Présentation audits de sécurité

Audits de sécurité techniquesPrésentation et études de casparFrançois Harvey,CISM/CISSP

Présentation
Audits de sécurité
2
François Harvey
Professionnel en sécurité
Gestion medsécure (medsecure.ca)
Certifié CISM/CISSP/TCSE
Membre ISACA

Données
3
« Dans les technologies de l'information, une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction, d'un événement, etc. »
(source : Wikipédia)

Objectifs de la sécurité de l’information
4
Confidentialité: la donnée doit être limitée aux personnes autorisées
Intégrité : la donnée doit être fiable
Disponibilité : la données doit être accessible au moment requis

Préalables
5
Portée: Quelle est la portée des tests (systèmes, méthodes, heures, etc.)
Classification: Quels types de données sont hébergés dans les systèmes
Catégorisation: Quels sont les besoins en confidentialité, intégrité et disponibilité des données

Processus d’audit
6
Règles d’engagement
Recherche d’information
Balayage
Énumération
Analyse de vulnérabilités
Exploitation et analyse d’impact
Documentation et présentation du rapport

Audit de sécurité
7
Boîte blanche: l’auditeur a accès aux informations internes
Boîte noire: l’auditeur n’a pas accès aux informations internes
Double boîte noire : les ressources de la cible ne sont pas au courant du processus d’audit

Premier cas: Audit pré acquisition
Audit de sécurité
8
Contexte discuté :
Une entreprise demande un audit de sécurité dans le cadre de la négociation d’acquisition d’une entreprise similaire
Éléments de négociation et planification

Deuxième cas: Audit annuel
Audit de sécurité
9
Contexte discuté :
Entreprise soumise à des normes externes
Audit de conformité annuel
Validation interne et externe
Analyse des nouveaux systèmes d’informations

Troisième cas: Qualité et intégrité des données
Audit de sécurité
10
Contexte discuté :
Analyse de la sécurité d’un système d’informations
Validation de la qualité et de l’intégrité des données

Questions et réponses des groupes précédents
Audit de sécurité
11
Enjeux des PME
Sécurité sans-fil
Serveur unique accessible de l’externe
Peu de procédures et de normes en place

Audit de sécurité
12
Enjeux des PME
Sécurité sans-fil
Serveur unique accessible de l’externe
Peu de procédures et de normes en place

Audit de sécurité
13
Réseaux sociaux
L’entreprise doit s’assurer d’une utilisation qui respecte les normes
Confidentialité des données
Identités des correspondants difficiles à valider dans le cas d’entreprises couvrant un large territoire

Questions et réponses des groupes précédent
Audit de sécurité
14
Types d’environnements
Les audits doivent être faits le plus possible sur des environnements clonés sans donnée réelle pour éviter que l’auditeur accède à de l’information sensible.

Questions et réponses des groupes précédent
Audit de sécurité
15
Éthiques
Le rôle d’un auditeur est de constater, d’analyser et de faire des recommandations.
C’est aux responsables de l’entreprise de gérer les risques associés et non à l’auditeur

Contacter François Harvey
Audit de sécurité
16
Si vous avez d’autres questions n’hésitez pas :
francoisharvey.ca (blog personnel)
@francoisharvey (twitter)
Linked-in
Medsecure.ca (Gestion medsécure)

http://francoisharvey.ca	384
http://dircproxy.securiweb.net	6
http://translate.googleusercontent.com	4
http://securiweb.net	1

Présentation audits de sécurité

by Harvey Francois on Aug 20, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

4 Embeds 395

Statistics

Présentation audits de sécurité — Presentation Transcript