Chapitre 1 : AUDIT DES SI
I- Définitions de quelques thèmes
- Vulnérabilité
Dans le domaine de la sécurité informatique, une vulnérabilité ou faille est une
faiblesse dans un système informatique permettant à un attaquant de porter
atteinte à l'intégrité de ce système, c'est-à-dire à son fonctionnement normal, à
la confidentialité ou à l'intégrité des données qu'il contient.
- Menace
En informatique, une menace est une cause potentielle d'incident, qui peut
résulter en un dommage au système ou à l'organisation (définition selon la
norme de sécurité des systèmes d'information ISO/CEI 27000).
- Risque
Probabilité plus ou moins grande de voir une menace informatique se
transformer en événement réel entraînant une perte.
- Incidents
Il s'agit d'une interruption non planifiée ou de la dégradation de la qualité d'un
service informatique.
II - Différents types d’Audit
1
�L'audit informatique (en anglais Information Technology Audit ou IT Audit) a
pour objectif d'identifier et d'évaluer les risques (opérationnels, financiers, de
réputation notamment) associés aux activités informatiques d'une entreprise
ou d'une administration. On distingue :
- Audit organisationnel et physique
- Audit technique
- Audit de code source
- Audit de vulnérabilité
- Test d’intrusion
III- Différents types d’évaluation des entreprises
Pour l’évaluation des entreprises, il existe deux sortes d’audit :
• Audit interne
Contrôle et surveillance continu pour assurer :
- L’intégrité,
- La disponibilité,
- La confidentialité
Nb : l’audit interne prépare la réalisation de l’audit externe
• Audit externe
Audit réalisé par une autorité de certification
IV- Eléments de base
- Normes
2
�L'ISO (International Organization for Standardization) et la CEI donnent la
définition suivante :
« Document établi par consensus et approuvé par un organisme reconnu, qui
fournit, pour des usages communs et répétés, des règles, des lignes directrices
ou des caractéristiques, pour des activités ou leurs résultats, garantissant un
niveau d'ordre optimal dans un contexte donné. »
La norme est un document de référence sur un sujet donné. Il indique l'état de
la science, de la technologie et des savoir-faire au moment de la rédaction.
- Standard
C’est un référentiel publié par une entité privée autre qu’un organisme de
normalisation national ou international ou non approuvé par un de ces
organismes pour un usage national ou international. On ne parle de standard
qu'à partir du moment où le référentiel a une diffusion large, on parle alors de
standard de facto (standard de fait).
Un standard est ouvert quand le référentiel est diffusé librement.
- Référentiel
Un référentiel, c'est un ensemble de bases de données contenant les «
références » d'un système d'information. Un référentiel clair, logique et précis
est un des gages de bonne interopérabilité d'un système d'information.
- Directive
C’est ensemble d’instructions
V- Les lois en côte d’ivoire
2013-450 relative à la protection des données à caractère personnel
3
�2013-451 relative à la lutte contre la cybercriminalité
2013-546 relative à la transaction électronique (PKI)
VI- Les organes de supervision et de répression
- CI-CERT (Cote d’Ivoire Computer Emergency Response Team)
- PLCC (Plateforme de Lutte Contre la Cybercriminalité)
- DITT Direction Informatique des Traces Technologiques)
-
VII- Démarche d’audit
I- Presentation de l’entreprise
Cette section est dédiée à la présentation de la structure en charge de l’audit
- Missions réalisées
- Présentation des dirigeants
- Références
-
II- Contexte
On définit le contexte qui a susciter la mission d’audit. Ce dernier consiste en un
ensemble de dispositifs, de politiques et de procédures, mis au point par la
direction générale, destinés à maîtriser l'entreprise.
III- Audit logique & système
1) Description de l’environnement
- Architecture
- Système de base de données
- Système d’exploitation
- Le réseau
2) identification des Vulnérabilités
4
�Il s’agit de définir :
- Identification des différentes vulnérabilités
- Nommer les vulnérabilités
- Décrire la vulnérabilité
- Evaluer la vulnérabilité
- Contremesure (Recommandations)
ID de la vulnérabilité IDV_001
Nom de la vulnérabilité Messages d’erreurs
Description :
Évaluation Critique Important Moyen Faible
Contremesures : est l’ensemble des actions mises en œuvre en prévention de la
menace.
3) Exploitations des vulnérabilités
L’identification des vulnérabilités peut révéler des failles critiques qui
peuvent exploitées par des personnes malintentionnées. Vous trouverez ci-
dessous les informations obtenues :
ID de l’exploit IDE_004
Nom de l’exploit Accès à une page de recherche sans
Description : autorisation
Évaluation Critique Important Moyen Faible
Contremesures :
.
IV- Audit du code
IV-1) Description de l’environnement
5
�Les applications développées au sein du Ministère sont utilisées par près de
200 000 fonctionnaires à travers toute la côte d’ivoire. Plusieurs équipes ont
travaillé sur ces applications afin d’en assurer leur évolution. Les premières
versions des applications ont été développées sans Framework mais les
nouvelles utilisent désormais le Framework CodeIgniter.
IV-2) Constats
IV-2-1) Absence de gestionnaire de version
ID du constat IDC_001
Nom du constat Absence de gestionnaire de version.
Description :
Évaluation Critique Important Moyen Faible
Contremesures :
V- Audit sécurité physique
Les applications développées au sein de la Fonction Publique sont hébergées par
un prestataire externe. Ces applications traitent un grand nombre de données à
caractères personnelles sur l’ensemble des fonctionnaires du pays. De ce fait il
est préférable que l’organisme qui héberge les données du Ministère respecte la
norme ISO 27001. Cette norme a pour objectif de protéger les informations de
toute perte, vol ou altération, et les systèmes informatiques de toute intrusion
et sinistre informatique.
VI- Conclusion
Cette partie de la mission de l’auditeur lui permet de faire des recommandations
afin d’améliorer le système.
6
�TP :
Tracert google.fr
Recuperer l’@IP
Who.is
Google hacking command
Google dork
Securiteinfo.com
