Audit de La Sécurité Des SI CESAG MPACG2JOUR

AUDIT
DE LA SECURITE

DES SYSTÈMES D’INFORMATION
ET PROTECTION DES ACTIFS
El Hadji Malick GUEYE | CISA, COBIT5, ITIL

[email protected]
Janvier 2016
MPACG2 SOIR
IntroducRon et
présentaRon générale
Audit de la sécurité des systèmes d’informaRon
q  IntroducRon et présentaRon générale

q  Principes généraux des systèmes d’informaRon
q  NoRons de base de la sécurité de l’informaRon
q  Processus d'audit des systèmes d’informaRon
q  Importance de la gesRon de la sécurité
q  PoliRque et administraRon de la sécurité des SI
q  Analyse des risques
q  Démarches de l'audit de sécurité
q  Contexte législaRf au Sénégal et dans la CDEAO
q  Exercices & Cas PraRques
q  CerRficaRons
El Hadji Malick GUEYE, CISA

Principes généraux
Cybercriminalité : l'Afrique CYBERCRIMINALITÉ ET
face à une menace ENLÈVEMENT:
grandissante Quatre Nigérians placés sous
JeuneAfrique, 19 Mai 2013 mandat de dépôt
Journal l’Enquête, 20 Juin
Cybercriminalité à Dakar: 2014
près de 100 millions de Cybercriminalité: L’afrique, le
FCFA pompés dans une nouveau far-‐west
banque Sifaris, 31 Octobre 2014
Groupe FM, 04 Dec. 2013
La cybercriminalité au
Cybercriminalité au Mali: Le Mali, un autre front
« Broutage » se transporte de la contre le djihadisme.
Côte d’Ivoire au Mali. Franceinter.fr, 09 Sept.
Maliactu.net, 03 Fev. 2015 2015
Qu’est ce que la sécurité du système d’informaRon?
•  L'informaRon est un acRf précieux de l'entreprise.

o  Recherche et développement
o  Techniques de fabricaRon
o  Stratégie de l'entreprise
o  Données financières
o  InformaRons commerciales (tarifs, marges, proposiRons, …)
o  Données personnelles (médicales, clients, salariés, ...)
o  etc.

•  A ce Rtre, il faut la protéger contre :
o  La perte,
o  L'altéraRon,
o  La divulgaRon.

Qu’est ce que la sécurité du système d’informaRon?
•  L'informaRon se présente sous de nombreuses formes :
o  Imprimée ou écrite sur papier,
o  Enregistrée sur support électronique, films ou bandes
magnéRques,
o  Parlée lors de conversaRons, etc.

•  Les organisaRons modernes sont de plus en plus
dépendantes des systèmes informaRques et de
télécommunicaRon, qui sont eux-‐mêmes de plus en plus
ouverts et répandus.

•  Ces systèmes doivent donc être protégés contre :
o  L'indisponibilité,
o  L'intrusion.

Le système d’informaRon (rappel)
Le système d'informa1on est cons1tué de l'ensemble des
moyens matériels, logiciels, organisa1onnels et humains qui
agissent entre eux afin de traiter, conserver ou communiquer de
l'informa1on.

Il comprend par exemple :
•  Le système téléphonique et de télécopie (couramment
appelé « fax »),
•  La messagerie,
•  Les ordinateurs (staRons et serveurs) ainsi que leurs logiciels,
fichiers et bases de données, et tous leurs supports (disques
externes, CD-‐ROM, etc.),
•  Le réseau (Intranet ou Extranet),
•  Les imprimantes, les broyeurs et les corbeilles à papier,
•  Les notes, comptes rendus, dossiers, mémos et documents
divers,
•  Les conversaRons, etc.

NoRons de base de la sécurité des SI
IntroducRon
•  La sécurité n'est pas une affaire de spécialistes, mais
relève de la responsabilité de chaque collaborateur, de
chaque service et de chaque direcRon.
o  Chacun manipule et uRlise des informaRons et des
ressources qui consRtuent le patrimoine de l'entreprise
et, à ce Rtre, doit garanRr leur protecRon.

•  Toute démarche de sécurité doit être précédée d’une
analyse des risques.
o  IdenRfier les enjeux de l’entreprise
o  Évaluer les impacts méRer d’un sinistre.
•  Axes d'expression de la sécurité :

o  ConfidenRalité
o  Intégrité
o  Disponibilité
o  Preuve: imputabilité, traçabilité, auditabilité, non-‐répudiaRon.
Le rôle stratégique de l’individu
•  L'individu joue le rôle central dans la sécurité de l'entreprise :
o  il manipule quoRdiennement les acRfs sensibles,
o  il applique les procédures définies,
o  il met en œuvre les moyens de sécurité,
o  il idenRfie les situaRons anormales,
o  il détecte les incidents,
o  il réagit même si aucune procédure n'adresse le cas rencontré.
•  Un personnel responsable et vigilant est la clé d'une sécurité

efficace.
o  Importance de la sensibilisaRon et de la formaRon (conduite du
changement).
«La sécurité de la cité tient moins à la solidité de ses

fortifications qu’à la fermeté d’esprit de ses habitants.» Thucydide

Analyse de risques et mesures de sécurité
•  Analyse de risques : •  Mesures de sécurité :

o  Faisabilité, o  PrévenRon,
o  Impact financier, o  DétecRon,
o  Impact sur image de o  ProtecRon (ou réacRon).
marque.

Le vecteur DICT: Disponibilité
Tout système doit apporter les fonc1ons aAendues dans les
délais prévus, conformément au contrat de service défini avec
les u1lisateurs.

•  La conRnuité de service doit être assurée quelles que soient
les circonstances :
o  charge importante du système,
o  panne d'un composant,
o  défaillance d'un fournisseur (électricité, télécoms, etc.),
o  sinistre endommageant ou détruisant le système.

•  Techniques de base liées à la disponibilité :
o  Systèmes de haute disponibilité, à tolérance de panne
o  Plan de Sauvegarde
o  Plan de Reprise d'AcRvité (PRA)
o  GesRon de la Crise

Le vecteur DICT: Intégrité
Les systèmes et les informa1ons ne doivent être altérés à l'insu de
leurs propriétaires.

•  L'altéraRon est une modificaRon non autorisée préservant la
vraisemblance des données ou le bon foncRonnement apparent
des systèmes.

•  L'altéraRon peut provenir :
o  d'une erreur,
o  d'une infecRon par un virus,
o  d'un acte de malveillance.

•  Les techniques de sécurité généralement employées ont
davantage pour effet de détecter l'altéraRon que de l'interdire.

Le vecteur DICT: ConfidenRalité
L'informa1on est protégée contre la divulga1on à des 1ers non
autorisés.
•  L'informaRon doit être protégée à tout moment :

o  lors de son stockage (bases de données, disqueres),
o  lors de son transfert (réseaux),
o  lors de sa matérialisaRon (documents papier).

Le vecteur DICT: Traçabilité (ou Preuve)
Le système doit permeAre, chaque fois que nécessaire, d'enregistrer
de manière incontestable toute ac1on sur tout objet par tout
auteur.

•  Il doit permerre d'imputer toute opéraRon à son auteur
(imputabilité).
•  Il doit permerre de reconsRtuer toutes les étapes permerant de
passer d'une situaRon à une autre (traçabilité).
•  Il doit permerre de vérifier la bonne applicaRon des procédures
prévues (auditabilité).
•  Il doit permerre de garanRr l'idenRté des parRes à une transacRon
(non-‐répudiaMon).

Processus d’audit des SI
DéfiniRons
L’Audit et les Auditeurs

•  Audit : EvaluaRon d’un système, d’un processus,
d’un projet ou d’un produit d’une organisaRon.
•  Auditeur : Personne qualifiée, compétente et

indépendante fournissant avec objecRvité un service
d’audit dans le but de rendre un rapport.

L’Auditeur
QualificaRons de l’auditeur
•  Indépendance professionnelle,
•  Indépendance organisaRonnelle,
•  Adhésion à un code professionnel d’éthique
•  DéRent les compétences et apRtudes nécessaires

pour l’exécuRon de l’audit.
Intégrité – Objec/vité – Confiden/alité -‐ Compétence

DéfiniRon
Audit SI / IT
•  Analyse parRelle ou exhausRve du foncRonnement

d'un centre de traitement et de son environnement
•  Débouche sur un diagnosRc précisant

o  l'adéquaRon des ressources matérielles et humaines aux
besoins de l'entreprise
o  l'adéquaRon des résultats obtenus en regard des moyens
engagés
o  l'adéquaRon des moyens en regard de la législaRon

Charte d’audit
•  Le rôle de la foncRon d’audit des SI est établi par la Charte
d’Audit. L’audit SI peut faire parRe de l’audit interne en tant
que groupe indépendant ou intégré à l’audit financier et
opéraRonnel,
•  La charte d’audit doit énoncer clairement:

o  Les objecRfs et les responsabilités de la direcRon pour la foncRon
d’audit des SI (entre autres types d’audit),
o  La délégaRon de pouvoir de la direcRon à la foncRon d’audit,
o  L’autorité, la portée et les responsabilités globales de la foncRon
d’audit,
o  L’organisaRon de la foncRon d’audit.

Planning d’audit
•  Court terme : Généralement dans un an.

•  Long terme : Plus d’un an (5, 10, 15, …)
•  Analyser les enjeux à court et long termes:

o  Les changement dans l’environnement affectant le niveau de
risque;
o  L’évoluRon des technologies et des processus administraRfs;
o  L’amélioraRon des méthodes d’évaluaRon;
o  Nouvelles réglementaRons applicables.

Planning d’audit
Exemple
Domaine à auditer Période Date dernier audit Responsabilité
Mise à disposiRon P1 Jamais Auditeur Interne

d’équipements
informaRques
Plan de conRnuité P2 2014 DSI, Consultant

de l’acRvité Sécurité
Qualité de service P3 Jamais Auditeur Interne

informaRque
Sécurité de P4 2011 DSI, Consultant

l’exploitaRon Sécurité
informaRque

Etapes d’un audit typique
1-‐ Sujet d’audit: Circonscrire la zone à auditer

2-‐ ObjecRf de l’audit: Déterminer par exemple si des changements
au code source d’un programme surviennent dans un environnement
bien défini et contrôlé.

3-‐ Portée de l’audit: IdenRfier les systèmes spécifiques, foncRons
ou unités de l’organisaRon à inclure dans l’examen.

4-‐ PlanificaRon avant Audit:
o  Acquérir la compréhension de la mission,
o  IdenRfier les habiletés techniques et les ressources nécessaires,
o  IdenRfier les sources d’informaRon pour les tests ou les examens
comme les dossiers foncRonnels, les poliRques, les normes, les
procédures foncRonnelles et les travaux d’audit précédents,
o  IdenRfier les emplacements ou les installaRons à auditer,
o  Réaliser une analyse des risques,
o  Prévoir la logisRque du mandat.

Etapes d’un audit typique
5-‐ Procédures d’audit et de collecte de données:

o  Tenir la réunion de lancement de la mission,
o  IdenRfier et sélecRonner l’approche d’audit pour vérifier et tester les
contrôles,
o  IdenRfier une liste d’individus à rencontrer,
o  IdenRfier et obtenir les poliRques de département, les normes et direcRves
pour examen,
o  Développer les ouRls d’audit et la méthodologie pour tester et vérifier les
contrôles.

6-‐ Procédures d’évaluaRon des tests ou des résultats d’examen
o  IdenRfier les procédures d’examen de suivi,
o  IdenRfier les procédures pour évaluer/tester l’efficacité opéraRonnelle,
o  IdenRfier les procédures de test de contrôle,
o  Examiner et évaluer la validité des documents, poliRques et procédures.

7-‐ Procédures de communicaRon avec la direcRon
o  Soumission du projet de rapport,
o  Tenir la réunion de clôture.

8-‐ Emission du rapport d’audit final
Différents types de mission d’audit des SI
Audit Interne
•  Audit de l’organisaRon, de la planificaRon et du pilotage des SI
•  Audit des Systèmes et Réseaux
•  Audit des coûts informaRques
•  Audit de la producRon informaRque
•  Audit du plan de conRnuité d’acRvité
•  Audit du parc informaRque et du support uRlisateur
•  Audit de la sécurité des systèmes d’informaRon
•  Audit des projets informaRques
•  Audit applicaRf

Différents types de mission d’audit des SI
Audit Externe
•  Contrôles généraux informaRques
•  Revue des processus
•  Analyse de données
•  Revue des projets informaRque

Importance de la gesRon de la
sécurité de l’informaRon
Importance de la gesRon de la sécurité de l’informaRon
IntroducRon
Objectifs de sécurité permettant de répondre aux exigences
commerciales de l’entreprise:
•  Assurer la disponibilité continue des SI;

•  Assurer l’intégrité de l’information en transit ou stockée sur les
systèmes informatiques de l’organisation;
•  Préserver la confidentialité des données sensibles lorsqu’elles
sont stockées et en transit;
•  Assurer la conformité aux lois, aux règlementations et aux normes
applicables à l’organisation;
•  Assurer le respect des exigences de confiance et d’obligation en
lien avec toute information reliée à un individu identifié ou
identifiable;
•  Assurer que les données sensibles sont protégées adéquatement
pendant le stockage et le transport suivant les exigences de
l’organisation.
Eléments clés de la gesRon de la sécurité de l’informaRon
•  Un système des TI équipé de dispositifs de sécurité ne

sera protégé que s’il est adéquatement implémenté,
géré, ainsi qu’utilisé, supervisé et révisé avec soin.
•  Les objecRfs de sécurité ne peuvent être areints seulement

en ajoutant des protecRons techniques et procédurales. Une
a{tude de culture de sécurité et l’arenRon de tous les
employés, de la direcRon ainsi que de tous les fournisseurs
de services externes et des uRlisateurs/partenaires des TI
externes dignes de confiance sont vitales pour areindre les
objecRfs de sécurité.
•  Les éléments clés connexes de la gesRon de la sécurité de
l’informaRon sont les suivants :

•  Leadership, engagement et soutien de la haute

direction: Support de la haute direction pour mise en place
et maintien d’un programme de gestion de la sécurité de
l’information.
•  Politiques et Procédures: Correspondant aux objectifs

d’affaire, ainsi qu’aux normes et pratiques de sécurité
généralement acceptées.
•  Organisation: Rôle et responsabilité de sécurité au sein de

l’entreprise.

•  Sensibilisation et éducation à la sécurité: Tous les

employés d’une entreprise et, si perRnent, les uRlisateurs des
Rerces parRes doivent recevoir une formaRon appropriée et des
mises à jour régulières pour améliorer la sensibilisaRon à la
sécurité et le respect des poliRques et des procédures écrites.
•  Contrôle et conformité: Les auditeurs des SI sont souvent

mandatés pour évaluer régulièrement l’efficacité des
programmes de sécurité d’une entreprise.
•  Gestion et intervention face aux incidents: incluant la

perte de la confidentialité, le compromis de l’intégrité de
l’information, les dénis de service, l’accès non aux système,
le vol ou le dommage aux systèmes, etc.
Inventaire et classificaRon des acRfs informaRonnels
•  Le contrôle efficace exige un inventaire détaillé des acRfs
informaRonnels.
•  Une telle liste consRtue la première étape dans la

classificaRon des acRfs et dans l’établissement du niveau de
protecRon devant être fourni pour chaque acRf.
•  L’inventaire doit inclure:

o  L’identification spécifique de l’actif
o  La valeur relative pour l’entreprise
o  L’emplacement
o  La classification de sécurité/risque
o  Le groupe d’actif
o  Le propriétaire de l’actif
o  Le détenteur de l’actif
o  Le niveau d’accès autorisé
o  L’étendue et la profondeur des contrôles de sécurité
•  La classificaRon des acRfs informaRonnels réduit le risque et

le coût de surprotecRon ou de sous-‐protecRon des ressources
d’informaRon en liant la sécurité avec les objecRfs
opéraRonnels.
•  Les données doivent toujours être traitées comme un acRf
essenRel des SI.
•  L’adopRon d’un programme de classificaRon et l’arribuRon
de l’informaRon à un niveau de sensibilité permet un
traitement uniforme des données, par le biais de l’applicaRon
par niveau de poliRques et de procédures spécifiques plutôt
que d’aborder chaque type d’informaRon.

•  Il s’avère très difficile de se conformer aux poliRques de

sécurité de l’informaRon si les documents et les médias ne
sont pas affectés à un niveau de sensibilité et que les
uRlisateurs ne sont pas informés de la manière dont ils
doivent traiter chaque pièce d’informaRon.
InformaRon publique Brochures de l’entreprise

PoliRques internes, procédures,
InformaRon privée message d’entreprise par courriel
habituels, bulleRn d’informaRon, etc.
Etats financiers non publiés, secrets
InformaRon sensible
d’entreprise, etc.

AutorisaRon d’accès au système
•  PrérogaRve pour agir sur une ressource informaRque. Cela

fait référence à un privilège technique, par exemple la
capacité de lire, de créer, de modifier ou de supprimer un
fichier ou une donnée, d’exécuter un programme ou d’ouvrir
ou d’uRliser une connexion externe.
•  L’accès système aux ressources d’informaRon informaRsées
est établi, géré, et contrôlé au niveau physique et/ou logique:
o  Les contrôles d’accès physiques restreignent l’entrée et la sorRe du
personnel d’un endroit comme un édifice à bureaux, une suite, un
centre de données ou une salle qui conRent des équipements de
traitement de l’informaRon tel qu’un serveur de réseau local.
o  Les contrôles d’accès logiques restreignent l’accès aux ressources
logiques du système.

AutorisaRon d’accès au système
•  Les accès aux systèmes physiques ou logiques de n’importe quelle
informaRon automaRsée doivent être basés sur un principe d’accès
sélecRf documenté dans lequel on retrouve une exigence d’affaires
légiRme basée sur le droit d’accès minimum et la séparaRon des
tâches.
•  Les changements de personnel et de départements, les efforts

malveillants et tout simplement un manque de diligence entraînent
un niveau d’autorisaRon inadéquat et peuvent avoir un impact sur
l’efficacité des contrôles d’accès, d’où la nécessité d’un contrôle
régulier.

Contrôle d’accès obligatoire (MAC)
•  Les accès sont entièrement définis dans la politique de
sécurité de l’entreprise;
•  L’accès est accordé par comparaison de la sensibilité de la

ressource d’information et de la cote de sécurité de l’entité qui
demande l’accès;
•  Les utilisateurs ou les propriétaires de données ne peuvent

modifier les filtres de contrôle d’accès;
•  Ils sont prohibitifs, i.e. tout ce qui n’est pas expressément

permis est interdit.

Contrôle d’accès discréRonnaire (DAC)
•  L’accès est accordé suivant l’identité du système demandant
l’accès, ou du groupe auquel il appartient;
•  L’accès peut être accordé ou modifié par le propriétaire de la

donnée à sa discrétion;
•  L’accès peut être hérité;
•  Les contrôles d’accès discrétionnaires ne peuvent pas primer

sur les contrôles d’accès obligatoires;

Rôle des auditeurs et GesRon de la confidenRalité
•  Soutenir ou réviser l’analyse d’impact de confidentialité:
o  Déterminer la nature de l’information personnellement
identifiable associé avec les procédés d’affaires.
o  Documenter la cueillette, l’utilisation, la divulgation et la

destruction de l’information personnellement identifiable.
o  Assurer qu’il existe une imputabilité pour les problèmes de vie

privée.
o  Identifier les exigences législatives, réglementaires et

contractuelles en matière de vie privée pour en assurer la
conformité.
o  Etre fondement de décisions éclairées sur la politique, les

activités et la conception du système en fonction de la
compréhension du risque de confidentialité.
Rôle des auditeurs et GesRon de la confidenRalité
•  Donner l’assurance aux gestionnaires de la conformité des
politiques aux lois et règlements:
o  Identifier et comprendre les exigences juridiques au sujet de la
confidentialité dans les lois, régulations et ententes
contractuelles.
o  Vérifier si les données personnelles sensibles sont gérées

correctement par rapport aux exigences.
o  Vérifier que les mesures de sécurité adéquates sont adoptées.
o  Réviser la politique de confidentialité de la gestion pour

s’assurer qu’elle tient compte des lois et des règlements
applicables concernant la confidentialité.

Problèmes et exposiRon aux crimes informaRques (Menaces)
•  Les systèmes informatiques peuvent être utilisés pour obtenir
frauduleusement de l’argent, des biens, des logiciels, ou de
l’information d’entreprise.
•  Les crimes informaRques peuvent se produire sans que rien ne soit
physiquement pris ou volé, et ils peuvent être effectués aussi
facilement qu’en ouvrant une session à parRr de la maison ou d’un
restaurant.
•  Les crimes qui exploitent l’ordinateur et les renseignements qu’il
conRent peuvent être dévastateurs pour la réputaRon, le moral et
la permanence d’une entreprise. Il peut en résulter la perte de
clients ou d’une part du marché, l’embarras de la direcRon et des
procédures judiciaires entreprises contre l’entreprise.
•  Les menaces à l’entreprise comprennent :
Les pertes financières: Les pertes directes ou indirectes comme les
frais encourus pour corriger l’exposiRon
Les répercussions légales: Si une entreprise n’est pas dotée de

moyens de sécurité appropriés, elle peut être exposée à des poursuites de la
part des invesRsseurs et des assureurs si une perte significaRve survient
après une infracRon de sécurité.
Les pertes de crédibilité ou d’avantages concurrentiels: Des

firmes de services comme les banques, les firmes d’épargne, de prêts et
d’invesRssement, ont besoin de crédibilité et de la confiance du public pour
maintenir leur avantage concurrenRel. Une infracRon à la sécurité peut
miner sérieusement la crédibilité, ce qui entraîne une perte d’affaire et de
presRge.

Le chantage, l’espionnage industriel ou le crime organisé: En
ayant accès à l’informaRon confidenRelles ou à un moyen d’influencer
négaRvement les acRvités informaRques, un auteur de crime peut extorquer
des paiements ou des services d’une entreprise en menaçant d’exploiter les
brèches de sécurité ou de divulguer publiquement les informaRons
confidenRelles de l’entreprise.
La divulgation d’informations confidentielles, sensibles ou

embarrassantes: Tel que mentionné précédemment, de tels
évènements peuvent endommager la crédibilité d’une entreprise et ses
moyens de faire des affaires. Des actions légales ou réglementaires
contre l’entreprise peuvent aussi être le résultat de la divulgation.
Le sabotage: Quelques auteurs de crime ne veulent pas de gains

financiers mais sont plutôt animés de sentiments divers tels que la
haine ou le besoin de satisfaction personnelle.
Problèmes et exposiRon aux crimes informaRques (Auteurs)
Les auteurs des crimes informaMques sont souvent les mêmes qui
exploitent les exposiMons physiques, même si les apMtudes
nécessaires pour exploiter les exposiMons logiques sont plus
techniques et complexes.
Les auteurs possibles incluent :

•  Les pirates informatiques: individus tentant de briser la
sécurité du système de quelqu’un d’autre ou, d’y accéder sans
en être invité.
•  Les pirates adolescents: individus utilisant des scripts et des

programmes écrits par d’autres pour effectuer leurs intrusions.
Ils sont souvent incapables de les écrire par eux même.

•  Les employés (autorisés ou non autorisés): affiliés à
l’entreprise et possédant un accès au système en raison de
leurs responsabilités professionnelles, ces personnes peuvent
causer un grand préjudice à l’entreprise.
•  Les employés des SI: possèdent l’accès le plus facile aux

renseignements informatiques puisqu’ils en sont
responsables.
•  Les utilisateurs finaux: personnel possédant souvent une

grande connaissance de l’information au sein de l’entreprise
et qui possède un accès facile aux ressources internes.
•  Les anciens employés: peuvent avoir un accès aux

systèmes si ce dernier n’a pas été automatiquement révoqué
au moment de la cessation d’emploi, ou si le système
possède des « portes dérobées ».
•  Les tiers intéressés ou éduqués: peuvent comprendre les
concurrents, les terroristes, les pirates, etc.
•  Les employés temporaires: par exemple le personnel

d’entretien des bureaux possède un grand nombre d’accès
physique et pourrait perpétrer un crime informatique.
•  Tierces parties: fournisseurs, visiteurs, consultants, et

d’autres tierces partie qui, par des projets, obtiennent l’accès
aux ressources de l’entreprise et pourrait perpétrer un crime.
•  Les ignorants accidentels: quelqu’un qui, sans le savoir,

perpètre une infraction.

Méthodes et techniques d’araque
1.  Attaque par altération
2.  Réseau zombie
3.  Attaque de force
4.  Déni de service
5.  Intrusion par réseau commuté
6.  Ecoute illégale
7.  Bombardement de courriel et pourriel
8.  Courriels frauduleux
9.  Inondation
10. Attaque par interruption
11. Code malveillant

Méthodes et techniques d’araque
•  Attaque de l’homme du milieu
•  Usurpation d’identité
•  Modification de message
•  Analyse de réseau
•  Réinjection de paquets
•  Hameçonnage
•  Talonnage
•  Outils d’entretien à distance
•  Enumération des ressources et furetage
•  Saucissonnage
•  War chalking, war driving, war walking

IdenRficaRon et AuthenRficaRon
•  Processus par lequel le système obtient d’un utilisateur son
identité proclamée et les justificatifs d’identité nécessaires
pour authentifier cette identité et valider les deux éléments
d’information.
•  Nécessaire pour établir la responsabilité de l’utilisateur.
•  L’indentification permet de connaître l’identité d’un individu,
alors que l’authentification permet de vérifier cette identité.
•  Trois catégories d’authentification:
o  Ce que l’on connaît (ex. mot de passe)
o  Ce que l’on possède (ex. carte jeton)
o  Ce que l’on est (ex. biométrie)
•  L’authentification multifactorielle améliore le niveau de
protection.
Mot de passe forts
Au minimum, les règles suivantes doivent être appliquées afin de
renforcer un mot de passe:
•  Idéalement, être d’une longueur minimale de huit caractères;
•  Exiger une combinaison d’au moins trois des caractéristiques

suivantes : alpha, numérique, lettres majuscules et
minuscules ainsi que des caractères spéciaux;
•  Ne doivent pas être particulièrement identifiable à l’utilisateur

( prénom, nom, nom de l’épouse, …);
•  Le système doit exiger des changements de mot de passe

réguliers et ne doit pas permettre à d’anciens mots de passe
d’être utilisés au moins un an après avoir été changé.
AutorisaRon
•  Le processus d’autorisation utilisé pour le contrôle d’accès
exige que le système soit en mesure d’identifier les utilisateurs
et de les différencier entre eux.
•  Les règles d’autorisation spécifient qui peut avoir accès à

quoi.
•  Les restrictions d’accès au niveau des fichiers incluent

généralement les fonctions suivantes:
o  Lire, demander les informations ou copier seulement;
o  Ecrire, créer, mettre à jour ou supprimer seulement;
o  Exécuter seulement;
o  Une combinaison des énoncés ci-haut.

Sécurité d’un réseau local (Les Risques)
•  Les LAN facilitent le stockage et l’extracRon des programmes et des
données uRlisés par un groupe de personnes.
•  Les logiciels desRnés aux réseaux locaux ne procurent qu’un faible niveau
de sécurité. L’accent étant mis sur les capacités et les foncRonnalités
plutôt que sur la sécurité.
•  Les risques associés à l’uRlisaRon des réseaux locaux inclus entre autres :
o  La perte de l’intégrité des données suite aux modifications non autorisées;
o  Le manque de protection des données courantes;
o  L’exposition à des activité externes à cause d’une vérification limitée des
utilisateurs;
o  L’infection informatique par des virus ou vers;
o  La divulgation inappropriée des données;
o  La violation des licences;
o  L’accès illégal par l’usurpation de l’identité d’un utilisateur du réseau local;
o  Le renifilage d’information relative à un utilisateur interne;
o  La mystification d’un utilisateur interne;
o  La destruction des données de journalisation et d’audit.
Sécurité d’un réseau local (GesRon de la sécurité)
•  Les disposiRons relaRves à la sécurité du réseau local LAN
dépendent du logiciel, de sa version et de son implantaRon.
•  Les capacités de gesRon de la sécurité du réseau normalement
disponibles comprennent notamment :
o  La déclaration de la propriété des programmes, des fichiers et du
stockage;
o  La restriction de l’accès à la consultation seule;
o  La mise en place du verrouillage des enregistrements et fichiers afin
d’empêcher la mise à jour simultanée;
o  La mise en place des procédures d’ouverture de session par ID et mot de
passe avec des règles relatives à la longueur, au format et à la fréquence
de mise à jour du mot de passe;
o  L’utilisation de commutateurs pour implanter des politiques de sécurité des
points d’accès, afin d’empêcher des hôtes inconnues de se brancher sur le
réseau;
o  L’encryptage du trafic local en utilisant le protocole IPSec
Sécurité Client-‐Serveur
•  L’environnement client-‐serveur désigne un mode de
communicaRon à travers un réseau entre plusieurs programmes ou
logiciels: l’un, qualifié de client, envoie des requêtes; l’autre ou les
autres qualifiés de serveurs, arendent les requêtes des clients et y
répondent.
•  Un système client-‐serveur
possède de nombreux points
d’accès.
•  Les systèmes client-‐serveur

uRlisent des techniques
réparRes, ce qui accroît le
risque d’accès aux données
et au traitement.
Sécurité Client-‐Serveur
•  Les mesures de protection d’une architecture Client-Serveur
comprennent:
o  Identification de tous les points d’accès;
o  Désactivation des lecteurs de disque et port USB …;
o  Analyse de l’activité des utilisateurs connus et inconnus;
o  Cryptage des données sensibles;
o  Implémentation des méthodes d’authentification

multifactorielles;
o  Formation des utilisateurs.

Sécurité du réseau sans fil
•  Dans le cas des réseaux sans fil, les objecRfs principaux sont de
garanRr la confidenRalité, l’intégrité, l’authenRcité et la
disponibilité.
•  La garanRe que les ressources ne sont uRlisées qu’aux fins prévues
fait aussi parRe de la disponibilité.
•  Les risques liés aux réseaux sans fil sont égaux à la somme des
risques liés au foncRonnement d’un réseau câblé et des nouveaux
risques introduits par la faiblesse des protocoles sans fil. Afin
d’arénuer ces risques, une organisaRon doit adopter des mesures
et des praRques qui permerront de gérer ces risques.
•  Les enRtés malveillantes possèdent de nombreux moyens pour
accéder aux disposiRfs sans fil. Ceux qui sont liés aux réseaux locaux
sans fil (WLAN) comprennent, entre autres, trois formes de piratage
Wi-‐Fi : les war driving, war walking et war chalking.

Sécurité du réseau sans fil
•  Les exigences de sécurité comprennent notamment :
o  L’authenticité : Une tierce partie doit être apte à vérifier que le

contenu d’un message n’a pas été modifié en cours de
transmission.
o  La non-répudiation : L’origine ou la réception d’un message

précis doit être vérifiable par une tierce partie.
o  La responsabilité : Les actions d’une entité ne doivent être

retraçables qu’à cette entité.
o  La disponibilité : Les ressources des TI doivent être

disponibles au moment opportun afin de satisfaire les exigences
de la mission ou pour éviter des pertes substantielles.

PoliRque et administraRon de la
sécurité des SI: IntroducRon aux
normes ISO 27000
La famille ISO 2700x

Quel cadre pour la mise en œuvre et l’audit de la sécurité de
l’informaRon?
La sécurité de l’informaRon est régie principalement par deux normes:
•  ISO 27001 : Cadre de gesRon la sécurité
•  ISO 27002 : Liste des contrôles (meilleures praRques)
ISO 27001 ISO 27002

Comment m’organiser pour gérer Quels sont les objecRfs de contrôles pour:
la sécurité? •  Merre en œuvre la sécurité,
•  Auditer la sécurité.
ISO 27001
Cycle de vie du système de gesRon de la sécurité de l’informaRon (SGSI)

ISO 27001
CerRfier le système de gesRon
de la sécurité de l’organisaRon

Merre en place un système/cadre de gesRon de la sécurité (ISMS)
1.  Définir le périmètre sur lequel le système de gesRon de la sécurité
de l’informaRon s’applique (Cœur d’acRvité de l’organisaRon)
2.  Définir une poliRque de gesRon de la sécurité (ISMS)
3.  Définir une méthodologie d’évaluaRon des risques (elle doit
produire des résultats comparables et reproducRbles)
4.  IdenRfier les risques
5.  Evaluer les risques et idenRfier la méthode de gesRon du risque
6.  SélecRonner les contrôles de la norme ISO 27002 permerant
pallier les risques
7.  Faire approuver le disposiRf
8.  Préparer un «Statement of Applicability» : Liste des contrôles de la
norme ISO 27002 qui sont applicable ou non à l’organisaRon
(toute exclusion doit être jusRfiée)

ISO 27001
Cadre de gesRon de la sécurité
•  La norme impose
l’établissement d’un
système de gesRon de la
sécurité de l’informaRon
(SGSI), décrit dans un cadre
de gesRon.
•  Les objecRfs et mesures de
contrôle doivent être mis
en œuvre et documentés.
•  La documentaRon doit être
contrôlée.
•  Des registres matérialisant
les contrôles doivent être
maintenus.

« Chez nous, il n’y a rien à protéger »
PoliMque de sécurité:

Une poli/que de sécurité
informa/que est un plan d'ac/ons
définies pour maintenir un certain
niveau de sécurité. Elle reflète la
vision stratégique de la direc/on de
l'organisme en ma/ère de sécurité
informa/que.
Par où commencer ?

•  Obtenir un souRen de la direcRon dans le domaine de la sécurité de l’informaRon.
•  Formaliser des objecRfs globaux de sécurité dans un document.
•  Porter ce document à la connaissance de tous les employés.
•  Un engagement de respect des règles de sécurité peut être formalisé et signé par
chaque employé.

« C’est pas moi, c’est lui »
OrganisaMon de la sécurité:

préciser les rôles et responsabilités des
ges/onnaires, u/lisateurs, contractuels
et fournisseurs de services, propriétaires
d'ac/fs informa/onnels. Détailler
également les mécanismes de sécurité à
meHre en place pour assurer la
sécurisa/on de l'accès des /ers aux
informa/ons et ressources de
l’entreprise.
Par où commencer ?

-‐La nominaRon du (ou des) responsables est effectuée par la DirecRon.
-‐Formaliser les responsabilités relaRves à la sécurité dans les fiches de postes.
-‐Les modalités d’accès aux ressources et aux locaux par des Rers doivent avoir été
prédéfinies. Un engagement de respect des règles de sécurité peut être formalisé et signé
par chaque sous-‐traitant.

« Qui s’occupe de ça? »
GesMon des acMfs:

Procéder à l'inventaire des ac/fs
informa/onnels; leur déterminer un
propriétaire; les catégoriser; déterminer
leur niveau de protec/on et établir les
mesures de sécurité à meHre en place
selon leur contexte d’u/lisa/on.
Par où commencer ?

-‐ Elaborer un inventaire des ressources majeures de l’entreprise. Cet inventaire peut contenir les
acRfs physiques (matériel informaRque, moyen de communicaRon, support amovible), les
logiciels, les informaRons (bases et fichiers de données, contrats et accords, procédures
opéraRonnelles …), les services informaRques et de télécommunicaRon, de support
(climaRsaRon, éclairage,…), les personnes et leur qualificaRons/savoir-‐faire/expériences, les
valeurs immatérielles comme la réputaRon et l’image de l’organisme.
-‐ Le niveau de classificaRon doit permerre d’idenRfier le niveau d’importance de l’acRf pour
l’entreprise et par là-‐même, les mesures de protecRon appropriées.
« Je ne le savais pas »
Sécurité du personnel:

Indiquer au personnel les bonnes
pra/ques à u/liser pour protéger les
renseignements confiden/els et
nomina/fs, faire un bon usage de leur
équipement informa/que selon les
normes et les règles et meHre en place
un programme de sensibilisa/on à la
sécurité de l'informa/on de même
qu'une procédure d'accueil des
nouveaux employés.
Par où commencer ?

-‐ La sensibilisaRon peut être effectuée au travers de publicaRons (intranet, courriels, arRcles),
d’une session de sensibilisaRon des nouveaux entrants, d’une formaRon périodique de tout le
personnel, de dépliants, etc. Elle se fera dans le cadre du programme de sensibilisaMon sur la
sécurité de l’informaMon.
-‐ Demander aux responsables de s’assurer que les personnes sous leur responsabilité ont été
sensibilisées.
-‐ Formaliser une procédure applicable lors du départ d’un collaborateur (RéarribuRon des
responsabilités dans le domaine de la sécurité, retour des acRfs, suspension des droits d’accès).
Toute sécurité commence par la sécurité physique
Sécurité physique et sécurité

de l’environnement:
Préciser les mesures à meHre en place
pour sécuriser le matériel et éviter les
accès non autorisés dans les locaux, de
même que les dommages pouvant
affecter les ac/fs informa/onnels et les
opéra/ons quo/diennes.
Par où commencer ?

-‐Merre en place un disposiRf de contrôle d’accès aux zones contenant les ressources
majeures de l’entreprise (clés, digicode, badge).
-‐Merre en place un disposiRf de protecRon contre l’incendie (porte coupe-‐feu, alarme
incendie, disposiRf d’exRncRon).
-‐ Vérifier que l’acRvité ne se trouve pas dans une zone inondable en période d’hivernage.

La sécurité opéraRonnel au quoRdien
GesMon des opéraMons et des

communicaMons:
Indiquer comment sécuriser les
communica/ons et les informa/ons
échangées avec les partenaires et
clients; assurer la sécurité des réseaux
de télécommunica/on, des systèmes
d'exploita/on et des applica/ons.
Par où commencer ?

-‐DésacRver les services non uRlisés des équipements informaRques (installaRon par
défaut).
-‐S’équiper d’une soluRon de protecRon contre les codes malveillant et mobiles (anRvirus
sur les postes de travail, sur les serveurs, anR-‐virus de messagerie).
-‐Cloisonner les sous-‐réseaux (switch).
-‐Merre en place des disposiRfs de filtrage applicaRf (pare-‐feu, proxy, IPS/IDS…).
-‐En cas d’uRlisaRon de réseaux Wifi, uRliser WPA.
« Login: TOTO – Password: TOTO »
Contrôle d’accès:
Gérer et contrôler les accès logiques et
physiques aux informa/ons et
ressources; détecter les ac/vités non
autorisées; préciser les règles à observer
concernant l'iden/fiant et le mot de
passe, de même que les autorisa/ons
reliées au profil d'accès.
Par où commencer ?

-‐Merre en place une stratégie de mot de passe (longueur minimale de 7 caractères, obligaRon
d’uRliser des caractères étendus, obligaRon de renouvellement tous les 3 mois, impossibilité de
réuRliser un des trois derniers mots de passe).
-‐AcRver les mises en veille après 5 minutes d’inacRvité avec une protecRon par mot de passe.
-‐Bloquer l’accès à un compte après 3 tentaRves d’accès infructueuses.
-‐Créer des comptes nominaMfs (bannir les comptes génériques).
-‐Merre en place une stratégie de moindre privilège.
La sécurité est d’autant plus couteuse qu’elle est intégrée
tardivement
AcquisiMon, développement
et maintenance des systèmes
d’informaMon :
indiquer les règles de sécurité à observer
ou à exiger dans l'acquisi/on, le
développement, l'implanta/on et
l'entre/en d'applica/ons et de logiciels.
Par où commencer ?

-‐Spécifier les exigences de sécurité dès l’origine du projet.
-‐Formaliser les règles d’ajout, de modificaRon et de suppression de tout matériel ou logiciel
sur le réseau de producRon.
-‐Merre en place une veille sur les vulnérabilités (éditeur anR-‐virus, CERT,…).
-‐Me^re à jour régulièrement les logiciels et les systèmes d’exploitaRon en téléchargeant
les correcRfs (de sécurité).
Limiter les dégâts et éviter de recommencer
GesMon des incidents de

sécurité:
indiquer les comportements à adopter
lors de la détec/on d'un incident ou d'un
dysfonc/onnement de sécurité; meHre
en place un processus de ges/on des
incidents de sécurité.
Par où commencer ?

-‐Paramétrer les fichiers de trace (journaux) des équipements afin que soient enregistrés au
moins les connexions infructueuses et les erreurs de foncRonnement.
-‐Analyser régulièrement les fichiers de trace des équipements.

« Ca n’arrive pas qu’aux autres »
GesMon de la conMnuité:

décrire les façons de faire pour élaborer
un plan de con/nuité et de relève des
services, de même qu'un plan de
sauvegarde des données et des
applica/ons de l’entreprise.
Par où commencer ?

-‐Sauvegarder régulièrement les données. Externaliser les données sauvegardées. Procéder à des
tests de restauraRon.
-‐IdenRfier le temps d’indisponibilité maximal tolérable pour chaque processus de l’organisaRon.
-‐IdenRfier les principaux scénarios (2 ou 3) de risque auxquels pourrait être confrontée
l’organisaRon (inaccessibilité des locaux, panne du principal serveur de producRon, panne
électrique, etc.).
-‐Elaborer un plan d’acRon pour chacun des scénarios envisagés (en conformité avec le temps
d’indisponibilité maximal tolérable).
« Nul n’est censé ignorer la loi »
Conformité:
Décrire comment s'assurer du respect
des lois et des réglementa/ons, ainsi
que de l'efficacité des procédures, de
même que des mesures de sécurité en
place, en rela/on avec la poli/que de
sécurité de l'informa/on édictée par
l’entreprise.
Par où commencer ?

-‐IdenRfier les exigences auxquelles l’organisaRon est soumise :
+Légales et réglementaires,
+Contractuelles,
+Sectorielles.
-‐Ne pas oublier les déclaraRons de la Commission de ProtecRon des Données Personnelles
(CDP), de la CDEAO, ni les licences des logiciels !
Mesures de contrôle ISO 27002
1.PoliMque de sécurité 7. Contrôle des accès
Exigences de l’entreprise concernant le contrôle des accès
2.OrganisaMon de la sécurité GesRon des accès uRlisateurs
Infrastructure de la sécurité de l’informaRon Responsabilité des uRlisateurs
Sécurité des accès par des Rers Contrôle de l’accès aux réseaux
Sous-‐traitance Contrôle de l’accès aux systèmes d’exploitaRon
Contrôle de l’accès aux applicaRons
3.ClassificaMon et contrôle des acMfs Surveillance des accès aux systèmes et de leur uRlisaRon
Responsabilités liées aux acRfs InformaRque mobile et télétravail
ClassificaRon de l’informaRon
8.Développement et maintenance des systèmes
4.Sécurité du personnel Exigences de sécurité des systèmes
Sécurité dans la déf. Des postes et des ressources Sécurité des systèmes d’applicaRons
FormaRon des uRlisateurs Mesures cryptographiques
RéacRons aux incidents de sécurité et aux mauvais Sécurité des fichiers
foncRonnements Sécurité des environnements de développement et de
souRen
5. Sécu. physique et sécu. de l’environnement
Zones de sécurité 9. GesMon des incidents de sécurité
Sécurité du matériel Signalement des événements de sécurité et faiblesses
Mesures générales GesRon des incidents de sécurité et des amélioraRons

6. GesMon des communicaMons et des opéraMons 10.GesMon de la conMnuité des acMvités de l’entreprise
Procédures et responsabilités opéraRonnelles Stratégie de conRnuité
PlanificaRon et recere des systèmes CréaRon et mise en œuvre des plans
ProtecRon contre les logiciels pernicieux Test et réévaluaRon des plans
Intendance
GesRon des réseaux 11.Conformité
ManipulaRon et sécurité des supports Conformité aux exigences légales
Échanges d’informaRons et de logiciels Examens de la poliRque de sécurité et de la conformité
technique
ConsidéraRons concernant les audits des systèmes

Facteurs clés de succès
Pour assurer le succès de la gesRon de la sécurité au sein d'une
organisaRon:
o  Définir une poliRque de sécurité correspondant à l'acRvité de
l'organisaRon.
o  Adopter une démarche de mise en œuvre de la gesRon de la
sécurité compaRble avec la culture de l'organisaRon.
o  S'assurer un souRen total et un engagement visible de la
DirecRon.
o  Bien comprendre les exigences de sécurité et bien évaluer les
risques.
o  Sensibiliser et informer efficacement tous les responsables et
employés.
o  Distribuer à tous les employés et à tous les fournisseurs les
lignes directrices de la poliRque de sécurité et des normes de
sécurité de l'informaRon.
o  Former de manière appropriée les acteurs de la sécurité.
o  Merre en place et faire vivre un système de mesure complet
pour évaluer l'efficacité de la gesRon de la sécurité de
l'informaRon et collecter les suggesRons d'amélioraRon.

Panorama d’autres méthodes
•  Schéma directeur de sécurité des systèmes d'informaRon
o  MARION (Grands systèmes, Micro)
o  MEHARI (Architectures distribuées)
o  COBIT 5 for Informa/on security
•  DiagnosRc de sécurité (audit / contrôle interne)
o  ERSI
•  Critères d'évaluaRon
o  ITSEC et ISO 15408
•  Méthodes de la DCSSI
•  Norme de gesRon et planificaRon de la sécurité informaRque et
télécom
o  ISO 13335
•  Modèle de maturité pour l’ingénierie de systèmes de sécurité
o  ISO 21827 (SSE-‐CMM)
•  Norme organisaRonnelle et d’évaluaRon
o  BS 7799 / ISO 17799 / ISO 27001
•  RéférenRel de bonnes praRques
o  ISF (InformaRon Security Forum)

Analyse des risques
Analyse des risques
DéfiniRon
•  Risque : La possibilité qu’une menace données

exploite la vulnérabilité d’un acRf ou d’un groupe
d’acRfs et cause ainsi un préjudice à l’organisaRon
(ISO/IEC PDTR 13335-‐1).
•  Analyse de Risque (AR) : Technique d’idenRficaRon

et d’évaluaRon des facteurs suscepRble de
compromerre un processus ou un objecRf.
•  L’AR = EvaluaRon -‐> ArénuaRon -‐> Ré évaluaRon.

Analyse des risques
Evaluer les contre-‐mesures
•  Analyse coût / bénéfices : Choisir les méthodes de

gesRon des risques adéquates en se basant sur :
o  Le coût de la mesure de contrôle en comparaison
au degré de réducRon du risque
o  La propension de la haute direcRon au risque
o  La/Les méthode(s) de réducRon du risque
privilégiée(s)

Analyse des risques
ObjecRfs et Besoins
•  IdenMfier et évaluer les risques en foncRon des:
o  Types d’impact (Impacts méRers, financiers, clients, juridiques,
image de marque, etc.)
•  Définir les mesures de sécurité pour réduire les risques idenRfiés
par l’implémentaRon des meilleures mesures de contrôle interne.

•  GaranMr la conMnuité des acMvités
•  Protéger contre les acMvités et tentaMves de fraude
•  Adapter les décision stratégiques en foncRon du niveau de criRcité
des risques encourus
•  Etre en conformité avec la réglementaRon en vigueur

Analyse des risques
Menace, vulnérabilité, impact, risque
•  Le niveau de criMcité de chaque risque est évalué comme suit
Risque= Probabilité d’occurrence (Menace x Vulnérabilité) x Impact
Vulnéra
Risque Menace
bilité
Impact
Le catalyseur: Le problème: La conséquence:

ViolaRon potenRelle Faiblesse pouvant être résultat de l’exploitaRon
de la sécurité exploité par une menace de la vulnérabilité
par la menace
Exploite une vulnérabilité Induit à un impact
•  Probabilité d’occurrence: PotenRalité d’exploitaRon d’une

vulnérabilité par une menace tout en prenant en compte les
niveaux de couverture existants.

Analyse des risques
Menace, vulnérabilité, impact, risque

Analyse des risques
Traitement du risque
•  ObjecMf: Réduire les risques à un niveau acceptable en foncRon de
leur impact.
•  Le niveau de risque résiduel doit être inférieur aux critères
prédéfinis d’acceptaRon de risques
•  Les critères d’acceptaRon des risques sont basés sur l’analyse des
coûts du traitement du risque face aux coût de reconstrucRon
•  Le plan de traitement des risques consiste à la mise en place de
contre-‐mesures de sécurité:
o  Contrôle sur la menace ou la vulnérabilité afin de limiter la
cause du risque
o  Contrôles sur l’impact, afin de limiter la conséquence du
risque.
•  Il existe de nombreuses contraintes à prendre en compte dans le
cadre de la mise en place des mesures de sécurité (financières,
techniques, opéraRonnelles, légales, humaines)

Analyse des risques
Traitement du risque

Réponse au risques
Termes
TERME DEFINITION
AppéRt pour le risque Le niveau de risque que le comité de direcRon est prêt à
prendre pour l’entreprise dans le cadre du déroulement de sa
mission.
Tolérance au risque Le niveau acceptable de variaRon qu’une entreprise est prête à
accepter pour tout risque parRculier
Capacité à assumer le Le niveau maximal de perte qu’une entreprise peut tolérer sans
risque risquer de porter areinte à son existence. Ainsi il diffère de
l’appéRt du risque qui se trouve être le niveau de risque
souhaité par la DirecRon Général et le Comité de DirecRon.
Réponse au risque Consiste à merre en relief les risques inhérents dans
l’entreprise, précise leurs effets et propose des réacRons
convenues face à chaque risque.
Risque résiduel Risque actuel après choix et implémentaRon de la réponse au
risque.

Réponse au risques
ObjecRf
•  L’objecRf de la mise en place d’une réponse au risque est de
permerre un alignement du risque avec l’appéMt pour le
risque défini dans l’entreprise. En d’autres termes, une
réponse doit être choisie de sorte que le risque résiduel soit
en deçà de la limite de tolérance,
•  L’évaluaRon de la réponse au risque n’est pas un effort
unique. Il doit faire parR du processus de gesRon du risque,
•  Lorsque l’analyse de tous les scenari de risque idenRfiés ont
montré un non alignement avec l’appéRt du risque défini et le
niveau de tolérance, une réponse est requise. Cere réponse
peut être:
o  L’évitement
o  L’acceptaRon
o  Le partage
o  L’arénuaRon

Réponse au risques
Evitement du risque (1)
•  L’évitement consiste à ne mener aucune acRvité suscepRble
d’engendrer un risque.
•  L’évitement du risque s’applique lorsque les autres réponses

au risque sont inadéquates. C’est le cas quand:
o  Il n’y a aucune réponse effecRve en terme de coût pouvant
aider à réduire l’impact et la fréquence en deçà de la
limite défini d’appétence au risque,
o  Le risque ne peut pas être partagé ou transféré,
o  Le niveau d’exposiRon est considéré comme inacceptable
par la haute direcRon.

Réponse au risques
Evitement du risque (2)
•  Quelques exemples d’évitement de risques liés aux
Technologies de l’InformaRon:
o  Délocaliser un centre de ressource dans une région avec
moins de risques naturels,
o  Décliner la parRcipaRon à un projet de grande envergure
dont l’analyse de rentabilisaRon montre un risque notable
d’échec,
o  Décide de ne pas uRliser une technologie parRculière car
non extensible.

Réponse au risques
AcceptaRon du risque (1)
•  L’acceptaRon signifie que l’exposiRon à la perte est connue

mais qu’aucune acRon n’est prise pour contrer un risque
parRculier.
•  Ceci est différent de l’ignorance du risque.
•  L’acceptaRon du risque signifie que le risque est connu càd
que la haute direcRon a elle-‐même et pour des raisons
valables, pris la décision de l’accepter ainsi.

Réponse au risques
AcceptaRon du risque (2)
•  Quelques exemples d’acceptaRon de risques liés aux

Technologies de l’InformaRon:
o  Il peut y avoir risque qu’un projet ne fournisse pas les
foncRonnalités méRers désirées, d’ici la date prévue de
mise en producRon. La haute direcRon peut décider
d’accepter le risque et poursuivre le projet.
o  Si un risque parRculier est évalué comme étant
extrêmement rare, avec un impact très important (voir
catastrophique) et des approches de réducRon très
prohibiRfs, la haute direcRon peut décider de l’accepter.

Réponse au risques
Partage/Transfert du risque (1)
•  Le partage consiste à réduire la fréquence ou l’impact de

risque en transférant ou en partageant une parRe du risque.
•  Parmi les techniques les plus usitées nous avons l’assurance et
la sous-‐traitance. Ces techniques ne soulagent pas l’entreprise
de la responsabilité du risque, mais elle font appel aux
compétences d’une autre enRté dans la gesRon du risque et la
réducRon des conséquences financière si un évènement
négaRf arrivait à se produire.

Réponse au risques
Partage/Transfert du risque (2)
•  Quelques exemples de partage/transfert de risques liés aux Technologies
de l’InformaRon:
o  Une grande entreprise ayant idenRfié et évalué le risque d'incendie
pour son infrastructure réparRe dans plusieurs endroits du pays,
envisage la souscripRon à une assurance afin de partager l'impact du
risque. Elle a conclu que compte tenu de la localisaRon de ces sites, le
cout incrémental d'une assurance n'était pas prohibiRf. La
souscripRon a finalement été faite.
o  Dans le cadre d'un projet d'envergure dans le domaine des TI, les
risques du projet peuvent être partagé en sous-‐traitant le
développement de l'applicaRon méRer moyennant un cout fixe.
o  Certaines entreprises sous-‐traitent quelques un ou la totalité de leurs
foncions informaRques à des prestataires et partagent ainsi le risque.
o  Lorsque l'hébergement des applicaRons est sous-‐traité, l'entreprise
reste responsable de la protecRon des données clients, mais si le
prestataire est négligeant et qu'une faille est exploitée, le risque
(impact financier) peut être partagé avec le client.

Réponse au risques
MiRgaRon du risque
La miRgaRon désigne l’ensemble des mesures et moyens d’arénuaRon

pour réduire la fréquence et / ou l'impact d'un risque.

Parmi les moyens de miRgaRon des risques nous pouvons citer:

•  Le renforcement les praRques de gesRon du risque informaRque
global, à savoir, la mise en œuvre des processus de gesRon des
risques informaRques suffisamment matures tels que définis par les
référenRels,
•  L'introducRon d'un certain nombre de mesures de contrôle visant
soit à réduire la fréquence d'un événement indésirable ou l'impact
commercial/financier d'un événement. Les contrôles sont, dans le
contexte de la gesRon des risques, permerant d'arénuer le risque.
•  L’arénuaRon des risques est possible par d'autres moyens ou
méthodes, par exemple, il existe des cadres de gesRon informaRque
de renom et des normes capables d'aider.

Type de risques
•  Les accidents :
o  Pannes matérielles ou logicielles,
o  Bris de machine accidentel (choc, chute, etc.),
o  Sinistre local :explosion, incendie, dégât des eaux,
o  Événements naturels : tempête, inondaRon, etc,
o  Perte de services essenRels : électricité, télécommunicaRon,
eau, etc.
•  Les erreurs :
o  Erreurs d'uRlisaRon,
o  Erreurs de concepRon des logiciels et des procédures
d'applicaRon.
•  La malveillance :
o  Vol de matériel,
o  Sabotage matériel,
o  Fraude (détournement de fonds, de biens ou de services),
o  Araque logique,
o  DivulgaRon d'informaRons confidenRelles,
o  InfracRon aux lois (contrefaçon).

Type de contrôles
PREVENTIF DETECTIF CORRECTIF

Personnel qualifié Message d’erreur Procédure d’urgence
SéparaRon des tâches FoncRon d’audit interne Procédure de sauvegarde
Contrôle d’accès Procédure de reprise
Documents bien conçus Maintenance
Logiciel de chiffrement

Démarche de l’audit de sécurité
L’audit de sécurité du SI
•  DéfiniMon: L’audit de sécurité du système d’informa/on est un

examen méthodique d’une situa/on liée à la sécurité de l’informa/on
en vue de vérifier sa conformité à des objec/fs, à des règles ou à des
normes.
•  Compte tenu du cadre de gesRon de la sécurité de l’informaRon, les
audits de sécurité peuvent adresser des problémaRques différentes
comme par exemple :
o  Audit de la poliRque de sécurité,
ü  AdéquaRon de la poliRque de sécurité à la stratégie de risques
de l’entreprise, aux contraintes légales et réglementaires et aux
bonnes praRques,
o  Audit de la mise en œuvre de poliRque de sécurité,
ü  Respect des exigences de sécurité au sein de l’entreprise au
travers de la mise en œuvre de mesures de sécurité adéquates
et pérennes,
o  Audit de l’efficacité des mesures de sécurité.
ü  Test d’intrusion.


Types d’audit de sécurité

Exemples de risques à prendre en compte lors d’un audit
•  Risques sur le patrimoine de l'entreprise

o  Vol d’acRfs de l’entreprise,
o  DivulgaRon d’informaRons confidenRelles,
o  Détournement de services,
o  Sabotage.
•  Risque sur l'acRvité

o  Indisponibilité du poste de travail,
o  Indisponibilité du réseau ou du serveur.
•  Risque sur l'intégrité du système d'informaRon

o  Araque virale,
o  Incohérence des données entre serveurs et staRons,
o  Développements mal maîtrisés ou mal documentés,
o  Ouverture de failles dans la sécurité (connexions incontrôlée à
Internet).
•  Risque juridique
o  InfracRon à la loi,
o  Copie illicite de logiciels,
o  Fraude informaRque avec le matériel de l’entreprise.
Démarche d’audit de sécurité
1.Prise de connaissance

o  Cartographier le système,
o  Recenser les standards et règles.

2.Analyse des risques
o  Évaluer les enjeux de la sécurité du système,
o  IdenRfier des scénarios de menace et en évaluer l'impact sur
l'entreprise.

3.ÉvaluaMon de la sécurité du système
o  Vérifier que les contrôles mis en œuvre garanRssent une couverture
suffisante des risques.
o  Des référenRels existent : ISO 27002, Cobit5 for InformaRon Security, etc.

4.ÉlaboraMon de recommandaMons
o  Pour chaque vulnérabilité idenRfiée et correspondant à un risque,
proposer une recommandaRon correcRve,
o  Préparer les recommandaRons avec les personnels opéraRonnels de
l’entreprise !


1. Prise de connaissance
•  Collecter l’informaRon
o  Documents de l’entreprise,
o  EntreRens,
o  Visite des locaux.
InformaRons à collecter:

•  OrganisaRon : •  Matériels :
o  poliRque de sécurité, o  serveurs,
o  normes et standards en vigueur, o  staRons de travail,
o  personnes et équipes impliquées dans o  équipements réseau (switch,
l’exploitaRon du réseau et du parc routeurs),
micro (administraRon, maintenance, o  firewalls.
sécurité, support uRlisateur),
o  définiRon des responsabilités, •  Logiciels :
o  procédures appliquées ou prévues o  systèmes d’exploitaRon,
(mode dégradé), o  middleware,
o  plans (de sauvegarde, d’archivage, de o  principales applicaRons uRlisées.
secours, de reprise, etc.),
o  interlocuteurs pour l’audit
(informaRque et uRlisateurs). •  CommunicaRons :
o  architecture du réseau (topologie),
o  plan de câblage,
•  Volumétrie : o  connexions avec l’extérieur.
o  nombre d’uRlisateurs,
o  volumes de données transmises,
o  taille des données sauvegardées.

2. Analyse du risques

2. Analyse de risques
Etape 1 : Compréhension des processus méMers

•  Les objecRfs de cere étape sont de :
o  merre en évidence l’ensemble des processus méRers et
leurs interacRons,
o  idenRfier les données intervenant à l’intérieur de ces
processus,
o  idenRfier les composants (applicaRon, base de données,
serveurs et infrastructure) nécessaires au déroulement
des processus méRers.
•  DescripRon des processus et de leurs

composants (applicaRons, bases de données,
serveurs, infrastructure).

Etape 2 : Analyse d’impact sur les processus méMers

Etape 3 : Menaces, Vulnérabilités et Contrôles

•  A l’issue de l’analyse de l’impact sur les processus
méRers, une analyse des menaces, des vulnérabilités et
des contrôles sera réalisée.
•  En foncRon des processus, données et composants du
système d’informaRon, une sélecRon des menaces
perRnentes sera réalisée. Ces menaces sont
caractérisées par leur type (naturel, humain, ou
environnemental) et les causes possibles (accidentelle,
intenRonnelle).
•  Analyse des vulnérabilités et des contrôles.



Une évaluaRon de la probabilité d’occurrence de la menace sera
établie en foncRon de l’existence de vulnérabilité et la présence
de contrôle.


Etape 4 : FormalisaMon des risques

L’appréciaRon du risque encouru résulte de la probabilité de
réalisaRon de la menace et du niveau de conséquences
dommageables pour un ou l’ensemble des processus.


Etape 5 : ObjecMfs et exigences de sécurité

•  Dans un premier temps et en foncRon de la
stratégie de risques, une décision sera prise, pour
chaque risque, quant à la gesRon de ce risque:
o  le risque est négligeable,
o  le risque est acceptable,
o  le risque est inacceptable.
•  Sur la base de ces résultats, des objecRfs et des
exigences de sécurité seront définis afin de
réduire ou de supprimer les risques inacceptables.

Etape 5 : ObjecMfs et exigences de sécurité

Les objecRfs et les exigences de sécurité pourront être sélecRonnés à parRr du
guide «OuRllage pour le traitement des risques SSI» de la méthode Ebios. Ce
guide présente en parRculier des exigences de sécurité issues des normes ISO
15408 et ISO 27002.

3. EvaluaRon de la sécurité d’un système
•  ObjecMf : s’assurer que les contrôles mis en œuvre au sein
ou autour du système audité sont en mesure de garanRr
une couverture suffisante des risques pesant sur le
système.
•  Principaux points à contrôler :

o  Sécurité physique
o  Sécurité d’exploitaRon
o  Contrôle des accès et des habilitaRons (sécurité
logique)
o  Audit et contrôle
o  Prise en compte de la sécurité dans les projets
o  Respect des lois
4. ElaboraRon de recommandaRons
•  ObjecMf : préparer les éléments du plan d’acRon sécurité.
•  Pour chaque vulnérabilité idenRfiée et correspondant à un

risque, proposer une acRon correcRve.
•  Hiérarchiser les recommandaRons en foncRon de l’importance
du risque (applicaRon des résultats de l’analyse de risque).
•  Valider les recommandaRons avec les personnels opéraRonnels
de l’entreprise
Menace/ Priorité Type de Recommanda Responsable Date de
Vulnérabilité/ traitement Mons réalisaMon
idenMfiant du du risque prévue
risque

Contexte législaRf
Contexte législaRf
Les textes de base
La CEDEAO et la CDP procèdent progressivement à l’adop/on d’une
règlementa/on des TICs, via des déclara/ons de poli/que générale et
régula/ons de la protec/on des données personnelles.
•  Propriété intellectuelle
o  LOI n° 2008-‐12 du 25 janvier 2008 portant sur la ProtecRon des données à
caractère personnel
•  Signature électronique
o  Acte addiRonnel A/SA.2/01/10 du 16 février 2010 sur les transacRons
électroniques
o  Règlement n°15/2002/CM/UEMOA du 23 mai 2002 relaRf aux systèmes de
paiement dans les états membres de l’Union Economique et Monétaire Ouest
Africaine (UEOMA)
•  Cybercriminalité
o  DirecRve C/DIR/1/08111 portant lure contre la cybercriminalité dans l’espace de
la CEDEAO
•  Cryptologie
o  LOI n° 2008-‐41 du 20 août 2008 portant sur la Cryptologie

Propriété intellectuelle
•  Le traitement des données à caractère personnel est considéré

comme légi/me si la personne concernée donne son consentement.
ArMcle 33
•  Les données à caractère personnel doivent être traitées de manière
confiden/elle et être protégées conformément aux disposi/ons de
l’ar/cle 71 de la présente loi, notamment lorsque le traitement
comporte des transmissions de données dans un réseau. ArMcle 38
•  Il est interdit de procéder à la collecte et à tout traitement qui
révèlent l’origine raciale, ethnique ou régionale, la filia/on, les
opinions poli/ques, les convic/ons religieuses ou philosophiques,
l’appartenance syndicale, la vie sexuelle, les données géné/ques ou
plus généralement celles rela/ves à l’état de santé de la personne
concernée. ArMcle 40
•  Le responsable d’un traitement ne peut transférer des données à
caractère personnel vers un pays /ers que si cet Etat assure un
niveau de protec/on suffisant de la vie privée, des libertés et droits
fondamentaux des personnes à l’égard du traitement dont ces
données font ou peuvent faire l’objet. ArMcle 49

Signature électronique
•  Une signature électronique créée par un disposi/f de sécurité que le
signataire peut garder sous son contrôle exclusif et qui repose sur un
cer/ficat numérique est admise comme signature au même /tre que la
signature manuscrite. ArMcle 35
•  Enjeux pour la sécurité :

o  protecRon signature contre falsificaRon,
o  menRons du cerRficat : nom du signataire, date de début et de fin de la
validité du cerRficat, limites d'uRlisaRon du cerRficat.

Cybercriminalité
•  Cons/tue une infrac/on, au sens de la présente Direc/ve, le
fait de commeHre un vol, une, escroquerie, un recel, un abus
de confiance, une extorsion de fonds, un acte de terrorisme,
ou une contrefaçon portant les données informa/ques, les
logiciels et les programmes. ArMcle 25
•  L’écrit électronique est admis comme preuve en ma/ère
d’infrac/on à condi/on que puisse être dûment iden/fiée la
personne dont il émane et qu'il soit établi et conservé dans
des condi/ons de nature à en garan/r l’intégrité. ArMcle 32
•  En cas de condamna/on, la juridic/on compétente peut
prononcer la confisca/on des matériels, des équipements, des
instruments, des programmes informa/ques ou des données
ainsi que des sommes ou produits résultant de l’infrac/on et
appartenant au condamné. ArMcle 29

Cryptologie
•  les prestataires de services de cryptologie à des fins de
confiden/alité sont responsables du préjudice causé dans le cadre
desdites presta/ons aux personnes leur confiant la ges/on de leurs
conven/ons secrètes, en cas d’aHeinte à l’intégrité, à la
confiden/alité ou à la disponibilité des données transformées à
l’aide de ces conven/ons. ArMcle 18
•  Les personnes assurant des presta/ons de cryptologie ou exerçant
des ac/vités de cryptologie disposent d’un délai de six (6) mois à
compter de la date d’entrée en vigueur de la présente loi, pour
régulariser leur situa/on auprès de la Commission na/onale de
cryptologie. ArMcle 21
•  Quiconque aura fourni des presta/ons de cryptologie sans avoir
obtenu préalablement l’agrément de la Commission na/onale de
cryptologie prévu à l’ar/cle 16 de la loi sur la cryptologie, sera puni
d’un emprisonnement d’un an à cinq ans et d’une amende de
1.000.000 francs à 20.000.000 francs ou de l’une de ces deux
peines seulement. ArMcle 2

Lois et règlements
Nul n’est censé ignorer la loi

CerRficaRons
CerRficaRons

QCM DE REVISION
QuesRon 1:
Parmi les raisons suivantes, laquelle est la PLUS
importante raison de revoir le processus de
planificaMon d’audit à des intervalles périodiques ?
A.  Pouvoir planifier le déploiement des ressources d’audit
disponibles.
B.  Pouvoir tenir compte des changements à
l’environnement de risque.
C.  Pouvoir alimenter la documentaRon de la charte
d’audit.
D.  Pouvoir cerner les normes d’audit des SI applicables.
QuesRon 2:
La PREMIERE étape de planificaMon d’un audit
est de :
A.  définir les livrables de l’audit
B.  Finaliser la portée et les objecRfs de l’audit
C.  acquérir une compréhension des objecRfs de
l’entreprise
D.  concevoir l’approche pour l’audit ou la
stratégie d’audit.
QuesRon 3:
L’approche que doit uMliser un auditeur des SI
pour planifier la couverture de l’audit des SI
doit se baser sur :
A.  le risque
B.  l’importance relaRve
C.  le scepRcisme professionnel
D.  le caractère suffisant des éléments probants
de l’audit
QuesRon 4:
Une entreprise effectue une copie de sauvegarde
quoMdienne des données criMques et des logiciels, et
entrepose ceê copie dans une installaMon externe.
La copie de sauvegarde est uMlisée pour restaurer les
fichiers en cas d’interrupMon. Il s’agit de :
A.  Un contrôle prévenRf
B.  Un contrôle de gesRon
C.  Un contrôle correcRf
D.  Un contrôle de détecRon

QuesRon 5:
Pendant l'étape de planificaMon d'un audit
informaMque, le but principal de l’auditeur est :
A. de traiter les objecRfs de l'audit.
B. de recueillir suffisamment de preuves.
C. d'établir les spécificaRons des tests
appropriés.
D. de minimiser les ressources de l'audit.

QuesRon 6:
Lors de la sélecMon des procédures d'audit,
l’auditeur en SI devrait uMliser son jugement
professionnel pour garanMr que:
A. Les preuves recueillies sont suffisantes.
B. Toutes les défaillances significaRves idenRfiées
seront corrigées dans une période
raisonnable.
C. Toutes les faiblesses matérielles seront
idenRfiées.
D. Les coûts de l'audit seront maintenus au
minimum.
QuesRon 7:
Lors de toutes les phases d'une mission d'audit,
l’auditeur en SI devrait se concentrer sur:
A. la collecRon de preuve.
B. l'échanRllonnage.
C. les tests approfondis.
D. la documentaRon de l'audit.

QuesRon 8:
En exécutant une enquête légale informaMque
(experMse judiciaire), un auditeur de SI devrait
être concerné, pour ce qui est des preuves
rassemblées, par:
A. l'analyse des preuves.
B. l'évaluaRon des preuves.
C. la préservaRon des preuves.
D. la divulgaRon de preuves.
QuesRon 9:
Un auditeur en Si interrogeant un employé de
bureau affecté à la gesMon informaMsée de la paie,
constate que ses réponses ne correspondent pas à
sa descripMon d'emploi ni aux procédures
documentées. Dans ces circonstances, l’auditeur
devrait:
A. conclure que les contrôles sont inadéquats.
B. élargir la portée pour y inclure des tests
approfondis.
C. se fier fortement sur les audits précédents.
D. suspendre l'audit.
QuesRon 10:
Un auditeur en SI publie un rapport d'audit montrant un
manque de protecMon au niveau de la passerelle du
réseau et son périmètre par l’intermédiaire du firewall
uMlisé ; il recommande alors le produit d'un fournisseur
pour traiter ceê vulnérabilité. L’auditeur en SI a
échoué
dans l'exercice de :
A. l'indépendance professionnelle.
B. l'indépendance d'organisaRon.
C. sa compétence technique.
D. sa compétence professionnelle.

QuesRon 11:
La raison principale pour laquelle un auditeur en SI
exécute un parcours des foncMonnalités
pendant la phase préliminaire d'une mission
d'audit est:
A. de comprendre les processus méRers supportés
par le SI.
B. de se conformer aux normes de vérificaRon.
C. d'idenRfier la faiblesse des contrôles.
D. de planifier des essais approfondis.

QuesRon 12:
Un auditeur des SI qui passe en revue la configuraMon
d’un système de détecMon d’intrusion (IDS) fondé sur
les signatures serait des PLUS inquiets si lequel des
éléments suivants était découvert?

A . La mise à jour automaRque est désacRvée.
B . Le balayage des vulnérabilité de l’applicaRon est
désacRvé.
C . L’analyse des paquets de données chiffrés est
désacRvée.
D . L’IDS est placé entre la zone démilitarisée (DMZ) et le
coupe-‐feu.

QuesRon 13:
Lequel des énoncés suivants fournit le MEILLEUR
contrôle d’accès pour les données salariales qui sont
traitées sur un serveur local ?

A . La journalisaRon de l’accès aux informaRons personnelles
B. URlisaRon de mots de passe séparés pour les transacRons
sensibles
C. URlisaRon de logiciel qui restreint les règles d’accès au
personnel autorisé
D. Restreindre l’accès aux systèmes aux heures d’opéraRon
QuesRon 14:
Une entreprise propose d’installer une seule
foncMonnalité d’ouverture de session qui donne l’accès
à tous les systèmes. L’entreprise doit être consciente
que:

A. L’accès maximum autorisé serait possible si un mot de
passe est divulgué.
B. Les droits d’accès des uRlisateurs seraient restreints
avec des paramètres de sécurité supplémentaires.
C. La charge de travail de l’administrateur de la sécurité
serait augmentée.
D. Les droits d’accès des uRlisateurs seraient augmentés.

QuesRon 15:
Un auditeur des SI qui passe en revue le journal
des tentaMves manquées d’ouverture de session
serait des PLUS inquiets si lequel des comptes
suivants était ciblé?

A. Administrateur de réseau
B. Administrateur de système
C. Administrateur de données
D. Administrateur de base de données

QuesRon 16:
Un site Web de commerce électronique de détail désire,
en tant que parMe de son programme de sécurité de
l’informaMon, surveiller, détecter et prévenir les
acMvités des pirates informaMques et alerter
l’administrateur du système lorsque surviennent des
acMvités douteuses. Lequel des composants
d’infrastructure suivants pourrait être uMlisés à ceê
fin ?

A. Système de détecRon d’intrusion
B. Les coupe-‐feux
C. Les routeurs
D. Encryptage asymétrique
QuesRon 17:
Lequel des problèmes suivants touchant la
sécurité d’un message électronique est traité
avec les signatures numériques ?

A. La lecture non autorisée
B. Le vol
C. La copie non autorisée
D. L’altéraRon
QuesRon 19:
Lequel des éléments suivants caractérise une aâque par
déni de service distribué (DDoS)?

A. Une commande centrale aux ordinateurs intermédiaires de
diriger simultanément du trafic de messages parasites vers un
site ciblé.
B. Une commande locale aux ordinateurs intermédiaires de
diriger simultanément du trafic de messages parasites vers un
site ciblé.
C. Une commande centrale à un ordinateur principal de
diriger simultanément du trafic de messages parasites vers de
mulRples sites ciblés.
D. Une commande centrale aux ordinateurs intermédiaires
de diriger du trafic de messages parasites déclarés vers un site
ciblé.
QuesRon 20:
Dans un processus d'évaluaMon des contrôles des modificaMons de
maintenance d’un programme pour lequel les codes sources iniMaux
ne sont plus conservés, un auditeur en SI uMliserait un logiciel de
comparaison de code source pour:
A. examiner des changements de programme source sans
informaRons provenant du personnel informaRque.
B. découvrir un changement de programme source fait entre le
moment de l'acquisiRon de la copie de programme source et
l'exécuRon de la comparaison.
C. confirmer que la copie contrôlée est la version actuelle du
programme en producRon.
D. garanRr que tous les changements faits dans la copie source
actuelle sont découverts.

QuesRon 21:
Un auditeur doit SURTOUT faire preuve:

A. de confidenRalité, d'intégrité, de savoir-‐faire et d'objecRvité,
B. de savoir-‐faire et d'objecRvité, de simplicité et de compréhension
C. de confidenRalité, d'intégrité, d'humilité et de ténacité
D. d'intégrité, de savoir-‐faire, de courage et de simplicité

QuesRon 22:
Me^re en place un cadre de gesMon de la sécurité ne consiste pas à :

A. Evaluer les risques et idenRfier la méthode de gesRon du risque
B. Définir le périmètre sur lequel le système de gesRon de la sécurité
C. Formaliser des objecRfs globaux de sécurité dans un document.
D. SélecRonner les contrôles de la norme ISO 27002 permerant
pallier les risques

QuesRon 23:
Le niveau de criMcité de chaque risque est évalué grâce au produit:

A. de la menace et de la vulnérabilité
B. de la probabilité d'occurrence et de la menace
C. de la probabilité d'occurrence et de la gravité de ses conséquences
D. de la vulnérabilité et de la probabilité d'occurrence

QuesRon 24:
Lequel de ces incidents ne consMtue pas un risque de disconMnuité
d'un service?

A. charge importante du système
B. installaRon d'un nouveau serveur pour un logiciel méRer important
C. panne d'un composant
D. sinistre endommageant ou détruisant le système

QuesRon 25:
La sécurité de l'informaMon doit être assurée:

A. de son stockage à sa destrucRon.
B. de sa créaRon, son uRlisaRon, son stockage à sa destrucRon.
C. uniquement durant son uRlisaRon
D. durant tout le processus d'uRlisaRon et de transfert

QuesRon 26:
Délocaliser un centre de ressource dans une région avec moins de
risques naturels consiste à:
A. Transférer le risque
B. Arénuer le risque
C. Eviter le risque
D. Accepter le risque

QuesRon 27:
Me^re en place un cadre de gesMon de la sécurité ne consiste pas à :

A. évaluer les risques et idenRfier la méthode de gesRon du risque
B. définir le périmètre sur lequel le système de gesRon de la sécurité
C. formaliser des objecRfs globaux de sécurité dans un document.
D. sélecRonner les contrôles de la norme ISO 27002 permerant
pallier les risques

QuesRon 28:
Un auditeur des SI vient juste de terminer la révision d’une
entreprise qui possède un ordinateur central et deux serveurs de
base de données dans lesquels se trouvent toutes les données de
production. Laquelle des faiblesses suivantes serait considérée
comme étant la PLUS sérieuse?
A. Le responsable de la sécurité joue aussi le rôle d’administrateur de

la base de données.
B. Les contrôles de mots de passe ne sont pas gérés sur les deux
serveurs de base de données.
C. On ne retrouve pas de plan de continuité des affaires pour les
applications non essentielles du système de l’ordinateur central.
D. La plupart des LAN ne sauvegardent pas les disques fixes des
serveurs de fichiers régulièrement.

QuesRon 29:
Lequel des éléments suivant présente la mesure de contrôle des
virus la PLUS efficace ?

A. Le balayage des pièces jointes sur le serveur de courriel.
B. La récupéraRon des systèmes à parRr de copies saines.
C. L’inhibiRon des ports USB.
D. Un scanneur anRvirus en ligne comprenant des descripRons à jour
des nouveaux virus.


QuesRon 30:
Dans le processus d'installaMon d'un système de détecMon
d'intrusion (IDS), qu'est ce qui est le plus important?

A. localiser correctement l’IDS dans l'architecture de réseau
B. prévenir contre les araques de déni de service (Dos)
C. idenRfier les messages qui doivent être mis en quarantaine
D. minimiser les erreurs dans les rejets

QuesRon 31:
Dans quel domaine de la norme ISO 27002 sommes nous appelé à
formaliser des objecMfs globaux de sécurité dans un document:

A. OrganisaRon de la sécurité
B. PoliRque de sécurité
C. Contrôle d'accès
D. Sécurité du personnel


QuesRon 32:
La PREMIERE étape dans l'idenMficaMon et l'évaluaMon des risques
informaMques est de:

A. confirmer le niveau de tolérance de l'entreprise au risque.
B. idenRfier les menaces et les vulnérabilités.
C. recueillir des informaRons sur l'environnement actuel et futur.
D. examiner les rapports d'incidents antérieurs et de l'acRvité de
réponse.


QuesRon 33:
Lequel de ces éléments ne consMtue pas un acMf du SI de
l'entreprise:
A. Le système de télécopie
B. Les données de recherche & développement de la concurrence
C. Les mémorandums
D. Le contenu de la corbeilles à papier


QuesRon 34:
Lequel des énoncés suivants, préviendrait les changements effectués
sans autorisaMon aux informaMons mémorisées dans le journal d'un
serveur?

A. La protecRon contre l'écriture du répertoire contenant le journal
du système
B. L'écriture d'un journal en duplicata sur un autre serveur
C. Tous les jours, le journal de système est imprimé
D. Le fait de copier le journal du système dans un média protégé
contre la réécriture

QuesRon 35:
Parmi ces choix, lequel fournirait la meilleure protecMon contre le
piratage d'un ordinateur connecté à Internet?

A. Un serveur d'accès distant
B. Un serveur proxy
C. Un pare-‐feu personnel
D. Un jeton produisant un mot de passe

pour
Centre Africain
d’Etudes Supérieures
en GesRon

par
El Hadji Malick GUEYE | CISA, COBIT5, ITIL
[email protected]

sources:
Manuel de préparaRon CISA 2015, ISACA
IntroducRon à la gesRon de risque informaRonnel, Marc André LEGER
Théorie et praRque de l’audit interne, Jacques RENARD
ISO 27001 / 27002
Divers arRcles téléchargés sur Internet.

Janvier 2016
MPACG2 SOIR

Audit de La Sécurité Des SI CESAG MPACG2JOUR

Transféré par

Droits d'auteur :

Formats disponibles

Audit de La Sécurité Des SI CESAG MPACG2JOUR

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit de La Sécurité Des SI CESAG MPACG2JOUR

Transféré par

Droits d'auteur :

Formats disponibles

AUDIT

DE LA SECURITE

El Hadji Malick GUEYE | CISA, COBIT5, ITIL

q IntroducRon et présentaRon générale

El Hadji Malick GUEYE, CISA

• L'informaRon est un acRf précieux de l'entreprise.

El Hadji Malick GUEYE, CISA

El Hadji Malick GUEYE, CISA

El Hadji Malick GUEYE, CISA

• Axes d'expression de la sécurité :

• Un personnel responsable et vigilant est la clé d'une sécurité

«La sécurité de la cité tient moins à la solidité de ses

El Hadji Malick GUEYE, CISA

• Analyse de risques : • Mesures de sécurité :

El Hadji Malick GUEYE, CISA

El Hadji Malick GUEYE, CISA

El Hadji Malick GUEYE, CISA

• L'informaRon doit être protégée à tout moment :

El Hadji Malick GUEYE, CISA

El Hadji Malick GUEYE, CISA

• Auditeur : Personne qualiﬁée, compétente et

El Hadji Malick GUEYE, CISA

• Adhésion à un code professionnel d’éthique

• DéRent les compétences et apRtudes nécessaires

Intégrité – Objec/vité – Conﬁden/alité -­‐ Compétence

El Hadji Malick GUEYE, CISA

• Analyse parRelle ou exhausRve du foncRonnement

• Débouche sur un diagnosRc précisant

El Hadji Malick GUEYE, CISA

• La charte d’audit doit énoncer clairement:

El Hadji Malick GUEYE, CISA

• Court terme : Généralement dans un an.

• Analyser les enjeux à court et long termes:

El Hadji Malick GUEYE, CISA

Domaine à auditer Période Date dernier audit Responsabilité

Mise à disposiRon P1 Jamais Auditeur Interne

Plan de conRnuité P2 2014 DSI, Consultant

Qualité de service P3 Jamais Auditeur Interne

Sécurité de P4 2011 DSI, Consultant

El Hadji Malick GUEYE, CISA

5-­‐ Procédures d’audit et de collecte de données:

El Hadji Malick GUEYE, CISA

El Hadji Malick GUEYE, CISA

• Assurer la disponibilité continue des SI;

• Un système des TI équipé de dispositifs de sécurité ne

• Les objecRfs de sécurité ne peuvent être areints seulement

El Hadji Malick GUEYE, CISA

• Leadership, engagement et soutien de la haute

• Politiques et Procédures: Correspondant aux objectifs

• Organisation: Rôle et responsabilité de sécurité au sein de

El Hadji Malick GUEYE, CISA

• Sensibilisation et éducation à la sécurité: Tous les

• Contrôle et conformité: Les auditeurs des SI sont souvent

• Gestion et intervention face aux incidents: incluant la

• Une telle liste consRtue la première étape dans la

• L’inventaire doit inclure:

• La classiﬁcaRon des acRfs informaRonnels réduit le risque et

El Hadji Malick GUEYE, CISA

• Il s’avère très diﬃcile de se conformer aux poliRques de

InformaRon publique Brochures de l’entreprise

q  IntroducRon et présentaRon générale

•  L'informaRon est un acRf précieux de l'entreprise.

•  Axes d'expression de la sécurité :

•  Un personnel responsable et vigilant est la clé d'une sécurité

•  Analyse de risques : •  Mesures de sécurité :

•  L'informaRon doit être protégée à tout moment :

•  Auditeur : Personne qualiﬁée, compétente et

•  Adhésion à un code professionnel d’éthique

•  DéRent les compétences et apRtudes nécessaires

Intégrité – Objec/vité – Conﬁden/alité -‐ Compétence

•  Analyse parRelle ou exhausRve du foncRonnement

•  Débouche sur un diagnosRc précisant

•  La charte d’audit doit énoncer clairement:

•  Court terme : Généralement dans un an.

•  Analyser les enjeux à court et long termes:

5-‐ Procédures d’audit et de collecte de données:

•  Assurer la disponibilité continue des SI;

•  Un système des TI équipé de dispositifs de sécurité ne

•  Les objecRfs de sécurité ne peuvent être areints seulement

•  Leadership, engagement et soutien de la haute

•  Politiques et Procédures: Correspondant aux objectifs

•  Organisation: Rôle et responsabilité de sécurité au sein de

•  Sensibilisation et éducation à la sécurité: Tous les

•  Contrôle et conformité: Les auditeurs des SI sont souvent

•  Gestion et intervention face aux incidents: incluant la

•  Une telle liste consRtue la première étape dans la

•  L’inventaire doit inclure:

•  La classiﬁcaRon des acRfs informaRonnels réduit le risque et

•  Il s’avère très diﬃcile de se conformer aux poliRques de

•  PrérogaRve pour agir sur une ressource informaRque. Cela

•  Les changements de personnel et de départements, les eﬀorts

•  L’accès est accordé par comparaison de la sensibilité de la

•  Les utilisateurs ou les propriétaires de données ne peuvent

•  Ils sont prohibitifs, i.e. tout ce qui n’est pas expressément

•  L’accès peut être accordé ou modifié par le propriétaire de la

•  L’accès peut être hérité;

•  Les contrôles d’accès discrétionnaires ne peuvent pas primer

o  Documenter la cueillette, l’utilisation, la divulgation et la

o  Assurer qu’il existe une imputabilité pour les problèmes de vie

o  Identifier les exigences législatives, réglementaires et

o  Etre fondement de décisions éclairées sur la politique, les

o  Vérifier si les données personnelles sensibles sont gérées

o  Vérifier que les mesures de sécurité adéquates sont adoptées.

o  Réviser la politique de confidentialité de la gestion pour

•  Les pirates adolescents: individus utilisant des scripts et des

•  Les employés des SI: possèdent l’accès le plus facile aux

•  Les utilisateurs finaux: personnel possédant souvent une

•  Les anciens employés: peuvent avoir un accès aux

•  Les employés temporaires: par exemple le personnel

•  Tierces parties: fournisseurs, visiteurs, consultants, et

•  Les ignorants accidentels: quelqu’un qui, sans le savoir,

•  Idéalement, être d’une longueur minimale de huit caractères;

•  Exiger une combinaison d’au moins trois des caractéristiques

•  Ne doivent pas être particulièrement identifiable à l’utilisateur

•  Le système doit exiger des changements de mot de passe

•  Les règles d’autorisation spécifient qui peut avoir accès à

•  Les restrictions d’accès au niveau des fichiers incluent

•  Les systèmes client-‐serveur

o  Identification de tous les points d’accès;

o  Désactivation des lecteurs de disque et port USB …;

o  Analyse de l’activité des utilisateurs connus et inconnus;

o  Cryptage des données sensibles;

o  Implémentation des méthodes d’authentification

o  Formation des utilisateurs.

o  L’authenticité : Une tierce partie doit être apte à vérifier que le

o  La non-répudiation : L’origine ou la réception d’un message

o  La responsabilité : Les actions d’une entité ne doivent être

o  La disponibilité : Les ressources des TI doivent être