Réseau professionnel et système de télécommunication Cycle Master

République Tunisienne Ministère de l'Enseignement Supérieur Et de la Recherche Scientifique

Cycle Master Professional Système de Réseaux et Télécommunication

Mini projet

AUDIT

Réalisé par :

Wassim Djebali

Année Universitaire : 2013/2014

Apparition du thème audit informatique en Tunisie :

L’agence nationale de la sécurité informatique (ANSI) a été créée selon la loi N°2004-5 du 3 Février 2004 et est chargée des missions suivantes :

 Veiller à l’exécution des orientations nationales et de la stratégie générale en matière de sécurité des systèmes informatiques et des réseaux.

 Suivre l’exécution des plans et des programmes relatifs à la sécurité informatique dans le secteur public et assurer la coordination entre les intervenants dans ce domaine.

 Assurer la veille technologique dans le domaine de la sécurité informatique.

 Participer à la consolidation de la formation et du recyclage dans le domaine de la sécurité informatique.

 Etablir les normes spécifiques à la sécurité informatique et élaborer les guides techniques en l’objet et procéder à leur publication.

 Veiller à l’exécution des réglementations relatives à l’obligation de l’audit périodique de la sécurité des systèmes informatiques et des réseaux.

L’apport juridique :

La loi N° 2004-5 du 3 Février 2004 a promulgué l’obligation d’un audit périodique de la sécurité des systèmes d’information et des réseaux relevant à diverses structures publiques et privées et qui sera assuré par des experts en audit du secteur privé certifiés par l’agence nationale de la sécurité informatique. Les organismes soumis à l’obligation d’audit doivent effectuer l’audit périodique de leur système d’information au moins une fois par an. L’opération d’audit se déroule par le biais d’une enquête sur le terrain basé sur les principaux éléments suivants :

 Audit des aspects organisationnels et de la structuration de la fonction sécurité, ainsi que du mode de gestion des procédures de sécurité et la disponibilité des outils de sécurisation du système informatique et de leur mode d’utilisation

 Analyse technique de la sécurité de toutes les composantes du système informatique, avec la réalisation du test de leur résistance à tous les types de dangers.

 Analyse et évaluation es dangers qui pourraient résulter de l’exploitation des failles découvertes suite à l’opération d’audit

Introduction :

En Informatique le terme « Audit » apparu dans les années 70 a été utilisé de manière relativement aléatoire. Nous considérons par la suite un « audit de sécurité informatique » comme une mission d’évaluation de conformité sécurité par rapport à un ensemble de règles de sécurité. Une mission d’audit ne peut ainsi être réalisée que si l’on a défini auparavant un référentiel, un ensemble de règles organisationnelles, procédurales ou technique de référence. Ce référentiel permet au cours de l’audit d’évaluer le niveau de sécurité réel de terrain par rapport à une cible.

Audit de sécurité

Définition :

Un audit de sécurité consiste à s’appuyer sur un tiers de confiance afin de valider les moyens de protection mis en œuvre Un audit de sécurité permet de s’assurer que l’ensemble des dispositions prises par l’entreprise sont réputées sures.

Contenu de l’audit :

L’opération d’audit prend notamment en compte des éléments suivants :

 Descriptif des matériels, logiciels et documentations.

 Appréciation globale de l’adéquation entre les besoins et le système d’information existant.

 Examen des méthodes d’organisation, de contrôle et de planification des services informatiques.

 Appréciation de la formation, de la qualification et de l’aptitude du personnel.

 Appréciation de la qualité, de l’accès, de la disponibilité et de la facilité de compréhension de la documentation.

La Norme Internationale ISO 17799

Introduction

Les relations entre entreprises ou administrations rendent nécessaire la définition de référentiels communs .Dans ce contexte, plusieurs normes se présentent pour assurer les relations de la sécurité des systèmes d’information :

 ISO 14000 : traitant de l’environnement.

 FIPS140 : traitant de la cryptographie.

 BS7799: Specifications for Security management.

 A la différence de ces normes, la norme internationale ISO (International Organisation) 17799 « publiée en juin 2005 » qui est la dernière version de la norme BS7799, peut être utilisée principalement comme base de construction du référentiel d’audit sécurité de l’entité.

 Cette norme est souvent perçue par les spécialistes de la sécurité de l’information comme une réponse à cette attente.

Couverture thématique :

La norme identifie ces objectifs selon trois critères :

 La confidentialité.

 L’intégrité.

 La disponibilité.

Ces objectifs sont regroupés au travers des dix grandes thématiques suivantes :

- La politique de sécurité : pour exprimer l’orientation de la direction à la sécurité de l’information.

...