Sécurité dans les projets et audits/contrôles (Cours 4): Audit de la sécurité des S.I.

--- titre: Sécurité dans les projets et audits/contrôles (Cours 4) description: Sécurité dans les projets et audits/contrôles (Cours 4), 26/02/2020 tags: SECUP, jerome.tchan author: Jérôme Tchan --- # Sécurité dans les projets et audits/contrôles (Cours 4): Audit de la sécurité des S.I. #### Plan 1. Introduction: objectifs, référentiels, risques 2. Les démarches de contrôle 3. Les investigations 4. La restitution 5. La professionnalisation du métier d'auditeur ## Introduction Les premiers audits remonent à l'époque des Romains => Utilisé pour le contrôle au nom de l'empereur sur la gestion des provinces XIIIe siècle => notion anglo-saxonne visant la gestion, chambre des comptes en France en 1319 > L’audit est une expertise professionnelle effectuée par un agent compétent et impartial aboutissant à un jugement par rapport à une norme sur les états financiers, le contrôle interne, l'organisation, la procédure, ou une opération quelconque d'une entité. > [name=Wikipedia][color=lightgray] > L'audit *interne* est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée. > L'audit aide cette organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité. > [name=IFACI (Institut Français de l'Audit et du Contrôle Interne)][color=darkgray] > L'audit est un processus systématique, indépendant et documenté en vue d'obtenir des preuves d'audit (enregistrements, énoncés de faits ou autres informations, qui se rapportent aux critères d'audit et sont vérifiables) et de les évaluer de manière objective pour déterminer dans quelle mesure les critères d'audit (ensemble de politiques, procédures ou exigences déterminées) sont satisfaits. > [name=ISO (International Organization for Standardization)][color=gray] Audit première partie, audit seconde partie, audit tierce partie: norme ISO 19011 (version 2002) Différents types d'audit: - **Audit de conformité:** démontrer le respect de certaines lois, normes, politiques, règlements, etc. - **Audit financier:** évaluer la justesse des rapports financiers - **Audits opérationnels:** évaluer le contrôle interne - **Audits des S.I.:** recueillir des preuves pour déterminer si le SI protège adéquatement les actifs (DICT), fournit des renseignements pertinents et fiables, atteint les objectifs métiers, etc. - **Audits spécilisés:** normes particulières (ex: SSAE 16 => externalisation) - **Investigation légale:** audit spécialisé dans la découverte, la divulgation et le suivi des fraudes et des crimes Qualités et éthique: - Déontologie - Le fondement du professionnalisme - La confiance, l'intégrité, la confidentialité et la discrétion - La loyauté - Impartialité et transparence - Conscience professionnelle - L'attitude diligente et avisée au cours de l'audit - Indépendance - Le fondement de l'impratialité de l'audit et de l'objectivité des conclusions d'audit - Compétences - Approche fondée sur la preuve - Méthode rationnelle: basé sur des faits et non des inférences, preuves d'audit vérifiables - Objectif d'amélioration - **Charte d'audit:** précise la fonction d'audit (règles, conditions, normes, etc.) ### Objectifs du contrôle SSI Pourquoi auditer? - Obligations (CAC, administrations, règlements, etc.) - Améliorer, se rassurer - Evaluer / comparer - Sensibiliser - Analyser sur incident - Certifier / prouver - etc. Auditer: pour évaluer le niveau de protection ou de prise en compte d'un risque L'objectif d'un contrôle SSI va dépendre de sa nature: - Conformité vis-à-vis d'une loi ou d'une norme - Ex: s'assurer que la politique de sécurité est bien appliquée et vérifier que les moyens mis en oeuvre sont présents - => Mesurer, identifier un écart vis-à-vis d'un **référentiel** - De robustesse, d'efficacité, etc. - Ex: vérifier que les moyens mis en oeuvre pour protéger les données sensibles sont efficaces - => Identifier un risque, une vulnérabilité, un défaut, etc. Référentiel: lois, bonnes pratiques, politiques de sécurité, etc. Pour réaliser les contrôles, les familles de document suivantes sont à prendre en compte (par ordre de priorité): - Les principaux textes réglementaires applicables au SI du secteur audité - Les règles / les exigences de sécurité de l'entité concernée - Les normes et règles de l'art techniques Référentiels: - Loi I&L - Code du travail - Directive NIS, Loi de Programmation Militaire - SOX, COSO - Contrats - Normes, bonnes pratiques, recommendations, etc... - ISO 27xxx - Recommendations de l'ANSSI - COBIT - ITIL - SAS 70 - OWASP Obligations de contrôle: - Directive NIS, Loi de Programmation Militaire - SOX - Contrats (Clauses d'audit) - Réglementation bancaire - Cycle PDCA (Plan, Do, Check, Action) L'analyse du risque doit aider l'auditeur à repérer les risques afin de lui permettre d'orienter ses travaux. Les résultats d'un audit peuvent aussi alimenter les analyses de risques. ## Démarches de contrôle - Planification des contrôles - Déroulement d'un contrôle - Points clefs ### Planification: le plan de contrôle L'activité de contrôle s'appuie sur une planification court et moyen terme des activités, explicitée au sein d'un plan de contrôle (annuel en général). Le plan de contrôle précise l'ensemble des contrôles à mener et indique pour chacun: - Le périmètre concerné - Les risques concernés par les contrôles SSI - Les actifs, processus, organisation, etc. objets des contrôles SSI - La nature des investigations - Le planning, fréquence, etc. des contrôles unitaires - Les moyens nécessaires à réaliser les contrôles SSI #### Cas concret pour une banque **Démarche:** - Identification des services de la banque en ligne et de leur niveau de sensibilité en matière de sécurité (DICT) - Classification des services par bloc fonctionnel en fonction des critères de sécurité: - Besoin de sécurité DICT - Degré d'exposition du service - Implication d'acteurs externes - Sélection des actifs à retenir et choix des investigations à lancer - Planification des contrôles **Services retenus pour les contrôles:** - Accès par le canal Internet - Module "Opération souscription et virement" - Module "Bourse" - Module "Gestion de compte et alertes" - Accès par le canal Internet Mobile - Modules "Passerelle Internet Mobile" - Accès par le canal Téléphonie - Module "Virement" - Module "Bourse" - Module "Gestion de compte et alertes" - Backoffice - Module "GA-BAD et CQ Publication Dynamique" :::success En résumé: **Actifs critiques + risques => Périmètre à contrôler** ::: #### Déroulement d'un contrôle (ISO 19011) Avant (Préparation): - Déclenchement de l'audit - Préparation des activités d'audit sur le site Pendant (Audit sur site): - Activités d'audit sur le site Après (Clôture, suivi): - Préparation, approbation et diffusion du rapport d'audit - Clôture de l'audit - Suivi d'audit (si spécifié dans le plan d'audit) ??? - Cadrage d'un contrôle - Investigations - Restitution (g pa noté aled) ### Points clés - Le plan de contrôle organise et planifie les activités de contrôle à court et moyen terme en fonction des risques - Un contrôle se déroule selon une démarche normalisée - La qualité de la phase de cadrage conditionne la réussite du contrôle - Les covnstats doivent être appréciés en fonction du risque