Professional Documents
Culture Documents
PrMagloireLANHA AudiInformatique2024c
PrMagloireLANHA AudiInformatique2024c
ELYTH® INSTITUTE™
http://www.elyth.net https://www.facebook.com/elythinstitute
AUDIT INFORMATIQUE
Chapitre 1 – Généralités1
L'audit informatique (en anglais Information Technology Audit ou IT Audit) a pour objectif d’identifier
et d’évaluer les risques (opérationnels, financiers, de réputation notamment) associés aux activités
informatiques d'une organisation (entreprise, administration, etc.). À cette fin, l’audit va se baser sur
le cadre réglementaire du secteur d’activité du pays concerné (exemple le CRBF 97-02 pour une
banque française), sur les référentiels de bonnes pratiques existants (exemple le référentiel CobiT),
sur les benchmarks à disposition et sur l’expérience professionnelle des auditeurs impliqués.
Il existe deux grandes catégories d’audit. La première comporte les audits globaux d'entité durant
lesquels toutes les activités ayant trait aux systèmes d’informations sont évaluées. La seconde
catégorie correspond aux audits thématiques, ayant pour objectif la revue d’un thème informatique
au sein d’une entité (la gestion de projet, la sécurité logique par exemple).
L’audit n’est pas à confondre avec l’activité de conseil qui vise, de manière générale, à améliorer
le fonctionnement et la performance d'une organisation avec une éventuelle implication dans la mise
en œuvre de cette amélioration. Ces deux activités, audit et conseil, ne peuvent être exercées pour
une entité donnée par les mêmes acteurs afin de ne pas créer une situation favorable aux conflits
d’intérêts.
1
Wikipédia et ChatGPT
Audit informatique : Principes - Outils - Concepts - Conseil. 3
1. Évaluation des Risques Informatiques : Identifier, évaluer et atténuer les risques liés à la
sécurité informatique, aux erreurs de traitement, aux pannes matérielles, aux catastrophes
naturelles, etc.
3. Intégrité des Données : Garantir l'intégrité, l'exactitude et la fiabilité des données stockées
et traitées par les systèmes informatiques. https://implbits.com/
6. Gestion des Identités et des Accès : S'assurer que les droits d'accès aux systèmes et aux
données sont correctement attribués et contrôlés.
7. Audit des Processus Métier : Examiner les processus métier automatisés pour garantir leur
efficacité, leur intégrité, et leur conformité aux normes établies.
9. Audit des Systèmes et Réseaux : Examiner la configuration des systèmes, la sécurité des
réseaux, les paramètres de pare-feu, etc., pour identifier les vulnérabilités potentielles.
10. Évaluation de la Performance : Évaluer les performances des systèmes informatiques pour
garantir une utilisation optimale des ressources. KPI
Note : Il est essentiel d'adapter ces objectifs en fonction des besoins spécifiques de
l'organisation et de l'évolution constante du paysage informatique. L'audit informatique
moderne doit être proactif, axé sur les risques, et intégré dans la stratégie globale de
l'organisation.
Audit informatique : Principes - Outils - Concepts - Conseil. 4
Les référentiels d'audit informatique sont des cadres normatifs et des guides de bonnes
pratiques qui aident les auditeurs informatiques à planifier, exécuter et évaluer leurs missions.
Voici quelques-uns des référentiels d'audit informatique les plus reconnus et utilisés :
1. COBIT (Control Objectives for Information and Related Technologies) : Développé
par l'ISACA (Information Systems Audit and Control Association), COBIT fournit un cadre
complet pour la gouvernance et la gestion des technologies de l'information. Il offre
des objectifs de contrôle spécifiques et des indicateurs de performance (KPI : Key
performance Indicators) pour aider les organisations à atteindre leurs objectifs en
matière de technologies de l'information.
2. ISO/IEC 27001 et ISO/IEC 27002 : Ces normes définissent les exigences pour un
système de gestion de la sécurité de l'information (SMSI) et fournissent des lignes
directrices détaillées pour la mise en œuvre des contrôles de sécurité. Elles sont utiles
pour évaluer la sécurité des systèmes d'information.
3. NIST SP 800-53 : Émis par le National Institute of Standards and Technology (NIST)
aux États-Unis, ce référentiel fournit des contrôles de sécurité et des
recommandations pour les systèmes d'information et les réseaux fédéraux.
4. ITIL (Information Technology Infrastructure Library) : Un ensemble de bonnes
pratiques pour la gestion des services informatiques. Bien qu'il ne soit pas
spécifiquement conçu pour l'audit, ITIL peut être utilisé pour évaluer la qualité des
processus liés aux services informatiques.
5. COSO (Committee of Sponsoring Organizations of the Treadway Commission) :
COSO fournit un cadre de contrôle interne utilisé dans divers domaines, y compris
l'audit informatique. Il se concentre sur la gouvernance d'entreprise et l'évaluation
des contrôles internes.
6. PCI DSS (Payment Card Industry Data Security Standard) : Un ensemble de normes
de sécurité destiné à garantir la sécurité des informations des cartes de paiement. Il
est particulièrement pertinent pour les organisations qui traitent des transactions par
carte de crédit.
7. ISACA's Risk IT Framework : Ce cadre fournit des directives pour la gestion des
risques liés aux technologies de l'information, aidant les organisations à intégrer la
gestion des risques dans leurs processus informatiques.
8. ISSAF (Information Systems Security Assessment Framework) : Un cadre
d'évaluation de la sécurité des systèmes d'information, développé par la
communauté de la sécurité informatique.
Il est important de noter que certains référentiels peuvent se chevaucher, et le choix dépend
souvent des besoins spécifiques de l'organisation, de l'industrie dans laquelle elle opère, ainsi
que des réglementations auxquelles elle est soumise. Les auditeurs informatiques peuvent
également personnaliser l'utilisation de ces référentiels en fonction des circonstances
particulières de chaque audit.
Audit informatique : Principes - Outils - Concepts - Conseil. 5
• l'organisation de la fonction études en équipes, le choix des personnes et leur formation, leurs
responsabilités … ;
Audit informatique : Principes - Outils - Concepts - Conseil. 6
• la mise en place d'outils et de méthodes adaptés notamment une claire identification des
tâches, des plannings, des budgets, des dispositifs de suivi des études, un tableau de bord… ;
• le contrôle des différentes activités qui ne peuvent pas être planifiées comme les petits projets,
les projets urgents… ;
• la mise sous contrôle de la maintenance des applications opérationnelles ;
• le suivi des activités d'études à partir de feuilles de temps.
Il existe de nombreuses autres bonnes pratiques concernant les études informatiques. Pour l'auditer
on va se baser sur ces bonnes pratiques afin de dégager un certain nombre d'objectifs de contrôle
comme :
• repérer les actifs informationnels de l'entreprise. Ce sont des matériels informatiques, des
logiciels et des bases de données. Il est pour cela nécessaire d'avoir des procédures de gestion
efficaces et adaptées,
• identifier les risques. Il doit exister des dispositifs de gestion adaptés permettant de surveiller les
domaines à risque. Cette surveillance doit être assurée par un RSSI, un responsable de la
sécurité informatique,
• évaluer les menaces. Le RSSI a la responsabilité de repérer les principaux risques liés aux
différents domaines du système d'information. Un document doit recenser les principales
menaces,
• mesurer les impacts. Le RSSI doit établir une cartographie des risques associés au système
d'information. Il est alors envisageable de construire des scénarios d'agression et d'évaluer les
points de vulnérabilité,
• définir les parades. Pour diminuer le niveau des risques il est nécessaire de prévoir les
dispositifs comme des contrôles d'accès, le chiffrement des données, le plan de secours,…
Il existe de nombreux autres objectifs de contrôle concernant l'audit de la sécurité informatique qui
sont choisis en fonction des préoccupations et des attentes du demandeur d'audit.
Ces différents objectifs de contrôle correspondent aux processus de CobiT DS 5 : "Assurer la sécurité
des systèmes" et PO 9 "Evaluer et gérer les risques". Il existe un référentiel spécifique à la sécurité
informatique : ISO 27002. C'est un code des bonnes pratiques concernant le management de la
sécurité des systèmes d'information. Il est complété par la norme ISO 27001 concernant la mise en
place d'un Système de Management de la sécurité de l'Information.
Voir audit de sécurité
Cette démarche est essentielle pour l'auditeur car il lui apporte des éléments fondamentaux pour le
déroulement de sa mission mais celle-ci est encore plus bénéfique pour l'organisation. En effet, les
acteurs audités ne sont pas passifs. Ils sont amenés à porter une réflexion sur leurs méthodes de
travail et à s’intéresser au travail des autres acteurs de l'entité. Cela conduit à une cohésion d'équipe
et à un apprentissage organisationnel. Il s'agit d'un facteur positif car en cas de changement les
acteurs seront moins réticents.
• CobiT : Control Objectives for Information and related Technology. C'est le principal référentiel
des auditeurs informatiques,
• Val IT permet d'évaluer la création de valeur par projet ou par portefeuille de projets,
• Risk IT a pour but d'améliorer la maîtrise des risques liés à l'informatique (Voir page en
anglais Risk IT),
• CobiT and Applications Controls.
L'ISACA (Information Systems Audit & Control Association) qui est l'association internationale des
auditeurs informatiques (notamment pour son corpus normatif et son knowledge center) et
l'AFAI (Association Française de l'Audit et du conseil Informatique), qui est le chapitre français de
l'ISACA, fournissent de nombreux supports.
Mais on peut aussi utiliser d'autres référentiels comme :
• ISO 27002 qui est un code des bonnes pratiques en matière de management de la sécurité des
systèmes d'information,
• CMMi : Capability Maturity Model integration qui est une démarche d'évaluation de la qualité de
la gestion de projet informatique,
• ITIL qui est un recueil des bonnes pratiques concernant les niveaux et de support des services
informatiques.
http://www.indexel.net/servlet/net.indexel.http.SvtRedirDocument?id=1816
Vaste sujet, terme rebattu et souvent mal défini, l´audit informatique est aussi une réalité pour les PME.
Qu´est-ce qu´un audit informatique ? Quel type de réponses peut-il vous apporter ? Comment doit-il être
mené ? Les réponses de Fabien Cleuet, associé fondateur et gérant de Diathèse, société d´audit et de
conseil informatique.
Fabien Cleuet : La démarche d´audit est la même, qu´il s´agisse d´un grand compte ou d´une PME. Elle
correspond toujours au besoin de faire faire un diagnostic par un expert indépendant pour établir un état
des lieux, définir des axes d´amélioration et obtenir des recommandations pour pallier les faiblesses
constatées. Les PME font le plus souvent appel à un auditeur pour y voir clair dans une réalité confuse ou
rapportée comme telle, dans un contexte de crise, lorsqu´il y a un problème dans le système d´information
: l´auditeur est un peu le "bobologue" du système d´information. Et il intervient principalement dans les
PME pour réaliser des audits post-implémentation (par exemple, on a choisi un ERP sans étude, sans
conseil... et cela ne fonctionne pas) et plus rarement pour des audits de sécurité. Très peu d´audits sont
réalisés à titre préventif, ce qui est bien dommage, car la mise en oeuvre des solutions de
rétablissement coûte plus cher. En général, la techno-structure qui entoure le dirigeant de PME n´est pas
suffisante pour un éclairage pertinent. Il est soumis aux aléas des marées : presse, copains, collègues...
lui fournissent autant d´informations contradictoires et hors contexte. L´auditeur intervient en tant que
mesureur de risques et propose une hiérarchisation : identification des faiblesses, impact, solution,
risques si les mesures ne sont pas prises.
Tout d´abord il convient de bien distinguer l´audit du conseil. Et de surtout ne pas faire appel à une
même personne pour effectuer ces deux types de prestations. En effet, l´auditeur pourrait dans ce cas être
amené à se prononcer sur ses propres prestations de conseil (antérieures) ou à intégrer dans ses
recommandations des prestations qu´il est à même de réaliser, ce qui aboutit évidemment à une situation
malsaine. Deuxième point : ne pas confondre audit et prestation d´avant-vente. Les intégrateurs proposent
bien souvent un "audit" préalable à l´issue duquel ils feront des recommandations. Celles-ci iront bien
souvent - et c´est compréhensible - dans le sens de leurs propres savoir-faire. Trois critères majeurs sont
donc à retenir :
1 - La première étape consiste à prendre connaissance de manière extrêmement fine des attentes du
client. Il convient de bien comprendre ses besoins et de les reformuler. Avant de faire appel à un auditeur,
établissez donc avec précision ce que vous attendez de l´audit. Cette première étape est
particulièrement importante dans la mesure où elle plante le contexte précis dans lequel l´audit va être
mené : autant d´informations qui seront incluses dans le rapport d´audit afin d´en faciliter l´interprétation,
même plusieurs années après sa réalisation.
2 - Ensuite, une lettre de mission sera rédigée. En plus de définir la procédure à venir, elle a deux
objectifs principaux :
- elle permettra d´informer les différentes personnes impliquées de l´arrivée d´un audit dans l´entreprise.
Elle est dans le même temps - auprès des salariés - une légitimation de cet audit par la direction.
3 - Troisième phase : le recueil de toutes les informations nécessaires pour préparer la mission. Il s´agit
de récolter les éléments relatifs à la culture de l´entreprise, au contexte général toujours en corrélation avec
le système d´information.
5 - La cinquième étape consiste en la solidification de toutes les informations, soit par le croisement des
entretiens, soit éventuellement par des contrôles sur le système avec des logiciels spécifiques.
Par exemple, lors d´un audit d´applications, un audit par les données est efficace pour contrôler que les
données sont bien entrées dans les applications, qu´elles sont bien traitées par celles-ci et enfin que les
rapports sont générés convenablement.
7 - Enfin, une réunion de synthèse est organisée entre l´auditeur et les personnes intéressées. Il s´agit
de s´assurer ensemble :
- que les questions de l´auditeur ont été bien comprises ;
- que les réponses ont été bien interprétées.
8 - Le rapport est ensuite rédigé, de plusieurs manières (concis et plus complet), car il s´adresse en
général à plusieurs types de publics. Le rapport détaillé expliquera les attentes de départ, le contexte, les
limites, les faiblesses constatées, leur importance relative et les solutions. Un rapport d´audit doit être clair
et didactique. En aucun cas il ne doit être technique : c´est là la différence entre un audit et une mission
d´expertise.
Le coût d´un audit se calcule en jours/homme. Et beaucoup de variables entrent en ligne de compte, telles
que le nombre de sites concernés ou encore la complexité des problèmes rencontrés dans le système
d´information. Un audit dure au minimum cinq jours, et cela peut s´étaler sur une période beaucoup plus
importante. Aussi, il m´est difficile de quantifier précisément le coût d´un audit informatique, dans la mesure
où cela recouvre autant de réalités que d´entreprises. Dans tous les cas, un devis précis doit toujours
vous être présenté par votre prestataire avant le début de la mission.
ndlr : Avec un prix moyen de la journée à environ 1000 euros, le Groupement national des professionnels
de l´informatique (GPNI) estime le coût global de la procédure entre 500 et 3000 euros.
http://www.aud-it.ch/audit.htm
L'audit informatique, l'audit des systèmes d'information évalue les risques d'un environnement
informatique ou d'une application, par exemple, les salaires ou la facturation. Ces missions se font en
choisissant avec le client les processus métiers à évaluer, de même que les processus CobiT à évaluer
parmi les 34 proposés.
L'audit d'un environnement informatique peut concerner l'évaluation des risques informatiques de la
sécurité physique, de la sécurité logique, de la gestion des changements, du plan de secours, etc., ou bien
un ensemble de processus informatiques - ce qui est généralement le cas - pour répondre à une demande
précise du client. Par exemple, apprécier la disponibilité des informations et des systèmes. Le CobiT
permet justement de rechercher quels processus informatiques répondent le plus efficacement à une telle
demande. Dans le cas de la disponibilité : par exemple la sécurité physique et le plan de continuité.
Un audit informatique, audit des systèmes d'information, se fait selon un schéma en 4 phases :
- Définition précise du plan de travail, récolte d'information, recherche et schématisation des processus
métiers et/ou informatiques à apprécier, définition des rôles et responsabilités, analyse forces - faiblesses
- Analyse des processus importants, définition des risques, évaluation préliminaire des risques, de
l'efficacité des contrôles
- Tests des contrôles
- Tests de matérialité.
Un audit informatique, audit des systèmes d'information ne concerne pas nécessairement la sécurité. En
effet, il peut aussi évaluer des aspects stratégiques ou de qualité des systèmes d'information. Par exemple,
répondre à la question suivante : Est-ce que les systèmes d'information de l'entreprise répondent
efficacement aux besoins des services métiers ? La démarche est très similaire, en choisissant et évaluant
les processus informatiques proposés par le CobiT qui répondent le mieux à la demande du client.
https://inovency.fr/digitalisation/4-etapes-audit-systeme-information/
Les 4 étapes clés pour réaliser l’audit de son système d’information
L’audit du système d’information est réalisé pour évaluer les systèmes d’information et proposer
des mesures pour améliorer leur valeur pour l’entreprise. Il sera utilisé comme un outil efficace
d’évaluation du système d’information et de contrôle des abus informatiques. Le processus
d’audit du système d’information comporte quatre étapes :
Ces failles peuvent survenir lorsqu’une transaction est ajoutée, modifiée ou supprimée.
Un autre point à haut risque peut se présenter lorsqu’une donnée ou un programme est
modifié ou que l’opération est défectueuse.
Contenu
- Audit en environnement non informatisé vs Audit en environnement informatisé
- Les problèmes de sécurité et de protection des informations électroniques
- Audit physique du système d’information automatisé
- Audit organisationnel du système d’information automatisé
- Audit des applications informatiques : Sécurité – Ouverture du logiciel – Exploitation –
Maintenance - Auditabilité de l'application (Audit Trail) – Perméabilité – Fiabilité.
Etude d’exemples de fraude informatiques : Action sur les fichiers – Action sur les programmes -
Action sur l'exploitation et détournement de résultats - Pénétrabilités des systèmes temps réel.
- A la recherche d'outils automatisés d'audit : les systèmes experts – logiciel sur mesure – multiple
software integration interface – dataminig.
1 - AUDIT PHYSIQUE
2 - AUDIT ORGANISATIONNEL
3 - AUDIT DE L'APPLICATION
4 - EXEMPLES DE FRAUDE INFORMATIQUE
Accomplir des diligences
2
Le standard UEFI (de l'anglais Unified Extensible Firmware Interface, signifiant en français : « Interface
micrologicielle extensible unifiée ») définit une interface entre le micrologiciel (firmware) et le système
d'exploitation (OS) d'un ordinateur. Cette interface succède sur certaines cartes-mères au BIOS.
Audit informatique : Principes - Outils - Concepts - Conseil. 20
Malgré tout, ce processus n'est pas sans danger pour votre ordinateur. En effet, une
augmentation de fréquence s'accompagne tout d'abord de l'élévation de la température
des éléments qui la subissent. Il faut ainsi veiller à ce que les éléments touchés par cette
élévation de température soient convenablement ventilés (le processeur est bien
évidemment un élément qui subira une grande élévation de température, mais les autres
éléments la subiront aussi...). La première chose à faire est donc d'ajouter des radiateurs
/ ventilateurs supplémentaires pour évacuer le surplus de chaleur. Comment ça marche.net
- Existe-t-il un schéma de circulation de l'information (flow chart, data diagram) qui précise qui
fait quoi, quand et comment ? (EIPO : Event - Input - Processing - Output)
- Les procédures manuelles et les procédures automatiques sont-elles bien délimitées et
agencées ?
- Y a-t-il une séparation des tâches entre la saisie et le contrôle de la saisie ?
- Existe-t-il un système temporaire de saisie avant prise en compte définitive par le système
(brouillard, fichiers mouvements temporaires, etc.) ?
- Y a-t-il une séparation des tâches entre la saisie des informations et leur validation ?
- Existe-t-il des procédures de secours en cas de panne ? Ces procédures sont-elles manuelles ou
automatisées ?
- Existe-t-il des procédures écrites de reprises après une panne? Sont-elles publiées et connues ?
- S'il est convenu de faire des saisies groupées par lots, est-il possible de retrouver à partir des
saisies, les pièces totalisées en une seule ligne d'écriture ou regroupées en un article ?
Exemple : le menu Administrateur ne sera pas accessible à tous les utilisateurs ainsi que la
validation du brouillard
- L'accès aux différentes opérations est-il différencié ?
Exemple : la suppression et la modification d'information ne doivent pas être accessibles à tous
les utilisateurs.
- Existe-t-il une irréversibilité des opérations validées ?
- Existe-t-il un système d'intégrité référentielle ?
Exemple : la suppression d'un compte mouvementé même au solde nul est interdite.
- L'intégrité du système est-elle vérifiée à chaque démarrage ?
- S'agit-il d'un progiciel ou d'un logiciel sur mesure ?
- S'il s'agit d'un logiciel sur mesure, les dossiers d'analyse et de programmation sont-ils
disponibles ?
- S'il s'agit d'un progiciel standard, la description des champs est-elle publiée par l'éditeur ?
- La base de données est-elle protégée par mot de passe ? Si oui le mot est-il disponible pour
l'auditeur afin d'accéder aux données copiées ?
- Le respect de la partie double est-il obligatoire en temps réel ou en temps différé ? Si en temps
différé, à quel moment l'équilibre est-il exigé ? Lors de la validation ou de la clôture seulement ?
- Existe-t-il une numérotation automatique et séquentielle des pièces outre la codification
comptable ?
- Est-il possible de retrouver l'origine des mouvements grâce à la codification des pièces ?
- Est-il possible de connaître les dates, heures et noms d'utilisateur ayant effectué des
transactions ?
- Existe-t-il un suivi des transactions supprimées, modifiées, accessibles à l'auditeur ?
Dans les cas rapportés, il arrive que certaines informations soient superflues. Dans ce cas, il faut
aussi montrer comment la fraude peut se faire même en l’absence de ces éléments.
Il faut aussi penser à la matérialité des preuves de fraudes, notamment dans le cadre d’un audit
légal.
Un employé d'une caisse de retraite "oublie" de transmettre au service informatique des avis de
décès concernant des retraités (action sur l'information d'entrée) ; en revanche, il met à jour à
son profit, en utilisant la procédure normale de mise à jour des fichiers, les domiciliations
bancaires des personnes décédées : il leur substitue son propre numéro de compte et perçoit
ainsi pendant plusieurs mois les pensions correspondantes.
4.2.2 - Action sur les programmes
Un programmeur dans une banque de dépôt décide d'émettre sans encombre des chèques sans
provision. Il glisse dans un programme de contrôle, c'est-à-dire l'un des premiers programmes
3
Raffegeau J. et al.., Audit et Contrôle des comptes, Publi-Union, 1979, p.571-572
Audit informatique : Principes - Outils - Concepts - Conseil. 24
par lesquels passe l'information d'entrée, une instruction transformant les chèques d'un certain
montant tirés sur son compte en chèques tirés sur certains comptes « dormants » qu'il avait
repérés à l'avance dans le fichier des comptes.
Le recours à un service d’expert patch
4.2.3 - Action sur l'exploitation et détournement de résultats
En 1974, une très grande société britannique de vente par correspondance accusa trois
pupitreurs ayant appartenu à des équipes de nuit d'avoir dupliqué trois millions de noms et
d'adresses appartenant à son fichier « meilleurs prospects » et d'avoir ensuite vendu cette copie
à une société concurrente. La société estima que son fichier « meilleurs prospects » valait environ
12 millions de francs et poursuivit ces trois pupitreurs pour préjudice fixé globalement à 15
millions de francs.
4.2.4 – Pénétrabilités des systèmes temps réel.
En 1972, un jeune étudiant ingénieur fut arrêté, accusé d’avoir dérobé en deux ans à la
compagnie américaine. Pacific Telephone & Telegragh, du matériel et des fournitures pour
environ 5 millions de francs. Pour réaliser ce détournement, l’étudiant combina sa compétence
technique avec un recueil d’instructions et de procédures trouvé un jour dans les poubelles de la
compagnie. Utilisant un code et les règles de la compagnie en matière de crédit accordé à la
clientèle, informations consignées dans le manuel mis au rebut, il se mit à émettre
téléphoniquement des commandes (Pacific Telephone & Telepragh avait alors développé un
système informatique intégré de prise de commandes par téléphone) en faisant varier les points
d’origine de la commande et les points de livraison de façon à toujours être en dessous de la
limite de découvert autorisé pour chacun de ces points. Après un séjour en prison de 40 jours
seulement, il entra dans un Cabinet de conseil en Organisation et prit la responsabilité d’un
département « Prévention de la fraude informatique ».
La stratégie du fraudeur dépend des contrôles du réviseur aussi. A l’un comme à l’autre,
l’ordinateur offre des possibilités d’actions accrues.»
à sa gestion passée. Très occupé par ses nouvelles fonctions, le THF demande à ses assistants de
lui fournir des documents qu’il transmet à la juge.
Mais voilà, parmi les documents transmis à la juge, il en est qui porte la police sans sérif « Arial ».
Or cette police est inventée et/ou mise en service sur les micro-ordinateurs avec l’avènement de
Microsoft® Windows™ 95 en août 1995. Le document de 1993 ne peut pas avoir été imprimé en
1993 avec la police mise en service en 1995. Il y aurait manifestement « faux et usage de faux ».
Il y a faux parce que le document est faux (antidaté). Il y a usage de faux par de son utilisation
pour justifier la gestion passée. La police (graphie moderne) peut alors conduire à la police
(prison). Le THF dut démissionner de son très haut poste pour pouvoir organiser plus
professionnellement sa défense. L’affaire se termina par un non-lieu.
Observez un instant ! ! Ce que les détecteurs sophistiqués n’ont pas décelé, un simple
humain en est capable pour peu qu’il soit attentif ! Avant tout l’Homme est la première unité de
Reconnaissance Optique de Caractère (ROC) ou en anglais Optical Character Recognition (OCR).
Mais alors que les machines sont systématiques, l’homme est souvent peu attentif, l’utilisateur
de billet de banque comme le faussaire ! La machine n’était pas programmée pour détecter la
fraude sur la police. On ne connaît pas les suites judiciaires de cette affaire. En tout cas le
Gouverneur de la Banque centrale a dû démonétiser les billets de 10.000 unités monétaires de
cette génération.
- Lecteur optique
- Impression de code à barre
- Les différents codes sur les: CMC 7
- Reconnaissance digitale
- Reconnaissance vocale
- Le cas de l’iris
- Les préalables à l’enregistrement de données biométrique dans les fichiers informatiques.
- Loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés
- Commission nationale de l'informatique et des libertés (CNIL)
libertés, créée en janvier 1978), chargée de s'assurer que les traitements concernant des
informations à caractère personnel soient conformes à la loi. En outre, il est formellement
interdit de collecter des données nominatives faisant apparaître, de manière directe ou
indirecte, les origines raciales, les convictions politiques ou religieuses d'individus.
Tout fichier contenant des informations sur des personnes physiques doit obligatoirement
faire l'objet d'une déclaration à la CNIL. En cas de manquement à l'une de ces obligations,
il est possible de porter plainte auprès de la CNIL, à l'aide d'un simple courrier postal, afin
de faire appliquer les dispositions légales. ccm
* Si le système informatique n’est pas du tout faible : il n’y a pas d’audit trail, il n’est pas possible
de retrouver les pièces à partir des saisies, il n’est pas possible de décomposer les lignes
regroupés, etc. ou le système informatique est fermé (la base de données n’est pas accessible et
n’exporte pas de données sous un format connu de l’auditeur). Alors l’auditeur peut décider de
se passer du système informatique en place et travailler à partir des pièces.
* Si le système informatique est assez fiable : l’auditeur peut décider de se baser sur les données
déjà saisies pour faire son contrôle.
Audit informatique : Principes - Outils - Concepts - Conseil. 27
Dans tous les cas il peut se servir d’outils généraux interactifs comme les tableurs. Cette approche
est étudiée dans un autre module pratique de présent séminaire de formation approfondie à
l’audit comptable assisté par ordinateur.
Audit informatique : Principes - Outils - Concepts - Conseil. 28
ANNEXES
Sur mesure
Tailor - made : (Logiciel)
Sur mesure
Buy : Acheter SOFTLAB®
Externalisation
Outsourcing Ready-made :
Ready-made : Tout cousu : clé en
Tout cousu
main (Progiciel)
BOUTIQUE
Audit informatique : Principes - Outils - Concepts - Conseil. 29
Section 1. CoBiT
Lire aussi : https://fr.wikipedia.org/wiki/COBIT
Source : http://www.aud-it.ch/cobit.html
Le référentiel CobiT (Control Objectives for Information and related Technology), que nous utilisons pour
l’Audit des Systèmes d'Information (ASI), est édité par l’Information System Audit & Control Association
(ISACA). Il décompose tout système informatique en 34 processus regroupés en 4 domaines, selon le
schéma suivant :
^ ^ ^
Monitoring
Couvre la stratégie et les tactiques et concerne l’identification des moyens permettant à l’informatique de
contribuer le plus efficacement à la réalisation des objectifs commerciaux de l’entreprise.
Définir le plan stratégique informatique Gérer les investissements Evaluer les risques
Définir l'architecture des informations Communiquer les objectifs de la direction Gérer les projets
Définir la direction technologique GRH (Gestion des Ressources Humaines) Gérer la qualité
Organiser le département / service
Assurer le respect des exigences légales
informatique
Concerne la livraison des prestations informatiques exigées, ce qui comprend l’exploitation, la sécurité,
les plans d’urgence et la formation.
4 - Monitoring
Permet au management d’évaluer la qualité et la conformité des processus
informatiques aux exigences de contrôle. Certification par un organe
indépendant
Monitoring des processus
Audit par un organe
Appréciation du contrôle interne
indépendant
4
Service Level Agreement
Audit informatique : Principes - Outils - Concepts - Conseil. 32
Section 2. ITIL
Lire aussi : https://fr.wikipedia.org/wiki/Information_Technology_Infrastructure_Library
1 - Défintion
ITIL est un guide des meilleures pratiques en matière de processus. Créé dans les années 80
par l’OGC (Office of Government Commerce), une administration britannique le modèle ITIL
définit les processus à un haut niveau. Il revient ensuite aux entreprises de les adapter à
leur situation et à leurs besoins. Adopté par des entreprises du monde entier pour mettre en
place des processus de gestion des services informatiques (ITSM5), ITIL devient un
standard de facto. L’un des principaux objectifs du modèle ITIL est de favoriser l’alignement
des services informatiques sur les objectifs métier ITIL définit la qualité de service comme
le niveau d’alignement entre les services réellement fournis et les besoins de l’entreprise.
Les entreprises qui souhaitent obtenir une certification pour leurs processus ITSM peuvent
désormais s’appuyer sur les nouvelles normes ISO 20000 mises en place à partir de l’année
2006.
Bien que le modèle ITIL couvre un certain nombre de domaines, il est axé principalement sur
les processus ITSM Il fournit un référentiel complet et cohérent des meilleures pratiques en
matière de processus ITSM et associés, et promeut une approche qualitative, efficace et
rentable de l’utilisation des systèmes d’information.
2 - Manuels ITIL
ITIL se compose de sept manuels de base qui définissent sept ensembles de processus
couvrant sept domaines informatiques différents :
1> Service support
2> Service delivery
3> Planification de la mise en oeuvre de la gestion des services
4> Gestion de l’infrastructure ICT (Information Communications Technology)
5> Gestion des applications
6> Approche orientée métiers
7> Sécurité
5
Information Technology Service Management
Audit informatique : Principes - Outils - Concepts - Conseil. 33
1. Définition et évolution
La norme ISO/CEI 27002 est une norme internationale concernant la sécurité de l'information,
publiée conjointement en 2005 par l'Organisation internationale de normalisation ISO et
la Commission Electrotechnique Internationale IEC, révisée en 2013, dont le titre en français
est Technologies de l’information — Techniques de sécurité — Code de bonne pratique pour le
management de la sécurité de l’information. Elle fait partie de la suite ISO/CEI 27000.
L'ISO/CEI 27002 est un ensemble de 114 mesures dites « best practices » (bonnes pratiques en
français), destinées à être utilisées par tous les responsables de la mise en place ou du maintien
d'un Système de Management de la Sécurité de l'Information (SMSI). La sécurité de l'information est
définie au sein de la norme comme la « préservation de la confidentialité, de l'intégrité et de la
disponibilité de l'information ».
Cette norme n'a pas de caractère obligatoire pour les entreprises. Son respect peut toutefois être
mentionné dans un contrat : un prestataire de services pourrait ainsi s'engager à respecter les
pratiques normalisées dans ses relations avec un client.
En 2013, la norme est mise à jour et son titre est modifié. Elle a connu de nombreuses modifications
telles que :
11 Chapitres +4 14 Chapitres +4
La révision 2013 de la norme internationale permettra aux entreprises de toutes tailles et secteurs
d'accueillir l'évolution rapide et la complexité accrue du management des informations et le défi
constant que représente la cybersécurité. Une bibliographie complète la norme.
2. Contenu de la norme
La norme ISO/CEI 27002 est composée de 18 chapitres :
Les 14 chapitres suivants couvrent le management de la sécurité aussi bien dans ses aspects
stratégiques que dans ses aspects opérationnels
Chapitre no 5 : Politiques de sécurité de l'information
Chapitre no 6 : Organisation de la sécurité de l'information
Chapitre no 7 : La sécurité des ressources humaines
Audit informatique : Principes - Outils - Concepts - Conseil. 34
1. Définition
CMMI, sigle de capability maturity model integration, est un modèle de référence, un ensemble
structuré de bonnes pratiques, destiné à appréhender, évaluer et améliorer les activités des
entreprises d'ingénierie.
CMMI a été développé dans les années 1980 par le Software Engineering Institute de l'université
Carnegie-Mellon, initialement pour appréhender et mesurer la qualité des services rendus par les
fournisseurs de logiciels informatiques du département de la Défense des États-Unis (DoD). Il est
maintenant largement employé par les entreprises d'ingénierie informatique, les directeurs des
systèmes informatiques et les industriels pour évaluer et améliorer leurs propres développements de
produits. CMMI est une marque déposée par l'ISACA.
2. Descriptif du modèle
Dans l'approche étagée (il existe une approche dite continue), les bonnes pratiques préconisées
par le modèle (version 1.2) sont rassemblées en 22 domaines de processus eux-mêmes regroupés
en 5 niveaux de maturité. Les domaines de processus rattachés à un niveau de maturité M ne
peuvent être stabilisés et efficaces que si les domaines de processus des niveaux inférieurs ( < M
) sont déjà stabilisés et efficaces (principe d'empilement). Les cinq niveaux sont :
L’auditeur des systèmes d’information doit avoir une bonne connaissance technique des menaces afin
de pouvoir identifier leur existence dans le système d’information. Ce chapitre est une introduction à
la sécurité informatique. Des cours spécialisés existent par ailleurs.
Il revient à tout responsable de réseau connecté à internet d'en assurer la sécurité, et par conséquent
d'en tester les failles. C'est la raison pour laquelle, un administrateur réseau se doit d'être au courant
des vulnérabilités des logiciels qu'il utilise et de se « mettre dans la peau d'un pirate » afin d'essayer de
s'introduire dans son propre système et afin d'être continuellement dans un contexte de paranoïa.
Lorsque les compétences au sein de l'entreprise ne sont pas suffisantes pour mener à bien cette
opération, il convient de faire réaliser un audit par une société spécialisée dans la sécurité informatique.
Avec le développement de l'utilisation d'internet, de plus en plus d'entreprises ouvrent leur système
d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel de connaître les ressources
de l'entreprise à protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système
d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur internet.
Par ailleurs, avec le nomadisme, consistant à permettre aux personnels de se connecter au système
d'information à partir de n'importe quel endroit, les personnels sont amenés à « transporter » une partie
du système d'information hors de l'infrastructure sécurisé de l'entreprise.
Menace x Vu ln érabilité
Risque =
Contre − mesure
La menace (en anglais « threat ») représente le type d'action susceptible de nuire dans l'absolu, tandis
que la vulnérabilité (en anglais « vulnerability », appelée parfois faille ou brêche) représente le niveau
d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des
actions mises en œuvre en prévention de la menace.
Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions techniques mais également
des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de
règles clairement définies.
Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de
connaître et de prévoir la façon de procéder de l'ennemi. Le but de ce dossier est ainsi de donner un
aperçu des motivations éventuelles des pirates, de catégoriser ces derniers, et enfin de donner une idée
6
Le dénominateur est réducteur du risque, tandis que le numérateur accroît le de risque. La Menace et la
Vulnérabilité sont des facteurs multiplicatifs du risque (avec Menace>1 et Vulnérabilité >1).
Audit informatique : Principes - Outils - Concepts - Conseil. 36
de leur façon de procéder afin de mieux comprendre comment il est possible de limiter les risques
d'intrusions.
La nouvelle définition (ISO 31000) abandonne la vision de l’ingénieur (« le risque est la combinaison de
probabilité d’évènement et de sa conséquence ») pour relier les risques aux objectifs de l’organisation : «
Le risque est l’effet de l’incertitude sur l'atteinte des objectifs. »
Le système d'information est généralement défini par l'ensemble des données et des ressources
matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. Le système
d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de protéger.
La sécurité informatique, d'une manière générale, consiste à assurer que les ressources matérielles ou
logicielles d'une organisation sont uniquement utilisées dans le cadre prévu.
• L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être ;
• La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux
ressources échangées ;
• La disponibilité, permettant de maintenir le bon fonctionnement du système d'information ;
• La non répudiation, permettant de garantir qu'une transaction ne peut être niée ;
• L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux
ressources.
L'intégrité : Vérifier l'intégrité des données consiste à déterminer si les données n'ont pas été altérées
durant la communication (de manière fortuite ou intentionnelle).
La confidentialité par l’authentification : Un contrôle d'accès peut permettre (par exemple par le moyen
d'un mot de passe qui devra être crypté) l'accès à des ressources uniquement aux personnes autorisées.
La sécurité d'un système informatique fait souvent l'objet de métaphores. En effet, on la compare
régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le
niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les
fenêtres sont ouvertes sur la rue.
Audit informatique : Principes - Outils - Concepts - Conseil. 37
Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre en compte
les aspects suivants :
La sécurité des systèmes informatiques se cantonne généralement à garantir les droits d'accès aux
données et ressources d'un système en mettant en place des mécanismes d'authentification et de
contrôle permettant d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits
qui leur ont été octroyés.
Les mécanismes de sécurité mis en place peuvent néanmoins provoquer une gêne au niveau des
utilisateurs et les consignes et règles deviennent de plus en plus compliquées au fur et à mesure que le
réseau s'étend. Ainsi, la sécurité informatique doit être étudiée de telle manière à ne pas empêcher les
utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser
le système d'information en toute confiance.
C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité,
dont la mise en oeuvre se fait selon les quatre étapes suivantes :
• Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et
leurs éventuelles conséquences ;
• Elaborer des règles et des procédures à mettre en oeuvre dans les différents services de
l'organisation pour les risques identifiés ;
• Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles
sur les applications et matériels utilisés ;
• Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace ;
La politique de sécurité est donc l'ensemble des orientations suivies par une organisation (à prendre au
sens large) en terme de sécurité. A ce titre elle se doit d'être élaborée au niveau de la direction de
l'organisation concernée, car elle concerne tous les utilisateurs du système.
A cet égard, il ne revient pas aux seuls administrateurs informatiques de définir les droits d'accès des
utilisateurs mais aux responsables hiérarchiques de ces derniers. Le rôle de l'administrateur informatique
est donc de s'assurer que les ressources informatiques et les droits d'accès à celles-ci sont en cohérence
avec la politique de sécurité définie par l'organisation.
De plus, étant donné qu'il est le seul à connaître parfaitement le système, il lui revient de faire remonter
les informations concernant la sécurité à sa direction, éventuellement de conseiller les décideurs sur les
stratégies à mettre en oeuvre, ainsi que d'être le point d'entrée concernant la communication à
destination des utilisateurs sur les problèmes et recommandations en terme de sécurité.
Audit informatique : Principes - Outils - Concepts - Conseil. 38
La sécurité informatique de l'entreprise repose sur une bonne connaissance des règles par les employés,
grâce à des actions de formation et de sensibilisation auprès des utilisateurs, mais elle doit aller au-delà
et notamment couvrir les champs suivants :
• Un dispositif de sécurité physique et logique, adapté aux besoins de l'entreprise et aux usages des
utilisateurs ;
• Une procédure de management des mises à jour ;
• Une stratégie de sauvegarde correctement planifiée ;
• Un plan de reprise après incident ;
• Un système documenté à jour ;
Le Disaster Recovery Plan (DRP) ou Plan de reprise d’activité (PRA) ou encore Plan de continuité
d’activité ( PCA) permet, en complément à la solution de backup, d’assurer la reconstitution de
l’infrastructure informatique et donc la remise en route de l’activité de l’organisation.
https://www.megabyte.be/infrastructure-it/securite-informatique-entreprise/disaster-recovery-plan-
drp-pra-pca/
• l'état passif d'insécurité, c'est-à-dire la méconnaissance des moyens de sécurité mis en place, par
exemple lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité
dont il dispose.
Phase de définition
La phase de définition des besoins en terme de sécurité est la première étape vers la mise en
oeuvre d'une politique de sécurité.
L'objectif consiste à déterminer les besoins de l'organisation en faisant un véritable état des lieux
du système d'information, puis d'étudier les différents risques et la menace qu'ils représentent afin
de mettre en oeuvre une politique de sécurité adaptée.
• Personnes et fonctions ;
Audit informatique : Principes - Outils - Concepts - Conseil. 39
La meilleure approche pour analyser l'impact d'une menace consiste à estimer le coût des
dommages qu'elle causerait (par exemple attaque sur un serveur ou détérioration de données
vitales pour l'entreprise).
Sur cette base, il peut être intéressant de dresser un tableau des risques et de leur potentialité,
c'est-à-dire leur probabilité de se produire, en leur affectant des niveaux échelonné selon un
barème à définir, par exemple :
Un tel document doit nécessairement être conduit comme un véritable projet associant des
représentants des utilisateurs et conduit au plus haut niveau de la hiérarchie, afin qu'il soit accepté
par tous. Lorsque la rédaction de la politique de sécurité est terminée, les clauses concernant le
personnel doivent leur être communiquées, afin de donner à la politique de sécurité le maximum
d'impact.
Méthodes
Il existe de nombreuses méthodes permettant de mettre au point une politique de sécurité. Voici
une liste non exhaustive des principales méthodes :
4 - Mise en œuvre
La phase de mise en oeuvre consiste à déployer des moyens et des dispositifs visant à sécuriser
le système d'information ainsi que de faire appliquer les règles définies dans la politique de
sécurité.
Les principaux dispositifs permettant de sécuriser un réseau contre les intrusions sont les systèmes
pare-feu. Néanmoins ce type de dispositif ne protège pas la confidentialité des données circulant
sur le réseau.
Ainsi, la plupart du temps il est nécessaire de recourir à des applications implémentant des
algorithmes cryptographiques permettant de garantir la confidentialité des échanges.
Chaque ordinateur connecté à internet (et d'une manière plus générale à n'importe quel réseau
informatique) est susceptible d'être victime d'une attaque d'un pirate informatique. La méthodologie
généralement employée par les pirates informatiques consiste à scruter le réseau (en envoyant des
paquets de données de manière aléatoire) à la recherche d'une machine connectée, puis à chercher
une faille de sécurité afin de l'exploiter et d'accéder aux données s'y trouvant.
Cette menace est d'autant plus grande que la machine est connectée en permanence à internet pour
plusieurs raisons :
• La machine cible est susceptible d'être connectée sans pour autant être surveillée ;
• La machine cible est généralement connectée avec une plus large bande passante ;
• La machine cible ne change pas (ou peu) d'adresse IP.
Ainsi, il est nécessaire, autant pour les réseaux d'entreprises que pour les internautes possédant une
connexion de type câble ou ADSL, de se protéger des intrusions réseaux en installant un dispositif de
protection.
Un pare-feu (appelé aussi coupe-feu ou firewall en anglais), est un système permettant de protéger
un ordinateur des intrusions provenant du réseau (ou bien protégeant un réseau local des attaques
provenant d'Internet). Le pare-feu est un système permettant de filtrer les paquets de données
échangés avec le réseau, il s'agit ainsi d'une passerelle filtrante.
Audit informatique : Principes - Outils - Concepts - Conseil. 41
Le système firewall est un système logiciel, reposant parfois sur un matériel réseau dédié, constituant
un intermédiaire entre le réseau local (ou la machine locale) et les "réseaux extérieurs".
Dans le cas où la zone protégée se limite à l'ordinateur sur lequel le firewall est installé on parle de
firewall personnel (pare-feu personnel).
Ainsi, un firewall personnel permet de contrôler l'accès au réseau des applications installées sur la
machine, et notamment empêcher les attaques du type cheval de Troie, c'est-à-dire des programmes
nuisibles ouvrant une brêche dans le système afin de permettre une prise en main à distance de la
machine par un pirate informatique. Le firewall personnel permet en effet de repérer et d'empêcher
l'ouverture non sollicitée de la part d'applications non autorisées à se connecter.
Le choix de l'une ou l'autre de ces méthodes dépend de la politique de sécurité adoptée par l'entité
désirant mettre en oeuvre un filtrage des communications. La première méthode est sans nul doute
la plus sûre, mais elle impose toutefois une définition précise et contraignante des besoins en
communication.
Le filtrage de paquets
Un système pare-feu fonctionne sur le principe du filtrage de paquets. Il analyse les en-têtes de
chaque paquet (datagramme) échangé entre une machine du réseau local et une machine extérieure.
Ainsi, lorsqu'une communication a lieu entre une machine du réseau extérieur et une machine du
réseau local, et vice-versa, les paquets de données passant par le firewall contiennent les en-têtes
suivants, systématiquement analysés par le firewall :
Les adresses IP contenues dans les paquets permettent d'identifier la machine émettrice et la
machine cible, tandis que le type de paquet et le numéro de port donnent une indication sur le type
de service utilisé.
Les ports reconnus (dont le numéro est compris entre 0 et 1023) sont associés à des services courants
(les ports 25 et 110 sont par exemple associés au courrier électronique, et le port 80 au Web). La
plupart des dispositifs pare-feu sont au minimum configurés de manière à filtrer les communications
selon le port utilisé. Il est généralement conseillé de bloquer tous les ports qui ne sont pas
indispensables (selon la politique de sécurité retenue).
Le port 23 est par exemple souvent bloqué par défaut par les dispositifs pare-feu car il correspond au
protocole Telnet, permettant d'émuler un accès par terminal à une machine distante de manière à
pouvoir exécuter des commandes à distance. Les données échangées par Telnet ne sont pas chiffrées,
ce qui signifie qu'un individu est susceptible d'écouter le réseau et de voler les mots de passe
circulant en clair. Les administrateurs lui préfèrent généralement le protocole SSH, réputé sûr et
fournissant les mêmes fonctionnalités que Telnet.
Le filtrage applicatif
Le filtrage applicatif permet de filtrer les communications application par application. Le filtrage
applicatif opère donc au niveau 7 (couche application) du modèle OSI, contrairement au filtrage de
paquets (niveau 4). Le filtrage applicatif suppose donc une connaissance des protocoles utilisés par
chaque application.
Un firewall effectuant un filtrage applicatif est appelé passerelle applicative car il permet de relayer
des informations entre deux réseaux, tout en effectuant un filtrage fin au niveau du contenu des
paquets échangés.
Le fait d'installer un firewall n'est bien évidemment pas signe de sécurité absolue.
Les firewalls n'offrent une protection que dans la mesure où l'ensemble des communications vers
l'extérieur passent systématiquement par leur intermédiaire. Ainsi, les accès au réseau extérieur par
contournement du firewall sont autant de failles de sécurité. C'est notamment le cas des connexions
effectuées à l'aide d'un modem.
Enfin, afin de garantir un niveau de protection maximal, il est nécessaire d'administrer le pare-feu et
notamment de surveiller son journal d'activité afin d'être en mesure de détecter les tentatives
d'intrusion et les anomalies. Par ailleurs, il est recommandé d'effectuer une veille de sécurité (en
s'abonnant aux alertes de sécurité des CERT par exemple) afin de modifier le paramétrage de son
dispositif en fonction de la publication des alertes.
Audit informatique : Principes - Outils - Concepts - Conseil. 43
La mise en place d'un firewall doit donc se faire en accord avec une véritable politique de sécurité.
6 - Validation
Audit de sécurité
Un audit de sécurité (en anglais security audit) consiste à s'appuyer sur un tiers de confiance
(généralement une société spécialisée en sécurité informatique) afin de valider les moyens de
protection mis en oeuvre, au regard de la politique de sécurité.
L'objectif de l'audit est ainsi de vérifier que chaque règle de la politique de sécurité est
correctement appliquée et que l'ensemble des dispositions prises forme un tout cohérent.
Un audit de sécurité permet de s'assurer que l'ensemble des dispositions prises par l'entreprise
sont réputées sûres.
Tests d'intrusion
Les tests d'intrusion (en anglais penetration tests, abrégés en pen tests) consistent à éprouver
les moyens de protection d'un système d'information en essayant de s'introduire dans le système
en situation réelle.
• La méthode dite « boîte noire » (en anglais « black box ») consistant à essayer d'infiltrer
le réseau sans aucune connaissance du système, afin de réaliser un test en situation réelle ;
• La méthode dite « boîte blanche » (en anglais « white box ») consistant à tenter de
s'introduire dans le système en ayant connaissance de l'ensemble du système, afin d'éprouver
au maximum la sécurité du réseau.
Une telle démarche doit nécessairement être réalisé avec l'accord (par écrit de préférence) du plus
haut niveau de la hiérarchie de l'entreprise, dans la mesure où elle peut aboutir à des dégâts
éventuels7 et étant donné que les méthodes mises en oeuvre sont interdites par la loi en l'absence
de l'autorisation du propriétaire du système.
Un test d'intrusion, lorsqu'il met en évidence une faille, est un bon moyen de sensibiliser les acteurs
d'un projet. A contrario, il ne permet pas de garantir la sécurité du système, dans la mesure où
des vulnérabilités peuvent avoir échappé aux testeurs. Les audits de sécurité permettent d'obtenir
un bien meilleur niveau de confiance dans la sécurité d'un système étant donné qu'ils prennent en
compte des aspects organisationnels et humains et que la sécurité est analysée de l'intérieur.
Détection d'incidents
Afin d'être complètement fiable, un système d'information sécurisé doit disposer de mesures
permettant de détecter les incidents.
7
Les tests du bug de l’an 2000 par changement de la date système ont fait crasher des systèmes, périmer des
licences, précipiter les dégâts, etc.
Audit informatique : Principes - Outils - Concepts - Conseil. 44
Il existe ainsi des systèmes de détection d'intrusion (notés IDS pour Intrusion Detection
Systems) chargés de surveiller le réseau et capables de déclencher une alerte lorsqu'une requête
est suspecte ou non conforme à la politique de sécurité.
La disposition de ces sondes et leur paramétrage doivent être soigneusement étudiés car ce type
de dispositif est susceptible de générer de nombreuses fausses alertes.
Dans ce type de cas de figure la vitesse de réaction est primordiale car une compromission implique
une mise en danger de tout le système d'information de l'entreprise. De plus, lorsque la
compromission provoque un dysfonctionnement du service, un arrêt de longue durée peut être
synonyme de pertes financières. Enfin, dans le cas par exemple d'un défaçage de site web
(modification des pages), la réputation de toute l'entreprise est en jeu.
Phase de réaction
La phase de réaction est généralement la phase la plus laissée pour compte dans les projets de
sécurité informatique. Elle consiste à anticiper les événements et à prévoir les mesures à prendre
en cas de pépin.
En effet, dans le cas d'une intrusion par exemple, il est possible que l'administrateur du système
réagisse selon un des scénarios suivants :
Or, chacune de ces actions peut potentiellement être plus nuisible (notamment en termes de coûts)
que l'intrusion elle-même. En effet, si le fonctionnement de la machine compromise est vitale pour
le fonctionnement du système d'information ou s'il s'agit du site d'une entreprise de vente en ligne,
l'indisponibilité du service pendant une longue durée peut être catastrophique.
Par ailleurs, dans ce type de cas, il est essentiel de constituer des preuves, en cas d'enquête
judiciaire. Dans le cas contraire, si la machine compromise a servi de rebond pour une autre
attaque, la responsabilité de l'entreprise risque d'être engagée.
La mise en place d'un plan de reprise après sinistre permet ainsi d'éviter une aggravation du
sinistre et de s'assurer que toutes les mesures visant à établir des éléments de preuve sont
correctement appliquées.
Par ailleurs, un plan de sinistre correctement mis au point définit les responsabilités de chacun et
évite des ordres et contre-ordres gaspilleurs de temps.
Restauration
La remise en fonction du système compromis doit être finement décrit dans le plan de reprise
après sinistre et doit prendre en compte les éléments suivants :
Audit informatique : Principes - Outils - Concepts - Conseil. 45
1 - Virus
Un virus est un petit programme informatique situé dans le corps d'un autre, qui, lorsqu'on
l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmées. La
définition d'un virus pourrait être la suivante :
Le véritable nom donné aux virus est CPA soit Code Auto-Propageable, mais par analogie avec
le domaine médical, le nom de "virus" leur a été donné.
Les virus résidents (appelés TSR en anglais pour Terminate and stay resident) se chargent dans
la mémoire vive de l'ordinateur afin d'infecter les fichiers exécutables lancés par l'utilisateur. Les
virus non résidants infectent les programmes présents sur le disque dur dès leur exécution.
Le champ d'application des virus va de la simple balle de ping-pong qui traverse l'écran au virus
destructeur de données, ce dernier étant la forme de virus la plus dangereuse. Ainsi, étant donné
qu'il existe une vaste gamme de virus ayant des actions aussi diverses que variées, les virus ne
sont pas classés selon leurs dégâts mais selon leur mode de propagation et d'infection.
Depuis quelques années un autre phénomène est apparu, il s'agit des canulars (en anglais hoax),
c'est-à-dire des annonces reçues par mail (par exemple l'annonce de l'apparition d'un nouveau
virus destructeur ou bien la possibilité de gagner un téléphone portable gratuitement)
Audit informatique : Principes - Outils - Concepts - Conseil. 46
accompagnées d'une note précisant de faire suivre la nouvelle à tous ses proches. Ce procédé a
pour but l'engorgement des réseaux ainsi que la désinformation.
2 - Types de virus
21 - Les virus mutants
22 - Les virus polymorphes
23 - Les rétrovirus
24 - Les virus de secteur d'amorçage
25 - Les virus trans-applicatifs (virus macros)
3 – Hoax
31 - Qu'est-ce qu'un hoax ?
32 - Comment lutter contre la désinformation ?
33 - Comment vérifier s'il s'agit d'un canular ?
4 – Les vers
41 – Le ver, un virus réseau
42 - Le fonctionnement d'un ver dans les années 80
43 - Les vers actuels
44 - Comment se protéger des vers ?
5 – Chevaux de Troie
6 - Les bombes logiques
7 - Les espiogiciels (spyware)
8 - Les keyloggers
9 – Les ramsomwares
Section 3 - Piratage
1 - Introduction aux attaques
Tout ordinateur connecté à un réseau informatique est potentiellement vulnérable à une attaque.
Une « attaque » est l'exploitation d'une faille d'un système informatique (système d'exploitation,
logiciel ou bien même de l'utilisateur) à des fins non connues par l'exploitant du systèmes et
généralement préjudiciables.
Sur internet des attaques ont lieu en permanence, à raison de plusieurs attaques par minute sur
chaque machine connectée. Ces attaques sont pour la plupart lancées automatiquement à partir
de machines infectées (par des virus, chevaux de Troie, vers, etc.), à l'insu de leur propriétaire.
Plus rarement il s'agit de l'action de pirates informatiques.
Afin de contrer ces attaques il est indispensable de connaître les principaux types d'attaques afin
de mettre en oeuvre des dispositions préventives.
Types d'attaques
Les systèmes informatiques mettent en oeuvre différentes composantes, allant de l'électricité pour
alimenter les machines au logiciel exécuté via le système d'exploitation et utilisant le réseau.
Les attaques peuvent intervenir à chaque maillon de cette chaîne, pour peu qu'il existe une
vulnérabilité exploitable. Le schéma ci-dessous rappelle très sommairement les différents niveaux
pour lesquels un risque en matière de sécurité existe :
• Accès physique : il s'agit d'un cas où l'attaquant à accès aux locaux, éventuellement
même aux machines :
Coupure de l'électricité
Extinction manuelle de l'ordinateur
Vandalisme
Ouverture du boîtier de l'ordinateur et vol de disque dur
Ecoute du trafic sur le réseau
Audit informatique : Principes - Outils - Concepts - Conseil. 48
• Interception de communications :
Vol de session (session hijacking)
Usurpation d'identité
Détournement ou altération de messages
• Dénis de service : il s'agit d'attaques visant à perturber le bon fonctionnement d'un
service. On distingue habituellement les types de déni de service suivant :
Exploitation de faiblesses des protocoles TCP/IP
Exploitation de vulnérabilité des logiciels serveurs
• Intrusions :
Balayage de ports
Elévation de privilèges : ce type d'attaque consiste à exploiter une vulnérabilité
d'une application en envoyant une requête spécifique, non prévue par son
concepteur, ayant pour effet un comportement anormal conduisant parfois à
un accès au système avec les droits de l'application. Les attaques par
débordement de tampon (en anglais buffer overflow) utilisent ce principe.
Maliciels (virus, vers et chevaux de Troie)
• Ingénierie sociale : Dans la majeure partie des cas le maillon faible est l'utilisateur lui-
même ! En effet c'est souvent lui qui, par méconnaissance ou par duperie, va ouvrir une brèche
dans le système, en donnant des informations (mot de passe par exemple) au pirate informatique
ou en exécutant une pièce jointe. Ainsi, aucun dispositif de protection ne peut protéger
l'utilisateur contre les arnaques, seuls bon sens, raison et un peu d'information sur les différentes
pratiques peuvent lui éviter de tomber dans le piège !
• Trappes : il s'agit d'une porte dérobée (en anglais backdoor) dissimulée dans un logiciel,
permettant un accès ultérieur à son concepteur.
Pour autant, les erreurs de programmation contenues dans les programmes sont habituellement
corrigées assez rapidement par leur concepteur dès lors que la vulnérabilité a été publiée. Il
appartient alors aux administrateurs (ou utilisateurs personnels avertis) de se tenir informé des
mises à jour des programmes qu'ils utilisent afin de limiter les risques d'attaques.
Effort de protection
La sécurisation d'un système informatique est généralement dite « asymétrique », dans la mesure
où le pirate n'a qu'à trouver une seule vulnérabilité pour compromette le système, tandis que
l'administrateur se doit de corriger toutes les failles.
Cela montre l'intérêt de protéger son réseau ou son ordinateur personnel, il est possible de se
retrouver « complice » d'une attaque et en cas de plainte de la victime, la première personne
interrogée sera le propriétaire de la machine ayant servi de rebond.
Avec le développement des réseaux sans fils, ce type de scénario risque de devenir de plus en plus
courant car lorsque le réseau sans fil est mal sécurisé, un pirate situé à proximité peut l'utiliser
pour lancer des attaques !
Les motivations des black hat hackers (« pirates » peut être multiple :
Audit informatique : Principes - Outils - Concepts - Conseil. 49
• l'attrait de l'interdit ;
• l'intérêt financier ;
• l'intérêt politique ;
• l'intérêt éthique ;
• le désir de la renommée ;
• la vengeance ;
• l'envie de nuire (détruire des données, empêcher un système de fonctionner).
Les objectifs des white hat hackers (« hackers ») sont en règle générale un des suivants :
• l'apprentissage ;
• l'optimisation des systèmes informatiques ;
• la mise à l'épreuve des technologies jusqu'à leurs limites afin de tendre vers un idéal plus
performant et plus sûr.
2 - Ingénierie sociale
L'ingénierie sociale (en anglais « Social Engineering ») consiste à manipuler les êtres humains,
c'est-à-dire d'utiliser la naïveté et la gentillesse exagérée des utilisateurs du réseau, pour obtenir
des informations sur ce dernier. Ce procédé consiste à entrer en contact avec un utilisateur du
réseau, en se faisant passer en général pour quelqu'un d'autre, afin d'obtenir des renseignements
sur le système d'information ou éventuellement pour obtenir directement un mot de passe. De la
même façon une faille de sécurité peut être créée dans le système distant en envoyant un cheval
de Troie à certains utilisateurs du réseau. Il suffit qu'un des utilisateurs exécute la pièce jointe
pour qu'un accès au réseau interne soit donné à l'agresseur extérieur.
C'est la raison pour laquelle la politique de sécurité doit être globale et intégrer les facteurs
humains (par exemple la sensibilisation des utilisateurs aux problèmes de sécurité) car le niveau
de sécurité d'un système est caractérisé par le niveau de son maillon le plus faible.
Après avoir établi l'inventaire du parc logiciel et éventuellement matériel, il reste au hacker à
déterminer si des failles existent.
Il existe ainsi des scanneurs de vulnérabilité permettant aux administrateurs de soumettre leur
réseau à des tests d'intrusion afin de constater si certaines applications possèdent des failles de
sécurité. Les deux principaux scanneurs de failles sont :
• Nessus (http://www.nessus.org/index.php3)
• SAINT SAINT (Security Administrator's Integrated Network Tool
(http://www.wwdsi.com/saint/index.php3) http://wwdsilx.wwdsi.com/saint/
• http://www.securityfocus.com/tools/688
Il est également conseillé aux administrateurs de réseaux de consulter régulièrement les sites
tenant à jour une base de données des vulnérabilités :
Ainsi, certains organismes, en particulier les CERT (Computer Emergency Response Team), sont
chargés de capitaliser les vulnérabilités et de fédérer les informations concernant les problèmes
de sécurité.
L'intrusion
Lorsque le pirate a dressé une cartographie des ressources et des machines présentes sur le
réseau, il est en mesure de préparer son intrusion.
Pour pouvoir s'introduire dans le réseau, le pirate a besoin d'accéder à des comptes valides sur les
machines qu'il a recensées. Pour ce faire, plusieurs méthodes sont utilisées par les pirates :
4 - Extension de privilèges
Lorsque le pirate a obtenu un ou plusieurs accès sur le réseau en se logeant sur un ou plusieurs
comptes peu protégés, celui-ci va chercher à augmenter ses privilèges en obtenant l'accès root
(en français superutilisateur ou superadministrateur), on parle ainsi d'extension de privilèges.
Dès qu'un accès root a été obtenu sur une machine, l'attaquant a la possibilité d'examiner le réseau
à la recherche d'informations supplémentaires.
Il lui est ainsi possible d'installer un sniffeur (en anglais sniffer), c'est-à-dire un logiciel capable
d'écouter (le terme reniffler, ou en anglais sniffing, est également employé) le trafic réseau en
provenance ou à destination des machines situées sur le même brin. Grâce à cette technique, le
pirate peut espérer récupérer les couples identifiants/mots de passe lui permettant d'accéder à
des comptes possédant des privilèges étendus sur d'autres machines du réseau (par exemple
l'accès au compte d'un administrateur) afin d'être à même de contrôler une plus grande partie du
réseau.
Les serveurs NIS présents sur un réseau sont également des cibles de choix pour les pirates car
ils regorgent d'informations sur le réseau et ses utilisateurs.
5 - Compromission
Grâce aux étapes précédentes, le pirate a pu dresser une cartographie complète du réseau, des
machines s'y trouvant, de leurs failles et possède un accès root sur au moins l'une d'entre-elles.
Il lui est alors possible d'étendre encore son action en exploitant les relations d'approbation
existant entre les différentes machines.
Audit informatique : Principes - Outils - Concepts - Conseil. 51
Cette technique d'usurpation d'identité, appelée spoofing, permet au pirate de pénétrer des
réseaux privilégiés auxquels la machine compromise a accès.
6 - Porte dérobée
Lorsqu'un pirate a réussi à infiltrer un réseau d'entreprise et à compromettre une machine, il peut
arriver qu'il souhaite pouvoir revenir. Pour ce faire celui-ci va installer une application afin de créer
artificiellement une faille de sécurité, on parle alors de porte dérobée (en anglais backdoor, le
terme trappe est parfois également employé).
Lorsque l'intrus a obtenu un niveau de maîtrise suffisant sur le réseau, il lui reste à effacer les
traces de son passage en supprimant les fichiers qu'il a créés et en nettoyant les fichiers de logs
des machines dans lesquelles il s'est introduit, c'est-à-dire en supprimant les lignes d'activité
concernant ses actions.
Par ailleurs, il existe des logiciels, appelés « kits racine » (en anglais « rootkits ») permettant
de remplacer les outils d'administration du système par des versions modifiées afin de masquer la
présence du pirate sur le système. En effet, si l'administrateur se connecte en même temps que
le pirate, il est susceptible de remarquer les services que le pirate a lancé ou tout simplement
qu'une autre personne que lui est connectée simultanément. L'objectif d'un rootkit est donc de
tromper l'administrateur en lui masquant la réalité.
8 – Quelques outils
(http://www.microsoft.com/france/securite/outils/mbsa.aspx)
MBSA fonctionne sur les systèmes Windows Server 2003, Windows Server 2008, Windows 2000,
Windows XP et Windows Vista.
Configuration système minimale requise : Systèmes d'exploitation : Windows 2000, Windows Server
2003, Windows Server 2008, Windows XP, Windows Vista
Si les produits installés respectent la ligne de base minimale pour Microsoft Update, vous obtiendrez
une détection optimale en utilisant MBSA 2.1 et la dernière version de l'outil d'analyse des mises à jour
pour l'entreprise. Pour obtenir des informations complémentaires, visitez l'article 895660 de la Base de
connaissances Microsoft.
Audit informatique : Principes - Outils - Concepts - Conseil. 53
SATAN Information
What SATAN Is
These are well-known problems. They have been subject of CERT, CIAC, or other advisories, or
are described extensively in practical security handbooks. The problems have been exploited by
the intruder community for a long time.
We realize that SATAN is a two-edged sword - like many tools, it can be used for good and for
evil purposes. We also realize that intruders (including wannabees) have much more capable
(read intrusive) tools than offered with SATAN. We have those tools, too, but giving them away
to the world at large is not the goal of the SATAN project.
The name suits the program, in our opinion. If you don't like it, feel free to call it "SANTA",
which is, perhaps, a more user-friendly anagram of the acronym - you can run the repent
program if you are really offended.
SAINT (Security Administrator's Integrated Network Tool) is a security assessment tool based on
SATAN. It is updated regularly and scans for just about all remotely detectable vulnerabilities.
Features include scanning through a firewall, updated security checks from CERT & CIAC bulletins,
4 levels of severity (red, yellow, brown, & green) and a feature rich HTML interface .
Download: http://www.wwdsi.com/saint/
Audit informatique : Principes - Outils - Concepts - Conseil. 55
What is SAINT™?
SAINT™ is the Security Administrator's Integrated Network Tool. In its simplest mode, it gathers as
much information about remote hosts and networks as possible by examining such network services
as finger, NFS, NIS, ftp and tftp, rexd, statd, and other services. The information gathered includes
the presence of various network information services as well as potential security flaws -- usually in
the form of incorrectly setup or configured network services, well-known bugs in system or network
utilities, or poor or ignorant policy decisions. It can then either report on this data or use a simple
rule-based system to investigate any potential security problems. Users can then examine, query,
and analyze the output with an HTML browser, such as Mosaic, Netscape, or Lynx. While the program
is primarily geared towards analyzing the security implications of the results, a great deal of general
network information can be gained when using the tool - network topology, network services
running, types of hardware and software being used on the network, etc. However, the real power
of SAINT comes into play when used in exploratory mode. Based on the initial data collection and a
user configurable ruleset, it will examine the avenues of trust and dependency and iterate further
data collection runs over secondary hosts. This not only allows the user to analyze her or his own
network or hosts, but also to examine the real implications inherent in network trust and services
and help them make reasonably educated decisions about the security level of the systems involved.
SAINT should prove to be most useful when used by the system or security administrators who own
or are responsible for the security of the systems involved. However, since it is freely available and
will probably see widespread use throughout the Internet community, it should be used by anyone
who is concerned about the security of his or her systems, since potential intruders will be able to
access the same security vulnerability information and since it is quite likely that it will uncover
security problems that were previously unknown.
SAINT has a target acquisition program that normally uses fping to determine whether or not a host
or set of hosts in a subnet are alive. When a host is behind a firewall, however, tcp_scan is used to
probe common ports to test for an alive host. It then passes this target list to an engine that drives
the data collection and the main feedback loop. Each host is examined to see if it has been seen
before, and, if not, a list of tests/probes is run against it (the set of tests depends on the distance the
host is from the initial target and what probe level has been set.) The tests emit a data record that
has the hostname, the test run, and any results found from the probe; this data is saved in files for
analysis. The user interface uses HTML to link the often vast amounts of data to more coherent and
palatable results that the user can readily digest and understand.
Audit informatique : Principes - Outils - Concepts - Conseil. 56
Or, si les données sur le compte de l'utilisateur n'ont pas un caractère stratégique, l'accès au
compte de l'utilisateur peut constituer une porte ouverte vers le système tout entier. En effet, dès
qu'un pirate obtient un accès à un compte d'une machine, il lui est possible d'élargir son champ
d'action en obtenant la liste des utilisateurs autorisés à se connecter à la machine. A l'aide d'outils
de génération de mots de passe, le pirate peut essayer un grand nombre de mots de passe générés
aléatoirement ou à l'aide d'un dictionnaire (éventuellement une combinaison des deux). S'il trouve
par hasard le mot de passe de l'administrateur, il obtient alors toutes les permissions sur la
machine !
De plus, à partir d'une machine du réseau, le pirate peut éventuellement obtenir un accès sur le
réseau local, ce qui signifie qu'il peut dresser une cartographie des autres serveurs côtoyant celui
auquel il a obtenu un accès.
Les mots de passe des utilisateurs représentent donc la première défense contre les attaques
envers un système, c'est la raison pour laquelle il est nécessaire de définir une politique en matière
de mots de passe afin d'imposer aux utilisateurs le choix d'un mot de passe suffisamment sécurisé.
La plupart des systèmes sont configurés de manière à bloquer temporairement le compte d'un
utilisateur après un certain nombre de tentatives de connexion infructueuses. Ainsi, un pirate peut
difficilement s'infiltrer sur un système de cette façon. En contrepartie, un pirate peut se servir
de ce mécanisme d'auto-défense pour bloquer l'ensemble des comptes utilisateurs afin
de provoquer un déni de service.
Sur la plupart des systèmes les mots de passe sont stockés de manière chiffrée (« cryptée ») dans
un fichier ou une base de données. Néanmoins, lorsqu'un pirate obtient un accès au système et
obtient ce fichier, il lui est possible de tenter de casser le mot de passe d'un utilisateur en particulier
ou bien de l'ensemble des comptes utilisateurs.
Attaque hybride
Le dernier type d'attaques de ce type, appelées « attaques hybrides », vise particulièrement les mots
de passe constitué d'un mot traditionnel et suivi d'une lettre ou d'un chiffre (tel que
« marechal6 »). Il s'agit d'une combinaison d'attaque par force brute et d'attaque par dictionnaire.
Il existe enfin des moyens permettant au pirate d'obtenir les mots de passe des utilisateurs :
• Les key loggers (littéralement « enregistreurs de touches »), sont des logiciels qui, lorsqu'ils sont
installés sur le poste de l'utilisateur, permettent d'enregistrer les frappes de claviers saisies par
l'utilisateur. Les systèmes d'exploitation récents possèdent des mémoires tampon protégées
permettant de retenir temporairement le mot de passe et accessibles uniquement par le système.
• L'ingénierie sociale consiste à exploiter la naïveté des individus pour obtenir des informations. Un
pirate peut ainsi obtenir le mot de passe d'un individu en se faisant passer pour un administrateur du
réseau ou bien à l'inverse appeler l'équipe de support en demandant de réinitialiser le mot de passe
en prétextant un caractère d'urgence ;
• L'espionnage représente la plus vieille des méthodes. Il suffit en effet parfois à un pirate d'observer
les papiers autour de l'écran de l'utilisateur ou sous le clavier afin d'obtenir le mot de passe. Par
ailleurs, si le pirate fait partie de l'entourage de la victime, un simple coup d'oeil par dessus son épaule
lors de la saisie du mot de passe peut lui permettre de le voir ou de le deviner.
Un mot de passe de 4 chiffres correspond à 10 000 possibilités (10 4). Si ce chiffre paraît élevé, un
ordinateur doté d'une configuration modeste est capable de le casser en quelques minutes.
On lui préfèrera un mot de passe de 4 lettres, pour lequel il existe 456972 possibilités (26 4). Dans le
même ordre d'idée, un mot de passe mêlant chiffres et lettres, voire également des majuscules et des
caractères spéciaux sera encore plus difficile à casser.
• votre identifiant
• votre nom
• votre prénom ou celui d'un proche (conjoint, enfant, etc.) ;
• un mot du dictionnaire ;
• un mot à l'envers (les outils de cassage de mots de passe prennent en compte cette possibilité) ;
• un mot suivi d'un chiffre, de l'année en cours ou d'une année de naissance (par exemple
« password1999 »).
Par ailleurs, il est possible de renforcer cette politique de sécurité en imposant une durée d'expiration
des mots de passe, afin d'obliger les utilisateurs à modifier régulièrement leur mot de passe. Cela
complique ainsi la tâche des pirates essayant de casser des mots de passe sur la durée. Par ailleurs il
s'agit d'un excellent moyen de limiter la durée de vie des mots de passe ayant été cassés.
Enfin, il est recommandé aux administrateurs système d'utiliser des logiciels de cassage de mots de
passe en interne sur les mots de passe de leurs utilisateurs afin d'en éprouver la solidité. Ceci doit
néanmoins se faire dans le cadre de la politique de sécurité et être écrit noir sur blanc, afin d'avoir
l'approbation de la direction et des utilisateurs.
Il est donc conseillé de posséder plusieurs mots de passe par catégorie d'usage, en fonction de la
confidentialité du secret qu'il protège. Le code d'une carte bancaire devra ainsi être utilisé uniquement
pour cet usage. Par contre, le code PIN d'un téléphone portable peut correspondre à celui du cadenas
d'une valise.
De la même façon, lors de l'inscription à un service en ligne demandant une adresse électronique (par
exemple la lettre d'information de CommentCaMarche), il est fortement déconseillé de choisir le même
mot de passe que celui permettant d'accéder à cette messagerie car un administrateur peu scrupuleux,
pourrait sans aucun problème avoir un oeil sur votre vie privée !
La plupart des attaques de type « man in the middle » consistent à écouter le réseau à l'aide d'un outil
appelé sniffer.
Ainsi, selon le contexte, le pirate peut bénéficier des droits de l'utilisateur. Imaginons un scénario dans
lequel un client transmet un nom d'utilisateur et un mot de passe chiffrés à un serveur afin de
s'authentifier. Si un pirate intercepte la communication (grâce à un logiciel d'écoute) et rejoue la
séquence, il obtiendra alors les mêmes droits que l'utilisateur. Si le système permet de modifier le mot
de passe, il pourra même en mettre un autre, privant ainsi l'utilisateur de son accès.
Audit informatique : Principes - Outils - Concepts - Conseil. 59
Section 5 – Arnaques
1 Ingénierie sociale (social engineering)
3 - Phishing
4 - Loteries
5 – Ransomware ou Rançongiciel
https://fr.wikipedia.org/wiki/Ran%C3%A7ongiciel
Un ransomware peut aussi bloquer l'accès de tout utilisateur à une machine jusqu'à ce qu'une clé ou un outil
de débridage soit envoyé à la victime en échange d'une somme d'argent. Les modèles modernes de
rançongiciels sont apparus en Russie initialement, mais on constate que le nombre d'attaques de ce type a
grandement augmenté dans d'autres pays, entre autres l'Australie, l'Allemagne, les États-Unis.
Logiciel de rançon à chiffrement ou crypto-rançongiciel
Logiciel de rançon sans chiffrement
Audit informatique : Principes - Outils - Concepts - Conseil. 60
Objectif : Analyser les relations entre la direction générale, la direction des systèmes
d'information et les directions "métiers".
Note : Ce rattachement être permanent pour les organisations où cela est justifié. Il est
temporaire dans les autres organisations en phase de développement ou refonte du système
d’information. Le DSI a alors besoin d’une autorité sur tous les directeurs pour faire aboutir le
projet au moindre coût. C’est pour cela que le DSI n’est pas un simple informaticien, mais un
manager connaissant bien l’organisation et l’informatique.
Service
Informatique
DAF DP DMAC
DG
Informaticien
DAF DP DMAC
Ci-après, un exemple de DSI d’une institution qui assure en interne le développement de son
logiciel métier.
Indicateur à maximiser
Un indicateur sera dit "positif" ou à maximiser si, plus sa valeur est élevée, mieux cela vaut pour
l’organisation et ses stakeholders.
Indicateur à minimiser
Un indicateur sera dit "négatif" ou à minimiser si moins sa valeur sera élevée, mieux cela vaut
pour l’organisation et ses stakeholders.
Audit informatique : Principes - Outils - Concepts - Conseil. 63
Exercice : Définir trois types d’indicateurs et rechercher deux exemples originaux dans chaque
catégorie.
Audit informatique : Principes - Outils - Concepts - Conseil. 64
Sys tème
- Devis d'Information
- Paie++ a utomatisé
- Immo - Compta++
- Personnel - SCM
- Suivi des présences - Ventes
- CRM Sys tème
- d'Information
a utomatisable
Sys tème
- Tri des dossiers d'Information
-
La GSI est un processus de management, fondé sur de bonnes pratiques (best practices)
permettant à l’entreprise de diriger la fonction système d’information dans le but de :
1. Soutenir les objectifs de création de valeur
2. S’assurer de l’orientation Client du SI
3. Accroître la performance des processus du SI
4. Maîtriser les aspects financiers du SI
5. Développer des solutions et des compétences en SI dont l’organisation aura besoin dans le
futur
6. S’assurer que les risques de l’entreprise sont gérés
7. Développer la transparence.
8
AFAI : Association Française de l’Audit et du Conseil Informatiques - CIGREF : Club Informatique des Grandes
Entreprises Françaises
Audit informatique : Principes - Outils - Concepts - Conseil. 66
B. Modèle en cascade
Le modèle de cycle de vie en cascade a été mis au point dès 1966, puis formalisé aux alentours
de 1970. Il définit des phases séquentielles à l'issue de chacune desquelles des documents sont
produits pour en vérifier la conformité avant de passer à la suivante :
Audit informatique : Principes - Outils - Concepts - Conseil. 68