Cycle de vie d’un audit de sécurité des systèmes d’information
Paramètre d’analyse de risque
L’analyse des risques est l’utilisation systématique d’informations pour estimer le risque. Elle fournit une base à l’évaluation, au traitement et à l’acceptation du risque. L’objectif de cette analyse est d’évaluer deux paramètres caractéristiques du risque encouru par l’entreprise ou l’organisme dans l’hypothèse d’occurrence d’un tel scenario. Ces paramètres sont : La potentialité : la potentialité du risque qui représente, en quelque sorte, sa probabilité d’occurrence, cette potentialité est en fonction du contexte et des mesures de sécurité en place. L’impact : l’impact du risque sur l’entreprise, qui présente la gravité des conséquences directes et indirectes qui découleraient de l’occurrence du risque. Il est éventuellement réduit par la mise en œuvre de mesures de sécurité adaptées. La gravité : la gravité du scénario ou de la situation de risque résulte à la fois de sa potentialité et de son impact.
Afin de quantifier le risque correspondant au scénario analysé, les évaluations de la potentialité et de l’impact seront faites sur une échelle ayant 4 niveaux, ainsi que nous le préciserons d’après les paragraphes suivants : L’impact total devrait être considéré comme un nombre entre 1 et 4. 1 : L’impact est négligeable, 2 : L’effet important : l’impact est notable, mais reste supportable. 3 : L’effet est désastreux, mais l’Entreprise peut survivre à un coût considérable 4 : L’effet est vital, l’Entreprise ne peut pas suivre
la potentialité de la survenance d’un scénario de risque, devrait être considérée comme un nombre entre 0 et 4. 0 : Le risque est non envisagé 1 : Le risque est très improbable 2 : Le risque est improbable, mais sa survenance demeure possible 3 : Il est probable que le risque se produise à plus ou moins court terme 4 : Il est très probable que le risque se produise très certainement et à court terme
Analyse des risques
Notre méthode consiste à calculer la gravité de chaque menace en calculant son impact et sa potentialité et nous nous basons pour le faire sur la démarche d’analyse de risque de MEHARI .
L’estimation de risque que nous proposons de réaliser aura pour objectif de déterminer les risques les plus graves sur le réseau du LMD. Le risque peut être défini comme la conséquence de l’exploitation d’une faille en tenant compte de son impact et de sa potentialité. Dans notre audit de sécurité réseau, nous avons recensé d’après la base de connaissance de MEHARI, la liste des scénarios, des causes et des origines du risque.
Un scénario comprend un nombre de causes et chaque cause comprend un nombre d’origine de risque. [Annexe C]
Evaluation de la potentialité et de l’impact
Pour analyser les risques, MEHARI s’appuie sur un modèle de risque qui distingue : Deux facteurs structurels, indépendants de toutes mesures de sécurité qui sont l’exposition naturelle et l’impact intrinsèque. Deux facteurs de réduction de la potentialité : Dissuasion et prévention. Trois facteurs de réduction de l’impact : confinement (ou protection), mesures palliatives et transfert du risque. La figure ci-dessous explique mieux le concept de mesure de la potentialité et de l’impact par la méthode MEHARI.MEHARI propose une évaluation de la potentialité en partant de l’évaluation de l’exposition naturelle et du niveau de mesure de dissuasives et préventif.
L’exposition naturelle à un risque donné peut dépendre de : Sa localisation et de son environnement, pour les risques naturels. L’enjeu potentiel d’un acte volontaire, pour son auteur (vol, détournement, satisfaction intellectuelle, etc.). La probabilité d’une action volontaire vise l’entreprise (inversement proportionnel au nombre de cibles potentiels : notion de ciblage). Les mesures dissuasives qui permettent d’éviter la mise en œuvre des menaces potentielles. Les mesures préventives qui empêchent qu’une menace se réalise
Guide du mémoire de fin d’études avec la catégorie Etude comparative des méthodologies d’audit |
Étudiant en université, dans une école supérieur ou d’ingénieur, et que vous cherchez des ressources pédagogiques entièrement gratuites, il est jamais trop tard pour commencer à apprendre et consulter une liste des projets proposées cette année, vous trouverez ici des centaines de rapports pfe spécialement conçu pour vous aider à rédiger votre rapport de stage, vous prouvez les télécharger librement en divers formats (DOC, RAR, PDF).. Tout ce que vous devez faire est de télécharger le pfe et ouvrir le fichier PDF ou DOC. Ce rapport complet, pour aider les autres étudiants dans leurs propres travaux, est classé dans la catégorie Préparation de l’audit où vous pouvez trouver aussi quelques autres mémoires de fin d’études similaires.
|
Table des matières
Introduction Générale
Chapitre I. Contexte du projet et état de l’art
Introduction
Contexte du projet
I-1- Organisme d’accueil
I-2- Présentation du service Informatique
I-3- Etude de l’existant
Etat de l’art
II-1- Description des Normes d’audit
II-2- Audit de sécurité de système d’information
Audit de sécurité de système d’information en Tunisie
Objectifs de l’audit de sécurité
Cycle de vie d’un audit de sécurité des systèmes d’information
II-3- Démarche de réalisation d’une mission d’audit
Préparation de l’audit
Audit organisationnel et physique
Audit technique
Rapport d’audit
Conclusion
Chapitre II. Audit organisationnel et physique
Introduction
Description de l’existante
I-1- Description de l’infrastructure de site
Les Serveurs
Les composants réseau
I-2- Les mesures de sécurité existantes
Sécurité réseaux
Sécurité physique
Sécurité logique
Sécurité des machines
Analyse des résultats de l’Audit organisationnel et physique
Conclusion
Chapitre III. Analyse des risques
Introduction
Etude comparative des méthodologies d’audit
I-1- COBIT
I-2- CRAMM
I-3- EBIOS :
I-4- MEHARI :
Choix de la méthodologie d’audit Mehari 2013
Paramètre d’analyse de risque
III-1- Analyse des risques
III-2- Evaluation de la potentialité et de l’impact
Evaluation de potentialité
Evaluation de l’impact
III-3- Evaluation de la gravité de risque
Application de Mehari
IV-1- La phase préparatoire
IV-2- Identification et classification des ressources
IV-3- Création d’une base spécifique de scénarios
IV-4- Evaluation quantitative des scénarios
Conclusion
Chapitre IV. Audit Technique
Introduction
Audit de l’architecture du système
I-1- Reconnaissance du réseau et du plan d’adressage
I-2- Sondage des services réseaux
Les ports ouverts
Les services réseau
Sondage des flux réseaux
Le sondage des systèmes
Analyse des vulnérabilités
II-1- Analyse des vulnérabilités des serveurs en exploitation
Serveur Squid/IPtable
Serveur Active Directory
Audit de l’architecture de sécurité existante
III-1- Audit de Firewall et des règles de filtrages
III-2- Audit de serveur de mise à jour antivirus
III-3- Audit de la politique d’usage de mots de passe
Conclusion
Chapitre V. Recommandations
Introduction
Recommandations d’ordre organisationnel et physique
I-1- Définir et documenter une politique de sécurité
I-2- Classifier les ressources
I-3- Définir une charte de confidentialité
I-4- Spécifier et documenter les exigences réglementaires et légales
I-5- Désigner et réorganiser les responsabilités
I-6- Faire de l’audit une pratique de base
I-7- Sensibiliser et former périodiquement le personnel
I-8- Protéger les ressources et les actifs
I-9- Contrôler l’abandon et la destruction des supports
I-10- Garantir la disponibilité de l’énergie
Recommandations d’ordre technique
II-1- Renforcer l’architecture du réseau LAN
II-2- Limiter les services réseaux disponibles
II-3- Définir des procédures de configuration des équipements réseaux
II-4- Renforcer de la solution antivirale
II-5- Sécuriser les équipements réseaux critiques
II-6- Consolider la protection contre les attaques internes
II-7- Recommandations systèm
II-8- Améliorer la méthodologie d’administration
II-9- Mettre en place une procédure formalisée pour la gestion des utilisateurs
II-10- Renforcer les mesures d’authentification :
II-11- Mettre en place une plateforme de support technique
Solution proposée
III-1- Zone DMZ
III-2- Détection et prévention d’intrusion
III-3- Architecture réseau proposée
Conclusion
Conclusion Générale
Bibliographie et Webographie
Liste des acronymes
ANNEXE
Télécharger le rapport complet