Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Approche pour l’audit de la sécurité d’un
système d’information
d’un établissement universitaire :
Elaboré par :
Mohamed A...
Plan
• Problématique
• Audit de sécurité informatique
• Choix de normes et de méthodes
• Processus d’audit
• Recommandatio...
Problématiques
• Mauvaise réactivité de serveurs.
• Refus et plantage de différents services dans l’Intranet.
• Contaminat...
Conséquences
• Indisponibilités des systèmes,
• Manipulation des données et systèmes par des personnes non autorisés,
• De...
Nécessités
• Perfectionner la sécurisation des Systèmes d’Information par :
• vérification de l’identité déclinée par le r...
L’audit de sécurité informatique
C’est un processus systématique, indépendant et documenté pour identifier:
• l’état des l...
La charte d’audit
• Basée sur La Norme ISACA SI 1001.1 et 1001.2
• Document approuvé par la direction de l’ISET pour:
• Dé...
La Norme ISO 27002:2005
• Ensemble de bonnes pratiques décrivant les principaux objectifs de contrôle
de l’ensemble de la ...
ISO 27002: Insuffisances
• La norme 27002:2005 ne fixe pas de niveaux ou d’objectifs de sécurité et
rappelle la nécessité ...
Pourquoi EBIOS ?
• Expression des Besoins et Identification des Objectifs de Sécurité
• Méthode qui permet d’apprécier et ...
EBIOS: Démarche
• L’étude du contexte
• matériels, logiciels, réseaux, organisations, personnels et sites.
• L’expression ...
12
ACTIF Vulnérabilités Risques
ImpactsMenaces
Protections
possède
exploitent
ciblent
entrainent
réduisent
Protègent contr...
EBIOS: L’outil
• Distribué sous Licence GNU GPL,
• Multiplateformes,
• Assiste les utilisateurs d’EBIOS,
• Stocke les cont...
Avantages et Inconvénients d’EBIOS
Avantages
• Solution complète modulaire
• Définit les Acteurs, Rôles, Interactions
etVo...
Norme d’audit des SI 1008.1, 1008.2
• Référence adoptée pour l’audit technique de L’ISET
• Se base sur la sélection de cri...
Mission d’audit de sécurité
16
Audit organisationnel et physique
• Conforme à la norme ISO 27002 : 2005.
• Dresse un état des lieux des plans organisatio...
Domaines d’activité
• Politique de sécurité
• Organisation de la sécurité de l’information.
• Gestion des biens.
• Sécurit...
Constations
• Absence d’un schéma directeur
• Absence de documents de références
• Absence de politique de sécurité
• Abse...
Analyse des risques
Disponibilité d’accès à Moodle  significatif
Cohérence et Intégrité des données dans Moodle  intolér...
Audit technique
• Conforme à la norme d’ISACA concernant les actifs informationnels.
• Ensemble de tests pour découvrir le...
Utilitaires deTAAO
22
Constatations
• Des défauts de configuration.
• Des services vulnérables.
• Des patchs de sécurité non mis à jour.
• Des P...
Recommandations
• Activer le branchement du firewall physique
• Ajouter un serveur proxy pour l’Administration.
• Fermer l...
Plan d’action
• Elaboration d’un référentiel de sécurité.
• Sensibilisation et formation à la sécurité.
• Renforcement de ...
Conclusion
• La mission d’audit réalisée a permis d’identifier les risques du système
d’information en utilisant une démar...
Perspectives
• Personnalisation et adaptation du code source d’EBIOS
• Intégration de l’audit dans le processus en cours d...
Bibliographie
• [4] « About ISACA ». [En ligne]. Disponible sur: http://www.isaca.org/about-
isaca/Pages/default.aspx. [Co...
Prochain SlideShare
Chargement dans…5
×

Audit de sécurité informatique

9 466 vues

Publié le

audit de sécurité informatique d'un établissement universitaire avec des normes ISO, ISACA et une analyse des risques.

Publié dans : Ingénierie
  • DOWNLOAD THIS BOOKS INTO AVAILABLE FORMAT (2019 Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download Full EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download Full doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download PDF EBOOK here { https://soo.gd/irt2 } ......................................................................................................................... Download EPUB Ebook here { https://soo.gd/irt2 } ......................................................................................................................... Download doc Ebook here { https://soo.gd/irt2 } ......................................................................................................................... ......................................................................................................................... ................................................................................................................................... eBook is an electronic version of a traditional print book THIS can be read by using a personal computer or by using an eBook reader. (An eBook reader can be a software application for use on a computer such as Microsoft's free Reader application, or a book-sized computer THIS is used solely as a reading device such as Nuvomedia's Rocket eBook.) Users can purchase an eBook on diskette or CD, but the most popular method of getting an eBook is to purchase a downloadable file of the eBook (or other reading material) from a Web site (such as Barnes and Noble) to be read from the user's computer or reading device. Generally, an eBook can be downloaded in five minutes or less ......................................................................................................................... .............. Browse by Genre Available eBooks .............................................................................................................................. Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, ......................................................................................................................... ......................................................................................................................... .....BEST SELLER FOR EBOOK RECOMMEND............................................................. ......................................................................................................................... Blowout: Corrupted Democracy, Rogue State Russia, and the Richest, Most Destructive Industry on Earth,-- The Ride of a Lifetime: Lessons Learned from 15 Years as CEO of the Walt Disney Company,-- Call Sign Chaos: Learning to Lead,-- StrengthsFinder 2.0,-- Stillness Is the Key,-- She Said: Breaking the Sexual Harassment Story THIS Helped Ignite a Movement,-- Atomic Habits: An Easy & Proven Way to Build Good Habits & Break Bad Ones,-- Everything Is Figureoutable,-- What It Takes: Lessons in the Pursuit of Excellence,-- Rich Dad Poor Dad: What the Rich Teach Their Kids About Money THIS the Poor and Middle Class Do Not!,-- The Total Money Makeover: Classic Edition: A Proven Plan for Financial Fitness,-- Shut Up and Listen!: Hard Business Truths THIS Will Help You Succeed, ......................................................................................................................... .........................................................................................................................
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • DOWNLOAD THI5 BOOKS INTO AVAILABLE FORMAT (Unlimited) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download Full EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ACCESS WEBSITE for All Ebooks ......................................................................................................................... Download Full PDF EBOOK here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download EPUB Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... Download doc Ebook here { http://bit.ly/2m6jJ5M } ......................................................................................................................... ......................................................................................................................... ......................................................................................................................... .............. Browse by Genre Available eBooks ......................................................................................................................... Art, Biography, Business, Chick Lit, Children's, Christian, Classics, Comics, Contemporary, Cookbooks, Crime, Ebooks, Fantasy, Fiction, Graphic Novels, Historical Fiction, History, Horror, Humor And Comedy, Manga, Memoir, Music, Mystery, Non Fiction, Paranormal, Philosophy, Poetry, Psychology, Religion, Romance, Science, Science Fiction, Self Help, Suspense, Spirituality, Sports, Thriller, Travel, Young Adult,
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici
  • Merci bien.
       Répondre 
    Voulez-vous vraiment ?  Oui  Non
    Votre message apparaîtra ici

Audit de sécurité informatique

  1. 1. Approche pour l’audit de la sécurité d’un système d’information d’un établissement universitaire : Elaboré par : Mohamed Ali HADHRI 1
  2. 2. Plan • Problématique • Audit de sécurité informatique • Choix de normes et de méthodes • Processus d’audit • Recommandations • Plan d’action • Conclusion • Perspectives 2
  3. 3. Problématiques • Mauvaise réactivité de serveurs. • Refus et plantage de différents services dans l’Intranet. • Contamination par des virus malgré l’existence d’une solution d’antivirus. • Difficulté d’accéder aux différentes ressources partagées • Faible débit Internet. • Altération, modification ou suppression d’informations. • Vol de matériels ou de pièces électroniques du • Coupures électriques. 3
  4. 4. Conséquences • Indisponibilités des systèmes, • Manipulation des données et systèmes par des personnes non autorisés, • Destruction des données ou systèmes, • Difficulté de remise en marche, • Coûts importants de maintient en état, • Mise en jeu de la crédibilité 4
  5. 5. Nécessités • Perfectionner la sécurisation des Systèmes d’Information par : • vérification de l’identité déclinée par le requérant • gestion des droits d’accès et des autorisations • Protéger les données stockées ou en transit sur le réseau contre toute: • modification non autorisée, utilisation frauduleuse ou divulgation non autorisée. • Etablir un diagnostic sur la qualité du fonctionnement du système informatique actuel et proposer des mesures susceptibles de l’améliorer. • Prouver la crédibilité du système d’information à l’aide des analyses effectuées. •  Audit de sécurité informatique 5
  6. 6. L’audit de sécurité informatique C’est un processus systématique, indépendant et documenté pour identifier: • l’état des lieux du SI, • les risques • leurs menaces • leurs impacts • les mesures de critères de sécurité à prendre Il se réfère à des référentiels et normes spécifiques 6
  7. 7. La charte d’audit • Basée sur La Norme ISACA SI 1001.1 et 1001.2 • Document approuvé par la direction de l’ISET pour: • Définir la portée des activités de la fonction d’audit • Définir le pouvoir, l’objet, et limitations de la fonction d’audit • Définir les responsabilités de la fonction interne d’audit • Autoriser l’accès aux documents, biens personnels et physiques pertinents • Définir les normes professionnelles à suivre dans la conduite des missions d’audit et d’assurance des SI 7
  8. 8. La Norme ISO 27002:2005 • Ensemble de bonnes pratiques décrivant les principaux objectifs de contrôle de l’ensemble de la sécurité de l’information sans aucune obligation • Etablit des lignes directrices pour préparer, mettre en œuvre, entretenir et améliorer la gestion de la sécurité de l'information au sein d'un organisme. • Couvre tous les aspects de la sécurité des SI • Conforme à la loi et règlementation • Publique et internationale • Norme crédible éprouvée depuis plus que 10 années • Maitrise des coûts de la SSI • Évolutive et souple 8
  9. 9. ISO 27002: Insuffisances • La norme 27002:2005 ne fixe pas de niveaux ou d’objectifs de sécurité et rappelle la nécessité de faire des analyses de risques périodiques sans préciser la méthode d’évaluation du risque. • Solution:  Recourir à une méthode qui sera l’outil utilisé pour satisfaire à la norme ISO. 9
  10. 10. Pourquoi EBIOS ? • Expression des Besoins et Identification des Objectifs de Sécurité • Méthode qui permet d’apprécier et de traiter les risques relatifs à la sécurité des systèmes d’information • permet d’identifier des objectifs et exigences de sécurité à la suite d’une appréciation de risques • elle permet de contribuer à la réalisation : • d’une politique de sécurité, • d’un plan d’action de sécurité des systèmes d’information, • d’une fiche d’expression rationnelle des objectifs de sécurité. 10
  11. 11. EBIOS: Démarche • L’étude du contexte • matériels, logiciels, réseaux, organisations, personnels et sites. • L’expression des besoins de sécurité • Chaque élément essentiel a un besoin de sécurité • L’étude des menaces • Chaque entité possède des vulnérabilités exploitées par les éléments menaçants • L’expression des objectifs de sécurité • couvrir les vulnérabilités exploitées par les attaquants • La détermination des exigences de sécurité • spécifier les fonctionnalités de sécurité attendues et spécifier les exigences d’assurance11
  12. 12. 12 ACTIF Vulnérabilités Risques ImpactsMenaces Protections possède exploitent ciblent entrainent réduisent Protègent contre limitent
  13. 13. EBIOS: L’outil • Distribué sous Licence GNU GPL, • Multiplateformes, • Assiste les utilisateurs d’EBIOS, • Stocke les contextes, risques et besoins, • Donne accès à une base de connaissances des: • Risques courants • Attaques courantes • Risques fréquents 13
  14. 14. Avantages et Inconvénients d’EBIOS Avantages • Solution complète modulaire • Définit les Acteurs, Rôles, Interactions etVocabulaire • Adéquation des ressources aux besoins • Politique de sécurité claire et réaliste • Dispose d’un logiciel d’assistance pour la mise en œuvre Inconvénients • Pas de recommandations sécuritaires • Pas de méthode d’audit/évaluation • Possibilité d’évaluation incorrecte des risques • Oublis potentiels • Vocabulaire légèrement nuancé  EBIOS ne peut pas être utilisé seul 14
  15. 15. Norme d’audit des SI 1008.1, 1008.2 • Référence adoptée pour l’audit technique de L’ISET • Se base sur la sélection de critères d'évaluation des équipements informatiques afin de les mettre à la disposition de tous les utilisateurs • Fournit une base de critères validées établies par l’ISACA qui doivent être : • Objectifs • Complets • Pertinents • Mesurables • Intelligibles 15
  16. 16. Mission d’audit de sécurité 16
  17. 17. Audit organisationnel et physique • Conforme à la norme ISO 27002 : 2005. • Dresse un état des lieux des plans organisationnels, procéduraux et technologiques. • Couvre la sécurité physique des locaux et le contrôle d’accès logique. • Cherche à obtenir un aperçu global de l’état de sécurité du système d’information et identifier les risques potentiels 17
  18. 18. Domaines d’activité • Politique de sécurité • Organisation de la sécurité de l’information. • Gestion des biens. • Sécurité liée aux ressources humaines • Sécurité physique et environnementale. • Gestion opérationnelle et gestion de la communication. • Contrôle d’accès. • Acquisition, développement et maintenance des systèmes d’information. • Gestion des incidents liés à la sécurité de l’information. • Gestion de la continuité de l’activité. • Conformité 18
  19. 19. Constations • Absence d’un schéma directeur • Absence de documents de références • Absence de politique de sécurité • Absence d’un poste de RSSI • Absence d’affectation de responsabilités en matière de sécurité lors d’attribution des rôles • Absences de procédure d’accès, de gestion de supports de stockage, • Insuffisance au niveau du contrôle d’accès • Manque de sensibilisation des utilisateurs • Exposition à des facteurs environnementaux • Défaillances techniques au niveau des équipements informatiques 19
  20. 20. Analyse des risques Disponibilité d’accès à Moodle  significatif Cohérence et Intégrité des données dans Moodle  intolérable Confidentialité limitée d'accès à Moodle  intolérable Disponibilité des comptes utilisateurs  significatif Intégrité des comptes utilisateurs  intolérable Confidentialité des comptes utilisateurs  intolérable Disponibilité des applications  significatif Intégrité des applications  significatif Disponibilité du site internet  négligeable Intégrité maitrisée du contenu du site internet  significatif 20
  21. 21. Audit technique • Conforme à la norme d’ISACA concernant les actifs informationnels. • Ensemble de tests pour découvrir les failles et vulnérabilités des composants du système d’information: • réseau, • serveurs, • Systèmes d’exploitation, • équipements actifs de l’infrastructure réseau, • site web 21
  22. 22. Utilitaires deTAAO 22
  23. 23. Constatations • Des défauts de configuration. • Des services vulnérables. • Des patchs de sécurité non mis à jour. • Des Produits non plus supportés par l’éditeur telque XP. • Produits avec des licences expirées. • Produits nécessitant des mises à jour. 23
  24. 24. Recommandations • Activer le branchement du firewall physique • Ajouter un serveur proxy pour l’Administration. • Fermer les ports des services inutilisables sur machine • Mise à jour vers Apache httpd 2.2.21. • Désactiver les service SNMP, FTP,Telnet. • Migrer vers une version deWindows supportée actuellement • Installer les correctifs pourWindows et modifier des registres spécifiques • Appliquer la signature SMB pour les messages dans les machines Hôtes. • Installer un antivirus avec licence 24
  25. 25. Plan d’action • Elaboration d’un référentiel de sécurité. • Sensibilisation et formation à la sécurité. • Renforcement de la sécurité des locaux. • Sécurisation des systèmes. • Partitionnement du réseau local. • Assurer la continuité de fonctionnement. 25
  26. 26. Conclusion • La mission d’audit réalisée a permis d’identifier les risques du système d’information en utilisant une démarche structurée. • L’audit a détecté des lacunes sur le plan organisationnel, physique et technique et a présenté des propositions à mettre en œuvre pour pallier à ces insuffisances. • Nécessité de faire le suivi pour concrétiser les recommandations. 26
  27. 27. Perspectives • Personnalisation et adaptation du code source d’EBIOS • Intégration de l’audit dans le processus en cours de certification ISO 9001 • Des normes ISO en cours de rédaction • ISO 27007 : Guide d'audit • ISO 27008 : Guide pour les auditeurs concernant les contrôles du SMSI • ISO 27011 : 27002 adapté à certains secteurs d'activité (télécom, santé, …) 27
  28. 28. Bibliographie • [4] « About ISACA ». [En ligne]. Disponible sur: http://www.isaca.org/about- isaca/Pages/default.aspx. [Consulté le: 01-juin-2014]. • [5] « ISO - Organisation internationale de normalisation ». [En ligne]. Disponible sur: http://www.iso.org/iso/fr/. [Consulté le: 01-juin-2014]. • [1] webmestre [at] ssi.gouv.fr, « Site officiel de l’agence nationale de la sécurité des systèmes d’information ». [En ligne]. Disponible sur: http://www.ssi.gouv.fr/fr/anssi/. [Consulté le: 29-mai- 2014]. • [10] « EBIOS 2010 - Expression des Besoins et Identification des Objectifs de Sécurité - ANSSI ». [En ligne]. Disponible sur: http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/outils- methodologiques/ebios-2010-expression-des-besoins-et-identification-des-objectifs-de- securite.html. [Consulté le: 29-mai-2014]. • [14] C. JeanFrançois, La sécurité informatique dans la petite entreprise. editions ENI • [22] B. Bernard et D. Benoit, "Linux, sécuriser un réseau», Edition Eyrolles, 3e éd. • [13] « Centre des Ressources Informatiques ». [En ligne]. Disponible sur: http://www.isetso.rnu.tn/index.php?option=com_content&view=article&id=47&Itemid=37&lang =fr. [Consulté le: 29-mai-2014]. 28

×