Audit de La Sécurité Des SI CESAG MPACG2JOUR
Audit de La Sécurité Des SI CESAG MPACG2JOUR
Audit de La Sécurité Des SI CESAG MPACG2JOUR
Janvier
2016
MPACG2
SOIR
IntroducRon
et
présentaRon
générale
Audit
de
la
sécurité
des
systèmes
d’informaRon
• Indépendance professionnelle,
• Indépendance organisaRonnelle,
• Le
rôle
de
la
foncRon
d’audit
des
SI
est
établi
par
la
Charte
d’Audit.
L’audit
SI
peut
faire
parRe
de
l’audit
interne
en
tant
que
groupe
indépendant
ou
intégré
à
l’audit
financier
et
opéraRonnel,
• Les
éléments
clés
connexes
de
la
gesRon
de
la
sécurité
de
l’informaRon
sont
les
suivants
:
El
Hadji
Malick
GUEYE,
CISA
Importance
de
la
gesRon
de
la
sécurité
de
l’informaRon
Contrôle
d’accès
discréRonnaire
(DAC)
• L’accès est accordé suivant l’identité du système demandant
l’accès, ou du groupe auquel il appartient;
El
Hadji
Malick
GUEYE,
CISA
Importance
de
la
gesRon
de
la
sécurité
de
l’informaRon
Problèmes
et
exposiRon
aux
crimes
informaRques
(Auteurs)
• Les employés (autorisés ou non autorisés): affiliés à
l’entreprise et possédant un accès au système en raison de
leurs responsabilités professionnelles, ces personnes peuvent
causer un grand préjudice à l’entreprise.
El
Hadji
Malick
GUEYE,
CISA
Importance
de
la
gesRon
de
la
sécurité
de
l’informaRon
Méthodes
et
techniques
d’araque
1. Attaque par altération
2. Réseau zombie
3. Attaque de force
4. Déni de service
5. Intrusion par réseau commuté
6. Ecoute illégale
7. Bombardement de courriel et pourriel
8. Courriels frauduleux
9. Inondation
10. Attaque par interruption
11. Code malveillant
• Les
logiciels
desRnés
aux
réseaux
locaux
ne
procurent
qu’un
faible
niveau
de
sécurité.
L’accent
étant
mis
sur
les
capacités
et
les
foncRonnalités
plutôt
que
sur
la
sécurité.
• Les
risques
associés
à
l’uRlisaRon
des
réseaux
locaux
inclus
entre
autres
:
o La perte de l’intégrité des données suite aux modifications non autorisées;
o Le manque de protection des données courantes;
o L’exposition à des activité externes à cause d’une vérification limitée des
utilisateurs;
o L’infection informatique par des virus ou vers;
o La divulgation inappropriée des données;
o La violation des licences;
o L’accès illégal par l’usurpation de l’identité d’un utilisateur du réseau local;
o Le renifilage d’information relative à un utilisateur interne;
o La mystification d’un utilisateur interne;
o La destruction des données de journalisation et d’audit.
El
Hadji
Malick
GUEYE,
CISA
Importance
de
la
gesRon
de
la
sécurité
de
l’informaRon
Sécurité
d’un
réseau
local
(GesRon
de
la
sécurité)
• Les
disposiRons
relaRves
à
la
sécurité
du
réseau
local
LAN
dépendent
du
logiciel,
de
sa
version
et
de
son
implantaRon.
• Les
capacités
de
gesRon
de
la
sécurité
du
réseau
normalement
disponibles
comprennent
notamment
:
o La déclaration de la propriété des programmes, des fichiers et du
stockage;
o La restriction de l’accès à la consultation seule;
o La mise en place du verrouillage des enregistrements et fichiers afin
d’empêcher la mise à jour simultanée;
o La mise en place des procédures d’ouverture de session par ID et mot de
passe avec des règles relatives à la longueur, au format et à la fréquence
de mise à jour du mot de passe;
o L’utilisation de commutateurs pour implanter des politiques de sécurité des
points d’accès, afin d’empêcher des hôtes inconnues de se brancher sur le
réseau;
o L’encryptage du trafic local en utilisant le protocole IPSec
El
Hadji
Malick
GUEYE,
CISA
Importance
de
la
gesRon
de
la
sécurité
de
l’informaRon
Sécurité
Client-‐Serveur
• L’environnement
client-‐serveur
désigne
un
mode
de
communicaRon
à
travers
un
réseau
entre
plusieurs
programmes
ou
logiciels:
l’un,
qualifié
de
client,
envoie
des
requêtes;
l’autre
ou
les
autres
qualifiés
de
serveurs,
arendent
les
requêtes
des
clients
et
y
répondent.
• Un
système
client-‐serveur
possède
de
nombreux
points
d’accès.
Contrôle
d’accès:
Gérer
et
contrôler
les
accès
logiques
et
physiques
aux
informa/ons
et
ressources;
détecter
les
ac/vités
non
autorisées;
préciser
les
règles
à
observer
concernant
l'iden/fiant
et
le
mot
de
passe,
de
même
que
les
autorisa/ons
reliées
au
profil
d'accès.
AcquisiMon,
développement
et
maintenance
des
systèmes
d’informaMon
:
indiquer
les
règles
de
sécurité
à
observer
ou
à
exiger
dans
l'acquisi/on,
le
développement,
l'implanta/on
et
l'entre/en
d'applica/ons
et
de
logiciels.
Conformité:
Décrire
comment
s'assurer
du
respect
des
lois
et
des
réglementa/ons,
ainsi
que
de
l'efficacité
des
procédures,
de
même
que
des
mesures
de
sécurité
en
place,
en
rela/on
avec
la
poli/que
de
sécurité
de
l'informa/on
édictée
par
l’entreprise.
• Définir
les
mesures
de
sécurité
pour
réduire
les
risques
idenRfiés
par
l’implémentaRon
des
meilleures
mesures
de
contrôle
interne.
• GaranMr
la
conMnuité
des
acMvités
• Adapter
les
décision
stratégiques
en
foncRon
du
niveau
de
criRcité
des
risques
encourus
• Le
niveau
de
criMcité
de
chaque
risque
est
évalué
comme
suit
Risque=
Probabilité
d’occurrence
(Menace
x
Vulnérabilité)
x
Impact
Vulnéra
Risque
Menace
bilité
Impact
TERME
DEFINITION
AppéRt
pour
le
risque
Le
niveau
de
risque
que
le
comité
de
direcRon
est
prêt
à
prendre
pour
l’entreprise
dans
le
cadre
du
déroulement
de
sa
mission.
Tolérance
au
risque
Le
niveau
acceptable
de
variaRon
qu’une
entreprise
est
prête
à
accepter
pour
tout
risque
parRculier
Capacité
à
assumer
le
Le
niveau
maximal
de
perte
qu’une
entreprise
peut
tolérer
sans
risque
risquer
de
porter
areinte
à
son
existence.
Ainsi
il
diffère
de
l’appéRt
du
risque
qui
se
trouve
être
le
niveau
de
risque
souhaité
par
la
DirecRon
Général
et
le
Comité
de
DirecRon.
Réponse
au
risque
Consiste
à
merre
en
relief
les
risques
inhérents
dans
l’entreprise,
précise
leurs
effets
et
propose
des
réacRons
convenues
face
à
chaque
risque.
Risque
résiduel
Risque
actuel
après
choix
et
implémentaRon
de
la
réponse
au
risque.
• L’objecRf
de
la
mise
en
place
d’une
réponse
au
risque
est
de
permerre
un
alignement
du
risque
avec
l’appéMt
pour
le
risque
défini
dans
l’entreprise.
En
d’autres
termes,
une
réponse
doit
être
choisie
de
sorte
que
le
risque
résiduel
soit
en
deçà
de
la
limite
de
tolérance,
• L’évaluaRon
de
la
réponse
au
risque
n’est
pas
un
effort
unique.
Il
doit
faire
parR
du
processus
de
gesRon
du
risque,
• Lorsque
l’analyse
de
tous
les
scenari
de
risque
idenRfiés
ont
montré
un
non
alignement
avec
l’appéRt
du
risque
défini
et
le
niveau
de
tolérance,
une
réponse
est
requise.
Cere
réponse
peut
être:
o L’évitement
o L’acceptaRon
o Le
partage
o L’arénuaRon
• L’acceptaRon
du
risque
signifie
que
le
risque
est
connu
càd
que
la
haute
direcRon
a
elle-‐même
et
pour
des
raisons
valables,
pris
la
décision
de
l’accepter
ainsi.
• Parmi
les
techniques
les
plus
usitées
nous
avons
l’assurance
et
la
sous-‐traitance.
Ces
techniques
ne
soulagent
pas
l’entreprise
de
la
responsabilité
du
risque,
mais
elle
font
appel
aux
compétences
d’une
autre
enRté
dans
la
gesRon
du
risque
et
la
réducRon
des
conséquences
financière
si
un
évènement
négaRf
arrivait
à
se
produire.
• Les
accidents
:
o Pannes
matérielles
ou
logicielles,
o Bris
de
machine
accidentel
(choc,
chute,
etc.),
o Sinistre
local
:explosion,
incendie,
dégât
des
eaux,
o Événements
naturels
:
tempête,
inondaRon,
etc,
o Perte
de
services
essenRels
:
électricité,
télécommunicaRon,
eau,
etc.
• Les
erreurs
:
o Erreurs
d'uRlisaRon,
o Erreurs
de
concepRon
des
logiciels
et
des
procédures
d'applicaRon.
• La
malveillance
:
o Vol
de
matériel,
o Sabotage
matériel,
o Fraude
(détournement
de
fonds,
de
biens
ou
de
services),
o Araque
logique,
o DivulgaRon
d'informaRons
confidenRelles,
o InfracRon
aux
lois
(contrefaçon).
• Risque
juridique
o InfracRon
à
la
loi,
o Copie
illicite
de
logiciels,
o Fraude
informaRque
avec
le
matériel
de
l’entreprise.
El
Hadji
Malick
GUEYE,
CISA
Démarche
d’audit
de
sécurité
• Sur
la
base
de
ces
résultats,
des
objecRfs
et
des
exigences
de
sécurité
seront
définis
afin
de
réduire
ou
de
supprimer
les
risques
inacceptables.
• Signature
électronique
o Acte
addiRonnel
A/SA.2/01/10
du
16
février
2010
sur
les
transacRons
électroniques
o Règlement
n°15/2002/CM/UEMOA
du
23
mai
2002
relaRf
aux
systèmes
de
paiement
dans
les
états
membres
de
l’Union
Economique
et
Monétaire
Ouest
Africaine
(UEOMA)
• Cybercriminalité
o DirecRve
C/DIR/1/08111
portant
lure
contre
la
cybercriminalité
dans
l’espace
de
la
CEDEAO
• Cryptologie
o LOI
n°
2008-‐41
du
20
août
2008
portant
sur
la
Cryptologie
• Une
signature
électronique
créée
par
un
disposi/f
de
sécurité
que
le
signataire
peut
garder
sous
son
contrôle
exclusif
et
qui
repose
sur
un
cer/ficat
numérique
est
admise
comme
signature
au
même
/tre
que
la
signature
manuscrite.
ArMcle
35
Janvier
2016
MPACG2
SOIR