Audit de La Sécurité Des Systèmes Dinformations 2

Audit de la Sécurité des Systèmes
d’Informations
Mr. Dolele Sylla, CISA, CISM, CISSP
[email protected]
Plan du cours
 Sécurité des SI: Generalites, Definitions et Objectifs
 Gestion des Risques lies aux SI
 Gouvernance de la Securite des SI – Role du RSSI
 Demarche / Methodologie d’Audit de la SSI
 Revue Generale – Controls Generaux
 Revue des applicatifs – Controls Applicatifs
 Audit de la Securite – Defence in Depth
 ISO 2700x
 Etudes de cas (Methode MEHARI, Audit ERP)
Securite des SI: Definitions et Objectifs
 Objectif du cours
 Maîtriser les notions de base relatives à la sécurité des SI
 Connaitre les objectifs de la sécurité et les mécanismes à mettre
en place pour assurer la sécurité des systèmes d’information
 Se familiarizer avec une methodologie d’audit de la Securite
des SI
 Connaitre les notions de base relatives à l’audit de la Sécurité
des systèmes d’information
 Avoir un aperçu de la Norme ISO 2700x et d’autres
méthodologies (MEHARI, MARION, CoBiT, etc…)
‘L'information est un actif qui, comme les autres actifs

commerciaux importants, a une valeur pour une
organisation et, par conséquent, a besoins d’être
convenablement protégé’
BS ISO 27002:2005
Definitions et Objectifs
Système d’Informations :
 L’ensemble des moyens nécessaires à l’élaboration, au
traitement, au stockage, à l’acheminement et à
l’exploitation des informations (Personnes, Processus et
Technologies)
 Le SI (l’information) représente un patrimoine essentiel de
l’entreprise (Actif Informationnel)
 la confidentialité, l’Integrite et la disponibilité de
l’information constituent un enjeu majeur pour la
compétitivité de l’entreprise : Alignement strategique
La sécurité du système d’information (SSI):
 Ensemble de mesures de sécurité physique, logiques,
organisationnelles, administratives et des mesures
d'urgence, mises en place dans une organisation, en vue
d'assurer:
La confidentialité des données du système d'information
(Confidentialité)
L’Integrite des données (actifs) informatiques (intégrité)
la disponibilité de l’information et la continuité de service
(disponibilité)
 La qualité ou état d'être sûr d'être hors de danger ; (safety)
 La sécurité est obtenue en utilisant plusieurs stratégies;
(programme de sécurité)
 La sécurité est obtenue en utilisant simultanément plusieurs
stratégies ou en combinaison les unes avec les autres
 La sécurité est reconnue comme essentielle pour protéger les
processus vitaux et les systèmes qui fournissent ces
processus;
 La sécurité est pas quelque chose que vous achetez, c’est la
résultante d’un ensemble d’actions que vous faites
 Une architecture où une combinaison intégrée d'appareils,

de systèmes et de solutions, des logiciels, des alarmes et
des analyses de vulnérabilité qui travaillent ensemble :
Architecture de Sécurité
 Surveillés 24x7 – Suivi et Evaluation continue
 Avoir des Personnes, Processus, Technologie, les
politiques, les standards et les procédures -
 La sécurité est pour PPT et pas uniquement pour les
appareils ou dispositifs
Les systèmes informatiques sont au cœur des systèmes d
´information
Ils sont devenus LA cible de ceux qui convoitent
l’information
 Assurer la sécurité de l’information implique l’assurance
la sécurité des systèmes informatiques.
 Une approche basée sur le risque doit être mise en place
en vue de mettre en place la SSI
 la protection de la fiabilité de ces données = la conservation
de leur contenu au fil du temps ou lors de leur Traitement
 La SSI ne résulte pas d'une accumulation de moyens, mais
est plutôt associée à une démarche méthodique d'analyse et
de réduction des risques
 Ainsi, de nombreuses techniques sont mises en œuvre pour
réduire la vulnérabilité vis‐à‐vis des risques informatiques;
elles concernent notamment l'organisation de l'entreprise, le
contrôle des accès aux systèmes d'information, la protection
des télécommunications, le plan de secours, les consignes de
sécurité, la qualité des logiciels, les sauvegardes, le
chiffrement, …
 comporte les aspects suivants:
 la protection physique des installations

 la protection des données contre la consultation, la
modification ou la dégradation, effectuées de façon volontaire
ou accidentelle par des personnes non autorisées
ISO 27002: 2005 définit la Sécurité de l'information comme
la préservation de:
S’assurer que l’information est
 Confidentialite accessible seulement a ceux qui
sont authorises a y acceder
Proteger l’exactitude et la
 Integrite completude de l’information et
des methodes de traitement
S’assurer que les utilisateurs

authorises ont acces a
 Disponibilte l’information et aux actifs
associes quand ils le desirent
Les principaux objectifs de la SSI
Service de Securite Objectifs
Authentification vérifier l’identité des personnes qui

veulent manipuler l’information
Confidentialité L’information ne peut être connue que par
les personnes autorisées
Disponibilité L’information doit être utilisable à la
demande
Intégrité L’information ne doit pas être altérée ou
détruite par accident ou malveillance
Non répudiation L’absence de possibilité de contestation
d’une action une fois celle-ci est effectuée
 Les failles de sécurité conduisent à ...
 Mauvaise réputation
 La perte financière
 Perte de la propriété intellectuelle
 Les infractions législative qui conduisent à des actions
juridiques
 Perte de confiance des clients
 Les coûts de pertes d'exploitation
 Necessite de bien gerer les risques….!!!
La Sécurité de l'information est "problème d'organisation"
plutôt qu’un "problème informatique"
 Plus de 70% des menaces sont internes
 Plus de 60% des fraudeurs sont internes
 Le plus gros risque: les personne
 Plus grand atout: les personnes
 L'ingénierie sociale est une menace majeure
 Plus de 2/3 des entreprises expriment leur incapacité à
déterminer «si mes systèmes sont actuellement
compromis?"
Notion de risque
 Risque: Possibilité qu'une menace exploite une vulnérabilité dans
un actif et provoque des dommages ou de la perte de l'actif.
 Les implications directes
 Risque pour qui ? : en fonction de l’activité (ex : industries, banques,
etc.) et de la taille (ex : régionale, nationale, internationale) des
entreprises, les risques ne sont pas les mêmes.
 Importance relative / impact ?
 Probabilité d’occurrence ?
 Menace: Quelque chose qui peut potentiellement causer des
dommages à l'organisation, les systèmes informatiques ou réseau;
 Vulnérabilité: Une faiblesse dans l'organisation, systèmes
d'information, ou d'un réseau qui peut être exploitée par une
menace.
Notion de risque
 RISQUE = Menace x Vulnerabilite x impact

Notion de risque
Risque
 Fonction de la menace et de la vulnérabilité
 Caractérisé par une probabilité et un impact
 Multiplicité des risques
 Mode de classification
 Par Type de menace
 Risques de marché
 Risques stratégiques
 Risques opérationnels
 Risques de catastrophe
 Par moyen de protection
Relation entre le risque, les menaces et
vulnérabilités
Menaces Vulnerabilites
re
Au te
nt
gm e n
ex
co
en g m
po
é
te u
ég
se
ot
Pr
Controles * Risque Actif

reduce
Au Informationnel
Re
e g
qu m
m
di en
pl
in t e
ip
a
ar
exigences de Valeur de l’actif

Protection
 * Controles: Pratique, procédure ou un mécanisme qui réduit les risques

Notion de risque
La règle du « sur mesure »
 Il n’existe pas de classification universelle des risques, pas
plus que de système de gestion prêt à l’emploi
 Chaque entreprise se doit de réaliser sa propre
classification, en fonction notamment de :
 Son secteur d’activité
 Sa position concurrentielle
 Son organisation
 Etc.…
Management des risques
Démarche générale
 Stratégie
 Définition et qualification des risques
 Stratégie d’audit
 Evaluation des vulnérabilités
 Evaluation de vulnérabilités
 Plan d’action
 Moyens de protection
 Mise en œuvre des moyens de
protection
 Plan de communication et de
formation
 Actions de suivi
 Mesure de la conformité
 Plan d’audit
Management des risques
Stratégie de risque
Définition et qualification des risques :
 Identifier l’ensemble des risques
 Inhérents à l’activité et au secteur
 Propres à l’organisation
 Etablir une classification (par impact, …)
 Obtenir la validation de la Direction Générale
 Elaboration de la stratégie d’audit :
 concevoir une charte d’audit
 attribuer les responsabilités
 allouer les ressources
Evaluation des risques
Evaluation des vulnérabilités :
 Définir les outils et les moyens d’investigation
 Evaluer les dispositifs en place
 détection et prévention
 protection
 transfert
 Etablir la cartographie du risque résiduel
 Conception du plan d’actions :
 Objectifs claires et mesurables: plus il est simple, plus il marcherait
mieux.
 Responsabilités et moyens identifiés: avant tout (càd les moyens de
sécurités), la gestion des risques est une mise en place d’une
politique de démarches de contrôle.
La vulnérabilité des systèmes
 La sécurité :
 comprend les politiques, les procédures et les mesures techniques…
… visant à prévenir tout accès non autorisé et toute altération de données, ainsi
que les vols et les dommages.
 Les contrôles :
 consistent en des méthodes, des mesures et des procédures
organisationnelles…
… garantissant la protection des actifs d’une organisation, la précision et la
fiabilité de ses enregistrements et la conformité de ses opérations aux normes
de gestion.
Les causes de la vulnérabilité des systèmes

 Mauvais fonctionnement du matériel informatique :
 Une panne du matériel informatique, une configuration inadéquate, un usage abusif ou un
acte criminel.
 Mauvais fonctionnement des logiciels :

 Des erreurs de programmation, une installation mal faite et des changements
non autorisés.
 Désastres :
 Des pannes de courant, inondations, incendies et autres catastrophes naturelles.
 Impartition :
 Faire appel à des sous-traitants locaux ou à l’étranger.
La vulnérabilité d’Internet
 Les grands réseaux publics sont ouverts à tous.
 Internet est un si gros réseau qu’un usage abusif peut y avoir des répercussions
considérables.
 Les ordinateurs sont constamment connectés à Internet et utilisent une adresse
Internet permanente qui permet de les repérer facilement.
 Les emails avec pièces jointes peuvent contenir des logiciels malveillants.
 Les emails peut servir à transmettre des secrets commerciaux.
 La messagerie instantanée, qui est sans sécurité, peut être facilement interceptée.
Les programmes malveillants

 Virus informatique : programme malveillant qui s’attache à d’autres programmes
ou à des fichiers de données pour s’exécuter.
 Ver informatique : programme indépendant (autonome) qui se propage d’un
ordinateur à l’autre dans un réseau.
 Cheval de Troie : programme en apparence inoffensif, mais dont le comportement
est imprévisible.
 Logiciel espion : petit programme qui s’installe lui-même pour espionner la
navigation sur le Web et diffuser de la publicité.
 L’enregistreur de frappe enregistre chaque frappe faite sur un ordinateur pour voler des
numéros de série, des mots de passe, des numéros de cartes de crédit, et pour lancer des
attaques Internet.
Les pirates informatiques et le cybervandalisme

 Pirate informatique (hacker) vs braqueur (cracker)
 Le pirate cherche à obtenir un accès non autorisé.
 Le braqueur est un pirate avec une intention criminelle.
 Activités de piratage :
 L’intrusion dans un système informatique.
 Le vol de biens et d’informations.
 Les atteintes aux systèmes.
 Le cybervandalisme :
 c’est-à-dire la perturbation, la dégradation ou même la destruction préméditée d’un site
Web ou d’un système informatique d’entreprise.
 Le vol d’identité
 Consiste en l’obtention de renseignements personnels (numéro d’assurance sociale, permis de
conduire ou carte de crédit) dans le but de se faire passer pour quelqu’un d’autre.
 L’hameçonnage (fishing)
 Consiste en la création de faux sites Web ou l’envoi de courriels dirigeant les utilisateurs vers
de faux sites Web, imitant ceux d’entreprises légitimes, et demandant de fournir des
renseignements confidentiels.
 Les jumeaux malfaisants (evil twins)
 Consistent en des réseaux sans fil qui prétendent offrir des connexions Wi-Fi fiables à
Internet, comme dans les aéroports, les hôtels ou les cafés, et par lesquels les fraudeurs
tentent de saisir des mots de passe et des numéros de cartes de crédit.
 Le clonage d’adresses de serveur (pharming)
 Redirige les utilisateurs vers une fausse page Web, même lorsqu’ils ont tapé la bonne adresse
dans leur navigateur.
Les menaces internes : les employés

 Les menaces en matière de sécurité proviennent souvent de l’intérieur des
entreprises.
 Les employés ont accès à des informations privilégiées.
 Les procédures de sécurité manquent de rigueur.
 Les utilisateurs manquent de connaissances.
 Ingénierie sociale ou piratage psychologique :

 Des intrus mal intentionnés peuvent amener des employés à révéler leur mot de passe en
prétendant être des membres légitimes de l’organisation à la recherche de renseignements.
La valeur commerciale de la sécurité et du contrôle des systèmes informatiques
Une sécurité et un contrôle inadéquats peuvent engendrer :

 des pertes de revenus;
 Une panne des systèmes informatiques peut ralentir ou arrêter les activités de l’entreprise
menant à des pertes financières importantes.
 une perte de valeur sur le marché financier;
 Plusieurs informations sont précieuses et doivent être protégées.
 Si la sécurité de ses informations est compromise, une entreprise peut perdre rapidement de
sa valeur en Bourse.
 des problèmes juridiques;
 une baisse de la productivité des employés;
 des coûts d’exploitation plus élevés.
La valeur commerciale de la sécurité et du contrôle des systèmes informatiques
Les exigences juridiques et réglementaires s’appliquant

à la gestion des documents informatiques (aux É.-U.)
 Les entreprises font face à de nouvelles obligations.
 Elles ont l’obligation juridique de gestion et de conservation des documents informatiques,
ainsi que de protection de la vie privée.
 HIPAA : Health Insurance Portability and Accountability Act
 Cette loi précise les règles et les procédures à respecter pour préserver la confidentialité et la sécurité
des données médicales.
 Loi Gramm-Leach-Bliley :
 Cette loi impose aux institutions financières une obligation de confidentialité et de sécurité concernant
les données sur les consommateurs.
 Loi Sarbanes-Oxley :
 Cette loi fait porter sur les entreprises et sur leurs dirigeants la responsabilité de protéger l’intégrité des
informations financières utilisées à l’interne et diffusées à l’externe.
L’établissement d’un cadre de gestion pour la sécurité
et le contrôle des systèmes d’information
Les contrôles des systèmes d’information

 Les contrôles généraux
 Ils portent sur la conception, la sécurité et l’usage des programmes informatiques, ainsi que sur la
sécurité des fichiers de données stockés dans toute l’infrastructure de TI de l’organisation.
 Ils consistent en une combinaison de dispositifs matériels et logiciels, ainsi que de procédures
manuelles, visant à créer un cadre global de contrôle – l’environnement de contrôle
 Les types de contrôles généraux portent sur :

 La politique de SSI,
 Les structures de Gouvernance de la SSI,
 Les standards et les procédures,
 les processus d’implantation des systèmes,
 les contrôles administratifs et organisationnels
Les contrôles des systèmes d’information (suite)

 Les contrôles Applicatifs
 Ils portent spécifiquement sur chacune des applications informatisées, comme la paie et le
traitement des commandes, etc…
 Ils regroupent des procédures manuelles et automatisées.
 Ils permettent de s’assurer que l’application en question ne traite que des données autorisées
de façon exhaustive et précise – Tous les services de sécurité sont en place.
 Les catégories de contrôles d’applications :

 Les contrôles de données à l’entrée
 Les contrôles en cours de traitement
 Les contrôles à la sortie
La politique de sécurité informatique

 Elle se compose d’une série d’énoncés qui hiérarchisent les risques et fixent des
objectifs raisonnables en matière de sécurité en indiquant comment les atteindre.
 Elle détermine quels sont les usages acceptables des ressources informationnelles de
l’entreprise et les membres qui y ont accès :
 Une politique d’utilisation acceptable indique quelles utilisations des ressources et du
matériel d’information sont permises.
 Une politique d’autorisation détermine le degré d’accès aux ressources informationnelles
alloué aux diverses catégories d’utilisateurs au sein de l’organisation.
 Un système de gestion des autorisations accorde à l’utilisateur l’accès aux seules parties
d’un système qu’il est autorisé à consulter en vertu d’un ensemble
de règles.
 Planification de la reprise sur sinistre : est l’élaboration de plans assurant la

restauration des services informatiques et des communications après un sinistre.
 Planification de la continuité des affaires : porte sur les moyens par lesquels
l’entreprise peut reprendre ses opérations après un sinistre.
 Dans ces deux types de planification, les dirigeants et responsables métiers doivent
travailler ensemble afin de déterminer les systèmes et programmes les plus cruciaux
pour l’entreprise.
 Ils doivent procéder à une analyse d’impact pour estimer l’effet d’une panne des
systèmes sur les affaires.
 Les gestionnaires doivent…
… évaluer la durée maximale de survie de l’entreprise en cas de panne de ses systèmes;
… déterminer les secteurs qui doivent être restaurés en priorité.
Les outils et les technologies permettant de protéger
les ressources informationnelles
Le contrôle d’accès
 Il comprend les politiques et procédures qu’une entreprise utilise pour empêcher toute
personne non autorisée d’accéder à ses systèmes, à l’interne comme à l’externe.
 Autorisation : accorder une permission.

 Authentification : vérifier si la personne est bien celle
qu’elle prétend être.
 Méthodes d’authentification :
 Mot de passe
 Jeton d’authentification
 Carte à puce
 Authentification biométrique
 Les pare-feux : une combinaison de matériel informatique et de logiciels qui

contrôlent le trafic qui arrive dans un réseau et qui en sort.
 Technologies de filtrage :
 Filtrage statique de paquets de données
 Inspection dynamique
 Traduction d’adresses de réseau
 Filtrage par serveur mandataire (proxy)
 Les systèmes de détection d’intrusion : des outils qui effectuent une

surveillance continuelle dans les zones ou les points d’accès des réseaux les plus
vulnérables, de manière à repérer et à dissuader les intrus.
Assurer la disponibilité des systèmes

 Le traitement transactionnel en ligne
 Requiert que les systèmes et les applications soient disponibles
en tout temps.
 Les systèmes à tolérance de pannes
 Assurent la continuité du service.
 Contiennent du matériel, des logiciels et des composantes d’alimentation électrique
redondants.
 L’informatique à haute disponibilité
 Permet de se relever rapidement en cas de « plantage ».
 Diminue les temps d’arrêt sans toutefois les éliminer entièrement.
Assurer la disponibilité des systèmes (suite)

 L’informatique axée sur la reprise
 Vise à concevoir des systèmes qui reprennent rapidement en cas de problème et aide les
opérateurs à localiser les sources de pannes dans des systèmes à composantes multiples et à
corriger leurs erreurs.
 Le contrôle de l’utilisation des réseaux
 L’inspection approfondie des paquets (IAP).
 L’impartition de la sécurité
 Un fournisseur de gestion de services de sécurité…
… surveille les activités du réseau;
… effectue des tests de vulnérabilité;
… détecte les intrusions.
Les structures de gestion des risques
 Niveau 1 : responsabilité implicite
 Va de paire avec la fonction
 Absence de processus de suivi
 Niveau 2 : responsabilité définie
 Délégation formelle
 Intégration à l'organigramme
 Niveau 3 : responsabilité globale
 Comité ou direction des Risques
 Risk Manager
Gouvernance de la SSI
 Le Gouvernance de la SSI est une activité ciblée, ayant
comme principal objectif la création de la valeur a travers
le SI;
 Elle assure les fonctions suivantes:
 Intégrité de l'information
 Continuité des services
 Protection des actifs informationnels
 Partie intégrante de la gouvernance des TI
 Importance de la gouvernance de l'information de sécurité
Importance de la gouvernance de la Sécurité des SI
 La Sécurité des Systèmes d‘Information (SSI) couvre tous
les processus d'information, physiques et électroniques,
indépendamment du fait qu'ils impliquent des personnes et
de la technologie ou des relations avec les partenaires
commerciaux, les clients et les tiers.
 La SSI concerne tous les aspects de l'information et sa
protection à tous les points de son cycle de vie au sein de
l'organisation.
Une Gouvernance SSI efficace peut ajouter une valeur
significative à une organisation par les moyens suivants:
 Fournir plus d’assurance dans les interactions avec les
partenaires commerciaux
 Amélioration de la confiance dans la relation avec les
clients
 Protéger la réputation de l'organisation
 Fournir de nouvelles et de meilleures façons de traiter les
transactions électroniques
Résultats de gouvernance de la sécurité
 Alignement stratégique -- aligner la sécurité des SI avec la
stratégie d'entreprise
 Gestion des risques -- Gérer et exécuter les mesures appropriées
pour atténuer les risques
 Délivrer de la valeur -- Optimiser les investissements de Sécurité
 Mesure de la performance -- Mesurer, surveiller et de produire des
rapports sur les processus de sécurité de l'information
 Gestion des ressources - Mettre à profit les connaissances et
l'infrastructure de sécurité de l'information de façon efficace et
efficiente
 L'intégration des procédés - l'intégration de l'assurance des
processus de gestion de la sécurité
Gouvernance efficace de la sécurité des SI
 Pour atteindre un objectif de gouvernance efficace de la
sécurité des SI, la Direction doit établir et maintenir un
cadre pour guider le développement et la gestion d'un
programme de sécurité des SI global qui appuie les
objectifs du business;
 Ce cadre fournit les fondements pour le développement
d'un Programme de Sécurité de l'information économique
qui appuie les objectifs métiers de l'organisation;
La gouvernance de la sécurité des SSl nécessite une
Direction Stratégique et une dynamique à partir des
structure suivantes:
 Le conseils d'administration / haute direction
 La direction générale
 Les comités de pilotage / orientation
 Responsable de la sécurité des SSI (RSSI)
Le positionnement de la DSI
 La tendance est à la nomination d’un RSSI mais avec des
difficultés de positionnement hiérarchique
 La possibilité du RSSI qui a la capacité d'évoluer vers un
poste de RS
 Recours à des expertises externes: Schéma directeur,
Pilotage de projets, Sécurité...
 Rq : « schéma directeur » : une déclinaison informatique
et business des acteurs opérationnels
Evolution des moyens mis en œuvre
Les tendances observées :
 Utilisation de normes et méthodes reconnues (AFNOR,
Clusif, ISO, CoBit…) et des Best Practices
 Niveau de formalisation plus élevé : la quantité des
documentations augmente
 Compréhension et traduction des besoins utilisateurs
 Niveau de service, performances, satisfaction : évolution
vers des relations de type client / fournisseur
Methodologie d’audit de la Securite des SI
Les méthodes d’investigation
 Couverture des risques inhérents :
 Revue Générale Informatique
 la politique informatique
 l'organisation et les équipes du service informatique
 la configuration matérielle et réseau
 la cartographie applicative
 la gestion de la sécurité informatique
 le développement informatique
 l'exploitation informatique
 Audit de la sécurité: sécurité physique et logique, continuité
d'exploitation
Methodologie d’audit de la SSI
 Couverture des risques liés aux processus externes :
 Revue applicative
 Application "traditionnelle"
 Audit des flux vs. Audit des traitements
 Approche ERP
 Audit du paramétrage
 Certification de sites de commerce électronique
 Tests informatique
 tests de valeur
 tests de détection d'anomalies
 tests de recoupement de bases
 tests de simulation
 outils d'audit : Idea, ACL, …
 Respect des contraintes réglementaires :
 Environnement de contrôle fonction de la réglementation en
vigueur

Synthèse
 En matière de gestion de risque, la pratique n'évolue
pas au même rythme que la théorie
 L’Afrique francophone reste globalement en retard par
rapport aux pays anglo-saxons
 Les freins souvent observés :
 Sensibilisation de la DG (globalement bas niveau de maturité
des processus)
 Appréciation de l'impact et de la probabilité d’occurence
 Vision dynamique
 Manques de compétences adhoc
Impact sur la démarche générale
Conséquence de l’« informatisation » pour l’auditeur
 Apparition de nouveaux risques
 Augmentation des volumes
 Dématérialisation de l'information
 Barrière technique
 Automatisation des processus
 Évolution du périmètre du contrôle interne
Revue Générale Informatique
La politique informatique
Rappel : le Schéma Directeur (R. ACKOFF)
 Une volonté d’existence : un projet d’entreprise à long
terme : c’est un plan stratégique
 Des scénarios à moyen terme: en fonction du projet à long
terme, on liste des scénarios à moyen terme qui sont
susceptibles de le réaliser.
 Un plan à court terme
 Un business intelligence system axé sur l’immédiat
 L’entreprise dispose-t-elle d’une stratégie en matière de sécurité
des systèmes d’information et d’outil informatique ?
 Le plan informatique combine-t-il au mieux les ressources
disponibles pour traduire les orientations en programmes
d’actions ?
 Principaux problèmes rencontrés
 Absence de schéma directeur
 Absence de méthodologie pour la réalisation du schéma directeur
 Recensement des besoins des utilisateurs sans véritable relation avec les
objectifs généraux et informatiques de l’entreprise
 Chantier étalé dans le temps : difficulté à réaliser les objectifs énoncés dans
le schéma directeur
 Le schéma directeur est souvent une proposition du département
informatique sans véritable adhésion de l’entreprise
L’organisation et les équipes du service informatique
Risques liés au positionnement du service informatique
 Indépendance trop importante du service informatique
 Non respect des procédures
 Non prise en compte de la dimension stratégique des
systèmes d’information
 Mauvaise utilisation de l’outil informatique
 Cumul de fonctions incompatibles
Organisation du service informatique
 Unicité du savoir de nature à causer des préjudices graves en cas
d’indisponibilité des personnes
 Suivi insuffisant des travaux effectués et de la qualité des
services rendus
 Turn-over des équipes: un fort Turn-over représente un risque de
pertes des savoirs dans l’entreprise.
 Absence de suivi transversal des projets
 Formation des équipes
 Séparation des fonctions
 Procédures en place
 Compétence fonctionnelle
La configuration matérielle et réseau
 Appel à des techniques ou à des technologies difficiles à
maintenir / faire évoluer
 Cohérence d'ensemble : à travers des interfaces
supplémentaires (ex : couche web), on arrive à faire marcher
plusieurs systèmes différents qui ne se sont pas communiqués
avant.
 Concentration des informations sensibles sur des matériels
uniques
 Suivi de l'évolution des capacités disponibles
 Répétition intempestive de pannes
 Fournisseur en difficulté financière
Établir l'architecture du système informatique (y
compris réseau et équipement bureautique) de façon à :
 identifier les risques éventuels :
 complexité/hétérogénéité relative du système
 matériels clés sensibles (réseau, …)
 interconnexions avec d'autres systèmes (clients, fournisseurs,
prestataires, ...)
 disponibilité
 incidents répertoriés
 apprécier le degré de modernité
 machines centrales, postes de travail et réseau
Les objectifs
 Quelles sont les principales applications composant le système d'information ?
 Comment la comptabilité est-elle alimentée ?
 Quelle est la nature et la périodicité des interfaces ?
 Tous les flux sont-ils informatisés ?
 Mieux connaître les liens qui existent entre les domaines, afin de mieux positionner
une application dans son contexte global

Etapes à suivre
 Recensement des divers domaines d’activité de l’entreprise
 Inventaire des systèmes applicatifs
 Identification des liens entre systèmes applicatifs et description de la nature des
interfaces existantes
 Formalisation de l’ensemble des informations recueillies :
 Tableau récapitulatif
 Schéma d’intégration global
Identification des risques
 Couverture des besoins de l’entreprise
 Intégration ou interfaçage entre les applications
 Différence : « intégré » & « interfacé »
 Cohérence d’ensemble
 Appel à des progiciels ou à des prestataires de service qui
rencontrent des difficultés financières
 Identification des applications sensibles
 poids financier et stratégique : en fonction de leurs impacts financiers
et stratégiques.
 données sensibles (financières, commerciales ou techniques ...)
 fragilité (développement spécifique, …)
Les contrôles généraux informatiques
Présentation
Définition des IT General Controls: Ensemble des
procédures de contrôles contribuant à assurer un bon
fonctionnement continu des systèmes d’information.
Principe des travaux :
 Identification des contrôles en place
 Evaluation du design et de l’efficacité de ces contrôles
par la réalisation de tests (entretiens, collecte et revue de
documentation…)
 Access to programs and data
 1.A – Implementation of security
practices
 1.B – Logical and physical access to
IT computing resources
 Program changes
 2.A – Changes have been authorized,
documented and tested
 2.B – System and application
configuration changes
 2.C – Migration of changes into
production
 Program development
 3.A – Authorization, development,
and testing of new systems and
applications
Computer operations
 4.A – Implementation backup and
recovery procedures
 4.B – Problem management
procedures
 4.C – Accuracy, completeness, and
timely processing of systems jobs
End-user computing
 5.A – IT general controls applied to
end-user computing environments
 Spreadsheets and other user
developed programs
 Common in financial consolidation,
reporting and disclosures
 Document and test in relevant Audit
Program
La gestion de la sécurité informatique
Présentation
La sécurité logique
 informations confidentielles ou sensibles
 gestion des droits d'accès
 différents mécanismes en place
 modalités de gestion des identifiants et mots de passe
 procédures d'attribution des droits
 (les droits d'accès en place font a priori partie de la revue d'application)
La sécurité physique et la continuité d'exploitation
 protection des matériels
 procédures de sauvegarde
 plan de secours
 plan de fonctionnement dégradé

Démarche
 Identification des contrôles en place par entretien et revue
de la documentation
Thème
Contrôles à tester
Accès aux programmes et aux données
Une politique de sécurité de l'information existe, a été approuvée
par le management et communiquée aux utilisateurs.
Des standards de sécurité ont été mis en place afin d'atteindre les
objectifs définis dans la politique de sécurité. Ces standards
doivent couvrir les thèmes suivants :
- Organigramme de la fonction sécurité
- Rôles et responsabilités
- Sécurité physique et environnementale
Implémentation des pratiques de Sécurité - Sécurité des OS
- Sécurité des réseaux
- Sécurité des applications
- Sécurité des bases de données
Un plan de sécurité IT existe et est en ligne avec le plan
stratégique IT.
Le plan de sécurité IT est mis à jour des changements apportés à
l'environnement IT ainsi que des besoins identifiés en terme de
sécurité pour les systèmes.
Des contrôles existent lors du processus de demande et de création des droits
utilisateurs afin de garantir le principe de séparation de fonction.
Ségrégation des responsabilités Les applications et les systèmes hébergeant les données sont correctement configurés
pour autoriser l'accès aux utilisateurs selon leurs besoins (consultation, création,
modification ou suppression des données).
Des procédures existent et sont suivies afin de :

- garantir l'efficacité des mécanismes d'accès et d'authentification
- s'assurer que tous les utilisateurs sont authentifiés par le système garantissant ainsi la
validité des transactions passées.
Un processus de contrôle est en place afin d'effectuer une revue périodique des droits
d'accès et de s'assurer de leur correcte attribution.
Des procédures sont mises en place et suivies pour s'assurer que les comptes utilisateurs
sont créés, modifiés, suspendus et fermés en temps et en heure.
Des contrôles appropriés, incluant les Firewalls, la détection d'intrusion, l'évaluation des
Access physiques et logiques aux resources vulnérabilités existent et sont utilisés pour se prémunir des accès non-autorisés à partir
Informatiques des connectivités réseaux.
Des logs tracent les opérations liées à la sécurité des OS, des applications et des bases
de données. La revue de ces logs permet d'identifier les violations de sécurité et de les
remonter au management.
S'assurer que l'accès aux salles IT est restreint et que les règles de sécurité sont définies
et
appliquées.
Des procédures d'accès sont en place pour les employés, les contractants et les équipes
de maintenance.
Des moyens de protection physiques permettent de maintenir

les systèmes en fonctionnement et d'assurer la disponibilité
des données (messages d' alarmes pour l' eau, le feu, les
intrusions, extincteurs, air conditionné, groupes
électrogènes…).
Seules les logiciels autorisés sont utilisés par les utilisateurs.
Access physiques et logiques aux resources Informatiques Des tests périodiques sont effectués pour s'assurer que
l'infrastructure matérielle et logicielle est configurée de façon
appropriée.
La direction Informatique a défini des procédures permettant de
protéger le système d'information et les équipements
informatiques des virus informatiques
 La gestion des changements
Thème
Objectif de contrôle
Changement applicatifs
Les demandes de :
- changement des programmes,
- maintenance des systèmes (incluant les changements apportés
aux OS),
- changement des infrastructures,
sont standardisées, tracées, approuvées, documentées et
respectent les procédures de gestion es changements.
Les changements ont ete autorises, documentes et testes
Les procédures de gestion des changements tiennent compte des

changements urgents effectués directement en environnement de
production.
Comme tous changements, les changements dits urgents sont
documentés de la même manière a postériori.
Des contrôles sont en place afin que les migrations des

Migration des changements vers l’environnement de programmes dans l'environnement de production soient limitées
production aux seules personnes autorisées.
La Direction Informatique garantit que l'implémentation des

Changements dans la configuration des Systemes et des logiciels et systèmes ne met pas en danger la sécurité des
applications données et des programmes des systèmes.
Le développement informatique
Rappel des phases de la gestion de projet
 Étude d'opportunité et de faisabilité
 conception fonctionnelle (spécifications générales,
spécifications détaillées)
 conception technique
 développement (programmation)
 Tests
 Recette
 mise en production
 maintenance
Les principaux risques par phase de développement
 Identification des risques par une revue des méthodologies de
développement
 Etude d'opportunité et de faisabilité
 implication de la direction dans l’initialisation du projet
 étape de validation de la faisabilité technique et économique
 Conception
 participation des utilisateurs, …
 découpage du projet en plusieurs étapes
 intégration de thèmes relatifs à :
 la sécurité
 les contrôles programmés
 la piste d'audit
 Les principaux risques par phase de développement
 Réalisation
 outils utilisés, …
 bugs rencontrés
 En moyenne, un "bug" pour cent lignes de code produites
 Tous les bugs ne peuvent être détectés avant la mise en production
 Le coût de la correction est évidemment plus élevé lorsque l'application est en service
 Absence ou non respect des normes de programmation
 Test / Recette
 Existence de tests unitaires d'intégration et tests de non-régression
 adéquation de la solution au besoin (recette fonctionnelle)
 non création d’un échantillon représentatif
 non suivi des incidents
 Maintenance
 perte de connaissance de l’application
 absence de documentation
 turn-over
 versions successives non gérées
 absence de base de test (ou base non à jour)
 mise en exploitation non contrôlée
Thème
Objectif de contrôle
Gestion des développements
L’organisation dispose d’une méthodologie de cycle de vie de
développement de système (SDLC) intégrant les besoins de
l’organisation en terme de sécurité et d’intégrité des données et
traitements
Les politiques et procédures SDLC considèrent le

développement et l'acquisition de nouveaux systèmes ainsi que
les évolutions majeures apportées aux systèmes existants.
La méthodologie de cycle de vie de développement de système

(SDLC) assure que les systèmes d'information sont conçus pour
inclure les contrôles applicatifs qui garantissent que les
Authorization, development, and testing of new systems and traitements sont complets, exacts, autorisés, et valides, et que
applications tous les composants (programmes et données) fonctionnent
ensemble sans erreur.
L'organisation dispose d'un processus d'acquisition et de

planification en cohérence avec les orientations stratégiques
d'ensemble.
La Direction Informatique garantit que les utilisateurs sont

impliqués de manière appropriée dans la conception des
applications, la sélection des progiciels, et leurs tests afin de
garantir un environnement fiable.
L'organisation acquiert les logiciels et systèmes
conformément à ses processus d'acquisition, de
développement et de planification.
L'organisation a défini des politiques et procédures pour la
gestion des développements et évolutions applicatifs, revues
périodiquement, mises à jour et approuvées par le management.
L'organisation développe, maintient et utilise ses systèmes et ses
applications en accord avec les politiques et procédures qu'elle a
définie.
Des revues de post-implémentation sont effectuées afin de
vérifier l'efficacité des contrôles implémentés.
Il existe une stratégie de test pour tous les changements
Authorization, development, and testing of new systems and applicatifs et technologiques significatifs, qui garantissent que
applications les systèmes déployés fonctionnent comme prévu.
Les tests sont réalisés à différents niveaux :
- tests unitaires,
- tests d'intégration,
- tests utilisateurs.
Les tests de chargement et de stress sont réalisés conformément
au plan de test et aux standards de tests établis.
Les interfaces avec les autres systèmes sont testées afin de
s'assurer de l'exhaustivité, l'exactitude et l'intégrité des données
interfacées.
La conversion des données est testée (rapprochement entre leur
état original et final) afin de s'assurer de l'exhaustivité,
l'exactitude et l'intégrité des données converties.
L’exploitation informatique
 Gestion des travaux
 Gestion des moyens
 Procédures de mise en exploitation
Gestion des travaux et des moyens

 Gestion des travaux
 Planning
 Documentation
 Gestion des incidents
 Contrôle de la production
 Distribution des restitutions
 Gestion des moyens
 Gestion des matériels
 Plan de secours
 Procédures de sauvegarde
 Gestion
Procédures de mise en exploitation
 Implication de l’exploitation lors du développement de
nouvelles applications
 Evaluation de l’impact sur le planning de traitements
 Procédure d’approbation des transferts de programmes
en exploitation
 Séparation bien établie des fonctions avec les études
 Existence de plusieurs environnements ?
 Environnement de développement
 Environnement de test
 Environnement de production
Points d’attention liés à la gestion des travaux
 Existence d’une planification automatique
 Existence d’une procédure formalisée pour les travaux exceptionnels non planifiés?
 Existence de procédures écrites
 Conservation de la maîtrise de l’enchaînement des traitements
 Standardisation du dossier d’exploitation
 Les opérateurs ont-ils accès aux logiciels de production? Aux données de
production?
 Peuvent-ils modifier les programmes sources ?
 Rotation des fonctions entre les opérateurs?
 Utilisation de moyens permettant de contrôler la bonne exécution des traitements
 Procédure de suivi des incidents?
 Définition d’un niveau de gravité des incidents?
 Revue périodique des incidents non clos?
 Identification des sorties sensibles?
Points d’attention liés à la gestion des moyens
 Maintenance
 suivi des performances
 suivi de l’espace disque disponible
 suivi des consommations
 le plan de secours couvre-t-il tous les sites ? Toutes les applications?
 s’appuie-t-il sur une analyse des risques associés à l’indisponibilité des
différentes applications?
 Tests réguliers du plan de secours?
 Conservation à l’extérieur du centre informatique des copies de fichiers de
données et des programmes de production?
 Contrôle du contenu des sauvegardes avec les fichiers en production?
 Restauration périodique des sauvegardes?
 Refacturation aux utilisateurs
Exploitation
Des contrats de service internes et externes (Service Level
Agreement) sont définis et gérés afin de répondre aux besoins des
systèmes de reporting financier. Ces contrats définissent les rôles
et responsabilités de chacune des parties et explicitent les services
fournis et attendus.
Pour gérer les contrats de service aussi bien internes qu'externes, des
indicateurs clés de performance sont définis.
Un responsable est nommé afin de suivre régulièrement les critères
de performance des prestataires.
La sélection des fournisseurs de services d'outsourcing est réalisée
conformément à la politique de l'organisation en matière de gestion
des fournisseurs.
Les fournisseurs pressentis sont correctement qualifiés au travers
d'une démonstration de leur capacité à fournir le service demandé et
Accuracy, completeness, and timely processing of systems jobs de leur solidité financière.
Les contrats avec les tiers définissent les risques identifiés, les
contrôles et procédures de sécurité mis en place pour les systèmes et
réseaux concernés.
Des procédures existent et sont suivies afin qu'un contrat formel soit
défini et convenu pour tous les services tiers avant le début des
travaux, y compris la définition des exigences de contrôle
interne et l'acceptation des politiques et procédures de l'entreprise
Des revues régulières des prestataires sont effectuées au travers
d'audits (exemple : SAS 70).
Des politiques et procédures existent pour gérer la distribution et la
rétention des données ainsi que pour les rapports.
Des contrôles de fin de traitement sont réalisés par la DSI afin de
vérifier l'exactitude, la complétude et la validité des traitements
informatiques.
Revue Générale Informatique La Direction Informatique a défini et mis en place un système de gestion des
problèmes et incidents de telle manière que les incidents liés à l'intégrité des
données et aux contrôles d'accès
sont enregistrés, analysés, résolus en temps et en heure et remonter au
management le cas échéant.
Problem management procedures
Le système de gestion des problèmes assure la piste d'audit entre le problème ou
l'incident relevé jusqu'à la cause identifiée.
Un processus de réponse aux incidents de sécurité existe afin de mettre en place les
actions correctives dans les meilleurs délais et d'analyser les opérations non-autorisées.
Le management protège les informations sensibles - logique et physique -, dans leur

stockage et durant leur transmission, contre les accès ou les modifications non-
autorisés.
La période de rétention et les conditions de stockage sont définis pour les documents,
les données, les programmes et les messages (entrants/sortants) ainsi que pour les
données (clés, certificats) utilisées pour leur encryption et authentification.
Le management a implémenté une stratégie de backup des données et des

programmes.
Des procédures existent et sont suivies pour tester périodiquement l'efficacité du
processus de restauration et la qualité des bandes de sauvegarde.
Implementation backup and recovery procedures
Les historiques d'événements des systèmes sont conservées assez longtemps pour
générer une chronologie et un journal qui permettront de contrôler, examiner et
reconstruire le système et le
traitement des données.
Les changements apportées à la structure des données sont autorisés et implémentés en
accord avec les spécifications, et en temps et en heure.
La Direction Informatique a défini des procédures standards pour l'exécution des

travaux IT y compris l'ordonnancement, la gestion, la surveillance et la réaction aux
incidents de sécurité, la disponibilité et l'intégrité des traitements.
Tests Informatiques
Sommaire
 Pourquoi réaliser des tests informatiques ?
 Avantage des interrogations de fichiers
 Situation amenant à procéder à des interrogations de
fichiers
 Typologie des tests informatiques
 Démarche de mise en œuvre
 Les facteurs de réussite
 Outils de traitement
Tests Informatiques
Pourquoi réaliser des tests informatiques
 Justification fondamentale : la dématérialisation des
écritures ou des documents de gestion ne doit pas
constituer un obstacle au travail de l’auditeur

 Plus pragmatiquement, trois avantages essentiels :
 Efficacité de l’audit
 Productivité des travaux
 Meilleure compréhension des systèmes

Tests Informatiques
Avantage des interrogations de fichiers
 Efficacité de l’audit
 Représentativité des échantillons testés
 l’automatisation des tâches permet de ne plus travaille sur un
échantillon de la population mais sur sa totalité et d’accroître la
pertinence et la productivité des travaux
 les erreurs de contrôle interne, difficile à déceler de par leur
caractère exceptionnel, peuvent être découvertes par un examen
systématique des données
 Validation des calculs complexes
 il est possible d’effectuer des calculs complexes ou des simulations
qui apportent une valeur probante de certaines hypothèses sur le
résultat comptable
Tests Informatiques
Productivité des travaux
Réutilisation des travaux
 dans le cas de missions récurrentes, les tests informatiques ou autre
programmes développés (macros) sont utilisables sur plusieurs exercices
moyennant une mise à jour peu coûteuse
« Batterie de tests » standards
 une série de tests développée pour une société ou un site peut être réutilisée
pour tout autre client disposant d’un stockage magnétique d’information
conçu selon la même structure
Meilleure compréhension des systèmes
 évite l’effet « boîte noire » des systèmes
 plus généralement, l’intervention de « spécialistes de l’informatique »
permet d’élargir la perception des métiers de l’intervenant

Tests Informatiques
Situation amenant à procéder à des interrogations de
fichiers
 Volume d’informations trop important pour permettre des
contrôles manuels significatifs
 Travaux récurrents sur des données stockées dans les
fichiers ou bases de données de l’entreprise
 Données en entrée et en sortie d’une chaîne de traitement
non approchables aisément
 Contrôle manuel nécessaire sur un échantillon à tirer
aléatoirement
Typologie des tests informatiques
Tests de recoupement
Objectifs des tests
 effectuer un recoupement entre deux fichiers
 établir un recoupement entre des états séparés par une rupture du chemin
d’audit fonctionnel
 reconstituer des données lorsqu’elles sont issues d’informations très
nombreuses
Nature des tests
 réconciliation simple
 rapprocher le total d’éléments calculés stockés dans un fichier avec le chiffre audité
 réconciliation complexe
 le résultat des calculs n’a pas été conservé dans un fichier. Il convient donc de
procéder au recalcule des opérations, ou de reconstituer les données à une date
donnée. Le chiffre ainsi obtenu est rapproché du chiffre audité.
Tests de détection d’anomalies
Objectifs et natures des tests
 tester l’exhaustivité et la réalité d’un fichier : s’assurer que le fichier ne
présente ni manque, ni sur-ajout d’informations
 faire ressortir les trous de séquence ou les doublons dans une numérotation séquentielle :
« trous de séquence » => il s’agit généralement de la numérotation des
factures.
 tester l’intégrité d’un fichier (exactitude) : s’assurer de la cohérence, dans
l’absolu, des données de la base et de la mécanique de certains calculs
 contrôler l’intégrité de chacune des données d’un fichier, prises individuellement
 rechercher des incohérences entre deux, ou plusieurs données, soit au sein d’un même
fichier, soit dans plusieurs fichiers distincts
 tester la conformité d’un fichier (exactitude) : s’assurer que les données
respectent les règles de calcul ou les principes comptables de la société
 appliquer les règles de calcul aux données stockées et comparer le résultat obtenu au réel
Extraction de données
Objectifs et natures des tests
 sondages statistiques : sélection d’un certain nombre de
données selon des règles statistiques, afin de procéder à ne
extrapolation des anomalies rencontrées
 interrogations ciblées : faire ressortir certains cas « limites »
par rapport à un risque identifié afin de restreindre le champ
d’investigation et ainsi augmenter la productivité des
travaux
 une telle approche permet de se concentrer sur les cas les plus
intéressants

Démarche de mise en œuvre
Les grandes étapes
 Etude de faisabilité
 Positionnement des données auditées au sein de l’environnement informatique
 Définition des tests à effectuer :
 Données en entrée
 Critères de sélection
 Type de test
 Restitutions
 Récupération des fichiers
 Réalisation des tests
 Bouclage sur réalisation (ajustement des critères, suppression ou ajouts de
tests)

Le lien avec la démarche d’audit
 Préliminaire
 planification de la mission et information du client
 étude de faisabilité technique
 Intérim
 définition des objectifs et des tests à réaliser
 prise de connaissance des applications et de la structure des fichiers du client
 formalisation de l’engagement du client pour la mise à disposition des
données
 Final
 développement des programmes
 réalisation des tests et exploitation
 remontée aux auditeurs financiers des anomalies rencontrées lors de
l’exploitation pour adaptation des tests futures
Les facteurs de réussite
Les principaux points d’attention
La réussite et la pertinence des tests informatiques dépendent en
grande partie de l’attention accordée à la préparation de la mission
 les intervenants étant multiples, la coordination des différents
acteurs est essentielle
 aucune des principales étapes qui composent la démarche des
interrogations de fichiers, depuis la prise de connaissance du
système jusqu’à l'exploitation des résultats ne doit être négligée
 le planning des tâches concourant à la mise en œuvre
d’interrogations de fichiers respecte les mêmes phases que celui
d’une intervention traditionnelle et doit être prévu dans le plan de
mission global
La phase de préparation
 La phase de préparation doit inclure une étude du système
informatique pour éviter notamment des interrogations de fichier
inutiles ou n’ayant pas de signification
 elle doit permettre de connaître avec exactitude le contenu des fichiers,
notamment la définition des champs
 il faut être attentif à l’origine de données des fichiers : ne pas chercher
par exemple à recouper deux fichiers issus de la même base de
données
 ne conserver que les tests réellement pertinents
 s’assurer que les fichiers contiennent bien les informations recherchées
 contrôler l’exactitude des fichiers clients en les rapprochant des
sources « externes » disponibles
La phase d’exploitation
Première exploitation commune des résultats par les auditeurs des SI et les
auditeurs financiers pour valider les résultats du test avant de les remettre au
client
 Les tests mis en œuvre permettent-ils de répondre aux interrogations de
l’auditeur ?
 Les auditeurs financiers et informatiques doivent vérifier a posteriori que le travail des
premiers répond à l’attente des seconds
 Les tests mise en œuvre sont-ils utiles ?
 Préparation de la saison suivante : supprimer certains tests que l’expérience a rendu
inutiles, ou au contraire en rajouter d’autres plus pertinents, ou complémentaires
 Les tests sont-ils fiables ?
 Malgré tout le professionnalisme des auditeurs, il se peut que les résultats des tests
informatiques ne soient pas pertinents du fait d’erreurs qui se seraient glissées dans les
programmes d’extraction
 Un audit de l’audit informatique s’impose ; attention aux conclusions trop hâtives…
Outils de traitement
Les outils d’interrogation de fichiers sont trop nombreux pour dresser ici
une liste exhaustive. Nous avons retenu les principaux outils
commercialisés :
Sur micro-ordinateur :
 IDEA (Interactive Data Extraction and Analysis) : outil développé par
l’institut canadien des experts comptables agréés et utilisé par KPMG
 ACL (Audit Command Language) : outil américain développé avec le
concours de PWC
Sur gros système IBM :
 Panaudit + : outil basé sur le langage Easytrieve de la société Pansophic
 EDP/Auditor : outil basé sur le langage Cullprit de la société Computer
Associates
Audit de la Sécurité – Resume
Sommaire
 Rappel du contexte
 Continuité de service
 Confidentialité des informations et risques de fraude
 Risques d’erreur et de dysfonctionnement
 Méthode MARION
Audit de la Sécurité
Rappel du contexte
Objectif
 La sécurité du SI a pour objectif de participer à la continuité de l’activité de l’entreprise
(« Business Oriented »)
 Pour ce faire, son rôle est de protéger le SI de toute dégradation de service sur 3 axes majeurs :
 Confidentialité
 Intégrité
 Disponibilité
 Elle peut parfois être un facteur de qualité supplémentaire, voire participer au développement de
l’activité (exigences commerciales)
Le coût
 Le remboursement des sinistres informatiques coûte chaque année progression constante (+15%
par an)
 Les pertes réelles des entreprises sont certainement beaucoup plus importantes si on considère :
 les pertes et délits non déclarés
 les pertes de crédibilité
Les bonnes pratiques
 Mise en place d’un poste de RSSI
 Définition d’une politique de sécurité
 Plan de sécurité IT (analyse des risques, plan d’action)
 Définition des standards en matières de sécurité
 Mise en place de procédures de sécurité (physique, logique,
applications, réseaux…)
 Définition d’une charte de sécurité signée par les collaborateur
 Suivis des incidents de sécurité
 Audit périodique de la sécurité (test d’intrusion…)
 Définition de niveau de service (SLA)
Continuité de service
Les risques
 Un serveur tombe en panne
 Un fichier important est détruit
 Inondations a la Technopole
 Une grève bloque l’accès
 Le fournisseur dépose le bilan
 La base de données des clients se retrouve sur le web
Les protections en place
 contre l’incendie
 Alarmes, gaz Inergen, sprintler, extincteurs, …
 contre les dégâts des eaux
 Faux plancher, salle informatique à l’étage, pompes, …
 contre les intrusions
 contrôle d’accès physique par badge, …
 contre les pannes électriques
 Onduleurs, serveurs redondants, mirroring…
 contre les pannes matérielles
 stock de rechange, délai d’intervention, de remplacement, …

Les procédures de sauvegarde
Les fichiers nécessaires au fonctionnement de l’entreprise sont-
ils sauvegardés régulièrement ?
 données
 Codes sources des programmes
 applications systèmes
 Quelle est la fréquence des sauvegardes ?
 Les supports de sauvegarde sont-ils lisibles ?
 Les lieux de stockage sont-ils sûrs ?
 Coffre ignifugé, stockage hors site
 Quelle est l’ampleur de la perte en cas de nécessité de
restauration sur un site externe ?
Le site de secours
Existe-t-il un site de back-up ?
 Si oui :
 De quel type (salle blanche, salle équipée, …) ?
 Nombre d’adhérents
 Durée possible d’utilisation ?
 Les sauvegardes sont-elles sur place ?
 Peut-on s’y connecter ?
 Si non :
 Quelle est la solution prévue ?
 Quel est le délai de renouvellement du matériel ?
Le plan de reprise
 Les applications sont-elles été classées selon leur caractère stratégique ?
 Les actions à entreprendre sont-elles été formalisées :
 nomination d’un responsable ?
 priorisation des actions à mener ?
 affectation des tâches ?
 Le plan de reprise est-il testé régulièrement ?
 Le temps de reprise est-il acceptable ?
Les procédures de fonctionnement dégradé

 Les procédures de fonctionnement en cas de panne prolongée de l’informatiques sont-
elles été définies ?
 Si non :
 Les protections en place permettent-elles d’affirmer que le risque est faible ?
 Quel serait l’impact en cas de réalisation du risque ?
 Si oui :
 Les procédures sont-elles pertinentes ?
Les solutions existantes
Authentification
 Mots de passe
 Reconnaissance vocale, biométrique,
 Identification par carte à puce
Droits d’accès logiques
Clés de chiffrement
Protection du réseau interne :
 DMZ (isolation des accès Internet)
 VPN
 Serveur Proxy (centralise les requêtes Internet, blocage des utilisateurs)
 Firewall (autorisation des accès, analyse des flux)
 Routeur filtrants (routage des requêtes et des réponses)
Contrôles a priori et a posteriori
Exemple : une entreprise du secteur de la presse
Objectifs de départ
 Evaluer les risques significatifs d’arrêt du système
informatique de production
 Recenser les solutions permettant de couvrir ces risques
en évaluant les investissements nécessaires
 Envisager en priorité les solutions économiques couvrant
les risques coûteux
 Etre concret : ne pas viser seulement à se donner bonne
conscience
 Démarche suivie:
 Etude de l’existant
 Hiérarchisation
 Recensement et évaluation du coût des solutions
 Arbitrage et élaboration du plan d’action
Moyens de protection en place

 un matériel fiabilisé :
 redondance (2 unités centrales)
 mirroring (2 copies sur disque)
 matériels standards
 une salle informatique bien équipée
 Accès gaz Inergen
 climatisation
 des sauvegardes régulières et testées
Risques recensés
 Risque de panne du réseau local
 L’ensemble des communications de l’entreprise sur un seul câble
 Plan de câblage non à jour
 Risque de « crash » informatique pour une des publications
 Pas de site de back-up
 Délai de 5 semaines pour obtenir une nouvelle machine
 Risque de dégât des eaux
 Circuit d’alimentation d’une photocomposeuse dans la salle machine
 Risque de non parution d’un numéro
 Epuration des fichiers avant impression réelle chez l’imprimeur
 Impossibilité de reconstituer l’ensemble de la mise en page
Plusieurs actions à mener hiérarchisées et panifiées
 quelques solutions simples, d’un coût cumulé inférieur à 15k€, couvrant 50%
des risques, à mettre en place dans les trois mois
 duplication des sauvegardes
 mise à jour du plan du réseau
 isolation de la photocomposeuse, …
 quelques solutions, plus lourdes
 mise en place d’une deuxième nœud du réseau,…
 une solution complexe à mettre en œuvre, d’un coût évalué à plus de 100 k€,
portant le taux de couverture à 80%, à mener dans les 2 ans
 définition d’un plan de secours croisé avec une autre filiale du même groupe (même
outils, …)
Autres types d’interventions envisageables
 Assistance à la définition du plan de reprise
 Assistance à la définition du plan de fonctionnement dégradé
 Recherche d’une solution de secours extérieure
 Revue des assurances
…
Confidentialité et risque de fraude
Les risques
 La concurrence accède au fichier client
 Un informaticien modifie un paramètre
 Un utilisateur accède au fichier des virements
 Des agents accèdent à des fonctionnalités sensibles
 Un « hackers » se connecte sur la machine centrale
 Un salarié accède à la paye et augmente son salaire
 Le trésorier détourne 1 millions d’Euros
 Un informaticien détourne les arrondis à son profit
 Un visiteur vole les lettres chèques

Les thèmes à étudier
 Recensement des données confidentielles
 Il s’agit de recenser :
 Les données dont la divulgation porterait préjudice à l’entreprise
 Les transactions / fonctionnalités dont l’usage doit être restreint
 Les zones à risques (virements, lettres-chèques, …)
 Ce recensement doit avoir été effectué par l’entreprise ou doit être effectué en collaboration avec elle
 Couche système
 Un utilisateur se connectant doit s’identifier et s’authentifier
 Déconnection automatique, nombre maximum de tentatives infructueuses
 Gestion des accès aux objets
 Gestion des autorisations
 Mécanisme interne à l’application
 Gestion de profils
 Certains fichiers et transactions sont réservés à des utilisateurs définis
 Les mots de passe (application, bases de données, OS) :
 Sont-ils régulièrement modifiés ?
 Intègrent-ils des critères de complexité suffisants ?
 La procédure de demande d’autorisation est-elle formalisée ?
 Les accès et les droits sont-ils accordés par des responsables définis ?
 Les départs de personnels donnent-ils lieu à des suppressions des droits
accordés ?
 Des audits des droits accordés sont-ils régulièrement effectués ?
 Les comptes génériques sont-ils limités. Les comptes techniques sont-ils
correctement sécurisés ?
 Contrôles a posteriori : trace des accès
 Revue de l’utilisation des super utilisateurs
 Revue des tentatives d’accès infructueuses
 Les contrôles d’accès physiques
 Bâtiment, bureaux, armoires
 Badges, digicodes
 Les procédures organisationnelles
 Séparation des fonctions
 Procédure d’autorisations d’engagement de dépenses (seuil)
 Contrôle de gestion
 Suivi des volumes versés, recoupements, …
 Analyse des écritures comptables (OD-opérations diverses)
 Analyse des opérations répondant à certains critères (seuils, montant ronds,
écritures passées le week-end…)
 Traces des accès
 Possibilité de retrouver l’ensemble des manipulations effectuées tel jour,
par tel agent, sur tel dossier, …
 Application des patchs de sécurité sur les firewalls et les routeurs
 Sécurisation des mots de passe d’accès au routeur/firewall
Les thèmes à étudier : les accès des informaticiens
Les informaticiens constituent une population à risque
 Ils maîtrisent les traitements autant sous leurs aspects
fonctionnels que techniques
 Ils sont capables de cerner s’il y a ou non une possibilité de
détection
 Ils sont quelquefois en mesure d’effacer les traces de leurs
manipulations
Il est donc nécessaire de :
 Leur interdire l’accès direct à l’environnement de production
 Mettre en place une procédure de contrôle des mises en
production des programmes
Exemple dans le secteur de la distribution
Objectifs de départ
 Dans le secteur de la distribution, les ristournes accordés par
les fournisseurs sont des informations stratégiques et donc
très confidentielles
 Les risques de divulgation à l’extérieur sont-ils faibles ?
 Comment améliorer encore la protection ?
Démarche suivie
 Recensement des fichiers et états confidentiels
 Audit des protections en place
 Validation des droits accordés
Moyens de protection en place
 un service dédié à la gestion des ristournes
 des mots de passe
 une procédure d’habilitation étoffée
Risque recensés
Risque organisationnel
 Les agents du service ont accès chacun à l’ensemble des informations (pas de
séparation des fonctions)
 Les documents émis sont nombreux et trop largement diffusés
Risque informatique
 Au sein du service, les mots de passe sont connus de tous
 Des sites éloignés auraient la possibilité d’accéder aux informations sensibles
 Les fichiers sensibles sont accessibles

Risques de dysfonctionnement
Les risques
 Une fonctionnalité récente, mal « testée », génère des erreurs
 Une application ne traite pas bien un cas particulier
 Une erreur de saisie entraîne un approvisionnement dix fois supérieur à ce qui est
nécessaire
 Incidents majeurs d’exploitation
 Un virus se propage dans le système
Les solutions existantes

 Méthodes de développement
 Recette
 Contrôles à la saisie
 Détecteur de virus
 Automatisation de l’exploitation
 Assurance qualité
 Les « Etudes »
 L’ « Exploitation »
 La fiabilité des applications
 Les mécanismes et procédures de détection
 L’informatique évolue « au fil de l’eau »
 La société doit évaluer à chaque évolution si les traitements peuvent être entachés de
dysfonctionnements de nature à perturber gravement la bonne marche de l’entreprise ?
Risques recensés
 Développement
 Développement « anarchique » autour du progiciel
 Acquisition de nouvelles versions impossible
 Pas de séparation des environnements
 Mise directe en exploitation
 Exploitation
 Documentation insuffisante
 Maîtrise difficile
 Exemple : les fichiers liés à une filiale vendue à l’extérieur, était toujours traités
 Suivi peu étoffé, pas de gestionnaire de travaux
 Pas d’état synthétique
Eclairage : les virus
Différentes terminologies existent :
 « chevaux de Troie » : fonction illicite dans un programme
 « bombes logiques » : déclenchement différé
 « vers » : déplacement en mémoire
 « virus » : multiplication en mémoire
Les « virus » sont dangereux car :

 ils s’auto-reproduisent
 ils peuvent détruire les fichiers sur disque
Une dizaine seulement de « virus » est responsables de 99% des

infections
 ils sont détectables, car connus
Méthode « MARION »
Les intérêts de la méthode
 Permet de donner un avis sur le niveau de sécurité existant
d’une entreprise
 Evalue les risques potentiels
 Ne s’intéresse pas exclusivement à l’informatique
 Mais à l’ensemble des facteurs qui contribuent à la sécurité
 Quantifie les enjeux financiers
 Met l’accent sur la quantification financière des pertes
 Débouche, après arbitrage, sur un plan d’action
Les principes de la méthode
Questionnaire de 640 questions se rapportant à 27 thèmes
 Chaque réponse est notée de 0 à 4 et est pondérée en fonction de
l’importance du thème concerné
 Parallèlement les risques sont identifiés
 leur probabilité d’apparition est estimée
 leurs conséquences sont évalués
Le rapprochement des points de faiblesse et des risques permet le recensement

des solutions envisageables
 Ses modalités
 L’application « pure et dure » de la méthode est lourde et nécessite une
étude de plus de trois mois
 Mais il paraît envisageable de mener de « mini-études » MARION, surtout
axées sur l’utilisation du questionnaire
Cas Pratique - Mehari
Groupes de discussion
Lecture du cas
Q&A

Audit de La Sécurité Des Systèmes Dinformations 2

Transféré par

Droits d'auteur :

Formats disponibles

Audit de La Sécurité Des Systèmes Dinformations 2

Transféré par

Informations du document

Description originale:

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit de La Sécurité Des Systèmes Dinformations 2

Transféré par

Droits d'auteur :

Formats disponibles

Audit de la Sécurité des Systèmes

‘L'information est un actif qui, comme les autres actifs

 Une architecture où une combinaison intégrée d'appareils,

 la protection physique des installations

S’assurer que les utilisateurs

Service de Securite Objectifs

Authentification vérifier l’identité des personnes qui

 RISQUE = Menace x Vulnerabilite x impact

Controles * Risque Actif

exigences de Valeur de l’actif

 * Controles: Pratique, procédure ou un mécanisme qui réduit les risques

Les causes de la vulnérabilité des systèmes

 Mauvais fonctionnement des logiciels :

Les programmes malveillants

Les pirates informatiques et le cybervandalisme

Les menaces internes : les employés

 Les procédures de sécurité manquent de rigueur.

 Les utilisateurs manquent de connaissances.

 Ingénierie sociale ou piratage psychologique :

Une sécurité et un contrôle inadéquats peuvent engendrer :

Les exigences juridiques et réglementaires s’appliquant

Les contrôles des systèmes d’information

 Les types de contrôles généraux portent sur :

Les contrôles des systèmes d’information (suite)

 Les catégories de contrôles d’applications :

La politique de sécurité informatique

 Planification de la reprise sur sinistre : est l’élaboration de plans assurant la

 Autorisation : accorder une permission.

 Les pare-feux : une combinaison de matériel informatique et de logiciels qui

 Les systèmes de détection d’intrusion : des outils qui effectuent une

Assurer la disponibilité des systèmes

Assurer la disponibilité des systèmes (suite)

Des procédures existent et sont suivies afin de :

Des moyens de protection physiques permettent de maintenir

Les procédures de gestion des changements tiennent compte des

Des contrôles sont en place afin que les migrations des

La Direction Informatique garantit que l'implémentation des

Les politiques et procédures SDLC considèrent le

La méthodologie de cycle de vie de développement de système

L'organisation dispose d'un processus d'acquisition et de

La Direction Informatique garantit que les utilisateurs sont

Gestion des travaux et des moyens

Le management protège les informations sensibles - logique et physique -, dans leur

Le management a implémenté une stratégie de backup des données et des

La Direction Informatique a défini des procédures standards pour l'exécution des

Les procédures de fonctionnement dégradé

Moyens de protection en place

Les solutions existantes

Les « virus » sont dangereux car :

Une dizaine seulement de « virus » est responsables de 99% des

Le rapprochement des points de faiblesse et des risques permet le recensement

Vous aimerez peut-être aussi