TC Consulting. Réalisé par : M. T. CHOUKRI AUDIT DE SECURITE INFORMATIQUE T. CHOUKRI 1



Documents pareils
Zabbix. Solution de supervision libre. par ALIXEN

Prestations d audit et de conseil 2015

Panorama général des normes et outils d audit. François VERGEZ AFAI

THEORIE ET CAS PRATIQUES

2012 / Excellence. Technicité. Sagesse

Excellence. Technicité. Sagesse

Continuité de Service. Maîtrise de l Energie

Information Technology Services - Learning & Certification.

Audits Sécurité. Des architectures complexes

Spécifications de l'offre Surveillance d'infrastructure à distance

L'AUDIT DES SYSTEMES D'INFORMATION

Modèle Cobit

TEST D INTRUSION : UNE SIMULATION DE HACKING POUR IDENTIFIER LES FAIBLESSES DE VOTRE SYSTÈME

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Fiche de poste. Ingénieur systèmes Microsoft. Auteur : Pascal GUY Paris, le 16 mai 2011

Systèmes et réseaux d information et de communication

NEXTDB Implémentation d un SGBD Open Source

Que souhaitent les Administrateurs Système?

webmestre : conception de sites et administration de serveurs web 42 crédits Certificat professionnel CP09

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

dans un contexte d infogérance J-François MAHE Gie GIPS

Projet d'infrastructure Cloud

Mise en place de la composante technique d un SMSI Le Package RSSI Tools BOX

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

Tom Pertsekos. Sécurité applicative Web : gare aux fraudes et aux pirates!

Intégration de la cybersécurité aux systèmes de conduite industriels. Méthodes et pratiques

Plan de Continuité d'activité Concepts et démarche pour passer du besoin à la mise en oeuvre du PCA

PASSI Un label d exigence et de confiance?

OFFRES DE SERVICES SDS CONSULTING

La politique de sécurité

La sécurité informatique

Information Technology Services - Learning & Certification

PREAVIS DE LA MUNICIPALITE AU CONSEIL COMMUNAL

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

DÉVELOPPER DES APPLICATIONS WEB SÉCURISÉES

Auteur : Françoise NICOLAS, Responsable Qualité. Approuvé par : Michel ROUVELLAT, Président. Dernière date de mise à jour : 01 avril 2015

ISO/CEI 27001:2005 ISMS -Information Security Management System

IAFACTORY. sommaire MATERIALIZE YOUR NEXT SUCCESS. étude marketing, expérience utilisateur, ergonomie audit statistique des performances.

REF01 Référentiel de labellisation des laboratoires de recherche_v3

INDUSTRIALISATION ET RATIONALISATION

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Offres de services I n s i g h t. SAM Technology Services & Consulting Support Hardware Formation

Atelier Sécurité / OSSIR

L analyse de risques avec MEHARI

Montrer que la gestion des risques en sécurité de l information est liée au métier

Mettez les évolutions technologiques au service de vos objectifs métier

PLAN DE FORMATION TECHNICIEN(NE) D'ASSISTANCE EN INFORMATIQUE TAI

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Les tableaux de bord de pilotage de nouvelle génération. Copyright PRELYTIS

SOMMAIRE. Octobre Edito p 1 Evènements p 2 Conseil -Schéma Directeur d Intégration p 3 Intégration- LIMS p 4 Formation - Contrôle Commande p 5

Situation présente et devis technique

INTÉGRATEUR RÉSEAU ET SÉCURITÉ. IT Services : «L engagement de résultat» CONSEIL AUDIT INTÉGRATION SUPPORT TECHNIQUE SERVICES MANAGÉS

IPS : Corrélation de vulnérabilités et Prévention des menaces

CLOUD CP3S SOLUTION D INFRASTRUCTURE SOUMIS À LA LÉGISLATION FRANÇAISE. La virtualisation au service de l entreprise. Évolutivité. Puissance.

Cabinet d Expertise en Sécurité des Systèmes d Information

Vulnérabilités et sécurisation des applications Web

Infrastructure Management

ADRESSE MISSIONS MOYENS

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

Contrôles informatiques dans le cadre de l audit l des états financiers. Par Patrice Watier 28 avril 2010 Association des cadres scolaires du Québec

Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION :

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

ALDEA ET SYSTEMES D INFORMATION

METIERS DE L INFORMATIQUE

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Vers un nouveau modèle de sécurité

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

Mini-Rapport d Audit basé sur la méthode d analyse MEHARI

Gouvernance des mesures de sécurité avec DCM-Manager. Présentation du 22 mai 2014

Intitulé du stage. Initiation à l'environnement industriel Jeudi 15 et vendredi 16 septembre 2011

Réussir l externalisation de sa consolidation

27 mars Sécurité ECNi. Présentation de la démarche sécurité

Jouez les précurseurs: avec le Managed Server de Hostpoint

CQP ADMINISTRATEUR DE BASES DE DONNÉES (ABD)

Notre Catalogue des Formations IT / 2015

ITIL : Premiers Contacts

Programmation Web. Introduction

A. Architecture du serveur Tomcat 6

FORMATION À LA CERTIFICATION CBCP (CERTIFIED BUSINESS CONTINUITY PROFESSIONAL) BCLE 2000

Journées Techniques Réseaux Le Rôle d un cabinet d étude dans un projet de Téléphonie sur IP

Moderniser. le système d information et le portefeuille applicatif.

Développez votre système d'information en toute simplicité

Sûreté de fonctionnement. Cyber-sécurité et sécurité informatique Similitudes d approche avec la sécurité fonctionnelle

APPEL D OFFRE A PROCEDURE ADAPTEE MIGRATION SERVEURS WINDOWS. Cahier des Charges

A. Le contrôle continu

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Système d Information du CNRST - SIC -

Titre: Version: Dernière modification: Auteur: Statut: Licence:

curité des TI : Comment accroître votre niveau de curité

Présenté par : Mlle A.DIB

TUV Certification Maroc

REFERENTIEL DE CERTIFICATION

Pôle Finance Exemples de réalisations

LA PROTECTION DES DONNÉES

CAHIER DES CLAUSES TECHNIQUES PARTICULIERES (CCTP) Valant ACCORD-CADRE. Procédure d appel d offres ouvert - N

Transcription:

AUDIT DE SECURITE INFORMATIQUE Réalisé par : M. T. CHOUKRI T. CHOUKRI 1

Méthodologie d audit de la sécurité du SI TC Consulting a développé une méthodologie d audit de sécurité des systèmes d informations communicants. Elle est basée sur les normes en usage dans le monde et en particulier la Norme ISO 27002. Son objectif est de fournir au responsable de la sécurité et à l ensemble du S.I.C. une vision simple, synthétique et chiffrée des risques, de leurs causes et de leurs conséquences. Cette synthèse peut être complétée de façon optionnelle par un plan d action et de réalisation détaillé et chiffré. Elle est décomposée en quatre phases indépendantes : 1. Analyse sécuritaire de l architecture du réseau et du SI 2. Questionnaire d audit de sécurité QCM_ISO_27002 3. Tests d intrusion 4. Plan d action détaillé et chiffré pour chaque phase et plan de synthèse éventuel La phase 1 est obligatoire car elle permet de préparer et de personnaliser les phases 2 et 3. Pour les phases 1,2 et 3 les livrables sont constitués du rapport de réalisation de l étude, d une synthèse descriptive de la nature des risques et des recommandations correspondantes. Enfin TC Consulting peut superviser la mise en œuvre de ce plan dans le cadre d une prestation d assistance à la maîtrise d ouvrage ou bien en assurer la réalisation dans le cadre d une prestation d assistance à la maîtrise d œuvre. T. CHOUKRI 2

Description des phases de la méthode Présentation / Méthode QCM _ISO_27002 est une méthode d audit de sécurité Basée sur la Norme ISO_27002 sous forme d un Questionnaire à Choix Multiple Couvrant l ensemble des aires fonctionnelles de sécurité d un Système d Information : Aire sécurisée Responsabilité & Exploitation Evolution du système Protection contre logiciels Dangereux Sauvegarde du SI Contrôle réseau Sécurité des Médias Echanges d'informations Contrôle d'accès Responsabilité de l'utilisateur Contrôle d'accès Réseau Contrôle des accès aux systèmes Contrôle d'accès applications Supervision Plan de secours Check Résultats QCM _ISO_27002 permet d élaborer le niveau de conformité à la Norme ISO_27002, des Benchmarking quantifiables, et des plans d action sous forme de chantiers Aire sécurisé Plan de secours 10 Supervision Contrôle d'accès applications Contrôle des accès aux systèmes Contrôle d'accès Réseau Rosace Sécurité SI 5 0 Responsabilité de l'utilisateur Contrôle d'accès Do Responsabilité & Exploitation Evolution du système Protection contre logiciels Dangereux Sauvegarde du SI Contrôle réseau Sécurité des Médias Echanges d'informations Année 1 Intérêts QCM _ISO_27002 est une méthode d audit de sécurité Rigoureuse et Facile Permettant un travail collaboratif Dont les résultats sont quantifiables Plan T. CHOUKRI 3

Description des phases de la méthode Questionnaire à choix multiple à remplir Questionnaire à choix multiple Rempli Consolidation du Questionnaire : conformité à la norme / manquements / Benchmarking Plan d actions détaillé T. CHOUKRI 4

Description des phases de la méthode Analyse Sécuritaire 1. de l architecture générale du réseau (structure, fonctionnement, et points d accès) 2. des flux applicatifs et des services réseaux 3. des moyens spécifiques de sécurisation du réseau Interprétation de l audit général Définition d un plan de tests d intrusion Interprétation du Questionnaire QCM_ISO_27002 Tests d intrusion Bilans, Recommandations et plan d actions T. CHOUKRI 5

Description des phases de la méthode Selon l analyse sécuritaire de l architecture, un plan de tests d intrusion sera établi incluant plusieurs tests d intrusion selon la profondeur et les endroits des tests : Internet, réseaux locaux, serveurs spécifiques, applications particulières I. Des tests d intrusion vérifiant les vulnérabilités (en particulier CVE), II. Des tests de vérification du «Hardning» et de l installation (des patchs, ), III. Des tests d intrusion par nom d utilisateur / mot de passe en utilisant les différentes méthodes appropriées (en particulier de la méthode de «la force brute») IV. Des tests spécifiques selon les environnements en place (en particulier, des tests d intrusion utilisant les vulnérabilités des scripts CGI, apache, IIS, etc). T. CHOUKRI 6

Offre de Produits et de Services Adresse : Cette offre s adresse à des clients finaux qui souhaitent mettre en place un audit de sécurité des systèmes d information. Contenu de l offre : Plan d audit et Méthodologie, Analyse sécuritaire de l architecture du réseau et du SI, Questionnaire QCM_ISO_27002, Tests d intrusion, Bilans, recommandations et plan d actions, Transfert du savoir faire, Mise à jour, T. CHOUKRI 7

Offre de Produits et de Services Mode de Tarification Phases Commentaires Configurations complexes Configurations standard TJM Total Analyse sécuritaire de l architecture du réseau et du SI + recommandations Sur devis 4 Questionnaire d audit de sécurité QCM_ISO_27002 +recommandations Test d intrusion +recommandations Sur devis 10 Sur devis 6 Plan d action détaillé et chiffré pour chaque phase Sur devis 3 jours par phase réalisée Mise en place des actions proposées en assistance à la maîtrise d ouvrage Suivi de la réalisation et la mise en œuvre du plan d action détaillé Sur devis 20% du temps prévu pour la réalisation Mise en place des actions proposées en réalisation et maîtrise d oeuvre Réalisation et recette du plan d action avec contrôle des résultats obtenus en Réalisant un audit d intrusion final Sur devis 100% du temps prévu pour la réalisation Total Ex : 30 jours Ex : 20 000k T. CHOUKRI 8

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back