Securite S6

6- Audit de sécurité
Sécurité Informatique
Filière : GI2
Prof. Nabil KANNOUF
UAE – ENSAH
18 avril 2022
Plan
1 Concepts généraux relatifs aux audits de Sécurité SI
Objectifs des audits de sécurité SI
Classification des audits
Référentiels relatifs à la sécurité des Systèmes d’Information
2 Les domaines d’audit de la sécurité SI
Audit Organisationnel et Physique
Audit Technique de sécurité
3 Démarche et bonnes pratiques de l’audit
Phase de déclenchement et de préparation de l’audit
Phase d’exécution de l’audit et analyse des constats
Clôture de l’audit
4 Exigences relatives à la prestation d’audit
Exigences relatives au prestataire d’audit
Exigences relatives aux auditeurs
6.1- Concepts généraux relatifs aux audits de Sécurité SI

Introduction
Définition
L’audit selon la norme ISO 19011 :2011 est « un processus systématique, indépendant
et documenté en vue d’obtenir des preuves d’audit et de les évaluer de manière objective
pour déterminer dans quelle mesure les critères d’audit sont satisfaits ».
En ce qui concerne le domaine de la sécurité des systèmes d’information (SSI),

B l’audit permet de mettre en évidence les faiblesses et les vulnérabilités organisationnelles
et/ou techniques du système d’information et de déterminer des axes d’amélioration
visant à augmenter le niveau de sécurité.
Pour mener un programme d’audit,

B il convient de bien définir
? les besoins,
? le périmètre,
? ainsi que l’implication des différents acteurs concernés.
6.1.1- Objectifs des audits de sécurité SI

Un audit de sécurité SI peut être réalisé pour répondre à des besoins différents,
notamment :
B Evaluer le niveau de maturité du SI en terme de sécurité suite à la demande du

commanditaire d’audit ;
B Vérifier l’efficacité de la politique de sécurité du SI mise en place ;
B Tester l’installation d’un nouvel élément dans le SI ;
B Analyser et réagir suite à une attaque ;
B Tester la résistance du SI par la simulation des attaques dans des conditions réelles ;
B Se certifier (par exemple ISO 27001) ;
B etc.
Une mission d’audit de sécurité SI ne permet que de trouver les vulnérabilités liées
au SI et de proposer des actions correctives à travers un ensemble de vérifications
et de contrôles.
B A l’issue de la mission, le prestataire d’audit livre un rapport détaillé pour mettre en
évidence les écarts et les non-conformités trouvés.
B Un plan d’action contenant les mesures à mettre en œuvre par priorité est établi,
partagé et validé avec l’organisme audité.
Il faut distinguer entre l’audit et l’analyse de risques.

B Cette dernière permet d’apprécier les risques identifiés liés à la sécurité afin de les
traiter.
? accepter, transférer, éviter, réduire, etc.
B Le risque est un concept dynamique qui dépend de la menace, de la vulnérabilité, de
l’impact (sur la disponibilité, confidentialité, intégrité) et de la probabilité d’occurrence.
6.1.2- Classification des audits

Classification des audits
Les audits peuvent être classifiés en trois catégories :
Les audits internes (appelés aussi audits de 1ère partie) sont réalisés pour les organismes
souhaitant que leur système d’information soit examiné par rapport à des
exigences de sécurité de système d’information. Ces audits sont établis par
des auditeurs internes ou externes à l’organisme.
Les audits externes (appelés aussi audits de 2ème partie) sont commandités par des entités
ayant un intérêt à l’égard de l’organisme audité, dans le but d’évaluer le
niveau de sécurité du système d’information de ce dernier. Ces audits sont
établis par des organismes d’audit externes.
Les audits de certification (appelés aussi audits de tierce partie) sont réalisés pour les
organismes qui souhaitent faire reconnaître que la sécurité de leur système
d’information est conforme aux exigences comme celles de l’ISO/CEI 27001.
Ces audits sont établis par des organismes externes généralement accrédités.
6.1.3- Référentiels relatifs à la sécurité des Systèmes d’Information

Référentiels relatifs à la sécurité des Systèmes d’Information

Les référentiels de la sécurité des systèmes d’information constituent l’ensemble
des normes,des méthodes et de bonnes pratiques permettant de fournir un moyen
d’assurance d’une démarche sécuritaire cohérente.
Parmi ces référentiels, on peut citer :
B La Directive Nationale de la Sécurité des Systèmes d’Information (DNSSI)
B La suite ISO/CEI 27000
B L’ISO/IEC 27001
B L’ISO/IEC 27002
B L’ISO/IEC 27005
B L’ISO/IEC 27006
B CobiT (Control Objectives for Information and Related Technology)
B ITIL (Information Technology Infrastructure Library)
B EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité)
B MEHARI (Méthode Harmonisée d’Analyse de Risques)
B OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation)
6.2- Les domaines d’audit de la sécurité SI

Introduction
L’audit de sécurité SI représente une activité complexe qui couvre l’ensemble des
composants du système d’information.
Il consiste à évaluer le niveau de sécurité et à proposer les moyens de correction

adaptés.
Cette évaluation concerne les domaines suivants :

1 Audit Organisationnel et Physique ;
2 Audit Technique de sécurité.
6.2.1- Audit Organisationnel et Physique


L’audit organisationnel et physique permet de faire un état des lieux complet de la
sécurité du SI et d’en identifier les dysfonctionnements et les risques potentiels.
Il permet ainsi de couvrir l’ensemble du SI de l’organisme et de détecter les carences
liées aux différents processus de gestion et d’organisation de la sécurité.
Durant cet audit les éléments suivants peuvent être abordés :
Politiques de sécurité de l’information : Cette section met l’accent sur la nécessité
de la mise en place, et révision régulière d’une politique de sécurité de
l’information.
Organisation de la sécurité de l’information : Cette section définit un cadre de ges-
tion et d’approbation de la politique de sécurité, et traite les aspects
contractuels liés à la sécurisation des accès au système d’information
par les tiers.

Sécurité des ressources humaines : Cette section donne des recommandations pour
réduire le risque d’erreur ou de fraude favorisant la formation et la
sensibilisation des utilisateurs sur les menaces affectant la sécurité de
l’information, ainsi que les comportements à adopter pour protéger
l’information.
Gestion des actifs : Cette section décrit la nécessité d’inventorier et de classifier
les actifs informationnels de l’organisme, dans le but d’identifier les
besoins et le niveau de protection adapté à ces actifs.
Contrôle d’accès : Cette section définit les mesures pour gérer et contrôler les accès
à l’information afin d’assurer la protection des systèmes en réseau.
Elle couvre également la sécurité de l’information lors de l’utilisation
d’appareils mobiles.

Cryptographie : Cette section traite les mesures visant à protéger la confidentialité
et l’intégrité de l’information par des moyens cryptographiques.
Sécurité physique et environnementale : Cette section définit les mesures pour pro-
téger les lieux et les locaux de l’organisme contre les accès non autorisés,
et pour minimiser les dommages causés par les menaces environne-
mentales. Elle traite également la sécurité des matériels afin de réduire
les menaces liés aux risques de vol, et de fuites d’information.
Sécurité liée à l’exploitation : Cette section définit les mesures permettant d’assu-
rer une exploitation correcte et sécurisée des moyens de traitement de
l’information (protection contre les logiciels malveillants, maitrise des
logiciels en exploitation, et gestion des vulnérabilités techniques).

Sécurité des communications : Cette section définit les mesures d’une part, pour
assurer la protection des informations sur les réseaux et la protection
de l’infrastructure sur laquelle ils s’appuient, et d’autre part, pour
maintenir la sécurité des informations et des logiciels échangés au sein
de l’organisme et avec une entité extérieure.
Acquisition, développement et maintenance des systèmes d’information : Cette sec-
tion traite les spécifications requises pour assurer la sécurité des sys-
tèmes d’information tout au long de leur cycle de vie.
Relations avec les fournisseurs : Cette section définit les mesures permettant de
gérer les prestations de service assurées par des tiers.

Gestion des incidents liés à la sécurité de l’information : Cette section met l’accent
sur la nécessité de la mise en place des procédures pour la détection
et le traitement des incidents de sécurité.
Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité :
Cette section décrit les mesures pour mettre en œuvre un plan de
continuité de l’activité qui vise à minimiser les impacts causés par les
catastrophes naturelles et les pannes matérielles sur l’organisme, afin
d’assurer une reprise dans les meilleurs délais.
Conformité : Cette section traite le respect des réglementations et des obligations
légales, ainsi que la conformité des procédures et des mesures de
sécurité mises en place avec la politique et les normes de sécurité.

L’audit organisationnel et physique permet de procéder à la vérification de la
conformité et de la pertinence des mesures déployées par rapport à la politique de
sécurité de l’organisme, à un référentiel, à une norme ou à des procédures.
B D’une manière générale, il convient de définir les référentiels de sécurité à respecter lors de
l’audit en tenant compte des exigences et des attentes des responsables de l’organisme audité.
B Cependant, les administrations, les organismes publics et les infrastructures d’importance
vitale doivent s’assurer à minima de la conformité de leur SI avec la DNSSI.
Pour mener à bien cette phase, une analyse de risques doit être menée.
B Il convient de choisir la méthode la plus adaptée au contexte selon les besoins de l’organisme
ou suivre une démarche personnalisée et simplifiée.
L’audit organisationnel et physique est considéré comme étant un audit de premier
niveau, il ne s’agit pas d’une analyse technique profonde, mais plutôt d’un exercice
de questions/réponses.
B En effet, cette phase repose sur l’utilisation de questionnaires adaptés au contexte de l’or-
ganisme audité, des interviews, ainsi que sur l’analyse des ressources et des documents
fournis.
6.2.2- Audit Technique de sécurité

Audit Technique de sécurité

L’audit technique de sécurité est une évaluation permettant d’analyser en profondeur
le système d’information pour identifier les vulnérabilités techniques éventuelles.
Remarque
Il est recommandé de faire précéder l’audit technique par un audit organisationnel afin d’identifier les
points critiques du système d’information nécessitant une étude exhaustive.
Ci-après les activités qui peuvent être réalisées lors d’un audit de sécurité technique :
1 Audit des vulnérabilités infrastructure et système

2 Audit d’architecture réseau
3 Audit de configuration
4 Tests d’intrusion
5 Audit applicatif
Audit des vulnérabilités infrastructure et système
L’objectif de l’audit des vulnérabilités infrastructure et système est de réaliser les

tests permettant de ressortir les faiblesses et les failles techniques sur les systèmes,
les applications et les équipements réseaux.
Il permet ainsi de proposer un plan de remédiation avec des actions correctives.

L’audit des vulnérabilités se déroule en deux phases :
Phase de découverte des vulnérabilités : cette phase consiste à effectuer des tests automatisés à
l’aide d’outils spécifiques qui s’appuient en général sur une base de failles connues
(scanners des vulnérabilités systèmes, scanners des vulnérabilités applicatives et
web, etc.) pour détecter les éventuelles vulnérabilités du système d’information.
Phase d’analyse des vulnérabilités : cette phase consiste à analyser les vulnérabilités identifiées
lors de la première phase afin de proposer les actions de remédiation en cohérence
avec les pratiques et les exigences de sécurité adoptées au sein de l’organisme
audité.
Audit d’architecture réseau

Cette activité d’audit a pour vocation d’analyser l’architecture réseau existante afin
de déterminer les éléments pouvant nuire à la sécurité.
B Elle consiste à étudier la topologie du réseau, ainsi que les hôtes et les équipements
d’interconnexion.
L’audit d’architecture repose sur l’analyse de la documentation du réseau et la

réalisation des sondages en utilisant des outils de traçage et de découverte.
L’objectif étant de s’assurer du respect des bonnes pratiques et des recommandations
en matière de sécurité quant à l’emplacement des actifs réseaux et sécurité, le
cloisonnement, l’échange des flux, les réseaux sans fil, etc.
Remarques
L’audit d’architecture peut être étendu aux interconnexions avec des réseaux tiers, et notamment Internet.
L’audit d’architecture ne peut pas être dissocié de l’audit de configuration car il permet de traiter les points
névralgiques de l’architecture du système d’information.
Audit de configuration
L’audit de configuration repose sur une évaluation technique de la configuration des

composants du système d’information afin de s’assurer que les mesures de sécurité
déployées respectent les bonnes pratiques en matière de sécurité.
Les audits de configuration peuvent s’effectuer sur tout type d’élément informatique
B équipements réseaux, systèmes d’exploitation, logiciels, applications, bases de données,

etc.
en utilisant des outils appropriés d’analyse de configuration.

Tests d’intrusion
Le concept des tests d’intrusion repose sur l’exploitation des failles identifiées afin de
mesurer l’impact réel sur la sécurité du système d’information de l’organisme audité.
Ces tests simulent des scénarios d’attaques préparés à l’avance dans des conditions
réelles.
L’objectif est de tester la résistance du système d’information aux attaques infor-

matiques provenant de l’intérieur ou de l’extérieur du réseau de l’organisme (ex :
réseau internet).
Les tests d’intrusion externes : permettent d’évaluer la capacité d’un attaquant
externe à pénétrer le réseau interne de l’organisme audité ;
Les tests d’intrusion internes : permettent d’évaluer l’impact d’un acte malveillant
mené de l’intérieur du réseau de l’organisme audité.
Tests d’intrusion
Généralement, ces tests s’effectuent selon les étapes suivantes :

B Reconnaissance du périmètre à auditer ;
B Recherche des vulnérabilités ;
B Mise en œuvre des attaques (exploits) ;
B Mesure de l’impact ;
B Proposition de recommandations et correctifs.
Tests d’intrusion
Les tests d’intrusion peuvent être conduits selon plusieurs approches :

Approche en boite noir : Le testeur ne dispose d’aucune connaissance préalable de
l’environnement avant l’attaque ;
Approche en boite grise : le testeur dispose de connaissances partielles de l’envi-
ronnement à auditer ;
Approche en boite blanche : le testeur dispose de toutes les informations qui lui
permettent d’examiner l’architecture complète et non pas juste la
surface d’attaque directement visible.
Remarque
Afin d’éviter des conséquences liées aux éventuels dysfonctionnements sur un environnement de production, il
est préférable de réaliser les tests d’intrusion qui peuvent causer l’arrêt du système ou l’altération des données
critiques sur un environnement de test ou pré-production.
Audit applicatif
L’audit applicatif permet d’évaluer le niveau de sécurité des applications déployées

au niveau du système d’information de l’organisme audité.
Cet audit peut se faire selon plusieurs approches dont l’audit du code applicatif qui
consiste à examiner les vulnérabilités liées au code source d’une application.
Cette activité exige l’implication d’un auditeur expert du langage de programmation

utilisé dans le développement de l’application.
Remarque
D’une manière générale, le périmètre de l’audit de sécurité d’un système d’information peut ne pas intégrer toutes
les activités citées ci-dessus.
6.3- Démarche et bonnes pratiques de l’audit

Introduction
Cette section présente un ensemble de recommandations relatives au déroulement

de la mission d’audit en se basant sur la norme ISO 19011 :2011.
Cette dernière fournit des lignes directrices sur l’audit de systèmes de management
B comprenant les principes de l’audit,
B le management d’un programme d’audit,
B la réalisation d’audits de systèmes de management.
Une mission d’audit se déroule généralement selon les phases suivantes :

1 Phase de déclenchement et de préparation de l’audit ;
2 Phase d’exécution de l’audit et analyse des constats ;
3 Clôture de l’audit.
6.3.1- Phase de déclenchement et de préparation de l’audit


Une mission d’audit Sécurité SI débute, sur demande du commanditaire au profit de
l’organisme audité, par l’établissement d’une lettre de mission rédigée et signée par
le demandeur.
B Dans certains cas l’organisme audité peut être lui-même le commanditaire d’audit.
Le prestataire d’audit doit nommer un responsable d’audit qui sera en mesure de

communiquer avec l’organisme audité.
B Le responsable d’audit doit avoir un premier contact avec l’organisme audité qui peut
être formel ou informel afin de définir les objectifs de l’audit, le périmètre et les critères
d’audit, discuter les circuits de communication et les ressources.
Une équipe d’audit doit être formée en fonction du périmètre de l’audit et en prenant
en considération les compétences nécessaires pour atteindre les objectifs de l’audit.
L’organisme audité doit fournir au prestataire d’audit la documentation nécessaire

pour appréhender le périmètre de l’audit.

Une convention d’audit doit être établie entre le commanditaire d’audit et le
prestataire d’audit au début de la mission et doit être validée et signée par les deux
parties prenantes.
Cette convention doit :

B Contenir les informations relatives à chaque partie prenante dans la mission d’audit :
? Noms, Responsabilités et Rôles ;
B Arrêter le périmètre de l’audit et ses modalités ;

? livrables, objectifs, jalons, portée, durée etc.
B Arrêter les critères d’audit ;

? politique de sécurité, normes, référentiels, etc.
B Présenter les objectifs de l’audit ;

B Présenter les objectifs de l’audit ;
Cette convention doit :

B Préciser l’engagement de l’organisme audité à présenter les documents susceptibles
d’aider l’équipe de l’audit à accomplir sa mission ;
B Déterminer des moyens de communication ;
? moyens de contacts, interlocuteurs, etc.
B Déterminer les moyens et la logistique nécessaires à l’exécution et à la réussite de

l’audit ;
? dispositions logistiques, ressources matérielles, ressources humaines, etc.
B Arrêter les critères d’audit ;

? politique de sécurité, normes, référentiels, etc.
B Inclure des clauses de confidentialité nécessaires pour la conduite du projet d’audit.


À ce niveau le prestataire d’audit entame la phase de préparation de l’audit.
B Il doit établir le plan de charge d’audit qui couvre les objectifs de l’audit, le périmètre,
les critères d’audit, la démarche à suivre pour l’exécution de la mission, les activités à
effectuer, le planning prévisionnel d’exécution des travaux, etc.
Les membres de l’équipe d’audit doivent préparer la stratégie de tests selon le point
de contrôle à auditer, à savoir :
B Revue documentaire ;
B Questionnaires/checklists :
? Basés sur les critères prédéfinis en plus des checklists des contrôles techniques ;
B Entretiens :
? Planifier des entretiens qui seront menés avec les interlocuteurs de l’organisme audité ;
B Immersions sur site :
? visite sur site afin d’auditer le comportement professionnel face aux situations de
quotidien ;
B Scénarios de tests techniques.
6.3.2- Phase d’exécution de l’audit et analyse des constats

Phase d’exécution de l’audit et analyse des constats - Réunion d’ouverture
L’exécution de l’audit commence par une réunion d’ouverture tenue entre le com-
manditaire d’audit, l’organisme audité et le prestataire.
B Son but est de valider le plan de charge d’audit préétablit, exposer le planning pré-
visionnel de l’audit, présenter les activités d’audit qui seront menées, confirmer les
circuits de communication, et fournir des clarifications sur les éventuelles ambiguïtés
existantes.
B Suite à cette réunion, un compte rendu doit être rédigé.
Les livrables de cette phase :

1 Plan d’assurance qualité ;
2 Note de cadrage ;
3 Planning prévisionnel.
Phase d’exécution de l’audit et analyse des constats - Exécution de l’audit
Cette phase consiste à exécuter les différents tests planifiés lors de la phase de
préparation, notamment :
B L’équipe d’audit effectue des entretiens avec les interlocuteurs de l’organisme audité.
? Des immersions (des observations d’activités) sont recommandées si les informations
recueillies lors des entretiens sont insuffisantes.
? Si nécessaire l’auditeur peut demander des preuves appuyant les informations fournies
par l’audité.
B L’auditeur procède à une analyse d’écart entre les preuves fournies et les critères d’audit
afin de générer ses constats.
? Ces constats sont soit une conformité soit une non-conformité aux critères d’audit.
B Le responsable d’audit doit immédiatement tenir au courant l’audité de tout élément

constituant un risque majeur et lui proposer des solutions urgentes pour y remédier.
Phase d’exécution de l’audit et analyse des constats - Exécution de l’audit
Cette phase consiste à exécuter les différents tests planifiés lors de la phase de
préparation, notamment :
B Suite à chaque entretien ou immersion, un compte rendu doit être soumis au comman-
ditaire d’audit et son contenu doit être validé avec l’organisme audité.
B Les constats d’audit doivent être documentés et tracés par le prestataire d’audit.
B Le commanditaire d’audit doit effectuer régulièrement le point avec le prestataire
d’audit et l’organisme audité afin de s’informer de l’état d’avancement de l’audit et
des différents obstacles rencontrés.
Remarque
Les modifications appliquées sur le système d’information audité doivent être tracées. En fin de mission
d’audit, le système d’information ne doit pas être moins sécurisé que l’état initial.
Phase d’exécution de l’audit et analyse des constats - Enregistrements de la
phase d’exécution
Les documents résultant de la phase d’exécution doivent être soigneusement archivés.
Ces documents se déclinent comme suit :

B Les comptes rendus validés et signés par les interlocuteurs de l’organisme audité ;
B Les fiches d’écart dûment remplies. Une fiche d’écart comporte essentiellement :
? Les constats des auditeurs ;
? Les recommandations ;
? Les engagements et/ou actions proposés par l’organisme audité ;
? Les commentaires des auditeurs relatifs au point précédent.
B Une grille d’évaluation des niveaux de maturité par rapport aux objectifs de sécurité
initialement définis doit être remplie ;
Les documents résultant de la phase d’exécution doivent être soigneusement archivés.
Ces documents se déclinent comme suit :

B Les relevés techniques, à savoir :
? Les fichiers contenant les résultats des scans de sécurité ;
? Le rapport d’analyse des vulnérabilités ;
? Les échantillons du trafic capturé.
B Les résultats des tests techniques d’audit sont composés principalement de :

? La liste des vulnérabilités (réseaux, systèmes, applicatives, etc.) ;
? La liste des anomalies de configuration des équipements (configuration des firewalls et
des équipements réseaux).
Les enregistrements de la phase d’exécution de l’audit doivent être évalués, analysés

et consolidés par l’équipe d’audit.
Cette consolidation est réalisée à travers les actions suivantes :

B Présentation des constats fiables et pertinents, formulés clairement, de manière syn-
thétique ;
B Validation des conclusions d’audit ;
B Préparation des recommandations ;
B Définition des modalités de suivi d’audit.
6.3.3- Clôture de l’audit

Le prestataire d’audit doit rédiger le rapport d’audit et doit être responsable de son
contenu.
B Une réunion de clôture de l’audit est prévue pour présenter le rapport d’audit à la
Direction de l’organisme audité et pour répondre aux éventuelles questions qui peuvent
se poser.
B Il convient que l’audité et le commanditaire d’audit y prennent part.
B Les constats et les conclusions d’audit présentés doivent être bien compris et acceptés
par l’audité.
Le rapport d’audit doit être émis dans les délais prédéterminés.

B En cas de retard, il est recommandé de communiquer au commanditaire d’audit les
raisons du retard et de fixer une date d’émission.
B Le rapport d’audit doit être diffusé auprès des parties désignées par le commanditaire
d’audit.
B Le rapport d’audit doit rester confidentiel.
B La mission d’audit est achevée suite à la réalisation de l’ensemble des actions définies
dans le plan de charge d’audit et suite à la diffusion du rapport final d’audit.
Remarque
Les conclusions d’audit peuvent contenir des actions correctives à exécuter après la fin de l’audit. Dans
ce sens, la convention d’audit peut exiger aux auditeurs le suivi de la mise en œuvre des actions
élaborées sur la base des recommandations de l’audit. L’état d’avancement de la mise en place des
actions correctives est rapporté au commanditaire de l’audit.
Livrables de la phase de clôture :

B Le rapport d’audit de la sécurité qui englobe :
? Les résultats des différentes activités réalisées ;
? Le plan de recommandations global et les prérequis pour leur mise en œuvre.
Il faut noter que les livrables d’une mission d’audit doivent être discutés et fixés au
début de la mission.
Ils englobent généralement les documents suivants :
B Une politique de sécurité ;
B Une charte d’utilisation des ressources SI ;
B Une matrice et cartographie des risques SI ;
B Un cahier des charges des solutions retenues ;
B Un manuel des procédures SI ;
? procédure d’inventaire des biens, procédure de gestion des accès physiques, procédure
de sauvegarde, etc.
B Etc.
6.4- Exigences relatives à la prestation d’audit

Introduction
Au vu de la criticité des prestations d’audit de la sécurité des systèmes d’information,
B et afin de s’assurer de la compétence des prestataires qui les réalisent,

B cette partie liste un ensemble d’exigences à respecter par les prestataires d’audit de
sécurité SI,
B ainsi que par les auditeurs.
Elles portent sur les domaines législatifs, organisationnels et techniques.

6.4.1- Exigences relatives au prestataire d’audit

Exigences relatives au prestataire d’audit

Le prestataire d’audit doit accompagner l’audité dans sa démarche de sécurisation
de son système d’information via une évaluation méthodique de l’efficacité des
processus de sécurité déjà en place en vue de leur amélioration.
B Pour ce faire, le prestataire d’audit aura accès à des informations sensibles liées à la
sécurité du système d’information de l’organisme audité.
B Il est donc important de s’assurer de l’objectivité, la responsabilité, le respect des lois en
vigueur, l’intégrité du prestataire et sa capacité à protéger les données de l’organisme
audité ainsi que de la bonne gestion de ses ressources.
On trouve des exigences suivantes :
1 Exigences générales
2 Exigences relatives à la responsabilité du prestataire d’audit
3 Exigences relatives aux lois et réglementations en vigueur
4 Exigences relatives à la déontologie du prestataire d’audit
5 Exigences relatives à la protection des données de l’organisme audité
6 Exigences relatives à la gestion des ressources humaines du prestataire d’audit
7 Exigences relatives à la sous-traitance
Exigences relatives au prestataire d’audit - Exigences générales
Les exigences suivantes portent sur la structure juridique du prestataire d’audit, son
expérience et sa démarche d’audit :
B Le prestataire d’audit doit être une personne morale dotée d’une personnalité juridique,
il sera tenu responsable de ses activités d’audit ;
B Le prestataire d’audit doit avoir des références connues sur le marché relatives à des
prestations d’audit similaires ;
B Le prestataire d’audit doit avoir un contrat de travail avec ses auditeurs ;
B Le prestataire d’audit doit proposer au commanditaire une offre technique et financière
faisant ressortir sa capacité à réaliser les activités de l’audit aux moyens de compétences
adéquates, et selon une méthodologie et un plan de réalisation déterminés ; Le prestataire
doit réaliser les activités d’audit dans le cadre d’une convention d’audit préalablement
approuvée par le commanditaire.
Exigences relatives au prestataire d’audit - Exigences relatives à la responsabilité du
prestataire d’audit
La convention d’audit doit traiter des modalités de partage des responsabilités entre
le prestataire d’audit et l’organisme audité. Cependant, il est recommandé que le
prestataire d’audit garde la responsabilité des actions qu’il effectue, en particulier si
l’organisme audité ne dispose pas des compétences nécessaires, dans tous les cas :
B Le prestataire doit évaluer le niveau de risque de ses activités et mettre en place les
dispositions appropriées pour les prendre en charge ;
B Le prestataire assume la responsabilité de l’audit notamment concernant les éventuels
dommages qui pourraient subvenir au cours de l’audit. Ceci doit être clairement décrit
dans la convention d’audit ;
B Les méthodes et outils techniques utilisés dans le cadre de l’audit doivent impérative-
ment être validés entre le commanditaire et le prestataire. Il est de la responsabilité du
prestataire d’informer l’audité sur les risques liés à ces outils ;
B Le prestataire d’audit s’assure de la sécurité et la confidentialité de ses interactions
avec le commanditaire de l’audit.
Exigences relatives au prestataire d’audit - Exigences relatives aux lois et
réglementations en vigueur
Le prestataire doit respecter la législation en vigueur au Maroc, notamment en ce qui

concerne le traitement des données à caractère personnel (la loi 09-08), la propriété
intellectuelle et les fraudes informatiques.
Exigences relatives au prestataire d’audit - Exigences relatives à la déontologie du
prestataire d’audit
Pour mener à bien une mission d’audit, le prestataire d’audit doit respecter un
ensemble d’exigences et de règles relatives à l’éthique professionnelle, il s’agit
notamment des exigences suivantes :
B Le prestataire d’audit doit présenter la preuve et les références suffisantes afin d’étayer
les informations qu’il fournit pour appuyer sa candidature, notamment en termes de
publicité ;
B Le prestataire d’audit s’engage à mener son activité de façon impartiale et doit prouver
qu’aucun conflit d’intérêt ne pourrait fausser le résultat de l’audit ;
B Le prestataire d’audit se doit d’être loyal, de bonne foi et respectueux envers l’organisme
audité ainsi que son personnel ;
B Le prestataire d’audit doit disposer d’une charte d’éthique décrivant les principes
auxquels ses auditeurs doivent se conformer. Cette charte doit être signée par l’ensemble
des auditeurs intervenant dans la mission d’audit.
Exigences relatives au prestataire d’audit - Exigences relatives à la protection des
données de l’organisme audité
Le prestataire d’audit aura accès à des informations sensibles liées au fonctionnement

et à la sécurité du système d’information de l’organisme audité, il est alors tenu de
respecter les exigences de confidentialités ci-après :
B Le prestataire doit présenter son engagement de confidentialité à l’organisme audité ;
B Le prestataire d’audit ne doit communiquer aucune information concernant l’organisme
audité au public ni à une tierce partie sans le consentement formel de l’organisme
audité ;
B Il est de la responsabilité du prestataire de garantir que le circuit de production des
documents liés à l’audit est sécurisé ;
? poste de travail, circuit de validation interne, impression des documents, sauvegarde des docu-
ments, destruction des documents, etc.
B Le prestataire d’audit doit impérativement avoir une politique de diffusion de documents
selon leur niveau de confidentialité. Tous les documents résultant de l’audit doivent
avoir une diffusion restreinte aux personnes concernées par l’audit ;
B Le prestataire d’audit doit mettre en place un système sécurisé pour le partage des
livrables avec l’organisme audité.
Exigences relatives au prestataire d’audit - Exigences relatives à la gestion des
ressources humaines du prestataire d’audit
Le prestataire d’audit doit constituer l’équipe d’audit en tenant compte des compé-
tences nécessaires pour réussir sa mission. Il doit :
B Mettre à contribution suffisamment d’auditeurs expérimentés pour assurer totalement
les activités d’audit pour lesquels il s’est engagé ;
B S’assurer du maintien à jour des compétences de ses auditeurs via un cursus de
formation continue et de veille technologique ;
B Vérifier l’authenticité et la pertinence des formations, des qualifications et des références
de ses auditeurs ;
B Établir un processus disciplinaire dissuasif en cas d’enfreinte aux règles de sécurité ou
à la charte d’éthique ;
B S’assurer que la palette des compétences de l’équipe désignée pour l’audit répond
aux besoins de l’organisme audité. La palette de compétences à couvrir pour un
audit de sécurité de système d’information, en fonction du périmètre de l’audit, porte
globalement sur quelques aspects.
Exigences relatives au prestataire d’audit - Exigences relatives à la sous-traitance
Le prestataire peut sous-traiter une partie de l’audit à certaines conditions :

B Le prestataire doit se conformer aux dispositions de l’article 158 du décret n 2.12-349
du 08 Joumada I 1434 (20 mars 2013) relatif à la sous-traitance dans le cadre des
marchés publics ;
B Une convention ou un cadre contractuel doit être établi entre le prestataire et le
sous-traitant ;
B La sous-traitance doit être connue et acceptée par l’audité ;
B Le sous-traitant doit être signataire de la charte d’éthique et de l’engagement de
confidentialité du prestataire.
Le sous-traitant est soumis aux mêmes exigences susmentionnées, au même titre

que le prestataire.
6.4.2- Exigences relatives aux auditeurs

Exigences relatives aux auditeurs
Afin de réussir sa mission d’audit, le prestataire doit mettre à contribution des

auditeurs compétents dans les domaines de la sécurité des systèmes d’information.
B Ces auditeurs sont la clé du succès de cette mission, ils doivent répondre à certaines
exigences et avoir les qualités et les compétences nécessaires pour réaliser l’audit.
B Les auditeurs doivent maitriser la méthodologie de l’audit, les normes et les techniques
relatives à la sécurité des systèmes d’information.
On distingue des exigences suivantes :

1 Qualités personnelles
2 Compétences
3 Parcours académique et professionnel
4 Déontologie
5 Critères de sélection des prestataires d’audit
Exigences relatives aux auditeurs - Qualités personnelles
L’auditeur doit avoir les qualités personnelles décrites au chapitre 7.2 de la norme
19011, à savoir :
B Intégrité (justice, honnêteté, sincérité, discrétion) ;
B Ouverture d’esprit (capable d’envisager des idées ou points de vue alternatifs) ;
B Diplomatie (ayant le tact nécessaire pour aborder et discuter des sujets sensibles pour l’organisme
audité) ;
B Sens de l’observation (en observation active et permanente de l’environnement audité) ;
B Perspicacité (capable de comprendre facilement les différentes situations et tirer les bonnes conclu-
sions) ;
B Polyvalence (capable de s’adapter aux différents environnement et situations) ;
B Ténacité (pour atteindre les objectifs de l’audit) ;
B Sens de l’initiative et de prise de décisions ;
B Autonomie.
L’auditeur doit être doté de qualités pédagogiques afin de communiquer ses recom-
mandations de manière compréhensible aux différentes parties auditées ;
L’auditeur doit être doté de qualité rédactionnelle et de synthèse ;
L’auditeur doit pouvoir adapter son discours et exposer ses recommandations selon
le public visé (équipes techniques, top management, équipes métier, etc.).
Exigences relatives aux auditeurs - Compétences
Afin de mener à bien leurs missions d’audit, les auditeurs doivent couvrir un ensemble
de compétences relatives aux audits de manière générale (détaillées dans la norme
ISO 19011), ainsi que des compétences spécifiques aux audits de sécurité SI, à
savoir :
B Les principes, procédures et méthodes de l’audit : pour veiller à ce que l’audit soit mener de façon
cohérente est systématique.
B L’auditeur doit maitriser les réglementations applicables aux activités d’audit en tenant compte de
l’activité de l’audité et du type d’audit à effectuer ;
B L’auditeur doit maitriser les réglementations et les normes applicables aux audits de sécurité SI ainsi
que les règles de sécurité qui constituent la DNSSI ;
B L’auditeur doit disposer idéalement des certifications ad-hoc (en particulier certification ISO/CEI
27001, CISA, CISM, CEH, Etc.) et il doit justifier d’une expérience d’audit dans le domaine ;
B L’auditeur doit avoir des compétences dans au moins une des activités de l’audit, il doit cependant
être sensibilisé par rapport aux autres activités ;
B L’auditeur doit s’assurer du maintien à jour de ses compétences via un cursus de formation continue
et de veille technologique ;
B Le responsable de l’équipe d’audit doit avoir des compétences en gestion d’équipe.
Exigences relatives aux auditeurs - Parcours académique et professionnel
L’auditeur doit avoir une formation en technologies des systèmes d’information et

de communication ;
L’auditeur doit avoir une expérience dans le domaine de la sécurité des systèmes
d’information ;
L’auditeur doit nécessairement justifier d’une expérience d’au moins 3 années dans
le domaine d’audit des systèmes et de la sécurité des systèmes d’information.
Exigences relatives aux auditeurs - Déontologie
Les auditeurs sont également soumis aux exigences d’éthique professionnelle. Ces
exigences doivent êtres détaillées dans la charte d’éthique du prestataire d’audit
auquel les auditeurs se rapportent. Elles concernent les principes suivants :
B L’auditeur doit signer l’engagement de confidentialité présenté par le prestataire d’audit ;
B L’auditeur doit signer la charte d’éthique du prestataire ;
B Dans le cadre de la mission d’audit, l’auditeur doit se conformer aux méthodes, outils
et techniques qui ont été validés par le prestataire et acceptés par l’organisme audité ;
B Sauf accord ou demande expresse de l’organisme audité, l’auditeur se refuse toute
tentative d’intrusion dans le système d’information audité, ou exploitation des failles
mises en évidence au travers des activités d’audit ;
B L’auditeur ne doit pas communiquer des informations obtenues dans le cadre de l’audit,
y compris aux autres auditeurs du prestataire non concernés par ledit audit ;
B L’auditeur doit signaler au commanditaire tout contenu illicite découvert spendant
l’audit.
Exigences relatives aux auditeurs - Critères de sélection des prestataires d’audit
Le choix du prestataire d’audit doit faire l’objet d’une étude minutieuse.

B Il convient donc d’établir des critères d’évaluation afin de quantifier les exigences citées auparavant
à permettre au commanditaire de l’audit la classification des prestataires selon une échelle objective.
B Le but étant de trier les offres techniques selon une note qui sera attribuée à chaque candidat en
application d’un barème de notation ventilé selon les trois critères cités ci-après.
Le premier critère de sélection consiste à étudier les références du prestataire dans

le domaine des audits SSI.
B Dans ce sens, il convient de considérer son expérience dans l’audit des SSI ainsi que le nombre de
missions menées par ce prestataire au cours des trois dernières années dans la réalisation de prestations
similaires.
Le deuxième critère est articulé sur la qualité de la méthodologie proposée par le

prestataire, ainsi que le programme de réalisation des prestations d’audit SSI.
B Il est recommandé de noter l’offre selon sa conformité aux termes de références du cahier des pres-
criptions spéciales (CPS) et sa valeur ajoutée par rapport aux exigences du commanditaire d’audit.
B Ainsi, le commanditaire doit s’assurer de l’adéquation de la démarche et de la méthodologie choisies
avec les objectifs tracés de la mission d’audit.
Exigences relatives aux auditeurs - Critères de sélection des prestataires d’audit
Le troisième critère traite les connaissances et les compétences de l’équipe d’audit.

B Il s’agit des profils choisis par le prestataire pour mener cette mission, notamment le chef de projet
d’audit, les consultants spécialistes en management de la SSI, les consultants techniques spécialistes
en SSI ainsi que des experts juridiques justifiant de l’expérience nécessaire en Sécurité des SI.
B La sélection doit être effectuée en se basant sur le diplôme, le nombre d’années d’expérience dans
des prestations similaires ainsi que le nombre et la nature des certifications obtenues.
Par conséquent, il convient de favoriser tout profil ayant une formation au minimum
de Bac+5 (Bac + 8 pour les juridiques) et justifiant d’une expérience au minimum
de huit ans dans des prestations similaires, et possédant un certain nombre de
certifications reconnues mondialement dans son domaine d’intervention.
D’une manière générale, la note globale (NG) de la sélection est obtenue par
pondération de la note technique (NT) et la note financière (NF) issue d’une
analyse financière des offres. (Ex : NG= 0.7NT + 0.3NF).
B L’offre retenue sera celle qui aura obtenu la note globale NG la plus élevées.
Fin de Séance
Vos Questions ?

Securite S6

Transféré par

Droits d'auteur :

Formats disponibles

Securite S6

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Securite S6

Transféré par

Droits d'auteur :

Formats disponibles

6- Audit de sécurité

Prof. Nabil KANNOUF

6.1- Concepts généraux relatifs aux audits de Sécurité SI

En ce qui concerne le domaine de la sécurité des systèmes d’information (SSI),

Pour mener un programme d’audit,

6.1.1- Objectifs des audits de sécurité SI

Objectifs des audits de sécurité SI

B Evaluer le niveau de maturité du SI en terme de sécurité suite à la demande du

Objectifs des audits de sécurité SI

Il faut distinguer entre l’audit et l’analyse de risques.

6.1.2- Classification des audits

Classification des audits

Les audits peuvent être classifiés en trois catégories :

6.1.3- Référentiels relatifs à la sécurité des Systèmes d’Information

Référentiels relatifs à la sécurité des Systèmes d’Information

6.2- Les domaines d’audit de la sécurité SI

Il consiste à évaluer le niveau de sécurité et à proposer les moyens de correction

Cette évaluation concerne les domaines suivants :

6.2.1- Audit Organisationnel et Physique

Audit Organisationnel et Physique

Audit Organisationnel et Physique

Audit Organisationnel et Physique

Durant cet audit les éléments suivants peuvent être abordés :

Audit Organisationnel et Physique

Durant cet audit les éléments suivants peuvent être abordés :

Audit Organisationnel et Physique

Durant cet audit les éléments suivants peuvent être abordés :

Audit Organisationnel et Physique

6.2.2- Audit Technique de sécurité

Audit Technique de sécurité

1 Audit des vulnérabilités infrastructure et système

Audit des vulnérabilités infrastructure et système

L’objectif de l’audit des vulnérabilités infrastructure et système est de réaliser les

Il permet ainsi de proposer un plan de remédiation avec des actions correctives.

Audit d’architecture réseau

L’audit d’architecture repose sur l’analyse de la documentation du réseau et la

L’audit de configuration repose sur une évaluation technique de la configuration des

B équipements réseaux, systèmes d’exploitation, logiciels, applications, bases de données,

en utilisant des outils appropriés d’analyse de configuration.

L’objectif est de tester la résistance du système d’information aux attaques infor-

Généralement, ces tests s’effectuent selon les étapes suivantes :

Les tests d’intrusion peuvent être conduits selon plusieurs approches :

L’audit applicatif permet d’évaluer le niveau de sécurité des applications déployées

Cette activité exige l’implication d’un auditeur expert du langage de programmation

6.3- Démarche et bonnes pratiques de l’audit

Cette section présente un ensemble de recommandations relatives au déroulement

Une mission d’audit se déroule généralement selon les phases suivantes :

6.3.1- Phase de déclenchement et de préparation de l’audit

Phase de déclenchement et de préparation de l’audit

Le prestataire d’audit doit nommer un responsable d’audit qui sera en mesure de

L’organisme audité doit fournir au prestataire d’audit la documentation nécessaire

Phase de déclenchement et de préparation de l’audit

Cette convention doit :

B Arrêter le périmètre de l’audit et ses modalités ;

B Arrêter les critères d’audit ;

B Présenter les objectifs de l’audit ;

Phase de déclenchement et de préparation de l’audit

Cette convention doit :

B Déterminer les moyens et la logistique nécessaires à l’exécution et à la réussite de

B Arrêter les critères d’audit ;