Audit Interne

L’Audit Interne et les Nouvelles Technologies de l’Information et de Communication

Audit de Sécurité du Système d’Information de l’Entreprise

Taher ALLAOUI Ingénieur en chef au Centre National de l'Informatique [email protected]

16-07-2004

Centre National de l'Informatique

1

Sommaire



Chapitre 1 Quel Audit?



Chapitre 2 Selon quelle démarche et avec quels outils?



Chapitre 3 Une stratégie d’audit de sécurité de l’entreprise



Chapitre 4 Conclusion

16-07-2004

Centre National de l'Informatique

2

Chapitre 1: Quel Audit? 

Réglementation en Tunisie



Définitions



Enjeux et objectifs



Risques



Périmètre

16-07-2004

Centre National de l'Informatique

3

Réglementation en Tunisie  de monsieur le Premier Ministre N°51 du 30 Novembre 2001 portant sur l’obligation de l’audit de sécurité au moins une fois par an 

« l’Agence Nationale de la Sécurité Informatique » Soumise à la tutelle du Ministère chargé des technologies de la communication

Mission: contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics ou privés, notamment: 

16-07-2004

l’audit

Centre National de l'Informatique

4

Définitions 

Audit 



Système d’information 



Mission d’examen et de vérification de la conformité (aux règles) d’une opération, d’une activité particulière ou de la situation générale d’une entreprise

Ensemble des moyens matériels, logiciels et organisationnels qui permettent de recevoir, de stoker et de traiter l’information

Donc un audit nécessite    

Un périmètre Un référentiel Une méthode Des moyens et compétences

16-07-2004

Centre National de l'Informatique

5

Enjeux et objectifs 

Pour maintenir son avantage compétitif de manière durable, l’entreprise doit: Assurer la disponibilité de ses outils, et

particulièrement de son outil informatique

Assurer l’intégrité de l’information stockée dans son système d’information Préserver la confidentialité de l’information 

La sécurité informatique se fixe l’objectif suivant: protéger les actifs informatiques de l’entreprise contre les risques



16-07-2004

Centre National de l'Informatique

6

Risques Le Risque Le fait qu’un événement puisse empêcher de 





16-07-2004

Maintenir une situation donnée et Maintenir un objectif dans des conditions fixées et Satisfaire une finalité programmée Centre National de l'Informatique

7

Risques



3 types de Risques   

16-07-2004

Exposition naturelle Intention de l’agresseur Possibilité de sinistre

Centre National de l'Informatique

8

Risques Divulgation des informations

Malversations et fraudes

Accidents

(incendie, dégâts des eaux,..)

Pannes

Erreurs

Attaques

(utilisation, exploitation,..)

(tendance actuelle)

Particulièrement variables selon les environnements  16-07-2004

Centre National de l'Informatique

9

Périmètre 

Le périmètre organisationnel et fonctionnel

 Organisation de la sécurité   

La répartition des responsabilités La sensibilisation Contrôle

 Politique et les guides de sécurité  Procédures de sécurité 16-07-2004

Centre National de l'Informatique

10

Périmètre 

La sécurité physique Lutte anti-incendie, dégâts des eaux Contrôle des accès Sauvegarde et archivage des documents

16-07-2004

Centre National de l'Informatique

11

Périmètre 

La sécurité des systèmes  Matériels (postes de travail et serveurs)  Logiciels de base  Lutte antivirale



La sécurité des réseaux  Matériels (routeurs, concentrateurs,..)  Contrôle des accès logiques  Lignes de transmissions



La sécurité des applications/bases de données

16-07-2004

Centre National de l'Informatique

12

Chapitre 2: Selon quelle

démarche et avec quels outils? 

Définitions



La norme ISO17799/BS7799



Les méthodes Les méthodes globales Les méthodes propriétaires Sans méthode



Les outils Outils méthodologiques Référentiel Tests de configuration Tests de vulnérabilités

16-07-2004

Centre National de l'Informatique

13

Définitions 

Norme code de bonnes pratiques de sécurité du système d’information : Va du général (l’organisation, politique générale de sécurité, etc..) au détail (gestion de mot de passe, contrôle d’accès,etc..)

 Liste les mesures à prendre, mais n’explique pas la façon de les mettre en œuvre 16-07-2004

Centre National de l'Informatique

14

Définitions 

Méthode sert à évaluer les pratiques de l’entreprise -par rapport à un référentiel- face aux risques auxquelles elle s’expose et propose des parades adaptées

Norme et méthode sont complémentaires Pas de méthode sans norme

16-07-2004

Centre National de l'Informatique

15

La norme ISO17799/BS7799 

ISO17799 Défini des objectifs et des recommandations

concernant la sécurité de l’information Norme globale à tout type d’organisme



Historique ISO17799 Groupe britannique ayant produit BS7799:1995,

puis BS7799-1:1999 La première partie de BS7799 a été soumise deux fois en procédure fast track à l’ISO Elle a été acceptée en décembre 2000 et publiée sous le numéro ISO 17799:2000 16-07-2004

Centre National de l'Informatique

16

La norme ISO17799/BS7799 

Usage

l’application de la norme ISO 17799 peut être le résultat d’une série d’étapes schématisées comme suit:

Le corps de la norme ISO 17799 décrit la quatrième étape ‘’quoi faire ‘’ sans pour autant préciser ‘’comment le faire’’

16-07-2004

Centre National de l'Informatique

17

Les méthodes 

Les méthodes globales Cobit Cramm Ebios MEHARI Mv3

 



16-07-2004

Se présentent sous forme de documents (questionnaires) Les réponses à ces questions servent à dresser la cartographie des pratiques de sécurité

Centre National de l'Informatique

18

Les méthodes globales :

Comparatif des cinq méthodes d’audit Nom de la mé thod e

Cob it v 3

CRAMM v4

Ebi os 1 .0.2

Mehar i

MV3

Analyse des risques

Non

Oui

Oui

Oui

Oui

Analyse des vulnérabilités

Non

Oui

Oui

Oui

Oui

Plan de sécurité

Non

Oui

Oui

Oui

Oui

Contrôle et vérification

Oui

Non

Non

Oui

Oui

Bilan de sécurité

Non

Non

Non

Oui

Non

Adapté à toutes les tailles d’entreprise

Oui

Oui

Oui

Oui

Oui

Conçu pour des environnements Technologiques divers

Oui

Oui

Oui

Oui

Oui

Questionnaires

Oui

Oui

Oui

Oui

Oui

Modèles (formulaires, grilles..)

Oui

Oui

Oui

Oui

Oui

Logiciel disponible

Non

Oui

Non

Oui

Oui

Caractéristiques

Périmètre

Outils

16-07-2004

Centre National de l'Informatique

19

Les méthodes globales: La méthode MEHARI  



Développée par la commission Méthodes du CLUSIF Méthode d’analyse des ressources: mesurer l’impact du sinistre en terme de D,C,I Classifier les ressources selon des seuils de gravité définis sur une échelle de 1 à 4 Gravité = f (I,P)

Impact

4

0

3

4

4

4

3

0

2

3

3

3

0

1

1

2

2

0

0

0

1

0

1

2

3

2 1

16-07-2004

4 = Risques insupportables 3 = Risques inadmissibles 2 = Risques tolérés

1 4

Potentialité

Centre National de l'Informatique

20

Les méthodes globales: La méthode MEHARI

causes conséquences

16-07-2004

Centre National de l'Informatique

21

Les méthodes globales: La méthode MEHARI 

Traiter les risques : en se basant sur un référentiel (ISO17799, base de connaissances Mehari)



Définir une politique de sécurité



Etablir une charte de management:



Etablir un plan de sécurité Etablir un Bilan de sécurité



16-07-2004

Droits et devoirs du personnel de l’Entreprise

Centre National de l'Informatique

22

Les méthodes propriétaires 

Objectifs personnaliser et simplifier adapter à l’environnement de l’entreprise obtenir une visibilité des risques et un plan d’actions en un laps de temps restreint

16-07-2004



Plus pragmatique



Un luxe pour le RSSI Centre National de l'Informatique

23

Les méthodes propriétaires 

Démarches modifier une méthode formelle combiner les apports de plusieurs méthodes formelles Sélection d’un sous ensemble de questions adapté au métier de l’entreprise

L’expérience du consultant qui fait la différence 16-07-2004

Centre National de l'Informatique

24

Sans méthode 

Se limite à: Des tests des vulnérabilités automatisés Des tests d’intrusions réseaux sécuriser un serveur ou un réseau est une chose Mais sécuriser un SI d’une entreprise est beaucoup plus compliqué

16-07-2004

Centre National de l'Informatique

25

Les outils 

Les outils méthodologiques attention aux limites de l’automatisation (Risicare pour Mehari, caliis, etc..)



Les référentiels de sécurité la politique de sécurité de l’entreprise les guides de sécurité par environnement les normes applicables (ISO17799,…)

16-07-2004

Centre National de l'Informatique

26

Les outils 

Les tests de configuration Otuils pour Windows, Unix (logiciel commercial) (logiciel libre)

Nécessitent de définir une politique technique de sécurité /pas d’analyse de failles Non intrusifs, non perturbateurs

Nécessitent une forte expertise pour la configuration 16-07-2004

Centre National de l'Informatique

27

Les outils 

Les tests de vulnérabilités Outils public (Nessus, Satan,…) ou commerciaux (Internet Scanner de ISS,…) Indiquent des vulnérabilités potentielles/potentiellement intrusif Demandent une adresse /plage(s) IP Utilisés par les ‘’hackers’’

Nécessitent une forte expertise 16-07-2004

Centre National de l'Informatique

28

Chapitre 3: Une stratégie d’audit de sécurité de l’entreprise 

Construire une stratégie d’audit



Les différentes approches d’audit



Une approche adaptée à l’entreprise Présentation Périmètre Démarche Apports

16-07-2004

Centre National de l'Informatique

29

Construire une stratégie d’audit 

Evaluation globale de la sécurité du SI

Dans le cadre d’une réorganisation ( rachat, refonte,…) 

Audit complet, indépendant

Dans un cadre de consolidation globale de la sécurité   

Analyse des risques ( fonctionnels/techniques/juridiques) Plan d’action détaillé Audits réguliers à large périmètre

Dans le cadre d’une mise en cohérence de la sécurité  

Comparaison site à site ou vis-à-vis de la profession Méthode rigoureuse et applications régulières

Dans le cadre d’une sensibilisation 

16-07-2004

Audits participatifs / auto évaluation

Centre National de l'Informatique

30

Construire une stratégie d’audit 

Evaluation par composant (projet, système,…)

Evaluer la sécurité d’un composant du SI  

Sécurité d’un produit Qualifier/recetter/..

Analyser, sur incident  

16-07-2004

Sur mesure Nécessite une très forte expertise technique

Centre National de l'Informatique

31

Les différentes approches 

Audit de vérification 



Audit d’agrément 



Analyser l’état d’un système et/ou d’un réseau du point de vue: organisation, architecture, configuration, exploitation et compétences

Vérifier l’état du système vis-à-vis d’un référentiel existant

Audit intrusif 



Rechercher les failles par un point donné du réseau (utilisation des outils d’intrusions) Simuler des attaques: tests d’intrusion depuis l’extérieur

Elles ne sont pas exclusives 16-07-2004

Centre National de l'Informatique

32

Une approche adaptée à l’entreprise : Présentation 

Les méthodes formelles (Mehari, Cobit,etc..) Lourdes Reservées aux grands comptes



Les méthodes Propriétaires Souples Peuvent ne pas couvrir tout le périmètre Dépendent étroitement de l’auditeur

Une approche plus adaptée à l’entreprise (Banque, Assurance, PME/PMI, etc..)

l’auditeur, précise et pragmatique

16-07-2004

Centre National de l'Informatique

33

Une approche adaptée à l’entreprise : Périmètre 

Les composantes du système d’information le matériel (PC, serveurs, réseaux) les logiciels (OS, gestion réseau, gestion sécurité) les données (sécurité, sauvegarde,archivage) l’architecture (C/S, intranet, extranet, Internet) le personnel (les utilisateurs, les administrateurs, les développeurs)

la documentation (procédures d’installation, procédures de restauration, politique de sécurité, plan de sécurité) 16-07-2004

Centre National de l'Informatique

34

Une approche adaptée à l’entreprise : Périmètre 

Les menaces  Accidentelles     

pannes dysfonctionnement incendie dégâts des eaux coupure électrique

 Intentionnelles   

16-07-2004

vol d’informations modification de données d’importance capitale vol et destruction des matériels

Centre National de l'Informatique

35

Une approche adaptée à l’entreprise : Périmètre 

Les attaques par outils automatisés Destruction par virus, ver, bombes logicielles Intrusion par cheval de troie Intrusion par portes dérobées Espionnage d’analyse de trafic Intrusion par bogues logiciels Exploitation des accès non sécurisés Déni de service Surveillance des messageries d’entreprises Man in the Middle

16-07-2004

Centre National de l'Informatique

36

Une approche adaptée à l’entreprise : Démarche La méthode est basée sur le référentiel ISO17799 et l’expérience des consultants, appliquée en cinq phases: Phase1: Définition/validation du périmètre de sécurité et des enjeux (entretiens) 

Phase2: Identifications des menaces Phase3: Identifications des vulnérabilités Entretiens techniques, consultation de documents Récupération des configurations Tests d’intrusion automatisés (outils du logiciel libre, outils commerciaux)

Phase4: Analyse du risque par recoupement des phases 1 à 3 Phase5: Etablissement des recommandations (logique/organisationnel/physique) Elaboration d’une solution technique

16-07-2004

Centre National de l'Informatique

37

Une approche adaptée à l’entreprise : Démarche 

Principaux résultats Définition des moyens de sécurité couvrant les aspects technique physique et organisationnel Définition d’une politique de sécurité interne le cas



échéant

Principales fournitures Rapport d’audit avec préconisations d’améliorations Estimation du coût de la solution technique à acquérir Présentation au management de l’entreprise



Charge de travail de trois à huit semaines, selon la taille de l’entreprise (architecture SI, BD, réseau, serveurs, personnel) un consultant et un/deux ingénieurs

16-07-2004

Centre National de l'Informatique

38

Une approche adaptée à l’entreprise : Apports 

Convivialité les RSSI sont plus sensibles à leur vision du risque qu’à une conformité à une méthode ou à une norme appréciée par les responsables (management de l’entreprise, RSSI) garantit une implication des intéressés dans le constat et la mise en œuvre des actions correctrices



Performance complète (organisationnel et technique) parades plus adaptées (tient compte de nouveau mode de fonctionnement de l’entreprise) offre une solution technique optimale en terme d’architecture et outils



Coût faible coût (délais et charges: réduits) évite d’investir dans des outils qui protègeraient d’un risque de faible impact

16-07-2004

Centre National de l'Informatique

39

Chapitre 4: Conclusion



L’audit reste: une affaire de méthode une prestation interne, même lorsque les tests d’intrusion se font de l’extérieur



L’audit est récurrent (1fois/1 ou 2 ans) les risques se développent le niveau de sécurité appliqué au SI est dynamique

Résultat de l’audit peut être contredit par le moindre changement du SI

16-07-2004

Centre National de l'Informatique

40

Chapitre 4: Conclusion 

L’audit: Approche technique ou fonctionnelle ? les outils automatisés sont utiles, voire indispensables Oui mais 





Ils offrent une photo à un instant

t mais pas dans le temps

Ils ne couvrent pas tout le périmètre (organisation, procédures, traitement des incidents,…) Ils ne sensibilisent pas

Donc des audits ‘’organisationnels’’, voire fonctionnels sont aussi indispensables 

Une double compétence s’impose…



Le problème de certification de l’auditeur se pose…

16-07-2004

Centre National de l'Informatique

41

L’Audit Interne et les Nouvelles Technologies de l’Information et de Communication

16-07-2004

Centre National de l'Informatique

42