Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Référentiels et Normes pour l'Audit de la Sécurité des SI

3,094 views

Published on

Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information.

Published in: Leadership & Management

Référentiels et Normes pour l'Audit de la Sécurité des SI

  1. 1. Référentiels et Normes pour l'Audit de la Sécurité des SI Fadhel GHAJATI fadhel.ghajati@ansi.tn Lead Auditor ISO 27001 Risk Manager ISO 27005 Cyber Security Day 2016 Jendouba 13-04-2016
  2. 2. • Introduction • Problématique • L’audit de la sécurité du SI • Types d’audit • ISO 27002 • Référentiel de l’ANSI • Conclusion 2 Plan
  3. 3. Introduction 3
  4. 4. Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques doivent être mise en œuvre sur l’ensemble des moyens supportant le système d’information. Un cadre cohérent et organisé. Objectifs et des exigences de sécurité qui traduisent les contraintes et les risques qui pèsent sur le système d’information. L’objectif de ces mesures de sécurité La confidentialité L’intégrité La disponibilité La traçabilité Problématique 4
  5. 5. Contraintes spécifiques (légales et réglementaire) Stratégie de risque de l’entreprise Contraintes spécifiques (légales et réglementaire) Bonnes pratiques Standards, Guidelines Analyse de risque sur un SI Métier Exigences de sécurité Mesures de sécurité Bonnes pratiques Maitrised’ouvrageMaitrise d’ouvre Politique de sécurité Périmètre de l’entreprise Problématique 5
  6. 6. Les questions auxquelles se doivent de répondre les audits de sécurité du SI A quelles exigences légales et réglementaires le Système d’Information est il soumis ? Ces contraintes légales et réglementaires sont elles respectées ? La politique de sécurité est elle alignée sur la stratégie d’entreprise ? L’organisation de la sécurité est elle fonctionnelle ? Les objectifs et contrôles de sécurité sont ils exhaustifs? La continuité des activités de l’entreprise est elle assurée ? Les mesures de sécurité opérationnelles sont elles alignées sur la politique de sécurité ? Les mesures de sécurité opérationnelles mises en place sont elles efficaces ? Pistes de vérification 6
  7. 7. L’audit de sécurité du SI • L’audit de sécurité du système d’information est un examen méthodique d’une situation liée à la sécurité de l’information en vue de vérifier sa conformité à des objectifs, à des règles ou à des normes. • Compte tenu du cadre de gestion de la sécurité de l’information, les audits de sécurité peuvent adresser des problématiques différentes comme par exemple :  La prise en compte des contraintes,  L’analyse des risques,  La politique de sécurité,  La prise en compte de contraintes spécifiques dans la mise en œuvre d’un système d’information particulier (problématique liée à l’audit des projets),  La mise en œuvre de politique de sécurité,  Les mesures de sécurité. 7
  8. 8. ISO 19011 v 2011 – ISO 27007 Il convient que le programme d’audit comporte les informations et ressources nécessaires pour organiser et réaliser ses audits de façon efficace et effective dans les délais spécifiés. Ce programme peut également inclure: des objectifs pour le programme d’audit et les audits individuels l’étendue/le nombre/les types/la durée/les lieux/le calendrier des audits les procédures de programme d’audit; les critères d’audit; les méthodes d’audit; la constitution des équipes d’audit les ressources nécessaires, y compris les déplacements et l’hébergement; les processus de traitement des questions relatives à la confidentialité, à la sûreté des informations, à la santé et à la sécurité, et autres sujets similaires. 8
  9. 9. Contraintes spécifiques (légales et réglementaire) Stratégie de risque de l’entreprise Contraintes spécifiques (légales et réglementaire) Bonnes pratiques Standards, Guidelines Analyse de risque sur un SI Métier Exigences de sécurité Mesures de sécurité Bonnes pratiques Maitrised’ouvrageMaitrise d’ouvre Politique de sécurité Périmètre de l’entreprise Audit de Sécurité Audit de Sécurité Audit de Sécurité Audit de Sécurité Audit de Sécurité Les types d’audit de sécurité 9
  10. 10. Les principaux types d’audit de sécurité Audit de la politique de sécurité, Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise, aux contraintes légales et réglementaires et aux bonnes pratiques, Test d’intrusion, audit de vulnérabilité sur l’ensemble des composantes du SI … Audit de l’efficacité des mesures de sécurité. Audit de la prise en compte de la sécurité dans un projet Audit de la mise en œuvre de politique de sécurité, Respect des exigences de sécurité au sein de l’entreprise au travers de la mise en œuvre de mesures de sécurité adéquates et pérennes, Audit réglementaire 10
  11. 11. Les référentiels Audit de sécurité Référentiel Audit de la politique de sécurité Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise, aux contraintes légales et réglementaires et aux bonnes pratiques, Contexte légale et réglementaire, Stratégie de risque de l’entreprise, ISO 27002. Audit de la mise en œuvre de la politique de sécurité Respect des exigences de sécurité au sein de l’entreprise au travers de la mise en œuvre de mesures de sécurité adéquates et pérennes Politique de sécurité de l’entreprise, ISO 27002, CoBIT ITIL ISO 20000 Audit de l’efficacité des mesures de sécurité OWASP (Open Web Application Security Project), Information Security Web sites, Bases de vulnérabilités. Audit réglementaire ISO 27002 Référentiel de l’ANSI 11
  12. 12. 5. Politiques de sécurité de l'information 6. Organisation de la sécurité de l'information 7. Sécurité des ressources humaines 8. Gestion des actifs 9. Contrôle d'accès 10. Cryptographie 11. Sécurité physique et environnementale 12. Sécurité liée à l'exploitation 13. Sécurité des communications 14. Acquisition, développement et maintenance des systèmes d'information 15. Relations avec les fournisseurs 16. Gestion des incidents liés à la sécurité de l'information 17. Aspects de la sécurité de l'information dans la gestion de la continuité de l'activité 18. Conformité Domaines de sécurité de l'information (niveau 1) La norme ISO/IEC 27002:2013 recense de nombreux objectifs de contrôle répartis dans chacun des 14 domaines Catégories de sécurité (niveau 2) • La structure de la norme est semblable pour chacune des 35 catégories de sécurité : • Un objectif de contrôle qui fait l'état sur ce qui doit être appliqué est énoncé, • Un ou plusieurs contrôles à appliquer sont proposés pour remplir l'objectif de contrôle de la catégorie de sécurité Contrôles (niveau 3) Au niveau inférieur, la structure de la norme est semblable pour chacun des 114 objectifs de contrôle qui ont été définis : Control : le contrôle permet de définir précisément l'état pour satisfaire à l'objectif de contrôle, Implementation guidance : le guide d'implémentation propose les informations détaillées pour permettre d'effectuer l'implémentation du contrôle et de satisfaire à l'objectif de contrôle. Other information ISO 27002 12
  13. 13. • L’audit de la politique de sécurité doit permettre de s’assurer de la pertinence de celle-ci compte tenu de la stratégie de risques de l’entreprise, du contexte légale et réglementaire ainsi que des bonnes pratiques. • Le terme « politique de sécurité » peut recouvrir la politique de sécurité du groupe, la déclinaison de la politique de sécurité du groupe au niveau des différentes entités ou métiers ainsi que de l’ensemble des politiques de sécurité détaillées couvrant les domaines comme le contrôle d’accès, la continuité, la classification de l’information, la protection antivirale … • L’audit peut également couvrir : • la méthodologie d’analyse de risques mise en œuvre, • des standards et procédures qui découlent de la politique de sécurité. • L’approche repose sur des interviews et des analyses documentaires. Types d’audit 13
  14. 14. • L’audit de la mise en œuvre de la politique de sécurité doit permettre de s’assurer que les exigences de sécurité sont satisfaites au travers de la mise en œuvre de mesures de sécurité. • Les grilles d’investigation sont construites sur la base de la politique de sécurité et/ou de l’ISO 27002 et/ou de Cobit. • L’approche repose sur des interviews, des visites de sites, des analyses documentaires et des revues de paramétrage. • Compte tenu du caractère technique du système d’information des grilles d’investigation spécifiques sont construites pour approfondir des thématiques comme les solutions antivirus, les dispositifs correctifs de sécurité et anti-spam, le plan de secours et de continuité … Types d’audit (suite) 14
  15. 15. • Pour chaque domaine de la grille d’investigation ISO 27002, les processus sont répartis en six niveaux de maturité qu’une organisation va gravir en fonction de la qualité des processus qu’elle a mis en œuvre. (0) Inexistant Types d’audit (suite) 15
  16. 16. 0 - Aucun - processus/documentation en place 1 - Initial - Le processus est caractérisé par la prédominance d'interventions ponctuelles, voire chaotiques. Il est très peu défini et la réussite dépend de l'effort individuel 2 - Reproductible - Une gestion élémentaire de la sécurité est définie pour assurer le suivi des coûts, des délais et de la fonctionnalité. L'expertise nécessaire au processus est en place pour reproduire la même action 3 - Défini - Le processus de sécurité est documenté, normalisé et intégré dans le processus standard de l'organisation 4 - Maîtrisé - Des mesures détaillées sont prises en ce qui concerne le déroulement du processus et la qualité générée. Le processus et le niveau de qualité sont connus et contrôlés quantitativement 5 - Optimisation - Une amélioration continue du processus est mise en œuvre par une rétroaction quantitative émanant du processus lui-même et par l'application d'idées et de technologies innovatrices Types d’audit (suite) 16
  17. 17. Portrait Actuel Portrait Cible Types d’audit (suite) 17 Une synthèse globale est présentée selon le diagramme de Kiviat qui illustre les résultats de l’audit suivant les 14 domaines décrits dans l’ISO 27002
  18. 18. Audit des accès distants Audit de la connexion Internet Audit des équip. de réseau & sécurité Audit de la solution Antivirale Audit de la Gestion des Tiers Audit de Gestion d’Incident Revue du plan de continuité Audit des serveurs et des postes de travail Pour approfondir la dimension technique de l’audit de sécurité, des grilles d’investigation sont nécessaires pour chaque composante du système d’information. Types d’audit (suite) 18
  19. 19. Indépendamment de la mise en œuvre des mesures de sécurité, un audit de leur efficacité doit permettre de s’assurer qu’aucune vulnérabilité ne puisse porter atteinte à la confidentialité, l’intégrité ou la disponibilité de l’information. Pour s’assurer de la sécurité de l’Infrastructure face à des scénarii d’attaques de personnes malveillantes (pirate, prestataire, ex-employé, utilisateur interne …) Test d’Intrusion Pour déterminer si les firewalls, serveurs web, routeurs, connexions distantes, connexion sans fils, applications, sont configurés et mis en œuvre de manière adéquate au regard des risques encourus Audit de Sécurité Technique Types d’audit (suite) 19
  20. 20. Tests d’Intrusion Externe Interne Physique Intranet Extranet Wifi Accès à distance Types d’audit (suite) 20
  21. 21. Types d’audit (suite) 21 Audit de Sécurité Technique
  22. 22. Les risques Référentiel inadapté Compétences inadaptées Rapport inadapté : • Inadéquation de la recommandation dans le contexte (incompréhension des risques spécifiques liés à l’activité de l’organisme avec le métier. • Inadaptabilité de la recommandation dans le contexte de l’organisme. Rapport non recevable : • Constats non factuels. • Constats non validés. • Non prise en compte de la confidentialité Dérapage dans le temps : • Ne pas avoir identifié les bons interlocuteurs. • Absence de clauses d’audit dans les contrats d’externalisation IDENTIFICATION DE RISQUES TECHNIQUES ET NON DE RISQUES METIERS 22
  23. 23. 23
  24. 24. Décret N°2004-1250 du 25 mai 2004 fixant: • les systèmes informatiques et les réseaux des organismes soumis à l’audit obligatoire périodique de la sécurité informatique, • les critères relatifs: • à la nature de l’audit et à sa périodicité, • aux procédures de suivi de l’application des recommandations contenues dans le rapport d’audit. Assistance fournie par l’ANSI à ces organismes: • modèle de TdR, • équipe pour les assister à la réalisation de leurs missions d’audit Référentiel de l’ANSI 24
  25. 25. • Référentiel de base: la norme ISO 27002 • Conduite des activités d’audit:  Audit organisationnel et physique  Audit technique  Appréciation des risques • Livrables:  Rapport détaillé couvrant les différents aspects spécifiés dans le Cahier des Clauses Techniques  Rapport présentant un plan d’action cadre s’étalant sur trois ans  Rapport de synthèse, destiné à la direction générale Ancienne version des TdR 25
  26. 26. • Subjectivité dans l’interprétation de la norme: audit de conformité ou audit par rapport à la PSSI ?? Impact sur la conduite des activités d’audit Impact sur la qualité des rapports d’audit nécessité de la mise à jour des TdR Problèmes rencontrés 26
  27. 27. • Référentiel de base: Référentiel d’audit de la sécurité des systèmes d’information établi par l’ANSI (Annexe A) • Conduite des activités d’audit:  Identification des vulnérabilités: résultat de vérification par rapport aux critères d’audit présentés au niveau du référentiel Présentation des bonnes pratiques décelées et des vulnérabilités identifiées (section « 9. Présentation détaillée des résultats de l’audit » du modèle de rapport d’audit (annexe B))  Appréciation des risques Présentation des résultats (section « 10. Appréciation des risques » du modèle de rapport d’audit) • Livrables:  Rapport selon le modèle de rapport d’audit de la sécurité des systèmes d’information (Annexe B) établi par l’ANSI Nouvelle version 27
  28. 28. • Repose sur 38 critères regroupés en 11 domaines:  D1. Leadership et gouvernance de la sécurité  D2. Gestion des risques liés à la sécurité du système d’information  D3. Sécurité des actifs  D4. Sécurité du personnel et développement des capacités  D5. Protection de l’environnement physique du système d’information  D6. Sécurité des services d’infrastructure  D7. Sécurité des services métiers  D8. Sécurité des terminaux  D9. Sécurité des applications  D10. Gestion des incidents de sécurité  D11. Gestion de la continuité des activités Référentiel (Annexe A) 28
  29. 29. Exemple  D2. Gestion des risques liés à la sécurité du système d’information Critères d’audit: (7) L’audité doit maintenir un système de gestion des risques de sécurité des systèmes d’information Vérifications à effectuer:  Si l’audité a identifié et documenté les risques de sécurité du SI auxquels il est exposé,  Si le niveau de risque a été quantifié,  Si, pour chaque risque considéré comme inacceptable, des mesures ont été prises pour ramener le risque à un niveau acceptable,  Si un suivi permanent des risques et de leurs niveaux a été mis en place,  Si chaque risque, pris individuellement, a été pris en charge et a fait l’objet d’une décision de traitement (Acceptation, Transfert, Réduction, Evitement). Preuves suffisantes d’audit:  Document de cartographie des risques répertoriés  Document de traitement des risques (Plan d’action, etc.) Référentiel (Annexe A) 29
  30. 30. • Champ de l’audit, • Méthodologie d’audit, • Synthèse des résultats de l’audit, • Présentation détaillée des résultats de l’audit, • Appréciation des risques, • Plan d’action, • Annexes  Description du SI de l’organisme  Planning d’exécution réel de la mission d’audit de la sécurité du SI  Evaluation de l’application du dernier plan d’action  Etat de maturité de la sécurité du SI  Plan d’action proposé Modèle de rapport (Annexe B) Une première mission type effectuée par le ministère de l’environnement et le développement durable en 2015 30
  31. 31. Pour qui ? Direction Générale, Audit interne, Métier, Maison mère, Organisme certificateur … Conclusion 31 Par qui ? Interne / externe Dans quel but ? Alignement de la politique de sécurité sur la stratégie d’entreprise, Conformité aux lois et règlements, Efficacité et efficience des contrôles, SOX, contrôle interne, Identification des risques auxquels est exposé le SI… Sur quel périmètre ? Organisation, Site, Service, Environnement technique, Application, … Selon quel référentiel ? Lois et règlements Organisme Bonnes pratiques (ISO,…) De quelle nature ? Audit de la politique de sécurité, Audit de la mise en œuvre de la politique de sécurité, Audit de l’efficacité des mesures de sécurité.
  32. 32. MERCI POUR VOTRE ATTENTION

×