Ce document traite de l'audit de sécurité et de la gestion des risques dans les systèmes d'information. Il souligne l'importance d'une approche systématique pour identifier et atténuer les menaces, ainsi que la nécessité d'établir des normes ISO pour renforcer la sécurité des données. De plus, des recommandations sont fournies sur les pratiques, le budget et la conformité réglementaire liées à la sécurité informatique.

2. Audit sécurité
Sommaire
 La gestion de la sécurité vue par un standard e-SCM de
Sourcing
 Gestion des risques – Définition ISO
 Sécurité (Le SI au cœur du Business)
 Typologie des incidents de sécurité
 Pratiques de nature à augmenter les risques
 Budget – Priorisation
 Le processus
 Analyse des risques (cartographie)
 Au-delà de l’audit, ProximIT apporte de l’expertise sur :
o PRA : Plan de reprise d’activité
o Tableau de bord sécurité
o Votre charte Informatique
o La CNIL

3. Audit sécurité
e-SCM
La gestion de la sécurité vue par un standard e-SCM de Sourcing
(eSourcing Capability Model for Client Organizations) / Outils d’évaluation et
d'amélioration des aptitudes des clients à gérer les relations fournisseurs de
services (CL) / Idem versus fournisseur (SP) pour Service Provider
 Identifier et gérer activement les menaces qui pèsent sur une entreprise
(ou autre) de façon à lui permettre d’être en capacité d’atteindre ses
objectifs et ses exigences Business
 Une attention particulière doit être portée à :
 L’intégrité (la donnée doit être garantie)
 La confidentialité (l’accès des données aux bonnes personnes)
 La disponibilité (infrastructure / Service / continuité)
 Pour couvrir ce domaine, il faut :
 Avoir une politique de gestion des risques
 Gérer les risques liés à l’engagement (contrat)
 Sécuriser la prestation
 Adopter un plan de reprise d’activité
 Se conformer à la réglementation

4. Audit sécurité
Gestion des risques – Définition ISO
La gestion des risques est définie par l’ISO comme l’ensemble des activités
coordonnées visant à diriger et piloter un organisme vis-à-vis du risque.
On dégage en général trois finalités à la gestion des risques pour les SI :
1. Améliorer la sécurisation des systèmes d’information.
2. Justifier le budget alloué à la sécurisation du système d’information.
3. Prouver la crédibilité du système d’information à l’aide des analyses
effectuées.
On estime qu’il existe plus de 200 méthodes de gestion des risques. Cette multiplicité
entraîne une très grande diversité dans les approches des risques de sécurité.
Exemple : EBIOS ou MÉHARI, permet d’apprécier ses besoins intrinsèques de
sécurité et d’ordonner les priorités de mise en œuvre de plans relatifs

5. Audit sécurité
Liste des normes ISO pour la sécurité de l’information
ISO 27000 : Série de normes dédiées à la sécurité de l'information
ISO/CEI 27001 : Système de Management de la Sécurité de l'Information (SMSI) —
Exigences
ISO/CEI 27002 : Code de bonnes pratiques pour la gestion de la sécurité de
l'information (anciennement ISO/CEI 17799)
ISO/CEI 27003 : Système de Management de la Sécurité de l'Information (SMSI) —
Guide d'implémentation
ISO/CEI 27004 : Mesure de la gestion de la sécurité de l'information
ISO/CEI 27005 : Gestion du risque en sécurité de l'information
ISO/CEI 27006 : Exigences pour les organismes réalisant l'audit et la certification de
Systèmes de Management de la Sécurité de l'Information (SMSI)
ISO/CEI 27007 : Guide pour l'audit de Systèmes de Management de la Sécurité de
l'Information (SMSI).
ISO/CEI 27799 : Informatique de santé - Gestion de la sécurité de l'information relative
à la santé en utilisant l'ISO/CEI 27002

6. Audit sécurité
Sécurité (Le Business au cœur de l’information)
Avec un sentiment de dépendance à l'informatique toujours en
hausse, les entreprises continuent d’avancer dans la prise en compte de la
Sécurité des Systèmes d’Information (SSI).
Toutefois, les changements concrets se font à petits pas…
Les chiffres cités dans cette présentation sont essentiellement des extraits du
rapport officiel du Clusif (Club pour la sécurité de l’information français) 2010

7. Audit sécurité
saisie, Exploitatio
n du système,…
Coupure
électricité, eau
télécom
Indispo système
Inondation, tempê
te
Typologie des incidents
de sécurité (Clusif 2010)
Si un risque est avéré (100%), ce n ’est
plus un risque mais un problème. Le
traitement de la situation est différent.
Destruction
manuelle de
données, déni de
service, bombe
logique,
% des entreprises ayant répondues que ce type
d’incident était un « problème » IMPORTANT

8. Audit sécurité
Pratiques de nature à
augmenter les risques

9. Audit sécurité
Budget - Priorisation
Bien que de plus en plus conscients des risques liés à la sécurité, la priorité des
entreprises dans un contexte économique « compliqué », n’est pas dans
l’augmentation du budget associé à la sécurité.
Les budgets « stagnent » Priorisation

10. Audit sécurité
« Equation du risque » RISQUE = MENACE * VULNÉRABILITÉ * IMPACT
La gestion des risques se compose de trois blocs interdépendants :
 l’organisation cible de l’étude, définie par ses assets (ressource ayant de la valeur
pour l’entreprise) et ses besoins de sécurité / identification des assets
 les risques pesant sur les assets
 les mesures prises ayant pour but de traiter les risques et donc d’assurer un certain
niveau de sécurité. Les contrôles sont de deux types :
o Sur la menace ou la vulnérabilité, afin de limiter la cause du risque
o Sur l’impact, afin de limiter la conséquence du risque.

11. Audit sécurité
Le processus
Le processus suivant est habituellement appliqué dans les méthodes pratiques de
gestion des risques.
• vise à spécifier les
Identification besoins en termes de
des assets confidentialité, intégrité et
disponibilité des assets
• Identifier périmètre
• Identification des Détermination
assets business des objectifs
constituant la valeur
de l’organisation, Analyse des
• puis les assets risques
système (cartographie)
• le cœur de la
Définition des • Ici sont définis les choix
démarche de gestion exigences de
des risques techniques des solutions de
sécurité sécurité
• permettra de réduire
Sélection des
les risques identifiés contrôles
Implémentation
des contrôles

12. Audit sécurité
Analyse des risques (cartographie)
Elle a pour finalité l’identification et l’estimation de chaque
composante du risque (menace/vulnérabilité/impact), afin d’évaluer
le risque et d’apprécier son niveau, dans le but de prendre des
mesures adéquates
Il y a deux grandes écoles pour l’identification des risques :
 soit en réalisant un audit du système et de ses différents acteurs
 soit à partir de bases de connaissances prédéfinies
En pratique, il se révèle difficile de donner des valeurs absolues et
on se contente bien souvent d’une échelle de valeurs relatives.

13. Audit sécurité
Analyse des risques Scénarios
D’une manière générale, on considère
que :
 Les risques ayant une occurrence et un impact
faible sont négligeables.
 Les risques ayant une forte occurrence et un
impact important ne doivent pas
exister, autrement une remise en cause des
activités de l’entreprise est nécessaire
 Les risques ayant une occurrence forte et un
impact faible sont acceptés, leur coût est
généralement inclus dans les coûts
opérationnels de l’organisation (acceptation du
risque).
 Les risques ayant une occurrence faible et un
impact lourd sont à transférer. Ils peuvent être
couverts par une assurance ou un tiers
(transfert du risque).
 Enfin, les autres risques, en général
majoritaires, sont traités au cas par cas et sont
au centre du processus de gestion des risques
; l’objectif, étant de diminuer les risques en les
rapprochant au maximum de l’origine de l’axe
(allègement du risque à l’aide de contrôles).

14. Audit sécurité
Cartographie des risques : Exemple
1 Inondation
2 Vol de matériel
3 Attaque logique
4 Sabotage physique
5 Incendie
Perte de services
6
essentiels
7 Panne d’origine
interne

15. Audit sécurité
Analyse des risques : Budget à associer aux prises de risques

16. Audit sécurité
On constate que :
 Des audits de sécurité : 25% des entreprises n’en font pas …,
 Les PRA (Plan de Reprise d’Activité)
 33% (-7% vs 2008) des entreprises ne disposent pas d’un plan de
continuité d’activité pour traiter les crises majeures !
 Tableau de bord de la sécurité informatique : 34% seulement en
disposent
 Une charte sécurité / des règles élémentaires…
 Des « obligations CNIL » : en légère progression par rapport à 2008

17. Audit sécurité
PRA : Plan de reprise d’activité (1/1)
Un plan de reprise d'activité (Disaster Recovery Plan ou DRP) permet
d'assurer, en cas de crise majeure ou importante d'un centre
informatique, la reconstruction de son infrastructure et la remise en route
des applications supportant l'activité d'une organisation.
La durée maximale d'interruption admissible, en anglais Recovery
Time Objective (RTO) constitue le temps maximal acceptable durant
lequel une ressource (généralement informatique) peut ne pas être
fonctionnelle après une interruption majeure de service
Le RTO est considéré en conjonction avec le Recovery Point Ojbective (RPO)
qui quantifie la capacité de reprise sur sauvegarde de la ressource.

18. Audit sécurité
Tableau de bord sécurité (1/4)
Quels objectifs ?
 Que veut-on mesurer ?
 Le niveau d’exposition / attaques / menaces ?
 Le niveau de vulnérabilités résiduelles ?
 Le nombre d’incidents de sécurité identifiés ?
 L’évolution de la couverture des risques ?
 Le niveau de déploiement d’une PSSI ?
 L’état d’avancement des plans d’actions ?
 Le niveau de conformité aux règlements et autres standards (SOX, PCI DSS,
 ISO2700x, etc.) ?
 Vers qui veut-on communiquer ?
 La DG ? (Indicateurs stratégiques)
 La DSI ?
 Les métiers ? (indicateurs opérationnels)
 Les corps d’audit et d’inspection ?
 A quelle fréquence ?
 Hebdomadaire ? Mensuelle ? Trimestrielle ? Annuelle ?

19. Audit sécurité
Tableau de bord sécurité (2/4)
Quels indicateurs ?
 On peut partir de zéro et faire une séance de… brainstorming !
 Mais il est plus efficace d’utiliser les référentiels existants comme
l’ISO17799 (future ISO27002)
 Il s’agit de définir des grandes familles d’indicateurs, …..pas forcément
d’utiliser les recommandations de l’ISO comme carcan
 Une fois les familles (domaines et sous-domaines ISO) retenues, identifier
deux ou trois indicateurs pertinents par sous-famille
 Ne pas dépasser une trentaine (maximum) d’indicateurs

20. Audit sécurité
Tableau de bord sécurité (3/4)
Exemples d’indicateurs
 % de serveurs conformes, basés sur des masters homologués sécurisés (d’où proportion
de machines à migrer, ex: Windows NT 4.0)
 % de postes de travail conformes (sous contrôle DSI)
 % d’antivirus activés et à jour des signatures
 Nb de partage de fichiers avec des permissions d’accès en lecture générale / nb de
partages (domaine bureautique / domaine production)
 Nb de documents classifiés confidentiels et stockés non chiffrés
 Nb d’alertes de sécurité traitées par le Service Desk
 Nb d’alertes de sécurité critiques remontées par les IDS (Intrusion Detection System) ou
système de détection d'intrusion
 Nb de correctifs appliqués sur le parc / nb de correctifs diffusés par les éditeurs
(développeurs) présents sur le parc
 % de projets lancés prenant en compte les normes de sécurité de l’entreprise
 % de serveurs secourus (reprise sur incident majeur)
 % de serveurs sauvegardés
 % d’équipements critiques redondés
 Nb de comptes génériques / nb de comptes total
 % d’accès prestataires (TMA) sécurisés (authentification individuelle, …)
 % de serveurs configurés par outil de gestion de parc (cf CMDB – ITIL)
 Etc…

21. Audit sécurité
Suivi global des indicateurs sur les 12
derniers mois
Tableau de bord sécurité (4/4) Le tableau de bord de sécurité est un instrument de
communication privilégié pour le RSSI Vs DSI Vs DG
Evolution des Interruptions de Service
applicatif/exploitation (prévues ou non) sur les douze
derniers m ois Sa conception nécessite de la réflexion et sa
25000
production a un coût, mais le jeu en vaut la chandelle
20000
Répartition applicatif/exploitation (prévues ou non) :
cum ul 12 derniers m ois
15000 IS applicatif
IS exploitation 6%
10000 IS indéterminées
20%
5000 IS applicatif
IS exploitation
IS indéterminées
0
ai
l
ar
ov
n
p
Ju
Ja
Se
74%
M
M
N
Exemple : indicateurs opérationnels

22. Audit sécurité
Une charte sécurité : (1/3)
Quels objectifs ?
 Créer un outil juridique (opposable à un utilisateur) et pédagogique
(sensibilisation) au sein du système d’information;
 Définir les règles de bonne utilisation des ressources informatiques
de l’entreprise :
 Protection du patrimoine informationnel de l’entreprise, des données
personnelles des utilisateurs, des ressources informatiques;
 Respect des dispositions légales et des règles de déontologies en
vigueur;

23. Audit sécurité
Une charte sécurité : (2/3)
La charte protège l’espace individuel de chacun au sein de l’entreprise et l’entreprise d’une mauvaise utilisation de
son outil informatique, ceci en toute transparence :
 Responsabilités : En utilisant l’outil informatique de l’entreprise, les personnes physiques et morales (l’entreprise)
ont une responsabilité civile et pénale (au-delà d’être un utilisateur responsable),
 Activités interdites : utilisation de documents inconvenants et illégaux, Utilisation extra professionnelle des
ressources informatiques, copie et utilisation des logiciels piratés, gaspillage des ressources informatiques, accords en
ligne sans autorisation préalable ;
 Vie privée / vie professionnelle :
 Les ressources informatiques sont mises à disposition des utilisateurs par la société pour un usage
professionnel et interdit d’utilisation à toute autre personne non habilité (jeux sur Internet à titre familial).
 La Société considèrera comme personnel et non professionnel le seul courrier électronique indiquant
« personnel » dans l’objet du message ou stocké dans un dossier de la messagerie intitulé « personnel ». Ce
principe est applicable aux répertoires et fichiers marqués comme « personnels » dans l’Explorateur Windows.
 Messagerie électronique : Il est interdit d’ouvrir une pièce jointe dans un message d'un émetteur inconnu ou avec un
objet douteux (.exe, .gif,.com…), pour prévenir l'introduction d'intrus et la diffusion de virus à l’insu, il est demandé de
le détruire immédiatement.
 Accès à Internet : La Société n’assume aucune responsabilité sur l’utilisation d’Internet et notamment en ce qui
concerne le contenu des sites visités. Le partage d’espace disque est interdit (Peer-to-Peer).

24. Audit sécurité
Une charte sécurité : (3/3)
 Forums : l’inscription à des forums à titre privé avec l’adresse mail de l’entreprise est interdite. De même l’inscription à
des forums sensibles doit se faire avec une adresse mail anonyme (Hotmail et en dehors du réseau Société).
 Réseaux sociaux : l’utilisateur ne doit pas faire référence à son employeur actuel ou à tout sujet professionnel et doit
éviter de donner des informations privées pouvant être utilisées comme mots de passe dans les systèmes de la
société (nom de jeune fille de la mère…) ;
 Surveillance : l’entreprise peut techniquement surveiller la navigation sur Internet et toute activité au sein du système
d’information dans le respect de la charte et de la CNIL (Commission Nationale Informatique et Liberté);
 Mots de passe : Les utilisateurs disposent de droits d’accès et de mots de passe qui sont personnels et ne peuvent
être en aucun cas transmis à des tiers non autorisés.
 Propriétaire de l’information : Le propriétaire d’une information doit la classifier dans une des catégories suivantes :
 Non classifié
 Sensible (pouvant entrainer des dommages irréversibles pour l’entreprise en cas de perte de
confidentialité, intégrité, trace)
Et la protéger conformément à la politique de sécurité en accord avec le service informatique (chiffrement, mots de
passe, transport à l’extérieur …)
 Utilisateurs d’informations nomades : utilisateur ayant extrait un fichier d’un poste fixe ou serveur de données
stocké sur un support nomade (ordinateur portable, Smartphone, clé USB, DVD, support papier…). Tout support
hébergeant un fichier sensible doit obligatoirement être chiffré conformément à la politique de sécurité et en accord
avec le service informatique.

25. Audit sécurité
C.N.I.L. : (1/4)
Pourquoi faire ?
La Commission nationale de l’informatique et des libertés est chargée de veiller à ce
que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité
humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou
publiques. Elle exerce ses missions conformément à la loi du 6 janvier 1978 modifiée le 6
août 2004.
Qu’est-ce qu’une donnée personnelle ?
Il s’agit selon la loi, de toute information relative à une personne physique identifiée ou
susceptible de l’être, directement ou indirectement, par référence à un numéro
d’identification (ex : n° de sécurité sociale) ou à un ou plusieurs éléments qui lui sont
propres (ex : nom et prénom, date de naissance, éléments biométriques, empreinte
digitale, ADN...)

26. Audit sécurité
C.N.I.L. : (2/4)
Les 5 principes à respecter
1°) le principe de finalité: Les données à caractère personnel ne peuvent être recueillies et
traitées que pour un usage déterminé et légitime.
« Un autocommutateur ne doit pas être utilisé pour surveiller les utilisateurs »
Tout détournement de finalité est passible de sanctions pénales de finalité est passible de
sanctions pénales
2°) le principe de proportionnalité et de pertinence des données:
Seules doivent être traitées les informations pertinentes et nécessaires au regard des
objectifs poursuivis.
« le n° de sécurité sociale n’est pas utile à un recrutement »
3°) le principe d’une durée limitée de conservation des données :
Les informations ne peuvent être conservées de façon indéfinies dans le système
d’information. Une durée de conservation précise doit être déterminée en fonction de la
finalité du fichier.
« cinq ans pour la paie, un mois vidéosurveillance… »

27. Audit sécurité
C.N.I.L. : (3/4)
Les 5 principes à respecter ?
4°) le principe de sécurité et de confidentialité des données :
L’employeur est astreint à une obligation de sécurité et doit prendre les mesures nécessaires
pour garantir la confidentialité des données .
« mesures de contrôles d’accès: politique de mots de passe… »
les données personnelles ne doivent être accessibles qu’aux personnes habilitées (interne:
RH, paie…/externe: inspection du travail, police…)
5°) le principe du respect des droits des personnes :
Information des personnes: clairement informées des objectifs poursuivis, du caractère
obligatoire ou facultatif de leurs réponses, des destinataires, des modalités d’exercice de
leurs droits conformément à la CNIL (ci-dessous).
Droits d’accès et de rectification: toute personne peut demander au détenteur du fichier de
lui communiquer toutes informations la concernant et de faire rectifier ou supprimer toute
information erronée.
« dossier professionnel… »

28. Audit sécurité
C.N.I.L. : (4/4)
Déclaration Simplifiée ou Normale / Le correspondant informatique et Libertés et libertés (CIL)

29. Merci
Christophe Nouhau
christophe.nouhau@proximit.fr | www.proximit.fr