Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Audits de sécurité techniquesPrésentation et études de casparFrançois Harvey,CISM/CISSP<br />
Présentation<br />Audits de sécurité<br />2<br />François Harvey<br />Professionnel en sécurité<br />Gestion medsécure (me...
Données<br />Audits de sécurité<br />3<br />« Dans les technologies de l'information, une donnée est une description éléme...
Objectifs de la sécurité de l’information<br />Audits de sécurité<br />4<br />Confidentialité: la donnée doit être limitée...
Préalables<br />Audits de sécurité<br />5<br />Portée: Quelle est la portée des tests (systèmes, méthodes, heures, etc.)<b...
Processus d’audit<br />Audits de sécurité<br />6<br />Règles d’engagement<br />Recherche d’information<br />Balayage<br />...
Audit de sécurité<br />Audits de sécurité<br />7<br />Boîte blanche: l’auditeur a accès aux informations internes<br />Boî...
Premier cas: Audit pré acquisition<br />Audit de sécurité<br />8<br />Contexte discuté :<br /><ul><li>Une entreprise deman...
Éléments de négociation et planification</li></li></ul><li>Deuxième cas: Audit annuel<br />Audit de sécurité<br />9<br />C...
Audit de conformité annuel
Validation interne et externe
Analyse des nouveaux systèmes d’informations</li></li></ul><li>Troisième cas: Qualité et intégrité des données<br />Audit ...
Validation de la qualité et de l’intégrité des données</li></li></ul><li>Questions et réponses des groupes précédents<br /...
Serveur unique accessible de l’externe
Peu de procédures et de normes en place</li></li></ul><li>Questions et réponses des groupes précédents<br />Audit de sécur...
Serveur unique accessible de l’externe
Upcoming SlideShare
Loading in …5
×

Présentation audits de sécurité

6,492 views

Published on

Extrait de ma présentation donnée aux étudiants de l'UQTR dans le cadre du cours sur les audits des systèmes d'information.

Published in: Education

Présentation audits de sécurité

  1. 1. Audits de sécurité techniquesPrésentation et études de casparFrançois Harvey,CISM/CISSP<br />
  2. 2. Présentation<br />Audits de sécurité<br />2<br />François Harvey<br />Professionnel en sécurité<br />Gestion medsécure (medsecure.ca) <br />Certifié CISM/CISSP/TCSE<br />Membre ISACA<br />
  3. 3. Données<br />Audits de sécurité<br />3<br />« Dans les technologies de l'information, une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction, d'un événement, etc. »<br />(source : Wikipédia)<br />
  4. 4. Objectifs de la sécurité de l’information<br />Audits de sécurité<br />4<br />Confidentialité: la donnée doit être limitée aux personnes autorisées<br />Intégrité : la donnée doit être fiable<br />Disponibilité : la données doit être accessible au moment requis<br />
  5. 5. Préalables<br />Audits de sécurité<br />5<br />Portée: Quelle est la portée des tests (systèmes, méthodes, heures, etc.)<br />Classification: Quels types de données sont hébergés dans les systèmes<br />Catégorisation: Quels sont les besoins en confidentialité, intégrité et disponibilité des données<br />
  6. 6. Processus d’audit<br />Audits de sécurité<br />6<br />Règles d’engagement<br />Recherche d’information<br />Balayage<br />Énumération<br />Analyse de vulnérabilités<br />Exploitation et analyse d’impact<br />Documentation et présentation du rapport<br />
  7. 7. Audit de sécurité<br />Audits de sécurité<br />7<br />Boîte blanche: l’auditeur a accès aux informations internes<br />Boîte noire: l’auditeur n’a pas accès aux informations internes<br />Double boîte noire : les ressources de la cible ne sont pas au courant du processus d’audit<br />
  8. 8. Premier cas: Audit pré acquisition<br />Audit de sécurité<br />8<br />Contexte discuté :<br /><ul><li>Une entreprise demande un audit de sécurité dans le cadre de la négociation d’acquisition d’une entreprise similaire
  9. 9. Éléments de négociation et planification</li></li></ul><li>Deuxième cas: Audit annuel<br />Audit de sécurité<br />9<br />Contexte discuté :<br /><ul><li>Entreprise soumise à des normes externes
  10. 10. Audit de conformité annuel
  11. 11. Validation interne et externe
  12. 12. Analyse des nouveaux systèmes d’informations</li></li></ul><li>Troisième cas: Qualité et intégrité des données<br />Audit de sécurité<br />10<br />Contexte discuté :<br /><ul><li>Analyse de la sécurité d’un système d’informations
  13. 13. Validation de la qualité et de l’intégrité des données</li></li></ul><li>Questions et réponses des groupes précédents<br />Audit de sécurité<br />11<br />Enjeux des PME<br /><ul><li>Sécurité sans-fil
  14. 14. Serveur unique accessible de l’externe
  15. 15. Peu de procédures et de normes en place</li></li></ul><li>Questions et réponses des groupes précédents<br />Audit de sécurité<br />12<br />Enjeux des PME<br /><ul><li>Sécurité sans-fil
  16. 16. Serveur unique accessible de l’externe
  17. 17. Peu de procédures et de normes en place</li></li></ul><li>Questions et réponses des groupes précédents<br />Audit de sécurité<br />13<br />Réseaux sociaux<br /><ul><li>L’entreprise doit s’assurer d’une utilisation qui respecte les normes
  18. 18. Confidentialité des données
  19. 19. Identités des correspondants difficiles à valider dans le cas d’entreprises couvrant un large territoire</li></li></ul><li>Questions et réponses des groupes précédent<br />Audit de sécurité<br />14<br />Types d’environnements<br /><ul><li>Les audits doivent être faits le plus possible sur des environnements clonés sans donnée réelle pour éviter que l’auditeur accède à de l’information sensible.</li></li></ul><li>Questions et réponses des groupes précédent<br />Audit de sécurité<br />15<br />Éthiques<br /><ul><li>Le rôle d’un auditeur est de constater, d’analyser et de faire des recommandations.
  20. 20. C’est aux responsables de l’entreprise de gérer les risques associés et non à l’auditeur</li></li></ul><li>Contacter François Harvey<br />Audit de sécurité<br />16<br />Si vous avez d’autres questions n’hésitez pas :<br /><ul><li>francoisharvey.ca (blog personnel)
  21. 21. @francoisharvey (twitter)
  22. 22. Linked-in
  23. 23. Medsecure.ca (Gestion medsécure)</li>

×