SECUP - 4 - HackMD

--- title: SECUP - 4 description: Audit et sécurité des S.I author: Moemoea Fiérin tags: SECUP, moemoea.fierin --- # Introduction Les démarches les normes et les savoirs faire pour piloter un outil :::info À la toute dernière séance: - un exercice par groupe de 3 - faire un pseudo examen de certification a l'audit - un questionnaire de 200 questions ::: ## Préambule 1. Introduction: objectifs, référentiels, risques. 2. Les démarches de controles. 3. Les investigations (enquêtes, types d'investigations). 4. La restitution (façon dont on restitue un résultat). 5. La professionnalisation du métier d'auditeur (certifications, les boites qui embauchent dans le domaine de l'audit). ## Quizz **A quand remonte les premiers audits?** - [x] Au temps de romains - Sous louis IV - Suite au crach boursier de 1929 ## Histoire - ++Période romaine:++ Les audits permetaient de contrôler si les différentes provinces romaines levait bien l'impot. On envoyait dans chaque province des personnes pour vérifier que l'impot était bien récolter pour s'assurer que l'emperreur n'etais pas volé. Le mot **audit**: écouter. Utiliser pour le contrôle au nom de l'empereur sur la gestions des provinces. Synonyme: contrôle, vérifications, expertises, evaluations ## Définitions **Définition** L'audit est l'examen pro qui consiste aen une experttise par un agent compétent et impartial aboutissant a un jugement sur les états financiers le contrôle interne l'organisation la procédure ou une operation qqconque d'une entite. On fait une photo pro. sans cacher les elements et on aboutis a un jugement. - L'audit aide cette organisation à atteindre ses objectifs en évaluant par une approche systématique et méthodique, ses processus de management des risques de contrôles, et de gouvernement d'entreprise et en faisant des propositions pour renforcer leur efficacité. Audit Premiere partie audit seconde partie audit tierce partie => norme iso 19011 (version 2002) **Remarque** Lorsqu'on audit, tous les constats qu'on fait doivent être basé sur des preuves. A chaque fois que l'on avance qqchose il doit y avoir l'element de preuve derriere. L'un des moyens d'avoir des preuves est d'avoir la documentation. *Un élément de preuve peut être une photo.* **Définition Audit de conformité:** Audit pour démontrer le respect de certaine norme polithique reglement lois **Définition Audit financier**: audit visant à évaluer la jsutesse des rapports financier **Définition Audit opérationnel**: audit visant à évaluer le contrôle interne **Définition investigation légale** audit spécifalisé dans la découverte, la divulgation et le suivi des fraudes et des crimes. **Définition Audits spécialisé** normes particuliere (SSAE 16: externalisation par exemple) **Définition audits des SI** audits visant à recueillir des preuves pour déterminer si le SI protège adéquatement les actifs (DICT), fournit des renseignements pertinents et fiables, atteint les objectifss metiers, ... ## Qualité et Ethique **Déontologie** - le fondement du professionalisme - la confiance l'intégrité, la confidentialité et la discretion - loyauté: on n'est pas la pour les pieges: on ecrit ce qu'on va faire et faire ce qu'on a ecrit **Impartialite et transparence** - plein de gens désagréable, pour autant il faut rester impartial. **Conscience professionnelle** - L'attitude diligente et avisée au cours de l'audit **Indépendance** - la fondement de l'impartilialité de l'audit et de l'objectvité des conclusions d'audit. Ce sont les règles qui doivent etre imposé au metier d'audit-eur. **Compétence** **Approche fondée sur la preuve** - La methode rationnelle pour parvenir à des conclusions d'audit fiables et reproductibles dans une processus d'audit systématique. - Rq: Si les preuves ne sont pas solides => aucune crédibilité. **Objectif d'amélioration** - apporter des éléments permettant de s'améliorer. ## Quizz 1. **Mes audits de cette années doivent taiter au mieux le volets securité des SI. Quelle est la meilleure solution pour etre pertinent** - [x] Embaucher des experts externes - former mes auditeurs à la sécurité des SI. => on n'est pas opérationnemme pour cette année. - Muter un expert SSI de la prof informatique dans le epartement audit SSI en charge du programme 2. **Un expert a identifier une faille lors d'un test d'intrusion et a réussi a pénétrer la SI a partir de l'extérieur** - qu'il explique les opérations qu'il a realisées. - qu'il détailles les failles techniques identifiees et leur niveau d'exploitabilité. - [x] qu'il explicite les risques qui impactent l'entreprise. 3. **L'equipe d'experts SSI a identifié au cours d'un controle ce quelle croit etre une non conformité a une regle juridique comment doit elle l'integrer dans son rapport** - en détaillant ce qu'elle croit être non conforme. - en ne disant rien car ce n'est pas de la sécurité. - [x] sous forme de remarque et en suggérant de faire appel à la direction jurigique . ## Points clés Preuve, methodique, objectifs.... ## Objectifs du contrôle SSI Auditer de bonne raisons: - obligations - améliorer, se rassurer - évaluer, se comparer aux autres - sensibiliser - analyser sur incident - certifier/prouver. Auditer pour évaluer le nibeau de protection ou de prise en compte d'un risque. --- => ++l'objectif d'un controle SSI va dependre de sa nature:++ - **Comformité vis a vis d'une loi ou d'une nombre (famille 1 d'audit)** - s'assure que ma DSI applique bien la politique de sécurité - => mesure identifier un ecart vis a vis d'un ++referentiel++ - je choisit un referentiel, des mesures sur lesquels je souhaite avoir un avis. J'applique ou pas mes mesures. - **De robustessse, d'éfficatité (famille 2 d'audit)** - on le definit on choisit une menace un risque et on audit par rapport a ce risque. - => identifier un risque, une vuln, un défaut. ## Réferentiel de contrôle Les mesures a mettre en place. Dans le ref on peut rajouter ce qui est lois et les bonnes pratiques. Auditer une entreprise par rapport a un referentiel qu'elle ne connait pas n'a pas de sens. **Pour realiser les controles les familles de doc suiva,tes sont a prendre en compte par ordre de priotité:** - les principaux textes reglementaires applicables au SI du secteur audité - le regles eigence de secu de l'entité concernee - les normes et regles de l'art technnique (ISO 24002 par exemple ) **Concerant les prestations externalisées les principaux documents complementaire a prendre en tant que referentiels sont:** - les pieces contractuelle - les regles de l'art ## Référentiel Reglementaire - code du travail - directive nis, loi de programmation militaire - SOX, COSO ## Référentiel Normatif - les normes, bonnes pratiques, recommandations, ... ## Obligations de contrôle Obligation de mener des controles et des audits/ - directives NIS, loi de programmation militaire - SOX en reponse aux scandales exon - Les contrats. La reglementation bancaire: - demande de faire du controle permanant, chaque acteur controle ce qu'il fait et des personnes au dessus controles ce que ces acteurs ont fait et des personnes encore au dessus controle ce que controle ses acteurs. PDCA Plan Do Check Act. ## Contrôle des risques SSI Les risques identifier a l'analyse de risque ont ils bien ete pris en compte? - doit aider l'auditeur a reperer les risques afin de lui permettre d'orienter ses travaux cest un points d'entree indispensable => les resultats d'un audit peuvent alimenter les analyses de risques ## Quizz **La banque locale de martinique souhaite identifier les risques qui pesent sur son datacenter afin de mener un audit de controle. Identifier les menaces les plus probables:** - [x] inondation - tremblement de terre - feu - [x] alimentation electrique - intrusion - [x] climatisation :::spoiler **Que vont verifier les audits** - presence de detecteur d'humidite - etat de l'evacuation des eau de pluie - etancheite des points - conformite electrique - alimentationd e secours, tests realises - dimentsionnement de la climatisation - respects des cycles de maintenance ::: **Quel est le risque majeur pour une banque** - [x] fraude internet et/ou externe - [x] non respect de la reglementatin - atteinte a l'image :::spoiler Que vont vérifier les audits: - présence de procedure - cycle de controle - moyen de surveillance sur ce qui ce passe - connaissance des exigences reglementaires ::: **Quel est le risque maj pour un hotpital** - [x] disponibilité (essentiel de pouvoir opérer un patient) - atteinte a ma confidentialte et integrite des informations de sante de ses patients :::spoiler - sauvegarde - redondances des materiels critiques - prodécedure de restauration - secours electrique ::: # Contrôle de la SSI ## Les demarches de contrôle Plan de controle: s'appuie sur une planificationc ourt et moyens termes des activités explicitées au sein d'un plan de controle (annuel en general) Le plan de controle priecise l'ensemble des controles a mener et indique pour chcun - le perimetre concrné (le perimetre de chaque audit) - les risques que je doit couvrir - les actifs processu, organisation qui vont etre regarder dans le cadre de l'audit - le type d'investifation (entretients?, ... facon dont j'enquete) - le planning frequence ... des cntroles unitaire - les moyens nessaires a realiser les controles SSI Dans un etablissemne bancaire, l' analyse de risque a mis en avant des risques de cyberattck sur la banque en ligne -> planifier les controles a mener sur les points les plus sensibles/critiques. **La démarche est la suivante:** - identifications des services de la banque en ligne et leur niveau de sensibilite en matiere de securite - classification des services par bloc fonctionnel en fonction des criteres de secu (du + sensible au - sensible) - selection des actifs a retenir et choix des investifations a lancer - planification des controles **Serivces retenus poir les controles - acces par le canal internet - acces par le canal internet mobile - acces par le canal telephonique - backoffice ## Déroulement d'un controle La norme 19011 ## # ## ## ##