Mémoire de Projet de Fin d’Etudes

[Audit Sécurité des Systèmes d’Information]

Université Mohammed V Agdal Faculté des Sciences Rabat DEPARTEMENT D’INFORMATIQUE

FILIERE

LICENCE PROFESSIONNELLE

Administration de Systèmes Informatiques PROJET OFFSHORING MAROC 2010 Réalisé par :

M. Abbes RHARRAB

Encadré par : Pr. El Mamoun SOUIDI

Résumé

L’audit sécurité d’un système d’information est indispensable pour toute organisation qui décide de changements au sein de son système d’information ou de s’assurer de son fonctionnement optimal.

Comme toute démarche qualité, il nécessite une méthodologie rigoureuse et une communication idéale au sein de l’équipe.

Promotion 2011 – 2012

1

[Audit Sécurité des Sy stèmes d’Information]

LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES

Remerciements

J’exprime toute ma reconnaissance et gratitude à l’ensemble des enseignants de la Licence Professionnelle – Administration des Systèmes Informatiques, de l’Université Mohammed V Agdal – Faculté des Sciences Rabat pour leurs efforts à nous fournir une meilleure formation. Je tiens à remercier mon encadrant Pr. El Mamoun SOUIDI de m’avoir permis d’aborder ce thème qui m’a ouvert de nouvelles options en terme de carrière. Je remercie chaleureusement Mes parents, ma famille, et aussi M.Mohammed EL HARFAOUI pour ça précieuse aide, ainsi que tous ceux qui, d’une manière ou d’une autre, ont contribué à la réussite de ce travail et qui n’ont pas pu être cités ici.

2

[Audit Sécurité des Sy stèmes d’Information]

LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES

Résumé

L’audit de la sécurité d’un système d’information est indispensable pour toute organisation qui décide de changements au sein de son système d’information ou de s’assurer de son fonctionnement optimal. Comme toute démarche qualité, il nécessite une méthodologie rigoureuse et une communication idéale au sein de l’équipe.

Mots clefs

Audit, Sécurité, Système, information, management, Système d’information, Système de management, Système de Management de la Sécurité de l’Information, SMSI.

3

[Audit Sécurité des Sy stèmes d’Information]

LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES

Sommaire

INTRODUCTION ……………………………………………………………………………………………………… 5 CHAPITRE 1 : GENERALITES …………………………………………………………………………………………. 6

I- QU’EST -CE QU’UN SYSTEMES D’INFORMATION ? …………………………………………………………………… 6

1- QU’EST-CE QU’UN SYSTEMES ? ……………………………………………………………………………………………. 6 2- QU’EST-CE QU’UN SYSTEME D’INFORMATION ? ………………………………………………………………………… 6 3- EN QUOI CONSISTE UN SYSTEME D’INFORMATION ? ……………………………………………………………………. 6

II- LA SECURITE DE L’INFORMATION ………………………………………………………………………………………. 7

1- C’EST QUOI LA « SECURITE DE L’INFORMATION » ? …………………………………………………………………….. 7 2- POURQUOI SE PROTEGER ? ………………………………………………………………………………………………… 7 3- QU’EST-CE QU’UNE « POLITIQUE DE SECURITE DE L’INFORMATION » ? ……………………………………………… 8

CHAPITRE 2 : MISSION D ’ AUDIT SECURITE DES SYSTEMES D ’ INFORMATION ……………………………………… 9

I- AUDIT SECURITE DES SYSTEMES D’INFORMATION …………………………………………………………………. 9

1- QU’EST-CE QU’UN AUDIT ? ………………………………………………………………………………………………… 9 2- ROLES ET OBJECTIFS DE L’AUDIT …………………………………………………………………………………………… 9 3- CYCLE DE VIE D’UN AUDIT SECURITE DES SYSTEMES D’INFORMATION ……………………………………………….. 10

II- DEMARCHE DE REALISATION D’UN AUDIT SECURITE DE SYSTEME D’INFORMATION …………………. 11

1- DEFINITION DE LA CHARTE D’AUDIT ……………………………………………………………………………………… 11 2- PREPARATION DE L’AUDIT ………………………………………………………………………………………………… 11 3- AUDIT ORGANISATIONNEL ET PHYSIQUE ………………………………………………………………………………… 12 4- AUDIT TECHNIQUE …………………………………………………………………………………………………………. 12 5- TEST D’INTRUSIONS (AUDIT INTRUSIF) ………………………………………………………………………………….. 13 6- RAPPORT D’AUDIT …………………………………………………………………………………………………………. 14

CHAPITRE 3 : METHODES ET NORMES D ’ AUDIT SECURITE DES SYSTEMES D ’ INFORMATION …………………… 15

I- DEFINITIONS …………………………………………………………………………………………………………………. 15

1- L’ISO (ORGANISATION INTERNATIONALE DE NORMALISATION) …………………………………………………….. 15 2- LES NORMES ……………………………………………………………………………………………………………….. 15 3- LES METHODES …………………………………………………………………………………………………………….. 16 4- HISTORIQUE DES NORMES EN MATIERE DE SECURITE DE L’INFORMATION ………………………………………….. 16

II- LA SUITE DES NORMES ISO 2700X …………………………………………………………………………………….. 18

ISO/IEC 27000 ……………………………………………………………………………………………………………… 18 ISO/CEI 27001 ……………………………………………………………………………………………………………… 19 ISO/CEI 27002 ……………………………………………………………………………………………………………… 19 ISO/CEI 27003 ……………………………………………………………………………………………………………… 20 ISO/CEI 27004 ……………………………………………………………………………………………………………… 21 ISO/CEI 27005 ……………………………………………………………………………………………………………… 21 ISO/CEI 27006 ……………………………………………………………………………………………………………… 22 ISO/CEI 27007 ……………………………………………………………………………………………………………… 22

III-LES SYSTEME DE MANAGEMENT ……………………………………………………………………………………… 23

1- LE PRINCIPE DES SYSTEMES DE MANAGEMENT …………………………………………………………………………. 23 2- LES PRINCIPAUX SYSTEMES DE MANAGEMENT …………………………………………………………………………. 24 3- L’APPORT DES SYSTEMES DE MANAGEMENT ……………………………………………………………………………. 24 4- LES SYSTEMES DE MANAGEMENT DE LA SECURITE DE L’INFORMATION (SMSI) ……………………………………. 25

IV-LA NORME ISO/CEI 27001 (LE MODELE PDCA) ……………………………………………………………………. 26

1- DEFINITIONS (LE MODELE PDCA) ………………………………………………………………………………………. 26 2- PHASE PLAN ……………………………………………………………………………………………………………….. 27

A) LA METHODE EBIOS ……………………………………………………………………………………………………………. 30 B) LA METHODE MEHARI …………………………………………………………………………………………………………. 32