Le document présente les audits de sécurité techniques, en décrivant leurs objectifs, processus et types d'environnements requis pour leur exécution. Il aborde des scénarios spécifiques d'audit tels que les audits annuels et de pré- acquisition, tout en soulignant l'importance de la confidentialité, de l'intégrité et de la disponibilité des données. Enfin, il traite des enjeux spécifiques aux PME en matière de sécurité et des recommandations éthiques pour les auditeurs.

1. Audits de sécurité techniquesPrésentation et études de casparFrançois Harvey,CISM/CISSP

2. PrésentationAudits de sécurité2François HarveyProfessionnel en sécuritéGestion medsécure (medsecure.ca) Certifié CISM/CISSP/TCSEMembre ISACA

3. DonnéesAudits de sécurité3« Dans les technologies de l'information, une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction, d'un événement, etc. »(source : Wikipédia)

4. Objectifs de la sécurité de l’informationAudits de sécurité4Confidentialité: la donnée doit être limitée aux personnes autoriséesIntégrité : la donnée doit être fiableDisponibilité : la données doit être accessible au moment requis

5. PréalablesAudits de sécurité5Portée: Quelle est la portée des tests (systèmes, méthodes, heures, etc.)Classification: Quels types de données sont hébergés dans les systèmesCatégorisation: Quels sont les besoins en confidentialité, intégrité et disponibilité des données

6. Processus d’auditAudits de sécurité6Règles d’engagementRecherche d’informationBalayageÉnumérationAnalyse de vulnérabilitésExploitation et analyse d’impactDocumentation et présentation du rapport

7. Audit de sécuritéAudits de sécurité7Boîte blanche: l’auditeur a accès aux informations internesBoîte noire: l’auditeur n’a pas accès aux informations internesDouble boîte noire : les ressources de la cible ne sont pas au courant du processus d’audit

8. Premier cas: Audit pré acquisitionAudit de sécurité8Contexte discuté :Une entreprise demande un audit de sécurité dans le cadre de la négociation d’acquisition d’une entreprise similaire

9. Éléments de négociation et planificationDeuxième cas: Audit annuelAudit de sécurité9Contexte discuté :Entreprise soumise à des normes externes

10. Audit de conformité annuel

11. Validation interne et externe

12. Analyse des nouveaux systèmes d’informationsTroisième cas: Qualité et intégrité des donnéesAudit de sécurité10Contexte discuté :Analyse de la sécurité d’un système d’informations

13. Validation de la qualité et de l’intégrité des donnéesQuestions et réponses des groupes précédentsAudit de sécurité11Enjeux des PMESécurité sans-fil

14. Serveur unique accessible de l’externe

15. Peu de procédures et de normes en placeQuestions et réponses des groupes précédentsAudit de sécurité12Enjeux des PMESécurité sans-fil

16. Serveur unique accessible de l’externe