SlideShare une entreprise Scribd logo
Ministère de l’Enseignement Supérieur et de
la Recherche Scientifique
Direction Générale des Etudes Technologiques
Institut Supérieur des Etudes Technologiques de Bizerte
Département Technologies de l'Informatique
Titre du PFE
Audit de Sécurité du Système d’Information
Elaboré par
El Hosni Rawand
Koraani Adem
Encadré par
Mme Asma Zaddem
Mr Mehrez Sdouga
Année universitaire : 2021/2022
1
2
Plan
2 Présentation de l’organisme
3 Audit de sécurité du système d’information
4 Norme ISO 27002
5 Définition de la mission
6 Déroulement de la mission
7 Conclusion
1 Introduction
Introduction
3
L’ extrême importance
de la sécurisation du
système d’information.
le moyen de suivre la sécurité
du SI est d’effectuer un audit.
Les 3 phases de l’audit:
• Pré-audit
• Réalisation d’audit
• Rapport et recommandations
La réalisation d’audit selon un
référentiel bien précis.
Le résultat d’audit est rédigé
dans un rapport d’audit avec les
recommandations adéquates.
La pré-audit est une étude de
système d’information.
Présentation de l’organisme
4
Société américaine d'électronique automobile mondiale.
Installé en Tunisie en 1992.
L'entreprise est implantée dans 27 pays.
la conception et la fabrication de systèmes de climatisation,
d'éclairage et de composants électroniques pour automobiles.
5
Audit de sécurité du système d’information
La sécurité de systéme d’information consiste à protéger les biens et informations les plus précieuses pour
l’entreprise.
 Critères d’évaluations:
Sécurité
Confidentialité Intégrité
Disponibilité Non-répudiation
Audit de sécurité du système d’information
6
• un examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier sa conformité
à des objectifs, à des règles ou à des normes.
La démarche d’audit de sécurité de système d’information:
Préparation de l’audit
Audit organisationnel et physique
Audit technique
Test intrusif
Rapport d’audit
Norme ISO 27002
7
Intitulé « Code de bonnes pratiques pour la
gestion de la sécurité de l'information »
Couvre tous les aspects de la sécurité
de SI
Donne des directives générales sur l'utilisation
de méthodes appropriées pour analyser les
risques pour la sécurité des informations
Evolutif et souple
Norme crédible éprouvée depuis
des années
Maîtrise le côut et le suivi de
système
Définition de la mission
8
Notre mission est un
Audit de sécurité de
système d’information.
ISO 27002 est la norme
appropriée à ce genre
d’audit.
Les recommandations de
l’audit peuvent renforcer le
dossier de l'entreprise pour
avoir une certification TISAX.
TISAX est basée sur le groupe
de travail « VDA-ISA » pour
L'industrie automobile.
9
Déroulement de la mission
Définition de la
mission
2
Préparation
d’outils de travail.
4
Élaboration de
rapport d’audit
Reconnaissance
globale du SI
1 3
Réalisation de l’audit
Déroulement de la mission
Reconnaissance globale du SI
10
Hardware :
• 2 Lignes Internet (FO,FH)
• 2 Routeur (TATA)
• 1 CoreSwitch
• 13 Points d’accès
• 39 Switch d’accès
• 156 Office PC (Laptop et Desktop)
• 200 ShopFloor PC Desktop
• 172 Comptes Utilisateurs
Software :
• Active Directory
• DNS, DHCP
• Raduis
• Monitoring Tools (Putty)
• Network Tools (Forticlient)
• VLAN Management (Solarwinds)
• VLAN ShopFloor (CVI, VB, etc.)
• IPT System (OSBiz)
Sécurité:
• Proxy Zscaler
• Antivirus : McAfee
• GPO (pare-feu)
Déroulement de la mission
Reconnaissance globale du SI
Le périmétre de notre travail se limite à:
 Attribution d’un accés sur un VLAN isolé.
 Les ordinateurs de ce Vlan sont protégés par CISCO ISE et ACL.
 Accés à tous les documents mais avec restriction
d’accès aux documents confidentiels ainsi les documents techniques.
11
Déroulement de la mission
12
Les axes de travail
Préparation d’outils de travail:
Politique de sécurité d’information Organisation de la sécurité de
l’information
Gestion des actifs Gestion des risques
Conformité Gestion des incidents
Gestion d’accès Cryptographie
Déroulement de la mission
13
Préparation d’outils de travail:
La réponse au contrôle est le niveau de maturité de la sécurité de système d’information et évalué selon
un modèle générique à six niveaux préconçu par VDA:
0 : Incomplèt.
1 : Accompli.
2 : Géré.
3 : Fixe.
4 :Prévisible.
5 : Amélioré.
Déroulement de la mission
Réalisation de l’audit
Politique de sécurité d’information
 Apporter à la sécurité de l’information une orientation et un soutien de la part de la
direction, conformément aux exigences métier et aux lois et règlements en vigueur.
14
Les points à vérifier :
• Vérifier l'existence d'une politique de sécurité de système d'information .
• Vérifier si la politique est approuvée par la direction et publiée à tous les utilisateurs du SI.
• Vérifier si la politique est passée en revue par un comité de sécurité.
• Vérifier si la PSI est met en place pour la révision et la mise à jour
Déroulement de la mission
Réalisation de l’audit
Politique de sécurité d’information
Les points à vérifier:
15
 Vérifier l'existence d'une politique de sécurité de système d'information 5
Déroulement de la mission
Réalisation de l’audit
Politique de sécurité d’information
Les points à vérifier:
16
 Vérifier si la politique est approuvée par la direction et publiée à tous les utilisateurs du SI 4
Déroulement de la mission
Réalisation de l’audit
Politique de sécurité d’information
Les points à vérifier:
17
 Vérifier si la politique est passée en revue par un comité de sécurité 5
Déroulement de la mission
Réalisation de l’audit
Politique de sécurité d’information
Les points à vérifier:
18
 Vérifier si la PSI est met en place pour la révision et la mise à jour 3
Déroulement de la mission
Réalisation de l’audit
Politique de sécurité d’information
Résultat global :
19
4.25 : Prévisible
Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
 Identifier les actifs de l’organisme, définir les responsabilités pour une protection appropriée, et
s’assurer que l’information bénéficie d’un niveau de protection approprié conforme à son importance
pour l’organisme.
20
Les points à vérifier:
 Vérifier la cohérence entre l’Inventaire et l’état réel
 Vérifier la mise à jour au niveau de l'inventaire.
Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
21
Les points à vérifier:
 Vérifier la cohérence entre l’Inventaire et l’état réel
Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
22
Les points à vérifier:
 Vérifier la cohérence entre l’Inventaire et l’état réel
Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
23
Les points à vérifier:
 Vérifier la cohérence entre l’Inventaire et l’état réel
2
Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
24
Les points à vérifier:
 Vérifier la mise à jour au niveau d'inventaire.
Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
25
Les points à vérifier:
 Vérifier la mise à jour au niveau d'inventaire.
Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
26
Les points à vérifier:
 Vérifier la mise à jour au niveau d'inventaire.
4
Déroulement de la mission
Réalisation de l’audit
Gestion des actifs
Résultat global :
27
3.08 : Fixe
Déroulement de la mission
Elaboration de rapport d’audit
28
Résultat Global de l’Audit
Résultat de l’audit : 3.46
Déroulement de la mission
Elaboration de rapport d’audit
Recommandation
29
Politique de sécurité de système d’information
• Visteon devrait réviser régulièrement la politique de sécurité pour la mise à jour.
Organisation de sécurité de l’information
• Assurer la sécurité de l’organisme passe par l’établissement et la désignation d’un Responsable de
Sécurité des Systèmes d’Information.
Gestion des actifs
• Visteon doit tenir à jour l’inventaire actifs.
Gestion des risques
• Visteon doit améliorer le niveau de protection contre menace.
Déroulement de la mission
Elaboration de rapport d’audit
Recommandation
30
Conformité
• Les opérations d'audit réalisées pour les données critiques doivent être enregistrées.
Gestion des incidents
• L’organisme doit améliorer le contrôle et la visibilité d’incident au niveau hardware et software.
Gestion d’accès
• Les droits accordés aux utilisateurs dès leur enregistrement doivent être approuvés par les propriétaires des ressources
concernées.
Cryptographie
• Visteon doit élaborer la politique de sécurité propre à la messagerie électronique.
31
Conclusion
Nous espérons que vous êtes plus en moins satisfaites comme nous de notre première expérience en tant qu’auditeurs
et que malgré que le système de sécurité de la société est très développés nous avons réussi à soustraire quelques
défaillances et proposer des recommandations qu’on espéré être prise en considération par la société
32

Contenu connexe

Tendances

Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Bachir Benyammi
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Introduction à OpenStack
Introduction à OpenStackIntroduction à OpenStack
Introduction à OpenStack
AnDaolVras
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Salmen HITANA
 
Conception et Réalisation d'un Data Warehouse
Conception et Réalisation d'un Data WarehouseConception et Réalisation d'un Data Warehouse
Conception et Réalisation d'un Data Warehouse
Abderrahmane Filali
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Rappport PFE 2012 Ghodhbane Hani - OpenSNC
Rappport PFE 2012 Ghodhbane Hani - OpenSNCRappport PFE 2012 Ghodhbane Hani - OpenSNC
Rappport PFE 2012 Ghodhbane Hani - OpenSNC
Ghodbane Heni
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Saadaoui Marwen
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
hpfumtchum
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
PECB
 
PFE::Conception et développement du Back Office d'une application mobile de g...
PFE::Conception et développement du Back Office d'une application mobile de g...PFE::Conception et développement du Back Office d'une application mobile de g...
PFE::Conception et développement du Back Office d'une application mobile de g...
Rami Raddaoui
 
Développement et conception d'une application de générateur des QR Code Dynam...
Développement et conception d'une application de générateur des QR Code Dynam...Développement et conception d'une application de générateur des QR Code Dynam...
Développement et conception d'une application de générateur des QR Code Dynam...
shili khadija
 
Rapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobileRapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobile
Nader Somrani
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
Borel NZOGANG
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
Ammar Sassi
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Alaaeddine Tlich
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
Charif Khrichfa
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...
Chiheb Ouaghlani
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
Ahmed Slim
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
Manassé Achim kpaya
 

Tendances (20)

Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Introduction à OpenStack
Introduction à OpenStackIntroduction à OpenStack
Introduction à OpenStack
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
 
Conception et Réalisation d'un Data Warehouse
Conception et Réalisation d'un Data WarehouseConception et Réalisation d'un Data Warehouse
Conception et Réalisation d'un Data Warehouse
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Rappport PFE 2012 Ghodhbane Hani - OpenSNC
Rappport PFE 2012 Ghodhbane Hani - OpenSNCRappport PFE 2012 Ghodhbane Hani - OpenSNC
Rappport PFE 2012 Ghodhbane Hani - OpenSNC
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
Gestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivitéGestion des incidents de sécurité : de la réactivité à la proactivité
Gestion des incidents de sécurité : de la réactivité à la proactivité
 
PFE::Conception et développement du Back Office d'une application mobile de g...
PFE::Conception et développement du Back Office d'une application mobile de g...PFE::Conception et développement du Back Office d'une application mobile de g...
PFE::Conception et développement du Back Office d'une application mobile de g...
 
Développement et conception d'une application de générateur des QR Code Dynam...
Développement et conception d'une application de générateur des QR Code Dynam...Développement et conception d'une application de générateur des QR Code Dynam...
Développement et conception d'une application de générateur des QR Code Dynam...
 
Rapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobileRapport PFE Développent d'une application bancaire mobile
Rapport PFE Développent d'une application bancaire mobile
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...Etude et mise en place d'une solution d'administration et de supervision Open...
Etude et mise en place d'une solution d'administration et de supervision Open...
 
Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack Mise en place d'une infrastructure basée sur OpenStack
Mise en place d'une infrastructure basée sur OpenStack
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 

Similaire à présentation-PFE.pptx

cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
Jean-Michel Razafindrabe
 
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
Asmae Rabhi
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
CERTyou Formation
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
HajarSalimi
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
Tech4nulls
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
ssuserc72852
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
Khouloud Errachedi
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
Thierry RAMARD
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
CERTyou Formation
 
ISO 27001
ISO 27001ISO 27001
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0
ben3a
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
Alain Huet
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
InformatiqueL22022
 
presentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernacepresentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernace
ssuserc72852
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
Arsène Ngato
 

Similaire à présentation-PFE.pptx (20)

cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
 
SMSI.pdf
SMSI.pdfSMSI.pdf
SMSI.pdf
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
Ageris training 2016
Ageris training 2016Ageris training 2016
Ageris training 2016
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
Chap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptxChap2 gouvernance des SI.pptx
Chap2 gouvernance des SI.pptx
 
presentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernacepresentation iso 27001 EXIGNECE ET gouvernace
presentation iso 27001 EXIGNECE ET gouvernace
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 

présentation-PFE.pptx

  • 1. Ministère de l’Enseignement Supérieur et de la Recherche Scientifique Direction Générale des Etudes Technologiques Institut Supérieur des Etudes Technologiques de Bizerte Département Technologies de l'Informatique Titre du PFE Audit de Sécurité du Système d’Information Elaboré par El Hosni Rawand Koraani Adem Encadré par Mme Asma Zaddem Mr Mehrez Sdouga Année universitaire : 2021/2022 1
  • 2. 2 Plan 2 Présentation de l’organisme 3 Audit de sécurité du système d’information 4 Norme ISO 27002 5 Définition de la mission 6 Déroulement de la mission 7 Conclusion 1 Introduction
  • 3. Introduction 3 L’ extrême importance de la sécurisation du système d’information. le moyen de suivre la sécurité du SI est d’effectuer un audit. Les 3 phases de l’audit: • Pré-audit • Réalisation d’audit • Rapport et recommandations La réalisation d’audit selon un référentiel bien précis. Le résultat d’audit est rédigé dans un rapport d’audit avec les recommandations adéquates. La pré-audit est une étude de système d’information.
  • 4. Présentation de l’organisme 4 Société américaine d'électronique automobile mondiale. Installé en Tunisie en 1992. L'entreprise est implantée dans 27 pays. la conception et la fabrication de systèmes de climatisation, d'éclairage et de composants électroniques pour automobiles.
  • 5. 5 Audit de sécurité du système d’information La sécurité de systéme d’information consiste à protéger les biens et informations les plus précieuses pour l’entreprise.  Critères d’évaluations: Sécurité Confidentialité Intégrité Disponibilité Non-répudiation
  • 6. Audit de sécurité du système d’information 6 • un examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes. La démarche d’audit de sécurité de système d’information: Préparation de l’audit Audit organisationnel et physique Audit technique Test intrusif Rapport d’audit
  • 7. Norme ISO 27002 7 Intitulé « Code de bonnes pratiques pour la gestion de la sécurité de l'information » Couvre tous les aspects de la sécurité de SI Donne des directives générales sur l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations Evolutif et souple Norme crédible éprouvée depuis des années Maîtrise le côut et le suivi de système
  • 8. Définition de la mission 8 Notre mission est un Audit de sécurité de système d’information. ISO 27002 est la norme appropriée à ce genre d’audit. Les recommandations de l’audit peuvent renforcer le dossier de l'entreprise pour avoir une certification TISAX. TISAX est basée sur le groupe de travail « VDA-ISA » pour L'industrie automobile.
  • 9. 9 Déroulement de la mission Définition de la mission 2 Préparation d’outils de travail. 4 Élaboration de rapport d’audit Reconnaissance globale du SI 1 3 Réalisation de l’audit
  • 10. Déroulement de la mission Reconnaissance globale du SI 10 Hardware : • 2 Lignes Internet (FO,FH) • 2 Routeur (TATA) • 1 CoreSwitch • 13 Points d’accès • 39 Switch d’accès • 156 Office PC (Laptop et Desktop) • 200 ShopFloor PC Desktop • 172 Comptes Utilisateurs Software : • Active Directory • DNS, DHCP • Raduis • Monitoring Tools (Putty) • Network Tools (Forticlient) • VLAN Management (Solarwinds) • VLAN ShopFloor (CVI, VB, etc.) • IPT System (OSBiz) Sécurité: • Proxy Zscaler • Antivirus : McAfee • GPO (pare-feu)
  • 11. Déroulement de la mission Reconnaissance globale du SI Le périmétre de notre travail se limite à:  Attribution d’un accés sur un VLAN isolé.  Les ordinateurs de ce Vlan sont protégés par CISCO ISE et ACL.  Accés à tous les documents mais avec restriction d’accès aux documents confidentiels ainsi les documents techniques. 11
  • 12. Déroulement de la mission 12 Les axes de travail Préparation d’outils de travail: Politique de sécurité d’information Organisation de la sécurité de l’information Gestion des actifs Gestion des risques Conformité Gestion des incidents Gestion d’accès Cryptographie
  • 13. Déroulement de la mission 13 Préparation d’outils de travail: La réponse au contrôle est le niveau de maturité de la sécurité de système d’information et évalué selon un modèle générique à six niveaux préconçu par VDA: 0 : Incomplèt. 1 : Accompli. 2 : Géré. 3 : Fixe. 4 :Prévisible. 5 : Amélioré.
  • 14. Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information  Apporter à la sécurité de l’information une orientation et un soutien de la part de la direction, conformément aux exigences métier et aux lois et règlements en vigueur. 14 Les points à vérifier : • Vérifier l'existence d'une politique de sécurité de système d'information . • Vérifier si la politique est approuvée par la direction et publiée à tous les utilisateurs du SI. • Vérifier si la politique est passée en revue par un comité de sécurité. • Vérifier si la PSI est met en place pour la révision et la mise à jour
  • 15. Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information Les points à vérifier: 15  Vérifier l'existence d'une politique de sécurité de système d'information 5
  • 16. Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information Les points à vérifier: 16  Vérifier si la politique est approuvée par la direction et publiée à tous les utilisateurs du SI 4
  • 17. Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information Les points à vérifier: 17  Vérifier si la politique est passée en revue par un comité de sécurité 5
  • 18. Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information Les points à vérifier: 18  Vérifier si la PSI est met en place pour la révision et la mise à jour 3
  • 19. Déroulement de la mission Réalisation de l’audit Politique de sécurité d’information Résultat global : 19 4.25 : Prévisible
  • 20. Déroulement de la mission Réalisation de l’audit Gestion des actifs  Identifier les actifs de l’organisme, définir les responsabilités pour une protection appropriée, et s’assurer que l’information bénéficie d’un niveau de protection approprié conforme à son importance pour l’organisme. 20 Les points à vérifier:  Vérifier la cohérence entre l’Inventaire et l’état réel  Vérifier la mise à jour au niveau de l'inventaire.
  • 21. Déroulement de la mission Réalisation de l’audit Gestion des actifs 21 Les points à vérifier:  Vérifier la cohérence entre l’Inventaire et l’état réel
  • 22. Déroulement de la mission Réalisation de l’audit Gestion des actifs 22 Les points à vérifier:  Vérifier la cohérence entre l’Inventaire et l’état réel
  • 23. Déroulement de la mission Réalisation de l’audit Gestion des actifs 23 Les points à vérifier:  Vérifier la cohérence entre l’Inventaire et l’état réel 2
  • 24. Déroulement de la mission Réalisation de l’audit Gestion des actifs 24 Les points à vérifier:  Vérifier la mise à jour au niveau d'inventaire.
  • 25. Déroulement de la mission Réalisation de l’audit Gestion des actifs 25 Les points à vérifier:  Vérifier la mise à jour au niveau d'inventaire.
  • 26. Déroulement de la mission Réalisation de l’audit Gestion des actifs 26 Les points à vérifier:  Vérifier la mise à jour au niveau d'inventaire. 4
  • 27. Déroulement de la mission Réalisation de l’audit Gestion des actifs Résultat global : 27 3.08 : Fixe
  • 28. Déroulement de la mission Elaboration de rapport d’audit 28 Résultat Global de l’Audit Résultat de l’audit : 3.46
  • 29. Déroulement de la mission Elaboration de rapport d’audit Recommandation 29 Politique de sécurité de système d’information • Visteon devrait réviser régulièrement la politique de sécurité pour la mise à jour. Organisation de sécurité de l’information • Assurer la sécurité de l’organisme passe par l’établissement et la désignation d’un Responsable de Sécurité des Systèmes d’Information. Gestion des actifs • Visteon doit tenir à jour l’inventaire actifs. Gestion des risques • Visteon doit améliorer le niveau de protection contre menace.
  • 30. Déroulement de la mission Elaboration de rapport d’audit Recommandation 30 Conformité • Les opérations d'audit réalisées pour les données critiques doivent être enregistrées. Gestion des incidents • L’organisme doit améliorer le contrôle et la visibilité d’incident au niveau hardware et software. Gestion d’accès • Les droits accordés aux utilisateurs dès leur enregistrement doivent être approuvés par les propriétaires des ressources concernées. Cryptographie • Visteon doit élaborer la politique de sécurité propre à la messagerie électronique.
  • 31. 31 Conclusion Nous espérons que vous êtes plus en moins satisfaites comme nous de notre première expérience en tant qu’auditeurs et que malgré que le système de sécurité de la société est très développés nous avons réussi à soustraire quelques défaillances et proposer des recommandations qu’on espéré être prise en considération par la société
  • 32. 32

Notes de l'éditeur

  1. Bonjour , Madame le président, Mes dames membres du jury, nous tenons tout d’abord à vous remercier pour l’attentions que vous voudrez bien accorder à notre soutenance. Nous avons l’honneur de vous présenter notre projet de fin d’études intitulé Audit de sécurité de SI élaboré par rawand hosni et adem koraani .
  2. Pour bien expliquer notre projet, nous avons choisi l’acheminement suivant: Chap 1 intro Chap 2 ,,, Chapitre 3 définition de l’audit de sécurité de SI dont le référentiel ISO 27002 que nous allons expliqué dans le chapitre 4. Chapitre 5 défintion de la mission Chapitre 6 … Finissons par une conclusion
  3. Cet exposé valorise l’importance de la sécurisation de systéme d’information et l’audit est un moyen pour vérifier cette sécurité. La métodologie de notre audit nécéssite une pré audit cad une étude de systéme d’information , une réalisation selon un référentiel bien précis.Le résultat est un rapport avec les recommandations adéquates,
  4. Notre projet de fin d’études est éffectué au sein de la société visteon :
  5. Le chapitre suivant est consacré à l’audit de sécurité de système d’information.
  6. L’audit est
  7. Nous passons maintenant à la définition de l’iso 27002
  8. Notre mission est un Audit de sécurité de système d’information qui est basé sur la norme iso 27002.Les recommandations de notre audit peuvent renforcer le dossier de l’entreprise pour avoir une certification TISAX pour participer aux appels d’offres allemands , certificat basée sur le groupe de travail VDA ISA pour L'industrie automobile et ce dérnié est basé aussi sur la norme ISO 27002.
  9. Pour la préparation des outils de travail, nous avons planifié une réunion avec l’IT manager pour pouvoir détecter les axes principaux de travail selon la norme ISO 27002 et le VDA. Chaque thème a ces propres points à vérifier pour assurer le niveau de maturité de SI.
  10. La réponse au contrôle est le niveau de maturité de la sécurité de système d’information et évalué selon un modèle à six niveaux préconçu par VDA dans le sheet Maturity Level : 3: c’est le niveau de maturité cible
  11. Nous avons réalisé cet audit en préparant une check-liste selon les axes de travail mentionnés précédament puis planifié des interviews avec l’IT manager pour vérifier chaque point des 8 thèmes. Et pour vous montrer la démarche suivie pour chaque point , voiçi deux cas théorique et pratique valorisant notre travail.
  12. Le premier point point est : Vérifier… cette capture vous montre que la politique est déjà existé donc selon VDA la note est 5
  13. Le deuxiéme point point est : Vérifier… cette capture vous montre que la politique est approuvé et publié dans le serveur web de Visteon donc selon VDA la note est 4 Parce que la société n’exige pas de ces employés la vue de la politque.
  14. Le troisiéme point point est : Vérifier… cette capture vous montre que la politique est passé en revue.
  15. Le derniére check est Vérifier… cette capture vous montre La date de révision de la politque.
  16. D’après VDA , le niveau de maturité de ce théme est prévisible 4.25
  17. Le deuxiéme cas pratique est le thème 3 : c’est le Gestion des actifs qui a comme objectif d’ Les 2 points qui nécessite une vérification techniques sont :
  18. La première check est la vérification de la cohérence entre l’inventaire et l’état réel. cette figure vous montre une partie de l’inventaire contenant les machines configuré avec des ip statiques .
  19. notre outil de vérification est un script vbs qui permet d’identifier l’option des cartes réseaux c’est-à-dire statique ou DHCP.
  20. Le résultat de script que nous avons exploité est porté sur un fichier excel contenant les ips avec leurs noms et leurs cartes réseaux Les discordances entre le réél est l’inventaire sont trouvé grâce à 2 fonction excel prédéfinis nommé vlookup et if Les lignes jaunes sont des anomalites mineurs ( l’exitstance de la machine dans l’inventaire mais avec un ip different) Les lignes rouges sont des anomalies majors(non existant dans l’inventaire). La note attirbuée à cette check est 2 donc à géré
  21. La deuxième check est la vérification de mise à jour au niveau d’inventaire. Cette figure vous montre une partie de l’inventaire contenant les machine avec des leurs systéme d’exploitation , comment minimiser le risque aussi un plan de migration
  22. L’outil de vérification est un script vbs qui permet d’extraire les versions des os windows et d’identifier s’ils sont déjà supporté par windows ou pas encore
  23. Le résultat obtenu est porté dans le même fichier excel. La note attribué est 4: prévisible à cause de l’inexistance de 3 machines.
  24. D’après VDA , le niveau de maturité de ce thème est Fixe 3.08
  25. La dernière étape de l’audit est l’élaboration d’un rapport d’audit dont lequel on développe les résultat obtenus plus les recommandations adéquates. Le Niveau de maturité du Système d’information de Visteon est Fixe (3.46)
  26. Suite à cette audite qui comporte 8 thème nos recommandation sont: Thème 1 : recom. Thème 2 : recom. …
  27. La dernière étape de l’audit est l’élaboration d’un rapport d’audit dont lequel on développe les résultats obtenus plus les recommandations adéquates.