SlideShare une entreprise Scribd logo
La sécurité de l’information
et les auditeurs internes :
Positionnement, enjeux et stratégies
d’audit pour des résultats efficaces
2 avril 2014
2
Ordre du jour
1.  Présentation des conférenciers
2.  Bases de la sécurité de l’information et enjeux liés à celle-ci
3.  Rôle des responsables de la gouvernance
4.  Dimensions oubliées de la sécurité par les organisations
5.  Stratégies d’audit possibles de la sécurité de l’information :
5.1 Stratégie du haut vers le bas (« top-down ») : évaluation de la gouvernance et de
la gestion de la sécurité de l’information, évaluation des risques, revue des
processus de gestion de la sécurité, analyse de vulnérabilités spécifiques
5.2 Stratégie du bas vers le haut (« bottom-up ») : tests de scénarios de risques
spécifiques, évaluation des vulnérabilités, tests d’intrusion logique et physique,
ingénierie sociale, analyse causale des résultats
5.3 Comparaison des deux stratégies (avantages, limites et inconvénients) et
présentation des liens entre elles
5.4 Qualifications et outils nécessaires pour les auditeurs internes
6.  Conclusion
1. Présentation des
conférenciers
1. Présentation des conférenciers
n  Jacques Bergeron, CPA, CA, M. Sc, MBA, CISA, CISM, est le vérificateur général de la Ville de
Montréal depuis 2009. À ce titre, il coordonne trois directions d’audit, notamment celle qui effectue
l’audit des technologies de l’information et des télécommunications. Auparavant, il a été professeur
invité à HEC Montréal où il a enseigné, entre autres, le cours de contrôle et sécurité dans le
commerce électronique, cours qu’il enseigne toujours d’ailleurs. Il a également œuvré au sein de
firmes réputées de professionnels en gestion des risques de l’information (Deloitte, RCGT, KPMG,
Groupe conseil GSR) où il a été responsable de mandats complexes reliés à la sécurité de
l’information. M. Bergeron cumule plus de 25 années d’expérience dans la vérification et l’évaluation
de la sécurité et de contrôles des technologies de l’information.
Courriel : jacques.bergeron@bvgmtl.ca
n  Robert Masse, CISSP, est conseiller senior en sécurité de l’information et gestion de risques pour
sa propre firme Infisec. M. Masse possède plus de 15 années d'expérience dans le conseil en
sécurité de l’information et des technologies. Au cours de ces années, il a développé une capacité
d’analyse et d’exécution qui lui permet de vulgariser et de communiquer clairement des enjeux de
sécurité complexes, de proposer des plans d’action et d’en assurer l’alignement avec les objectifs
stratégiques de l’organisation. M. Masse a également œuvré auprès de firmes réputées en sécurité
de l’information telles que KPMG et Go Secure. Il participe à divers évènements médiatiques et
conférences à travers le monde (RSA, NCFTA, PCI, etc.). Il est d’ailleurs fréquemment cité par les
médias comme expert réputé en matière de sécurité de l’information.
Courriel : rmasse@infisec.com
4
2. Les bases de la sécurité
de l’information et les
enjeux liés à celle-ci
2.1 La sécurité de l’information
n  Personnel
+
n  Processus
+
n  Technologie
6
A. LE PERSONNEL
q  Les politiques, normes et procédures de sécurité influencent
l’attitude des utilisateurs et leur comportement
q  De plus, le programme de sensibilisation est également un
facteur qui influence l’attitude des utilisateurs
q  Les politiques, normes et procédures devraient également :
§  Influencer le comportement du personnel informatique
§  Améliorer leur façon de faire
2.1 La sécurité de l’information
7
B. LES PROCESSUS
q  Les politiques, normes et procédures peuvent guider les façons de
faire
q  Elles constituent des lignes directrices sur ce qui est obligatoire ou
non
q  Elles permettent d’encadrer les processus de sécurité tels que :
n  La création de codes d’accès
n  La définition des profils d’accès
n  La définition de la protection des serveurs, des répertoires et des ressources
n  La journalisation et la revue des activités
n  La gestion quotidienne de la sécurité par les intervenants concernés
8
2.1 La sécurité de l’information
Cadre normatif Politique
corporative
Politique
1.1 Introduction,
portée et
approbation
1.2 Gestion de la
sécurité
1.4 Classification
de l'information
1.5 Programme
de sensibilisation
et de formation
1.3 Évaluation
des risques
et menaces
1.6 Utilisation des
actifs
1.7 Définition des
termes
Organisation et
administration
de la sécurité
Profils d'accès
Mots de passe
et réactivation
des codes d'accès
Suivi des
incidents
Embauche,
départ et
suivi du
personnel
Sécurité logique
Gestion des accès
et utilisation
Emplacement des
installations
et du
matériel
Contrôle
des accès
physiques
Matériel
informatique
Sécurité physique
Prévention, détection
et protection
Développement,
acquisition et
mise en place
Contrôle
des
changements
Applications
supportées
par des fournisseurs
extermes
Développement,
maintenance et
mise en place des
systèmes
Horaires,
calendriers
et planification
Mesures de
manipulation
des rapports
Exploitation
Chiffrement et
transmission
sécuritaire
Gestion des accès
à distance
et mécanisme
d'authentification
Utilisation du
courrier
électronique
Utilisation de
l'Internet
Gestion
des
changements
Réseau et
télématique
Gestion
des logiciels/
Droits d'auteur
Virus
Utilisation de
portatifs
Micro-
informatique
Relève
informatique
Copies de
sauvegarde
Relève en
cas de
désastre
Politiques
fonctionnelles
Normes
Procédure Procédure Procédure Procédure Procédure Procédure Procédure Procédure
Formulaire Formulaire Formulaire Formulaire Formulaire Formulaire Formulaire Formulaire
ProcéduresFormulaires
Guide de référence
technique
Guide de référence
technique
Guide de référence
technique
Guide de référence
technique
Guide de référence
technique
Guide de référence
technique
Guide de référence
technique
Guide de référence
technique
Guides
9
C. LES TECHNOLOGIES
q  Choix et configuration des équipements
q  Les politiques, normes et procédures influencent la qualité de la
sécurité des implantations technologiques
§  Par exemple, des guides de configuration technique pour chaque type de plate-
forme permettent d’assurer une standardisation des implantations
10
2.1 La sécurité de l’information
Analyse des menaces
Risques intolérables
État de la situation
actuelle
Adéqua
tion
Plan directeur
Classification des actifs
Mission organisationnelle
Normes et
procédures
à implanter
Outils
techniques
Manières de
faire et gestion
de la sécurité
11
2.2 La relation entre menaces, impacts,
vulnérabilités et risque
Menace
Vulnérabilités dans
les contrôles
Faiblesse
de contrôle
Arrivée du
risque
ACTIF
INFORMATIONNEL
Perte de
confidentialité
Perte de
disponibilité
Perte
d’intégrité
12
Correction des
contrôles
Maîtrise
du risque
Risque résiduel
acceptable
ou non
Correction
13
2.2 La relation entre menaces, impacts,
vulnérabilités et risque
ACTIF
INFORMATIONNEL
Perte de
confidentialité
Perte de
disponibilité
Perte
d’intégrité
Menace
L’ultime sécurité
14
§  Étapes qui permettent d’attribuer à chaque actif
informationnel (document ou composante) qui
soutient le processus d’affaires un libellé
q  qui reflète l’importance de l’actif informationnel pour la réalisation
de la mission de l’organisation et du processus d’affaires
§  La classification des actifs s’effectue en fonction
des processus d’affaires
q  …en tenant compte de l’importance de chaque actif
15
2.3 Le processus de classification
n  La classification s’effectue sur trois aspects:
¨  La disponibilité
¨  L’intégrité
¨  La confidentialité
n  Il s’agit de déterminer quels seraient les impacts d’une
perte d’intégrité, de disponibilité et de confidentialité liée à
l’actif pour l’organisation, en particulier:
¨  Sur la mission
¨  Sur l’image de l’organisme (réputation, confiance)
¨  Sur la situation financière (pertes de revenus, dépenses
additionnelles)
¨  Sur la sécurité des usagers et des employés (atteinte aux
droits et libertés)
¨  Sur la compétitivité
¨  Sur les opérations (perturbations)
2.3 Le processus de classification
LES COTES DE CLASSIFICATION
n Non classifiée
n Sensible mais non classifiée
n Confidentielle
n Secrète
n Ultrasecrète
LIMITES?
17
2.3 Le processus de classification
2.3 Qu’est-ce qu’un actif
informationnel
On retient deux notions: Document et
composantes:
DOCUMENT:
n  Document papier
¨  Formulaires manuels
¨  Rapports manuels
¨  Rapports/formulaires produits par le système
n  Document électronique
¨  Enregistrement dans un fichier
PEUVENT ÊTRE REGROUPÉS DANS UN «
BLOC D’INFORMATION »
Contenu
2.3 Qu’est-ce qu’un actif
informationnel
On retient deux notions: Document et composantes:
COMPOSANTES:
n  Qui supportent le document papier
¨  Classeur
¨  Salle physique où sont situés les documents
n  Qui supportent le document électronique
¨  Base de données
¨  Système d’application
¨  Systèmes d’exploitation et utilitaire
¨  Réseaux de télécommunication
¨  Salles d’équipement
2.3 Préparation à l’exercice de
classification
n  Quels sont les détenteurs principaux (ou
PROPRIÉTAIRE DE L’INFORMATION)?
¨  Un détenteur principal est le premier
responsable de l’information manipulée dans
son unité administrative
¨  Comment les reconnaître?
Qui peut autoriser le changement d’un
système d’information?
Qui peut autoriser la divulgation d’une
information?
Qui peut approuver les accès à une
information ou une fonctionnalité
d’un système?
2.3 Prise de l’inventaire des
actifs informationnels
n  La meilleure façon: Systématisation
n  Quels sont les actifs informationnels les plus importants pour chacun
des processus d’affaires?
n  Donc:
¨  Comprendre la chaîne de traitement peut aider à identifier les actifs
informationnels
n  (documents et composantes)
¨  Inventaire des documents et des composantes:
¨  Description graphique ou narrative du processus d’affaires
¨  Tenir compte de l’entreposage des documents dans les SERVEURS
ET fichiers de données
¨  Cet inventaire doit être complet et systématique
LES CRITÈRES D’IMPACT
n Perte financière ou d’opportunité
n Aspects légaux, contractuels
n Perte de productivité
n Non-respect d’engagements
n Détérioration de la qualité de service
n Perte de confiance des clients
n Atteinte à la sécurité physique des personnes
n Perception médiatique négative
22
2.3 Le processus de classification
Niveau 1 Bas : impact non significatif
Incidences minimales
Limitées à un secteur
administratif
Incidences d’ordre
administratif
Aucun impact sur l’image ou la
mission
Niveau 2 Moyen : impact limité à un
secteur
Conséquences mineures sur des
tiers
Incidences sur l’image, le
fonctionnement et les
opérations d’un secteur
Impact mineur sur la mission
Niveau 3 Élevé : impact grave
Incidences sur l’établissement
et les tiers
Incidences sérieuses
Dommages sérieux sur la
mission
Manquement aux obligations
Niveau 4 Très élevé : impact très grave
Conséquences très sérieuses
Incidences graves sur la
continuité d’opération et sur les
tiers
Viabilité de l’organisation mise
en péril
Conséquences sur le plan
humain ou financier
23
2.3 Le processus de classification
LA DISPONIBILITÉ DE L’INFORMATION
n L’information ou un système doit être accessible et utilisable en temps
voulu
n Comprend la notion de performance (dégradation)
24
2.3 Le processus de classification
Disponibilité
Niveau 1: IMPACT
FAIBLE
Acceptable que le système ne soit
pas disponible pendant une
période prolongée (+48h)
Documents, formulaires,
listes d’employés
Statistiques d’utilisation de
processus secondaires
Niveau 2: IMPACT
MOYEN
La période de non disponibilité
pourrait être élevée mais au-delà
de cette période, les impacts
seraient notables (4-48h)
Système de grand livre,
reporting au ministère,
procédures internes,
documents administratifs,
comptes à payer, courriel,
site Internet, système de
prise de rendez-vous
Niveau 3: IMPACT
GRAVE
Une courte période
d’indisponibilité est permise mais
au-delà de cette période, la
mission serait sérieusement
affectée (moins de 4 h)
Nutrition, index patient, et
services auxiliaires aux
soins, tels la pharmacie, la
radiologie
Paiement aux bénéficiaires
Niveau 4: IMPACT
TRÈS GRAVE
Aucune période d’indisponibilité
n’est permise
Dossier patient
électronique, infrastructure
des services essentiels,
système de mesures
d’urgence, système de
pagettes et de
communication interne
L’INTÉGRITÉ DE L’INFORMATION
n Propriété d’une information ou d’une technologie qui n’est ni modifiée,
ni altérée, ni détruite d’une façon erronée ou non autorisée
n L’information doit être complète, exacte et autorisée. Elle doit être non
modifiable et non altérable
q  L’information doit être exacte (conforme) à ce qu’elle doit représenter
q  L’information doit être complète (intégrale/exhaustive)
n  Tous les documents sont présents
n  L’ensemble des champs d’information nécessaires sont complétés
(Les contrôles d’application permettent habituellement d’atteindre ces objectifs)
q  L’information inscrite/enregistrée doit être autorisée
n Autant pour les transactions que les dépôts de données
n L’intégrité doit être maintenue dans le temps
26
2.3 Le processus de classification
Intégrité
Niveau 1: IMPACT
FAIBLE
Les informations peuvent être
compromises sans
répercussions
Organigrammes, listes des
employés, rapports internes
Niveau 2: IMPACT
MOYEN
Les informations pourraient
être compromises mais des
impacts limités liés à l’image
Rapports d’activités au
ministère, statistiques
d’utilisation, informations de
planification, erreurs dans le
système des paiements
Niveau 3: IMPACT
GRAVE
Si les informations seraient
compromises, des impacts
significatifs sur la qualité des
soins et sur l’image de
l’établissement
Erreurs dans le système des
menus, erreurs dans le
système des commandes,
fraudes financières
Niveau 4: IMPACT
TRÈS GRAVE
La santé et la sécurité des
personnes est compromise.
Conséquences juridiques et
médicales
Informations médicales de
première ligne. Information
sur les allergies
Systèmes de distribution en
eau potable
Systèmes de transfert de
fonds électronique/courtage
bancaire
LA CONFIDENTIALITÉ DE L’INFORMATION
n Propriété que possède une donnée ou une information dont l’accès et
l’utilisation sont réservés à des personnes ou entités désignées et
autorisées
n L’information détenue ou conservée par une organisation ne doit pas
être accessible ou divulguée aux personnes non autorisées ou à des fins
non prévues
q  La divulgation de l’information est effectuée à des personnes autorisées
selon les règles établies par l’organisation
n Droits à la vie privée
q  L’information personnelle doit être protégée et n’être collectée et servir
qu’à des fins strictement limitées
28
2.3 Le processus de classification
Confidentialité:Exemple pour le
domaine de la santé
Niveau 1: IMPACT
FAIBLE
Information de nature
publique. Aucun impact sur la
divulgation
Documents statistiques
généraux
Documents publics
Niveau 2: IMPACT
MOYEN
Information de nature interne.
Impact limité sur l’image de
l’établissement
Documents internes
Profilage de la clientèle
Niveau 3: IMPACT
GRAVE
Information assujettie aux lois.
Impact important sur la
réputation des individus et de
l’établissement
Information stratégique
Documents contenants des
renseignements personnels
Documents sur les soins et
traitements
Rapports d’enquêtes
Documents sur le personnel
(salaires et autres)
Renseignements fiscaux
Niveau 4: IMPACT
TRÈS GRAVE
Information assujettie aux lois.
Impact très important sur la
réputation des individus et
établissement
Renseignements sur des
diagnostics médicaux
particuliers
Renseignements sur le passé
d’un patient
Actions délibérées
Personnes de l’intérieur
Personnes de l’extérieur
Source de menaces Conséquences
Actions accidentelles
Personnes de l’intérieur
Personnes de l’extérieur
Problèmes technologiques
Défauts d’équipement
Défauts de logiciel
Code malicieux
Problèmes environnementaux
Alimentation électrique, bris de
conduite d’eau, incendie
ACTIFS
Divulgation ou visionnement
d’information confidentielle
Modification non-autorisée
ou erronée d’information
sensible
Destruction ou perte
d’information importante
Accès interrompu à
des systèmes critiques
Désastres naturels
Inondation, tremblement de terre
30
2.4 Les types de menaces et les
conséquences
n  Menaces à Contrôles
q  Contrôles structurels
n  Ce qu’on appelle les CONTRÔLES ORGANISATIONNELS
q  Multiniveaux
q  Ne sont pas rattachés à des risques spécifiques
q  Contrôles spécifiques
n  Ce qu’on appelle les CONTRÔLES OPÉRATIONNELS
q  Peuvent être opérationnels ou techniques
q  Rattachés à un ou des blocs d’information, donc à des risques spécifiques
n  Menaces à Contrôles affectant la potentialité de
matérialisation de la menace
n  Menaces à Contrôles réduisant les impacts de la
menace une fois celle-ci survenue
31
2.5 Logique derrière la démarche
Démarche d’élaboration
n  Contrôles affectant la POTENTIALITÉ
¨ MESURES DE DISSUASION
n  ÉVITENT la concrétisation de la menace
¨ MESURES DE PRÉVENTION
n  EMPÊCHENT l’aboutissement d’une agression
¨ MESURES DE PROTECTION
n  LIMITENT l’ampleur de la détérioration
Démarche d’élaboration
n  Contrôles réduisant l’impact (une fois la
matérialisation de la menace)
¨ MESURES PALLIATIVES
n  RÉPARENT et ATTÉNUENT les dégats
¨ MESURES DE RÉCUPÉRATION
n  LIMITENT les pertes
n  Une vulnérabilité est :
q  Une faiblesse de mesure de contrôle
q  L’absence de mesure de contrôle visant à prévenir,
détecter ou corriger la matérialisation de la menace
n  Par exemple :
q  Une menace d’intrusion de l’externe est probable et son
impact potentiel est élevé
n  Un contrôle préventif « A » serait la présence d’un mur coupe-
feu
n  Un contrôle détectif « B » serait la présence d’un outil de
détection des intrusions
n  Un contrôle correctif « C » serait la présence d’une norme et
d’une procédure de gestion des incidents
q  L’absence d’un ou de plusieurs de ces contrôles pourrait
constituer une vulnérabilité
34
2.6 Identification des vulnérabilités
2.6 Identification des vulnérabilités
Vulnérabilité Source de la menace
Action effectuée
par la menace
Les codes utilisateurs
d’employés qui ont quitté ne
sont pas détruits
Un employé qui a quitté
l’organisation
Accès à distance au réseau
de l’organisation et aux
données confidentielles
Le garde-barrière (firewall)
permet d’effectuer un Telnet
sur un serveur sur lequel le
compte invité n’est pas
désactivé
Personnes non autorisées
de différents types
(employés qui ont quitté,
hackers, cybercriminels)
Utilisation du service Telnet
de l’extérieur et accès à des
fichiers de l’organisation en
utilisant le compte invité ou
en escaladant avec des
privilèges plus élevés
Le fournisseur du système
d’exploitation identifie des
vulnérabilités mais
l’organisation n’installe pas
les correctifs suggérés
Personnes non autorisées
de différents types
(employés qui ont quitté,
hackers, cybercriminels)
Exploitation depuis l’externe
des vulnérabilités du
système d’exploitation et
accès à des fichiers
sensibles
35
2.6 Les étapes de la gestion
du risque
n  Classification des actifs informationnels
n  Compréhension des étapes et traitements du système
d’information
¨  Diagramme technique et fonctionnel
¨  Décomposition en activités et étapes
n  Identification des menaces (événements potentiels) pour
chaque activité en relation avec les systèmes critiques de
l’entreprise
¨  Menaces internes (erreurs, actes volontaires)
¨  Menaces externes (erreurs, actes volontaires)
n  Revue des mesures actuelles de protection
n  Évaluation des risques résiduels
n  Plan d’action pour les écarts
2.7 Les zones de sécurité réseau
37
2.7 Les zones de sécurité réseau - la
zone démilitarisée
n  Zone tampon d’un réseau d’entreprise, située
entre le réseau local et Internet, derrière le
garde-barrière, qui correspond à un réseau
intermédiaire regroupant des serveurs publics
(Web, courriel…) et dont le but est d’éviter
toute connexion directe avec le réseau interne
et de prévenir celui-ci de toute attaque
extérieure depuis le Web
38
n  Trois zones peuvent être créées :
q  Zone 1 : Internet et le milieu extérieur à haut risque
q  Zone 2 : la DMZ à risque modéré
n  Où même il est possible de créer des sous-zones avec les serveurs (garde-
barrières embarqués)
q  Zone 3 : le réseau local sécurisé
39
2.7 Les zones de sécurité réseau
40
2.7 Les zones de sécurité réseau
3. Le rôle des responsables
de la gouvernance
42
3.1 Rôles et responsabilités
Rôle Responsabilités
Haute direction
Détient la responsabilité ultime de la sécurité de
l’information. Définit la politique de sécurité et la
vision en matière de sécurité. Définit la culture de
sécurité. Alloue les ressources humaines et
financières. Fais la promotion de la sécurité
Officier de la sécurité de l’information
Détient la responsabilité fonctionnelle de la sécurité
de l’information pour l’ensemble de l’organisation
Le propriétaire de l’information
Détermine la classification des informations dont il
est responsable
Gardien des données (Custodian)
Assure la protection logique et physique de
l’information
Utilisateur
Exécute les instructions de la sécurité de
l’information durant son travail quotidien
Auditeur
Fait l’audit de l’état de la sécurité de l’information et
rapporte les anomalies importantes à la haute
direction
3.2 La reddition de comptes de l’auditeur
interne
n  L’auditeur interne a la responsabilité de donner
l’assurance à la direction de l’atteinte des objectifs
de sécurité et de mentionner les menaces/
vulnérabilités qui peuvent causer préjudice à
l’organisation
n  Standard IPPF 2130.A1
n  Déterminer jusqu’à quel niveau l’auditeur doit
descendre (portée de l’intervention) en fonction
des ressources dont il dispose
43
4. Les dimensions oubliées
de la sécurité par les
organisations
4. Les dimensions oubliées
n  La nécessité de considérer la sécurité de
l’information à de multiples niveaux :
organisationnel, humain, technique, physique
n  Le fait de penser « sécurité » lors du
développement d’un système
n  La sécurité des documents papier
n  La sensibilisation des utilisateurs
n  Le rôle du propriétaire de l’information
45
5. Les stratégies d’audit
possibles de la sécurité
de l’information
5.1 La stratégie du haut
vers le bas
5.1 La stratégie du haut vers le bas
48
Organisation de la sécurité
• Positionnement
• Gouvernance
Gestion de la sécurité
• Politiques
• Normes
• Procédures
Programme de
sensibilisation
Planification de
la sécurité
Contrôles organisationnels
49
Contrôles spécifiques
Bloc d’information :
Dossier patient électronique
D: 4, I: 4, C: 4
5.1 La stratégie du haut vers le bas
Organisation de la sécurité
• Positionnement
• Gouvernance
Gestion de la sécurité
• Politiques
• Normes
• Procédures
Programme de
sensibilisation
Planification de
la sécurité
Contrôles organisationnels
50
Couche documents physiques
Éléments à considérer :
• Protection des documents sensibles
• Archivage
• Accès physiques aux documents
• Transport interne et externe des
documents
• Disposition des documents
• Etc.
5.1 La stratégie du haut vers le bas
Organisation de la sécurité
• Positionnement
• Gouvernance
Gestion de la sécurité
• Politiques
• Normes
• Procédures
Programme de
sensibilisation
Planification de
la sécurité
Contrôles organisationnels
Contrôles spécifiques Bloc d’information :
Dossier patient électronique
D: 4, I: 4, C: 4
51
Couche documents physiques
Couche base de données Éléments à considérer :
• Codes d’accès privilégiés
• Protection des tables sensibles
• Options et paramètres de sécurité
activés
• Configuration sécuritaire de la base
de données
• Administration de la BD
5.1 La stratégie du haut vers le bas
Organisation de la sécurité
• Positionnement
• Gouvernance
Gestion de la sécurité
• Politiques
• Normes
• Procédures
Programme de
sensibilisation
Planification de
la sécurité
Contrôles organisationnels
Contrôles spécifiques Bloc d’information :
Dossier patient électronique
D: 4, I: 4, C: 4
52
Couche base de données
Couche application
Éléments à considérer :
• Codes d’accès privilégiés
• Tables d’accès et séparation des
fonctions
• Options de sécurité activées et
valeurs
• Paramétrage de l’application
• Contrôle des changements
5.1 La stratégie du haut vers le bas
Organisation de la sécurité
• Positionnement
• Gouvernance
Gestion de la sécurité
• Politiques
• Normes
• Procédures
Programme de
sensibilisation
Planification de
la sécurité
Contrôles organisationnels
Contrôles spécifiques
Couche documents physiques
Bloc d’information :
Dossier patient électronique
D: 4, I: 4, C: 4
53
Couche serveur
Éléments à considérer :
• Codes d’accès privilégiés
• Configuration sécuritaire du serveur
(ports ouverts, services actifs)
• Options de sécurité activées et
valeurs
• Mise à jour du système
d’exploitation (patches, version)
• Contrôle des changements
• Copies de sauvegarde, plan de
reprise, manipulation médias
• Anti-virus, etc.
5.1 La stratégie du haut vers le bas
Organisation de la sécurité
• Positionnement
• Gouvernance
Gestion de la sécurité
• Politiques
• Normes
• Procédures
Programme de
sensibilisation
Planification de
la sécurité
Contrôles organisationnels
Contrôles spécifiques Bloc d’information :
Dossier patient électronique
D: 4, I: 4, C: 4Couche documents physiques
Couche base de données
Couche application
54
Couche réseau interne/externe
Éléments à considérer :
• Codes d’accès privilégiés
• Installation et configuration
sécuritaires des équipements
réseau (routeurs, sans-fil, etc.)
• Règles du garde-barrière
• Ports ouverts, services actifs
• Options de sécurité activées et
valeurs
• Etc.
5.1 La stratégie du haut vers le bas
Organisation de la sécurité
• Positionnement
• Gouvernance
Gestion de la sécurité
• Politiques
• Normes
• Procédures
Programme de
sensibilisation
Planification de
la sécurité
Contrôles organisationnels
Contrôles spécifiques
Couche documents physiques
Couche base de données
Couche application
Couche serveur
Bloc d’information :
Dossier patient électronique
D: 4, I: 4, C: 4
55
Couche réseau interne/externe
Couche sécurité physique
Éléments à considérer :
• Accès à la salle informatique
• Configuration de la salle
informatique
• Accès au bâtiment
• Protection par zone et contrôles
d’accès physiques aux locaux
• Surveillance, alarme, etc.
5.1 La stratégie du haut vers le bas
Organisation de la sécurité
• Positionnement
• Gouvernance
Gestion de la sécurité
• Politiques
• Normes
• Procédures
Programme de
sensibilisation
Planification de
la sécurité
Contrôles organisationnels
Contrôles spécifiques
Couche documents physiques
Couche base de données
Couche application
Couche serveur
Couche réseau interne/externe
Bloc d’information :
Dossier patient électronique
D: 4, I: 4, C: 4
56
Plan de relève informatique
Plan de continuité des affaires
Éléments à considérer :
• Présence d’un plan
• Caractère adéquat du plan
(Analyse de risques et d’impacts)
• Tests périodiques du plan
• Mise à jour du plan
• Etc.
5.1 La stratégie du haut vers le bas
Organisation de la sécurité
• Positionnement
• Gouvernance
Gestion de la sécurité
• Politiques
• Normes
• Procédures
Programme de
sensibilisation
Planification de
la sécurité
Contrôles organisationnels
Contrôles spécifiques
Couche documents physiques
Couche base de données
Couche serveur
Couche sécurité physique
Bloc d’information :
Dossier patient électronique
D: 4, I: 4, C: 4
Couche réseau interne/externe
Couche application
5.2 La stratégie du bas vers
le haut (ou la stratégie
tactique)
58
5.2 La stratégie du bas vers le haut
MISE EN CONTEXTE
n Notre définition
n Différence entre chaque type de stratégies
n La stratégie ascendante (bottom-up) = meilleur rapport coûts-avantages
n Ce que la stratégie offre
n Ce que la stratégie n’offre pas :
q  Évaluation exhaustive
q  Analyse de la méthodologie et des politiques
q  Stratégie descendante (top-down)
n Idéale pour budget limité
n Permet des résultats rapides et opérationnels
n Évalue scénarios de risques/menaces spécifiques
59
Stratégie du bas vers le haut
• Analyse des vulnérabilités
• Tests d’intrusion physique et logique
Plan de relève informatique
Plan de continuité des affaires
Contrôles spécifiques
Couche documents physiques
Couche base de données
Couche serveur
Couche sécurité physique
Bloc d’information :
Dossier patient électronique
D: 4, I: 4, C: 4
Couche réseau interne/externe
Organisation de la sécurité
• Positionnement
• Gouvernance
Gestion de la sécurité
• Politiques
• Normes
• Procédures
Programme de
sensibilisation
Planification de
la sécurité
Contrôles organisationnels
Couche application
5.2 La stratégie du bas vers le haut
5.2.1 Scénarios de risques
61
5.2.1 Scénarios de risques
DÉFINITION DES RISQUES
n Différents types de risques
q  Risque pour la confidentialité
q  Risque pour l’intégrité
q  Risque pour la disponibilité
q  Risque pour la réputation (souvent ignoré)
n Les risques sont notés sur une échelle de 1 à 25
n Risque = probabilité (1-5) X impact (1-5)
n Qu’est-ce qui est le plus important pour la direction de l’entreprise?
n Définir les risques de base
n Définir les scénarios
62
DÉFINITION DES SCÉNARIOS DE RISQUES
n Une fois les risques identifiés, nous développons les scénarios
n Les scénarios de risques comprennent :
q  Les acteurs (employés, pirates informatiques)
q  Type de menace (malicieuse)
q  Évènement (vol, divulgation)
q  Actif ou ressource (données personnelles)
5.2.1 Scénarios de risques
63
EXEMPLES
n Est-ce que quelqu’un peut fournir quelques exemples pour son
organisation?
5.2.1 Scénarios de risques
64
EXEMPLES
n Quelques exemples avec lesquels j’ai travaillé
5.2.1 Scénarios de risques
5.2.2 Évaluation des
vulnérabilités
66
5.2.2 Évaluation des vulnérabilités
n  Qu’est-ce qu’une évaluation des vulnérabilités
n  Qu’est-ce que cet outil peut offrir ou non
n  L’analyse de vulnérabilités est la première étape
pour évaluer la sécurité de l’infrastructure
n  Pas de « piratage », seulement de l’analyse
n  Offre une vue d’ensemble
n  Idéale comme première évaluation
67
5.2.2 Évaluation des vulnérabilités
n  Méthodologie de base
q  Nous identifions les actifs et les ressources qui sont importants pour
l’organisation
q  Nous les évaluons en utilisant divers outils techniques
n  Exemples de résultats :
q  Mot de passe faible ou par défaut
q  Erreurs de configuration
q  Absence de correctifs de sécurité (patch)
Serveur webServeur web
Internet
Serveur Serveur Serveur Serveur
Serveur de vérification
68
5.2.2 Évaluation des vulnérabilités
69
5.2.2 Évaluation des vulnérabilités
Observations, Recommandations, Risque, Hôte(s),affecté(s),
1, Compte,par,défaut,«,factory,»,de,RuggedOS!
!
L’équipement! réseau! possède! un! compte! codé!
permanent!qui!possède!un!mot!de!passe!prévisible.!
!
Le! dispositif! exécute! RuggedOS! en! utilisant! le! compte!
«!factory!»! et! un! mot! de! passe! dérivé! de! l’adresse!
matérielle! (MAC)! de! l’appareil! (qui! est! visible! dans! la!
bannière! d’authentification! telnet).! Ceci! est! un! cas!
classique!de!porte!dérobée.!
!
METTRE,À,NIVEAU,LA,VERSION,ACTUELLE,
!
Mettre!à!niveau!le!micrologiciel!(firmware)!RuggedOS!à!la!
version!la!plus!récente!selon!l’avis!du!fabriquant.!
!
http://www.ruggedcom.com/productbulletin/rosK
securityKpage/!
!
CRITIQUE,
10.0,
1.2.3.4,
,
2, Mot, de, passe, par, défaut, du, «,IBM, Baseboard,
Management,Controller,»,
!
L’hôte! semble! exécuter! IBM! Baseboard! Management!
Controller! (BMC),! qui! est! utilisé! pour! la! gestion! horsK
bande.!Le!client!de!gestion!du!service!est!protégé!par!un!
mot!de!passe!par!défaut.!!
!
Nom!d’utilisateur!par!défaut!:!USERID!
Mot!de!passe!par!défaut!:!PASSW0RD!
REMPLACER,LE,MOT,DE,PASSE,PAR,DÉFAUT,
!
Remplacer! le! mot! de! passe! par! défaut! par! un! mot! de!
passe!complexe.!
!
!
CRITIQUE,
10.0,
1.2.3.4,
5.6.7.8,
,
3, MS06[040,:,Exécution,de,code,à,distance,
!
Une! vulnérabilité! dans! le! service! Serveur! pourrait!
permettre!l'exécution!de!code!à!distance.!
!
L'hôte! est! vulnérable! à! un! débordement! de! mémoire!
tampon!dans!le!service!«!Serveur!»!qui!pourrait!permettre!
à! un! attaquant! d'exécuter! du! code! arbitraire! sur! l'hôte!
avec!des!privilèges!«!SYSTÈME!».!
APPLIQUER,LE(S),CORRECTIF(S),
!
Microsoft! a! publié! un! ensemble! de! correctifs! pour!
Windows!2000,!XP!et!2003.!
!
http://technet.microsoft.com/enK
us/security/bulletin/ms06K040!
!
CRITIQUE,
10.0,
1.2.3.4,
5.2.3 Tests d’intrusion
71
5.2.3 Test d’intrusion
n  Le test d’intrusion pousse les choses un peu plus
loin
n  Lorsqu’une vulnérabilité est découverte, nous
l’exploitons pour obtenir un accès
n  Il existe deux types de tests d’intrusion : logique et
physique
72
5.2.3 Test d’intrusion - logique
n  Quatre étapes générales :
q  Préparation
q  Collecte d’informations et analyse
n  Google est votre ami
n  Intelligence « open source »
q  Détection de vulnérabilités
n  Outils réseau
n  Outils Web
q  Tentative d’intrusion (exploitation)
n  Metasploit
n  Techniques connues et/ou propriétaires (personnalisées)
n  Exemples
73
5.2.3 Test d’intrusion - logique
n  Autres outils
q  Ingénierie sociale
q  Hameçonnage
n  Exemples
q  Appels téléphoniques
q  Courriel d’hameçonnage
q  Boîte à outils d’ingénierie sociale
74
5.2.3 Test d’intrusion - physique
n  Même concept que les tests logiques
n  Le but est de trouver les vulnérabilités ou les
failles dans la sécurité physique
n  Exploitation des vulnérabilités
75
5.2.3 Test d’intrusion - physique
n  Quatre étapes principales
q  Préparation
q  Collecte d’informations et analyse
n  Google maps
n  Bing maps
n  Rôle foncier
n  Qui accède physiquement au bâtiment, surveillance
q  Détection de vulnérabilités
n  Est-ce que le technicien est mis à l’épreuve?
n  Est-ce qu’il y a de la construction dans le bâtiment?
n  Est-ce que les gens valident les cartes d’identité?
n  Comment les visiteurs sont-ils escortés?
n  Est-ce que les cartes d’accès peuvent être dupliquées?
n  Est-ce que les gens prennent des pauses pour fumer en empruntant les
portes de côté/arrière?
76
5.2.3 Test d’intrusion - physique
n  Intrusion
q  Exploitation des vulnérabilités découvertes
q  Discussion du scénario de test d’intrusion avec le client
q  S’assurer que les procédures sont bien définies, par exemple la
« carte sortie de prison »
q  Exécution des tests sous supervision
n  Exemples
q  Technicien
q  Livreur de pizza
q  Mécanicien
5.2.4 Analyse causale des
résultats
5.2.4 Analyse causale des résultats
78
Les résultats peuvent vouloir dire :
• Manque de sensibilisation
• Gouvernance défaillante
• Manque de budgets
• Manque de structure et de
documentation (politiques, normes,
procédures)
• …d’autres vulnérabilités à prévoir!
Plan de relève informatique
Plan de continuité des affaires
Contrôles spécifiques
Couche documents physiques
Couche base de données
Couche serveur
Couche sécurité physique
Couche réseau interne/externe
Organisation de la sécurité
• Positionnement
• Gouvernance
Gestion de la sécurité
• Politiques
• Normes
• Procédures
Programme de
sensibilisation
Planification de
la sécurité
Contrôles organisationnels
Couche application
79
5.2.4 Analyse causale des résultats
LES RÉSULTATS
n À quoi s’attendre
n Avantages/inconvénients
n Il est nécessaire d’adopter une stratégie descendante (top-down) à un
certain moment pour obtenir le soutien de la haute direction
n De solides recommandations sont nécessaires pour prendre des
décisions efficaces
n Les recommandations doivent être réalistes pour l’organisation afin
qu’elles puissent être mises en place avec succès
80
5.2.4 Analyse causale des résultats
LES RÉSULTATS
n Exemples
q  Le vérificateur général se pointe
q  Le client affirme qu’il fait régulièrement des tests et que tout devrait être
conforme
q  Nous trouvons toujours des problèmes…
n  Pourquoi reviennent-ils toujours?
5.3 Comparaison des
stratégies
5.3 Comparaison des stratégies
Stratégie du haut à bas
n Avantages de cette stratégie
q  Stratégie complète d’évaluation des
vulnérabilités
q  Stratégie structurée
n Inconvénients de cette stratégie
q  Ressources importantes demandées
(humaines et monétaires)
q  Expertise pointue requise pour
chaque couche
q  Utilisation de « check-list »
q  Résultats peuvent être longs à obtenir
Stratégie du bas à haut
n Avantages de cette stratégie
q  Résultats probants et rapides
q  Permet d’offrir des exemples concrets
et souvent spectaculaires à la
direction
q  Permet de sensibiliser davantage le
personnel et la direction sur
l’importance des vulnérabilités
q  Notoriété de l’auditeur rehaussée
n Inconvénients de cette stratégie
q  Demande des connaissances
techniques poussées
q  Tient compte uniquement de
certaines dimensions de la sécurité,
souvent de nature technique
82
5.4 Qualifications et outils
nécessaires
5.4.1 Qualifications nécessaires
n  Connaissance des concepts de sécurité
n  Connaissances techniques
q  Réseaux
q  Systèmes d’exploitation (Unix, Windows)
q  Bases de données (Oracle, SQL Server)
q  Applications (SAP, Oracle financiers)
n  Habiletés pour effectuer de l’ingénierie sociale
n  …plus que simplement des « checklists »
84
5.4.2 Outils nécessaires
Outils Sites Internet
Insecure.org Plusieurs outils gratuits ou payants de détection de
vulnérabilités, craquage de mots de passe, etc.
Social Engineering Toolkit
(hameçonnage)
https://www.trustedsec.com/downloads/social-
engineer-toolkit/
Spooftel (Téléphones) http://www.spooftel.com/
Nessus (outil de vérification de
vulnérabilité)
http://www.tenable.com/products/nessus
Acunetix (outil de vérification de
vulnérabilité de Web)
http://www.acunetix.com/
Metasploit (outil de pénétration) http://www.metasploit.com/
Cain & Abel (outil de pénétration) http://www.oxid.it/cain.html
Maltego (outil de recherche) http://www.paterva.com/web6
Cree.py (outil de recherche) http://ilektrojohn.github.io/creepy/
85
6. Conclusion
Bibliographie
n  Institute of Internal Auditors, « GTAG-Information Security
Governance », Floride, 2010, 22 p.
n  Beaver, K., « Why Good Security Testing Tools Matter »,
Internal Auditor, octobre 2007
n  Bowen, P. et al., « Information Security Guide for Government
Executives », NIST, MD, 2007,19 p.
n  Bowen et al., « Information Security Handbook: A Guide for
Managers », NIST, MD, 2006, 178 p.
n  Buckley, S., « Data Classification », Internal Auditor, mars 2011
n  Buckley, S., « Is Security Falling by the Wayside? », Internal
Auditor, juin 2012
n  Internal Auditors, « Tone at the Top », no 53, décembre 2011
87

Contenu connexe

Tendances

Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
PECB
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
PECB
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
PECB
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
PRONETIS
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
Comsoce
 
ISO 27001
ISO 27001ISO 27001
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
soumaila Doumbia
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
dazaiazouze
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
OUSMANESoumailaYaye
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
eGov Innovation Center
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Sébastien Rabaud
 

Tendances (20)

Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
Sensibilisation sur la cybersécurité
Sensibilisation sur la cybersécuritéSensibilisation sur la cybersécurité
Sensibilisation sur la cybersécurité
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
Politiques Sécurité de l'Information - [SCASSI] [Club 27001] [TLS] [2013]
 

En vedette

Freud et l'inconscient
Freud et l'inconscientFreud et l'inconscient
Freud et l'inconscientAbdoulaye Ly
 
Html et xhtml
Html et xhtmlHtml et xhtml
Html et xhtml
Fred Colantonio
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesElodie Heitz
 
Interfaces adaptatives. Agents adaptatifs.
Interfaces adaptatives. Agents adaptatifs.Interfaces adaptatives. Agents adaptatifs.
Interfaces adaptatives. Agents adaptatifs.
Marius Butuc
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Alaaeddine Tlich
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
CHAOUACHI marwen
 
Ds GD4100
Ds GD4100Ds GD4100
Présentation DLEDS
Présentation DLEDSPrésentation DLEDS
Présentation DLEDS
Detas SpA - Dleds division
 
Detas dleds streetlight esp
Detas dleds streetlight espDetas dleds streetlight esp
Detas dleds streetlight esp
Detas SpA - Dleds division
 
Projeto Sun SPOT
Projeto Sun SPOTProjeto Sun SPOT
Projeto Sun SPOT
Elenilson Vieira
 
Tutoriais para criação e edição de gráficos no r
Tutoriais para criação e edição de gráficos no rTutoriais para criação e edição de gráficos no r
Tutoriais para criação e edição de gráficos no r
Ana Maria Souza
 
Led Highlights 2010
Led Highlights 2010Led Highlights 2010
Led Highlights 2010
willemvanhoorn
 
Gryphon 4100 healthcare
Gryphon 4100 healthcareGryphon 4100 healthcare
Gryphon 4100 healthcare
ScanSource Brasil
 
Graficas en matlab
Graficas  en matlabGraficas  en matlab
Graficas en matlab
Alexandrius Venegas
 
Anforderungen an Tunable White – Beispiel Lenbachhaus München
Anforderungen an Tunable White – Beispiel Lenbachhaus MünchenAnforderungen an Tunable White – Beispiel Lenbachhaus München
Anforderungen an Tunable White – Beispiel Lenbachhaus München
Lea-María Louzada
 
Philips - LED in der Praxis
Philips - LED in der PraxisPhilips - LED in der Praxis
Philips - LED in der Praxisineltec 2011
 
Estadística con Lenguaje R: Sesión 9
Estadística con Lenguaje R: Sesión 9Estadística con Lenguaje R: Sesión 9
Estadística con Lenguaje R: Sesión 9
Luis Fernando Aguas Bucheli
 
Empreendedor - palestra realizada no Instituto _ Ibratep _ palestrante _ ...
Empreendedor -  palestra realizada no Instituto  _  Ibratep _  palestrante _ ...Empreendedor -  palestra realizada no Instituto  _  Ibratep _  palestrante _ ...
Empreendedor - palestra realizada no Instituto _ Ibratep _ palestrante _ ...
JP Jeronymo
 

En vedette (20)

Freud et l'inconscient
Freud et l'inconscientFreud et l'inconscient
Freud et l'inconscient
 
Html et xhtml
Html et xhtmlHtml et xhtml
Html et xhtml
 
Ids
IdsIds
Ids
 
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiquesSécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
Sécurisation d’un patrimoine d’entreprise - méthodologie et bonnes pratiques
 
Interfaces adaptatives. Agents adaptatifs.
Interfaces adaptatives. Agents adaptatifs.Interfaces adaptatives. Agents adaptatifs.
Interfaces adaptatives. Agents adaptatifs.
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Ds GD4100
Ds GD4100Ds GD4100
Ds GD4100
 
Présentation DLEDS
Présentation DLEDSPrésentation DLEDS
Présentation DLEDS
 
Detas dleds streetlight esp
Detas dleds streetlight espDetas dleds streetlight esp
Detas dleds streetlight esp
 
Projeto Sun SPOT
Projeto Sun SPOTProjeto Sun SPOT
Projeto Sun SPOT
 
Tutoriais para criação e edição de gráficos no r
Tutoriais para criação e edição de gráficos no rTutoriais para criação e edição de gráficos no r
Tutoriais para criação e edição de gráficos no r
 
Présentation LED par Megaman
Présentation LED par MegamanPrésentation LED par Megaman
Présentation LED par Megaman
 
Led Highlights 2010
Led Highlights 2010Led Highlights 2010
Led Highlights 2010
 
Gryphon 4100 healthcare
Gryphon 4100 healthcareGryphon 4100 healthcare
Gryphon 4100 healthcare
 
Graficas en matlab
Graficas  en matlabGraficas  en matlab
Graficas en matlab
 
Anforderungen an Tunable White – Beispiel Lenbachhaus München
Anforderungen an Tunable White – Beispiel Lenbachhaus MünchenAnforderungen an Tunable White – Beispiel Lenbachhaus München
Anforderungen an Tunable White – Beispiel Lenbachhaus München
 
Philips - LED in der Praxis
Philips - LED in der PraxisPhilips - LED in der Praxis
Philips - LED in der Praxis
 
Estadística con Lenguaje R: Sesión 9
Estadística con Lenguaje R: Sesión 9Estadística con Lenguaje R: Sesión 9
Estadística con Lenguaje R: Sesión 9
 
Empreendedor - palestra realizada no Instituto _ Ibratep _ palestrante _ ...
Empreendedor -  palestra realizada no Instituto  _  Ibratep _  palestrante _ ...Empreendedor -  palestra realizada no Instituto  _  Ibratep _  palestrante _ ...
Empreendedor - palestra realizada no Instituto _ Ibratep _ palestrante _ ...
 

Similaire à La sécurité de l’information et les auditeurs internes

Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
PECB
 
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
Asmae Rabhi
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
PECB
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
ssuserc72852
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
Alain Huet
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
Arsène Ngato
 
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Morkfromork
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
Agoralink
 
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
Jean-Marc PROVENT
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
ISACA Chapitre de Québec
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Ulg cours 5 rh et sécurité
 Ulg cours 5 rh et  sécurité  Ulg cours 5 rh et  sécurité
Ulg cours 5 rh et sécurité
Prof. Jacques Folon (Ph.D)
 
Offre dqm et reporting
Offre dqm et reportingOffre dqm et reporting
Offre dqm et reporting
Frédéric Cordel
 
L’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaireL’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaire
Didier Labonte
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
saadbourouis2
 

Similaire à La sécurité de l’information et les auditeurs internes (20)

Presentation club qualite
Presentation club qualitePresentation club qualite
Presentation club qualite
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
 
Défis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’informationDéfis, enjeux et solutions de la GRC en sécurité de l’information
Défis, enjeux et solutions de la GRC en sécurité de l’information
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04Biométrie et sécurité de l'information aapi avril 2014 v 15 04
Biométrie et sécurité de l'information aapi avril 2014 v 15 04
 
Cyber Sécurite et E-réputation
Cyber Sécurite et E-réputationCyber Sécurite et E-réputation
Cyber Sécurite et E-réputation
 
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
WEBINAR : APPRENEZ A MAITRISER LES QUESTIONNAIRES RGPD POUR GAGNER DES MARCHE...
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Ulg cours 5 rh et sécurité
 Ulg cours 5 rh et  sécurité  Ulg cours 5 rh et  sécurité
Ulg cours 5 rh et sécurité
 
Offre dqm et reporting
Offre dqm et reportingOffre dqm et reporting
Offre dqm et reporting
 
L’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaireL’implantation d’un système de gestion documentaire
L’implantation d’un système de gestion documentaire
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
 

Plus de ISACA Chapitre de Québec

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
ISACA Chapitre de Québec
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
ISACA Chapitre de Québec
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
ISACA Chapitre de Québec
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
ISACA Chapitre de Québec
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
ISACA Chapitre de Québec
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
ISACA Chapitre de Québec
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
ISACA Chapitre de Québec
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
ISACA Chapitre de Québec
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
ISACA Chapitre de Québec
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
ISACA Chapitre de Québec
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
ISACA Chapitre de Québec
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
ISACA Chapitre de Québec
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
ISACA Chapitre de Québec
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
ISACA Chapitre de Québec
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
ISACA Chapitre de Québec
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
ISACA Chapitre de Québec
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
ISACA Chapitre de Québec
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauISACA Chapitre de Québec
 

Plus de ISACA Chapitre de Québec (20)

ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016ISACA Chapitre de Québec 2016
ISACA Chapitre de Québec 2016
 
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
Jérôme Kerviel. Le rôle de la GIA corporative dans la plus grande fraude fina...
 
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy ChiassonOracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
Oracle Identity Management : Sécurisation de l’entreprise étendue – Guy Chiasson
 
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike BertholdCA Symposium GIA Québec - CA Identity Suite - Mike Berthold
CA Symposium GIA Québec - CA Identity Suite - Mike Berthold
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
 
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu RoseauBrainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
Brainwave - Smposium GIA - Québec - Jacob Verret, Mathieu Roseau
 
L'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David HenrardL'offre d'ISACA en matière de GIA - David Henrard
L'offre d'ISACA en matière de GIA - David Henrard
 
L'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge LapointeL'innovation systématique en GIA - Serge Lapointe
L'innovation systématique en GIA - Serge Lapointe
 
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude VigeantLa GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
La GIA en 2015 - Du principe à la pratique - Bruno Guay, Claude Vigeant
 
Identification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry BrissetIdentification sur Internet - Login social - Thierry Brisset
Identification sur Internet - Login social - Thierry Brisset
 
20150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-201520150527-Bilan annuel ISACA Québec 2014-2015
20150527-Bilan annuel ISACA Québec 2014-2015
 
L'audit et la gestion des incidents
L'audit et la gestion des incidentsL'audit et la gestion des incidents
L'audit et la gestion des incidents
 
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC IIILes audits des contrôles de sociétés de services SOC I – SOC II – SOC III
Les audits des contrôles de sociétés de services SOC I – SOC II – SOC III
 
Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2Isaca quebec présentation grc-31 mars 2015_site_2
Isaca quebec présentation grc-31 mars 2015_site_2
 
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2Déploiement d'une infrastructure à  clé publique   enjeux et conformité 1.2
Déploiement d'une infrastructure à  clé publique enjeux et conformité 1.2
 
La protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATALa protection de la vie privée à l'heure du BIG DATA
La protection de la vie privée à l'heure du BIG DATA
 
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
La gouvernance de la sécurité et la PRP, ISACA Québec, 17 février 2015
 
Nouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’informationNouveau cadre de gouvernance de la sécurité de l’information
Nouveau cadre de gouvernance de la sécurité de l’information
 
Nouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'informationNouveau cadre de gouvernance de la sécurité de l'information
Nouveau cadre de gouvernance de la sécurité de l'information
 
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseauReprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
Reprenez le contrôle de votre sécurité et chassez les pirates de votre réseau
 

La sécurité de l’information et les auditeurs internes

  • 1. La sécurité de l’information et les auditeurs internes : Positionnement, enjeux et stratégies d’audit pour des résultats efficaces 2 avril 2014
  • 2. 2 Ordre du jour 1.  Présentation des conférenciers 2.  Bases de la sécurité de l’information et enjeux liés à celle-ci 3.  Rôle des responsables de la gouvernance 4.  Dimensions oubliées de la sécurité par les organisations 5.  Stratégies d’audit possibles de la sécurité de l’information : 5.1 Stratégie du haut vers le bas (« top-down ») : évaluation de la gouvernance et de la gestion de la sécurité de l’information, évaluation des risques, revue des processus de gestion de la sécurité, analyse de vulnérabilités spécifiques 5.2 Stratégie du bas vers le haut (« bottom-up ») : tests de scénarios de risques spécifiques, évaluation des vulnérabilités, tests d’intrusion logique et physique, ingénierie sociale, analyse causale des résultats 5.3 Comparaison des deux stratégies (avantages, limites et inconvénients) et présentation des liens entre elles 5.4 Qualifications et outils nécessaires pour les auditeurs internes 6.  Conclusion
  • 4. 1. Présentation des conférenciers n  Jacques Bergeron, CPA, CA, M. Sc, MBA, CISA, CISM, est le vérificateur général de la Ville de Montréal depuis 2009. À ce titre, il coordonne trois directions d’audit, notamment celle qui effectue l’audit des technologies de l’information et des télécommunications. Auparavant, il a été professeur invité à HEC Montréal où il a enseigné, entre autres, le cours de contrôle et sécurité dans le commerce électronique, cours qu’il enseigne toujours d’ailleurs. Il a également œuvré au sein de firmes réputées de professionnels en gestion des risques de l’information (Deloitte, RCGT, KPMG, Groupe conseil GSR) où il a été responsable de mandats complexes reliés à la sécurité de l’information. M. Bergeron cumule plus de 25 années d’expérience dans la vérification et l’évaluation de la sécurité et de contrôles des technologies de l’information. Courriel : jacques.bergeron@bvgmtl.ca n  Robert Masse, CISSP, est conseiller senior en sécurité de l’information et gestion de risques pour sa propre firme Infisec. M. Masse possède plus de 15 années d'expérience dans le conseil en sécurité de l’information et des technologies. Au cours de ces années, il a développé une capacité d’analyse et d’exécution qui lui permet de vulgariser et de communiquer clairement des enjeux de sécurité complexes, de proposer des plans d’action et d’en assurer l’alignement avec les objectifs stratégiques de l’organisation. M. Masse a également œuvré auprès de firmes réputées en sécurité de l’information telles que KPMG et Go Secure. Il participe à divers évènements médiatiques et conférences à travers le monde (RSA, NCFTA, PCI, etc.). Il est d’ailleurs fréquemment cité par les médias comme expert réputé en matière de sécurité de l’information. Courriel : rmasse@infisec.com 4
  • 5. 2. Les bases de la sécurité de l’information et les enjeux liés à celle-ci
  • 6. 2.1 La sécurité de l’information n  Personnel + n  Processus + n  Technologie 6
  • 7. A. LE PERSONNEL q  Les politiques, normes et procédures de sécurité influencent l’attitude des utilisateurs et leur comportement q  De plus, le programme de sensibilisation est également un facteur qui influence l’attitude des utilisateurs q  Les politiques, normes et procédures devraient également : §  Influencer le comportement du personnel informatique §  Améliorer leur façon de faire 2.1 La sécurité de l’information 7
  • 8. B. LES PROCESSUS q  Les politiques, normes et procédures peuvent guider les façons de faire q  Elles constituent des lignes directrices sur ce qui est obligatoire ou non q  Elles permettent d’encadrer les processus de sécurité tels que : n  La création de codes d’accès n  La définition des profils d’accès n  La définition de la protection des serveurs, des répertoires et des ressources n  La journalisation et la revue des activités n  La gestion quotidienne de la sécurité par les intervenants concernés 8 2.1 La sécurité de l’information
  • 9. Cadre normatif Politique corporative Politique 1.1 Introduction, portée et approbation 1.2 Gestion de la sécurité 1.4 Classification de l'information 1.5 Programme de sensibilisation et de formation 1.3 Évaluation des risques et menaces 1.6 Utilisation des actifs 1.7 Définition des termes Organisation et administration de la sécurité Profils d'accès Mots de passe et réactivation des codes d'accès Suivi des incidents Embauche, départ et suivi du personnel Sécurité logique Gestion des accès et utilisation Emplacement des installations et du matériel Contrôle des accès physiques Matériel informatique Sécurité physique Prévention, détection et protection Développement, acquisition et mise en place Contrôle des changements Applications supportées par des fournisseurs extermes Développement, maintenance et mise en place des systèmes Horaires, calendriers et planification Mesures de manipulation des rapports Exploitation Chiffrement et transmission sécuritaire Gestion des accès à distance et mécanisme d'authentification Utilisation du courrier électronique Utilisation de l'Internet Gestion des changements Réseau et télématique Gestion des logiciels/ Droits d'auteur Virus Utilisation de portatifs Micro- informatique Relève informatique Copies de sauvegarde Relève en cas de désastre Politiques fonctionnelles Normes Procédure Procédure Procédure Procédure Procédure Procédure Procédure Procédure Formulaire Formulaire Formulaire Formulaire Formulaire Formulaire Formulaire Formulaire ProcéduresFormulaires Guide de référence technique Guide de référence technique Guide de référence technique Guide de référence technique Guide de référence technique Guide de référence technique Guide de référence technique Guide de référence technique Guides 9
  • 10. C. LES TECHNOLOGIES q  Choix et configuration des équipements q  Les politiques, normes et procédures influencent la qualité de la sécurité des implantations technologiques §  Par exemple, des guides de configuration technique pour chaque type de plate- forme permettent d’assurer une standardisation des implantations 10 2.1 La sécurité de l’information
  • 11. Analyse des menaces Risques intolérables État de la situation actuelle Adéqua tion Plan directeur Classification des actifs Mission organisationnelle Normes et procédures à implanter Outils techniques Manières de faire et gestion de la sécurité 11
  • 12. 2.2 La relation entre menaces, impacts, vulnérabilités et risque Menace Vulnérabilités dans les contrôles Faiblesse de contrôle Arrivée du risque ACTIF INFORMATIONNEL Perte de confidentialité Perte de disponibilité Perte d’intégrité 12
  • 13. Correction des contrôles Maîtrise du risque Risque résiduel acceptable ou non Correction 13 2.2 La relation entre menaces, impacts, vulnérabilités et risque ACTIF INFORMATIONNEL Perte de confidentialité Perte de disponibilité Perte d’intégrité Menace
  • 15. §  Étapes qui permettent d’attribuer à chaque actif informationnel (document ou composante) qui soutient le processus d’affaires un libellé q  qui reflète l’importance de l’actif informationnel pour la réalisation de la mission de l’organisation et du processus d’affaires §  La classification des actifs s’effectue en fonction des processus d’affaires q  …en tenant compte de l’importance de chaque actif 15 2.3 Le processus de classification
  • 16. n  La classification s’effectue sur trois aspects: ¨  La disponibilité ¨  L’intégrité ¨  La confidentialité n  Il s’agit de déterminer quels seraient les impacts d’une perte d’intégrité, de disponibilité et de confidentialité liée à l’actif pour l’organisation, en particulier: ¨  Sur la mission ¨  Sur l’image de l’organisme (réputation, confiance) ¨  Sur la situation financière (pertes de revenus, dépenses additionnelles) ¨  Sur la sécurité des usagers et des employés (atteinte aux droits et libertés) ¨  Sur la compétitivité ¨  Sur les opérations (perturbations) 2.3 Le processus de classification
  • 17. LES COTES DE CLASSIFICATION n Non classifiée n Sensible mais non classifiée n Confidentielle n Secrète n Ultrasecrète LIMITES? 17 2.3 Le processus de classification
  • 18. 2.3 Qu’est-ce qu’un actif informationnel On retient deux notions: Document et composantes: DOCUMENT: n  Document papier ¨  Formulaires manuels ¨  Rapports manuels ¨  Rapports/formulaires produits par le système n  Document électronique ¨  Enregistrement dans un fichier PEUVENT ÊTRE REGROUPÉS DANS UN « BLOC D’INFORMATION » Contenu
  • 19. 2.3 Qu’est-ce qu’un actif informationnel On retient deux notions: Document et composantes: COMPOSANTES: n  Qui supportent le document papier ¨  Classeur ¨  Salle physique où sont situés les documents n  Qui supportent le document électronique ¨  Base de données ¨  Système d’application ¨  Systèmes d’exploitation et utilitaire ¨  Réseaux de télécommunication ¨  Salles d’équipement
  • 20. 2.3 Préparation à l’exercice de classification n  Quels sont les détenteurs principaux (ou PROPRIÉTAIRE DE L’INFORMATION)? ¨  Un détenteur principal est le premier responsable de l’information manipulée dans son unité administrative ¨  Comment les reconnaître? Qui peut autoriser le changement d’un système d’information? Qui peut autoriser la divulgation d’une information? Qui peut approuver les accès à une information ou une fonctionnalité d’un système?
  • 21. 2.3 Prise de l’inventaire des actifs informationnels n  La meilleure façon: Systématisation n  Quels sont les actifs informationnels les plus importants pour chacun des processus d’affaires? n  Donc: ¨  Comprendre la chaîne de traitement peut aider à identifier les actifs informationnels n  (documents et composantes) ¨  Inventaire des documents et des composantes: ¨  Description graphique ou narrative du processus d’affaires ¨  Tenir compte de l’entreposage des documents dans les SERVEURS ET fichiers de données ¨  Cet inventaire doit être complet et systématique
  • 22. LES CRITÈRES D’IMPACT n Perte financière ou d’opportunité n Aspects légaux, contractuels n Perte de productivité n Non-respect d’engagements n Détérioration de la qualité de service n Perte de confiance des clients n Atteinte à la sécurité physique des personnes n Perception médiatique négative 22 2.3 Le processus de classification
  • 23. Niveau 1 Bas : impact non significatif Incidences minimales Limitées à un secteur administratif Incidences d’ordre administratif Aucun impact sur l’image ou la mission Niveau 2 Moyen : impact limité à un secteur Conséquences mineures sur des tiers Incidences sur l’image, le fonctionnement et les opérations d’un secteur Impact mineur sur la mission Niveau 3 Élevé : impact grave Incidences sur l’établissement et les tiers Incidences sérieuses Dommages sérieux sur la mission Manquement aux obligations Niveau 4 Très élevé : impact très grave Conséquences très sérieuses Incidences graves sur la continuité d’opération et sur les tiers Viabilité de l’organisation mise en péril Conséquences sur le plan humain ou financier 23 2.3 Le processus de classification
  • 24. LA DISPONIBILITÉ DE L’INFORMATION n L’information ou un système doit être accessible et utilisable en temps voulu n Comprend la notion de performance (dégradation) 24 2.3 Le processus de classification
  • 25. Disponibilité Niveau 1: IMPACT FAIBLE Acceptable que le système ne soit pas disponible pendant une période prolongée (+48h) Documents, formulaires, listes d’employés Statistiques d’utilisation de processus secondaires Niveau 2: IMPACT MOYEN La période de non disponibilité pourrait être élevée mais au-delà de cette période, les impacts seraient notables (4-48h) Système de grand livre, reporting au ministère, procédures internes, documents administratifs, comptes à payer, courriel, site Internet, système de prise de rendez-vous Niveau 3: IMPACT GRAVE Une courte période d’indisponibilité est permise mais au-delà de cette période, la mission serait sérieusement affectée (moins de 4 h) Nutrition, index patient, et services auxiliaires aux soins, tels la pharmacie, la radiologie Paiement aux bénéficiaires Niveau 4: IMPACT TRÈS GRAVE Aucune période d’indisponibilité n’est permise Dossier patient électronique, infrastructure des services essentiels, système de mesures d’urgence, système de pagettes et de communication interne
  • 26. L’INTÉGRITÉ DE L’INFORMATION n Propriété d’une information ou d’une technologie qui n’est ni modifiée, ni altérée, ni détruite d’une façon erronée ou non autorisée n L’information doit être complète, exacte et autorisée. Elle doit être non modifiable et non altérable q  L’information doit être exacte (conforme) à ce qu’elle doit représenter q  L’information doit être complète (intégrale/exhaustive) n  Tous les documents sont présents n  L’ensemble des champs d’information nécessaires sont complétés (Les contrôles d’application permettent habituellement d’atteindre ces objectifs) q  L’information inscrite/enregistrée doit être autorisée n Autant pour les transactions que les dépôts de données n L’intégrité doit être maintenue dans le temps 26 2.3 Le processus de classification
  • 27. Intégrité Niveau 1: IMPACT FAIBLE Les informations peuvent être compromises sans répercussions Organigrammes, listes des employés, rapports internes Niveau 2: IMPACT MOYEN Les informations pourraient être compromises mais des impacts limités liés à l’image Rapports d’activités au ministère, statistiques d’utilisation, informations de planification, erreurs dans le système des paiements Niveau 3: IMPACT GRAVE Si les informations seraient compromises, des impacts significatifs sur la qualité des soins et sur l’image de l’établissement Erreurs dans le système des menus, erreurs dans le système des commandes, fraudes financières Niveau 4: IMPACT TRÈS GRAVE La santé et la sécurité des personnes est compromise. Conséquences juridiques et médicales Informations médicales de première ligne. Information sur les allergies Systèmes de distribution en eau potable Systèmes de transfert de fonds électronique/courtage bancaire
  • 28. LA CONFIDENTIALITÉ DE L’INFORMATION n Propriété que possède une donnée ou une information dont l’accès et l’utilisation sont réservés à des personnes ou entités désignées et autorisées n L’information détenue ou conservée par une organisation ne doit pas être accessible ou divulguée aux personnes non autorisées ou à des fins non prévues q  La divulgation de l’information est effectuée à des personnes autorisées selon les règles établies par l’organisation n Droits à la vie privée q  L’information personnelle doit être protégée et n’être collectée et servir qu’à des fins strictement limitées 28 2.3 Le processus de classification
  • 29. Confidentialité:Exemple pour le domaine de la santé Niveau 1: IMPACT FAIBLE Information de nature publique. Aucun impact sur la divulgation Documents statistiques généraux Documents publics Niveau 2: IMPACT MOYEN Information de nature interne. Impact limité sur l’image de l’établissement Documents internes Profilage de la clientèle Niveau 3: IMPACT GRAVE Information assujettie aux lois. Impact important sur la réputation des individus et de l’établissement Information stratégique Documents contenants des renseignements personnels Documents sur les soins et traitements Rapports d’enquêtes Documents sur le personnel (salaires et autres) Renseignements fiscaux Niveau 4: IMPACT TRÈS GRAVE Information assujettie aux lois. Impact très important sur la réputation des individus et établissement Renseignements sur des diagnostics médicaux particuliers Renseignements sur le passé d’un patient
  • 30. Actions délibérées Personnes de l’intérieur Personnes de l’extérieur Source de menaces Conséquences Actions accidentelles Personnes de l’intérieur Personnes de l’extérieur Problèmes technologiques Défauts d’équipement Défauts de logiciel Code malicieux Problèmes environnementaux Alimentation électrique, bris de conduite d’eau, incendie ACTIFS Divulgation ou visionnement d’information confidentielle Modification non-autorisée ou erronée d’information sensible Destruction ou perte d’information importante Accès interrompu à des systèmes critiques Désastres naturels Inondation, tremblement de terre 30 2.4 Les types de menaces et les conséquences
  • 31. n  Menaces à Contrôles q  Contrôles structurels n  Ce qu’on appelle les CONTRÔLES ORGANISATIONNELS q  Multiniveaux q  Ne sont pas rattachés à des risques spécifiques q  Contrôles spécifiques n  Ce qu’on appelle les CONTRÔLES OPÉRATIONNELS q  Peuvent être opérationnels ou techniques q  Rattachés à un ou des blocs d’information, donc à des risques spécifiques n  Menaces à Contrôles affectant la potentialité de matérialisation de la menace n  Menaces à Contrôles réduisant les impacts de la menace une fois celle-ci survenue 31 2.5 Logique derrière la démarche
  • 32. Démarche d’élaboration n  Contrôles affectant la POTENTIALITÉ ¨ MESURES DE DISSUASION n  ÉVITENT la concrétisation de la menace ¨ MESURES DE PRÉVENTION n  EMPÊCHENT l’aboutissement d’une agression ¨ MESURES DE PROTECTION n  LIMITENT l’ampleur de la détérioration
  • 33. Démarche d’élaboration n  Contrôles réduisant l’impact (une fois la matérialisation de la menace) ¨ MESURES PALLIATIVES n  RÉPARENT et ATTÉNUENT les dégats ¨ MESURES DE RÉCUPÉRATION n  LIMITENT les pertes
  • 34. n  Une vulnérabilité est : q  Une faiblesse de mesure de contrôle q  L’absence de mesure de contrôle visant à prévenir, détecter ou corriger la matérialisation de la menace n  Par exemple : q  Une menace d’intrusion de l’externe est probable et son impact potentiel est élevé n  Un contrôle préventif « A » serait la présence d’un mur coupe- feu n  Un contrôle détectif « B » serait la présence d’un outil de détection des intrusions n  Un contrôle correctif « C » serait la présence d’une norme et d’une procédure de gestion des incidents q  L’absence d’un ou de plusieurs de ces contrôles pourrait constituer une vulnérabilité 34 2.6 Identification des vulnérabilités
  • 35. 2.6 Identification des vulnérabilités Vulnérabilité Source de la menace Action effectuée par la menace Les codes utilisateurs d’employés qui ont quitté ne sont pas détruits Un employé qui a quitté l’organisation Accès à distance au réseau de l’organisation et aux données confidentielles Le garde-barrière (firewall) permet d’effectuer un Telnet sur un serveur sur lequel le compte invité n’est pas désactivé Personnes non autorisées de différents types (employés qui ont quitté, hackers, cybercriminels) Utilisation du service Telnet de l’extérieur et accès à des fichiers de l’organisation en utilisant le compte invité ou en escaladant avec des privilèges plus élevés Le fournisseur du système d’exploitation identifie des vulnérabilités mais l’organisation n’installe pas les correctifs suggérés Personnes non autorisées de différents types (employés qui ont quitté, hackers, cybercriminels) Exploitation depuis l’externe des vulnérabilités du système d’exploitation et accès à des fichiers sensibles 35
  • 36. 2.6 Les étapes de la gestion du risque n  Classification des actifs informationnels n  Compréhension des étapes et traitements du système d’information ¨  Diagramme technique et fonctionnel ¨  Décomposition en activités et étapes n  Identification des menaces (événements potentiels) pour chaque activité en relation avec les systèmes critiques de l’entreprise ¨  Menaces internes (erreurs, actes volontaires) ¨  Menaces externes (erreurs, actes volontaires) n  Revue des mesures actuelles de protection n  Évaluation des risques résiduels n  Plan d’action pour les écarts
  • 37. 2.7 Les zones de sécurité réseau 37
  • 38. 2.7 Les zones de sécurité réseau - la zone démilitarisée n  Zone tampon d’un réseau d’entreprise, située entre le réseau local et Internet, derrière le garde-barrière, qui correspond à un réseau intermédiaire regroupant des serveurs publics (Web, courriel…) et dont le but est d’éviter toute connexion directe avec le réseau interne et de prévenir celui-ci de toute attaque extérieure depuis le Web 38
  • 39. n  Trois zones peuvent être créées : q  Zone 1 : Internet et le milieu extérieur à haut risque q  Zone 2 : la DMZ à risque modéré n  Où même il est possible de créer des sous-zones avec les serveurs (garde- barrières embarqués) q  Zone 3 : le réseau local sécurisé 39 2.7 Les zones de sécurité réseau
  • 40. 40 2.7 Les zones de sécurité réseau
  • 41. 3. Le rôle des responsables de la gouvernance
  • 42. 42 3.1 Rôles et responsabilités Rôle Responsabilités Haute direction Détient la responsabilité ultime de la sécurité de l’information. Définit la politique de sécurité et la vision en matière de sécurité. Définit la culture de sécurité. Alloue les ressources humaines et financières. Fais la promotion de la sécurité Officier de la sécurité de l’information Détient la responsabilité fonctionnelle de la sécurité de l’information pour l’ensemble de l’organisation Le propriétaire de l’information Détermine la classification des informations dont il est responsable Gardien des données (Custodian) Assure la protection logique et physique de l’information Utilisateur Exécute les instructions de la sécurité de l’information durant son travail quotidien Auditeur Fait l’audit de l’état de la sécurité de l’information et rapporte les anomalies importantes à la haute direction
  • 43. 3.2 La reddition de comptes de l’auditeur interne n  L’auditeur interne a la responsabilité de donner l’assurance à la direction de l’atteinte des objectifs de sécurité et de mentionner les menaces/ vulnérabilités qui peuvent causer préjudice à l’organisation n  Standard IPPF 2130.A1 n  Déterminer jusqu’à quel niveau l’auditeur doit descendre (portée de l’intervention) en fonction des ressources dont il dispose 43
  • 44. 4. Les dimensions oubliées de la sécurité par les organisations
  • 45. 4. Les dimensions oubliées n  La nécessité de considérer la sécurité de l’information à de multiples niveaux : organisationnel, humain, technique, physique n  Le fait de penser « sécurité » lors du développement d’un système n  La sécurité des documents papier n  La sensibilisation des utilisateurs n  Le rôle du propriétaire de l’information 45
  • 46. 5. Les stratégies d’audit possibles de la sécurité de l’information
  • 47. 5.1 La stratégie du haut vers le bas
  • 48. 5.1 La stratégie du haut vers le bas 48 Organisation de la sécurité • Positionnement • Gouvernance Gestion de la sécurité • Politiques • Normes • Procédures Programme de sensibilisation Planification de la sécurité Contrôles organisationnels
  • 49. 49 Contrôles spécifiques Bloc d’information : Dossier patient électronique D: 4, I: 4, C: 4 5.1 La stratégie du haut vers le bas Organisation de la sécurité • Positionnement • Gouvernance Gestion de la sécurité • Politiques • Normes • Procédures Programme de sensibilisation Planification de la sécurité Contrôles organisationnels
  • 50. 50 Couche documents physiques Éléments à considérer : • Protection des documents sensibles • Archivage • Accès physiques aux documents • Transport interne et externe des documents • Disposition des documents • Etc. 5.1 La stratégie du haut vers le bas Organisation de la sécurité • Positionnement • Gouvernance Gestion de la sécurité • Politiques • Normes • Procédures Programme de sensibilisation Planification de la sécurité Contrôles organisationnels Contrôles spécifiques Bloc d’information : Dossier patient électronique D: 4, I: 4, C: 4
  • 51. 51 Couche documents physiques Couche base de données Éléments à considérer : • Codes d’accès privilégiés • Protection des tables sensibles • Options et paramètres de sécurité activés • Configuration sécuritaire de la base de données • Administration de la BD 5.1 La stratégie du haut vers le bas Organisation de la sécurité • Positionnement • Gouvernance Gestion de la sécurité • Politiques • Normes • Procédures Programme de sensibilisation Planification de la sécurité Contrôles organisationnels Contrôles spécifiques Bloc d’information : Dossier patient électronique D: 4, I: 4, C: 4
  • 52. 52 Couche base de données Couche application Éléments à considérer : • Codes d’accès privilégiés • Tables d’accès et séparation des fonctions • Options de sécurité activées et valeurs • Paramétrage de l’application • Contrôle des changements 5.1 La stratégie du haut vers le bas Organisation de la sécurité • Positionnement • Gouvernance Gestion de la sécurité • Politiques • Normes • Procédures Programme de sensibilisation Planification de la sécurité Contrôles organisationnels Contrôles spécifiques Couche documents physiques Bloc d’information : Dossier patient électronique D: 4, I: 4, C: 4
  • 53. 53 Couche serveur Éléments à considérer : • Codes d’accès privilégiés • Configuration sécuritaire du serveur (ports ouverts, services actifs) • Options de sécurité activées et valeurs • Mise à jour du système d’exploitation (patches, version) • Contrôle des changements • Copies de sauvegarde, plan de reprise, manipulation médias • Anti-virus, etc. 5.1 La stratégie du haut vers le bas Organisation de la sécurité • Positionnement • Gouvernance Gestion de la sécurité • Politiques • Normes • Procédures Programme de sensibilisation Planification de la sécurité Contrôles organisationnels Contrôles spécifiques Bloc d’information : Dossier patient électronique D: 4, I: 4, C: 4Couche documents physiques Couche base de données Couche application
  • 54. 54 Couche réseau interne/externe Éléments à considérer : • Codes d’accès privilégiés • Installation et configuration sécuritaires des équipements réseau (routeurs, sans-fil, etc.) • Règles du garde-barrière • Ports ouverts, services actifs • Options de sécurité activées et valeurs • Etc. 5.1 La stratégie du haut vers le bas Organisation de la sécurité • Positionnement • Gouvernance Gestion de la sécurité • Politiques • Normes • Procédures Programme de sensibilisation Planification de la sécurité Contrôles organisationnels Contrôles spécifiques Couche documents physiques Couche base de données Couche application Couche serveur Bloc d’information : Dossier patient électronique D: 4, I: 4, C: 4
  • 55. 55 Couche réseau interne/externe Couche sécurité physique Éléments à considérer : • Accès à la salle informatique • Configuration de la salle informatique • Accès au bâtiment • Protection par zone et contrôles d’accès physiques aux locaux • Surveillance, alarme, etc. 5.1 La stratégie du haut vers le bas Organisation de la sécurité • Positionnement • Gouvernance Gestion de la sécurité • Politiques • Normes • Procédures Programme de sensibilisation Planification de la sécurité Contrôles organisationnels Contrôles spécifiques Couche documents physiques Couche base de données Couche application Couche serveur Couche réseau interne/externe Bloc d’information : Dossier patient électronique D: 4, I: 4, C: 4
  • 56. 56 Plan de relève informatique Plan de continuité des affaires Éléments à considérer : • Présence d’un plan • Caractère adéquat du plan (Analyse de risques et d’impacts) • Tests périodiques du plan • Mise à jour du plan • Etc. 5.1 La stratégie du haut vers le bas Organisation de la sécurité • Positionnement • Gouvernance Gestion de la sécurité • Politiques • Normes • Procédures Programme de sensibilisation Planification de la sécurité Contrôles organisationnels Contrôles spécifiques Couche documents physiques Couche base de données Couche serveur Couche sécurité physique Bloc d’information : Dossier patient électronique D: 4, I: 4, C: 4 Couche réseau interne/externe Couche application
  • 57. 5.2 La stratégie du bas vers le haut (ou la stratégie tactique)
  • 58. 58 5.2 La stratégie du bas vers le haut MISE EN CONTEXTE n Notre définition n Différence entre chaque type de stratégies n La stratégie ascendante (bottom-up) = meilleur rapport coûts-avantages n Ce que la stratégie offre n Ce que la stratégie n’offre pas : q  Évaluation exhaustive q  Analyse de la méthodologie et des politiques q  Stratégie descendante (top-down) n Idéale pour budget limité n Permet des résultats rapides et opérationnels n Évalue scénarios de risques/menaces spécifiques
  • 59. 59 Stratégie du bas vers le haut • Analyse des vulnérabilités • Tests d’intrusion physique et logique Plan de relève informatique Plan de continuité des affaires Contrôles spécifiques Couche documents physiques Couche base de données Couche serveur Couche sécurité physique Bloc d’information : Dossier patient électronique D: 4, I: 4, C: 4 Couche réseau interne/externe Organisation de la sécurité • Positionnement • Gouvernance Gestion de la sécurité • Politiques • Normes • Procédures Programme de sensibilisation Planification de la sécurité Contrôles organisationnels Couche application 5.2 La stratégie du bas vers le haut
  • 61. 61 5.2.1 Scénarios de risques DÉFINITION DES RISQUES n Différents types de risques q  Risque pour la confidentialité q  Risque pour l’intégrité q  Risque pour la disponibilité q  Risque pour la réputation (souvent ignoré) n Les risques sont notés sur une échelle de 1 à 25 n Risque = probabilité (1-5) X impact (1-5) n Qu’est-ce qui est le plus important pour la direction de l’entreprise? n Définir les risques de base n Définir les scénarios
  • 62. 62 DÉFINITION DES SCÉNARIOS DE RISQUES n Une fois les risques identifiés, nous développons les scénarios n Les scénarios de risques comprennent : q  Les acteurs (employés, pirates informatiques) q  Type de menace (malicieuse) q  Évènement (vol, divulgation) q  Actif ou ressource (données personnelles) 5.2.1 Scénarios de risques
  • 63. 63 EXEMPLES n Est-ce que quelqu’un peut fournir quelques exemples pour son organisation? 5.2.1 Scénarios de risques
  • 64. 64 EXEMPLES n Quelques exemples avec lesquels j’ai travaillé 5.2.1 Scénarios de risques
  • 66. 66 5.2.2 Évaluation des vulnérabilités n  Qu’est-ce qu’une évaluation des vulnérabilités n  Qu’est-ce que cet outil peut offrir ou non n  L’analyse de vulnérabilités est la première étape pour évaluer la sécurité de l’infrastructure n  Pas de « piratage », seulement de l’analyse n  Offre une vue d’ensemble n  Idéale comme première évaluation
  • 67. 67 5.2.2 Évaluation des vulnérabilités n  Méthodologie de base q  Nous identifions les actifs et les ressources qui sont importants pour l’organisation q  Nous les évaluons en utilisant divers outils techniques n  Exemples de résultats : q  Mot de passe faible ou par défaut q  Erreurs de configuration q  Absence de correctifs de sécurité (patch)
  • 68. Serveur webServeur web Internet Serveur Serveur Serveur Serveur Serveur de vérification 68 5.2.2 Évaluation des vulnérabilités
  • 69. 69 5.2.2 Évaluation des vulnérabilités Observations, Recommandations, Risque, Hôte(s),affecté(s), 1, Compte,par,défaut,«,factory,»,de,RuggedOS! ! L’équipement! réseau! possède! un! compte! codé! permanent!qui!possède!un!mot!de!passe!prévisible.! ! Le! dispositif! exécute! RuggedOS! en! utilisant! le! compte! «!factory!»! et! un! mot! de! passe! dérivé! de! l’adresse! matérielle! (MAC)! de! l’appareil! (qui! est! visible! dans! la! bannière! d’authentification! telnet).! Ceci! est! un! cas! classique!de!porte!dérobée.! ! METTRE,À,NIVEAU,LA,VERSION,ACTUELLE, ! Mettre!à!niveau!le!micrologiciel!(firmware)!RuggedOS!à!la! version!la!plus!récente!selon!l’avis!du!fabriquant.! ! http://www.ruggedcom.com/productbulletin/rosK securityKpage/! ! CRITIQUE, 10.0, 1.2.3.4, , 2, Mot, de, passe, par, défaut, du, «,IBM, Baseboard, Management,Controller,», ! L’hôte! semble! exécuter! IBM! Baseboard! Management! Controller! (BMC),! qui! est! utilisé! pour! la! gestion! horsK bande.!Le!client!de!gestion!du!service!est!protégé!par!un! mot!de!passe!par!défaut.!! ! Nom!d’utilisateur!par!défaut!:!USERID! Mot!de!passe!par!défaut!:!PASSW0RD! REMPLACER,LE,MOT,DE,PASSE,PAR,DÉFAUT, ! Remplacer! le! mot! de! passe! par! défaut! par! un! mot! de! passe!complexe.! ! ! CRITIQUE, 10.0, 1.2.3.4, 5.6.7.8, , 3, MS06[040,:,Exécution,de,code,à,distance, ! Une! vulnérabilité! dans! le! service! Serveur! pourrait! permettre!l'exécution!de!code!à!distance.! ! L'hôte! est! vulnérable! à! un! débordement! de! mémoire! tampon!dans!le!service!«!Serveur!»!qui!pourrait!permettre! à! un! attaquant! d'exécuter! du! code! arbitraire! sur! l'hôte! avec!des!privilèges!«!SYSTÈME!».! APPLIQUER,LE(S),CORRECTIF(S), ! Microsoft! a! publié! un! ensemble! de! correctifs! pour! Windows!2000,!XP!et!2003.! ! http://technet.microsoft.com/enK us/security/bulletin/ms06K040! ! CRITIQUE, 10.0, 1.2.3.4,
  • 71. 71 5.2.3 Test d’intrusion n  Le test d’intrusion pousse les choses un peu plus loin n  Lorsqu’une vulnérabilité est découverte, nous l’exploitons pour obtenir un accès n  Il existe deux types de tests d’intrusion : logique et physique
  • 72. 72 5.2.3 Test d’intrusion - logique n  Quatre étapes générales : q  Préparation q  Collecte d’informations et analyse n  Google est votre ami n  Intelligence « open source » q  Détection de vulnérabilités n  Outils réseau n  Outils Web q  Tentative d’intrusion (exploitation) n  Metasploit n  Techniques connues et/ou propriétaires (personnalisées) n  Exemples
  • 73. 73 5.2.3 Test d’intrusion - logique n  Autres outils q  Ingénierie sociale q  Hameçonnage n  Exemples q  Appels téléphoniques q  Courriel d’hameçonnage q  Boîte à outils d’ingénierie sociale
  • 74. 74 5.2.3 Test d’intrusion - physique n  Même concept que les tests logiques n  Le but est de trouver les vulnérabilités ou les failles dans la sécurité physique n  Exploitation des vulnérabilités
  • 75. 75 5.2.3 Test d’intrusion - physique n  Quatre étapes principales q  Préparation q  Collecte d’informations et analyse n  Google maps n  Bing maps n  Rôle foncier n  Qui accède physiquement au bâtiment, surveillance q  Détection de vulnérabilités n  Est-ce que le technicien est mis à l’épreuve? n  Est-ce qu’il y a de la construction dans le bâtiment? n  Est-ce que les gens valident les cartes d’identité? n  Comment les visiteurs sont-ils escortés? n  Est-ce que les cartes d’accès peuvent être dupliquées? n  Est-ce que les gens prennent des pauses pour fumer en empruntant les portes de côté/arrière?
  • 76. 76 5.2.3 Test d’intrusion - physique n  Intrusion q  Exploitation des vulnérabilités découvertes q  Discussion du scénario de test d’intrusion avec le client q  S’assurer que les procédures sont bien définies, par exemple la « carte sortie de prison » q  Exécution des tests sous supervision n  Exemples q  Technicien q  Livreur de pizza q  Mécanicien
  • 77. 5.2.4 Analyse causale des résultats
  • 78. 5.2.4 Analyse causale des résultats 78 Les résultats peuvent vouloir dire : • Manque de sensibilisation • Gouvernance défaillante • Manque de budgets • Manque de structure et de documentation (politiques, normes, procédures) • …d’autres vulnérabilités à prévoir! Plan de relève informatique Plan de continuité des affaires Contrôles spécifiques Couche documents physiques Couche base de données Couche serveur Couche sécurité physique Couche réseau interne/externe Organisation de la sécurité • Positionnement • Gouvernance Gestion de la sécurité • Politiques • Normes • Procédures Programme de sensibilisation Planification de la sécurité Contrôles organisationnels Couche application
  • 79. 79 5.2.4 Analyse causale des résultats LES RÉSULTATS n À quoi s’attendre n Avantages/inconvénients n Il est nécessaire d’adopter une stratégie descendante (top-down) à un certain moment pour obtenir le soutien de la haute direction n De solides recommandations sont nécessaires pour prendre des décisions efficaces n Les recommandations doivent être réalistes pour l’organisation afin qu’elles puissent être mises en place avec succès
  • 80. 80 5.2.4 Analyse causale des résultats LES RÉSULTATS n Exemples q  Le vérificateur général se pointe q  Le client affirme qu’il fait régulièrement des tests et que tout devrait être conforme q  Nous trouvons toujours des problèmes… n  Pourquoi reviennent-ils toujours?
  • 82. 5.3 Comparaison des stratégies Stratégie du haut à bas n Avantages de cette stratégie q  Stratégie complète d’évaluation des vulnérabilités q  Stratégie structurée n Inconvénients de cette stratégie q  Ressources importantes demandées (humaines et monétaires) q  Expertise pointue requise pour chaque couche q  Utilisation de « check-list » q  Résultats peuvent être longs à obtenir Stratégie du bas à haut n Avantages de cette stratégie q  Résultats probants et rapides q  Permet d’offrir des exemples concrets et souvent spectaculaires à la direction q  Permet de sensibiliser davantage le personnel et la direction sur l’importance des vulnérabilités q  Notoriété de l’auditeur rehaussée n Inconvénients de cette stratégie q  Demande des connaissances techniques poussées q  Tient compte uniquement de certaines dimensions de la sécurité, souvent de nature technique 82
  • 83. 5.4 Qualifications et outils nécessaires
  • 84. 5.4.1 Qualifications nécessaires n  Connaissance des concepts de sécurité n  Connaissances techniques q  Réseaux q  Systèmes d’exploitation (Unix, Windows) q  Bases de données (Oracle, SQL Server) q  Applications (SAP, Oracle financiers) n  Habiletés pour effectuer de l’ingénierie sociale n  …plus que simplement des « checklists » 84
  • 85. 5.4.2 Outils nécessaires Outils Sites Internet Insecure.org Plusieurs outils gratuits ou payants de détection de vulnérabilités, craquage de mots de passe, etc. Social Engineering Toolkit (hameçonnage) https://www.trustedsec.com/downloads/social- engineer-toolkit/ Spooftel (Téléphones) http://www.spooftel.com/ Nessus (outil de vérification de vulnérabilité) http://www.tenable.com/products/nessus Acunetix (outil de vérification de vulnérabilité de Web) http://www.acunetix.com/ Metasploit (outil de pénétration) http://www.metasploit.com/ Cain & Abel (outil de pénétration) http://www.oxid.it/cain.html Maltego (outil de recherche) http://www.paterva.com/web6 Cree.py (outil de recherche) http://ilektrojohn.github.io/creepy/ 85
  • 87. Bibliographie n  Institute of Internal Auditors, « GTAG-Information Security Governance », Floride, 2010, 22 p. n  Beaver, K., « Why Good Security Testing Tools Matter », Internal Auditor, octobre 2007 n  Bowen, P. et al., « Information Security Guide for Government Executives », NIST, MD, 2007,19 p. n  Bowen et al., « Information Security Handbook: A Guide for Managers », NIST, MD, 2006, 178 p. n  Buckley, S., « Data Classification », Internal Auditor, mars 2011 n  Buckley, S., « Is Security Falling by the Wayside? », Internal Auditor, juin 2012 n  Internal Auditors, « Tone at the Top », no 53, décembre 2011 87