Upload
dinhthuy
View
216
Download
0
Embed Size (px)
Citation preview
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 1
Présenté par : Dirigé par :
Octobre 2013
Audit de la sécurité du site web de TALISMEAS
Sénégal : www.talismeas.com
M. AMOUZOUN Mériadec
Centre Africain d’Etudes Supérieures en Gestion
Institut Supérieur de Comptabilité,
de Banque et de Finance
(ISCBF)
Master Professionnel en Audit et
Contrôle de Gestion
(MPACG)
Mémoire de fin d’étude
THEME
Promotion 6
(2011-2013)
POUYE Abdou KHADRE
Informaticien/Webmaster
&
SINIMBOU Durotimi
Auditeur
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG ii
DEDICACES
− A mes parents, Martin AMOUZOUN et Eléonore AMOUZOUN née GONZALO,
pour les nombreux sacrifices consentis pour ma formation et mon édification.
− A l’ensemble de mes frères, Rednic, Primaël, Martin-junior, Axel AMOUZOUN, pour
leurs prières et pour le soutien sans faille qu’ils m’ont toujours portés.
− A mon colocataire, ami, frère Abdel Farase MAMA-DJIMA, pour le soutien moral et
les bonnes années passées ensemble dans la joie et la galère de Dakar.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG iii
REMERCIEMENTS
Je témoigne ma profonde gratitude et mes remerciements les plus sincères à mes directeurs de
mémoire, messieurs Pouye Abdou KHADRE et Durotimi SINIMBOU pour leur disponibilité
et leurs conseils avisés pour la rédaction de ce mémoire.
J’adresse également mes remerciements au corps professoral du CESAG et plus
particulièrement à :
Monsieur Moussa YAZI, Directeur de l’Institut Supérieur de Comptabilité, de Banque
et de Finance ;
Monsieur Racine GUENE, Sous-directeur des études et de la vie estudiantin pour sa
disponibilité et ses conseils.
Mes remerciements vont à l’endroit des dirigeants de la société TALISMEAS et de son
personnel pour l’accueil chaleureux, le soutient et la disponibilité dont ils ont fait preuve tout
au long de mon stage pour répondre à toutes mes préoccupations, en particulier à :
Monsieur Maguatte SYLLA, Directeur général de Groupe SAFAR ;
Monsieur Hassan SYLLA, Directeur technique de TALISMEAS ;
Monsieur Abou KHADRE, Développeur web à TALISMEAS ;
Aux stagiaires de la 6ème promotion Master professionnel en Audit et contrôle de gestion pour
la fraternité et la bonne ambiance.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG iv
ACRONYMES ET ABREVIATIONS
CERN : Centre Européen de Recherche sur le Nucléaire
CIGREF : Club Informatique des Grandes Entreprises Françaises
CMS : Content Management Système
CSS : Cascading Style Sheets
DSI : Direction des Systèmes d’Information
ERP : Enteprises Ressources Planning
FRAP : Feuille de Révélation et d’Analyse de Problèmes
HTML: Hypertexte
Http: HyperTextTransfer Protocol IIA: Institute of Internal Auditor
ISACA: Information Systems Audit and Control Association
OPQUAST: Open Quality Standards
OWASP: Open Web Application Security Project
QCI : Questionnaire de Contrôle Interne
SI : Système d’Information
TAAO : Technique d’audit Assisté par Ordinateur
TI : Technologie de l’Information
WAF : Web Application Firewall
WWW: World Wide Web
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG v
LISTE DES FIGURES
Figure 1 : Fonctionnement des sites web ................................................................................. 17
Figure 2: Architecture client-serveur web ................................................................................ 18
Figure 3 : Le triangle INFOSEC .............................................................................................. 24
Figure 4 : Démarche axée sur les risques ........................................ Erreur ! Signet non défini.
Figure 5 : Résumé du processus d’évaluation des risques ....................................................... 45
Figure 6 : Modèle d’analyse ..................................................................................................... 52
Figure 7 : Page d’accueil du site web ....................................................................................... 66
Figure 8 : Audience du site web de TALISMEAS ................................................................... 70
Figure 9 : Ecran de l’utilitaire .................................................................................................. 80
Figure 10 : Capture d’écran des résultats du test ..................................................................... 81
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG vi
LISTE DES TABLEAUX
Tableau 1 : Programme d’audit de la sécurité d’un site web ................................................... 38
Tableau 2 : Champs d’action fonctionnel de la mission .......................................................... 75
Tableau 3 : Plan d’audit ........................................................................................................... 75
Tableau 4 : Programme de vérification .................................................................................... 76
Tableau 5 : Test de confirmation du QCI ................................................................................. 78
Tableau 6 : Test sur le site talismeas.com ................................................................................ 82
Tableau 7 : Tableau de risque (TARI)...................................................................................... 84
Tableau 8 : Tableau des forces et faiblesses ............................................................................ 88
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG vii
LISTE DES ANNEXES
Annexe 1 : Les bonnes pratiques de sécurité OPQUAST ..................................................... 100
Annexe 2 : Organigramme de TALISMEAS ......................................................................... 102
Annexe 3 : Questionnaire de prise de connaissance............................................................... 103
Annexe 4 : Questionnaire de contrôle interne ........................................................................ 104
Annexe 5 : Feuilles de Révélation et d’Analyse des Problèmes ............................................ 116
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG viii
TABLE DES MATIERES
DEDICACES ............................................................................................................................. ii
REMERCIEMENTS ................................................................................................................. iii
ACRONYMES ET ABREVIATIONS ..................................................................................... iv
LISTE DES FIGURES ............................................................................................................... v
LISTE DES TABLEAUX ......................................................................................................... vi
LISTE DES ANNEXES ........................................................................................................... vii
TABLE DES MATIERES ...................................................................................................... viii
INTRODUCTION GÉNÉRALE ................................................................................................ 1
PREMIERE PARTIE : CADRE THEORIQUE DE L’ETUDE ............................................... 7
Chapitre 1 : LE SITE WEB, UN COMPOSANT DES SYSTEMES D’INFORMATION ... 9
1.1. Le cadre conceptuel des sites web ........................................................................... 9
1.1.1. Définitions historique et rôles des sites web .................................................... 9
1.1.1.1. Historique des sites web ........................................................................... 10
1.1.1.2. Rôles d’un site web ................................................................................... 10
1.1.2. La typologie des sites web .............................................................................. 13
1.1.2.1. Les sites web statiques .............................................................................. 13
1.1.2.2. Les sites web dynamiques ........................................................................ 14
1.1.3. L’importance d’un Site web dans le système d’information de l’entreprise .. 15
1.1.4. Langages de programmation et fonctionnement d’un site web ...................... 16
1.1.4.1. Les langages de programmation ............................................................... 16
1.1.4.2. Fonctionnement des sites web .................................................................. 16
1.1.5. Aspect juridique des sites web ........................................................................ 18
1.2. Les bonnes pratiques des sites web ........................................................................ 19
1.2.1. Le World Wide Web Consortium ................................................................... 20
1.2.2. Quelques bonnes pratiques OPQUAST .......................................................... 21
1.3. La sécurité des sites web en tant que système d’information ................................ 22
1.3.1. La notion de sécurité du système d’information ............................................ 22
1.3.2. Les déterminants de la sécurité du système d’information ............................. 23
1.3.3. Risques, vulnérabilités et mesures sécuritaires liées aux sites web ................ 25
1.3.3.1. Les risques liés aux sites web ................................................................... 25
1.3.3.2. Les vulnérabilités liées aux sites web ....................................................... 29
1.3.3.3. Les mesures sécuritaires liées aux sites web ............................................ 30
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG ix
Chapitre 2: PROCESSUS D’AUDIT DES SITES WEB ..................................................... 31
2.1. Cadre d’audit de la sécurité d’un site web ............................................................. 32
2.1.1. Le COBIT ....................................................................................................... 33
2.1.2. Les normes de la famille ISO 2700X ............................................................. 34
2.1.3. Les autres normes utiles dans l’audit de la sécurité des sites web ................. 35
2.2. La démarche de l’audit de la sécurité d’un sites web ............................................ 35
2.2.1. Planification d’un mission d’audit de la sécurité d’un site web ..................... 36
2.2.1.1. La portée et les objectifs de l’audit ........................................................... 36
2.2.1.2. Le programme d’audit .............................................................................. 37
2.2.1.3. L’évaluation des risques ........................................................................... 42
2.2.2. Exécution de la mission d’audit de la sécurité d’un site web ......................... 46
2.2.2.1. La preuve d’audit ...................................................................................... 46
2.2.2.2. Les tests de conformité ............................................................................. 47
2.2.2.3. Les tests de corroboration ......................................................................... 47
2.2.2.4. L’évaluation des forces et faiblesses de l’audit ........................................ 47
2.2.3. Finalisation d’une mission d’audit de la sécurité d’un site web ..................... 47
2.3. L’audit de la sécurité des sites web aux moyens des Technique d’Audit Assisté par
Ordinateur (TAAO) .......................................................................................................... 48
2.3.1. Utilité des TAAO dans l’audit de la sécurité d’un site web ........................... 49
2.3.2. Les méthodes d’audit des sites web au moyen des TAAO ............................. 49
Chapitre 3 : METHODOLOGIE DE L’ETUDE .................................................................. 51
3.1. Le modèle d’analyse .............................................................................................. 51
3.1.1. Planification de l’audit .................................................................................... 51
3.1.2. Réalisation de l’audit ...................................................................................... 53
3.1.3. Conclusion de l’audit ...................................................................................... 53
3.2. Les outils de collecte et d’analyse de données ....................................................... 53
3.2.1. La revue documentaire ................................................................................... 53
3.2.2. Le questionnaire d’évaluation du contrôle interne ......................................... 53
3.2.3. L’interview ..................................................................................................... 54
3.2.4. Les tests de conformité ................................................................................... 54
3.2.5. La feuille de révélation et d’analyse des problèmes (FRAP) ......................... 55
3.2.6. Les logiciels d’audit (TAAO) ......................................................................... 55
3.2.7. Le tableau de risque ........................................................................................ 55
3.2.8. L’observation physique .................................................................................. 56
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG x
DEUXIEME PARTIE : CADRE PRATIQUE DE L’ETUDE ............................................... 58
Chapitre 4 : PRESENTATION DE TALISMEAS ............................................................... 60
4.1. Présentation générale de TALISMEAS ................................................................. 60
4.1.1. Missions .......................................................................................................... 60
4.1.2. Activités .......................................................................................................... 60
4.2. Structure organisationnelle de TALISMEAS ........................................................ 62
Chapitre 5 : DESCRIPTION DU SITE WEB DE TALISMEAS ET DES MESURES
DE SECURITÉ LIEES ......................................................................................................... 64
5.1 Présentation générale du site web .............................................................................. 64
5.1.1 Objectifs du site ................................................................................................... 64
5.1.2 La navigation ....................................................................................................... 65
5.1.3 La structure du site .............................................................................................. 65
5.1.3.1. L’écran d’introduction ................................................................................. 65
5.1.3.2. Le type de pages ....................................................................................... 66
5.1.3.3. Les composantes applicatifs ..................................................................... 67
5.1.4. La technologie utilisée pour créer le site web ................................................ 68
5.1.5. L’hébergeur .................................................................................................... 68
5.1.6. L’audience ...................................................................................................... 69
Source: Nous même, capture d’écran sur l’interface d’administration du site de
TALISMEAS ................................................................................................................... 70
5.2 Les dispositifs de la sécurité du site web de TALISMEAS ....................................... 71
5.2.1 La gestion et l’évaluation des risques ................................................................. 71
5.2.2 La sécurité du système ........................................................................................ 71
5.2.2.1 La gestion des identités et des comptes administrateurs .............................. 71
5.2.2.2 Prévention, détection neutralisation d’attaques ............................................ 71
5.2.2.3 Echange des données .................................................................................... 72
5.2.2.4 La sauvegarde et l’archivage des données ................................................... 72
5.2.2.5 La gestion du code source ............................................................................ 72
Chapitre 6 : LES TRAVAUX ET RESULTATS DE L’AUDIT DE LA SECURITE DU
SITE WEB DE TALISMEAS .............................................................................................. 73
6.1. La phase de planification de la mission d’audit ........................................................ 73
6.1.1. Programme d’audit du site web de TALISMEAS ............................................. 73
6.1.1.1. Objectifs de l’audit du site web de TALISMEAS ....................................... 73
6.1.1.2. Délimitation du champ d’action de la mission ............................................ 74
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG xi
6.1.1.3. Le planning de d’audit ................................................................................. 75
6.1.2. Programme de vérification ................................................................................. 76
6.2. La phase de réalisation de la mission d’audit ............................................................ 77
6.2.1. Exécution des tests de contrôle d’audit du site web de TALISMEAS ............... 77
6.2.1.1 Test d’existence (conformité) ....................................................................... 77
6.2.1.2. Résultat issue de l’implémentation des TAAO ........................................... 79
6.2.1.3. Résultat issue des contrôles applicatifs et des test sur le site web lui même.
.................................................................................................................................. 82
6.1.2. Identification des risques liés à la sécurité du site web de TALISMEAS .......... 83
6.3. Synthèse de l’audit de la sécurité du site web de TALISMEAS ............................... 88
6.3.1. Les forces et faiblesses de l’audit du site web. .................................................. 88
6.3.2. Les Feuilles de révélation et d’analyse des problèmes ...................................... 91
6.4. Synthèse des recommandations ................................................................................. 92
CONCLUSION GENERALE .................................................................................................. 96
ANNEXES ............................................................................................................................... 99
BIBLIOGRAPHIE ................................................................................................................. 124
CESAG - BIBLIOTHEQUE
INTRODUCTION GÉNÉRALE
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 2
Autre fois réservée à des privilégiés et à des utilisateurs avertis, l’internet est devenu
aujourd’hui un moyen de communication incontournable de la société moderne. La
démocratisation de l’usage de l’internet a entrainé une prolifération des sites web parmi
lesquels des sites web professionnels, propriétés des entreprises.
Un site web constitue généralement une véritable plateforme d’accès à l’information. Mais
force est de constater que c’est sans réelle planification que de nombreuses entreprises ont été
amenées à concevoir et à mettre en œuvre des sites web, les attributions de ces derniers étant :
- un rôle de vitrine informative, présentation de produits et services ;
- une fonction de communication et d’information, mise à disposition d’informations
utiles ;
- une plate-forme d’échange commerciale, commerce en ligne et vente par
correspondance.
Au regard de ces différentes fonctions qui leurs sont attribuées, les sites web deviennent
l’épine dorsale du système d’information, vital au bon fonctionnement de l’entreprise.
Ainsi les sites web sont par nature des éléments très exposés du système d’information. Leur
sécurisation revêt une grande importance, et ce à plusieurs titres.
Les menaces les plus connues pesant sur les sites web sont les défigurations et les dénis de
service. Une défiguration est une attaque par laquelle une personne malveillante modifie le
site pour remplacer le contenu légitime par un contenu qu’il choisit, par exemple pour relayer
un message politique, pour dénigrer le propriétaire du site ou simplement, pour revendiquer
son attaque comme preuve d’un savoir-faire. L’actualité du 15 août 2013 fait état de l’attaque
du site web du célèbre quotidien américain Washington Post. Le site aurai été détourné et
redirigé vers la page d'une organisation revendiquant son soutien au président syrien Bachar
al Assad ; selon Yahoo actualité.
Cette attaque n’est pas en marge des nombreuses autres visant des sites web d’entreprises aux
secteurs d’activité variés : Commerce électronique, grande distribution, banque etc. Même les
géants de l’informatique ne sont pas épargnés comme en témoigne la récente attaque du 18
juillet 2013 contre le site de la société Apple.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 3
Un déni de service a quant à lui pour objet de rendre le site attaqué indisponible pour ses
utilisateurs légitimes. Dans les deux cas, l’impact sur le propriétaire du site est évidemment
un déficit d’image et, pour le cas d’un site servant de support à une activité lucrative, un
manque à gagner.
Il ne faut toutefois pas négliger les scénarios d’attaques plus insidieux. Il est possible qu’un
individu malveillant se serve d’un site web comme une porte d’entrée vers le système
d’information de l’hébergeur ou, plus généralement, de l’entité à qui appartient le site. Par
ailleurs, un site peut être utilisé comme relai dans une attaque élaborée vers un système tiers
ou comme dépôt de contenus illégaux, ces situations étant susceptibles de mettre l’exploitant
légitime du site en difficulté. Enfin, une attaque sur un site peut aussi viser à tendre un piège
aux clients habituels de ce site, qui sont souvent les employés du propriétaire du site ou de ses
partenaires. Ainsi, l’externalisation de l’hébergement d’un site ne permet pas de transférer
l’ensemble des risques d’intrusion au système d’information de l’hébergeur.
Toutes ces attaques ont en commun de rechercher, contrairement à celles évoquées plus haut,
une certaine discrétion et peuvent par conséquent rester insoupçonnées pendant de longues
périodes.
La protection contre ces menaces passe à la fois par des mesures préventives et par des
mécanismes permettant de détecter les tentatives d’attaques.
Avoir une assurance de la sécurité de son site web devient alors un enjeu majeur du top
management des entreprises. Ainsi, l’audit de la sécurité d’un site web revêt une importance
stratégique pour les entreprises.
La problématique de la sécurité et de la fiabilité d’un site internet devra se poser en premier
lieu chez les concepteurs de site web. En effet ils sont de plus en plus nombreux à proposer
leurs services de conception de site web sur mesure aux entreprises, l’activité ayant connu le
même essor que l’évolution des nouvelles technologies de l’information et de la
communication.
Cependant, c’est une responsabilité de la gouvernance de l’entreprise de s’assurer de la
qualité de service qu’il reçoit. Ceci à travers la gestion du niveau de services et la
gouvernance de la sécurité de l’information.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 4
La société TALISMEAS outre son activité de conseil et d’ingénierie en système
d’informations et intégration d’ERP open source, propose des services de création de site web
sur mesure pour les entreprises. La société a une expérience avérée dans le domaine pour
avoir réalisé des sites web pour des structures du Sénégal tel que, la fédération nationale de
football du Sénégal, le centre commercial seaplaza de Dakar, l’université Alioune DIOP de
Bambey pour ne citer que ceux la.
Aussi, pour des raisons de communication et de stratégie, TALISMEAS dispose d’un site web
vitrine, hébergé par un tiers prestataire et qui présente l’ensemble de la société à travers ses
activités, son équipe, son expérience etc. Au site web il a été greffé des composants
applicatifs métier qui permettent la gestion et le partage de documents et d’informations
(wiki) ; la gestion de mails professionnels, et la gestion des projets internes. Cet état de choses
révèle l’importance stratégique du site web de TALISMEAS.
C’est ce qui explique la nécessité pour TALISMEAS d’assurer la sécurité de son site,
garantissant celles de ses clients et au-delà une posture confortable par rapport aux
concurrents. Ainsi, la sécurité du site d’une entreprise part de la gouvernance de la sécurité de
l’information pour aboutir à la gestion stricte des risques en se conformant aux normes et
bonnes pratiques adoptées par l’entreprise.
L’absence de mesures primordiales, garantissant la sécurité des sites web tels que l’:
- absence d’une politique de sécurité générale incluant celle du site web ;
- absence d’un plan de sécurité ;
- absence d’un système de gestion adéquat du risque ;
- absence suivis du niveau de service assuré par l’hébergeur, le cas échéant ;
sont des causes qui pourrait entrainer un manque, voir une absence totale de sécurité au
niveau des sites web, tant au niveau de l’information qu’ils contiennent que des support TI.
Ainsi le non respect de ces mesures, expose les entreprises à des risques tels que :
- perte d’image ;
- vol/altération d’informations ;
- pertes financières ;
- indisponibilité du système d’information ;
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 5
- la divulgation de données confidentielles.
Pour atteindre un niveau de sécurité adéquat de l’exploitation de leur site web, les entreprises
doivent avoir :
- une organisation optimale répondant aux besoins du contrôle interne ;
- un bon pilotage organisationnel et un suivis régulier de la sécurité de l’information;
- un bon contrôle de la mise en œuvre des exigences de sécurité ;
- limiter l’accès à certaines données au moyen de mécanismes structurés ;
- un suivi du niveau de service de l’hébergeur (cas ou l’entreprise à recours à des
serveurs distants ne lui appartenant pas) ;
- des assurances du niveau de sécurité de l’information et particulièrement du site web.
La société TALISMEAS gagnerait donc à faire auditer son site web afin de s’assurer un
pilotage organisationnel optimal, la mises en œuvre des exigences en matière de sécurité, la
gestion des niveaux de service etc.
La principale question qui découle de tout ce qui précède est la suivante : L’exposition étant
inévitable, comment TALISMEAS pourrait contrôler les vulnérabilités pour mitiger les
risques de son site web ?
De cette question peut découler les questions spécifiques suivantes:
- qu’est ce qu’un site web ?
- comment assurer la disponibilité, l’intégrité, la confidentialité des données sur le site
web ?
- quelle est la méthodologie de l’audit d’un site web ?
- quels sont les outils et techniques d’audit applicables à un site web ?
- quels sont les référentiels normes et bonnes pratiques utilisables pour auditer la
sécurité d’un site web ?
- comment révéler à une entreprise le niveau actuel de sécurisation de son site et
accompagner son amélioration ?
La réponse à ces questions justifie le choix de notre thème de recherche énoncé comme
suit : « audit de la sécurité du site web de TALISMEAS Sénégal : www.talismeas.com »
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 6
Pour favoriser la réponse progressive à ces différentes préoccupations du management, nous
dégageons un objectif pour ce mémoire. L’objectif de ce travail sur l’audit de la sécurité d’un
site web est de s’assurer que les mesures de sécurité existantes protègent efficacement le site
web en disponibilité, confidentialité et intégrité.
Pour atteindre cet objectif il nous faudra :
- identifier les risques inhérents à la possession d’un site web ;
- évaluer le niveau actuel de la gouvernance de la sécurité et en particulier celui du site
web de TALISMEAS ;
- évaluer le niveau actuel de la gestion de la sécurité de l’information et
particulièrement celui du site web de TALISMEAS ;
- répertorier les dispositifs et bonnes pratiques à mettre en œuvre pour
circonscrire/maitriser ces risques;
- proposer une démarche d’audit ainsi que des référentiels à utiliser, et;
- formuler des recommandations pour l’amélioration de la sécurité du site web.
L’intérêt d’une telle étude pour l’entreprise est de lui permettre d’évaluer et de situer sa
maitrise des risques liés a son site web et à son SI en général, lui proposer des dispositifs et
techniques à mettre en œuvre pour réduire son exposition aux risques.
En ce qui nous concerne, ce sera pour nous l’opportunité de nous familiariser avec la notion
de site web, d’acquérir des connaissances, le savoir-faire et les compétences nécessaires pour
réaliser une mission d’audit des systèmes d’information. Cette étude est le point culminant de
notre formation de deux (02) ans au CESAG.
Ce thème sera traité en deux grandes parties :
- La première concernera les aspects théoriques de l’audit des systèmes d’information
appliqué au cas des sites web qui comprend trois (03) chapitres à savoir : le site web,
un composant des SI ensuite le processus d’audit des sites web et enfin la
méthodologie de l’étude, et ;
- La seconde partie abordera l’aspect pratique qui se compose de trois chapitres : la
présentation de TALISMEAS, La description du site web de TALISMEAS et des
mesures de sécurités liées, enfin, les travaux et résultats de l’audit de la sécurité du site
web de TALISMEAS.
CESAG - BIBLIOTHEQUE
PREMIERE PARTIE :
CADRE THEORIQUE DE L’ETUDE
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 8
Pour justifier et planifier leurs dépenses informatiques, les directions des systèmes
d’information sont depuis longtemps conduites à évaluer et auditer leurs systèmes
d’information et plus particulièrement leurs applications informatiques. Les sites web
développés par les entreprises sont devenus des applications cruciales, voire stratégiques, à
l’instar des sites de e-commerce.
Mais c’est l’aspect sécuritaire des systèmes d’information qui suscite beaucoup plus
d’inquiétudes au niveau des DSI. Les sites web, véritable vitrine du système d’information de
l’entreprise commence par représenter de véritables cibles de choix aux attaques des systèmes
d’information d’entreprise.
La première partie de notre étude sera consacrée à la revue des écrits théoriques par rapport
aux sites web en général et à la revue théoriques des auteurs en matière d’audit des systèmes
d’information. Il s’agit d’une revue théorique sur les notions générales liées au concept de site
web. La méthode de l’audit des systèmes d’information adaptable aux sites web fera l’objet
d’une présentation. Une méthodologie de notre étude et une synthèse de la revue seront
également présentées. La première partie de cette étude se fera donc en trois chapitres qui
sont :
- le site web, un composant des systèmes d’information;
- le processus d’audit des sites web ;
- la méthodologie de l’étude.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 9
Chapitre 1 : LE SITE WEB, UN COMPOSANT DES SYSTEMES D’INFORMATION
Le début des années quatre-vingt-dix, outre l’accélération de la montée en puissance de
l’informatique personnel, a vu une interconnexion grandissante entre le monde de la micro-
informatique et celui des grands systèmes. L’implémentation des architectures client-serveur
et la naissance du World Wide Web (WWW) y ont grandement contribué.
Le concept client-serveur correspond à une philosophie d’approche de l’informatique en
rupture forte par rapport aux stades précédents, en établissant dans l’informatique une relation
de type client-fournisseur. Le client est vu comme l’utilisateur qui derrière son poste de
travail, généralement un PC, demande des services à plusieurs serveurs distants, qui peuvent
être d’anciens mainframes ou non. Ceux-ci, généralement caractérisés par des gammes de
puissances, plus importantes que le poste de travail de l’utilisateur, rendent le service
demandé. Il se peut que dans ce modèle, pour répondre aux besoins du client, qu’ils aient eux-
mêmes à demander certaines informations à d’autres systèmes. Nous voyons alors qu’un
serveur d’un client donné peut, afin de rendre un service demandé, se retrouve lui-même
temporairement à l’état de client. Cet état de choses à fait naitre un grand réseau, le réseau des
réseaux, l’internet.
Internet a été par la suite utilisé pour développer un service : le web. De nos jours, il est
devenu presque anodin de se connecter à internet et de bénéficier des services du web grâce
aux sites web.
1.1. Le cadre conceptuel des sites web
Il convient, avant de rentrer dans le vif du sujet, de s’accorder sur certaines notions relatives
aux sites web.
1.1.1. Définitions historique et rôles des sites web
Selon Wikipédia, un site ou site web1 de l'anglais website, qui se traduit littéralement en
français par site de la toile, est un ensemble de pages web hyper liées entre elles et accessible
à une adresse web. Un site web est composé d'un ensemble de documents structurés, nommés
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 10
pages web, stockés (hébergés) sur un ordinateur (serveur) connecté au réseau mondial
(internet).
Une page web est l’unité de consultation du Word Wide Web. C'est un document
informatique qui peut contenir du texte, des images, des formulaires à remplir et divers autres
éléments multimédias et interactifs.
Il conviendra de distinguer un site web d’une application web. En effet, Une application web2
est une application manipulable grâce à un navigateur web. De la même manière qu’un site
web, une application web est généralement placée sur un serveur et se manipule en actionnant
des onglets directement à partir du navigateur web via un réseau informatique.
Ainsi, à la différence des sites web standard, une application web est tout site web qui permet
à ses utilisateurs d’accomplir des tâches spécifiques (gérer des mails, créé du contenu etc).
1.1.1.1. Historique des sites web
Celon wikipédia, c’est au CERN (organisation européenne pour la recherche nucléaire) qu’en
1991 le tout premier site internet fut ouvert dans l’indifférence totale. Il a été mis au point par
l’ingénieur Tim Berners-lee. La toute première adresse internet du premier serveur web était
« nxoc01.cern.ch ». En créant le logiciel World WideWeb, Tim Berners-Lee a créé à la fois le
premier navigateur web et le premier éditeur web, car il voulait faire du web un média
collaboratif, dans lequel tous les acteurs consultent et créent l'information. Cependant, le web
s'est immédiatement orienté en un média de diffusion d'information global plutôt que de
collaboration. C’est ainsi que dans la seconde moitié des années 1990, le web devient
populaire, et toutes les grandes entreprises, organisations, écoles, administrations, ouvrent un
site web.
1.1.1.2. Rôles d’un site web
L’évolution actuelle du monde a rendu l’utilisation quotidienne de l’internet aussi
indispensable que la télévision, le téléphone etc. Lorsqu’un internaute se connecte à un site
web, c’est dans un but précis : trouver des réponses à ses questions, communiquer, s’amuser.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 11
L'ère de la numérisation implique l'accès à l'information en direct, répondant au besoin du tout
et tout de suite. Une page web contient donc à cet effet des informations, généralement pour
informer ou faire connaître. Le rôle d’un site web devra donc être abordé sous l’angle de celui
qui l’utilise (usage particulier, usage d’entreprise, usage pour une organisation etc.)
Dans le cadre de l’utilisation personnelle ou privée
Dans le cadre d'une utilisation privée, un site web permet par exemple de communiquer et de
partager des ressources telles que des photos, des vidéos, des messages, etc. Pour accéder à
ces ressources, il suffit d'être connecté sur internet, n'importe où dans le monde. Grâce aux
sites web à usage privé, les utilisateurs sont à même de collecter les informations, partager les
informations, se faire connaître. Grâce au nouveau concept nommé « personnalbranding »
entendons marketing personnel, le site web permet aux utilisateurs privés ou particuliers de
gérer leurs marques personnelles en améliorant leur réputation et leur identité professionnelle
à travers un site web privé. Ou des pages web dédiées et privées (profils sur les réseaux
sociaux, blog etc.)
Dans le cadre d’une utilisation faite par une institution
Les institutions utilisent les sites web pour se faire connaître et divulguer des informations par
rapport à leurs activités. Les institutions de normalisation par exemple utilisent leurs sites web
pour rendre accessibles au grand public les différentes normes qu’elles élaborent.
Dans le cadre de l’utilisation faite par une entreprise.
Le site web revêt une toute autre importance pour les entreprises. Pour une entreprise, l’intérêt
d’un site web est d’abord de pouvoir être vu par tout le monde. Ainsi donc, les entreprises
utilisent généralement les sites web pour développer leur image de marque et leur notoriété.
Pour se faire les entreprises attribuent aux sites web les rôles suivants :
Présentation (vitrine)
C'est le tout premier cas, celui par lequel démarrent beaucoup d'entreprises : avoir un site pour
présenter ses produits et services. D'ailleurs cette fonction est tout à fait dans l'esprit de
l'Internet : le réseau est censé fournir toutes les informations qu'on pourrait trouver sur papier
et ailleurs, puisqu'il est un double virtuel du monde réel, comme on l'a souvent affirmé dans
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 12
les débuts de l'Internet grand public. À la plaquette publicitaire et au catalogue papier de
l'entreprise, il est donc logique que correspondent une vitrine et un catalogue virtuels.
Beaucoup d'entreprises commencent à considérer cette fonction de vitrine informative comme
indispensable.
fonction de communication et d’information :
Le site web de l'entreprise peut et doit être vécu et géré comme un outil de communication,
obéissant à ses règles. Respect du ton de l'entreprise, de sa charte de communication, de son
style. Ainsi le site web joue un rôle de communication auprès des entreprises.
Indépendamment des questions d'image et de style, l'entreprise va pouvoir communiquer, tout
comme elle communique, de manière générale, par le biais de ses documents institutionnels
tels que rapports d'activité, communiqué et annonces à la presse.
La présence sur le Web peut être l'occasion de mettre à disposition de la clientèle, mais aussi
des prospects et même de tout public, des informations relatives soit à l'entreprise, soit aux
produits ou services. De plus, une page web bien faite donne toujours la possibilité au visiteur
de laisser ses coordonnées en vue d'un contact plus personnalisé, voire un message libre pour
poser une question.
En définitive, grâce aux sites web, la communication d'une entreprise prend une forme
continue, ininterrompue. Des clients peuvent se renseigner sur un type de prestation, en-
dehors des horaires d'ouvertures de l'entreprise.
Vente par correspondance
L’évolution actuelle du web permet aujourd’hui grâce à des technologies avancées de mettre
au point des sites web pour la vente directe en ligne grâce à des plate formes constituées sur le
net à cet effet.
Ce nouveau rôle, attribué à des sites web spécialisés, permet à l’entreprise de toucher
directement sa clientèle et de vendre ses produits en ligne. Il s’agit notamment des sites de e-
marketing.
Bressolles (2012 :9) définit l’e-marketing comme le processus de planification et de mise en
œuvre de l’élaboration, de la tarification, de la communication, de la distribution d’une idée,
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 13
d’un produit ou d’un service permettant de créer des échanges, effectuées en tout ou en partie
à l’aide des technologies digitales, en cohérence avec les objectifs individuels et
organisationnels. Ainsi le site e-marketing entre dans la stratégie marketing de l’entreprise et
constitue une véritable force de vente.
Pour Kepeklian & al (2008:3) si le web s’est mué en plate forme, cela veut dire qu’il est
devenu possible de créer des systèmes d’information en utilisant des composants disponibles
sur le net. Ainsi le site web fait partie intégrante du système d’information de l’entreprise.
1.1.2. La typologie des sites web
Il existe deux grandes catégories de site web à savoir : les sites web statiques et les sites web
dynamiques.
1.1.2.1. Les sites web statiques
Il conviendra de définir le site web statique, de dire ses spécificités et de présenter ses
avantages et inconvénients.
1.1.2.1.1 Définition
Un site web statique est un site web dont les pages sont statiques. On entend par page
statiques, non pas une page sans mouvement ou sans animations mais une page visible telle
qu’elle a été conçue.
Le contenu des sites web statiques ne peut pas être mis à jour automatiquement. La mise à
jour nécessite l’intervention du webmaster. Ce dernier doit modifier le code source pour y
ajouter des nouveautés. Ainsi les sites web statiques sont caractérisés par une très faible
fréquence de mise à jour. Ils sont adaptés pour construire des sites web « vitrine ».
1.1.2.1.2 Avantages et inconvénients
Les avantages liés à l’implémentation des sites web statiques sont :
- coûts de développement très avantageux ;
- individualisation des pages permettant un bon référencement ;
- conservation facile de l’historique.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 14
Les inconvénients liés aux sites web statiques sont les suivants :
- nécessite des compétences particulières pour l’entretien et les mises à jours ;
- lourdeur dans la mise à jour.
1.1.2.2. Les sites web dynamiques
Il conviendra de définir le site web dynamique, de dire ses spécificités et de présenter ses
avantages et inconvénients.
1.1.2.1.3 Définition
Un site web dynamique est un site dont le contenu peut être généré dynamiquement, c‘est à
dire que ce contenu peut s’afficher en fonction de l’utilisateur qui le consulte ou d’autres
paramètres. Les sites web dynamiques incluent l’utilisation de base de données, ce qui offre
plus de possibilités de développement. Ainsi le contenu du site web dynamique peut changer
sans l’intervention du webmaster. Les sites web dynamiques sont donc caractérisés part un
niveau de mise à jour régulier et fréquent.
1.1.2.1.4 Avantages et inconvénients
Les sites web dynamiques présentent les avantages suivants :
- mises à jours ne nécessitent pas des compétences particulières ;
- évolutifs, les sites web dynamiques peuvent très facilement devenir des applications
web ;
- forte adaptabilité aux besoins de l’entreprise.
Comme inconvénients nous pouvons citer :
- coût de développement élevé ;
- journalisation complexe ;
- complexité des technologies utilisées.
Il ressort qu’il existe des différences majeures entre un site web statique et un site web
dynamique. En effet le site statique est composé d'un contenu défini (texte, son, vidéo,
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 15
animations, flash,...) mais non modifiable à moins de plonger dans le code alors que le site
web dynamique fait varier le contenus en fonction des utilisateurs.
1.1.3. L’importance d’un Site web dans le système d’information de l’entreprise
Apparu au début des années 80, la notion de système d’information a été définie par REIX &
al (2011:4) comme : «Ensemble organisé de ressources: matériel, logiciel, personnel, données,
procédures… permettant d’acquérir, de traiter, de stocker des informations (sous forme de
donnée, textes, images, sons, etc.) dans et entre des organisations».
DEYRIEUX (2003: 11) affirme que le système d’information capitalise le savoir collectif et
structure fortement l’entreprise, les décisions et le management. Il doit rendre disponible
l’information pertinente au bon endroit au bon moment.
La gouvernance des systèmes d'information est directement liée à la stratégie des entreprises.
Elle concerne le choix des grandes orientations de l'entreprise et se traduit par de la création
de valeur.
Ainsi la mise en place d’un site web dans une entreprise revêt une importance stratégique
pour l’entreprise. Il y va du choix du type de site web, du rôle à lui attribuer et des objectifs
stratégiques à atteindre. La prise en compte du site web dans le dispositif des systèmes
d’information de l’entreprise permet de se rendre compte que les sites web constituent un
support majeur de l’information et de sa divulgation. Ainsi nous pouvons affirmer que le site
web est « une partie visible de l’iceberg » qu’est le système d’information. Il convient donc de
s’assurer que sa conception garantit la sécurité de l’information qu’il contient et que ces
dernières soient fiables.
Selon AKOKA & al (2003:2), le site web constitue l’épine dorsale du système d’information
de l’entreprise, vitale au bon fonctionnement de cette dernière.
Une importance particulière doit être accordée au site web de l’entreprise qui, en adéquation
avec la stratégie de l’entreprise, lui confère un avantage compétitif.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 16
1.1.4. Langages de programmation et fonctionnement d’un site web
Le langage est la base de toute communication. Pour communiquer et se comprendre il faut
pouvoir parler le même langage.
1.1.4.1. Les langages de programmation
Dans le domaine de l’informatique, l’homme à du trouver un langage afin de communiquer
avec la machine par l’intermédiaire de codes. Il s’agit du langage de programmation. Un
langage de programmation est un vocabulaire et un ensemble de règles d'écriture utilisées
pour instruire un ordinateur d'effectuer certaines tâches.
Les sites web peuvent être considérés comme des applications, AKOKA & al (2003: 1). Ainsi
pour créer un site web il faut donc le programmer à travers un langage de programmation.
De nos jours il existe plusieurs langages de programmation web. Les plus utilisés sont le
XHTML, le CSS, le PHP/MySQL et JavaScript.
1.1.4.2. Fonctionnement des sites web
Pour être lu et compris par son utilisateur (les internautes), pour la plupart profanes de
l’informatique, le site web a besoin d’être décrypté. Pour se faire on utilise des navigateurs
web.
Les navigateurs web
Un navigateur web est un logiciel conçu pour consulter le World Wide Web.
En l’espace de quelques années, le navigateur est devenu probablement le programme le plus
utilisé sur un ordinateur. Et pour cause c’est grâce au navigateur que de nombreux internautes
ont accès aux sites internet. Le rôle du navigateur est d’analyser le code XHTML et CSS des
pages web et d’en produire un résultat visuel, facile à lire pour un humain ; NEBRA (2008:6).
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 17
Les URL
Selon wikipédia, les URL (Uniform Resource Locator) sont une invention du World Wide
Web et sont utilisées pour identifier les pages et les sites web. Elles sont aussi appelées
adresses web. Les URL ont été inventées pour pouvoir indiquer avec une notation (d'où
l'adjectif «uniforme») aux navigateurs web comment accéder à toutes les ressources d'internet.
Chaque navigateur web dispose d'une «barre d'adresse» affichant l'URL de la ressource
consultée. Il est en outre possible de saisir une URL dans cette barre d'adresse pour consulter
une ressource dont on connaît l'URL. Si le support le permet, on peut aussi trouver l'URL
correspondant à un lien en positionnant la souris sur l'image ou le texte approprié. L'URL peut
alors être présentée dans une barre d'état ou une bulle d'information. Les navigateurs web
conservent un historique des URL consultées. Cela leur permet de reconnaître et présenter de
manière distinctive les hyperliens vers des ressources déjà consultées.
Le protocole HTTP
Selon wikipédia, l'HyperText Transfer Protocol, plus connu sous l'abréviation HTTP,
littéralement « protocole de transfert hypertexte », est un protocole de communication client-
serveur développé pour le World Wide Web. Les clients HTTP les plus connus sont les
navigateurs Web permettant à un utilisateur d'accéder à un serveur contenant les données.
La figure ci-dessous décrit de façon sommaire le fonctionnement des sites web
Figure 1 : Fonctionnement des sites web
Source : Nous même
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 18
1: la demande de page web est effectuée à partir d’un URL par une requête http qui est
envoyé au serveur via le protocole TCP/IP.
2: Grace au langage PHP/MySQL, la requête est interprétée du coté du serveur qui génère la
page demandée.
3: Le serveur renvoi ensuite la page demandée au format HTML/CSS
Une architecture plus complexe est présentée ci-dessous
Figure 2: Architecture client-serveur web
Sources : Nous même
1.1.5. Aspect juridique des sites web
Dans tous domaines de la vie l’absence de lois et réglementations entraine des dérives parfois
préjudiciables à la société.
Le domaine du web n’est pas épargné, qui plus est, il représente un champ de bataille constant
contre les manquements à l’ordre et aux lois en vigueur.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 19
Il n’existe pas de lois spécifiques aux sites web. La création et l’implémentation des sites web
est soumise à la juridiction du secteur qu’il touche (bancaire, assurance, pharmaceutique etc)
et en particulier au Sénégal, à la loi sur la société Sénégalaise de l’information.
Au Sénégal, le Président de la République a promulgué les premiers textes de loi relatifs à la
société sénégalaise de l’information.
Il s’agit de la :
- loi d’orientation sur la société de l’information ;
- loi sur la protection des données à caractère personnel ;
- loi sur les transactions électroniques ;
- loi sur la cybercriminalité.
Le Conseil des Ministres du 24 avril 2008 a examiné et adopté les décrets d’application
desdites lois. Il s’agit du :
- décret relatif à la certification électronique pris pour l’application de la loi n° 2008-08
du 25 janvier 2008 sur les transactions électroniques ;
- décret relatif aux communications électroniques pris pour l’application de la loi
n° 2008-08 du 25 janvier 2008 sur les transactions électroniques ;
- décret relatif au commerce électronique pris pour l’application de la loi n° 2008-08 du
25 janvier 2008 sur les transactions électronique ;
- décret portant application de la loi n° 2008-12 du 25 janvier 2008 sur la protection des
données à caractère personnel.
Le présent travail ne visant pas une étude juridique des sites web, une abstraction sera faite de
la présentation de ces lois.
1.2. Les bonnes pratiques des sites web
La sécurité de tout système informatique passe par la mise en place d’outils et de bonnes
pratiques encore trop souvent négligées.
L’accroissement de l’usage des technologies de l’information et l’interconnexion croissante
de celles-ci rend les besoins en sécurité de plus en plus déterminants. De ce fait, des
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 20
réglementations et des normes internationales ont vu le jour, notamment dans le domaine des
sites web.
Cependant, toutes ces réglementations ne sont trop souvent que des référentiels dans lesquels
les entreprises ont toute latitude pour s’orienter à leur guise. Pour le reste, il n’y a pas
d’obligations, tout est essentiellement question de bon usage.
Parmi les réglementations et bonne pratiques des sites web, les plus utilisé sont SEO,
OpenData, Accessybility first steps, and second steps, et webperf. Toutes ces bonnes
pratiques inspirées notamment des standards de la W3C sont regroupées dans une checklist
intitulée open QualityStandars (OPQUAST).
1.2.1. Le World Wide Web Consortium
Selon wikidédia, le World Wide Web Consortium, abrégé W3C, est un consortium fondé en
octobre 1994 pour promouvoir la compatibilité des technologies du World Wide Web telles
que HTML, XHTML, XML, RDF, CSS, PNG, SVG et SOAP. Le W3C n'émet pas des
normes au sens européen, mais des recommandations à valeur de standards industriels.
Sa gestion est assurée conjointement par le Massachusetts Institute of Technology (MIT) aux
États-Unis, le European Research Consortium for Informatics and Mathematics (ERCIM) en
Europe (auparavant l'Institut national de recherche en informatique et en automatique français
(INRIA)) et l'Université Keio au Japon.
Le W3C publie aussi des remarques informatives qui ne sont pas destinées à être traitées en
tant que norme.
Le consortium laisse le soin aux fabricants de suivre les recommandations. Contrairement à
l'Organisation internationale de normalisation ou d'autres corps internationaux de
standardisation, le W3C ne possède pas de programme de certification. Cependant les
spécifications techniques du W3C définissent la conformité de manière plus ou moins
explicite et formelle.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 21
1.2.2. Quelques bonnes pratiques OPQUAST
Les pratiques OPQUAST sont regroupées par thématique et par niveau de criticité. Les
bonnes pratiques en matière de site web divulguées par OPQUAST sont regroupées autour
des thématiques suivantes :
Le code :
Il s’agit de proposer un ensemble de standards en matière de programmation informatique afin
d’harmoniser l’écriture des code sources des sites web.
Le contenu
C’est un ensemble de règles définissants la structure minimale du contenu d’un site web.
E-commerce
Dans cette thématique, un ensemble garantissant une certaine harmonisation des sites e-
commerce en terme de conditions d’accès, de services etc.
Navigation
En terme de navigation, les bonnes pratiques OPQUAST proposent un ensemble de directives
garantissant l’accessibilité des sites web sur tous les types de devise et de navigateur. Il s’agit
d’un ensemble de bonnes pratiques qui définissent la façon d’aborder la structure des sites
web et leur ergonomie.
Présentation
En terme de présentation, les bonnes pratiques OPQUAST préconisent un ensemble de
directives permettant d’harmoniser la structure graphique des sites, et propose un ensemble
de best-way en matière de choix des styles de présentation des sites.
Sécurité et confidentialité
Il s’agit d’un ensemble de best-way garantissant la sécurité et la confidentialité des données
présentes sur le site web. Il s’agit d’un ensemble de bonnes pratiques pouvant servir de base
pour la construction d’un référentiel d’audit de la sécurité d’un site web (Annexe 1)
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 22
1.3. La sécurité des sites web en tant que système d’information
L’importance que revêt le site web dans le système d’information de l’entreprise mérite qu’on
accorde une importance toute aussi particulière à sa sécurité.
1.3.1. La notion de sécurité du système d’information
La sécurité peut être définie comme l’ensemble des moyens mis en œuvre et dont le rôle est
d’assurer une protection contre tout danger clairement défini. La sécurité d’un système
d’information fait souvent l’objet de métaphore car on la compare souvent à une chaine en
expliquant que le niveau de sécurité d’un système est caractérisé par le niveau de sécurité du
maillon le plus faible. Ainsi une porte blindée est inutile dans un bâtiment si les fenêtres sont
ouvertes sur la rue.
Selon wikipédia, la sécurité des systèmes d’information (SSI) est l’ensemble des moyens
techniques, organisationnels, juridiques et humains nécessaires et mis en place pour
conserver, rétablir, et garantir la sécurité du système d’information. Assurer la sécurité du
système d’information est une activité du management des systèmes d’information.
Selon GODART (2002:16-17), de manière plus concrète, une entreprise parle de sécurité pour
protéger sa réputation, assurer la continuité de ses activités, protéger ses données stratégiques
et ses propriétés intellectuelles, protéger les données privées de sa clientèle et de ses
employés, se prémunir de la fraude, satisfaire aux exigences légales et éviter des pertes
financières.
Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre
en compte les aspects suivants :
- la sensibilisation des utilisateurs aux problèmes de sécurité;
- la sécurité logique, c’est à dire la sécurité au niveau des données notamment les
données de l’entreprise, les applications ou encore les systèmes d’exploitation;
- la sécurité des télécommunications : typologie des réseaux, serveurs de l’entreprise,
réseau d’accès, etc;
- la sécurité physique, soit la sécurité au niveau des infrastructures matérielles: salles
sécurisées, lieux ouverts au public, espaces communs de l’entreprise, poste de travail
des agents de l’entreprise, etc.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 23
La sécurité des systèmes d’information doit être abordée de façon à assurer la confiance des
utilisateurs du système d’information. C’est la raison pour laquelle il est nécessaire d’élaborer
une politique de sécurité, c’est à dire:
- élaborer des règles et des procédures, installer des outils techniques dans les différents
services de l’organisation (autour de l’informatique) ;
- définir les actions à entreprendre et les personnes à contacter en cas de détection d’une
intrusion ;
- sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes
d’information ;
- préciser les rôles et responsabilités.
«La politique de sécurité se présente sous la forme d’un ensemble de documents qui
présentent de manière ordonnée les règles de sécurité, les directives, procédures règles
organisationnelles et techniques à appliquer et à respecter. Ces règles sont généralement
issues d’une étude des risques informatiques (système informatique et système
d’information)» (PILLOU 2010).
De ce fait donc la définition que nous retiendrons de la sécurité des systèmes d’information
est que la sécurité des systèmes d’information est un ensemble de politiques et procédures qui
permettent d'éviter les intrusions (confidentialité), les incohérences (intégrité) et les pannes
(disponibilité) des systèmes d'information, et qui définissent les règles d'authentification.
1.3.2. Les déterminants de la sécurité du système d’information
Selon ANGOT (2004 :102), la sécurité doit être considérée d’abord au niveau de la sécurité
générale et du maintien d’une information fiable et cohérente.
Le rôle commun à tous les sites web quel que soit leur typologie est la gestion de
l’information: grâce aux sites web, les entreprises collectent des informations (coordonnées,
préférences des visiteurs etc.), divulgue de l’information (publicité sur leurs produits,
présentation d’équipes, situation géographique etc.).La sécurité des sites web fait alors
intervenir la sécurité de l’information.
Selon LACHAPELLE & al (2005:3), La sécurité de l’information vise à protéger
l’information contre une large gamme de menaces, de manière à garantir la continuité des
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 24
transactions, à réduire le plus possible le risque et à optimiser le retour sur investissement
ainsi que les opportunités en termes d’activité pour l’organisme.
Par conséquent on appelle sécurité de l’information, tous les moyens techniques,
organisationnels, juridiques, et humains mis en place pour faire face aux risques identifiés,
afin d’assurer la confidentialité, l’intégrité, la disponibilité (variables du triangle infosec) et la
traçabilité de l’information traitée.
Figure 3 : Le triangle INFOSEC
Source : LACHAPELLE & al (2009 :3)
- La confidentialité : L’information ne doit pas être divulguée à toute personnes, entité
ou processus non autorisé. En clair, ça signifie que l’information n’est consultable que
par ceux qui ont le droit d’y accéder.
- L’intégrité : le caractère complet et correct des actifs doit être préservé. En clair cela
signifie que l’information ne peut être modifiée que par ceux qui en ont le droit.
- La disponibilité : L’information doit être rendue accessible et utilisable sur demande
par une entité autorisée. Cela veut dire que l’information doit être disponible dans des
conditions convenues à l’avance.
- La traçabilité : garanti que les accès et tentatives d’accès aux éléments considérés sont
tracées et que ses traces sont conservées et exploitables.
TRIANGLE
INFOSEC
Confidentialité
Disponibilité Intégrité
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 25
La sécurité d’un site web est alors, l’ensemble des moyens techniques, organisationnels,
juridiques, et humains mis en place pour faire face aux risques identifiés, afin d’assurer la
confidentialité, l’intégrité, la disponibilité et la traçabilité de l’information traitée et de ce
dernier.
Assurer la sécurité d’un site web revient alors à identifier et cartographier les risques liés à
l’exploitation du site et à y remédier de façon méthodique.
1.3.3. Risques, vulnérabilités et mesures sécuritaires liées aux sites web
Comme tous systèmes informatiques, les sites web sont exposés à des risques et
vulnérabilités.
1.3.3.1. Les risques liés aux sites web
Etymologiquement, le mot risque vient de l’italien risco, mot dérivé du latin resecum, (« ce
qui coupe »), désignant le rocher qui menace les navires marchands, autrement dit le danger
en mer. Le web est de nos jours ce qu’était la mer au 18ème siècle, c’est à dire un moyen
d’échange en tous genres entre les continents et de décloisonnement des frontières. A cet effet
le risque est alors omniprésent sur le web.
La notion de risque fait alors intervenir deux éléments essentiels: l’évènement dont
l’occurrence est probabilisable, qui va entrainer des conséquences négatives : un dommage,
une perte.
Dans cette même logique, Bloch & al (2013: 9) estime qu’il est possible de préciser la notion
du risque en la décrivant comme le produit d’un préjudice par une probabilité d’occurrence:
Risque = préjudice x probabilités d’occurrence
LAFITE (2003 : 96) quant à lui définit le risque comme un péril mesurable, visant des biens
ou des activités précis, aux conséquences économiques dommageables.
Selon DUGELAY (2003 :17) « les risques inhérents non exhaustifs aux données et les
systèmes informatiques sont : incendie, inondation, explosion, panne des installations,
malveillance, erreur humaine, pirate, défaillance fournisseur, environnemental, cyber-attaque,
virus, rupture d’approvisionnement, externalisation défaillante, panne d’énergie, etc.. »
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 26
L’usage de site web par les entreprises les a fait rentrer dans le monde de l’information
numérique. Ainsi toutes les informations traitées par les entreprises à travers leurs sites web
sont des informations à caractère numérique.
Le CIGREF, dans son rapport de mars 2011 intitulé «les risques numériques pour
l’entreprise» a identifié huit grandes familles de risques numériques que sont:
- les risques liés aux ressources humaines
- les risques liés à la dématérialisation des rapports humains
- les risques stratégiques
- les risques liés au contrôle des systèmes d’information
- les risques éthiques et juridiques
- les risques liés au patrimoine numérique
- les risques marketing
- les risques périphériques
Parmi ces risques, les plus usuels dans le cadre de l’exploitation d’un site web d’entreprises
sont :
- les risques liés au contrôle des systèmes d’information
- les risques éthiques et juridiques
- les risques marketing
1.3.1.1.1 Les risques liés au contrôle des systèmes d’information
o Vol/altération/modification de données de l’entreprise par l’utilisation du site web par des
employés (attaque interne) :
Nous sommes ici dans le cadre d’une malveillance interne. L’employé qui a accès au réseau
interne de l’entreprise peut potentiellement l’utiliser pour lui faire du mal. La gravité dépend
de l’information à laquelle il accède. Ce risque n’est pas à négliger et les employés ont
généralement une bonne connaissance des failles de sécurité de l’entreprise (CIGREF, 2011 :
9).
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 27
o Vol/altération/modification de données de l’entreprise par l’utilisation du site web par des
pirates (attaques externes).
Les attaques essuyées par les sites web d’entreprises du fait de hackers ne sont pas rares. Le
pirate doit en effet avoir une raison particulière pour s’attaquer à l’entreprise. Si le phénomène
«hacker» est très médiatisé, il n’en reste pas moins que les auteurs des actions les plus
dommageables reste les employés de l’entreprise.
o Vol/altération/modification de données de l’entreprise par l’utilisation du système réseau
par des programmes malveillants (virus).
Ce genre de dommage peut également être causé par tout type de programme malveillant. Si
la menace est quotidienne, le dommage n’est généralement pas très important. La réponse à
apporter est généralement assez simple.
o La négligence des salariés.
Au-delà des risques dus à la malveillance, on retrouve également des risques liés au
comportement négligent des employés. Ce comportement est produit le plus souvent par une
méconnaissance des enjeux de sécurité de l’entreprise pour le salarié ou par des usages de
travail (partage des sessions, des mots de passe, etc.). Cette négligence peut entraîner
vol/altération/modification des données de l’entreprise.
o Déni de service entrainé par la saturation du serveur web.
Utiliser le numérique entraine une utilisation croissante du réseau de l’entreprise, une
sollicitation plus importante des processus numériques mis en place et cela peut entraîner une
saturation. Cette saturation se traduit par un ralentissement (parfois une immobilisation) tel
que l’entreprise n’est plus en mesure de produire, de communiquer ou de fournir son client.
Ce risque de déni de service peut avoir une source interne (ex: saturation du logiciel de
facturation) ou une source externe (ex: problème technique chez le sous-traitant en
cloudcomputing).
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 28
1.3.1.1.2 Les risques éthiques et juridiques
o Respect de la vie privée et confidentialité des données.
Lorsqu'une entreprise décide de numériser des données personnelles (relatives à des clients ou
des collaborateurs...), elle a l'obligation de déclarer ces données à la CNIL, ainsi que d'en
assurer la sécurité (contrairement à des données non numériques). L'entreprise fait donc face à
des risques juridiques liés à cette obligation légale de sécurisation de ces données (CIGREF,
2011 : 9).
o Internationalisation
Des informations sur l’entreprise peuvent circuler à l’étranger via le jeu des réglementations
internationales ou être soumises à des réglementations locales. Par exemple, les serveurs de
données situés aux États-Unis sont soumis au PatriotAct, et la NSA a donc le droit de
consulter les données qu'ils contiennent, ce qui présente un risque pour l'entreprise qui
possède de tels serveurs (ou qui soustraite l'hébergement de ses données à un fournisseur dont
les serveurs sont situés sur le sol américain). Plus généralement, la législation concernant
l'échange de données est différente selon les pays, le cryptage peut être autorisé, interdit,
soumis à autorisation... Pour l'entreprise, cela se traduit concrètement par des pertes en cas de
non-respect de la loi locale, ou des problèmes de productivité et d'homogénéisation des
processus dans le cadre d'une activité internationale.
1.3.1.1.3 Les risques marketing
o Risque de réputation.
Un site internet est un outil vulnérable. C’est un outil de communication et de marketing de
premier plan qui peut être la cible de personnes malveillantes à l’égard de l’entreprise. Ceci
est d’autant plus facile lorsque le site propose une plateforme de communication bottom-up.
Que ce soit une campagne organisée ou de réels mécontentements, l’entreprise court un risque
réel en termes d’image en offrant un espace de liberté au cœur de son outil de communication
Ces risques sont accrus par des vulnérabilités qui naissent lors du développement, de
l’implémentation et de l’utilisation des sites web (CIGREF, 2011 : 9).
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 29
1.3.3.2. Les vulnérabilités liées aux sites web
La fondation OWASP (Open Web Application Security Project) dans son document « les dix
vulnérabilités de sécurité applicatives web les plus critiques » présente quelques une des
vulnérabilités des applications web notamment des sites web.
Au nombre de ces vulnérabilités nous pouvons citer.
Le cross site Scripting (XSS) :
Les failles XSS se produisent à chaque fois qu'une application prend des données écrites par
l'utilisateur et les envoie à un navigateur web sans avoir au préalable validé ou codé ce
contenu. XSS permet à des attaquants d'exécuter un script dans le navigateur de la victime
afin de détourner des sessions utilisateur, défigurer des sites web, potentiellement introduire
des vers, etc.
Les failles d’injection
Les failles d'injection, en particulier l'injection SQL, sont communes dans les applications
web. L'injection se produit quand des données écrites par l'utilisateur sont envoyées à un
interpréteur en tant qu'élément faisant partie d'une commande ou d'une requête. Les données
hostiles de l'attaquant dupent l'interpréteur afin de l'amener à exécuter des commandes
fortuites ou changer des données.
Violation de gestion d’authentification et de sessions
Les droits d'accès aux comptes et les jetons de session sont souvent incorrectement protégés.
Les attaquants compromettent les mots de passe, les clefs, ou les jetons d'authentification
identités pour s'approprier les identités d'autres utilisateurs.
« Un pirate peut se déguiser et prendre l’identité d’une ressource qui est considérée comme
étant de toute confiance » (ACISSI, 2009 :167).
Stockage cryptographique non sécurisé
Les applications web utilisent rarement correctement les fonctions cryptographiques pour
protéger les données et les droits d'accès. Les attaquants utilisent des données faiblement
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 30
protégées pour perpétrer un vol d'identité et d'autres crimes, tels que la fraude à la carte de
crédit.
1.3.3.3. Les mesures sécuritaires liées aux sites web
Il existe plusieurs techniques permettant d’assurer la sécurité des sites web et les
informations numériques qu’ils contiennent. Ces mesures peuvent être classées par catégorie.
1.3.3.3.1 Les mesures de sécurité physique
Ces mesures protègent les supports de stockage et de traitement des données ou informations
de façon physique. Si le site est hébergé sur des serveurs appartenant à l’entreprise elle-même,
la solidité des bâtiments logeant les serveurs est obligatoire. La souscription d’un contrat
d’assurance est importante.
Mais dans le cas ou le site et hébergé sur des serveurs de prestataires de service, il convient de
s’assurer que l’hébergeur garanti un ensemble de mesures de sécurité tant physiques que
logiques.
1.3.3.3.2 Les mesures de sécurité logique
Pour la sécurité logique, les solutions des grands éditeurs sont :
- les codes malveillants : La solution de sécurité est l’usage d’un progiciel antivirus sur
les postes clients ainsi que sur les serveurs, couplé à un dispositif pare-feu ou firewall,
(CLEUET & al, 2008a :41) ;
- les facteurs humains : La sensibilisation et une grande vigilance du personnel
permettent de se prémunir de l’ingénierie sociale et du phising. L’usage de proxy, d’un
pare-feu, de sonde réseaux réduisent l’accès et détecte les intrusions.
- la compromission de l’information (défiguration du site web etc.) : STALLINGS
(2002 :346) souligne que la limitation des accès aux utilisateurs est une mesure contre
l’usurpation d’identité, «les contrôles d’accès utilisateurs limitent l’accessibilité aux
données ou informations et privilégient une catégorie du personnel vue la
confidentialité des données ou de l’information».
Le chiffrement ou cryptographie constitue un autre moyen de sécuriser l’accès logique aux
informations. Grâce à l’usage de ses algorithmes, la cryptographie permet :
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 31
- l’authentification ;
- l’intégrité ;
- la non répudiation.
1.3.3.3.3 Le plan de sauvegarde et de secours informatique
Pour BUTEL (2008:22) et LESSAUVEGARDES (2007), le plan de sauvegarde doit
permettre de récupérer, de manière transparente, les informations indispensables au
fonctionnement opérationnel de l’entreprise, voire vital pour sa survie. Ainsi un plan de
sauvegarde est indispensable pour les sites web et en particulier quand l’activité de
l’entreprise dépend entièrement du fonctionnement du site web.
Selon MENTHONNEX, (1995:211), «le plan de secours est l’ensemble des solutions étudiées
par la direction générale de l’entreprise et par la direction informatique pour reprendre
l’activité informatique, après un sinistre total, dans les conditions qui permettent la survie de
l’entreprise».
Ainsi le plan de secours permet à l’entreprise de palier aux attaques par déni de service ayant
pour but de paralyser son activité et paralysant le fonctionnement de son site web.
Conclusion
Ce premier chapitre nous a permis d’avoir des notions élémentaires par rapport aux sites web,
à leur utilisation, développement, leurs importances dans le système d’information de
l’entreprise, mais aussi et surtout à la sécurité qu’ils requièrent.
Il est donc important pour une entreprise qui possède un ou plusieurs sites web de s’assurer de
leurs sécurités, il y va de la survie du système d’information de l’entreprise toute entière car le
site web est « une partie visible de l’iceberg » qu’est le système d’information.
La négligence ou le manque de sécurité au niveau des sites web d’une entreprise peut lui
porter de nombreux préjudices tes que :
- des lourdes pertes financières;
- la perte d’informations sensibles;
- la perte de notoriété
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 32
Chapitre 2: PROCESSUS D’AUDIT DES SITES WEB
A la question de savoir ce qu’est l’audit, THORIN (1993) répond que «auditer c’est
inventorier, analyser, tester et préconiser». Cette définition retient notre attention en ce sens
qu’elle présente l’audit comme le fait d’écouter, de décrire afin de déceler les faiblesses et les
forces d’un système à améliorer.
L’audit a par la suite fait l’objet de nombreuses définitions tant de la part des professionnels
du domaine que des divers groupes de travail (association, institut, etc.). C’est ainsi que l’IIA
à définit l’audit comme étant une «activité indépendante et objective qui donne à une
organisation, une assurance sur le degré de maitrise de ses opérations, lui apporte ses conseils
pour l’améliorer, et contribue à créer de la valeur ajoutée ».
Mais c’est l’ISACA, associations à but non lucratif, fédérant les professionnels de la
gouvernance, du management des risques, de l’assurance et de la sécurité de l’information qui
propose la définition de l’audit que nous retiendrons. Selon ISACA, l’audit est un «processus
systématique par lequel une équipe ou une personne qualifiée et indépendante obtient et
évalue objectivement les preuves liées aux assertions sur le processus, dans le but de former
une opinion sur le sujet et faire rapport sur la mesure dans laquelle l’affirmation est conforme
à un ensemble déterminé de normes».
Tout audit qui englobe l’examen et l’évaluation complets ou partiels, des systèmes
automatisés de traitement de l’information, des processus non automatisés qui leurs sont
associées et des interfaces entre eux est selon ISACA un audit des systèmes d’information
(ISACA, 2011: 55).
Ainsi donc l’audit de la sécurité d’un site web rentre dans le champ d’application des audits
des systèmes d’information.
Le présent chapitre a pour but de proposer une méthodologie d’audit des sites web.
2.1. Cadre d’audit de la sécurité d’un site web
Le site web est un composant des systèmes d’information. L’audit de la sécurité d’un site web
entre dans le cadre de l’audit de la sécurité des systèmes d’information. Il existe quelques
travaux relatifs à l’audit des systèmes d’information ceux présentés par (Champlain & al,
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 33
1998) et par (Savolainen, 1999).Ces travaux sont caractérisés par une approche générique de
l’audit des SI. La méthode infauditor présenté par AKOKA & al (1996) quant à elle, propose
un ensemble de contrôles internes mis à la disposition du management et des auditeurs. Elle
s’inscrit donc dans la problématique du contrôle interne permettant l’évaluation des risques
afin de les maîtriser.
Mais la démarche la plus répandue dans les entreprises est COBIT (Control OBjectives for
Information and relatedTechnology). Elle est orientée processus d’informatisation et diffusée
par l’ISACA.
2.1.1. Le COBIT
Pour MOISAN & al (2009: 1), CobiT se positionne à la fois comme un référentiel d’audit et
un référentiel de gouvernance des systèmes d’information. Il est conçu, développé et amélioré
en permanence pour fédérer l’ensemble des référentiels en rapport avec les Technologies de
l’information. Nous pouvons en déduire que CobiT est le référentiel par excellence pour
l’audit des systèmes sites web. Son utilisation dans les missions d’audit des SI est quasi
immédiate grâce à sa structure de base, aux nombreuses publications qui viennent détailler
encore les objectifs de contrôle et aux outils proposés sur le marché pour automatiser les
contrôles.
CobiT est utilisé comme une base solide de points de contrôle, il permet de sélectionner les
processus critiques et de les évaluer. Il est parfois nécessaire de le compléter en fonction des
spécificités du sujet. Pour un audit de sécurité d’un site web, il conviendra, par exemple,
d’ajouter les aspects propres aux dispositifs de sécurité existants ; il en sera de même pour
tout ce qui a trait au domaine légal et réglementaire.
Enfin, CobiT permet à des auditeurs non informaticiens de mener de façon professionnelle
des audits des systèmes d’information (CLEUET, 2008a :61).
Pour l’AFAI (2008a), COBIT est un ensemble de ressources contenant toutes les informations
dont les entreprises ont besoin pour adopter un cadre de contrôle et de gouvernance des
systèmes d’information/systèmes informatiques.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 34
2.1.2. Les normes de la famille ISO 2700X
Il convient de rappeler que l’audit de la sécurité d’un site web revêt une spécificité. Il doit
prendre en compte outre le CobiT d’autres normes en matière de sécurité de l’information et
de technologies de l’information, notamment les normes de la famille ISO/CEI 2700x, plus
précisément :
ISO/CEI 27001
La norme ISO 27001 porte sur la politique du management de la sécurité des systèmes
d’information dans les entreprises. Elle définit les contrôles de sécurité dont la mise en œuvre
est exigée, (l’AFAI, 2007 & GUIDE INFORMATIQUE, 2010)
ISO/CEI 27002
La norme propose sur onze chapitres, une liste de 133 mesures de sécurité accompagnées
chacune de points à aborder pour la mise en place d’un SMSI. Parmi ces chapitres, on a par
exemple, la gestion des actifs, la sécurité physique, la sécurité des ressources humaines, la
gestion des incidents, la continuité d’activité, la conformité etc. En résumé, l’ISO/CEI 27002
est un guide de bonnes pratiques, une série de préconisations concrètes, abordant les aspects
tant organisationnels que techniques, qui permettent de mener à bien les différentes actions
dans la mise en place d’un SMSI et même d’un audit de la sécurité.
« Cette norme est essentiellement pragmatique et n’impose pas d’autres formalismes que la
mise en place d’une organisation qui garantit un bon niveau de sécurité au fil du temps. Elle
s’intéresse à l’organisation du personnel ainsi qu’aux problèmes de sécurité physique (accès,
locaux...) », (AFAI, 2007 : 21&23)
ISO/CEI 27005
L’ISO/CEI 27005 sert de référence aux organismes qui cherchent à évaluer une méthode
d’appréciation des risques. Dans le cadre d’un audit de la sécurité d’un site web, il peut servir
de base pour l’évaluation des risques. La norme est constituée de douze chapitres. En
complément de ces chapitres, viennent s’ajouter six annexes proposant des explications plus
détaillées qui présentent des listes de menaces et vulnérabilités.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 35
2.1.3. Les autres normes utiles dans l’audit de la sécurité des sites web
NIST 800-30
Selon wikipédia, le National Institute of Standards and Technology (qu'on pourrait traduire
par « Institut national des normes et de la technologie »), aussi connu sous le sigle NIST, est
une agence du département du commerce des états unis. Son but est de promouvoir
l'économie en développant des technologies, la métrologie et des standards de concert avec
l'industrie.
Ainsi le NIST 800-30 a publié un ensemble de normes en matière de sécurité des
technologies de l’information qui pourra servir de base à la réalisation d’un référentiel
d’audit.
ITIL
Selon wikipédia, ITIL (Information Technology Infrastructure Library) est un ensemble
d'ouvrages recensant les bonnes pratiques du management du système d'information. Rédigée
à l'origine par des experts de l'Office public britannique du Commerce (OGC), la bibliothèque
ITIL a fait intervenir à partir de sa version 3 des experts issus de plusieurs entreprises de
services telles qu'Accenture, Ernst & Young, Hewlett-Packard, etc.
C'est un référentiel très large qui aborde les sujets suivants :
- comment organiser un système d'information ;
- comment améliorer l'efficacité du système d'information ;
- comment réduire les risques ;
- comment augmenter la qualité des services informatiques.
2.2. La démarche de l’audit de la sécurité d’un sites web
La méthodologie d’audit que nous allons adopter dans le cadre de l’audit de la sécurité d’un
site web sera adaptée de la méthodologie d’audit des systèmes d’information tels que prévu
par l’ISACA.
La méthodologie de l’audit est un ensemble de procédures d’audit documentées conçues pour
atteindre les objectifs prévus de l’audit. Ces composantes sont un énoncé de la portée, des
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 36
objectifs de l’audit et des programmes d’audit.
Elle se déroule en trois étapes standard à tout audit à savoir :
- la planification de la mission ;
- l’exécution de la mission ;
- la finalisation de la mission.
2.2.1. Planification d’un mission d’audit de la sécurité d’un site web
La première phase d’un audit, quel que soit le domaine, est la planification. C’est la phase au
cours de laquelle l’auditeur des SI définit les objectifs de l’audit, sa portée, établit le
programme d’audit et définit les ressources nécessaires à l’exécution de l’audit de concert
avec l’audité ( ISACA, 2011: 51).
Pour l’ISACA, c’est la norme S5 qui traite de la phase de planification de l’audit des systèmes
d’information.
Selon la norme S5; l’auditeur des SI doit :
- planifier la portée de l’audit des systèmes d’information pour atteindre ses objectifs et
se conformer aux lois et aux normes d’audit professionnel en vigueur ;
- développer et documenter une approche d’audit basée sur le risque ;
- concevoir et documenter un plan d’audit détaillant la nature, les objectifs, le
calendrier, l’étendue et les ressources nécessaires pour cet audit ;
- développer un programme et des procédures d’audit.
2.2.1.1. La portée et les objectifs de l’audit
La portée de l’audit consiste à identifier les systèmes spécifiques, la fonction ou l’unité de
l’organisation à inclure dans l’examen.
Les objectifs de l’audit désignent les buts spécifiques que doit atteindre l’audit. Un audit peut
comporter plusieurs objectifs d’audit, et c’est généralement le cas.
Les objectifs de l’audit sont souvent axés sur la corroboration de l’existence des contrôles
internes, pour minimiser les risques de l’organisation, et sur ce fait qu’ils fonctionnent comme
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 37
prévus. Ces objectifs d’audit comprennent l’assurance de la conformité aux exigences
juridiques et réglementaires, ainsi que la confidentialité, l’intégrité, la fiabilité et la
disponibilité de l’information et des ressources des TI dans le cas d’espèce d’un audit de la
sécurité des sites web.
2.2.1.2. Le programme d’audit
Le programme d’audit d’un SI constitue la stratégie et le plan de l’audit (ISACA,2011: 52). Il
définit la portée, les objectifs et les procédures de l’audit utilisée afin d’obtenir des preuves
suffisantes, pertinentes et fiables afin de soutenir les conclusions et opinions de l’audit. Dans
le cadre de l’audit de la sécurité d’un site web, l’auditeur des SI devra comprendre les
procédures de tests et d’évaluation des contrôles liés aux sites web. Ces procédures peuvent
comprendre :
l’utilisation de logiciels d’audit généralisés pour inspecter le contenu des fichiers de
données ;
l’utilisation de logiciels spécialisés pour évaluer la qualité du code de programmation
du site web ;
l’utilisation de fichiers de journalisation ;
l’examen de la documentation ;
l’enquête et l’observation ;
les tests d’intrusion.
L’auditeur des SI doit donc posséder une compréhension suffisante de ces procédures afin de
permettre la planification des procédés de vérification appropriés.
Le tableau suivant illustre le programme d’un audit de la sécurité d’un site web adapté d’une
publication de l’ISACA pour un audit de la sécurité de l’information.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 38
Tableau 1 : Programme d’audit de la sécurité d’un site web
Programme d’audit
COBITCross-reference
COSO
Reference Hyper-link
Issue Cross-référence
Commentaires
Con
trol
Envi
ronm
ent
Ris
kAss
essm
ent
Con
trol A
ctiv
ities
Info
rmat
ion
and
Com
mun
icat
ion
Mon
itorin
g
1 - Planification de l’audit de la sécurité du site web 1.1 Définition des objectifs de l’audit. Des objectifs principaux et spécifiques doivent être définis
1.2 Définition de la portée de l’audit. L'examen doit avoir un périmètre défini. L'examinateur devrait comprendre l'organisation de la sécurité du site web, et préparer un champ d’action, sous réserve d'une évaluation des risques plus tard.
1.3 Identifier et documenter les risques liés à la sécurité du site web. L'approche fondée sur les risques assure l'utilisation des ressources de vérification, de la manière la plus efficace.
1.4 Définition des ressources de la mission d’audit. Les différentes ressources (humaines, matérielles, etc.) doivent être définie
1.5 Définition des livrables. 2 GESTION DE LA SECURITE DE L’INFORMATION DU SITE WEB 2.1 gestion de la sécurité du site web en tant que TI. 2.1.1Gouvernance Contrôle: des processus sont mis en place pour s’assurer un management adéquat de la fonction sécurité de l’information en général et en particulier du site web
2.1.2 Evaluation des risques lié au site web Contrôle: des évaluations des risques sont régulièrement menées pour prioriser les initiatives de sécurité de l'information et assurer leur alignement avec les objectifs
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 39
Programme d’audit
COBITCross-reference
COSO
Reference Hyper-link
Issue Cross-référence
Commentaires
Con
trol
Envi
ronm
ent
Ris
kAss
essm
ent
Con
trol A
ctiv
ities
Info
rmat
ion
and
Com
mun
icat
ion
Mon
itorin
g
de gestion des risques de l'entreprise. 2.1.3 Politiques de sécurité La gouvernance a prévu des politiques de sécurité de l’information en général et relative à la sécurité du site web en particulier. Ces politiques sont assurées par des processus et procédures de sécurité visant à respecter le niveau de tolérance des risques.
2.2 Plan de sécurité des TI Traduire les stratégies, les risque et les exigences de conformité en un plan de sécurité global, en tenant compte de l'infrastructure informatique et de la culture de sécurité: S'assurer que le plan est mis en œuvre dans les politiques et procédures de sécurité, et accompagnés par des investissements appropriés dans les services, les ressources humaines, les logiciels et le matériel. Sensibiliser sur les politiques et les procédures pour les intervenants et les usagers sécurité.
2.3 Plan de maintenance des TI Contrôle: Le plan de sécurité est revu régulièrement afin de déterminer qu’il est mis à jour pour refléter les changements dans l'environnement d'exploitation et qu’il prend en compte les nouvelles menaces.
2.4 plan de gestion des incidents 3 GESTION OPERARTIONNELLE DE LA SECURITE DE L’INFORMATION 3.1 gestion des identités Contrôle: Veiller à ce que tous les utilisateurs (internes, externes et temporaires) et de leur activité sur les systèmes informatiques qui on un lien direct avec le site web (applications d’entreprise, de l'environnement informatique. etc.) font l’objet d’une traçabilité.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 40
Programme d’audit
COBITCross-reference
COSO
Reference Hyper-link
Issue Cross-référence
Commentaires
Con
trol
Envi
ronm
ent
Ris
kAss
essm
ent
Con
trol A
ctiv
ities
Info
rmat
ion
and
Com
mun
icat
ion
Mon
itorin
g
4 GESTION DE LA SECURITE DES TI 4.1 Protection des TI. s'assurer que la technologie qui entre en ligne en matière de sécurité est difficile à contourner, et que la documentation est accessible uniquement aux personnes autorisées.
Veiller à la sécurité des TI. s'assurer que les politiques sont respectées afin de garantir la sécurité des TI
4.2 Gestion des clés cryptographiques S’assurer que les politiques et procédures sont en place pour organiser la production, le changement, la révocation, la destruction, la distribution, la certification, le stockage, la saisie, l'utilisation et l'archivage des clés cryptographiques pour assurer la protection des clés contre la modification et la divulgation non autorisée.
4.3 Prévention logiciels malveillants, détection et correction S’assurer que les mesures de prévention, de détection et de correction sont en place (en particulier les correctifs de sécurité mis à jour et le contrôle du virus) à travers l'organisation de protection des systèmes d'information et des technologies de logiciels malveillants (par exemple, les virus, les vers, les logiciels espions, le spam).
4.4 Sécurité des réseaux S’assurer que la gestion de la sécurité de l'information est incluse dans la sélection, la mise en œuvre et à l'approbation des techniques de sécurité et les procédures de gestion connexes (par exemple, les firewalls, les appareils de sécurité, la segmentation du réseau, détection d'intrusion) pour autoriser l'accès et les
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 41
Programme d’audit
COBITCross-reference
COSO
Reference Hyper-link
Issue Cross-référence
Commentaires
Con
trol
Envi
ronm
ent
Ris
kAss
essm
ent
Con
trol A
ctiv
ities
Info
rmat
ion
and
Com
mun
icat
ion
Mon
itorin
g
informations de contrôle des flux en provenance des réseaux. 4.5Echange de données sensibles S’assurer que tous les incidents impliquant l'échange de données sensibles sont signalés par le système de déclaration des incidents et s'adressent à l'équipe de CIRT.
Source : Nous même, adapté de ISACA 2010
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 42
L’auditeur des SI doit donc posséder une compréhension suffisante de ces procédures afin de
permettre la planification des procédés de vérification appropriés pour l’audit de la sécurité
d’un site web.
2.2.1.3. L’évaluation des risques
La planification d’un audit des SI fait ressortir la notion d’évaluation des risques.
L’évaluation du risque aide l’auditeur à travers une évaluation du contrôle interne à repérer
les risques et les vulnérabilités afin de lui permettre d’orienter ses travaux : il s’agit de
l’approche par les risques.
Pour Bapst & al (2002:31), « l’évaluation est une étape qui a pour objet d’appréhender au
mieux les incertitudes qui concernent une activité. En effet elle vise à effectuer des valeurs
aux risques identifiés en fonction de l’impact et de la probabilité d’occurrence. La probabilité
d’occurrence peut provenir des facteurs internes ou externes alors que l’impact peut être
financier, d’image ou matériel».
La pratique professionnelle adopte désormais une approche par les risques (c’est-à-dire
recenser les risques encourus, préalablement à toute interrogation sur les contrôles effectués)
qui :
o permet d’adopter une démarche progressive, en allant par étapes échelonnées dans le
temps, des risques principaux aux risques les plus fins ;
o s’inscrit dans la logique des activités des métiers
o prend en compte les nouveaux risques avant toute investigation.
Dans le cas d’un audit de la sécurité d’un site web, nous privilégierons l’approche par les
risques car cette approche aide efficacement l’auditeur en déterminant la nature et la portée
des tests.
La figure ci-dessous présente la démarche de l’audit des systèmes d’information axée sur les
risques.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 43
Figure 4 : Démarche axée sur les risques
Sources : ISACA 2011
Il existe plusieurs méthodes d’évaluation des risques liés aux systèmes d’information. Nous
pouvons citer entre autre la méthode MEHARI, la méthode EBIOS, la méthode OCTAVE,
Mais c’est le cadre Risk IT de l’ISACA qui retiendra notre attention pour l’audit de la sécurité
d’un site web.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 44
Le cadre Risk IT de l’ISACA est basé sur un ensemble de principes directeurs et donne des
exemples de processus administratifs et de lignes directrices de gestion qui se conforment à
ces principes,
Le cadre Risk IT explique le risque de TI et permet aux utilisateurs :
- d’intégrer la gestion du risque de TI à la gestion de l’ensemble des risques d’entreprise
pour l’organisation ;
- de prendre des décisions sur la portée du risque ainsi que l’appétit pour le risque et la
tolérance au risque de l’entreprise ;
- de comprendre comment réagir au risque
La figure ci-dessous résume le processus d’évaluation du risque. CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 45
Figure 5 : Résumé du processus d’évaluation des risques
Source : ISACA 2011
Du point de vue de l’auditeur, l’analyse des risques a plus d’un objectif :
- elle lui permet de repérer les risques et les menaces pour un environnement de TI, les
systèmes d’information qui auraient besoin d’être traités par l’administration et les
contrôles internes spécifiques aux systèmes d’information, En fonction du degré de
risques, elle aide l’auditeur à sélectionner les zones à étudier ;
- elle l’aide à évaluer les mesures de contrôle lors de la planification de l’audit ;
- elle l’aide à prendre des décisions en rapport avec l’audit fondé sur le risque.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 46
2.2.2. Exécution de la mission d’audit de la sécurité d’un site web
La phase de planification de l’audit a pour but de préparer et de facilité la réalisation de
l’audit. Ainsi, au cours de la phase de réalisation de l’audit, l’auditeur met en œuvre les
processus d’audit précédemment planifiés. Il s’agit entre autre de l’examen des zones de
risque identifiés au cours de la planification, à travers l’administration de questionnaires, la
mise en place de tests, et un récapitulatif des problèmes identifiés au travers de la FRAP
(Feuille de Révélation et d’Analyse des Problèmes).
Pour LY (2005 :72) la phase de réalisation de la mission est une phase primordiale qui a pour
objectif de fournir aux auditeurs des preuves concernant les points faibles présumés et surtout
les dysfonctionnements de l’organisation ou des systèmes visités pouvant ainsi mesurer
l’impact des conséquences.
La FRAP est un document normalisé qui va conduire et structurer le raisonnement de
l'auditeur jusqu'à la formulation de la recommandation. Les FRAP serviront également de
base pour la rédaction du rapport.
Il convient de rappeler que les constats et affirmations de l’auditeur du SI doivent être basés
sur des preuves.
2.2.2.1. La preuve d’audit
La preuve est constituée de n’importe quel renseignement utilisé par l’auditeur des SI pour
déterminer si l’entité ou les données vérifiées respecte les critères ou les objectifs établis. La
preuve soutient les conclusions de l’audit. Les conclusions de l’auditeur doivent être basées
sur des preuves suffisantes, pertinentes, et probantes. L’auditeur des SI doit tenir compte du
type de preuve d’audit à recueillir, de leur utilisation au titre de preuve d’audit, répondant aux
objectifs de l’audit, et de leurs niveaux variables de fiabilité (ISACA, 2011: 67).
Pour collecter les preuves, l’auditeur des SI est amené souvent à exécuter des tests de
conformité et des tests de corroboration.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 47
2.2.2.2. Les tests de conformité
Les tests de conformité consistent à recueillir des preuves dans le but de tester la conformité
d’une organisation avec les procédures de contrôle. L'auditeur doit tester la procédure du
début jusqu'à la fin ou du «berceau au tombeau» (MIKOL, 1999: 20).
Un test de conformité détermine si les contrôles sont appliqués d’une façon qui respecte les
politiques et les procédures de la direction. L’objectif général d’un test de conformité est de
fournir aux auditeurs des SI l’assurance raisonnable que le contrôle particulier sur lequel ils
entendent se fier fonctionne comme ils l’avaient observé lors de l’évaluation préliminaire.
2.2.2.3. Les tests de corroboration
Les tests de corroboration consistent à recueillir les preuves pour évaluer l’intégrité des
transactions, de données ou d’autre renseignements.
Un test de corroboration permet de s’assurer de l’intégrité du traitement réellement effectué.
2.2.2.4. L’évaluation des forces et faiblesses de l’audit
L’auditeur des SI examine les preuves recueillies pendant l’audit pour déterminer si les
opérations examinées sont bien contrôlées et efficaces. Il s’agit aussi d’un domaine qui fait
appel au jugement et à l’expérience de l’auditeur du SI. L’auditeur des SI doit évaluer les
forces et faiblesses de contrôles vérifiés et ensuite il doit déterminer s’ils atteignent
efficacement les objectifs de contrôle établis dans le cadre du processus de planification de
l’audit (ISACA, 2011: 65).
L’évaluation des forces et faiblesses de l’audit fait intervenir le jugement de l’auditeur d’ou le
concept d’importance relative. L’auditeur des SI doit donc utiliser son jugement lorsque vient
le temps de choisir quelles constatations présenter aux divers niveaux de direction.
2.2.3. Finalisation d’une mission d’audit de la sécurité d’un site web
Au terme des travaux d’audit, l’auditeur des SI doit rendre compte à travers un rapport
présentant les conclusions de l’audit.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 48
C’est la norme S7 et la directive G20 de l’ISACA qui définit les normes en matière de
rédaction de rapport d’audit des systèmes d’information.
Un rapport d’audit des SI n’a pas de format précis ; ce sont les politiques et procédures
d’audit de l’organisation qui en définiront le format général. Habituellement, la structure et le
contenu des rapports d’audit contiennent les éléments suivants :
- une introduction qui comprend la description des objectifs de l’audit, ses limites et sa
portée, la période couverte par l’audit et une déclaration générale relative à la nature et
à l’étendue des procédures d’audit et des procédés examinés au cours de l’audit.
Ensuite suivra une déclaration faisant état de la méthodologie et des lignes directrices
de l’audit des SI ;
- l’inscription des conclusions dans des sections séparée est recommandée Elles peuvent
être regroupées selon leurs importances ou les destinataires visés ;
- les conclusions générales de l’auditeur et son opinion quant à la pertinence des
contrôles et des procédures examinées en raison des failles détectées ;
- les restrictions et réserves de l’auditeur des SI concernant l’audit : il peut être fait état
dans cette section que les contrôles ou procédures examinées ont été jugées adéquates
ou non. Le reste du rapport d’audit doit appuyer cette conclusion, et le preuve globale
recueillie durant l’audit doit appuyer d’avantage les conclusions de l’audit ;
- conclusion détaillée de l’audit et de recommandations : l’auditeur des SI décidera
d’inclure ou non dans son rapport des résultats précis d’un rapport d’audit. Sa décision
sera prise en fonction de l’importance des conclusions et du destinataire de rapport ;
- diverses conclusions dont certaines peuvent être mineures. L’auditeur peut choisir de
présenter des résultats mineurs à la direction dans un format alternatif tel qu’une lettre
à la direction.
2.3. L’audit de la sécurité des sites web aux moyens des Technique d’Audit Assisté
par Ordinateur (TAAO)
L’environnement informatique actuel, de nos jours, présente un défi de taille pour l’auditeur
des SI qui doit recueillir des preuves suffisantes, pertinentes et utiles, puisque de telles
preuves se trouvent sur des supports numériques.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 49
La directive G3 de l’ISACA décrit un ensemble de recommandations en matière d’utilisation
des TAAO (ISACA 2011:72).
2.3.1. Utilité des TAAO dans l’audit de la sécurité d’un site web
Pour recueillir des renseignements dans ces environnements, les techniques d’audit assisté par
ordinateur sont des outils importants pour l’auditeur des SI.
Les TAAO sont des outils importants pour recueillir et analyser les renseignements des
systèmes possédant des environnements matériels et logiciels, des structures de données, des
structures d’enregistrement ou des fonctions de traitement qui sont différentes. Ils fournissent
un moyen d’accéder aux données et de les analyser au regard d’un objectif d’audit
prédéterminé, et de faire rapport des constatations de l’audit en mettant l’accent sur la fiabilité
des enregistrements produits et gérés par le système. La fiabilité de la source d’information
utilisée permet de rassurer quant aux constatations énoncées.
Dans le cadre de l’audit de la sécurité d’un site web par exemple, étant donné que nous ne
sommes pas des professionnels de l’informatique, les TAAO nous permettrons d’analyser par
exemple la structure du code du site web, le respect des réglementations en matière de
programmation de site web, la sécurisation des accès administrateur, etc ; tout ça sans avoir à
lire les lignes de code une à une.
2.3.2. Les méthodes d’audit des sites web au moyen des TAAO
Les techniques d’audit assisté par ordinateur, comprennent plusieurs types d’outils et de
techniques comme les logiciels généraux d’audit, les logiciels utilitaires les logiciels de
débogage et de balayage, les données de test, les outils de traçage logique et de cartographie
de programme applicatifs, et les systèmes experts (ISACA, 2011: 72).
Un logiciel général d’audit est un logiciel standard qui a la capacité de lire et d’accéder
directement aux données provenant des bases de données sur les différentes plateformes. Les
logiciels généraux d’audit fournissent aux auditeurs des SI un moyen d’accéder aux données
de façon indépendante aux fins d’analyse, et la capacité d’utiliser des logiciels de résolution
de problèmes de haut niveau pour appeler les fonctions devant être effectuées sur les fichiers
de données. Les caractéristiques offertes comprennent les calculs mathématiques, la
stratification, l’analyse statistique, les contrôles de duplication et les recalcules.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 50
L’examen d’un système d’application fourni de l’information sur le contrôle interne du
système.
Ces outils et techniques peuvent être utilisés dans le cadre de l’exécution de nombreuses
procédures d’audit :
- tests de conformité des contrôles généraux des systèmes d’information ;
- évaluation de la vulnérabilité des réseaux et des systèmes d’exploitation ;
- tests de pénétration ;
- tests de sécurité des applications et balayage de sécurité des codes sources.
Dans le cas de l’audit d’un site web ou de n’importe quel audit la possibilité est offerte dans le
choix d’une large gamme de logiciels open-source.
Conclusion
L’audit de la sécurité d’un site web est un audit des systèmes d’information. Dans ce sens, il
doit respecter une méthodologie définie par l’ISACA. L’ISACA impose l’approche par les
risques pour tout audit de la sécurité des systèmes d’information. La construction du
référentiel d’audit est réalisée grâce à un ensemble de référentiels et normes tels que le
COBIT, les normes de la famille ISO 2700X etc. L’apport de ces référentiels et normes et
d’une importance capitale pour prendre des mesures correctives et se fixer des objectifs en
matière de sécurité informatique afin d’aboutir à une certification du degré d’assurance de
sécurité acceptable. Nous utiliserons donc la méthodologie de l’audit des SI développée par
l’ISACA pour réaliser notre étude.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 51
Chapitre 3 : METHODOLOGIE DE L’ETUDE
La méthodologie de l’étude permettra de mettre en place une méthode, un cheminement bien
défini afin d’atteindre le but de notre étude à travers un modèle d’analyse.
Les deux précédents chapitres nous ont permis d’une part d’appréhender les notions
théoriques relatives aux sites web, leur sécurité et leur importance dans le système
d’information de l’entreprise et d’autre part de nous familiariser avec la méthodologie d’audit
des systèmes d’information de l’ISACA.
A présent, il convient donc de présenter une méthodologie de recherche qui s’apparente à une
synthèse de la démarche à suivre pour l’audit de la sécurité d’un site web.
Ce chapitre traitera d’abord du modèle d’analyse, ensuite les outils de collecte des données
que nous utiliserons et enfin les méthodes d’analyse de ces données.
3.1. Le modèle d’analyse
Le modèle d’analyse, résultat de la revue de littérature est la modélisation des principales
étapes que nous allons aborder dans le cadre de l’audit de la sécurité d’un site web.
Le présent modèle d’analyse (voir figure n°6) met en relief les trois phases immuables à tout
audit, la planification, la réalisation et la conclusion.
3.1.1. Planification de l’audit
Cette phase nous permettra de prendre connaissance du contexte général de l’entreprise, son
organisation interne, sa structure et sa culture et du contrôle interne.
C’est au cours de cette phase que nous allons proposer le programme d’audit qui nous servira
de cadre afin de mener à bien la mission d’audit.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 52
Figure 6 : Modèle d’analyse
Méthodologie Composantes Etapes Outils/techniques
Prép
arat
ion
de m
issi
on
d’au
dit (
phas
e d’
étud
e)
Prise de connaissance
générale
Prise de connaissance
des processus de
gestion de la sécurité
du site web
Analyse documentaire
Décomposition en objets
auditables
Prise de connaissances des
risques liés à l’activité
Analyse des risques
apparentes et évaluation de
leur impact
− Revue des
documents
− Observation
physique
Exé
cutio
n de
la m
issi
on (r
éalis
atio
n de
la m
issi
on)
Appréciation du
contrôle interne
Prise de connaissance des
processus
Tests de conformités
− Analyse
organigramme
− Analyse manuel
de procédure
− Question de
contrôle interne
− Interview
− TAAO
Analyse des risques Identification des risques
Evaluation des risques
Hiérarchisation des risques
Traitement des risques
− Tests de
conformité
− Tableau des
risques
− Observation
− Echantillonnage
Prod
uctio
n
des r
appo
rts Synthèse Evaluation des constats
effectués sur les risques
analysés
Recommandation
− Feuille de Révélation et d’Analyse de Problème (FRAP)
Source : Nous même
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 53
3.1.2. Réalisation de l’audit
Au cours de la phase de réalisation de la mission nous allons évaluer le contrôle interne,
identifer les risques liés à la sécurité du site web au travers de constats, faire ressortir les
forces et faiblesses de l’audit. Ces constats nous permettrons d’identifier des risques associés
qui feront l’objet d’analyse afin de formuler des recommandations.
3.1.3. Conclusion de l’audit
Au cours de cette phase, il s’agira pour nous de formuler des recommandations à l’endroit des
différents acteurs de la sécurité du site web afin d’améliorer la gestion de la sécurité de
l’information en général et du site web en particulier.
3.2. Les outils de collecte et d’analyse de données
La réalisation des aspects pratiques de notre étude nous conduira à une collecte de données et
d’informations. Cette collecte se fera grâce aux techniques ci-après :
3.2.1. La revue documentaire
Nous avons consulté la littérature ayant trait à la programmation des sites web, à la gestion
des sites web, à la gestion des systèmes d’information, à la sécurité des systèmes
d’information et à l’audit des systèmes d’information. Au niveau de l’entreprise, nous
consulterons la documentation relative à l’historique, et les documents relatifs à la gestion de
la sécurité informatique (politique de sécurité, plan des TI)
3.2.2. Le questionnaire d’évaluation du contrôle interne
Le QCI est l’outil indispensable pour concrétiser la phase de réalisation de l’Audit. C’est une
grille d’analyse dont la finalité est de permettre à l’auditeur d’apprécier le niveau et
d’apporter un diagnostic sur le dispositif de Contrôle Interne, de l’entité ou de la fonction
auditée. Ce document commence à s’élaborer dès le découpage des tâches élémentaires pour
la mise en place de l’audit.
Ces questionnaires permettent à l’auditeur de réaliser sur chacun des points soumis à son
jugement critique, une observation qui soit la plus complète possible. Pour ce faire, le QCI
devra se composer de bonnes questions à poser pour réaliser cette observation complète.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 54
Ce questionnaire va donc être le guide de l’auditeur pour que celui-ci puisse réaliser son
programme. C’est un véritable outil méthodologique permettant d’identifier :
o les contrôles internes mis en place pour se protéger contre les erreurs potentielles,
o les objectifs d’audit pour vérifier qu’ils sont bien respectés.
Il faut tout d’abord savoir que ces QCI ne peuvent être généraux, ils sont nécessairement
spécifiques. En effet, ce QCI va permettre de passer du général au particulier et d’identifier
pour chaque fonction quels sont les dispositifs de contrôle essentiels.
3.2.3. L’interview
L’interview consiste à avoir un entretien avec un interlocuteur en vue de l’interroger sur ses
actes, ses idées, etc. et de divulguer la teneur de l’entretien. Selon Renard (2010 : 336),
« l’interview n’est pas une conversation, ni un interrogatoire dans lequel le rapport serait celui
d’un accusé face à son accusateur. Tout au contraire l’atmosphère d’une interview d’audit
interne doit être une atmosphère de collaboration, il doit être coopératif ». Elle consiste en
pratique lors d’une mission d’audit à se faire décrire la procédure en vigueur à l’aide
d’entretien. Cette description narrative est appelée aussi un mémorandum RENARD
(1998 :71). Il s’agit d’une technique de recueil d’informations. Cependant les personnes
consternées par cette interview sont des dirigeants et d’autres membres qui interviennent dans
la gestion de la sécurité du site web. L’interview se fait à l’aide de questionnaire type
d’examen, appelé guide d’entretien. Le planning des interviews est établi à la réunion
d’ouverture et validés par les audités.
3.2.4. Les tests de conformité
Les tests de conformité ou tests de vérification de l'existence ou tests sur cycle du processus
complets ou encore tests structurels, ont pour objectif de vérifier que la description de la
procédure est bien conforme à la réalité. L'auditeur doit tester la procédure du début jusqu'à la
fin ou du «berceau au tombeau» (MIKOL, 1999: 20), pour être sûr d’une opération bien
« bouclée ».
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 55
Comme technique utilisée, l'auditeur peut:
o faire une confirmation verbale. Elle consiste à contacter les différents exécutants qui
interviennent dans le circuit contrôlé pour d'une part, se faire confirmer le déroulement
et d'autre part, de vérifier l'existence des éléments matériels tels que visas, tampons,
signatures ;
o faire une étude de quelques transactions. Cette étude consiste à suivre quelques
transactions pour apprécier la réalité du système (documents utilisés, classements faits,
contrôles décrits etc.)
3.2.5. La feuille de révélation et d’analyse des problèmes (FRAP)
La FRAP est le papier de travail synthétisé par l’auditeur qui présente et documente chaque
dysfonctionnement (Schick & al. 2010 :125).
Elle est élaborée en tenant compte du tableau des risques. Elle facilite la communication avec
l’audité concerné. « La méthodologie employée consiste à étudier le fonctionnement réel des
opérations ; répéter les constats significatifs, déterminer leurs causes, démontrer les
conséquences et proposer des moyens d’amélioration » (Schick & al. 2010 : 125).
3.2.6. Les logiciels d’audit (TAAO)
Il s’agit de faire recours à des logiciels spécialisés dans l’audit des systèmes informatisés, et à
des utilitaires qui permettent de récolter des informations utiles sur le paramétrage des sites
web et sur l’ensemble de leurs traitements informatisés. L’auditeur non informaticiens fait
recours aux TAAO pour émettre une opinion fiable sur des aspects techniques dont il ne
maitrise pas forcément la technicité.
Ils sont utilisés généralement au cours des audits des systèmes informatisés (application
informatique, sites web etc.).
3.2.7. Le tableau de risque
C’est le tableau qui permet d’évaluer le risque après son identification, tout en mesurant son
impact. Les étapes de conception du tableau des risques sont les suivantes :
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 56
o découper le processus en tâches élémentaires ;
o identifier le ou les risques attachés à chaque tâches et les évaluer (en tenant compte
des objectifs) ;
o identifier les dispositifs, c'est-à-dire chercher la réponse à la question ; constater le
respect des normes du dispositif.
3.2.8. L’observation physique
L’observation physique est la constatation de la réalité de l’exercice et du fonctionnement
d’un phénomène. Pour une mission d’audit nous allons procéder à l’observation physique de
quelques-unes de ces personnes qui interviennent dans le processus de gestion de la sécurité
du site web, dans l’exécution de leurs tâches pour quelques fois corroborer l’exactitude des
propos recueillis. Dans le cadre de ce travail, nous effectuerons une observation directe.
Il s’agira pour nous d’observer :
o Comment s’effectue l’administration du site ;
o le respect de la limitation du nombre de poste réservé à l’administration du site web ;
Outre les documents, la grille d’analyse des tâches nous sera utile pour observer les
différentes tâches effectuées par les opérationnels.
Conclusion :
Le présent chapitre nous a permis de donner un aperçu global de la manière dont nous allons
dérouler l’audit de la sécurité du site web en étude.
A travers le model d’analyse, il a été présenté les étapes que nous allons suivre pour atteindre
les objectifs de notre étude. Nous avons présenté les outils et méthodes qui nous permettrons
de réaliser les différents travaux nécessaires à la réalisation de l’étude.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 57
Somme toute, le premier chapitre nous a permis de nous familiariser avec le concept des sites
web, et le second de présenter une méthodologie d’approche pour l’audit de la sécurité d’un
site web en nous basant sur les écrits, les normes de l’ISACA en matière d’audit des systèmes
d’information. Cette revue des différents concepts théoriques nous a ensuite permis de
dégager une méthodologie de l’étude qui a fait l’objet d’une présentation dans le 3ème chapitre.
Le modèle d’analyse représenté dans le chapitre 3 sera donc le canevas dont nous nous
inspirerons pour mener à bien notre étude dans sa partie pratique.
CESAG - BIBLIOTHEQUE
DEUXIEME PARTIE :
CADRE PRATIQUE DE L’ETUDE
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 59
La première partie nous a éclairé sur les concepts théoriques en matière de sécurité des sites
web et de méthodologie d’audit des sites web.
Le cadre théorique ainsi achevé, nous allons aborder dans cette deuxième partie, le cadre
pratique qui sera consacré à l’audit du site web de la société TALISMEAS.
Cette partie sera pour nous l’occasion de mettre en pratique les aspects théoriques développés
dans la première partie. Elle consistera dans un premier temps à présenter la société
TALISMEAS ; le site web qui fera l’objet de l’audit ; ensuite nous allons mettre en pratique
l’audit de la sécurité dudit site web et formulerons des recommandations pour l’amélioration
de la sécurité de ce dernier. CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 60
Chapitre 4 : PRESENTATION DE TALISMEAS
La présentation de la structure d’accueil est un socle pour le bon déroulement de notre étude.
Ce chapitre sera consacré à la présentation de TALISMEAS à travers son organisation
générale, ses activités et sa mission.
4.1. Présentation générale de TALISMEAS
Société de conseil et d’ingénierie en système d’information, TALISMEAS est un cabinet
constitué d’experts spécialisés dans leurs domaines et qui accompagnent les entreprises dans
les domaines des systèmes d’information, du web marketing et de la gestion des projets.
Cette présentation générale de TALISMEAS se fera à travers la présentation de ses missions
et de ses activités.
4.1.1. Missions
TALISMEAS est une société qui se positionne dans le domaine des nouvelles technologies.
Elle se veut être un instigateur de prise de conscience de la jeunesse africaine sur les
opportunités du secteur des nouvelles technologies, et un appui pour l’innovation des
entreprises africaines en matière de solutions informatiques. Ainsi TALISMEAS a pour
mission de contribuer au développement du continent africain par la mise en place de start-up
dans le domaine des nouvelles technologies et d’appuyer les entreprises Africaines par la
mise en place de solutions informatiques sur mesure et conçus par les africains et pour les
africains.
4.1.2. Activités
TALISMEAS est un cabinet qui intervient dans les domaines des systèmes d’information, le
Web, le webmarketing, et la gestion des projets. Fort de ses domaines d’activité, le cabinet
TALISMEAS mène les activités suivantes :
Intégration de solutions open source
La société TALISMEAS propose à ses clients l’intégration de logiciels open source en
intégrant des nouveaux modules et en les personnalisant pour les adapter aux besoins.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 61
Intégration d’ERP
Avec une expertise dans le domaine des ERP open source, TALISMEAS propose un service
d’intégration et d’adaptation d’ERP sur mesure aux entreprises, et les conseilles dans la
formation des utilisateurs et la gestion du changement.
Développement web
La société TALISMEAS dispose d’un savoir-faire reconnu en matière de développement de
sites web statiques et dynamiques pour le compte des entreprises et des particuliers.
Elle propose aussi des services de développement d’applications web pour la gestion
automatisée des informations aux entreprises.
Référencement
TALISMEAS propose une expertise en web analytique pour le référencement naturel ou
payant des sites web d’entreprise et de particulier auprès des différents moteurs de recherche
mondialement reconnus.
Développement d’applications mobile
Le secteur des TIC est très développé au Sénégal. Un boom de l’usage des Smartphones et
tablettes a fait naitre le besoin de disposer d’applications utilitaires pouvant assister les
responsables d’entreprise et les particuliers dans leurs tâches quotidiennes. TALISMEAS
propose en ce sens une expertise en matière de développement d’applications mobile pour
tout usage et sur mesure.
Webmarketing
Un service de conseils sur le webmarketing est proposé par TALISMEAS dans la mise en
place de site web e-commerce et pour une amélioration de la visibilité des entreprises sur le
net.
Infographie
TALISMEAS propose à ses clients des services de design et d’imagerie.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 62
Gestion de projets
TALISMEAS propose des services de gestion de projets en tous genres, de suivis et
évaluation des projets qui lui sont confiés.
4.2. Structure organisationnelle de TALISMEAS
TALISMEAS est une SARL avec un capital social de 1000000 de francs CFA. Fondée en
2010, la société a accompagné plusieurs entreprises du Sénégal dans la conception et la mise
en ligne de sites web e-marketing, l’intégration d’ERP open source et dans la formation de
cadres et informaticiens d’entreprise.
La structure organisationnelle de TALISMEAS se définit comme suit :
La Direction générale
Nommé et actuellement occupé par le fondateur de TALISMEAS, Le Directeur général a
pour attributions :
- de définir les orientations stratégiques et managériales de la société ;
- de superviser et de coordonner l’ensemble des activités de la société ;
- de prendre la décision d’accepter ou de refuser les missions confiées à la société ;
- de représenter la société et d’agir en son nom devant toute juridiction.
La direction technique
Elle est chargée de mettre à exécution tous les projets à caractère techniques comme les
services de développement web, d’intégration d’ERP etc.
La direction technique est composée de développeurs web et de développeurs d’applications
mobiles, et est dirigée par un responsable technique qui a pour mission de:
- coordonner toutes les activités à caractère technique ;
- coacher les équipes de développeur ;
- assister et suivre le développement des projets en cours ;
- administrer le site web.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 63
Le responsable technique est l’administrateur principal du site web de la structure. Il a à
charge de diligenter toutes les mesures de sécurités afin de garantir la sécurité du site web de
l’entreprise.
Le service stratégie et marketing
Il est chargé de définir la politique marketing de la société. Il est entre autre en chargé de :
- coordonner les projets webmarketing pour les clients de TALISMEAS ;
- coordonner les projets de formation à l’endroit des clients de TALISMEAS.
Le service studio et imagerie
Il est en charge de la gestion des activités d’infographie et d’évènementiel confiées à
TALISMEAS.
Le service commercial
Il est en charge de la commercialisation des services proposés par TALISMEAS. Il est chargé
de :
- prospecter les clients ;
- faire connaitre les produits de la société ;
- étudier de nouveaux marchés.
Cette structure organisationnelle est présentée en annexe 2 à travers l’organigramme général
de TALISMEAS.
Conclusion :
Nous venons de faire une brève présentation de TALISMEAS, de ses activités, mission et de
sa structure organisationnelle.
Cette présentation terminée, nous allons effectuer une description du site web, objet de notre
étude et des mesures de sécurités liées.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 64
Chapitre 5 : DESCRIPTION DU SITE WEB DE TALISMEAS ET DES MESURES
DE SECURITÉ LIEES
Dans ce chapitre nous présenterons le site web en étude et nous identifierons les différents
dispositifs de sécurité que nous avons pu identifier à TALISMEAS tout en suivant les
objectifs de notre recherche.
5.1 Présentation générale du site web
Le site web de TALISMEAS est un site dynamique. La présentation du présent site est basée
sur des informations recueillies suite à l’administration d’un questionnaire de prise de
connaissance au directeur technique, en charge de l’administration du site (voir annexe 3)
suivis d’entretiens.
La présentation générale se fera autour de critères tels que :
− les objectifs du site ;
− la navigation ;
− la structure ;
− la technologie utilisée ;
− l’hébergeur.
5.1.1 Objectifs du site
La connaissance des objectifs du site web de TALISMEAS est primordiale dans l’étude que
nous menons. En effet elle nous permettra de nous enquérir de la stratégie que sous-tend le
site web et nous permettra de formuler des recommandations en adéquation avec les moyens
et les objectifs de la direction générale. Le site web de TALISMEAS (http://
www.talismeas.com) a pour objectif de:
− présenter l’entreprise, sont commerce, son savoir-faire et son organisation ;
− faire connaître TALISMEAS au-delà des frontières ;
− renforcer son image de marque ;
− informer les clients, partenaires, adhérents, fournisseurs, investisseurs, à l’occasion
d’un événement particulier ;
− se positionner vis à vis de la concurrence ;
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 65
− approcher les clients potentiels ;
− recruter.
5.1.2 La navigation
Le site web est composé de zones de navigation, c'est-à-dire d'emplacements spécifiques dont
le but est de proposer un mode de navigation. Le mode de navigation privilégié est la visite
guidée. Dans ce sens, le site présente les menus suivants :
Accueil : il s’agit d’une page d’accueil qui indique aux visiteurs qu’il s’agit du site de
TALISMEAS.
Qui sommes-nous ? : il s’agit d’une page de présentation sommaire de l’entreprise.
Références : il s’agit d’une page qui montre les clients avec lesquels TALISMEAS a
travaillé et qui ont été satisfaits des différentes prestations.
Services : il s’agit d’une page qui présente tous les services proposés par
TALISMEAS.
Produits : cette page présente les produits de TALISMEAS, notamment ses start-up et
sa boutique en ligne.
Equipe : la page présente les différents membres de l’équipe de TALISMEAS.
Blog : c’est un blog dédié aux technologies de l’information et qui est animé par le
directeur technique de TALISMEAS.
Contact : une page est entièrement dédiée aux contacts de la société avec la possibilité
de laisser des messages écrit ou vocaux.
5.1.3 La structure du site
Il s’agira de présenter l’organisation générale du site web.
5.1.3.1. L’écran d’introduction
L’écran d’introduction du site présente l’activité au cœur de l’entreprise, le web. La capture
d’écran ci- après illustre la page d’accueil du site web.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 66
Figure 7 : Page d’accueil du site web
Source : Nous Même capture d’écran de la page d’accueil du site web de TALISEMAS
5.1.3.2. Le type de pages
Le site arbore des pages statiques représentant chacune un des menus de présentation du site.
Les pages sont ensuite mises à jour en fonction de l’évolution de l’activité de l’entreprise. Le
menu blog du site dirige le visiteur du site vers une page dynamique. Il s’agit d’un blog
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 67
spécialisé dans les techniques informatiques. Il est administré par le directeur technique de
TALISMEAS.
5.1.3.3. Les composantes applicatifs
Au site web de TALISMEAS, il a été greffé un certains nombres de système applicatifs.
Ainsi, le site web dispose d’un ensemble de composants applicatifs que sont :
o Feng office ;
Feng Office (anciennement opengoo) est un outil de collaboration en ligne. Mais on peut très
bien s’en servir pour autre chose que pour la collaboration. Il permet de se passer d’un certain
nombre de services de Google (par exemple), pour rapatrier ses données sur son propre
serveur, ce qui nous parait important. L’outil est di
langage utilisé côté serveur est le PHP. Côté client, c’est énormément de JavaScript.
L’installation est tout à fait triviale : un serveur apache, un serveur MySQL et PHP, il n’y a
qu’à pointer sur une URL et suivre les instructions.
A TALISMEAS, Feng office est utilisé pour la gestion et le suivi des projets.
o Dokuwiki ;
DokuWiki est un moteur de wiki libre sous licence GNU GPL conforme aux standards,
simple à utiliser, dont le but principal est de créer des documentations de toute sorte. Ce
logiciel est développé en PHP par Andreas Gohr. Il est destiné aux équipes de développement,
aux travaux de groupe et aux petites entreprises. Il a une syntaxe simple qui assure la lisibilité
des fichiers de données en dehors du Wiki, et facilite la création de textes structurés. Toutes
les données sont stockées dans des fichiers texte, et donc aucune base de données n’est
nécessaire.
Sa facilité de maintenance, de sauvegarde et d'intégration, en fait l'un des favoris des
administrateurs. Le contrôle d'accès et les connecteurs d'authentification intégrés rendent
DokuWiki particulièrement utile dans le contexte de l'entreprise et le grand nombre de
greffons réalisés par sa communauté dynamique offre un large éventail de cas d'utilisations,
bien au-delà d'un wiki traditionnel.
A TALISMEAS, Feng office est utilisé :
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 68
− pour partager des informations ;
− maintenir les connaissances du personnel à jour ;
− faire de la veille technologique.
o WordPress CMS
WordPress est un système de gestion de contenu libre écrit en PHP, reposant sur une base de
données MySQL, et distribué par Automattic. WordPress est surtout utilisé comme moteur de
blog, mais ses fonctionnalités lui permettent également de gérer n'importe quel site web. Il est
distribué selon les termes de la GNU GPL. Le logiciel est aussi à l'origine du service
WordPress.com.
TALIMEAS utilise WordPress comme système de gestion de contenu pour son site web.
o Squirellmail
Squirrelmail est un web mail, c'est-à-dire une interface web pour consulter son courrier
électronique, écrit en PHP4. Il supporte les protocoles IMAP et SMTP, et toutes les pages
créées le sont en pur HTML, ceci afin d'être compatible avec le maximum de navigateurs.
Son objectif est de fournir une compatibilité optimale pour se rendre aussi accessible que
possible.
Squirellmail est utilisé à TALISMEAS pour la gestion des courriers électroniques.
5.1.4. La technologie utilisée pour créer le site web
Le site de TALISMEAS a été créé grâce au langage PHP, java script et intégré avec le
Framework WordPress.
5.1.5. L’hébergeur
Le site web est hébergé par le prestataire de service Kheweul. Kheweul est le premier
registrar accrédité en Afrique de l’Ouest. Il est basé à Dakar et constitue une solution de choix
pour la majorité des créateurs de site internet dans l’Afrique de l’ouest.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 69
Outre le site web, TALISMEAS héberge toute ses composantes applicatives en clouding sur
les serveurs de Kheweul.
Ainsi la sécurité des données informatiques dépend aussi des mesures de sécurités
implémentées chez le prestataire.
5.1.6. L’audience
Le site web de TALISMEAS reçoit une audience assez considérable.
La figure ci-dessous présente l’audience du site au cours de la période d’étude.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 70
Figure 8 : Audience du site web de TALISMEAS
Source: Nous même, capture d’écran sur l’interface d’administration du site de TALISMEAS
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 71
5.2 Les dispositifs de la sécurité du site web de TALISMEAS
Il se trouve qu’il n’y a pas de manuel de procédures, précisant des mesures à prendre en
matière de sécurité informatique dans son ensemble, et de sécurité du site web de l’entreprise
en particulier. Dans ce sens, la description du dispositif de sécurité du site web de
TALISMEAS est basée sur les différentes observations effectuées au cours de notre stage.
5.2.1 La gestion et l’évaluation des risques
Nous n’avons constaté qu’au niveau de TALISMEAS, qu’il n’y a pas un processus de gestion
et d’évaluation des risques informatiques. Cet état de chose expose la société à des risques
tels que :
- réponse aux risques non efficaces ;
- confiance excessive dans les contrôles techniques existants ;
- non détection de l’impact d’un risque sur l’entreprise.
5.2.2 La sécurité du système
Il s’est agit pour nous d’identifier les mesures de sécurité appliquées pour garantir la sécurité
du site web de TALISMEAS.
5.2.2.1 La gestion des identités et des comptes administrateurs
Le directeur technique est l’administrateur du site web. Il définit avec le directeur général les
mises à jours des informations accessibles sur le site. Il octroie des droits en fonction des
responsabilités de chaque utilisateur. Un login et un mot de passe sont exigés avant l’accès à
l’administration du site.
Le personnel dispose d’adresse mail qui exigent des login et mots de passe. Ils disposent aussi
d’un compte leur permettant d’accéder au wiki de l’entreprise afin de tenir a jours et partager
leurs connaissances techniques.
5.2.2.2 Prévention, détection neutralisation d’attaques
Il existe un seul et unique poste dédié à l’administration du site web. Le poste est protéger des
attaques grâce à l’antivirus KAPERSKI avec une licence et mis à jour. La sécurité des
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 72
données informatiques disponibles sur le site est majoritairement du ressort de l’hébergeur
dont le choix a été uniquement motivé par sa proximité. Un dispositif de pare-feu est mis en
place.
5.2.2.3 Echange des données
Les échanges entre TALISMEAS et les serveurs Kheweul sont sécurisés par un algorithme
tenu secret.
5.2.2.4 La sauvegarde et l’archivage des données
Toutes les tentatives de connexion à l’interface d’administration, de connexion au site web,
sont journalisés. Il n’existe pas de procédures de journalisation.
Les fichiers sont sécurisés par le prestataire d’hébergement.
5.2.2.5 La gestion du code source
Le code source est régulièrement parcouru à la recherche d’anomalies et est régulièrement mis
à niveau.
Conclusion
Somme toutes, nous sommes passés en revue sur un certain nombre d’éléments pour avoir un
aperçu sur la gestion de la sécurité informatique globale à TALISMEAS en en particulier sur
la sécurité la gestion de la sécurité du site web en étude.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 73
Chapitre 6 : LES TRAVAUX ET RESULTATS DE L’AUDIT DE LA SECURITE DU
SITE WEB DE TALISMEAS
L’audit du site web de TALISMEAS est la première mission du genre à être réalisée à
TALISMEAS. Nous avons mis en œuvre nos connaissances acquises pendant la formation
pour la réalisation de cet audit. L’entretien, la revue documentaire, l’observation, les tests de
conformité et les TAAO ont été les diligences et activités qui on été mises en œuvre pour la
réalisation de nos travaux. Dans ce chapitre, nous présenterons le déroulement de nos travaux
d’audit, nous ferons une synthèse des forces et faiblesses constatées et formulerons des
recommandations afin de corriger les faiblesses et de renforcer les dispositifs existants.
6.1. La phase de planification de la mission d’audit
Cette phase a commencé par une prise de connaissance générale de l’entité et particulièrement
de l’élément en étude, en l’occurrence le site web. Ainsi, le questionnaire de prise de
connaissance de l’entité (annexe3) nous a permis de nous familiariser avec l’environnement
interne et externe de la structure. Elle nous a permis d’effectuer la présentation de l’entité
(chapitre 4), de décrire le site web objet de notre étude, et de présenter les mesures de
sécurisation du site web déployées par l’entité (chapitre 5).
La prise de connaissance nous permet ensuite de décliner le programme d’audit.
6.1.1. Programme d’audit du site web de TALISMEAS
Selon la norme S5 – Planification, « l'auditeur doit concevoir et documenter un plan d'audit
détaillant la nature, les objectifs, le calendrier, l'étendue et les ressources nécessaires pour cet
audit »
6.1.1.1. Objectifs de l’audit du site web de TALISMEAS
Le rappel en est fait systématiquement dans chaque document définissant les objectifs d’une
mission d’audit: ce sont les objectifs permanents du contrôle interne dont l’audit doit s’assurer
qu’ils sont pris en compte et appliqués de façon efficace et pertinente.
Dans le cadre de notre étude, l’objectif général identifié est de : S’assurer que les mesures de
sécurité existantes protègent efficacement le site web pour lui procurer disponibilité,
confidentialité et intégrité.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 74
De cet objectif général découle les objectifs spécifiques suivants :
- s’assurer que des processus et procédures sont mises en place pour garantir la sécurité
de l’information ;
- S’assurer de l’existence d’un dispositif d’évaluation des risques et de son
fonctionnement adéquat ;
- s’assurer que tous les utilisateurs (internes, externes et temporaires) et de leurs
activités sur les systèmes informatiques qui ont un lien direct avec le site web
(applications d’entreprise, de l'environnement informatique. etc.) fait l’objet d’une
traçabilité ;
- s’assurer que seul les personnes autorisées accèdent aux informations sensibles ;
- s’assurer que les politiques et procédures sont en place pour organiser la production, le
changement, la révocation, la destruction, la distribution, la certification, le stockage,
la saisie, l'utilisation et l'archivage des clés cryptographiques pour assurer la protection
des clés contre la modification et la divulgation non autorisée ;
- s’assurer que les mesures de prévention, de détection et de correction des menaces et
vulnérabilités sont en place à travers l’organisation de la protection des SI ;
- s’assurer de la mise en œuvre des procédures de sécurisation des réseaux (dispositifs
WAF, pare-feu) afin de contrôler les flux en provenances des réseaux.
6.1.1.2. Délimitation du champ d’action de la mission
Le champ d’application de la mission couvre le site web, les liens entre le site et ses
composants applicatifs, la gestion du niveau de service apporté par l’hébergeur. Il est présenté
dans le tableau ci-après.
Cependant, nous n’interviendrons pas chez les prestataires de services comme les hébergeurs.
C’est-à-dire que nous interviendrons juste au niveau de TALISMEAS pour nous assurer qu’il
existe une gestion de ce genre de prestation en tenant compte de niveau de sécurité tant
physique que logique apporté par l’hébergeur. Nous ne tiendrons pas compte de la sécurité
physique des TI à TALISMEAS car nous la jugeons négligeable.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 75
Tableau 2 : Champs d’action fonctionnel de la mission
LIEU, LOCAL OU EMPLACEMENT POPULATION CIBLE
• Salle technique
• Bloc administratif
• Tous les ordinateurs du réseau local (7)
• Tous les composants applicatives • Le niveau services apportés par
l’hébergeur • Directeur général • Responsable technique
Source : Nous même
6.1.1.3. Le planning de d’audit
Le planning de l’audit est présenté dans le tableau ci-après :
Tableau 3 : Plan d’audit
Objet Service ou personne / lieu Nature des travaux
Questionnaire de contrôle interne
Salle technique Direction
générale
S’informer et confirmer Observer
Sécurité logique
Poste d’administration
Programmeurs web
Concepteur du site web
Inspecter Observer Tester
Sécurité physique Salle technique Inspecter Observer
Source : Nous même
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 76
6.1.2. Programme de vérification
Il représente la procédure à adopter pour la mise en œuvre de notre mission d’audit surtout le
déroulement du plan de mission, ceci en termes de document à consulter, des informations à
collecter ainsi que leur période de réalisation. Ainsi nous allons présenter les tâches relatives à
chaque objectif du plan de mission.
Tableau 4 : Programme de vérification
Détail des tâches du programme de vérification Objectif général Objectifs spécifiques Tâches à réaliser Temps
prévu Auditer le site web de TALISMEAS
Décrire l'organisation et la gestion de la sécurité du site web à TALISMEAS
- rencontrer les différents responsables intervenant dans la gestion de la sécurité du site web;
- comprendre le fonctionnement du site web en étude.
3 semaines
Analyser le processus de gestion de la sécurité du site web
- vérifier si les procédures de gestion de la sécurité du site web sont conçues dans un manuel de procédure ;
- se rassurer du respect de normes et bonnes pratiques en matière d’exploitation de sites web
- identifier les différents risques inhérents à l’exploitation du site web;
2 semaines
Collecter et analyser les informations sur la gestion de la sécurité du site web
- s’entretenir avec l’agent chargé d’administrer le site ;
- rapprocher les informations recueillies avec un référentiel de bonnes pratiques.
2 semaines
Eviter le manque de disponibilité, confidentialité, intégrité du site web
- mettre en exergue les forces et les faiblesses identifiées ;
- proposer des recommandations pour l’amélioration du système
1 semaine
Source : Nous même
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 77
6.2. La phase de réalisation de la mission d’audit
Cette phase a consisté à la finalisation du questionnaire de contrôle interne, à son
administration auprès des principaux acteurs impliqués, et à l’analyse des risques liés à la
sécurité du site web de TALISMEAS
Le questionnaire de contrôle interne (annexe n° 4) a été conçu de telle sorte qu’une réponse
négative équivaut à une faiblesse (c’est à dire l’absence de tout dispositif de contrôle interne
ou de bonne pratique) et une réponse positive équivaut à une force qui devra être confirmée
par des tests de conformité.
Les réponses positives ont donc fait l’objet de test de conformité grâce à l’observation,
l’inspection et la mise en œuvre de TAAO.
6.2.1. Exécution des tests de contrôle d’audit du site web de TALISMEAS
Les tests de confirmation du questionnaire de contrôle interne qui suivent, découlent du
programme de travail conçu à partir de réponses positives du QCI.
6.2.1.1 Test d’existence (conformité)
Pour ce faire, nous avons procédé à un sondage statistique qui consiste à sélectionner de
manière aléatoire Cinq (05) échantillons de réponses positives pour ensuite réaliser les tests
suivants :
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 78
Tableau 5 : Test de confirmation du QCI
TEST Résultat du test
IV-b-2
Vérifier que les trois composants applicatives sont maintenus a jours :
Population cible : 03
Echantillon : exhaustif (03)
IV-a-4
Vérifier que l’administrateur du site ne se connecte que sur le seul ordinateur prévu à cet effet en l’observant six (06) fois à son insu le mode d’administration du site au cour d’un mois. Et confirmer grâce aux fichiers de journalisation.
Echantillon (06)
OUI 75%
NON 25%
Test 1
OUI 100%
NON 0%
Test2
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 79
III-b-11
Vérifier que seul le directeur technique accède a l’interface d’administration du site en observant à six (06) reprises le processus d’administration du site.
Le directeur général à accès aussi à l’interface d’administration
I-a-13
Vérifier qu’il existe des critères de choix de l’hébergeur en vérifiant qu’ils sont connus du personnel.
Population cible : 07
Echantillon : 04
III-a-1
Vérifier dans les fichiers journalisés qu’il y a
une traçabilité de l’administration du site
(automatisé)
Population cible : 20 connexions
Echantillon : 08 connexions
Source : Nous même
6.2.1.2. Résultat issue de l’implémentation des TAAO
Le code source du site web revêt un aspect très technique. N’ayant pas la compétence
technique nécessaire pour vérifier la conformité du code source aux normes W3C, nous avons
OUI 90%
NON 10%
Test 3
OUI 25%
NON 75%
Test 4
OUI 100%
NON 0%
Test 5
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 80
eu recours à l’outil ‘’seo-referencement.be‘’ qui est un utilitaire en ligne, une application web
qui nous a permis d’analyser le code source du site web et de donner un avis sur : la
conformité aux normes W3C, (objectif de contrôle IV-b-9 du QCI) ;
L’utilitaire se présente comme la figure ci-dessous.
Figure 9 : Ecran de l’utilitaire
Source : Nous même, capture d’écran de l’interface de l’utilitaire
Les résultats du test sont présentés sur la figure (capture d’écran) ci-dessous.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 81
Figure 10 : Capture d’écran des résultats du test
Source : Nous même, capture d’écran des résultats du test
Le code source du site web de TALISMEAS n’est pas conforme aux normes W3C
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 82
6.2.1.3. Résultat issue des contrôles applicatifs et des test sur le site web lui-
même.
Il s’agissait ici de réaliser les différents contrôles et test sur les procédés d’administration du
site web.
Tableau 6 : Test sur le site talismeas.com
Contrôles Tests Constats
Contrôle des entrées et des
accès
Observer les tentatives de connexion à l’interface administrateur.
Le système implémenté par WordPress réclame un login et un mot de passe
Déterminer qui peut passer outre les contrôles
Le directeur général a le mot de passe administrateur
Test sur la base des droits d’accès des utilisateurs
Un droit d’accès utilisateur est demandé pour accéder à l’ordinateur et à l’interface d’administration
Examiner les droits d’accès qui établissent et modifient des limites configurables d’agrément ou d’autorisation
Ce droit est attribué a responsable technique
Déterminer qui peut mettre à jour le site web
Le responsable technique après consultation du directeur général
Contrôle des entrées d’informations sur le site
Se rassurer que les échanges entre l’interface d’administration et le serveur distant soient cryptés
Contrôle des sorties Se rassurer que quelqu’un est responsabilisé pour parcourir le site web pour détecter des anomalies
Le responsable marketing et stratégie
Source : Nous même
Les anomalies constatées dès la phase de préparation et lors de l’administration du
questionnaire de contrôle interne (réponses négatives), de même que les dysfonctionnements
observés lors de l’implémentation du test à l’aide des TAAO, conduisent à l’élaboration d’un
tableau de force et faiblesse (voir annexe n°5).
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 83
6.1.2. Identification des risques liés à la sécurité du site web de TALISMEAS
L’étape de la prise de connaissance générale et les entretiens réalisés ainsi que les objectifs de
contrôle identifiés nous ont permis d’élaborer un tableau des risques. L’analyse du tableau des
risques qui est au cœur de notre approche par les risques, répertorie les risques opérationnels
dans sa troisième colonne, identifie les meilleures pratiques dans sa quatrième colonne. La
cinquième colonne nous a permis quant à elle de vérifier l’existence ou non des meilleurs
pratiques identifiées, et la sixième de vérifier le niveau de maitrise des risques.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 84
Tableau 7 : Tableau de risque (TARI)
Tâches/Opérati
on
Objectif de contrôle Risques associés Dispositif de contrôle
interne/POCA
Existant
Oui/non
Maitrise
la gestion de la
sécurité de
l’information du
site web
s’assurer que des
processus et procédures
sont mises en place
pour garantir la sécurité
de l’information;
disparité entre les mesures de sécurité
prévues et les mesures mises en place ;
social engineering ;
Distorsion entre les objectifs de sécurité
et les objectifs d’affaire.
Le manque de continuité administratif
dans la gestion de la sécurité
informatique ;
politique générale de
sécurité incluant la sécurité
de l’information et la
sécurité du site web ;
Non Non
S’assurer de l’existence
d’un dispositif
d’évaluation des
risques et de son
fonctionnement
adéquat ;
réponse aux risques non efficaces ;
confiance excessive dans les contrôles ;
non détection de l’impact d’un risque
sur l’entreprise.
Dispositif de gestion des
risques (MERAHI, Risk IT,
EBIOS) ;
plan d’action de gestion
des risques ;
Non
Non
Non
Non
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 85
S’assurer de l’existence
d’un plan de sécurité
global incluant le site
web de TALISMEAS.
Inadéquation entre stratégies et mesures
de gestion des risques ;
Insuffisance d’informations au niveau
du personnel pouvant entrainer des
erreurs.
plan de sécurité des TI
Non
Non
Les processus de
gestion
opérationnelle
de la sécurité de
l’information
s’assurer que tous les
utilisateurs font l’objet
d’une traçabilité ;
manque de suivis dans l’administration
du site web ;
impossibilité de réaliser des audit sur la
base des fichiers journaux;
absence de preuves.
Politique de journalisation
des connections et
tentatives de connections
Dispositif de traçabilité
Non
Oui
Non
Oui
s’assurer que seules les
personnes autorisées
accède aux
informations sensibles.
l’accès non autorisé aux données ;
la modification non autorisées des
paramètres du site web ;
Vol/altération des données ;
Social engineering
Mots de passe ;
Outils de gestion d’accès ;
Verrouillage des
configurations ;
Dispositif de déconnexion
automatique après forçage
ou après les heures
normales de travail.
Oui
Oui
Oui
Non
Oui
Oui
Oui
Non
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 86
la gestion de la
sécurité des TI
S’assurer que les
politiques et procédures
sont en place pour
assurer la gestion des
clés cryptographique et
pour assurer la
protection des clés
contre la modification
et la divulgation non
autorisée ;
Attaque par dénie de service ;
Défiguration du site web ;
Perte d’image ;
Perte de confidentialité ;
Reconfiguration des systèmes ;
Vols d’informations.
Mots de passes ;
Outils de gestion d’accès ;
Verrouillage des
configurations ;
Oui
Oui
Oui
Oui
Oui
Oui
S’assurer que les
mesures de prévention,
de détection et de
correction des menaces
et vulnérabilités sont en
place a travers
l’organisation de la
protection des SI ;
les attaques XSS ;
les attaques exploitantes les failles
d’injection ;
les cyber-attaques complexes exploitant
les failles de sécurité.
les falsifications de requête intersites ;
l’exécution de fichiers malicieux.
conformité du code aux
normes W3C ;
Anti-virus régulièrement
mis à jour ;
Non
Oui
Non
Oui
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 87
S’assurer de la mise en
œuvre des procédures
de sécurisation des
réseaux (dispositifs
WAF, pare-feu) afin de
contrôler les flux en
provenances des
réseaux
attaques par dénie de service,
détournement du site web ;
défiguration du site web.
Pare-feu ;
Dispositif de filtrage des
requêtes.
Oui
Non
Oui
Non
Source : Nous même
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 88
L’identification des risques ainsi réalisée nous permettra de rédiger des FRAP sur la base des
constats.
6.3. Synthèse de l’audit de la sécurité du site web de TALISMEAS
Cette section présente les forces et faiblesses identifiées au cours de l’audit. Elle présente
aussi les constats, risques, causes, conséquences et recommandations au travers des FRAP.
6.3.1. Les forces et faiblesses de l’audit du site web.
La synthèse des forces et faiblesse est issue des résultats du QCI.
Tableau 8 : Tableau des forces et faiblesses
Opérations Points forts Points faibles
Gestion des risques
o L’existence d’une
architecture des SI ;
o Les grandes décisions
relatives à la mise à jours,
la modification des
paramètres ou toutes
autres action sensible sur
le site web émane de la
direction générale.
o Absence de dispositif pour
l’évaluation et la gestion des
risques liés à l’exploitation du
site web ;
o Absence de plan de reprise
après sinistre ;
o Absence de manuel de
procédure informatique ;
o Inexistence de critères
pertinents dans le choix de la
solution d’hébergement du
site ;
o Méconnaissance de la politique
de sécurité de l’hébergeur ;
o Absence de suivis et de test sur
les mesures de sécurité
proposée par l’hébergeur ;
o inexistence de suivis juridique
du contrat avec l’hébergeur.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 89
La gestion des
identités et des
comptes
administrateurs
o Les comptes
administrateurs sont
séparés par niveau de
privilège ;
o Les droits d’accès sur la
base de donnée sont gérés
par niveau d’accès crypté
avec mot de passe ;
o Les entrées directes aux
tables d’accès sont
cryptées ;
o Les mots de passes
employés respectent les
normes de complexité ;
o Une seule personne
(directeur technique) a le
droit de super
administrateur du site web.
o Il existe un système de
gestion des mots de passes
administrateur.
o L’absence de procédure
documentée des modes
d’administration du site web ;
o le protocole d’administration
du site web n’est pas sécurisé ;
o absence de procédures
d’évaluation régulière et de
réauthentification des droits
d’accès aux interfaces
administrateur.
Prévention,
détection
neutralisation
d’attaques
o Existence d’un dispositif
WAF (Web Application
Firewall)
o Un antivirus
KASPERSKY est installé
sur le seul poste
d’administration du site
web et est régulièrement
o absence de dispositif de
filtrage des requêtes ;
o le long délai de changement
des mots de passes
administrateurs ;
o absence de document recensant
les composantes applicatifs ;
o la possibilité offerte de
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 90
mis à jour ;
o Les composants applicatifs
sont régulièrement mis à
jour ;
o Le système d’exploitation
du poste d’administration
est régulièrement mis à
jour ;
o Le site web est
mensuellement parcouru
pour détecter d’éventuelles
anomalies.
connaître l’éditeur, le CMS et
les outils de création du site
web.
Echange des
données
o Les échanges de données
sont cryptés par un
algorithme tenu secret ;
o Existence d’une politique
de sécurité chez
l’hébergeur.
La sauvegarde et
l’archivage des
données
o Les tentatives de connexions aux interfaces administrateur sont journalisés ;
o Il existe une traçabilité dans l’administration du site web ;
o Les fichiers de journalisation sont sécurisés et utilisables pour réaliser des audits.
o absence de politique de
journalisation ;
o les journaux de sont par
transmis hors du serveur non
connecter.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 91
La gestion du code
source
o Le code source est écrit
avec les dernières
technologies connues à cet
effet ;
o Le code source est
régulièrement parcouru à
la recherche d’anomalies
et est régulièrement mis à
niveau.
o Non conformité du code source
aux normes W3C
Source : Nous même
6.3.2. Les Feuilles de révélation et d’analyse des problèmes
Elles sont relatives au constats issues de l’identification des risques (existence ou non de
bonne pratiques en matière de sécurité des sites web). Les constats sont :
− Absence de politique générale de sécurité de l’information incluant le site web de
TALISMEAS.
− Absence d’un dispositif d’évaluation et de gestion des risques.
− Absence de plan de gestion des incidents.
− Absence de dispositif de déconnection automatique des interfaces administrateurs
− La non- conformité du site web de TALISMEAS avec les normes W3C.
− Absence de suivi du niveau de service offert par l’hébergeur.
− Absence d’un dispositif de filtrage des requêtes
− le niveau de cryptographie offert par l’hébergeur n’est pas connu des responsables de
TALISMEAS.
Les constats ont fait l’objet de FRAP (annexe 5)
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 92
6.4. Synthèse des recommandations
Dans cette section, nous nous contenterons de formuler des recommandations à l’endroit des
acteurs de la sécurité du site web de la structure d’accueil.
Les recommandations qui vont suivre vont à l’endroit de monsieur le directeur général et de
monsieur le responsables technique de TALISMEAS.
Recommandations à monsieur le directeur général
Vu la taille de la structure TALISMEAS, nous formulerons des recommandations adaptées et
qui pourrons être facilement mises en œuvre. Les recommandations à la direction de
TALISMEAS sont les suivantes :
La conception de site web est l’une des principales prestations qu’offre TALISMEAS.
Le site web de TALISMEAS constitue à cet effet la première référence en la matière.
L’incapacité de TALISMEAS à garantir à ce jour la sécurité de son propre site,
constitue un risque critique pour son marché dans ce domaine. Une fois cette
information divulguée les pertes de chiffre d’affaire peuvent aller de 25% à 75% le
risque matérialisé.
Nous recommandons à la direction de TALISMEAS d’orienter à travers l’expression
claire de son intention en matière de sécurité, les comportements à adopter par les
parties prenantes et la mise en œuvre des opérations en matière de sécurité.
Pour y parvenir, la Direction devrait s’assurer de disposer d’une politique
accompagnée de procédures claires de sécurité de l’information.
Le site web est par nature un élément très exposé du système d’information. Le site
web de TALISMEAS est un site vitrine. Des atteintes à sa disponibilité, à son intégrité
et à la confidentialité de l’information pourraient entrainer de très lourdes pertes
financières et une perte d’image auprès des clients. Cela implique donc la nécessité
d’identifier et de traiter les risques liés au site web.
La méconnaissance de son appétence aux risques, du niveau de risques acceptable, et
des modes de traitement des risques identifiés par la direction de TALISMEAS
pourrait entrainer la survenance de risques non identifiés, qui pourraient impacter les
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 93
autres systèmes existant et avec conséquences allant jusqu’à la compromission de la
continuité d’exploitation.
Dans ce sens nous recommandons à la Direction générale de TALISMEAS de mettre
en place un processus de management des risques liés à la sécurité de l’information en
générale et du site web en particulier afin d’avoir une compréhension collective du
profil de menaces, vulnérabilités et de risques de TALISMEAS et de son site web.
Une attaque portant atteinte à la disponibilité et l’intégrité du site web de
TALISMEAS entrainera de lourdes pertes financières. L’incapacité de TALISMEAS à
faire face à des incidents de disponibilité ou d’intégrité de son site web, l’expose à des
risques très dommageables de son image de marque, une fois l’information divulguée.
Dans ce sens, nous recommandons à la direction de TALISMEAS de documenter des
mesures et procédures encadrants l’action des protagonistes de la sécurité de son site
web afin d’apporter une réponse efficace aux incidents.
Les mesures de sécurité garanties par l’hébergeur déterminent le niveau de sécurité du
site web. En effet, l’adresse, les informations contenus dans le site web, ses
configurations de base, etc, sont logés dans les serveurs des hébergeurs que
TALISMEAS aurait choisi. La sécurité physique et logique des serveurs n’étant pas du
ressort de TALISMEAS, le site web de TALISMEAS est alors exposé à des attaques
exploitants des vulnérabilités au niveau de l’hébergeur.
Pour maitriser les risques liés à la sous-traitance de ces services, nous recommandons
à la direction de TALISMEAS de faire un « business impact analyse » avant d’opérer
ses de choix de solutions. Ceci devrait lui permettre d’avoir une vue sur l’ensemble
des risques liés et faciliter ainsi la gestion des niveaux de services fournis par les
fournisseurs comme les hébergeurs. Dans le cadre actuel, la gestion des points qui
suivent pourrait réduire les risques en attendant une mise en œuvre de la bonne
pratique recommandée :
− niveau de sécurité offert par l’hébergeur ;
− de la gestion de la sécurité physique chez l’hébergeur ;
− de la politique de sécurité générale, du plan de reprise après sinistre de
l’hébergeur.
Et aussi de désigner un responsable de la gestion du niveau de sécurité offert par
l’hébergeur.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 94
Recommandations à monsieur le responsable technique
Pour une maitrise de la sécurité du site web, il serai judicieux de :
o Veiller à ce que les mots de passes administrateurs soient régulièrement changés (Tous
les 3 mois) ;
o Au cours de l’administration, privilégier un protocole https qui protège le flux
d’information en confidentialité et en intégrité grâce au protocole TLS ;
o Greffer des extensions capables de gérer la déconnexion automatique des interfaces
d’administration après un temps de travail ou d’inactivité ;
o Installer un dispositif de filtrage des requêtes comme UserGate Web filtrer et
privilégier les dispositifs WAF usant des « listes blanches » ;
o Recensé toute les composantes applicatives et réduire leur usage au strict minimum ;
o Privilégié le transfert des journaux via le protocole syslog hors du serveur non
connecter ;
o Soumettre au directeur général une politique de journalisation ;
o limiter au maximum les informations visibles publiquement qui donnent des
indications sur le fonctionnement interne du site :
− suppression des éléments visibles sur la page indiquant les outils (CMS,
éditeur, etc.) utilisés ;
− banalisation des en-têtes HTTP qui peut fournir des informations de version
trop précise sur le serveur ou le système d’exploitation employés.
o Réviser le code source du site afin de le conformer aux normes W3C.
Conclusion :
Au cours de notre mission d’audit, nous avons procédé au déroulement de notre programme
de vérification tel qu’il est présenté dans notre modèle d’analyse. Lors de l’administration des
questionnaires de contrôle interne, des interview, des observations physiques, des analyses
documentaires et des test effectués, nous avons relevé des forces et des faiblesses apparentes,
identifié les risques qui ont fait l’objet d’analyse et de recommandations pour améliorer la
sécurité. Ces recommandations doivent être matérialisées par un plan d’action et de suivis qui
doit être mis en œuvre, compte tenu de certaines priorités, du budget disponible et de la
disponibilité des différents protagonistes.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 95
Cette partie a été pour nous l’occasion de présenter TALISMEAS, son organisation, le site
web en étude, et les mesures sécuritaires mises en œuvre par les dirigeants de TALISMEAS
pour assurer sa sécurité. Les informations reçus et collectées ont permis la mise en œuvre de
notre démarche référentielle de la conduite de l’audit de la sécurité du site web de
TALISMEAS.
Cet audit nous amène à conclure que les mesures de sécurité mises en places pour garantir la
sécurité du site web de TALISMEAS sont insuffisantes et que la direction de TALISMEAS
devra mettre en œuvre un certain nombre d’action afin de garantir la sécurité de son site web.
CESAG - BIBLIOTHEQUE
CONCLUSION GENERALE
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 97
Au terme de notre étude nous pouvons affirmer sans risque de se tromper, que la majorité des
sociétés intègrent les TI et tous particulièrement leurs sites web dans la gestion courante de
leurs activités afin d’être plus performantes. L’usage des sites web, bien que bénéfique expose
les organisations à de nombreux risques inhérents, auxquels le management doit faire face.
L’audit est l’un des outils les plus fiables dont disposent les dirigeants pour réduire ces risques
afin d’atteindre une assurance raisonnable.
Ce sont ces raisons qui nous on poussés à retenir comme thème de notre étude « audit de la
sécurité du site web de TALISMEAS Sénégal : www.talismeas.com » afin d’améliorer la
sécurité en assurant la confidentialité, l’intégrité et la disponibilité des informations qu’il
contient et des technologies qui le sous-tendent.
Ce thème a été traité en deux grandes parties :
• La première dite théorique à concerné les aspects théoriques de l’audit des systèmes
d’information appliqué au cas des site web qui comprend trois (03) chapitres à savoir :
le site web, un composant des SI ensuite le processus d’audit des systèmes
d’information et enfin la méthodologie de l’étude, et ;
• La seconde partie dite pratique à abordé l’aspect pratique qui se compose de trois
chapitres : la présentation de TALISMEAS, la description du site web et des mesure
de sécurité liées et enfin la présentation des résultats de l’audit.
Ainsi au cours de notre étude, nous avons mené des investigations grâces aux méthodes de
l’audit des systèmes d’information afin de porter un jugement sur le niveau de sécurité du site
web sujet de notre étude.
Les risques inhérents à l’exploitation d’un site web par une entreprise on fait l’objet de
développement dans la première partie de ce travail.
La méthodologie déployée nous a permis d’identifier à travers des constats et
l’implémentation des TAAO, les risques résiduels, issus de l’absence ou du mauvais
fonctionnement des dispositifs de contrôle internes.
Les constats effectués traduisent des insuffisances voir une absence de gestion de la sécurité
des SI à TALISMEAS. Ainsi, tous les constats ont donné lieu à des recommandations.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 98
Le manque de compétences techniques ne nous à pas permis de mener un audit en
profondeurs afin de formuler des recommandations plus techniques afin d’assurer la sécurité
du site web.
L’aspect de la sécurité physique étant majoritairement du ressort de l’hébergeur, et étant
donné que nous avons restreint le champ d’action de notre mission à TALISMEAS seul, nous
n’avons pas suffisamment insisté sur ce paramètre.
Nous n’avons pas identifié au cours de nos recherches des travaux formels sur l’audit des sites
web. Les bases sont donc jetées pour formaliser une méthodologie spécifique à l’audit de la
sécurité des sites web.
CESAG - BIBLIOTHEQUE
ANNEXES
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 100
Annexe 1 : Les bonnes pratiques de sécurité OPQUAST
N° Intitulé de la bonne pratique Objectifs
1
Le site propose une procédure de réinitialisation du mot de passe en cas de perte, de vol ou d'oubli.
Permette à l'utilisateur d'accéder à son compte
en cas de perte du mot de passe. Simplifier la gestion des comptes utilisateurs. Renforcer la sécurité en évitant le stockage de
mots de passe non cryptés afin de pouvoir les communiquer de nouveau à l'utilisateur.
2
Les échanges de données sensibles sont sécurisés et signalés comme tels.
Conforter la confiance de l'utilisateur. Permettre à l'utilisateur de saisir des données
sensibles en sachant qu'elles seront protégées. Minimiser les risques d'utilisation frauduleuse
des données des utilisateurs.
4
Les données sensibles ne sont pas transmises en clair dans les url.
Éviter que des données sensibles ne soient
publiques et stockées en clair aux différentes étapes de l'accès à la page (FAI, proxy, serveur Web, historique du navigateur, services tiers).
Permettre à l'utilisateur de saisir des données sensibles en sachant qu'elles seront protégées et confidentielles.
5 Les informations sur la sécurité des transactions sont indiquées.
Contribuer à l'information des utilisateurs sur la sécurisation des échanges de données sensibles.
6
L'identité des prestataires impliqués dans les transactions est précisée.
Fournir aux utilisateurs des informations sur les partenaires tiers impliqués dans la transaction.
7
Les certificats de sécurité sont signés et en cours de validité.
Permettre aux utilisateurs de connaître la validité du certificat et contribuer à la sécurisation de la transaction.
8
La politique de confidentialité et de respect de la vie privée est accessible
Permettre aux utilisateurs de connaître les conditions de conservation de leurs
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 101
depuis toutes les pages. données personnelles.
9
Le serveur n'envoie pas la liste des fichiers des répertoires n'ayant pas de page d'index.
Éviter l'affichage de listes de fichiers contenus dans un répertoire.
Améliorer la sécurité du serveur. Limiter les risques d'intrusion.
10
Les comptes ou abonnements ouverts en ligne peuvent être fermés par le même moyen.
Faciliter la gestion des comptes utilisateurs. Éviter à l'utilisateur une recherche de contact. Conforter la confiance dans le site ou le
service.
11
Les mots de passe peuvent être choisis ou changés par l'utilisateur.
Permettre aux utilisateurs de choisir un mot de
passe personnalisé. Éviter aux utilisateurs de rechercher leur mot
de passe à chaque connexion.
12
La procédure d'accès et de rectification des données personnelles est décrite.
Informer l'utilisateur sur l'utilisation de ses données personnelles.
Conforter la confiance dans le site ou le service.
Faciliter la gestion des demandes liées aux données personnelles.
13
Un dispositif sensibilise l'utilisateur sur le degré de sécurisation du mot de passe qu'il choisit
Informer les utilisateurs sur le niveau de sécurité du mot de passe choisi et donc sur les risques de détournement
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 102
Annexe 2 : Organigramme de TALISMEAS
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 103
Annexe 3 : Questionnaire de prise de connaissance
QUESTIONNAIRE DE PRISE DE CONNAISSANCE
Objectif : Avoir une vision d’ensemble de l’entité, du site web
et du dispositif de sécurité informatique en général et celui du
site web en particulier
Réf. OBSERVATIONS
Se faire présenter l’entité A
Missions, activités, produits, organisation, AA Ok
Historique AB NON
Obtenir l’organigramme général AC Ok
Prendre connaissance du site web B
Objectifs du site BA Ok
Localisation du Serveurs BB Ok
Module applicatifs BC Ok
Menus du site BD Voir site web
Technologie utilisée BE Ok
Audience BF Ok
Documents à obtenir C
Manuel de procédure CA Non
Politique de sécurité CB Non
Liste des composants applicatifs CC Non
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 104
Annexe 4 : Questionnaire de contrôle interne
EXERCICE : 2013
QUESTIONNAIRE
D’ANALYSE DU CONTRÔLE
INTERNE
DATE : 15 SEPTEMBRE 2013
ENTITE :
TALISMEAS
AUDIT DE LA SÉCURITÉ DU SITE WEB http://www.talismeas.com
OBJECTIFS DE CONTRÔLE :
I. S’assurer de que la sécurité du site web est gérer au niveau organisationnel conformément
aux exigences en la matière
I- a) s’assurer que des processus et procédures sont mises en place pour garantir la sécurité
de l’information
I- b) S’assurer de l’existence d’un dispositif d’évaluation des risques et de son
fonctionnement adéquat
II. S’assurer de l’existence d’un plan de sécurité global incluant le site web de TALISMEAS.
III. S’assurer de la gestion adéquate des identités administrateur.
III- a) s’assurer que tous les utilisateurs (internes, externes et temporaires) et de leur activité
sur les systèmes informatiques qui on un lien direct avec le site web(applications
d'entreprise , de l'environnement informatique. etc.) font l’objet d’une traçabilité.
III- b) s’assurer que seul les personnes autorisés accèdent aux informations sensibles.
IV. S’assurer de la gestion efficace de la sécurité des TI
IV- a)S’assurer que les politiques et procédures sont en place pour organiser la production,
le changement, la révocation, la destruction, la distribution, la certification, le stockage, la
saisie, l'utilisation et l'archivage des clés cryptographiques pour assurer la protection des
clés contre la modification et la divulgation non autorisée.
IV- b) S’assurer que les mesures de prévention, de détection et de correction des menaces et
vulnérabilités sont en place a travers l’organisation de la protection des SI
IV- c) S’assurer de la mise en œuvre des procédures de sécurisation des réseaux (dispositifs
WAF, pare-feu) afin de contrôler les flux en provenances des réseaux.
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 105
I- a) s’assurer que des processus et procédures sont mises
en place pour garantir la sécurité de l’information O N OBSERVATIONS
1) La haute direction de TALISMEAS a-t-elle manifesté son intention par rapport à la sécurité de l’information ? x
L’intention est manifestée mais n’est pas documentée
2) Cette intention est-elle documentée ? (obtenir la documentation si disponible) x
3) Existe-t-il une politique générale de sécurité des systèmes d’information ? (obtenir la politique générale de sécurité si oui).
x
4) La politique de sécurité intègre-t-elle l’ensemble du système d’information ? x
5) Est-elle applicable au site de TALISMEAS ? x
6) Existe-t-il un manuel de procédures informatiques ?
7) les grandes décisions relatives au site sont-elles prises par la haute direction ?
x
x
EXERCICE : 2013
QUESTIONNAIRE
D’ANALYSE DU CONTRÔLE
INTERNE
DATE : 15 SEPTEMBRE 2013
ENTITE :
TALISMEAS
I
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 106
8) Existe-t-il une architecture des SI ? x
9) Inclut-elle le site de TALISMEAS ? x
10) Existe-t-il une politique de communication pour TALISMEAS ? x
11) Intègre-t-elle le Site de TALISMEAS ?
12) Les communications sur le site de TALISMEAS tiennent-elles compte des objectifs globaux de communication ?
13) Existe-il des critères de choix de l’hébergeur ? x
14) Ces critères de choix sont-ils documentés x
15) Existe-il une politique de sécurité chez l’hébergeur ? x
16) a-t-on tenu compte des politiques de sécurité de l’hébergeur dans le choix de l’offre d’hébergement ?
x Choix de la proximité
17) Y a –il une gestion du niveau de service apporté par l’hébergeur ? x
18) cette gestion du niveau de service intègre-t-elle le suivi des mesures de sécurités proposées et leurs tests ? x
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 107
EXERCICE : 2013
QUESTIONNAIRE D’ANALYSE DU CONTRÔLE INTERNE
DATE : 15 SEPTEMBRE 2013
ENTITE :
TALISMEAS
I-
I- b) S’assurer de l’existence d’un dispositif d’évaluation des
risques et de son fonctionnement adéquat O N OBSERVATIONS
1) Existe-t-il un processus d’identification des risques qui tient compte :
1. de la probabilité ?
2. des conséquences ?
X
2) qui décide des risques à engager en termes de sécurité de l'information? Le Directeur
Général
3) Quelle méthode d’évaluation du risque est utilisée à TALISMEAS? x
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 108
EXERCICE : 2013
QUESTIONNAIRE D’ANALYSE DU CONTRÔLE INTERNE
DATE : 15 SEPTEMBRE 2013
ENTITE :
TALISMEAS
II-
II- S’assurer de l’existence d’un plan de sécurité global
incluant le site web de TALISMEAS. O N OBSERVATIONS
1) Existe – il un plan de sécurité global ? x
2) inclut-il le site web de TALIMEAS ? x
3) existe –il un plan de secours informatique ? x
4) inclut- il le site web de TALISMEAS ? x
5) Y a t – il un plan de reprise après sinistre ?
x
6) Intègre-t-il le site de TALISMEAS ? x
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 109
EXERCICE : 2013
QUESTIONNAIRE D’ANALYSE DU CONTRÔLE INTERNE
DATE : 15 SEPTEMBRE 2013
ENTITE :
TALISMEAS
III-
III- a) s’assurer que tous les utilisateurs (internes, externes et temporaires) et de leur activité sur les systèmes informatiques qui ont un lien direct avec le site web (applications d'entreprise , de l'environnement informatique. etc.) font l’objet d’une traçabilité.
O N OBSERVATIONS
1) Existe-t-il une traçabilité dans l’administration du site ?
2) Existe – il une politique de journalisation ? x
3) Quelle est la durée de conservation des fichiers de journalisation ? 1 an
4) Les tentatives de connexion aux interfaces administration sont –elles journalisés ? x
5) Les fichiers de journalisations sont-ils sécurisés? x
6) les journaux sont-ils transmis via le protocole syslog hors du serveur connecté ? x
7) Les fichiers de journalisations permettent t- ils de réaliser des audits ? x
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 110
EXERCICE : 2013
QUESTIONNAIRE D’ANALYSE DU CONTRÔLE INTERNE
DATE : 15 SEPTEMBRE 2013
ENTITE :
TALISMEAS
III-
III- b) s’assurer que seul les personnes autorisés accèdent aux
informations sensibles. O N OBSERVATIONS
1) Existe t – il un système de gestion des mots de passe administrateurs ? x Implémenté par
WordPress
2) Les mots de passes sont –il distribués par niveau de privilège ? x
3) Les mots de passes respectent t – il les recommandations en matière de complexité ? x
4) Les mots de passe sont-ils constitués de quatre caractères alphanumériques minimum ? x
5) Les mots de passe respectent – ils le principe de non affichage à l’écran ? x
6) Les mots de passe sont – ils difficilement constituables ? x
7) Quelle est la fréquence de changement des mots de passe ? annuelle
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 111
8) Combien de postes sont autorisés à l’administration du site web 1 postes
9) Les mécanismes d’administration, sont – ils restreints aux seuls postes d’administration autorisés ?
x
10) L’administration du site fait-elle l’objet de contrôle fréquent ? x
11) Combien y a t – il de personne habiletés à administrer le site web ? Une seule personne
(directeur technique)
12) Les comptes administrateurs sont – il séparés par niveaux de privilège ? x
13) Les accès aux interfaces d’administration sont – ils sécurisé ? x
14) Quels sont les mécanismes d’authentifications des administrateurs du site web? Login et mot de
passe
15) Les entrées directes aux tables d’accès sont – elles protégées ? x
16) Existe – il un système de déconnexion automatique des terminaux après forçage ou après les heures normales de travail ? x
17) Comment sont gérer les droits sur la base de données ? Par niveau d’accès crypté avec mot de passe
18) Les requêtes adressées à la base de données, sont – elles faite par l’intermédiaire d’une couche d’abstraction permettant le contrôle des paramètres?
x
19) Les échanges avec le serveur sont – elles chiffrées ? x
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 112
20) La société TALISMEAS fait- elle recourt à des consultants spécialisés dans les sites web pour la résolution de problèmes complexes ?
x
EXERCICE : 2013
QUESTIONNAIRE D’ANALYSE DU CONTRÔLE INTERNE
DATE : 15 SEPTEMBRE 2013
ENTITE :
TALISMEAS
IV-
IV- a)S’assurer que les politiques et procédures sont en place pour
organiser la production, le changement, la révocation, la destruction,
la distribution, la certification, le stockage, la saisie, l'utilisation et
l'archivage des clés cryptographiques pour assurer la protection des
clés contre la modification et la divulgation non autorisée.
O N OBSERVATIONS
1) les échanges entre le serveur et le site web sont – elles sécurisé ?
2) quelles est le niveau de chiffrement ?
3) existe – il un dispositif de gestion des clés cryptographiques ?
4) qui est en charge de la gestion de ce dispositif ?
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 113
EXERCICE : 2013
QUESTIONNAIRE D’ANALYSE DU CONTRÔLE INTERNE
DATE : 15 SEPTEMBRE 2013
ENTITE :
TALISMEAS
IV-
IV- b)S’assurer que les mesures de prévention, de détection et de
correction des menaces et vulnérabilités sont en place a travers
l’organisation de la protection des SI O N OBSERVATIONS
1) Les composants applicatifs employés (systèmes de gestion de contenus, bibliothèque Java etc.) sont t- ils recensés? x
− Feng office (GP)
− Doku wiki (Partage de connaissance)
− WordPress − Squirlle
(mail)
2) Les composantes applicatifs (SGBD, système de gestion de contenus) sont- ils maintenus à jours ?
A quand remonte la dernière maintenance ?
x 2 semaines
3) l’accès au renseignements sur le fonctionnement du site est –il limité ? x
4) y a t-il des anti-virus installés sur les postes d’administration ?
4) Le système d’exploitation est – il mises à jour ?
A quand remonte la dernière mise à jour ? x 1 mois
5) Le code source est-il disponible ? x
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 114
6) Le site est-il écrit en HTML 5 ? x
7) Le site est-il écrit en PHP ? x
8) La mise en forme a-t-elle été réalisée avec CSS3 ? x
9) L’écriture du code respecte-il les normes d’écriture W3C ? x
10) Le code source est –il régulièrement révisé? x mensuellement
11) Le site web est-il régulièrement parcouru pour détecter d’éventuelles anomalies ? x
12) Selon quelle périodicité ? Tous les mois
13) assure-t-on la séparation des environnements de conception, de développement et de tests avant implantation ? x
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 115
EXERCICE : 2013
QUESTIONNAIRE D’ANALYSE DU CONTRÔLE INTERNE
DATE : 15 SEPTEMBRE 2013
ENTITE :
TALISMEAS
IV
IV- c) S’assurer de la mise en œuvre des procédures de
sécurisation des réseaux (dispositifs WAF, pare-feu) afin de
contrôler les flux en provenances des réseaux O N OBSERVATIONS
1) Existe – il un dispositif WAF (Web Application Firewall) ? x
2) Existe – il un dispositif de filtrage des requêtes ? x
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 116
Annexe 5 : Feuilles de Révélation et d’Analyse des Problèmes
Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°01 Problème identifié : Mauvaise harmonisation de la sécurité informatique en général et de celle du site web en particulier Constats :
Absence de politique de sécurité de l’information
Causes explicatives :
Absence de volonté de la direction Méconnaissance des biens fondés de cette pratique
Conséquences :
Pilotage à vue Absence d’orientation Disparité et non cohésion des actions liées à la sécurité du site web
Recommandations :
Elaborer une politique de sécurité conforme aux normes ISO 27000, ISO 27001, ISO
27002 ;
Elaborer un manuel de procédure informatique qui prendra en compte l’aspect
sécurité du site web tout en précisant les tâches et les responsabilités des parties
prenantes ainsi que la description des procédures d’administration du site web.
Etabli par : Nous-même Approuvé par : Le directeur technique
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 117
Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°02 Problème identifié : Méconnaissance par la haute direction des risques informatiques en général et ceux liés à la sécurité du site web en particulier et de son appétence au risque Constats :
Absence d’un dispositif d’évaluation et de gestion des risques.
Causes explicatives :
Absence de moyens ; Méconnaissance de cette pratique.
Conséquences :
Dissimilitude entre disposition de sécurité prévue et appliquée ; Réponses aux risques non adaptées
Recommandations :
mettre en place un processus de management des risques liés à la sécurité de
l’information en générale et du site web en particulier
Etabli par : Nous-même Approuvé par : Le directeur technique
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 118
Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°03 Problème identifié : exposition trop élevée aux incidents et à leurs conséquences Constats :
Absence de plan de gestion des incidents.
Causes explicatives :
Méconnaissance des biens fondés de cette pratique ; Absence de volonté.
Conséquences :
Données informatiques non protégées Mise en échec des dispositions de sécurité par les parties prenantes
Recommandations :
documenter des mesures et procédures encadrants l’action des protagonistes de
la sécurité de son site web afin d’apporter une réponse efficace aux incidents.
Etabli par : Nous-même Approuvé par : Le directeur technique
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 119
Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°04 Problème identifié : exposition aux attaques par modification des configurations Constats :
Absence de dispositif de déconnection automatique des interfaces administrateurs
Causes explicatives :
Négligence Le top management juge de l’inutilité
Conséquences :
Accès non autorisé Défiguration du site web Modification des paramètres configuration
Recommandations :
Greffer des extensions capables de gérer la déconnexion automatique de l’interface
administrateur.
Etabli par : Nous-même Approuvé par : Le directeur technique
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 120
Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°05 Problème identifié : exposition aux attaques par modification du code source ou aux attaques plus insidieuses. Constats :
La non- conformité du site web de TALISMEAS avec les normes W3C.
Causes explicatives :
Négligence Erreurs techniques
Conséquences :
Exposition élevée à tout type d’attaques
Recommandations :
à défaut de faire respecter la norme W3C TALISMEAS devra mettre en œuvre
une assurance quant à la qualité du développement se son site.
Etabli par : Nous-même Approuvé par : Le directeur technique
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 121
Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°06 Problème identifié : exposition aux attaques exploitants les failles de l’hébergeur Constats :
Absence de suivi du niveau de service offert par l’hébergeur.
Causes explicatives :
Choix de la proximité négligence
Conséquences :
vol/altération perte de données accès aux informations depuis le serveur distant mauvaise influence des législations des pays de localisation des serveurs distants ; Inadéquation entre le niveau de risque de l’hébergeur et le niveau de risque souhaité
par la société ; Disparité entre les services prévus et les services rendus.
Recommandations :
Pour maitriser les risques liés à la sous-traitance de ces services, nous
recommandons à la direction de TALISMEAS de faire un « business impact
analyse » avant d’opérer ses de choix de solutions. Ceci devrait lui permettre
d’avoir une vue sur l’ensemble des risques liés et faciliter ainsi la gestion des
niveaux de services fournis par les fournisseurs comme les hébergeurs.
Etabli par : Nous-même Approuvé par : Le directeur technique
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 122
Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°07 Problème identifié : exposition aux attaques exploitants les failles du réseau Constats :
Absence d’un dispositif de filtrage des requêtes.
Causes explicatives :
Jugé non nécessaire Méconnaissance des biens fondés de cette pratique.
Conséquences :
Exposition aux attaques par déni de service ; Exposition aux attaques par injection de code malveillant.
Recommandations :
d’installer un dispositif de filtrage des requêtes comme « UserGate Web filtrer » et privilégier les dispositifs WAF usant des « listes blanches ».
Etabli par : Nous-même Approuvé par : Le directeur technique
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 123
Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°08 Problème identifié : exposition aux attaques exploitants les failles de sécurité liées au faible niveau de cryptographie Constats :
le niveau de cryptographie offert par l’hébergeur n’est pas connu des responsables de
TALISMEAS
Causes explicatives :
l’hébergeur ne fournis pas cette information Méconnaissance des biens fondés de cette pratique.
Conséquences :
Exposition aux attaques par déni de service ; Exposition aux attaques par injection de code malveillant ; Exposition aux attaques élaborée grâce aux failles identifiées par la connaissance de
ces informations ; Détournement des données.
Recommandations :
Commander une mission d’assurance sur le niveau de cryptographie garanti par l’hébergeur et y effectuer des tests. Cette assurance permettra de se rassurer que les échanges avec le serveur soient sécurisés.
Etabli par : Nous-même Approuvé par : Le directeur technique
CESAG - BIBLIOTHEQUE
BIBLIOGRAPHIE
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 125
Ouvrages :
1. ACISSI (2009), Sécurité informatique : ethical hacking, apprendre l’attaque pour
mieux se défendre, Editions ENI, Paris 355 pages ;
2. AFAI (2008), COBIT 4., Gouvernance institue, Paris, 196 pages ;
3. AFAI (2008), Guide d’audit des systèmes d’information : Utilisation de COBIT, IT
gouvernance Institute, Paris, 269 pages ;
4. ANGOT Hugues (2004); Audit comptable audit informatique, Edition De Boeck-
wesmael, Bruxelles, 299 pages;
5. BLOCH Laurent ; WOLFHUGEL Christophe (2013), Sécurité informatique :
principes et méthodes, Edition EYROLLES, Paris, 312 pages ;
6. BRESSOLLES Gregory (2012) ; l’e-marketing, Editions DUNOD Paris, 128 pages ;
7. BUTEL, Annie (2008), continuité d’activité : plan de secours, CLUSIF/BNP Paribas,
Paris, 33 pages ;
8. CHAMPLAIN Jack (2003), Auditing information systems, Edition John Wiley& sons,
451 pages;
9. CLEUET, Fabien & al (2008a), Audit des systèmes d’information, vol 1
INTEC/CNAM, Paris 102 pages ;
10. DEYRIEUX André (2008) ; Le système d’information : Nouvel outils de la stratégie,
Edition Maxima, Paris 184 pages ;
11. GODART Didier (2002), Sécurité informatique : risques, stratégies et solutions,
Edition Edipro, Paris ; 334 pages ;
12. ISACA (2011), Manuel de préparation de CISA, 442 pages ;
13. KEPEKLIAN Gabriel, LEQUEUSE Jean-Louis (2008) ; déployer un projet web2.0 :
Anticiper le web sémantique (web 3.0), Edition d’organisation, Paris 256 pages ;
14. LACHAPELLE Eric ; RENE St Germain (2005) ; ISO 17799 :2005/ISO 27002,
bonnes pratiques pour la gestion de la sécurité de l’information, Edition VERIDON,
27 pages ;
15. LAFITE Michel (2003) ; sécurité des systèmes d’information et maitrise des risques,
Edition REVUE BANQUE, Paris, 210 pages ;
16. LY, Henri (2005), L’audit technique informatique, Editions LAVOISIER/HERMES
SCIENCE, Paris, 230 pages ;
17. MENTHONEX, Jean (1995), sécurité et qualité informatique : Nouvelles orientations,
presses polytechniques et universitaires Romande, Lausane, 422 pages ;
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 126
18. MOISAND Dominique ; GARNIER Fabrice (2009), COBIT : pour une meilleur
gouvernance des systèmes d’information, Edition EROYLES, Paris, 274 pages ;
19. NEBRA Mathieu (2007) ; Réussir son site web avec XHTML et CSS, Edition
EYROLLES, paris ; 329 pages ;
20. REIX Robert, FALLERY Bernard; KALIKA Michel (2011), Système d’information et
management des organisations, 6ème édition, Edition Vuibert, paris 480 pages ;
21. RENARD Jacques (2005), théorie et pratique de l’audit interne, 5ème édition
d’organisation, paris, 487 pages ;
22. RENARD, Jacques (2010), théorie et pratique de l’Audit Interne, 7ème édition,
édition d’organisation, Groupe Eyrolles, Paris, 469p ;
23. SCHICK, Pierre (2007), Mémento d’audit interne ; Méthode de conduite d’une
mission d’audit, Edition DUNOD, Paris, 217 pages ;
24. STALLINGS, William (2002), Sécurité des réseaux, Applications et standards,
Editions Vuibert, Paris, 382 pages ;
25. THORIN, Marc (2000), L’audit informatique, Edition LAVOISIER/HERMES, 192
pages ;
Articles :
26. AFAI (2007), Rappel sur les normes et méthodes en matière de sécurité des systèmes
d’information, la revue française de l’audit et du conseil informatique Vol.85; 21-23;
27. AKOKA Jacky, COMYN-WATTIAU, Isabelle (2003), Audit d’un site web; une
démarche structurée;
28. CIGREF (2011), Les risques numériques pour l’entreprise, 23 pages ;
29. DUGLAY, Eric (2003), Quels enjeux et quelles approches pour un plan de continuité
globale, Revue française de l’audit interne, Vol.163;
30. LACHAPELLE Eric, René ST-GERMAIN (2010), ISO 17799 : 2005/ISO 27002
Bonnes pratiques pour la gestion de la sécurité de l’information (24 pages).
31. ISACA (2010), Information security management audit/program, 38 pages
32. OWASP (2012), Les dix vulnérabilités de sécurité des applications web les plus
critiques ;
33. Pierre Alexandre BAPST et Florence BERGERET (2002), Pour un management des
risques orienté vers la protection de l’entreprise et la création de la valeur, Revue
française d’audit n°162;
CESAG - BIBLIOTHEQUE
Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com
AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 127
34. TL. Education solution limited, ITL, Introduction to information Technology, Pearson
Education India- 2009;
Sources internet :
35. Guide-informatique (2010), sécurité des informations, normes BS7799, ISO 17799,
EBIOS, MEHARI [en ligne] [citation 02 septembre 2013]
http://www.guideinformatique.com/fiche -securité-des-informations;
36. LESSAUVEGARDES (2007), construire son plan de sauvegarde, [en ligne] [citation :
24 août 2013]
http://wwww.lessauvegardes.com/iscom/2007/construiresonplandesauvegarde;
37. PILLOU, Jean François (2010), Mise en place d’une politique de sécurité, Linux plus
value. [en ligne][citation : 24 septembre 2013]
http://www.linuxplusvalue.be/mylpv.php%id=184;
38. WIKIPEDIA (2013), Données [en ligne] [citation 4 septembre 2013] ; wikipédia.org ;
39. http://checklists.opquast.com/fr/;
CESAG - BIBLIOTHEQUE