Gestion de la sécurité informatique

Transcription

1 Gestion de la sécurité informatique Serge Haddad PLAN 1. Périmètre de la sécurité 2. Stratégie et politique de sécurité 3. Mise en œuvre de la sécurité 4. Audit des systèmes d'information 24/03/2004 Cours d IUP-MIAGE 3ème année Université Paris-Dauphine 1

2 Références SÉCURITÉ INTERNET Stratégies et technologies Solange Ghernaouti-Hélie DUNOD (Chapitres 5, 6, 7, 8) COMPUTER SECURITY Dieter Golmann JOHN WILEY & SONS (Chapitres 1 et 9) LES PROTOCOLES DE SÉCURITÉ D'INTERNET Stéphane Natkin DUNOD (Chapitre 1) TEXTES JURIDIQUES Legifrance - Le service public de l'accès au droit STANDARDS DES CRITÈRES DE SÉCURITÉ CC - Common Criteria for Information Technology Security Evaluation 24/03/2004 Cours d IUP-MIAGE 3ème année Université Paris-Dauphine 2

3 Principes de de la sécurité informatique Réduire les risques induits par l'utilisation des systèmes d'information à un niveau acceptable pour l'entreprise. Minimiser les pertes 1. financières, 2. de savoir-faire, 3. d'image, qui pourraient résulter d'une défaillance informatique. Permettre un usage efficace et économique des technologies de traitement de l'information. 24/03/2004 Périmètre de la sécurité 3

4 Capacités principales d'un système Capacité d'utilisation (Disponibilité des ressources et des services) 1. Dimensionnement correct et redondance des ressources 2. Procédures de sauvegarde, de reprise et d'exploitation Garantie fonctionnelle (Fiabilité, durabilité, continuité de service) 1. Méthodes de conception (incluant l'aspect ergonomique) 2. Évaluation de performances 3. Maintenance logicielle Maîtrise des flux d'information (Confidentialité et intégrité des données) 1. Contrôles d'accès, d'erreur et de cohérence 2. Mécanismes de chiffrement Contractualisation des transactions (Non-répudiation) 1. Enregistrement et traçabilité 2. Certification et signature électronique 24/03/2004 Périmètre de la sécurité 4

5 Prise en compte du facteur humain (1) Préservation des capacités Mécanismes de sécurité Gestion de la sécurité Code de conduite cohérent Système d'information sécurisé (qualité de service, confiance) 24/03/2004 Périmètre de la sécurité 5

6 Prise en compte du facteur humain (2) Charte d'utilisation des ressources informatiques et des services Internet qui comprend : Le domaine d'application La définition des moyens d'accès aux ressources informatiques Les règles d'utilisation Les procédures de sécurité Les conditions de confidentialité et d'intégrité des données Le rappel de la législation (fraude informatique, propriété intellectuelle, usage de chiffrement, constitution de fichiers, infraction de presse, logiciels, etc.) Information et formation sur : Les enjeux et les risques L'utilisation rationnelle des outils (vis à vis de la sécurité) 24/03/2004 Périmètre de la sécurité 6

7 Dynamicité du contexte de la sécurité Gestionnaire décide la politique et l'architecture de sécurité Auditeur assure la veille technologique contrôle et évalue le système Ingénieur met en place les mesures, les procédures et les outils 24/03/2004 Périmètre de la sécurité 7

8 Aspects de la sécurité Aspects technique et opérationnel La sécurité physique La sécurité de l'exploitation La sécurité logique La sécurité applicative La sécurité des télécommunications Aspects organisationnel et économique Responsabilité Structure Méthodologie Contrôle Budget Assurances Aspects humains Éthique Formation Compétences Sensibilisation Dissuasion Surveillance Aspects réglementaires Normes Procédures Autorisation de chiffrement Législation Administration (fichiers nominatifs, licences,etc.) 24/03/2004 Périmètre de la sécurité 8

9 La sécurité physique Objets Réception/accueil Locaux informatiques (serveurs, gros systèmes, etc.) Infrastructure de télécoms (locaux de réparation, câblage, etc.) Alimentation énergétique Systèmes informatiques Stations de travail Aire de travail Portables Actions Réceptionniste, surveillance, contrôle d'accès Isolement Verrouillage Contrôle d'accès physique Traçabilité des entrées Personnel autorisé Surveillance Personnel autorisé Marquage des matériels Sécurité des accès physiques et contrôle d'accès (smart card par exemple) Traçabilité des entrées Surveillance Prévention des vols Sauvegarde régulière des données 24/03/2004 Périmètre de la sécurité 9

10 La sécurité de l'exploitation Actions de prévision Plan de sauvegarde Plan de secours Plan de continuité Plan de tests Actions périodiques Inventaires réguliers et si possible dynamiques Gestion du parc informatique Gestion des configurations et des mises à jours Actions quotidiennes Gestion des incidents et suivi jusqu'à leur résolution Automatisation, contrôle et suivi de l'exploitation Analyse des fichiers de joumalisation et de comptabilité Mesures conservatoires Gestion des contrats de maintenance Séparation des environnements de développement, d'industrialisation et de production des applicatifs 24/03/2004 Périmètre de la sécurité 10

11 La sécurité logique (mécanismes de sécurité par logiciel) Contrôle d'accès logique Identification Authentification Demande d'accès aux ressources et aux services Autorisation O/N Confidentialité et intégrité des données Classification des données qui qualifie leur degré de sensibilité (normale, confidentielle, etc.) Chiffrement Protection contre l'infection des fichiers par contamination de virus Sauvegarde des informations sensibles sur des disques durs extractibles et conservés dans des lieux sécurisés 24/03/2004 Périmètre de la sécurité 11

12 La sécurité applicative Suivi des produits externes Sécurité des progiciels Élaboration et gestion des contrats, clauses d'engagement de responsabilité Conception Méthodologie de développement Intégration de mécanismes de sécurité, d'outils d'administration, de contrôle de qualité dans les applications Installation Jeux de tests Procédures de recette Évaluation Validation et audit des programmes Qualité et pertinence des données Planification Plan de migration des applications critiques Un exemple de problème de sécurité applicative : le bug de l'an /03/2004 Périmètre de la sécurité 12

13 La sécurité des télécommunications Mise en œuvre d'un canal de communication sûr Analyse des éléments intermédiaires (systèmes ou réseaux) Protocoles de communication sécurisés Cloisonnement des environnements Pare-feu Zone démilitarisée, zone Intranet, zone protégée Cohérence avec la sécurité logique et applicative Estampillage du temps Confirmation de l'origine Confidentialité Sécurité de l'environnement de l'utilisateur (notion de sphère privée) Attention la majorité des malveillances se réalise dans les bureaux et non via les lignes de transmission. 24/03/2004 Périmètre de la sécurité 13

14 Objectifs de la sécurité La sécurité ne permet pas de gagner de l'argent mais évite d'en perdre. Stratégie de sécurité Prévenir Minimiser le risque et ses impacts Assurer le risque Démarche d'intelligence économique Pérennité de l'entreprise 24/03/2004 Stratégie et politique de sécurité 14

15 Sensibilisation des entreprises 1. Meilleure compréhension des enjeux de la maîtrise des systèmes informatiques et de l'information 2. Augmentation du nombre de personnes, de systèmes, d'environnements interconnectés 3. Accroissement du nombre et des compétences des malveillants 4. Exigence de plus en plus forte de pouvoir réaliser des transactions électroniques commerciales ou financières de manière sécurisée 5. Émergence de nouvelles organisations d'entreprises et de réseaux privés virtuels 6. Nécessité de maîtriser globalement la sécurité d'un système d'information (besoin d'uniformiser mesures, procédures et outils de la sécurité et besoin d'intégration de la sécurité au niveau de la gestion de systèmes, de réseau, de l'entreprise) 24/03/2004 Stratégie et politique de sécurité 15

16 Mission de sécurité informatique 1. Définir le périmètre de la vulnérabilité lié à l'usage des technologies de l'information et de la communication 2. Offrir un niveau de protection adapté aux risques encourus par l'entreprise 3. Mettre en œuvre et valider l'organisation, les mesures, les outils et les procédures de sécurité 4. Optimiser la performance du système d'information en fonction du niveau de sécurité requis 5. Assurer les conditions d'évolution du système d'information et de sa sécurité. 24/03/2004 Stratégie et politique de sécurité 16

17 Conditions de succès d'une démarche sécurité Une volonté directoriale Une politique de sécurité simple, précise, compréhensible et applicable La publication de la politique de sécurité Une gestion centralisée de la sécurité et une certaine automatisation des processus de sécurité Un niveau de confiance déterminé des personnes, des systèmes, des outils impliqués Du personnel sensibilisé et formé à la sécurité, possédant une haute valeur morale Des procédures d'enregistrement, de surveillance et d'audit L'expression, le contrôle et le respect des clauses de sécurité dans les différents contrats Une certaine éthique des affaires et le respect des contraintes légales 24/03/2004 Stratégie et politique de sécurité 17

18 Mise en place de la sécurité (1) 1. Principe de vocabulaire Nécessité de s'accorder, au niveau de l'entreprise, sur un langage commun de définition de la sécurité 2. Principe de cohérence Insuffisance de l'accumulation d'outils sécuritaires Intégration harmonieuse des outils, mécanismes et procédures 3. Principe de volonté directoriale Information : ressource stratégique de l'entreprise Moyens nécessaires à la mise en œuvre et à la gestion d'un plan de sécurité 4. Principe financier Proportionnalité du coût de la sécurité avec le risque Connaissance du coût par les utilisateurs 24/03/2004 Stratégie et politique de sécurité 18

19 Mise en place de la sécurité (2) 5. Principe de simplicité et d'universalité Compréhension des mesures de sécurité Application à tous les utilisateurs 6. Principe de dynamicité Intégration de la dimension temporelle de la vie des systèmes et de l'évolution des besoins 7. Principe de continuum Continuité de service après un sinistre Procédures d'urgence et de reprise 8. Principe d'évaluation, de contrôle et d'adaptation Évaluation permanente du niveau de sécurité du système d'information de l'entreprise. Outils de type «tableau de bord de la sécurité» Adéquation du niveau de sécurité par rapport aux besoins 24/03/2004 Stratégie et politique de sécurité 19

20 Les questions préalables 1. Quelles sont les valeurs de l'entreprise? 2. Quel est leur niveau de sensibilité ou de criticité? 3. De qui, de quoi doit-on se protéger? 4. Quels sont les risques réellement encourus? 5. Ces risques sont-ils supportables? 6. Quel est le niveau actuel de sécurité de l'entreprise? 7. Quel est le niveau de sécurité que l'on désire atteindre? 8. Comment passer du niveau actuel au niveau désiré? 9. Quelles sont les contraintes effectives? 10. Quels sont les moyens disponibles? 24/03/2004 Stratégie et politique de sécurité 20

21 Natures des mesures de sécurité (1) Menaces Mesures préventives Mesures palliatives Mesures structurelles Attaques Mesures de protection Dégâts Mesures de dissuasion Mesures de récupération 24/03/2004 Stratégie et politique de sécurité 21

22 Natures des mesures de sécurité (2) Mesures préventives Contrôles d'accès physique et logique Détecteur de virus Mesures structurelles Occultation des ressources Redondances Fragmentation de l'information Mesures de dissuasion Procédures administratives Sensibilisation Gestion des ressources humaines Conditions de travail Moyens de détection et de traçabilité Mesures palliatives Sauvegardes Plan de continuité Réparation Correction Mesures de protection Contrôles de cohérence Détecteurs d'intrusion. Structures coupe-feu dynamiques Mesures de récupération Assurances Actions en justice 24/03/2004 Stratégie et politique de sécurité 22

23 Conception d'un plan de secours 1. Organisation et conduite de projet Identification d'une équipe avec une forte autorité, responsabilité et visibilité du chef de projet Organisation de la mise en œuvre et de la mise à jour du plan de secours Formation et assistance des personnes chargées du plan de secours. 2. Analyse des risques Évaluation des risques Définition des sinistres potentiels 3. Analyse d'impact Identification des critères de fragilité et de sensibilité des applications Analyse des conséquences des différentes pannes, erreurs, Évaluation des impacts stratégiques et tactiques 4. Définition d'un fonctionnement minimal de chaque application Délai maximal d'inactivité toléré Consignes opérationnelles Priorités de restauration des applications critiques Procédures de reprise Planification des opérations 24/03/2004 Stratégie et politique de sécurité 23

24 Développement d'un produit Mise en œuvre de la sécurité Contexte d'utilisation Objectifs de sécurité Exigences fonctionnelles Garanties de conformité aux exigences Produit évaluation certification audit Réalisation d'un système d'information Contexte d'utilisation Garanties de conformité aux exigences Choix et intégration des produits Mise en place du SI Suivi opérationnel Définir des critères afin : d'assurer la pertinence d'une évaluation (crédibilité) d'assurer la concordance de deux évaluations (objectivité) de faciliter la conception de produits et de systèmes sécurisés de structurer un audit 24/03/2004 Mise en oeuvre de la sécurité 24

25 Critères d'évaluation de la sécurité Les critères d'évaluation des systèmes sécurisés Critères américains TCSEC (Trusted Computer System Evaluation Criteria, 1985) Critères européens ITSEC (Information Technology Security Evaluation Criteria, 1991) Convergence et critères internationaux CC (Common Criteria, version 2.1 en aout 1999) (respecte la norme ISO/IEC 15408:1999) Les organisations Communications Security Establishment (Canada) Service Central de la Sécurité des Systèmes d'information (France) Bundesamt für Sicherheit in der Informationstechnik (Allemagne) Netherlands National Communications Security Agency (Pays-Bas) Communications-Electronics Security Group (Grande-Bretagne) National Institute of Standards and Technology (USA) National Security Agency (USA) 24/03/2004 Mise en oeuvre de la sécurité 25

26 Objet de l'évaluation (TOE) Un système ou un produit générique Par exemple un système d'exploitation générique avec accès anonyme et authentifié, basé sur contrôle d'accès discrétionnaire, comprenant des mécanismes de détection d'intrusion, Dans ce cas, le résultat de l'évaluation est un profil de protection (PP) Un système ou un produit spécifique Microsoft NT Sun OS Le système d'information d'une entreprise Dans ce cas, le résultat de l'évaluation définit des capacités de sécurisation fourni par le TOE (ST) 24/03/2004 Mise en oeuvre de la sécurité 26

27 Le résultat de l'évaluation Spécification du PP (ou du ST) Justification du PP (ou du ST) Description informelle Sécurité de l'environnement Objectifs de sécurité Exigences de sécurité Exigences fonctionnelles Exigences d'assurance Synthèse du TOE (ST uniquement) Fonctions de sécurité Mesures d'assurance Justification des objectifs de sécurité vis à vis de la sécurité de l'environnement Justification des exigences de sécurité vis à vis des objectifs Justification que le TOE satisfait les exigences de sécurité 24/03/2004 Mise en oeuvre de la sécurité 27

28 Sécurité de l'environnement Hypothèses sur le contexte de développement et d'utilisation du TOE. Par exemple : Pour des raisons de coût, le développement n'inclut pas des techniques de prévention d'attaque sophistiquées. Le TOE sera administré par du personnel spécialisé. La plupart des utilisateurs respecteront la politique de sécurité, Un ensemble de règles, procédures et pratiques définissant la politique de sécurité organisationnelle. Par exemple : Les opérations anonymes sont interdites. Les utilisateurs sont responsables des actions qui leur sont attribuées, Les menaces éventuelles. Par exemple : Un utilisateur peut usurper l'identité d'un autre utilisateur. Le TOE peut être victime d'un déni de service, 24/03/2004 Mise en oeuvre de la sécurité 28

29 Objectifs de sécurité Garantie aux utilisateurs Pas de refus d'un accès légitime Pas d'attribution d'actions erronée, Gestion des ressources Pas d'épuisement injustifié Pas de détournement, Réaction aux menaces répertoriées Élimination Minimisation Détection Recouvrement, 24/03/2004 Mise en oeuvre de la sécurité 29

30 Exigences de sécurité fonctionnelles Family Class : Une classe est composée de familles Toutes les familles d'un classe partagent le même but mais ne recouvrent pas les mêmes objectifs de sécurité. Class Element Family : Une famille est composée de composants Tous les composants d'une famille partagent les mêmes objectifs mais diffèrent dans le degré d'élaboration Component : Un composant est composé d'éléments Un composant décrit un ensemble cohérent opérations élémentaires de sécurité Element : Ne réalise qu'une facette d'une fonction de sécurité Component Family Component Element 24/03/2004 Mise en oeuvre de la sécurité 30

31 Les classes d'exigences fonctionnelles (1) Security Audit (FAU) Enregistrement des événements Communications (FCO) Reconnaissance des interlocuteurs et garantie de réception Cryptographic Support (FCS) Gestion et utilisation des clés User Data Protection (FDP) Politique d'accès, transfert, importation et exportation, Identification & Authentication (FIA) Etablissement et vérification des identités Security Management (FMT) Administration du TOE 24/03/2004 Mise en oeuvre de la sécurité 31

32 Les classes d'exigences fonctionnelles (2) Privacy (FPR) Confidentialité des données utilisateurs Protection of the Trusted Security Functions (FPT) Opérationnalité des fonctions de sécurité Resource Utilization (FRU) Disponibilité et allocation des ressources TOE Access (FTA) Gestion des sessions utilisateur Trusted Path (FTP) Communication sécurisée avec les utilisateurs et les autres SI 24/03/2004 Mise en oeuvre de la sécurité 32

33 Un exemple de classe : Security audit FAU FAU_ARP Security audit automatic response 1 2 FAU_GEN Security audit data generation Liens hiérarchiques FAU_SAA Security audit analysis 1 1 FAU_SAR Security audit review 2 3 FAU_SEL Security audit event selection 1 1 FAU_STG Security audit event storage /03/2004 Mise en oeuvre de la sécurité

34 Un exemple de famille : Security audit event storage FAU_STG.1 Protection des traces FAU_STG.2 Disponibilité des traces FAU_STG Security audit event storage FAU_STG.3 Surveillance de la taille de la trace FAU_STG.4 Gestion de la saturation de la trace 24/03/2004 Mise en oeuvre de la sécurité 34

35 Un exemple de composant : Disponibilité des traces FAU_STG.2.1 Prévention de la suppression de la trace FAU_STG.2 Disponibilité des traces FAU_STG.2.2 Prévention et/ou détection de l'altération de la trace FAU_STG.2.3 Sauvegarde des traces en cas de dysfonctionnement 24/03/2004 Mise en oeuvre de la sécurité 35

36 Exigences d assurance Analyse des procédures mises en place Vérification que les procédures sont appliquées Analyse de la correspondance des représentations du TOE Analyse de la correspondance entre les modèles de conception et le cahier des charges Vérification des preuves «mathématiques» des systèmes Analyse des manuels (administration et utilisation) Analyse des tests fonctionnels Mise en oeuvre de nouveaux tests Recherche de failles Test de pénétration 24/03/2004 Mise en oeuvre de la sécurité 36

37 Les classes d assurance de sécurité (1) Configuration Management (ACM) Contrôle du processus de (re)configuration du TOE Delivery and Operation (ADO) Contrôle du processus de mise en place du TOE Development (ADV) Contrôle que l implémentation respecte la spécification Guidance Documents (AGD) Contrôle de la lisibilité, de la pertinence et de la complétude de la documentation Life Cycle Support (ALC) Utilisation de modèles, méthodes et outils pour le développement du TOE 24/03/2004 Mise en oeuvre de la sécurité 37

38 Les classes d assurance de sécurité (2) Tests (ATE) Degré de confiance obtenu par les jeux de test Vulnerability Assessment (AVA) Recherche des vulnérabilités durant tout le cycle de vie du TOE Evaluation Criteria (APE, ASE) Vérification que les objectifs de sécurité et le profil de protection sont cohérents et réalistes Assurance Maintenance (AMA) Conditions pour que la sécurité soit préservée lors de transformations du TOE 24/03/2004 Mise en oeuvre de la sécurité 38

39 Les «packages» d évaluation Ensembles réutilisables de combinaison de composants fonctionnels et de composants d assurance définis pour atteindre un ensemble d objectifs de sécurité identifiés Sept niveaux d assurance EAL 1 4 Assurances de base EAL 5 Assurance moyenne EAL 6 7 Haute assurance 24/03/2004 Mise en oeuvre de la sécurité 39

40 Maîtrise du risque Contrats d'assurance Les accidents (e.g. chute d'un matériel) Les négligences (e.g. erreur de manipulation) Les actes de sabotage Les vols Les conséquences d'un événement extérieur (incendie, explosion, ) Les défaillance de l'installation (dues à des surtensions, des températures excessives, des vibrations, ) Les accidents naturels (tempête, grêle, inondation, ) Prévention et prise en compte des risques Conception sécurisée (environnement et informatique) Entretien de l'infrastructure Provisions comptables 24/03/2004 Mise en oeuvre de la sécurité 40

41 Les acteurs de la sécurité (1) L'administrateur Administration des moyens de sécurité Définition des privilèges d'accès Élaboration de la documentation (utilisateur et administrateur) Surveillance des systèmes et veille technologique Le responsable des ressources humaines Contrôles avant engagement Sensibilisation et information aux nouveaux collaborateurs Enregistrement de la déclaration du secret professionnel, de la non reproduction des informations et de l'approbation de la politique de sécurité Coordination avec les autres acteurs lors du départ d'un collaborateur 24/03/2004 Mise en oeuvre de la sécurité 41

42 Les acteurs de la sécurité (2) Les chefs de service Information aux intervenants sur la politique de sécurité Retransmission des modifications de la politique Analyse des besoins d'accès des collaborateurs Recensement et conservation des informations critiques de chaque collaborateur Les utilisateurs Respect des engagements Utilisation des ressources à des fins uniquement professionnelles Information aux personnes appropriées de tout incident de sécurité 24/03/2004 Mise en oeuvre de la sécurité 42

43 Cadre juridique Crimes et délits contre les personnes Atteintes à la personnalité Atteinte à la vie privée (226-1, 226-2) Atteinte à la représentation de la personne (226-8) Dénonciations calomnieuses (226-10) Atteinte au secret professionnel (226-13) Atteinte aux droits de la personne résultant des fichiers ou des traitements informatiques ( à , loi du 6/1/78 "Informatique et Liberté") Atteintes aux mineurs Diffusion de messages pornographiques susceptibles d'être vus par un mineur, (227-23, , ) 24/03/2004 Mise en oeuvre de la sécurité 43

44 Cadre juridique (2) Crimes et délits contre les biens Escroquerie (313-1 & suivants) Atteinte aux systèmes informatiques (323-1 à 323-7, loi du 5/1/88 sur la fraude informatique) Infraction de presse (loi du 29/7/1881 modifiée) Provocation aux crimes et délits (art. 23 et 24) Apologie des crimes contre l'humanité (art. 24) Apologie et provocation au terrorisme (art. 24) Provocation à la haine raciale (art. 24) Contestation des crimes contre l'humanité (art. 24) Diffamation (art. 30, 31 et 32) Injure (art. 33) 24/03/2004 Mise en oeuvre de la sécurité 44

45 Cadre juridique (3) Infraction au code de la propriété intellectuelle Contrefaçon d'une œuvre de l'esprit (335-2 & 335-3) (par exemple, un logiciel) Contrefaçon d'un dessin ou d'un modèle (521-4) Contrefaçon de marque (716-9 & suivants) Infraction aux règles de cryptologie Article 28, loi du 29/12/90 Article 17, loi du 26/7/96 Participation à la tenue d'une maison de jeux de hasard (cybercasino) Article 1, loi du 12/7/83 modifiée par la loi du 16/12/92 24/03/2004 Mise en oeuvre de la sécurité 45

46 Périmètre de l'audit Organisation de la fonction informatique Architecture du système d'information Architecture de communication Micro-informatique Méthodes de conception des applications Applications Gestion du système d'information Processus de planification Politique de sécurité Mesures de sécurité 24/03/2004 Audit des systèmes d'information 46

47 Objectifs de l'audit Vérification de la fiabilité de l'information produite par les services ou les applications Evaluation de l'efficacité de la réalisation des tâches informatiques Contrôle du respect des politiques de l'entreprise Contrôle du respect des exigences légales ou contractuelles 24/03/2004 Audit des systèmes d'information 47

48 Phases de l'audit 1. Examen préliminaire Prise de connaissance générale Recueil de la documentation Première analyse du système Rapport préliminaire 2. Analyse approfondie Analyse du contrôle interne Evaluation du contrôle interne Recherche et définition des critères Evaluation de l'efficacité 3. Synthèse et rapport d'audit Projet de rapport Commentaires aux responsables Rapport final 24/03/2004 Audit des systèmes d'information 48

49 Conditions de réussite d'un audit 1. Compétences personnelles des auditeurs Connaissance technique Connaissance organisationnelle Ecoute et dialogue Capacité rédactionnelle 2. Respect du processus d'audit Analyse de la documentation Entretiens et visites Tests et simulations Rapports évolutifs 3. Utilisation d'outils Représentation des organisations (statique et dynamique) Tests des applications Analyse des réseaux et des systèmes 24/03/2004 Audit des systèmes d'information 49

50 Exemples de valeurs significatives Temps moyen entre deux pannes Temps moyen de réparation Taux d'incidents inexpliqués Charge moyenne des systèmes et des réseaux Pourcentage de renouvellement des équipes techniques 24/03/2004 Audit des systèmes d'information 50