Audit de la Sécurité du Système d'Information

1. Préparer et Organiser votre Audit Sécurité

• Fixer les objectifs de votre audit de la sécurité de vos Systèmes d’Information
  • Les différents audits pour analyser le niveau de sécurité de votre entreprise : les audits de sécurité, les audits applicatifs…
  • Appréhender les préoccupations de la direction pour mieux y répondre, les principaux risques
  • Définir l’objet de votre mission, le périmètre et les destinataires de vos analyses : évaluation de la politique de sécurité, test d’intrusion…
  • Quelle démarche ? Quelles méthodes et quels référentiels utiliser ? Quels résultats
  • Quels risques issus de votre démarche
• Comment identifier le patrimoine informationnel de votre entreprise à protéger en priorité
  • Identifier les données sensibles de l’entreprise, les applications stratégiques vis à vis de son coeur de métier…
  • Comment procéder à la classification des ressources par niveau de sensibilité
  • Confidentialité, intégrité, disponibilité, authenticité, traçabilité… Définir les objectifs incontournables de la sécurité de votre entreprise

2. Structurer votre Démarche d’Audit pour Evaluer votre Système de Sécurité Informatique et Ajuster vos Investissements

• ISO 17799, COBIT, ITIL… Quels atouts et limites des référentiels à la mode ? Comment les mettre en oeuvre simplement
  • Panorama des référentiels existants, objectifs, points forts et limites : ISO 17799, ISO 27001, BS 7799, Méthode EBIOS, Méthode MEHARI, Méthode PDCA, COBIT, ITIL, CMMi…
  • Comment adapter un référentiel aux objectifs de votre audit ? L’exemple avec COBIT
  • Le point sur les offres des sociétés spécialisées en matière d’assessment et d’audit de l’environnement de sécurité
• Les dangers qui menacent votre entreprise en 2008 : Quels outils et techniques d’identification ? Quels impacts d’une sécurité défaillante
  • Les menaces connues, potentielles et subies par votre entreprise et leurs évolutions en 2006: vol ou altération d’information, intrusions…
  • Diagnostic et analyse : les techniques, outils et logiciels à votre disposition
  • Identifier les facteurs de limitation des risques et les facteurs aggravants : management non sensible, nomadisme important, sites marchands, compétence du personnel…
  • Impact financier, pénal, remise en cause des contrats d’assurance, perte d’image, perte d’information, perte d’exploitation… Comment estimer les préjudices et les pondérer
  • Déterminer le degré d’exposition de l’entreprise et de son SI, sa vulnérabilité, sa capacité de compensation et de récupération
• Cas pratique : DG, DSI, RSSI, consultants… Construire la matrice des acteurs de la sécurité pour analyser l’efficacité de votre organisation
• Evaluer les moyens de protection existants pour assurer la sécurité du Système d’Information
  • Evaluation de votre PSI : politique, organisation et administration de la sécurité
  • Sécurité logique, Internet, du réseau et des télécommunications… Comment faire le point sur chaque domaine d’application de votre stratégie de sécurité ? Quels critères d’évaluation de la sécurité
  • Les risques particuliers liés à Internet et au sans fil, les menaces les plus courantes
  • Quel poids de la contrainte sécurité sur l’efficacité souhaitée dans l’utilisation de vos SI
• Quelle démarche appliquer pour l’audit du plan de continuité d’activité
  • Comment analyser, tester et maintenir votre plan de continuité de l’activité
  • Les différentes stratégies d’un plan de reprise informatique
  • Comment évaluer l’implication du personnel de l’entreprise
• Cas pratique : Construire votre check-list d’autoévaluation de la sécurité de votre entreprise

3. Fixer vos Axes d’Amélioration et Bâtir votre Plan d’Action

• Comment faire évoluer votre politique de sécurité pour réduire les risques en cohérence avec les besoins de votre organisation
  • Définir les objectifs et les fonctions de sécurité à atteindre et à mettre en œuvre
  • Faire le point sur les faiblesses de la sécurité des SI révélés par votre audit
  • Définir vos priorités concernant les moyens de protection et les grands axes des solutions de sécurité à mettre en oeuvre
  • Réaliser un transfert de risque vers l’assurance : comment identifier et définir ce qui est assurable pour l’entreprise ? Les limites du transfert en cas de crise grave
• Cas pratique : Concevoir un plan d’actions correctives réaliste : quelles méthodes ? Quels outils ?
• Les outils pour capitaliser sur votre audit et communiquer avec la Direction Générale
  • Reportings sécurité, comités de pilotage, alertes… Quelles informations privilégier
  • Quels indicateurs de suivi mettre en oeuvre ? Comment les intégrer dans vos relations fournisseurs
  • Les points de contrôles à mettre en place pour tout nouveau projet
  • Utiliser des tableaux de bord organisationnels et techniques compréhensibles par le top management
  • Comment justifier des investissements ? Communiquer un message positif