SlideShare une entreprise Scribd logo

présentation-PFE.pptx

Télécharger en tant que PPTX, PDF
A
AdemKorani

audit securite

Technologie
1  sur  32
Ministère de l’Enseignement Supérieur et de la Recherche Scientifique Direction Générale des Etudes Technologiques Institut Supérieur des Etudes Technologiques de Bizerte Département Technologies de l'Informatique Titre du PFE Audit de Sécurité du Système d’Information Elaboré par El Hosni Rawand Koraani Adem Encadré par Mme Asma Zaddem Mr Mehrez Sdouga Année universitaire : 2021/2022 1
2 Plan 2 Présentation de l’organisme 3 Audit de sécurité du système d’information 4 Norme ISO 27002 5 Définition de la mission 6 Déroulement de la mission 7 Conclusion 1 Introduction
Introduction 3 L’ extrême importance de la sécurisation du système d’information. le moyen de suivre la sécurité du SI est d’effectuer un audit. Les 3 phases de l’audit: • Pré-audit • Réalisation d’audit • Rapport et recommandations La réalisation d’audit selon un référentiel bien précis. Le résultat d’audit est rédigé dans un rapport d’audit avec les recommandations adéquates. La pré-audit est une étude de système d’information.
Présentation de l’organisme 4 Société américaine d'électronique automobile mondiale. Installé en Tunisie en 1992. L'entreprise est implantée dans 27 pays. la conception et la fabrication de systèmes de climatisation, d'éclairage et de composants électroniques pour automobiles.
5 Audit de sécurité du système d’information La sécurité de systéme d’information consiste à protéger les biens et informations les plus précieuses pour l’entreprise.  Critères d’évaluations: Sécurité Confidentialité Intégrité Disponibilité Non-répudiation
Audit de sécurité du système d’information 6 • un examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes. La démarche d’audit de sécurité de système d’information: Préparation de l’audit Audit organisationnel et physique Audit technique Test intrusif Rapport d’audit
Norme ISO 27002 7 Intitulé « Code de bonnes pratiques pour la gestion de la sécurité de l'information » Couvre tous les aspects de la sécurité de SI Donne des directives générales sur l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations Evolutif et souple Norme crédible éprouvée depuis des années Maîtrise le côut et le suivi de système
Définition de la mission 8 Notre mission est un Audit de sécurité de système d’information. ISO 27002 est la norme appropriée à ce genre d’audit. Les recommandations de l’audit peuvent renforcer le dossier de l'entreprise pour avoir une certification TISAX. TISAX est basée sur le groupe de travail « VDA-ISA » pour L'industrie automobile.
9 Déroulement de la mission Définition de la mission 2 Préparation d’outils de travail. 4 Élaboration de rapport d’audit Reconnaissance globale du SI 1 3 Réalisation de l’audit
Déroulement de la mission Reconnaissance globale du SI 10 Hardware : • 2 Lignes Internet (FO,FH) • 2 Routeur (TATA) • 1 CoreSwitch • 13 Points d’accès • 39 Switch d’accès • 156 Office PC (Laptop et Desktop) • 200 ShopFloor PC Desktop • 172 Comptes Utilisateurs Software : • Active Directory • DNS, DHCP • Raduis • Monitoring Tools (Putty) • Network Tools (Forticlient) • VLAN Management (Solarwinds) • VLAN ShopFloor (CVI, VB, etc.) • IPT System (OSBiz) Sécurité: • Proxy Zscaler • Antivirus : McAfee • GPO (pare-feu)
Déroulement de la mission Reconnaissance globale du SI Le périmétre de notre travail se limite à:  Attribution d’un accés sur un VLAN isolé.  Les ordinateurs de ce Vlan sont protégés par CISCO ISE et ACL.  Accés à tous les documents mais avec restriction d’accès aux documents confidentiels ainsi les documents techniques. 11
Déroulement de la mission 12 Les axes de travail Préparation d’outils de travail: Politique de sécurité d’information Organisation de la sécurité de l’information Gestion des actifs Gestion des risques Conformité Gestion des incidents Gestion d’accès Cryptographie
Déroulement de la mission 13 Préparation d’outils de travail: La réponse au contrôle est le niveau de maturité de la sécurité de système d’information et évalué selon un modèle générique à six niveaux préconçu par VDA: 0 : Incomplèt. 1 : Accompli. 2 : Géré. 3 : Fixe. 4 :Prévisible. 5 : Amélioré.
Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information  Apporter à la sécurité de l’information une orientation et un soutien de la part de la direction, conformément aux exigences métier et aux lois et règlements en vigueur. 14 Les points à vérifier : • Vérifier l'existence d'une politique de sécurité de système d'information . • Vérifier si la politique est approuvée par la direction et publiée à tous les utilisateurs du SI. • Vérifier si la politique est passée en revue par un comité de sécurité. • Vérifier si la PSI est met en place pour la révision et la mise à jour
Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information Les points à vérifier: 15  Vérifier l'existence d'une politique de sécurité de système d'information 5
Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information Les points à vérifier: 16  Vérifier si la politique est approuvée par la direction et publiée à tous les utilisateurs du SI 4
Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information Les points à vérifier: 17  Vérifier si la politique est passée en revue par un comité de sécurité 5
Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information Les points à vérifier: 18  Vérifier si la PSI est met en place pour la révision et la mise à jour 3
Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information Résultat global : 19 4.25 : Prévisible
Déroulement de la mission Réalisation de l’audit Gestion des actifs  Identifier les actifs de l’organisme, définir les responsabilités pour une protection appropriée, et s’assurer que l’information bénéficie d’un niveau de protection approprié conforme à son importance pour l’organisme. 20 Les points à vérifier:  Vérifier la cohérence entre l’Inventaire et l’état réel  Vérifier la mise à jour au niveau de l'inventaire.
Déroulement de la mission Réalisation de l’audit Gestion des actifs 21 Les points à vérifier:  Vérifier la cohérence entre l’Inventaire et l’état réel
Déroulement de la mission Réalisation de l’audit Gestion des actifs 22 Les points à vérifier:  Vérifier la cohérence entre l’Inventaire et l’état réel
Déroulement de la mission Réalisation de l’audit Gestion des actifs 23 Les points à vérifier:  Vérifier la cohérence entre l’Inventaire et l’état réel 2
Déroulement de la mission Réalisation de l’audit Gestion des actifs 24 Les points à vérifier:  Vérifier la mise à jour au niveau d'inventaire.
Déroulement de la mission Réalisation de l’audit Gestion des actifs 25 Les points à vérifier:  Vérifier la mise à jour au niveau d'inventaire.
Déroulement de la mission Réalisation de l’audit Gestion des actifs 26 Les points à vérifier:  Vérifier la mise à jour au niveau d'inventaire. 4
Déroulement de la mission Réalisation de l’audit Gestion des actifs Résultat global : 27 3.08 : Fixe
Déroulement de la mission Elaboration de rapport d’audit 28 Résultat Global de l’Audit Résultat de l’audit : 3.46
Déroulement de la mission Elaboration de rapport d’audit Recommandation 29 Politique de sécurité de système d’information • Visteon devrait réviser régulièrement la politique de sécurité pour la mise à jour. Organisation de sécurité de l’information • Assurer la sécurité de l’organisme passe par l’établissement et la désignation d’un Responsable de Sécurité des Systèmes d’Information. Gestion des actifs • Visteon doit tenir à jour l’inventaire actifs. Gestion des risques • Visteon doit améliorer le niveau de protection contre menace.
Déroulement de la mission Elaboration de rapport d’audit Recommandation 30 Conformité • Les opérations d'audit réalisées pour les données critiques doivent être enregistrées. Gestion des incidents • L’organisme doit améliorer le contrôle et la visibilité d’incident au niveau hardware et software. Gestion d’accès • Les droits accordés aux utilisateurs dès leur enregistrement doivent être approuvés par les propriétaires des ressources concernées. Cryptographie • Visteon doit élaborer la politique de sécurité propre à la messagerie électronique.
31 Conclusion Nous espérons que vous êtes plus en moins satisfaites comme nous de notre première expérience en tant qu’auditeurs et que malgré que le système de sécurité de la société est très développés nous avons réussi à soustraire quelques défaillances et proposer des recommandations qu’on espéré être prise en considération par la société
32

Recommandé

Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 

Recommandé

Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Charif Khrichfa
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...Tidiane Sylla
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAbbes Rharrab
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIAlghajati
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
Présentation PFE
Présentation PFEPrésentation PFE
Présentation PFEIlef Ben Slima
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1PRONETIS
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_webRapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_webSalma Gouia
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012Sellami Ahmed
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
P fsense
P fsenseP fsense
P fsenserequinblanco
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Ahmed Slim
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Gestion et Suivi des Projets informatique
Gestion et Suivi des Projets informatiqueGestion et Suivi des Projets informatique
Gestion et Suivi des Projets informatiqueJihed Kaouech
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet ZabbixSamiMessaoudi4
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptxemnabenamor3
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatiqueCheick Ahmed Camara
 
Présentation PFE: SmartAudit
Présentation PFE: SmartAuditPrésentation PFE: SmartAudit
Présentation PFE: SmartAuditMohamed Ayoub OUERTATANI
 
Mémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim HannachiMémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim Hannachislim Hannachi
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerCERTyou Formation
 

Contenu connexe

Tendances

Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesHicham Moujahid
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1PRONETIS
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_webRapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_webSalma Gouia
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012Sellami Ahmed
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatiqueMohammed Zaoui
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Ahmed Slim
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Gestion et Suivi des Projets informatique
Gestion et Suivi des Projets informatiqueGestion et Suivi des Projets informatique
Gestion et Suivi des Projets informatiqueJihed Kaouech
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Vumetric
 
Mémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim HannachiMémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim Hannachislim Hannachi
 

Tendances (20)

Présentation PFE
Présentation PFEPrésentation PFE
Présentation PFE
 
Presentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemesPresentation pfe ingenieur d etat securite reseau et systemes
Presentation pfe ingenieur d etat securite reseau et systemes
 
Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1Sécurite operationnelle des systèmes d'information Volet-1
Sécurite operationnelle des systèmes d'information Volet-1
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_webRapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 
Presentation pfe 2012
Presentation pfe 2012Presentation pfe 2012
Presentation pfe 2012
 
sécurité informatique
sécurité informatiquesécurité informatique
sécurité informatique
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
P fsense
P fsenseP fsense
P fsense
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 
Gestion et Suivi des Projets informatique
Gestion et Suivi des Projets informatiqueGestion et Suivi des Projets informatique
Gestion et Suivi des Projets informatique
 
Mini projet Zabbix
Mini projet ZabbixMini projet Zabbix
Mini projet Zabbix
 
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)Test d’intrusion dans le cadre du cycle de développement (Vumetric)
Test d’intrusion dans le cadre du cycle de développement (Vumetric)
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
 
La sécurité informatique
La sécurité informatiqueLa sécurité informatique
La sécurité informatique
 
Présentation PFE: SmartAudit
Présentation PFE: SmartAuditPrésentation PFE: SmartAudit
Présentation PFE: SmartAudit
 
Mémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim HannachiMémoire : Cloud iaas Slim Hannachi
Mémoire : Cloud iaas Slim Hannachi
 

Similaire à présentation-PFE.pptx

cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerCERTyou Formation
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptKhouloud Errachedi
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Ammar Sassi
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorCERTyou Formation
 
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0ben3a
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdfHajar958801
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 

Similaire à présentation-PFE.pptx (20)

cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptEtude comparative iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Iso27001
Iso27001 Iso27001
Iso27001
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 

présentation-PFE.pptx

  • 1. Ministère de l’Enseignement Supérieur et de la Recherche Scientifique Direction Générale des Etudes Technologiques Institut Supérieur des Etudes Technologiques de Bizerte Département Technologies de l'Informatique Titre du PFE Audit de Sécurité du Système d’Information Elaboré par El Hosni Rawand Koraani Adem Encadré par Mme Asma Zaddem Mr Mehrez Sdouga Année universitaire : 2021/2022 1
  • 2. 2 Plan 2 Présentation de l’organisme 3 Audit de sécurité du système d’information 4 Norme ISO 27002 5 Définition de la mission 6 Déroulement de la mission 7 Conclusion 1 Introduction
  • 3. Introduction 3 L’ extrême importance de la sécurisation du système d’information. le moyen de suivre la sécurité du SI est d’effectuer un audit. Les 3 phases de l’audit: • Pré-audit • Réalisation d’audit • Rapport et recommandations La réalisation d’audit selon un référentiel bien précis. Le résultat d’audit est rédigé dans un rapport d’audit avec les recommandations adéquates. La pré-audit est une étude de système d’information.
  • 4. Présentation de l’organisme 4 Société américaine d'électronique automobile mondiale. Installé en Tunisie en 1992. L'entreprise est implantée dans 27 pays. la conception et la fabrication de systèmes de climatisation, d'éclairage et de composants électroniques pour automobiles.
  • 5. 5 Audit de sécurité du système d’information La sécurité de systéme d’information consiste à protéger les biens et informations les plus précieuses pour l’entreprise.  Critères d’évaluations: Sécurité Confidentialité Intégrité Disponibilité Non-répudiation
  • 6. Audit de sécurité du système d’information 6 • un examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes. La démarche d’audit de sécurité de système d’information: Préparation de l’audit Audit organisationnel et physique Audit technique Test intrusif Rapport d’audit
  • 7. Norme ISO 27002 7 Intitulé « Code de bonnes pratiques pour la gestion de la sécurité de l'information » Couvre tous les aspects de la sécurité de SI Donne des directives générales sur l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations Evolutif et souple Norme crédible éprouvée depuis des années Maîtrise le côut et le suivi de système
  • 8. Définition de la mission 8 Notre mission est un Audit de sécurité de système d’information. ISO 27002 est la norme appropriée à ce genre d’audit. Les recommandations de l’audit peuvent renforcer le dossier de l'entreprise pour avoir une certification TISAX. TISAX est basée sur le groupe de travail « VDA-ISA » pour L'industrie automobile.
  • 9. 9 Déroulement de la mission Définition de la mission 2 Préparation d’outils de travail. 4 Élaboration de rapport d’audit Reconnaissance globale du SI 1 3 Réalisation de l’audit
  • 10. Déroulement de la mission Reconnaissance globale du SI 10 Hardware : • 2 Lignes Internet (FO,FH) • 2 Routeur (TATA) • 1 CoreSwitch • 13 Points d’accès • 39 Switch d’accès • 156 Office PC (Laptop et Desktop) • 200 ShopFloor PC Desktop • 172 Comptes Utilisateurs Software : • Active Directory • DNS, DHCP • Raduis • Monitoring Tools (Putty) • Network Tools (Forticlient) • VLAN Management (Solarwinds) • VLAN ShopFloor (CVI, VB, etc.) • IPT System (OSBiz) Sécurité: • Proxy Zscaler • Antivirus : McAfee • GPO (pare-feu)
  • 11. Déroulement de la mission Reconnaissance globale du SI Le périmétre de notre travail se limite à:  Attribution d’un accés sur un VLAN isolé.  Les ordinateurs de ce Vlan sont protégés par CISCO ISE et ACL.  Accés à tous les documents mais avec restriction d’accès aux documents confidentiels ainsi les documents techniques. 11
  • 12. Déroulement de la mission 12 Les axes de travail Préparation d’outils de travail: Politique de sécurité d’information Organisation de la sécurité de l’information Gestion des actifs Gestion des risques Conformité Gestion des incidents Gestion d’accès Cryptographie
  • 13. Déroulement de la mission 13 Préparation d’outils de travail: La réponse au contrôle est le niveau de maturité de la sécurité de système d’information et évalué selon un modèle générique à six niveaux préconçu par VDA: 0 : Incomplèt. 1 : Accompli. 2 : Géré. 3 : Fixe. 4 :Prévisible. 5 : Amélioré.
  • 14. Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information  Apporter à la sécurité de l’information une orientation et un soutien de la part de la direction, conformément aux exigences métier et aux lois et règlements en vigueur. 14 Les points à vérifier : • Vérifier l'existence d'une politique de sécurité de système d'information . • Vérifier si la politique est approuvée par la direction et publiée à tous les utilisateurs du SI. • Vérifier si la politique est passée en revue par un comité de sécurité. • Vérifier si la PSI est met en place pour la révision et la mise à jour
  • 15. Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information Les points à vérifier: 15  Vérifier l'existence d'une politique de sécurité de système d'information 5
  • 16. Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information Les points à vérifier: 16  Vérifier si la politique est approuvée par la direction et publiée à tous les utilisateurs du SI 4
  • 17. Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information Les points à vérifier: 17  Vérifier si la politique est passée en revue par un comité de sécurité 5
  • 18. Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information Les points à vérifier: 18  Vérifier si la PSI est met en place pour la révision et la mise à jour 3
  • 19. Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information Résultat global : 19 4.25 : Prévisible
  • 20. Déroulement de la mission Réalisation de l’audit Gestion des actifs  Identifier les actifs de l’organisme, définir les responsabilités pour une protection appropriée, et s’assurer que l’information bénéficie d’un niveau de protection approprié conforme à son importance pour l’organisme. 20 Les points à vérifier:  Vérifier la cohérence entre l’Inventaire et l’état réel  Vérifier la mise à jour au niveau de l'inventaire.
  • 21. Déroulement de la mission Réalisation de l’audit Gestion des actifs 21 Les points à vérifier:  Vérifier la cohérence entre l’Inventaire et l’état réel
  • 22. Déroulement de la mission Réalisation de l’audit Gestion des actifs 22 Les points à vérifier:  Vérifier la cohérence entre l’Inventaire et l’état réel
  • 23. Déroulement de la mission Réalisation de l’audit Gestion des actifs 23 Les points à vérifier:  Vérifier la cohérence entre l’Inventaire et l’état réel 2
  • 24. Déroulement de la mission Réalisation de l’audit Gestion des actifs 24 Les points à vérifier:  Vérifier la mise à jour au niveau d'inventaire.
  • 25. Déroulement de la mission Réalisation de l’audit Gestion des actifs 25 Les points à vérifier:  Vérifier la mise à jour au niveau d'inventaire.
  • 26. Déroulement de la mission Réalisation de l’audit Gestion des actifs 26 Les points à vérifier:  Vérifier la mise à jour au niveau d'inventaire. 4
  • 27. Déroulement de la mission Réalisation de l’audit Gestion des actifs Résultat global : 27 3.08 : Fixe
  • 28. Déroulement de la mission Elaboration de rapport d’audit 28 Résultat Global de l’Audit Résultat de l’audit : 3.46
  • 29. Déroulement de la mission Elaboration de rapport d’audit Recommandation 29 Politique de sécurité de système d’information • Visteon devrait réviser régulièrement la politique de sécurité pour la mise à jour. Organisation de sécurité de l’information • Assurer la sécurité de l’organisme passe par l’établissement et la désignation d’un Responsable de Sécurité des Systèmes d’Information. Gestion des actifs • Visteon doit tenir à jour l’inventaire actifs. Gestion des risques • Visteon doit améliorer le niveau de protection contre menace.
  • 30. Déroulement de la mission Elaboration de rapport d’audit Recommandation 30 Conformité • Les opérations d'audit réalisées pour les données critiques doivent être enregistrées. Gestion des incidents • L’organisme doit améliorer le contrôle et la visibilité d’incident au niveau hardware et software. Gestion d’accès • Les droits accordés aux utilisateurs dès leur enregistrement doivent être approuvés par les propriétaires des ressources concernées. Cryptographie • Visteon doit élaborer la politique de sécurité propre à la messagerie électronique.
  • 31. 31 Conclusion Nous espérons que vous êtes plus en moins satisfaites comme nous de notre première expérience en tant qu’auditeurs et que malgré que le système de sécurité de la société est très développés nous avons réussi à soustraire quelques défaillances et proposer des recommandations qu’on espéré être prise en considération par la société
  • 32. 32

Notes de l'éditeur

  1. Bonjour , Madame le président, Mes dames membres du jury, nous tenons tout d’abord à vous remercier pour l’attentions que vous voudrez bien accorder à notre soutenance. Nous avons l’honneur de vous présenter notre projet de fin d’études intitulé Audit de sécurité de SI élaboré par rawand hosni et adem koraani .
  2. Pour bien expliquer notre projet, nous avons choisi l’acheminement suivant: Chap 1 intro Chap 2 ,,, Chapitre 3 définition de l’audit de sécurité de SI dont le référentiel ISO 27002 que nous allons expliqué dans le chapitre 4. Chapitre 5 défintion de la mission Chapitre 6 … Finissons par une conclusion
  3. Cet exposé valorise l’importance de la sécurisation de systéme d’information et l’audit est un moyen pour vérifier cette sécurité. La métodologie de notre audit nécéssite une pré audit cad une étude de systéme d’information , une réalisation selon un référentiel bien précis.Le résultat est un rapport avec les recommandations adéquates,
  4. Notre projet de fin d’études est éffectué au sein de la société visteon :
  5. Le chapitre suivant est consacré à l’audit de sécurité de système d’information.
  6. L’audit est
  7. Nous passons maintenant à la définition de l’iso 27002
  8. Notre mission est un Audit de sécurité de système d’information qui est basé sur la norme iso 27002.Les recommandations de notre audit peuvent renforcer le dossier de l’entreprise pour avoir une certification TISAX pour participer aux appels d’offres allemands , certificat basée sur le groupe de travail VDA ISA pour L'industrie automobile et ce dérnié est basé aussi sur la norme ISO 27002.
  9. Pour la préparation des outils de travail, nous avons planifié une réunion avec l’IT manager pour pouvoir détecter les axes principaux de travail selon la norme ISO 27002 et le VDA. Chaque thème a ces propres points à vérifier pour assurer le niveau de maturité de SI.
  10. La réponse au contrôle est le niveau de maturité de la sécurité de système d’information et évalué selon un modèle à six niveaux préconçu par VDA dans le sheet Maturity Level : 3: c’est le niveau de maturité cible
  11. Nous avons réalisé cet audit en préparant une check-liste selon les axes de travail mentionnés précédament puis planifié des interviews avec l’IT manager pour vérifier chaque point des 8 thèmes. Et pour vous montrer la démarche suivie pour chaque point , voiçi deux cas théorique et pratique valorisant notre travail.
  12. Le premier point point est : Vérifier… cette capture vous montre que la politique est déjà existé donc selon VDA la note est 5
  13. Le deuxiéme point point est : Vérifier… cette capture vous montre que la politique est approuvé et publié dans le serveur web de Visteon donc selon VDA la note est 4 Parce que la société n’exige pas de ces employés la vue de la politque.
  14. Le troisiéme point point est : Vérifier… cette capture vous montre que la politique est passé en revue.
  15. Le derniére check est Vérifier… cette capture vous montre La date de révision de la politque.
  16. D’après VDA , le niveau de maturité de ce théme est prévisible 4.25
  17. Le deuxiéme cas pratique est le thème 3 : c’est le Gestion des actifs qui a comme objectif d’ Les 2 points qui nécessite une vérification techniques sont :
  18. La première check est la vérification de la cohérence entre l’inventaire et l’état réel. cette figure vous montre une partie de l’inventaire contenant les machines configuré avec des ip statiques .
  19. notre outil de vérification est un script vbs qui permet d’identifier l’option des cartes réseaux c’est-à-dire statique ou DHCP.
  20. Le résultat de script que nous avons exploité est porté sur un fichier excel contenant les ips avec leurs noms et leurs cartes réseaux Les discordances entre le réél est l’inventaire sont trouvé grâce à 2 fonction excel prédéfinis nommé vlookup et if Les lignes jaunes sont des anomalites mineurs ( l’exitstance de la machine dans l’inventaire mais avec un ip different) Les lignes rouges sont des anomalies majors(non existant dans l’inventaire). La note attirbuée à cette check est 2 donc à géré
  21. La deuxième check est la vérification de mise à jour au niveau d’inventaire. Cette figure vous montre une partie de l’inventaire contenant les machine avec des leurs systéme d’exploitation , comment minimiser le risque aussi un plan de migration
  22. L’outil de vérification est un script vbs qui permet d’extraire les versions des os windows et d’identifier s’ils sont déjà supporté par windows ou pas encore
  23. Le résultat obtenu est porté dans le même fichier excel. La note attribué est 4: prévisible à cause de l’inexistance de 3 machines.
  24. D’après VDA , le niveau de maturité de ce thème est Fixe 3.08
  25. La dernière étape de l’audit est l’élaboration d’un rapport d’audit dont lequel on développe les résultat obtenus plus les recommandations adéquates. Le Niveau de maturité du Système d’information de Visteon est Fixe (3.46)
  26. Suite à cette audite qui comporte 8 thème nos recommandation sont: Thème 1 : recom. Thème 2 : recom. …
  27. La dernière étape de l’audit est l’élaboration d’un rapport d’audit dont lequel on développe les résultats obtenus plus les recommandations adéquates.