Travail cοmplémentaire

Audit des systèmes d’information

Sοus le thème :

Normes de Management de la Sécurité des Systèmes d’information

Les séries ISO/IEC 27000

Présenté par : CHAFER Naοufal

Niveau : 5ème année

Filière : ACG

Numérο insc : 4089

Introduction :

Aujourd’hui, la gestion du système d’information d’un organisme est devenue un élément

essentiel pour le fonctionnement de celui-ci. Grâce aux nouvelles technologies, les
entreprises produisent et exploitent de plus en plus de données, l’information est de plus en
plus rapide mais aussi de plus en plus menacée.

Au cours des dernières années, le nombre de cyberattaques n’a cessé d’augmenter,

entrainant des pertes financières importantes et un temps remise en sécurité assez long
pour les organismes. Selon le sondage Opinionway, effectué en 2015, 81% des entreprises
françaises ont été visées par des cyberattaques, ce qui représente une menace non
négligeable pour celles-ci.

Dans le but de standardiser et de sécuriser le système d’information des organismes,

l’organisation internationale de normalisation a mis en place la norme ISO/CEI 27001.
Celle-ci a été rédigée afin de sensibiliser les organismes à manager la sécurité de leurs
informations et protéger leurs intérêts dans un environnement de plus en plus
concurrentiel.

Ce rapport vise tout d’abord à comprendre les exigences et le contexte de la norme ISO
27001. Ensuite, les étapes d’implémentation d’un SMSI et enfin l’audit des SMSI.
Première Partie : Contexte, et enjeux de la norme ISO
27001

I Contexte de l’ISO 27001:

SI, SMSI : définitions ;

Un système d’informations (SI) peut être considéré comme un ensemble cohérent de

ressources (personnel, logiciels, processus, données, matériels, équipements
informatiques et de télécommunication...) permettant de recueillir, traiter, stocker et
diffuser de l’information au sein d'un organisme. Ce système sociotechnique possède sa
propre interprétation selon chaque secteur d’activité, chaque entreprise, chaque service.
L’information est un actif qui, comme tous les autres actifs importants d’un organisme,
est essentiel à son fonctionnement et nécessite, par conséquent, d’être protégé de
manière adéquate. L’entreprise doit mettre au point un système de management de la
sécurité de l’information.
Un système de management de la sécurité de l’information, SMSI, est un dispositif qui
gère et qui coordonne la manière dont la sécurité de l’information est mise en place. Il
est important de bien définir un périmètre sur ce genre de dispositif afin de garantir sa
réussite. Il permet de mettre en place des mesures de sécurités garantissant la
confidentialité des biens sensibles (données personnelles, administratives, métier...)
d’un organisme, l’intégrité de l’information (modification non désirée de l’information)
ainsi que la disponibilité de celle-ci aux personnes autorisées à y accéder sur un champ
bien défini.
La mise en place d’un SMSI nécessite :
- La sensibilisation des parties prenantes de l’organisme,
- L’attribution des responsabilités liées à la sécurité de l’information,
- La prise en compte de l’engagement de la direction et des intérêts de chaque
département opérationnel ou fonctionnel dans l’organisme,
- Un rôle clé pour le RSSI, qui a pour but de de veiller à l’identification et à
l’appréciation des risques.
Le Responsable de la Sécurité des Systèmes d’Information, RSSI, met en place les
mesures de contrôle, assure la maintenance et l'amélioration continue de la politique de
sécurité afin d’éviter de ramener le niveau de risque informatique en dessous des seuils
d’acceptabilité. Pour organiser tout cela, la RSSI doit déterminer les mesures adéquates
pour réaliser les objectifs fixés en termes de sécurité de l’information tout en définissant
les principes directeurs, le cadre de référence ainsi que l’organisation permettant
d’instaurer un système de sécurité cohérent et performant.
 II Evolution de la norme ISO 27001 entre les versions 2005 et
2013 ;
Le tableau ci-dessous compare la norme ISO27001V2005 et 2013 :

Norme ISO/CEI 27001 :2005 Norme ISO/CEI 27001 :2013

Structure

5 clauses spécifiées qui approchent les SMSI à 7 clauses spécifiées, qui ne sont pas obligées d’être
partir d’une approche managériale suivies dans l’ordre listé

Chapitre 4 – contexte de l’organisation Périmètre

du SMSI, interface, domaine d’application
Chapitre 5 – Leadership Engagement de la
Chapitre 4 – SMSI
Direction Générale et définition des responsabilités
Périmètre du SMSI, interface, domaine
vis-à-vis du SMSI
d’application,
Chapitre 6 – Planification Management des risques
maitrise des documents et des enregistrements
et définition du portefeuille des mesures de sécurité
Chapitre 5 – Responsabilité de la direction
Chapitre 7 – Ressources Ressources humaines et
Implication Direction, management des
compétence, communication (interne & externe),
ressources, formation, sensibilisation
gestion de la documentation (sécurité et SMSI)
Chapitre 6 – Audits internes du SMSI : Audits
Chapitre 8 – Fonctionnement Contrôles
internes Chapitre 7 –Revue de direction du SMSI
opérationnels, appréciation et traitement des
Éléments d’entrée et de sortie Chapitre 8 –
risques Chapitre 9 – Évaluation des performances
Amélioration du SMSI Amélioration continue,
Audit interne, revue de direction, surveillance,
actions préventives et correctives
mesures Chapitre 10 – Amélioration Traitement
des non-conformités, actions correctives,
amélioration continue

Processus de mise en application

Le standard n’impose aucun modèle particulier. Il

Utilisation explicite du PDCA implique cependant d’utiliser un processus
d’amélioration continue.

A travers ce tableau, on constate que la différence entre les deux versions n’est pas trop
grande. En effet, la nouvelle version est un standard qui donne le droit aux grands groupes
d’utiliser n’importe quelle démarche d’amélioration continue à part la démarche PDCA qui
était une obligation dans la version2005, ce qui assure plus de flexibilité.
III Enjeux de la norme ISO/CEI 27001 version 2013 ;

1. Les risques liés au Système d’Information :

Avec l’arrivée de l’outil informatique et du Web 2.0 au cœur des

organisations, les systèmes d’informations de celles-ci se sont vus
complétement bouleversés. La collecte, la mémorisation, le traitement et la
diffusion de l’information se fait aujourd’hui énormément avec des systèmes
informatisés. Il est désormais possible de conserver beaucoup plus de données
dans un espace réduit (support numérique) et de les dupliquer de manière très
simple. Les organisations se voient désormais sujet à trois grands types de
risques au niveau de leur SI :

 L’intégrité de l’information : modification ou la suppression de

l’information,
 La confidentialité de l’information : révélation des informations à un tiers
non autorisé,
 La disponibilité de l’information : provoqué par des pannes, erreurs voire
malveillances.

Les risques liés à la sécurité du système d’information peuvent causer

d’importants dégâts :

 Financiers : détournements d’informations, ransomwares, mauvaises

installations d’un progiciel, suppressions d’informations importantes.
 Pour le personnel, causant des torts à la vie privée d’une personne en
diffusant des informations personnelles sur elle.
 D’image, désinformation, diffamation, permettre à une personne de mettre en
évidence des failles de sécurité sur un serveur web

Enjeux d’un SMSI :

Un SMSI a pour objectif ultime de sécuriser le système d’informations des entités

ayant des données sensibles, il permet notamment d’identifier les risques et de
proposer des actions pour les gérer ou les éliminer totalement, et d’assurer en fin de
compte, l’intégrité, la confidentialité et la disponibilité de l’information.
2. Enjeux de la certification :

La certification ISO 27001 permet la mise en place d’un SMSI tout en assurant son
efficacité, elle permet par conséquent d’accroitre la confiance des clients en matière
de la sécurité d’information et d’améliorer l’image de marque. Or, le risque zéro
n’existe pas, ceci dit qu’en dépit de la certification, le risque est omniprésent, cette
dernière permet de le gérer, de le réduire et de rendre son niveau acceptable.
Le tableau ci-dessous présente les avantages de la certification ainsi que ses
inconvénients :

Avantages
Améliore l’image de l’entreprise
Réduit la charge des audits clients
Réduit les coûts de la gestion de la
sécurité de l’information
Inconvénients
Certification longue à mettre en place
L’ensemble des exigences doit être respecté
Nécessité d’avoir un SI mature pour obtenir la
certification

les couts de la démarche qui peuvent être trop

Permet une amélioration continue du SI
élevés
Partie II) : Les étapes de la mise en place d’un SMSI
conforme à la norme ISO27001

Une entreprise faisant le choix de la mise en conformité à la norme ISO27001 de son SMSI
devra respecter un certain nombre d’étapes. BEIJAFLORE préconise une démarche en
huit étapes.

1. Etude d’opportunité

Réaliser un état des lieux des mécanismes de sécurité, identifier les parties intéressées du
SMSI et leurs enjeux, afin de réaliser une étude d’opportunité de la mise en conformité. Ces
éléments sont à valider obligatoirement par la Direction Générale.

2. Choix du périmètre du SMSI

Définir le périmètre, autrement dit les activités sur lesquelles s’appliquent le SMSI, et
justifier le cas échéant les domaines exclus de ce périmètre.

3. Déclaration d’intention

Une fois le périmètre choisi, définir la stratégie de la sécurité de l’information afin

d’impulser le projet de mise en conformité. Cette déclaration d’intention se formalise par
la Politique de sécurité rédigée et signée par la Direction Générale.

4. Démarche d’analyse de risques

L’entreprise doit identifier les risques sur son périmètre. Pour ce faire, il est nécessaire de
choisir une méthode d’évaluation des risques, adaptée au contexte et aux enjeux de
l’entreprise.

5. Objectifs de sécurité

Le plan de traitement des risques doit orienter les objectifs de sécurité que souhaite
atteindre l’entreprise. En effet, en fonction des risques identifiés, les mesures de sécurité
peuvent varier.

Il est dès lors primordial d’organiser des réunions de suivi du projet afin d’optimiser la mise
en place de ces mesures d’une part, et de garder la direction impliquée d’autre part.

6. Exploitation du SMSI

L’ensemble des mesures et processus de sécurité doivent vivre selon le modèle de la roue de
Deming : Plan, Do, Check, Act.
 Ce modèle permet de les optimiser tout au long de leur cycle de vie. La mise en place du
PDCA doit se faire dès leurs définitions.

7. Surveillance du SMSI

Le SMSI constitue alors un ensemble complexe vivant dont il faut mesurer la « santé », et
lorsqu’il est nécessaire, le « soigner ». Ceci doit se traduire de manière pratique par :

 Un audit interne ;
 L’application des éventuelles actions correctives des non-conformités détectées ;
 Une revue de direction afin de consolider les évènements passés et dessiner les directions
actuelles et futures pour son SMSI ;
 Un audit blanc si l’audit de certification est prévu dans le planning.

8. Certification (étape optionnelle)

Un SMSI répondant à toutes les exigences de la norme ISO27001, peut se soumettre à

l’examen de la certification. Il faut pour cela prendre contact avec un organisme de
certification, qui se chargera de faire passer l’audit.
Partie III) : L’audit du SMSI :

Etape1:Préparation de l’audit :

Cette phase est aussi appelée phase de pré audit. Elle constitue une phase importante pour
la réalisation de l’audit sur terrain. En effet, c’est au cours de cette phase que se dessinent
les grands axes qui devront être suivis lors de l’audit sur terrain. Elle se manifeste par des
rencontres entre auditeurs et responsables de l’organisme à auditer. Au cours de ces
entretiens, devront être exprimées les espérances des responsables vis-à-vis de l’audit.
Aussi , Il doit être fixé l’étendu de l’audit ainsi que les sites à auditer, de même qu’un
planning de réalisation de la mission de l’audit.
Les personnes qui seront amenées à répondre au questionnaire concernant l’audit
organisationnel doivent être également identifiées. L’auditeur (ou les auditeurs) pourrait
(pourraient) également solliciter les résultats de précédents audits.
Une fois que les deux parties (auditeur-audité) ont “harmonisé leur accordéons “, l’audit sur
terrain peut être entamé. Il débute par l’audit organisationnel et physique.
Etape2 : Audit organisationnel et physique :

a- Objectifs : Dans cette étape, il s’agit de s’intéresser à l’aspect physique et

organisationnel de l’organisme cible, à auditer. Je m’intéresse donc aux aspects de gestion
et d’organisation de la sécurité, sur les plans organisationnels, humains et physiques.
L’objectif visé par cette étape est donc d’avoir une vue globale de l´état de sécurité du
système d´information et d´identifier les risques potentiels sur le plan organisationnel.

b-Déroulement : Afin de réaliser cette étape de l’audit, ce volet doit suivre une approche
méthodologique qui s’appuie sur « une batterie de questions ». Ce questionnaire préétabli
devra tenir compte et s’adapter aux réalités de l’organisme à auditer. A l’issu de ce
questionnaire, et suivant une métrique, l’auditeur est en mesure d’évaluer les failles et
d’apprécier le niveau de maturité en termes de sécurité de l’organisme, ainsi que la
conformité de cet organisme par rapport à la norme référentielle de l’audit.
Dans mon contexte, suivant les recommandations de l’ANSI et du fait de sa notoriété, cet
audit prendra comme référentiel une norme de l’ISO. Il s’agit de toutes les clauses (ou
chapitres ou domaines) de la version 2007 de la norme ISO/IEC 27002.

Etape 4 : Audit technique :

a. Objectifs : Cette étape de l’audit sur terrain vient en seconde position après celle de l’audit
organisationnel. L’audit technique est réalisé suivant une approche méthodique allant de la
découverte et la reconnaissance du réseau audité jusqu’au sondage des services réseaux actifs
et vulnérables.

Cette analyse devra faire apparaître les failles et les risques, les conséquences d’intrusions ou
de manipulations illicites de données. Au cours de cette phase, l’auditeur pourra également
apprécier l’écart avec les réponses obtenues lors des entretiens. Il sera à même de tester la
robustesse de la sécurité du système d’information et sa capacité à préserver les aspects de
confidentialité, d’intégrité, de disponibilité et d’autorisation.

Cependant, l’auditeur doit veiller à ce que les tests réalisés ne mettent pas en cause la
continuité de service du système audité.

b. déroulement : Vu les objectifs escomptés lors de cette étape, leurs aboutissements ne sont
possibles que par l’utilisation de différents outils. Chaque outil commercial qui devra être
utilisé, doit bénéficier d’une licence d’utilisation en bonne et de la forme. Également les outils
disponibles dans le monde du logiciel libre sont admis.

L’ensemble des outils utilisés doit couvrir entièrement/partiellement la liste non exhaustive
des catégories ci-après :

 Outils de sondage et de reconnaissance du réseau.

 Outils de test automatique de vulnérabilités du réseau.

 Outils spécialisés dans l’audit des équipements réseau (routeurs, switchs).

 Outils spécialisés dans l’audit des systèmes d’exploitation

.  Outils d’analyse et d’interception de flux réseaux.

 Outils de test de la solidité des objets d’authentification (fichiers de mots clés)

.  Outils de test de la solidité des outils de sécurité réseau (firewalls, IDS, outils
d’authentification).

Chacun des outils à utiliser devra faire l’objet d’une présentation de leurs caractéristiques et
fonctionnalités aux responsables de l’organisme audité pour les assurer de l’utilisation de ces
outils.

Etape5 : Audit intrusif :

a. Objectifs : Cet audit permet d’apprécier le comportement du réseau face à des attaques.
Également, il permet de sensibiliser les acteurs (management, équipe informatique sur site, les
utilisateurs) par des rapports illustrant les failles décelées, les tests qui ont été effectués
(scénarios et outils) ainsi que les recommandations pour pallier aux insuffisances identifiées.

b. Déroulement : La phase de déroulement de cet audit doit être réalisée par une équipe de
personnes ignorante du système audité avec une définition précise des limites et horaires des
tests. Etant donné l’aspect risqué (pour la continuité de services du système d’information)
que porte ce type d’audit, l’auditeur doit :

 Bénéficier de grandes compétences.

 Adhérer á une charte déontologique.

 S’engager (par écrit) à un non débordement: implication à ne pas provoquer de perturbation

du fonctionnement du système, ni de provocation de dommages.

Etape6 : Rapport d’audit :

A la fin des précédentes phases d’audit sur terrain, l’auditeur est invité à rédiger un rapport de
synthèse sur sa mission d’audit.

Cette synthèse doit être révélatrice des défaillances enregistrées. Autant est-il important de
déceler un mal, autant il est également important d’y proposer des solutions
(recommandations), détaillées, pour pallier aux défauts qu’il aura constatés.

Ces recommandations doivent tenir compte de l’audit organisationnel et physique, ainsi que
de celui technique et intrusif.
Conclusion :

Une fois l’ISMS en place, les organisations devraient essayer d’obtenir un certificat auprès
d’un organisme de certification accrédité. Cela prouve aux parties prenantes que l’ISMS est
efficace et que les organisations comprennent l’importance de la sécurité de l’information.

Le processus de certification implique la révision des documentations des systèmes de gestion

de l’organisation afin de vérifier que les contrôles appropriés ont été mis en place.
L’organisme de certification mènera également un audit sur-site afin de tester les procédures.