SIE 2
description
Transcript of SIE 2
Lic
en
ce L
3 -
SIE
2 –
An
né
e 2
00
5
SIE 2
Séance 12
SIE 2SIE 2
Missions d’auditFormes et types
SIE
2 -
Séa
nce
12
Types de missionsTypes de missions
Techniquement, une mission d’audit informatique peut toucher tous les domaines d’un SI
On trouvera donc des missions orientées : Audit des logiciels
Audit du Service Informatique
Audit des contrats
Audit de la sous-traitance
Audit réseau
Etc.
L’un des audits les plus importants actuellement est l’audit de la sécurité informatique et de la qualité
Lic
en
ce L
3 -
SIE
2 –
An
né
e 2
00
5
SIE 2
Séance 12
Exemples de missions d’auditExemples de missions d’audit
1- Service informatique
2- Développement et maintenance logicielle
3- MPAQ (Méthode et plan assurance qualité)
4- Maintenance
SIE
2 -
Séa
nce
12
1 - Service informatique1 - Service informatique
Toute entreprise informatisée (partiellement ou totalement) se trouve dans l’une ou plusieurs de ces situations absence des services et de compétences ;
absence des services mais compétences internes ;
utilisation de service(s) informatique(s) interne(s).
Dans ce dernier cas, les axes d’études touchent : rôle du service et des membres ;
activité et relations avec les utilisateurs et décideurs ;
politique informatique de la direction et stratégie associée ;
budgets et finances.
SIE
2 -
Séa
nce
12
1.2 - Rôle du service1.2 - Rôle du service
Ils existent 4 pôles qui gravitent autour du service : la direction : résoudre et anticiper les attentes, besoins et
problèmes informatiques ;
les utilisateurs actuels : fournir les moyens, résoudre les problèmes,former et assister ;
les utilisateurs potentiels : répondre aux attentes et besoins ;
les prestataires : fournir des demandes claires et réalistes, assister et fournir les moyens nécessaires.
Ces 4 catégories de personnes en relation avec le service informatique, ayant des besoins différents, sont des sources de conflits et de tensions.
SIE
2 -
Séa
nce
12
1.3 - Exemple de questionnement1.3 - Exemple de questionnement
Existe-t-il une définition des missions du service?
Existe-t-il un organisme du service informatique et de sa position dans l’entreprise ? SI oui est-il à jour ? Quelles en sont les responsabilités et dépendances hiérarchiques connues - reconnues?
Existe-t-il une définition formelle des rôles et fonctions ?
Existe-t-il un organe de contrôle du service et de son activité ? Quel est son rôle exact ?
Existe-t-il une (ou des) règle(s) de remplacement et d’évolution dans les rôles et fonctions ?Ce pour faire face aux cas de figures tels que : absence, départ, évolution des missions, évolution des compétences, évolution des outils et moyens, etc.
SIE
2 -
Séa
nce
12
1.4 - Activités du service (extraits)1.4 - Activités du service (extraits)
Génie logiciel : veille technologique, spécification, production, tests, implémentation ;
Matériel : administration, investissement (recherche, sélection, proposition,
achat, ...), mise en oeuvre, évolution et remplacement / suivi des
performances ;
Maintenance : logiciel / matériel, préventive/curative, moyens internes (outils, locaux, personnes,
câblage, etc.) ;
Relation avec les utilisateurs : formation (des informaticiens et des utilisateurs) recueil des expressions de besoins, recherche des
besoins, etc. assistance, conseil recherches des compétences, définition des rôles
utilisateurs, mise en place de correspondants ;
Relation avec la direction : compte rendu et gestion du service, schéma directeur, politique informatique, politique sociale au sein du service
informatique ;
Relation avec les fournisseurs : recherche/sélection, contrat et cahier des charges, suivi et utilisation, gestions des conflits / légalisation ;
Sécurité : données, humaine, matérielle, logicielle, locaux, maintenance, communication.
Administration données, réseau, communication, serveurs, etc.
Références législatives
SIE
2 -
Séa
nce
12
2 – Développement logiciel2 – Développement logiciel
Exemple d’analyse du formalisme et des méthodes de développement : Cahier des charges
Cahier des spécifications techniques
Méthodes et outils de développement
Méthodes et protocoles de tests et recettes
Protocoles de maintenance, de contrôle et de suivi des logiciels
Protocoles d’installation et diffusion
Protocoles de formation des utilisateurs, des informations
Mise en expérience
Prise en compte des expressions de besoin, échanges avec les utilisateurs, demandeurs et décideurs
Etc.
SIE
2 -
Séa
nce
12
2.2 - Moyens matériels2.2 - Moyens matériels
Adaptation des moyens par rapport aux contraintes du cahier des charges (performances, délai,...) ;
Adaptation des moyens de développement à ceux d’exploitation ;
Pérennité du matériel par rapport aux développement à effectuer (évolution matériel et ses contraintes,...) ;
Contraintes imposées pour le matériel, prises en compte dans les développements ;
Intégrations des : coûts,
charges supportées/supportables,
assurance,
maintenance matérielle ;
Sécurité matérielle de développement
SIE
2 -
Séa
nce
12
2.3 - Moyens logiciels 2.3 - Moyens logiciels
AGL,
SGBD,
O/S traités et supportés,
Langages (L3G,L4G,L5G)
Outils spécifiques / internes,
Progiciels associées à des langages de développements,
Bibliothèques de développement,
Outils de maquettage,
Outils de prototypage,
Outils de documentation.
Etc.
Couverture par chaque outil de l’ensemble des besoins ?
Maîtrise de l’utilisabilité (utilisé, suivi,
évoluant,...) ; la maintenabilité (facilité
d’évolution, centre de réutilisabilité, portabilité ou adaptabilité,...) ;
la lisibilité (lecture de la fonctionnalité, des dépendances, du squelette, etc.)
la documentation (utilisateurs, maintenance, conception - programmation) à jour, archivée, accessible, lisible ;
l’adéquation qualité, Etc.
SIE
2 -
Séa
nce
12
3 – Assurance qualité informatique3 – Assurance qualité informatique
On s’inquiète dans cette phase d’audit des points suivants : Inscription de l’informatique au PAQ et au MAQ
Utilisation de méthodes et normes internes / externes ;
Formation, information et documentation;
Procédures de MOQ pour toute nouvelle activité, règle, version logicielle ou matérielle, etc.
SIE
2 -
Séa
nce
12
3.2 – Exemples de questionnement3.2 – Exemples de questionnement
Existe-t-il des méthodes ? Pour quels acteurs ? Pour quelle couverture de l’activité informatique (du cycle de vie système/logiciel) ?
Existe-t-il un nombre réduit de méthodes et outils employés (UML, OMT, M/2, POO, etc.) ?
Couverture avec recouvrement : les méthodes recouvrent plusieurs secteurs et / ou disposent de points de jonctions et d’échanges.
Existe-t-il des documents de synthèse d’utilisation de ces méthodes ?
Existe-t-il des outils informatiques ? (facilité/rapidité de réalisation, attrait, cadre obligatoire)
Existe-t-il des formations (sur les méthodes) ?
Utilise-t-on des méthodes connues et utilisées ?
Dans une entreprise, si des méthodes sont utilisées, on peut avoir : obligation d’usage (2 objectifs : certitude de forme et certitude de fond) ; simplification la méthode en utilisant des “recettes” (parfois maison) : éléments de
base de communication sans “blocage” de personnel (souvent pour l’extérieur); minimum vital d’étude pour “asseoir” un travail.
SIE
2 -
Séa
nce
12
4. Maintenance4. Maintenance
DEUX aspects de la maintenance : technique et organisationnel.
Sur le plan technique, on distinguera : Les niveaux : préventif, curatif,
Les tranches : matériel, logiciel, communications, sécurité, données.
Sur le plan organisationnel : remède aux incidents et pannes,
mise à niveau et « conservation » à niveau,
contrôle d’utilisation, de conformité, ...
optimisation, fiabilisation,
suivi des changements et parade aux incidents (actions de prévention)
délai d’intervention et de résolution des problèmes
mise en expérience et partage d’expérience
SIE
2 -
Séa
nce
12
4.2 – Exemple de questionnement4.2 – Exemple de questionnement
Possède-t-on un descriptif complet des éléments à maintenir (liste avec information, rôle,...) et leur état des lieux ?
Existe-t-il et utilise-t-on des règles de maintenance ?
Quels sont les documents de référence ? Comment sont-ils utilisés ? Corrigés ? Diffusés ? Etc.
Existe-t-il une veille technique et technologique ?
Existe-t-il des indicateurs de maintenance préventive ? Des plannings de cette maintenance ? Etc.
Gère-t-on les contrats externes ? Les coûts externes et internes ?
Le service et le domaine maintenance sont-ils inclus dans le PAQ ? Comment et par qui ? Quel service audite cela ?
Etc.
Lic
en
ce L
3 -
SIE
2 –
An
né
e 2
00
5
SIE 2
Séance 12
Cas particulierCas particulier
Audit de la sécurité informatique :
Présentation de la notion de sécurité informatique et des éléments associés
SIE
2 -
Séa
nce
12
SynthèseSynthèse
Revoir le 1° cours d’introduction
Un constat en terme de sécurité informatique est souvent fait ainsi : Les pertes informatiques sont le plus souvent pensées en
terme de « Pertes matérielles, de plus en plus souvent en Pertes de données, etc. », c’est à dire pertes directes
Mais on omet trop souvent les pertes indirectes qui en découlent …
• les pertes de trésorerie, de CA, d’affaires et contrats,
• les conséquences pénales et juridiques (par exemple dans un cas de fiducie de données),
• etc.
SIE
2 -
Séa
nce
12
Un état d’espritUn état d’esprit
La sécurité n’est pas une évidence; il faut étudier et penser aux risques possibles : Besoin de sauvegardes,
Risque d’intrusions, de vols, ou de diffusions,
Risque naturels,
Etc.
Et les pondérer : Tout le monde n’encourt pas les mêmes risques;
Les risques varient en fonction des périodes, de la configuration du système, du personnel, de la zone géographique, du métier, etc.
SIE
2 -
Séa
nce
12
Une réalité des pertesUne réalité des pertes
Coûts de remplacement, de réparation, d’expertise, dedéblaiement ou d’enlèvement, etc. des éléments matérielsCoûts de remplacement, de réparation, d’expertise, dedéblaiement ou d’enlèvement, etc. des éléments matériels
Coûts de remplacement, de réparation, d’expertise, dedéblaiement ou d’enlèvement, etc. des éléments immatérielsCoûts de remplacement, de réparation, d’expertise, dedéblaiement ou d’enlèvement, etc. des éléments immatériels
Mesures conservatoires permettant la remise en état dusystème en performances et fonctionnalités nécessaires, …Mesures conservatoires permettant la remise en état dusystème en performances et fonctionnalités nécessaires, …
Pertes de biens physiques (informatiques ou non), de fonds,savoir-faire, informations stratégiques, patrimoine, etc.Pertes de biens physiques (informatiques ou non), de fonds,savoir-faire, informations stratégiques, patrimoine, etc.
Pertes de marché, de marges, de revenus, de clients,d’image de marque, de contrats, etc.Pertes de marché, de marges, de revenus, de clients,d’image de marque, de contrats, etc.
RC suite aux préjudices causés à des tiers dans un cadrejuridique (enceinte géographique, juridique, technique,…)RC suite aux préjudices causés à des tiers dans un cadrejuridique (enceinte géographique, juridique, technique,…)
Qualitatives, réglementaires, normatives, déontologiques,juridiques, etc.Qualitatives, réglementaires, normatives, déontologiques,juridiques, etc.
MatériellesMatérielles
ImmatériellesImmatérielles
Frais suppl.Frais suppl.
Pertes biensPertes biens
Pertes expl.Pertes expl.
Resp. Civ.Resp. Civ.
AutresAutres
DIR
EC
TE
SD
IRE
CT
ES
IND
IRE
CT
ES
IND
IRE
CT
ES
SIE
2 -
Séa
nce
12
RisquesRisques
Risques A E M
Accidents
Erreurs
Malveillances
Conséquences DDP
Détériorations,
Dégâts,
Pertes.
Typologie définie au sein des méthodes MEHARI et
MARION développées par le CLUSIF (Club de la sécurité
informatique français)
SIE
2 -
Séa
nce
12
Sécurité et sûretéSécurité et sûreté
2 concepts liés au même titre que sécurité et qualité
Les informations (éléments essentiels du SI) se doivent d’être en mode DICP D comme disponibles
I comme intègres
C comme confidentielles
P comme pérennesP comme prouvées
La méthode d’audit COBIT ajoute des critèresqualité et fiduciaire :• efficacité• efficience• conformité• fiabilité
SIE
2 -
Séa
nce
12
Méthodes sécurités (quelques …)Méthodes sécurités (quelques …)
Nom de la méthode Cobit V3 CRAMM V4 Ebios 1.02 Mehari MV3
Caractéristiques
Analyse des risques Non Oui Oui Oui OuiAnalyse des vulnérabilités Non Oui Oui Oui OuiPlan de sécurité Non Oui Oui Oui OuiContrôle et vérification Oui Non Non Oui OuiBilan de sécurité Non Non Non Oui NonPérimètreAdapaté à toutes les tailles d'entreprises
Oui Oui Oui Oui Oui
Conçu pour des environnements technologiques variés
Oui Oui Oui Oui Oui
Outils
Scénarios de risques Non Oui Oui Oui OuiQuestionnaires Oui Oui Oui Oui OuiModèles (formulaires, grilles…) Oui Oui Oui Oui OuiLogiciel disponible Non Oui Non Oui Oui
GB FR
Source : étude comparative menée par le secrétariat du conseil du Trésor du Québec, en novembre 2001
Nota : depuis Melisa (M. Version 3) n’est plus maintenue ni diffusée
SIE
2 -
Séa
nce
12
Normes sécuritéNormes sécurité
ITSEC/ITSEM (Information technology security evaluation criteria / methodology)
Critères Communs/ CEM (Criteria Evaluation Methodology)
Reconnaissance mutuelle des certificats : accord européen
France, Allemagne, UK … au total 13 pays européens (tous niveaux)
13 pays Européens (tous niveaux)
Reconnaissance mutuelle des certificats : accord mondial
(aucun) 13 pays Européens + USA, Canada, Australie, Nvlle Zélande (niveaux EAL 1 à 4 uniquement)
Situation à ce jour ITSEC : Juin 1991 (bibliothèque de remise à jour annuelle)ITSEM : Juin 1995
CC Version 1.0 : 1996CC Version 2.0 : 1998CC Version 2.1(ISO15408) : 1999CEM Version 1.0 : 01/2000
Evolutions prévues Pas d’évolution au niveau du conceptSera maintenu par le centre français de certification (SCSSI , Service Central de Sécurité des Systèmes d’Information)
Pour s’assurer qu’un produit ou système fournit effectivement toutes les fonctions de sécurité nécessaires, il doit être soumis à une évaluation formelle basée sur des normes internationales rigoureuses et objectives définissant la méthodologie et les critères.
SIE
2 -
Séa
nce
12
Norme ISO 17799Norme ISO 17799
Aspects organisationnels
Politique de sécurité – organisation
• Veille
• Mesures d’audit
• Procédures
Recensement des actifs – conformité à la législation – sécurité du personnel
• Politique d’embauche
• Clauses de confidentialité, etc.
Continuité d’activité
Aspects logiques
Contrôle d’accès
• Gestion des droits et mots de passe
• Etc.
Développement et maintenance des systèmes – communication et management opérationnel
• Gestion des sauvegardes, des journaux, des erreurs
• Protection contre les codes « malicieux »
• Séparation des responsabilités
Aspects physiques
Sécurité physique et environnementale
• Périmètre de sécurité
• Contrôle d’accès physique
• Isolement des zones de livraisons et d’accès clients
• Alimentation électrique
• Obligation de rangement (bureau principalement)
• Etc.
SIE
2 -
Séa
nce
12
FINFIN