Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information

Evaluation de l expérience tunisienne dans le domaine de l audit de la sécurité des systèmes d information Ali GHRIB Directeur Général ali.ghrib@ansi.tn

Sommaire 1 2 Présentation de l agence nationale de la sécurité informatique Expérience tunisienne dans L audit de la sécurité des SI 3 Position de l audit de la sécurité des SI dans un SMSI 4 5 Rôle de l auditeur de SSI dans la réussite de l entreprise tunisienne pour instaurer un SMSI Programme de cette journée inscrit sous le thème de l audit au management de la sécurité des SI

1 Présentation de l agence nationale de la sécurité informatique CERT -TCC

Mission de l ANSI L Agence Nationale de la Sécurité Informatique, en tant que coordinateur national, œuvre à développer un climat de confiance dans l usage des technologies de l information pour rassurer les utilisateurs, l état et les investisseurs et à protéger les citoyens et les biens publics et privés contre toute menace cybernétique. Objectifs: 1. Tous les tunisiens soient conscients des risques cybernétiques, soient capables de sécuriser leurs ordinateurs et de prendre des mesures nécessaires pour protéger leurs identités, leurs données privées et profiter des services en ligne en toute sécurité. 2. Les systèmes d information des entreprises tunisiennes soient sécurisés de façon à assurer la sécurité de leurs propres données et les données privées de leurs clients. 3. Les systèmes d information et de communication du gouvernement tunisien soient sécurisés et disponibles. CERT -TCC

Les axes de la Stratégie nationale de la sécurité informatique 1. Sécurité des Systèmes d Information Nationaux. 2. Sécurité du Cyberespace National. 3. Consolider le Savoir-faire en sécurité informatique. 4. Formation & Sensibilisation en sécurité des SI. 5. Aspects Juridiques & Réglementaires. CERT -TCC

Les prérogatives de L ANSI Veiller à l exécution des orientations nationales et de la stratégie nationale en terme de sécurité des systèmes d information; suivre l exécution des plans et programmes relatifs à la sécurité des SI dans le secteur public et assurer la coordination entre les différents intervenants; Assurer la veille technologique dans le domaine de la sécurité des SI; Etablir des normes spécifiques à la sécurité des SI et élaborer des guides techniques; Encourager le développement de solutions nationales dans le domaine; Participer à la consolidation des compétences tunisiennes dans le domaine; Veiller à l exécution de la réglementation relative à l obligation de l audit périodique de la sécurité des SI.

L ANSI en chiffres 1999 : Lancement d une unité, spécialisée dans la sécurité des SI (Secrétariat d état à l informatique) 2004 : Création de l ANSI 2007 : Adhésion au réseau FIRST 2008: Membre du réseau des centres d excellence 2009 : Assistance de l Afrique du Sud pour la création de son 1er CERT et l adhésion au réseau FIRST janvier 2013: 54 employés dont 65% staff technique janvier 2013 : 217 experts auditeurs certifiés par l ANSI, 5 bureaux d audit certifés

Axes stratégiques de l ANSI pour la période 2012-2014 Renforcement de la sécurité du cyber-espace tunisien contre les attaques cybernétiques - Classification des composantes du cyber-espace tunisien sur la base d une analyse des risques - Mise en œuvre de mesures pour la protection d infrastructures critiques CIIP en coordination avec les FSIs et les opérateurs Télécom - Mise en place de plan national de réaction aux attaques cybernétiques - Assistance pour la mise en place de plan de continuité d activité pour les systèmes et applications nationales critiques - Incitation à la mise en place de CERTs internes pour les infrastructures critiques

Axes stratégiques de l ANSI pour la période 2012-2014 Renforcement de la sécurité des systèmes d information nationaux - Mise en place d une politique de sécurité des SI pour les entités gouvernementales qui définit les exigences de sécurité minimales à respecter, - Classification des organismes nationaux selon la sensibilité de leurs SI, et prévoir un suivi personnalisé de leurs plans d action en la matière, - Soumettre les services e-gov à des audits de sécurité avant leurs mises en ligne.

Axes stratégiques de l ANSI pour la période 2012-2014 Actualisation et Mise à niveau des aspects réglementaires - Mise à niveau des textes réglementaires liés à l audit de la sécurité des SI, - Actualisation du cadre réglementaire relatif aux crimes cybernétiques et l adhésion aux conventions internationales en la matière - Coordination avec les services juridique et de sûreté nationale pour la mise en place de procédure d investigation légale Sensibilisation, Education et Formation - Renforcement des compétences tunisiennes dans le domaine à travers l organisation de cycles de formations certifiantes - Coordination avec les universités surtout les mastères spécialisés dans le domaine de la sécurité des systèmes d information Partenariat avec le secteur privé - Incitation à la création d entreprises dans le domaine - Encouragement de développement de solutions nationales - Formalisation du partenariat avec les FSIs et les opérateurs Télécom

Le schéma de l audit adopté en Tunisie Tous les Organismes Public, FSI, Op,Tél et Entreprises privées Traitant les données Privées des clients À travers les réseaux Télécoms publiques Auditeur Audité ANSI - Certification et suivi des Auditeurs - Assistance des entreprises dans leur mission d audit - Définition des termes de référence pour les missions d audits - Evaluation et validation des Rapports d Audit - Suivi du respect de l obligation d audit par les entreprises au quelle Elles sont soumises Détenteur d un mastère spécialisée en SI Ingénieur ou maitrisard en TIC ayant suivi une Formation reconnue par l ANSI

Les textes réglementaires régissant l Audit de la SSI Loi n 5-2004 de la sécurité des systèmes informatiques et des réseaux

L audit en chiffres Evolution du nombre de missions d audit 60 50 40 30 20 10 0 2005 2006 2007 2008 2009 2010 2011 2012

L audit en chiffres

3 Position de l audit de la Sécurité des SI dans SMSI

Temps Où doit se placer l audit de la sécurité du système d information dans la démarche de la sécurisation de l entreprise Failover Clustering

Où situer l audit (par rapport au système de management de la sécurité informatique) Planifier Concevoir Une approche d amélioration continue

Où situer l audit (par rapport au système de management de la sécurité informatique) -Schéma directeur -Améliorer la sécurité Parties intéressés Attentes et exigences en terme de sécurité Mettre en place et exploiter le SMSI Act Améliorer Plan Planifier Cycle de développement, maintenance et d amélioration Établir le SMSI Do Déployer -Expression des besoins en sécurité -Analyse de risques -Choix et planification des mesures de sécurité Parties intéressés Sécurité effective fournie -Audit interne et externe -Réunion de la comité de sécurité -Suivi des indicateurs Contrôler et évaluer le SMSI Check Contrôler Déployer et améliorer le SMSI -Rédaction de politique de sécurité -Mise en place des mesures -Plan de gestion de crises -Plan de reprise d activité

L Audit de la Sécurité, entre la Nécessité et l Obligation L audit de la Sécurité des Systèmes d Information est indispensable pour : - Evaluer le niveau de maturité des systèmes de management de la sécurité des systèmes d information - Améliorer le niveau de sécurité sur la base des résultats d une Analyse des risques - Sensibiliser les décideurs et les utilisateurs sur les risques réels liés à l utilisation des systèmes d information

4 Rôle de l auditeur de SSI pour la réussite de l entreprise tunisienne dans l instauration d un SMSI

Évaluation des livrables de l Audit 1. Préparation & Démarrage de la Mission 2. Etude & Description de l Existant 3. Audit Organisationnel & Physique Evaluation des recommandations issues du dernier Audit Etude de l Existant (souvent confondu avec le périmètre de l audit) AOP : conformité par rapport à la norme ISO 27001 4. Audit Technique 5. Analyse du Risque 6. Synthèse & Plan d Action 7. Elaboration du Rapport d Audit 8. Clôture de la mission AT : Utilisation des outils et des checklists de bonnes pratiques AT : Manque d Analyse et d interprétation des résultats des outils de tests AR : Utilisation de références méthodologiques et normatives AR : Manque de personnalisation des scénarii de risques Par rapport à la réalité de l Audité Plan d action : Manque de synchronisation entre les risques encourues et les recommandations proposées 22

Évaluation du processus de l audit Préparation de l audit - Expression des besoins (Cahier des charges) - Mode de Passation du marché Audit N+1 Post-Audit - Evaluation du rapport par l ANSI - Application des recommandations issues de l audit - Suivi de l application des recommandations par l ANSI Déroulement de la mission - Conditions de déroulement de la mission d audit (Manque de disponibilité/implication de l audité, Chevauchement de l audit avec d autres projets Informatiques, Le rapport ne reproduit pas TOUTES les insuffisances graves sur demande de l audité) - Périmètre de l Audit (Modification du périmètre initial, non représentativité des échantillons choisis, sites distants non couverts par l AOP) - Equipe intervenante (Chef de projet = expert auditeur non Suffisamment expérimenté, Chef de projet sur terrain VS Chef de projet sur les rapports d audit, etc) - Délais de réalisation (Sous estimation de la durée de la mission => Dépassement des délais estimés ou réduction du périmètre initial) - Qualité de la prestation 23

Conclusion L auditeur doit être bien convaincu qu une mission d audit de la SSI est maillon dans la chaine de management de la sécurité informatique au sein de l entreprise. L audit des SSI doit être perçu comme étant une étape et un moyen et non pas un objectif. L auditeur de la SSI a un grand rôle à jouer dans la réussite de l entreprise tunisienne pour instaurer un SMSI pour faire face aux défis de sécurité de l informations qui se rabattent sur elle, 24

5

Les principales conclusions de l'état global de sécurité de l'information - enquête 2013 Mr Philippe Trouchaud - PwC France Gouvernance de la sécurité des systèmes d information Mr Hicham El Achgar IT6 Maroc Orientations de l ANSI en terme de management de la sécurité des systèmes d information Mme Awatef HOMRI - ANSI Importance de I évaluation des risques pour réussir l opération d audit Mr Abdelmajid Chemli - Ernst&Young Audit selon la norme ISO 27001 Mme Anissa Masmoudi TUVM Mise en place d un SMSI Retour sur expérience Mr Imed YAZIDI - EPPM Les mécanismes d'encouragement pour la mise en place de systèmes de management de la sécurité de l information Mr Mohamed SAID - Bureau de Mise à Niveau, Ministère de l Industrie Discussions, Synthèse et recommandations Mme Yathreb CHEBBI - ANSI

Je vous remercie pour votre présence et pour votre attention