sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Mise en place d'un processus d'audit et de contrôle

La LSF et Sarbanes Oxley et leur impact sur la sécurité

La mise en œuvre de la LSF en France (Loi de Sécurité Financière) ou de la loi Sarbanes Oxley (aux USA principalement mais également les filiales de groupes américains présents en France) impose des opérations d'audit et de contrôle.

La loi SOX (Sarbanes Oxley) est plus contraignante (audits tant en interne qu'en externe) que la LSF mais de nouvelles directives européennes sont en préparation. Leur périmètre couvre les processus de contrôle interne et donc sont bien plus vastes que la sécurité de l'information.

Leur impact en tant qu'organisation de contrôles autour des système d'information est fort et nécessite de réfléchir notamment à l'organisation d'un système de contrôle de la sécurité de l'information (et évidemment de l'information financière).

La mise en oeuvre des contrôles de sécurité

Deux types de contrôles devront être mis en oeuvre :

  • les contrôles des procédures organisationelles, de gestion des risques et des mesures de sécurité. ISO 17799 ou Cobit permettent d'élaborer l'ensemble des contrôles adéquats (de quelques centaines à plus de 5000 pour certaines grandes entreprises).

  • les contrôles s'adressant aux configurations des systèmes et aux vulnérabilités des systèmes et réseaux. Ceux ci sont en partie automatisables grâce à des outils (provenant d'éditeurs comme Computer Associates, Netiq, ISS, Symantec, ...)

 

Processus de contrôle et d'audit sécurité

Les contrôles devront être choisis en fonction des scénarios de sinistre identifiées et retenus et de la réglementation en vigueur.

Exemple de contrôles automatisables :

  • Restriction des comptes utilisateur : permet de s’assurer qu’un mot de passe dérobé est difficilement exploitable
  • Robustesse des mots de passe : tester la résistance des mots de passe pour s’assurer que les comptes ne peuvent pas être facilement accédés
  • Supervision du système : permet l’analyse des fichiers d’audit afin de détecter les activités suspectes (tentatives d'intrusions, ..)
  • Confidentialité des données : vérifier que les données sensibles sont protégées lorsqu’elles sont stockées ou transmises sur le réseau (interne ou externe)

Les résultats de certains contrôles serviront également d'alimentation des tableaux de bord sécurité.

 

Nous contacter
        Nous contacter :

 

 

pix1 pix2 pix3 pix4