SlideShare une entreprise Scribd logo
1  sur  32
Télécharger pour lire hors ligne
Référentiels et Normes pour l'Audit
de la Sécurité des SI
Fadhel GHAJATI
fadhel.ghajati@ansi.tn
Lead Auditor ISO 27001
Risk Manager ISO 27005
Cyber Security Day 2016
Jendouba 13-04-2016
• Introduction
• Problématique
• L’audit de la sécurité du SI
• Types d’audit
• ISO 27002
• Référentiel de l’ANSI
• Conclusion
2
Plan
Introduction
3
Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques
doivent être mise en œuvre sur l’ensemble des moyens supportant le système
d’information.
Un cadre cohérent et organisé.
Objectifs et des exigences de sécurité qui traduisent les contraintes et les risques qui
pèsent sur le système d’information.
L’objectif de ces mesures de sécurité
La confidentialité
L’intégrité
La disponibilité
La traçabilité
Problématique
4
Contraintes
spécifiques
(légales et
réglementaire)
Stratégie de
risque de
l’entreprise
Contraintes
spécifiques
(légales et
réglementaire)
Bonnes
pratiques
Standards,
Guidelines
Analyse de
risque sur un SI
Métier
Exigences de
sécurité
Mesures de
sécurité
Bonnes
pratiques
Maitrised’ouvrageMaitrise
d’ouvre
Politique de
sécurité
Périmètre de l’entreprise
Problématique
5
Les questions auxquelles se doivent de répondre les audits de sécurité du SI
A quelles exigences légales et réglementaires le Système
d’Information est
il soumis ?
Ces contraintes légales et réglementaires sont elles respectées ?
La politique de sécurité est elle alignée sur la
stratégie d’entreprise ?
L’organisation de la sécurité est elle fonctionnelle ?
Les objectifs et contrôles de sécurité sont ils exhaustifs?
La continuité des activités de l’entreprise est elle assurée ?
Les mesures de sécurité opérationnelles sont elles alignées sur la
politique de sécurité ?
Les mesures de sécurité opérationnelles mises en place sont elles efficaces ?
Pistes de vérification
6
L’audit de sécurité du SI
• L’audit de sécurité du système d’information est un examen méthodique d’une
situation liée à la sécurité de l’information en vue de vérifier sa conformité à
des objectifs, à des règles ou à des normes.
• Compte tenu du cadre de gestion de la sécurité de l’information, les audits de
sécurité peuvent adresser des problématiques différentes comme par exemple :
 La prise en compte des contraintes,
 L’analyse des risques,
 La politique de sécurité,
 La prise en compte de contraintes spécifiques dans la mise en œuvre d’un système
d’information particulier (problématique liée à l’audit des projets),
 La mise en œuvre de politique de sécurité,
 Les mesures de sécurité.
7
ISO 19011 v 2011 – ISO 27007
Il convient que le programme d’audit comporte les informations et ressources nécessaires pour
organiser et réaliser ses audits de façon efficace et effective dans les délais spécifiés. Ce
programme peut également inclure:
des objectifs pour le
programme d’audit et
les audits individuels
l’étendue/le
nombre/les types/la
durée/les lieux/le
calendrier des audits
les procédures
de programme
d’audit;
les critères
d’audit;
les méthodes
d’audit;
la constitution
des équipes
d’audit
les ressources
nécessaires, y compris
les déplacements et
l’hébergement;
les processus de traitement des questions relatives à la confidentialité, à la sûreté des informations,
à la santé et à la sécurité, et autres sujets similaires.
8
Contraintes
spécifiques
(légales et
réglementaire)
Stratégie de
risque de
l’entreprise
Contraintes
spécifiques
(légales et
réglementaire)
Bonnes
pratiques
Standards,
Guidelines
Analyse de
risque sur un SI
Métier
Exigences de
sécurité
Mesures de
sécurité
Bonnes
pratiques
Maitrised’ouvrageMaitrise
d’ouvre
Politique de
sécurité
Périmètre de l’entreprise
Audit de Sécurité
Audit de Sécurité
Audit de Sécurité
Audit de Sécurité
Audit de Sécurité
Les types d’audit de sécurité
9
Les principaux types d’audit de sécurité
Audit de la politique de sécurité,
Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise, aux contraintes
légales et réglementaires et aux bonnes pratiques,
Test d’intrusion, audit de vulnérabilité sur l’ensemble des composantes du SI …
Audit de l’efficacité des mesures de sécurité.
Audit de la prise en compte de la sécurité dans un projet
Audit de la mise en œuvre de politique de sécurité,
Respect des exigences de sécurité au sein de l’entreprise au travers de la mise en œuvre de
mesures de sécurité adéquates et pérennes,
Audit réglementaire
10
Les référentiels
Audit de sécurité Référentiel
Audit de la politique de sécurité
Adéquation de la politique de sécurité à la
stratégie de risques de l’entreprise, aux
contraintes légales et réglementaires et aux
bonnes pratiques,
Contexte légale et réglementaire,
Stratégie de risque de l’entreprise,
ISO 27002.
Audit de la mise en œuvre de la politique
de sécurité
Respect des exigences de sécurité au sein de
l’entreprise au travers de la mise en œuvre de
mesures de sécurité adéquates et pérennes
Politique de sécurité de l’entreprise,
ISO 27002,
CoBIT
ITIL
ISO 20000
Audit de l’efficacité des mesures de
sécurité
OWASP (Open Web Application Security
Project),
Information Security Web sites,
Bases de vulnérabilités.
Audit réglementaire ISO 27002
Référentiel de l’ANSI
11
5. Politiques de sécurité de l'information
6. Organisation de la sécurité de
l'information
7. Sécurité des ressources humaines
8. Gestion des actifs
9. Contrôle d'accès
10. Cryptographie
11. Sécurité physique et environnementale
12. Sécurité liée à l'exploitation
13. Sécurité des communications
14. Acquisition, développement et
maintenance des systèmes
d'information
15. Relations avec les fournisseurs
16. Gestion des incidents liés à la sécurité
de l'information
17. Aspects de la sécurité de l'information
dans la gestion de la continuité
de l'activité
18. Conformité
Domaines de sécurité de l'information (niveau 1)
La norme ISO/IEC 27002:2013 recense de nombreux objectifs
de contrôle répartis dans chacun des 14 domaines
Catégories de sécurité (niveau 2)
• La structure de la norme est semblable pour chacune des 35
catégories de sécurité :
• Un objectif de contrôle qui fait l'état sur ce qui doit
être appliqué est énoncé,
• Un ou plusieurs contrôles à appliquer sont proposés
pour remplir l'objectif de contrôle de la catégorie de
sécurité
Contrôles (niveau 3)
Au niveau inférieur, la structure de la norme est
semblable pour chacun des 114 objectifs de contrôle qui
ont été définis :
Control : le contrôle permet de définir précisément
l'état pour satisfaire à l'objectif de contrôle,
Implementation guidance : le guide d'implémentation
propose les informations détaillées pour permettre
d'effectuer l'implémentation du contrôle et de satisfaire
à l'objectif de contrôle.
Other information
ISO 27002
12
• L’audit de la politique de sécurité doit permettre de s’assurer de la pertinence de celle-ci
compte tenu de la stratégie de risques de l’entreprise, du contexte légale et réglementaire
ainsi que des bonnes pratiques.
• Le terme « politique de sécurité » peut recouvrir la politique de sécurité du groupe, la
déclinaison de la politique de sécurité du groupe au niveau des différentes entités ou métiers
ainsi que de l’ensemble des politiques de sécurité détaillées couvrant les domaines comme le
contrôle d’accès, la continuité, la classification de l’information, la protection antivirale …
• L’audit peut également couvrir :
• la méthodologie d’analyse de risques mise en œuvre,
• des standards et procédures qui découlent de la politique de sécurité.
• L’approche repose sur des interviews et des analyses documentaires.
Types d’audit
13
• L’audit de la mise en œuvre de la politique de sécurité doit permettre de s’assurer que
les exigences de sécurité sont satisfaites au travers de la mise en œuvre de mesures de
sécurité.
• Les grilles d’investigation sont construites sur la base de la politique de sécurité et/ou de
l’ISO 27002 et/ou de Cobit.
• L’approche repose sur des interviews, des visites de sites, des analyses documentaires et des
revues de paramétrage.
• Compte tenu du caractère technique du système d’information des grilles d’investigation
spécifiques sont construites pour approfondir des thématiques comme les solutions
antivirus, les dispositifs correctifs de sécurité et anti-spam, le plan de secours et de
continuité …
Types d’audit (suite)
14
• Pour chaque domaine de la grille d’investigation ISO 27002, les processus sont répartis en
six niveaux de maturité qu’une organisation va gravir en fonction de la qualité des
processus qu’elle a mis en œuvre.
(0) Inexistant
Types d’audit (suite)
15
0 - Aucun - processus/documentation en place
1 - Initial - Le processus est caractérisé par la prédominance d'interventions ponctuelles, voire
chaotiques. Il est très peu défini et la réussite dépend de l'effort individuel
2 - Reproductible - Une gestion élémentaire de la sécurité est définie pour assurer le suivi des
coûts, des délais et de la fonctionnalité. L'expertise nécessaire au processus est en place pour
reproduire la même action
3 - Défini - Le processus de sécurité est documenté, normalisé et intégré dans le processus
standard de l'organisation
4 - Maîtrisé - Des mesures détaillées sont prises en ce qui concerne le déroulement du processus
et la qualité générée. Le processus et le niveau de qualité sont connus et contrôlés
quantitativement
5 - Optimisation - Une amélioration continue du processus est mise en œuvre par une
rétroaction quantitative émanant du processus lui-même et par l'application d'idées et de
technologies innovatrices
Types d’audit (suite)
16
Portrait Actuel Portrait Cible
Types d’audit (suite)
17
Une synthèse globale est présentée selon le diagramme de Kiviat qui illustre les résultats de
l’audit suivant les 14 domaines décrits dans l’ISO 27002
Audit des accès
distants
Audit de la connexion
Internet
Audit des équip. de
réseau & sécurité
Audit de
la solution Antivirale
Audit de la
Gestion des Tiers
Audit de Gestion
d’Incident
Revue du
plan de continuité
Audit des serveurs et
des postes de travail
Pour approfondir la dimension technique de l’audit de sécurité, des grilles d’investigation sont
nécessaires pour chaque composante du système d’information.
Types d’audit (suite)
18
Indépendamment de la mise en œuvre des mesures de sécurité, un audit de leur efficacité doit
permettre de s’assurer qu’aucune vulnérabilité ne puisse porter atteinte à la confidentialité,
l’intégrité ou la disponibilité de l’information.
Pour s’assurer de la sécurité de l’Infrastructure face à des scénarii d’attaques de personnes
malveillantes (pirate, prestataire, ex-employé, utilisateur interne …)
Test d’Intrusion
Pour déterminer si les firewalls, serveurs web, routeurs, connexions distantes, connexion sans fils,
applications, sont configurés et mis en œuvre de manière adéquate au regard des risques encourus
Audit de Sécurité Technique
Types d’audit (suite)
19
Tests d’Intrusion
Externe
Interne
Physique
Intranet
Extranet
Wifi
Accès à distance
Types d’audit (suite)
20
Types d’audit (suite)
21
Audit de Sécurité Technique
Les risques
Référentiel inadapté
Compétences inadaptées
Rapport inadapté :
• Inadéquation de la recommandation dans le contexte (incompréhension des risques
spécifiques liés à l’activité de l’organisme avec le métier.
• Inadaptabilité de la recommandation dans le contexte de l’organisme.
Rapport non recevable :
• Constats non factuels.
• Constats non validés.
• Non prise en compte de la confidentialité
Dérapage dans le temps :
• Ne pas avoir identifié les bons interlocuteurs.
• Absence de clauses d’audit dans les contrats d’externalisation
IDENTIFICATION DE RISQUES TECHNIQUES ET NON DE RISQUES METIERS
22
23
Décret N°2004-1250 du 25 mai 2004 fixant:
• les systèmes informatiques et les réseaux des organismes soumis à l’audit obligatoire
périodique de la sécurité informatique,
• les critères relatifs:
• à la nature de l’audit et à sa périodicité,
• aux procédures de suivi de l’application des recommandations contenues dans le
rapport d’audit.
Assistance fournie par l’ANSI à ces organismes:
• modèle de TdR,
• équipe pour les assister à la réalisation de leurs missions d’audit
Référentiel de l’ANSI
24
• Référentiel de base: la norme ISO 27002
• Conduite des activités d’audit:
 Audit organisationnel et physique
 Audit technique
 Appréciation des risques
• Livrables:
 Rapport détaillé couvrant les différents aspects spécifiés dans le Cahier des
Clauses Techniques
 Rapport présentant un plan d’action cadre s’étalant sur trois ans
 Rapport de synthèse, destiné à la direction générale
Ancienne version des TdR
25
• Subjectivité dans l’interprétation de la norme: audit de conformité ou
audit par rapport à la PSSI ??
Impact sur la conduite des activités d’audit
Impact sur la qualité des rapports d’audit
nécessité de la mise à jour des TdR
Problèmes rencontrés
26
• Référentiel de base: Référentiel d’audit de la sécurité des systèmes d’information
établi par l’ANSI (Annexe A)
• Conduite des activités d’audit:
 Identification des vulnérabilités: résultat de vérification par rapport aux critères d’audit
présentés au niveau du référentiel
Présentation des bonnes pratiques décelées et des vulnérabilités identifiées (section
« 9. Présentation détaillée des résultats de l’audit » du modèle de rapport d’audit (annexe
B))
 Appréciation des risques
Présentation des résultats (section « 10. Appréciation des risques » du modèle de
rapport d’audit)
• Livrables:
 Rapport selon le modèle de rapport d’audit de la sécurité des systèmes d’information
(Annexe B) établi par l’ANSI
Nouvelle version
27
• Repose sur 38 critères regroupés en 11 domaines:
 D1. Leadership et gouvernance de la sécurité
 D2. Gestion des risques liés à la sécurité du système d’information
 D3. Sécurité des actifs
 D4. Sécurité du personnel et développement des capacités
 D5. Protection de l’environnement physique du système d’information
 D6. Sécurité des services d’infrastructure
 D7. Sécurité des services métiers
 D8. Sécurité des terminaux
 D9. Sécurité des applications
 D10. Gestion des incidents de sécurité
 D11. Gestion de la continuité des activités
Référentiel (Annexe A)
28
Exemple
 D2. Gestion des risques liés à la sécurité du système d’information
Critères d’audit:
(7) L’audité doit maintenir un système de gestion des risques de sécurité des systèmes d’information
Vérifications à effectuer:
 Si l’audité a identifié et documenté les risques de sécurité du SI auxquels il est exposé,
 Si le niveau de risque a été quantifié,
 Si, pour chaque risque considéré comme inacceptable, des mesures ont été prises pour ramener le risque
à un niveau acceptable,
 Si un suivi permanent des risques et de leurs niveaux a été mis en place,
 Si chaque risque, pris individuellement, a été pris en charge et a fait l’objet d’une décision de traitement
(Acceptation, Transfert, Réduction, Evitement).
Preuves suffisantes d’audit:
 Document de cartographie des risques répertoriés
 Document de traitement des risques (Plan d’action, etc.)
Référentiel (Annexe A)
29
• Champ de l’audit,
• Méthodologie d’audit,
• Synthèse des résultats de l’audit,
• Présentation détaillée des résultats de l’audit,
• Appréciation des risques,
• Plan d’action,
• Annexes
 Description du SI de l’organisme
 Planning d’exécution réel de la mission d’audit de la sécurité du SI
 Evaluation de l’application du dernier plan d’action
 Etat de maturité de la sécurité du SI
 Plan d’action proposé
Modèle de rapport (Annexe B)
Une première mission type effectuée par le ministère de
l’environnement et le développement durable en 2015
30
Pour qui ?
Direction Générale,
Audit interne,
Métier,
Maison mère,
Organisme certificateur …
Conclusion
31
Par qui ?
Interne / externe
Dans quel but ?
Alignement de la politique de
sécurité sur la stratégie d’entreprise,
Conformité aux lois et règlements,
Efficacité et efficience des contrôles,
SOX, contrôle interne,
Identification des risques auxquels
est exposé le SI…
Sur quel périmètre ?
Organisation,
Site,
Service,
Environnement technique,
Application, …
Selon quel référentiel ?
Lois et règlements
Organisme
Bonnes pratiques (ISO,…)
De quelle nature ?
Audit de la politique de sécurité,
Audit de la mise en œuvre de la politique de
sécurité,
Audit de l’efficacité des mesures de sécurité.
MERCI POUR VOTRE ATTENTION

Contenu connexe

Tendances

Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Bachir Benyammi
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1saqrjareh
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécuritéHarvey Francois
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SIAmmar Sassi
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationRoland Kouakou
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pasAlghajati
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'informationFranck Franchin
 
Acquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SIAcquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SIArsène Ngato
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationDimassi Khoulouda
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Bachir Benyammi
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIPECB
 

Tendances (20)

Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Programme de travail de la mission audit de la sécurité des SI
Programme de travail  de la mission audit de la sécurité des SIProgramme de travail  de la mission audit de la sécurité des SI
Programme de travail de la mission audit de la sécurité des SI
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’information
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Mehari
MehariMehari
Mehari
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
 
Sécurité des systèmes d'information
Sécurité des systèmes d'informationSécurité des systèmes d'information
Sécurité des systèmes d'information
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Acquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SIAcquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SI
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
La sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’informationLa sécurité et le contrôle des systèmes d’information
La sécurité et le contrôle des systèmes d’information
 
EBIOS
EBIOSEBIOS
EBIOS
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
 

En vedette

Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Eric Clairvoyant, Adm.A.,T.P., CRISC
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Emna Tfifha
 
Merge sort code in C explained
Merge sort code in C explained Merge sort code in C explained
Merge sort code in C explained Mohit Tare
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Sécurité des bases de données
Sécurité des bases de donnéesSécurité des bases de données
Sécurité des bases de donnéeslitayem bechir
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Kyos
 
Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Serrerom
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatiqueYves Van Gheem
 
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs donnéesROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs donnéesGabrielle Pavia
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatiqueMohamed Ali Hadhri
 
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités WebAlphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités WebAlphorm
 
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...Alphorm
 
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm
 

En vedette (20)

Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
Guide d'utilisation de l'outil AUDITSec basé sur la nouvelle norme ISO 27002 ...
 
Rh et sécurité
 Rh et  sécurité  Rh et  sécurité
Rh et sécurité
 
A tous les niveaux la securite
A tous les niveaux la securiteA tous les niveaux la securite
A tous les niveaux la securite
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Merge sort code in C explained
Merge sort code in C explained Merge sort code in C explained
Merge sort code in C explained
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Sécurité des bases de données
Sécurité des bases de donnéesSécurité des bases de données
Sécurité des bases de données
 
Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?Web Application Firewall : une nouvelle génération indispensable ?
Web Application Firewall : une nouvelle génération indispensable ?
 
Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016Panorama de la cybercriminalité en 2016
Panorama de la cybercriminalité en 2016
 
Sécurité des réseaux
Sécurité des réseauxSécurité des réseaux
Sécurité des réseaux
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Sécuriter informatiques
Sécuriter informatiquesSécuriter informatiques
Sécuriter informatiques
 
Introduction à la sécurité informatique
Introduction à la sécurité informatiqueIntroduction à la sécurité informatique
Introduction à la sécurité informatique
 
La Sécurité informatiques
La Sécurité informatiquesLa Sécurité informatiques
La Sécurité informatiques
 
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs donnéesROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
ROOMn 2017 HARMONIE TECHNOLOGIE Quand mes clients gèrent l'accès à leurs données
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités WebAlphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
Alphorm.com Support Formation Hacking & Sécurité Expert Vulnérabilités Web
 
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
Alphorm.com Support de la formation Hacking & Sécurité, Expert - Vulnérabilit...
 
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité MetasploitAlphorm.com Support de la formation Hacking et Sécurité Metasploit
Alphorm.com Support de la formation Hacking et Sécurité Metasploit
 
Alphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancéAlphorm.com Formation Hacking et Sécurité , avancé
Alphorm.com Formation Hacking et Sécurité , avancé
 

Similaire à Référentiels et Normes pour l'Audit de la Sécurité des SI

cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerCERTyou Formation
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptxAdemKorani
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxAmorFranois
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorCERTyou Formation
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxTech4nulls
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2Sébastien GIORIA
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesElodie Heitz
 
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0ben3a
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SIDIALLO Boubacar
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.pptKhouloud Errachedi
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15Alain Huet
 

Similaire à Référentiels et Normes pour l'Audit de la Sécurité des SI (20)

cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
 
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptxNormes ISO 2700X et CISO MINDMAP 2022-23.pptx
Normes ISO 2700X et CISO MINDMAP 2022-23.pptx
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
 
Iso27001
Iso27001 Iso27001
Iso27001
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
 
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0
 
Le Management de la sécurité des SI
Le Management de la sécurité des SILe Management de la sécurité des SI
Le Management de la sécurité des SI
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
 
Plaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LIPlaquette de formation iso 27001 LI
Plaquette de formation iso 27001 LI
 

Référentiels et Normes pour l'Audit de la Sécurité des SI

  • 1. Référentiels et Normes pour l'Audit de la Sécurité des SI Fadhel GHAJATI fadhel.ghajati@ansi.tn Lead Auditor ISO 27001 Risk Manager ISO 27005 Cyber Security Day 2016 Jendouba 13-04-2016
  • 2. • Introduction • Problématique • L’audit de la sécurité du SI • Types d’audit • ISO 27002 • Référentiel de l’ANSI • Conclusion 2 Plan
  • 4. Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information. Un cadre cohérent et organisé. Objectifs et des exigences de sécurité qui traduisent les contraintes et les risques qui pèsent sur le système d’information. L’objectif de ces mesures de sécurité La confidentialité L’intégrité La disponibilité La traçabilité Problématique 4
  • 5. Contraintes spécifiques (légales et réglementaire) Stratégie de risque de l’entreprise Contraintes spécifiques (légales et réglementaire) Bonnes pratiques Standards, Guidelines Analyse de risque sur un SI Métier Exigences de sécurité Mesures de sécurité Bonnes pratiques Maitrised’ouvrageMaitrise d’ouvre Politique de sécurité Périmètre de l’entreprise Problématique 5
  • 6. Les questions auxquelles se doivent de répondre les audits de sécurité du SI A quelles exigences légales et réglementaires le Système d’Information est il soumis ? Ces contraintes légales et réglementaires sont elles respectées ? La politique de sécurité est elle alignée sur la stratégie d’entreprise ? L’organisation de la sécurité est elle fonctionnelle ? Les objectifs et contrôles de sécurité sont ils exhaustifs? La continuité des activités de l’entreprise est elle assurée ? Les mesures de sécurité opérationnelles sont elles alignées sur la politique de sécurité ? Les mesures de sécurité opérationnelles mises en place sont elles efficaces ? Pistes de vérification 6
  • 7. L’audit de sécurité du SI • L’audit de sécurité du système d’information est un examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes. • Compte tenu du cadre de gestion de la sécurité de l’information, les audits de sécurité peuvent adresser des problématiques différentes comme par exemple :  La prise en compte des contraintes,  L’analyse des risques,  La politique de sécurité,  La prise en compte de contraintes spécifiques dans la mise en œuvre d’un système d’information particulier (problématique liée à l’audit des projets),  La mise en œuvre de politique de sécurité,  Les mesures de sécurité. 7
  • 8. ISO 19011 v 2011 – ISO 27007 Il convient que le programme d’audit comporte les informations et ressources nécessaires pour organiser et réaliser ses audits de façon efficace et effective dans les délais spécifiés. Ce programme peut également inclure: des objectifs pour le programme d’audit et les audits individuels l’étendue/le nombre/les types/la durée/les lieux/le calendrier des audits les procédures de programme d’audit; les critères d’audit; les méthodes d’audit; la constitution des équipes d’audit les ressources nécessaires, y compris les déplacements et l’hébergement; les processus de traitement des questions relatives à la confidentialité, à la sûreté des informations, à la santé et à la sécurité, et autres sujets similaires. 8
  • 9. Contraintes spécifiques (légales et réglementaire) Stratégie de risque de l’entreprise Contraintes spécifiques (légales et réglementaire) Bonnes pratiques Standards, Guidelines Analyse de risque sur un SI Métier Exigences de sécurité Mesures de sécurité Bonnes pratiques Maitrised’ouvrageMaitrise d’ouvre Politique de sécurité Périmètre de l’entreprise Audit de Sécurité Audit de Sécurité Audit de Sécurité Audit de Sécurité Audit de Sécurité Les types d’audit de sécurité 9
  • 10. Les principaux types d’audit de sécurité Audit de la politique de sécurité, Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise, aux contraintes légales et réglementaires et aux bonnes pratiques, Test d’intrusion, audit de vulnérabilité sur l’ensemble des composantes du SI … Audit de l’efficacité des mesures de sécurité. Audit de la prise en compte de la sécurité dans un projet Audit de la mise en œuvre de politique de sécurité, Respect des exigences de sécurité au sein de l’entreprise au travers de la mise en œuvre de mesures de sécurité adéquates et pérennes, Audit réglementaire 10
  • 11. Les référentiels Audit de sécurité Référentiel Audit de la politique de sécurité Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise, aux contraintes légales et réglementaires et aux bonnes pratiques, Contexte légale et réglementaire, Stratégie de risque de l’entreprise, ISO 27002. Audit de la mise en œuvre de la politique de sécurité Respect des exigences de sécurité au sein de l’entreprise au travers de la mise en œuvre de mesures de sécurité adéquates et pérennes Politique de sécurité de l’entreprise, ISO 27002, CoBIT ITIL ISO 20000 Audit de l’efficacité des mesures de sécurité OWASP (Open Web Application Security Project), Information Security Web sites, Bases de vulnérabilités. Audit réglementaire ISO 27002 Référentiel de l’ANSI 11
  • 12. 5. Politiques de sécurité de l'information 6. Organisation de la sécurité de l'information 7. Sécurité des ressources humaines 8. Gestion des actifs 9. Contrôle d'accès 10. Cryptographie 11. Sécurité physique et environnementale 12. Sécurité liée à l'exploitation 13. Sécurité des communications 14. Acquisition, développement et maintenance des systèmes d'information 15. Relations avec les fournisseurs 16. Gestion des incidents liés à la sécurité de l'information 17. Aspects de la sécurité de l'information dans la gestion de la continuité de l'activité 18. Conformité Domaines de sécurité de l'information (niveau 1) La norme ISO/IEC 27002:2013 recense de nombreux objectifs de contrôle répartis dans chacun des 14 domaines Catégories de sécurité (niveau 2) • La structure de la norme est semblable pour chacune des 35 catégories de sécurité : • Un objectif de contrôle qui fait l'état sur ce qui doit être appliqué est énoncé, • Un ou plusieurs contrôles à appliquer sont proposés pour remplir l'objectif de contrôle de la catégorie de sécurité Contrôles (niveau 3) Au niveau inférieur, la structure de la norme est semblable pour chacun des 114 objectifs de contrôle qui ont été définis : Control : le contrôle permet de définir précisément l'état pour satisfaire à l'objectif de contrôle, Implementation guidance : le guide d'implémentation propose les informations détaillées pour permettre d'effectuer l'implémentation du contrôle et de satisfaire à l'objectif de contrôle. Other information ISO 27002 12
  • 13. • L’audit de la politique de sécurité doit permettre de s’assurer de la pertinence de celle-ci compte tenu de la stratégie de risques de l’entreprise, du contexte légale et réglementaire ainsi que des bonnes pratiques. • Le terme « politique de sécurité » peut recouvrir la politique de sécurité du groupe, la déclinaison de la politique de sécurité du groupe au niveau des différentes entités ou métiers ainsi que de l’ensemble des politiques de sécurité détaillées couvrant les domaines comme le contrôle d’accès, la continuité, la classification de l’information, la protection antivirale … • L’audit peut également couvrir : • la méthodologie d’analyse de risques mise en œuvre, • des standards et procédures qui découlent de la politique de sécurité. • L’approche repose sur des interviews et des analyses documentaires. Types d’audit 13
  • 14. • L’audit de la mise en œuvre de la politique de sécurité doit permettre de s’assurer que les exigences de sécurité sont satisfaites au travers de la mise en œuvre de mesures de sécurité. • Les grilles d’investigation sont construites sur la base de la politique de sécurité et/ou de l’ISO 27002 et/ou de Cobit. • L’approche repose sur des interviews, des visites de sites, des analyses documentaires et des revues de paramétrage. • Compte tenu du caractère technique du système d’information des grilles d’investigation spécifiques sont construites pour approfondir des thématiques comme les solutions antivirus, les dispositifs correctifs de sécurité et anti-spam, le plan de secours et de continuité … Types d’audit (suite) 14
  • 15. • Pour chaque domaine de la grille d’investigation ISO 27002, les processus sont répartis en six niveaux de maturité qu’une organisation va gravir en fonction de la qualité des processus qu’elle a mis en œuvre. (0) Inexistant Types d’audit (suite) 15
  • 16. 0 - Aucun - processus/documentation en place 1 - Initial - Le processus est caractérisé par la prédominance d'interventions ponctuelles, voire chaotiques. Il est très peu défini et la réussite dépend de l'effort individuel 2 - Reproductible - Une gestion élémentaire de la sécurité est définie pour assurer le suivi des coûts, des délais et de la fonctionnalité. L'expertise nécessaire au processus est en place pour reproduire la même action 3 - Défini - Le processus de sécurité est documenté, normalisé et intégré dans le processus standard de l'organisation 4 - Maîtrisé - Des mesures détaillées sont prises en ce qui concerne le déroulement du processus et la qualité générée. Le processus et le niveau de qualité sont connus et contrôlés quantitativement 5 - Optimisation - Une amélioration continue du processus est mise en œuvre par une rétroaction quantitative émanant du processus lui-même et par l'application d'idées et de technologies innovatrices Types d’audit (suite) 16
  • 17. Portrait Actuel Portrait Cible Types d’audit (suite) 17 Une synthèse globale est présentée selon le diagramme de Kiviat qui illustre les résultats de l’audit suivant les 14 domaines décrits dans l’ISO 27002
  • 18. Audit des accès distants Audit de la connexion Internet Audit des équip. de réseau & sécurité Audit de la solution Antivirale Audit de la Gestion des Tiers Audit de Gestion d’Incident Revue du plan de continuité Audit des serveurs et des postes de travail Pour approfondir la dimension technique de l’audit de sécurité, des grilles d’investigation sont nécessaires pour chaque composante du système d’information. Types d’audit (suite) 18
  • 19. Indépendamment de la mise en œuvre des mesures de sécurité, un audit de leur efficacité doit permettre de s’assurer qu’aucune vulnérabilité ne puisse porter atteinte à la confidentialité, l’intégrité ou la disponibilité de l’information. Pour s’assurer de la sécurité de l’Infrastructure face à des scénarii d’attaques de personnes malveillantes (pirate, prestataire, ex-employé, utilisateur interne …) Test d’Intrusion Pour déterminer si les firewalls, serveurs web, routeurs, connexions distantes, connexion sans fils, applications, sont configurés et mis en œuvre de manière adéquate au regard des risques encourus Audit de Sécurité Technique Types d’audit (suite) 19
  • 21. Types d’audit (suite) 21 Audit de Sécurité Technique
  • 22. Les risques Référentiel inadapté Compétences inadaptées Rapport inadapté : • Inadéquation de la recommandation dans le contexte (incompréhension des risques spécifiques liés à l’activité de l’organisme avec le métier. • Inadaptabilité de la recommandation dans le contexte de l’organisme. Rapport non recevable : • Constats non factuels. • Constats non validés. • Non prise en compte de la confidentialité Dérapage dans le temps : • Ne pas avoir identifié les bons interlocuteurs. • Absence de clauses d’audit dans les contrats d’externalisation IDENTIFICATION DE RISQUES TECHNIQUES ET NON DE RISQUES METIERS 22
  • 23. 23
  • 24. Décret N°2004-1250 du 25 mai 2004 fixant: • les systèmes informatiques et les réseaux des organismes soumis à l’audit obligatoire périodique de la sécurité informatique, • les critères relatifs: • à la nature de l’audit et à sa périodicité, • aux procédures de suivi de l’application des recommandations contenues dans le rapport d’audit. Assistance fournie par l’ANSI à ces organismes: • modèle de TdR, • équipe pour les assister à la réalisation de leurs missions d’audit Référentiel de l’ANSI 24
  • 25. • Référentiel de base: la norme ISO 27002 • Conduite des activités d’audit:  Audit organisationnel et physique  Audit technique  Appréciation des risques • Livrables:  Rapport détaillé couvrant les différents aspects spécifiés dans le Cahier des Clauses Techniques  Rapport présentant un plan d’action cadre s’étalant sur trois ans  Rapport de synthèse, destiné à la direction générale Ancienne version des TdR 25
  • 26. • Subjectivité dans l’interprétation de la norme: audit de conformité ou audit par rapport à la PSSI ?? Impact sur la conduite des activités d’audit Impact sur la qualité des rapports d’audit nécessité de la mise à jour des TdR Problèmes rencontrés 26
  • 27. • Référentiel de base: Référentiel d’audit de la sécurité des systèmes d’information établi par l’ANSI (Annexe A) • Conduite des activités d’audit:  Identification des vulnérabilités: résultat de vérification par rapport aux critères d’audit présentés au niveau du référentiel Présentation des bonnes pratiques décelées et des vulnérabilités identifiées (section « 9. Présentation détaillée des résultats de l’audit » du modèle de rapport d’audit (annexe B))  Appréciation des risques Présentation des résultats (section « 10. Appréciation des risques » du modèle de rapport d’audit) • Livrables:  Rapport selon le modèle de rapport d’audit de la sécurité des systèmes d’information (Annexe B) établi par l’ANSI Nouvelle version 27
  • 28. • Repose sur 38 critères regroupés en 11 domaines:  D1. Leadership et gouvernance de la sécurité  D2. Gestion des risques liés à la sécurité du système d’information  D3. Sécurité des actifs  D4. Sécurité du personnel et développement des capacités  D5. Protection de l’environnement physique du système d’information  D6. Sécurité des services d’infrastructure  D7. Sécurité des services métiers  D8. Sécurité des terminaux  D9. Sécurité des applications  D10. Gestion des incidents de sécurité  D11. Gestion de la continuité des activités Référentiel (Annexe A) 28
  • 29. Exemple  D2. Gestion des risques liés à la sécurité du système d’information Critères d’audit: (7) L’audité doit maintenir un système de gestion des risques de sécurité des systèmes d’information Vérifications à effectuer:  Si l’audité a identifié et documenté les risques de sécurité du SI auxquels il est exposé,  Si le niveau de risque a été quantifié,  Si, pour chaque risque considéré comme inacceptable, des mesures ont été prises pour ramener le risque à un niveau acceptable,  Si un suivi permanent des risques et de leurs niveaux a été mis en place,  Si chaque risque, pris individuellement, a été pris en charge et a fait l’objet d’une décision de traitement (Acceptation, Transfert, Réduction, Evitement). Preuves suffisantes d’audit:  Document de cartographie des risques répertoriés  Document de traitement des risques (Plan d’action, etc.) Référentiel (Annexe A) 29
  • 30. • Champ de l’audit, • Méthodologie d’audit, • Synthèse des résultats de l’audit, • Présentation détaillée des résultats de l’audit, • Appréciation des risques, • Plan d’action, • Annexes  Description du SI de l’organisme  Planning d’exécution réel de la mission d’audit de la sécurité du SI  Evaluation de l’application du dernier plan d’action  Etat de maturité de la sécurité du SI  Plan d’action proposé Modèle de rapport (Annexe B) Une première mission type effectuée par le ministère de l’environnement et le développement durable en 2015 30
  • 31. Pour qui ? Direction Générale, Audit interne, Métier, Maison mère, Organisme certificateur … Conclusion 31 Par qui ? Interne / externe Dans quel but ? Alignement de la politique de sécurité sur la stratégie d’entreprise, Conformité aux lois et règlements, Efficacité et efficience des contrôles, SOX, contrôle interne, Identification des risques auxquels est exposé le SI… Sur quel périmètre ? Organisation, Site, Service, Environnement technique, Application, … Selon quel référentiel ? Lois et règlements Organisme Bonnes pratiques (ISO,…) De quelle nature ? Audit de la politique de sécurité, Audit de la mise en œuvre de la politique de sécurité, Audit de l’efficacité des mesures de sécurité.
  • 32. MERCI POUR VOTRE ATTENTION