Audit sécurité de système d’information, AB ERIC

-Résumé

L’objectif de la sécurité de système d’information est de garantir qu’aucun préjudice ne puisse mettre en péril la pérennité de l’entreprise. Cela consiste à diminuer la probabilité de voir les menaces se concrétiser, à en limiter les atteintes ou tout type de dysfonctionnement et surtout permettre le retour à un fonctionnement normal à des coûts et des délais acceptables en cas d’incident.

Néanmoins, l’efficacité de la sécurité ne repose pas seulement sur les outils de sécurité,  une vision stratégique de la sécurité globale de l’entreprise est nécessaire. Le choix des mesures à mettre en place résulte généralement d’un compromis entre le coût du risque et celui de sa réduction.

En effet, avant tout, une analyse des différents risques est réalisée. Celle-ci passe par l’identification des valeurs de l’entreprise, leurs niveaux de vulnérabilité en fonction des menaces particulières. En fait, il s’agit de répondre aux questions :

protéger quoi?

Contre qui ?

Et enfin, pourquoi ?

-Sommaire
Introduction générale
I.1. Introduction
I.2. Les Systèmes d’information
I.2.1. Système
I.2.2. Système d’Information
I.3. La Sécurité de l’Information
I.3.1. La sécurité de l’information
I.3.2. Pourquoi se protéger ?
I.3.3. Qu’est-ce qu’une « politique de sécurité de l’information » ?
I.4. Audit sécurité des systèmes d’information
I.4.1. Audit
I.4.2. Objectifs de l’audit
I.4.3. Cycle de vie d’un audit sécurité des systèmes d’information
I.5. Démarche de réalisation d’un audit Sécurité de Système d’Information
I.5.1. Définition de la charte d’audit
I.5.2. Préparation de l’audit
I.5.3. Audit organisationnel et physique
a. Objectifs
b. Déroulement
Une fois cette phase terminée, il est question de passer à la prochaine étape de l’audit; cela inclut l’audit technique.
I.5.4. Audit technique
a. Objectifs
b. Déroulement
I.5.5. Audit intrusif
a. Objectifs
b. Déroulement
I.5.6. Rapport d’audit
I.6. Conclusion
II.1. Introduction
II.2. ISO (Organisation Internationale de Normalisation)
II.3. Gouvernance de l’information
II.4. Système de Management de la Sécurité de l’Information (SMSI)
II.5. Les normes
II.6. Les méthodes
II.7. Le référentiel COBIT
II.7.1. Définition
II.7.2. Démarche
II.7.3. Avantages de la méthode
Une répartition claire de la propriété et des responsabilités, grâce à l’approche processus.
II.7.4. Inconvénients de la méthode
II.8. Historique des normes en matière de sécurité de l’information
II.9. La suite des normes ISO 2700X:
II.9.1. ISO/CEI 27001 :
II.9.2. ISO/CEI 27002 :
II.9.3. ISO/CEI 27003 :
II.9.4. ISO/CEI 27004 :
II.9.5. ISO/CEI 27005 :
II.9.7. ISO/CEI 27007 :
II.10. La norme ISO/CEI 27002
II.11. Méthodes d’appréciation des risques
II.11.1. La Méthode EBIOS
II.11.2. La méthode MEHARI
II.11.2.1. Principe de fonctionnement
II.12. Tableau comparatif des méthodes et normes
II.13. Synthèse
II.14. Conclusion
III.1. Introduction
III.2. Enjeux de la sécurité des SI :
III.3. Déroulement
III.4. Questionnaire métier
III.5. Questionnaire d’audit organisationnel et environnemental
III.6. Automatisation du traitement du questionnaire
III.6.1. L’outil d’audit du SI
III.6.1.1. Objectif de l’outil
III.6.1.2 Mode d’opération
III.6.1.3. Procédures
III.6.1.3. Les rosaces
III.6.1.4. Scénario d’utilisation
III.7. Rapport
III.7.1. Politique de sécurité
III.7.2. Organisation de la sécurité
III.7.3. Contrôle et classification des actifs
III.7.4. Sécurité liée aux ressources humaines
III.7.5. Sécurité physique et environnementale
III.7.6. Gestion de l’exploitation et des communications
III.7.7. Contrôle d’accès
III.7.8. Acquisition, maintenance et développement des systèmes
III.7.9. Gestion des incidents de sécurité
III.7.10. Gestion de la continuité d’activité
III.7.11. Conformité

III.7.12. Résultat final de l’Analyse Organisationnel et environnemental
III.8. La matrice d’analyse SWOT
III.9. Audit technique
III.9.1. Collecte des informations
III.9.1.1. Les humains sont bavards
III.9.1.2. Techniques et outils utilisés
III.9.1.3. La prise d’empreinte par pile TCP/IP
III.9.2. Repérage de failles
III.9.2.1. Consulter les failles recensées
III.10. Conclusion
IV.1. Introduction
IV.2. Recommandations au niveau organisationnel et physique
IV.2.1. Politique de sécurité
IV.2.2. Organisation de la sécurité
IV.2.3. Classification et contrôle des actifs
IV.2.5. Sécurité physique et environnementale
IV.2.6. Gestion des communications et de l’exploitation
IV.2.7. Contrôle d’accès
IV.2.8. Acquisition, maintenance et développement des systèmes
IV.2.9. Gestion des incidents de sécurité
IV.2.10. Gestion de la continuité d’activité
IV.2.11. Conformité
IV.3. Recommandations au niveau technique
IV.3.1. la solution Loglogic
IV.3.1.1. Caractéristiques de la gamme La gamme ST
IV.3.2. La solution Linagora LinShare
IV.3.3. La solution Wallix
IV.3.4. La solution Nagios
IV.3.5. Network Inventory Advisor
IV.3.6. Une clé USB sécurisée par empreinte digitale
IV.3.7. Fermeture des ports non utilisés
IV.3.8. Rendre les serveurs furtifs
IV.3.9. La mise à jour des applications
IV.3.10. Sécurité des mots de passe
IV.3.11. Attaques sur les protocoles
IV.3.12. Veille sécurité
IV.3.13. Audits internes de sécurité :
IV.4. Conclusion
-Caractéristiques

Date de parution :24 mars 2020

Editeur : auto-édtion

ISBN: B086C6PBNJ 

N.de pages:121 pages