---
title: SECUP cours 4
tags: SECUP, jeremy.delbarre
authors: jeremy.delbarre
---
# Audit de la sécurité des SI
## Introduction
### Quiz
A quand remonte les premiers audits?
- [x] Aux temps des romains
- [ ] Au 4eme siecle
- [ ] Au crack boursier de 1939
L'**audit** est l'examen professionnelle qui consiste en une expertise par un agent compétent et impartial aboutissent a un jugement sur les états financiers, le controle interne, l'organisaton, la procédure ou une opération quelconque d'une entité
L'**audit interne** est une acitivité indépendante et objective qui donne a une organisation une assurance sur le degre de maitrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribué a créer de la valeur ajoutée
## Définition
**Audit de conformité**: audit pour démontrer le respect de certaine norme polithique reglement lois
**audit financier**: audit visant à évaluer la jsutesse des rapports financier
**audit opérationnelle**: audit visant à évaluer le contrôle interne
**investigation légale**: audit spécifalisé dans la découverte, la divulgation et le suivi des fraudes et des crimes.
**audits spécialisé**: normes particuliere (SSAE 16: externalisation par exemple)
**audits des SI**: audits visant à recueillir des preuves pour déterminer si le SI protège adéquatement les actifs (DICT), fournit des renseignements pertinents et fiables, atteint les objectifs metiers, ...
- Approche par la preuve
- la méthode rationnelle pour parvenir a des conclusion d'audit fiable et reproductibles dans un processus d'audit systématique
- basé sur les faits et non des inférences (supposition)
- preuves d'audits vérifiables
- Objectif d'amélioration
### QUIZ
Mes audits de cette année doivent traitée au mieux le volet Sécurité des SI
- [ ] muter un expert SSI de la production informatique dans le département Audit
- [ ] former mes auditeurs a la sécurité des SI
- [x] embaucher des experts
Un expert a identifier une faille lors d'un test d'intrusion et a réussi a pénétrer la SI a partir de l'extérieur. que doit il faire
- [ ] qu'il explique les opérations qu'il a realisées.
- [ ] qu'il détailles les failles techniques identifiees et leur niveau d'exploitabilite
- [x] qu'il explicite les risques qui impact l'entreprise
L'equipe d'experts SSI a identifié au cours d'un controle ce quelle croit etre une non conformité a une regle juridique comment doit elle l'integrer dans son rapport ?
- [ ] en détaillant ce qu'elle croit être non conforme.
- [ ] en ne disant rien car ce n'est pas de la sécurité.
- [x] sous forme de remarque et en suggérant de faire appel à la direction jurigique .
auditer pour evaluer le niveau de protection ou de prise en compte d'un risque
L'objectif d'un controle de SSI:
- Conformité vis a vis de la loi ou d'une norme
- s'assurer que la polithique de sécurité est bien appliqué et vérifier que les moyens mis en oeuvre sont présent
- mesurer identifier un ecart vis a vis d'un référentiel
- de robustess et d'efficacité
- vérifier que les moyens mis en oeuvre pour protéger les données sensibles sont efficaces
- identifier un risque, une vulnérabilité, un défault
Pour réaliser les controle, les familles de documents suivantes sont a prendre en compte
- les principaux textes réglementaires applicable au SI du secteur audité
- les regles/exigences
- les normes
pour les prestations externe les principaux document sont:
- les pièce contractuel
- les regles de l'art
referentiel reglementaire
- code du travail
- directive nis, loi de programmation militaire
- SOX, COSO
les normes, bonnes pratique, recommendations:
- ISO 27xxx (Norme SSI)
- Recommendation de l'ANSSI
- COBIT (Pilotage SI)
- ITIL (Organisation production)
- SAS 70 (ext)
Reglementation bancaire
- controle permanent mené a tout les niveau
- controle interne
### Controle et Risque
- Respecter le cycle PDCA
- l'analyse du risque doit aider l'auditeur a reperer les risques afon de lui permettre d'orienter ses travaux. c'est un point d'entrée indispensable
- les résultats d'un audits peuvent alimenter les attaques
Que vont vérifier les audits (exemple de la banque en Martinique):
- presence de detecteur d'humidité
- etat d'evacuation des eau de pluie
- etancheité des toit
- conformité électriqque
- alimentation de secours
- dimenssionement de la climatisation
- respect des cycles de maintenances
quel risque majeur pour une banque
- [x] fraude interne
- [x] non respect de la réglementation
- [ ] atteintes a l'image
que vont vérifier les audits
- présences de procédures
- cycle de controle
- moyens de surveillances
- exigeances réglementaire
quel est le risque majeur pour un hopital
- [x] dispo des donnée de santé
- [ ] atteintes de la confidentialité
Que vont vérifier les audits
- Sauvegardes
- Redondances de matériel
## Controle de la sécurité des SI
### Démarche de controle
- la planification des controles
- le déroulement d'un controle
- le cadrage
- les investigations
- la restitution
### Planification
- l'activité de controle s'appuie sur une planification court et moyens termes des activités, explicité au sein d'un plan de controle
- le plan de controle precise l'ensemble des controle a mener et indique pour chacun
- le périmètre concerné
- les risques concerné par les controles SSI
- les actifs processus, organisation
- la nature des investigations
- le planning, la fréquence des controle unitaire
- les moyens nécessaire a realiser les controle SSI
Ex:
Dans un etablissement bancaire, l'analyse de risque a mis en avant des risques de cyberattaque sur la banque en ligne
- planifier les controle a mener
Démarche appliquée:
- identification des services de banque en ligne et de le eur niveau de sensibilté en matiere de sécurité
- Classification des services par blocs fonctionnel en fonction des critère de sécurité
- Besoin de sécurité
- Degre d'exposition de service
- implication
Cadrage d'un controlleur
- lancement du controle
- revue documentaire
- préparation des investigation
Lancement d'un controle
- contitution de l'equipe de controle
- bien identifier les compétences
- lanque, compréhension
- aptitude a communiquer
- indépendant
- faisabilité
- Existance d'information disponible
- bon niveau de coopération avec l'audité
- disponibilité des resources
- planning
- Revue documentaire
- Verifier la validité
- determiner la conformité documentaire du système
- Préparation des investigation sur site
Chaque auditeur doit:
- connaitre sa mission précise
- Validé avec le responsable d'audit
- constituer et préparer
- listes type et plan
- Formulaire d'enregistrement
- conserver tous ses documents
- au moins jusque la fin de l'audit
Sign in with Wallet
Connect another wallet