138
Présenté par : Dirigé par : Octobre 2013 Audit de la sécurité du site web de TALISMEAS Sénégal : www.talismeas.com M. AMOUZOUN Mériadec Centre Africain d’Etudes Supérieures en Gestion Institut Supérieur de Comptabilité, de Banque et de Finance (ISCBF) Master Professionnel en Audit et Contrôle de Gestion (MPACG) Mémoire de fin d’étude THEME Promotion 6 (2011-2013) POUYE Abdou KHADRE Informaticien/Webmaster & SINIMBOU Durotimi Auditeur CESAG - BIBLIOTHEQUE

Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Embed Size (px)

Citation preview

Page 1: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 1

Présenté par : Dirigé par :

Octobre 2013

Audit de la sécurité du site web de TALISMEAS

Sénégal : www.talismeas.com

M. AMOUZOUN Mériadec

Centre Africain d’Etudes Supérieures en Gestion

Institut Supérieur de Comptabilité,

de Banque et de Finance

(ISCBF)

Master Professionnel en Audit et

Contrôle de Gestion

(MPACG)

Mémoire de fin d’étude

THEME

Promotion 6

(2011-2013)

POUYE Abdou KHADRE

Informaticien/Webmaster

&

SINIMBOU Durotimi

Auditeur

CESAG - BIBLIOTHEQUE

Page 2: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG ii

DEDICACES

− A mes parents, Martin AMOUZOUN et Eléonore AMOUZOUN née GONZALO,

pour les nombreux sacrifices consentis pour ma formation et mon édification.

− A l’ensemble de mes frères, Rednic, Primaël, Martin-junior, Axel AMOUZOUN, pour

leurs prières et pour le soutien sans faille qu’ils m’ont toujours portés.

− A mon colocataire, ami, frère Abdel Farase MAMA-DJIMA, pour le soutien moral et

les bonnes années passées ensemble dans la joie et la galère de Dakar.

CESAG - BIBLIOTHEQUE

Page 3: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG iii

REMERCIEMENTS

Je témoigne ma profonde gratitude et mes remerciements les plus sincères à mes directeurs de

mémoire, messieurs Pouye Abdou KHADRE et Durotimi SINIMBOU pour leur disponibilité

et leurs conseils avisés pour la rédaction de ce mémoire.

J’adresse également mes remerciements au corps professoral du CESAG et plus

particulièrement à :

Monsieur Moussa YAZI, Directeur de l’Institut Supérieur de Comptabilité, de Banque

et de Finance ;

Monsieur Racine GUENE, Sous-directeur des études et de la vie estudiantin pour sa

disponibilité et ses conseils.

Mes remerciements vont à l’endroit des dirigeants de la société TALISMEAS et de son

personnel pour l’accueil chaleureux, le soutient et la disponibilité dont ils ont fait preuve tout

au long de mon stage pour répondre à toutes mes préoccupations, en particulier à :

Monsieur Maguatte SYLLA, Directeur général de Groupe SAFAR ;

Monsieur Hassan SYLLA, Directeur technique de TALISMEAS ;

Monsieur Abou KHADRE, Développeur web à TALISMEAS ;

Aux stagiaires de la 6ème promotion Master professionnel en Audit et contrôle de gestion pour

la fraternité et la bonne ambiance.

CESAG - BIBLIOTHEQUE

Page 4: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG iv

ACRONYMES ET ABREVIATIONS

CERN : Centre Européen de Recherche sur le Nucléaire

CIGREF : Club Informatique des Grandes Entreprises Françaises

CMS : Content Management Système

CSS : Cascading Style Sheets

DSI : Direction des Systèmes d’Information

ERP : Enteprises Ressources Planning

FRAP : Feuille de Révélation et d’Analyse de Problèmes

HTML: Hypertexte

Http: HyperTextTransfer Protocol IIA: Institute of Internal Auditor

ISACA: Information Systems Audit and Control Association

OPQUAST: Open Quality Standards

OWASP: Open Web Application Security Project

QCI : Questionnaire de Contrôle Interne

SI : Système d’Information

TAAO : Technique d’audit Assisté par Ordinateur

TI : Technologie de l’Information

WAF : Web Application Firewall

WWW: World Wide Web

CESAG - BIBLIOTHEQUE

Page 5: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG v

LISTE DES FIGURES

Figure 1 : Fonctionnement des sites web ................................................................................. 17

Figure 2: Architecture client-serveur web ................................................................................ 18

Figure 3 : Le triangle INFOSEC .............................................................................................. 24

Figure 4 : Démarche axée sur les risques ........................................ Erreur ! Signet non défini.

Figure 5 : Résumé du processus d’évaluation des risques ....................................................... 45

Figure 6 : Modèle d’analyse ..................................................................................................... 52

Figure 7 : Page d’accueil du site web ....................................................................................... 66

Figure 8 : Audience du site web de TALISMEAS ................................................................... 70

Figure 9 : Ecran de l’utilitaire .................................................................................................. 80

Figure 10 : Capture d’écran des résultats du test ..................................................................... 81

CESAG - BIBLIOTHEQUE

Page 6: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG vi

LISTE DES TABLEAUX

Tableau 1 : Programme d’audit de la sécurité d’un site web ................................................... 38

Tableau 2 : Champs d’action fonctionnel de la mission .......................................................... 75

Tableau 3 : Plan d’audit ........................................................................................................... 75

Tableau 4 : Programme de vérification .................................................................................... 76

Tableau 5 : Test de confirmation du QCI ................................................................................. 78

Tableau 6 : Test sur le site talismeas.com ................................................................................ 82

Tableau 7 : Tableau de risque (TARI)...................................................................................... 84

Tableau 8 : Tableau des forces et faiblesses ............................................................................ 88

CESAG - BIBLIOTHEQUE

Page 7: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG vii

LISTE DES ANNEXES

Annexe 1 : Les bonnes pratiques de sécurité OPQUAST ..................................................... 100

Annexe 2 : Organigramme de TALISMEAS ......................................................................... 102

Annexe 3 : Questionnaire de prise de connaissance............................................................... 103

Annexe 4 : Questionnaire de contrôle interne ........................................................................ 104

Annexe 5 : Feuilles de Révélation et d’Analyse des Problèmes ............................................ 116

CESAG - BIBLIOTHEQUE

Page 8: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG viii

TABLE DES MATIERES

DEDICACES ............................................................................................................................. ii

REMERCIEMENTS ................................................................................................................. iii

ACRONYMES ET ABREVIATIONS ..................................................................................... iv

LISTE DES FIGURES ............................................................................................................... v

LISTE DES TABLEAUX ......................................................................................................... vi

LISTE DES ANNEXES ........................................................................................................... vii

TABLE DES MATIERES ...................................................................................................... viii

INTRODUCTION GÉNÉRALE ................................................................................................ 1

PREMIERE PARTIE : CADRE THEORIQUE DE L’ETUDE ............................................... 7

Chapitre 1 : LE SITE WEB, UN COMPOSANT DES SYSTEMES D’INFORMATION ... 9

1.1. Le cadre conceptuel des sites web ........................................................................... 9

1.1.1. Définitions historique et rôles des sites web .................................................... 9

1.1.1.1. Historique des sites web ........................................................................... 10

1.1.1.2. Rôles d’un site web ................................................................................... 10

1.1.2. La typologie des sites web .............................................................................. 13

1.1.2.1. Les sites web statiques .............................................................................. 13

1.1.2.2. Les sites web dynamiques ........................................................................ 14

1.1.3. L’importance d’un Site web dans le système d’information de l’entreprise .. 15

1.1.4. Langages de programmation et fonctionnement d’un site web ...................... 16

1.1.4.1. Les langages de programmation ............................................................... 16

1.1.4.2. Fonctionnement des sites web .................................................................. 16

1.1.5. Aspect juridique des sites web ........................................................................ 18

1.2. Les bonnes pratiques des sites web ........................................................................ 19

1.2.1. Le World Wide Web Consortium ................................................................... 20

1.2.2. Quelques bonnes pratiques OPQUAST .......................................................... 21

1.3. La sécurité des sites web en tant que système d’information ................................ 22

1.3.1. La notion de sécurité du système d’information ............................................ 22

1.3.2. Les déterminants de la sécurité du système d’information ............................. 23

1.3.3. Risques, vulnérabilités et mesures sécuritaires liées aux sites web ................ 25

1.3.3.1. Les risques liés aux sites web ................................................................... 25

1.3.3.2. Les vulnérabilités liées aux sites web ....................................................... 29

1.3.3.3. Les mesures sécuritaires liées aux sites web ............................................ 30

CESAG - BIBLIOTHEQUE

Page 9: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG ix

Chapitre 2: PROCESSUS D’AUDIT DES SITES WEB ..................................................... 31

2.1. Cadre d’audit de la sécurité d’un site web ............................................................. 32

2.1.1. Le COBIT ....................................................................................................... 33

2.1.2. Les normes de la famille ISO 2700X ............................................................. 34

2.1.3. Les autres normes utiles dans l’audit de la sécurité des sites web ................. 35

2.2. La démarche de l’audit de la sécurité d’un sites web ............................................ 35

2.2.1. Planification d’un mission d’audit de la sécurité d’un site web ..................... 36

2.2.1.1. La portée et les objectifs de l’audit ........................................................... 36

2.2.1.2. Le programme d’audit .............................................................................. 37

2.2.1.3. L’évaluation des risques ........................................................................... 42

2.2.2. Exécution de la mission d’audit de la sécurité d’un site web ......................... 46

2.2.2.1. La preuve d’audit ...................................................................................... 46

2.2.2.2. Les tests de conformité ............................................................................. 47

2.2.2.3. Les tests de corroboration ......................................................................... 47

2.2.2.4. L’évaluation des forces et faiblesses de l’audit ........................................ 47

2.2.3. Finalisation d’une mission d’audit de la sécurité d’un site web ..................... 47

2.3. L’audit de la sécurité des sites web aux moyens des Technique d’Audit Assisté par

Ordinateur (TAAO) .......................................................................................................... 48

2.3.1. Utilité des TAAO dans l’audit de la sécurité d’un site web ........................... 49

2.3.2. Les méthodes d’audit des sites web au moyen des TAAO ............................. 49

Chapitre 3 : METHODOLOGIE DE L’ETUDE .................................................................. 51

3.1. Le modèle d’analyse .............................................................................................. 51

3.1.1. Planification de l’audit .................................................................................... 51

3.1.2. Réalisation de l’audit ...................................................................................... 53

3.1.3. Conclusion de l’audit ...................................................................................... 53

3.2. Les outils de collecte et d’analyse de données ....................................................... 53

3.2.1. La revue documentaire ................................................................................... 53

3.2.2. Le questionnaire d’évaluation du contrôle interne ......................................... 53

3.2.3. L’interview ..................................................................................................... 54

3.2.4. Les tests de conformité ................................................................................... 54

3.2.5. La feuille de révélation et d’analyse des problèmes (FRAP) ......................... 55

3.2.6. Les logiciels d’audit (TAAO) ......................................................................... 55

3.2.7. Le tableau de risque ........................................................................................ 55

3.2.8. L’observation physique .................................................................................. 56

CESAG - BIBLIOTHEQUE

Page 10: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG x

DEUXIEME PARTIE : CADRE PRATIQUE DE L’ETUDE ............................................... 58

Chapitre 4 : PRESENTATION DE TALISMEAS ............................................................... 60

4.1. Présentation générale de TALISMEAS ................................................................. 60

4.1.1. Missions .......................................................................................................... 60

4.1.2. Activités .......................................................................................................... 60

4.2. Structure organisationnelle de TALISMEAS ........................................................ 62

Chapitre 5 : DESCRIPTION DU SITE WEB DE TALISMEAS ET DES MESURES

DE SECURITÉ LIEES ......................................................................................................... 64

5.1 Présentation générale du site web .............................................................................. 64

5.1.1 Objectifs du site ................................................................................................... 64

5.1.2 La navigation ....................................................................................................... 65

5.1.3 La structure du site .............................................................................................. 65

5.1.3.1. L’écran d’introduction ................................................................................. 65

5.1.3.2. Le type de pages ....................................................................................... 66

5.1.3.3. Les composantes applicatifs ..................................................................... 67

5.1.4. La technologie utilisée pour créer le site web ................................................ 68

5.1.5. L’hébergeur .................................................................................................... 68

5.1.6. L’audience ...................................................................................................... 69

Source: Nous même, capture d’écran sur l’interface d’administration du site de

TALISMEAS ................................................................................................................... 70

5.2 Les dispositifs de la sécurité du site web de TALISMEAS ....................................... 71

5.2.1 La gestion et l’évaluation des risques ................................................................. 71

5.2.2 La sécurité du système ........................................................................................ 71

5.2.2.1 La gestion des identités et des comptes administrateurs .............................. 71

5.2.2.2 Prévention, détection neutralisation d’attaques ............................................ 71

5.2.2.3 Echange des données .................................................................................... 72

5.2.2.4 La sauvegarde et l’archivage des données ................................................... 72

5.2.2.5 La gestion du code source ............................................................................ 72

Chapitre 6 : LES TRAVAUX ET RESULTATS DE L’AUDIT DE LA SECURITE DU

SITE WEB DE TALISMEAS .............................................................................................. 73

6.1. La phase de planification de la mission d’audit ........................................................ 73

6.1.1. Programme d’audit du site web de TALISMEAS ............................................. 73

6.1.1.1. Objectifs de l’audit du site web de TALISMEAS ....................................... 73

6.1.1.2. Délimitation du champ d’action de la mission ............................................ 74

CESAG - BIBLIOTHEQUE

Page 11: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG xi

6.1.1.3. Le planning de d’audit ................................................................................. 75

6.1.2. Programme de vérification ................................................................................. 76

6.2. La phase de réalisation de la mission d’audit ............................................................ 77

6.2.1. Exécution des tests de contrôle d’audit du site web de TALISMEAS ............... 77

6.2.1.1 Test d’existence (conformité) ....................................................................... 77

6.2.1.2. Résultat issue de l’implémentation des TAAO ........................................... 79

6.2.1.3. Résultat issue des contrôles applicatifs et des test sur le site web lui même.

.................................................................................................................................. 82

6.1.2. Identification des risques liés à la sécurité du site web de TALISMEAS .......... 83

6.3. Synthèse de l’audit de la sécurité du site web de TALISMEAS ............................... 88

6.3.1. Les forces et faiblesses de l’audit du site web. .................................................. 88

6.3.2. Les Feuilles de révélation et d’analyse des problèmes ...................................... 91

6.4. Synthèse des recommandations ................................................................................. 92

CONCLUSION GENERALE .................................................................................................. 96

ANNEXES ............................................................................................................................... 99

BIBLIOGRAPHIE ................................................................................................................. 124

CESAG - BIBLIOTHEQUE

Page 12: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

INTRODUCTION GÉNÉRALE

CESAG - BIBLIOTHEQUE

Page 13: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 2

Autre fois réservée à des privilégiés et à des utilisateurs avertis, l’internet est devenu

aujourd’hui un moyen de communication incontournable de la société moderne. La

démocratisation de l’usage de l’internet a entrainé une prolifération des sites web parmi

lesquels des sites web professionnels, propriétés des entreprises.

Un site web constitue généralement une véritable plateforme d’accès à l’information. Mais

force est de constater que c’est sans réelle planification que de nombreuses entreprises ont été

amenées à concevoir et à mettre en œuvre des sites web, les attributions de ces derniers étant :

- un rôle de vitrine informative, présentation de produits et services ;

- une fonction de communication et d’information, mise à disposition d’informations

utiles ;

- une plate-forme d’échange commerciale, commerce en ligne et vente par

correspondance.

Au regard de ces différentes fonctions qui leurs sont attribuées, les sites web deviennent

l’épine dorsale du système d’information, vital au bon fonctionnement de l’entreprise.

Ainsi les sites web sont par nature des éléments très exposés du système d’information. Leur

sécurisation revêt une grande importance, et ce à plusieurs titres.

Les menaces les plus connues pesant sur les sites web sont les défigurations et les dénis de

service. Une défiguration est une attaque par laquelle une personne malveillante modifie le

site pour remplacer le contenu légitime par un contenu qu’il choisit, par exemple pour relayer

un message politique, pour dénigrer le propriétaire du site ou simplement, pour revendiquer

son attaque comme preuve d’un savoir-faire. L’actualité du 15 août 2013 fait état de l’attaque

du site web du célèbre quotidien américain Washington Post. Le site aurai été détourné et

redirigé vers la page d'une organisation revendiquant son soutien au président syrien Bachar

al Assad ; selon Yahoo actualité.

Cette attaque n’est pas en marge des nombreuses autres visant des sites web d’entreprises aux

secteurs d’activité variés : Commerce électronique, grande distribution, banque etc. Même les

géants de l’informatique ne sont pas épargnés comme en témoigne la récente attaque du 18

juillet 2013 contre le site de la société Apple.

CESAG - BIBLIOTHEQUE

Page 14: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 3

Un déni de service a quant à lui pour objet de rendre le site attaqué indisponible pour ses

utilisateurs légitimes. Dans les deux cas, l’impact sur le propriétaire du site est évidemment

un déficit d’image et, pour le cas d’un site servant de support à une activité lucrative, un

manque à gagner.

Il ne faut toutefois pas négliger les scénarios d’attaques plus insidieux. Il est possible qu’un

individu malveillant se serve d’un site web comme une porte d’entrée vers le système

d’information de l’hébergeur ou, plus généralement, de l’entité à qui appartient le site. Par

ailleurs, un site peut être utilisé comme relai dans une attaque élaborée vers un système tiers

ou comme dépôt de contenus illégaux, ces situations étant susceptibles de mettre l’exploitant

légitime du site en difficulté. Enfin, une attaque sur un site peut aussi viser à tendre un piège

aux clients habituels de ce site, qui sont souvent les employés du propriétaire du site ou de ses

partenaires. Ainsi, l’externalisation de l’hébergement d’un site ne permet pas de transférer

l’ensemble des risques d’intrusion au système d’information de l’hébergeur.

Toutes ces attaques ont en commun de rechercher, contrairement à celles évoquées plus haut,

une certaine discrétion et peuvent par conséquent rester insoupçonnées pendant de longues

périodes.

La protection contre ces menaces passe à la fois par des mesures préventives et par des

mécanismes permettant de détecter les tentatives d’attaques.

Avoir une assurance de la sécurité de son site web devient alors un enjeu majeur du top

management des entreprises. Ainsi, l’audit de la sécurité d’un site web revêt une importance

stratégique pour les entreprises.

La problématique de la sécurité et de la fiabilité d’un site internet devra se poser en premier

lieu chez les concepteurs de site web. En effet ils sont de plus en plus nombreux à proposer

leurs services de conception de site web sur mesure aux entreprises, l’activité ayant connu le

même essor que l’évolution des nouvelles technologies de l’information et de la

communication.

Cependant, c’est une responsabilité de la gouvernance de l’entreprise de s’assurer de la

qualité de service qu’il reçoit. Ceci à travers la gestion du niveau de services et la

gouvernance de la sécurité de l’information.

CESAG - BIBLIOTHEQUE

Page 15: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 4

La société TALISMEAS outre son activité de conseil et d’ingénierie en système

d’informations et intégration d’ERP open source, propose des services de création de site web

sur mesure pour les entreprises. La société a une expérience avérée dans le domaine pour

avoir réalisé des sites web pour des structures du Sénégal tel que, la fédération nationale de

football du Sénégal, le centre commercial seaplaza de Dakar, l’université Alioune DIOP de

Bambey pour ne citer que ceux la.

Aussi, pour des raisons de communication et de stratégie, TALISMEAS dispose d’un site web

vitrine, hébergé par un tiers prestataire et qui présente l’ensemble de la société à travers ses

activités, son équipe, son expérience etc. Au site web il a été greffé des composants

applicatifs métier qui permettent la gestion et le partage de documents et d’informations

(wiki) ; la gestion de mails professionnels, et la gestion des projets internes. Cet état de choses

révèle l’importance stratégique du site web de TALISMEAS.

C’est ce qui explique la nécessité pour TALISMEAS d’assurer la sécurité de son site,

garantissant celles de ses clients et au-delà une posture confortable par rapport aux

concurrents. Ainsi, la sécurité du site d’une entreprise part de la gouvernance de la sécurité de

l’information pour aboutir à la gestion stricte des risques en se conformant aux normes et

bonnes pratiques adoptées par l’entreprise.

L’absence de mesures primordiales, garantissant la sécurité des sites web tels que l’:

- absence d’une politique de sécurité générale incluant celle du site web ;

- absence d’un plan de sécurité ;

- absence d’un système de gestion adéquat du risque ;

- absence suivis du niveau de service assuré par l’hébergeur, le cas échéant ;

sont des causes qui pourrait entrainer un manque, voir une absence totale de sécurité au

niveau des sites web, tant au niveau de l’information qu’ils contiennent que des support TI.

Ainsi le non respect de ces mesures, expose les entreprises à des risques tels que :

- perte d’image ;

- vol/altération d’informations ;

- pertes financières ;

- indisponibilité du système d’information ;

CESAG - BIBLIOTHEQUE

Page 16: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 5

- la divulgation de données confidentielles.

Pour atteindre un niveau de sécurité adéquat de l’exploitation de leur site web, les entreprises

doivent avoir :

- une organisation optimale répondant aux besoins du contrôle interne ;

- un bon pilotage organisationnel et un suivis régulier de la sécurité de l’information;

- un bon contrôle de la mise en œuvre des exigences de sécurité ;

- limiter l’accès à certaines données au moyen de mécanismes structurés ;

- un suivi du niveau de service de l’hébergeur (cas ou l’entreprise à recours à des

serveurs distants ne lui appartenant pas) ;

- des assurances du niveau de sécurité de l’information et particulièrement du site web.

La société TALISMEAS gagnerait donc à faire auditer son site web afin de s’assurer un

pilotage organisationnel optimal, la mises en œuvre des exigences en matière de sécurité, la

gestion des niveaux de service etc.

La principale question qui découle de tout ce qui précède est la suivante : L’exposition étant

inévitable, comment TALISMEAS pourrait contrôler les vulnérabilités pour mitiger les

risques de son site web ?

De cette question peut découler les questions spécifiques suivantes:

- qu’est ce qu’un site web ?

- comment assurer la disponibilité, l’intégrité, la confidentialité des données sur le site

web ?

- quelle est la méthodologie de l’audit d’un site web ?

- quels sont les outils et techniques d’audit applicables à un site web ?

- quels sont les référentiels normes et bonnes pratiques utilisables pour auditer la

sécurité d’un site web ?

- comment révéler à une entreprise le niveau actuel de sécurisation de son site et

accompagner son amélioration ?

La réponse à ces questions justifie le choix de notre thème de recherche énoncé comme

suit : « audit de la sécurité du site web de TALISMEAS Sénégal : www.talismeas.com »

CESAG - BIBLIOTHEQUE

Page 17: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 6

Pour favoriser la réponse progressive à ces différentes préoccupations du management, nous

dégageons un objectif pour ce mémoire. L’objectif de ce travail sur l’audit de la sécurité d’un

site web est de s’assurer que les mesures de sécurité existantes protègent efficacement le site

web en disponibilité, confidentialité et intégrité.

Pour atteindre cet objectif il nous faudra :

- identifier les risques inhérents à la possession d’un site web ;

- évaluer le niveau actuel de la gouvernance de la sécurité et en particulier celui du site

web de TALISMEAS ;

- évaluer le niveau actuel de la gestion de la sécurité de l’information et

particulièrement celui du site web de TALISMEAS ;

- répertorier les dispositifs et bonnes pratiques à mettre en œuvre pour

circonscrire/maitriser ces risques;

- proposer une démarche d’audit ainsi que des référentiels à utiliser, et;

- formuler des recommandations pour l’amélioration de la sécurité du site web.

L’intérêt d’une telle étude pour l’entreprise est de lui permettre d’évaluer et de situer sa

maitrise des risques liés a son site web et à son SI en général, lui proposer des dispositifs et

techniques à mettre en œuvre pour réduire son exposition aux risques.

En ce qui nous concerne, ce sera pour nous l’opportunité de nous familiariser avec la notion

de site web, d’acquérir des connaissances, le savoir-faire et les compétences nécessaires pour

réaliser une mission d’audit des systèmes d’information. Cette étude est le point culminant de

notre formation de deux (02) ans au CESAG.

Ce thème sera traité en deux grandes parties :

- La première concernera les aspects théoriques de l’audit des systèmes d’information

appliqué au cas des sites web qui comprend trois (03) chapitres à savoir : le site web,

un composant des SI ensuite le processus d’audit des sites web et enfin la

méthodologie de l’étude, et ;

- La seconde partie abordera l’aspect pratique qui se compose de trois chapitres : la

présentation de TALISMEAS, La description du site web de TALISMEAS et des

mesures de sécurités liées, enfin, les travaux et résultats de l’audit de la sécurité du site

web de TALISMEAS.

CESAG - BIBLIOTHEQUE

Page 18: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

PREMIERE PARTIE :

CADRE THEORIQUE DE L’ETUDE

CESAG - BIBLIOTHEQUE

Page 19: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 8

Pour justifier et planifier leurs dépenses informatiques, les directions des systèmes

d’information sont depuis longtemps conduites à évaluer et auditer leurs systèmes

d’information et plus particulièrement leurs applications informatiques. Les sites web

développés par les entreprises sont devenus des applications cruciales, voire stratégiques, à

l’instar des sites de e-commerce.

Mais c’est l’aspect sécuritaire des systèmes d’information qui suscite beaucoup plus

d’inquiétudes au niveau des DSI. Les sites web, véritable vitrine du système d’information de

l’entreprise commence par représenter de véritables cibles de choix aux attaques des systèmes

d’information d’entreprise.

La première partie de notre étude sera consacrée à la revue des écrits théoriques par rapport

aux sites web en général et à la revue théoriques des auteurs en matière d’audit des systèmes

d’information. Il s’agit d’une revue théorique sur les notions générales liées au concept de site

web. La méthode de l’audit des systèmes d’information adaptable aux sites web fera l’objet

d’une présentation. Une méthodologie de notre étude et une synthèse de la revue seront

également présentées. La première partie de cette étude se fera donc en trois chapitres qui

sont :

- le site web, un composant des systèmes d’information;

- le processus d’audit des sites web ;

- la méthodologie de l’étude.

CESAG - BIBLIOTHEQUE

Page 20: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 9

Chapitre 1 : LE SITE WEB, UN COMPOSANT DES SYSTEMES D’INFORMATION

Le début des années quatre-vingt-dix, outre l’accélération de la montée en puissance de

l’informatique personnel, a vu une interconnexion grandissante entre le monde de la micro-

informatique et celui des grands systèmes. L’implémentation des architectures client-serveur

et la naissance du World Wide Web (WWW) y ont grandement contribué.

Le concept client-serveur correspond à une philosophie d’approche de l’informatique en

rupture forte par rapport aux stades précédents, en établissant dans l’informatique une relation

de type client-fournisseur. Le client est vu comme l’utilisateur qui derrière son poste de

travail, généralement un PC, demande des services à plusieurs serveurs distants, qui peuvent

être d’anciens mainframes ou non. Ceux-ci, généralement caractérisés par des gammes de

puissances, plus importantes que le poste de travail de l’utilisateur, rendent le service

demandé. Il se peut que dans ce modèle, pour répondre aux besoins du client, qu’ils aient eux-

mêmes à demander certaines informations à d’autres systèmes. Nous voyons alors qu’un

serveur d’un client donné peut, afin de rendre un service demandé, se retrouve lui-même

temporairement à l’état de client. Cet état de choses à fait naitre un grand réseau, le réseau des

réseaux, l’internet.

Internet a été par la suite utilisé pour développer un service : le web. De nos jours, il est

devenu presque anodin de se connecter à internet et de bénéficier des services du web grâce

aux sites web.

1.1. Le cadre conceptuel des sites web

Il convient, avant de rentrer dans le vif du sujet, de s’accorder sur certaines notions relatives

aux sites web.

1.1.1. Définitions historique et rôles des sites web

Selon Wikipédia, un site ou site web1 de l'anglais website, qui se traduit littéralement en

français par site de la toile, est un ensemble de pages web hyper liées entre elles et accessible

à une adresse web. Un site web est composé d'un ensemble de documents structurés, nommés

CESAG - BIBLIOTHEQUE

Page 21: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 10

pages web, stockés (hébergés) sur un ordinateur (serveur) connecté au réseau mondial

(internet).

Une page web est l’unité de consultation du Word Wide Web. C'est un document

informatique qui peut contenir du texte, des images, des formulaires à remplir et divers autres

éléments multimédias et interactifs.

Il conviendra de distinguer un site web d’une application web. En effet, Une application web2

est une application manipulable grâce à un navigateur web. De la même manière qu’un site

web, une application web est généralement placée sur un serveur et se manipule en actionnant

des onglets directement à partir du navigateur web via un réseau informatique.

Ainsi, à la différence des sites web standard, une application web est tout site web qui permet

à ses utilisateurs d’accomplir des tâches spécifiques (gérer des mails, créé du contenu etc).

1.1.1.1. Historique des sites web

Celon wikipédia, c’est au CERN (organisation européenne pour la recherche nucléaire) qu’en

1991 le tout premier site internet fut ouvert dans l’indifférence totale. Il a été mis au point par

l’ingénieur Tim Berners-lee. La toute première adresse internet du premier serveur web était

« nxoc01.cern.ch ». En créant le logiciel World WideWeb, Tim Berners-Lee a créé à la fois le

premier navigateur web et le premier éditeur web, car il voulait faire du web un média

collaboratif, dans lequel tous les acteurs consultent et créent l'information. Cependant, le web

s'est immédiatement orienté en un média de diffusion d'information global plutôt que de

collaboration. C’est ainsi que dans la seconde moitié des années 1990, le web devient

populaire, et toutes les grandes entreprises, organisations, écoles, administrations, ouvrent un

site web.

1.1.1.2. Rôles d’un site web

L’évolution actuelle du monde a rendu l’utilisation quotidienne de l’internet aussi

indispensable que la télévision, le téléphone etc. Lorsqu’un internaute se connecte à un site

web, c’est dans un but précis : trouver des réponses à ses questions, communiquer, s’amuser.

CESAG - BIBLIOTHEQUE

Page 22: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 11

L'ère de la numérisation implique l'accès à l'information en direct, répondant au besoin du tout

et tout de suite. Une page web contient donc à cet effet des informations, généralement pour

informer ou faire connaître. Le rôle d’un site web devra donc être abordé sous l’angle de celui

qui l’utilise (usage particulier, usage d’entreprise, usage pour une organisation etc.)

Dans le cadre de l’utilisation personnelle ou privée

Dans le cadre d'une utilisation privée, un site web permet par exemple de communiquer et de

partager des ressources telles que des photos, des vidéos, des messages, etc. Pour accéder à

ces ressources, il suffit d'être connecté sur internet, n'importe où dans le monde. Grâce aux

sites web à usage privé, les utilisateurs sont à même de collecter les informations, partager les

informations, se faire connaître. Grâce au nouveau concept nommé « personnalbranding »

entendons marketing personnel, le site web permet aux utilisateurs privés ou particuliers de

gérer leurs marques personnelles en améliorant leur réputation et leur identité professionnelle

à travers un site web privé. Ou des pages web dédiées et privées (profils sur les réseaux

sociaux, blog etc.)

Dans le cadre d’une utilisation faite par une institution

Les institutions utilisent les sites web pour se faire connaître et divulguer des informations par

rapport à leurs activités. Les institutions de normalisation par exemple utilisent leurs sites web

pour rendre accessibles au grand public les différentes normes qu’elles élaborent.

Dans le cadre de l’utilisation faite par une entreprise.

Le site web revêt une toute autre importance pour les entreprises. Pour une entreprise, l’intérêt

d’un site web est d’abord de pouvoir être vu par tout le monde. Ainsi donc, les entreprises

utilisent généralement les sites web pour développer leur image de marque et leur notoriété.

Pour se faire les entreprises attribuent aux sites web les rôles suivants :

Présentation (vitrine)

C'est le tout premier cas, celui par lequel démarrent beaucoup d'entreprises : avoir un site pour

présenter ses produits et services. D'ailleurs cette fonction est tout à fait dans l'esprit de

l'Internet : le réseau est censé fournir toutes les informations qu'on pourrait trouver sur papier

et ailleurs, puisqu'il est un double virtuel du monde réel, comme on l'a souvent affirmé dans

CESAG - BIBLIOTHEQUE

Page 23: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 12

les débuts de l'Internet grand public. À la plaquette publicitaire et au catalogue papier de

l'entreprise, il est donc logique que correspondent une vitrine et un catalogue virtuels.

Beaucoup d'entreprises commencent à considérer cette fonction de vitrine informative comme

indispensable.

fonction de communication et d’information :

Le site web de l'entreprise peut et doit être vécu et géré comme un outil de communication,

obéissant à ses règles. Respect du ton de l'entreprise, de sa charte de communication, de son

style. Ainsi le site web joue un rôle de communication auprès des entreprises.

Indépendamment des questions d'image et de style, l'entreprise va pouvoir communiquer, tout

comme elle communique, de manière générale, par le biais de ses documents institutionnels

tels que rapports d'activité, communiqué et annonces à la presse.

La présence sur le Web peut être l'occasion de mettre à disposition de la clientèle, mais aussi

des prospects et même de tout public, des informations relatives soit à l'entreprise, soit aux

produits ou services. De plus, une page web bien faite donne toujours la possibilité au visiteur

de laisser ses coordonnées en vue d'un contact plus personnalisé, voire un message libre pour

poser une question.

En définitive, grâce aux sites web, la communication d'une entreprise prend une forme

continue, ininterrompue. Des clients peuvent se renseigner sur un type de prestation, en-

dehors des horaires d'ouvertures de l'entreprise.

Vente par correspondance

L’évolution actuelle du web permet aujourd’hui grâce à des technologies avancées de mettre

au point des sites web pour la vente directe en ligne grâce à des plate formes constituées sur le

net à cet effet.

Ce nouveau rôle, attribué à des sites web spécialisés, permet à l’entreprise de toucher

directement sa clientèle et de vendre ses produits en ligne. Il s’agit notamment des sites de e-

marketing.

Bressolles (2012 :9) définit l’e-marketing comme le processus de planification et de mise en

œuvre de l’élaboration, de la tarification, de la communication, de la distribution d’une idée,

CESAG - BIBLIOTHEQUE

Page 24: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 13

d’un produit ou d’un service permettant de créer des échanges, effectuées en tout ou en partie

à l’aide des technologies digitales, en cohérence avec les objectifs individuels et

organisationnels. Ainsi le site e-marketing entre dans la stratégie marketing de l’entreprise et

constitue une véritable force de vente.

Pour Kepeklian & al (2008:3) si le web s’est mué en plate forme, cela veut dire qu’il est

devenu possible de créer des systèmes d’information en utilisant des composants disponibles

sur le net. Ainsi le site web fait partie intégrante du système d’information de l’entreprise.

1.1.2. La typologie des sites web

Il existe deux grandes catégories de site web à savoir : les sites web statiques et les sites web

dynamiques.

1.1.2.1. Les sites web statiques

Il conviendra de définir le site web statique, de dire ses spécificités et de présenter ses

avantages et inconvénients.

1.1.2.1.1 Définition

Un site web statique est un site web dont les pages sont statiques. On entend par page

statiques, non pas une page sans mouvement ou sans animations mais une page visible telle

qu’elle a été conçue.

Le contenu des sites web statiques ne peut pas être mis à jour automatiquement. La mise à

jour nécessite l’intervention du webmaster. Ce dernier doit modifier le code source pour y

ajouter des nouveautés. Ainsi les sites web statiques sont caractérisés par une très faible

fréquence de mise à jour. Ils sont adaptés pour construire des sites web « vitrine ».

1.1.2.1.2 Avantages et inconvénients

Les avantages liés à l’implémentation des sites web statiques sont :

- coûts de développement très avantageux ;

- individualisation des pages permettant un bon référencement ;

- conservation facile de l’historique.

CESAG - BIBLIOTHEQUE

Page 25: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 14

Les inconvénients liés aux sites web statiques sont les suivants :

- nécessite des compétences particulières pour l’entretien et les mises à jours ;

- lourdeur dans la mise à jour.

1.1.2.2. Les sites web dynamiques

Il conviendra de définir le site web dynamique, de dire ses spécificités et de présenter ses

avantages et inconvénients.

1.1.2.1.3 Définition

Un site web dynamique est un site dont le contenu peut être généré dynamiquement, c‘est à

dire que ce contenu peut s’afficher en fonction de l’utilisateur qui le consulte ou d’autres

paramètres. Les sites web dynamiques incluent l’utilisation de base de données, ce qui offre

plus de possibilités de développement. Ainsi le contenu du site web dynamique peut changer

sans l’intervention du webmaster. Les sites web dynamiques sont donc caractérisés part un

niveau de mise à jour régulier et fréquent.

1.1.2.1.4 Avantages et inconvénients

Les sites web dynamiques présentent les avantages suivants :

- mises à jours ne nécessitent pas des compétences particulières ;

- évolutifs, les sites web dynamiques peuvent très facilement devenir des applications

web ;

- forte adaptabilité aux besoins de l’entreprise.

Comme inconvénients nous pouvons citer :

- coût de développement élevé ;

- journalisation complexe ;

- complexité des technologies utilisées.

Il ressort qu’il existe des différences majeures entre un site web statique et un site web

dynamique. En effet le site statique est composé d'un contenu défini (texte, son, vidéo,

CESAG - BIBLIOTHEQUE

Page 26: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 15

animations, flash,...) mais non modifiable à moins de plonger dans le code alors que le site

web dynamique fait varier le contenus en fonction des utilisateurs.

1.1.3. L’importance d’un Site web dans le système d’information de l’entreprise

Apparu au début des années 80, la notion de système d’information a été définie par REIX &

al (2011:4) comme : «Ensemble organisé de ressources: matériel, logiciel, personnel, données,

procédures… permettant d’acquérir, de traiter, de stocker des informations (sous forme de

donnée, textes, images, sons, etc.) dans et entre des organisations».

DEYRIEUX (2003: 11) affirme que le système d’information capitalise le savoir collectif et

structure fortement l’entreprise, les décisions et le management. Il doit rendre disponible

l’information pertinente au bon endroit au bon moment.

La gouvernance des systèmes d'information est directement liée à la stratégie des entreprises.

Elle concerne le choix des grandes orientations de l'entreprise et se traduit par de la création

de valeur.

Ainsi la mise en place d’un site web dans une entreprise revêt une importance stratégique

pour l’entreprise. Il y va du choix du type de site web, du rôle à lui attribuer et des objectifs

stratégiques à atteindre. La prise en compte du site web dans le dispositif des systèmes

d’information de l’entreprise permet de se rendre compte que les sites web constituent un

support majeur de l’information et de sa divulgation. Ainsi nous pouvons affirmer que le site

web est « une partie visible de l’iceberg » qu’est le système d’information. Il convient donc de

s’assurer que sa conception garantit la sécurité de l’information qu’il contient et que ces

dernières soient fiables.

Selon AKOKA & al (2003:2), le site web constitue l’épine dorsale du système d’information

de l’entreprise, vitale au bon fonctionnement de cette dernière.

Une importance particulière doit être accordée au site web de l’entreprise qui, en adéquation

avec la stratégie de l’entreprise, lui confère un avantage compétitif.

CESAG - BIBLIOTHEQUE

Page 27: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 16

1.1.4. Langages de programmation et fonctionnement d’un site web

Le langage est la base de toute communication. Pour communiquer et se comprendre il faut

pouvoir parler le même langage.

1.1.4.1. Les langages de programmation

Dans le domaine de l’informatique, l’homme à du trouver un langage afin de communiquer

avec la machine par l’intermédiaire de codes. Il s’agit du langage de programmation. Un

langage de programmation est un vocabulaire et un ensemble de règles d'écriture utilisées

pour instruire un ordinateur d'effectuer certaines tâches.

Les sites web peuvent être considérés comme des applications, AKOKA & al (2003: 1). Ainsi

pour créer un site web il faut donc le programmer à travers un langage de programmation.

De nos jours il existe plusieurs langages de programmation web. Les plus utilisés sont le

XHTML, le CSS, le PHP/MySQL et JavaScript.

1.1.4.2. Fonctionnement des sites web

Pour être lu et compris par son utilisateur (les internautes), pour la plupart profanes de

l’informatique, le site web a besoin d’être décrypté. Pour se faire on utilise des navigateurs

web.

Les navigateurs web

Un navigateur web est un logiciel conçu pour consulter le World Wide Web.

En l’espace de quelques années, le navigateur est devenu probablement le programme le plus

utilisé sur un ordinateur. Et pour cause c’est grâce au navigateur que de nombreux internautes

ont accès aux sites internet. Le rôle du navigateur est d’analyser le code XHTML et CSS des

pages web et d’en produire un résultat visuel, facile à lire pour un humain ; NEBRA (2008:6).

CESAG - BIBLIOTHEQUE

Page 28: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 17

Les URL

Selon wikipédia, les URL (Uniform Resource Locator) sont une invention du World Wide

Web et sont utilisées pour identifier les pages et les sites web. Elles sont aussi appelées

adresses web. Les URL ont été inventées pour pouvoir indiquer avec une notation (d'où

l'adjectif «uniforme») aux navigateurs web comment accéder à toutes les ressources d'internet.

Chaque navigateur web dispose d'une «barre d'adresse» affichant l'URL de la ressource

consultée. Il est en outre possible de saisir une URL dans cette barre d'adresse pour consulter

une ressource dont on connaît l'URL. Si le support le permet, on peut aussi trouver l'URL

correspondant à un lien en positionnant la souris sur l'image ou le texte approprié. L'URL peut

alors être présentée dans une barre d'état ou une bulle d'information. Les navigateurs web

conservent un historique des URL consultées. Cela leur permet de reconnaître et présenter de

manière distinctive les hyperliens vers des ressources déjà consultées.

Le protocole HTTP

Selon wikipédia, l'HyperText Transfer Protocol, plus connu sous l'abréviation HTTP,

littéralement « protocole de transfert hypertexte », est un protocole de communication client-

serveur développé pour le World Wide Web. Les clients HTTP les plus connus sont les

navigateurs Web permettant à un utilisateur d'accéder à un serveur contenant les données.

La figure ci-dessous décrit de façon sommaire le fonctionnement des sites web

Figure 1 : Fonctionnement des sites web

Source : Nous même

CESAG - BIBLIOTHEQUE

Page 29: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 18

1: la demande de page web est effectuée à partir d’un URL par une requête http qui est

envoyé au serveur via le protocole TCP/IP.

2: Grace au langage PHP/MySQL, la requête est interprétée du coté du serveur qui génère la

page demandée.

3: Le serveur renvoi ensuite la page demandée au format HTML/CSS

Une architecture plus complexe est présentée ci-dessous

Figure 2: Architecture client-serveur web

Sources : Nous même

1.1.5. Aspect juridique des sites web

Dans tous domaines de la vie l’absence de lois et réglementations entraine des dérives parfois

préjudiciables à la société.

Le domaine du web n’est pas épargné, qui plus est, il représente un champ de bataille constant

contre les manquements à l’ordre et aux lois en vigueur.

CESAG - BIBLIOTHEQUE

Page 30: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 19

Il n’existe pas de lois spécifiques aux sites web. La création et l’implémentation des sites web

est soumise à la juridiction du secteur qu’il touche (bancaire, assurance, pharmaceutique etc)

et en particulier au Sénégal, à la loi sur la société Sénégalaise de l’information.

Au Sénégal, le Président de la République a promulgué les premiers textes de loi relatifs à la

société sénégalaise de l’information.

Il s’agit de la :

- loi d’orientation sur la société de l’information ;

- loi sur la protection des données à caractère personnel ;

- loi sur les transactions électroniques ;

- loi sur la cybercriminalité.

Le Conseil des Ministres du 24 avril 2008 a examiné et adopté les décrets d’application

desdites lois. Il s’agit du :

- décret relatif à la certification électronique pris pour l’application de la loi n° 2008-08

du 25 janvier 2008 sur les transactions électroniques ;

- décret relatif aux communications électroniques pris pour l’application de la loi

n° 2008-08 du 25 janvier 2008 sur les transactions électroniques ;

- décret relatif au commerce électronique pris pour l’application de la loi n° 2008-08 du

25 janvier 2008 sur les transactions électronique ;

- décret portant application de la loi n° 2008-12 du 25 janvier 2008 sur la protection des

données à caractère personnel.

Le présent travail ne visant pas une étude juridique des sites web, une abstraction sera faite de

la présentation de ces lois.

1.2. Les bonnes pratiques des sites web

La sécurité de tout système informatique passe par la mise en place d’outils et de bonnes

pratiques encore trop souvent négligées.

L’accroissement de l’usage des technologies de l’information et l’interconnexion croissante

de celles-ci rend les besoins en sécurité de plus en plus déterminants. De ce fait, des

CESAG - BIBLIOTHEQUE

Page 31: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 20

réglementations et des normes internationales ont vu le jour, notamment dans le domaine des

sites web.

Cependant, toutes ces réglementations ne sont trop souvent que des référentiels dans lesquels

les entreprises ont toute latitude pour s’orienter à leur guise. Pour le reste, il n’y a pas

d’obligations, tout est essentiellement question de bon usage.

Parmi les réglementations et bonne pratiques des sites web, les plus utilisé sont SEO,

OpenData, Accessybility first steps, and second steps, et webperf. Toutes ces bonnes

pratiques inspirées notamment des standards de la W3C sont regroupées dans une checklist

intitulée open QualityStandars (OPQUAST).

1.2.1. Le World Wide Web Consortium

Selon wikidédia, le World Wide Web Consortium, abrégé W3C, est un consortium fondé en

octobre 1994 pour promouvoir la compatibilité des technologies du World Wide Web telles

que HTML, XHTML, XML, RDF, CSS, PNG, SVG et SOAP. Le W3C n'émet pas des

normes au sens européen, mais des recommandations à valeur de standards industriels.

Sa gestion est assurée conjointement par le Massachusetts Institute of Technology (MIT) aux

États-Unis, le European Research Consortium for Informatics and Mathematics (ERCIM) en

Europe (auparavant l'Institut national de recherche en informatique et en automatique français

(INRIA)) et l'Université Keio au Japon.

Le W3C publie aussi des remarques informatives qui ne sont pas destinées à être traitées en

tant que norme.

Le consortium laisse le soin aux fabricants de suivre les recommandations. Contrairement à

l'Organisation internationale de normalisation ou d'autres corps internationaux de

standardisation, le W3C ne possède pas de programme de certification. Cependant les

spécifications techniques du W3C définissent la conformité de manière plus ou moins

explicite et formelle.

CESAG - BIBLIOTHEQUE

Page 32: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 21

1.2.2. Quelques bonnes pratiques OPQUAST

Les pratiques OPQUAST sont regroupées par thématique et par niveau de criticité. Les

bonnes pratiques en matière de site web divulguées par OPQUAST sont regroupées autour

des thématiques suivantes :

Le code :

Il s’agit de proposer un ensemble de standards en matière de programmation informatique afin

d’harmoniser l’écriture des code sources des sites web.

Le contenu

C’est un ensemble de règles définissants la structure minimale du contenu d’un site web.

E-commerce

Dans cette thématique, un ensemble garantissant une certaine harmonisation des sites e-

commerce en terme de conditions d’accès, de services etc.

Navigation

En terme de navigation, les bonnes pratiques OPQUAST proposent un ensemble de directives

garantissant l’accessibilité des sites web sur tous les types de devise et de navigateur. Il s’agit

d’un ensemble de bonnes pratiques qui définissent la façon d’aborder la structure des sites

web et leur ergonomie.

Présentation

En terme de présentation, les bonnes pratiques OPQUAST préconisent un ensemble de

directives permettant d’harmoniser la structure graphique des sites, et propose un ensemble

de best-way en matière de choix des styles de présentation des sites.

Sécurité et confidentialité

Il s’agit d’un ensemble de best-way garantissant la sécurité et la confidentialité des données

présentes sur le site web. Il s’agit d’un ensemble de bonnes pratiques pouvant servir de base

pour la construction d’un référentiel d’audit de la sécurité d’un site web (Annexe 1)

CESAG - BIBLIOTHEQUE

Page 33: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 22

1.3. La sécurité des sites web en tant que système d’information

L’importance que revêt le site web dans le système d’information de l’entreprise mérite qu’on

accorde une importance toute aussi particulière à sa sécurité.

1.3.1. La notion de sécurité du système d’information

La sécurité peut être définie comme l’ensemble des moyens mis en œuvre et dont le rôle est

d’assurer une protection contre tout danger clairement défini. La sécurité d’un système

d’information fait souvent l’objet de métaphore car on la compare souvent à une chaine en

expliquant que le niveau de sécurité d’un système est caractérisé par le niveau de sécurité du

maillon le plus faible. Ainsi une porte blindée est inutile dans un bâtiment si les fenêtres sont

ouvertes sur la rue.

Selon wikipédia, la sécurité des systèmes d’information (SSI) est l’ensemble des moyens

techniques, organisationnels, juridiques et humains nécessaires et mis en place pour

conserver, rétablir, et garantir la sécurité du système d’information. Assurer la sécurité du

système d’information est une activité du management des systèmes d’information.

Selon GODART (2002:16-17), de manière plus concrète, une entreprise parle de sécurité pour

protéger sa réputation, assurer la continuité de ses activités, protéger ses données stratégiques

et ses propriétés intellectuelles, protéger les données privées de sa clientèle et de ses

employés, se prémunir de la fraude, satisfaire aux exigences légales et éviter des pertes

financières.

Cela signifie que la sécurité doit être abordée dans un contexte global et notamment prendre

en compte les aspects suivants :

- la sensibilisation des utilisateurs aux problèmes de sécurité;

- la sécurité logique, c’est à dire la sécurité au niveau des données notamment les

données de l’entreprise, les applications ou encore les systèmes d’exploitation;

- la sécurité des télécommunications : typologie des réseaux, serveurs de l’entreprise,

réseau d’accès, etc;

- la sécurité physique, soit la sécurité au niveau des infrastructures matérielles: salles

sécurisées, lieux ouverts au public, espaces communs de l’entreprise, poste de travail

des agents de l’entreprise, etc.

CESAG - BIBLIOTHEQUE

Page 34: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 23

La sécurité des systèmes d’information doit être abordée de façon à assurer la confiance des

utilisateurs du système d’information. C’est la raison pour laquelle il est nécessaire d’élaborer

une politique de sécurité, c’est à dire:

- élaborer des règles et des procédures, installer des outils techniques dans les différents

services de l’organisation (autour de l’informatique) ;

- définir les actions à entreprendre et les personnes à contacter en cas de détection d’une

intrusion ;

- sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes

d’information ;

- préciser les rôles et responsabilités.

«La politique de sécurité se présente sous la forme d’un ensemble de documents qui

présentent de manière ordonnée les règles de sécurité, les directives, procédures règles

organisationnelles et techniques à appliquer et à respecter. Ces règles sont généralement

issues d’une étude des risques informatiques (système informatique et système

d’information)» (PILLOU 2010).

De ce fait donc la définition que nous retiendrons de la sécurité des systèmes d’information

est que la sécurité des systèmes d’information est un ensemble de politiques et procédures qui

permettent d'éviter les intrusions (confidentialité), les incohérences (intégrité) et les pannes

(disponibilité) des systèmes d'information, et qui définissent les règles d'authentification.

1.3.2. Les déterminants de la sécurité du système d’information

Selon ANGOT (2004 :102), la sécurité doit être considérée d’abord au niveau de la sécurité

générale et du maintien d’une information fiable et cohérente.

Le rôle commun à tous les sites web quel que soit leur typologie est la gestion de

l’information: grâce aux sites web, les entreprises collectent des informations (coordonnées,

préférences des visiteurs etc.), divulgue de l’information (publicité sur leurs produits,

présentation d’équipes, situation géographique etc.).La sécurité des sites web fait alors

intervenir la sécurité de l’information.

Selon LACHAPELLE & al (2005:3), La sécurité de l’information vise à protéger

l’information contre une large gamme de menaces, de manière à garantir la continuité des

CESAG - BIBLIOTHEQUE

Page 35: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 24

transactions, à réduire le plus possible le risque et à optimiser le retour sur investissement

ainsi que les opportunités en termes d’activité pour l’organisme.

Par conséquent on appelle sécurité de l’information, tous les moyens techniques,

organisationnels, juridiques, et humains mis en place pour faire face aux risques identifiés,

afin d’assurer la confidentialité, l’intégrité, la disponibilité (variables du triangle infosec) et la

traçabilité de l’information traitée.

Figure 3 : Le triangle INFOSEC

Source : LACHAPELLE & al (2009 :3)

- La confidentialité : L’information ne doit pas être divulguée à toute personnes, entité

ou processus non autorisé. En clair, ça signifie que l’information n’est consultable que

par ceux qui ont le droit d’y accéder.

- L’intégrité : le caractère complet et correct des actifs doit être préservé. En clair cela

signifie que l’information ne peut être modifiée que par ceux qui en ont le droit.

- La disponibilité : L’information doit être rendue accessible et utilisable sur demande

par une entité autorisée. Cela veut dire que l’information doit être disponible dans des

conditions convenues à l’avance.

- La traçabilité : garanti que les accès et tentatives d’accès aux éléments considérés sont

tracées et que ses traces sont conservées et exploitables.

TRIANGLE

INFOSEC

Confidentialité

Disponibilité Intégrité

CESAG - BIBLIOTHEQUE

Page 36: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 25

La sécurité d’un site web est alors, l’ensemble des moyens techniques, organisationnels,

juridiques, et humains mis en place pour faire face aux risques identifiés, afin d’assurer la

confidentialité, l’intégrité, la disponibilité et la traçabilité de l’information traitée et de ce

dernier.

Assurer la sécurité d’un site web revient alors à identifier et cartographier les risques liés à

l’exploitation du site et à y remédier de façon méthodique.

1.3.3. Risques, vulnérabilités et mesures sécuritaires liées aux sites web

Comme tous systèmes informatiques, les sites web sont exposés à des risques et

vulnérabilités.

1.3.3.1. Les risques liés aux sites web

Etymologiquement, le mot risque vient de l’italien risco, mot dérivé du latin resecum, (« ce

qui coupe »), désignant le rocher qui menace les navires marchands, autrement dit le danger

en mer. Le web est de nos jours ce qu’était la mer au 18ème siècle, c’est à dire un moyen

d’échange en tous genres entre les continents et de décloisonnement des frontières. A cet effet

le risque est alors omniprésent sur le web.

La notion de risque fait alors intervenir deux éléments essentiels: l’évènement dont

l’occurrence est probabilisable, qui va entrainer des conséquences négatives : un dommage,

une perte.

Dans cette même logique, Bloch & al (2013: 9) estime qu’il est possible de préciser la notion

du risque en la décrivant comme le produit d’un préjudice par une probabilité d’occurrence:

Risque = préjudice x probabilités d’occurrence

LAFITE (2003 : 96) quant à lui définit le risque comme un péril mesurable, visant des biens

ou des activités précis, aux conséquences économiques dommageables.

Selon DUGELAY (2003 :17) « les risques inhérents non exhaustifs aux données et les

systèmes informatiques sont : incendie, inondation, explosion, panne des installations,

malveillance, erreur humaine, pirate, défaillance fournisseur, environnemental, cyber-attaque,

virus, rupture d’approvisionnement, externalisation défaillante, panne d’énergie, etc.. »

CESAG - BIBLIOTHEQUE

Page 37: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 26

L’usage de site web par les entreprises les a fait rentrer dans le monde de l’information

numérique. Ainsi toutes les informations traitées par les entreprises à travers leurs sites web

sont des informations à caractère numérique.

Le CIGREF, dans son rapport de mars 2011 intitulé «les risques numériques pour

l’entreprise» a identifié huit grandes familles de risques numériques que sont:

- les risques liés aux ressources humaines

- les risques liés à la dématérialisation des rapports humains

- les risques stratégiques

- les risques liés au contrôle des systèmes d’information

- les risques éthiques et juridiques

- les risques liés au patrimoine numérique

- les risques marketing

- les risques périphériques

Parmi ces risques, les plus usuels dans le cadre de l’exploitation d’un site web d’entreprises

sont :

- les risques liés au contrôle des systèmes d’information

- les risques éthiques et juridiques

- les risques marketing

1.3.1.1.1 Les risques liés au contrôle des systèmes d’information

o Vol/altération/modification de données de l’entreprise par l’utilisation du site web par des

employés (attaque interne) :

Nous sommes ici dans le cadre d’une malveillance interne. L’employé qui a accès au réseau

interne de l’entreprise peut potentiellement l’utiliser pour lui faire du mal. La gravité dépend

de l’information à laquelle il accède. Ce risque n’est pas à négliger et les employés ont

généralement une bonne connaissance des failles de sécurité de l’entreprise (CIGREF, 2011 :

9).

CESAG - BIBLIOTHEQUE

Page 38: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 27

o Vol/altération/modification de données de l’entreprise par l’utilisation du site web par des

pirates (attaques externes).

Les attaques essuyées par les sites web d’entreprises du fait de hackers ne sont pas rares. Le

pirate doit en effet avoir une raison particulière pour s’attaquer à l’entreprise. Si le phénomène

«hacker» est très médiatisé, il n’en reste pas moins que les auteurs des actions les plus

dommageables reste les employés de l’entreprise.

o Vol/altération/modification de données de l’entreprise par l’utilisation du système réseau

par des programmes malveillants (virus).

Ce genre de dommage peut également être causé par tout type de programme malveillant. Si

la menace est quotidienne, le dommage n’est généralement pas très important. La réponse à

apporter est généralement assez simple.

o La négligence des salariés.

Au-delà des risques dus à la malveillance, on retrouve également des risques liés au

comportement négligent des employés. Ce comportement est produit le plus souvent par une

méconnaissance des enjeux de sécurité de l’entreprise pour le salarié ou par des usages de

travail (partage des sessions, des mots de passe, etc.). Cette négligence peut entraîner

vol/altération/modification des données de l’entreprise.

o Déni de service entrainé par la saturation du serveur web.

Utiliser le numérique entraine une utilisation croissante du réseau de l’entreprise, une

sollicitation plus importante des processus numériques mis en place et cela peut entraîner une

saturation. Cette saturation se traduit par un ralentissement (parfois une immobilisation) tel

que l’entreprise n’est plus en mesure de produire, de communiquer ou de fournir son client.

Ce risque de déni de service peut avoir une source interne (ex: saturation du logiciel de

facturation) ou une source externe (ex: problème technique chez le sous-traitant en

cloudcomputing).

CESAG - BIBLIOTHEQUE

Page 39: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 28

1.3.1.1.2 Les risques éthiques et juridiques

o Respect de la vie privée et confidentialité des données.

Lorsqu'une entreprise décide de numériser des données personnelles (relatives à des clients ou

des collaborateurs...), elle a l'obligation de déclarer ces données à la CNIL, ainsi que d'en

assurer la sécurité (contrairement à des données non numériques). L'entreprise fait donc face à

des risques juridiques liés à cette obligation légale de sécurisation de ces données (CIGREF,

2011 : 9).

o Internationalisation

Des informations sur l’entreprise peuvent circuler à l’étranger via le jeu des réglementations

internationales ou être soumises à des réglementations locales. Par exemple, les serveurs de

données situés aux États-Unis sont soumis au PatriotAct, et la NSA a donc le droit de

consulter les données qu'ils contiennent, ce qui présente un risque pour l'entreprise qui

possède de tels serveurs (ou qui soustraite l'hébergement de ses données à un fournisseur dont

les serveurs sont situés sur le sol américain). Plus généralement, la législation concernant

l'échange de données est différente selon les pays, le cryptage peut être autorisé, interdit,

soumis à autorisation... Pour l'entreprise, cela se traduit concrètement par des pertes en cas de

non-respect de la loi locale, ou des problèmes de productivité et d'homogénéisation des

processus dans le cadre d'une activité internationale.

1.3.1.1.3 Les risques marketing

o Risque de réputation.

Un site internet est un outil vulnérable. C’est un outil de communication et de marketing de

premier plan qui peut être la cible de personnes malveillantes à l’égard de l’entreprise. Ceci

est d’autant plus facile lorsque le site propose une plateforme de communication bottom-up.

Que ce soit une campagne organisée ou de réels mécontentements, l’entreprise court un risque

réel en termes d’image en offrant un espace de liberté au cœur de son outil de communication

Ces risques sont accrus par des vulnérabilités qui naissent lors du développement, de

l’implémentation et de l’utilisation des sites web (CIGREF, 2011 : 9).

CESAG - BIBLIOTHEQUE

Page 40: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 29

1.3.3.2. Les vulnérabilités liées aux sites web

La fondation OWASP (Open Web Application Security Project) dans son document « les dix

vulnérabilités de sécurité applicatives web les plus critiques » présente quelques une des

vulnérabilités des applications web notamment des sites web.

Au nombre de ces vulnérabilités nous pouvons citer.

Le cross site Scripting (XSS) :

Les failles XSS se produisent à chaque fois qu'une application prend des données écrites par

l'utilisateur et les envoie à un navigateur web sans avoir au préalable validé ou codé ce

contenu. XSS permet à des attaquants d'exécuter un script dans le navigateur de la victime

afin de détourner des sessions utilisateur, défigurer des sites web, potentiellement introduire

des vers, etc.

Les failles d’injection

Les failles d'injection, en particulier l'injection SQL, sont communes dans les applications

web. L'injection se produit quand des données écrites par l'utilisateur sont envoyées à un

interpréteur en tant qu'élément faisant partie d'une commande ou d'une requête. Les données

hostiles de l'attaquant dupent l'interpréteur afin de l'amener à exécuter des commandes

fortuites ou changer des données.

Violation de gestion d’authentification et de sessions

Les droits d'accès aux comptes et les jetons de session sont souvent incorrectement protégés.

Les attaquants compromettent les mots de passe, les clefs, ou les jetons d'authentification

identités pour s'approprier les identités d'autres utilisateurs.

« Un pirate peut se déguiser et prendre l’identité d’une ressource qui est considérée comme

étant de toute confiance » (ACISSI, 2009 :167).

Stockage cryptographique non sécurisé

Les applications web utilisent rarement correctement les fonctions cryptographiques pour

protéger les données et les droits d'accès. Les attaquants utilisent des données faiblement

CESAG - BIBLIOTHEQUE

Page 41: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 30

protégées pour perpétrer un vol d'identité et d'autres crimes, tels que la fraude à la carte de

crédit.

1.3.3.3. Les mesures sécuritaires liées aux sites web

Il existe plusieurs techniques permettant d’assurer la sécurité des sites web et les

informations numériques qu’ils contiennent. Ces mesures peuvent être classées par catégorie.

1.3.3.3.1 Les mesures de sécurité physique

Ces mesures protègent les supports de stockage et de traitement des données ou informations

de façon physique. Si le site est hébergé sur des serveurs appartenant à l’entreprise elle-même,

la solidité des bâtiments logeant les serveurs est obligatoire. La souscription d’un contrat

d’assurance est importante.

Mais dans le cas ou le site et hébergé sur des serveurs de prestataires de service, il convient de

s’assurer que l’hébergeur garanti un ensemble de mesures de sécurité tant physiques que

logiques.

1.3.3.3.2 Les mesures de sécurité logique

Pour la sécurité logique, les solutions des grands éditeurs sont :

- les codes malveillants : La solution de sécurité est l’usage d’un progiciel antivirus sur

les postes clients ainsi que sur les serveurs, couplé à un dispositif pare-feu ou firewall,

(CLEUET & al, 2008a :41) ;

- les facteurs humains : La sensibilisation et une grande vigilance du personnel

permettent de se prémunir de l’ingénierie sociale et du phising. L’usage de proxy, d’un

pare-feu, de sonde réseaux réduisent l’accès et détecte les intrusions.

- la compromission de l’information (défiguration du site web etc.) : STALLINGS

(2002 :346) souligne que la limitation des accès aux utilisateurs est une mesure contre

l’usurpation d’identité, «les contrôles d’accès utilisateurs limitent l’accessibilité aux

données ou informations et privilégient une catégorie du personnel vue la

confidentialité des données ou de l’information».

Le chiffrement ou cryptographie constitue un autre moyen de sécuriser l’accès logique aux

informations. Grâce à l’usage de ses algorithmes, la cryptographie permet :

CESAG - BIBLIOTHEQUE

Page 42: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 31

- l’authentification ;

- l’intégrité ;

- la non répudiation.

1.3.3.3.3 Le plan de sauvegarde et de secours informatique

Pour BUTEL (2008:22) et LESSAUVEGARDES (2007), le plan de sauvegarde doit

permettre de récupérer, de manière transparente, les informations indispensables au

fonctionnement opérationnel de l’entreprise, voire vital pour sa survie. Ainsi un plan de

sauvegarde est indispensable pour les sites web et en particulier quand l’activité de

l’entreprise dépend entièrement du fonctionnement du site web.

Selon MENTHONNEX, (1995:211), «le plan de secours est l’ensemble des solutions étudiées

par la direction générale de l’entreprise et par la direction informatique pour reprendre

l’activité informatique, après un sinistre total, dans les conditions qui permettent la survie de

l’entreprise».

Ainsi le plan de secours permet à l’entreprise de palier aux attaques par déni de service ayant

pour but de paralyser son activité et paralysant le fonctionnement de son site web.

Conclusion

Ce premier chapitre nous a permis d’avoir des notions élémentaires par rapport aux sites web,

à leur utilisation, développement, leurs importances dans le système d’information de

l’entreprise, mais aussi et surtout à la sécurité qu’ils requièrent.

Il est donc important pour une entreprise qui possède un ou plusieurs sites web de s’assurer de

leurs sécurités, il y va de la survie du système d’information de l’entreprise toute entière car le

site web est « une partie visible de l’iceberg » qu’est le système d’information.

La négligence ou le manque de sécurité au niveau des sites web d’une entreprise peut lui

porter de nombreux préjudices tes que :

- des lourdes pertes financières;

- la perte d’informations sensibles;

- la perte de notoriété

CESAG - BIBLIOTHEQUE

Page 43: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 32

Chapitre 2: PROCESSUS D’AUDIT DES SITES WEB

A la question de savoir ce qu’est l’audit, THORIN (1993) répond que «auditer c’est

inventorier, analyser, tester et préconiser». Cette définition retient notre attention en ce sens

qu’elle présente l’audit comme le fait d’écouter, de décrire afin de déceler les faiblesses et les

forces d’un système à améliorer.

L’audit a par la suite fait l’objet de nombreuses définitions tant de la part des professionnels

du domaine que des divers groupes de travail (association, institut, etc.). C’est ainsi que l’IIA

à définit l’audit comme étant une «activité indépendante et objective qui donne à une

organisation, une assurance sur le degré de maitrise de ses opérations, lui apporte ses conseils

pour l’améliorer, et contribue à créer de la valeur ajoutée ».

Mais c’est l’ISACA, associations à but non lucratif, fédérant les professionnels de la

gouvernance, du management des risques, de l’assurance et de la sécurité de l’information qui

propose la définition de l’audit que nous retiendrons. Selon ISACA, l’audit est un «processus

systématique par lequel une équipe ou une personne qualifiée et indépendante obtient et

évalue objectivement les preuves liées aux assertions sur le processus, dans le but de former

une opinion sur le sujet et faire rapport sur la mesure dans laquelle l’affirmation est conforme

à un ensemble déterminé de normes».

Tout audit qui englobe l’examen et l’évaluation complets ou partiels, des systèmes

automatisés de traitement de l’information, des processus non automatisés qui leurs sont

associées et des interfaces entre eux est selon ISACA un audit des systèmes d’information

(ISACA, 2011: 55).

Ainsi donc l’audit de la sécurité d’un site web rentre dans le champ d’application des audits

des systèmes d’information.

Le présent chapitre a pour but de proposer une méthodologie d’audit des sites web.

2.1. Cadre d’audit de la sécurité d’un site web

Le site web est un composant des systèmes d’information. L’audit de la sécurité d’un site web

entre dans le cadre de l’audit de la sécurité des systèmes d’information. Il existe quelques

travaux relatifs à l’audit des systèmes d’information ceux présentés par (Champlain & al,

CESAG - BIBLIOTHEQUE

Page 44: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 33

1998) et par (Savolainen, 1999).Ces travaux sont caractérisés par une approche générique de

l’audit des SI. La méthode infauditor présenté par AKOKA & al (1996) quant à elle, propose

un ensemble de contrôles internes mis à la disposition du management et des auditeurs. Elle

s’inscrit donc dans la problématique du contrôle interne permettant l’évaluation des risques

afin de les maîtriser.

Mais la démarche la plus répandue dans les entreprises est COBIT (Control OBjectives for

Information and relatedTechnology). Elle est orientée processus d’informatisation et diffusée

par l’ISACA.

2.1.1. Le COBIT

Pour MOISAN & al (2009: 1), CobiT se positionne à la fois comme un référentiel d’audit et

un référentiel de gouvernance des systèmes d’information. Il est conçu, développé et amélioré

en permanence pour fédérer l’ensemble des référentiels en rapport avec les Technologies de

l’information. Nous pouvons en déduire que CobiT est le référentiel par excellence pour

l’audit des systèmes sites web. Son utilisation dans les missions d’audit des SI est quasi

immédiate grâce à sa structure de base, aux nombreuses publications qui viennent détailler

encore les objectifs de contrôle et aux outils proposés sur le marché pour automatiser les

contrôles.

CobiT est utilisé comme une base solide de points de contrôle, il permet de sélectionner les

processus critiques et de les évaluer. Il est parfois nécessaire de le compléter en fonction des

spécificités du sujet. Pour un audit de sécurité d’un site web, il conviendra, par exemple,

d’ajouter les aspects propres aux dispositifs de sécurité existants ; il en sera de même pour

tout ce qui a trait au domaine légal et réglementaire.

Enfin, CobiT permet à des auditeurs non informaticiens de mener de façon professionnelle

des audits des systèmes d’information (CLEUET, 2008a :61).

Pour l’AFAI (2008a), COBIT est un ensemble de ressources contenant toutes les informations

dont les entreprises ont besoin pour adopter un cadre de contrôle et de gouvernance des

systèmes d’information/systèmes informatiques.

CESAG - BIBLIOTHEQUE

Page 45: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 34

2.1.2. Les normes de la famille ISO 2700X

Il convient de rappeler que l’audit de la sécurité d’un site web revêt une spécificité. Il doit

prendre en compte outre le CobiT d’autres normes en matière de sécurité de l’information et

de technologies de l’information, notamment les normes de la famille ISO/CEI 2700x, plus

précisément :

ISO/CEI 27001

La norme ISO 27001 porte sur la politique du management de la sécurité des systèmes

d’information dans les entreprises. Elle définit les contrôles de sécurité dont la mise en œuvre

est exigée, (l’AFAI, 2007 & GUIDE INFORMATIQUE, 2010)

ISO/CEI 27002

La norme propose sur onze chapitres, une liste de 133 mesures de sécurité accompagnées

chacune de points à aborder pour la mise en place d’un SMSI. Parmi ces chapitres, on a par

exemple, la gestion des actifs, la sécurité physique, la sécurité des ressources humaines, la

gestion des incidents, la continuité d’activité, la conformité etc. En résumé, l’ISO/CEI 27002

est un guide de bonnes pratiques, une série de préconisations concrètes, abordant les aspects

tant organisationnels que techniques, qui permettent de mener à bien les différentes actions

dans la mise en place d’un SMSI et même d’un audit de la sécurité.

« Cette norme est essentiellement pragmatique et n’impose pas d’autres formalismes que la

mise en place d’une organisation qui garantit un bon niveau de sécurité au fil du temps. Elle

s’intéresse à l’organisation du personnel ainsi qu’aux problèmes de sécurité physique (accès,

locaux...) », (AFAI, 2007 : 21&23)

ISO/CEI 27005

L’ISO/CEI 27005 sert de référence aux organismes qui cherchent à évaluer une méthode

d’appréciation des risques. Dans le cadre d’un audit de la sécurité d’un site web, il peut servir

de base pour l’évaluation des risques. La norme est constituée de douze chapitres. En

complément de ces chapitres, viennent s’ajouter six annexes proposant des explications plus

détaillées qui présentent des listes de menaces et vulnérabilités.

CESAG - BIBLIOTHEQUE

Page 46: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 35

2.1.3. Les autres normes utiles dans l’audit de la sécurité des sites web

NIST 800-30

Selon wikipédia, le National Institute of Standards and Technology (qu'on pourrait traduire

par « Institut national des normes et de la technologie »), aussi connu sous le sigle NIST, est

une agence du département du commerce des états unis. Son but est de promouvoir

l'économie en développant des technologies, la métrologie et des standards de concert avec

l'industrie.

Ainsi le NIST 800-30 a publié un ensemble de normes en matière de sécurité des

technologies de l’information qui pourra servir de base à la réalisation d’un référentiel

d’audit.

ITIL

Selon wikipédia, ITIL (Information Technology Infrastructure Library) est un ensemble

d'ouvrages recensant les bonnes pratiques du management du système d'information. Rédigée

à l'origine par des experts de l'Office public britannique du Commerce (OGC), la bibliothèque

ITIL a fait intervenir à partir de sa version 3 des experts issus de plusieurs entreprises de

services telles qu'Accenture, Ernst & Young, Hewlett-Packard, etc.

C'est un référentiel très large qui aborde les sujets suivants :

- comment organiser un système d'information ;

- comment améliorer l'efficacité du système d'information ;

- comment réduire les risques ;

- comment augmenter la qualité des services informatiques.

2.2. La démarche de l’audit de la sécurité d’un sites web

La méthodologie d’audit que nous allons adopter dans le cadre de l’audit de la sécurité d’un

site web sera adaptée de la méthodologie d’audit des systèmes d’information tels que prévu

par l’ISACA.

La méthodologie de l’audit est un ensemble de procédures d’audit documentées conçues pour

atteindre les objectifs prévus de l’audit. Ces composantes sont un énoncé de la portée, des

CESAG - BIBLIOTHEQUE

Page 47: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 36

objectifs de l’audit et des programmes d’audit.

Elle se déroule en trois étapes standard à tout audit à savoir :

- la planification de la mission ;

- l’exécution de la mission ;

- la finalisation de la mission.

2.2.1. Planification d’un mission d’audit de la sécurité d’un site web

La première phase d’un audit, quel que soit le domaine, est la planification. C’est la phase au

cours de laquelle l’auditeur des SI définit les objectifs de l’audit, sa portée, établit le

programme d’audit et définit les ressources nécessaires à l’exécution de l’audit de concert

avec l’audité ( ISACA, 2011: 51).

Pour l’ISACA, c’est la norme S5 qui traite de la phase de planification de l’audit des systèmes

d’information.

Selon la norme S5; l’auditeur des SI doit :

- planifier la portée de l’audit des systèmes d’information pour atteindre ses objectifs et

se conformer aux lois et aux normes d’audit professionnel en vigueur ;

- développer et documenter une approche d’audit basée sur le risque ;

- concevoir et documenter un plan d’audit détaillant la nature, les objectifs, le

calendrier, l’étendue et les ressources nécessaires pour cet audit ;

- développer un programme et des procédures d’audit.

2.2.1.1. La portée et les objectifs de l’audit

La portée de l’audit consiste à identifier les systèmes spécifiques, la fonction ou l’unité de

l’organisation à inclure dans l’examen.

Les objectifs de l’audit désignent les buts spécifiques que doit atteindre l’audit. Un audit peut

comporter plusieurs objectifs d’audit, et c’est généralement le cas.

Les objectifs de l’audit sont souvent axés sur la corroboration de l’existence des contrôles

internes, pour minimiser les risques de l’organisation, et sur ce fait qu’ils fonctionnent comme

CESAG - BIBLIOTHEQUE

Page 48: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 37

prévus. Ces objectifs d’audit comprennent l’assurance de la conformité aux exigences

juridiques et réglementaires, ainsi que la confidentialité, l’intégrité, la fiabilité et la

disponibilité de l’information et des ressources des TI dans le cas d’espèce d’un audit de la

sécurité des sites web.

2.2.1.2. Le programme d’audit

Le programme d’audit d’un SI constitue la stratégie et le plan de l’audit (ISACA,2011: 52). Il

définit la portée, les objectifs et les procédures de l’audit utilisée afin d’obtenir des preuves

suffisantes, pertinentes et fiables afin de soutenir les conclusions et opinions de l’audit. Dans

le cadre de l’audit de la sécurité d’un site web, l’auditeur des SI devra comprendre les

procédures de tests et d’évaluation des contrôles liés aux sites web. Ces procédures peuvent

comprendre :

l’utilisation de logiciels d’audit généralisés pour inspecter le contenu des fichiers de

données ;

l’utilisation de logiciels spécialisés pour évaluer la qualité du code de programmation

du site web ;

l’utilisation de fichiers de journalisation ;

l’examen de la documentation ;

l’enquête et l’observation ;

les tests d’intrusion.

L’auditeur des SI doit donc posséder une compréhension suffisante de ces procédures afin de

permettre la planification des procédés de vérification appropriés.

Le tableau suivant illustre le programme d’un audit de la sécurité d’un site web adapté d’une

publication de l’ISACA pour un audit de la sécurité de l’information.

CESAG - BIBLIOTHEQUE

Page 49: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 38

Tableau 1 : Programme d’audit de la sécurité d’un site web

Programme d’audit

COBITCross-reference

COSO

Reference Hyper-link

Issue Cross-référence

Commentaires

Con

trol

Envi

ronm

ent

Ris

kAss

essm

ent

Con

trol A

ctiv

ities

Info

rmat

ion

and

Com

mun

icat

ion

Mon

itorin

g

1 - Planification de l’audit de la sécurité du site web 1.1 Définition des objectifs de l’audit. Des objectifs principaux et spécifiques doivent être définis

1.2 Définition de la portée de l’audit. L'examen doit avoir un périmètre défini. L'examinateur devrait comprendre l'organisation de la sécurité du site web, et préparer un champ d’action, sous réserve d'une évaluation des risques plus tard.

1.3 Identifier et documenter les risques liés à la sécurité du site web. L'approche fondée sur les risques assure l'utilisation des ressources de vérification, de la manière la plus efficace.

1.4 Définition des ressources de la mission d’audit. Les différentes ressources (humaines, matérielles, etc.) doivent être définie

1.5 Définition des livrables. 2 GESTION DE LA SECURITE DE L’INFORMATION DU SITE WEB 2.1 gestion de la sécurité du site web en tant que TI. 2.1.1Gouvernance Contrôle: des processus sont mis en place pour s’assurer un management adéquat de la fonction sécurité de l’information en général et en particulier du site web

2.1.2 Evaluation des risques lié au site web Contrôle: des évaluations des risques sont régulièrement menées pour prioriser les initiatives de sécurité de l'information et assurer leur alignement avec les objectifs

CESAG - BIBLIOTHEQUE

Page 50: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 39

Programme d’audit

COBITCross-reference

COSO

Reference Hyper-link

Issue Cross-référence

Commentaires

Con

trol

Envi

ronm

ent

Ris

kAss

essm

ent

Con

trol A

ctiv

ities

Info

rmat

ion

and

Com

mun

icat

ion

Mon

itorin

g

de gestion des risques de l'entreprise. 2.1.3 Politiques de sécurité La gouvernance a prévu des politiques de sécurité de l’information en général et relative à la sécurité du site web en particulier. Ces politiques sont assurées par des processus et procédures de sécurité visant à respecter le niveau de tolérance des risques.

2.2 Plan de sécurité des TI Traduire les stratégies, les risque et les exigences de conformité en un plan de sécurité global, en tenant compte de l'infrastructure informatique et de la culture de sécurité: S'assurer que le plan est mis en œuvre dans les politiques et procédures de sécurité, et accompagnés par des investissements appropriés dans les services, les ressources humaines, les logiciels et le matériel. Sensibiliser sur les politiques et les procédures pour les intervenants et les usagers sécurité.

2.3 Plan de maintenance des TI Contrôle: Le plan de sécurité est revu régulièrement afin de déterminer qu’il est mis à jour pour refléter les changements dans l'environnement d'exploitation et qu’il prend en compte les nouvelles menaces.

2.4 plan de gestion des incidents 3 GESTION OPERARTIONNELLE DE LA SECURITE DE L’INFORMATION 3.1 gestion des identités Contrôle: Veiller à ce que tous les utilisateurs (internes, externes et temporaires) et de leur activité sur les systèmes informatiques qui on un lien direct avec le site web (applications d’entreprise, de l'environnement informatique. etc.) font l’objet d’une traçabilité.

CESAG - BIBLIOTHEQUE

Page 51: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 40

Programme d’audit

COBITCross-reference

COSO

Reference Hyper-link

Issue Cross-référence

Commentaires

Con

trol

Envi

ronm

ent

Ris

kAss

essm

ent

Con

trol A

ctiv

ities

Info

rmat

ion

and

Com

mun

icat

ion

Mon

itorin

g

4 GESTION DE LA SECURITE DES TI 4.1 Protection des TI. s'assurer que la technologie qui entre en ligne en matière de sécurité est difficile à contourner, et que la documentation est accessible uniquement aux personnes autorisées.

Veiller à la sécurité des TI. s'assurer que les politiques sont respectées afin de garantir la sécurité des TI

4.2 Gestion des clés cryptographiques S’assurer que les politiques et procédures sont en place pour organiser la production, le changement, la révocation, la destruction, la distribution, la certification, le stockage, la saisie, l'utilisation et l'archivage des clés cryptographiques pour assurer la protection des clés contre la modification et la divulgation non autorisée.

4.3 Prévention logiciels malveillants, détection et correction S’assurer que les mesures de prévention, de détection et de correction sont en place (en particulier les correctifs de sécurité mis à jour et le contrôle du virus) à travers l'organisation de protection des systèmes d'information et des technologies de logiciels malveillants (par exemple, les virus, les vers, les logiciels espions, le spam).

4.4 Sécurité des réseaux S’assurer que la gestion de la sécurité de l'information est incluse dans la sélection, la mise en œuvre et à l'approbation des techniques de sécurité et les procédures de gestion connexes (par exemple, les firewalls, les appareils de sécurité, la segmentation du réseau, détection d'intrusion) pour autoriser l'accès et les

CESAG - BIBLIOTHEQUE

Page 52: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 41

Programme d’audit

COBITCross-reference

COSO

Reference Hyper-link

Issue Cross-référence

Commentaires

Con

trol

Envi

ronm

ent

Ris

kAss

essm

ent

Con

trol A

ctiv

ities

Info

rmat

ion

and

Com

mun

icat

ion

Mon

itorin

g

informations de contrôle des flux en provenance des réseaux. 4.5Echange de données sensibles S’assurer que tous les incidents impliquant l'échange de données sensibles sont signalés par le système de déclaration des incidents et s'adressent à l'équipe de CIRT.

Source : Nous même, adapté de ISACA 2010

CESAG - BIBLIOTHEQUE

Page 53: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 42

L’auditeur des SI doit donc posséder une compréhension suffisante de ces procédures afin de

permettre la planification des procédés de vérification appropriés pour l’audit de la sécurité

d’un site web.

2.2.1.3. L’évaluation des risques

La planification d’un audit des SI fait ressortir la notion d’évaluation des risques.

L’évaluation du risque aide l’auditeur à travers une évaluation du contrôle interne à repérer

les risques et les vulnérabilités afin de lui permettre d’orienter ses travaux : il s’agit de

l’approche par les risques.

Pour Bapst & al (2002:31), « l’évaluation est une étape qui a pour objet d’appréhender au

mieux les incertitudes qui concernent une activité. En effet elle vise à effectuer des valeurs

aux risques identifiés en fonction de l’impact et de la probabilité d’occurrence. La probabilité

d’occurrence peut provenir des facteurs internes ou externes alors que l’impact peut être

financier, d’image ou matériel».

La pratique professionnelle adopte désormais une approche par les risques (c’est-à-dire

recenser les risques encourus, préalablement à toute interrogation sur les contrôles effectués)

qui :

o permet d’adopter une démarche progressive, en allant par étapes échelonnées dans le

temps, des risques principaux aux risques les plus fins ;

o s’inscrit dans la logique des activités des métiers

o prend en compte les nouveaux risques avant toute investigation.

Dans le cas d’un audit de la sécurité d’un site web, nous privilégierons l’approche par les

risques car cette approche aide efficacement l’auditeur en déterminant la nature et la portée

des tests.

La figure ci-dessous présente la démarche de l’audit des systèmes d’information axée sur les

risques.

CESAG - BIBLIOTHEQUE

Page 54: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 43

Figure 4 : Démarche axée sur les risques

Sources : ISACA 2011

Il existe plusieurs méthodes d’évaluation des risques liés aux systèmes d’information. Nous

pouvons citer entre autre la méthode MEHARI, la méthode EBIOS, la méthode OCTAVE,

Mais c’est le cadre Risk IT de l’ISACA qui retiendra notre attention pour l’audit de la sécurité

d’un site web.

CESAG - BIBLIOTHEQUE

Page 55: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 44

Le cadre Risk IT de l’ISACA est basé sur un ensemble de principes directeurs et donne des

exemples de processus administratifs et de lignes directrices de gestion qui se conforment à

ces principes,

Le cadre Risk IT explique le risque de TI et permet aux utilisateurs :

- d’intégrer la gestion du risque de TI à la gestion de l’ensemble des risques d’entreprise

pour l’organisation ;

- de prendre des décisions sur la portée du risque ainsi que l’appétit pour le risque et la

tolérance au risque de l’entreprise ;

- de comprendre comment réagir au risque

La figure ci-dessous résume le processus d’évaluation du risque. CESAG - BIBLIOTHEQUE

Page 56: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 45

Figure 5 : Résumé du processus d’évaluation des risques

Source : ISACA 2011

Du point de vue de l’auditeur, l’analyse des risques a plus d’un objectif :

- elle lui permet de repérer les risques et les menaces pour un environnement de TI, les

systèmes d’information qui auraient besoin d’être traités par l’administration et les

contrôles internes spécifiques aux systèmes d’information, En fonction du degré de

risques, elle aide l’auditeur à sélectionner les zones à étudier ;

- elle l’aide à évaluer les mesures de contrôle lors de la planification de l’audit ;

- elle l’aide à prendre des décisions en rapport avec l’audit fondé sur le risque.

CESAG - BIBLIOTHEQUE

Page 57: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 46

2.2.2. Exécution de la mission d’audit de la sécurité d’un site web

La phase de planification de l’audit a pour but de préparer et de facilité la réalisation de

l’audit. Ainsi, au cours de la phase de réalisation de l’audit, l’auditeur met en œuvre les

processus d’audit précédemment planifiés. Il s’agit entre autre de l’examen des zones de

risque identifiés au cours de la planification, à travers l’administration de questionnaires, la

mise en place de tests, et un récapitulatif des problèmes identifiés au travers de la FRAP

(Feuille de Révélation et d’Analyse des Problèmes).

Pour LY (2005 :72) la phase de réalisation de la mission est une phase primordiale qui a pour

objectif de fournir aux auditeurs des preuves concernant les points faibles présumés et surtout

les dysfonctionnements de l’organisation ou des systèmes visités pouvant ainsi mesurer

l’impact des conséquences.

La FRAP est un document normalisé qui va conduire et structurer le raisonnement de

l'auditeur jusqu'à la formulation de la recommandation. Les FRAP serviront également de

base pour la rédaction du rapport.

Il convient de rappeler que les constats et affirmations de l’auditeur du SI doivent être basés

sur des preuves.

2.2.2.1. La preuve d’audit

La preuve est constituée de n’importe quel renseignement utilisé par l’auditeur des SI pour

déterminer si l’entité ou les données vérifiées respecte les critères ou les objectifs établis. La

preuve soutient les conclusions de l’audit. Les conclusions de l’auditeur doivent être basées

sur des preuves suffisantes, pertinentes, et probantes. L’auditeur des SI doit tenir compte du

type de preuve d’audit à recueillir, de leur utilisation au titre de preuve d’audit, répondant aux

objectifs de l’audit, et de leurs niveaux variables de fiabilité (ISACA, 2011: 67).

Pour collecter les preuves, l’auditeur des SI est amené souvent à exécuter des tests de

conformité et des tests de corroboration.

CESAG - BIBLIOTHEQUE

Page 58: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 47

2.2.2.2. Les tests de conformité

Les tests de conformité consistent à recueillir des preuves dans le but de tester la conformité

d’une organisation avec les procédures de contrôle. L'auditeur doit tester la procédure du

début jusqu'à la fin ou du «berceau au tombeau» (MIKOL, 1999: 20).

Un test de conformité détermine si les contrôles sont appliqués d’une façon qui respecte les

politiques et les procédures de la direction. L’objectif général d’un test de conformité est de

fournir aux auditeurs des SI l’assurance raisonnable que le contrôle particulier sur lequel ils

entendent se fier fonctionne comme ils l’avaient observé lors de l’évaluation préliminaire.

2.2.2.3. Les tests de corroboration

Les tests de corroboration consistent à recueillir les preuves pour évaluer l’intégrité des

transactions, de données ou d’autre renseignements.

Un test de corroboration permet de s’assurer de l’intégrité du traitement réellement effectué.

2.2.2.4. L’évaluation des forces et faiblesses de l’audit

L’auditeur des SI examine les preuves recueillies pendant l’audit pour déterminer si les

opérations examinées sont bien contrôlées et efficaces. Il s’agit aussi d’un domaine qui fait

appel au jugement et à l’expérience de l’auditeur du SI. L’auditeur des SI doit évaluer les

forces et faiblesses de contrôles vérifiés et ensuite il doit déterminer s’ils atteignent

efficacement les objectifs de contrôle établis dans le cadre du processus de planification de

l’audit (ISACA, 2011: 65).

L’évaluation des forces et faiblesses de l’audit fait intervenir le jugement de l’auditeur d’ou le

concept d’importance relative. L’auditeur des SI doit donc utiliser son jugement lorsque vient

le temps de choisir quelles constatations présenter aux divers niveaux de direction.

2.2.3. Finalisation d’une mission d’audit de la sécurité d’un site web

Au terme des travaux d’audit, l’auditeur des SI doit rendre compte à travers un rapport

présentant les conclusions de l’audit.

CESAG - BIBLIOTHEQUE

Page 59: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 48

C’est la norme S7 et la directive G20 de l’ISACA qui définit les normes en matière de

rédaction de rapport d’audit des systèmes d’information.

Un rapport d’audit des SI n’a pas de format précis ; ce sont les politiques et procédures

d’audit de l’organisation qui en définiront le format général. Habituellement, la structure et le

contenu des rapports d’audit contiennent les éléments suivants :

- une introduction qui comprend la description des objectifs de l’audit, ses limites et sa

portée, la période couverte par l’audit et une déclaration générale relative à la nature et

à l’étendue des procédures d’audit et des procédés examinés au cours de l’audit.

Ensuite suivra une déclaration faisant état de la méthodologie et des lignes directrices

de l’audit des SI ;

- l’inscription des conclusions dans des sections séparée est recommandée Elles peuvent

être regroupées selon leurs importances ou les destinataires visés ;

- les conclusions générales de l’auditeur et son opinion quant à la pertinence des

contrôles et des procédures examinées en raison des failles détectées ;

- les restrictions et réserves de l’auditeur des SI concernant l’audit : il peut être fait état

dans cette section que les contrôles ou procédures examinées ont été jugées adéquates

ou non. Le reste du rapport d’audit doit appuyer cette conclusion, et le preuve globale

recueillie durant l’audit doit appuyer d’avantage les conclusions de l’audit ;

- conclusion détaillée de l’audit et de recommandations : l’auditeur des SI décidera

d’inclure ou non dans son rapport des résultats précis d’un rapport d’audit. Sa décision

sera prise en fonction de l’importance des conclusions et du destinataire de rapport ;

- diverses conclusions dont certaines peuvent être mineures. L’auditeur peut choisir de

présenter des résultats mineurs à la direction dans un format alternatif tel qu’une lettre

à la direction.

2.3. L’audit de la sécurité des sites web aux moyens des Technique d’Audit Assisté

par Ordinateur (TAAO)

L’environnement informatique actuel, de nos jours, présente un défi de taille pour l’auditeur

des SI qui doit recueillir des preuves suffisantes, pertinentes et utiles, puisque de telles

preuves se trouvent sur des supports numériques.

CESAG - BIBLIOTHEQUE

Page 60: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 49

La directive G3 de l’ISACA décrit un ensemble de recommandations en matière d’utilisation

des TAAO (ISACA 2011:72).

2.3.1. Utilité des TAAO dans l’audit de la sécurité d’un site web

Pour recueillir des renseignements dans ces environnements, les techniques d’audit assisté par

ordinateur sont des outils importants pour l’auditeur des SI.

Les TAAO sont des outils importants pour recueillir et analyser les renseignements des

systèmes possédant des environnements matériels et logiciels, des structures de données, des

structures d’enregistrement ou des fonctions de traitement qui sont différentes. Ils fournissent

un moyen d’accéder aux données et de les analyser au regard d’un objectif d’audit

prédéterminé, et de faire rapport des constatations de l’audit en mettant l’accent sur la fiabilité

des enregistrements produits et gérés par le système. La fiabilité de la source d’information

utilisée permet de rassurer quant aux constatations énoncées.

Dans le cadre de l’audit de la sécurité d’un site web par exemple, étant donné que nous ne

sommes pas des professionnels de l’informatique, les TAAO nous permettrons d’analyser par

exemple la structure du code du site web, le respect des réglementations en matière de

programmation de site web, la sécurisation des accès administrateur, etc ; tout ça sans avoir à

lire les lignes de code une à une.

2.3.2. Les méthodes d’audit des sites web au moyen des TAAO

Les techniques d’audit assisté par ordinateur, comprennent plusieurs types d’outils et de

techniques comme les logiciels généraux d’audit, les logiciels utilitaires les logiciels de

débogage et de balayage, les données de test, les outils de traçage logique et de cartographie

de programme applicatifs, et les systèmes experts (ISACA, 2011: 72).

Un logiciel général d’audit est un logiciel standard qui a la capacité de lire et d’accéder

directement aux données provenant des bases de données sur les différentes plateformes. Les

logiciels généraux d’audit fournissent aux auditeurs des SI un moyen d’accéder aux données

de façon indépendante aux fins d’analyse, et la capacité d’utiliser des logiciels de résolution

de problèmes de haut niveau pour appeler les fonctions devant être effectuées sur les fichiers

de données. Les caractéristiques offertes comprennent les calculs mathématiques, la

stratification, l’analyse statistique, les contrôles de duplication et les recalcules.

CESAG - BIBLIOTHEQUE

Page 61: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 50

L’examen d’un système d’application fourni de l’information sur le contrôle interne du

système.

Ces outils et techniques peuvent être utilisés dans le cadre de l’exécution de nombreuses

procédures d’audit :

- tests de conformité des contrôles généraux des systèmes d’information ;

- évaluation de la vulnérabilité des réseaux et des systèmes d’exploitation ;

- tests de pénétration ;

- tests de sécurité des applications et balayage de sécurité des codes sources.

Dans le cas de l’audit d’un site web ou de n’importe quel audit la possibilité est offerte dans le

choix d’une large gamme de logiciels open-source.

Conclusion

L’audit de la sécurité d’un site web est un audit des systèmes d’information. Dans ce sens, il

doit respecter une méthodologie définie par l’ISACA. L’ISACA impose l’approche par les

risques pour tout audit de la sécurité des systèmes d’information. La construction du

référentiel d’audit est réalisée grâce à un ensemble de référentiels et normes tels que le

COBIT, les normes de la famille ISO 2700X etc. L’apport de ces référentiels et normes et

d’une importance capitale pour prendre des mesures correctives et se fixer des objectifs en

matière de sécurité informatique afin d’aboutir à une certification du degré d’assurance de

sécurité acceptable. Nous utiliserons donc la méthodologie de l’audit des SI développée par

l’ISACA pour réaliser notre étude.

CESAG - BIBLIOTHEQUE

Page 62: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 51

Chapitre 3 : METHODOLOGIE DE L’ETUDE

La méthodologie de l’étude permettra de mettre en place une méthode, un cheminement bien

défini afin d’atteindre le but de notre étude à travers un modèle d’analyse.

Les deux précédents chapitres nous ont permis d’une part d’appréhender les notions

théoriques relatives aux sites web, leur sécurité et leur importance dans le système

d’information de l’entreprise et d’autre part de nous familiariser avec la méthodologie d’audit

des systèmes d’information de l’ISACA.

A présent, il convient donc de présenter une méthodologie de recherche qui s’apparente à une

synthèse de la démarche à suivre pour l’audit de la sécurité d’un site web.

Ce chapitre traitera d’abord du modèle d’analyse, ensuite les outils de collecte des données

que nous utiliserons et enfin les méthodes d’analyse de ces données.

3.1. Le modèle d’analyse

Le modèle d’analyse, résultat de la revue de littérature est la modélisation des principales

étapes que nous allons aborder dans le cadre de l’audit de la sécurité d’un site web.

Le présent modèle d’analyse (voir figure n°6) met en relief les trois phases immuables à tout

audit, la planification, la réalisation et la conclusion.

3.1.1. Planification de l’audit

Cette phase nous permettra de prendre connaissance du contexte général de l’entreprise, son

organisation interne, sa structure et sa culture et du contrôle interne.

C’est au cours de cette phase que nous allons proposer le programme d’audit qui nous servira

de cadre afin de mener à bien la mission d’audit.

CESAG - BIBLIOTHEQUE

Page 63: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 52

Figure 6 : Modèle d’analyse

Méthodologie Composantes Etapes Outils/techniques

Prép

arat

ion

de m

issi

on

d’au

dit (

phas

e d’

étud

e)

Prise de connaissance

générale

Prise de connaissance

des processus de

gestion de la sécurité

du site web

Analyse documentaire

Décomposition en objets

auditables

Prise de connaissances des

risques liés à l’activité

Analyse des risques

apparentes et évaluation de

leur impact

− Revue des

documents

− Observation

physique

Exé

cutio

n de

la m

issi

on (r

éalis

atio

n de

la m

issi

on)

Appréciation du

contrôle interne

Prise de connaissance des

processus

Tests de conformités

− Analyse

organigramme

− Analyse manuel

de procédure

− Question de

contrôle interne

− Interview

− TAAO

Analyse des risques Identification des risques

Evaluation des risques

Hiérarchisation des risques

Traitement des risques

− Tests de

conformité

− Tableau des

risques

− Observation

− Echantillonnage

Prod

uctio

n

des r

appo

rts Synthèse Evaluation des constats

effectués sur les risques

analysés

Recommandation

− Feuille de Révélation et d’Analyse de Problème (FRAP)

Source : Nous même

CESAG - BIBLIOTHEQUE

Page 64: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 53

3.1.2. Réalisation de l’audit

Au cours de la phase de réalisation de la mission nous allons évaluer le contrôle interne,

identifer les risques liés à la sécurité du site web au travers de constats, faire ressortir les

forces et faiblesses de l’audit. Ces constats nous permettrons d’identifier des risques associés

qui feront l’objet d’analyse afin de formuler des recommandations.

3.1.3. Conclusion de l’audit

Au cours de cette phase, il s’agira pour nous de formuler des recommandations à l’endroit des

différents acteurs de la sécurité du site web afin d’améliorer la gestion de la sécurité de

l’information en général et du site web en particulier.

3.2. Les outils de collecte et d’analyse de données

La réalisation des aspects pratiques de notre étude nous conduira à une collecte de données et

d’informations. Cette collecte se fera grâce aux techniques ci-après :

3.2.1. La revue documentaire

Nous avons consulté la littérature ayant trait à la programmation des sites web, à la gestion

des sites web, à la gestion des systèmes d’information, à la sécurité des systèmes

d’information et à l’audit des systèmes d’information. Au niveau de l’entreprise, nous

consulterons la documentation relative à l’historique, et les documents relatifs à la gestion de

la sécurité informatique (politique de sécurité, plan des TI)

3.2.2. Le questionnaire d’évaluation du contrôle interne

Le QCI est l’outil indispensable pour concrétiser la phase de réalisation de l’Audit. C’est une

grille d’analyse dont la finalité est de permettre à l’auditeur d’apprécier le niveau et

d’apporter un diagnostic sur le dispositif de Contrôle Interne, de l’entité ou de la fonction

auditée. Ce document commence à s’élaborer dès le découpage des tâches élémentaires pour

la mise en place de l’audit.

Ces questionnaires permettent à l’auditeur de réaliser sur chacun des points soumis à son

jugement critique, une observation qui soit la plus complète possible. Pour ce faire, le QCI

devra se composer de bonnes questions à poser pour réaliser cette observation complète.

CESAG - BIBLIOTHEQUE

Page 65: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 54

Ce questionnaire va donc être le guide de l’auditeur pour que celui-ci puisse réaliser son

programme. C’est un véritable outil méthodologique permettant d’identifier :

o les contrôles internes mis en place pour se protéger contre les erreurs potentielles,

o les objectifs d’audit pour vérifier qu’ils sont bien respectés.

Il faut tout d’abord savoir que ces QCI ne peuvent être généraux, ils sont nécessairement

spécifiques. En effet, ce QCI va permettre de passer du général au particulier et d’identifier

pour chaque fonction quels sont les dispositifs de contrôle essentiels.

3.2.3. L’interview

L’interview consiste à avoir un entretien avec un interlocuteur en vue de l’interroger sur ses

actes, ses idées, etc. et de divulguer la teneur de l’entretien. Selon Renard (2010 : 336),

« l’interview n’est pas une conversation, ni un interrogatoire dans lequel le rapport serait celui

d’un accusé face à son accusateur. Tout au contraire l’atmosphère d’une interview d’audit

interne doit être une atmosphère de collaboration, il doit être coopératif ». Elle consiste en

pratique lors d’une mission d’audit à se faire décrire la procédure en vigueur à l’aide

d’entretien. Cette description narrative est appelée aussi un mémorandum RENARD

(1998 :71). Il s’agit d’une technique de recueil d’informations. Cependant les personnes

consternées par cette interview sont des dirigeants et d’autres membres qui interviennent dans

la gestion de la sécurité du site web. L’interview se fait à l’aide de questionnaire type

d’examen, appelé guide d’entretien. Le planning des interviews est établi à la réunion

d’ouverture et validés par les audités.

3.2.4. Les tests de conformité

Les tests de conformité ou tests de vérification de l'existence ou tests sur cycle du processus

complets ou encore tests structurels, ont pour objectif de vérifier que la description de la

procédure est bien conforme à la réalité. L'auditeur doit tester la procédure du début jusqu'à la

fin ou du «berceau au tombeau» (MIKOL, 1999: 20), pour être sûr d’une opération bien

« bouclée ».

CESAG - BIBLIOTHEQUE

Page 66: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 55

Comme technique utilisée, l'auditeur peut:

o faire une confirmation verbale. Elle consiste à contacter les différents exécutants qui

interviennent dans le circuit contrôlé pour d'une part, se faire confirmer le déroulement

et d'autre part, de vérifier l'existence des éléments matériels tels que visas, tampons,

signatures ;

o faire une étude de quelques transactions. Cette étude consiste à suivre quelques

transactions pour apprécier la réalité du système (documents utilisés, classements faits,

contrôles décrits etc.)

3.2.5. La feuille de révélation et d’analyse des problèmes (FRAP)

La FRAP est le papier de travail synthétisé par l’auditeur qui présente et documente chaque

dysfonctionnement (Schick & al. 2010 :125).

Elle est élaborée en tenant compte du tableau des risques. Elle facilite la communication avec

l’audité concerné. « La méthodologie employée consiste à étudier le fonctionnement réel des

opérations ; répéter les constats significatifs, déterminer leurs causes, démontrer les

conséquences et proposer des moyens d’amélioration » (Schick & al. 2010 : 125).

3.2.6. Les logiciels d’audit (TAAO)

Il s’agit de faire recours à des logiciels spécialisés dans l’audit des systèmes informatisés, et à

des utilitaires qui permettent de récolter des informations utiles sur le paramétrage des sites

web et sur l’ensemble de leurs traitements informatisés. L’auditeur non informaticiens fait

recours aux TAAO pour émettre une opinion fiable sur des aspects techniques dont il ne

maitrise pas forcément la technicité.

Ils sont utilisés généralement au cours des audits des systèmes informatisés (application

informatique, sites web etc.).

3.2.7. Le tableau de risque

C’est le tableau qui permet d’évaluer le risque après son identification, tout en mesurant son

impact. Les étapes de conception du tableau des risques sont les suivantes :

CESAG - BIBLIOTHEQUE

Page 67: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 56

o découper le processus en tâches élémentaires ;

o identifier le ou les risques attachés à chaque tâches et les évaluer (en tenant compte

des objectifs) ;

o identifier les dispositifs, c'est-à-dire chercher la réponse à la question ; constater le

respect des normes du dispositif.

3.2.8. L’observation physique

L’observation physique est la constatation de la réalité de l’exercice et du fonctionnement

d’un phénomène. Pour une mission d’audit nous allons procéder à l’observation physique de

quelques-unes de ces personnes qui interviennent dans le processus de gestion de la sécurité

du site web, dans l’exécution de leurs tâches pour quelques fois corroborer l’exactitude des

propos recueillis. Dans le cadre de ce travail, nous effectuerons une observation directe.

Il s’agira pour nous d’observer :

o Comment s’effectue l’administration du site ;

o le respect de la limitation du nombre de poste réservé à l’administration du site web ;

Outre les documents, la grille d’analyse des tâches nous sera utile pour observer les

différentes tâches effectuées par les opérationnels.

Conclusion :

Le présent chapitre nous a permis de donner un aperçu global de la manière dont nous allons

dérouler l’audit de la sécurité du site web en étude.

A travers le model d’analyse, il a été présenté les étapes que nous allons suivre pour atteindre

les objectifs de notre étude. Nous avons présenté les outils et méthodes qui nous permettrons

de réaliser les différents travaux nécessaires à la réalisation de l’étude.

CESAG - BIBLIOTHEQUE

Page 68: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 57

Somme toute, le premier chapitre nous a permis de nous familiariser avec le concept des sites

web, et le second de présenter une méthodologie d’approche pour l’audit de la sécurité d’un

site web en nous basant sur les écrits, les normes de l’ISACA en matière d’audit des systèmes

d’information. Cette revue des différents concepts théoriques nous a ensuite permis de

dégager une méthodologie de l’étude qui a fait l’objet d’une présentation dans le 3ème chapitre.

Le modèle d’analyse représenté dans le chapitre 3 sera donc le canevas dont nous nous

inspirerons pour mener à bien notre étude dans sa partie pratique.

CESAG - BIBLIOTHEQUE

Page 69: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

DEUXIEME PARTIE :

CADRE PRATIQUE DE L’ETUDE

CESAG - BIBLIOTHEQUE

Page 70: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 59

La première partie nous a éclairé sur les concepts théoriques en matière de sécurité des sites

web et de méthodologie d’audit des sites web.

Le cadre théorique ainsi achevé, nous allons aborder dans cette deuxième partie, le cadre

pratique qui sera consacré à l’audit du site web de la société TALISMEAS.

Cette partie sera pour nous l’occasion de mettre en pratique les aspects théoriques développés

dans la première partie. Elle consistera dans un premier temps à présenter la société

TALISMEAS ; le site web qui fera l’objet de l’audit ; ensuite nous allons mettre en pratique

l’audit de la sécurité dudit site web et formulerons des recommandations pour l’amélioration

de la sécurité de ce dernier. CESAG - BIBLIOTHEQUE

Page 71: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 60

Chapitre 4 : PRESENTATION DE TALISMEAS

La présentation de la structure d’accueil est un socle pour le bon déroulement de notre étude.

Ce chapitre sera consacré à la présentation de TALISMEAS à travers son organisation

générale, ses activités et sa mission.

4.1. Présentation générale de TALISMEAS

Société de conseil et d’ingénierie en système d’information, TALISMEAS est un cabinet

constitué d’experts spécialisés dans leurs domaines et qui accompagnent les entreprises dans

les domaines des systèmes d’information, du web marketing et de la gestion des projets.

Cette présentation générale de TALISMEAS se fera à travers la présentation de ses missions

et de ses activités.

4.1.1. Missions

TALISMEAS est une société qui se positionne dans le domaine des nouvelles technologies.

Elle se veut être un instigateur de prise de conscience de la jeunesse africaine sur les

opportunités du secteur des nouvelles technologies, et un appui pour l’innovation des

entreprises africaines en matière de solutions informatiques. Ainsi TALISMEAS a pour

mission de contribuer au développement du continent africain par la mise en place de start-up

dans le domaine des nouvelles technologies et d’appuyer les entreprises Africaines par la

mise en place de solutions informatiques sur mesure et conçus par les africains et pour les

africains.

4.1.2. Activités

TALISMEAS est un cabinet qui intervient dans les domaines des systèmes d’information, le

Web, le webmarketing, et la gestion des projets. Fort de ses domaines d’activité, le cabinet

TALISMEAS mène les activités suivantes :

Intégration de solutions open source

La société TALISMEAS propose à ses clients l’intégration de logiciels open source en

intégrant des nouveaux modules et en les personnalisant pour les adapter aux besoins.

CESAG - BIBLIOTHEQUE

Page 72: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 61

Intégration d’ERP

Avec une expertise dans le domaine des ERP open source, TALISMEAS propose un service

d’intégration et d’adaptation d’ERP sur mesure aux entreprises, et les conseilles dans la

formation des utilisateurs et la gestion du changement.

Développement web

La société TALISMEAS dispose d’un savoir-faire reconnu en matière de développement de

sites web statiques et dynamiques pour le compte des entreprises et des particuliers.

Elle propose aussi des services de développement d’applications web pour la gestion

automatisée des informations aux entreprises.

Référencement

TALISMEAS propose une expertise en web analytique pour le référencement naturel ou

payant des sites web d’entreprise et de particulier auprès des différents moteurs de recherche

mondialement reconnus.

Développement d’applications mobile

Le secteur des TIC est très développé au Sénégal. Un boom de l’usage des Smartphones et

tablettes a fait naitre le besoin de disposer d’applications utilitaires pouvant assister les

responsables d’entreprise et les particuliers dans leurs tâches quotidiennes. TALISMEAS

propose en ce sens une expertise en matière de développement d’applications mobile pour

tout usage et sur mesure.

Webmarketing

Un service de conseils sur le webmarketing est proposé par TALISMEAS dans la mise en

place de site web e-commerce et pour une amélioration de la visibilité des entreprises sur le

net.

Infographie

TALISMEAS propose à ses clients des services de design et d’imagerie.

CESAG - BIBLIOTHEQUE

Page 73: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 62

Gestion de projets

TALISMEAS propose des services de gestion de projets en tous genres, de suivis et

évaluation des projets qui lui sont confiés.

4.2. Structure organisationnelle de TALISMEAS

TALISMEAS est une SARL avec un capital social de 1000000 de francs CFA. Fondée en

2010, la société a accompagné plusieurs entreprises du Sénégal dans la conception et la mise

en ligne de sites web e-marketing, l’intégration d’ERP open source et dans la formation de

cadres et informaticiens d’entreprise.

La structure organisationnelle de TALISMEAS se définit comme suit :

La Direction générale

Nommé et actuellement occupé par le fondateur de TALISMEAS, Le Directeur général a

pour attributions :

- de définir les orientations stratégiques et managériales de la société ;

- de superviser et de coordonner l’ensemble des activités de la société ;

- de prendre la décision d’accepter ou de refuser les missions confiées à la société ;

- de représenter la société et d’agir en son nom devant toute juridiction.

La direction technique

Elle est chargée de mettre à exécution tous les projets à caractère techniques comme les

services de développement web, d’intégration d’ERP etc.

La direction technique est composée de développeurs web et de développeurs d’applications

mobiles, et est dirigée par un responsable technique qui a pour mission de:

- coordonner toutes les activités à caractère technique ;

- coacher les équipes de développeur ;

- assister et suivre le développement des projets en cours ;

- administrer le site web.

CESAG - BIBLIOTHEQUE

Page 74: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 63

Le responsable technique est l’administrateur principal du site web de la structure. Il a à

charge de diligenter toutes les mesures de sécurités afin de garantir la sécurité du site web de

l’entreprise.

Le service stratégie et marketing

Il est chargé de définir la politique marketing de la société. Il est entre autre en chargé de :

- coordonner les projets webmarketing pour les clients de TALISMEAS ;

- coordonner les projets de formation à l’endroit des clients de TALISMEAS.

Le service studio et imagerie

Il est en charge de la gestion des activités d’infographie et d’évènementiel confiées à

TALISMEAS.

Le service commercial

Il est en charge de la commercialisation des services proposés par TALISMEAS. Il est chargé

de :

- prospecter les clients ;

- faire connaitre les produits de la société ;

- étudier de nouveaux marchés.

Cette structure organisationnelle est présentée en annexe 2 à travers l’organigramme général

de TALISMEAS.

Conclusion :

Nous venons de faire une brève présentation de TALISMEAS, de ses activités, mission et de

sa structure organisationnelle.

Cette présentation terminée, nous allons effectuer une description du site web, objet de notre

étude et des mesures de sécurités liées.

CESAG - BIBLIOTHEQUE

Page 75: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 64

Chapitre 5 : DESCRIPTION DU SITE WEB DE TALISMEAS ET DES MESURES

DE SECURITÉ LIEES

Dans ce chapitre nous présenterons le site web en étude et nous identifierons les différents

dispositifs de sécurité que nous avons pu identifier à TALISMEAS tout en suivant les

objectifs de notre recherche.

5.1 Présentation générale du site web

Le site web de TALISMEAS est un site dynamique. La présentation du présent site est basée

sur des informations recueillies suite à l’administration d’un questionnaire de prise de

connaissance au directeur technique, en charge de l’administration du site (voir annexe 3)

suivis d’entretiens.

La présentation générale se fera autour de critères tels que :

− les objectifs du site ;

− la navigation ;

− la structure ;

− la technologie utilisée ;

− l’hébergeur.

5.1.1 Objectifs du site

La connaissance des objectifs du site web de TALISMEAS est primordiale dans l’étude que

nous menons. En effet elle nous permettra de nous enquérir de la stratégie que sous-tend le

site web et nous permettra de formuler des recommandations en adéquation avec les moyens

et les objectifs de la direction générale. Le site web de TALISMEAS (http://

www.talismeas.com) a pour objectif de:

− présenter l’entreprise, sont commerce, son savoir-faire et son organisation ;

− faire connaître TALISMEAS au-delà des frontières ;

− renforcer son image de marque ;

− informer les clients, partenaires, adhérents, fournisseurs, investisseurs, à l’occasion

d’un événement particulier ;

− se positionner vis à vis de la concurrence ;

CESAG - BIBLIOTHEQUE

Page 76: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 65

− approcher les clients potentiels ;

− recruter.

5.1.2 La navigation

Le site web est composé de zones de navigation, c'est-à-dire d'emplacements spécifiques dont

le but est de proposer un mode de navigation. Le mode de navigation privilégié est la visite

guidée. Dans ce sens, le site présente les menus suivants :

Accueil : il s’agit d’une page d’accueil qui indique aux visiteurs qu’il s’agit du site de

TALISMEAS.

Qui sommes-nous ? : il s’agit d’une page de présentation sommaire de l’entreprise.

Références : il s’agit d’une page qui montre les clients avec lesquels TALISMEAS a

travaillé et qui ont été satisfaits des différentes prestations.

Services : il s’agit d’une page qui présente tous les services proposés par

TALISMEAS.

Produits : cette page présente les produits de TALISMEAS, notamment ses start-up et

sa boutique en ligne.

Equipe : la page présente les différents membres de l’équipe de TALISMEAS.

Blog : c’est un blog dédié aux technologies de l’information et qui est animé par le

directeur technique de TALISMEAS.

Contact : une page est entièrement dédiée aux contacts de la société avec la possibilité

de laisser des messages écrit ou vocaux.

5.1.3 La structure du site

Il s’agira de présenter l’organisation générale du site web.

5.1.3.1. L’écran d’introduction

L’écran d’introduction du site présente l’activité au cœur de l’entreprise, le web. La capture

d’écran ci- après illustre la page d’accueil du site web.

CESAG - BIBLIOTHEQUE

Page 77: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 66

Figure 7 : Page d’accueil du site web

Source : Nous Même capture d’écran de la page d’accueil du site web de TALISEMAS

5.1.3.2. Le type de pages

Le site arbore des pages statiques représentant chacune un des menus de présentation du site.

Les pages sont ensuite mises à jour en fonction de l’évolution de l’activité de l’entreprise. Le

menu blog du site dirige le visiteur du site vers une page dynamique. Il s’agit d’un blog

CESAG - BIBLIOTHEQUE

Page 78: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 67

spécialisé dans les techniques informatiques. Il est administré par le directeur technique de

TALISMEAS.

5.1.3.3. Les composantes applicatifs

Au site web de TALISMEAS, il a été greffé un certains nombres de système applicatifs.

Ainsi, le site web dispose d’un ensemble de composants applicatifs que sont :

o Feng office ;

Feng Office (anciennement opengoo) est un outil de collaboration en ligne. Mais on peut très

bien s’en servir pour autre chose que pour la collaboration. Il permet de se passer d’un certain

nombre de services de Google (par exemple), pour rapatrier ses données sur son propre

serveur, ce qui nous parait important. L’outil est di

langage utilisé côté serveur est le PHP. Côté client, c’est énormément de JavaScript.

L’installation est tout à fait triviale : un serveur apache, un serveur MySQL et PHP, il n’y a

qu’à pointer sur une URL et suivre les instructions.

A TALISMEAS, Feng office est utilisé pour la gestion et le suivi des projets.

o Dokuwiki ;

DokuWiki est un moteur de wiki libre sous licence GNU GPL conforme aux standards,

simple à utiliser, dont le but principal est de créer des documentations de toute sorte. Ce

logiciel est développé en PHP par Andreas Gohr. Il est destiné aux équipes de développement,

aux travaux de groupe et aux petites entreprises. Il a une syntaxe simple qui assure la lisibilité

des fichiers de données en dehors du Wiki, et facilite la création de textes structurés. Toutes

les données sont stockées dans des fichiers texte, et donc aucune base de données n’est

nécessaire.

Sa facilité de maintenance, de sauvegarde et d'intégration, en fait l'un des favoris des

administrateurs. Le contrôle d'accès et les connecteurs d'authentification intégrés rendent

DokuWiki particulièrement utile dans le contexte de l'entreprise et le grand nombre de

greffons réalisés par sa communauté dynamique offre un large éventail de cas d'utilisations,

bien au-delà d'un wiki traditionnel.

A TALISMEAS, Feng office est utilisé :

CESAG - BIBLIOTHEQUE

Page 79: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 68

− pour partager des informations ;

− maintenir les connaissances du personnel à jour ;

− faire de la veille technologique.

o WordPress CMS

WordPress est un système de gestion de contenu libre écrit en PHP, reposant sur une base de

données MySQL, et distribué par Automattic. WordPress est surtout utilisé comme moteur de

blog, mais ses fonctionnalités lui permettent également de gérer n'importe quel site web. Il est

distribué selon les termes de la GNU GPL. Le logiciel est aussi à l'origine du service

WordPress.com.

TALIMEAS utilise WordPress comme système de gestion de contenu pour son site web.

o Squirellmail

Squirrelmail est un web mail, c'est-à-dire une interface web pour consulter son courrier

électronique, écrit en PHP4. Il supporte les protocoles IMAP et SMTP, et toutes les pages

créées le sont en pur HTML, ceci afin d'être compatible avec le maximum de navigateurs.

Son objectif est de fournir une compatibilité optimale pour se rendre aussi accessible que

possible.

Squirellmail est utilisé à TALISMEAS pour la gestion des courriers électroniques.

5.1.4. La technologie utilisée pour créer le site web

Le site de TALISMEAS a été créé grâce au langage PHP, java script et intégré avec le

Framework WordPress.

5.1.5. L’hébergeur

Le site web est hébergé par le prestataire de service Kheweul. Kheweul est le premier

registrar accrédité en Afrique de l’Ouest. Il est basé à Dakar et constitue une solution de choix

pour la majorité des créateurs de site internet dans l’Afrique de l’ouest.

CESAG - BIBLIOTHEQUE

Page 80: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 69

Outre le site web, TALISMEAS héberge toute ses composantes applicatives en clouding sur

les serveurs de Kheweul.

Ainsi la sécurité des données informatiques dépend aussi des mesures de sécurités

implémentées chez le prestataire.

5.1.6. L’audience

Le site web de TALISMEAS reçoit une audience assez considérable.

La figure ci-dessous présente l’audience du site au cours de la période d’étude.

CESAG - BIBLIOTHEQUE

Page 81: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 70

Figure 8 : Audience du site web de TALISMEAS

Source: Nous même, capture d’écran sur l’interface d’administration du site de TALISMEAS

CESAG - BIBLIOTHEQUE

Page 82: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 71

5.2 Les dispositifs de la sécurité du site web de TALISMEAS

Il se trouve qu’il n’y a pas de manuel de procédures, précisant des mesures à prendre en

matière de sécurité informatique dans son ensemble, et de sécurité du site web de l’entreprise

en particulier. Dans ce sens, la description du dispositif de sécurité du site web de

TALISMEAS est basée sur les différentes observations effectuées au cours de notre stage.

5.2.1 La gestion et l’évaluation des risques

Nous n’avons constaté qu’au niveau de TALISMEAS, qu’il n’y a pas un processus de gestion

et d’évaluation des risques informatiques. Cet état de chose expose la société à des risques

tels que :

- réponse aux risques non efficaces ;

- confiance excessive dans les contrôles techniques existants ;

- non détection de l’impact d’un risque sur l’entreprise.

5.2.2 La sécurité du système

Il s’est agit pour nous d’identifier les mesures de sécurité appliquées pour garantir la sécurité

du site web de TALISMEAS.

5.2.2.1 La gestion des identités et des comptes administrateurs

Le directeur technique est l’administrateur du site web. Il définit avec le directeur général les

mises à jours des informations accessibles sur le site. Il octroie des droits en fonction des

responsabilités de chaque utilisateur. Un login et un mot de passe sont exigés avant l’accès à

l’administration du site.

Le personnel dispose d’adresse mail qui exigent des login et mots de passe. Ils disposent aussi

d’un compte leur permettant d’accéder au wiki de l’entreprise afin de tenir a jours et partager

leurs connaissances techniques.

5.2.2.2 Prévention, détection neutralisation d’attaques

Il existe un seul et unique poste dédié à l’administration du site web. Le poste est protéger des

attaques grâce à l’antivirus KAPERSKI avec une licence et mis à jour. La sécurité des

CESAG - BIBLIOTHEQUE

Page 83: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 72

données informatiques disponibles sur le site est majoritairement du ressort de l’hébergeur

dont le choix a été uniquement motivé par sa proximité. Un dispositif de pare-feu est mis en

place.

5.2.2.3 Echange des données

Les échanges entre TALISMEAS et les serveurs Kheweul sont sécurisés par un algorithme

tenu secret.

5.2.2.4 La sauvegarde et l’archivage des données

Toutes les tentatives de connexion à l’interface d’administration, de connexion au site web,

sont journalisés. Il n’existe pas de procédures de journalisation.

Les fichiers sont sécurisés par le prestataire d’hébergement.

5.2.2.5 La gestion du code source

Le code source est régulièrement parcouru à la recherche d’anomalies et est régulièrement mis

à niveau.

Conclusion

Somme toutes, nous sommes passés en revue sur un certain nombre d’éléments pour avoir un

aperçu sur la gestion de la sécurité informatique globale à TALISMEAS en en particulier sur

la sécurité la gestion de la sécurité du site web en étude.

CESAG - BIBLIOTHEQUE

Page 84: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 73

Chapitre 6 : LES TRAVAUX ET RESULTATS DE L’AUDIT DE LA SECURITE DU

SITE WEB DE TALISMEAS

L’audit du site web de TALISMEAS est la première mission du genre à être réalisée à

TALISMEAS. Nous avons mis en œuvre nos connaissances acquises pendant la formation

pour la réalisation de cet audit. L’entretien, la revue documentaire, l’observation, les tests de

conformité et les TAAO ont été les diligences et activités qui on été mises en œuvre pour la

réalisation de nos travaux. Dans ce chapitre, nous présenterons le déroulement de nos travaux

d’audit, nous ferons une synthèse des forces et faiblesses constatées et formulerons des

recommandations afin de corriger les faiblesses et de renforcer les dispositifs existants.

6.1. La phase de planification de la mission d’audit

Cette phase a commencé par une prise de connaissance générale de l’entité et particulièrement

de l’élément en étude, en l’occurrence le site web. Ainsi, le questionnaire de prise de

connaissance de l’entité (annexe3) nous a permis de nous familiariser avec l’environnement

interne et externe de la structure. Elle nous a permis d’effectuer la présentation de l’entité

(chapitre 4), de décrire le site web objet de notre étude, et de présenter les mesures de

sécurisation du site web déployées par l’entité (chapitre 5).

La prise de connaissance nous permet ensuite de décliner le programme d’audit.

6.1.1. Programme d’audit du site web de TALISMEAS

Selon la norme S5 – Planification, « l'auditeur doit concevoir et documenter un plan d'audit

détaillant la nature, les objectifs, le calendrier, l'étendue et les ressources nécessaires pour cet

audit »

6.1.1.1. Objectifs de l’audit du site web de TALISMEAS

Le rappel en est fait systématiquement dans chaque document définissant les objectifs d’une

mission d’audit: ce sont les objectifs permanents du contrôle interne dont l’audit doit s’assurer

qu’ils sont pris en compte et appliqués de façon efficace et pertinente.

Dans le cadre de notre étude, l’objectif général identifié est de : S’assurer que les mesures de

sécurité existantes protègent efficacement le site web pour lui procurer disponibilité,

confidentialité et intégrité.

CESAG - BIBLIOTHEQUE

Page 85: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 74

De cet objectif général découle les objectifs spécifiques suivants :

- s’assurer que des processus et procédures sont mises en place pour garantir la sécurité

de l’information ;

- S’assurer de l’existence d’un dispositif d’évaluation des risques et de son

fonctionnement adéquat ;

- s’assurer que tous les utilisateurs (internes, externes et temporaires) et de leurs

activités sur les systèmes informatiques qui ont un lien direct avec le site web

(applications d’entreprise, de l'environnement informatique. etc.) fait l’objet d’une

traçabilité ;

- s’assurer que seul les personnes autorisées accèdent aux informations sensibles ;

- s’assurer que les politiques et procédures sont en place pour organiser la production, le

changement, la révocation, la destruction, la distribution, la certification, le stockage,

la saisie, l'utilisation et l'archivage des clés cryptographiques pour assurer la protection

des clés contre la modification et la divulgation non autorisée ;

- s’assurer que les mesures de prévention, de détection et de correction des menaces et

vulnérabilités sont en place à travers l’organisation de la protection des SI ;

- s’assurer de la mise en œuvre des procédures de sécurisation des réseaux (dispositifs

WAF, pare-feu) afin de contrôler les flux en provenances des réseaux.

6.1.1.2. Délimitation du champ d’action de la mission

Le champ d’application de la mission couvre le site web, les liens entre le site et ses

composants applicatifs, la gestion du niveau de service apporté par l’hébergeur. Il est présenté

dans le tableau ci-après.

Cependant, nous n’interviendrons pas chez les prestataires de services comme les hébergeurs.

C’est-à-dire que nous interviendrons juste au niveau de TALISMEAS pour nous assurer qu’il

existe une gestion de ce genre de prestation en tenant compte de niveau de sécurité tant

physique que logique apporté par l’hébergeur. Nous ne tiendrons pas compte de la sécurité

physique des TI à TALISMEAS car nous la jugeons négligeable.

CESAG - BIBLIOTHEQUE

Page 86: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 75

Tableau 2 : Champs d’action fonctionnel de la mission

LIEU, LOCAL OU EMPLACEMENT POPULATION CIBLE

• Salle technique

• Bloc administratif

• Tous les ordinateurs du réseau local (7)

• Tous les composants applicatives • Le niveau services apportés par

l’hébergeur • Directeur général • Responsable technique

Source : Nous même

6.1.1.3. Le planning de d’audit

Le planning de l’audit est présenté dans le tableau ci-après :

Tableau 3 : Plan d’audit

Objet Service ou personne / lieu Nature des travaux

Questionnaire de contrôle interne

Salle technique Direction

générale

S’informer et confirmer Observer

Sécurité logique

Poste d’administration

Programmeurs web

Concepteur du site web

Inspecter Observer Tester

Sécurité physique Salle technique Inspecter Observer

Source : Nous même

CESAG - BIBLIOTHEQUE

Page 87: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 76

6.1.2. Programme de vérification

Il représente la procédure à adopter pour la mise en œuvre de notre mission d’audit surtout le

déroulement du plan de mission, ceci en termes de document à consulter, des informations à

collecter ainsi que leur période de réalisation. Ainsi nous allons présenter les tâches relatives à

chaque objectif du plan de mission.

Tableau 4 : Programme de vérification

Détail des tâches du programme de vérification Objectif général Objectifs spécifiques Tâches à réaliser Temps

prévu Auditer le site web de TALISMEAS

Décrire l'organisation et la gestion de la sécurité du site web à TALISMEAS

- rencontrer les différents responsables intervenant dans la gestion de la sécurité du site web;

- comprendre le fonctionnement du site web en étude.

3 semaines

Analyser le processus de gestion de la sécurité du site web

- vérifier si les procédures de gestion de la sécurité du site web sont conçues dans un manuel de procédure ;

- se rassurer du respect de normes et bonnes pratiques en matière d’exploitation de sites web

- identifier les différents risques inhérents à l’exploitation du site web;

2 semaines

Collecter et analyser les informations sur la gestion de la sécurité du site web

- s’entretenir avec l’agent chargé d’administrer le site ;

- rapprocher les informations recueillies avec un référentiel de bonnes pratiques.

2 semaines

Eviter le manque de disponibilité, confidentialité, intégrité du site web

- mettre en exergue les forces et les faiblesses identifiées ;

- proposer des recommandations pour l’amélioration du système

1 semaine

Source : Nous même

CESAG - BIBLIOTHEQUE

Page 88: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 77

6.2. La phase de réalisation de la mission d’audit

Cette phase a consisté à la finalisation du questionnaire de contrôle interne, à son

administration auprès des principaux acteurs impliqués, et à l’analyse des risques liés à la

sécurité du site web de TALISMEAS

Le questionnaire de contrôle interne (annexe n° 4) a été conçu de telle sorte qu’une réponse

négative équivaut à une faiblesse (c’est à dire l’absence de tout dispositif de contrôle interne

ou de bonne pratique) et une réponse positive équivaut à une force qui devra être confirmée

par des tests de conformité.

Les réponses positives ont donc fait l’objet de test de conformité grâce à l’observation,

l’inspection et la mise en œuvre de TAAO.

6.2.1. Exécution des tests de contrôle d’audit du site web de TALISMEAS

Les tests de confirmation du questionnaire de contrôle interne qui suivent, découlent du

programme de travail conçu à partir de réponses positives du QCI.

6.2.1.1 Test d’existence (conformité)

Pour ce faire, nous avons procédé à un sondage statistique qui consiste à sélectionner de

manière aléatoire Cinq (05) échantillons de réponses positives pour ensuite réaliser les tests

suivants :

CESAG - BIBLIOTHEQUE

Page 89: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 78

Tableau 5 : Test de confirmation du QCI

TEST Résultat du test

IV-b-2

Vérifier que les trois composants applicatives sont maintenus a jours :

Population cible : 03

Echantillon : exhaustif (03)

IV-a-4

Vérifier que l’administrateur du site ne se connecte que sur le seul ordinateur prévu à cet effet en l’observant six (06) fois à son insu le mode d’administration du site au cour d’un mois. Et confirmer grâce aux fichiers de journalisation.

Echantillon (06)

OUI 75%

NON 25%

Test 1

OUI 100%

NON 0%

Test2

CESAG - BIBLIOTHEQUE

Page 90: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 79

III-b-11

Vérifier que seul le directeur technique accède a l’interface d’administration du site en observant à six (06) reprises le processus d’administration du site.

Le directeur général à accès aussi à l’interface d’administration

I-a-13

Vérifier qu’il existe des critères de choix de l’hébergeur en vérifiant qu’ils sont connus du personnel.

Population cible : 07

Echantillon : 04

III-a-1

Vérifier dans les fichiers journalisés qu’il y a

une traçabilité de l’administration du site

(automatisé)

Population cible : 20 connexions

Echantillon : 08 connexions

Source : Nous même

6.2.1.2. Résultat issue de l’implémentation des TAAO

Le code source du site web revêt un aspect très technique. N’ayant pas la compétence

technique nécessaire pour vérifier la conformité du code source aux normes W3C, nous avons

OUI 90%

NON 10%

Test 3

OUI 25%

NON 75%

Test 4

OUI 100%

NON 0%

Test 5

CESAG - BIBLIOTHEQUE

Page 91: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 80

eu recours à l’outil ‘’seo-referencement.be‘’ qui est un utilitaire en ligne, une application web

qui nous a permis d’analyser le code source du site web et de donner un avis sur : la

conformité aux normes W3C, (objectif de contrôle IV-b-9 du QCI) ;

L’utilitaire se présente comme la figure ci-dessous.

Figure 9 : Ecran de l’utilitaire

Source : Nous même, capture d’écran de l’interface de l’utilitaire

Les résultats du test sont présentés sur la figure (capture d’écran) ci-dessous.

CESAG - BIBLIOTHEQUE

Page 92: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 81

Figure 10 : Capture d’écran des résultats du test

Source : Nous même, capture d’écran des résultats du test

Le code source du site web de TALISMEAS n’est pas conforme aux normes W3C

CESAG - BIBLIOTHEQUE

Page 93: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 82

6.2.1.3. Résultat issue des contrôles applicatifs et des test sur le site web lui-

même.

Il s’agissait ici de réaliser les différents contrôles et test sur les procédés d’administration du

site web.

Tableau 6 : Test sur le site talismeas.com

Contrôles Tests Constats

Contrôle des entrées et des

accès

Observer les tentatives de connexion à l’interface administrateur.

Le système implémenté par WordPress réclame un login et un mot de passe

Déterminer qui peut passer outre les contrôles

Le directeur général a le mot de passe administrateur

Test sur la base des droits d’accès des utilisateurs

Un droit d’accès utilisateur est demandé pour accéder à l’ordinateur et à l’interface d’administration

Examiner les droits d’accès qui établissent et modifient des limites configurables d’agrément ou d’autorisation

Ce droit est attribué a responsable technique

Déterminer qui peut mettre à jour le site web

Le responsable technique après consultation du directeur général

Contrôle des entrées d’informations sur le site

Se rassurer que les échanges entre l’interface d’administration et le serveur distant soient cryptés

Contrôle des sorties Se rassurer que quelqu’un est responsabilisé pour parcourir le site web pour détecter des anomalies

Le responsable marketing et stratégie

Source : Nous même

Les anomalies constatées dès la phase de préparation et lors de l’administration du

questionnaire de contrôle interne (réponses négatives), de même que les dysfonctionnements

observés lors de l’implémentation du test à l’aide des TAAO, conduisent à l’élaboration d’un

tableau de force et faiblesse (voir annexe n°5).

CESAG - BIBLIOTHEQUE

Page 94: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 83

6.1.2. Identification des risques liés à la sécurité du site web de TALISMEAS

L’étape de la prise de connaissance générale et les entretiens réalisés ainsi que les objectifs de

contrôle identifiés nous ont permis d’élaborer un tableau des risques. L’analyse du tableau des

risques qui est au cœur de notre approche par les risques, répertorie les risques opérationnels

dans sa troisième colonne, identifie les meilleures pratiques dans sa quatrième colonne. La

cinquième colonne nous a permis quant à elle de vérifier l’existence ou non des meilleurs

pratiques identifiées, et la sixième de vérifier le niveau de maitrise des risques.

CESAG - BIBLIOTHEQUE

Page 95: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 84

Tableau 7 : Tableau de risque (TARI)

Tâches/Opérati

on

Objectif de contrôle Risques associés Dispositif de contrôle

interne/POCA

Existant

Oui/non

Maitrise

la gestion de la

sécurité de

l’information du

site web

s’assurer que des

processus et procédures

sont mises en place

pour garantir la sécurité

de l’information;

disparité entre les mesures de sécurité

prévues et les mesures mises en place ;

social engineering ;

Distorsion entre les objectifs de sécurité

et les objectifs d’affaire.

Le manque de continuité administratif

dans la gestion de la sécurité

informatique ;

politique générale de

sécurité incluant la sécurité

de l’information et la

sécurité du site web ;

Non Non

S’assurer de l’existence

d’un dispositif

d’évaluation des

risques et de son

fonctionnement

adéquat ;

réponse aux risques non efficaces ;

confiance excessive dans les contrôles ;

non détection de l’impact d’un risque

sur l’entreprise.

Dispositif de gestion des

risques (MERAHI, Risk IT,

EBIOS) ;

plan d’action de gestion

des risques ;

Non

Non

Non

Non

CESAG - BIBLIOTHEQUE

Page 96: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 85

S’assurer de l’existence

d’un plan de sécurité

global incluant le site

web de TALISMEAS.

Inadéquation entre stratégies et mesures

de gestion des risques ;

Insuffisance d’informations au niveau

du personnel pouvant entrainer des

erreurs.

plan de sécurité des TI

Non

Non

Les processus de

gestion

opérationnelle

de la sécurité de

l’information

s’assurer que tous les

utilisateurs font l’objet

d’une traçabilité ;

manque de suivis dans l’administration

du site web ;

impossibilité de réaliser des audit sur la

base des fichiers journaux;

absence de preuves.

Politique de journalisation

des connections et

tentatives de connections

Dispositif de traçabilité

Non

Oui

Non

Oui

s’assurer que seules les

personnes autorisées

accède aux

informations sensibles.

l’accès non autorisé aux données ;

la modification non autorisées des

paramètres du site web ;

Vol/altération des données ;

Social engineering

Mots de passe ;

Outils de gestion d’accès ;

Verrouillage des

configurations ;

Dispositif de déconnexion

automatique après forçage

ou après les heures

normales de travail.

Oui

Oui

Oui

Non

Oui

Oui

Oui

Non

CESAG - BIBLIOTHEQUE

Page 97: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 86

la gestion de la

sécurité des TI

S’assurer que les

politiques et procédures

sont en place pour

assurer la gestion des

clés cryptographique et

pour assurer la

protection des clés

contre la modification

et la divulgation non

autorisée ;

Attaque par dénie de service ;

Défiguration du site web ;

Perte d’image ;

Perte de confidentialité ;

Reconfiguration des systèmes ;

Vols d’informations.

Mots de passes ;

Outils de gestion d’accès ;

Verrouillage des

configurations ;

Oui

Oui

Oui

Oui

Oui

Oui

S’assurer que les

mesures de prévention,

de détection et de

correction des menaces

et vulnérabilités sont en

place a travers

l’organisation de la

protection des SI ;

les attaques XSS ;

les attaques exploitantes les failles

d’injection ;

les cyber-attaques complexes exploitant

les failles de sécurité.

les falsifications de requête intersites ;

l’exécution de fichiers malicieux.

conformité du code aux

normes W3C ;

Anti-virus régulièrement

mis à jour ;

Non

Oui

Non

Oui

CESAG - BIBLIOTHEQUE

Page 98: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 87

S’assurer de la mise en

œuvre des procédures

de sécurisation des

réseaux (dispositifs

WAF, pare-feu) afin de

contrôler les flux en

provenances des

réseaux

attaques par dénie de service,

détournement du site web ;

défiguration du site web.

Pare-feu ;

Dispositif de filtrage des

requêtes.

Oui

Non

Oui

Non

Source : Nous même

CESAG - BIBLIOTHEQUE

Page 99: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 88

L’identification des risques ainsi réalisée nous permettra de rédiger des FRAP sur la base des

constats.

6.3. Synthèse de l’audit de la sécurité du site web de TALISMEAS

Cette section présente les forces et faiblesses identifiées au cours de l’audit. Elle présente

aussi les constats, risques, causes, conséquences et recommandations au travers des FRAP.

6.3.1. Les forces et faiblesses de l’audit du site web.

La synthèse des forces et faiblesse est issue des résultats du QCI.

Tableau 8 : Tableau des forces et faiblesses

Opérations Points forts Points faibles

Gestion des risques

o L’existence d’une

architecture des SI ;

o Les grandes décisions

relatives à la mise à jours,

la modification des

paramètres ou toutes

autres action sensible sur

le site web émane de la

direction générale.

o Absence de dispositif pour

l’évaluation et la gestion des

risques liés à l’exploitation du

site web ;

o Absence de plan de reprise

après sinistre ;

o Absence de manuel de

procédure informatique ;

o Inexistence de critères

pertinents dans le choix de la

solution d’hébergement du

site ;

o Méconnaissance de la politique

de sécurité de l’hébergeur ;

o Absence de suivis et de test sur

les mesures de sécurité

proposée par l’hébergeur ;

o inexistence de suivis juridique

du contrat avec l’hébergeur.

CESAG - BIBLIOTHEQUE

Page 100: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 89

La gestion des

identités et des

comptes

administrateurs

o Les comptes

administrateurs sont

séparés par niveau de

privilège ;

o Les droits d’accès sur la

base de donnée sont gérés

par niveau d’accès crypté

avec mot de passe ;

o Les entrées directes aux

tables d’accès sont

cryptées ;

o Les mots de passes

employés respectent les

normes de complexité ;

o Une seule personne

(directeur technique) a le

droit de super

administrateur du site web.

o Il existe un système de

gestion des mots de passes

administrateur.

o L’absence de procédure

documentée des modes

d’administration du site web ;

o le protocole d’administration

du site web n’est pas sécurisé ;

o absence de procédures

d’évaluation régulière et de

réauthentification des droits

d’accès aux interfaces

administrateur.

Prévention,

détection

neutralisation

d’attaques

o Existence d’un dispositif

WAF (Web Application

Firewall)

o Un antivirus

KASPERSKY est installé

sur le seul poste

d’administration du site

web et est régulièrement

o absence de dispositif de

filtrage des requêtes ;

o le long délai de changement

des mots de passes

administrateurs ;

o absence de document recensant

les composantes applicatifs ;

o la possibilité offerte de

CESAG - BIBLIOTHEQUE

Page 101: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 90

mis à jour ;

o Les composants applicatifs

sont régulièrement mis à

jour ;

o Le système d’exploitation

du poste d’administration

est régulièrement mis à

jour ;

o Le site web est

mensuellement parcouru

pour détecter d’éventuelles

anomalies.

connaître l’éditeur, le CMS et

les outils de création du site

web.

Echange des

données

o Les échanges de données

sont cryptés par un

algorithme tenu secret ;

o Existence d’une politique

de sécurité chez

l’hébergeur.

La sauvegarde et

l’archivage des

données

o Les tentatives de connexions aux interfaces administrateur sont journalisés ;

o Il existe une traçabilité dans l’administration du site web ;

o Les fichiers de journalisation sont sécurisés et utilisables pour réaliser des audits.

o absence de politique de

journalisation ;

o les journaux de sont par

transmis hors du serveur non

connecter.

CESAG - BIBLIOTHEQUE

Page 102: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 91

La gestion du code

source

o Le code source est écrit

avec les dernières

technologies connues à cet

effet ;

o Le code source est

régulièrement parcouru à

la recherche d’anomalies

et est régulièrement mis à

niveau.

o Non conformité du code source

aux normes W3C

Source : Nous même

6.3.2. Les Feuilles de révélation et d’analyse des problèmes

Elles sont relatives au constats issues de l’identification des risques (existence ou non de

bonne pratiques en matière de sécurité des sites web). Les constats sont :

− Absence de politique générale de sécurité de l’information incluant le site web de

TALISMEAS.

− Absence d’un dispositif d’évaluation et de gestion des risques.

− Absence de plan de gestion des incidents.

− Absence de dispositif de déconnection automatique des interfaces administrateurs

− La non- conformité du site web de TALISMEAS avec les normes W3C.

− Absence de suivi du niveau de service offert par l’hébergeur.

− Absence d’un dispositif de filtrage des requêtes

− le niveau de cryptographie offert par l’hébergeur n’est pas connu des responsables de

TALISMEAS.

Les constats ont fait l’objet de FRAP (annexe 5)

CESAG - BIBLIOTHEQUE

Page 103: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 92

6.4. Synthèse des recommandations

Dans cette section, nous nous contenterons de formuler des recommandations à l’endroit des

acteurs de la sécurité du site web de la structure d’accueil.

Les recommandations qui vont suivre vont à l’endroit de monsieur le directeur général et de

monsieur le responsables technique de TALISMEAS.

Recommandations à monsieur le directeur général

Vu la taille de la structure TALISMEAS, nous formulerons des recommandations adaptées et

qui pourrons être facilement mises en œuvre. Les recommandations à la direction de

TALISMEAS sont les suivantes :

La conception de site web est l’une des principales prestations qu’offre TALISMEAS.

Le site web de TALISMEAS constitue à cet effet la première référence en la matière.

L’incapacité de TALISMEAS à garantir à ce jour la sécurité de son propre site,

constitue un risque critique pour son marché dans ce domaine. Une fois cette

information divulguée les pertes de chiffre d’affaire peuvent aller de 25% à 75% le

risque matérialisé.

Nous recommandons à la direction de TALISMEAS d’orienter à travers l’expression

claire de son intention en matière de sécurité, les comportements à adopter par les

parties prenantes et la mise en œuvre des opérations en matière de sécurité.

Pour y parvenir, la Direction devrait s’assurer de disposer d’une politique

accompagnée de procédures claires de sécurité de l’information.

Le site web est par nature un élément très exposé du système d’information. Le site

web de TALISMEAS est un site vitrine. Des atteintes à sa disponibilité, à son intégrité

et à la confidentialité de l’information pourraient entrainer de très lourdes pertes

financières et une perte d’image auprès des clients. Cela implique donc la nécessité

d’identifier et de traiter les risques liés au site web.

La méconnaissance de son appétence aux risques, du niveau de risques acceptable, et

des modes de traitement des risques identifiés par la direction de TALISMEAS

pourrait entrainer la survenance de risques non identifiés, qui pourraient impacter les

CESAG - BIBLIOTHEQUE

Page 104: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 93

autres systèmes existant et avec conséquences allant jusqu’à la compromission de la

continuité d’exploitation.

Dans ce sens nous recommandons à la Direction générale de TALISMEAS de mettre

en place un processus de management des risques liés à la sécurité de l’information en

générale et du site web en particulier afin d’avoir une compréhension collective du

profil de menaces, vulnérabilités et de risques de TALISMEAS et de son site web.

Une attaque portant atteinte à la disponibilité et l’intégrité du site web de

TALISMEAS entrainera de lourdes pertes financières. L’incapacité de TALISMEAS à

faire face à des incidents de disponibilité ou d’intégrité de son site web, l’expose à des

risques très dommageables de son image de marque, une fois l’information divulguée.

Dans ce sens, nous recommandons à la direction de TALISMEAS de documenter des

mesures et procédures encadrants l’action des protagonistes de la sécurité de son site

web afin d’apporter une réponse efficace aux incidents.

Les mesures de sécurité garanties par l’hébergeur déterminent le niveau de sécurité du

site web. En effet, l’adresse, les informations contenus dans le site web, ses

configurations de base, etc, sont logés dans les serveurs des hébergeurs que

TALISMEAS aurait choisi. La sécurité physique et logique des serveurs n’étant pas du

ressort de TALISMEAS, le site web de TALISMEAS est alors exposé à des attaques

exploitants des vulnérabilités au niveau de l’hébergeur.

Pour maitriser les risques liés à la sous-traitance de ces services, nous recommandons

à la direction de TALISMEAS de faire un « business impact analyse » avant d’opérer

ses de choix de solutions. Ceci devrait lui permettre d’avoir une vue sur l’ensemble

des risques liés et faciliter ainsi la gestion des niveaux de services fournis par les

fournisseurs comme les hébergeurs. Dans le cadre actuel, la gestion des points qui

suivent pourrait réduire les risques en attendant une mise en œuvre de la bonne

pratique recommandée :

− niveau de sécurité offert par l’hébergeur ;

− de la gestion de la sécurité physique chez l’hébergeur ;

− de la politique de sécurité générale, du plan de reprise après sinistre de

l’hébergeur.

Et aussi de désigner un responsable de la gestion du niveau de sécurité offert par

l’hébergeur.

CESAG - BIBLIOTHEQUE

Page 105: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 94

Recommandations à monsieur le responsable technique

Pour une maitrise de la sécurité du site web, il serai judicieux de :

o Veiller à ce que les mots de passes administrateurs soient régulièrement changés (Tous

les 3 mois) ;

o Au cours de l’administration, privilégier un protocole https qui protège le flux

d’information en confidentialité et en intégrité grâce au protocole TLS ;

o Greffer des extensions capables de gérer la déconnexion automatique des interfaces

d’administration après un temps de travail ou d’inactivité ;

o Installer un dispositif de filtrage des requêtes comme UserGate Web filtrer et

privilégier les dispositifs WAF usant des « listes blanches » ;

o Recensé toute les composantes applicatives et réduire leur usage au strict minimum ;

o Privilégié le transfert des journaux via le protocole syslog hors du serveur non

connecter ;

o Soumettre au directeur général une politique de journalisation ;

o limiter au maximum les informations visibles publiquement qui donnent des

indications sur le fonctionnement interne du site :

− suppression des éléments visibles sur la page indiquant les outils (CMS,

éditeur, etc.) utilisés ;

− banalisation des en-têtes HTTP qui peut fournir des informations de version

trop précise sur le serveur ou le système d’exploitation employés.

o Réviser le code source du site afin de le conformer aux normes W3C.

Conclusion :

Au cours de notre mission d’audit, nous avons procédé au déroulement de notre programme

de vérification tel qu’il est présenté dans notre modèle d’analyse. Lors de l’administration des

questionnaires de contrôle interne, des interview, des observations physiques, des analyses

documentaires et des test effectués, nous avons relevé des forces et des faiblesses apparentes,

identifié les risques qui ont fait l’objet d’analyse et de recommandations pour améliorer la

sécurité. Ces recommandations doivent être matérialisées par un plan d’action et de suivis qui

doit être mis en œuvre, compte tenu de certaines priorités, du budget disponible et de la

disponibilité des différents protagonistes.

CESAG - BIBLIOTHEQUE

Page 106: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 95

Cette partie a été pour nous l’occasion de présenter TALISMEAS, son organisation, le site

web en étude, et les mesures sécuritaires mises en œuvre par les dirigeants de TALISMEAS

pour assurer sa sécurité. Les informations reçus et collectées ont permis la mise en œuvre de

notre démarche référentielle de la conduite de l’audit de la sécurité du site web de

TALISMEAS.

Cet audit nous amène à conclure que les mesures de sécurité mises en places pour garantir la

sécurité du site web de TALISMEAS sont insuffisantes et que la direction de TALISMEAS

devra mettre en œuvre un certain nombre d’action afin de garantir la sécurité de son site web.

CESAG - BIBLIOTHEQUE

Page 107: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

CONCLUSION GENERALE

CESAG - BIBLIOTHEQUE

Page 108: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 97

Au terme de notre étude nous pouvons affirmer sans risque de se tromper, que la majorité des

sociétés intègrent les TI et tous particulièrement leurs sites web dans la gestion courante de

leurs activités afin d’être plus performantes. L’usage des sites web, bien que bénéfique expose

les organisations à de nombreux risques inhérents, auxquels le management doit faire face.

L’audit est l’un des outils les plus fiables dont disposent les dirigeants pour réduire ces risques

afin d’atteindre une assurance raisonnable.

Ce sont ces raisons qui nous on poussés à retenir comme thème de notre étude « audit de la

sécurité du site web de TALISMEAS Sénégal : www.talismeas.com » afin d’améliorer la

sécurité en assurant la confidentialité, l’intégrité et la disponibilité des informations qu’il

contient et des technologies qui le sous-tendent.

Ce thème a été traité en deux grandes parties :

• La première dite théorique à concerné les aspects théoriques de l’audit des systèmes

d’information appliqué au cas des site web qui comprend trois (03) chapitres à savoir :

le site web, un composant des SI ensuite le processus d’audit des systèmes

d’information et enfin la méthodologie de l’étude, et ;

• La seconde partie dite pratique à abordé l’aspect pratique qui se compose de trois

chapitres : la présentation de TALISMEAS, la description du site web et des mesure

de sécurité liées et enfin la présentation des résultats de l’audit.

Ainsi au cours de notre étude, nous avons mené des investigations grâces aux méthodes de

l’audit des systèmes d’information afin de porter un jugement sur le niveau de sécurité du site

web sujet de notre étude.

Les risques inhérents à l’exploitation d’un site web par une entreprise on fait l’objet de

développement dans la première partie de ce travail.

La méthodologie déployée nous a permis d’identifier à travers des constats et

l’implémentation des TAAO, les risques résiduels, issus de l’absence ou du mauvais

fonctionnement des dispositifs de contrôle internes.

Les constats effectués traduisent des insuffisances voir une absence de gestion de la sécurité

des SI à TALISMEAS. Ainsi, tous les constats ont donné lieu à des recommandations.

CESAG - BIBLIOTHEQUE

Page 109: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 98

Le manque de compétences techniques ne nous à pas permis de mener un audit en

profondeurs afin de formuler des recommandations plus techniques afin d’assurer la sécurité

du site web.

L’aspect de la sécurité physique étant majoritairement du ressort de l’hébergeur, et étant

donné que nous avons restreint le champ d’action de notre mission à TALISMEAS seul, nous

n’avons pas suffisamment insisté sur ce paramètre.

Nous n’avons pas identifié au cours de nos recherches des travaux formels sur l’audit des sites

web. Les bases sont donc jetées pour formaliser une méthodologie spécifique à l’audit de la

sécurité des sites web.

CESAG - BIBLIOTHEQUE

Page 110: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

ANNEXES

CESAG - BIBLIOTHEQUE

Page 111: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 100

Annexe 1 : Les bonnes pratiques de sécurité OPQUAST

N° Intitulé de la bonne pratique Objectifs

1

Le site propose une procédure de réinitialisation du mot de passe en cas de perte, de vol ou d'oubli.

Permette à l'utilisateur d'accéder à son compte

en cas de perte du mot de passe. Simplifier la gestion des comptes utilisateurs. Renforcer la sécurité en évitant le stockage de

mots de passe non cryptés afin de pouvoir les communiquer de nouveau à l'utilisateur.

2

Les échanges de données sensibles sont sécurisés et signalés comme tels.

Conforter la confiance de l'utilisateur. Permettre à l'utilisateur de saisir des données

sensibles en sachant qu'elles seront protégées. Minimiser les risques d'utilisation frauduleuse

des données des utilisateurs.

4

Les données sensibles ne sont pas transmises en clair dans les url.

Éviter que des données sensibles ne soient

publiques et stockées en clair aux différentes étapes de l'accès à la page (FAI, proxy, serveur Web, historique du navigateur, services tiers).

Permettre à l'utilisateur de saisir des données sensibles en sachant qu'elles seront protégées et confidentielles.

5 Les informations sur la sécurité des transactions sont indiquées.

Contribuer à l'information des utilisateurs sur la sécurisation des échanges de données sensibles.

6

L'identité des prestataires impliqués dans les transactions est précisée.

Fournir aux utilisateurs des informations sur les partenaires tiers impliqués dans la transaction.

7

Les certificats de sécurité sont signés et en cours de validité.

Permettre aux utilisateurs de connaître la validité du certificat et contribuer à la sécurisation de la transaction.

8

La politique de confidentialité et de respect de la vie privée est accessible

Permettre aux utilisateurs de connaître les conditions de conservation de leurs

CESAG - BIBLIOTHEQUE

Page 112: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 101

depuis toutes les pages. données personnelles.

9

Le serveur n'envoie pas la liste des fichiers des répertoires n'ayant pas de page d'index.

Éviter l'affichage de listes de fichiers contenus dans un répertoire.

Améliorer la sécurité du serveur. Limiter les risques d'intrusion.

10

Les comptes ou abonnements ouverts en ligne peuvent être fermés par le même moyen.

Faciliter la gestion des comptes utilisateurs. Éviter à l'utilisateur une recherche de contact. Conforter la confiance dans le site ou le

service.

11

Les mots de passe peuvent être choisis ou changés par l'utilisateur.

Permettre aux utilisateurs de choisir un mot de

passe personnalisé. Éviter aux utilisateurs de rechercher leur mot

de passe à chaque connexion.

12

La procédure d'accès et de rectification des données personnelles est décrite.

Informer l'utilisateur sur l'utilisation de ses données personnelles.

Conforter la confiance dans le site ou le service.

Faciliter la gestion des demandes liées aux données personnelles.

13

Un dispositif sensibilise l'utilisateur sur le degré de sécurisation du mot de passe qu'il choisit

Informer les utilisateurs sur le niveau de sécurité du mot de passe choisi et donc sur les risques de détournement

CESAG - BIBLIOTHEQUE

Page 113: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 102

Annexe 2 : Organigramme de TALISMEAS

CESAG - BIBLIOTHEQUE

Page 114: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 103

Annexe 3 : Questionnaire de prise de connaissance

QUESTIONNAIRE DE PRISE DE CONNAISSANCE

Objectif : Avoir une vision d’ensemble de l’entité, du site web

et du dispositif de sécurité informatique en général et celui du

site web en particulier

Réf. OBSERVATIONS

Se faire présenter l’entité A

Missions, activités, produits, organisation, AA Ok

Historique AB NON

Obtenir l’organigramme général AC Ok

Prendre connaissance du site web B

Objectifs du site BA Ok

Localisation du Serveurs BB Ok

Module applicatifs BC Ok

Menus du site BD Voir site web

Technologie utilisée BE Ok

Audience BF Ok

Documents à obtenir C

Manuel de procédure CA Non

Politique de sécurité CB Non

Liste des composants applicatifs CC Non

CESAG - BIBLIOTHEQUE

Page 115: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 104

Annexe 4 : Questionnaire de contrôle interne

EXERCICE : 2013

QUESTIONNAIRE

D’ANALYSE DU CONTRÔLE

INTERNE

DATE : 15 SEPTEMBRE 2013

ENTITE :

TALISMEAS

AUDIT DE LA SÉCURITÉ DU SITE WEB http://www.talismeas.com

OBJECTIFS DE CONTRÔLE :

I. S’assurer de que la sécurité du site web est gérer au niveau organisationnel conformément

aux exigences en la matière

I- a) s’assurer que des processus et procédures sont mises en place pour garantir la sécurité

de l’information

I- b) S’assurer de l’existence d’un dispositif d’évaluation des risques et de son

fonctionnement adéquat

II. S’assurer de l’existence d’un plan de sécurité global incluant le site web de TALISMEAS.

III. S’assurer de la gestion adéquate des identités administrateur.

III- a) s’assurer que tous les utilisateurs (internes, externes et temporaires) et de leur activité

sur les systèmes informatiques qui on un lien direct avec le site web(applications

d'entreprise , de l'environnement informatique. etc.) font l’objet d’une traçabilité.

III- b) s’assurer que seul les personnes autorisés accèdent aux informations sensibles.

IV. S’assurer de la gestion efficace de la sécurité des TI

IV- a)S’assurer que les politiques et procédures sont en place pour organiser la production,

le changement, la révocation, la destruction, la distribution, la certification, le stockage, la

saisie, l'utilisation et l'archivage des clés cryptographiques pour assurer la protection des

clés contre la modification et la divulgation non autorisée.

IV- b) S’assurer que les mesures de prévention, de détection et de correction des menaces et

vulnérabilités sont en place a travers l’organisation de la protection des SI

IV- c) S’assurer de la mise en œuvre des procédures de sécurisation des réseaux (dispositifs

WAF, pare-feu) afin de contrôler les flux en provenances des réseaux.

CESAG - BIBLIOTHEQUE

Page 116: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 105

I- a) s’assurer que des processus et procédures sont mises

en place pour garantir la sécurité de l’information O N OBSERVATIONS

1) La haute direction de TALISMEAS a-t-elle manifesté son intention par rapport à la sécurité de l’information ? x

L’intention est manifestée mais n’est pas documentée

2) Cette intention est-elle documentée ? (obtenir la documentation si disponible) x

3) Existe-t-il une politique générale de sécurité des systèmes d’information ? (obtenir la politique générale de sécurité si oui).

x

4) La politique de sécurité intègre-t-elle l’ensemble du système d’information ? x

5) Est-elle applicable au site de TALISMEAS ? x

6) Existe-t-il un manuel de procédures informatiques ?

7) les grandes décisions relatives au site sont-elles prises par la haute direction ?

x

x

EXERCICE : 2013

QUESTIONNAIRE

D’ANALYSE DU CONTRÔLE

INTERNE

DATE : 15 SEPTEMBRE 2013

ENTITE :

TALISMEAS

I

CESAG - BIBLIOTHEQUE

Page 117: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 106

8) Existe-t-il une architecture des SI ? x

9) Inclut-elle le site de TALISMEAS ? x

10) Existe-t-il une politique de communication pour TALISMEAS ? x

11) Intègre-t-elle le Site de TALISMEAS ?

12) Les communications sur le site de TALISMEAS tiennent-elles compte des objectifs globaux de communication ?

13) Existe-il des critères de choix de l’hébergeur ? x

14) Ces critères de choix sont-ils documentés x

15) Existe-il une politique de sécurité chez l’hébergeur ? x

16) a-t-on tenu compte des politiques de sécurité de l’hébergeur dans le choix de l’offre d’hébergement ?

x Choix de la proximité

17) Y a –il une gestion du niveau de service apporté par l’hébergeur ? x

18) cette gestion du niveau de service intègre-t-elle le suivi des mesures de sécurités proposées et leurs tests ? x

CESAG - BIBLIOTHEQUE

Page 118: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 107

EXERCICE : 2013

QUESTIONNAIRE D’ANALYSE DU CONTRÔLE INTERNE

DATE : 15 SEPTEMBRE 2013

ENTITE :

TALISMEAS

I-

I- b) S’assurer de l’existence d’un dispositif d’évaluation des

risques et de son fonctionnement adéquat O N OBSERVATIONS

1) Existe-t-il un processus d’identification des risques qui tient compte :

1. de la probabilité ?

2. des conséquences ?

X

2) qui décide des risques à engager en termes de sécurité de l'information? Le Directeur

Général

3) Quelle méthode d’évaluation du risque est utilisée à TALISMEAS? x

CESAG - BIBLIOTHEQUE

Page 119: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 108

EXERCICE : 2013

QUESTIONNAIRE D’ANALYSE DU CONTRÔLE INTERNE

DATE : 15 SEPTEMBRE 2013

ENTITE :

TALISMEAS

II-

II- S’assurer de l’existence d’un plan de sécurité global

incluant le site web de TALISMEAS. O N OBSERVATIONS

1) Existe – il un plan de sécurité global ? x

2) inclut-il le site web de TALIMEAS ? x

3) existe –il un plan de secours informatique ? x

4) inclut- il le site web de TALISMEAS ? x

5) Y a t – il un plan de reprise après sinistre ?

x

6) Intègre-t-il le site de TALISMEAS ? x

CESAG - BIBLIOTHEQUE

Page 120: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 109

EXERCICE : 2013

QUESTIONNAIRE D’ANALYSE DU CONTRÔLE INTERNE

DATE : 15 SEPTEMBRE 2013

ENTITE :

TALISMEAS

III-

III- a) s’assurer que tous les utilisateurs (internes, externes et temporaires) et de leur activité sur les systèmes informatiques qui ont un lien direct avec le site web (applications d'entreprise , de l'environnement informatique. etc.) font l’objet d’une traçabilité.

O N OBSERVATIONS

1) Existe-t-il une traçabilité dans l’administration du site ?

2) Existe – il une politique de journalisation ? x

3) Quelle est la durée de conservation des fichiers de journalisation ? 1 an

4) Les tentatives de connexion aux interfaces administration sont –elles journalisés ? x

5) Les fichiers de journalisations sont-ils sécurisés? x

6) les journaux sont-ils transmis via le protocole syslog hors du serveur connecté ? x

7) Les fichiers de journalisations permettent t- ils de réaliser des audits ? x

CESAG - BIBLIOTHEQUE

Page 121: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 110

EXERCICE : 2013

QUESTIONNAIRE D’ANALYSE DU CONTRÔLE INTERNE

DATE : 15 SEPTEMBRE 2013

ENTITE :

TALISMEAS

III-

III- b) s’assurer que seul les personnes autorisés accèdent aux

informations sensibles. O N OBSERVATIONS

1) Existe t – il un système de gestion des mots de passe administrateurs ? x Implémenté par

WordPress

2) Les mots de passes sont –il distribués par niveau de privilège ? x

3) Les mots de passes respectent t – il les recommandations en matière de complexité ? x

4) Les mots de passe sont-ils constitués de quatre caractères alphanumériques minimum ? x

5) Les mots de passe respectent – ils le principe de non affichage à l’écran ? x

6) Les mots de passe sont – ils difficilement constituables ? x

7) Quelle est la fréquence de changement des mots de passe ? annuelle

CESAG - BIBLIOTHEQUE

Page 122: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 111

8) Combien de postes sont autorisés à l’administration du site web 1 postes

9) Les mécanismes d’administration, sont – ils restreints aux seuls postes d’administration autorisés ?

x

10) L’administration du site fait-elle l’objet de contrôle fréquent ? x

11) Combien y a t – il de personne habiletés à administrer le site web ? Une seule personne

(directeur technique)

12) Les comptes administrateurs sont – il séparés par niveaux de privilège ? x

13) Les accès aux interfaces d’administration sont – ils sécurisé ? x

14) Quels sont les mécanismes d’authentifications des administrateurs du site web? Login et mot de

passe

15) Les entrées directes aux tables d’accès sont – elles protégées ? x

16) Existe – il un système de déconnexion automatique des terminaux après forçage ou après les heures normales de travail ? x

17) Comment sont gérer les droits sur la base de données ? Par niveau d’accès crypté avec mot de passe

18) Les requêtes adressées à la base de données, sont – elles faite par l’intermédiaire d’une couche d’abstraction permettant le contrôle des paramètres?

x

19) Les échanges avec le serveur sont – elles chiffrées ? x

CESAG - BIBLIOTHEQUE

Page 123: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 112

20) La société TALISMEAS fait- elle recourt à des consultants spécialisés dans les sites web pour la résolution de problèmes complexes ?

x

EXERCICE : 2013

QUESTIONNAIRE D’ANALYSE DU CONTRÔLE INTERNE

DATE : 15 SEPTEMBRE 2013

ENTITE :

TALISMEAS

IV-

IV- a)S’assurer que les politiques et procédures sont en place pour

organiser la production, le changement, la révocation, la destruction,

la distribution, la certification, le stockage, la saisie, l'utilisation et

l'archivage des clés cryptographiques pour assurer la protection des

clés contre la modification et la divulgation non autorisée.

O N OBSERVATIONS

1) les échanges entre le serveur et le site web sont – elles sécurisé ?

2) quelles est le niveau de chiffrement ?

3) existe – il un dispositif de gestion des clés cryptographiques ?

4) qui est en charge de la gestion de ce dispositif ?

CESAG - BIBLIOTHEQUE

Page 124: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 113

EXERCICE : 2013

QUESTIONNAIRE D’ANALYSE DU CONTRÔLE INTERNE

DATE : 15 SEPTEMBRE 2013

ENTITE :

TALISMEAS

IV-

IV- b)S’assurer que les mesures de prévention, de détection et de

correction des menaces et vulnérabilités sont en place a travers

l’organisation de la protection des SI O N OBSERVATIONS

1) Les composants applicatifs employés (systèmes de gestion de contenus, bibliothèque Java etc.) sont t- ils recensés? x

− Feng office (GP)

− Doku wiki (Partage de connaissance)

− WordPress − Squirlle

(mail)

2) Les composantes applicatifs (SGBD, système de gestion de contenus) sont- ils maintenus à jours ?

A quand remonte la dernière maintenance ?

x 2 semaines

3) l’accès au renseignements sur le fonctionnement du site est –il limité ? x

4) y a t-il des anti-virus installés sur les postes d’administration ?

4) Le système d’exploitation est – il mises à jour ?

A quand remonte la dernière mise à jour ? x 1 mois

5) Le code source est-il disponible ? x

CESAG - BIBLIOTHEQUE

Page 125: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 114

6) Le site est-il écrit en HTML 5 ? x

7) Le site est-il écrit en PHP ? x

8) La mise en forme a-t-elle été réalisée avec CSS3 ? x

9) L’écriture du code respecte-il les normes d’écriture W3C ? x

10) Le code source est –il régulièrement révisé? x mensuellement

11) Le site web est-il régulièrement parcouru pour détecter d’éventuelles anomalies ? x

12) Selon quelle périodicité ? Tous les mois

13) assure-t-on la séparation des environnements de conception, de développement et de tests avant implantation ? x

CESAG - BIBLIOTHEQUE

Page 126: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 115

EXERCICE : 2013

QUESTIONNAIRE D’ANALYSE DU CONTRÔLE INTERNE

DATE : 15 SEPTEMBRE 2013

ENTITE :

TALISMEAS

IV

IV- c) S’assurer de la mise en œuvre des procédures de

sécurisation des réseaux (dispositifs WAF, pare-feu) afin de

contrôler les flux en provenances des réseaux O N OBSERVATIONS

1) Existe – il un dispositif WAF (Web Application Firewall) ? x

2) Existe – il un dispositif de filtrage des requêtes ? x

CESAG - BIBLIOTHEQUE

Page 127: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 116

Annexe 5 : Feuilles de Révélation et d’Analyse des Problèmes

Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°01 Problème identifié : Mauvaise harmonisation de la sécurité informatique en général et de celle du site web en particulier Constats :

Absence de politique de sécurité de l’information

Causes explicatives :

Absence de volonté de la direction Méconnaissance des biens fondés de cette pratique

Conséquences :

Pilotage à vue Absence d’orientation Disparité et non cohésion des actions liées à la sécurité du site web

Recommandations :

Elaborer une politique de sécurité conforme aux normes ISO 27000, ISO 27001, ISO

27002 ;

Elaborer un manuel de procédure informatique qui prendra en compte l’aspect

sécurité du site web tout en précisant les tâches et les responsabilités des parties

prenantes ainsi que la description des procédures d’administration du site web.

Etabli par : Nous-même Approuvé par : Le directeur technique

CESAG - BIBLIOTHEQUE

Page 128: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 117

Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°02 Problème identifié : Méconnaissance par la haute direction des risques informatiques en général et ceux liés à la sécurité du site web en particulier et de son appétence au risque Constats :

Absence d’un dispositif d’évaluation et de gestion des risques.

Causes explicatives :

Absence de moyens ; Méconnaissance de cette pratique.

Conséquences :

Dissimilitude entre disposition de sécurité prévue et appliquée ; Réponses aux risques non adaptées

Recommandations :

mettre en place un processus de management des risques liés à la sécurité de

l’information en générale et du site web en particulier

Etabli par : Nous-même Approuvé par : Le directeur technique

CESAG - BIBLIOTHEQUE

Page 129: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 118

Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°03 Problème identifié : exposition trop élevée aux incidents et à leurs conséquences Constats :

Absence de plan de gestion des incidents.

Causes explicatives :

Méconnaissance des biens fondés de cette pratique ; Absence de volonté.

Conséquences :

Données informatiques non protégées Mise en échec des dispositions de sécurité par les parties prenantes

Recommandations :

documenter des mesures et procédures encadrants l’action des protagonistes de

la sécurité de son site web afin d’apporter une réponse efficace aux incidents.

Etabli par : Nous-même Approuvé par : Le directeur technique

CESAG - BIBLIOTHEQUE

Page 130: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 119

Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°04 Problème identifié : exposition aux attaques par modification des configurations Constats :

Absence de dispositif de déconnection automatique des interfaces administrateurs

Causes explicatives :

Négligence Le top management juge de l’inutilité

Conséquences :

Accès non autorisé Défiguration du site web Modification des paramètres configuration

Recommandations :

Greffer des extensions capables de gérer la déconnexion automatique de l’interface

administrateur.

Etabli par : Nous-même Approuvé par : Le directeur technique

CESAG - BIBLIOTHEQUE

Page 131: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 120

Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°05 Problème identifié : exposition aux attaques par modification du code source ou aux attaques plus insidieuses. Constats :

La non- conformité du site web de TALISMEAS avec les normes W3C.

Causes explicatives :

Négligence Erreurs techniques

Conséquences :

Exposition élevée à tout type d’attaques

Recommandations :

à défaut de faire respecter la norme W3C TALISMEAS devra mettre en œuvre

une assurance quant à la qualité du développement se son site.

Etabli par : Nous-même Approuvé par : Le directeur technique

CESAG - BIBLIOTHEQUE

Page 132: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 121

Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°06 Problème identifié : exposition aux attaques exploitants les failles de l’hébergeur Constats :

Absence de suivi du niveau de service offert par l’hébergeur.

Causes explicatives :

Choix de la proximité négligence

Conséquences :

vol/altération perte de données accès aux informations depuis le serveur distant mauvaise influence des législations des pays de localisation des serveurs distants ; Inadéquation entre le niveau de risque de l’hébergeur et le niveau de risque souhaité

par la société ; Disparité entre les services prévus et les services rendus.

Recommandations :

Pour maitriser les risques liés à la sous-traitance de ces services, nous

recommandons à la direction de TALISMEAS de faire un « business impact

analyse » avant d’opérer ses de choix de solutions. Ceci devrait lui permettre

d’avoir une vue sur l’ensemble des risques liés et faciliter ainsi la gestion des

niveaux de services fournis par les fournisseurs comme les hébergeurs.

Etabli par : Nous-même Approuvé par : Le directeur technique

CESAG - BIBLIOTHEQUE

Page 133: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 122

Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°07 Problème identifié : exposition aux attaques exploitants les failles du réseau Constats :

Absence d’un dispositif de filtrage des requêtes.

Causes explicatives :

Jugé non nécessaire Méconnaissance des biens fondés de cette pratique.

Conséquences :

Exposition aux attaques par déni de service ; Exposition aux attaques par injection de code malveillant.

Recommandations :

d’installer un dispositif de filtrage des requêtes comme « UserGate Web filtrer » et privilégier les dispositifs WAF usant des « listes blanches ».

Etabli par : Nous-même Approuvé par : Le directeur technique

CESAG - BIBLIOTHEQUE

Page 134: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 123

Fiche de Révélation et Analyse des Problèmes (FRAP) Papier de travail FRAP N°08 Problème identifié : exposition aux attaques exploitants les failles de sécurité liées au faible niveau de cryptographie Constats :

le niveau de cryptographie offert par l’hébergeur n’est pas connu des responsables de

TALISMEAS

Causes explicatives :

l’hébergeur ne fournis pas cette information Méconnaissance des biens fondés de cette pratique.

Conséquences :

Exposition aux attaques par déni de service ; Exposition aux attaques par injection de code malveillant ; Exposition aux attaques élaborée grâce aux failles identifiées par la connaissance de

ces informations ; Détournement des données.

Recommandations :

Commander une mission d’assurance sur le niveau de cryptographie garanti par l’hébergeur et y effectuer des tests. Cette assurance permettra de se rassurer que les échanges avec le serveur soient sécurisés.

Etabli par : Nous-même Approuvé par : Le directeur technique

CESAG - BIBLIOTHEQUE

Page 135: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

BIBLIOGRAPHIE

CESAG - BIBLIOTHEQUE

Page 136: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 125

Ouvrages :

1. ACISSI (2009), Sécurité informatique : ethical hacking, apprendre l’attaque pour

mieux se défendre, Editions ENI, Paris 355 pages ;

2. AFAI (2008), COBIT 4., Gouvernance institue, Paris, 196 pages ;

3. AFAI (2008), Guide d’audit des systèmes d’information : Utilisation de COBIT, IT

gouvernance Institute, Paris, 269 pages ;

4. ANGOT Hugues (2004); Audit comptable audit informatique, Edition De Boeck-

wesmael, Bruxelles, 299 pages;

5. BLOCH Laurent ; WOLFHUGEL Christophe (2013), Sécurité informatique :

principes et méthodes, Edition EYROLLES, Paris, 312 pages ;

6. BRESSOLLES Gregory (2012) ; l’e-marketing, Editions DUNOD Paris, 128 pages ;

7. BUTEL, Annie (2008), continuité d’activité : plan de secours, CLUSIF/BNP Paribas,

Paris, 33 pages ;

8. CHAMPLAIN Jack (2003), Auditing information systems, Edition John Wiley& sons,

451 pages;

9. CLEUET, Fabien & al (2008a), Audit des systèmes d’information, vol 1

INTEC/CNAM, Paris 102 pages ;

10. DEYRIEUX André (2008) ; Le système d’information : Nouvel outils de la stratégie,

Edition Maxima, Paris 184 pages ;

11. GODART Didier (2002), Sécurité informatique : risques, stratégies et solutions,

Edition Edipro, Paris ; 334 pages ;

12. ISACA (2011), Manuel de préparation de CISA, 442 pages ;

13. KEPEKLIAN Gabriel, LEQUEUSE Jean-Louis (2008) ; déployer un projet web2.0 :

Anticiper le web sémantique (web 3.0), Edition d’organisation, Paris 256 pages ;

14. LACHAPELLE Eric ; RENE St Germain (2005) ; ISO 17799 :2005/ISO 27002,

bonnes pratiques pour la gestion de la sécurité de l’information, Edition VERIDON,

27 pages ;

15. LAFITE Michel (2003) ; sécurité des systèmes d’information et maitrise des risques,

Edition REVUE BANQUE, Paris, 210 pages ;

16. LY, Henri (2005), L’audit technique informatique, Editions LAVOISIER/HERMES

SCIENCE, Paris, 230 pages ;

17. MENTHONEX, Jean (1995), sécurité et qualité informatique : Nouvelles orientations,

presses polytechniques et universitaires Romande, Lausane, 422 pages ;

CESAG - BIBLIOTHEQUE

Page 137: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 126

18. MOISAND Dominique ; GARNIER Fabrice (2009), COBIT : pour une meilleur

gouvernance des systèmes d’information, Edition EROYLES, Paris, 274 pages ;

19. NEBRA Mathieu (2007) ; Réussir son site web avec XHTML et CSS, Edition

EYROLLES, paris ; 329 pages ;

20. REIX Robert, FALLERY Bernard; KALIKA Michel (2011), Système d’information et

management des organisations, 6ème édition, Edition Vuibert, paris 480 pages ;

21. RENARD Jacques (2005), théorie et pratique de l’audit interne, 5ème édition

d’organisation, paris, 487 pages ;

22. RENARD, Jacques (2010), théorie et pratique de l’Audit Interne, 7ème édition,

édition d’organisation, Groupe Eyrolles, Paris, 469p ;

23. SCHICK, Pierre (2007), Mémento d’audit interne ; Méthode de conduite d’une

mission d’audit, Edition DUNOD, Paris, 217 pages ;

24. STALLINGS, William (2002), Sécurité des réseaux, Applications et standards,

Editions Vuibert, Paris, 382 pages ;

25. THORIN, Marc (2000), L’audit informatique, Edition LAVOISIER/HERMES, 192

pages ;

Articles :

26. AFAI (2007), Rappel sur les normes et méthodes en matière de sécurité des systèmes

d’information, la revue française de l’audit et du conseil informatique Vol.85; 21-23;

27. AKOKA Jacky, COMYN-WATTIAU, Isabelle (2003), Audit d’un site web; une

démarche structurée;

28. CIGREF (2011), Les risques numériques pour l’entreprise, 23 pages ;

29. DUGLAY, Eric (2003), Quels enjeux et quelles approches pour un plan de continuité

globale, Revue française de l’audit interne, Vol.163;

30. LACHAPELLE Eric, René ST-GERMAIN (2010), ISO 17799 : 2005/ISO 27002

Bonnes pratiques pour la gestion de la sécurité de l’information (24 pages).

31. ISACA (2010), Information security management audit/program, 38 pages

32. OWASP (2012), Les dix vulnérabilités de sécurité des applications web les plus

critiques ;

33. Pierre Alexandre BAPST et Florence BERGERET (2002), Pour un management des

risques orienté vers la protection de l’entreprise et la création de la valeur, Revue

française d’audit n°162;

CESAG - BIBLIOTHEQUE

Page 138: Audit de la sécurité d’un site web : cas de ...bibliotheque.cesag.sn/gestion/documents_numeriques/... · Audit de la sécurité du site web de TALISMEAS Sénégal: AMOUZOUN Mériadec,

Audit de la sécurité du site web de TALISMEAS Sénégal: www.talismeas.com

AMOUZOUN Mériadec, Master Professionnel en Audit et contrôle de gestion, promotion 6 ; CESAG 127

34. TL. Education solution limited, ITL, Introduction to information Technology, Pearson

Education India- 2009;

Sources internet :

35. Guide-informatique (2010), sécurité des informations, normes BS7799, ISO 17799,

EBIOS, MEHARI [en ligne] [citation 02 septembre 2013]

http://www.guideinformatique.com/fiche -securité-des-informations;

36. LESSAUVEGARDES (2007), construire son plan de sauvegarde, [en ligne] [citation :

24 août 2013]

http://wwww.lessauvegardes.com/iscom/2007/construiresonplandesauvegarde;

37. PILLOU, Jean François (2010), Mise en place d’une politique de sécurité, Linux plus

value. [en ligne][citation : 24 septembre 2013]

http://www.linuxplusvalue.be/mylpv.php%id=184;

38. WIKIPEDIA (2013), Données [en ligne] [citation 4 septembre 2013] ; wikipédia.org ;

39. http://checklists.opquast.com/fr/;

CESAG - BIBLIOTHEQUE