| Titre : | organisation et sécurité du système d'information et de communication selon les normes ISO 27 001/2/5 et l'approche MEHARI au sein du cabinet MAZARS | | Type de document : | projet fin études | | Auteurs : | Alaoui Youssef, Auteur | | Année de publication : | 2014 | | Langues : | Français (fre) | | Catégories : | Sécurité des systèmes d'information
| | Mots-clĂ©s : | Audit de sĂ©curitĂ©, Analyse de risque, ISO 27005, MEHARI, Tests d’intrusion, Plan de continuitĂ© d’activitĂ© | | Index. dĂ©cimale : | 1241/14 | | RĂ©sumĂ© : | Le présent document constitue une synthèse du travail réalisé dans le cadre du projet de fin d’études, effectué au sein de la société MAZARS. Il avait pour but d’y mener un audit du système d’information afin d’évaluer son niveau de maturité en terme de sécurité. Cette mission d’audit comporte aussi bien un audit organisationnel qu’un audit technique comportant une phase de tests d’intrusion.
A ce propos, nous avons suivi une démarche en trois phases. Tout d’abord, il a fallu définir le périmètre de l’audit et les objectifs à atteindre en concertation avec le Responsable de Sécurité des Systèmes d’Informations (RSSI) et le top management. Ce qui nous a permis d’identifier les personnes à questionner afin de connaître l’état des lieux en matière de sécurité au regard de la politique de sécurité en vigueur. La deuxième phase a été consacrée à l’analyse de risques qui est la phase clé de toute mission d’audit organisationnel. Pour cela, nous avons jugé convenable de commencer par une étude comparative entre les différentes méthodes d’analyse de risque (EBIOS, MEHARI,…) afin de choisir celle qui correspond le mieux au cas de MAZARS. La troisième phase s’est basée sur un ensemble de tests d’intrusion et d’analyse de vulnérabilités pour réaliser un audit technique du périmètre préalablement défini. Enfin, il va sans dire que la dernière phase de notre mission d’audit consistait à produire un ensemble de livrables portant essentiellement sur les recommandations et les mesures organisationnelles et techniques à mettre en place pour la mise à niveau de la politique de sécurité et ce en se basant sur les normes ISO 27001/2. En plus de la mission d’audit et pour assurer la continuité des activités et des processus métier de MAZARS en cas de crise ou d’incident majeur, nous avons élaboré une première version de la démarcher du plan de continuité d’activité.
|
organisation et sécurité du système d'information et de communication selon les normes ISO 27 001/2/5 et l'approche MEHARI au sein du cabinet MAZARS [projet fin études] / Alaoui Youssef, Auteur . - 2014. Langues : Français ( fre) | Catégories : | Sécurité des systèmes d'information
| | Mots-clĂ©s : | Audit de sĂ©curitĂ©, Analyse de risque, ISO 27005, MEHARI, Tests d’intrusion, Plan de continuitĂ© d’activitĂ© | | Index. dĂ©cimale : | 1241/14 | | RĂ©sumĂ© : | Le présent document constitue une synthèse du travail réalisé dans le cadre du projet de fin d’études, effectué au sein de la société MAZARS. Il avait pour but d’y mener un audit du système d’information afin d’évaluer son niveau de maturité en terme de sécurité. Cette mission d’audit comporte aussi bien un audit organisationnel qu’un audit technique comportant une phase de tests d’intrusion.
A ce propos, nous avons suivi une démarche en trois phases. Tout d’abord, il a fallu définir le périmètre de l’audit et les objectifs à atteindre en concertation avec le Responsable de Sécurité des Systèmes d’Informations (RSSI) et le top management. Ce qui nous a permis d’identifier les personnes à questionner afin de connaître l’état des lieux en matière de sécurité au regard de la politique de sécurité en vigueur. La deuxième phase a été consacrée à l’analyse de risques qui est la phase clé de toute mission d’audit organisationnel. Pour cela, nous avons jugé convenable de commencer par une étude comparative entre les différentes méthodes d’analyse de risque (EBIOS, MEHARI,…) afin de choisir celle qui correspond le mieux au cas de MAZARS. La troisième phase s’est basée sur un ensemble de tests d’intrusion et d’analyse de vulnérabilités pour réaliser un audit technique du périmètre préalablement défini. Enfin, il va sans dire que la dernière phase de notre mission d’audit consistait à produire un ensemble de livrables portant essentiellement sur les recommandations et les mesures organisationnelles et techniques à mettre en place pour la mise à niveau de la politique de sécurité et ce en se basant sur les normes ISO 27001/2. En plus de la mission d’audit et pour assurer la continuité des activités et des processus métier de MAZARS en cas de crise ou d’incident majeur, nous avons élaboré une première version de la démarcher du plan de continuité d’activité.
|
|
124/99 
Faire une suggestion Affiner la recherche
organisation et sécurité du système d'information et de communication selon les normes ISO 27 001/2/5 et l'approche MEHARI au sein du cabinet MAZARS / Alaoui Youssef
