3 Panorama général des normes et outils d’audit. François VERGEZ – AFAI
3
Panorama général des normes et outils d’audit.
François VERGEZ – AFAI
4
Système d’information, une tentative de définition (1/2)
Un système d’information peut être défini comme l’ensemble des moyens matériels, logiciels, organisationnels et humains visant à acquérir, stocker, traiter, diffuser ou détruire de l’information.
5
Système d’information, une tentative de définition (2/2)
Mais aussi …
6
La problématique de sécurité du système d’information (1/2)
Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information.
L’objectif de ces mesures de sécurité est d’assurer la confidentialité, l’intégrité, la disponibilité et la traçabilité de l’information.
Ces mesures de sécurité doivent être mises en œuvre dans un cadre cohérent et organisé.
Ces mesures de sécurité répondent à des objectifs et des exigences de sécurité qui traduisent les contraintes et les risques qui pèsent sur le système d’information.
7
La problématique de sécurité du système d’information (2/2)
Les mesures de sécurité répondent à des objectifs et des exigences de sécurité qui traduisent les contraintes et les risques qui pèsent sur le système d’information.
8
Les questions auxquelles se doivent de répondre les audits de sécurité du SI ?
A quelles exigences légales et réglementaires le Système d’Information est-il soumis ?
Ces contraintes légales et réglementaires sont-elles respectées ? La politique de sécurité est elle alignée sur la stratégie d’entreprise ? L’organisation de la sécurité est-elle fonctionnelle ? Les objectifs et contrôles de sécurité sont-ils exhaustif ? La continuité des activités de l’entreprise est-elle assurée ? Les mesures de sécurité opérationnelles sont-elles alignées sur la politique
de sécurité ? Les mesures de sécurité opérationnelles mises en place sont-elles efficaces
? En une phrase …
Quels sont les risques auxquels est exposée l’entreprise ?
9
L’audit de sécurité du système d’information
L’audit de sécurité du système d’information est un examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes.
Compte tenu du cadre de gestion de la sécurité de l’information, les audits de sécurité peuvent adresser des problématiques différentes comme par exemple :
• La prise en compte des contraintes,• L’analyse des risques,• La politique de sécurité, • La prise en compte de contraintes spécifiques dans la mise en œuvre d’un
système d’information particulier (problématique liée à l’audit des projets),• La mise en œuvre de politique de sécurité, • Les mesures de sécurité.
10
Les types d’audit de sécurité
11
Les principaux types d’audit de sécurité
Audit de la politique de sécurité, Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise,
aux contraintes légales et réglementaires et aux bonnes pratiques,
Audit de la mise en œuvre de politique de sécurité, Respect des exigences de sécurité au sein de l’entreprise au travers de la mise
en œuvre de mesures de sécurité adéquates et pérennes,
Audit de la prise en compte de la sécurité dans un projet
Audit de l’efficacité des mesures de sécurité. Test d’intrusion, audit de vulnérabilité sur l’ensemble des composantes du SI …
12
Les référentiels utilisés dans le cadre des audits de sécurité
Les référentiels sont adaptés à chaque grand type d’audit de sécurité.
OWASP (Open Web Application Security Project), Information Security Web sites, Bases de vulnérabilités.
Audit de l’efficacité des mesures de sécurité
Politique de sécurité de l’entreprise, ISO 27002, CoBIT (mapping avec l’ISO 17799), Audit Program de l’ISACA. ITIL
Audit de la mise en œuvre de la politique de sécurité
Respect des exigences de sécurité au sein de l’entreprise au travers de la mise en œuvre de mesures de sécurité adéquates et pérennes
Contexte légale et réglementaire, Stratégie de risque de l’entreprise, ISO 13335, ISO 27002.
Audit de la politique de sécurité
Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise, aux contraintes légales et réglementaires et aux bonnes pratiques,
RéférentielAudit de Sécurité
13
ISO 27000
La nouvelle famille de norme ISO/IEC 27000
14
ISO 27002
Contrôles (niveau 3) Au niveau inférieur, la structure de la norme est semblable pour chacun des 137 objectifs de
contrôle qui ont été définis : Control : le contrôle permet de définir précisément l'état pour satisfaire à l'objectif de contrôle, Implementation guidance : le guide d'implémentation propose les informations détaillées pour permettre
d'effectuer l'implémentation du contrôle et de satisfaire à l'objectif de contrôle. Other information
Domaines de sécurité de l'information (niveau 1) La norme ISO/IEC 17799:2005 recense de
nombreux objectifs de contrôle répartis dans chacun des onze domaines
Catégories de sécurité (niveau 2) La structure de la norme est semblable pour
chacune des 39 catégories de sécurité : Un objectif de contrôle qui fait l'état sur ce qui doit être
appliqué est énoncé, Un ou plusieurs contrôles à appliquer sont proposés
pour remplir l'objectif de contrôle de la catégorie de sécurité
15
Les principaux types d’audit de sécuritéAudit de la politique de sécurité
L’audit de la politique de sécurité doit permettre de s’assurer de la pertinence de celle-ci compte tenu de la stratégie de risques de l’entreprise, du contexte légale et réglementaire ainsi que des bonnes pratiques.
Le terme « politique de sécurité » peut recouvrir la politique de sécurité du groupe, la déclinaison de la politique de sécurité du groupe au niveau des différentes entités ou métiers ainsi que de l’ensemble des politiques de sécurité détaillées couvrant les domaines comme le contrôle d’accès, la continuité, la classification de l’information, la protection antivirale …
L’audit peut également couvrir : la méthodologie d’analyse de risques mise en œuvre, des standards et procédures qui découlent de la politique de sécurité.
L’approche repose sur des interviews et des analyses documentaires.
16
Les principaux types d’audit de sécuritéAudit de la politique de sécurité
Stratégique
Opérationnel
Politique de sécurité globale
Politique de sécurité spécifique
1
Politique de sécurité locale
Standards(architecture, solutions) Mesures techniques spécifiques
Politique de sécurité spécifique
2
Politique de sécurité spécifique
3
17
L’audit de la mise en œuvre de la politique de sécurité doit permettre de s’assurer que les exigences de sécurité sont satisfaites au travers de la mise en œuvre de mesures de sécurité.
Les grilles d’investigation sont construites sur la base de la politique de sécurité et/ou de l’ISO 27002 et/ou de Cobit.
L’approche repose sur des interviews, des visites de sites, des analyses documentaires et des revues de paramétrage.
Compte tenu du caractère technique du système d’information des grilles d’investigation spécifiques sont construites pour approfondir des thématiques comme les solutions antivirus, les dispositifs correctifs de sécurité et anti-spam, le plan de secours et de continuité …
Grille d’investigation globale Grilles d’investigation détaillées
+
Les principaux types d’audit de sécuritéAudit de la mise en oeuvre de la PSSI
18
Pour chaque domaine de la grille d’investigation ISO 27002, les processus sont répartis en cinq niveaux de maturité qu’une organisation va gravir en fonction de la qualité des processus qu’elle a mis en oeuvre.
Les principaux types d’audit de sécuritéAudit de la mise en oeuvre de la PSSI
19
Une synthèse globale est présentée selon le diagramme de Kiviat qui illustre les résultats de l’audit suivant les 11 domaines décrits dans l’ISO 27002
Les principaux types d’audit de sécuritéAudit de la mise en oeuvre de la PSSI
20
Pour approfondir la dimension technique de l’audit de sécurité, des grilles d’investigation sont nécessaires pour chaque composante du système d’information.
Audit de la connexion Internet Audit des accès distants
Revue du plan de continuité
Audit de Gestion d’Incident
Audit de la solution Anti-virus
Audit de la Gestion
des Tiers
Audit d’un poste de travail
Les principaux types d’audit de sécuritéAudit de la mise en oeuvre de la PSSI
21
Les grilles d’investigation détaillée peuvent être issues de : « IS Auditing Procedures » de l’ISACA
P3IDSReview P4VirusandMaliciousLogic P6Firewalls …
« Audit program & Internal control questionnaire » de l’ISACA OracleDatabaseSecurityAuditPlanandICQ OS390-zOSAuditProgram SecuringtheNetworkPerimeterAuditProgramand …
Des organismes officiels de certification, Des éditeurs ou des constructeurs, Des plans d’audit de sociétés spécialisées, …
Les principaux types d’audit de sécuritéAudit de la mise en oeuvre de la PSSI
22
Les principaux types d’audit de sécurité Audit de l’efficacité des mesures de SSI
Indépendamment de la mise en œuvre des mesures de sécurité, un audit de leur efficacité doit permettre de s’assurer qu’aucune vulnérabilité ne puisse porter atteinte à la confidentialité, l’intégrité ou la disponibilité de l’information.
Audit de Sécurité Technique
Pour déterminer si les firewalls, serveurs web, routeurs, connexions distantes, connexion sans fils, applications, sont configurés et mis en œuvre de manière adéquate au regard des risques encourus
Test d’Intrusion
Pour s’assurer de la sécurité de l’Infrastructure face à des scénarii d’attaques de personnes malveillantes (pirate, prestataire, ex-employé, utilisateur interne …)
23
Tests de vulnérabilités ou tests d’intrusion
Les principaux types d’audit de sécurité Audit de l’efficacité des mesures de SSI
24
Le périmètre des audits de sécurité techniques
Les principaux types d’audit de sécurité Audit de l’efficacité des mesures de SSI
25
La démarche d’audit
L‘ISACA (association pour le contrôle et l'audit des systèmes d'information) a établi que le caractère spécialisé de l'audit des systèmes d'information et les compétences requises pour effectuer un tel audit rendent nécessaires le développement et la promulgation de Normes Générales pour l'Audit des Systèmes d'Information.
L'audit des systèmes d'information se définit comme tout audit qui comprend l'examen et l'évaluation de tous les aspects (ou une partie d'entre eux) des systèmes de traitement automatisé de l'information, y compris les procédures connexes non-automatisées, et les interfaces qui les relient entre eux.
La démarche d’audit présente 4 grandes étapes : Planification Réalisation du travail d’audit Rapport Activités de suivi
26
Le contexte de l’audit de sécurité
Pour qui ? Direction Générale, Audit interne, Métier, Maison mère, Organisme certificateur …
Par qui ? Interne / externe
Dans quel but ? Alignement de la politique de sécurité sur
la stratégie d’entreprise, Conformité aux lois et règlements, Efficacité et efficience des contrôles, SOX, contrôle interne, Identification des risques auxquels est
exposé le SI…
Sur quel périmètre ? Organisation, Site, Service, Environnement technique, Application, …
Selon quel référentiel ? Lois et règlements Organisme Bonnes pratiques (ISO,…)
De quelle nature ? Audit de la politique de sécurité, Audit de la mise en œuvre de la politique
de sécurité, Audit de l’efficacité des mesures de
sécurité.
27
Les risques d’un audit de sécurité
Référentiel inadapté Compétences inadaptées Rapport inadapté :
Inadéquation de la recommandation dans le contexte (incompréhension des risques spécifiques liés à l’activité de l’organisme avec le métier.
Inadaptabilité de la recommandation dans le contexte de l’organisme (à qui prescrire une cage de faraday !).
Rapport non recevable : Constats non factuels. Constats non validés. Non prise en compte de la confidentialité
Dérapage dans le temps : Ne pas avoir identifié les bons interlocuteurs. Absence de clauses d’audit dans les contrats d’externalisation
IDENTIFICATION DE RISQUES TECHNIQUES ET NON DE RISQUES METIERS