L'audit de sécurité du système d'information

3

Panorama général des normes et outils d’audit.

François VERGEZ – AFAI

4

Système d’information, une tentative de définition (1/2)

Un système d’information peut être défini comme l’ensemble des moyens matériels, logiciels, organisationnels et humains visant à acquérir, stocker, traiter, diffuser ou détruire de l’information.

5

Système d’information, une tentative de définition (2/2)

Mais aussi …

6

La problématique de sécurité du système d’information (1/2)

Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information.

L’objectif de ces mesures de sécurité est d’assurer la confidentialité, l’intégrité, la disponibilité et la traçabilité de l’information.

Ces mesures de sécurité doivent être mises en œuvre dans un cadre cohérent et organisé.

Ces mesures de sécurité répondent à des objectifs et des exigences de sécurité qui traduisent les contraintes et les risques qui pèsent sur le système d’information.

7

La problématique de sécurité du système d’information (2/2)

Les mesures de sécurité répondent à des objectifs et des exigences de sécurité qui traduisent les contraintes et les risques qui pèsent sur le système d’information.

8

Les questions auxquelles se doivent de répondre les audits de sécurité du SI ?

A quelles exigences légales et réglementaires le Système d’Information est-il soumis ?

Ces contraintes légales et réglementaires sont-elles respectées ? La politique de sécurité est elle alignée sur la stratégie d’entreprise ? L’organisation de la sécurité est-elle fonctionnelle ? Les objectifs et contrôles de sécurité sont-ils exhaustif ? La continuité des activités de l’entreprise est-elle assurée ? Les mesures de sécurité opérationnelles sont-elles alignées sur la politique

de sécurité ? Les mesures de sécurité opérationnelles mises en place sont-elles efficaces

? En une phrase …

Quels sont les risques auxquels est exposée l’entreprise ?

9

L’audit de sécurité du système d’information

L’audit de sécurité du système d’information est un examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes.

Compte tenu du cadre de gestion de la sécurité de l’information, les audits de sécurité peuvent adresser des problématiques différentes comme par exemple :

• La prise en compte des contraintes,• L’analyse des risques,• La politique de sécurité, • La prise en compte de contraintes spécifiques dans la mise en œuvre d’un

système d’information particulier (problématique liée à l’audit des projets),• La mise en œuvre de politique de sécurité, • Les mesures de sécurité.

10

Les types d’audit de sécurité

11

Les principaux types d’audit de sécurité

Audit de la politique de sécurité, Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise,

aux contraintes légales et réglementaires et aux bonnes pratiques,

Audit de la mise en œuvre de politique de sécurité, Respect des exigences de sécurité au sein de l’entreprise au travers de la mise

en œuvre de mesures de sécurité adéquates et pérennes,

Audit de la prise en compte de la sécurité dans un projet

Audit de l’efficacité des mesures de sécurité. Test d’intrusion, audit de vulnérabilité sur l’ensemble des composantes du SI …

12

Les référentiels utilisés dans le cadre des audits de sécurité

Les référentiels sont adaptés à chaque grand type d’audit de sécurité.

OWASP (Open Web Application Security Project), Information Security Web sites, Bases de vulnérabilités.

Audit de l’efficacité des mesures de sécurité

Politique de sécurité de l’entreprise, ISO 27002, CoBIT (mapping avec l’ISO 17799), Audit Program de l’ISACA. ITIL

Audit de la mise en œuvre de la politique de sécurité

Respect des exigences de sécurité au sein de l’entreprise au travers de la mise en œuvre de mesures de sécurité adéquates et pérennes

Contexte légale et réglementaire, Stratégie de risque de l’entreprise, ISO 13335, ISO 27002.

Audit de la politique de sécurité

Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise, aux contraintes légales et réglementaires et aux bonnes pratiques,

RéférentielAudit de Sécurité

13

ISO 27000

La nouvelle famille de norme ISO/IEC 27000

14

ISO 27002

Contrôles (niveau 3) Au niveau inférieur, la structure de la norme est semblable pour chacun des 137 objectifs de

contrôle qui ont été définis : Control : le contrôle permet de définir précisément l'état pour satisfaire à l'objectif de contrôle, Implementation guidance : le guide d'implémentation propose les informations détaillées pour permettre

d'effectuer l'implémentation du contrôle et de satisfaire à l'objectif de contrôle. Other information

Domaines de sécurité de l'information (niveau 1) La norme ISO/IEC 17799:2005 recense de

nombreux objectifs de contrôle répartis dans chacun des onze domaines

Catégories de sécurité (niveau 2) La structure de la norme est semblable pour

chacune des 39 catégories de sécurité : Un objectif de contrôle qui fait l'état sur ce qui doit être

appliqué est énoncé, Un ou plusieurs contrôles à appliquer sont proposés

pour remplir l'objectif de contrôle de la catégorie de sécurité

15

Les principaux types d’audit de sécuritéAudit de la politique de sécurité

L’audit de la politique de sécurité doit permettre de s’assurer de la pertinence de celle-ci compte tenu de la stratégie de risques de l’entreprise, du contexte légale et réglementaire ainsi que des bonnes pratiques.

Le terme « politique de sécurité » peut recouvrir la politique de sécurité du groupe, la déclinaison de la politique de sécurité du groupe au niveau des différentes entités ou métiers ainsi que de l’ensemble des politiques de sécurité détaillées couvrant les domaines comme le contrôle d’accès, la continuité, la classification de l’information, la protection antivirale …

L’audit peut également couvrir : la méthodologie d’analyse de risques mise en œuvre, des standards et procédures qui découlent de la politique de sécurité.

L’approche repose sur des interviews et des analyses documentaires.

16

Les principaux types d’audit de sécuritéAudit de la politique de sécurité

Stratégique

Opérationnel

Politique de sécurité globale

Politique de sécurité spécifique

1

Politique de sécurité locale

Standards(architecture, solutions) Mesures techniques spécifiques


2


3

17

L’audit de la mise en œuvre de la politique de sécurité doit permettre de s’assurer que les exigences de sécurité sont satisfaites au travers de la mise en œuvre de mesures de sécurité.

Les grilles d’investigation sont construites sur la base de la politique de sécurité et/ou de l’ISO 27002 et/ou de Cobit.

L’approche repose sur des interviews, des visites de sites, des analyses documentaires et des revues de paramétrage.

Compte tenu du caractère technique du système d’information des grilles d’investigation spécifiques sont construites pour approfondir des thématiques comme les solutions antivirus, les dispositifs correctifs de sécurité et anti-spam, le plan de secours et de continuité …

Grille d’investigation globale Grilles d’investigation détaillées

+

Les principaux types d’audit de sécuritéAudit de la mise en oeuvre de la PSSI

18

Pour chaque domaine de la grille d’investigation ISO 27002, les processus sont répartis en cinq niveaux de maturité qu’une organisation va gravir en fonction de la qualité des processus qu’elle a mis en oeuvre.


19

Une synthèse globale est présentée selon le diagramme de Kiviat qui illustre les résultats de l’audit suivant les 11 domaines décrits dans l’ISO 27002


20

Pour approfondir la dimension technique de l’audit de sécurité, des grilles d’investigation sont nécessaires pour chaque composante du système d’information.

Audit de la connexion Internet Audit des accès distants

Revue du plan de continuité

Audit de Gestion d’Incident

Audit de la solution Anti-virus

Audit de la Gestion

des Tiers

Audit d’un poste de travail


21

Les grilles d’investigation détaillée peuvent être issues de : « IS Auditing Procedures » de l’ISACA

P3IDSReview P4VirusandMaliciousLogic P6Firewalls …

« Audit program & Internal control questionnaire » de l’ISACA OracleDatabaseSecurityAuditPlanandICQ OS390-zOSAuditProgram SecuringtheNetworkPerimeterAuditProgramand …

Des organismes officiels de certification, Des éditeurs ou des constructeurs, Des plans d’audit de sociétés spécialisées, …


22

Les principaux types d’audit de sécurité Audit de l’efficacité des mesures de SSI

Indépendamment de la mise en œuvre des mesures de sécurité, un audit de leur efficacité doit permettre de s’assurer qu’aucune vulnérabilité ne puisse porter atteinte à la confidentialité, l’intégrité ou la disponibilité de l’information.

Audit de Sécurité Technique

Pour déterminer si les firewalls, serveurs web, routeurs, connexions distantes, connexion sans fils, applications, sont configurés et mis en œuvre de manière adéquate au regard des risques encourus

Test d’Intrusion

Pour s’assurer de la sécurité de l’Infrastructure face à des scénarii d’attaques de personnes malveillantes (pirate, prestataire, ex-employé, utilisateur interne …)

23

Tests de vulnérabilités ou tests d’intrusion


24

Le périmètre des audits de sécurité techniques


25

La démarche d’audit

L‘ISACA (association pour le contrôle et l'audit des systèmes d'information) a établi que le caractère spécialisé de l'audit des systèmes d'information et les compétences requises pour effectuer un tel audit rendent nécessaires le développement et la promulgation de Normes Générales pour l'Audit des Systèmes d'Information.

L'audit des systèmes d'information se définit comme tout audit qui comprend l'examen et l'évaluation de tous les aspects (ou une partie d'entre eux) des systèmes de traitement automatisé de l'information, y compris les procédures connexes non-automatisées, et les interfaces qui les relient entre eux.

La démarche d’audit présente 4 grandes étapes : Planification Réalisation du travail d’audit Rapport Activités de suivi

26

Le contexte de l’audit de sécurité

Pour qui ? Direction Générale, Audit interne, Métier, Maison mère, Organisme certificateur …

Par qui ? Interne / externe

Dans quel but ? Alignement de la politique de sécurité sur

la stratégie d’entreprise, Conformité aux lois et règlements, Efficacité et efficience des contrôles, SOX, contrôle interne, Identification des risques auxquels est

exposé le SI…

Sur quel périmètre ? Organisation, Site, Service, Environnement technique, Application, …

Selon quel référentiel ? Lois et règlements Organisme Bonnes pratiques (ISO,…)

De quelle nature ? Audit de la politique de sécurité, Audit de la mise en œuvre de la politique

de sécurité, Audit de l’efficacité des mesures de

sécurité.

27

Les risques d’un audit de sécurité

Référentiel inadapté Compétences inadaptées Rapport inadapté :

Inadéquation de la recommandation dans le contexte (incompréhension des risques spécifiques liés à l’activité de l’organisme avec le métier.

Inadaptabilité de la recommandation dans le contexte de l’organisme (à qui prescrire une cage de faraday !).

Rapport non recevable : Constats non factuels. Constats non validés. Non prise en compte de la confidentialité

Dérapage dans le temps : Ne pas avoir identifié les bons interlocuteurs. Absence de clauses d’audit dans les contrats d’externalisation

IDENTIFICATION DE RISQUES TECHNIQUES ET NON DE RISQUES METIERS

28

Merci de votre attention

Questions / Réponses

[email protected]

L'audit de sécurité du système d'information

Documents

Transcript of L'audit de sécurité du système d'information