Audit de sécurité informatique

5 410 vues

Publié le

audit de sécurité informatique d'un établissement universitaire avec des normes ISO, ISACA et une analyse des risques.

Publié dans : Ingénierie
0 commentaire
9 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
5 410
Sur SlideShare
0
Issues des intégrations
0
Intégrations
50
Actions
Partages
0
Téléchargements
942
Commentaires
0
J’aime
9
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Audit de sécurité informatique

  1. 1. Approche pour l’audit de la sécurité d’un système d’information d’un établissement universitaire : Elaboré par : Mohamed Ali HADHRI 1
  2. 2. Plan • Problématique • Audit de sécurité informatique • Choix de normes et de méthodes • Processus d’audit • Recommandations • Plan d’action • Conclusion • Perspectives 2
  3. 3. Problématiques • Mauvaise réactivité de serveurs. • Refus et plantage de différents services dans l’Intranet. • Contamination par des virus malgré l’existence d’une solution d’antivirus. • Difficulté d’accéder aux différentes ressources partagées • Faible débit Internet. • Altération, modification ou suppression d’informations. • Vol de matériels ou de pièces électroniques du • Coupures électriques. 3
  4. 4. Conséquences • Indisponibilités des systèmes, • Manipulation des données et systèmes par des personnes non autorisés, • Destruction des données ou systèmes, • Difficulté de remise en marche, • Coûts importants de maintient en état, • Mise en jeu de la crédibilité 4
  5. 5. Nécessités • Perfectionner la sécurisation des Systèmes d’Information par : • vérification de l’identité déclinée par le requérant • gestion des droits d’accès et des autorisations • Protéger les données stockées ou en transit sur le réseau contre toute: • modification non autorisée, utilisation frauduleuse ou divulgation non autorisée. • Etablir un diagnostic sur la qualité du fonctionnement du système informatique actuel et proposer des mesures susceptibles de l’améliorer. • Prouver la crédibilité du système d’information à l’aide des analyses effectuées. •  Audit de sécurité informatique 5
  6. 6. L’audit de sécurité informatique C’est un processus systématique, indépendant et documenté pour identifier: • l’état des lieux du SI, • les risques • leurs menaces • leurs impacts • les mesures de critères de sécurité à prendre Il se réfère à des référentiels et normes spécifiques 6
  7. 7. La charte d’audit • Basée sur La Norme ISACA SI 1001.1 et 1001.2 • Document approuvé par la direction de l’ISET pour: • Définir la portée des activités de la fonction d’audit • Définir le pouvoir, l’objet, et limitations de la fonction d’audit • Définir les responsabilités de la fonction interne d’audit • Autoriser l’accès aux documents, biens personnels et physiques pertinents • Définir les normes professionnelles à suivre dans la conduite des missions d’audit et d’assurance des SI 7
  8. 8. La Norme ISO 27002:2005 • Ensemble de bonnes pratiques décrivant les principaux objectifs de contrôle de l’ensemble de la sécurité de l’information sans aucune obligation • Etablit des lignes directrices pour préparer, mettre en œuvre, entretenir et améliorer la gestion de la sécurité de l'information au sein d'un organisme. • Couvre tous les aspects de la sécurité des SI • Conforme à la loi et règlementation • Publique et internationale • Norme crédible éprouvée depuis plus que 10 années • Maitrise des coûts de la SSI • Évolutive et souple 8
  9. 9. ISO 27002: Insuffisances • La norme 27002:2005 ne fixe pas de niveaux ou d’objectifs de sécurité et rappelle la nécessité de faire des analyses de risques périodiques sans préciser la méthode d’évaluation du risque. • Solution:  Recourir à une méthode qui sera l’outil utilisé pour satisfaire à la norme ISO. 9
  10. 10. Pourquoi EBIOS ? • Expression des Besoins et Identification des Objectifs de Sécurité • Méthode qui permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information • permet d’identifier des objectifs et exigences de sécurité à la suite d’une appréciation de risques • elle permet de contribuer à la réalisation : • d’une politique de sécurité, • d’un plan d’action de sécurité des systèmes d’information, • d’une fiche d’expression rationnelle des objectifs de sécurité. 10
  11. 11. EBIOS: Démarche • L’étude du contexte • matériels, logiciels, réseaux, organisations, personnels et sites. • L’expression des besoins de sécurité • Chaque élément essentiel a un besoin de sécurité • L’étude des menaces • Chaque entité possède des vulnérabilités exploitées par les éléments menaçants • L’expression des objectifs de sécurité • couvrir les vulnérabilités exploitées par les attaquants • La détermination des exigences de sécurité • spécifier les fonctionnalités de sécurité attendues et spécifier les exigences d’assurance11
  12. 12. 12 ACTIF Vulnérabilités Risques ImpactsMenaces Protections possède exploitent ciblent entrainent réduisent Protègent contre limitent
  13. 13. EBIOS: L’outil • Distribué sous Licence GNU GPL, • Multiplateformes, • Assiste les utilisateurs d’EBIOS, • Stocke les contextes, risques et besoins, • Donne accès à une base de connaissances des: • Risques courants • Attaques courantes • Risques fréquents 13
  14. 14. Avantages et Inconvénients d’EBIOS Avantages • Solution complète modulaire • Définit les Acteurs, Rôles, Interactions etVocabulaire • Adéquation des ressources aux besoins • Politique de sécurité claire et réaliste • Dispose d’un logiciel d’assistance pour la mise en œuvre Inconvénients • Pas de recommandations sécuritaires • Pas de méthode d’audit/évaluation • Possibilité d’évaluation incorrecte des risques • Oublis potentiels • Vocabulaire légèrement nuancé  EBIOS ne peut pas être utilisé seul 14
  15. 15. Norme d’audit des SI 1008.1, 1008.2 • Référence adoptée pour l’audit technique de L’ISET • Se base sur la sélection de critères d'évaluation des équipements informatiques afin de les mettre à la disposition de tous les utilisateurs • Fournit une base de critères validées établies par l’ISACA qui doivent être : • Objectifs • Complets • Pertinents • Mesurables • Intelligibles 15
  16. 16. Mission d’audit de sécurité 16
  17. 17. Audit organisationnel et physique • Conforme à la norme ISO 27002 : 2005. • Dresse un état des lieux des plans organisationnels, procéduraux et technologiques. • Couvre la sécurité physique des locaux et le contrôle d’accès logique. • Cherche à obtenir un aperçu global de l’état de sécurité du système d’information et identifier les risques potentiels 17
  18. 18. Domaines d’activité • Politique de sécurité • Organisation de la sécurité de l’information. • Gestion des biens. • Sécurité liée aux ressources humaines • Sécurité physique et environnementale. • Gestion opérationnelle et gestion de la communication. • Contrôle d’accès. • Acquisition, développement et maintenance des systèmes d’information. • Gestion des incidents liés à la sécurité de l’information. • Gestion de la continuité de l’activité. • Conformité 18
  19. 19. Constations • Absence d’un schéma directeur • Absence de documents de références • Absence de politique de sécurité • Absence d’un poste de RSSI • Absence d’affectation de responsabilités en matière de sécurité lors d’attribution des rôles • Absences de procédure d’accès, de gestion de supports de stockage, • Insuffisance au niveau du contrôle d’accès • Manque de sensibilisation des utilisateurs • Exposition à des facteurs environnementaux • Défaillances techniques au niveau des équipements informatiques 19
  20. 20. Analyse des risques Disponibilité d’accès à Moodle  significatif Cohérence et Intégrité des données dans Moodle  intolérable Confidentialité limitée d'accès à Moodle  intolérable Disponibilité des comptes utilisateurs  significatif Intégrité des comptes utilisateurs  intolérable Confidentialité des comptes utilisateurs  intolérable Disponibilité des applications  significatif Intégrité des applications  significatif Disponibilité du site internet  négligeable Intégrité maitrisée du contenu du site internet  significatif 20
  21. 21. Audit technique • Conforme à la norme d’ISACA concernant les actifs informationnels. • Ensemble de tests pour découvrir les failles et vulnérabilités des composants du système d’information: • réseau, • serveurs, • Systèmes d’exploitation, • équipements actifs de l’infrastructure réseau, • site web 21
  22. 22. Utilitaires deTAAO 22
  23. 23. Constatations • Des défauts de configuration. • Des services vulnérables. • Des patchs de sécurité non mis à jour. • Des Produits non plus supportés par l’éditeur telque XP. • Produits avec des licences expirées. • Produits nécessitant des mises à jour. 23
  24. 24. Recommandations • Activer le branchement du firewall physique • Ajouter un serveur proxy pour l’Administration. • Fermer les ports des services inutilisables sur machine • Mise à jour vers Apache httpd 2.2.21. • Désactiver les service SNMP, FTP,Telnet. • Migrer vers une version deWindows supportée actuellement • Installer les correctifs pourWindows et modifier des registres spécifiques • Appliquer la signature SMB pour les messages dans les machines Hôtes. • Installer un antivirus avec licence 24
  25. 25. Plan d’action • Elaboration d’un référentiel de sécurité. • Sensibilisation et formation à la sécurité. • Renforcement de la sécurité des locaux. • Sécurisation des systèmes. • Partitionnement du réseau local. • Assurer la continuité de fonctionnement. 25
  26. 26. Conclusion • La mission d’audit réalisée a permis d’identifier les risques du système d’information en utilisant une démarche structurée. • L’audit a détecté des lacunes sur le plan organisationnel, physique et technique et a présenté des propositions à mettre en œuvre pour pallier à ces insuffisances. • Nécessité de faire le suivi pour concrétiser les recommandations. 26
  27. 27. Perspectives • Personnalisation et adaptation du code source d’EBIOS • Intégration de l’audit dans le processus en cours de certification ISO 9001 • Des normes ISO en cours de rédaction • ISO 27007 : Guide d'audit • ISO 27008 : Guide pour les auditeurs concernant les contrôles du SMSI • ISO 27011 : 27002 adapté à certains secteurs d'activité (télécom, santé, …) 27
  28. 28. Bibliographie • [4] « About ISACA ». [En ligne]. Disponible sur: http://www.isaca.org/about- isaca/Pages/default.aspx. [Consulté le: 01-juin-2014]. • [5] « ISO - Organisation internationale de normalisation ». [En ligne]. Disponible sur: http://www.iso.org/iso/fr/. [Consulté le: 01-juin-2014]. • [1] webmestre [at] ssi.gouv.fr, « Site officiel de l’agence nationale de la sécurité des systèmes d’information ». [En ligne]. Disponible sur: http://www.ssi.gouv.fr/fr/anssi/. [Consulté le: 29-mai- 2014]. • [10] « EBIOS 2010 - Expression des Besoins et Identification des Objectifs de Sécurité - ANSSI ». [En ligne]. Disponible sur: http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/outils- methodologiques/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de- securite.html. [Consulté le: 29-mai-2014]. • [14] C. JeanFrançois, La sécurité informatique dans la petite entreprise. editions ENI • [22] B. Bernard et D. Benoit, "Linux, sécuriser un réseau», Edition Eyrolles, 3e éd. • [13] « Centre des Ressources Informatiques ». [En ligne]. Disponible sur: http://www.isetso.rnu.tn/index.php?option=com_content&view=article&id=47&Itemid=37&lang =fr. [Consulté le: 29-mai-2014]. 28

×