You are on page 1of 8

Normes d'audit des systmes informatiques nationaux :

Assurer le fonctionnement continu et la prvention d'un Systme d'Information n'est plus


aujourd'hui

considr

comme

un

simple

exploit

mais

c'est

une

ncessit.

Parmi toutes les tches qui incombent aux Responsables de la Scurit des Systmes
d'Information (R.S.S.I) dans les organismes privs ou publics, celle qui consiste btir une
politique de scurit cohrente prenant en compte les aspects humains, organisationnels et
juridiques est certainement la plus difficile. Une telle politique doit se baser sur une norme
bien spcifique. En effet, il existe de nombreuses normes et mthodes sur lesquelles se basent
les

missions

d'audit

de

la

scurit

des

systmes

informatiques.

Une norme (qui peut tre organisationnelle ou technique) a un objet souvent trs vaste et
s'appuie gnralement sur des concepts ou des notions gnrales. Le champ d'application de
chaque concept doit alors tre prcis, pour que la norme puisse tre applique efficacement.

ISO / IEC 27002 : Comparatif entre la version 2013 et la version 2005

La norme ISO 22301 le nouveau standard international de management de la


continuit de lactivit.
Cette norme est appele remplacer lactuel standard Britannique BS25999. La
continuit des oprations dans le cas dune perturbation due un sinistre majeur, est
une exigence fondamentale pour chaque organisation.

La norme 31000 fournit des principes et des lignes directrices gnriques sur la
gestion des risques.
Elle peut tre utilise par toute entreprise public ou prive, groupe ou titre
individuelle. Elle n'est pas spcifique une industrie ou un secteur, elle peut tre
applique, tout type de risque, tout au long de la vie d'une organisation, et un large
ventail d'activits, y compris les stratgies et les dcisions, les oprations, les
processus, les fonctions, les projets, les produits, les services et les actifs. Il est prvu
que l'ISO 31000 est utilise pour harmoniser la gestion des risques dans les normes
existantes et venir. Elle fournit une approche commune l'appui des normes de
matrise des risques et ne les substitue pas. L'ISO 31000:2009 n'est pas destine des
fins de certification.

La norme 31010 est un logo double IEC/ISO, soutenant les normes pour l'ISO 31000
et fournit des orientations sur la slection et l'application systmatique des techniques
d'valuation des risques. Cette norme n'est pas destine la certification, l'utilisation
rglementaire ou contractuelle.

La Norme 27001 : La norme 27001 reprsente la nouvelle famille de normes de


scurit informatique. Il s'agit d'une srie de normes spcifiquement rserves par ISO
pour des sujets de scurit de l'information. La norme 27001 est naturellement, aligne

avec un certain nombre d'autres matires, y compris ISO 9000 (gestion de qualit) et
ISO 14000 (gestion environnementale). La srie de normes 2700X est la famille
relative la scurit informatique, l'ISO 27001 fait partie et c'est la seule norme de
certification en matire de scurit. La norme 27001 a t publie en 2005 et elle
reprsente une nouvelle version du standard BS 7799 partie 2.

La Norme ISO 27002 Information Security management - Code of practice for


information Security management (anciennement appele ISO 17799). Reconnue
comme un standard international, la norme ISO 27002 est devenue le rfrentiel de
bonnes pratiques de scurit et des contrles lis

La Norme ISO 27003 se concentre sur les aspects essentiels ncessaires pour la
conception et la mise en uvre russie d'un systme de scurit de l'information
(SMSI) en conformit avec la norme ISO / IEC 27001:2005

La Norme ISO 27004 La norme ISO/IEC 27004:2009 fournit des lignes directrices
sur le developpement et l'utilisation des mesures afin d'valuer l'efficacite du systeme
de gestion de la scurit d'information (SMSI) et des controles misent en place,
comme spcifi dans la norme ISO/IEC 27001.

La Norme ISO 27005 La norme ISO 27005 fixe un cadre pour la gestion des risques
de scurit de l'information. Elle fournit ainsi les conditions respecter par toute
dmarche mthodologique. S'y conformer permet de garantir que les principes
communment reconnus ont t appliqus. La norme constitue une rfrence utile
pour les faire respecter, sans prjuger des mthodes et outils ncessaires pour les
mettre en oeuvre.

La Norme BS 7799 La norme BS7799 a t publie pour la premire fois par le


"British Standard Institute" en 1995. Son objectif est de permettre la mise en place
dans l'entreprise un systme de management de la scurit de l'information ou SMSI
(ISMS ou Information Security Management System)

La Norme ISO 15408 Ne en 1996, la norme ISO 15408 (galement baptise


Common Criteria ou Critres Communs ) permet d'avoir une assurance de
scurit sur des critres prcis pour un produit ou un systme (matriel de scurit,
firewall, mcanisme de cryptologie..)

ISO 15443 "A framework for IT security assurance" (Cadre pour l'assurance de la
scurit informatique)

ISO 15446 "Guide on the production of protection profiles and security targets"
(Aspect de production pour les profils de protection et cibles scuritaires)

ISO 18028 "Network security" (Scurit des rseaux)

ISO 18043 "Guidelines for the implementation, operations and management of IT


Intrusion Detection Systems (IDS)"
Directives pour l'implmentation, le traitement et la gestion des systmes de dtection
d'intrusion. (IDS)

ISO 18044 "Security incident management" (La gestion des incidents de scurit)

ISO 18045 "Methodology for IT security evaluation" (Mthodologie pour l'valuation


de la scurit des Technologies d'information)

Mthodologies d'audit de la scurit informatique


La mission d'audit de la scurit est une opration qui englobe divers volets ayant des
relations directes avec le systeme d'information touchant les facteurs humains,
organisationnel, technique, physique, environnemental et voir meme des facteurs de qualit,
ce qui rend l'opration d'audit assez complexe et assez vaste. Cet aspect a oblig les auditeurs
a dvelopper des dmarches claires et exhaustives pour couvrir toute l'opration d'audit. Ces
dmarches sont traduites sous forme de mthodologies dfinissant des mthodes claires et
efficaces pour la mission. Les mthodologies se sont gnralises pour offrir une sorte de
standard pouvant etre un support aux auditeurs.
Les mthodes d'audit de la scurit informatique sont a la base d'une politique efficace et, bien
souvent, des choix actionnels de gestion des risques.
Les mthodes doivent leur succes croissant a leur souplesse: elles peuvent etre appliques
a des socits de toute taille, dans tout domaine d'activit.
Il existe en ce moment plusieurs mthodologies d'audit prives et publiques dont :
La plus ancienne de ces mthodes s'appelle MARION (Mthodologie d'Analyse de Risques
Informatiques Oriente par Niveaux). labore par le CLUSIF (Club de la Scurit des
Systemes d'Information Franais), elle a surtout t applique dans les annes 1980 et 1990. L
'entreprise audite se soumet a un certain nombre de questionnaires dbouchant sur diffrentes
notes de 0 a 4 (en tout, 27 indicateurs rpartis en 6 catgories) valuant sa performance a la
fois par rapport a un standard - jug satisfaisant - mais aussi par rapport aux autres entreprises
ayant procdes a l'audit. Il existe en ce moment plusieurs mthodologies d'audit dont :
1. Mthodologies issues d'institutions gouvernementales

EBIOS Expression des Besoins et Identification des Objectifs de


Scurit
Expression des Besoins et Identification des Objectifs de Scurit.
La mthode EBIOS (Expression du Besoin et Identification des Objectifs de

Scurit) a t labore par la DCSSI (Direction Centrale de la Scurit des


Systemes d'Information) en france.
Elle est particulierement dploye au sein de l'administration franaise.
Elle comprend une base de connaissances qui dcrit les types d'entits, les
mthodes d'attaques, les vulnrabilits, les objectifs de scurit et les
exigences de scurit. Elle propose galement un recueil des meilleures
pratiques sur l'laboration de schmas directeurs SSI, la rdaction de
profils de protection, de cibles de scurit et de SSRS (System-specific
Security Requirement Statement).
La mthode se veut un outil de gestion des risques SSI mais aussi de
sensibilisation, de ngociation et d'arbitrage. Elle est tlchargeable sur le
site de la DCSSI et s'accompagne d'un logiciel d'assistance, distribu sous
licence libre.
Les rsultats de la mthode EBIOS peuvent etre exploits dans le cadre
d'une FEROS (Fiche d'Expression Rationnelle des Objectifs de Scurit),
document cr par la DCSSI (Direction centrale de la scurit des
systemes d'information) qui dpend, elle aussi, des services du Premier
Ministre. Ce document est obligatoire pour les systemes traitant
d'informations classes "dfense".
Il prsente l'ensemble des objectifs de scurit du systeme tudi et les
risques rsiduels, mais aussi la dmarche et l'argumentation qui a permis
de les identifier. Ainsi, apres avoir extrait certaines donnes (systeme
tudi, besoins de scurit, menaces, risques...) en provenance d'une
tude EBIOS, la fiche FEROS permet de rorganiser et de classer les
objectifs de scurit et de dfinir les responsabilits qui doivent - ou ne
doivent pas - etre engages. La mthode EBIOS (Expression du Besoin et
Identification des Objectifs de Scurit) a t labore par la DCSSI
(Direction Centrale de la Scurit des Systemes d'Information) en france.

ITIL (IT Infrastructure Library)


ITIL , un rfrentiel international dicts par l'Office public britannique du commerce,
dfinissant les meilleures pratiques troitement lies a l'application de la norme ISO 17799
pour la scurisation de l'infrastructure informatique, vient de rpondre aux besoins des
entreprises qui cherchent a amliorer l'efficacit du systeme d'information, rduire les risques,
augmenter la qualit et l'volutivit des services IT dlivrs.
Le rfrentiel ITIL suit une dmarche d'amlioration itrative des processus composant les
services IT, il met en place plusieurs moyens pour la dfinition des processus et leurs
interactions, la dfinition des rles et des responsabilits, l'organisation des relations clientsfournisseurs et la dfinition des moyens de contrle des rsultats obtenus.
ITIL comporte 6 modules principaux :

Service Support : support aux utilisateurs.

Service Delivery : gestion du service.

Software Asset Management : gestion des logiciels.

ICT Infrastructure Management : contrle des processus.

Application Management : gestion des projets.

Security Management : gestion de la scurit.

CRAMM
La mthode CRAMM est un outil complet d'valuation des risques qui est
entirement conforme avec la chane de BS7799 et 17799. Elle est
compltement reconstruite par Insight Consulting pour devenir un toolkit
total de scurit de l'information qui inclut un outil complet d'valuation
des risques. Elle comprend des outils d'aide pour soutenir des directeurs
de scurit de l'information pour crer rapidement les politiques de
scurit de l'information ainsi que d'autres outils relatifs a la
documentation.
CRAMM est une mthode de gestion du risque lourde, exhaustive,
exhaustif (plus de 3000 commandes de scurit rfrences aux risques
appropris et ranges par les outils essentiels d'efficacit et de cout pour
aider a raliser la certification ou la conformit a BS7799) Cette mthode
est donc, adapte a de grosses entreprises uniquement (il y a 550 clients
dans le monde).

FEROS Fiche d'Expression Rationnelle des Objectifs de Scurit


Dveloppe par le SCSSI, Feros n'est pas une mthode a proprement parler
mais un document permettant a une autorit donne (secteur secret
dfense notamment) de dfinir le niveau d'engagement de sa
responsabilit dans l'application d'une politique de scurit.

Dmarche d'audit
Un audit de scurit consiste valider les moyens de protection mis en uvre sur les plans
organisationnels, procduraux et techniques, au regard de la politique de scurit en faisant
appel un tiers de confiance expert en audit scurit informatique.
L' audit de scurit conduit, au del du constat, analyser les risques oprationnels pour le
domaine tudi, et par la suite proposer des recommandations et un plan d'actions
quantifies et hirarchises pour corriger les vulnrabilits et rduire l'exposition aux risques.
L'quipe qui intervient dans une mission d'audit doit tre compose de consultants et
d'ingnieurs experts dans leurs domaines, elle est toujours dirige par un chef de projet,
responsable des oprations et des livrables.
Audit organisationnel de scurit:
L'objectif d'un audit organisationnel de scurit est d'tablir un tat des lieux complet et
objectif du niveau de scurit de l'ensemble du systme d'information sur les plans
organisationnels, procduraux et technologiques. Cette phase peut couvrir l'organisation

gnrale de la scurit : (rglementation, procdures, personnel), la scurit physique des


locaux (lutte anti-incendie, contrle des accs, sauvegarde et archivage des documents),
l'exploitation et administration (sauvegarde et archivage des donnes, continuit du service,
journalisation ), les rseaux et tlcoms (matriel (routeurs, modems, autocommutateur..),
contrle des accs logiques, lignes et transmission), les systmes (poste de travail, serveur,
logiciels de base, solution antivirale) et les applications (mthodes de dveloppement,
procdures de tests et de maintenance,..).
Au cours des runions effectues au sein de l'organisme audit, l'auditeur dfinit le primtre
de laudit et les personnes interviewes et planifie ses interventions. Pour mener bien cette
phase, l'auditeur applique une mthodologie d'audit et d'analyse de risques "formelle"
(Marion, Mehari, Melisa, Ebios...) comme il peut adapter ces mthodes selon les besoins de
l'organisme ou suivre une dmarche propritaire personnalise et simplifie.
L'valuation du niveau de scurit s'tablit partir des entretiens avec les personnes
interviewes et de l'analyse des ressources critiques et des documents fournis. Les
vulnrabilits identifies lors des prcdentes tapes seront rapproches des menaces pouvant
survenir dans le contexte technique et fonctionnel, objet de l'audit. Rduire les risques revient
soit agir sur les vulnrabilits, soit essayer de rduire l'impact qu'aurait l'exploitation d'une
vulnrabilit par une menace conformment la formule :
Risque = Menace * Impact * Vulnrabilit.
A l'issue de cette phase, l'auditeur propose les recommandations pour la mise en place des
mesures organisationnelles et d'une politique scuritaire adquate, il peut galement prsenter
une prsentation de la synthse de la mission avec pour objectif de sensibiliser sur les risques
potentiels et les mesures mettre en ouvre.
L'audit technique:
s'effectue en trois phases:

Phase d'approche:
Pour valuer le niveau de scurit d'un rseau, il faut d'abord le connatre. Pour la
reconnaissance de l'architecture du systme, l'auditeur reoit des informations
inventories par l'quipe informatique locale afin de vrifier le plan d'adressage IP et
ventuellement la stratgie de mise en uvre de DHCP et de NAT. Il utilise ensuite de
multiples outils de traage du rseau et des passerelles, afin de dtecter les stations,
routeurs et firewalls du rseau et des outils de traages des frontires externes du
rseau : passerelles externes (routeurs et firewalls) et connexions modems pour
dterminer les primtres extrieurs du rseau. Il utilise galement les informations
disponibles partir des ventuels services SNMP et des serveurs de noms locaux ou

Internet.
Multiples outils de l'open source sont utiliss pour l'identification de la topologie
rseau comme Cheops, traceroute et tcptraceroute.
Au cours de cette phase, l'auditeur effectue des tests de sondage rseau et systme
pour dterminer les services rseau, les types d'applications associes et de leur mises
jour, les partages rseau et les mesures de scurit mises en ouvre. Les outils de scan
de l'open source les plus utiliss sont Nmap, Nsat, knocker, Blaster Scan. Il effectue
galement des tests de sondage des flux rseaux pour analyser le trafic, identifier les
protocoles et les services prdominant au niveau du rseau audit, le taux d'utilisation
ainsi que les flux inter-stations. Les outils open source utiliss sont : Ntop, Bing, Iptraf
et Network Probe.
Avant d'aborder la phase d'analyse des vulnrabilits des systmes, l'auditeur identifie
les serveurs ; serveurs de fichiers, de backup, de logs, NIS, et autres serveurs
d'applications et de donnes importants puis utilise un ensemble d'outils afin de suivre
leur tat, leur activit et leur performances et inspecter les moyens de contrle d'accs
et de leur stratgie d'administration.

Phase d'analyse des vulnrabilits:


Au cours de cette phase, l'auditeur dtermine, l'aide des rsultats obtenus l'tape
prcdente, les vulnrabilits potentielles et des outils ncessaires leur exploitation.
En pratique, l'auditeur teste la rsistance du systme face aux failles connues, via une
analyse automatise des vulnrabilits, ainsi il tablit pour chacune le type des
applications et des services concerns.
Nessus est un exemple d'outil de test automatique de vulnrabilits, il offre des
rapports volus sur les degrs des vulnrabilits et les risques qu'imposent des failles
dtectes sur le systme audit. Sara, Whisker, Webserver, fingerprinting, karma et
Tnscmd.pl sont d'autres exemples d'outils d'analyse de vulnrabilits des serveurs de
donnes & d'applications.

Phase de tests intrusifs:


L'objectif des tests intrusifs est d'expertiser l'architecture technique dploye et de
mesurer la conformit des configurations quipements rseaux, firewall,
commutateurs, sondes , etc. avec la politique de scurit dfinie et les rgles de l'art en
la matire. Les tests d'intrusion sont raliss aprs autorisation explicite du client et
reposent sur un ensemble de scnarios d'attaques expertes (pntration, intrusion, etc..)
mis en uvre pour compromettre un systme d'information. Raliss de manire
rcurrente, les tests d'intrusion permettent de valider priodiquement le niveau de

scurit du systme d'information et d'en mesurer les variations.


Les tests d'intrusion commencent par une phase de collecte des informations
disponibles publiquement, sans interagir avec l'environnement cible puis il s'agit de
localiser et caractriser les composants cibles (systmes d'exploitation et services
applicatifs, positionnement des quipements les uns par rapport aux autres, types de
dispositifs de scurit mis en ouvre, etc.); c'est la phase de cartographie de
l'environnement cible et enfin il s'agit d'exploiter les vulnrabilits mises en vidence
pendant les phases prcdentes de faon a obtenir un accs " non autoris " aux
ressources