Audit Sécurité Informatique

Audit Sécurité Informatique

Audit Sécurité Informatique
Cours
Julien

Par Julien

Mise à jour le 27-09-2010

Télécharger ce document

→ Téléchargement disponible après inscription

10,00/20

2 Avis > Donne ton avis

2705 téléchargements

> Partager !

Extrait du document

 

La sécurité de l'informatique pose un problème d'un ordre nouveau et que le simple ajout d'une serrure ne saurait résoudre.

 

 

Voir également tous les cours d'informatique.

> Retrouvez également une fiche métier Ingénieur en informatique.

 

 

Plan du document :

 

Chapitre 1 : Revue de l'organisation générale de la sécurité informatique

 

Chapitre 2 : Analyse générale du risque

 

Chapitre 3 : Evaluation de la sécurité physique

 

Chapitre 4 : Evaluation de la sécurité des données et des traitements informatiques

 

Chapitre 5 : Examen des dispositifs de protection contre les risques et attaques venus du réseau

 

Chapitre 6 : Méthodologie et outils de l'auditeur informatique

 

Chapitre 7 : Normes et législation sur la sécurité informatique

 

 

Chapitre 1 : Revue de l'organisation générale de la sécurité informatique

1. Objectifs

Procéder à l'évaluation de l'organisation générale mise en oeuvre pour assurer la sécurité du système informatique. 

 

2. Travaux d'audit

Aspects à passer sous revue : 

• Politique générale et plan de sécurité 

• Management et pilotage de la sécurité 

• Charte de sécurité 

• Procédures de gestion opérationnelle de la sécurité 

• Sensibilisation et formation du personnel à la sécurité informatique

 

3. Définitions présentations générales 

Une politique de sécurité est un ensemble de règles qui fixent les actions autorisées et interdites dans le domaine de la sécurité

 

Plan de sécurité

> Schéma directeur sécurité 

> Plan opérationnel de sécurité

> Schéma directeur sécurité 

 

Classification des ressources et leur niveau d'indisponibilité admise, qui est un préalable incontournable à l'appréciation de la gravité des risques. 

 

Classifications des risques et mesure de leurs impacts sur l'entreprise 

 

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

 

 

 

Chapitre 2 : Analyse générale du risque

1. Objectifs 

Procéder aux analyses des différents scénarios de risques auxquels l'entreprise peut être exposés, avec la présentation pour chaque risque des aspects suivant : 

• description : nature, origine, cible, matérialité (sinistre), 

• analyse de sa potentialité 

• analyse de ses impacts 

Les analyses sont faites, en particulier par l'appréciation des différents services de sécurité mis en place dans l'entreprise. 

 

2. Définition - Présentation générale

Les risques informatiques proviennent du caractère imprévisible des éléments qui se rattachent à l'environnement et aux personnes. Il demeure essentiel de protéger adéquatement toutes ses ressources informatiques contre tout incident de nature accidentelle ou intentionnelle qui pourrait éventuellement occasionner des pertes ou des dommages considérables pour l'entreprise. 

 

• Le risque exprime le fait qu'une entité, action ou événement, puisse être empêché de maintenir une situation ou d'atteindre un objectif dans les conditions fixées, ou de satisfaire à une finalité programmée, ceci à cause d'une action adverse. Une menace représente un risque à l'état latent. 

• La capacité pour l'événement adverse de se produire se traduit par la notion de potentialité du risque 

• L'importance des conséquences du risque se traduit par la notion d'impact du risque 

• Potentialité et impact, caractérisent le risque et détermine sa gravité 

• La gravité du risque exprime la potentialité qu'il a de se réaliser et l'importance de ses conséquences. 

 

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

 

 

3. Travaux d'audit 

Les risques sur les ressources

Absence de personnel : Départ de personnel stratégique 

Absence de personnel : Disparition de personnel stratégique 

 

Accident ou panne grave rendant une ressource H.S : 

• Accident de nature électrique (court-circuit)

• Panne de matériel informatique (serveur, réseau LAN ou WAN, imprimante, etc)

 

Impossibilité de maintenance : 

• Défaillance matérielle non couverte par la maintenance : indisponibilité du prestataire 

• Arrêt de maintenance de logiciel, par disparition de SSII ou du fournisseur 

 

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

 

 

Chapitre 3 : Evaluation de la sécurité physique

1. Objectifs

Evaluer les dispositifs mis en oeuvre pour assurer la sécurité de l'environnement physique : 

• Protection de l'accès physique à l'environnement informatique 

• Protection et contrôle de l'accès physique aux lieux de stockage des bandes (ou cartouches) magnétiques 

• Couverture des risques par un contrat d'assurance 

 

Les contrats d'assurances contre les risques informatiques peuvent être ventilés en : 

• des contrats «tous risques informatiques (TRI) qui recouvrent selon les garanties, tout au partie des dommages liés à des événements accidentels,

• des contrats «extension aux risques informatiques » (ERI) qui couvrent, selon les garanties tout ou partie des dommages liés à une utilisation non autorisée des systèmes informatiques (actes frauduleux ou malveillants),

• des contrats de type « globale informatique » qui cumulent les couvertures liées aux deux types de risques précédents

 

3. Travaux d'audit 

 

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

 

 

 

Chapitre 4 : Evaluation de la sécurité des données et des traitements informatiques

 

 

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

 

 

 

Chapitre 5 : Examen des dispositifs de protection contre les risques et attaques venus du réseau

1. Objectifs

Evaluer l'organisation générale, les mesures et les dispositifs mis en oeuvre pour assurer la protection des systèmes informatiques contre les risques et attaques venus du réseau : 

• Prévention des risques 

• Détection des intrusions 

• Réactions (ripostes) face aux attaques  

• Test de vulnérabilité des dispositifs mis en place

• Mise à jour et renforcement régulier des dispositifs mis en place 

 

2. Définition - Présentation générale

Il y a plusieurs manières pour un ordinateur de se mettre en liaison avec d'autres : 

• un ordinateur isolé n'a pas de liason fixe avec d'autres machines. L'échange de données ne peut se faire qu’à l’aide de supports amovibles, disquettes, CD-ROM, disques durs amovibles, etc

• Un ordinateur en réseau d’entreprise (LAN, MAN, WAN) est en contact permanent avec un groupe déterminé d’autres ordinateurs, dans un réseau d’entreprise.

• Un ordinateur en réseau global (Internet) est en connexion permanente ou temporaire avec l’immense parc d’ordinateurs mondial

 

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

 

 

3. Travaux d'audit

Evaluation de l'organisation générale des accès au réseau

> Analyse de la sensibilité des sous-réseaux ? 

• Définition de domaines de sensibilité différente (domaines d'activité, domaines réservés, extra net, etc) par segment du réseau. 

• Classification de ces domaines selon plusieurs critères (Disponibilité, Intégrité et Confidentialité, etc)

 

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

 

 

Chapitre 6 : Méthodologie et outils de l'auditeur informatique

 

 

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

 

 

Chapitre 7 : Normes et législation sur la sécurité informatique

1. Les niveaux de sécurité des systèmes

 

 

 

CRIMINALITES INFORMATIQUES

La criminalité informatique n'est plus du domaine des simples cyberpirates à la recherche de célébrité. Selon des experts, les pirates informatiques d'aujourd'hui sont beaucoup plus sophistiqués et cherchent davantage à s'enrichir avec leur savoir. Un rapport publié mardi par la firme de logiciels antivirus McAfee conclut que les criminels informatiques sont maintenant bien plus intéressés par les transactions bancaires, qui sont à la hausse sur Internet. «Les voleurs veulent toujours plus d'argent», explique James Lewis, auteur du rapport et directeur du Programme de technologie et de politique publique au Centre for Strategic and International Studies à Washington. Il y a cinq ans, les grandes entreprises craignaient surtout les jeunes pirates informatiques et les dommages qu'ils pouvaient causer sur leur site Internet simplement par désir de célébrité. Mais depuis, plusieurs de ces casseurs ont réalisé qu'ils pouvaient s'enrichir en monnayant leur savoir. «Ce sont véritablement des mercenaires», affirme Jimmy Kuo, un employé de McAfee qui fait partie de l'équipe chargée de développer les logiciels antivirus de la société. Ainsi, lorsqu'ils ont une commande de la part d'une organisation criminelle, ils peuvent créer un virus capable d'infecter un millier d'ordinateurs, lesquels deviennent des zombies, parce qu'ils agissent sans la surveillance du pirate. Et souvent, les propriétaires de ces ordinateurs ne savent même pas que leur appareil sert désormais à des fins criminelles. Selon le rapport, certains pirates demandent jusqu'à 300 $ de l'heure pour louer leur réseau d'ordinateurs zombies.

 

 → Cette partie est entièrement disponible sur le document à télécharger gratuitement 

 

 

 

.

Télécharger ce document

Les avis sur cet article
Amourgojo
Dans les systèmes de sécurité informatique, nul n'est infaillible. A ce titre tout documents, capable de nous aider à nous protéger est le bien venu. Merci pour cet doc.
Par

Amourgojo

- le 30 Avril 13h38
didier
j'apprecie vraiment le contenu de ce doc.
Par

didier

- le 13 Octobre 11h33
Donne ton avis !
Ta note :
Rédige ton avis
Votre commentaire a bien été ajouté. Merci de votre participation !
Vous devez donner une note pour valider votre avis.
Le formulaire n'est pas valide. Vérifiez le commentaire et le captcha.


Moteur de formation
Zoom ecole