1. Référentiels et Normes pour l'Audit
de la Sécurité des SI
Fadhel GHAJATI
fadhel.ghajati@ansi.tn
Lead Auditor ISO 27001
Risk Manager ISO 27005
Cyber Security Day 2016
Jendouba 13-04-2016

2. • Introduction
• Problématique
• L’audit de la sécurité du SI
• Types d’audit
• ISO 27002
• Référentiel de l’ANSI
• Conclusion
2
Plan

3. Introduction
3

4. Pour sa sécurité, des mesures de sécurité organisationnelles, procédurales ou techniques
doivent être mise en œuvre sur l’ensemble des moyens supportant le système
d’information.
Un cadre cohérent et organisé.
Objectifs et des exigences de sécurité qui traduisent les contraintes et les risques qui
pèsent sur le système d’information.
L’objectif de ces mesures de sécurité
La confidentialité
L’intégrité
La disponibilité
La traçabilité
Problématique
4

5. Contraintes
spécifiques
(légales et
réglementaire)
Stratégie de
risque de
l’entreprise
Contraintes
spécifiques
(légales et
réglementaire)
Bonnes
pratiques
Standards,
Guidelines
Analyse de
risque sur un SI
Métier
Exigences de
sécurité
Mesures de
sécurité
Bonnes
pratiques
Maitrised’ouvrageMaitrise
d’ouvre
Politique de
sécurité
Périmètre de l’entreprise
Problématique
5

6. Les questions auxquelles se doivent de répondre les audits de sécurité du SI
A quelles exigences légales et réglementaires le Système
d’Information est
il soumis ?
Ces contraintes légales et réglementaires sont elles respectées ?
La politique de sécurité est elle alignée sur la
stratégie d’entreprise ?
L’organisation de la sécurité est elle fonctionnelle ?
Les objectifs et contrôles de sécurité sont ils exhaustifs?
La continuité des activités de l’entreprise est elle assurée ?
Les mesures de sécurité opérationnelles sont elles alignées sur la
politique de sécurité ?
Les mesures de sécurité opérationnelles mises en place sont elles efficaces ?
Pistes de vérification
6

7. L’audit de sécurité du SI
• L’audit de sécurité du système d’information est un examen méthodique d’une
situation liée à la sécurité de l’information en vue de vérifier sa conformité à
des objectifs, à des règles ou à des normes.
• Compte tenu du cadre de gestion de la sécurité de l’information, les audits de
sécurité peuvent adresser des problématiques différentes comme par exemple :
 La prise en compte des contraintes,
 L’analyse des risques,
 La politique de sécurité,
 La prise en compte de contraintes spécifiques dans la mise en œuvre d’un système
d’information particulier (problématique liée à l’audit des projets),
 La mise en œuvre de politique de sécurité,
 Les mesures de sécurité.
7

8. ISO 19011 v 2011 – ISO 27007
Il convient que le programme d’audit comporte les informations et ressources nécessaires pour
organiser et réaliser ses audits de façon efficace et effective dans les délais spécifiés. Ce
programme peut également inclure:
des objectifs pour le
programme d’audit et
les audits individuels
l’étendue/le
nombre/les types/la
durée/les lieux/le
calendrier des audits
les procédures
de programme
d’audit;
les critères
d’audit;
les méthodes
d’audit;
la constitution
des équipes
d’audit
les ressources
nécessaires, y compris
les déplacements et
l’hébergement;
les processus de traitement des questions relatives à la confidentialité, à la sûreté des informations,
à la santé et à la sécurité, et autres sujets similaires.
8

9. Contraintes
spécifiques
(légales et
réglementaire)
Stratégie de
risque de
l’entreprise
Contraintes
spécifiques
(légales et
réglementaire)
Bonnes
pratiques
Standards,
Guidelines
Analyse de
risque sur un SI
Métier
Exigences de
sécurité
Mesures de
sécurité
Bonnes
pratiques
Maitrised’ouvrageMaitrise
d’ouvre
Politique de
sécurité
Périmètre de l’entreprise
Audit de Sécurité
Audit de Sécurité
Audit de Sécurité
Audit de Sécurité
Audit de Sécurité
Les types d’audit de sécurité
9

10. Les principaux types d’audit de sécurité
Audit de la politique de sécurité,
Adéquation de la politique de sécurité à la stratégie de risques de l’entreprise, aux contraintes
légales et réglementaires et aux bonnes pratiques,
Test d’intrusion, audit de vulnérabilité sur l’ensemble des composantes du SI …
Audit de l’efficacité des mesures de sécurité.
Audit de la prise en compte de la sécurité dans un projet
Audit de la mise en œuvre de politique de sécurité,
Respect des exigences de sécurité au sein de l’entreprise au travers de la mise en œuvre de
mesures de sécurité adéquates et pérennes,
Audit réglementaire
10

11. Les référentiels
Audit de sécurité Référentiel
Audit de la politique de sécurité
Adéquation de la politique de sécurité à la
stratégie de risques de l’entreprise, aux
contraintes légales et réglementaires et aux
bonnes pratiques,
Contexte légale et réglementaire,
Stratégie de risque de l’entreprise,
ISO 27002.
Audit de la mise en œuvre de la politique
de sécurité
Respect des exigences de sécurité au sein de
l’entreprise au travers de la mise en œuvre de
mesures de sécurité adéquates et pérennes
Politique de sécurité de l’entreprise,
ISO 27002,
CoBIT
ITIL
ISO 20000
Audit de l’efficacité des mesures de
sécurité
OWASP (Open Web Application Security
Project),
Information Security Web sites,
Bases de vulnérabilités.
Audit réglementaire ISO 27002
Référentiel de l’ANSI
11

12. 5. Politiques de sécurité de l'information
6. Organisation de la sécurité de
l'information
7. Sécurité des ressources humaines
8. Gestion des actifs
9. Contrôle d'accès
10. Cryptographie
11. Sécurité physique et environnementale
12. Sécurité liée à l'exploitation
13. Sécurité des communications
14. Acquisition, développement et
maintenance des systèmes
d'information
15. Relations avec les fournisseurs
16. Gestion des incidents liés à la sécurité
de l'information
17. Aspects de la sécurité de l'information
dans la gestion de la continuité
de l'activité
18. Conformité
Domaines de sécurité de l'information (niveau 1)
La norme ISO/IEC 27002:2013 recense de nombreux objectifs
de contrôle répartis dans chacun des 14 domaines
Catégories de sécurité (niveau 2)
• La structure de la norme est semblable pour chacune des 35
catégories de sécurité :
• Un objectif de contrôle qui fait l'état sur ce qui doit
être appliqué est énoncé,
• Un ou plusieurs contrôles à appliquer sont proposés
pour remplir l'objectif de contrôle de la catégorie de
sécurité
Contrôles (niveau 3)
Au niveau inférieur, la structure de la norme est
semblable pour chacun des 114 objectifs de contrôle qui
ont été définis :
Control : le contrôle permet de définir précisément
l'état pour satisfaire à l'objectif de contrôle,
Implementation guidance : le guide d'implémentation
propose les informations détaillées pour permettre
d'effectuer l'implémentation du contrôle et de satisfaire
à l'objectif de contrôle.
Other information
ISO 27002
12

13. • L’audit de la politique de sécurité doit permettre de s’assurer de la pertinence de celle-ci
compte tenu de la stratégie de risques de l’entreprise, du contexte légale et réglementaire
ainsi que des bonnes pratiques.
• Le terme « politique de sécurité » peut recouvrir la politique de sécurité du groupe, la
déclinaison de la politique de sécurité du groupe au niveau des différentes entités ou métiers
ainsi que de l’ensemble des politiques de sécurité détaillées couvrant les domaines comme le
contrôle d’accès, la continuité, la classification de l’information, la protection antivirale …
• L’audit peut également couvrir :
• la méthodologie d’analyse de risques mise en œuvre,
• des standards et procédures qui découlent de la politique de sécurité.
• L’approche repose sur des interviews et des analyses documentaires.
Types d’audit
13

14. • L’audit de la mise en œuvre de la politique de sécurité doit permettre de s’assurer que
les exigences de sécurité sont satisfaites au travers de la mise en œuvre de mesures de
sécurité.
• Les grilles d’investigation sont construites sur la base de la politique de sécurité et/ou de
l’ISO 27002 et/ou de Cobit.
• L’approche repose sur des interviews, des visites de sites, des analyses documentaires et des
revues de paramétrage.
• Compte tenu du caractère technique du système d’information des grilles d’investigation
spécifiques sont construites pour approfondir des thématiques comme les solutions
antivirus, les dispositifs correctifs de sécurité et anti-spam, le plan de secours et de
continuité …
Types d’audit (suite)
14

15. • Pour chaque domaine de la grille d’investigation ISO 27002, les processus sont répartis en
six niveaux de maturité qu’une organisation va gravir en fonction de la qualité des
processus qu’elle a mis en œuvre.
(0) Inexistant
Types d’audit (suite)
15

16. 0 - Aucun - processus/documentation en place
1 - Initial - Le processus est caractérisé par la prédominance d'interventions ponctuelles, voire
chaotiques. Il est très peu défini et la réussite dépend de l'effort individuel
2 - Reproductible - Une gestion élémentaire de la sécurité est définie pour assurer le suivi des
coûts, des délais et de la fonctionnalité. L'expertise nécessaire au processus est en place pour
reproduire la même action
3 - Défini - Le processus de sécurité est documenté, normalisé et intégré dans le processus
standard de l'organisation
4 - Maîtrisé - Des mesures détaillées sont prises en ce qui concerne le déroulement du processus
et la qualité générée. Le processus et le niveau de qualité sont connus et contrôlés
quantitativement
5 - Optimisation - Une amélioration continue du processus est mise en œuvre par une
rétroaction quantitative émanant du processus lui-même et par l'application d'idées et de
technologies innovatrices
Types d’audit (suite)
16

17. Portrait Actuel Portrait Cible
Types d’audit (suite)
17
Une synthèse globale est présentée selon le diagramme de Kiviat qui illustre les résultats de
l’audit suivant les 14 domaines décrits dans l’ISO 27002

18. Audit des accès
distants
Audit de la connexion
Internet
Audit des équip. de
réseau & sécurité
Audit de
la solution Antivirale
Audit de la
Gestion des Tiers
Audit de Gestion
d’Incident
Revue du
plan de continuité
Audit des serveurs et
des postes de travail
Pour approfondir la dimension technique de l’audit de sécurité, des grilles d’investigation sont
nécessaires pour chaque composante du système d’information.
Types d’audit (suite)
18

19. Indépendamment de la mise en œuvre des mesures de sécurité, un audit de leur efficacité doit
permettre de s’assurer qu’aucune vulnérabilité ne puisse porter atteinte à la confidentialité,
l’intégrité ou la disponibilité de l’information.
Pour s’assurer de la sécurité de l’Infrastructure face à des scénarii d’attaques de personnes
malveillantes (pirate, prestataire, ex-employé, utilisateur interne …)
Test d’Intrusion
Pour déterminer si les firewalls, serveurs web, routeurs, connexions distantes, connexion sans fils,
applications, sont configurés et mis en œuvre de manière adéquate au regard des risques encourus
Audit de Sécurité Technique
Types d’audit (suite)
19

20. Tests d’Intrusion
Externe
Interne
Physique
Intranet
Extranet
Wifi
Accès à distance
Types d’audit (suite)
20

21. Types d’audit (suite)
21
Audit de Sécurité Technique

22. Les risques
Référentiel inadapté
Compétences inadaptées
Rapport inadapté :
• Inadéquation de la recommandation dans le contexte (incompréhension des risques
spécifiques liés à l’activité de l’organisme avec le métier.
• Inadaptabilité de la recommandation dans le contexte de l’organisme.
Rapport non recevable :
• Constats non factuels.
• Constats non validés.
• Non prise en compte de la confidentialité
Dérapage dans le temps :
• Ne pas avoir identifié les bons interlocuteurs.
• Absence de clauses d’audit dans les contrats d’externalisation
IDENTIFICATION DE RISQUES TECHNIQUES ET NON DE RISQUES METIERS
22

23. 23

24. Décret N°2004-1250 du 25 mai 2004 fixant:
• les systèmes informatiques et les réseaux des organismes soumis à l’audit obligatoire
périodique de la sécurité informatique,
• les critères relatifs:
• à la nature de l’audit et à sa périodicité,
• aux procédures de suivi de l’application des recommandations contenues dans le
rapport d’audit.
Assistance fournie par l’ANSI à ces organismes:
• modèle de TdR,
• équipe pour les assister à la réalisation de leurs missions d’audit
Référentiel de l’ANSI
24

25. • Référentiel de base: la norme ISO 27002
• Conduite des activités d’audit:
 Audit organisationnel et physique
 Audit technique
 Appréciation des risques
• Livrables:
 Rapport détaillé couvrant les différents aspects spécifiés dans le Cahier des
Clauses Techniques
 Rapport présentant un plan d’action cadre s’étalant sur trois ans
 Rapport de synthèse, destiné à la direction générale
Ancienne version des TdR
25

26. • Subjectivité dans l’interprétation de la norme: audit de conformité ou
audit par rapport à la PSSI ??
Impact sur la conduite des activités d’audit
Impact sur la qualité des rapports d’audit
nécessité de la mise à jour des TdR
Problèmes rencontrés
26

27. • Référentiel de base: Référentiel d’audit de la sécurité des systèmes d’information
établi par l’ANSI (Annexe A)
• Conduite des activités d’audit:
 Identification des vulnérabilités: résultat de vérification par rapport aux critères d’audit
présentés au niveau du référentiel
Présentation des bonnes pratiques décelées et des vulnérabilités identifiées (section
« 9. Présentation détaillée des résultats de l’audit » du modèle de rapport d’audit (annexe
B))
 Appréciation des risques
Présentation des résultats (section « 10. Appréciation des risques » du modèle de
rapport d’audit)
• Livrables:
 Rapport selon le modèle de rapport d’audit de la sécurité des systèmes d’information
(Annexe B) établi par l’ANSI
Nouvelle version
27

28. • Repose sur 38 critères regroupés en 11 domaines:
 D1. Leadership et gouvernance de la sécurité
 D2. Gestion des risques liés à la sécurité du système d’information
 D3. Sécurité des actifs
 D4. Sécurité du personnel et développement des capacités
 D5. Protection de l’environnement physique du système d’information
 D6. Sécurité des services d’infrastructure
 D7. Sécurité des services métiers
 D8. Sécurité des terminaux
 D9. Sécurité des applications
 D10. Gestion des incidents de sécurité
 D11. Gestion de la continuité des activités
Référentiel (Annexe A)
28

29. Exemple
 D2. Gestion des risques liés à la sécurité du système d’information
Critères d’audit:
(7) L’audité doit maintenir un système de gestion des risques de sécurité des systèmes d’information
Vérifications à effectuer:
 Si l’audité a identifié et documenté les risques de sécurité du SI auxquels il est exposé,
 Si le niveau de risque a été quantifié,
 Si, pour chaque risque considéré comme inacceptable, des mesures ont été prises pour ramener le risque
à un niveau acceptable,
 Si un suivi permanent des risques et de leurs niveaux a été mis en place,
 Si chaque risque, pris individuellement, a été pris en charge et a fait l’objet d’une décision de traitement
(Acceptation, Transfert, Réduction, Evitement).
Preuves suffisantes d’audit:
 Document de cartographie des risques répertoriés
 Document de traitement des risques (Plan d’action, etc.)
Référentiel (Annexe A)
29

30. • Champ de l’audit,
• Méthodologie d’audit,
• Synthèse des résultats de l’audit,
• Présentation détaillée des résultats de l’audit,
• Appréciation des risques,
• Plan d’action,
• Annexes
 Description du SI de l’organisme
 Planning d’exécution réel de la mission d’audit de la sécurité du SI
 Evaluation de l’application du dernier plan d’action
 Etat de maturité de la sécurité du SI
 Plan d’action proposé
Modèle de rapport (Annexe B)
Une première mission type effectuée par le ministère de
l’environnement et le développement durable en 2015
30

31. Pour qui ?
Direction Générale,
Audit interne,
Métier,
Maison mère,
Organisme certificateur …
Conclusion
31
Par qui ?
Interne / externe
Dans quel but ?
Alignement de la politique de
sécurité sur la stratégie d’entreprise,
Conformité aux lois et règlements,
Efficacité et efficience des contrôles,
SOX, contrôle interne,
Identification des risques auxquels
est exposé le SI…
Sur quel périmètre ?
Organisation,
Site,
Service,
Environnement technique,
Application, …
Selon quel référentiel ?
Lois et règlements
Organisme
Bonnes pratiques (ISO,…)
De quelle nature ?
Audit de la politique de sécurité,
Audit de la mise en œuvre de la politique de
sécurité,
Audit de l’efficacité des mesures de sécurité.

32. MERCI POUR VOTRE ATTENTION