• Aucun résultat trouvé

Introduction à l’audit informatique

N/A
N/A
Info
Télécharger
Protected

Academic year: 2022

Partager "Introduction à l’audit informatique"

Copied!
5
0
0

Chargement.... (Voir le texte intégral maintenant)

Texte intégral

(1)

Introduction à l’audit informatique

Introduction

L'informatique est devenue un outil incontournable de gestion, d'organisation, de production et de communication.

Le réseau informatique permet aux entreprises de mettre en œuvre des données sensibles, de les stocker les partager en interne et parfois les communiquer à l’extérieur. Cette ouverture vers l'extérieur permet de gagner en productivité et en compétitivité.

Il est donc impossible de renoncer aux bénéfices de l'informatisation, d'isoler le réseau de l'extérieur, de retirer aux données leur caractère électronique et confidentiel. Les données sensibles du système d'information de l'entreprise sont donc exposées aux actes de malveillance dont la nature et la méthode d'intrusion sont sans cesse changeantes. Les prédateurs et voleurs s'attaquent aux ordinateurs surtout par le biais d'accès aux réseaux qui relient l'entreprise à l'extérieur.

L’établissement d’une stratégie/politique de sécurité (avant même la création du réseau) s’avère, donc, indispensable.

I. Les étapes de mise en œuvre d’une politique de sécurité

1. Phase de définition

La phase de définition des besoins en termes de sécurité est la première étape vers la mise en œuvre d'une politique de sécurité.

L'objectif consiste à déterminer les besoins de l'organisation en faisant un véritable état des lieux du système d'information, puis d'étudier les différents risques et la menace qu'ils représentent afin de mettre en œuvre une politique de sécurité adaptée.

La phase de définition comporte ainsi trois étapes :

L'identification des besoins

L'analyse des risques

La définition de la politique de sécurité a. Identification des besoins

La phase d'identification des besoins consiste dans un premier temps à faire l'inventaire du système d'information, notamment pour les éléments suivants :

Personnes et fonctions ;

Matériels, serveurs et les services qu'ils délivrent ;

(2)

Cartographie du réseau (plan d'adressage, topologie physique, topologie logique, etc.) ;

Liste des noms de domaine de l'entreprise ;

Infrastructure de communication (routeurs, commutateurs, etc.)

Données sensibles.

b. Analyse des risques

L'étape d'analyse des risques consiste à répertorier les différents risques encourus, d'estimer leur probabilité et enfin d'étudier leur impact.

La meilleure approche pour analyser l'impact d'une menace consiste à estimer le coût des dommages qu'elle causerait (par exemple attaque sur un serveur ou détérioration de données vitales pour l'entreprise).

Sur cette base, il peut être intéressant de dresser un tableau des risques et de leur potentialité, c'est-à-dire leur probabilité de se produire, en leur affectant des niveaux échelonné selon un barème à définir, par exemple :

Sans objet (ou improbable) : la menace n'a pas lieu d'être ;

Faible : la menace a peu de chance de se produire ;

Moyenne : la menace est réelle ;

Haute : la menace a de grandes chances de se produire.

c. Définition de la politique de sécurité

La politique de sécurité est le document de référence définissant les objectifs poursuivis en matière de sécurité et les moyens mis en œuvre pour les assurer.

La politique de sécurité définit un certain nombre de règles, de procédures et de bonnes pratiques permettant d'assurer un niveau de sécurité conforme aux besoins de l'organisation.

Un tel document doit nécessairement être conduit comme un véritable projet associant des représentants des utilisateurs et conduit au plus haut niveau de la hiérarchie, afin qu'il soit accepté par tous. Lorsque la rédaction de la politique de sécurité est terminée, les clauses concernant le personnel doivent leur être communiquées, afin de donner à la politique de sécurité le maximum d'impact.

2. Méthodes

Il existe de nombreuses méthodes permettant de mettre au point une politique de sécurité.

Voici une liste non exhaustive des principales méthodes :

MARION (Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux), mise au point par le CLUSIF ;

https://www.clusif.asso.fr/fr/production/mehari/

(3)

MEHARI (MEthode Harmonisée d'Analyse de RIsques) ;

o https://www.clusif.asso.fr/fr/production/mehari/

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), mise au point par la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information) ;

o http://www.ssi.gouv.fr/fr/confiance/ebios.html

La norme ISO 17799.

3. Phase de mise en oeuvre

La phase de mise en œuvre consiste à déployer des moyens et des dispositifs visant à sécuriser le système d'information ainsi que de faire appliquer les règles définies dans la politique de sécurité.

Les principaux dispositifs permettant de sécuriser un réseau contre les intrusions sont les systèmes pare-feu. Néanmoins ce type de dispositif ne protège pas la confidentialité des données circulant sur le réseau.

Ainsi, la plupart du temps il est nécessaire de recourir à des applications implémentant des algorithmes cryptographiques permettant de garantir la confidentialité des échanges.

La mise en place de tunnels sécurisés (VPN) permet d'obtenir un niveau de sécurisation supplémentaire dans la mesure où l'ensemble de la communication est chiffrée.

II. Notion d'audit

1. Définition

1. Mission d'examen et de vérification de la conformité (aux règles de droit, de gestion) d'une opération, d'une activité particulière ou de la situation générale d'une entreprise.

2. Un audit de sécurité (en anglais security audit) consiste à s'appuyer sur un tiers de confiance (généralement une société spécialisée en sécurité informatique) afin de valider les moyens de protection mis en oeuvre, au regard de la politique de sécurité.

2. Objectif

L'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de sécurité est correctement appliquée et que l'ensemble des dispositions prises forme un tout cohérent.

Un audit de sécurité permet de s'assurer que l'ensemble des dispositions prises par l'entreprise sont réputées sûres.

(4)

III. Le métier d’auditeur

Il y a deux types d’auditeurs : l’auditeur interne et l’auditeur externe 1. Auditeur interne

L'auditeur interne effectue des contrôles réguliers au sein de son entreprise et s'assure que l'ensemble des procédures sont correctement respectées.

L'auditeur interne a pour principale mission de traquer les risques pour améliorer les résultats de l'entreprise. Pour cela il est chargé :

- d'analyser les pratiques de tous les services (comptable, financier, commercial, juridique, achats, informatique...) ;

- de rédiger des rapports de synthèse sur la base de ses observations ;

- de proposer des plans d'action pour améliorer les procédures et l'organisation des services ; - de s'assurer de la mise en oeuvre des recommandations auprès de chaque service.

L'auditeur interne est donc un expert qui doit très bien connaître les métiers sur lesquels il intervient ainsi qu'être fin diplomate pour ne pas froisser les employés qui le perçoivent souvent comme un espion de la direction.

Les principaux problèmes que peut rencontrer l'auditeur sont : - Un manque de liberté

- Des situations répétitives qui peuvent lasser - Une image négative auprès des employés

2. L'auditeur externe

L'auditeur externe exerce les mêmes tâches que l'auditeur interne, à ceci près qu'il ne travaille pas à l'intérieur de sa structure mais pour d'autres structures. Il est donc amené à se déplacer dans les entreprises pour y vérifier le respect des différentes procédures.

On perçoit tout de suite les avantages de ce métier : - Absence de conflit avec ses collègues

(5)

- Acquisition d'expériences diverses et enrichissantes - Création d'un tissu de relation

Ce métier est beaucoup plus diversifié que le précédant car, pour chaque mission, il est nécessaire de se remettre en cause et de découvrir de nouveaux environnements avec leurs spécificités propres.

L'auditeur externe devient donc un véritable expert capable de raisonner très rapidement et surtout doté de véritables capacités d'adaptation.

Références

Télécharger maintenant ( DOC - 5 Page - 52.50 KB )

Documents relatifs

Complex transportation networks: resilience, modelling and optimization

To analyse PTN resilience we have applied different attack scenarios, either node or link targeted, that range from random failure to targeted destruction, when the most

A Feasibility Study for Microwave Breast Cancer Detection Using Contrast-Agent-Loaded Bacterial Microbots

Note that we do not produce the magnetic field in our simulations but assume that its effect is to guide the swarms along concentric magnetic field lines generated at one of the

: Conception d'un analyseur de binaire ARM Auteurs:

La l´egalit´e des m´ethodes mises en œuvres lors de ce projet est absolument req- uise. La r´etro-ing´enierie, et plus particuli`erement la d´ecompilation de programmes est sujette

Region-of-Interest Intra Prediction for H.264/AVC Error Resilience

Results showed that in the presence of packet loss, forcing the macroblocks of all RoIs in a video sequence to be coded in intra prediction mode improves its perceptual error

Identifying conditions for inducible protein production in E. coli: combining a fed-batch and multiple induction approach

Another approach to the study of thermo-inducible promoters has used a two- stage continuous process whereby cells grow in a first bio- reactor kept at a temperature that represses

Le Village de l’Illustration, un projet culturel de territoire en « communs »

En juin 2020, le Pays Portes de Gascogne, dans le cadre du Contrat Territoire Lecture qui le lie à la DRAC Occitanie et permet à l’Association LIRES de Sarrant d’œuvrer à un

Les systèmes de sens et leurs intéractions dans la psychose chez des réfugiés ayant vécu la torture

Cette recherche, intitulée «Psychose et Culture: le rôle d'espaces de négociation (patients-familles-intervenants) dans le rapport aux services» , a une

La gestion participative des ressources naturelles : une alternative à l'exode des jeunes du delta du Saloum (Sénégal)

En effet, nous pouvons affirmer que les jeunes que nous avons rencontrés se sont montrés dans une large proportion très réticents quand au fait de remettre en question leur idée