[audit sécurité des systèmes d’information]

16

[Audit Sécurité des Sy stèmes d’Information]

LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES

Généralement, une entreprise peut se faire certifier pour trois raisons : – Pour une raison commerciale. Pour certaines entreprises, être certifiées par des normes de qualité par exemple est un gage de qualité pour les clients et est donc un atout commercial. – Par obligation. En industrie aéronautique par exemple, les constructeurs exigent de leurs sous-traitants qu’ils soient certifiés par certaines normes. – Il y a aussi des entreprises qui se certifient pour elles-mêmes, pour optimiser leur processus en interne. 3- Les méthodes Une méthode est une démarche, un processus ou un ensemble de principes qui permettent d’appliquer une norme au système d’information de l’entreprise. La méthode sert aussi à faire un audit qui permet de faire, par exemple, un état de la sécurité du système d’information. Une méthode est souvent accompagnée d’outils afin d’appuyer son utilisation. Ils peuvent être disponibles gratuitement auprès des organismes qui les ont produits. Par exemple la méthode MEHARI, que nous verrons plus loin, propose un outil (fichier Microsoft Excel). Le fichier contient un ensemble de questions et de scénarios. Cette base de connaissance permet de ressortir toutes les vulnérabilités du système d’information et émet des recommandations pour y remédier. La plupart des méthodes sont appliquées par des experts en gestion des

risques (EBIOS, MEHARI, OCTAVE…).

4- Historique des normes en matière de sécurité de l’information Au cours des vingt dernières années les normes liées à la sécurité de l’information ont évolué ou ont été remplacées. Ces changements rendent difficile une bonne compréhension du sujet. Un rappel historique de l’évolution de ces normes permet de clarifier la situation normative en matière de sécurité de l’information. Au début des années 90, de grandes entreprises britanniques se concertent pour établir des mesures visant à sécuriser leurs échanges commerciaux en ligne. Le résultat de cette collaboration servit de référence en la matière pour d’autres entreprises qui souhaitaient mettre en œuvre ces mesures. Cette initiative privée fut appuyée par le Département des Transports et de l’Industrie britannique qui supervisa la rédaction au format du BSI, d’une première version de projet de norme de gestion de la sécurité de l’information. En 1991, un projet de «best practices» code de bonnes pratiques, préconise la formalisation d’une politique de sécurité de l’information. Cette politique de sécurité doit intégrer au minimum huit points «stratégique et opérationnel» ainsi qu’une mise à jour régulière de la politique.