Audit informatique – 1ère partie – Ppa 2011 Concepts de base et référentiels : L’organisation de l’activité informatique de l’entreprise Structure du centre informatique • Direction des systèmes d’information • Etudes et conception • Activité technique • Sécurité du SI • Développement et maintenance • Contrôle qualité 1 Concepts de base et référentiels : L’organisation de l’activité informatique de l’entreprise • Exploitation/Production • Management projets • Veille technologique et stratégique • Suivi de l’activité du centre informatique 2 Concepts de base et référentiels : L’organisation de l’activité informatique de l’entreprise Externalisation • Causes et organisation • Conception/Etudes • Développement • Exploitation/Production 3 1 Audit informatique – 1ère partie – Ppa 2011 Concepts de base et référentiels : Le budget informatique • Typologie des dépenses • Composition du budget • Élaboration du budget de l’activité informatique • Suivi budgétaire 4 Concepts de base et référentiels : Le budget informatique 5 Concepts de base et référentiels : Le budget informatique 6 2 Audit informatique – 1ère partie – Ppa 2011 Concepts de base et référentiels : Le budget informatique 7 Concepts de base et référentiels : Le budget informatique 8 Concepts de base et référentiels : Le budget informatique 9 3 Audit informatique – 1ère partie – Ppa 2011 Concepts de base et référentiels : La sécurité générale • Principes de base • Sensibilisation aux problèmes de sécurité • Sécurité du personnel • Sécurité physique du matériel (Mainframe / Mini / Micro) 10 Concepts de base et référentiels : La sécurité générale • Sécurité des données, des programmes et de la documentation - Objectifs - Sauvegarde et archivage - Séparation des bibliothèques - Sécurisation des accès - Sécurité de la documentation - Sécurité du réseau - Sécurité des transmissions • La prévention, la détection et les assurances 11 La sécurité générale – Démarche Méhari • MEHARI (MEthode Harmonisée d’Analyse de RIsques) : Fait suite à MARION en tant que méthode d’analyse sécuritaire informatique du CLUSIF et est compatible avec la norme de gestion du risque : ISO 13335 12 4 Audit informatique – 1ère partie – Ppa 2011 La sécurité générale – Démarche Méhari Mise en œuvre d’un cadre méthodologique de 4 modules pour établir un : Plan Stratégique de Sécurité (PSS) 13 La sécurité générale – Démarche Méhari • 2 questions concernant la sécurisation informatique de l’entreprise et en particulier de son SI : 1. Quelles sont préconisations énoncées dans la démarche MEHARI ? 2. Quelle est la sécurisation opérationnelle du SI concerné ? Ces 2 questions représentent le socle de tout audit sécuritaire informatique afin de définir les actions à entreprendre 14 La sécurité générale – Démarche Méhari Les 4 modules Méhari 15 5 Audit informatique – 1ère partie – Ppa 2011 La sécurité générale – Démarche Méhari • 1ère préconisation : Établir la liste exhaustive des « situations de risque » de l’entreprise et donc de son SI • 2ème préconisation : Évaluer est le niveau de risque de chacune des situations identifiées • 3ème préconisation : Évaluer le niveau d’acceptabilité de chacune de ces situations • 4ème préconisation : Identifier les actions possibles pour réduire les risques critiques 16 La sécurité générale – Démarche Méhari Pour chaque critère, les réponses devront être analysées selon 2 axes : 1. Différentiel de la 4ème préconisation vs la pratique effective telle qu’existante 2. Niveau de pertinence ou de nuisance du différentiel identifié 17 La sécurité générale – Démarche Méhari La situation de risque pour MEHARI c’est : • Un élément d’actif en situation de risque (unitaire ou collectif/groupement) se trouvant dans une situation de risque (configurations/ logiciels/transmissions/données/documentation… • Un type de dégradation subi par cet élément (c’est le « Risque ») • Les circonstances (type, action, acteur) pouvant générer cette dégradation (c’est la « Menace ») 18 6 Audit informatique – 1ère partie – Ppa 2011 La sécurité générale – Démarche Méhari Technique d’identification des risques (hors vulnérabilités d’exploitation) : • Un élément d’actif (unitaire ou collectif/groupement) se trouvant dans une situation de risque • Un type de dégradation subi par cet élément (c’est le « Risque ») • Les circonstances (type, action, acteur) pouvant générer cette dégradation (c’est la « Menace ») 19 La sécurité générale – Démarche Méhari La vulnérabilité d’exploitation concerne la ou les entités permettant de réaliser l’exploitation effective du SI • La raison : Les évolutions techniques et fonctionnelles fréquentes engendrées par les nouvelles technologies • Le risque/faille existant(e) sera géré(e) en même temps, donc au moment de la réduction du risque issu de la situation de risque 20 La sécurité générale – Démarche Méhari Identification des causes (Cf. Base de connaissances MEHARI) : • Exemple de causes (extrait de la BC) Libellé de la cause Indisponibilité passagère de ressources Destruction d'équipements Performances dégradées Destruction de software Altération de logiciel Altération de données Manipulation de données Divulgation de données ou d'informations Détournement de fichiers de données 21 7 Audit informatique – 1ère partie – Ppa 2011 La sécurité générale – Démarche Méhari Liste des situations/scénarios de risque (Cf. Base de connaissances MEHARI) : • Exemple de thèmes (extrait de la BC) Libellé du thème Rôles et structures Sensibilisation et formation à la sécurité Contrôle d'accès au site Contrôle d'accès aux locaux Risques divers Architecture réseaux et systèmes Contrôles des échanges Contrôle d'accès logique Sécurité des données 22 La sécurité générale – Démarche Méhari • Exemple de sous-thèmes (extrait de la BC) Chaque thème peut être découpé en sous-thèmes : Libellé du sous-thème (pour chacun des thèmes identifié) Absence de personnel Accident ou panne mettant hors service une ou plusieurs ressources matérielles Bug logiciel Impossibilité de maintenance Vandalisme depuis l'extérieur Vandalisme intérieur Indisponibilité totale des locaux modification du logiciel modification du matériel 23 La sécurité générale – Démarche Méhari • Analyse des enjeux de la sécurité - Identification des dysfonctionnements potentiels pouvant être causés ou favorisés par un défaut de sécurité - Évaluation de la gravité de ces dysfonctionnements 24 8 Audit informatique – 1ère partie – Ppa 2011 La sécurité générale – Démarche Méhari • Étude des vulnérabilités - Vérification de l'absence de points faibles inacceptables - Évaluation de l'efficacité des mesures mises en place et garantir leur efficience - Comparaison à l'état de l'art ou aux normes en usage 25 La sécurité générale – Démarche Méhari • Réduction de la gravité des risques - Identification des situations susceptibles de remettre en cause un des résultats attendus de l'entreprise ou de l'organisme ou d'une entité en son sein 26 La sécurité générale – Démarche Méhari - Les 3 évaluations : . Probabilité d’occurrence . Conséquences de l’apparition effective . Niveau d’acceptabilité - La mise en évidence des mesures susceptibles de ramener chaque risque à un niveau acceptable 27 9 Audit informatique – 1ère partie – Ppa 2011 La sécurité générale – Démarche Méhari • Pilotage de la sécurité de l’information - Mise en place d’un cadre structurant pour définir les objectifs annuels ou les étapes de plans d’actions - Identification des indicateurs permettant de comparer les résultats obtenus aux objectifs - Des références externes permettant d’effectuer des " benchmark " 28 La sécurité générale – Démarche Méhari • Sécurisation du SI de l’entreprise 1. Prise de connaissance de l’activité « métier » couverte pas le SI (Processus métier) 2. Examen de l’infrastructure physique existante 3. Analyse des contraintes de gestion du SI 29 La sécurité générale – Démarche Méhari 4. Élaboration de l’organisation sécurisée adaptée Tableau sécuritaire - Matrice générique Secteur/Entité Organisation Sécurisation Justifications 30 10 Audit informatique – 1ère partie – Ppa 2011 La sécurité générale – Démarche Méhari 5. Secteurs/Entités à couvrir - Gestion des ressources humaines Administration générale dont l’organisation (O) générale de l’activité informatique Le management projet Les études en différenciant les 2 pôles d’activités F et T dont la gestion des experts pour cette dernière 31 La sécurité générale – Démarche Méhari Le développement/paramétrage La recette La maintenance (locale et à distance) 32 La sécurité générale – Démarche Méhari La production/exploitation en SR pour chacune des plateformes à gérer (dont la continuité de service à assurer) La gestion des ressources humaines externes (consultants régie/forfait) 33 11 Audit informatique – 1ère partie – Ppa 2011 La sécurité générale – Démarche Méhari - Gestion des ressources matérielles et assimilé Pour chacun des ensembles constitués : Centre informatique, plateforme,… L’architecture matérielle Les transmissions Les E/S de/vers le monde extérieur Les liaisons internes filaires Les connexions mixtes ponctuelles/permanentes 34 La sécurité générale – Démarche Méhari - Sécurisation des systèmes/ensembles externes complémentaires au SI de l’entreprise (exemple : La gestion d’activité franchisée) Pour chacun des ensembles constitués, même démarche que pour le SI de l’entreprise mais seulement pour ceux ayant un lien avec celui-ci en terme de transmissions et de traitements de données 35 La sécurité générale – Démarche Méhari - Remarque : Dans ce dernier cas la sécurité sera étudiée par rapport aux seuls impacts pouvant avoir lieu sur le SI lui-même de l’entreprise : Sécurité des accès Intégrité des données Et seulement si nécessaire, la gestion des logiciels/progiciels mis à disposition du système externe 36 12 Audit informatique – 1ère partie – Ppa 2011 La sécurité générale – Démarche Méhari 6. Composants Méhari : Liste des thèmes sécuritaires découlant des préconisations telles que justifiées dans le tableau Liste des sous-thèmes issus des thèmes identifiés 37 La sécurité générale – Démarche Méhari Mise en œuvre de la démarche 1. Prise de connaissance de l’ensemble à sécuriser Nature, structure de l’activité informatique devant être organisée pour ensuite pouvoir être sécurisée de la manière la mieux adaptée 38 La sécurité générale – Démarche Méhari Exemple à traiter : Organiser et en s’appuyant sur la base de connaissances Méhari déduire la sécurisation à mettre en place sur chacune des plateformes pour l’ensemble de l’activité informatique relative à la gestion des demandes de dépannages de l’assistance Peugeot 7/7-24/24, sachant que tous les services de la Dsi sont directement installés dans les locaux du call center. 39 13 Audit informatique – 1ère partie – Ppa 2011 La sécurité générale – Démarche Méhari 2. Contexte fonctionnel – Processus métier(s) concerné(s) – Détails des services attendus – Ensembles applicatifs à répartir 40 La sécurité générale – Démarche Méhari Il s’agit de gérer en temps réel sur la plateforme, les demandes clients des véhicules Peugeot sous assurance constructeur. Le client en panne dont le véhicule bénéficie de cette assurance appelle le numéro téléphonique de la plateforme de l’assistance Peugeot, à charge pour l’opérateur d’ouvrir une fiche d’intervention « dépannage client » si le véhicule bénéficie à ce moment-là de l’assurance constructeur. Un numéro de dossier est alors affecté permettant ainsi de le suivre jusqu’à sa fermeture. 41 La sécurité générale – Démarche Méhari Les fonctions à implémenter : F1 – Enregistrement de la vente du véhicule F2 – Ouverture et contrôle de la demande de dépannage client F3 – Affectation d’un dépanneur à la demande F4 – Clôture de la demande de dépannage F5 – Transfert de la vente de l’intranet au serveur de l’assistance F6 – Transmission de la vente SvCns SvIntranet 42 14 Audit informatique – 1ère partie – Ppa 2011 La sécurité générale – Démarche Méhari 3. Contexte technique – Architecture de l’existant – Architecture cible aussi appelée architecture à servir 43 La sécurité générale – Démarche Méhari Les postes clients de l’architecture : C1 = Poste Commercial C2 = Poste Assistance Le descriptif technique : La plateforme de l’assistance Peugeot sur laquelle sont gérées toutes les interventions demandées par les clients. La plateforme Concessionnaire chacun d’entre eux du réseau transmettant de manière automatique toutes les données relatives à chacun des véhicules vendus bénéficiant de l’assurance constructeur. 44 La sécurité générale – Démarche Méhari L’architecture des plateformes : F2 F3 F4 C2 LanAs F5 SvAs F5 F6 F1 SvIntranet C1 Plateforme Assistance Peugeot LanCns F6 SvCns * Réseau Téléphonique Commuté Plateforme Concessionnaire 45 15 Audit informatique – 1ère partie – Ppa 2011 La sécurité générale – Démarche Méhari 4. Contexte organisationnel – Les postes clients – Répartition fonctionnelle par rapport au contexte métier(s) 46 La sécurité générale – Démarche Méhari L’organisation à gérer : • La plateforme Concessionnaire transmet en temps réel et en automatique par la F6 dès la remise des clés les données de chacune des ventes de véhicules bénéficiant de l’assistance, le transfert SvIntranet/SvAs étant quant à lui directement chaîné dès la fin de la transmission SvCns/SvIntranet correspondante 47 La sécurité générale – Démarche Méhari • En cas de non déclenchement automatique de la transmission SvCns/SvIntranet, l’opérateur peut avec la même F6 se connecter directement sur l’intranet de l’assistance et effectuer manuellement la mise à jour du véhicule concerné 48 16 Audit informatique – 1ère partie – Ppa 2011 La sécurité générale – Démarche Méhari Objectif de l’étude : Organiser et en s’appuyant sur la base de connaissances Méhari en déduire la sécurisation à établir sur chacune des plateformes pour l’ensemble de son activité informatique relative à la gestion des demandes de dépannages de l’assistance Peugeot 7/7-24/24, sachant que tous les services de la Dsi sont directement installés dans les locaux du call center. 49 La sécurité générale – Démarche Méhari Travail à réaliser : 1. Tableau sécuritaire : – Organiser les différentes activités de la Dsi pour concevoir, développer, maintenir et exploiter selon les contraintes, les logiciels des fonctions implémentées. – En déduire la sécurisation la mieux adaptée 2. Contribution Méhari (préparatoire à l’audit sécuritaire) – Identifier les thèmes sécuritaires correspondant à la sécurisation proposée – Décomposer chaque thème en sous-thèmes 50 La sécurité générale – Démarche Méhari Remarque : Dans ce cas de « Peugeot assistance », le tableau organisation/sécurité à traiter doit porter sur les secteurs/entités suivantes : Secteur/Entité Gestion des RH : Administration Études F Développement logiciel Management projet Maintenance logicielle Recette Exploitation plateformes en SR Expert(s) technique(s) Gestion des RM : Configuration(s) plateforme(s) Transmissions Organisation Sécurisation Justifications 51 17