Audits de sécurité techniquesPrésentation et études de casparFrançois Harvey,CISM/CISSP<br />
Présentation<br />Audits de sécurité<br />2<br />François Harvey<br />Professionnel en sécurité<br />Gestion medsécure (me...
Données<br />Audits de sécurité<br />3<br />« Dans les technologies de l'information, une donnée est une description éléme...
Objectifs de la sécurité de l’information<br />Audits de sécurité<br />4<br />Confidentialité: la donnée doit être limitée...
Préalables<br />Audits de sécurité<br />5<br />Portée: Quelle est la portée des tests (systèmes, méthodes, heures, etc.)<b...
Processus d’audit<br />Audits de sécurité<br />6<br />Règles d’engagement<br />Recherche d’information<br />Balayage<br />...
Audit de sécurité<br />Audits de sécurité<br />7<br />Boîte blanche: l’auditeur a accès aux informations internes<br />Boî...
Premier cas: Audit pré acquisition<br />Audit de sécurité<br />8<br />Contexte discuté :<br /><ul><li>Une entreprise deman...
Éléments de négociation et planification</li></li></ul><li>Deuxième cas: Audit annuel<br />Audit de sécurité<br />9<br />C...
Audit de conformité annuel
Validation interne et externe
Analyse des nouveaux systèmes d’informations</li></li></ul><li>Troisième cas: Qualité et intégrité des données<br />Audit ...
Validation de la qualité et de l’intégrité des données</li></li></ul><li>Questions et réponses des groupes précédents<br /...
Serveur unique accessible de l’externe
Peu de procédures et de normes en place</li></li></ul><li>Questions et réponses des groupes précédents<br />Audit de sécur...
Serveur unique accessible de l’externe
Upcoming SlideShare
Loading in …5
×

Présentation audits de sécurité

5,860 views

Published on

Extrait de ma présentation donnée aux étudiants de l'UQTR dans le cadre du cours sur les audits des systèmes d'information.

Published in: Education
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
5,860
On SlideShare
0
From Embeds
0
Number of Embeds
464
Actions
Shares
0
Downloads
1
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Présentation audits de sécurité

  1. 1. Audits de sécurité techniquesPrésentation et études de casparFrançois Harvey,CISM/CISSP<br />
  2. 2. Présentation<br />Audits de sécurité<br />2<br />François Harvey<br />Professionnel en sécurité<br />Gestion medsécure (medsecure.ca) <br />Certifié CISM/CISSP/TCSE<br />Membre ISACA<br />
  3. 3. Données<br />Audits de sécurité<br />3<br />« Dans les technologies de l'information, une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction, d'un événement, etc. »<br />(source : Wikipédia)<br />
  4. 4. Objectifs de la sécurité de l’information<br />Audits de sécurité<br />4<br />Confidentialité: la donnée doit être limitée aux personnes autorisées<br />Intégrité : la donnée doit être fiable<br />Disponibilité : la données doit être accessible au moment requis<br />
  5. 5. Préalables<br />Audits de sécurité<br />5<br />Portée: Quelle est la portée des tests (systèmes, méthodes, heures, etc.)<br />Classification: Quels types de données sont hébergés dans les systèmes<br />Catégorisation: Quels sont les besoins en confidentialité, intégrité et disponibilité des données<br />
  6. 6. Processus d’audit<br />Audits de sécurité<br />6<br />Règles d’engagement<br />Recherche d’information<br />Balayage<br />Énumération<br />Analyse de vulnérabilités<br />Exploitation et analyse d’impact<br />Documentation et présentation du rapport<br />
  7. 7. Audit de sécurité<br />Audits de sécurité<br />7<br />Boîte blanche: l’auditeur a accès aux informations internes<br />Boîte noire: l’auditeur n’a pas accès aux informations internes<br />Double boîte noire : les ressources de la cible ne sont pas au courant du processus d’audit<br />
  8. 8. Premier cas: Audit pré acquisition<br />Audit de sécurité<br />8<br />Contexte discuté :<br /><ul><li>Une entreprise demande un audit de sécurité dans le cadre de la négociation d’acquisition d’une entreprise similaire
  9. 9. Éléments de négociation et planification</li></li></ul><li>Deuxième cas: Audit annuel<br />Audit de sécurité<br />9<br />Contexte discuté :<br /><ul><li>Entreprise soumise à des normes externes
  10. 10. Audit de conformité annuel
  11. 11. Validation interne et externe
  12. 12. Analyse des nouveaux systèmes d’informations</li></li></ul><li>Troisième cas: Qualité et intégrité des données<br />Audit de sécurité<br />10<br />Contexte discuté :<br /><ul><li>Analyse de la sécurité d’un système d’informations
  13. 13. Validation de la qualité et de l’intégrité des données</li></li></ul><li>Questions et réponses des groupes précédents<br />Audit de sécurité<br />11<br />Enjeux des PME<br /><ul><li>Sécurité sans-fil
  14. 14. Serveur unique accessible de l’externe
  15. 15. Peu de procédures et de normes en place</li></li></ul><li>Questions et réponses des groupes précédents<br />Audit de sécurité<br />12<br />Enjeux des PME<br /><ul><li>Sécurité sans-fil
  16. 16. Serveur unique accessible de l’externe
  17. 17. Peu de procédures et de normes en place</li></li></ul><li>Questions et réponses des groupes précédents<br />Audit de sécurité<br />13<br />Réseaux sociaux<br /><ul><li>L’entreprise doit s’assurer d’une utilisation qui respecte les normes
  18. 18. Confidentialité des données
  19. 19. Identités des correspondants difficiles à valider dans le cas d’entreprises couvrant un large territoire</li></li></ul><li>Questions et réponses des groupes précédent<br />Audit de sécurité<br />14<br />Types d’environnements<br /><ul><li>Les audits doivent être faits le plus possible sur des environnements clonés sans donnée réelle pour éviter que l’auditeur accède à de l’information sensible.</li></li></ul><li>Questions et réponses des groupes précédent<br />Audit de sécurité<br />15<br />Éthiques<br /><ul><li>Le rôle d’un auditeur est de constater, d’analyser et de faire des recommandations.
  20. 20. C’est aux responsables de l’entreprise de gérer les risques associés et non à l’auditeur</li></li></ul><li>Contacter François Harvey<br />Audit de sécurité<br />16<br />Si vous avez d’autres questions n’hésitez pas :<br /><ul><li>francoisharvey.ca (blog personnel)
  21. 21. @francoisharvey (twitter)
  22. 22. Linked-in
  23. 23. Medsecure.ca (Gestion medsécure)</li>

×