2122 M2 Ssi Audit C1 [PDF]

Audit Informatique M2-SSI 2021 - 2022 Introduction  Évolution des systèmes d’information a conduit à une croissance,

27 0 285KB

Report DMCA / Copyright

DOWNLOAD PDF FILE

Papiere empfehlen
Autocontrôle SSI
Autocontrôle SSI

3 1 100KB Read more

C1 - M2 - Financial Assets - Fixed Income Securities+answer Key
C1 - M2 - Financial Assets - Fixed Income Securities+answer Key

0 0 103KB Read more

SSI - Kramer (1996)
SSI - Kramer (1996)

0 0 1MB Read more

Culegere M2
Culegere M2

0 0 20MB Read more

Revision M2
Revision M2

0 0 12MB Read more

C1
C1

0 0 1MB Read more

Formule m2
Formule m2

0 0 577KB Read more

Cours M2 Catalyse PDF
Cours M2 Catalyse PDF

0 0 4MB Read more

Ghid Franceza m2 Elev
Ghid Franceza m2 Elev

0 0 2MB Read more

Evaluare M2 Jurnalul Reflexiv
Evaluare M2 Jurnalul Reflexiv

0 0 34KB Read more

2122 M2 Ssi Audit C1 [PDF]

  • 0 0 0
  • Gefällt Ihnen dieses papier und der download? Sie können Ihre eigene PDF-Datei in wenigen Minuten kostenlos online veröffentlichen! Anmelden
Datei wird geladen, bitte warten...
Zitiervorschau

Audit Informatique M2-SSI 2021 - 2022

Introduction 

Évolution des systèmes d’information a conduit à une croissance, à une globalisation et à une internationalisation des marchés



Problème de certification des systèmes d’information vis-à-vis des référentiels et des normes informatiques



Intégration de l’audit dans les opérations des organisations



Quelle est la meilleure approche d’évaluation à l’échelle d’une organisation des risques et des contrôles ?

Audit des systèmes d’information (IT audit) 

Une intervention réalisée par une personne indépendante et extérieure au service audité, qui permet d’analyser tout ou ne partie d’une organisation informatique, d’établir un constat des points forts et des points faibles et dégager ainsi les recommandations d’amélioration



Ou bien



L’évaluation des risques des activités informatiques dans le but d’apporter une diminution de ceux-ci et d’améliorer la maitrise des systèmes d’information

Objectif 

Identifier, évaluer et déterminer les risques (opérationnels, financiers, de réputation, …)associés aux activités informatiques d’une entreprise ou d’une administration



Un processus d’audit informatique se base sur 

Le cadre règlementaire du secteur d’activité



Les référentiels de bonne pratiques existants



Les benchmarks à disposition et l’expérience de l’auditeur

Phase classiques d’un audit 

Phase 1 analyse de l’environnement SI, les applications et les produits, les modes de gestion, les relations entre applications/opérations, le recensement des actifs,…



Phase 2 évaluation des risques et établissement d’un plan d’audit



Le plan d’audit dépend de plusieurs facteurs organisationnels (secteur d’activité, chiffre d’affaire, type et complexité des opérations, zone géographique des opérations



L’analyse de risque dépend des composantes et du rôle du SI 

Technologie utilisée, complexité, architecture, niveau de personnalisation des app, maintenance externalisé ou non, niveau d’évolution annuelle du SI

Définition

Réévaluation

Stratégie du SI

Déploiement

Conception

Modèles de l’audit des SI



Un modèle est une base de données qui sert de référence 



Modèle de l’audit de besoin (permet l’élaboration et l’approbation d’un projet informatique) 

Partie 1 : L’analyse de l’existant



Partie 2 : La détermination de la cible

Modèle de l’audit de découverte des connaissances : consiste à valoriser les données et les connaissances et aboutit au montage d’un SI décisionnel

Analyse de l’existant 

Examen du terrain (l’existant)



L’auditeur formalise la circulation des documents-types et les traitements qui y sont appliquer par chaque acteur (logigrammes et graphes relationnels)

Détermination de la cible 

Référer le mode de circulation de l’information et leurs interprétations,



Les redondances dans le graphe,



La dispersion des infrastructures,



Les points de contrôle et de validation nécessaires



Découpage en zone et sous graphes

Modèle d’audit de connaissance 

Pas d’objectifs : on ne sait pas ce que l’on va découvrir



On connait le domaine : on connait le métier (la base de données)



Une équipe intégrée : (expert metier, expert adm info, datamining)



Travail par boucle de prototypage



On modifie le format des données et leur disposition



À l’aide d’algorithmes d’apprentissage et de visualisation des données le fouilleur met en évidence les liens empiriques entre les données



Les liens retenus doivent répondre à trois critères 

Inconnu de l’utilisateur, Explicable à postériori, Utile

Modèle d’audit de connaissance 

Les connaissances détectées sont formalisés (arbre, règles, …)puis prototypées de manière logicielle



La validité des connaissances prototypées est vérifiée grâce à un test statistique



Si le test est réussi le modèle est mis en production



On recommence le cycle

Principes généraux de l’audit 

La finalité doit être définie (contrôle fiscal, …)



Il doit être explicite en déduisant les moyens d’investigation jugés nécessaires et suffisants (le comment et le pourquoi)

Règles d’audit des systèmes d’information 

L’audit informatique doit porter non seulement au jugement, qui ne peut se limiter qu’à une approbation ou plus à une condamnation, , mais également préciser ce qu’il aurait fallu faire, et ce qu’il faudra faire pour corriger les défauts constatés.



L’audit informatique doit consister à comparer l’observation d’un ou plusieurs objets, selon un ou plusieurs aspects, à ce qu’ils devraient être



a tâche de l’auditeur doit être parfaitement définie quant à l’objet et l’aspect de l’audit à mener et elle ne doit pas en déborde



L’auditeur ne doit jamais remettre en cause la finalité de son audit en fonction de ce qui est plus simple, ou plus intéressant de faire, selon ses goûts. Il est beaucoup plus facile de formuler cette règle que de l’appliquer

Règles d’audit des systèmes d’information 

L’audit informatique doit toujours être faisable



Les moyens et actions de l’auditeur doivent être adaptés exclusivement mais exhaustivement au sujet de l’audit



L’audit informatique doit impliquer les méthodes et les programmes sensibles de l’application,les saisies d’informations, les recyclages d’anomalies, et la bibliothèque



La sécurité de l’audit informatique ne doit s’appliquer qu’aux documents de travail et aux rapports, et non à leur diffusion hors destinataires autorisés

Déontologie de l’auditeur 

s’interdire de cumuler audit et conseil, sur une même question



L’auditeur doit garantir, même implicitement par une simple acceptation d’une tâche, qu’il a les compétences nécessaires



L’auditeur doit être rapide, précis, avec juste les connaissances ponctuelles nécessaires et suffisantes



L’auditeur doit s’intéresser au système d’information dans son ensemble, c’est-à-dire il ne doit pas s’atteler aux seuls éléments automatisés, ou au contraire à ceux qui ne le sont pas



L’auditeur doit fournir des conclusions motivées, utiles, sur l’objet et l’aspect, ainsi que la période de temps qui a dû être considérée, qui ont été les éléments de sa mission

Déontologie de l’auditeur 

L’audit informatique qui suggère une quantification des faits est inacceptables sauf éventuellement dans un contexte précis, et dans le délai imparti et accepté. Le domaine de la tâche d’un auditeur est donc très rigoureusement défini en termes d’objets, d’aspects, et de cadre temporel, et sa démarche et d’une démonstration rigoureuse et exhaustive. Les sujets d’audit doivent être maintenant évidents

Audit de sécurité 

L’audit de sécurité consiste à évaluer le niveau de sécurité.



Le risque de compromission dépend de plusieurs facteurs notamment l’exposition à internet



Il est important d’évaluer la surface d’exposition



Qu’est ce qu’une surface d’exposition ?

Types d’audit 

Audit d’application web / audit d’application lourde



Surface d’exposition / intrusif physique



Test d’intrusion (pentest) 

Interne



Externe



Audit de vérification



Audit de conformité : permet de vérifier la conformité ou l’écart existant entre des normes ou des règles et la réalité

Mission d’audit 

La durée /coût de l’audit dépendent du nombre d’écrans (vues) de la cible



La première matinée de l’audit est perdue avec les installations et la présentation de l’environnement



Durant la mission d’audit il faut faire des check-up avec le client 

Pour s’assurer de la bonne installation et que vous êtes sur le bon chemin (1er point)



Point final (avant la rédaction du rapport) : pour expliquer ce que vous avez trouvé



Le dernier jour de l’audit n’est pas celui stipulé sur le contrat exp (7 jours sur le contrat signifie 3 jours d’audit + 3 jours de rédaction du rapport)



Le dernier jour est généralement réservé à la révision du rapport. On charge généralement un collègue non impliqué dans l’audit



Le rapport est tjr transmis au client en PDF

La restitution 

Cette phase intervient après la remise du rapport d’audit. Elle consiste à présenter les vulnérabilité, leurs impacts et vos recommandations au client



L’implémentation des recommandations est de la responsabilité de l’équipe IT du client

Web Applicatif

Code source

Application lourde externe

Audit

GHDB

passive

intrusif

interne

sécurité

Brute force active

découverte notions

périmètre

DNS

70% test 30% rapport

Contexte client

Tenue adéquate

Mission Points réguliers

oral reporting

Port reseau

Rapport restitution

Test pendant les horaires du client

slide

Transfert de zone

nmap

Our partners will collect data and use cookies for ad personalization and measurement. Learn how we and our ad partner Google, collect and use data. Agree Cookies