Missions Audit

La mission d’audit des systèmes d’information des départements ministériels permettra de déceler les vulnérabilités liées aux systèmes d’information et de proposer des mesures correctives à travers un ensemble d’opérations de vérification et de contrôle. Il s’agit d’éviter toute violation des dispositions législatives et réglementaires relatives à la sécurité des systèmes d’information, et partant, toute violation des objectifs de sécurité fixés par l’Instruction Présidentielle n° 003/PR du 03 janvier 2017 relative à la Politique de Sécurité des Systèmes d’Information de l’Etat du Sénégal (PSSI-ES).

les missions d’audit des systèmes d’information des départements ministériels consistent à:

  • Effectuer des audits pour s’assurer que les objectifs d’audits sont atteints et que les politiques de sécurité sont conformes au normes de sécurité en vigueur, en transmettant les rapports d’audit aux Autorités concernées, accompagné des recommandations à mettre en œuvre pour corriger les éventuelles anomalies, conformément à la PSSI-ES ;
  • Faire appliquer, par tous les départements ministériels audités, les mesures proposées par l’auditeur et faire le rapport de conformité ;
  • Faire appliquer, par tous les départements ministériels, les lois et les règlements concernant l’utilisation, l’importation, l’exportation et la fourniture des moyens et des prestations de cryptologie, les droits de propriété intellectuel, la protection de la vie privée et des données à caractère personnel, la cybercriminalité et, partant, la cybersécurité.

1) Audit de l’Infrastructure physique

  • Connaitre l’état réel et la capacité d’évolution des systèmes d’information des départements ministériels ( matériels informatiques, téléphoniques fixes et mobiles, de radiocommunications, de contrôle d’accès etc…) ;
  • Faire l’inventaire des composants réseaux ( routeurs, modems Wifi, switchs etc…) et des liens de raccordement ;
  • Analyser l’infrastructure physique des départements ministériels (périmètre de sécurité physique, emplacement et protection des matériels, maintenance physique, contrôle d’accès physique, zone de livraison et de chargement…) ;

2) Audit organisationnel et logique

  • contrôler la configuration des postes de travail et des serveurs ;
  • contrôler les procédures d’installation de logiciels sur les systèmes d’exploitation ;
  • évaluer les spécifications logiques des serveurs ;
  • diagnostiquer et vérifier la configuration des réseaux ;
  • vérifier la conformité des applications ;
  • analyser les compatibilités et les conflits de logiciels possibles ;
  • vérifier les procédures et responsabilités liées à l’exploitation ;
  • vérifier la gestion des changements organisationnels aux processus métiers, aux systèmes et moyens de traitement de l’information.

3) Audit communicationnel

  • évaluer la cohérence et la fiabilité du réseau local ;
  • évaluer le système de messagerie ;
  • vérifier les interconnexions avec des réseaux tiers, notamment la connexion Internet et les autres raccordements télécom ;
  • analyser la fluidité du trafic et l’accès réseau.

4) Audit de la Sécurité des Systèmes d’Information

  • analyser les solutions de sauvegarde, de journalisation et de surveillance du réseau;
  • analyser le plan de continuité (panne serveur, réseaux, vol, incendie,…) ;
  • évaluer les dispositifs de sécurité des matériels, des données et du réseau (protection antivirale, pare-feu, filtrage internet,…) ;
  • fournir au prestataire la configuration des éléments de compilation et d’exécution, des applications dans les limites des droits dont dispose le Ministère ;
  • tenir des réunions avec les développeurs ou les responsables de la mise en œuvre du code source audité afin de disposer d’informations relatives au contexte applicatif, aux besoins de sécurité et aux pratiques liées au développement ;
  • éviter les fuites d’information et les altérations du fonctionnement du système d’information ;
  • effectuer des tests d’intrusion dans des conditions réelles d’une attaque, afin de découvrir des vulnérabilités sur les systèmes d’information audités et de vérifier leur exploitabilité et leur impact. Ces tests peuvent être effectués en trois phases :
  • phase boîte noire : l’auditeur ne dispose d’aucune autre information que les adresses IP et URL associées à la cible auditée ;
  • phase boîte grise : l’auditeur dispose des connaissances d’un utilisateur standard du système d’information (authentification légitime, poste de travail « standard », etc.) ;
  • phase boîte blanche : l’auditeur dispose du maximum d’informations techniques (architecture, code source, contacts téléphoniques, identifiants, etc.) ;
  • définir un profil d’attaquant simulé ;
  • être en contact permanent avec l’audité, pour prévenir  toute action qui pourrait entraîner un dysfonctionnement, voire un déni de service de la cible auditée ;
  • ne pas exploiter les vulnérabilités découvertes après les tests d’intrusion sauf accord du ministère de qui relèvent les systèmes d’information audités ;
  • communiquer audit ministère les vulnérabilités non publiques découvertes lors de l’audit.

5) Audit des projets et des marchés liés aux systèmes d’information

  • vérifier que les ressources mises à la disposition de l’équipe projet (matériels, applications, supports) sont adaptées, et que les règles, notamment celles relatives à la sécurité́ des systèmes d’information (SSI) sont conformes. Vérifier également qu’elle inclut des personnes capables de traiter les enjeux informatiques de la cible du projet ;
  • l’auditeur devra se procurer :
  • le document de management du projet et les objectifs qui lui sont assignés;
  • la description des processus ciblés ;
  • l’inventaire et la cartographie des données, applications et systèmes d’information impactés ou mis en place par le projet.

6) Audit de la Conformité et réglementation 

  • évaluer le respect de la législation :
  • loi n° 2008-41 du 20 août 2008 sur la cryptologie et ses décrets d’application n° 2010-1209 du 13 septembre 2010 et n° 2012-1508 du 31 décembre 2012 ;
  • loi n° 2008-12 du 25 janvier 2008 sur la protection des données à caractère personnel et son décret d’application n° 2008-720 du 30 juin 2008 ;
  • loi n° 2008-08 du 25 janvier 2008 portant sur les transactions électroniques ;
  • loi n° 2008-11 du 25 janvier 2008 portant sur la cybercriminalité ;
  • le décret n° 2021-35 du 15 janvier 2021 portant création de la Direction générale du Chiffre et de la Sécurité des Systèmes d’Information (DCSSI) ;
  • l’arrêté n° 01040 du 29 janvier 2016 portant création de la sous-commission de normalisation des moyens et des prestations de cryptologie ;
  • licences logicielles.
  • analyser les contrats de garantie et de services sur les différents composants mis en œuvre.