Audit de la sécurité informatique
Transcription
Audit de la sécurité informatique
Audit de la sécurité informatique REF : IP8072 Prérequis connaissances de base en sécurité informatique. Durée 21h Profil Animateur consultant expert en sécurité informatique. Moyens pédagogiques Présentation Powerpoint, jeu de rôles, utilisation de la méthodologie Mehari Pro pour l'évaluation des services de sécurité, utilisation d'outils de scan de ports et d'analyse de vulnérabilités. Public visé Objectifs de la formation consultants en sécurité ou des consultants IT désirant étendre leurs activités à des prestations de services en audit organisationnel et techniques. Des auditeurs internes désirant prendre des responsabilités en audit de sécurité. Des DSI voulant découvrir le volet audit de la sécurité. Des techniciens désirant maitriser l'audit technique de la sécurité. Des administrateurs réseaux, systèmes et sécurité. acquérir les compétences pour gérer un projet d'audit de sécurité. Comprendre les différents types d'audit. Se familiariser avec les normes d'audit. Découvrir les différentes démarches et étapes d'audit de sécurité (organisationnel et techniques). Se familiariser avec les méthodologies d'audit organisationnel. Réaliser des opérations d'audit techniques avec des outils d'audit technique. Programme Introduction à la sécurité Informatique Introduction Objectifs d'un audit de sécurité. Cadre juridique Démarche pour la réalisation d'une mission d'audit de sécurité Comment se préparer avant d'être audité ? Conclusion. Audit Organisationnel et Physique Risques liés aux technologies de l'information Les bonnes réflexes Politique de sécurité Audit Organisationnel et Physique Méthodologies Analyse des risques Conclusion Audit technique introduction Phase d'approche Phase d'analyse des vulnérabilités TPs Conclusion TP1 : Utilisation de la méthodologie Mehari pour l'audit organisationnel. Etude de cas simple Identifications des activités majeures Classification des actifs et services Répondre à un échantillon de questionnaire Etat des services de sécurité selon la norme ISO 27002 TP2 : Audit technique- Phase d'approche Utilisation de différents outils pour Audit de l'architecture d'un réseau (topologie, Segmentation du réseau, redondance, Identification des différents hôtes d'un réseau Sondage des systèmes et détection des OS et des ports actifs et leurs états TP3 : Audit technique-Analyse des vulnérabilités Utilisation d'outils pour Analyse des vulnérabilités des serveurs Analyse des vulnérabilités des postes de travail Analyse des vulnérabilités des équipements réseaux TP4 : Audit technique-Analyse des vulnérabilités Cas d'un commutateur et d'un routeur