Audit Informatique
Compte Rendu : Audit Informatique. Recherche parmi 300 000+ dissertationsPar fabirassy • 6 Février 2013 • 4 553 Mots (19 Pages) • 1 220 Vues
Domaine 1- Evaluation des risques
Objectifs • Avoir une évaluation correcte des risques en vue de la définition de mesures de sécurité appropriées
Risques Conséquences Dispositifs de contrôle
existants ou souhaitables Objectifs d'audit
Evaluation insuffisante des risques encourus : connaissance imparfaite des menaces, des vulnérabilités et de l'impact des sinistres potentiels • Prévention insuffisante des risques encourus
• Choix de mesures de sécurité inadaptées
• Impacts élevés des sinistres.
• Utilisation d'une méthode formalisée d'analyse des risques comprenant une métrique et des règles de traitement des risques.
• Recensement exhaustif et périodique des vulnérabilités du système d'information, notamment des failles de sécurité des composants logiciels (système d'exploitation, services, applications, utilitaires ...).
• Veille technologique sur les risques informatiques et la sécurité de l'information. • S'assurer que la définition et la révision de la politique de sécurité de l'information est basée sur une analyse systématique et documentée des risques.
Domaine 2- Politique de sécurité
Objectifs • Fournir une orientation stratégique et un support pour une gestion cohérente et efficace de la sécurité de l'information
Risques Conséquences Dispositifs de contrôle
existants ou souhaitables Objectifs d'audit
• Formalisation insuffisante de la politique de sécurité • Mauvaise perception des orientations stratégiques et des objectifs de sécurité de l'entreprise
• Comportements (personnel et partenaires) contraires aux objectifs de sécurité • Document de politique de sécurité de l'information, approuvé par le Gouvernement, publié et communiqué à tout le personnel. • S'assurer de la conformité du document de politique de sécurité de l'information aux bonnes pratiques.
• Vérifier la diffusion et la connaissance du document par le personnel.
• Politique de sécurité inadaptée • Maîtrise insuffisante des risques encourus • Existence d'une procédure d'évaluation et de révision périodiques de la politique de sécurité. • Vérifier l'existence d'une procédure et/ou d'une programmation pour la révision périodique de la politique de sécurité.
Domaine 3- Organisation de la sécurité
Objectifs • Gérer la sécurité de l'information au sein de l'entreprise
• Maintenir la sécurité des équipements informatiques et des ressources du système d'information accessibles par des tiers.
Risques Conséquences Dispositifs de contrôle
existants ou souhaitables Objectifs d'audit
Inefficacité dans l'organisation de la sécurité de l'information • Incohérence des moyens mis en oeuvre
• Insuffisance de performances de la fonction informatique
• Perte d'efficacité des dispositifs et procédures de sécurité
• Un Comité de gestion de la sécurité de l'information, composé des structures impliquées dans la sécurité de l'information, chargé notamment de :
- l'approbation de la politique de sécurité et du contrôle des changements significatifs y afférents ;
- de l'examen et du contrôle des incidents de sécurité ;
- de l'approbation des principales initiatives pour le renforcement de la sécurité de l'information.
• Définition claire des responsabilités des différentes structures ou acteurs impliqués dans la sécurité de l'information
• Désignation d'un RSSI, doté de responsabilités transversales au sein de l'entreprise, pour assurer le suivi de la mise oeuvre de la politique de sécurité de l'information.
• S'assurer de l'existence d'une structure apte à gérer au sein de l'entreprise, le système de sécurité de l'information
• S'assurer du fonctionnement régulier de cette structure (participation effective des représentants des structures concernées (conformité de la composition du Comité avec les exigences sécuritaires de l'ENTREPRISE).
• Evaluer le niveau de responsabilisation des différentes structures hiérarchiques et leur adhésion aux initiatives de sécurité
• Vérifier la désignation d'un RSSI et s'assurer qu'il est doté de responsabilités transversales pour assurer une gestion cohérente de la sécurité de l'information.
• Insuffisance de contrôles sur :
- l'utilisation de nouveaux équipements et d'équipements personnels
- la gestion de la sécurité de l'information
• Expertise insuffisante dans le domaine de la sécurité de l'information • Absence de compatibilité entre les composants du système
• Inefficacité des dispositifs de sécurité
• Détection tardive d'anomalies • Procédures d'approbation des nouveaux matériels et logiciels avant leur installation afin de s'assurer de leur compatibilité ou conformité avec les autres composantes du systèmes et les règles de sécurité (homologation).
• Coopération avec des organismes intervenant dans le domaine de la sécurité de l'information (partage d'expérience, diffusion d'alertes, etc.)
• Contrôles indépendants de la gestion de la sécurité de l'information par des auditeurs internes ou organismes ayant les compétences requises en la matières
• S'assurer que les processus d'approbation et d'homologation,
...