CHAPITRE 1 : GENERALITES SUR L'AUDIT DE SECURITE

Dans ce chapitre, il sera question pour nous d'appréhender théoriquement le concept d'audit, de nous familiariser avec son approche méthodologique. A cet effet, nous passerons en revue la notion d'audit. Il s'agit en quelque sort d'essayer de visualiser tous les contours sémantiques possibles du concept, ses objectifs, ses méthodes, et les outils relatifs au fonctionnement d'un SI et définir tous autres aspects qu'il met en exergue dans l'évaluation d'un système d'information et communication.

I. LE CONCEPT D'AUDIT

1. Définition

Selon le dictionnaire encarte 2008, l'audit signifie analyse et contrôle de la gestion et de la comptabilité, examen approfondi des domaines d'activités (d'une entreprise) en vue de les rendent conforme à certaines normes ou règles.

Pour Wikipédia, l'audit informatique (encore appelé audit des systèmes d'information) est l'évaluation du niveau de contrôle des risques associés aux activités informatiques. L'objectif apparent est d'améliorer la maitrise des systèmes d'information d'une entité. L'objectif réel est d'assurer le niveau de service adéquat aux activités d'une organisation.

L'audit informatique vise donc à établir une cartographie précise du réseau informatique d'une entreprise. Le matériel, le câblage, les logiciels, les équipements d'interconnexion sont testés et analysé afin de générer des rapports de performances. L'idée est d'assurer que le système d'information et communication est optimisé pour les processus métiers de l'entreprise et qu'il répond au niveau de qualité requis pour son système d'information.

L'audit de sécurité quant à lui, est une vue à un instant T de tout ou partie du SI, permettant de comparer l'état du SI à un référentiel. L'audit répertorie les points forts, et surtout les points faibles (vulnérabilités) de tout ou partie du système.

L'audit est généralement réalisé conjointement à une analyse de risques, et par rapport au référentiel. Le référentiel est généralement constitué de :

? La politique de sécurité du système d'information (PSSI)

? La base documentaire du SI

? Réglementations propre à l'entreprise

? Documents de référence dans le domaine de la sécurité informatique.

Projet tutoré rédigés et présentés par : Juan Felipe MAKOSSO MEPANGO et NTAMACK NGOM Jean Huges

3

3

2. Rôle et Objectif

Dans les entreprises, l'audit permet de dresser l'état réel du fonctionnement du système (financier, informatique, sécurité), cet état se défini suivant un ensemble de méthodes et procédures pour satisfaire son fonctionnement. Les objectifs d'un audit sont multiples :

> Une validation des mesures de sécurité mises en oeuvre (contrôle, suivi qualité) ; > Une validation des processus d'alertes, de réaction face à des sinistres ou des incidents

en déclenchant une simulation d'attaque logique par exemple, on analyse la conformité

de la réaction des acteurs avec les procédures en vigueur ;

> Une détection d'enjeux ou de lacunes "oubliées ";

> Une sensibilisation des utilisateurs, de la hiérarchie, des subordonnés aux risques encourus.

Généralement les entreprises sollicitent un audit de son système informatique en moyenne pour deux cas.

a. Prévention

L'entreprise dresse régulièrement un état des lieux de son système informatique dans le but de connaitre les faiblesses, les possibilités d'amélioration et d'optimisation futures. Ainsi, l'audit permet :

> Se faire une bonne idée du niveau de sécurité du SI

> Tester la mise en place effective de la PSSI

> Tester un nouvel équipement

> Evaluer l'évolution de la sécurité (implique un audit périodique)

b. Réparation

L'entreprise a enregistré une dégradation des performances de son système d'information. Elle décide d'entreprendre un audit de sécurité de son système d'information et communication

(téléphonique) pour en connaitre la cause et améliorer l'efficacité du système.