvre, • des standards et procédures qui découlent de la politique de sécurité. • L’approche repose sur des interviews et des analyses documentaires. Types d’audit 13
• L’audit de la mise en œuvre de la politique de sécurité doit permettre de s’assurer que les exigences de sécurité sont satisfaites au travers de la mise en œuvre de mesures de sécurité. • Les grilles d’investigation sont construites sur la base de la politique de sécurité et/ou de l’ISO 27002 et/ou de Cobit. • L’approche repose sur des interviews, des visites de sites, des analyses documentaires et des revues de paramétrage. • Compte tenu du caractère technique du système d’information des grilles d’investigation spécifiques sont construites pour approfondir des thématiques comme les solutions antivirus, les dispositifs correctifs de sécurité et anti-spam, le plan de secours et de continuité … Types d’audit (suite) 14
• Pour chaque domaine de la grille d’investigation ISO 27002, les processus sont répartis en six niveaux de maturité qu’une organisation va gravir en fonction de la qualité des processus qu’elle a mis en œuvre. (0) Inexistant Types d’audit (suite) 15
0 - Aucun - processus/documentation en place 1 - Initial - Le processus est caractérisé par la prédominance d'interventions ponctuelles, voire chaotiques. Il est très peu défini et la réussite dépend de l'effort individuel 2 - Reproductible - Une gestion élémentaire de la sécurité est définie pour assurer le suivi des coûts, des délais et de la fonctionnalité. L'expertise nécessaire au processus est en place pour reproduire la même action 3 - Défini - Le processus de sécurité est documenté, normalisé et intégré dans le processus standard de l'organisation 4 - Maîtrisé - Des mesures détaillées sont prises en ce qui concerne le déroulement du processus et la qualité générée. Le processus et le niveau de qualité sont connus et contrôlés quantitativement 5 - Optimisation - Une amélioration continue du processus est mise en œuvre par une rétroaction quantitative émanant du processus lui-même et par l'application d'idées et de technologies innovatrices Types d’audit (suite) 16
Portrait Actuel Portrait Cible Types d’audit (suite) 17 Une synthèse globale est présentée selon le diagramme de Kiviat qui illustre les résultats de l’audit suivant les 14 domaines décrits dans l’ISO 27002
Audit des accès distants Audit de la connexion Internet Audit des équip. de réseau & sécurité Audit de la solution Antivirale Audit de la Gestion des Tiers Audit de Gestion d’Incident Revue du plan de continuité Audit des serveurs et des postes de travail Pour approfondir la dimension technique de l’audit de sécurité, des grilles d’investigation sont nécessaires pour chaque composante du système d’information. Types d’audit (suite) 18
Indépendamment de la mise en œuvre des mesures de sécurité, un audit de leur efficacité doit permettre de s’assurer qu’aucune vulnérabilité ne puisse porter atteinte à la confidentialité, l’intégrité ou la disponibilité de l’information. Pour s’assurer de la sécurité de l’Infrastructure face à des scénarii d’attaques de personnes malveillantes (pirate, prestataire, ex-employé, utilisateur interne …) Test d’Intrusion Pour déterminer si les firewalls, serveurs web, routeurs, connexions distantes, connexion sans fils, applications, sont configurés et mis en œuvre de manière adéquate au regard des risques encourus Audit de Sécurité Technique Types d’audit (suite) 19
Tests d’Intrusion Externe Interne Physique Intranet Extranet Wifi Accès à distance Types d’audit (suite) 20
Types d’audit (suite) 21 Audit de Sécurité Technique
Les risques Référentiel inadapté Compétences inadaptées Rapport inadapté : • Inadéquation de la recommandation dans le contexte (incompréhension des risques spécifiques liés à l’activité de l’organisme avec le métier. • Inadaptabilité de la recommandation dans le contexte de l’organisme. Rapport non recevable : • Constats non factuels. • Constats non validés. • Non prise en compte de la confidentialité Dérapage dans le temps : • Ne pas avoir identifié les bons interlocuteurs. • Absence de clauses d’audit dans les contrats d’externalisation IDENTIFICATION DE RISQUES TECHNIQUES ET NON DE RISQUES METIERS 22
23
Décret N°2004-1250 du 25 mai 2004 fixant: • les systèmes informatiques et les réseaux des organismes soumis à l’audit obligatoire périodique de la sécurité informatique, • les critères relatifs: • à la nature de l’audit et à sa périodicité, • aux procédures de suivi de l’application des recommandations contenues dans le rapport d’audit. Assistance fournie par l’ANSI à ces organismes: • modèle de TdR, • équipe pour les assister à la réalisation de leurs missions d’audit Référentiel de l’ANSI 24
• Référentiel de base: la norme ISO 27002 • Conduite des activités d’audit:  Audit organisationnel et physique  Audit technique  Appréciation des risques • Livrables:  Rapport détaillé couvrant les différents aspects spécifiés dans le Cahier des Clauses Techniques  Rapport présentant un plan d’action cadre s’étalant sur trois ans  Rapport de synthèse, destiné à la direction générale Ancienne version des TdR 25
• Subjectivité dans l’interprétation de la norme: audit de conformité ou audit par rapport à la PSSI ?? Impact sur la conduite des activités d’audit Impact sur la qualité des rapports d’audit nécessité de la mise à jour des TdR Problèmes rencontrés 26
• Référentiel de base: Référentiel d’audit de la sécurité des systèmes d’information établi par l’ANSI (Annexe A) • Conduite des activités d’audit:  Identification des vulnérabilités: résultat de vérification par rapport aux critères d’audit présentés au niveau du référentiel Présentation des bonnes pratiques décelées et des vulnérabilités identifiées (section « 9. Présentation détaillée des résultats de l’audit » du modèle de rapport d’audit (annexe B))  Appréciation des risques Présentation des résultats (section « 10. Appréciation des risques » du modèle de rapport d’audit) • Livrables:  Rapport selon le modèle de rapport d’audit de la sécurité des systèmes d’information (Annexe B) établi par l’ANSI Nouvelle version 27
• Repose sur 38 critères regroupés en 11 domaines:  D1. Leadership et gouvernance de la sécurité  D2. Gestion des risques liés à la sécurité du système d’information  D3. Sécurité des actifs  D4. Sécurité du personnel et développement des capacités  D5. Protection de l’environnement physique du système d’information  D6. Sécurité des services d’infrastructure  D7. Sécurité des services métiers  D8. Sécurité des terminaux  D9. Sécurité des applications  D10. Gestion des incidents de sécurité  D11. Gestion de la continuité des activités Référentiel (Annexe A) 28
Exemple  D2. Gestion des risques liés à la sécurité du système d’information Critères d’audit: (7) L’audité doit maintenir un système de gestion des risques de sécurité des systèmes d’information Vérifications à effectuer:  Si l’audité a identifié et documenté les risques de sécurité du SI auxquels il est exposé,  Si le niveau de risque a été quantifié,  Si, pour chaque risque considéré comme inacceptable, des mesures ont été prises pour ramener le risque à un niveau acceptable,  Si un suivi permanent des risques et de leurs niveaux a été mis en place,  Si chaque risque, pris individuellement, a été pris en charge et a fait l’objet d’une décision de traitement (Acceptation, Transfert, Réduction, Evitement). Preuves suffisantes d’audit:  Document de cartographie des risques répertoriés  Document de traitement des risques (Plan d’action, etc.) Référentiel (Annexe A) 29
• Champ de l’audit, • Méthodologie d’audit, • Synthèse des résultats de l’audit, • Présentation détaillée des résultats de l’audit, • Appréciation des risques, • Plan d’action, • Annexes  Description du SI de l’organisme  Planning d’exécution réel de la mission d’audit de la sécurité du SI  Evaluation de l’application du dernier plan d’action  Etat de maturité de la sécurité du SI  Plan d’action proposé Modèle de rapport (Annexe B) Une première mission type effectuée par le ministère de l’environnement et le développement durable en 2015 30
Pour qui ? Direction Générale, Audit interne, Métier, Maison mère, Organisme certificateur … Conclusion 31 Par qui ? Interne / externe Dans quel but ? Alignement de la politique de sécurité sur la stratégie d’entreprise, Conformité aux lois et règlements, Efficacité et efficience des contrôles, SOX, contrôle interne, Identification des risques auxquels est exposé le SI… Sur quel périmètre ? Organisation, Site, Service, Environnement technique, Application, … Selon quel référentiel ? Lois et règlements Organisme Bonnes pratiques (ISO,…) De quelle nature ? Audit de la politique de sécurité, Audit de la mise en œuvre de la politique de sécurité, Audit de l’efficacité des mesures de sécurité.
MERCI POUR VOTRE ATTENTION

Empfohlen

Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 

Empfohlen

Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIProgramme de travail de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Intellectus services and consulting
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SIArsène Ngato
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIISACA Chapitre de Québec
 
Ebios
EbiosEbios
Ebioskilojolid
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'informationAnnick Franck Monyie Fouda
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Philippe CELLIER
 
EBIOS
EBIOSEBIOS
EBIOSHouda Elmoutaoukil
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
ISO 27500
ISO 27500ISO 27500
ISO 27500dihiaselma
 
Iso27001
Iso27001 Iso27001
Iso27001 Arsene Allogo
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdfHajarSalimi
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACAYann Riviere CCSK, CISSP, CRISC, CISM
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 

Weitere ähnliche Inhalte

Was ist angesagt?

Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001lancedafric.org
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatiqueFINALIANCE
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécuritéHarvey Francois
 

Was ist angesagt? (20)

Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
Ebios
EbiosEbios
Ebios
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
EBIOS
EBIOSEBIOS
EBIOS
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
Iso27001
Iso27001 Iso27001
Iso27001
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 

Andere mochten auch

La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Merge sort code in C explained
Merge sort code in C explained Merge sort code in C explained
Merge sort code in C explained Mohit Tare
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Sécurité des bases de données
Sécurité des bases de donnéesSécurité des bases de données
Sécurité des bases de donnéeslitayem bechir
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 
Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Serrerom
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs donnéesROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs donnéesGabrielle Pavia
 
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités WebAlphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités WebAlphorm
 
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...Alphorm
 
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm
 

Andere mochten auch (20)

La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
Rh et sécurité
Rh et sécurité Rh et sécurité
Rh et sécurité
 
A tous les niveaux la securite
A tous les niveaux la securiteA tous les niveaux la securite
A tous les niveaux la securite
 
Merge sort code in C explained
Merge sort code in C explained Merge sort code in C explained
Merge sort code in C explained
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Sécurité des bases de données
Sécurité des bases de donnéesSécurité des bases de données
Sécurité des bases de données
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 
Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs donnéesROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
 
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités WebAlphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
 
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
 
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
 
Présentation Projet de fin d'études
Présentation Projet de fin d'étudesPrésentation Projet de fin d'études
Présentation Projet de fin d'études
 

Ähnlich wie Référentiels et Normes pour l'Audit de la Sécurité des SI

cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerCERTyou Formation
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptxAdemKorani
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE xssuserc72852
 
presentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernacepresentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernacessuserc72852
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorCERTyou Formation
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesElodie Heitz
 
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0ben3a
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptKhouloud Errachedi
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15Alain Huet
 
Risk Based thinking - une nouvelle démarche pour un système de management de ...
Risk Based thinking - une nouvelle démarche pour un système de management de ...Risk Based thinking - une nouvelle démarche pour un système de management de ...
Risk Based thinking - une nouvelle démarche pour un système de management de ...PECB
 

Ähnlich wie Référentiels et Normes pour l'Audit de la Sécurité des SI (20)

cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
 
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
 
presentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernacepresentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernace
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
 
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
 
Plaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LIPlaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LI
 
Risk Based thinking - une nouvelle démarche pour un système de management de ...
Risk Based thinking - une nouvelle démarche pour un système de management de ...Risk Based thinking - une nouvelle démarche pour un système de management de ...
Risk Based thinking - une nouvelle démarche pour un système de management de ...
 

Référentiels et Normes pour l'Audit de la Sécurité des SI

  • 1. Référentiels et Normes pour l'Audit de la Sécurité des SI Fadhel GHAJATI fadhel.ghajati@ansi.tn Lead Auditor ISO 27001 Risk Manager ISO 27005 Cyber Security Day 2016 Jendouba 13-04-2016
  • 2. • Introduction • Problématique • L’audit de la sécurité du SI • Types d’audit • ISO 27002 • Référentiel de l’ANSI • Conclusion 2 Plan
  • 4. Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information. Un cadre cohérent et organisé. Objectifs et des exigences de sécurité qui traduisent les contraintes et les risques qui pèsent sur le système d’information. L’objectif de ces mesures de sécurité La confidentialité L’intégrité La disponibilité La traçabilité Problématique 4
  • 5. Contraintes spécifiques (légales et réglementaire) Stratégie de risque de l’entreprise Contraintes spécifiques (légales et réglementaire) Bonnes pratiques Standards, Guidelines Analyse de risque sur un SI Métier Exigences de sécurité Mesures de sécurité Bonnes pratiques Maitrised’ouvrageMaitrise d’ouvre Politique de sécurité Périmètre de l’entreprise Problématique 5
  • 6. Les questions auxquelles se doivent de répondre les audits de sécurité du SI A quelles exigences légales et réglementaires le Système d’Information est il soumis ? Ces contraintes légales et réglementaires sont elles respectées ? La politique de sécurité est elle alignée sur la stratégie d’entreprise ? L’organisation de la sécurité est elle fonctionnelle ? Les objectifs et contrôles de sécurité sont ils exhaustifs? La continuité des activités de l’entreprise est elle assurée ? Les mesures de sécurité opérationnelles sont elles alignées sur la politique de sécurité ? Les mesures de sécurité opérationnelles mises en place sont elles efficaces ? Pistes de vérification 6
  • 7. L’audit de sécurité du SI • L’audit de sécurité du système d’information est un examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes. • Compte tenu du cadre de gestion de la sécurité de l’information, les audits de sécurité peuvent adresser des problématiques différentes comme par exemple :  La prise en compte des contraintes,  L’analyse des risques,  La politique de sécurité,  La prise en compte de contraintes spécifiques dans la mise en œuvre d’un système d’information particulier (problématique liée à l’audit des projets),  La mise en œuvre de politique de sécurité,  Les mesures de sécurité. 7
  • 8. ISO 19011 v 2011 – ISO 27007 Il convient que le programme d’audit comporte les informations et ressources nécessaires pour organiser et réaliser ses audits de façon efficace et effective dans les délais spécifiés. Ce programme peut également inclure: des objectifs pour le programme d’audit et les audits individuels l’étendue/le nombre/les types/la durée/les lieux/le calendrier des audits les procédures de programme d’audit; les critères d’audit; les méthodes d’audit; la constitution des équipes d’audit les ressources nécessaires, y compris les déplacements et l’hébergement; les processus de traitement des questions relatives à la confidentialité, à la sûreté des informations, à la santé et à la sécurité, et autres sujets similaires. 8
  • 9. Contraintes spécifiques (légales et réglementaire) Stratégie de risque de l’entreprise Contraintes spécifiques (légales et réglementaire) Bonnes pratiques Standards, Guidelines Analyse de risque sur un SI Métier Exigences de sécurité Mesures de sécurité Bonnes pratiques Maitrised’ouvrageMaitrise d’ouvre Politique de sécurité Périmètre de l’entreprise Audit de Sécurité Audit de Sécurité Audit de Sécurité Audit de Sécurité Audit de Sécurité Les types d’audit de sécurité 9
  • 10. Les principaux types d’audit de sécurité Audit de la politique de sécurité, Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise, aux contraintes légales et réglementaires et aux bonnes pratiques, Test d’intrusion, audit de vulnérabilité sur l’ensemble des composantes du SI … Audit de l’efficacité des mesures de sécurité. Audit de la prise en compte de la sécurité dans un projet Audit de la mise en œuvre de politique de sécurité, Respect des exigences de sécurité au sein de l’entreprise au travers de la mise en œuvre de mesures de sécurité adéquates et pérennes, Audit réglementaire 10
  • 11. Les référentiels Audit de sécurité Référentiel Audit de la politique de sécurité Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise, aux contraintes légales et réglementaires et aux bonnes pratiques, Contexte légale et réglementaire, Stratégie de risque de l’entreprise, ISO 27002. Audit de la mise en œuvre de la politique de sécurité Respect des exigences de sécurité au sein de l’entreprise au travers de la mise en œuvre de mesures de sécurité adéquates et pérennes Politique de sécurité de l’entreprise, ISO 27002, CoBIT ITIL ISO 20000 Audit de l’efficacité des mesures de sécurité OWASP (Open Web Application Security Project), Information Security Web sites, Bases de vulnérabilités. Audit réglementaire ISO 27002 Référentiel de l’ANSI 11
  • 12. 5. Politiques de sécurité de l'information 6. Organisation de la sécurité de l'information 7. Sécurité des ressources humaines 8. Gestion des actifs 9. Contrôle d'accès 10. Cryptographie 11. Sécurité physique et environnementale 12. Sécurité liée à l'exploitation 13. Sécurité des communications 14. Acquisition, développement et maintenance des systèmes d'information 15. Relations avec les fournisseurs 16. Gestion des incidents liés à la sécurité de l'information 17. Aspects de la sécurité de l'information dans la gestion de la continuité de l'activité 18. Conformité Domaines de sécurité de l'information (niveau 1) La norme ISO/IEC 27002:2013 recense de nombreux objectifs de contrôle répartis dans chacun des 14 domaines Catégories de sécurité (niveau 2) • La structure de la norme est semblable pour chacune des 35 catégories de sécurité : • Un objectif de contrôle qui fait l'état sur ce qui doit être appliqué est énoncé, • Un ou plusieurs contrôles à appliquer sont proposés pour remplir l'objectif de contrôle de la catégorie de sécurité Contrôles (niveau 3) Au niveau inférieur, la structure de la norme est semblable pour chacun des 114 objectifs de contrôle qui ont été définis : Control : le contrôle permet de définir précisément l'état pour satisfaire à l'objectif de contrôle, Implementation guidance : le guide d'implémentation propose les informations détaillées pour permettre d'effectuer l'implémentation du contrôle et de satisfaire à l'objectif de contrôle. Other information ISO 27002 12
  • 13. • L’audit de la politique de sécurité doit permettre de s’assurer de la pertinence de celle-ci compte tenu de la stratégie de risques de l’entreprise, du contexte légale et réglementaire ainsi que des bonnes pratiques. • Le terme « politique de sécurité » peut recouvrir la politique de sécurité du groupe, la déclinaison de la politique de sécurité du groupe au niveau des différentes entités ou métiers ainsi que de l’ensemble des politiques de sécurité détaillées couvrant les domaines comme le contrôle d’accès, la continuité, la classification de l’information, la protection antivirale … • L’audit peut également couvrir : • la méthodologie d’analyse de risques mise en œuvre, • des standards et procédures qui découlent de la politique de sécurité. • L’approche repose sur des interviews et des analyses documentaires. Types d’audit 13
  • 14. • L’audit de la mise en œuvre de la politique de sécurité doit permettre de s’assurer que les exigences de sécurité sont satisfaites au travers de la mise en œuvre de mesures de sécurité. • Les grilles d’investigation sont construites sur la base de la politique de sécurité et/ou de l’ISO 27002 et/ou de Cobit. • L’approche repose sur des interviews, des visites de sites, des analyses documentaires et des revues de paramétrage. • Compte tenu du caractère technique du système d’information des grilles d’investigation spécifiques sont construites pour approfondir des thématiques comme les solutions antivirus, les dispositifs correctifs de sécurité et anti-spam, le plan de secours et de continuité … Types d’audit (suite) 14
  • 15. • Pour chaque domaine de la grille d’investigation ISO 27002, les processus sont répartis en six niveaux de maturité qu’une organisation va gravir en fonction de la qualité des processus qu’elle a mis en œuvre. (0) Inexistant Types d’audit (suite) 15
  • 16. 0 - Aucun - processus/documentation en place 1 - Initial - Le processus est caractérisé par la prédominance d'interventions ponctuelles, voire chaotiques. Il est très peu défini et la réussite dépend de l'effort individuel 2 - Reproductible - Une gestion élémentaire de la sécurité est définie pour assurer le suivi des coûts, des délais et de la fonctionnalité. L'expertise nécessaire au processus est en place pour reproduire la même action 3 - Défini - Le processus de sécurité est documenté, normalisé et intégré dans le processus standard de l'organisation 4 - Maîtrisé - Des mesures détaillées sont prises en ce qui concerne le déroulement du processus et la qualité générée. Le processus et le niveau de qualité sont connus et contrôlés quantitativement 5 - Optimisation - Une amélioration continue du processus est mise en œuvre par une rétroaction quantitative émanant du processus lui-même et par l'application d'idées et de technologies innovatrices Types d’audit (suite) 16
  • 17. Portrait Actuel Portrait Cible Types d’audit (suite) 17 Une synthèse globale est présentée selon le diagramme de Kiviat qui illustre les résultats de l’audit suivant les 14 domaines décrits dans l’ISO 27002
  • 18. Audit des accès distants Audit de la connexion Internet Audit des équip. de réseau & sécurité Audit de la solution Antivirale Audit de la Gestion des Tiers Audit de Gestion d’Incident Revue du plan de continuité Audit des serveurs et des postes de travail Pour approfondir la dimension technique de l’audit de sécurité, des grilles d’investigation sont nécessaires pour chaque composante du système d’information. Types d’audit (suite) 18
  • 19. Indépendamment de la mise en œuvre des mesures de sécurité, un audit de leur efficacité doit permettre de s’assurer qu’aucune vulnérabilité ne puisse porter atteinte à la confidentialité, l’intégrité ou la disponibilité de l’information. Pour s’assurer de la sécurité de l’Infrastructure face à des scénarii d’attaques de personnes malveillantes (pirate, prestataire, ex-employé, utilisateur interne …) Test d’Intrusion Pour déterminer si les firewalls, serveurs web, routeurs, connexions distantes, connexion sans fils, applications, sont configurés et mis en œuvre de manière adéquate au regard des risques encourus Audit de Sécurité Technique Types d’audit (suite) 19
  • 21. Types d’audit (suite) 21 Audit de Sécurité Technique
  • 22. Les risques Référentiel inadapté Compétences inadaptées Rapport inadapté : • Inadéquation de la recommandation dans le contexte (incompréhension des risques spécifiques liés à l’activité de l’organisme avec le métier. • Inadaptabilité de la recommandation dans le contexte de l’organisme. Rapport non recevable : • Constats non factuels. • Constats non validés. • Non prise en compte de la confidentialité Dérapage dans le temps : • Ne pas avoir identifié les bons interlocuteurs. • Absence de clauses d’audit dans les contrats d’externalisation IDENTIFICATION DE RISQUES TECHNIQUES ET NON DE RISQUES METIERS 22
  • 23. 23
  • 24. Décret N°2004-1250 du 25 mai 2004 fixant: • les systèmes informatiques et les réseaux des organismes soumis à l’audit obligatoire périodique de la sécurité informatique, • les critères relatifs: • à la nature de l’audit et à sa périodicité, • aux procédures de suivi de l’application des recommandations contenues dans le rapport d’audit. Assistance fournie par l’ANSI à ces organismes: • modèle de TdR, • équipe pour les assister à la réalisation de leurs missions d’audit Référentiel de l’ANSI 24
  • 25. • Référentiel de base: la norme ISO 27002 • Conduite des activités d’audit:  Audit organisationnel et physique  Audit technique  Appréciation des risques • Livrables:  Rapport détaillé couvrant les différents aspects spécifiés dans le Cahier des Clauses Techniques  Rapport présentant un plan d’action cadre s’étalant sur trois ans  Rapport de synthèse, destiné à la direction générale Ancienne version des TdR 25
  • 26. • Subjectivité dans l’interprétation de la norme: audit de conformité ou audit par rapport à la PSSI ?? Impact sur la conduite des activités d’audit Impact sur la qualité des rapports d’audit nécessité de la mise à jour des TdR Problèmes rencontrés 26
  • 27. • Référentiel de base: Référentiel d’audit de la sécurité des systèmes d’information établi par l’ANSI (Annexe A) • Conduite des activités d’audit:  Identification des vulnérabilités: résultat de vérification par rapport aux critères d’audit présentés au niveau du référentiel Présentation des bonnes pratiques décelées et des vulnérabilités identifiées (section « 9. Présentation détaillée des résultats de l’audit » du modèle de rapport d’audit (annexe B))  Appréciation des risques Présentation des résultats (section « 10. Appréciation des risques » du modèle de rapport d’audit) • Livrables:  Rapport selon le modèle de rapport d’audit de la sécurité des systèmes d’information (Annexe B) établi par l’ANSI Nouvelle version 27
  • 28. • Repose sur 38 critères regroupés en 11 domaines:  D1. Leadership et gouvernance de la sécurité  D2. Gestion des risques liés à la sécurité du système d’information  D3. Sécurité des actifs  D4. Sécurité du personnel et développement des capacités  D5. Protection de l’environnement physique du système d’information  D6. Sécurité des services d’infrastructure  D7. Sécurité des services métiers  D8. Sécurité des terminaux  D9. Sécurité des applications  D10. Gestion des incidents de sécurité  D11. Gestion de la continuité des activités Référentiel (Annexe A) 28
  • 29. Exemple  D2. Gestion des risques liés à la sécurité du système d’information Critères d’audit: (7) L’audité doit maintenir un système de gestion des risques de sécurité des systèmes d’information Vérifications à effectuer:  Si l’audité a identifié et documenté les risques de sécurité du SI auxquels il est exposé,  Si le niveau de risque a été quantifié,  Si, pour chaque risque considéré comme inacceptable, des mesures ont été prises pour ramener le risque à un niveau acceptable,  Si un suivi permanent des risques et de leurs niveaux a été mis en place,  Si chaque risque, pris individuellement, a été pris en charge et a fait l’objet d’une décision de traitement (Acceptation, Transfert, Réduction, Evitement). Preuves suffisantes d’audit:  Document de cartographie des risques répertoriés  Document de traitement des risques (Plan d’action, etc.) Référentiel (Annexe A) 29
  • 30. • Champ de l’audit, • Méthodologie d’audit, • Synthèse des résultats de l’audit, • Présentation détaillée des résultats de l’audit, • Appréciation des risques, • Plan d’action, • Annexes  Description du SI de l’organisme  Planning d’exécution réel de la mission d’audit de la sécurité du SI  Evaluation de l’application du dernier plan d’action  Etat de maturité de la sécurité du SI  Plan d’action proposé Modèle de rapport (Annexe B) Une première mission type effectuée par le ministère de l’environnement et le développement durable en 2015 30
  • 31. Pour qui ? Direction Générale, Audit interne, Métier, Maison mère, Organisme certificateur … Conclusion 31 Par qui ? Interne / externe Dans quel but ? Alignement de la politique de sécurité sur la stratégie d’entreprise, Conformité aux lois et règlements, Efficacité et efficience des contrôles, SOX, contrôle interne, Identification des risques auxquels est exposé le SI… Sur quel périmètre ? Organisation, Site, Service, Environnement technique, Application, … Selon quel référentiel ? Lois et règlements Organisme Bonnes pratiques (ISO,…) De quelle nature ? Audit de la politique de sécurité, Audit de la mise en œuvre de la politique de sécurité, Audit de l’efficacité des mesures de sécurité.
  • 32. MERCI POUR VOTRE ATTENTION