AS CONSULTING
PRESENTATION ACTIVITES
Domaines: Audit Informatique Securite du système d'information / Methodologie de l'audit des Systemes d'information
Professeur Monsieur Alain SAWADOGO
Ingénieur Informaticien Auditeur Informatique
Spécialiste de la Norme ISO 17799 (sécurité) ;
Spécialiste en plan de continuité d’activité ;
Spécialiste en méthodes de développement informatique (Merise);
Forte expérience de la ... [lire la suite]
Domaines: Audit Informatique Securite du système d'information / Methodologie de l'audit des Systemes d'information
Professeur Monsieur Alain SAWADOGO
Ingénieur Informaticien Auditeur Informatique
Spécialiste de la Norme ISO 17799 (sécurité) ;
Spécialiste en plan de continuité d’activité ;
Spécialiste en méthodes de développement informatique (Merise);
Forte expérience de la ... [lire la suite]
PRESENTATION ACTIVITES
Domaines: Audit Informatique Securite du système d'information / Methodologie de l'audit des Systemes d'information
Professeur Monsieur Alain SAWADOGO
Ingénieur Informaticien Auditeur Informatique
Spécialiste de la Norme ISO 17799 (sécurité) ;
Spécialiste en plan de continuité d’activité ;
Spécialiste en méthodes de développement informatique (Merise);
Forte expérience de la Banque Centrale (BCEAO)
Agent BCEAO à la retraite depuis 2005
Précédemment Contrôleur des Opérations de la BCEAO I –
Problématique
Le système d'information est généralement défini par l'ensemble des données et des ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. C'est alors que le système d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de protéger. La sécurité d'un système d'information fait souvent l'objet de métaphores. En effet, on la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue. Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects suivants :
III – ARCHITECTURE DE SECURITE
Avec le développement de l'utilisation d'Internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel à l’entreprise que vous représentez de connaître ses ressources qu'il faut protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur internet. Par ailleurs, avec le nomadisme, consistant à permettre aux agents de se connecter au système d'information à partir de n'importe quel poste, les agents des entreprises informatisées, peuvent être amenés à « transporter » une partie du système d'information hors de l'infrastructure sécurisé de l'entreprise. C'est pour repondre à ce besoin que s'inscrit le cours sur la sécurité du systeme d'information.
IV – CONTROLE DE DEUXIEME NIVEAU(AUDIT)
Plus aucune entreprise ne peut se passer de l'outil informatique, d'où la nécessité d'en assurer la sécurité, et de la protéger contre les risques liés à l'informatique. Or, comme on ne se protège efficacement que contre les risques qu'on connaît, il importe de mesurer ces risques, en fonction de la probabilité ou de la fréquence de leur apparition et de leurs effets possibles. Chaque organisation a intérêt à évaluer, même grossièrement, les risques qu'elle court et les protections raisonnables à mettre en oeuvre. Les risques et les techniques de sécurisation seront évalués en fonction de leurs coûts respectifs. Les risques étant inhérents à la vie de toute entreprise, il est nécessaire, pour pouvoir parer aux situations dangereuses, de les identifier, les quantifier, les hiérarchiser et les traiter. Dans cette optique, l'audit par les risques est une technique de contrôle de l'information. En effet, elle est à la fois :
La menace (en anglais « threat ») représente le type d'action susceptible de nuire dans l'absolu, tandis que la vulnérabilité (en anglais « vulnerability », appelée parfois faille ou brèche) représente le niveau d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prévention de la menace. Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions techniques mais également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies. Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de l'ennemi. C'est pour atteindre ce niveau maximal de sécurité, (mais le risque zéro n'existant), que s'inscrit le cours sur l'audit informatique
V – PROGRAMME DU COURS SUR LA SECURIE DE L'INFORMATION
Le cours fera l'objet d'une projection à l'écran grâce à un rétroprojecteur. A l'issue de chaque module du cours, il est prévu des cas pratiques qui feront l'objet d'un travail individuel à domicile ou d'un travail de groupe. Le professeur mettra à la disposition des étudiants sur le portail de l'Intranet de l'entreprise les cours, exercices. Les corrigés des devoirs feront également l'objet d'un affichage sur le portail du site Web de l'entreprise après seulement que les étudiants aient fini de traiter les devoirs.
IX – MATERIELS PEDAGOGIQUES
Le matériel de base pour le déroulement du cours est constitué de :
Un rétroprojecteur connectable à l'ordinateur portable du professeur ;
Une salle équipée en postes de travail (micro-ordinateur) destinée uniquement au travail de groupe pour les études de cas d'audit informatique ;
Un accès à Internet sur les postes de travail ;
Un tableau Padex muni de papier ;
Des feutres à papier ;
Un tableau noir.
X – OBLIGATION DES PARTICIPANTS
Respect des horaires de cours afin d'éviter les perturbations des retardataires dans la salle ; Les cours mis à la disposition des étudiants doivent être soigneusement lu ; Tous les exercices et devoirs doivent être traités pour une meilleure compréhension ; Le fait de disposer des cours sur le site web ou intranet, n'enlève en rien l'obligation qui est faite à chaque étudiant d'être au cours et à l'heure indiquée ; Une assuidité toute particulière des étudiants sera exigée lors des séances pratiques ; La fin des cours est sanctionnee par une evaluation etendue sur l'ensemble des cours livrés par le professeur.
XI – LA CHARTE A RETENIR PAR LES FUTURS AUDITEURS
Domaines: Audit Informatique Securite du système d'information / Methodologie de l'audit des Systemes d'information
Professeur Monsieur Alain SAWADOGO
Ingénieur Informaticien Auditeur Informatique
Spécialiste de la Norme ISO 17799 (sécurité) ;
Spécialiste en plan de continuité d’activité ;
Spécialiste en méthodes de développement informatique (Merise);
Forte expérience de la Banque Centrale (BCEAO)
Agent BCEAO à la retraite depuis 2005
Précédemment Contrôleur des Opérations de la BCEAO I –
Problématique
Le système d'information est généralement défini par l'ensemble des données et des ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler. C'est alors que le système d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de protéger. La sécurité d'un système d'information fait souvent l'objet de métaphores. En effet, on la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible. Ainsi, une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue. Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects suivants :
- La sensibilisation des utilisateurs aux problèmes de sécurité
- La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les données de l'entreprise, les applications ou encore les systèmes d'exploitation.
- La sécurité des télécommunications : typologies des réseau, serveurs de l'entreprise, réseaux d'accès, etc.
- La sécurité physique, soit la sécurité au niveau des infrastructures matérielles : salles sécurisées, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des agents de l'entreprise, etc.
ii - Objectifs
Ces cours sont livrés pour permettre aux Responsables et Directeurs d'Entreprise, aux étudiants inscrits au cycle de formation d'audit, d'être sensibilisés et de se familiariser avec la sécurité de l'information qui se caractérise par la garantie de : - la confidentialité, le caractère réservé de l'information dont l'accès est limité aux seules personnes autorisées pour les besoins du service ;
- l'intégrité, qui tient au fait que l'information n'est modifiée que par un acte volontaire et légitime ;
- la disponibilité, qui concerne l'accessibilité de l'information dans des conditions définies d'horaires, de délais et de performances ;
- la traçabilité comme moyen de preuve et de non-répudiation des actions effectuées sur l'information.
III – ARCHITECTURE DE SECURITE
Avec le développement de l'utilisation d'Internet, de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires ou leurs fournisseurs, il est donc essentiel à l’entreprise que vous représentez de connaître ses ressources qu'il faut protéger et de maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information. Il en va de même lors de l'ouverture de l'accès de l'entreprise sur internet. Par ailleurs, avec le nomadisme, consistant à permettre aux agents de se connecter au système d'information à partir de n'importe quel poste, les agents des entreprises informatisées, peuvent être amenés à « transporter » une partie du système d'information hors de l'infrastructure sécurisé de l'entreprise. C'est pour repondre à ce besoin que s'inscrit le cours sur la sécurité du systeme d'information.
IV – CONTROLE DE DEUXIEME NIVEAU(AUDIT)
Plus aucune entreprise ne peut se passer de l'outil informatique, d'où la nécessité d'en assurer la sécurité, et de la protéger contre les risques liés à l'informatique. Or, comme on ne se protège efficacement que contre les risques qu'on connaît, il importe de mesurer ces risques, en fonction de la probabilité ou de la fréquence de leur apparition et de leurs effets possibles. Chaque organisation a intérêt à évaluer, même grossièrement, les risques qu'elle court et les protections raisonnables à mettre en oeuvre. Les risques et les techniques de sécurisation seront évalués en fonction de leurs coûts respectifs. Les risques étant inhérents à la vie de toute entreprise, il est nécessaire, pour pouvoir parer aux situations dangereuses, de les identifier, les quantifier, les hiérarchiser et les traiter. Dans cette optique, l'audit par les risques est une technique de contrôle de l'information. En effet, elle est à la fois :
- un mode de représentation et de hiérarchisation des risques ;
- un résumé de la situation à un instant donné ;
- un instrument de communication et de management stratégique ;
- et une aide à la décision.
La menace (en anglais « threat ») représente le type d'action susceptible de nuire dans l'absolu, tandis que la vulnérabilité (en anglais « vulnerability », appelée parfois faille ou brèche) représente le niveau d'exposition face à la menace dans un contexte particulier. Enfin la contre-mesure est l'ensemble des actions mises en oeuvre en prévention de la menace. Les contre-mesures à mettre en oeuvre ne sont pas uniquement des solutions techniques mais également des mesures de formation et de sensibilisation à l'intention des utilisateurs, ainsi qu'un ensemble de règles clairement définies. Afin de pouvoir sécuriser un système, il est nécessaire d'identifier les menaces potentielles, et donc de connaître et de prévoir la façon de procéder de l'ennemi. C'est pour atteindre ce niveau maximal de sécurité, (mais le risque zéro n'existant), que s'inscrit le cours sur l'audit informatique
V – PROGRAMME DU COURS SUR LA SECURIE DE L'INFORMATION
- Comprendre la sécurité informatique
- Thème 1 - Organiser la sécurité de l'information
- Thème 2 - Bâtir une politique de sécurité de l'information
- Thème 3 - Gérer les risques de sécurité
- Thème 4 - Gérer les actifs informationnels
- Thème 5 - Assurer la sécurité des ressources humaines
- Thème 6 - Vérifier la conformité de l'information
- Thème 7 - Assurer la sécurité physique et environnementale
- Thème 8 - Contrôler les accès à l'information
- Thème 9 - Gérer les communications et les opérations
- Thème 10 - Gérer l'acquisition, le développement et l'entretien des systèmes
- Thème 11 - Gérer les incidents de sécurité
- Thème 12 - Prévoir la continuité des activités
- Risk Manager (Le Comité de Bale)
- Programmation des Missions
- Programmation Audit Général
- Programmation Audit Informatique
- Outils de l'Audit
- Audit Projet
- Audit Service Dévéloppement
- Audit Help desk
- Audit Application
- Audit Réseau
- Rédiger un rapport d’Audit
- Procédures Informatiques
- Cobit (Objectifs de Contrôle de l’Information et des Technologies Associées)
- Les Cabinets d'Audits
- Directions Publiques de l'Etat sénégalais (Ex : Direction Informatique, DIC)
- Managers et cadres d’entreprises publiques et privées Banques et Etablissements Financiers
- Université et Écoles de formation en management (Exemple : CESAG)
- Organismes d’encadrement des entreprises (Chambre de Commerce)
- Bailleurs de fonds Consultants et formateurs
Le cours fera l'objet d'une projection à l'écran grâce à un rétroprojecteur. A l'issue de chaque module du cours, il est prévu des cas pratiques qui feront l'objet d'un travail individuel à domicile ou d'un travail de groupe. Le professeur mettra à la disposition des étudiants sur le portail de l'Intranet de l'entreprise les cours, exercices. Les corrigés des devoirs feront également l'objet d'un affichage sur le portail du site Web de l'entreprise après seulement que les étudiants aient fini de traiter les devoirs.
IX – MATERIELS PEDAGOGIQUES
Le matériel de base pour le déroulement du cours est constitué de :
Un rétroprojecteur connectable à l'ordinateur portable du professeur ;
Une salle équipée en postes de travail (micro-ordinateur) destinée uniquement au travail de groupe pour les études de cas d'audit informatique ;
Un accès à Internet sur les postes de travail ;
Un tableau Padex muni de papier ;
Des feutres à papier ;
Un tableau noir.
X – OBLIGATION DES PARTICIPANTS
Respect des horaires de cours afin d'éviter les perturbations des retardataires dans la salle ; Les cours mis à la disposition des étudiants doivent être soigneusement lu ; Tous les exercices et devoirs doivent être traités pour une meilleure compréhension ; Le fait de disposer des cours sur le site web ou intranet, n'enlève en rien l'obligation qui est faite à chaque étudiant d'être au cours et à l'heure indiquée ; Une assuidité toute particulière des étudiants sera exigée lors des séances pratiques ; La fin des cours est sanctionnee par une evaluation etendue sur l'ensemble des cours livrés par le professeur.
XI – LA CHARTE A RETENIR PAR LES FUTURS AUDITEURS
- Professionnalisme ;
- Compétence ;
- Dévouement ;
- Engagement ;
- Excellence ;
- Intégrité ;
- Confidentialité.
Cette fiche a été vue 3139 fois
Dernière mise à jour: 12-08-2008.
Dernière mise à jour: 12-08-2008.
