1. Ministère de l’Enseignement Supérieur et de
la Recherche Scientifique
Direction Générale des Etudes Technologiques
Institut Supérieur des Etudes Technologiques de Bizerte
Département Technologies de l'Informatique
Titre du PFE
Audit de Sécurité du Système d’Information
Elaboré par
El Hosni Rawand
Koraani Adem
Encadré par
Mme Asma Zaddem
Mr Mehrez Sdouga
Année universitaire : 2021/2022
1
2. 2
Plan
2 Présentation de l’organisme
3 Audit de sécurité du système d’information
4 Norme ISO 27002
5 Définition de la mission
6 Déroulement de la mission
7 Conclusion
1 Introduction
3. Introduction
3
L’ extrême importance
de la sécurisation du
système d’information.
le moyen de suivre la sécurité
du SI est d’effectuer un audit.
Les 3 phases de l’audit:
• Pré-audit
• Réalisation d’audit
• Rapport et recommandations
La réalisation d’audit selon un
référentiel bien précis.
Le résultat d’audit est rédigé
dans un rapport d’audit avec les
recommandations adéquates.
La pré-audit est une étude de
système d’information.
4. Présentation de l’organisme
4
Société américaine d'électronique automobile mondiale.
Installé en Tunisie en 1992.
L'entreprise est implantée dans 27 pays.
la conception et la fabrication de systèmes de climatisation,
d'éclairage et de composants électroniques pour automobiles.
5. 5
Audit de sécurité du système d’information
La sécurité de systéme d’information consiste à protéger les biens et informations les plus précieuses pour
l’entreprise.
Critères d’évaluations:
Sécurité
Confidentialité Intégrité
Disponibilité Non-répudiation
6. Audit de sécurité du système d’information
6
• un examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier sa conformité
à des objectifs, à des règles ou à des normes.
La démarche d’audit de sécurité de système d’information:
Préparation de l’audit
Audit organisationnel et physique
Audit technique
Test intrusif
Rapport d’audit
7. Norme ISO 27002
7
Intitulé « Code de bonnes pratiques pour la
gestion de la sécurité de l'information »
Couvre tous les aspects de la sécurité
de SI
Donne des directives générales sur l'utilisation
de méthodes appropriées pour analyser les
risques pour la sécurité des informations
Evolutif et souple
Norme crédible éprouvée depuis
des années
Maîtrise le côut et le suivi de
système
8. Définition de la mission
8
Notre mission est un
Audit de sécurité de
système d’information.
ISO 27002 est la norme
appropriée à ce genre
d’audit.
Les recommandations de
l’audit peuvent renforcer le
dossier de l'entreprise pour
avoir une certification TISAX.
TISAX est basée sur le groupe
de travail « VDA-ISA » pour
L'industrie automobile.
9. 9
Déroulement de la mission
Définition de la
mission
2
Préparation
d’outils de travail.
4
Élaboration de
rapport d’audit
Reconnaissance
globale du SI
1 3
Réalisation de l’audit
10. Déroulement de la mission
Reconnaissance globale du SI
10
Hardware :
• 2 Lignes Internet (FO,FH)
• 2 Routeur (TATA)
• 1 CoreSwitch
• 13 Points d’accès
• 39 Switch d’accès
• 156 Office PC (Laptop et Desktop)
• 200 ShopFloor PC Desktop
• 172 Comptes Utilisateurs
Software :
• Active Directory
• DNS, DHCP
• Raduis
• Monitoring Tools (Putty)
• Network Tools (Forticlient)
• VLAN Management (Solarwinds)
• VLAN ShopFloor (CVI, VB, etc.)
• IPT System (OSBiz)
Sécurité:
• Proxy Zscaler
• Antivirus : McAfee
• GPO (pare-feu)
11. Déroulement de la mission
Reconnaissance globale du SI
Le périmétre de notre travail se limite à:
Attribution d’un accés sur un VLAN isolé.
Les ordinateurs de ce Vlan sont protégés par CISCO ISE et ACL.
Accés à tous les documents mais avec restriction
d’accès aux documents confidentiels ainsi les documents techniques.
11
12. Déroulement de la mission
12
Les axes de travail
Préparation d’outils de travail:
Politique de sécurité d’information Organisation de la sécurité de
l’information
Gestion des actifs Gestion des risques
Conformité Gestion des incidents
Gestion d’accès Cryptographie
13. Déroulement de la mission
13
Préparation d’outils de travail:
La réponse au contrôle est le niveau de maturité de la sécurité de système d’information et évalué selon
un modèle générique à six niveaux préconçu par VDA:
0 : Incomplèt.
1 : Accompli.
2 : Géré.
3 : Fixe.
4 :Prévisible.
5 : Amélioré.
14. Déroulement de la mission
Réalisation de l’audit
Politique de sécurité d’information
Apporter à la sécurité de l’information une orientation et un soutien de la part de la
direction, conformément aux exigences métier et aux lois et règlements en vigueur.
14
Les points à vérifier :
• Vérifier l'existence d'une politique de sécurité de système d'information .
• Vérifier si la politique est approuvée par la direction et publiée à tous les utilisateurs du SI.
• Vérifier si la politique est passée en revue par un comité de sécurité.
• Vérifier si la PSI est met en place pour la révision et la mise à jour
15. Déroulement de la mission
Réalisation de l’audit
Politique de sécurité d’information
Les points à vérifier:
15
Vérifier l'existence d'une politique de sécurité de système d'information 5
16. Déroulement de la mission
Réalisation de l’audit
Politique de sécurité d’information
Les points à vérifier:
16
Vérifier si la politique est approuvée par la direction et publiée à tous les utilisateurs du SI 4
17. Déroulement de la mission
Réalisation de l’audit
Politique de sécurité d’information
Les points à vérifier:
17
Vérifier si la politique est passée en revue par un comité de sécurité 5
18. Déroulement de la mission
Réalisation de l’audit
Politique de sécurité d’information
Les points à vérifier:
18
Vérifier si la PSI est met en place pour la révision et la mise à jour 3
19. Déroulement de la mission
Réalisation de l’audit
Politique de sécurité d’information
Résultat global :
19
4.25 : Prévisible
20. Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
Identifier les actifs de l’organisme, définir les responsabilités pour une protection appropriée, et
s’assurer que l’information bénéficie d’un niveau de protection approprié conforme à son importance
pour l’organisme.
20
Les points à vérifier:
Vérifier la cohérence entre l’Inventaire et l’état réel
Vérifier la mise à jour au niveau de l'inventaire.
21. Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
21
Les points à vérifier:
Vérifier la cohérence entre l’Inventaire et l’état réel
22. Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
22
Les points à vérifier:
Vérifier la cohérence entre l’Inventaire et l’état réel
23. Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
23
Les points à vérifier:
Vérifier la cohérence entre l’Inventaire et l’état réel
2
24. Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
24
Les points à vérifier:
Vérifier la mise à jour au niveau d'inventaire.
25. Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
25
Les points à vérifier:
Vérifier la mise à jour au niveau d'inventaire.
26. Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
26
Les points à vérifier:
Vérifier la mise à jour au niveau d'inventaire.
4
27. Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
Résultat global :
27
3.08 : Fixe
28. Déroulement de la mission
Elaboration de rapport d’audit
28
Résultat Global de l’Audit
Résultat de l’audit : 3.46
29. Déroulement de la mission
Elaboration de rapport d’audit
Recommandation
29
Politique de sécurité de système d’information
• Visteon devrait réviser régulièrement la politique de sécurité pour la mise à jour.
Organisation de sécurité de l’information
• Assurer la sécurité de l’organisme passe par l’établissement et la désignation d’un Responsable de
Sécurité des Systèmes d’Information.
Gestion des actifs
• Visteon doit tenir à jour l’inventaire actifs.
Gestion des risques
• Visteon doit améliorer le niveau de protection contre menace.
30. Déroulement de la mission
Elaboration de rapport d’audit
Recommandation
30
Conformité
• Les opérations d'audit réalisées pour les données critiques doivent être enregistrées.
Gestion des incidents
• L’organisme doit améliorer le contrôle et la visibilité d’incident au niveau hardware et software.
Gestion d’accès
• Les droits accordés aux utilisateurs dès leur enregistrement doivent être approuvés par les propriétaires des ressources
concernées.
Cryptographie
• Visteon doit élaborer la politique de sécurité propre à la messagerie électronique.
31. 31
Conclusion
Nous espérons que vous êtes plus en moins satisfaites comme nous de notre première expérience en tant qu’auditeurs
et que malgré que le système de sécurité de la société est très développés nous avons réussi à soustraire quelques
défaillances et proposer des recommandations qu’on espéré être prise en considération par la société
Bonjour , Madame le président, Mes dames membres du jury, nous tenons tout d’abord à vous remercier pour l’attentions que vous voudrez bien accorder à notre soutenance. Nous avons l’honneur de vous présenter notre projet de fin d’études intitulé Audit de sécurité de SI élaboré par rawand hosni et adem koraani .
Pour bien expliquer notre projet, nous avons choisi l’acheminement suivant:
Chap 1 intro
Chap 2 ,,,
Chapitre 3 définition de l’audit de sécurité de SI dont le référentiel ISO 27002 que nous allons expliqué dans le chapitre 4.
Chapitre 5 défintion de la mission
Chapitre 6 …
Finissons par une conclusion
Cet exposé valorise l’importance de la sécurisation de systéme d’information et l’audit est un moyen pour vérifier cette sécurité.
La métodologie de notre audit nécéssite une pré audit cad une étude de systéme d’information , une réalisation selon un référentiel bien précis.Le résultat est un rapport avec les recommandations adéquates,
Notre projet de fin d’études est éffectué au sein de la société visteon :
Le chapitre suivant est consacré à l’audit de sécurité de système d’information.
L’audit est
Nous passons maintenant à la définition de l’iso 27002
Notre mission est un Audit de sécurité de système d’information qui est basé sur la norme iso 27002.Les recommandations de notre audit peuvent renforcer le dossier de l’entreprise pour avoir une certification TISAX pour participer aux appels d’offres allemands , certificat basée sur le groupe de travail VDA ISA pour L'industrie automobile et ce dérnié est basé aussi sur la norme ISO 27002.
Pour la préparation des outils de travail, nous avons planifié une réunion avec l’IT manager pour pouvoir détecter les axes principaux de travail selon la norme ISO 27002 et le VDA.
Chaque thème a ces propres points à vérifier pour assurer le niveau de maturité de SI.
La réponse au contrôle est le niveau de maturité de la sécurité de système d’information et évalué selon un modèle à six niveaux préconçu par VDA dans le sheet Maturity Level :
3: c’est le niveau de maturité cible
Nous avons réalisé cet audit en préparant une check-liste selon les axes de travail mentionnés précédament puis planifié des interviews avec l’IT manager pour vérifier chaque point des 8 thèmes.
Et pour vous montrer la démarche suivie pour chaque point , voiçi deux cas théorique et pratique valorisant notre travail.
Le premier point point est : Vérifier… cette capture vous montre que la politique est déjà existé donc selon VDA la note est 5
Le deuxiéme point point est : Vérifier… cette capture vous montre que la politique est approuvé et publié dans le serveur web de Visteon donc selon VDA la note est 4
Parce que la société n’exige pas de ces employés la vue de la politque.
Le troisiéme point point est : Vérifier… cette capture vous montre que la politique est passé en revue.
Le derniére check est Vérifier… cette capture vous montre La date de révision de la politque.
D’après VDA , le niveau de maturité de ce théme est prévisible 4.25
Le deuxiéme cas pratique est le thème 3 : c’est le Gestion des actifs qui a comme objectif d’
Les 2 points qui nécessite une vérification techniques sont :
La première check est la vérification de la cohérence entre l’inventaire et l’état réel.
cette figure vous montre une partie de l’inventaire contenant les machines configuré avec des ip statiques .
notre outil de vérification est un script vbs qui permet d’identifier l’option des cartes réseaux c’est-à-dire statique ou DHCP.
Le résultat de script que nous avons exploité est porté sur un fichier excel contenant les ips avec leurs noms et leurs cartes réseaux
Les discordances entre le réél est l’inventaire sont trouvé grâce à 2 fonction excel prédéfinis nommé vlookup et if
Les lignes jaunes sont des anomalites mineurs ( l’exitstance de la machine dans l’inventaire mais avec un ip different)
Les lignes rouges sont des anomalies majors(non existant dans l’inventaire).
La note attirbuée à cette check est 2 donc à géré
La deuxième check est la vérification de mise à jour au niveau d’inventaire.
Cette figure vous montre une partie de l’inventaire contenant les machine avec des leurs systéme d’exploitation , comment minimiser le risque aussi un plan de migration
L’outil de vérification est un script vbs qui permet d’extraire les versions des os windows et d’identifier s’ils sont déjà supporté par windows ou pas encore
Le résultat obtenu est porté dans le même fichier excel. La note attribué est 4: prévisible à cause de l’inexistance de 3 machines.
D’après VDA , le niveau de maturité de ce thème est Fixe 3.08
La dernière étape de l’audit est l’élaboration d’un rapport d’audit dont lequel on développe les résultat obtenus plus les recommandations adéquates.
Le Niveau de maturité du Système d’information de Visteon est Fixe (3.46)
Suite à cette audite qui comporte 8 thème nos recommandation sont:
Thème 1 : recom.
Thème 2 : recom.
…
La dernière étape de l’audit est l’élaboration d’un rapport d’audit dont lequel on développe les résultats obtenus plus les recommandations adéquates.