1 - Cours-4a-2022-Volet 1-Module-7

MODULE N°7 : PLAN D’ACTION AUDITS ET CONTRÔLES
PLAN D’ACTION SÉCURITÉ ET BUDGET

AUDIT DE SÉCURITÉ FONCTIONNEL
AUDIT DE SÉCURITÉ TECHNIQUE
296 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 Un plan d’action sécurité peut découler

 d’une analyse de risques
 d’un audit de sécurité organisationnel ou technique

 Cybersécurité : le plan à 1 milliard de

l'Etat
« Emmanuel Macron veut renforcer la sécurité des entreprises, hôpitaux et
administrations, alors que les cyberattaques se multiplient partout dans le monde. Le
secteur est appelé par l'Etat à doubler ses effectifs en quatre ans. »
« L'Agence nationale de la sécurité des systèmes d'information (Anssi) se verra

confier un budget de 136 millions d'euros pour renforcer la sécurité des services
publics, en premier lieu les hôpitaux et les collectivités locales. (Hamilton/REA) »

Organisationnel - Pilotage
• PILOTER LA GOUVERNANCE DE • GÉRER LES INCIDENTS DE
LA CYBERSECURITE CYBERSECURITE
o Politique de sécurité des systèmes o Journalisation
d’information
o Sonde de Détection
o Indicateurs
o Traitement des incidents
o Sensibilisation
o Gestion de Crise
• MAITRISER LES RISQUES • PROTEGER LES SYSTEMES

o Certification / Homologation
o Gestion des identités et des accès
o Audit par des tiers
o Cloisonnement des réseaux
o Compte d’administration - Réseau dédié
• MAITRISER SES SYSTEMES o Accès distants et filtrage
D’INFORMATION o Durcissement des configurations
o Cartographie - inventaire
o Veille Cyber
o Patch Management
Technologie - Solutions
• IDS/IPS
• Firewalls Applicatifs
• Proxy / Reverse Proxy
• Gestion de la configuration Sécurité du
contenu • Firewall / VPN
• Network Access Control (NAC)
• Supervision / Monitoring
• Anti APT/ Sandbox Sécurité des
Sécurité
• Security Incident & Event infrastructures
applicative
Management (SIEM)
• Gestion des vulnérabilités
Sécurité Défense en Sécurité

• Cloud Access Security profondeur
du cloud Industrielle • Supervision des
Brokers (CASB)
environnements SCADA
Sécurité Sécurité
des accès des données
• Gestion des accès et des habilitations • Protection des données
(IAM) • EDR (Endpoint Detection &
• PKI / HSM Remediation)
• Authentification forte • Chiffrement des données

Définir les mesures de sécurité dans un plan d’amélioration continue de la sécurité
(PACS)

ILLUSTRATION : PLAN D’ACTION

AUDIT DE SÉCURITÉ ET CONTRÔLES
Pourquoi réaliser un audit de sécurité ?
• Se conformer à des obligations légales ou réglementaires

• RGPD
• LPM
• NIS Détaillé un peu plus loin… dans le volet 3 du cours
• RGS…
• Évaluer le niveau de sécurité existant par rapport à un référentiel

• Bonnes pratiques du marché (ex. norme ISO27001)
• Politique de sécurité de l'organisation
• Évaluer le niveau de sécurité d’une partie du SI

• Nouveau partenaire / prestataire raccordé au SI
• Nouvelle application sur le point d’être lancée
• Fusion de deux SI…
• Sensibiliser les acteurs (audits participatifs, auto-évaluations…)

AUDIT DE SÉCURITÉ ET CONTRÔLES
Quels types d’audits de sécurité choisir ?
Audit de l’organisation et des processus
Différents types d’audit : Conformité aux normes ISO/IEC 27001/27002, politiques de sécurité,
Plan d’Assurance Sécurité (PAS)…
• Audit organisationnel
Revues de code applicatif
• Audit de processus Tests d’intrusion
Évaluation de la sécurité du code
• Boite noire (sans information) ou
• Audit de conformité boite grise (avec comptes)
• Depuis Internet ou depuis le Revues de configuration
• Audit d’infrastructure réseau interne Revue sécurité de la configuration
du socle technique
• Audit technique
• etc Audit de la sécurité physique
Sécurité physique et environnementale des locaux et centres informatiques
Audits ou tests d’intrusion ? Boîte noire ou boîte blanche?
• Un audit vise à avoir une image globale du niveau de sécurité • La boîte noire désigne un test d’intrusion lors duquel
atteint sur le périmètre par rapport aux objectifs de sécurité l’auditeur ne dispose d’aucune information (uniquement une
• Un test d’intrusion vise à savoir si l’on peut rentrer dans le URL ou une IP)
système, en condition réelles et ne donne qu’une image • La boîte blanche désigne un test d’intrusion ou un audit
partielle (celle de l’attaquant) dans lequel l’auditeur dispose d’un accès complet au
• Il est intéressant de réaliser les 2 approches système : compte administrateur, root, extrait des
configurations

AUDIT DE SÉCURITÉ ORGANISATIONNEL
 Audit organisationnel
 Interviews des différents acteurs fonctionnels (DIRECTION, DRH, DAF, QUALITE, SERVICE
JURIDIQUE…) et techniques du SI
 Audit du référentiel organisationnel (procédures, règles de sécurité, pratiques)
 Audit du référentiel technique (existence de systèmes de sécurité, redondance,
sauvegarde, etc…)
 Basé sur une approche normative ISO 27002 – ISO 27001
 Avantage - Positionnement rapide du niveau de sécurité par rapport à un référentiel

Résultats du questionnaire de sécurité
AUDIT DE SÉCURITÉ
ORGANISATIONNEL
Synthèse du questionnaire de sécurité

ANALYSE DE LA MATURITÉ DE LA SÉCURITÉ DE L’INFORMATION
Sommeil Éveil Croissance Maturité

Entreprise non La sécurité Direction reconnaît La sécurité de
Culture sensibilisée à la informatique est importance de la l’information est
Sécurité sécurité gérée par la DSI sécurité de dans la culture de
l’information l’entreprise
Rudimentaires Techniques (VPN, Organisationnelles Mise en place d’une
Type
(anti-virus, mot de cryptographie, pare (analyse des risques, politique globale
mesures de
passe) feux, cellule de crise, …) de sécurité de
sécurité
authentification) l’information
Sauvegarde des Environnement Un Plan de Continuité Le Plan de Continuité
Continuité données sans informatique d’Activité est élaboré d’Activité est
d’activité stratégie définie sécurisé : backup, réactualisé et vérifié
redondance, … régulièrement
Pas d’organisation Les budgets sont Un poste budgétaire Le RSSI évolue vers
Affectation pas de budget et de noyés dans les existe en propre et un du risk management
de moyens directives budgets RSSI est nommé de l’entreprise
informatiques (souvent à la DSI)
Contrôle Pas d’analyse Quelques indicateurs Des tableaux de bord Le management de la

existent sont élaborés et sécurité est en place
efficacité analysés et contrôlé

UTILISATION DE WOOCLAP
 Sondage à partir d’un navigateur Web ou d’une App (smart phone)

1. Aller sur https://www.wooclap.com/
2. Rentrer le code donné par le formateur
CODE A SAISIR : IUMQAX

RÉSUMÉ DU MODULE
Plan d’action
Budget
sécurité
Audits de sécurité Tests intrusifs

POUR ALLER PLUS LOIN
 Livres
 Sécurité informatique et réseaux - 5eme édition de Solange Ghernaouti (Auteur)
édition DUNOD
 Management de la sécurité de l'information. Implémentation ISO 27001 Broché
d’Alexandre Fernandez-Toro (Auteur), Hervé Schauer (Préface)
 La fonction RSSI - Guide des pratiques et retours d'expérience - 2 e éditions Brochées
– 9 février 2011 de Bernard Foray (Auteur)
 La sécurité du système d'information des établissements de santé Broché – 31 mai
2012 de Cédric Cartau (Auteur)
 Magazine
 http://boutique.ed-diamond.com/ (revue MISC)
 Web
 www.ssi.gouv.fr – Sécurité des systèmes industriels
 Portail de la sécurité informatique - http://www.securite-informatique.gouv.fr
 www.clusif.fr
310 PRONETIS©2022
PRONETIS©2015 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés
FIN DU VOLET
MERCI POUR VOTRE ATTENTION

1 - Cours-4a-2022-Volet 1-Module-7

Transféré par

Droits d'auteur :

Formats disponibles

1 - Cours-4a-2022-Volet 1-Module-7

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

1 - Cours-4a-2022-Volet 1-Module-7

Transféré par

Droits d'auteur :

Formats disponibles

MODULE N°7 : PLAN D’ACTION AUDITS ET CONTRÔLES

PLAN D’ACTION SÉCURITÉ ET BUDGET

296 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 Un plan d’action sécurité peut découler

297 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 Cybersécurité : le plan à 1 milliard de

« L'Agence nationale de la sécurité des systèmes d'information (Anssi) se verra

298 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

• MAITRISER LES RISQUES • PROTEGER LES SYSTEMES

Sécurité Défense en Sécurité

300 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

301 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

302 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Pourquoi réaliser un audit de sécurité ?

• Se conformer à des obligations légales ou réglementaires

• Évaluer le niveau de sécurité existant par rapport à un référentiel

• Évaluer le niveau de sécurité d’une partie du SI

• Sensibiliser les acteurs (audits participatifs, auto-évaluations…)

303 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Audits ou tests d’intrusion ? Boîte noire ou boîte blanche?

304 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

305 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Synthèse du questionnaire de sécurité

306 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Sommeil Éveil Croissance Maturité

Contrôle Pas d’analyse Quelques indicateurs Des tableaux de bord Le management de la

307 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

 Sondage à partir d’un navigateur Web ou d’une App (smart phone)

CODE A SAISIR : IUMQAX

308 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Audits de sécurité Tests intrusifs

309 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

MERCI POUR VOTRE ATTENTION

311 PRONETIS©2022 - Philippe Prestigiacomo - Droits d'utilisation ou de reproduction réservés

Vous aimerez peut-être aussi