audit interne
TRANSCRIPT
16-07-2004 Centre National de l'Informatique 1
L’Audit Interne et les Nouvelles Technologies de l’Information
et de Communication
Audit de Sécurité du Système d’Information de l’Entreprise
Taher ALLAOUI Ingénieur en chef
au Centre National de l'Informatique
16-07-2004 Centre National de l'Informatique 2
Sommaire
Chapitre 1 Quel Audit? Chapitre 2 Selon quelle démarche et avec quels outils? Chapitre 3 Une stratégie d’audit de sécurité de l’entreprise Chapitre 4 Conclusion
16-07-2004 Centre National de l'Informatique 3
Chapitre 1: Quel Audit?
Réglementation en Tunisie
Définitions
Enjeux et objectifs
Risques
Périmètre
16-07-2004 Centre National de l'Informatique 4
Réglementation en Tunisie
La circulaire de monsieur le Premier Ministre N°51 du 30 Novembre 2001 portant sur l’obligation de l’audit de sécurité au moins une fois par an
Création de
« l’Agence Nationale de la Sécurité Informatique »Soumise à la tutelle du Ministère chargé des technologies de la
communication
Mission: contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics ou privés, notamment:
Veiller à l’exécution des réglementations relatives à l’obligation de l’audit périodique de la sécurité du SI
16-07-2004 Centre National de l'Informatique 5
Audit Mission d’examen et de vérification de la conformité (aux
règles) d’une opération, d’une activité particulière ou de la situation générale d’une entreprise
Système d’information Ensemble des moyens matériels, logiciels et
organisationnels qui permettent de recevoir, de stoker et de traiter l’information
Donc un audit nécessite Un périmètre Un référentiel Une méthode Des moyens et compétences
Définitions
Audit Mission d’examen et de vérification de la conformité (aux
règles) d’une opération, d’une activité particulière ou de la situation générale d’une entreprise
Système d’information Ensemble des moyens matériels, logiciels et
organisationnels qui permettent de recevoir, de stoker et de traiter l’information
Donc un audit nécessite Un périmètre Un référentiel Une méthode Des moyens et compétences
16-07-2004 Centre National de l'Informatique 6
Enjeux et objectifs
Pour maintenir son avantage compétitif de manière durable, l’entreprise doit:
Assurer la disponibilité de ses outils, et particulièrement de son outil informatiqueAssurer l’intégrité de l’information stockée dans son
système d’informationPréserver la confidentialité de l’information
La sécurité informatique se fixe l’objectif suivant: protéger les actifs informatiques de l’entreprise contre les risques
<actifs=informations, applications, systèmes, ressources humaines>
16-07-2004 Centre National de l'Informatique 7
Risques
Le Risque Le fait qu’un événement puisse empêcher de
Maintenir une situation donnéeet
Maintenir un objectif dans des conditions fixéeset
Satisfaire une finalité programmée
16-07-2004 Centre National de l'Informatique 8
Risques
3 types de Risques
Exposition naturelle Intention de l’agresseur Possibilité de sinistre
16-07-2004 Centre National de l'Informatique 9
Risques
Malversations et fraudes
Divulgation desinformations
Accidents(incendie, dégâts des eaux,..)
Pannes
Erreurs(utilisation, exploitation,..)Attaques
(tendance actuelle)
Particulièrement variables selon les environnements
16-07-2004 Centre National de l'Informatique 10
Périmètre
Le périmètre organisationnel et fonctionnel
Organisation de la sécurité La répartition des responsabilités La sensibilisation Contrôle
Politique et les guides de sécurité
Procédures de sécurité
16-07-2004 Centre National de l'Informatique 11
La sécurité physique
Lutte anti-incendie, dégâts des eauxContrôle des accèsSauvegarde et archivage des documents
Périmètre
16-07-2004 Centre National de l'Informatique 12
Périmètre
La sécurité des systèmes
Matériels (postes de travail et serveurs) Logiciels de base Lutte antivirale
La sécurité des réseaux
Matériels (routeurs, concentrateurs,..) Contrôle des accès logiques Lignes de transmissions
La sécurité des applications/bases de données
16-07-2004 Centre National de l'Informatique 13
Chapitre 2: Selon quelle démarche et avec quels outils?
Définitions
La norme ISO17799/BS7799
Les méthodes
Les méthodes globales
Les méthodes propriétaires
Sans méthode
Les outils
Outils méthodologiques
Référentiel
Tests de configuration
Tests de vulnérabilités
16-07-2004 Centre National de l'Informatique 14
Définitions
Norme code de bonnes pratiques de sécurité du système
d’information :
Va du général (l’organisation, politique
générale de sécurité, etc..) au détail (gestion de mot de passe, contrôle
d’accès,etc..)
Liste les mesures à prendre, mais n’explique pas la façon de les mettre en œuvre
16-07-2004 Centre National de l'Informatique 15
Définitions
Méthode sert à évaluer les pratiques de l’entreprise -par rapport à
un référentiel- face aux risques auxquelles elle s’expose et propose des parades adaptées
Norme et méthode sont complémentaires
Pas de méthode sans norme
16-07-2004 Centre National de l'Informatique 16
La norme ISO17799/BS7799
ISO17799
Défini des objectifs et des recommandations concernant la sécurité de l’information Norme globale à tout type d’organisme
Historique ISO17799
Groupe britannique ayant produit BS7799:1995, puis BS7799-1:1999
La première partie de BS7799 a été soumise deux fois en procédure fast track à l’ISO
Elle a été acceptée en décembre 2000 et publiée sous le numéro ISO 17799:2000
16-07-2004 Centre National de l'Informatique 17
La norme ISO17799/BS7799
Usage l’application de la norme ISO 17799 peut être le
résultat d’une série d’étapes schématisées comme suit:
Le corps de la norme ISO 17799 décrit la quatrième étape ‘’quoi faire ‘’ sans pour autant
préciser ‘’comment le faire’’
16-07-2004 Centre National de l'Informatique 18
Les méthodes
Les méthodes globales
Cobit Cramm Ebios MEHARI Mv3
Se présentent sous forme de documents (questionnaires)
Les réponses à ces questions servent à dresser
la cartographie des pratiques de sécurité
16-07-2004 Centre National de l'Informatique 19
Les méthodes globales :Comparatif des cinq méthodes d’audit
Nom de la méthode Cobit v3 CRAMM v4 Ebios 1.0.2 Mehari MV3
Caractéristiques
Analyse des risques Non Oui Oui Oui Oui
Analyse des vulnérabilités Non Oui Oui Oui Oui
Plan de sécurité Non Oui Oui Oui Oui
Contrôle et vérification Oui Non Non Oui Oui
Bilan de sécurité Non Non Non Oui Non
Périmètre
Adapté à toutes les tailles d’entreprise Oui Oui Oui Oui Oui
Conçu pour des environnementsTechnologiques divers
Oui Oui Oui Oui Oui
Outils
Questionnaires Oui Oui Oui Oui Oui
Modèles (formulaires, grilles..) Oui Oui Oui Oui Oui
Logiciel disponible Non Oui Non Oui Oui
16-07-2004 Centre National de l'Informatique 20
Les méthodes globales: La méthode MEHARI
Développée par la commission Méthodes du CLUSIF Méthode d’analyse des ressources: mesurer l’impact du sinistre
en terme de D,C,I Classifier les ressources selon des seuils de gravité définis sur une
échelle de 1 à 4
Potentialité
Impact Gravité = f (I,P)
4 = Risques insupportables3 = Risques inadmissibles2 = Risques tolérés
4
3
2
1
0 3 4 4 4
0 2 3 3 3
0 1 1 2 2
0 0 0 1 1
0 1 2 3 4
16-07-2004 Centre National de l'Informatique 21
Les méthodes globales: La méthode MEHARI
causesconséquences
16-07-2004 Centre National de l'Informatique 22
Les méthodes globales: La méthode MEHARI
Traiter les risques :
en se basant sur un référentiel (ISO17799, base de
connaissances Mehari)
Définir une politique de sécurité
Etablir une charte de management: Droits et devoirs du
personnel de l’Entreprise
Etablir un plan de sécurité Etablir un Bilan de sécurité
16-07-2004 Centre National de l'Informatique 23
Les méthodes propriétaires
Objectifs
personnaliser et simplifier
adapter à l’environnement de l’entrepriseobtenir une visibilité des risques et
un plan d’actions en un laps de temps restreint
Plus pragmatique Un luxe pour le RSSI
16-07-2004 Centre National de l'Informatique 24
Les méthodes propriétaires
Démarchesmodifier une méthode formellecombiner les apports de plusieurs méthodes formelles
Sélection d’un sous ensemble de questions adapté au métier de l’entreprise
L’expérience du consultant qui fait la différence
16-07-2004 Centre National de l'Informatique 25
Sans méthode
Se limite à: Des tests des vulnérabilités automatisés
Des tests d’intrusions réseaux
sécuriser un serveur ou un réseau est une chose
Mais sécuriser un SI d’une entreprise est beaucoup
plus compliqué
16-07-2004 Centre National de l'Informatique 26
Les outils
Les outils méthodologiques
attention aux limites de l’automatisation
(Risicare pour Mehari, caliis, etc..)
Les référentiels de sécurité
la politique de sécurité de l’entreprise
les guides de sécurité par environnement
les normes applicables (ISO17799,…)
16-07-2004 Centre National de l'Informatique 27
Les outils
Les tests de configuration Otuils pour Windows, Unix System Scanner de ISS, (logiciel commercial) Tripwire (logiciel libre)
Nécessitent de définir une politique technique de sécurité /pas d’analyse de failles
Non intrusifs, non perturbateurs
Nécessitent une forte expertise pour la configuration
16-07-2004 Centre National de l'Informatique 28
Les outils
Les tests de vulnérabilités Outils public (Nessus, Satan,…) ou
commerciaux (Internet Scanner de ISS,…)Indiquent des vulnérabilités
potentielles/potentiellement intrusifDemandent une adresse /plage(s) IPUtilisés par les ‘’hackers’’
Nécessitent une forte expertise
16-07-2004 Centre National de l'Informatique 29
Chapitre 3: Une stratégie d’audit de sécurité de l’entreprise
Construire une stratégie d’audit
Les différentes approches d’audit
Une approche adaptée à l’entreprise
Présentation
Périmètre
Démarche
Apports
16-07-2004 Centre National de l'Informatique 30
Construire une stratégie d’audit
Evaluation globale de la sécurité du SI
Dans le cadre d’une réorganisation ( rachat, refonte,…) Audit complet, indépendant
Dans un cadre de consolidation globale de la sécurité Analyse des risques ( fonctionnels/techniques/juridiques) Plan d’action détaillé Audits réguliers à large périmètre
Dans le cadre d’une mise en cohérence de la sécurité Comparaison site à site ou vis-à-vis de la profession Méthode rigoureuse et applications régulières
Dans le cadre d’une sensibilisation Audits participatifs / auto évaluation
16-07-2004 Centre National de l'Informatique 31
Construire une stratégie d’audit
Evaluation par composant (projet, système,…)
Evaluer la sécurité d’un composant du SI Sécurité d’un produit Qualifier/recetter/..
Analyser, sur incident Sur mesure Nécessite une très forte expertise technique
16-07-2004 Centre National de l'Informatique 32
Les différentes approches
Audit de vérification Analyser l’état d’un système et/ou d’un réseau du point
de vue: organisation, architecture, configuration, exploitation et compétences
Audit d’agrément Vérifier l’état du système vis-à-vis d’un référentiel
existant
Audit intrusif Rechercher les failles par un point donné du réseau
(utilisation des outils d’intrusions) Simuler des attaques: tests d’intrusion depuis l’extérieur
Elles ne sont pas exclusives
16-07-2004 Centre National de l'Informatique 33
Une approche adaptée à l’entreprise : Présentation
Les méthodes formelles (Mehari, Cobit,etc..) Lourdes
Reservées aux grands comptes Les méthodes Propriétaires
Souples Peuvent ne pas couvrir tout le périmètre
Dépendent étroitement de l’auditeur
Une approche plus adaptée à l’entreprise
(Banque, Assurance, PME/PMI, etc..)
Assiste l’auditeur, précise et pragmatique
16-07-2004 Centre National de l'Informatique 34
Une approche adaptée à l’entreprise : Périmètre
Les composantes du système d’information
le matériel (PC, serveurs, réseaux)
les logiciels (OS, gestion réseau, gestion sécurité)
les données (sécurité, sauvegarde,archivage)
l’architecture (C/S, intranet, extranet, Internet)
le personnel (les utilisateurs, les administrateurs, les
développeurs)
la documentation (procédures d’installation,
procédures de restauration, politique de sécurité, plan de
sécurité)
16-07-2004 Centre National de l'Informatique 35
Une approche adaptée à l’entreprise : Périmètre
Les menaces
Accidentelles pannes dysfonctionnement incendie dégâts des eaux coupure électrique
Intentionnelles vol d’informations modification de données d’importance capitale vol et destruction des matériels
16-07-2004 Centre National de l'Informatique 36
Une approche adaptée à l’entreprise : Périmètre
Les attaques par outils automatisés
Destruction par virus, ver, bombes logicielles
Intrusion par cheval de troie
Intrusion par portes dérobées
Espionnage d’analyse de trafic
Intrusion par bogues logiciels
Exploitation des accès non sécurisés
Déni de service
Surveillance des messageries d’entreprises
Man in the Middle
16-07-2004 Centre National de l'Informatique 37
Une approche adaptée à l’entreprise : Démarche
La méthode est basée sur le référentiel ISO17799 et l’expérience des consultants, appliquée en cinq phases:
Phase1: Définition/validation du périmètre de sécurité et des enjeux (entretiens) Phase2: Identifications des menaces
Phase3: Identifications des vulnérabilités Entretiens techniques, consultation de documents Récupération des configurations Tests d’intrusion automatisés (outils du logiciel libre, outils commerciaux)
Phase4: Analyse du risque par recoupement des phases 1 à 3
Phase5: Etablissement des recommandations (logique/organisationnel/physique) Elaboration d’une solution technique
16-07-2004 Centre National de l'Informatique 38
Une approche adaptée à l’entreprise : Démarche
Principaux résultatsDéfinition des moyens de sécurité couvrant les aspects technique physique et
organisationnel
Définition d’une politique de sécurité interne le cas échéant
Principales fournitures Rapport d’audit avec préconisations d’améliorations
Estimation du coût de la solution technique à acquérir
Présentation au management de l’entreprise
Charge de travail de trois à huit semaines, selon la taille de l’entreprise (architecture SI, BD,
réseau, serveurs, personnel)
un consultant et un/deux ingénieurs
16-07-2004 Centre National de l'Informatique 39
Une approche adaptée à l’entreprise : Apports
Convivialité les RSSI sont plus sensibles à leur vision du risque qu’à une conformité à une
méthode ou à une norme
appréciée par les responsables (management de l’entreprise, RSSI)
garantit une implication des intéressés dans le constat et la mise en œuvre des
actions correctrices
Performance complète (organisationnel et technique)
parades plus adaptées (tient compte de nouveau mode de fonctionnement de l’entreprise)
offre une solution technique optimale en terme d’architecture et outils
Coût faible coût (délais et charges: réduits)
évite d’investir dans des outils qui protègeraient d’un risque de faible impact
16-07-2004 Centre National de l'Informatique 40
Chapitre 4: Conclusion
L’audit reste: une affaire de méthode
une prestation interne, même lorsque les tests d’intrusion se
font de l’extérieur
L’audit est récurrent (1fois/1 ou 2 ans)
les risques se développent
le niveau de sécurité appliqué au SI est dynamique
Résultat de l’audit peut être contredit par le moindre changement du SI
16-07-2004 Centre National de l'Informatique 41
Chapitre 4: Conclusion
L’audit: Approche technique ou fonctionnelle ?
les outils automatisés sont utiles, voire indispensables
Oui mais
Ils offrent une photo à un instant t mais pas dans le temps
Ils ne couvrent pas tout le périmètre (organisation, procédures, traitement des incidents,…)
Ils ne sensibilisent pas
Donc des audits ‘’organisationnels’’, voire fonctionnels
sont aussi indispensables
Une double compétence s’impose… Le problème de certification de l’auditeur se pose…
16-07-2004 Centre National de l'Informatique 42
L’Audit Interne et les Nouvelles Technologies de l’Information et de
Communication