La lecture en ligne est gratuite
Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres

Partagez cette publication

A U D I T D E S S Y S T È M E S I N F O R M A T I Q U E S
MODALITÉS DE CONTRÔLE :
2 compétences complémentaires mais différentes : techniques pour M.Henry, organisation, présentation des projets pour Mme Bogati. Cours indépendants : 8 modules pour M.Henry.
2 intervenants : M.Henry et Mme Bogati
32h de cours
Projet avec oral à la fin, pour convaincre.
3 TP à faire avec recherches.
Examen final. Droit aux documents.
Mail des professeurs :
henry@labri.fr
bogati@labri.fr
1
INTRODUC TION ( M. HENRY)
Audit informatique : grosse entreprise dont le patron ne s’intéresse pas à l’informatique. Externalisation. Mais prend décisions seul => bonnes ou mauvaises. Besoin de conseils.
Principe du conseil :demander à quelqu’un qui connaît l’informatique : risques, dangers, évaluer risque, pertes d’argent possibles.
Métier d’auditeur informatique récent. Avant on s’adressait à un expert (qqun qui a de l’expérience, qui connaît tout). Auditeur pas forcément expert => c’est quelqu’un qui pose des questions. Expert après plusieurs années d’expérience.
Différence entre auditeur et expert :
Expert :détient les connaissances, sait à l’avance si quelque chose va marcher ou non.
Auditeur : comparer un existant et un référentiel : fabrication d’un référentiel, ou utilisation de normes.
Différence entre menaces et risqué :
MENACES :vols d’informations, vols de logiciels
RISQUES :de paramètres maitrisables. Ex  dépendent : risque de panne du disque dur => minimisé en faisant des sauvegardes.
2 paramètres dans les risques :
·
·
la vulnérabilité :plus vulnérable en Tshirt qu’avec un gilet par balle
la sensibilité ::d’un élément ou d’une information. Numéro de compte en suisse  valeur très sensible, mais invulnérable parce que seul à le connaître (écrit nulle part).
2 types de risques :
·
·
structurels :désigne l’organisation de l’entreprise
accidentels : par définition, on ne sait pas quand ils vont arriver : vol, foudre etc. => externaliser les sauvegardes. Et en temps réel.
Les risques peuvent être :
·
·
acceptables :conséquence grave pour l’entreprise. Les utilisateurs ne s’en aucune rendent pas compte généralement.
courants, majeurs, inacceptables
2
RÉFÉRENTIEL SÉCURITÉ (M.HENR Y) :
Peuvent arriver : piratage, dégats des eaux, vol, malveillance
TOUTES LES MESURES A METTRE EN ŒUVRE POUR EVITER QU’IL ARRIVE DES CHOSES DESAGREABLES.
Système d’exploitation
ENVIRONNEMENT LOGICIEL :
Applications Windows, Unix (AIX, LINUX,SOLARIS …)
Dans systèmes d’exploitation, on voit apparaître la virtualisation : machines virtuelles sur machine physique.
Gestion des licences de logiciel :
o
Gendarme :
Copyright o Shareware o Freeware o
BAS (90% Microsoft)
Régularisation
Repression (procès)
Et avec les freeware ? Gestion du risque : que fait le freeware ?
Copyright ? quel recours ? pertes d’exploitation, responsabilités.
Relier des ressources distantes
ENVIRONNEMENT RESEAU :
Comment contrôler la confidentialité et l’intégrité des infos ?
Les préjudices auxquels on s’expose :
o
-visibles : virus, spywares, spybots …
Virus : pub, malveillance, espionnage
3
o
-invisibles :
Robustesse du réseau :
Pannes : liées au support, (pannes mécaniques pour les fibres optiques par exemple …), dégradation progressive des composants, vieillissement des composants (pas durée de vie infinie : 3 ans environ).
Malveillance :deni de service, écoutes non autorisées (attaques passives, notamment par le wifi)
Principe de liaison point à point sécurisée : très important. Ce qui sert pour transaction bancaire par exemple.
Pour parer aux éventuels problèmes :
Sauvegarde :
o
o o o
Totale : retrouver à l’identique le système de fichiers (date, nom des proprios, protecteurs …) ou p+ incrémentales : tous les fichiers modifiés depuis une certaine date.
Mois :sauvegarde totale
Semaine : incrémentale 1
Jour :incrémentale 2
Quelles données sauvegarder ?
Données utilisateur, granularité.
Stockage des medias ;
o
o
Bandes :température 20°, hydro : 50%. PROBLEME : la bande se colle, illisible au bout de 4 ans. Démagnétisation, Problème de standard => rafraichissement
Disque : Utiliser des disques externes, USB2 ou bien IEEE. Il faudra recopier sur disque dur de technologie plus récente régulièrement. Dans tous le cas, les stocker à distance des originaux.
Intervention sur un système informatique audité
o o o
Mission :obtenir des infos présentes dans un système.
fichiers
dates : ex : lettre antidatée,
-renseignements : ex : facture fictive …
4
1ère précaution :modification de l’original ?
Sauvegarde à titre conservatoire
Toujours utile ? non => déjà faite, sous forme de sauvegarde totale
Redondance ; copie binaire, l’identique des infos.
Obtenir une image à un instant donné.
o o o
Sous-système : sauvegarde totale sur bande ou ?
Totale : est ce que les preuves ont pu être effacées ?
Copie intégrale binaire
Granularité :
Granularité : espace de temps entre 2 sauvegardes
Granularité = 1h ds la journée => à conserver 1jour
Tous les jours sauvegarde à 18h. A conserver 7 jours. o Toutes les semaines, sauvegarde le dimanche à conserver 1 mois. o er , à garder 1an.Tous les mois, sauvegarde le 1 o Tous les ans => archive o Sur quel support ?
o
granularité faible => disque dur, clé usb
Le support est éloigné de l’original pour ne pas mettre tous les œufs dans le même panier => entreprise d’archivage dans des locaux sécurisés (mécaniquement : murs en béton armé), contrôles d’accès, protégés contre le feu, alarmes
5
DEMARC HE DE L’AUDIT INF ORMATIQU E (MME BOGATI):
PLAN DU COURS
PÉRIMÈTRE
·
·
·
Préalable à l’audit
Champs d’investiagtion
5 règles d’or clés
ETAPES ET OUTILS
·
·
·
Prise de connaissance générale
Rapports I et D
P et R
RÔLE DE L’AUDITEUR
·
·
·
Ses pré-requis
L’auditeur ne sait pas tout
Les cas difficiles
AUDIT DANS LE SI
·
·
·
·
AS et moyens techniques
AS RH
Les moyens financiers
AS des développements
Pour quelles raisons avons nous choisi de faire de l’audit ?
·············
Approche globale Ouverture relationnelle Approche de l’organisation Analyse et conseil S’écarter de dev et prog En rapport avec des personnes Suivre l’actualité Audit sécurité Correspond plus à ma personnalité Par simple contrôle / pas punition Pedagogique Aider l’entreprise à adapter des bonnes pratiques Déceler un futur pb
6
··
Pas dans le but de réprimander Plus ou moins solutions adaptées
Fabrication d’un référentiel
·
·
analyser l’existant
vérifier l’existant avec un « référentiel »
Méthodes d’investigation :
·
manuelles
o
o
exhaustives
sur mesure, outils de recherches standards
statistiques
Outils d’investigation :
Modes d’investigation (destructif ou non destructif)
RÉFÉRENTIEL 1 :
Environnement physique :
Les locaux
o
Local spécifique
o o o
contrôle d’accès : clés, badges
20°C/50% d’humidité
pas de poussière
Contrôle d’accès : de 3 personnes : clés, de plus de 3 personnes : badges
ADÉQUATION DE LA CONFIGURATION ; puissance CPU o nb de processeurs o *espace disque o *réseau o *clients légers o Alimentation électrique Alimentation Protection contre les sur tensions Chargeur=batterie=onduleur
7
Règles de l’audit :
ème 2 règle de l’auditeur : Un audit est toujours faisable.
Etapes de l’audit :
o
Faire un style de cahier des charges, devis, lettre de mission, etc = comment on va s’y prendre : pour cela, il faut que le client exprime ses besoins. On va définir le paramètre de l’étude, on va définir l’audit.
Interview, entretiens, (à planifier en terme de temps et de contenu) o Après l’entretien => analyse, réalisation de tableaux … o Recherches, documentation => audit pas expert o Finalité d’un audit :
Recommandations, formation,un rapport définitif(dc rapports intermédiaires à faire, pr bien se caler sur les attentes, pr informer aussi). Souvent présentation orale aussi. Le rapport doit mettre en avant les préconisations. Rapport agit comme une carte de visite laissée dans l’entreprise. Il doit être bien documenté (annexes : fiches techniques, coordonnées d’entreprises où acheter ce qui est préconisé etc.). Rapport concis. Rappel des différentes personnes rencontrées, des réunions effectuées, du planning prévisionnel et planning final, les tests mis en œuvre, leurs résultats, contrat qui nous lie à l’entreprise éventuellement.
On ne parle pas souvent de budget dès le départ. C’est au fur et à mesure que l’on avance.
8