Approche pour l’audit de la sécurité d’un

système d’information

<p id="2"
Réalisé par:
style="font 1
Marcel AGBA
:normal
 Plan

• Problématique
• Audit de sécurité informatique
• Choix de normes et de méthodes
• Processus d’audit
• Recommandations
• Plan d’action
• Conclusion
• Perspectives
2
 Problématiques
• Mauvaise réactivité de serveurs.
• Refus et plantage de différents services dans l’Intranet.
• Contamination par des virus malgré l’existence d’une solution d’antivirus.
• Difficulté d’accéder aux différentes ressources partagées
• Faible débit Internet.
• Altération, modification ou suppression d’informations.
• Vol de matériels ou de pièces électroniques du
• Coupures électriques. 3
 Conséquences

• Indisponibilités des systèmes,

• Manipulation des données et systèmes par des personnes non autorisés,
• Destruction des données ou systèmes,
• Difficulté de remise en marche,
• Coûts importants de maintient en état,
• Mise en jeu de la crédibilité

4
 Nécessités
• Perfectionner la sécurisation des Systèmes d’Information par :
• vérification de l’identité déclinée par le requérant
• gestion des droits d’accès et des autorisations
• Protéger les données stockées ou en transit sur le réseau contre toute:
• modification non autorisée, utilisation frauduleuse ou divulgation non autorisée.

• Etablir un diagnostic sur la qualité du fonctionnement du système informatique

actuel et proposer des mesures susceptibles de l’améliorer.

• Prouver la crédibilité du système d’information à l’aide des analyses effectuées.

• à Audit de sécurité informatique 5

 L’audit de sécurité informatique

C’est un processus systématique, indépendant et documenté pour identifier:

• l’état des lieux du SI,
• les risques
• leurs menaces
• leurs impacts
• les mesures de critères de sécurité à prendre
Il se réfère à des référentiels et normes spécifiques
6
 La charte d’audit

• Basée sur La Norme ISACA SI 1001.1 et 1001.2

• Document approuvé par la direction de l’ISET pour:
• Définir la portée des activités de la fonction d’audit
• Définir le pouvoir, l’objet, et limitations de la fonction d’audit
• Définir les responsabilités de la fonction interne d’audit
• Autoriser l’accès aux documents, biens personnels et physiques pertinents
• Définir les normes professionnelles à suivre dans la conduite des missions d’audit et
d’assurance desSI
7
 La Norme ISO 27002:2005
• Ensemble de bonnes pratiques décrivant les principaux objectifs de contrôle
de l’ensemble de la sécurité de l’information sans aucune obligation
• Etablit des lignes directrices pour préparer, mettre en œuvre, entretenir et
améliorer la gestion de la sécurité de l'information au sein d'un organisme.
• Couvre tous les aspects de la sécurité des SI
• Conforme à la loi et règlementation
• Publique et internationale
• Norme crédible éprouvée depuis plus que 10 années
• Maitrise des coûts de la SSI
• Évolutive et souple 8
 ISO 27002: Insuffisances
• La norme 27002:2005 ne fixe pas de niveaux ou d’objectifs de sécurité et
rappelle la nécessité de faire des analyses de risques périodiques sans
préciser la méthode d’évaluation du risque.

• Solution:
à Recourir à une méthode qui sera l’outil utilisé pour satisfaire à la norme ISO.

9
 Pourquoi EBIOS ?
• Expression des Besoins et Identification des Objectifs deSécurité
• Méthode qui permet d’apprécier et de traiter les risques relatifs à la
sécurité des systèmes d’information
• permet d’identifier des objectifs et exigences de sécurité à la suite
d’une appréciation de risques
• elle permet de contribuer à la réalisation :
• d’une politique de sécurité,
• d’un plan d’action de sécurité des systèmes d’information,
• d’une fiche d’expression rationnelle des objectifs de sécurité. 10
 EBIOS: Démarche
• L’étude du contexte
• matériels, logiciels, réseaux, organisations, personnels et sites.
• L’expression des besoins de sécurité
• Chaque élément essentiel a un besoin de sécurité
• L’étude des menaces
• Chaque entité possède des vulnérabilités exploitées par les éléments menaçants

• L’expression des objectifs de sécurité

• couvrir les vulnérabilités exploitées par les attaquants
• La détermination des exigences de sécurité
• spécifier les fonctionnalités de sécurité attendues et spécifier les exigences d’assurance11
 possède entrainent
ACTIF Vulnérabilités Risques

ciblent
exploitent

Menaces réduisent Impacts

Protègent contre limitent

Protections 12
 EBIOS: L’outil

• Distribué sous Licence GNUGPL,

• Multiplateformes,
• Assiste les utilisateurs d’EBIOS,
• Stocke les contextes, risques et besoins,
• Donne accès à une base de connaissancesdes:
• Risques courants
• Attaques courantes
• Risques fréquents
13
 Avantages et Inconvénients d’EBIOS

Avantages Inconvénients
• Solution complète modulaire • Pas de recommandations sécuritaires
• Définit les Acteurs, Rôles, Interactions • Pas de méthode d’audit/évaluation
et Vocabulaire • Possibilité d’évaluation incorrecte des
• Adéquation des ressources aux risques
besoins • Oublis potentiels
• Politique de sécurité claire et réaliste • Vocabulaire légèrement nuancé
• Dispose d’un logiciel d’assistance pour
la mise en œuvre à EBIOS ne peut pas être utilisé
seul
14
 Norme d’audit des SI 1008.1, 1008.2

• Référence adoptée pour l’audit technique de L’ISET

• Se base sur la sélection de critères d'évaluation des équipements
informatiques afin de les mettre à la disposition de tous les utilisateurs
• Fournit une base de critères validées établies par l’ISACA qui doivent être :
• Objectifs
• Complets
• Pertinents
• Mesurables
• Intelligibles 15
Mission d’audit de sécurité

16
 Audit organisationnel et physique
• Conforme à la norme ISO 27002 : 2005.
• Dresse un état des lieux des plans organisationnels, procéduraux
et technologiques.
• Couvre la sécurité physique des locaux et le contrôle d’accès
logique.
• Cherche à obtenir un aperçu global de l’état de sécurité du
système d’information et identifier les risques potentiels

17
 Domaines d’activité
• Politique de sécurité

• Organisation de la sécurité de l’information.

• Gestion des biens.

• Sécurité liée aux ressources humaines

• Sécurité physique et environnementale.

• Gestion opérationnelle et gestion de la communication.

• Contrôle d’accès.

• Acquisition, développement et maintenance des systèmes d’information.

• Gestion des incidents liés à la sécurité de l’information.

• Gestion de la continuité de l’activité.

18

• Conformité
 Constations
• Absence d’un schéma directeur
• Absence de documents de références
• Absence de politique de sécurité
• Absence d’un poste de RSSI
• Absence d’affectation de responsabilités en matière de sécurité lors d’attribution
des rôles
• Absences de procédure d’accès, de gestion de supports de stockage,
• Insuffisance au niveau du contrôle d’accès
• Manque de sensibilisation des utilisateurs
• Exposition à des facteurs environnementaux
• Défaillances techniques au niveau des équipements informatiques 19
 Analyse des risques

Disponibilité d’accès à Moodle à significatif

Cohérence et Intégrité des données dans Moodle à intolérable
Confidentialité limitée d'accès à Moodle à intolérable
Disponibilité des comptes utilisateurs à significatif
Intégrité des comptes utilisateurs à intolérable
Confidentialité des comptes utilisateurs à intolérable
Disponibilité des applications à significatif
Intégrité des applications à significatif
Disponibilité du site internet à négligeable
20
Intégrité maitrisée du contenu du site internet à significatif
 Audit technique
• Conforme à la norme d’ISACA concernant les actifs informationnels.
• Ensemble de tests pour découvrir les failles et vulnérabilités des
composants du système d’information:
• réseau,
• serveurs,
• Systèmes d’exploitation,
• équipements actifs de l’infrastructure réseau,
• site web
21
Utilitaires de TAAO

22
 Constatations
• Des défauts de configuration.
• Des services vulnérables.
• Des patchs de sécurité non mis à jour.
• Des Produits non plus supportés par l’éditeur telque XP.
• Produits avec des licences expirées.
• Produits nécessitant des mises à jour.

23
 Recommandations
• Activer le branchement du firewall physique
• Ajouter un serveur proxy pour l’Administration.
• Fermer les ports des services inutilisables sur machine
• Mise à jour vers Apache httpd 2.2.21.
• Désactiver les service SNMP, FTP, Telnet.
• Migrer vers une version de Windows supportée actuellement
• Installer les correctifs pour Windows et modifier des registres spécifiques
• Appliquer la signature SMB pour les messages dans les machines Hôtes.
• Installer un antivirus avec licence
24
 Plan d’action

• Elaboration d’un référentiel de sécurité.

• Sensibilisation et formation à la sécurité.
• Renforcement de la sécurité des locaux.
• Sécurisation des systèmes.
• Partitionnement du réseau local.
• Assurer la continuité de fonctionnement.

25
 Conclusion

• La mission d’audit réalisée a permis d’identifier les risques du système

d’information en utilisant une démarche structurée.
• L’audit a détecté des lacunes sur le plan organisationnel, physique et
technique et a présenté des propositions à mettre en œuvre pour pallier à
ces insuffisances.
• Nécessité de faire le suivi pour concrétiser les recommandations.

26
 Quelques ressources

• Personnalisation et adaptation du code source d’EBIOS

• Intégration de l’audit dans le processus en cours de certification ISO 9001
• Des normes ISO en cours de rédaction
• ISO 27007 : Guide d'audit
• ISO 27008 : Guide pour les auditeurs concernant les contrôles duSMSI
• ISO 27011 : 27002 adapté à certains secteurs d'activité (télécom, santé, …)

27
 Bibliographie
• [4] « About ISACA ». [En ligne]. Disponible sur: http://www.isaca.org/about-
isaca/Pages/default.aspx. [Consulté le: 01-juin-2014].
• [5] « ISO - Organisation internationale de normalisation ». [En ligne]. Disponible sur:
http://www.iso.org/iso/fr/. [Consulté le: 01-juin-2014].
• [1] webmestre [at] ssi.gouv.fr, « Site officiel de l’agence nationale de la sécurité des systèmes
d’information ». [En ligne]. Disponible sur: http://www.ssi.gouv.fr/fr/anssi/. [Consulté le: 29-mai-
2014].
• [10] « EBIOS 2010 - Expression des Besoins et Identification des Objectifs de Sécurité -
ANSSI ». [En ligne]. Disponible sur: http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/outils-
methodologiques/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de-
securite.html. [Consulté le: 29-mai-2014].
• [14] C. JeanFrançois, La sécurité informatique dans la petite entreprise. editions ENI
• [22] B. Bernard et D. Benoit, "Linux, sécuriser un réseau», Edition Eyrolles, 3e éd.
• [13] « Centre des Ressources Informatiques ». [En ligne]. Disponible sur:
http://www.isetso.rnu.tn/index.php?option=com_content&view=article&id=47&Itemid=37&lang
=fr. [Consulté le: 29-mai-2014]. 28