SECTION 2 : NOTION SUR L'AUDIT ET L'INVENTAIRE

1. L'inventaire informatique

A. Définition

Un inventaire est une opération permettant de collecter le maximum d'informations sur le parc informatique dans le temps le plus court possible.^5(*)

B. Types

On distingue trois types d'inventaires :

ü Inventaire initial : c'est le plus long. Il s'agit de recenser tous les matériels et logiciels gérés et nécessite la plupart du temps de passer " physiquement " sur chaque PC.

ü Inventaire de contrôle : il s'agit de valider que les données gérées sont à jour. L'inventaire de contrôle permet de valider que des matériels n'ont pas été achetés ou mis en place sans en informer le service informatique.

ü Inventaire permanent : il nécessite l'utilisation d'un logiciel d'inventaire automatisé qui scanne régulièrement (tous les mois ou toutes les semaines) les postes connectés au réseau. Ce type d'inventaire permet d'effectuer un suivi des installations de logiciels et de se protéger contre les vols de composants matériels.

C. Peut-on se passer d'un inventaire ?

Non. Toute gestion d'un parc informatique a pour objet de fournir des données statistiques qui serviront de base aux prises de décisions.

Ne pas faire d'inventaire au moins une fois pour le démarrage signifierait que les données gérées ne sont pas fiables. Or, on ne peut prendre de décision fiable sur des données parcellaires.

D. Faut-il viser la fiabilité à 100 % ?

Non. Les données collectées par l'inventaire ne seront jamais justes à 100 %. Un inventaire qui dure plusieurs jours signifie qu'il peut y avoir des modifications durant la période de l'inventaire. De nouveaux logiciels peuvent être installés après le passage de l'inventoriste, des matériels déplacés, de nouveaux matériels installés...

Mais cela ne signifie pas qu'il ne faut pas faire d'inventaire. Des chiffres précis à 99% sont largement suffisants pour prendre des décisions en connaissance de cause. De plus, il faut, parallèlement à l'inventaire, mettre en place des procédures de suivi des changements : notification d'arrivée de nouveaux matériels, comptes-rendus d'installation de logiciels, etc.

E. Equipements à inventorier

Réaliser un inventaire passe par la définition des objets que l'on veut inventorier. A ce titre, on établira la liste exhaustive de ces matériels.

Cette liste servira de base à la construction des référentiels, en particulier des familles de postes et de périphériques.

Quelques contraintes sont à prendre en compte :

· Plus il y a d'éléments à inventorier, plus l'inventaire sera long et comportera de risques d'erreurs.

· Tous les éléments ne doivent pas être inventoriés. Par exemple : si les claviers ne sont pas gérés de manière unitaire, il est parfaitement inutile de relever leur numéro de série. De même si les adresses IP sont attribuées par un serveur DHCP...

F. Données à collecter

Le détail de l'information collectée dépend de la finalité de l'inventaire. S'il s'agit d'avoir une vision technique précise du parc, on collectera plus de données que s'il s'agit d'un contrôle pour mise à jour de la déclaration de taxe professionnelle.

Autre élément important : l'outil utilisé. Si l'inventaire se fait au moyen d'un outil logiciel, il ne coûte rien de collecter le maximum d'informations. Si par contre il se fait avec des fiches papier, il est recommandé de se limiter au strict minimum. On prendra garde, dans cet exercice, à bien évaluer ces informations suivant les critères suivants : L'information est-elle toujours valide et à qui s'adresse-t-elle ? (techniciens, services administratifs ...) ? Quelle est sa fréquence de changement ? Est-elle indispensable à la gestion du parc ? Sera-t-on capable de faire vivre cette information (changements, mises à jour ...) ?

G. Quel outil utiliser ?

ü Logiciel d'inventaire automatisé : c'est la solution qui permet de collecter un maximum d'informations en un minimum de temps. De plus, un logiciel d'inventaire automatisé est quasiment indispensable si l'objectif de l'inventaire inclut un suivi des logiciels installés.

De même, des informations techniques comme la fréquence du processeur ne sont souvent disponibles qu'en effectuant des manipulations techniques complexes et dangereuses (lecture du Bios) si on les collecte autrement qu'avec un outil automatisé.

ü Inventaire manuel : c'est la solution la plus économique, mais aussi la plus consommatrice en temps.

ü Inventaire PDA : une solution originale proposée par certains prestataires de service et particulièrement adaptée pour les inventaires de contrôle de localisation. Une liste des matériels gérés est téléchargée sur un assistant personnel (PalmPilot ou PocketPC) qui sert ensuite à effectuer des mises à jour.

ü Inventaire lecteur code barre : la solution la plus utilisée dans le domaine industriel n'est pas nécessairement la meilleure dans le cas d'un environnement informatique. Un lecteur code barre permet de relever aisément des informations complexes et peu nombreuses (les numéros de série par exemple). Mais la programmation de lecteurs code barre reste fastidieuse et son utilisation réservée aux très gros parcs informatique. De plus, lorsqu'il s'agit de relever un nombre important de caractéristiques pour un matériel inventorié, les lecteurs code barre ne sont absolument pas pratiques.

H. Faut-il passer physiquement sur chaque poste de travail ?

Les logiciels d'inventaire automatisé savent aujourd'hui collecté des informations via une connexion réseau. Mais un certain nombre d'opérations sont indispensables et nécessitent un passage sur le poste de travail :

ü Etiquetage physique des postes.

ü Saisie de la localisation du poste : aucun logiciel ne sait identifier le bureau dans lequel est posé un équipement.

ü Saisie des périphériques connectés : la détection des périphériques connectés via un logiciel d'inventaire est rarement fiable. La plupart du temps, le logiciel d'inventaire détecte les drivers présents pour accéder à un équipement et non l'équipement lui-même.

ü Identification des matériels passifs : hubs, Switch... mais aussi fax ou photocopieurs ne sont pas reconnus par les logiciels d'inventaire automatisé.

I. Etapes à respecter

ü Avant l'inventaire : préparer la procédure pour les inventoristes et prévenir les utilisateurs.

ü Pendant l'inventaire : vérifier régulièrement (de préférence sur une base quotidienne) la qualité des informations collectées.

ü Après l'inventaire : mettre en place une stratégie claire de suivi des changements dans le parc informatique pour une mise à jour en temps réel des informations. Il faut entre autres identifier les entrées de nouveaux matériels dans le parc. Sachant qu'un parc informatique est en moyenne renouvelé tous les 3 ans, le fait de ne pas suivre les changements après un inventaire fait que l'inventaire est faux à 33 % un an seulement après la fin de l'inventaire.

J. Communication menée autour de l'inventaire

Le poste de travail informatique est très souvent considéré comme un outil personnel. Le fait de passer pour relever un certain nombre d'informations peut être perçu comme un acte "d'espionnage " de la part des utilisateurs. Pour éviter ce type de réactions, il est indispensable d'expliquer l'opération. Communication préliminaire : Etant donné que chaque utilisateur sera concerné par l'inventaire (voire dérangé dans son travail), il convient d'avertir la population de l'entreprise en expliquant le "pourquoi " et le " comment " : maîtrise des configurations, réduction de la taxe professionnelle, recensement des licences logicielles, rapprochement avec les immobilisations...

ü Communication post-inventaire: une fois l'inventaire réalisé, remercier les utilisateurs de leur coopération et leur faire connaître quelques chiffres intéressants (répartition des machines par type, par service...). Cette phase peut aussi être l'occasion de les sensibiliser sur l'intérêt d'avertir le service informatique lors des changements liés au parc (installation de nouveaux équipements, déménagements...).

Dans tous les cas, il est indispensable d'identifier le responsable de la communication pour le projet, le moyen d'information à utiliser (courrier, note interne, messagerie...), ainsi que la cible visée lors de la première communication: chef de service ou utilisateur final.

Points importants à signaler dans le message : pas de volonté de " flicage ", rappel de la loi en matière de piratage, accès libres aux sites...

K. Durée d'inventaire

Un inventoriste préparé et disposant de tous les outils passera 20 à 30 minutes par postes, soit 20 postes par jour. Une phase pilote sur une partie représentative du parc permettra d'obtenir des délais plus précis. De nombreux facteurs sont à prendre en compte :

ü dispersion géographique,

ü précision de l'inventaire,

ü outils utilisés (un inventaire logiciel est plus rapide qu'un inventaire papier).

ü Niveau de sécurité : un inventaire logiciel peut nécessiter le passage d'une disquette d'inventaire sur chaque poste. Dans ce cas, il est recommandé d'intégrer à la procédure un contrôle anti-virus. Dans le cas contraire, l'inventoriste risque de propager un virus en sommeil sur un poste de travail.

2. Audit Réseaux

En Informatique le terme « Audit » apparu dans les années 70 a été utilisé de manière relativement aléatoire. Nous considérons par la suite un « audit de sécurité informatique » comme une mission d'évaluation de conformité sécurité par rapport à un ensemble de règles de sécurité.^6(*)

Une mission d'audit ne peut ainsi être réalisée que si l'on a définit auparavant un référentiel, un ensemble de règles organisationnelles, procédurales ou technique de référence. Ce référentiel permet au cours de l'audit d'évaluer le niveau de sécurité réel de terrain par rapport à une cible.

A. Définition

Un audit de sécurité consiste à s'appuyer sur un tiers de confiance afin de valider les moyens de protection mis en oeuvre.

Un audit de sécurité permet de s'assurer que l'ensemble des dispositions prises par l'entreprise sont réputées sures.

B. Contenu de l'audit

L'opération d'audit prend notamment en compte des éléments suivants :

· Descriptif des matériels, logiciels et documentations.

· Appréciation globale de l'adéquation entre les besoins et le système d'information existant.

· Examen des méthodes d'organisation, de contrôle et de planification des services informatiques.

· Appréciation de la formation, de la qualification et de l'aptitude du personnel.

· Appréciation de la qualité, de l'accès, de la disponibilité et de la facilité de compréhension de la documentation.

C. la qualité des services de sécurité :

1. Définition :

La qualité de service désigne l'ensemble de paramètre échangé pendant une communication avec connexion pour que les informations passent correctement.

Appliquée aux réseaux à commutation de paquets « réseau basé sur l'utilisation de routeurs », la qualité de service « QOS » désigne l'aptitude à pouvoir garantir un niveau acceptable de perte de paquets, défini contractuellement, pour un usage donné.

Les services de sécurité peuvent avoir des niveaux de performance très différents selon les mécanismes employés .ces niveaux couvrent :

· l'efficacité des services de sécurité.

· leur robustesse (puissance)

· leur mise sous contrôle.

1.1. L'efficacité des services de sécurité :

De même que certaines serrures (fermetures) sont plus faciles à violer que d'autre, les services de sécurité sont conçus pour résister à des niveaux d'attaque variables, selon les mécanismes mis en oeuvre, ce qui les rend plus ou moins efficaces.

1.2. Leur robustesse :

De même que certaines protections actives devenir défaillantes sans que cela provoque une réaction, les services de sécurité peuvent être étudiés pour détecter toute anomalie par des mécanismes complémentaires, ce qui les rend plus ou moins robustes.

1.3. Leur mise sous contrôle

De même qu'un responsable ne sera véritablement sur de la protection apportée par la serrure de sécurité que s'il s'assure que les occupants ferment effectivement à clé l'issue concernée ;, les services de sécurité peuvent être accompagnés de mesure de contrôle destinés à garantir la pérennité des mesures pratiques mises en place, ce qui les rend plus ou moins ( sous contrôle).

D. Les risques de sécurité informatique :

1. Les types de risques :

En ce qui concerne l'analyse de risque, on a défini 12 types de menaces.

Ø Accidents physiques.

Ø Malveillance physique

Ø Panne du SI

Ø Carence de personnel.

Ø Interruption de fonctionnement du réseau.

Ø Erreur de saisie.

Ø Erreur de transmission.

Ø Erreur d'exploitation.

Ø Erreur de conception/ développement.

Ø Copie illicite de logiciels.

Ø Indiscrétion/ détournement d'information

Ø Attaque logique du réseau.

2. Classification des risques

2.1. Les risques Humains :

Les risques humains sont les plus importants, ils concernent les utilisateurs mais également les informaticiens.

Ø Malveillances : Certains utilisateurs peuvent volontairement mettre en danger le système d'information en y introduisant en connaissance de causes des virus, ou en introduisant volontairement de mauvaises informations dans une base de données.^7(*)

Ø Maladresse : Comme en toute activité les humains commettent des erreurs, ils leur arrivent donc plus ou moins fréquemment d'exécuter un traitement non souhaité, d'effacer involontairement des données ou des programmes.

Ø Inconscience : De nombreux utilisateurs d'outils informatiques sont encore inconscients ou ignorants des risques qu'ils encourent aux systèmes qu'ils utilisent, et introduisent souvent des programmes malveillants sana le savoir.

2.2. Les risques Techniques :

Ø Programmes malveillants : C'est un logiciel développé dans le but de nuire à un système informatique. Voici les principaux types de programmes malveillants :

· Le virus : Programme se dupliquant sur d'autres ordinateurs.

· Le ver : Exploite les ressources d'un ordinateur afin d'assurer sa reproduction.

· Le Cheval de Troie : Programme à apparence légitime qui exécute des routines nuisibles sans l'autorisation de l'utilisateur.

Ø Accidents : il s'agit là d'un évènement perturbant les flux de données en l'absence de dommages aux équipements (panne, incendie, dégâts des eaux d'un serveur ou centre informatique,..).

Ø Erreurs : que ce soit une erreur de conception, de programmation de paramétrage ou de manipulation de données ou de leurs supports, l'erreur désigne les préjudices consécutifs à une intervention humaine dans le processus de traitement automatisé des données.

Ø Technique d'attaques par messagerie : en dehors de nombreux programmes malveillants qui se propagent par la messagerie électronique, il existe des attaques spécifiques tels que :

· Le Pourriel (Spam) : Un courrier électronique non sollicité, la plus part du temps de la publicité. Ils encombrent le réseau.

· l'Hameçonnage : un courrier électronique dont l'expéditeur se fait généralement passer pour un organisme financier et demandant au destinataire de fournir des informations confidentielles.

Ø Attaques sur le réseau : les principales techniques d'attaques sur le réseau sont :

· Le Sniffing : technique permettant de récupérer toutes informations transitant sur le réseau. Elle est généralement utilisée pour récupérer les mots de passe des applications qui ne chiffrent pas leurs communications.

· La Mystification (Spoofing) : technique consistant à prendre l'identité d'une autre personne ou d'une autre machine. Elle est généralement utilisée pour récupérer des informations sensibles.

* ⁵ http://fr.wikipedia.org

* ⁶ Dr ALA Eddine BAROUDI « audit de la sécurité informatique » institut montefiore, LIEGE, Belgique

* ⁷ M SILUE PANNA « audit et sécurité des systèmes d'informations » informaticien paris 2012