Référentiels et Normes pour l'Audit

de la Sécurité des SI

Fadhel GHAJATI fadhel.ghajati@ansi.tn

Lead Auditor ISO 27001

Risk Manager ISO 27005

Cyber Security Day 2016

Jendouba 13-04-2016

• Introduction

• Problématique

• L’audit de la sécurité du SI

• Types d’audit

• ISO 27002

• Référentiel de l’ANSI

• Conclusion

2

Plan

Introduction

3

Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques

doivent être mise en œuvre sur l’ensemble des moyens supportant le système

d’information.

Un cadre cohérent et organisé.

Objectifs et des exigences de sécurité qui traduisent les contraintes et les risques qui

pèsent sur le système d’information.

L’objectif de ces mesures de sécurité

La confidentialité

L’intégrité

La disponibilité

La traçabilité

Problématique

4

Contraintes

spécifiques

(légales et

réglementaire)

Stratégie de

risque de

l’entreprise

Contraintes

spécifiques

(légales et

réglementaire)

Bonnes pratiques

Standards,

Guidelines

Analyse de

risque sur un SI

Métier

Exigences de

sécurité

Mesures de

sécurité

Bonnes pratiques

Maitrise

d’o

uvra

ge

Maitrise

d’o

uvre

Politique de

sécurité

Périmètre de l’entreprise

Problématique

5

Les questions auxquelles se doivent de répondre les audits de sécurité du SI

A quelles exigences légales et réglementaires le Système

d’Information est

il soumis ?

Ces contraintes légales et réglementaires sont elles respectées ?

La politique de sécurité est elle alignée sur la

stratégie d’entreprise ?

L’organisation de la sécurité est elle fonctionnelle ?

Les objectifs et contrôles de sécurité sont ils exhaustifs?

La continuité des activités de l’entreprise est elle assurée ?

Les mesures de sécurité opérationnelles sont elles alignées sur la

politique de sécurité ?

Les mesures de sécurité opérationnelles mises en place sont elles efficaces ?

Pistes de vérification

6

L’audit de sécurité du SI

• L’audit de sécurité du système d’information est un examen méthodique d’une

situation liée à la sécurité de l’information en vue de vérifier sa conformité à

des objectifs, à des règles ou à des normes.

• Compte tenu du cadre de gestion de la sécurité de l’information, les audits de

sécurité peuvent adresser des problématiques différentes comme par exemple :

La prise en compte des contraintes,

L’analyse des risques,

La politique de sécurité,

La prise en compte de contraintes spécifiques dans la mise en œuvre d’un système

d’information particulier (problématique liée à l’audit des projets),

La mise en œuvre de politique de sécurité,

Les mesures de sécurité.

7

ISO 19011 v 2011 – ISO 27007

Il convient que le programme d’audit comporte les informations et ressources nécessaires pour

organiser et réaliser ses audits de façon efficace et effective dans les délais spécifiés. Ce

programme peut également inclure:

des objectifs pour le

programme d’audit et

les audits individuels

l’étendue/le

nombre/les types/la

durée/les lieux/le

calendrier des audits

les procédures

de programme

d’audit;

les critères

d’audit;

les méthodes

d’audit;

la constitution

des équipes

d’audit

les ressources

nécessaires, y compris

les déplacements et

l’hébergement;

les processus de traitement des questions relatives à la confidentialité, à la sûreté des informations,

à la santé et à la sécurité, et autres sujets similaires.

8

Contraintes

spécifiques

(légales et

réglementaire)

Stratégie de

risque de

l’entreprise

Contraintes

spécifiques

(légales et

réglementaire)

Bonnes pratiques

Standards,

Guidelines

Analyse de

risque sur un SI

Métier

Exigences de

sécurité

Mesures de

sécurité

Bonnes pratiques

Maitrise

d’o

uvra

ge

Maitrise

d’o

uvre

Politique de

sécurité

Périmètre de l’entreprise

Audit de Sécurité Audit de Sécurité

Audit de Sécurité Audit de Sécurité

Audit de Sécurité

Les types d’audit de sécurité

9

Les principaux types d’audit de sécurité

Audit de la politique de sécurité,

Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise, aux contraintes

légales et réglementaires et aux bonnes pratiques,

Test d’intrusion, audit de vulnérabilité sur l’ensemble des composantes du SI …

Audit de l’efficacité des mesures de sécurité.

Audit de la prise en compte de la sécurité dans un projet

Audit de la mise en œuvre de politique de sécurité,

Respect des exigences de sécurité au sein de l’entreprise au travers de la mise en œuvre de

mesures de sécurité adéquates et pérennes,

Audit réglementaire

10

Les référentiels

Audit de sécurité Référentiel

Audit de la politique de sécurité

Adéquation de la politique de sécurité à la

stratégie de risques de l’entreprise, aux

contraintes légales et réglementaires et aux

bonnes pratiques,

Contexte légale et réglementaire,

Stratégie de risque de l’entreprise,

ISO 27002.

Audit de la mise en œuvre de la politique

de sécurité

Respect des exigences de sécurité au sein de

l’entreprise au travers de la mise en œuvre de

mesures de sécurité adéquates et pérennes

Politique de sécurité de l’entreprise,

ISO 27002,

CoBIT

ITIL

ISO 20000

Audit de l’efficacité des mesures de

sécurité

OWASP (Open Web Application Security

Project),

Information Security Web sites,

Bases de vulnérabilités.

Audit réglementaire ISO 27002

Référentiel de l’ANSI

11

5. Politiques de sécurité de l'information

6. Organisation de la sécurité de

l'information

7. Sécurité des ressources humaines

8. Gestion des actifs

9. Contrôle d'accès

10. Cryptographie

11. Sécurité physique et environnementale

12. Sécurité liée à l'exploitation

13. Sécurité des communications

14. Acquisition, développement et

maintenance des systèmes

d'information

15. Relations avec les fournisseurs

16. Gestion des incidents liés à la sécurité

de l'information

17. Aspects de la sécurité de l'information

dans la gestion de la continuité

de l'activité

18. Conformité

Domaines de sécurité de l'information (niveau 1) La norme ISO/IEC 27002:2013 recense de nombreux objectifs

de contrôle répartis dans chacun des 14 domaines

Catégories de sécurité (niveau 2) • La structure de la norme est semblable pour chacune des 35

catégories de sécurité :

• Un objectif de contrôle qui fait l'état sur ce qui doit

être appliqué est énoncé,

• Un ou plusieurs contrôles à appliquer sont proposés

pour remplir l'objectif de contrôle de la catégorie de

sécurité

Contrôles (niveau 3)

Au niveau inférieur, la structure de la norme est

semblable pour chacun des 114 objectifs de contrôle qui

ont été définis :

Control : le contrôle permet de définir précisément

l'état pour satisfaire à l'objectif de contrôle,

Implementation guidance : le guide d'implémentation

propose les informations détaillées pour permettre

d'effectuer l'implémentation du contrôle et de satisfaire

à l'objectif de contrôle.

Other information

ISO 27002

12

• L’audit de la politique de sécurité doit permettre de s’assurer de la pertinence de celle-ci

compte tenu de la stratégie de risques de l’entreprise, du contexte légale et réglementaire

ainsi que des bonnes pratiques.

• Le terme « politique de sécurité » peut recouvrir la politique de sécurité du groupe, la

déclinaison de la politique de sécurité du groupe au niveau des différentes entités ou métiers

ainsi que de l’ensemble des politiques de sécurité détaillées couvrant les domaines comme le

contrôle d’accès, la continuité, la classification de l’information, la protection antivirale …

• L’audit peut également couvrir :

• la méthodologie d’analyse de risques mise en œuvre,

• des standards et procédures qui découlent de la politique de sécurité.

• L’approche repose sur des interviews et des analyses documentaires.

Types d’audit

13

• L’audit de la mise en œuvre de la politique de sécurité doit permettre de s’assurer que

les exigences de sécurité sont satisfaites au travers de la mise en œuvre de mesures de

sécurité.

• Les grilles d’investigation sont construites sur la base de la politique de sécurité et/ou de

l’ISO 27002 et/ou de Cobit.

• L’approche repose sur des interviews, des visites de sites, des analyses documentaires et des

revues de paramétrage.

• Compte tenu du caractère technique du système d’information des grilles d’investigation

spécifiques sont construites pour approfondir des thématiques comme les solutions

antivirus, les dispositifs correctifs de sécurité et anti-spam, le plan de secours et de

continuité …

Types d’audit (suite)

14

• Pour chaque domaine de la grille d’investigation ISO 27002, les processus sont répartis en

six niveaux de maturité qu’une organisation va gravir en fonction de la qualité des

processus qu’elle a mis en œuvre.

(0) Inexistant

Types d’audit (suite)

15

0 - Aucun - processus/documentation en place

1 - Initial - Le processus est caractérisé par la prédominance d'interventions ponctuelles, voire

chaotiques. Il est très peu défini et la réussite dépend de l'effort individuel

2 - Reproductible - Une gestion élémentaire de la sécurité est définie pour assurer le suivi des

coûts, des délais et de la fonctionnalité. L'expertise nécessaire au processus est en place pour

reproduire la même action

3 - Défini - Le processus de sécurité est documenté, normalisé et intégré dans le processus

standard de l'organisation

4 - Maîtrisé - Des mesures détaillées sont prises en ce qui concerne le déroulement du processus

et la qualité générée. Le processus et le niveau de qualité sont connus et contrôlés

quantitativement

5 - Optimisation - Une amélioration continue du processus est mise en œuvre par une

rétroaction quantitative émanant du processus lui-même et par l'application d'idées et de

technologies innovatrices

Types d’audit (suite)

16

Portrait Actuel Portrait Cible

Types d’audit (suite)

17

Une synthèse globale est présentée selon le diagramme de Kiviat qui illustre les résultats de

l’audit suivant les 14 domaines décrits dans l’ISO 27002

Audit des accès distants

Audit de la connexion Internet

Audit des équip. de réseau & sécurité

Audit de la solution Antivirale

Audit de la Gestion des Tiers

Audit de Gestion d’Incident

Revue du plan de continuité

Audit des serveurs et des postes de travail

Pour approfondir la dimension technique de l’audit de sécurité, des grilles d’investigation sont

nécessaires pour chaque composante du système d’information.

Types d’audit (suite)

18

Indépendamment de la mise en œuvre des mesures de sécurité, un audit de leur efficacité doit

permettre de s’assurer qu’aucune vulnérabilité ne puisse porter atteinte à la confidentialité,

l’intégrité ou la disponibilité de l’information.

Pour s’assurer de la sécurité de l’Infrastructure face à des scénarii d’attaques de personnes

malveillantes (pirate, prestataire, ex-employé, utilisateur interne …)

Test d’Intrusion

Pour déterminer si les firewalls, serveurs web, routeurs, connexions distantes, connexion sans fils,

applications, sont configurés et mis en œuvre de manière adéquate au regard des risques encourus

Audit de Sécurité Technique

Types d’audit (suite)

19

Tests d’Intrusion

Externe

Interne

Physique

Intranet

Extranet

Wifi

Accès à distance

Types d’audit (suite)

20

Types d’audit (suite)

21

Audit de Sécurité Technique

Les risques

Référentiel inadapté

Compétences inadaptées

Rapport inadapté :

• Inadéquation de la recommandation dans le contexte (incompréhension des risques

spécifiques liés à l’activité de l’organisme avec le métier.

• Inadaptabilité de la recommandation dans le contexte de l’organisme.

Rapport non recevable :

• Constats non factuels.

• Constats non validés.

• Non prise en compte de la confidentialité

Dérapage dans le temps :

• Ne pas avoir identifié les bons interlocuteurs.

• Absence de clauses d’audit dans les contrats d’externalisation

IDENTIFICATION DE RISQUES TECHNIQUES ET NON DE RISQUES METIERS

22

23

Décret N°2004-1250 du 25 mai 2004 fixant:

• les systèmes informatiques et les réseaux des organismes soumis à l’audit obligatoire

périodique de la sécurité informatique,

• les critères relatifs:

• à la nature de l’audit et à sa périodicité,

• aux procédures de suivi de l’application des recommandations contenues dans le

rapport d’audit.

Assistance fournie par l’ANSI à ces organismes:

• modèle de TdR,

• équipe pour les assister à la réalisation de leurs missions d’audit

Référentiel de l’ANSI

24

• Référentiel de base: la norme ISO 27002

• Conduite des activités d’audit:

Audit organisationnel et physique

Audit technique

Appréciation des risques

• Livrables:

Rapport détaillé couvrant les différents aspects spécifiés dans le Cahier des

Clauses Techniques

Rapport présentant un plan d’action cadre s’étalant sur trois ans

Rapport de synthèse, destiné à la direction générale

Ancienne version des TdR

25

• Subjectivité dans l’interprétation de la norme: audit de conformité ou

audit par rapport à la PSSI ??

Impact sur la conduite des activités d’audit

Impact sur la qualité des rapports d’audit

nécessité de la mise à jour des TdR

Problèmes rencontrés

26

• Référentiel de base: Référentiel d’audit de la sécurité des systèmes d’information

établi par l’ANSI (Annexe A)

• Conduite des activités d’audit:

Identification des vulnérabilités: résultat de vérification par rapport aux critères d’audit

présentés au niveau du référentiel

Présentation des bonnes pratiques décelées et des vulnérabilités identifiées (section

« 9. Présentation détaillée des résultats de l’audit » du modèle de rapport d’audit (annexe

B))

Appréciation des risques

Présentation des résultats (section « 10. Appréciation des risques » du modèle de

rapport d’audit)

• Livrables:

Rapport selon le modèle de rapport d’audit de la sécurité des systèmes d’information

(Annexe B) établi par l’ANSI

Nouvelle version

27

• Repose sur 38 critères regroupés en 11 domaines:

D1. Leadership et gouvernance de la sécurité

D2. Gestion des risques liés à la sécurité du système d’information

D3. Sécurité des actifs

D4. Sécurité du personnel et développement des capacités

D5. Protection de l’environnement physique du système d’information

D6. Sécurité des services d’infrastructure

D7. Sécurité des services métiers

D8. Sécurité des terminaux

D9. Sécurité des applications

D10. Gestion des incidents de sécurité

D11. Gestion de la continuité des activités

Référentiel (Annexe A)

28

Exemple

D2. Gestion des risques liés à la sécurité du système d’information

Critères d’audit: (7) L’audité doit maintenir un système de gestion des risques de sécurité des systèmes d’information

Vérifications à effectuer: Si l’audité a identifié et documenté les risques de sécurité du SI auxquels il est exposé,

Si le niveau de risque a été quantifié,

Si, pour chaque risque considéré comme inacceptable, des mesures ont été prises pour ramener le risque

à un niveau acceptable,

Si un suivi permanent des risques et de leurs niveaux a été mis en place,

Si chaque risque, pris individuellement, a été pris en charge et a fait l’objet d’une décision de traitement

(Acceptation, Transfert, Réduction, Evitement).

Preuves suffisantes d’audit: Document de cartographie des risques répertoriés

Document de traitement des risques (Plan d’action, etc.)

Référentiel (Annexe A)

29

• Champ de l’audit,

• Méthodologie d’audit,

• Synthèse des résultats de l’audit,

• Présentation détaillée des résultats de l’audit,

• Appréciation des risques,

• Plan d’action,

• Annexes

Description du SI de l’organisme

Planning d’exécution réel de la mission d’audit de la sécurité du SI

Evaluation de l’application du dernier plan d’action

Etat de maturité de la sécurité du SI

Plan d’action proposé

Modèle de rapport (Annexe B)

Une première mission type effectuée par le ministère de

l’environnement et le développement durable en 2015

30

Pour qui ?

Direction Générale,

Audit interne,

Métier,

Maison mère,

Organisme certificateur …

Conclusion

31

Par qui ?

Interne / externe

Dans quel but ?

Alignement de la politique de

sécurité sur la stratégie d’entreprise,

Conformité aux lois et règlements,

Efficacité et efficience des contrôles,

SOX, contrôle interne,

Identification des risques auxquels

est exposé le SI…

Sur quel périmètre ?

Organisation,

Site,

Service,

Environnement technique,

Application, …

Selon quel référentiel ?

Lois et règlements

Organisme

Bonnes pratiques (ISO,…)

De quelle nature ?

Audit de la politique de sécurité,

Audit de la mise en œuvre de la politique de

sécurité,

Audit de l’efficacité des mesures de sécurité.

MERCI POUR VOTRE ATTENTION