Vous êtes ici :   Accueil » Concept de sécurité
 
Prévisualiser...  Imprimer...  Imprimer la page...
Prévisualiser...  Imprimer...  Imprimer la section...
!Introduction
Technique
Outils
Base de connaissances
Visites

 1574536 visiteurs

 3 visiteurs en ligne

Contact

Notre site
griessenconsulting-Tag-Qrcode.png

info@griessenconsulting.ch

ch.linkedin.com/in/thierrygriessenCISA

Neuchâtel, Suisse


Mes coordonées
griessenconsulting-Tag-Vcard-OK.png

Crée votre Code

Concept de sécurité soutenu par CISA Isaca.org

Audit informatique

http://fr.wikipedia.org/wiki/Audit_informatique
L'audit informatique (en anglais Information technology audit ou IT audit) a pour objectif de s'assurer que les activités informatiques d'une entreprise ou d'une administration se déroulent conformément aux règles et aux usages professionnels, appelés de manière traditionnelle les bonnes pratiques. On va pour cela s'intéresser aux différents processus informatiques comme la fonction informatique, les études informatiques, les projets informatiques, l'exploitation, la sécurité informatique,… L'audit informatique consiste à évaluer le niveau de maturité de l'informatique de l'entreprise.

On peut vouloir aller plus loin et s'intéresser à l'évaluation des systèmes d'information et non plus seulement à l'informatique. C'est le domaine de l'audit des applications. Ainsi dans le cas d'une application comptable on va s'attacher à vérifier l'intégrité des données comptables, la disponibilité de l'application, s'assurer qu'elle répond aux besoins des comptables et que le système comptable s'interface efficacement avec les autres systèmes de gestion de l'entreprise.

Le travail de l'auditeur consiste à observer le domaine audité, à analyser les faits observés, à écouter les explications des audités et, sur la base de ces constats, de porter un jugement sur le domaine fonctionnel audité en se basant sur des référentiels largement reconnus comme :

  • CobiT : Control Objectives for Information and related Technology. C'est le principal référentiel des auditeurs informatiques,
  • Val IT permet d'évaluer la création de valeur par projet ou par portefeuille de projets,
  • Risk IT a pour but d'améliorer la maîtrise des risques liés à l'informatique,
  • CobiT and Applications Controls.

Voir les sites de l'ISACA.org et de l'AFAI.org

Mais on peut aussi utiliser d'autres référentiels comme :

  • ISO 27002 qui est un code des bonnes pratiques en matière de management de la sécurité des systèmes d'information,
  • CMMi : Capability Maturity Model integration qui est une démarche d'évaluation de la qualité de la gestion de projet informatique,
  • ITIL qui est un recueil des bonnes pratiques concernant les niveaux et de support des services informatiques.

Audit de la sécurité informatique

L'audit de la sécurité informatique a pour but de donner au management une assurance raisonnable du niveau de risque de l'entreprise lié à des défauts de sécurité informatique. En effet, l'observation montre que l'informatique représente souvent un niveau élevé pour risque élevé de l'entreprise. On constate actuellement une augmentation de ces risques liée au développement d'Internet. Ils sont liés à la conjonction de quatre notions fondamentales :

  1. en permanence il existe des menaces significative concernant la sécurité informatique de l'entreprise et notamment ses biens immatériels,
  2. le facteur de risque est une cause de vulnérabilité due à une faiblesse de l'organisation, des méthodes, des techniques ou du système de contrôle,
  3. la manifestation du risque. Tôt ou tard le risque se manifeste. Il peut être physique (incendie, inondation) mais la plupart du temps il est invisible et se traduit notamment par la destruction des données, détournement de trafic,..
  4. la maîtrise du risque. Il s'agit de mettre en place des mesures permettant de diminuer le niveau des risques notamment en renforçant les contrôle d'accès, l'authentification des utilisateurs,…

Pour effectuer un audit de sécurité informatique il est nécessaire de se baser sur quelques objectifs de contrôle. Les plus courants sont :

  • repérer les actifs informationnels de l'entreprise. Ce sont des matériels informatiques, des logiciels et des bases de données. Il est pour cela nécessaire d'avoir des procédures de gestion efficaces et adaptées,
  • identifier les risques. Il doit exister des dispositifs de gestion adaptés permettant de surveiller les domaines à risque. Cette surveillance doit être assurée par un RSSI, un responsable de la sécurité informatique,
  • évaluer les menaces. Le RSSI a la responsabilité de repérer les principaux risques liés aux différents domaines du système d'information. Un document doit recenser les principales menaces,
  • mesures les impacts. Le RRSI doit établir une cartographie des risques associés au système d'information. Il est alors envisageable de construire des scénarios d'agression et d'évaluer les points de vulnérabilité,
  • définir les parades. Pour diminuer le niveau des risques il est nécessaire de prévoir les dispositifs comme des contrôles d'accès, le cryptage des données, le plan de secours,…

Il existe de nombreux autres objectifs de contrôle concernant l'audit de la sécurité informatique qui sont choisis en fonction des préoccupations et des attentes du demandeur d'audit.

Ces différents objectifs de contrôle correspondent aux processus de CobiT DS 5 : "Assurer la sécurité des systèmes" et PO 9 "Evaluer et gérer les risques". Il existe un référentiel spécifique à la sécurité informatique : ISO 27002. C'est un code des bonnes pratiques concernant le management de la sécurité des systèmes d'information. Il est complété par la norme ISO 27001 concernant la mise en place d'un Système de Management de la sécurité de l'Information.
 


Catégorie : !Introduction - Services
Précédent  
  Suivant