Afin de sécuriser son infrastructure informatique, tout dirigeant d’entreprise doit connaître précisément son fonctionnement. Grâce à un audit de sécurité informatique, il disposera d’une analyse de l’existant et de recommandations pour pallier aux potentielles failles. Selon la nature de ses activités, sa société peut être légalement obligée de réaliser périodiquement de type d’audit.

 

L’audit de sécurité informatique pour diminuer les risques

 

La finalité de cet audit est de comprendre quel est le niveau de sécurité d’un système d’information et de le comparer aux attentes définies par la politique interne de l’entreprise ainsi que par la législation tunisienne. Pour cela, une équipe d’experts, externes à l’entreprise, va analyser la sécurité du système informatique, sur le plan organisationnel et technique, avant de procéder à des tests d’intrusion et de vulnérabilité. Enfin, elle préconisera des actions pour améliorer la sécurité informatique globale.

 

L’analyse de l’organisation générale de la sécurité

 

Durant cette phase de la mission, les auditeurs appliquent des méthodes reconnues d’analyse des risques telles que MARION (Méthode d’Analyse de Risques Informatiques Optimisée par Niveau), EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), MEHARI (Méthode Harmonisée d’Analyse des Risques) ou MELISA (Méthode d’évaluation de la vulnérabilité résiduelle des systèmes d’information).

Ils évaluent la sécurité par des entretiens et des réunions avec certains collaborateurs ainsi qu’en étudiant des documents internes.

 

La détection des vulnérabilités du système

 

La partie technique de l’audit débute par un bilan précis de l’architecture du système et de l’organisation du/des réseaux (adressage I.P., passerelles externes, protocoles, applications, serveurs, surveillance du trafic…).

Cette phase permet de décrire les vulnérabilités du système. Enfin, une série des tests intrusifs sont réalisés pour compléter cette analyse.

Les simulations concernent des attaques (par un utilisateur intérieur puis extérieur et par vol d’équipement) dont le but est de tenter de récupérer des informations critiques. Elles servent également à tester les contrôles physiques avec l’organisation d’intrusions programmées dans les locaux.

 

Le cadre juridique concernant les audits de sécurité informatique

 

Depuis 2004 (décret n° 2004-1250 du 25/05/04), un audit périodique de la sécurité informatique est obligatoire pour :

  • L’ensemble des organismes publics,
  • Les opérateurs de réseaux publics,
  • Les fournisseurs de services internet (FSI),
  • Les entreprises dont les réseaux internes sont interconnectés grâce à des réseaux externes,
  • Les sociétés traitant de manière automatisée les données personnelles de leurs clients.

 

Seuls les professionnels certifiés par l’Agence Nationale de la Sécurité Informatique (ANSI) sont habilités à effectuer ce type de mission. La liste de tous ces intervenants (cabinets d’audit et auditeurs) est disponible sur le site de l’ANSI (www.ansi.tn).

 

A lire aussi dans notre dossier sécurité:

Originally posted 2017-11-13 16:21:18.