audit interne

16-07-2004 Centre National de l'Informatique 1

L’Audit Interne et les Nouvelles Technologies de l’Information

et de Communication

Audit de Sécurité du Système d’Information de l’Entreprise

Taher ALLAOUI Ingénieur en chef

au Centre National de l'Informatique

[email protected]


Sommaire

Chapitre 1 Quel Audit? Chapitre 2 Selon quelle démarche et avec quels outils? Chapitre 3 Une stratégie d’audit de sécurité de l’entreprise Chapitre 4 Conclusion


Chapitre 1: Quel Audit?

Réglementation en Tunisie

Définitions

Enjeux et objectifs

Risques

Périmètre


Réglementation en Tunisie

La circulaire de monsieur le Premier Ministre N°51 du 30 Novembre 2001 portant sur l’obligation de l’audit de sécurité au moins une fois par an

Création de

« l’Agence Nationale de la Sécurité Informatique »Soumise à la tutelle du Ministère chargé des technologies de la

communication

Mission: contrôle général des systèmes informatiques et des réseaux relevant des divers organismes publics ou privés, notamment:

Veiller à l’exécution des réglementations relatives à l’obligation de l’audit périodique de la sécurité du SI


Audit Mission d’examen et de vérification de la conformité (aux

règles) d’une opération, d’une activité particulière ou de la situation générale d’une entreprise

Système d’information Ensemble des moyens matériels, logiciels et

organisationnels qui permettent de recevoir, de stoker et de traiter l’information

Donc un audit nécessite Un périmètre Un référentiel Une méthode Des moyens et compétences

Définitions

Audit Mission d’examen et de vérification de la conformité (aux

règles) d’une opération, d’une activité particulière ou de la situation générale d’une entreprise

Système d’information Ensemble des moyens matériels, logiciels et

organisationnels qui permettent de recevoir, de stoker et de traiter l’information

Donc un audit nécessite Un périmètre Un référentiel Une méthode Des moyens et compétences


Enjeux et objectifs

Pour maintenir son avantage compétitif de manière durable, l’entreprise doit:

Assurer la disponibilité de ses outils, et particulièrement de son outil informatiqueAssurer l’intégrité de l’information stockée dans son

système d’informationPréserver la confidentialité de l’information

La sécurité informatique se fixe l’objectif suivant: protéger les actifs informatiques de l’entreprise contre les risques

<actifs=informations, applications, systèmes, ressources humaines>


Risques

Le Risque Le fait qu’un événement puisse empêcher de

Maintenir une situation donnéeet

Maintenir un objectif dans des conditions fixéeset

Satisfaire une finalité programmée


Risques

3 types de Risques

Exposition naturelle Intention de l’agresseur Possibilité de sinistre


Risques

Malversations et fraudes

Divulgation desinformations

Accidents(incendie, dégâts des eaux,..)

Pannes

Erreurs(utilisation, exploitation,..)Attaques

(tendance actuelle)

Particulièrement variables selon les environnements


Périmètre

Le périmètre organisationnel et fonctionnel

Organisation de la sécurité La répartition des responsabilités La sensibilisation Contrôle

Politique et les guides de sécurité

Procédures de sécurité


La sécurité physique

Lutte anti-incendie, dégâts des eauxContrôle des accèsSauvegarde et archivage des documents

Périmètre


Périmètre

La sécurité des systèmes

Matériels (postes de travail et serveurs) Logiciels de base Lutte antivirale

La sécurité des réseaux

Matériels (routeurs, concentrateurs,..) Contrôle des accès logiques Lignes de transmissions

La sécurité des applications/bases de données


Chapitre 2: Selon quelle démarche et avec quels outils?

Définitions

La norme ISO17799/BS7799

Les méthodes

Les méthodes globales

Les méthodes propriétaires

Sans méthode

Les outils

Outils méthodologiques

Référentiel

Tests de configuration

Tests de vulnérabilités


Définitions

Norme code de bonnes pratiques de sécurité du système

d’information :

Va du général (l’organisation, politique

générale de sécurité, etc..) au détail (gestion de mot de passe, contrôle

d’accès,etc..)

Liste les mesures à prendre, mais n’explique pas la façon de les mettre en œuvre


Définitions

Méthode sert à évaluer les pratiques de l’entreprise -par rapport à

un référentiel- face aux risques auxquelles elle s’expose et propose des parades adaptées

Norme et méthode sont complémentaires

Pas de méthode sans norme



ISO17799

Défini des objectifs et des recommandations concernant la sécurité de l’information Norme globale à tout type d’organisme

Historique ISO17799

Groupe britannique ayant produit BS7799:1995, puis BS7799-1:1999

La première partie de BS7799 a été soumise deux fois en procédure fast track à l’ISO

Elle a été acceptée en décembre 2000 et publiée sous le numéro ISO 17799:2000



Usage l’application de la norme ISO 17799 peut être le

résultat d’une série d’étapes schématisées comme suit:

Le corps de la norme ISO 17799 décrit la quatrième étape ‘’quoi faire ‘’ sans pour autant

préciser ‘’comment le faire’’


Les méthodes

Les méthodes globales

Cobit Cramm Ebios MEHARI Mv3

Se présentent sous forme de documents (questionnaires)

Les réponses à ces questions servent à dresser

la cartographie des pratiques de sécurité


Les méthodes globales :Comparatif des cinq méthodes d’audit

Nom de la méthode Cobit v3 CRAMM v4 Ebios 1.0.2 Mehari MV3

Caractéristiques

Analyse des risques Non Oui Oui Oui Oui

Analyse des vulnérabilités Non Oui Oui Oui Oui

Plan de sécurité Non Oui Oui Oui Oui

Contrôle et vérification Oui Non Non Oui Oui

Bilan de sécurité Non Non Non Oui Non

Périmètre

Adapté à toutes les tailles d’entreprise Oui Oui Oui Oui Oui

Conçu pour des environnementsTechnologiques divers

Oui Oui Oui Oui Oui

Outils

Questionnaires Oui Oui Oui Oui Oui

Modèles (formulaires, grilles..) Oui Oui Oui Oui Oui

Logiciel disponible Non Oui Non Oui Oui


Les méthodes globales: La méthode MEHARI

Développée par la commission Méthodes du CLUSIF Méthode d’analyse des ressources: mesurer l’impact du sinistre

en terme de D,C,I Classifier les ressources selon des seuils de gravité définis sur une

échelle de 1 à 4

Potentialité

Impact Gravité = f (I,P)

4 = Risques insupportables3 = Risques inadmissibles2 = Risques tolérés

4

3

2

1

0 3 4 4 4

0 2 3 3 3

0 1 1 2 2

0 0 0 1 1

0 1 2 3 4



causesconséquences



Traiter les risques :

en se basant sur un référentiel (ISO17799, base de

connaissances Mehari)

Définir une politique de sécurité

Etablir une charte de management: Droits et devoirs du

personnel de l’Entreprise

Etablir un plan de sécurité Etablir un Bilan de sécurité



Objectifs

personnaliser et simplifier

adapter à l’environnement de l’entrepriseobtenir une visibilité des risques et

un plan d’actions en un laps de temps restreint

Plus pragmatique Un luxe pour le RSSI



Démarchesmodifier une méthode formellecombiner les apports de plusieurs méthodes formelles

Sélection d’un sous ensemble de questions adapté au métier de l’entreprise

L’expérience du consultant qui fait la différence


Sans méthode

Se limite à: Des tests des vulnérabilités automatisés

Des tests d’intrusions réseaux

sécuriser un serveur ou un réseau est une chose

Mais sécuriser un SI d’une entreprise est beaucoup

plus compliqué


Les outils

Les outils méthodologiques

attention aux limites de l’automatisation

(Risicare pour Mehari, caliis, etc..)

Les référentiels de sécurité

la politique de sécurité de l’entreprise

les guides de sécurité par environnement

les normes applicables (ISO17799,…)


Les outils

Les tests de configuration Otuils pour Windows, Unix System Scanner de ISS, (logiciel commercial) Tripwire (logiciel libre)

Nécessitent de définir une politique technique de sécurité /pas d’analyse de failles

Non intrusifs, non perturbateurs

Nécessitent une forte expertise pour la configuration


Les outils

Les tests de vulnérabilités Outils public (Nessus, Satan,…) ou

commerciaux (Internet Scanner de ISS,…)Indiquent des vulnérabilités

potentielles/potentiellement intrusifDemandent une adresse /plage(s) IPUtilisés par les ‘’hackers’’

Nécessitent une forte expertise


Chapitre 3: Une stratégie d’audit de sécurité de l’entreprise

Construire une stratégie d’audit

Les différentes approches d’audit

Une approche adaptée à l’entreprise

Présentation

Périmètre

Démarche

Apports



Evaluation globale de la sécurité du SI

Dans le cadre d’une réorganisation ( rachat, refonte,…) Audit complet, indépendant

Dans un cadre de consolidation globale de la sécurité Analyse des risques ( fonctionnels/techniques/juridiques) Plan d’action détaillé Audits réguliers à large périmètre

Dans le cadre d’une mise en cohérence de la sécurité Comparaison site à site ou vis-à-vis de la profession Méthode rigoureuse et applications régulières

Dans le cadre d’une sensibilisation Audits participatifs / auto évaluation



Evaluation par composant (projet, système,…)

Evaluer la sécurité d’un composant du SI Sécurité d’un produit Qualifier/recetter/..

Analyser, sur incident Sur mesure Nécessite une très forte expertise technique


Les différentes approches

Audit de vérification Analyser l’état d’un système et/ou d’un réseau du point

de vue: organisation, architecture, configuration, exploitation et compétences

Audit d’agrément Vérifier l’état du système vis-à-vis d’un référentiel

existant

Audit intrusif Rechercher les failles par un point donné du réseau

(utilisation des outils d’intrusions) Simuler des attaques: tests d’intrusion depuis l’extérieur

Elles ne sont pas exclusives


Une approche adaptée à l’entreprise : Présentation

Les méthodes formelles (Mehari, Cobit,etc..) Lourdes

Reservées aux grands comptes Les méthodes Propriétaires

Souples Peuvent ne pas couvrir tout le périmètre

Dépendent étroitement de l’auditeur

Une approche plus adaptée à l’entreprise

(Banque, Assurance, PME/PMI, etc..)

Assiste l’auditeur, précise et pragmatique


Une approche adaptée à l’entreprise : Périmètre

Les composantes du système d’information

le matériel (PC, serveurs, réseaux)

les logiciels (OS, gestion réseau, gestion sécurité)

les données (sécurité, sauvegarde,archivage)

l’architecture (C/S, intranet, extranet, Internet)

le personnel (les utilisateurs, les administrateurs, les

développeurs)

la documentation (procédures d’installation,

procédures de restauration, politique de sécurité, plan de

sécurité)



Les menaces

Accidentelles pannes dysfonctionnement incendie dégâts des eaux coupure électrique

Intentionnelles vol d’informations modification de données d’importance capitale vol et destruction des matériels



Les attaques par outils automatisés

Destruction par virus, ver, bombes logicielles

Intrusion par cheval de troie

Intrusion par portes dérobées

Espionnage d’analyse de trafic

Intrusion par bogues logiciels

Exploitation des accès non sécurisés

Déni de service

Surveillance des messageries d’entreprises

Man in the Middle


Une approche adaptée à l’entreprise : Démarche

La méthode est basée sur le référentiel ISO17799 et l’expérience des consultants, appliquée en cinq phases:

Phase1: Définition/validation du périmètre de sécurité et des enjeux (entretiens) Phase2: Identifications des menaces

Phase3: Identifications des vulnérabilités Entretiens techniques, consultation de documents Récupération des configurations Tests d’intrusion automatisés (outils du logiciel libre, outils commerciaux)

Phase4: Analyse du risque par recoupement des phases 1 à 3

Phase5: Etablissement des recommandations (logique/organisationnel/physique) Elaboration d’une solution technique


Une approche adaptée à l’entreprise : Démarche

Principaux résultatsDéfinition des moyens de sécurité couvrant les aspects technique physique et

organisationnel

Définition d’une politique de sécurité interne le cas échéant

Principales fournitures Rapport d’audit avec préconisations d’améliorations

Estimation du coût de la solution technique à acquérir

Présentation au management de l’entreprise

Charge de travail de trois à huit semaines, selon la taille de l’entreprise (architecture SI, BD,

réseau, serveurs, personnel)

un consultant et un/deux ingénieurs


Une approche adaptée à l’entreprise : Apports

Convivialité les RSSI sont plus sensibles à leur vision du risque qu’à une conformité à une

méthode ou à une norme

appréciée par les responsables (management de l’entreprise, RSSI)

garantit une implication des intéressés dans le constat et la mise en œuvre des

actions correctrices

Performance complète (organisationnel et technique)

parades plus adaptées (tient compte de nouveau mode de fonctionnement de l’entreprise)

offre une solution technique optimale en terme d’architecture et outils

Coût faible coût (délais et charges: réduits)

évite d’investir dans des outils qui protègeraient d’un risque de faible impact


Chapitre 4: Conclusion

L’audit reste: une affaire de méthode

une prestation interne, même lorsque les tests d’intrusion se

font de l’extérieur

L’audit est récurrent (1fois/1 ou 2 ans)

les risques se développent

le niveau de sécurité appliqué au SI est dynamique

Résultat de l’audit peut être contredit par le moindre changement du SI


Chapitre 4: Conclusion

L’audit: Approche technique ou fonctionnelle ?

les outils automatisés sont utiles, voire indispensables

Oui mais

Ils offrent une photo à un instant t mais pas dans le temps

Ils ne couvrent pas tout le périmètre (organisation, procédures, traitement des incidents,…)

Ils ne sensibilisent pas

Donc des audits ‘’organisationnels’’, voire fonctionnels

sont aussi indispensables

Une double compétence s’impose… Le problème de certification de l’auditeur se pose…


L’Audit Interne et les Nouvelles Technologies de l’Information et de

Communication

audit interne

Documents