9
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
I- Audit sécurité des systèmes d’information 1- Qu’est-ce qu’un Audit ? En informatique, le terme « Audit (une écoute) » est apparu dans les années 70 et a été utilisé de manière relativement aléatoire. Nous considérons par la suite un « audit sécurité de l’information » comme une mission d’évaluation de conformité par rapport à une politique de sécurité ou à défaut par rapport à un ensemble de règles de sécurité. Une mission d’audit ne peut ainsi être réalisée que si l’on a défini auparavant un référentiel, c’est-à-dire en l’occurrence, un ensemble de règles organisationnelles, procédurales ou/et techniques de référence. Ce référentiel permet au cours de l’audit d’évaluer le niveau de sécurité réel du » terrain » par rapport à une cible. Pour évaluer le niveau de conformité, ce référentiel doit être : – Complet (mesurer l’ensemble des caractéristiques : il ne doit pas s’arrêter au niveau système, réseau, télécoms ou applicatif, de manière exclusive, de même, il doit couvrir des points techniques et organisationnels) ; – Homogène : chaque caractéristique mesurée doit présenter un poids cohérent avec le tout ; – Pragmatique : c’est-à-dire, aisé à quantifier (qualifier) et à contrôler. Ce dernier point est souvent négligé. La mission d’audit consiste à mesurer le niveau d’application de ces règles sur le système d’information par rapport aux règles qui devraient être effectivement appliquées selon les processus édictés. L’audit est avant tout un constat. 2- Rôles et objectifs de l’audit Une mission d’audit vise différents objectifs. En effet nous pouvons énumérer à ce titre : -La détermination des déviations par rapport aux bonnes pratiques de sécurité. -La proposition d’actions visant l’amélioration du niveau de sécurité du système d’information. Egalement, une mission d’audit de sécurité d’un système d’information se présente comme un moyen d’évaluation de la conformité par rapport à une politique de sécurité ou par rapport à un ensemble de règles de sécurité. Chapitre 2 : Mission d’audit sécurité des systèmes d’information