Les systèmes d'information en audit: définitions, caractéristiques et enjeux

Extraits

[...] Mesures préventives : augmenter les moyens requis : - Choisir les locaux sans ouverture vers l'extérieur - Doubler les arrivées électriques - Contrôle d'accès biométriques - Chiffrer les échanges de données Mesures de protection : circonscrire le sinistre dès sa détection - Agir rapidement après détection - Limiter l'ampleur des détériorations Ex : alerte incendie, vigiles, gestion de traitements des incidents Mesures palliatives : minimiser les conséquences au niveau de l'activité - Remplacer les ressources détériorées - Recréer un environnement qui permet la continuité de l'activité Ex : sauvegarde, plan de secours, maintenance du matériel Mesures de récupération : réduire les pertes ou le préjudice subi : - Transférer les pertes sur des tiers - Engager des actions en justice Ex : soutra tance, infogérance ; assurance (IARD, RC ) Réduction des risques : - Agir sur les causes : structurelle, dissuasive, préventive ( réduire la potentialité - Agir sur les conséquences : protection, palliatives, récupération ( réduire l'impact La méthode EBIOS : Développé par l'ANSSI (organisme d'état) + par les administrations SMSI = système permettant d'établir une politique, des objectifs et d'atteindre ces objectifs. Roue de Lemming : définition du plan puis action puis vérification et correction. (PAVC) La sécurité sur internet Sécurité info : info est le cœur des SI. ( Point vital à préserver. [...]

[...] SI connecté à internet donc il faut une connexion (postulat Transfert des risques pour les entreprises : contrat avec des spécialistes de l'info gérance et achète un service et non plus une ressource. Les avantages : Vus par les utilisateurs : - Elasticité & évolutivité - De l'investissement vers le consommable (cape vers ope) - Accès universel Vue par les fournisseurs : - Mutualisation des ressources & consolidation Les inconvénients : - Dépendance fortes du réseau et débit - Manque d'isolation de son info (contradiction avec la mutualisation) - Gouvernance des données (qui fait quoi - Sécurité données (sauvegarde) - Confidentialité des données - Lock in des clouds Peut-onciaux - Peut-on récupérer ses données (Google APS) - Quel api utiliser ? [...]

[...] Les usages & le cloud sont interdépendant : les usages ont amené au cloud et le cloud a permis certains usages. Ce sont toutes les technologies qui ont créé le cloud. Dans les entreprises : - Achat de ressources info sans besoin d'informaticiens (pas de matériel pour le réseau, l'électricité) ( Ressources disponible - Fournir des services en 24/7/365 - Accessibilité partout - Réactivité & disponibilité (web service ) Externalisation de l'info : PME n'ont pas intérêt à avoir l'info dans leurs locaux, il vaut mieux avoir un cloud. [...]

[...] Le système informatique fait parti des SI. C'est un actif essentiel qui supporte le fonctionnement des activités et des processus de l'entreprise. Le SI héberge le patrimoine incorporel de l'entreprise (fichiers clients, résultat de recherche, développement, savoir-faire). Les menaces : Panorama de cyber criminalité du CLUSIF (club de la sécurité de l'info française) : - Web 2.0 et réseaux sociaux (Facebook, icloud leaks, twitter) - Internet des objets, chip hacking : piratage de circuits électroniques (iphone, consoles, e-passeport), piratage des caméras électroniques - Piratages internes, rançons (Sony Picture : guerre électronique, Obama a dit que c'était à cause de la Corée du Nord mais on ne sait pas exactement d'où ça vient ; domino's ) Limitation du système ou simplement des erreurs : - De saisie - Destruction totale ou partielle - Sabotage - Divulgation d'info - Détournement d'info Pour préserver la sécurité des SI : - Confidentialité : info seulement accessible à ceux qui ont l'autorisation d'y accéder - Intégrité : info complète et ne doit pas être altérée ni altérable. [...]

[...] Les appli demandent au serveur SSO si le ticket est valide. Serveur de Montpellier : Schibboleth (université de de Montpellier). Hachages : Créer des empreintes : - le hachage de 2 fichiers différents doit donner des empreintes différentes - impossible de trouver la source à partir du hach. - Le plus connu : MD5 (message digest SHA1 (secure hash algorithm1) Hachage est appliqué sur des mots de passe Utilisation : - Stockage de mot de passe - Identifier des clés - Identifier des fichiers Les clés : mot de passe relativement long qu'on ne retient pas et permet d'authentifier. [...]