République Tunisienne
 Accueil | Contact | Plan du site
A+  A-   A
English    عربي 		 
Ministère des Technologies de la Communication
 
 
 
Accueil Audit F.A.Q
F.A.Q
   

L'obligation d'audit sécurité des systemes d'information, en Tunisie.

Voici un bref rappel sur l'audit de sécurité informatique et son cadre juridique en Tunisie. Rappelons a cet effet que l’audit de la sécurité de l’information est régi par le Chapitre II de la loi n° 5-2004 du 3 février 2004 et ses décrets associés 1249-2004 et 1250-2004.(cliquer, pour accéder a ces textes de loi).

Les questions les plus fréquemment posées concernant les audits de sécurité en Tunisie :

(cliquer pour aller directement a la réponse)

Qui sont les organismes concernés par l'obligation d'audit de la sécurité de leurs systemes d'information?

Tous les organismes publics sont sujets a l'obligation d'audit périodique de la sécurité de leurs systemes d'information

    En plus, l’obligation de l’audit de la sécurité informatique concerne aussi les institutions privées suivantes  :

  • Les acteurs qui manipulent des données personnelles  du citoyen : Les entreprises  qui procedent au traitement automatisé des données personnelles de leurs clients.

  • Les opérateurs des infrastructures nationales critiques :  Opérateurs des réseaux publics de télécommunication et  fournisseurs de services de télécommunication et d’Internet ;

  • Les (grandes) entreprises privées dont la sécurité pourrait affecter les infrastructures nationales de communication : Les entreprises dont les réseaux informatiques sont interconnectés a travers des réseaux publics de télécommunication ;

Quelle est la périodicité de réalisation des opérations d'audit de sécurité ?

La périodicité de l'audit de  sécurité est actuellement annuelle, conformément aux dispositions de l'article n°5 du décret 1250-2004

Toutefois et comme stipulé dans cet article, une entreprise pourrait demander le report de l'échéance de réalisation de son audit, en envoyant une demande dans ce sens, appuyée par les raisons qui ont motivé cette décision de report et la période de report demandée. Cette demande sera étudiée par les services de l'ANSI et une réponse sera adressée a l'organisme concerné (soit par l'acceptation si des raisons de force majeure ou d'intéret clair ont été évoquées, soit par le refus avec explicitation des raisons de cette décision et éventuellement une réduction du champs de l'audit, le cas échéant).

Cette périodicité pourrait etre modifiée dans le futur (réforme du décret), dés que la situation sécuritaire de nos SI aura atteint un niveau acceptable de sécurisation.


 

Si je ne fais pas mon audit de la sécurité, qu'est ce que j'encours?

Conformément a l'article n°6 de la loi n°5-2004, l'Agence Nationale de la Sécurité Informatique avertit l'organisme concerné, qui devra effectuer l'audit dans un délai ne dépassant pas un mois a partir de la date de cet avertissement. A l'expiration de ce délai sans résultat, l'Agence Nationale de la Sécurité Informatique est tenue de désigner, aux frais de l'organisme contrevenant, un expert auditeur qui sera tenu d'accomplir la mission d'audit.

Comment procéder pour élaborer mon cahier des charges d'audit?

L'Agence Nationale de la Sécurité Informatique met a votre disposition un modele de cahier des charges d'audit de la sécurité informatique (Cliquez ici) afin de vous faciliter l'élaboration de votre cahier des charges. Ce modele doit etre raffiné selon les besoins et les spécificités de votre organisme.

Il est a noter qu'une équipe d'assistance est a votre entiere disposition au sein de l'Agence Nationale de Sécurité Informatique, pour vous aider dans  l'élaboration des termes techniques  votre cahier des charges. Vous pouvez nous contacter :

-Soit en nous visitant au siege de l'agence (sis au 94, Av Jugurtha, Mutuelle Ville, 1002 Tunis).

-Soit par téléphone (au numéro  71 846 020, poste 135)

-ou par e-mail a l’adresse suivante : assistance@ansi.tn,


 

Quel sont les délivrables d’une mission d’audit de la sécurité ?

Conformément a ce décret, les éléments suivants sont nécessaires :

  • " Une description et une évaluation complete de la sécurité  du systeme informatique, comprenant les mesures qui ont été adoptées depuis le dernier audit réalisé et les insuffisances enregistrées dans l’application des recommandations;

  • Une analyse précise des insuffisances organisationnelles et techniques relatives aux procédures et outils de sécurité adoptés, comportant une évaluation des risques qui pourraient résulter de l’exploitation des failles découvertes;

  • La proposition des procédures et des solutions organisationnelles et techniques de sécurité qui devront etre adoptées pour dépasser les insuffisances découvertes."

De plus, le modele de cahier de charges conçu par l'ANSI, explicite plus en détail le contenu de ces rapports :

  • Un rapport d’audit contenant :

  • Les mesures adoptées depuis le dernier audit;

  • Un plan d’action clair spécifiant  les mesures immédiates a prendre pour neutraliser les risques majeurs.

  • Un plan de sécurité (Sur 1 année jusqu’au prochain audit) :

    • Les résultats et les recommandations de la phase d’audit organisationnel et physique avec l’évaluation  des impacts (calcul des risques);

    • Les résultats et les recommandations de la phase d’audit technique avec une spécification des failles les plus graves;

  • Un rapport de synthese destiné aux décideurs (DG) , contenant

    • Les importantes vulnérabilités décelées, leur impact (cout caché)  et une synthese des mesures  importantes a mettre en oeuvre dans l'immédiat et jusqu'au prochain audit.;

    • L’esquisse d’une stratégie de sécurité cohérente et ciblée sur trois années.

Le rapport d'audit devra etre envoyé a l'Agence Nationale de sécurité Informatique (sous pli fermé et confidentiel), dix jours apres la remise de la version définitive du rapport par l'expert auditeur, accompagné des PVs de réunions effectués durant la mission. Les services de l'ANSI sont tenus de vérifier que l'audit a été effectué conformément aux directives de l'article n° 6 du décret 1250-2004, tout en veillant a conserver une stricte confidentialité sur le contenu de ces rapports, conformément a l'article n°9 de la loi.

Qui effectue l'opération d'audit de la sécurité d’un systeme d’information ?


Conformément au décret 1250-2004, les audits de la sécurité informatique doivent etre effectués, sous la responsabilité d'un chef de mission Tunisien, préalablement certifié par l’Agence Nationale de la Sécurité Informatique.

Le certificat d'auditeur dans le domaine de la sécurité informatique est délivré pour une période de 3 années renouvelables. De plus et conformément a l'article n° 9 de la loi, les auditeurs sont tenus par une contrainte de confidentialité absolue et encourent des peines pénales. En cas d'infraction l'auditeur certifié est passible aux sanctions prévues a l'article 254 du code pénal.

La liste des auditeurs certifiés est disponible pour consultation (Cliquez ici)

Quel serait l’apport d’une mission d’audit de sécurité ?

Le but principal des premieres opérations d’audit est d’élever de maniere efficace le niveau de sécurité de votre systeme, en tenant compte de la réalité de vos ressources humaines et financieres.

C’est la regle du 20/80 qui est recherchée (20 % d’efforts pour atteindre une amélioration de 80% du niveau de sécurité).

En effet, un premier audit sera considéré comme réussi :

  • S’il permet d’identifier et de neutraliser les failles les plus dangereuses, qui nécessitent généralement peu d’efforts pour etre éliminées (réaménagement de l’architecture du réseau, mise a jour des systemes, mise en œuvre des fonctionnalités de sécurité offerts en standard par vos systemes et éventuellement le déploiement d’outils de protection de base, dont quelques uns pourraient etre choisis, en complément des outils commerciaux et en cas de contraintes budgétaires, parmi la riche panoplie d’outils Open-Source disponibles.

  • S’il permet de sensibiliser le personnel et  la DG sur les risques cachés, inhérents aux lacunes sécuritaires.

  • S’il permet d’aboutir a la désignation d’un Responsable  Sécurité (RSSI : Responsable de la Sécurité du Systeme d’Information), de sorte que la sécurité ait la place qu’elle mérite et qu’une responsabilité (donc de l’effort concret) est dédié a cette tâche importante.

  • S’il institue une premiere politique de sécurité formelle, tenant compte de la gravité des risques, de la réalité humaine et financiere de l’organisme et de la culture du personnel.

  • S’il édifie un plan d’action pragmatique (réalisable) sur une année, avec une vision stratégique sur trois années et s’il tient compte de la nécessaire formation des ressources humaines. En effet la sécurité est : 75% (minimum) d’expertise technique des techniciens chargés de la sécurité et de sensibilisation des utilisateurs.

Un audit de la sécurité permet l’établissement d’un plan de sécurité clair et l’édification d’un premier schéma directeur de sécurité ; ceci se traduit par un ensemble de procédures et de mesures a entreprendre pour aboutir a une élévation du niveau de sécurisation du systeme d’information d’une maniere réaliste et évolutive. Ces mesures se traduisent en:

  • Des mesures organisationnelles a mettre place  :

  • Structures organisationnelles ;

  • Politique de sécurité ;

  • Sensibilisation et Formation du personnel.

  • Plan de réaction et Plan de continuité ;

  • Des mesures techniques :

    • Mesures Physiques ;

    • Mécanismes de Protection logique ;

    • Mécanismes d ’Audit.

Un bon audit est un audit qui tient compte de la réalité de l’organisme audité, de ses limites humaines et financieres et qui Inclut l’élévation du niveau de sensibilisation du personnel et la formation des gestionnaires .

Comment se déroule une mission d’audit de la sécurité ?

Un audit de sécurité consiste a valider les moyens de protection mis en oeuvre sur les plans organisationnels, procéduraux et techniques, au regard de la politique de sécurité en faisant appel a un tiers de confiance expert en audit sécurité informatique. L' audit de sécurité conduit, au dela du constat, a analyser les risques opérationnels  et a proposer des recommandations et  plans d'actions quantifiées et hiérarchisées pour corriger les vulnérabilités et réduire l'exposition aux risques.

L'audit de la sécurité du systeme d'information est décomposé en deux grandes phases  :

  • Phase d'audit des aspects organisationnels, conformément au référentiel normatif international ISO/IEC 17799, avec une évaluation et calcul des risques inhérents.

  • Phase d'audit Technique : une analyse technique de la sécurité de toutes les composantes du systeme informatique et la réalisation de tests de leur résistance face aux attaques; avec une analyse et une évaluation des dangers qui pourraient résulter de l’exploitation des failles découvertes suite a l’opération d’audit.

A rajouter a ces deux phases, une premiere phase (de lancement), englobant une opération de sensibilisation du personnel.

L'équipe intervenant dans une mission d'audits doit etre composée  d'experts dans les différents domaines de la sécurité (et éventuellement de consultants), et est toujours dirigée par un chef de projet certifié, responsable des opérations et des livrables.

1- Audit organisationnel de sécurité

L'objectif d'un audit organisationnel de sécurité est d'établir un état des lieux complet et objectif du niveau de sécurité de l'ensemble du systeme d'information sur les plans organisationnels, procéduraux et technologiques. Cette phase doit couvrir l'organisation générale de la sécurité :  (réglementation, procédures, personnel,...), la sécurité physique des locaux  (lutte anti-incendie, contrôle des acces, sauvegarde et archivage des documents,...), l'exploitation et administration (sauvegarde et archivage des données, continuité du service, journalisation,...), les réseaux et télécoms (matériel (routeurs,modems, autocommutateur..), contrôle des acces logiques, (lignes et transmission), les systemes (poste de travail, serveur, logiciels de base, solution antivirale,...) et les applications (méthodes de développement, procédures de tests et de maintenance,..)

Au cours des réunions effectuées au sein de l'organisme audité, l'auditeur définit le périmetre de l´audit et les personnes interviewées et planifie ses interventions. Pour mener a bien cette phase, l'auditeur applique une méthodologie d'audit et d'analyse de risques "formelle" (Mehari, Callio, Cobit, Ebios...) comme il peut adapter ces méthodes selon les besoins de l'organisme ou suivre une démarche propriétaire personnalisée et simplifiée.

L'évaluation du niveau de sécurité s'établit a partir des entretiens avec les personnes interviewées et de l'analyse des ressources critiques et des documents fournis. Les vulnérabilités identifiées lors des précédentes étapes seront rapprochées des menaces pouvant survenir dans le contexte technique et fonctionnel, objet de l'audit. Réduire les risques revient soit a agir sur les vulnérabilités, soit essayer de réduire l'impact qu'aurait l'exploitation d'une vulnérabilité par une menace ( Risque = Menace * Impact * Vulnérabilité) .

A l'issue de cette phase, l'auditeur propose les recommandations pour la mise en place des mesures organisationnelles et d'une politique sécuritaire adéquate, il peut également présenter une présentation de la synthese de cette phase de la mission avec pour objectif de sensibiliser sur les risques potentiels et les mesures a mettre en œuvre.

2- Phase d'audit technique

 
L’audit technique s’effectue, princpalement, en quatre phases :

    1.1- Audit de l’architecture du systeme

Lors de cette phase on va recenser les caractéristiques d’un systeme d’information a travers :

  •     La reconnaissance du réseau et du plan d’adressage

  •     Le sondage des systemes

  •     Le sondage des services réseau

  •     Le sondage des applications (A ne pas confondre avec un audit des applications)


    Pour la reconnaissance de l'architecture du réseau, l'auditeur reçoit des informations inventoriées par l'équipe informatique locale . Pour valider la conformité des documents reçus, l'auditeur utilisera ensuite de multiples outils de traçage du réseau et des passerelles, afin de détecter les stations, routeurs et firewalls du réseau et des outils de traçages des frontieres externes du réseau : passerelles externes (routeurs et firewalls) et connexions modems pour déterminer les périmetres extérieurs du réseau. Il utilise également les informations disponibles a partir des éventuels services SNMP et des serveurs de noms locaux ou Internet. Il est a noter que de multiples outils du domaine de l'open-source sont disponibles pour réaliser ces sondages.
 

  1.2- Audit de la résistance du systeme face aux failles connues, via une analyse  automatisée des vulnérabilités

    Cette phase consiste a scanner le réseau, par le biais de plusieurs outils automatisés d’identification et de test de vulnérabilités, afin de déterminer les failles existantes et d’identifier les composants vulnérables du systeme.
 

  1.3- Audit de l’architecture de sécurité existante

    Cette phase a pour but l’inspection de la qualité de l’architecture de sécurité du systeme audité, l’identification des périmetres de sécurité mis en place, la sécurité de circulation des flux sensibles et la qualité d’administration des outils de sécurité.Parmi les points essentiels a inspecter :
 

  •     La politique d’usage de mots de passe

  •     La solidité du systeme, face aux essais d’interception des flux

  •     La résistance aux attaques de déni de Service

  •     Les firewalls & des ACLs (Liste de Contrôle d'Acces)


    1.4- Audit de l’opacité du réseau depuis l’extérieur

Au cours de cette phase on va vérifier les possibilités offertes a un attaquant de récupérer, depuis l’extérieur les caractéristiques du systeme d’information.

Lors de cette phase l'auditeur procéde a :
 

  •     L’énumération des services et protocoles internes du réseau

  •     L’édification de scénarios d’éventuelles attaques expertes

-Méthodologies d'audit de sécurité informatique

La mission d'audit de la sécurité est une opération qui englobe divers volets ayant des relations directes avec le systeme d'information et touchant les facteurs humains, organisationnels, techniques, physiques et environnementaux. Ceci a obligé a développer des démarches claires et exhaustives pour couvrir toute l'opération d'audit. Ces démarches se sont traduites sous forme de méthodologies définissant des méthodes claires et efficaces pour la mission. Les méthodologies se sont généralisées pour offrir une sorte de standard pouvant etre un support aux auditeurs.

Les méthodologies doivent leur succes croissant a leur souplesse: elles peuvent etre appliquées a des sociétés de toute tailles, dans tous domaine d'activité.
Il existe en ce moment plusieurs méthodologies d'audit privées et publiques, dont ci-joint une premiere liste exhaustive (classée par ordre alphabétique) :

1- Méthodologies issues d'institutions gouvernementales
CRAMM
EBIOS Expression des Besoins et Identification des Objectifs de Sécurité
FEROS Fiche d'Expression Rationnelle des Objectifs de Sécurité

2. Méthodologies issues d'associations de sécurité
MEHARI(Méthode Harmonisée d'Analyse de Risques)
COBIT (Control Objectives for Information and Technology)

3. Méthodologies issues du CERT/CC
OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation
OCTAVE-S ( OCTAVE-S est une version réduite de OCTAVE a destination des entreprises de moins de 100 personnes)

4. Méthodologies issues de sociétés privées
CALLIO(solution commerciale de Callio Technonolgies)
SCORE (Ageris consulting)
COBRA  (Consultative, Objective and Bi-functional Risk Analysis)
ITIL (IT Infrastructure Library)

 

 
Copyright © 2010 ANSI webmaster@ansi.tn