--- tags: SECUP, pierre.gastanaga --- # Sécurité dans les projets et Audit de sécurité ## Intégration de sécurité dans les projets (I.S.P.) Evaluation: Une partie sur l'intégration de sécu dans les projets L'autre sur audits QCM + cas d'usage Blocage entre savoir ce qu'il faut faire et ce qui est fait Cycle de vie d'un projet (cycle en V) - Opportunité: Enjeux pour l'entreprise, ROI - Faisabilité: Faisabilité / Risques, Cout / Efficacité - Conception générale: Besoins fonctionnels, contraintes - Conception détaillée - Réalisation - Exploitation ISP a pour but de responsabiliser les différents acteur en matière de sécurité Ne pas imposer des règles insurmontables qui vont entrainer un cout trop important Risques résiduels: Risque qui subsiste après la réponse au risque ou après l'application de mesures d'atténuation du risque. Audit de la phase préliminaire d'un projet de dev doit s'assurer que les exigences ont été respectées Définition slides p.15 RSSI: Pas seulement un expert, c'est un accompagnant et un gardien. C'est le garant de l'ISP DCP: Données à caractère personnel Peut être directe ou indirect Stratégies de Test: - Scénario d'attaques/ menaces - Choix de tests liste des investigations: - CS1: Controler les infrastructures - Analyse d'architecture - Contrôle de configuration - Test d'intrusion - CS2: Controler les applications: - Analyse de code - Tests des fonctions de sécurité - Tests de vulnérabilités - CS3: Controler les process: - Contrôles environnements Incidents de sécurité: - Des Logs - Des évènements - Des Alertes - Des incidents SOC: Security Operating Center Equipe dédiée à la surveillance et la supervision du SI Norme PDIS (Norme ANSSI): Prestataires de Détection des Incidents de Sécurité Suivi des risques résiduels En théorie, on choisit de les accepter ## Audit Audit date du temps des Romains. Organisme d'audit: - IFACI - Audit interne: Activité indépendante et objective - ISO - Processus indépendant et documenté pour obtenir des preuves d'audit Qualité et Ethique: - Déontologie: - Fondement du profesionnalisme - La confiance, l'intégrité, la confidentialité et la discrétion - La loyauté - Impartialité et transparence - Conscience professionnelle - Indépendance - Compétences - Approche par la preuve: - Méthode rationnelle - Basé sur des fait et non des inférences - Preuves d'audit vérifiable - Objectif d'amélioration Normes, Bonnes pratiques, recommandations: ISO 27xxx Recommandation de l'ANSSI ITIL COBIT SAS70 OWASP Directive NIS SOX => Audit dans tout type d'entreprise Il faut planifier un audit Plan de controle précise l'ensemble des contrôles à mener et indiques des informations: - Le périmètre - Les risques concernés par les contrôles SSI - Les actifs, process, organisation, ..., objets des contrôles SSI - La nature des investigations - Le planning, fréquence des contrôles unitaires - Les moyens nécessaires à réaliser les contrôles SI