Vous êtes sur la page 1sur 155

MEHARI™ 2007 Edition 2

Présentation de la base de connaissance de Méhari


Onglet Objectif
Licence Rappel de la licence MEHARI
Base_scen Base contenant tous les scénarios de risque et les formules permettant d'évaluer les risques
Liste des services et sous-services de sécurité par Domaine (01 à 12). Pour chaque service
Services technique, la base indique également quels scénarios y font appel
Thèmes de sécurité Mehari : regroupement des services et sous-services en 8 centres d’intérêts
Thèmes de sécurité MEHARI et 16 axes de représentation
Tableau d'impact intrinsèque (Classif) et tableaux de classification permettant de bâtir le tableau
Classif et tableaux T1 à T3 d'impact intrinsèque
Expo Tableau des expositions naturelles
01 Org à 12 Jur (12 onglets) Questionnaires d'audit de vulnérabilité relatifs aux domaines (01 à 12) de sécurité MEHARI
Grilles IP Calcul du status RI (Réduction d’Impact) et de P (Potentialité) des scénarios
Calcul de la Gravité du risque en fonction de la Potentialité et de la Réduction d’Impact suite à
Gravité l'existence ou non des mesures de sécurité.
Table de correspondance entre les clauses de la norme ISO/IEC 17799:2005 et les domaines et
Scoring ISO les services de MEHARI

Envoyer questions, remarques ou commentaires sur le forum : http://mehari.info/

Date Revision status and comments


Février 2007 Edition 1
Février 2009 Edition 2
Compléments dans tableau T3 et corrections de diverses erreurs typographiques
Changement d'adresse pour questions et remarques

Espace Méthodes

MEHARI 2007-ed2 ! Présentation 1 Février 2009


Club de la Sécurité de l'Information Français
30, rue Pierre Sémard, 75009 PARIS
T : +33 1 53 25 08 80 / F : +33 1 53 25 08 88
http://www.clusif.asso.fr/ - clusif@clusif.asso.fr

MEHARI 2007-ed2 ! Présentation 2 Février 2009


Le CLUSIF rappelle que MEHARI est destiné à des professionnels de la sécurité et vous invite à prendre connaissance
de la licence d’utilisation et de redistribution ci-dessous :

Mehari Public License


Version 2007 : 17 January 2007

MEHARI is an Information security risk management method provided as a knowledge base associated with the following documents:
- manuel de référence des services de sécurité,
- manuel de référence des situations de risque.

Redistribution and use of this knowledge base and associated documentation ("MEHARI"), with or without modification,
are permitted provided that the following conditions are met:
1. Redistributions in any form must reproduce applicable copyright statements and notices, this list of conditions,
and the following disclaimer in the documentation and/or other materials provided with the distribution, and
2. Redistributions must contain a verbatim copy of this document.

The CLUSIF may revise this license from time to time.


Each revision is distinguished by a version number.
You may use Mehari under terms of this license or under the terms of any subsequent revision of the license.

MEHARI IS PROVIDED BY THE CLUSIF AND ITS CONTRIBUTORS “AS IS” AND ANY EXPRESSED OR IMPLIED WARRANTIES,
INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
ARE DISCLAIMED.
IN NO EVENT SHALL THE CLUSIF, ITS CONTRIBUTORS, OR THE AUTHOR(S) OR OWNER(S) OF MEHARI BE LIABLE FOR ANY DIRECT,
INDIRECT,
INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
SUBSTITUTE
GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY
OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
ARISING IN ANY WAY OUT OF THE USE OF MEHARI EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.

The names of the authors and copyright holders must not be used in advertising or otherwise to promote the sale, use or other dealing in Mehari
without specific, written prior permission. Title to copyright in MEHARI shall at all times remain with copyright holders.

MEHARI is a registered trademark of the CLUSIF.

Copyright 1997-2007 The CLUSIF, PARIS, France.


https://www.clusif.asso.fr/

MEHARI 2007-ed2 ! Licence 3 Février 2009


clusif@clusif.asso.fr
All Rights Reserved. Permission to copy and distribute verbatim copies of this document is granted.

Note : this is a permissive non-copyleft free software license that is compatible with the GNU GPL. http://www.gnu.org/

MEHARI 2007-ed2 ! Licence 4 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n

01 Indisponibilité passagère de ressources


01.10Absence de personnel
01.11 Absence de personnel d'exploitation P02 AV01 01E02 D V 0
(conflit social du personnel d'exploitation),
01.12 Départ de personnel stratégique P01 AV02 01C02 01D04 D V 0
01.13 Disparition de personnel stratégique P01 AC10 01C02 01D04 D A 0
01.20Accident ou panne mettant hors service une ou plusieurs ressources matérielles
01.21 Accident de nature électrique (court- R01 AC01 min(03A01;03A max(04A01;04A 01D01 D A 0
a circuit), mettant hors service un 04) 07;01E02)
équipement du réseau étendu

01.21 Accident de nature électrique (court- R02 AC01 min(03A01;03A max(05A02;05A 01D01 D A 0
b circuit), mettant hors service un 04) 08;01E02)
équipement du réseau local

01.21c Accident de nature électrique (court- S01 AC01 min(03A01;03A max(07D01;09E 01D01 D A 0
circuit), mettant hors service un système 04) 01;min(08D06;0
informatique central. 9E02);01E02)

01.22 Accidents dus à l'eau ou à des liquides R01 AC04 03C01 max(04A01;04A 01D01 D A 0
a (fuite d'une canalisation, liquides 07;01E02)
renversés accidentellement, etc.), mettant
hors service un équipement du réseau
01.22 Accidents
étendu dus à l'eau ou à des liquides R02 AC04 03C01 max(05A02;05A 01D01 D A 0
b (fuite d'une canalisation, liquides 08;01E02)
renversés accidentellement, etc.), mettant
hors service un équipement du réseau
local
01.22c Accidents dus à l'eau ou à des liquides S01 AC04 03C01 max(07D01;09E 01D01 D A 0
(fuite d'une canalisation, liquides 01;min(08D06;0
renversés accidentellement, etc.), mettant 9E02);01E02)
hors service un système informatique
central.
01.23 Panne rendant indisponible un R01 AC12 04A01 max(04A01;04A 01D01 D A 0
a équipement du réseau étendu 03)

01.23 Panne rendant indisponible un R02 AC12 05A02 max(05A02;05A 01D01 D A 0


b équipement du réseau local 04)

01.23c Panne rendant indisponible un système S01 AC12 09E01 max(07D01;08D 01D01 D A 0
informatique central (serveur, imprimante, 01)
système de sauvegarde, etc.)

MEHARI 2007-ed2 ! Base_scen 5 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n
01.23 Panne rendant indisponible un système S03 AC12 11D01 01D01 D A 0
d terminal mis à la disposition des
utilisateurs (PC, imprimante, périphérique
spécifique, etc.)

01.23 Servitude indispensable HS : arrêt de la S01 AC11 03A03 01D01 D A 0


e climatisation entraînant l'arrêt des
équipements informatiques (panne grave
ou rupture de canalisation d'eau)

01.24 Accident de nature électrique externe à S01 AC08 03A02 min(08D06;09E 01D01 D A 0
a l'entreprise (court-circuit extérieur, coupure 02)
d'un câble, défaillance extérieure, etc.)
empêchant de fonctionner les systèmes
centraux.

01.24 Accident de nature électrique externe à E01 AC08 03A02 11D07 01D01 D A 0
b l'entreprise (court-circuit extérieur, coupure
d'un câble, défaillance extérieure, etc.)
rendant indisponible l'environnement de
travail des utilisateurs.

01.30Bug logiciel
01.31 Arrêt d'une application critique dû à un bug A01 ER05 08A04 08D02 01D02 D E 0
a système ou à un bug de progiciel
01.31 Arrêt d'une application critique dû à un bug A01 ER06 08A04 10A04 01D02 D E 0
b d'un logiciel interne
01.31c Arrêt d'une application critique dû à un bug A04 ER05 11D02 01D02 D E 0
d'un progiciel spécifique utilisateur
01.40Impossibilité de maintenance
01.41 Défaillance matérielle d'un équipement du R01 AC12 max(04A07;04A 01D01 D A 0
a réseau étendu impossible à résoudre par 08)
la maintenance, ou indisponibilité du
prestataire
01.41 Défaillance matérielle d'un équipement du R02 AC12 max(05A08;05A 01D01 D A 0
b réseau local impossible à résoudre par la 09)
maintenance, ou indisponibilité du
prestataire
01.41c Défaillance matérielle d'un système S01 AC13 max(08D08;min 01D01 D A 0
informatique central impossible à résoudre (08D06;09E02))
par la maintenance, ou indisponibilité du
prestataire

MEHARI 2007-ed2 ! Base_scen 6 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n
01.42 Blocage applicatif impossible à résoudre A01 AC14 09E03 01D02 D E 0
par la maintenance, pour cause de
disparition du prestataire ou du
fournisseur.
01.50Vandalisme depuis l'extérieur
01.51 Tir d'armes légères ou lancement de R01 MA01 04A03 01D01 D V 1
a projectiles depuis la rue, rendant
indisponible des équipements du réseau
étendu.
01.51 Tir d'armes légères ou lancement de R02 MA01 05A04 01D01 D V 1
b projectiles depuis la rue, rendant
indisponible des équipements du réseau
local.
01.51c Tir d'armes légères ou lancement de S01 MA01 08D01 01D01 D V 0
projectiles depuis la rue, rendant
indisponibles des systèmes informatiques
centraux.
01.60Vandalisme intérieur.
01.61 Petit vandalisme sur les équipements du R01 MA02 03B06 min(03B01;03B 03B04 04A03 01D01 D V 1
a réseau étendu, par des personnes 02;03B03)
autorisées à pénétrer dans l'établissement
(personnel, sous-traitants, etc.).

01.61 Petit vandalisme sur les équipements du R02 MA02 03B06 min(03B01;03B 03B04 05A04 01D01 D V 1
b réseau local, par des personnes 02;03B03)
autorisées à pénétrer dans l'établissement
(personnel, sous-traitants, etc.).

01.61c Petit vandalisme sur les systèmes S01 MA02 03B06 min(03B01;03B 03B04 08D01 01D01 D V 1
informatiques centraux, par des personnes 02;03B03)
autorisées à pénétrer dans l'établissement
(personnel, sous-traitants, etc.).

01.61 Vandalisme touchant l'ensemble d'une I01 MA02 03B06 min(03B01;03B max(03B02;0 min(04A03;05A 01D01 D V 1
d salle informatique et télécom, par des 02;03B03) 3B04) 04;08D01)
personnes autorisées à pénétrer dans
l'établissement (personnel, sous-traitants,
etc.).
01.62 Petit vandalisme sur le câblage ou des R01 MA02 03B07 01D01 D V 1
a baies de câblage du réseau étendu, par
des personnes autorisées à pénétrer dans
l'établissement (personnel, sous-traitants,
etc.).
01.62 Petit vandalisme sur le câblage ou des R02 MA02 03B07 01D01 D V 1
b baies de câblage du réseau local, par des
personnes autorisées à pénétrer dans
l'établissement (personnel, sous-traitants,
etc.).

MEHARI 2007-ed2 ! Base_scen 7 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n

01.70Indisponibilité totale des locaux


01.71 Interdiction totale d'accès décrétée par les R01 AC09 max(04A02;04A 01D02 D A 0
a autorités entraînant un arrêt du réseau 07)
étendu
01.71 Interdiction totale d'accès décrétée par les S01 AC09 max(min(05A03 01D02 D A 0
b autorités entraînant un arrêt des systèmes ;08A03);min(08
centraux D06;09E02))
01.71c Interdiction totale d'accès décrétée par les E01 AC09 11D07 01D02 D A 0
autorités empêchant les utilisateurs
d'accéder à leurs bureaux
02 Destruction d'équipements
02.10Catastrophe naturelle ou acidentelle
02.11 Catastrophe naturelle ou acidentelle : R01 AC02 03A05 04A07 01D01 D A 0
a Chute de la foudre endommageant
gravement des équipements du réseau
étendu
02.11 Catastrophe naturelle ou acidentelle : R02 AC02 03A05 05A08 01D01 D A 0
b Chute de la foudre endommageant
gravement des équipements du réseau
local
02.11c Catastrophe naturelle ou acidentelle : S01 AC02 03A05 min(08D06;09E 01D01 D A 0
Chute de la foudre endommageant 02)
gravement des systèmes centraux

02.20Incendie
02.21 Incendie : accident interne (corbeille à R01 AC03 03D01 min(03D02;0 04A07 01D01 D A 1
a papier, cendrier, etc.) endommageant 3D03)
gravement des équipements du réseau
étendu
02.21 Incendie : accident interne (corbeille à R02 AC03 03D01 min(03D02;0 05A08 01D01 D A 1
b papier, cendrier, etc.) endommageant 3D03)
gravement des équipements du réseau
02.21c Incendie : accident interne (corbeille à S01 AC03 03D01 min(03D02;0 min(08D06;09E 01D01 D A 1
papier, cendrier, etc.) endommageant 3D03) 02)
gravement des systèmes centraux
02.21 Incendie : accident interne (corbeille à I01 AC03 03D01 min(03D02;0 min(04A07;05A 01D01 D A 1
d papier, cendrier, etc.) endommageant 3D03) 08;08D06;09E0
gravement l'ensemble d'une salle 2)
informatique et télécom
02.22 Incendie naissant à l'occasion d'un court- R01 AC01 03D01 min(03D02;0 04A07 01D01 D A 1
a circuit et endommageant gravement des 3D03)
équipements du réseau étendu
02.22 Incendie naissant à l'occasion d'un court- R02 AC01 03D01 min(03D02;0 05A08 01D01 D A 1
b circuit et endommageant gravement des 3D03)
équipements du réseau local

MEHARI 2007-ed2 ! Base_scen 8 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n
02.22c Incendie naissant à l'occasion d'un court- S01 AC01 03D01 min(03D02;0 min(08D06;09E 01D01 D A 1
circuit et endommageant gravement des 3D03) 02)
systèmes centraux
02.30Inondation
02.31 Inondation due à une canalisation percée R01 AC05 03C01 min(03C02;0 04A07 01D01 D A 1
a ou crevée et rendant indisponibles des 3C03)
équipements du réseau étendu
02.31 Inondation due à une canalisation percée R02 AC05 03C01 min(03C02;0 05A08 01D01 D A 1
b ou crevée et rendant indisponibles des 3C03)
équipements du réseau local
02.31c Inondation due à une canalisation percée S01 AC05 03C01 min(03C02;0 min(08D06;09E 01D01 D A 1
ou crevée et rendant indisponibles des 3C03) 02)
systèmes centraux
02.31 Inondation due à une canalisation percée I01 AC05 03C01 min(03C02;0 min(04A07;05A 01D01 D A 1
d ou crevée et rendant indisponible 3C03) 08;08D06;09E0
l'ensemble d'une salle informatique et 2)
02.32 Catastrophe naturelle telle que crue d'une R01 AC06 min(03C02;0 04A07 01D01 D A 1
a rivière, remontée de la nappe phréatique, 3C03)
débordement du réseau d'égouts, tornade
avec destruction de la couverture,
etc.mettant hors service des équipements
du réseau étendu
02.32 Catastrophe naturelle telle que crue d'une R02 AC06 min(03C02;0 05A08 01D01 D A 1
b rivière, remontée de la nappe phréatique, 3C03)
débordement du réseau d'égouts, tornade
avec destruction de la couverture, etc.
mettant hors service des équipements du
réseau local
02.32c Catastrophe naturelle telle que crue d'une S01 AC06 min(03C02;0 min(08D06;09E 01D01 D A 1
rivière, remontée de la nappe phréatique, 3C03) 02)
débordement du réseau d'égouts, tornade
avec destruction de la couverture, etc.
mettant hors service des systèmes
centraux
02.33 Inondation due à l'extinction d'un incendie R01 AC07 04A07 01D01 D A 0
a voisin, mettant hors service des
équipements du réseau étendu
02.33 Inondation due à l'extinction d'un incendie R02 AC07 05A08 01D01 D A 0
b voisin, mettant hors service des
équipements du réseau local
02.33c Inondation due à l'extinction d'un incendie S01 AC07 min(08D06;09E 01D01 D A 0
voisin, mettant hors service des systèmes 02)
centraux
02.40Terrorisme ou sabotage depuis l'extérieur

MEHARI 2007-ed2 ! Base_scen 9 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n
02.41 Terrorisme sabotage par des agents R01 MA03 04A07 01D01 D V 0
a extérieurs : explosifs déposés à proximité
des locaux sensibles, mettant hors service
des équipements du réseau étendu
02.41 Terrorisme sabotage par des agents R02 MA03 05A08 01D01 D V 0
b extérieurs : explosifs déposés à proximité
des locaux sensibles, mettant hors service
des équipements du réseau local
02.41c Terrorisme sabotage par des agents S01 MA03 min(08D06;09E 01D01 D V 0
extérieurs : explosifs déposés à proximité 02)
des locaux sensibles, mettant hors service
des systèmes centraux
03 Performances dégradées
03.10modification du logiciel
03.11 Dégradation involontaire des A01 ER01 min(08A04;10B 08D04 01D02 D E 0
performances applicatives, à l'occasion 05)
d'une opération de maintenance corrective
ou évolutive de logiciel ou de progiciel
03.20modification du matériel
03.21 Dégradation involontaire de performances, R01 ER01 06A03 04A03 01D01 D E 0
a à l'occasion d'une opération de
maintenance matérielle évolutive d'un
équipement du réseau étendu (hors
03.21 Dégradation involontaire de performances, R02 ER01 06A03 05A04 01D01 D E 0
b à l'occasion d'une opération de
maintenance matérielle évolutive d'un
équipement du réseau local (hors
03.21c Dégradation involontaire de performances, S01 ER01 08A05 08D01 01D01 D E 0
à l'occasion d'une opération de
maintenance matérielle à la suite d'une
panne d'un système central
03.30Surutilisation accidentelle de ressources informatiques ou réseau
03.31 Dégradation des performances du réseau R01 AC15 04A01 04D01 04A04 D A 1
a étendu due à une saturation accidentelle
de ressources résultant d'un incident ou
d'une panne sur un équipement du réseau
03.31 Dégradation des performances du réseau R02 AC15 05A02 05D01 05A05 D A 1
b local due à une saturation accidentelle de
ressources résultant d'un incident ou d'une
panne sur un équipement du réseau
03.31c Dégradation des performances A01 AC15 07D01 08E01 08D03 D A 1
applicatives due à une saturation
accidentelle de ressources résultant d'un
03.40Surutilisation malveillante de ressources informatiques ou réseau

MEHARI 2007-ed2 ! Base_scen 10 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n
03.41 Dégradation des performances A01 MA04 min(07C01;07C 08E01 min(08E02;0 01D02 D V 1
applicatives due à la saturation répétitive 02) 8E03)
malveillante de moyens informatiques par
un groupe d'utilisateurs
03.42 Dégradation de performances du réseau R01 MA05 min(08D07;11D 04D01 04A04 01D02 D V 1
a étendu due à la saturation du réseau par 06)
un ver
03.42 Dégradation de performances du réseau R02 MA05 min(08D07;11D 05D01 05A05 01D02 D V 1
b local due à la saturation du réseau par un 06)
ver
04 Destruction de software
04.10Effacement de code exécutable ou de configurations
04.11 Effacement direct de code exécutable par A01 MA06 08F03 08D04 01D02 D V 0
une personne autorisée (exploitation,
support informatique, maintenance, etc.)
04.12 Ecrasement total ou pollution massive des R03 MA13 min(06C01;06C 06C03 min(04A05;04A 01D02 D V 1
a configurations du réseau étendu, par un 02) 06)
membre du personnel (non administrateur)
04.12 Ecrasement total ou pollution massive des R04 MA13 min(06C01;06C 06C03 min(05A06;05A 01D02 D V 1
b configurations du réseau local par un 02) 07)
membre du personnel (non administrateur)
04.12c Ecrasement total ou pollution massive des S02 MA14 min(08F01;08F0 08F03 08D04 01D02 D V 1
configurations systèmes par un membre 2)
du personnel (non administrateur)
04.12 Ecrasement total ou pollution massive des A03 MA14 min(08F01;08F0 08F03 08D04 01D02 D V 1
d configurations applicatives par un membre 2)
du personnel (non administrateur)

04.20Ecrasement accidentel d'un disque fixe


04.21 Ecrasement accidentel d'un disque fixe A01 AC20 08D04 01D02 D A 0
contenant des programmes exécutables
dû à une panne de matériel
04.30Effacement accidentel de logiciel
04.31 Effacement accidentel de logiciel A01 ER02 08D04 01D02 D E 0
exécutable par erreur humaine
04.40Vol ou effacement d'un support amovible
04.41 Vol ou effacement d'un support amovible A02 MA11 03B06 08D04 01D02 D V 0
contenant le code source d'un logiciel
dans les locaux informatiques, par une
personne autorisée
04.42 Vol répété de bandes archives de A02 MA11 08C03 08C03 08C03 08D09 01D02 D V 1
programmes dans les locaux de stockage
des media, par une personne non
04.50 Effacement ou destruction de configurations logicielles utilisateurs

MEHARI 2007-ed2 ! Base_scen 11 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n
04.51 Effacement de configurations utilisateurs S03 AC17 11D06 11D03 01D02 D V 1
a par un virus
04.51 Effacement de logiciels spécifiques A04 AC17 11D06 11D03 01D02 D V 1
b utilisateurs par un virus
05 Altération de logiciel
05.10Altération malveillante des fonctionnalités prévues d'une application via une bombe logique ou une porte dérobée,...
05.11 Altération malveillante des fonctionnalités A02 MA07 10B01 10B01 01D02 I V 1
prévues d'une application via une bombe
logique ou une porte dérobée, par les
équipes de développement,
05.12 Altération malveillante des fonctionnalités A02 MA07 10B05 10B05 01D02 I V 1
prévues d'une application via une bombe
logique ou une porte dérobée, par la
maintenance,
05.13 Altération malveillante des fonctionnalités A02 MA07 max(07C02;08F max(08B02;08B 09B04 01D02 I V 1
prévues d'une application via une bombe 03) 03)
logique ou une porte dérobée, par le
personnel d'exploitation.

05.14 Altération malveillante des fonctionnalités A02 MA07 07C02 max(min(07A01 09B04 01D02 I V 1
prévues d'une application via une bombe ;07A02;07A03;0
logique ou une porte dérobée, par un 7A04);08B02;08
utilisateur B03)

05.20Modification volontaire des fonctionnalités prévues d'une application informatique


05.21 Modification volontaire des fonctionnalités A02 MA07 10B01 10B01 01D02 I V 1
prévues d'une application par les équipes
de développement,
05.22 Modification volontaire des fonctionnalités A02 MA07 10B05 10B05 01D02 I V 1
prévues d'une application par la
maintenance,
05.23 Modification volontaire des fonctionnalités A02 MA07 max(07C02;08F min(08B02;08B 09B04 01D02 I V 1
prévues d'une application par le personnel 03) 03)
d'exploitation.
05.30Modification volontaire ou accidentelle des fonctionnalités prévues d'une fonction bureautique (macro-instruction, feuille de calcul, etc.)
05.31 Modification malveillante des fonctions ou D02 MA07 11C04 11D04 01D02 I V 1
a macro-instructions d'une fichier
bureautique (Excel, Access, etc.) par une
personne ayant accès à l'espace de travail
partagé où est archivé le fichier.
05.31 Modification malveillante des fonctions ou D03 MA07 max(11C01;11C 11D05 01D02 I V 1
b macro-instructions d'un fichier bureautique 04)
(Excel, Access, etc.) stocké sur le poste de
travail de l'utilisateur

MEHARI 2007-ed2 ! Base_scen 12 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n
05.32 Modification accidentelle ou D02 ER07 11D04 01D02 I E 1
malencontreuse des fonctions ou macro-
instructions d'un fichier bureautique
(Excel, Access, etc.) par un utilisateur d'un
06 Altération de données
06.10Accident de traitement
06.11 Accident d'exploitation D01 AC16 08D03 08E02 max(min(08D05 01D02 I A 1
;09D03);09D02)
06.12 Altération accidentelle des données D01 ER03 10B05 max(min(08D05 01D02 I A 1
a pendant la maintenance ;09D03);09D02)
06.12 Altération accidentelle des données D01 ER03 10B06 max(min(08D05 01D02 I A 1
b pendant une opération de maintenance à ;09D03);09D02)
chaud
06.20Erreur de saisie
06.21 Erreur pendant le processus de saisie, D01 ER04 09B03 09B04 01D02 I E 1

07 Manipulation de données
07.10Données applicatives faussées pendant la transmission
07.11 Données applicatives faussées pendant la D06 MA08 max(04C01;04C 09B04 01D02 I V 1
transmission sur le réseau étendu par un 02;09B02;09C0
pirate agissant de l'extérieur 1)
07.12 Données applicatives faussées pendant la D06 MA08 max(03B04;03B max(min(03B01 09B04 01D02 I V 1
a transmission par un membre du personnel 05;03B06) ;03B02;03B03);
manipulant un équipement de réseau local 05C01;05C02;m
in(06C01;06C02
);09B02;09C01)
07.12 Données applicatives faussées pendant la D06 MA08 max(03B07;05C 09B04 01D02 I V 1
b transmission par un membre du personnel 01;05C02;09B0
branchant un équipement parasite en 2;09C01)
coupure sur le réseau local (man in the
middle)
07.12c Données applicatives faussées pendant la D06 MA08 max(05C03;05C 09B04 01D02 I V 1
transmission entre un utilisateur nomade 04)
et le réseau interne
07.20Rejeu de transaction
07.21 Rejeu de transaction. D06 MA08 max(04C01;09C 09F03 01D02 I V 1
01;09F02)
07.30Saisie faussée de données
07.31 Saisie de fausses données par un agent D01 MA08 09B03 09B03 09B04 01D02 I V 1
autorisé, mais déloyal
07.32 Saisie de fausses données par un D01 MA08 min(08F02;max( 09B04 01D02 I V 1
membre du personnel usurpant l'identité min(07A03;07A
d'un utilisateur autorisé 04);min(09A03;
09A04)))

MEHARI 2007-ed2 ! Base_scen 13 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n

07.40Substitution volontaire de supports


07.41 Substitution volontaire de supports de D01 MA08 max(03B04;03B max(min(03B01 max(09B01;0 01D02 I V 1
données par un tiers non autorisé 05;03B06) ;03B02;03B03); 9B04)
08C02;09C02)
07.42 Substitution volontaire de supports de D01 MA08 03B06 09C02 max(09B01;0 01D02 I V 1
données par une personne autorisée 9B04)
(légitimement)
07.50Manipulation de fichiers
07.51 Manipulation de fichiers de données par D01 MA08 min(08F02;max( 09B04 01D02 I V 1
un tiers non autorisé usurpant l'autorité min(07A03;07A
d'un utilisateur autorisé 04);min(09A03;
09A04);09B01;0
9C02))
07.52 Manipulation de fichiers de données par D01 MA08 min(08F01;max( 09B04 01D02 I V 1
un membre du personnel autorisé min(07A01;07A
illégitime 02);min(09A01;
09A02)))
07.60Falsification de message
07.61 Faux message émis par un membre du D06 MA08 09F01 01D02 I V 0
personnel usurpant l'identité d'une
personne accréditée avec falsification de
07.62 Message faussé pendant la transmission D06 MA08 max(05C03;05C 01D02 I V 0
entre un utilisateur nomade et le réseau 04)
interne
07.63 Faux messages transmis par l'utilisation D09 MA08 05B09 01D02 I V 0
d'un faux site ou serveur simulant un site
ou serveur de l'entreprise

08 Divulgation de données ou d'informations


08.10Accès au système et consultation
08.11 Accès au système et consultation en ligne, D06 MA09 max(04B02;05B max(05A01;0 C V 1
a par un pirate se connectant depuis 04;min(07A03;0 5D01;08E01;
l'extérieur sur un port ouvert du réseau 7A04;08F02);mi 09G01)
étendu n(09A03;09A04;
08F02))
08.11 Accès au système et consultation en ligne, D06 MA09 max(min(05B01 max(05A01;0 C V 1
b par un tiers autorisé à pénétrer dans les ;05B02;05B03;0 5D01;08E01;
locaux et ayant accès (physique) au 5B07;06C02);mi 09G01)
réseau local interne (prise LAN dans une n(07A03;07A04;
08F02);min(09A
salle de réunion)
03;09A04;08F0
2))
08.12 Accès au système et consultation en ligne, D06 MA09 min(08F01;max( max(08E01;0 C V 1
par un membre du personnel autorisé min(07A01;07A 9G01)
illégitime 02);min(09A01;
09A02)))
08.20Captation d'informations fugitives

MEHARI 2007-ed2 ! Base_scen 14 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n
08.21 Captation d'informations fugitives : D06 MA09 max(03B07;05C 03B07 C V 1
branchement d'un équipement parasite sur 01;09C01)
le réseau local (gaines techniques), dans
les locaux de l'entreprise, par une
personne autorisée à y pénétrer
08.22 Captation d'informations fugitives : D06 MA09 max(min(06C01 max(05D01;0 C V 1
a modification distante d'un équipement de ;06C02);09C01) 6B01)
réseau, pour piéger les messages
échangés, par un utilisateur autorisé à se
connecter sur le réseau interne
08.22 Captation d'informations fugitives : D06 MA09 min(06A01;06C 09C01 max(06B01;0 C V 1
b modification d'un équipement de réseau, 03) 6C03)
pour piéger les messages échangés, par
un administrateur réseau
08.22c Captation d'informations fugitives : D06 MA09 max(06A04;09C min(04D02;0 C V 1
modification d'un équipement de réseau, 01) 4D03;05D02;
pour piéger les messages échangés, par 05D03;06B01
un pirate se connectant à un équipement )
de réseau par une liaison de
télémaintenance
08.22 Captation d'informations fugitives : D06 MA09 max(06A02;09C 06B01 C V 1
d modification d'un équipement de réseau, 01)
pour piéger les messages échangés, par
un pirate se connectant en exploitant une
faille connue mais non corrigée à la suite
d'une intervention ou d'une nouvelle
installation
08.23 Captation d'informations fugitives : écoute D06 MA09 05C03 C V 1
de la connexion d'un utilisateur nomade se
connectant depuis l'extérieur au réseau
interne
08.24 Captation d'informations fugitives : D06 MA09 09C03 C V 1
compromission électromagnétique
08.25 Transfert de données sensibles détourné D06 MA09 max(04B03;04C C V 1
par un pirate ayant connecté un 01)
équipement usurpant l'identité d'une entité
connectée au réseau étendu
08.30Vol de documents écrits ou imprimés
08.31 Vol de listings ou d'impressions pendant la D05 MA09 08A08 C V 0
a phase de diffusion (à l'extérieur des locaux
sensibles)
08.31 Vol de listings ou d'impressions par un D05 MA09 03B06 C V 0
b membre du personnel autorisé
illégitimement à pénétrer dans les locaux
de la production

MEHARI 2007-ed2 ! Base_scen 15 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n
08.32 Vol répétitif de documents dans des D04 MA09 11A04 min(11A01;11A max(11A03;1 C V 1
a bureaux, par un membre du personnel 02) 1A04)
(n'appartenant pas au service)
08.32 Vol répétitif de documents dans des D04 MA09 max(11A02;11A max(02A02;11A max(02A02;1 C V 1
b bureaux, par un ancien membre du 04) 02) 1A02;11A04)
personnel ayant conservé ses droits
08.32c Vol de documents dans des bureaux, par D04 MA09 11A04 11A01 11A04 C V 1
un visiteur
08.32 Vol de documents dans des bureaux, par D04 MA09 max(02A04;11A max(min(02A01 11A04 C V 1
d un espion ayant pénétré illégalement dans 03) ;02A02;02A03);
les locaux 11A01)
08.32 Vol de documents dans des bureaux, par D04 MA09 11A04 min(11B02;11B 11A04 C V 1
e une personne autorisée à y pénétrer en 03)
dehors des heures ouvrables (femmes de
ménage, services de surveillance, etc.)
08.33 Vol de courrier sensible, dans le local du D07 MA09 11B04 C V 1
courrier, en dehors des heures ouvrables
08.40Détournement d'informations en transit
08.41 Détournement de fax par vol dans un local D07 MA09 11B05 C V 1
où est situé un télécopieur
08.42 Détournement de fax par transfert de D07 MA09 11B06 11B06 C V 1
poste, par un membre du personnel
08.50Détournement d'informations temporaires générées par les systèmes
08.51 Détournement d'informations par un D06 MA09 08F03 07B01 08F03 C V 1
administrateur système ayant accès à des
ressources utilisateurs non effacées après
utilisation.
09 Détournement de fichiers de données
09.10Accès au système et copie de fichiers de données applicatives
09.11 Copie répétée de fichiers de données D01 MA10 max(04B02;05B max(05A01;0 C V 1
a applicatives par un pirate se connectant 04;min(07A03;0 5D01;08E01;
depuis l'extérieur sur un port ouvert du 7A04;08F02);mi 09G01)
réseau étendu n(09A03;09A04;
08F02))
09.11 Copie répétée de fichiers de données D01 MA10 max(06A04;min max(05A01;0 C V 1
b applicatives par un pirate se connectant (07A03;07A04;0 5D01;08E01;
depuis l'extérieur sur un port de 8F02);min(09A0 09G01)
télémaintenance réseau 3;09A04;08F02)
)max(min(05B01
09.11c Copie répétée de fichiers de données D01 MA10 max(05A01;0 C V 1
applicatives par une personne non ;05B02;05B03;0 5D01;08E01;
membre du personnel ayant accès aux 5B07;06C02);mi 09G01)
locaux et la possibilité de se connecter sur n(07A03;07A04;
08F02);min(09A
le LAN
03;09A04;08F0
2))

MEHARI 2007-ed2 ! Base_scen 16 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n
09.11 Copie répétée de fichiers de données D01 MA10 08A07 min(07C01;0 C V 1
d applicatives par un pirate se connectant 8E02)
directement sur un port de
télémaintenance système
09.11 Copie répétée de fichiers de données D01 MA10 max(05B06;min max(05A01;0 C V 1
e applicatives par un pirate se connectant (07A03;07A04;0 5D01;08E01;
depuis l'extérieur via un sous-réseau WiFi 8F02);min(09A0 09G01)
3;09A04;08F02)
09.12 Copie ponctuelle de fichiers de données D01 MA10 06B02 C V 0
applicatives par un pirate se connectant
via une liaison modem ouverte sur Internet
sur un poste utilisateur lui-même connecté
au réseau interne avec des sessions
ouvertes sur des serveurs autorisés
09.13 Accès au système et copie de fichiers de D01 MA10 min(07C01;08E max(07A02;09A min(07C01;0 C V 1
a données applicatives par un agent 02) 02) 8E02)
autorisé illégitime
09.13 Accès au système et copie de fichiers de D01 MA10 min(07C01;08E 08A05 min(07C01;0 C V 1
b données applicatives par un membre du 02) 8B01;08E02)
personnel exploitant une faille de sécurité
laissée ouverte après une opération de
maintenance
09.13c Accès au système et copie de fichiers de D01 MA10 max(min(07C01 10B01 min(07C01;0 C V 1
données applicatives par une personne du ;08E02);10B01) 8E02)
développement via une porte dérobée
placée dans une application
09.14 Accès aux disques système et copie de D01 MA10 08A06 C V 0
fichiers de données applicatives par du
personnel de maintenance à l'occasion
d'une opération de maintenance
09.15 Accès aux réseaux de stockage et lecture D01 MA10 08C06 C V 0
de fichiers de données applicatives par un
serveur non autorisé

09.20Vol de supports de données applicatives


09.21 Vol de supports de données applicatives D01 MA10 03B06 09C02 C V 0
pendant l'exploitation, par une personne
autorisée à manipuler les supports
09.22 Vol de supports de données applicatives D01 MA10 09C02 C V 0
pendant le transport
09.23 Vol de fichiers de données applicatives D01 MA10 08C03 max(08C03;09C C V 0
a dans les locaux de stockage des media 02)
sur site, par une personne non autorisée
09.23 Vol de fichiers de données applicatives D01 MA10 08C04 max(08C04;09C C V 0
b dans les locaux de stockage des media 02)
hors site, par une personne non autorisée
09.30Accès aux serveurs et copie de fichiers bureautiques

MEHARI 2007-ed2 ! Base_scen 17 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n
09.31 Copie répétée de fichiers bureautiques D02 MA10 max(04B02;05B max(05A01;0 C V 1
a partagés (serveur de données partagées) 04;min(07A03;0 5D01;min(07
par un pirate se connectant depuis 7A04;08F02);11 C01;08E02))
l'extérieur sur un port ouvert du réseau C02)
étendu
09.31 Copie répétée de fichiers bureautiques D02 MA10 max(06A04;min max(05A01;0 C V 1
b partagés (serveur de données partagées) (07A03;07A04;0 5D01;min(07
par un pirate se connectant depuis 8F02);11C02) C01;08E02))
l'extérieur sur un port de télémaintenance
réseau
09.31c Copie répétée de fichiers bureautiques D02 MA10 max(min(05B01 max(05A01;0 C V 1
partagés (serveur de données partagées) ;05B02;05B03;0 5D01;min(07
par une personne non membre du 5B07;06C02);mi C01;08E02))
personnel ayant accès aux locaux et la n(07A03;07A04;
08F02);11C02)
possibilité de se connecter sur le LAN
09.31 Copie répétée de fichiers bureautiques D01 MA10 08A07 min(07C01;0 C V 1
d partagés (serveur de données partagées) 8E02)
par un pirate se connectant directement
sur un port de télémaintenance système
09.32 Copie ponctuelle de fichiers bureautiques D02 MA10 max(06B02;11C C V 0
partagés (serveur de données partagées) 02)
par un pirate se connectant via une liaison
modem ouverte sur Internet sur un poste
utilisateur lui-même connecté au réseau
interne avec des sessions ouvertes sur
des serveurs autorisés
09.33 Copie répétée de fichiers bureautiques D02 MA10 max(min(07A03 C V 1
a partagés (serveur de données partagées) ;07A04;08F02);
par une personne membre du personnel 11C02)
usurpant l'identité d'une personne
09.33 Copie répétée de fichiers bureautiques D02 MA10 max(min(07A03 max(08E01;0 C V 1
b partagés (serveur de données partagées) ;07A04;08F02); 8B04)
par une personne membre du personnel 11C02)
utilisant des outils de hackers
09.33c Copie répétée de fichiers bureautiques D02 MA10 max(08A05;11C 08B01 C V 1
partagés (serveur de données partagées) 02)
par une personne membre du personnel
exploitant une faille de sécurité laissée
ouverte après une opération de
maintenance
09.34 Copie répétée de fichiers bureautiques par D03 MA10 11A04 max(min(11A01 min(11A03;1 C V 1
une personne membre du personnel non ;11A02);11C01; 1A04)
autorisée sur le poste de travail 11C02)
09.35 Divulgation de fichiers bureautiques par un D03 MA10 max(11C02;11C C V 0
agent de maintenance intervenant sur un 03)
poste de travail
09.40Détournement de code source

MEHARI 2007-ed2 ! Base_scen 18 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n
09.41 Détournement du code source d'une A02 MA15 10B02 C V 0
application stratégique par un membre de
l'équipe de développement
10 Perte de fichiers de données ou de documents
10.10Effacement par bombe logique
10.11 Effacement de fichiers de données D01 MA11 min(07C02;08E min(08A02;08B 08D05 01D02 D V 0
applicatives par bombe logique introduite 02) 02;08B03)
par un administrateur ou un ingénieur
système
10.20Effacement de supports par virus
10.21 Effacement des fichiers bureautiques D03 AC17 min(08D07;11D 11D05 01D02 D A 1
a personnels, par un virus 06)
10.21 Effacement des fichiers bureautiques D02 AC17 min(08D07;11D 11D04 01D02 D A 1
b partagés, par un virus 06)
10.30Effacement malveillant direct de supports
10.31 Effacement massif de fichiers d'archives D01 MA11 max(08C01;min 08A02 max(08C01;0 08D05 01D02 D V 1
de données par le personnel d’exploitation (07C02;08E02)) 8C05)
10.40Perte accidentelle de fichiers
10.41 Perte accidentelle de fichiers de données D01 AC18 08A04 08E03 08D05 01D02 D A 1
applicatives par un automate ou une
application
10.42 Perte accidentelle de fichiers de données D01 AC19 09D01 08C05 09D02 01D02 D A 1
applicatives par vieillissement, pollution,
10.50Vol de supports
10.51 Vol de supports d'archives personnelles D04 MA11 11A04 11B02 11D05 01D02 D V 0
dans un bureau
10.52 Vol de micro-ordinateur portable en D03 MA12 11D05 01D02 D V 0
dehors des locaux de l'entreprise.
10.60Perte accidentelle de documents
10.61 Perte d'archives patrimoniales ou de D08 AC03 11B01 01D01 D A 0
documents ayant valeur de preuve suite à
un incendie
11 Sinistre immatériel total
11.10Effacement de fichiers par bombe logique
11.11 Destruction ou pollution massive de D01 MA11 09D02 01D02 D V 0
a fichiers de données applicatives et de
leurs sauvegardes, par voie logique par un
ingénieur système de l'équipe
11.11 Destruction ou pollution massive de A02 MA11 09E04 01D02 D V 0
b fichiers programmes (codes sources) et de
leurs sauvegardes, par voie logique par un
ingénieur système de l'équipe
11.20Effacement malveillant des supports

MEHARI 2007-ed2 ! Base_scen 19 Février 2009


Scénario Impact Exposition Mesures Types
Cause Intrinsèque Naturelle Récupératio DIC AEV Ev
Dissuasives Préventives Protection Palliatives
Origine : type d'agresseur et/ou d'action n
11.21 Effacement malveillant de l'ensemble des D01 MA11 08C01 08C01 09D02 01D02 D V 0
supports de données sensibles : supports
opérationnels, sauvegardes et archives
par le personnel d'exploitation
12 Non conformité à la législation et à la réglementation
12.10Attaque d'une tierce société
12.11 Attaque d'une tierce société ayant des C04 AV03 min(12A02;05D min(05D02;0 01D03 D V 1
a connexions autorisées avec l'entreprise, 02) 5D03)
par du personnel interne
12.11 Attaque d'une tierce société n'ayant pas C04 AV03 min(12A02;05D 05B08 min(max(05D 01D03 D V 1
b de connexion autorisée avec l'entreprise, 02) 01;05D02);05
par du personnel interne D03)
12.12 Attaque d'une tierce société par un pirate C04 AV03 max(min(05B05 min(max(05D 01D03 D V 1
ayant pénétré le système d'information ;05B07);05B08) 01;05D02);05
(rebond) D03)
12.20Violation des droits de propriété industrielle
12.21 Utilisation de logiciels sans licences C03 AV04 min(08B05;12B 08B04 08B05 D V 1
01)

MEHARI 2007-ed2 ! Base_scen 20 Février 2009


Thèmes de sécurité

N° Libellé Services appelés


A1 Rôles et structures 01A, 01D, 12C, 12E
A2 Sensibilistion et formation à la 01B, 01C, 12A, 12B, 12D
sécurité
B1 Contrôle d'accès au site 02A
B2 Contrôle d'accès aux locaux 03B, 11A
B3 Risques divers 03A, 03C, 03D, 03E
C1 Architecture réseaux et 04A01, 04A02, 05A01, 05A02, 05A03, 07D, 09E01
systèmes
C2 Contrôles des échanges 04C, 05C,
D1 Contrôle d'accès logique 04B, 05B, 07A, 07B, 08F, 09A
D2 Sécurité des données 08D07, 09B, 09C, 09D, 09F, 09H, 11B, 11C, 11D06
E1 Procédures d'exploitation 04A04, 05A05, 06A, 06B, 06C, 08A, 08B, 08D03, 08F, 08G
E2 Gestion des supports 08C
F1 Plan de secours 01E, 04A07, 05A08, 08D06, 09E02, 09E03, 09E04, 11D07
F2 Sauvegarde 04A05, 04A06, 05A06, 05A07, 08D04, 08D05, 08D09, 11D03, 11D04,
F3 Maintenance 11D05
04A03, 04A08, 05A04, 05A09, 08D01, 08D02, 08D08, 09E03, 11D01,
G1 Projets et développements 11D02
10A, 10B
H1 Gestion des incidents 04D, 05D, 07C, 08E, 09G

MEHARI 2007-ed2 ! Thèmes 21 Février 2009


Tableau d'Impact Intrinsèque

Classification des données, informations et éléments d'infrastructureD I C


Données et informations
D01 Fichiers de données ou bases de données applicatives
D02 Fichiers bureautiques partagés
D03 Fichiers bureautiques personnels
D04 Informations écrites ou imprimées détenues par les utilisateurs, archives
D05 personnelles
Listings ou états imprimés des applications informatiques
D06 Messages échangés, écrans applicatifs (données partielles)
D07 Courrier et télécopies
D08 Archives patrimoniales ou ayant valeur de preuve
D09 Données et informations publiées sur des sites publics ou internes

Infrastructure informatique et télécom


R01 Équipements et câblage du réseau étendu (systèmes réseau avec leurs logiciels)
R02 Équipements et câblage des réseaux locaux (systèmes réseau avec leurs
R03 logiciels)
Données de configuration du réseau étendu
R04 Données de configuration des réseaux locaux
S01 Systèmes centraux, serveurs applicatifs et équipements périphériques centraux,
serveurs de fichiers partagés
S02 Fichiers de configuration des systèmes et serveurs
S03 Systèmes terminaux mis à la disposition des utilisateurs (PC, imprimantes
locales, périphériques, interfaces spécifiques, etc.)
A01 Application logicielle ou progicielle, middleware (code exécutable)
A02 Code source
A03 Fichiers des configurations applicatives
A04 Progiciels spécifiques utilisateurs

Infrastructure générale
E01 Environnement de travail des utilisateurs
E02 Équipements de télécommunication orale ou analogique
I01 Ensemble des installations d'une salle informatique et télécom

Impacts intrinsèques ne dépendant pas de la classification d'une ressource


Indisponibilité du personnel

MEHARI 2007-ed2 ! Classif 22 Février 2009


P01 Équipes de spécialistes métiers
P02 Personnel d'exploitation
Non conformité à la loi ou à la réglementation (NC) Non Conformité
C01 Non conformité à la loi ou aux réglementations relatives à la protection de la vie privée
C02 Non conformité à la loi ou aux réglementations relatives aux contrôles financiers
C03 Non conformité à la loi ou aux réglementations relatives à la propriété intellectuelle
C04 Non conformité à la loi relative à la protection des systèmes informatisés
C05 Non conformité aux réglementations relatives à la sécurité des personnes et à la
protection de l'environnement

MEHARI 2007-ed2 ! Classif 23 Février 2009


Tableau T1 CLASSIFICATION ARCHITECTURE
Données Données Indiquer, par un 1 dans la colonne, si
Listin Docs
Processus métier, application Applicati applicati applicati Courrier l'application, le processus ou le domaine
Type Fichiers gs ou écrits
ou domaine applicatif on et/ou v. (bases v. en (mail ou applicatif requiert la disponibilité des
service bureaut. états ou
procédur de transit postal) ressources citées (serveurs, réseau,
s associés impri archiv
Services communs es données Message Fax équipements dédiés, postes mobiles ou
m. es
) s nomades)
Résea Poste
Serv. Serv. Résea Résea Equip.
u s.
D I C D I C D I C D I C C D C D I C applic burea u u dédié
étend Mobil
. ut. local public s
u es
Nom de colonne pour formules Classif Typ DapIapCapDdaIdaCdaDtmItmCtmDfbIfb Cfb Cli DecCecDcf Icf Ccf ASA ASB ARL ARE ARP AED APM
Processus métiers
Appli 1 : RH 2 3 1 2 3 2 2 3 2 1 1
3 2 2 1 1 2 1 1 1
Appli 2 : Gestion commerciale 2 2 4 2 2 4 2 2 4 1 3 3 1 3 3 2 4 1 RLC 1 1
Appli 3 : Plan stratégique 2 2 3 1 3
Appli 4 Domaine financier et 2 2 3 2 2 3 2 2 3 1 1 1
comptable
Appli 5 2 3 1 2 3 1 2 3 1 2 3 1 1 1
Appli 6 CAO 3 3 3 3 3 3 3 3 3 3 3 3 Ulysse 1 1
Appli 7 : Site Web commercial 3 3 1 3 3 1 3 3 1 1 1 1 1 1 1 Internet 1
…/…
Appli N 2 2 1 2 2 1 2 2 1 2 2 1 1 1 1
Services communs
Messagerie MSG 3 3 1 3 2 1 2 2 2 1 1 Wan
Service du courrier COU 3 3 2 1
Archivage des fichiers informatiques ARI 3 3 1 3 3 1 1 1 1 2 1 1
Archivage des documents ARD 3 3 1 3 3 1 1 1 1 2 1 1 1 1
Administration des systèmes ADM 2 3 1 2 3 1 1 3 1 1 1 1 3 1 3 1 1
Asistance aux utilisateurs HLP 3 1 1 3 1 1 1 1 1 1 1 1 1 1 1

MEHARI 2007-ed2 ! T1 24 Février 2009


Tableau T2 CLASSIFICATION

Équip.
Sous- Fichiers de Librairie de
FONCTION (descriptif) Matérie
Éléments d'architecture classe configuratio programme
Optionnel l
Archi n s systèmes
câblage

D I D I C D I C

Nom de colonne pour formules Classif SCA Deq Ieq Dfc Ifc Cfc Dlp Ilp Clp
Réseaux locaux RL 2 3 3 3 3 1 2 1
Réseau étendu RE 2 2 3 3 2 1 2 1
Réseau téléphonique RT 3 2 2 3 3 1 2 1
Serveurs applicatifs et serveurs de données SV 2 2 3 2 1 1 2 1
Serveurs de services informatiques ou SS 2 2 2 3 1 1 3 1
réseaux (DNS, LDAP, Serveur
d'authentification, etc.)
Périphériques PF 1 1 1 2 1
Passerelles d'accès PA 2 2 1 2 1 1 2 1
Environnement global de travail ET 2 1

MEHARI 2007-ed2 ! T2 25 Février 2009


Tableau de calcul d'Impact Intrinsèque

Classification des données, informations et éléments d'infrastructure Type

Données et informations D I C Condition


D01Fichiers de données ou bases de données applicatives T1 : colonne DdaT1 : colonne IdaT1 : colonne Cda 1
D02Fichiers bureautiques stockés sur serveur à accès partagés T1 : colonne Dfb T1 : colonne Ifb T1 : colonne Cfb Lignes telles que ASB ≠ "" 2
D03Fichiers bureautiques stockés sur postes personnels fixes T1 : colonne DfbT1 : colonne : IfbT1 : colonne Cfb Lignes telles que ASB = "" 2
D04 Informations écrites ou imprimées détenues par les T1 : colonne Dec T1 : colonne Cec 1
utilisateurs, archives personnelles
D05Listings ou états imprimés des applications informatiques T1 : colonne Cli 1
D06Messages échangés, données en transit T1 : colonne DtmT1 : colonne ItmT1 : colonne Ctm 1
D07Courrier et télécopies T1 : colonne Dcf T1 : colonne Icf T1 : colonne Ccf 1
D08Archives patrimoniales ou ayant valeur de preuve T1 : colonne Dec Lignes Typ ARI et ARD 3
D09Données et informations publiées sur des sites publics T1 : colonne DdaT1 : colonne IdaT1 : colonne Cda Lignes telles que ARP ≠ "" 2

Infrastructure informatique et télécom


R01 Équipements et câblage du réseau étendu (systèmes T1 : colonne T1 : colonnes Lignes T1 telles que ARE 2 et 4
réseau avec leurs logiciels) Dda Cda, Ida et Iap ≠ ""
T2 : colonne T2 : colonne Ligne T2 SCA = RE
Deq Ieq
R02 Équipements et câblage des réseaux locaux (systèmes T1 : colonne T1 : colonnes Lignes T1 telles que ARL ≠ 2 et 4
réseau avec leurs logiciels) Dda Cda, Ida et Iap ""
T2 : colonne T2 : colonne Ligne T2 SCA = RL
Deq Ieq
R03 Données de configuration du réseau étendu T2 : colonne T2 : colonne Ifc T2 : colonne Ligne T2 SCA = RE 4
R04 Données de configuration des réseaux locaux Dfc
T2 : colonne Cfc
T2 : colonne Ifc T2 : colonne Ligne T2 SCA = RL 4
S01 Systèmes centraux, serveurs applicatifs et équipements Dfc
T1 : colonne T1 : colonnes Cfc Lignes T1 telles que ASA ≠ 2 et 4
périphériques centraux, serveurs de fichiers partagés Dda Cda, Ida et Iap ""
T2 : colonne T2 : colonne Ligne T2 SCA = SV ou SS
Deq Ieq
S02 Fichiers de configuration des systèmes et serveurs T2 : colonne T2 : colonne Ifc T2 : colonne Ligne T2 SCA = SV 4
S03 Systèmes terminaux mis à la disposition des utilisateurs Dfc
T1 : colonne Cfc Lignes T1 telles que AED 2 et 4
(PC, imprimantes locales, périphériques, interfaces Dda ≠ ""
spécifiques, etc.) T2 : colonne Ligne T2 SCA = PF
A01 Application logicielle ou progicielle, middleware T1 : colonne
Deq DapT1 : colonne IapT1 : colonne Cap 1
A02 Code source T2 : colonne Dlp T2 : colonne Ilp T2 : colonne Clp Ligne T2 SCA = SV 4

MEHARI 2007-ed2 ! T3 26 Février 2009


A03 Fichiers des configurations applicatives T2 : colonne T2 : colonne Ifc T2 : colonne Ligne T2 SCA = SV 4
A04 Progiciels spécifiques utilisateurs Dfc DapT1 : colonne IapT1 : colonne
T1 : colonne Cfc Cap Sélection spécifique 5

Infrastructure générale
Environnement de travail des utilisateurs T1 : colonnes Lignes T1 : toutes 1 et 4
Dfb et Dec Ligne T2 SCA = ET
T2 : colonne
E01 Deq
E02 Équipements de télécommunication orale ou analogique T2 : colonne T2 : colonne Ligne T2 SCA = RT 4
Ensemble des installations d'une salle informatique et Deq
T1 : colonnes Ieq 1
télécom Dap et Dda
I01 T2 : colonne
Deq

Type 1 : La sélection


Les sélections comprend
effectuées une ou plusieurs
et raisonnements colonnes sont
correspondants et leles
maximum de classification est à rechercher
suivants :
parmi tous les éléments de ces colonnes.
Type 2 : La sélection comprend les éléments d’une ou de plusieurs colonnes de T1, mais uniquement ceux
situés dans des lignes telles que, dans une autre colonne, une condition soit remplie : par exemple les lignes
telles que, dans la partie architecture, la colonne RL ne soit pas vide (comprenant un 1 ou un nom de réseau
local). Par exemple pour la classification en Disponibilité des fichiers bureautiques stockés sur serveur à accès
partagé, la sélection comprend les éléments de la colonne Disponibilité des fichiers bureautiques (colonne
Dfb)
Typetelles
3 : Laque sur la même
sélection ligne,les
comprend la colonne
élémentsRLd’une
contienne
ou deun 1 ou le nom
plusieurs d’un réseau
colonnes de T1, local.
mais uniquement ceux
situés dans des lignes spécifiques du tableau T1 dont le nom est indiqué dans la condition et dans la colonne
Typ de T1.
Type 4 : La sélection comprend les éléments d’une ou de plusieurs colonnes de T2, mais uniquement ceux
situés dans des lignes spécifiques du tableau T2 dont le nom est indiqué dans la condition et dans la colonne
SCA de T2.
Type 5 : La sélection comprend une ou plusieurs colonnes et le maximum de classification est à rechercher
parmi tous les éléments de ces colonnes spécifiques des utilisateurs concernés .

MEHARI 2007-ed2 ! T3 27 Février 2009


Évaluation de l'exposition naturelle

Status-Expo
P=1 P=2 P=3 P=4

Très Plutôt Plutôt Très


Évaluation de la potentialité des événements improba improba probabl probabl
suivants ble ble e e
Accidents
AC01 Court-circuit au niveau du câblage ou d'un équipement. X 2
AC02 Chute de la foudre X 2
AC03 Incendie naissant dans les locaux : corbeille à papier, cendrier, etc. X 2
AC04 Accidents dus à l'eau ou à des liquides (fuite d'une canalisation, X 2
liquides renversés accidentellement, etc.).
AC05 Inondation causée par une canalisation percée ou crevée X 2
AC06 Inondation causée par la crue d'une rivière ou une remontée de la X 2
nappe phréatique
AC07 Inondation causée par l'extinction d'un incendie voisin, X 2
AC08 Coupure d'énergie de longue durée pour une cause extérieure X 2
AC09 Indisponibilité totale des locaux : Interdiction d'accès décidée par la X 2
préfecture (risque de pollution, d'émeute, etc.)
AC10 Disparition de personnel stratégique X 2
AC11 Panne d'un équipement de servitude (alimentation électrique, X 2
climatisation, etc.)
AC12 Panne matérielle d'un équipement informatique ou télécom X 2
AC13 Défaillance matérielle d'un équipement informatique ou télécom X 2
impossible à résoudre par la maintenance, ou indisponibilité du
prestataire
AC14 Blocage applicatif ou système impossible à résoudre par la X 2
maintenance, pour cause de disparition de la SSII ou du fournisseur.
AC15 Saturation accidentelle de ressources X 3
AC16 Accident d'exploitation conduisant à une altération de données X 3
AC17 Effacement de données ou de configurations, par un virus X 3
AC18 Perte accidentelle de fichiers de données par un automate X 3
AC19 Perte accidentelle de fichiers de données par vieillissement, X 2
pollution,
AC20 Perte accidentelle de fichiers de données due à une panne X 2
d'équipement (crash de disque dur)
Actes volontaires malveillants
MA01 Vandalisme depuis l'extérieur : tir d'armes légères ou lancement de X 2
projectiles depuis la rue,
MA02 Vandalisme intérieur : petit vandalisme par des personnes autorisées X 2
à pénétrer dans l'établissement (personnel, sous-traitants, etc.).
MA03 Terrorisme sabotage par des agents extérieurs : explosifs déposés à X 1
proximité des locaux sensibles,
MA04 Saturation répétitive malveillante de moyens informatiques par un X 2
groupe d'utilisateurs

MEHARI 2007-ed2 ! Expo 28 Février 2009


Évaluation de l'exposition naturelle

Status-Expo
P=1 P=2 P=3 P=4

Très Plutôt Plutôt Très


Évaluation de la potentialité des événements improba improba probabl probabl
suivants ble ble e e
MA05 Saturation du réseau par un ver X 2
MA06 Effacement volontaire (direct ou indirect) de support de logiciel X 2
MA07 Altération malveillante (directe ou indirecte) des fonctionnalités d'un X 3
logiciel ou d'une fonction d'un programme bureautique (Excel ou
Access)
MA08 Entrée de données faussée ou manipulation de données X 3
MA09 Accès volontaire à des données ou informations partielles et X 3
divulgation
MA10 Détournement de fichiers ou vol de support de données X 3
MA11 Effacement volontaire (direct ou indirect), vol ou destruction de X 3
support de programmes ou de données
MA12 Vol de micro-ordinateur portable en dehors des locaux de l'entreprise. X 3
MA13 Effacement malveillant de configurations réseau X 2
MA14 Effacement malveillant de configurations applicatives ou systèmes X 2
MA15 Détournement de code source de programmes X 2
MA16 Espionnage étatique ou de maffias (demandant de très gros moyens) X 1
MA17 Vol d'équipement informatique ou télécom, à l'intérieur des locaux X 3

Actes volontaires non malveillants


AV01 Absence de personnel d'exploitation : grève du personnel X 2
d'exploitation
AV02 Départ de personnel stratégique X 3
AV03 Pénétration du SI d'une tierce société, par du personnel interne ou X 3
non
AV04 Utilisation de logiciels sans licence X 3

MEHARI 2007-ed2 ! Expo 29 Février 2009


Évaluation de l'exposition naturelle

Status-Expo
P=1 P=2 P=3 P=4

Très Plutôt Plutôt Très


Évaluation de la potentialité des événements improba improba probabl probabl
suivants ble ble e e
Erreurs
ER01 Dégradation involontaire de performances, à l'occasion d'une X 2
opération de maintenance
ER02 Effacement accidentel de logiciel par erreur humaine X 3
ER03 Altération accidentelle des données pendant la maintenance X 3
ER04 Erreur pendant le processus de saisie, X 4
ER05 Bug dans un logiciel système, un middleware ou un progiciel X 4
ER06 Bug dans un logiciel applicatif X 4
ER07 Erreur lors de la modification de fonctions de feuilles de calcul ou de X 3
macro-instructions,

MEHARI 2007-ed2 ! Expo 30 Février 2009


DOMAINES, SERVICES ET SOUS-SERVICES DE SECURITE
DOMAINES
SERVICES Scénarios appelés
SOUS-SERVICES
01 Organisation de la sécurité
A - Rôles et structures de la sécurité
01A01 Organisation du management et du pilotage de la sécurité générale
01A02 Organisation du management et du pilotage de la sécurité des systèmes
d'information
01A03 Système général de reporting et de gestion des incidents
01A04 Organisation des audits et du plan d'audit
01A05 Gestion de crise liée à la sécurité de l'information
B - Référentiel de sécurité
01B01 Devoirs et responsabilités du personnel et du management
01B02 Directives générales relatives à la protection de l'information
01B03 Classification les ressources
01B04 Gestion des actifs
C - Gestion des ressources humaines
01C0 Engagement du personnel - clauses contractuelles
1
01C0 Gestion du personnel stratégique 01.12, 01.13,
2
01C0 Procédure d'habilitation du personnel
3
01C0 Sensibilisation et formation à la sécurité
4
01C0 Gestion des tierces parties
5
01C0 Enregistrement des personnes
6
D - Assurances
01D0 Assurance des dommages matériels 01.21a, 01.21b, 01.21c, 01.22a, 01.22b,
1 01.22c, 01.23a, 01.23b, 01.23c, 01.23d,
01.23e, 01.24a, 01.24b, 01.41a, 01.41b,
01.41c, 01.51a, 01.51b, 01.51c, 01.61a,
01.61b, 01.61c, 01.61d, 01.62a, 01.62b,
02.11a, 02.11b, 02.11c, 02.21a, 02.21b,
02.21c, 02.21d, 02.22a, 02.22b, 02.22c,
02.31a, 02.31b, 02.31c, 02.31d, 02.32a,
02.32b, 02.32c, 02.33a, 02.33b, 02.33c,
02.41a, 02.41b, 02.41c, 03.21a, 03.21b,
03.21c, 10.61,

MEHARI 2007-ed2 ! Services 31 Février 2009


DOMAINES, SERVICES ET SOUS-SERVICES DE SECURITE
DOMAINES
SERVICES Scénarios appelés
SOUS-SERVICES
01D0 Assurance des dommages immatériels 01.31a, 01.31b, 01.31c, 01.42, 01.71a,
2 01.71b, 01.71c, 03.11, 03.41, 03.42a,
03.42b, 04.11, 04.12a, 04.12b, 04.12c,
04.12d, 04.21, 04.31, 04.41, 04.42,
04.51a, 04.51b, 05.11, 05.12, 05.13,
05.14, 05.21, 05.22, 05.23, 05.31a,
05.31b, 05.32, 06.11, 06.12a, 06.12b,
06.21, 07.11, 07.12a, 07.12b, 07.12c,
07.21, 07.31, 07.32, 07.41, 07.42, 07.51,
07.52, 07.61, 07.62, 07.63, 10.11,
10.21a, 10.21b, 10.31, 10.41, 10.42,
01D0 Assurance Responsabilité Civile (RC) 12.11a, 12.11b, 1212,
3
01D0 Assurance Perte de Personnages clés 01.12, 01.13,
4
E - Continuité de l'activité
01E01 Prise en compte des besoins de continuité de l'activité
01E02 Plans de continuité de l'activité 01.11, 01.21a, 01.21b, 01.21c, 01.22a,
01.22b, 01.22c,
02 Sécurité des sites et des bâtiments
A - Contrôle d'accès physique au site et aux bâtiments
02A01 Gestion des droits d'accès au site ou à l'immeuble 08.32d,
02A02 Gestion des autorisations d'accès au site ou à l'immeuble 08.32b, 08.32d,
02A03 Contrôle d'accès au site ou à l'immeuble 08.32d,
02A04 Détection des intrusions sur le site ou dans l'immeuble 08.32d,
02A05 Accès aux zones de déchargement ou chargement

03 Sécurité des locaux


A - Services généraux
03A01 Qualité de la fourniture de l'énergie 01.21a, 01.21b, 01.21c,
03A02 Continuité de la fourniture de l'énergie 01.24a, 01.24b,
03A03 Sécurité de la climatisation 01.23e,
03A04 Qualité du câblage 01.21a, 01.21b, 01.21c,
03A05 Protection contre la foudre 02.11a, 02.11b, 02.11c,
B - Contrôle d'accès aux locaux sensibles
03B01 Gestion des droits d'accès aux locaux sensibles 01.61a, 01.61b, 01.61c, 01.61d, 07.12a,
07.41,
03B02 Gestion des autorisations d'accès aux locaux sensibles 01.61a, 01.61b, 01.61c, 01.61d, 07.12a,
07.41,

MEHARI 2007-ed2 ! Services 32 Février 2009


DOMAINES, SERVICES ET SOUS-SERVICES DE SECURITE
DOMAINES
SERVICES Scénarios appelés
SOUS-SERVICES
03B03 Contrôle des accès aux locaux sensibles 01.61a, 01.61b, 01.61c, 01.61d, 07.12a,
07.41,
03B04 Détection des intrusions dans les locaux sensibles 01.61a, 01.61b, 01.61c, 01.61d, 07.12a,
07.41,
03B05 Surveillance périmétrique (surveillance des issues et des abords 07.12a, 07.41,
immédiats des locaux sensibles)
03B06 Surveillance des locaux sensibles 01.61a, 01.61b, 01.61c, 01.61d, 04.41,
07.12a, 07.41, 07.42, 08.31b, 09.21,
03B07 Contrôle d'accès au câblage 01.62a, 01.62b, 07.12b, 08.21,
03B08 Localisation des locaux sensibles
C - Sécurité contre les dégâts des eaux
03C01 Prévention des risques de dégâts des eaux 01.22a, 01.22b, 01.22c, 02.31a, 02.31b,
02.31c, 02.31d,
03C02 Détection des dégâts des eaux 02.31a, 02.31b, 02.31c, 02.31d, 02.32a,
02.32b, 02.32c,
03C03 Evacuation de l'eau 02.31a, 02.31b, 02.31c, 02.31d, 02.32a,
02.32b, 02.32c,
D - Sécurité incendie
03D0 Prévention des risques d'incendie 02.21a, 02.21b, 02.21c, 02.21d, 02.22a,
1 02.22b, 02.22c,
03D0 Détection d'incendie 02.21a, 02.21b, 02.21c, 02.21d, 02.22a,
2 02.22b, 02.22c,
03D0 Extinction d'incendie 02.21a, 02.21b, 02.21c, 02.21d, 02.22a,
3 02.22b, 02.22c,
E - Protection contre les risques environnementaux divers
03E01 Protection contre les risques environnementaux divers

04 Réseau étendu (intersites)


A - Sécurité de l'architecture réseau et continuité du service
04A01 Sûreté de fonctionnement des éléments d'architecture du réseau étendu 01.21a, 01.22a, 01.23a, 03.31a,
04A02 Télépilotage de l'exploitation du réseau étendu 01.71a,
04A03 Organisation de la maintenance des équipements du réseau étendu 01.23a, 01.51a, 01.61a, 01.61d, 03.21a,
04A04 Procédures et plans de reprise du réseau étendu sur incidents 03.31a, 03.42a,
04A05 Plan de sauvegarde des configurations du réseau étendu 04.12a,
04A06 Plan de sauvegarde des données applicatives (applications réseaux et 04.12a,
télécom, par exemple journalisation, facturation téléphonique, ...)
04A07 Plan de Reprise d'Activité (PRA) du réseau étendu 01.21a, 01.22a, 01.41a, 01.71a, 02.11a,
02.21d, 02.22a, 02.31a, 02.31d, 02.32a,
02.33a, 02.41a,

MEHARI 2007-ed2 ! Services 33 Février 2009


DOMAINES, SERVICES ET SOUS-SERVICES DE SECURITE
DOMAINES
SERVICES Scénarios appelés
SOUS-SERVICES
04A08 Gestion des fournisseurs critiques vis-à-vis de la permanence de la 01.41a,
maintenance
B - Contrôle des connexions sur le réseau étendu
04B01 Profils de sécurité des entités connectées au réseau étendu
04B02 Authentification de l'entité accédante lors des accès entrants depuis le 08.11a, 09.11a, 09.31a,
réseau étendu
04B03 Authentification de l'entité accédée lors des accès sortants vers d'autres 08.25,
entités par le réseau étendu
C - Sécurité des données lors des échanges et des communications
04C0 Chiffrement des échanges sur le réseau étendu 07.11, 07.21, 08.25
1
04C0 Contrôle de l'intégrité des échanges sur le réseau étendu 07.11,
2
D - Contrôle, détection et traitement des incidents sur le réseau étendu
04D0 Surveillance (en temps réel) du réseau étendu 03.31a, 03.42a,
1
04D0 Analyse (en temps différé) des traces, logs et journaux d'événements sur 08.22c,
2 le réseau étendu
04D0 Traitement des incidents du réseau étendu 08.22c,
3
05 Réseau local (LAN)
A - Sécurité de l'architecture du réseau local
05A01 Partitionnement du réseau local en domaines de sécurité 08.11a, 08.22a, 09.11a, 09.11b, 09.11c,
09.11e, 09.31a, 09.31b, 09.31c,
05A02 Sûreté de fonctionnement des éléments d'architecture du réseau local 01.21b, 01.22b, 01.23b, 03.31b,
05A03 Télépilotage de l'exploitation du réseau local
05A04 Organisation de la maintenance des équipements du réseau local 01.23b, 01.51b, 01.61b, 01.61d, 03.21b,
05A05 Procédures et plans de reprise du réseau local sur incidents 03.31b, 03.42b,
05A06 Plan de sauvegarde des configurations du réseau local 04.12b,
05A07 Plan de sauvegarde des données applicatives (applications réseaux et 04.12b,
télécom, par exemple journalisation, facturation téléphonique, ...)
05A08 Plan de Reprise d'Activité (PRA) du réseau local 01.21b, 01.22b, 01.41b, 02.11b, 02.21b,
02.21d, 02.22b, 02.31b, 02.31d, 02.32b,
02.33b, 02.41b,
05A09 Gestion des fournisseurs critiques vis-à-vis de la permanence de la 01.41b,
maintenance
B - Contrôles d'accès sur le réseau local de "données"
05B01 Gestion des profils d'accès au réseau local de données 08.11b, 09.11c, 09.31c,
05B02 Gestion des autorisations d'accès et privilèges (attribution, délégation, 08.11b, 09.11c, 09.31c,
retrait)

MEHARI 2007-ed2 ! Services 34 Février 2009


DOMAINES, SERVICES ET SOUS-SERVICES DE SECURITE
DOMAINES
SERVICES Scénarios appelés
SOUS-SERVICES
05B03 Authentification de l'accédant lors des accès au réseau local depuis un 08.11b, 09.11c, 09.31c,
point d'accès interne
Ce mécanisme correspond à l'authentification réalisée sous Windows par
un contrôleur de domaine
05B04 Authentification de l'accédant lors des accès au réseau local depuis un 08.11a, 09.11a, 09.31a,
site distant via le réseau étendu
05B05 Authentification de l'accédant lors des accès au réseau local depuis 12.12
l'extérieur
(depuis le Réseau Téléphonique Commuté, X25, RNIS, ADSL, Internet,
05B06 Authentification de l'accédant lors des accès au réseau local depuis un 09.11e,
sous-réseau WiFi
05B07 Filtrage général des accès au réseau local 08.11b, 09.11c, 09.31c, 12.12,
05B08 Contrôle du routage des accès sortants 12.11b, 12.12
05B09 Authentification de l'entité accédée lors des accès sortants vers des sites 07.63,
sensibles
C - Sécurité des données lors des échanges et des communications sur le réseau local
05C0 Chiffrement des échanges sur le réseau local 07.12a, 07.12b, 08.21,
1
05C0 Protection de l'intégrité des échanges sur le réseau local 07.12a, 07.12b,
2
05C0 Chiffrement des échanges lors des accès distants au réseau local 07.12c, 07.62, 08.23,
3
05C0 Protection de l'intégrité des échanges lors des accès distants au réseau 07.12c, 07.62,
4 local
D - Contrôle, détection et traitement des incidents du réseau local
05D0 Surveillance (en temps réel) du réseau local 03.31b, 03.42b, 08.11a, 08.22a, 09.11a,
1 09.11b, 09.11c, 09.11e, 09.31a, 09.31b,
09.31c, 12.11b, 1212,
05D0 Analyse (en temps différé) des traces, logs et journaux d'événements sur 08.22c, 12.11a, 12.11b, 12.12,
2 le réseau local
05D0 Traitement des incidents du réseau local 08.22c, 12.11a, 12.11b, 12.12,
3
06 Exploitation des réseaux
A - Sécurité des procédures d'exploitation
06A01 Prise en compte de la sécurité dans les relations avec le personnel 08.22b,
d'exploitation (salariés et prestataires)
06A02 Contrôle de la mise en production de nouveaux logiciels ou matériels ou 08.22d,
d'évolutions de logiciels ou matériels
06A03 Contrôle des opérations de maintenance 03.21a, 03.21b,
06A04 Contrôle de la télémaintenance 08.22c, 09.11b, 09.31b,
06A05 Gestion des procédures opérationnelles d'exploitation des réseaux
06A06 Gestion des prestataires de services liés aux réseaux

MEHARI 2007-ed2 ! Services 35 Février 2009


DOMAINES, SERVICES ET SOUS-SERVICES DE SECURITE
DOMAINES
SERVICES Scénarios appelés
SOUS-SERVICES
06A07 Prise en compte de la confidentialité lors des opérations de maintenance
sur les équipements de réseau
06A08 Gestion des contrats de services réseaux
B - Paramétrage et contrôle des configurations matérielles et logicielles
06B01 Paramétrage des équipements de réseau et contrôle de la conformité 08.22a, 08.22b, 08.22c, 08.22d,
des configurations
06B02 Contrôle de la conformité des configurations utilisateurs 09.12, 09.32,
C - Contrôle des droits d'administration
06C0 Gestion des droits privilégiés sur les équipements de réseau 04.12a, 04.12b, 07.12a, 08.22a,
1
06C0 Authentification des administrateurs et personnels d'exploitation 04.12a, 04.12b, 07.12a, 08.11b, 08.22a,
2 09.11c, 09.31c,
06C0 Surveillance des actions d'administration des réseaux 04.12a, 04.12b, 08.22b,
3
06C0 Contrôle des outils et utilitaires de l'exploitation 08.22b,
4
D - Procédures d'audit et de contrôle des réseaux
06D0 Fonctionnement des contrôles d'audit
1
06D0 Protection des outils et résultats d'audit
2
07 Sécurité des systèmes et de leur architecture
A - Contrôle d'accès aux systèmes et applications
07A01 Gestion des profils d'accès (droits et privilèges accordés en fonction des 05.14, 07.52, 08.12,
profils de fonction)
07A02 Gestion des autorisations d'accès et privilèges (attribution, délégation, 05.14, 07.52, 08.12, 09.13a,
retrait)
07A03 Authentification de l'accédant 05.14, 07.32, 07.51, 08.11a, 08.11b,
09.11a, 09.11b, 09.11c, 09.11e, 09.31a,
09.31b, 09.31c, 09.33a, 09.33b,
07A04 Filtrage des accès et gestion des associations 05.14, 07.32, 07.51, 08.11a, 08.11b,
09.11a, 09.11b, 09.11c, 09.11e, 09.31a,
09.31b, 09.31c, 09.33a, 09.33b,
B - Confinement des environnements
07B01 Contrôle des accès aux résidus 08.51,
C - Gestion et enregistrement des traces
07C0 Enregistrement des accès aux ressources sensibles 03.41, 09.11d, 09.13a, 09.13a, 09.13b,
1 09.13c, 9.31a, 09.31b, 09.31c, 09.31d,
07C0 Enregistrement des appels aux procédures privilégiées 03.41, 05.13, 05.14, 05.23, 10.11, 10.31,
2
D - Sécurité de l'architecture
07D0 Sûreté de fonctionnement des éléments d'architecture 01.21c, 01.22c, 01.23c, 03.31c,
1
07D0 Isolement des systèmes sensibles
2

MEHARI 2007-ed2 ! Services 36 Février 2009


DOMAINES, SERVICES ET SOUS-SERVICES DE SECURITE
DOMAINES
SERVICES Scénarios appelés
SOUS-SERVICES
08 Production informatique
A - Sécurité des procédures d'exploitation
08A01 Prise en compte de la sécurité dans les relations avec le personnel
d'exploitation (salariés et prestataires)
08A02 Contrôle des outils et utilitaires de l'exploitation 10.11, 10.31,
08A03 Télépilotage de l'exploitation 01.71b
08A04 Contrôle de la mise en production de nouveaux systèmes ou d'évolutions 01.31a, 01.31b, 03.11, 10.41,
de systèmes existants
08A05 Contrôle des opérations de maintenance 03.21c, 09.13b, 09.33c,
08A06 Prise en compte de la confidentialité lors des opérations de maintenance 09.14,
sur systèmes de production
08A07 Contrôle de la télémaintenance 09.11d, 09.31d,
08A08 Diffusion des états imprimés sensibles 08.31a,
08A09 Gestion des procédures opérationnelles d'exploitation informatique
08A10 Gestion des prestataires de services liés à la production informatique
B - Contrôle des configurations matérielles et logicielles
08B01 Paramétrage des systèmes et contrôle de la conformité des 09.13b, 09.33c,
configurations systèmes
08B02 Contrôle de la conformité des configurations applicatives (logiciels et 05.13, 05.14, 05.23, 10.11,
progiciels)
08B03 Contrôle de la conformité des programmes de référence (Sources et 05.13, 05.14, 05.23, 10.11,
exécutables)
08B04 Contrôle de la conformité des configurations utilisateurs 09.33b, 12.21,
08B05 Contrôle des licences des logiciels et progiciels 12.21
C - Gestion des supports informatiques de données et programmes
08C0 Administration des supports 10.31, 11.21,
1
08C0 Marquage des supports de production (vivants, sauvegardes et archives) 07.41,
2
08C0 Sécurité physique des supports stockés sur site 04.42, 09.23a,
3
08C0 Sécurité physique des supports externalisés (stockés sur un site externe) 09.23b,
4
08C0 Vérification et rotation des supports d'archivage 10.31, 10.42,
5
08C0 Sécurité des réseaux de stockage (SAN : Storage Area Network) 09.15
6
08C0 Sécurité physique des media en transit
7
D - Continuité de fonctionnement
08D0 Organisation de la maintenance du matériel 01.23c, 01.51c, 01.61c, 01.61d, 03.21c,
1
08D0 Organisation de la maintenance du logiciel (système, middleware et 01.31a,
2 progiciel applicatif)

MEHARI 2007-ed2 ! Services 37 Février 2009


DOMAINES, SERVICES ET SOUS-SERVICES DE SECURITE
DOMAINES
SERVICES Scénarios appelés
SOUS-SERVICES
08D0 Procédures et plans de reprise des applications sur incidents 03.31c, 06.11,
3
08D0 Sauvegarde des logiciels de base et applicatifs 03.11, 04.11, 04.12c, 04.12d, 04.21,
4 04.31, 04.41,
08D0 Sauvegarde des données applicatives 06.11, 06.12a, 06.12b, 06.21, 10.11,
5 10.31, 10.41,
08D0 Plans de Reprise d'Activité 01.21c, 01.22c, 01.24a, 01.41c, 01.71b,
6 02.11c, 02.21c, 02.21d, 02.22c, 02.31c,
02.31d, 02.32c, 02.33c, 02.41c,
08D0 Protection antivirale des serveurs de production 03.42a, 03.42b, 10.21a, 10.21b,
7
08D0 Gestion des systèmes critiques (vis--à-vis de la permanence de la 01.41c,
8 maintenance)
08D0 Sauvegardes de recours externalisées 04.42,
9
E - Gestion et traitement des incidents
08E01 Détection et traitement (en temps réel) des anomalies et incidents 03.31c, 03.41, 08.11a, 08.11b, 08.12,
08.12_MV, 09.11a, 09.11b, 09.11c,
09.11e, 09.33a, 09.33b,
08E02 Surveillance, en temps différé, des traces, logs et journaux 03.41, 06.11, 09.11d, 09.13a, 09.13b,
09.13c, 09.31a, 09.31b, 09.31c, 09.31d,
10.11, 10.31,
08E03 Gestion et traitement des incidents systèmes et applicatifs 03.41, 10.41,
F - Contrôle des droits d'administration
08F01 Gestion des attributions de droits privilégiés sur les systèmes (droits 04.12c, 04.12d, 07.52, 08.12,
d'administrateur)
08F02 Authentification des administrateurs et personnels d'exploitation 04.12c, 04.12d, 07.32, 07.51, 08.11a,
08.11b, 09.11a, 09.11b, 09.11c, 09.11e,
09.31a, 09.31b, 09.31c, 09.33a, 09.33b,
08F03 Surveillance des actions d'administration des systèmes 04.11, 04.12c, 04.12d, 05.13, 05.23,
08.51,
G - Procédures d'audit et de contrôle des systèmes de traitement de l'information
08G0 Fonctionnement des contrôles d'audit
1
08G0 Protection des outils et résultats d'audit
2
09 Sécurité applicative
A - Contrôle d'accès applicatif
09A01 Gestion des profils d'accès aux données applicatives 07.52, 08.12,
Gestion des autorisations d'accès aux données applicatives (attribution,
09A02 délégation, retrait) 07.52, 08.12, 09.13a,
07.32, 07.51, 08.11a, 08.11b, 09.11a,
09A03 Authentification de l'accédant 09.11b, 09.11c, 09.11e,

MEHARI 2007-ed2 ! Services 38 Février 2009


DOMAINES, SERVICES ET SOUS-SERVICES DE SECURITE
DOMAINES
SERVICES Scénarios appelés
SOUS-SERVICES
07.32, 07.51, 08.11a, 08.11b, 09.11a,
09A04 Filtrage des accès et gestion des associations 09.11b, 09.11c, 09.11e,
B - Contrôle de l'intégrité des données
09B01 Scellement des données sensibles 07.41, 07.42, 07.51,
09B02 Protection de l'intégrité des données échangées 07.11, 07.12a, 07.12b,
09B03 Contrôle de la saisie des données 06.21, 07.31,
05.13, 05.14, 05.23, 06.21, 07.11,
07.12a, 07.12b, 07.12c, 07.31, 07.32,
09B04 Contrôles permanents (vraisemblance, ...) 07.41, 07.42, 07.51, 07.52,
C - Contrôle de la confidentialité des données
07.11, 07.12a, 07.12b, 07.21, 08.21,
09C01 Chiffrement des échanges (ponctuel ou en totalité) 08.22a, 08.22b, 08.22c, 08.22d,
07.41, 07.42, 07.51, 09.21, 09.22,
09C02 Chiffrement des données stockées 09.23a, 09.23b,
09C03 Dispositif anti-rayonnement 08.24,
D - Disponibilité des données
09D01 Enregistrements de Très Haute Sécurité (THS) 10.42
06.11, 06.12a, 06.12b, 10.42, 11.11a,
09D02 Reconstitution des données 11.21,
09D03 Reconstitution des traitements 06.11, 06.12a, 06.12b,
09D04 Organisation de la politique d'archivage
E - Continuité de fonctionnement
09E01 Reconfiguration matérielle 01.21c, 01.22c, 01.23c,
01.21c, 01.22c, 01.24a, 01.41c, 01.71b,
02.11c, 02.21c, 02.21d, 02.22c, 02.31c,
09E02 Plans de Continuité des processus applicatifs 02.31d, 02.32c, 02.33c, 02.41c,
Gestion des applications critiques (vis-à-vis de la permanence de la 01.42,
09E03 maintenance)
09E04 Reconstitution des programmes de traitement 11.11b,
F - Contrôle de l'émission et de la réception de données
09F01 Garantie d'origine, signature, électronique 07.61,
Individualisation des messages empêchant leur duplication
09F02 (numérotation, séquencement,...) 07.21,

09F03 Accusé de réception 07.21,


G - Détection et gestion des incidents et anomalies applicatifs
08.11a, 08.11b, 08.12, 09.11a, 09.11b,
09G01 Détection des anomalies applicatives 09.11c, 09.11e,
H - Commerce électronique

MEHARI 2007-ed2 ! Services 39 Février 2009


DOMAINES, SERVICES ET SOUS-SERVICES DE SECURITE
DOMAINES
SERVICES Scénarios appelés
SOUS-SERVICES
09H01 Sécurité des sites de commerce électroniques
10 Sécurité des projets et développements applicatifs
A - Organisation des développements, de la maintenance et de la gestion des changements
10A01 Prise en compte de la sécurité dans les projets et développement
10A02 Gestion des changements
10A03 Externalisation du développement logiciel
10A04 Organisation de la maintenance applicative 01.31b,
10A05 Modification des progiciels
B - Sécurité des processus de développement et de maintenance
10B01 Sécurité des processus des développements applicatifs 05.11, 05.21, 09.13c,
10B02 Protection de la confidentialité des développements applicatifs 09.41
10B03 Sécurité relative aux taitements internes des applications
10B04 Protection des données d'essai
10B05 Sécurité de la maintenance applicative 03.11, 05.12, 05.22, 06.12a,
10B06 Maintenance à chaud 06.12b

11 Protection de l'environnement de travail


A - Contrôle des accès aux zones de bureaux
11A01 Partitionnement des zones de bureaux en domaines de sécurité 08.32a, 08.32c, 08.32d, 09.34
11A02 Gestion des autorisations d'accès aux zones de bureaux protégées 08.32a, 08.32b, 09.34
11A03 Détection des intrusions dans les zones de bureaux protégées 08.32a, 08.32d, 09.34
11A04 Surveillance des zones de bureaux protégées 08.32a, 08.32b, 08.32c, 08.32d, 08.32e,
09.34, 10.51,
11A05 Contrôle de la circulation des visiteurs et des prestataires occasionnels
amenés à intervenir dans les bureaux
B - Protection de l'information écrite ou échangée (téléphone, messagerie)
11B01 Conservation et protection des pièces originales et éléments de preuve
et des archives patrimoniales 10.61,
11B02 Rangement des bureaux et protection des documents et supports
amovibles 08.32e, 10.51,
11B03 Ramassage des corbeilles à papier et destruction des documents 08.32e,
11B04 Sécurité du courrier 08.33,
11B05 Sécurité des fax 08.41,
11B06 Sécurité des autocommutateurs 08.42,

MEHARI 2007-ed2 ! Services 40 Février 2009


DOMAINES, SERVICES ET SOUS-SERVICES DE SECURITE
DOMAINES
SERVICES Scénarios appelés
SOUS-SERVICES
11B07 Sécurité de la messagerie électronique et des échanges électroniques
d'information
C - Protection des postes de travail
11C0 Contrôle d'accès au poste de travail 05.31b, 09.34,
1
11C0 Protection de la confidentialité des données contenues dans le poste de 09.31a, 09.31b, 09.31c, 09.32, 09.33a,
2 travail ou sur un serveur de données (disque logique pour le poste de 09.33b, 09.33c, 09.34, 09.35,
travail)
11C0 Prise en compte de la confidentialité lors des opérations de maintenance
3 des postes utilisateurs 09.35,
11C0 Protection de l'intégrité des fichiers contenus sur le poste de travail ou
4 sur un serveur de données (disque logique pour le poste de travail) 05.31a, 05.31b,
11C0 Travail en dehors des locaux de l'entreprise
5
11C0 Utilisation d'équipements personnels
6
D - Continuité de service de l'environnement de travail
11D0 Organisation de la maintenance du matériel mis à la disposition du 01.23d,
1 personnel
11D0 Organisation de la maintenance du logiciel utilisateurs (système, 01.31c,
2 middleware et applicatif)
11D0 Plans de sauvegardes des configurations utilisateurs 04.51a, 04.51b,
3
11D0 Plan de sauvegardes des données utilisateurs (bureautiques) stockées 05.31a, 05.32, 10.21b,
4 sur serveur de données
11D0 Plan de sauvegardes des données utilisateurs (bureautiques) stockées 05.31b, 10.21a, 10.51, 10.52,
5 sur les postes de travail
11D0 Protection antivirale des stations utilisateurs 03.42a, 03.42b, 04.51a, 04.51b, 10.21a,
6 10.21b,
11D0 Plans de Reprise de l'Environnement de Travail 01.24b, 01.71c,
7
12 Juridique et Réglementaire
A - Respect de la législation concernant les rapports avec le personnel et avec des tiers
12A01 Respect de la réglementation extérieure et de la législation concernant la
protection de la vie privée
12A02 Respect de la réglementation extérieure et de la législation concernant 12.11a, 12.11b,
les accès non autorisés à des systèmes tiers
B - Protection de la propriété intellectuelle
12B01 Respect de la réglementation extérieure et de la législation concernant la 12.21
protection de la propriété des logiciels
C - Respect de la législation concernant la communication financière
12C01 Respect de la réglementation concernant la communication financière
D - Respect de la législation concernant l'usage de la cryptologie

MEHARI 2007-ed2 ! Services 41 Février 2009


DOMAINES, SERVICES ET SOUS-SERVICES DE SECURITE
DOMAINES
SERVICES Scénarios appelés
SOUS-SERVICES
12D0 Respect de la réglementation extérieure et de la législation concernant
1 l'usage de la cryptologie
E - Respect de la législation concernant la vérification de la comptabilité informatisée
12E01 Conservation des données et traitements
12E02 Documentation des données , procédures et traitements liés à la
comptabilité

MEHARI 2007-ed2 ! Services 42 Février 2009


Questionnaire d'audit : Domaine Organisation
N° Question Question Rép P Max Min ISO 17799 Commentaires

01A Rôles et structures de la sécurité


01A01 Organisation du management et du pilotage de la sécurité générale
01A01-01 Tous les domaines concernés par la sécurité ont-ils un responsable désigné [sécurité informatique et 4
télécom, sécurité générale de l'environnement de travail (documents, fax, téléphone), sécurité
physique générale des sites et locaux] ou un interlocuteur privilégié [DRH pour les actions de
sensibilisation, la formation, les contrats de travail, la gestion des comptes utilisateurs et des droits
d'accès divers, le traitement (punitif) des opérations délictueuses ou illicites et la négligence
interne] ?
01A01-02 Existe-t-il, pour chacun de ces responsables, une définition de fonction précisant, en particulier, ses 4
finalités, responsabilités et interfaces avec les autres domaines de sécurité ?
01A01-03 Les actions de ces responsables font-elles l'objet d'un tableau de bord et d'un suivi régulier ? 4
01A01-04 Existe-t-il un comité ou une structure regroupant l'ensemble des responsables de sécurité, tous 2
domaines confondus, en charge de coordonner les diverses actions et de prendre toute décision
transverse, et se réunissant régulièrement ?
01A01-05 La démarche de sécurité est-elle clairement reconnue et soutenue par la Direction Générale ? 2
01A02 Organisation du management et du pilotage de la sécurité des systèmes d'information
01A02-01 Existe-t-il un document décrivant la politique de sécurité des systèmes d'information et, en 2 5.1.1
particulier, les principes d'organisation, de management et de pilotage de la sécurité (rôles et
responsabilités) ainsi que les principes fondamentaux structurant le management de la sécurité de
01A02-02 Cette politique
l'information ? de sécurité est-elle revue à intervalles réguliers ou lors de changements significatifs, 1 5.1.2
afin d'assurer le maintien de sa pertinence et de son efficacité ?
01A02-03 A-t-on défini dans le détail la structure et l'organisation du management de la sécurité : RSSI et 4 2 3 6.1.2
correspondants ou responsables locaux, rôles et responsabilités respectifs et vis-à-vis des managers
opérationnels, et cette structure est-elle opérationnelle ?
01A02-04 Cette structure a-t-elle la capacité à alerter sans délai la Direction Générale en cas de problème 2 6.1.2
grave ?
01A02-05 A-t-on défini dans le détail le mode de management de la sécurité et les processus de prise de 4 6.1.2
décision : méthodologie (audit de vulnérabilité, analyse de risque, etc.), outils associés, acteurs
(animateur, support, formation, expertise, conseils, etc.) ?
01A02-06 A-t-on clairement défini les rôles respectifs des responsables de la sécurité, des managers 4 2 6.1.3
opérationnels et des responsables fonctionnels de domaines (propriétaires d'information) dans la
prise de décision finale, ainsi que les processus d'arbitrage ?
01A02-07 A-t-on défini dans le détail un mode de pilotage global de la sécurité des systèmes d'information : 4 6.1.3
tableau de bord (contenu et périodicité), structure de pilotage et d'orientation, reporting ?
01A02-08 Établit-on annuellement un plan de sécurité des systèmes d'information regroupant l'ensemble des 2 2
plans d'action, moyens à mettre en oeuvre, planning, budget ?
01A02-09 Le management de l'entreprise est-il impliqué dans l'organisation de la sécurité de l'information et, 1 6.1.1
en particulier dans l'élaboration et l'approbation de la politique de sécurité, la définition des
responsabilités, l'allocation de ressources et le contrôle de l'efficacité des mesures prises ?
01A02-10 Maintient-on des contacts avec les autorités pouvant être concernées par la sécurité de l'information 1 6.1.6
et les situations de crise (Police, Services de renseignements, Administration judiciaire, Pompiers,
Services publics, etc....) ?
01A02-11 Assure-t-on une veille technologique en matière de sécurité (participation à des cercles, associations, 1 3 6.1.7
congrès...) ?

MEHARI 2007-ed2 ! 01 Org 43 Février 2009


Questionnaire d'audit : Domaine Organisation
N° Question Question Rép P Max Min ISO 17799 Commentaires

01A02-12 Les responsabilités et les procédures sont-elles établies afin de fournir rapidement des solutions 2 13.2.1;
effectives aux incidents de sécurité ? 13.1.1
01A02-13 Existe-t-il une procédure de mise à jour des notes d'organisation relatives à la sécurité des systèmes 2 3 6.1.8
d'information en fonction des évolutions de structures ou à intervalles planifiés ?
01A03 Système général de reporting et de gestion des incidents
01A03-01 Y a-t-il un système de reporting des incidents auprès des correspondants du RSSI avec une synthèse 2 13.1.1
de ces incidents transmise au RSSI ?
01A03-02 Ce système de reporting des incidents inclut-il tous les incidents (exploitation, développement, 4 2 13.1.1
maintenance, utilisation du SI) physiques, logiques ou organisationnels ?
01A03-03 Ce système de reporting des incidents inclut-il les tentatives d'actions malveillantes ou non 4 3 13.1.1
autorisées n'ayant pas abouti ?
01A03-04 Ce système de reporting des incidents s'applique-t-il à l'ensemble des structures et des personnels 4 3 13.1.1
de l'entreprise (y compris les filiales) ?
01A03-05 La typologie et la description des incidents sont-elles enregistrées dans une base permettant un 2 13.2.2
enrichissement progressif ainsi qu'un accès sélectif facile pour effectuer le traitement et le suivi des
divers incidents ?
01A03-06 La collecte de preuves est-elle réalisée chaque fois qu'une action juridique doit être envisagée ? 2 13.2.3
01A03-07 La mise en place et la tenue à jour du système de gestion des incidents font-elles l'objet d'un tableau 2 2
de bord et d'un suivi régulier, se traduisant par des plans d'action ?
01A04 Organisation des audits et du plan d'audit
01A04-01 La fonction sécurité a-t-elle défini et diffusé à l'audit interne (ou à la structure chargée des audits 4 2
internes) un Référentiel d'audit de la SSI décrivant, en particulier, les obligations de chaque catégorie
de personnel, les directives incontournables et les recommandations ?
01A04-02 Existe-t-il une procédure de dérogation aux directives décrites dans ce référentiel d'audit et cette 4
procédure est-elle auditable ?
01A04-03 Existe-t-il une structure de coordination ou une procédure permettant au RSSI de définir le 4
programme d'audit interne annuel ou de participer à sa définition ?
01A04-04 Le responsable sécurité des systèmes d'information est-il informé des résultats des audits sur les 2 3
aspects touchant à la sécurité des systèmes d'information ?
01A04-05 Le responsable sécurité des systèmes d'information est-il informé des résultats synthétiques des 4
audits non spécifiques de la sécurité des systèmes d'information et peut-il avoir accès aux rapports
détaillés correspondants ?
01A04-06 L'organisation d'audits annuels relatifs à la sécurité des systèmes d'information fait-elle l'objet d'un 2 3
tableau de bord et d'un suivi régulier ?
01A05 Gestion de crise liée à la sécurité de l'information
01A05-01 Existe-t-il un plan de crise dans tous les établissements précisant, en fonction de divers symptômes, 4 2
les noms et coordonnées des personnes à prévenir pour qu'elles puissent effectuer un premier
diagnostic et, en fonction de ce diagnostic, les responsables de la cellule de crise à rassembler et les
actions urgentes à mener ?
01A05-02 Existe-t-il au moins une procédure d'alerte, diffusée à l'ensemble du personnel, qui permette, 2
directement ou indirectement (par le personnel de surveillance), de joindre les personnes ad hoc
aptes à déclencher le plan de crise ?
01A05-03 Le plan de crise décrit-il en détail les situations de crise majeure ayant trait aux systèmes 4 2
d'information et inclut-il les aspects spécifiques à ce domaine ?
01A05-04 La définition du plan de crise s'est-elle accompagnée de la mise en place des moyens logistiques 4 2
correspondants (salle équipée, moyens de communication, etc.) ?

MEHARI 2007-ed2 ! 01 Org 44 Février 2009


Questionnaire d'audit : Domaine Organisation
N° Question Question Rép P Max Min ISO 17799 Commentaires

01A05-05 Existe-t-il des outils ou des procédures permettant la mise à jour du plan de crise et cette mise à jour 4 3
est-elle auditée ?
01B Référentiel de sécurité
01B01 Devoirs et responsabilités du personnel et du management
Il s'agit de tous les personnels internes comme externes (sous-traitants, stagiaires, etc) associés à
01B01-01 l'activité
Les devoirsde et
l'entreprise
responsabilités du personnel quant à l'utilisation, la conservation et l'archivage des 4
informations et à la protection du secret sont-ils précisés dans une note ou document mis à la
disposition du management ?
01B01-02 Ce document précise-t-il les devoirs et responsabilités du personnel quant à l'utilisation et la 1 11.3.1
protection des moyens d'authentification (mots de passe, clés, tokens, badges, etc.) mis à sa
disposition ?
01B01-03 Les devoirs et responsabilités du personnel précisent-ils la conduite à tenir lorsque le poste est laissé 1 11.3.2
vacant (fermeture de session, logoff, écran de veille, verrouillage, etc.) ?
01B01-04 Les devoirs et responsabilités du personnel quant à l'utilisation et la protection des biens et 4
ressources de l'entreprise sont-ils précisés dans une note ou document mis à la disposition du
management ?
01B01-05 Ces notes précisent-elles ce qui est toléré et les limites à ne pas dépasser (usage des biens de 2 15.1.5
l'entreprise à des fins personnelles, par exemple) ?
01B01-06 Ces notes précisent-elles la conduite à tenir en cas de dépassement ou d'abus ? 2
01B01-07 Le processus disciplinaire en cas de manquement aux règles de sécurité ou de violation de 1 8.2.3
procédure est-il formalisé ?
01B01-08 Les devoirs et responsabilités du management dans le domaine de la protection de l'information et 2
des ressources de l'entreprise sont-ils précisés dans une note ou document communiqué à
l'ensemble des managers ?
01B01-09 Les devoirs et responsabilités du management lors de la cessation ou d'un changement d'activité 1 8.3.1
d'un collaborateur (interne ou sous contrat) sont-ils définis et précisés dans une procédure ou
document communiqué à l'ensemble des managers ?
01B01-10 La procédure précédente (ou le document équivalent) couvre-t-elle la remise en cause et la 2 8.3.3
suppression de tous les droits d'accès aux diverses parties du système d'information ?
01B01-11 L'authenticité des notes publiées (ou de la Charte) relative aux devoirs et responsabilités du 2 3
personnel est-elle contrôlée ?
01B01-12 Les managers s'assurent-ils et doivent-ils rendre compte, de la conformité du comportement de leurs 2 3 15.2.1
collaborateurs aux politiques et standards en vigueur ?
01B01-13 Existe-t-il une revue régulière de la charte des devoirs et responsabilités du personnel (ou des notes 2 3
correspondantes) ?
01B02 Directives générales relatives à la protection de l'information
01B02-01 Existe-t-il un document définissant les règles générales à appliquer en ce qui concerne la protection 2 11.4.2
des sites vis-à-vis de l'extérieur, les conditions requises pour accéder à chaque site depuis l'extérieur
et la protection des locaux sensibles ?
01B02-02 Existe-t-il un document définissant les règles générales à appliquer en ce qui concerne la protection 2 11.4.2;
du réseau interne vis-à-vis de l'extérieur, les conditions requises pour accéder depuis l'extérieur au 11.4.5
réseau interne et réciproquement et les cloisonnements internes entre sous-réseaux ?
01B02-03 Existe-t-il un document définissant les règles générales à appliquer en ce qui concerne la protection 2 10.8.1;
des moyens et supports de stockage, de traitement et de transport de l'information (équipements de 10.7.3
réseau et de travail, systèmes, applications, données, media, etc.) et les conditions requises pour
l'attribution, la gestion et le contrôle des droits d'accès ?
01B02-04 Ces règles sont-elles établies en fonction du niveau de classification des ressources concernées ? 2 10.7.3;
10.8.1;
7.2.2
MEHARI 2007-ed2 ! 01 Org 45 Février 2009
Questionnaire d'audit : Domaine Organisation
N° Question Question Rép P Max Min ISO 17799 Commentaires

01B02-05 Existe-t-il un document définissant les règles à appliquer en ce qui concerne l'exploitation des 2 10.8.1;
ressources informatiques (réseaux, serveurs, etc.), des services de communication électronique et 11.4.1;
des réseaux sans fil ? 10.7.3
01B02-06 Existe-t-il un document définissant les règles générales à appliquer en ce qui concerne les 2 10.7.3
développements informatiques et la prise en compte de la sécurité dans la gestion des projets ?
01B02-07 Existe-t-il un document définissant les règles générales à appliquer au quotidien dans la gestion de 2 10.8.1;
l'environnement de travail (documents, bureau propre, micro-informatique, téléphone, fax, etc.) ? 11.3.3;
10.7.3
01B02-08 Existe-t-il un document définissant les procédures de sécurité additionnelles à appliquer en ce qui 2 10.8.1;
concerne l'informatique mobile et le télétravail ? 11.7.1
01B02-09 Existe-t-il un document précisant les exigences, les responsabilités et les procédures à appliquer afin 2 15.1.3
de protéger les archives importantes pour l'organisation ?
01B02-10 L'ensemble des exigences réglementaires, contractuelles, et légales a-t-il été explicitement identifié 2 15.1.1
et son application par l'organisation figure-t-elle dans un document tenu à jour ?
01B02-11 Les moyens et solutions de sécurité mis à disposition des responsables et des utilisateurs sont-ils 4 2
cohérents avec les directives précédentes ?
01B02-12 Les règles concernant la protection des informations et des ressources sont-elles rendues facilement 4 2
accessibles à l'ensemble du personnel (Intranet, par exemple) et régulièrement mises à jour en
fonction des exigences business ?
01B02-13 Existe-t-il une procédure de contrôle ou d'audit de l'authenticité et de la pertinence des règles de 2 3
protection de l'information et des ressources du système d'information diffusées à l'ensemble du
personnel ?
01B03 Classification des ressources
01B03-01 A-t-on défini un schéma de classification permettant d'attribuer aux informations et ressources un 4
niveau de classification reflétant le besoin de protection de ces informations ou ressources en
fonction du contexte de l'entreprise et prenant en compte les critères Disponibilité, Intégrité,
01B03-02 Ce schéma de classification
Confidentialité ? définit-il le marquage des différents types de ressources en fonction de 1 7.2.2
leur classification ?
01B03-03 A-t-on effectué une classification des informations (documents, données, fichiers, bases de données, 4 1 2 7.2.1
etc.) en fonction de l'impact qu'un sinistre touchant ces informations aurait sur l'entreprise ?
01B03-04 Cette classification a-t-elle été effectuée pour chacun des critères de Disponibilité, Intégrité et 2 2
Confidentialité ?
01B03-05 A-t-on effectué une classification des ressources sensibles (systèmes informatiques, équipements 4
télécoms et divers, locaux, etc.) en fonction de l'impact qu'un sinistre touchant ces ressources aurait
sur l'entreprise ?
01B03-06 Cette classification a-t-elle été effectuée pour chacun des critères de Disponibilité, Intégrité et 2
Confidentialité ?
01B03-07 A-t-on effectué une classification des programmes et traitements sensibles en fonction de l'impact 4
qu'un sinistre touchant ces ressources aurait sur l'entreprise ?
01B03-08 Cette classification a-t-elle été effectuée pour chacun des critères de Disponibilité, Intégrité et 4
Confidentialité ?
01B03-09 Ces diverses classifications sont-elles rendues facilement accessibles au personnel concerné en cas 4 2
de besoin ?
01B03-10 Existe-t-il une procédure de revue périodique des classifications et l'application de cette procédure 4 3 7.2.1
est-elle contrôlée ?
01B04 Gestion des "actifs" (assets)

MEHARI 2007-ed2 ! 01 Org 46 Février 2009


Questionnaire d'audit : Domaine Organisation
N° Question Question Rép P Max Min ISO 17799 Commentaires

01B04-01 A-t-on défini les types d'actifs devant être identifiés et inventoriés ? 2 7.1.1
Les actifs peuvent être des informations (bases de données, fichiers, contrats et accords,
documentation, manuels, procédures, plans, archives, etc.), des logiciels (applications, firmware,
middleware, outils et utilitaires, etc.), des équipements matériels (ordinateurs, équipements de
réseau, media, etc.), des services et servitudes (énergie, chauffage, climatisation, etc.), des
personnes ou du savoir-faire, des actifs intangibles tels que la réputation ou l'image.
01B04-02 Tient-on à jour un inventaire des types d'actifs tels qu'identifiés et définis ci-dessus ? 4 7.1.1
01B04-03 A-t-on désigné pour chaque actif identifié et inventorié un "propriétaire" de cet actif ? 2 7.1.2
Un propriétaire est la personne ou l'entité désignée pour assumer la responsabilité du
développement, de la maintenance, de l'exploitation, de l'utilisation et de la sécurité de cet actif. Le
terme de propriétaire ne signifie pas que la personne ou l'entité détient un droit de propriété sur cet
01B04-04 actif.
A-t-on défini et documenté, pour chaque actif, les règles d'utilisation acceptables ? 2 7.1.3
Ceci implique, en particulier, de définir l'usage privé qu'un collaborateur peut faire d'un actif de
01B04-05 l'entreprise.
Les règles concernant le retour à l'entreprise ou à l'organisation des biens confiés au personnel, lors 1 8.3.2
de cessation ou de changement d'activité, sont-elles clairement définies et précisées au
management ?
01B04-06 Existe-t-il des règles concernant la sortie des actifs (autorisations préalables, personnes autorisées, 1 9.2.7
enregistrement de la sortie et de la rentrée, effacement des données inutiles, etc.) ?
01C Gestion des ressources humaines
01C01 Engagements du personnel, clauses contractuelles
01C01-01 Une note précisant les devoirs et responsabilités du personnel, a-t-elle été diffusée à l'ensemble des 4 6.1.5; 8.1.3
collaborateurs (y compris les intérimaires, stagiaires, etc.) de telle sorte qu'ils ne puissent nier en
avoir eu connaissance ?
01C01-02 Existe-t-il, dans les contrats d'embauche ou dans le règlement intérieur, une clause précisant 4 6.1.5; 8.1.3
l'obligation de respecter l'ensemble des règles de sécurité en vigueur ?
01C01-03 Une note précisant les obligations légales, réglementaires ou contractuelles a-t-elle été diffusée à 2 6.1.5
l'ensemble des collaborateurs ?
01C01-04 Les devoirs et responsabilités imposés au personnel sont-ils imposés contractuellement (par le biais 4 6.1.5
de conditions générales ou de clauses spécifiques) à tout prestataire intervenant au profit de
l'entreprise et pouvant, de ce fait, avoir accès ou favoriser l'accès à des informations ou à des
ressources sensibles ?
01C01-05 Impose-t-on contractuellement à toute société prestataire pouvant avoir accès ou favoriser l'accès à 4 6.1.5
des informations ou à des ressources sensibles, que ses collaborateurs signent un engagement
personnel de respect des clauses de sécurité spécifiées ?
01C01-06 Le management a-t-il la responsabilité de s'assurer que le personnel, le personnel sous contrat ou les 1 8.2.1
tiers respectent les politiques et procédures de sécurité de l'organisation ?
01C01-07 Existe-t-il une procédure de contrôle de l'authenticité et de la pertinence des règles de sécurité 4 3
diffusées à l'ensemble du personnel ?
01C02 Gestion du personnel stratégique
01C02-01 Les compétences stratégiques sont-elles régulièrement identifiées ? 4 2
01C02-02 Des solutions de secours existent-elles en cas d'indisponibilité de compétences stratégiques ? 4
01C02-03 Ces solutions de secours permettent-elles de garantir une poursuite de l'activité de l'entreprise sans 4 3
perturbation majeure ?
01C02-04 Le personnel stratégique fait-il l'objet d'une gestion de carrière spécifique ? 2

MEHARI 2007-ed2 ! 01 Org 47 Février 2009


Questionnaire d'audit : Domaine Organisation
N° Question Question Rép P Max Min ISO 17799 Commentaires

01C02-05 Existe-t-il une procédure de contrôle de la pertinence et de la mise à jour des mesures précédentes ? 2 3

01C03 Procédure d'habilitation du personnel


01C03-01 Y a-t-il une procédure d'information préliminaire auprès du personnel (interne ou contracté), en ce 1 8.1.1
qui concerne ses devoirs et responsabilités et les exigences de sécurité de la fonction, avant tout
changement d'affectation ou embauche ?
01C03-02 Y a-t-il un recueil d'informations à l'embauche de personnel pouvant être amené à travailler sur des 4 8.1.2
tâches sensibles ?
01C03-03 Les intervenants extérieurs travaillant dans les locaux de l'entreprise à des tâches sensibles ont-ils 4 8.1.2
été habilités par un organisme officiel ?
01C03-04 Y a-t-il un recueil d'informations lors de l'affectation de personnels à des tâches sensibles ? 4 8.1.2
Nota : il peut également s'agir d'un entretien ouvert destiné à éviter de placer du personnel dans une
01C04 position de conflitet
Sensibilisation d'intérêt.
formation à la sécurité
01C04-01 Existe-t-il un programme de sensibilisation du personnel aux risques d'accident, d'erreur et de 4 2 8.2.2
malveillance relatifs au traitement de l'information ?
01C04-02 Ce programme de sensibilisation touche-t-il l'ensemble du personnel et est-il réactivé 2 8.2.2
régulièrement ?
01C04-03 Existe-t-il un programme de formation du personnel aux règles et mesures générales de protection 2 8.2.2
de l'information ?
01C04-04 Ces règles et mesures générales couvrent-elles l'ensemble des domaines concernés (documents, 2 8.2.2
micro-informatique, accès aux locaux, systèmes et applications, téléphone et fax, comportements en
réunion ou à l'extérieur, etc.) ?
01C04-05 Ces règles et mesures générales sont-elles facilement accessibles au personnel en cas de besoin 4 8.2.2
(intranet par exemple) et a-t-on communiqué sur cette possibilité ?
01C04-06 Ces règles précisent-elles les processus de reporting des incidents et des anomalies constatées et les 1 13.1.2
comportements adaptés ?
01C04-07 Le personnel ayant des responsabilités dans le domaine de la sécurité reçoit-il une formation 4
particulière adaptée ?
01C04-08 Existe-t-il un tableau de bord de la mise en oeuvre effective des actions de sensibilisation et de 4 3
formation ?
01C04-09 Existe-t-il un suivi du niveau de satisfaction et d'adhésion du personnel aux actions de sensibilisation 4 3
et de formation à la sécurité des systèmes d'information ?
01C05 Gestion des tierces parties (partenaires, prestataires, clients, public, etc.)
01C05-01 A-t-on analysé les risques liés aux accès de personnel tiers (prestataires) au système d'information 2 6.2.1
ou aux locaux contenant de l'information et défini en conséquences les mesures de sécurité
nécessaires ?
01C05-02 A-t-on analysé les risques liés aux accès de clients ou du public au système d'information (ou à une 2 6.2.2
partie du système d'information) ou aux locaux contenant de l'information et défini en conséquences
les mesures de sécurité nécessaires ?
01C05-03 A-t-on analysé les risques liés aux transfert d'informations ou de logiciels avec un tiers, et formalisé 2 10.8.2
contractuellement les procédures, responsabilités et obligations de chacune des parties ?
01C05-04 A-t-on défini l'ensemble des clauses de sécurité que devrait comprendre tout accord signé avec un 4 6.2.3
tiers impliquant un accès au système d'information ou aux locaux contenant de l'information ?
Le système d'information incluant les divers supports d'information ou moyens de traitement,
transport et communication de l'information.

MEHARI 2007-ed2 ! 01 Org 48 Février 2009


Questionnaire d'audit : Domaine Organisation
N° Question Question Rép P Max Min ISO 17799 Commentaires

01C05-05 Tout accès d'un tiers au système d'information ou aux locaux contenant de l'information n'est-il 2 2 15.1.5;
autorisé qu'après la signature d'un accord formel reprenant ces clauses ? 6.2.3
01C06 Enregistrement des personnes
01C06-01 Existe-t-il des procédures formelles d'enregistrement et de révocation des personnes ? 4 11.2.1
01C06-02 Ces procédures impliquent-elles fortement la gestion du personnel et la hiérarchie ? 4 11.2.1
01C06-03 Un identifiant (ID) unique est-il associé à chaque utilisateur (employé, externe, etc.) pouvant avoir 4 11.2.1
accès au système d'information ?
01C06-04 Les droits accordés aux utilisateurs dès leur enregistrement (services communs, messagerie, etc.) 4 11.2.1
ont-ils été approuvés par les propriétaires des ressources concernées ?
01C06-05 Tout utilisateur est-il tenu informé, lors de son enregistrement, des droits acquis de ce fait et des 4 11.2.1
devoirs liés à toute attribution droits (acquise dès son enregistrement ou qu'il pourra recevoir par la
suite) ?
01C06-06 Ces procédures sont-elles contrôlées et les anomalies éventuelles documentées et corrigées en 4 11.2.1
temps réel ?
La réactivité de la chaîne de managers concernés doit supprimer les procédures d'exception pouvant
résulter de retards dans les processus concernés.
01D Assurances
01D01 Assurance des dommages matériels
01D01-01 Les systèmes d'information sont-ils couverts par un contrat d'assurance couvrant les dommages 2
matériels (Dommage incendie, accident et risques divers, Bris de machine, Tous risques
informatiques, "Tous Risques Sauf", Périls dénommés, etc.) ?
01D01-02 Ce contrat couvre-t-il l'ensemble des systèmes informatiques et de télécommunication, leur câblage 4 2
et les installations de servitudes associées ?
01D01-03 Ce contrat couvre-t-il toutes les causes usuelles de ce type de sinistre : accidents (incendie, dégâts 4 2
des eaux, foudre, etc.), erreurs humaines, sabotage et vandalisme (y compris par le personnel de
l'entreprise ou préposé à son opération ou entretien) ?
01D01-04 Ce contrat assure-t-il tous les frais (réels) de réinitialisation des systèmes d'information touchés par 4 2
le sinistre (frais d'installation, de redémarrage et de test des systèmes de remplacement, frais de
reconstitution des données et des supports, etc.) ?
01D01-05 Ce contrat couvre-t-il tous les frais supplémentaires d'exploitation et de fonctionnement (prise en 4 2
charge des frais et dépenses qui continuent à courir, des frais exposés pour éviter ou limiter l'arrêt
de l'activité) ?
01D01-06 Ce contrat couvre-t-il tous les frais supplémentaires engagés par l'entreprise pour rétablir son image 4
auprès de ses clients ou partenaires ?
01D01-07 Ce contrat couvre-t-il globalement la perte d'exploitation engendrée par le sinistre ? 4 3
01D01-08 Le choix des garanties en matière informatique (exclusions, franchises, etc.) est-il le résultat d'une 2
étude spécifique conduite en commun avec la Direction Informatique et remise à jour
régulièrement ?
01D01-09 Les niveaux des garanties et des franchises permettent-ils de garantir la survie de l'entreprise en cas 2 2
de sinistre ?
01D01-10 Les niveaux des garanties et des franchises permettent-ils de garantir qu'un sinistre pourrait être 2 3
supporté sans conséquences graves pour l'entreprise ?
01D02 Assurance des dommages immatériels

MEHARI 2007-ed2 ! 01 Org 49 Février 2009


Questionnaire d'audit : Domaine Organisation
N° Question Question Rép P Max Min ISO 17799 Commentaires

01D02-01 Les systèmes d'information sont-ils couverts par un contrat d'assurance couvrant les dommages 2
immatériels (malveillance, utilisation non autorisée des systèmes d'information, pertes accidentelles
de données ou de programmes, déni de service, etc.) ?
01D02-02 Ce contrat couvre-t-il l'ensemble des systèmes informatiques (systèmes internes, intranet, extranet, 4 2
sites Web, etc.) ?
01D02-03 Ce contrat couvre-t-il toutes les causes usuelles de ce type de sinistre : accidents (pannes, bogues, 4 2
etc.), erreurs humaines (erreurs de manipulation, erreurs de programmation, etc.), malveillances
(fraudes, intrusions, déni de service, y compris par le personnel de l'entreprise ou préposé à son
opération ou entretien) ?
01D02-04 Ce contrat assure-t-il tous les frais (réels) d'investigation et de recherche des causes et des 4 2
conséquences du sinistre ?
01D02-05 Ce contrat assure-t-il tous les frais (réels) de réinitialisation des systèmes d'information touchés par 4 2
le sinistre (frais de redémarrage et de test après redémarrage, frais de reconstitution des données,
etc.) ?
01D02-06 Ce contrat couvre-t-il tous les frais supplémentaires d'exploitation et de fonctionnement (prise en 4 2
charge des frais et dépenses qui continuent à courir, des frais exposés pour éviter ou limiter l'arrêt
de l'activité) ?
01D02-07 Ce contrat couvre-t-il tous les frais supplémentaires engagés par l'entreprise pour rétablir son image 4
auprès de ses clients ou partenaires ?
01D02-08 Ce contrat couvre-t-il globalement la perte d'exploitation engendrée par le sinistre ? 4 3
01D02-09 Le choix des garanties en matière informatique (exclusions, franchises, etc.) est-il le résultat d'une 2
étude spécifique conduite en commun avec la Direction Informatique et remise à jour
régulièrement ?
01D02-10 Les niveaux des garanties et des franchises permettent-ils de garantir la survie de l'entreprise en cas 2 2
de sinistre ?
01D02-11 Les niveaux des garanties et des franchises permettent-ils de garantir qu'un sinistre pourrait être 2 3
supporté sans conséquences graves pour l'entreprise ?
01D03 Assurance Responsabilité Civile (RC)
01D03-01 A-t-on souscrit une garantie "Responsabilité Civile" incluant les conséquences de sinistres 4
informatiques (RC professionnelle, RC produit) ?
01D03-02 Ce contrat couvre-t-il toutes les causes possibles de sinistre : accidents touchant du matériel, des 2
programmes ou des données (pannes, bogues, risques divers, etc.), erreurs humaines (erreurs de
manipulation, erreurs de programmation, etc.), malveillances (fraudes, intrusions, déni de service, y
compris par le personnel de l'entreprise ou préposé à son opération ou entretien) ?
01D03-03 Ce contrat couvre-t-il tous les frais supplémentaires engagés par l'entreprise pour rétablir son image 2
auprès de ses clients ou partenaires ?
01D03-04 Le choix des garanties en matière informatique (exclusions, franchises, etc.) est-il le résultat d'une 2
étude spécifique conduite en commun avec la Direction Informatique et remise à jour
régulièrement ?
01D03-05 Les niveaux des garanties et des franchises permettent-ils de garantir la survie de l'entreprise en cas 2 2
de sinistre ?
01D03-06 Les niveaux des garanties et des franchises permettent-ils de garantir qu'un sinistre pourrait être 2 3
01D04 supporté
Assurance sans conséquences
Perte graves pour
de Personnages clés l'entreprise ?
01D04-01 L'entreprise est-elle couverte par un contrat d'assurance couvrant la perte de personnes clés pour 2
l'activité de l'entreprise ?

MEHARI 2007-ed2 ! 01 Org 50 Février 2009


Questionnaire d'audit : Domaine Organisation
N° Question Question Rép P Max Min ISO 17799 Commentaires

01D04-02 Ce contrat couvre-t-il toutes les causes possibles de perte de personnes clés : accidents (avion, 4 2
automobile, etc.), maladies, départs volontaires individuels ou groupés ?
01D04-03 Ce contrat couvre-t-il tous les frais supplémentaires de fonctionnement engendrés par cette perte ? 4 2
01D04-04 Ce contrat couvre-t-il tous les frais supplémentaires engagés par l'entreprise pour rétablir son image 4
auprès de ses clients ou partenaires ?
01D04-05 Ce contrat couvre-t-il globalement la perte d'exploitation engendrée par le sinistre ? 4
01D04-06 Le choix des garanties en matière informatique (exclusions, franchises, etc.) est-il le résultat d'une 2
étude spécifique conduite en commun avec la Direction Informatique et remise à jour
régulièrement ?
01D04-07 Les niveaux des garanties et des franchises permettent-ils de garantir la survie de l'entreprise en cas 2 2
de sinistre ?
01D04-08 Les niveaux des garanties et des franchises permettent-ils de garantir qu'un sinistre pourrait être 2 3
supporté sans conséquences graves pour l'entreprise ?
01E Continuité de l'activité
01E01 Prise en compte des besoins de continuité de l'activité
01E01-01 A-t-on analysé la criticité des différentes activités pour mettre en évidence les besoins de continuité 4 2 14.1.2
de service ?
Une analyse approfondie suppose que l'on établisse une liste de scénarios d'incidents et qu'on en
01E01-02 Cette analyse
analyse toutesa-t-elle permis de formaliser
les conséquences les performances minimales à assurer au niveau des
prévisibles. 4 2 14.1.2
systèmes d'information et ces performances minimales ont-elles été acceptées par les utilisateurs
(propriétaires d'information) ?
01E01-03 Existe-t-il des processus, régulièrement mis en oeuvre, d'analyse des risques, liés à l'information, 2 14.1.1
pouvant conduire à une interruption des activités de l'entreprise, débouchant sur une définition des
exigences de sécurité, des responsabilités, des procédures à appliquer et moyens à mettre en
oeuvre afin de permettre l'élaboration des plans de continuité ?
01E02 Plans de Continuité de l'Activité
01E02-01 A-t-on déduit, d'une analyse de criticité, des Plans de Continuité d'Activité (PCA) pour chaque activité 3 14.1.3
critique ?
01E02-02 Ces plans prévoient-ils bien toutes les actions à entreprendre pour assurer la continuité de l'activité 3 2 14.1.3
entre l'alerte et la mise en oeuvre éventuelle des solutions de remplacement prévues par les plans
de secours techniques ?
01E02-03 Ces plans traitent-ils tous les aspects organisationnels liés à la solution de secours "manuel" 3 14.1.3
(personnel, logistique, encadrement, etc.) ?
01E02-04 A-t-on prévu les instructions et la formation à donner aux personnels dans le cas d'une solution de 2 14.1.3
secours "manuel" ?
01E02-05 Les Plans de Continuité d'Activité prévoient-ils les procédures de retour à la normale ? 4 2 14.1.3
01E02-06 Le Plan de déclenchement de crise est-il en phase avec ces plans ? 4
01E02-07 Ces plans permettent-ils de rendre supportable (impact limité à 2) tout dysfonctionnement critique ? 1 2 3
Question destinée à ne pas surévaluer l'efficacité de ce service
01E02-08 Ces plans sont-ils régulièrement testés et remis à jour (au moins une fois par an) ? 3 2 14.1.5
01E02-09 Les mises à jour de ces plans sont-elles régulièrement auditées (au moins une fois par an) ? 3 2

MEHARI 2007-ed2 ! 01 Org 51 Février 2009


Questionnaire d'audit : Domaine des Sites et des bâtiments
N° Question Question Rép. P Max Min ISO 17799 Commentaires
02A Contrôle d'accès physique au site et aux bâtiments
On traite ici du contrôle d'accès à l'ensemble du site ou à l'immeuble, voire à un
ensemble d'étages, représentant le "site propre" dans lequel sont situés les
02A01 locaux
Gestion sensibles.
des droits d'accès au site ou à l'immeuble
02A01-01 Les droits permanents ou semi-permanents (pour une durée déterminée) d'accès à chaque site ou 4 2 2
immeuble (ou aux étages propres) sont-ils définis par rapport à des "profils" types (personnel en
CDI, CDD, personnels temporaires, stagiaires, prestataires, fournisseurs de services, etc.) et/ou au
métier de chaque type de personnel ?
02A01-02 Y a -t-il une liste, tenue à jour, de ces profils et des personnes responsables de la gestion des droits 4 2 2
de chacun d'entre eux ?
02A01-03 Les droits attribués aux différents profils et leurs conditions de validité sont-ils validés par le 4
responsable de la sécurité du site ou le responsable de la sécurité générale ?
02A01-04 Les profils permettent-ils également de définir des créneaux horaires et calendaires de travail 2
(heures début et fin de journée, week-end, vacances, etc.) ?
02A01-05 Les droits et profils ainsi définis sont-ils protégés contre toute altération ou falsification, lors de leur 1 2
transfert entre les décisionnaires et les personnes en charge de matérialiser ces droits ou lors de
leur stockage ?
02A01-06 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits attribués aux diverses 1 3
catégories de personnes et de la pertinence de ces droits d'accès ?
02A02 Gestion des autorisations d'accès au site ou à l'immeuble
02A02-01 La procédure d'attribution d'une autorisation d'accès permanente ou semi-permanente nécessite-t- 4 2
elle l'accord formel de la hiérarchie de rattachement ou de l'unité gérante de la prestation externe
(à un niveau suffisant) ?
02A02-02 Le processus d'attribution (ou modification ou retrait) effective d'une autorisation d'accès est-il 4 2
documenté et strictement contrôlé ?
Un contrôle strict requiert une reconnaissance formelle de la signature (électronique ou non) du
demandeur, que la matérialisation du profil attribué aux utilisateurs soit strictement sécurisée, que
chaque opération soit enregistrée (avec mention du jour de la remise du badge et sa durée de
validité), qu'il existe un contrôle d'accès renforcé pour pouvoir modifier ces enregistrements, et que
ces modifications soient journalisées et auditées.
02A02-03 Les autorisations sont-elles attribuées nominativement en fonction du profil de son titulaire et 4
02A02-04 matérialisées
Les badges oupar un badge
cartes ou une carte
matérialisant ?
les autorisations d'accès aux sites sont-ils personnalisés avec le 2
nom du titulaire et sa photo ?
02A02-05 Peut-on contrôler à tout moment la liste des autorisations d'accès en cours de validité, avec leur 2
profil de rattachement ?
02A02-06 Y a-t-il un processus de retrait rapide et systématique des autorisations d'accès (avec dévalidation 4 2
du badge dans les systèmes de contrôle d'accès automatique) et de restitution du badge ou de la
carte correspondant lors de départs de personnel interne ou externe à l'entreprise, de changements
de site de rattachement (si les autorisations dépendent de ce site) ou d'interruption de mission ?

02A02-07 Existe-t-il une procédure permettant de détecter, a posteriori, des anomalies dans la gestion des 4
autorisations (badge ou carte non restitué, utilisation d'un badge perdu, faux badge, etc.) ?
02A03 Contrôle d'accès au site ou à l'immeuble

MEHARI 2007-ed2 ! 02 Sit 52 Février 2009


Questionnaire d'audit : Domaine des Sites et des bâtiments
N° Question Question Rép. P Max Min ISO 17799 Commentaires
02A03-01 Le site est-il complètement clos par une enceinte difficile à franchir ? 1 1 9.1.1
S'il s'agit d'un immeuble sur la voie publique, pour être considéré comme clos, toutes les fenêtres
du rez-de-chaussée doivent être bloquées fermées et toutes les voies d'accès doivent être prises en
compte (garages ou sous-sols, toiture, etc.)
02A03-02 A-t-on un système opérationnel (automatique ou gardiennage) de contrôle d'accès systématique 1 1 9.1.1
(piétons et véhicules) au site ?
02A03-03 Ce système permet-il de garantir que toute personne est contrôlée ? 4 2
Un contrôle efficace suppose un sas, un système de tourniquet ou un gardien ne permettant le
passage que d'une personne à la fois, pour les piétons et, pour les véhicules entrant sur un site, un
gardien contrôlant toutes les personnes présentes dans le véhicule
02A03-04 Un tel système, s'il repose sur un badge, permet-il de garantir qu'un même badge n'est pas réutilisé 4
par une deuxième personne (par exemple en mémorisant l'entrée et en empêchant toute
réutilisation sans avoir auparavant badgé pour ressortir) ?
02A03-05 En cas d'autorisation d'accès au site sur présentation d'un badge ou d'une carte, a-t-on la possibilité 4 2
immédiate d'en vérifier l'authenticité et la validité ?
02A03-06 Les systèmes automatiques de contrôle d'accès au site sont-ils placés sous contrôle permanent 4 2 9.1.1
opérationnel 24h/24 permettant de diagnostiquer une panne, une désactivation ou l'utilisation
d'issues de secours en temps réel ?
02A03-07 Y a-t-il une procédure ou des automatismes permettant de déclencher l'intervention immédiate d'un 4 3
personnel spécialisé en cas d'alarme d'arrêt du système de contrôle d'accès automatique (ou
d'utilisation d'issue de secours) ?
02A03-08 Existe-t-il une procédure permettant de détecter, a posteriori, des anomalies dans les processus de 4 3
contrôle d'accès (audit des procédures et du paramétrage des systèmes de contrôle d'accès, audit
des procédures d'exception et d'intervention, etc.) ?
02A04 Détection des intrusions sur le site ou dans l'immeuble
02A04-01 A-t-on un système opérationnel de détection des intrusions sur le site relié à un poste permanent de 4 9.1.1
surveillance ?
02A04-02 Ce système détecte-t-il tout franchissement de clôture, tout forçage d'issue (portes et fenêtres) tout 4 2
fonctionnement d'issue de secours et tout maintien en ouverture d'une issue normale ?
02A04-03 Ce système est-il doublé d'un système de contrôle audio et vidéo permettant à l'équipe de 4 3
surveillance d'établir un premier diagnostic ou une levée de doute à distance ?
02A04-04 L'équipe de surveillance est-elle dégagée de toute tâche opérationnelle et toute alarme est-elle 4 3
immédiatement détectée et traitée en toute priorité ?
02A04-05 En cas d'alerte du système de détection d'intrusion, l'équipe de surveillance a-t-elle la possibilité 4 2
d'envoyer sans délai une équipe d'intervention pour vérifier l'alerte et agir en conséquence ?
02A04-06 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse 4 3
d'alarmes multiples déclenchées volontairement ?
02A04-07 Existe-t-il un cahier de consigne précis détaillant, pour chaque cas d'alerte envisagé, la conduite à 2
tenir ?
02A04-08 Le système de détection d'intrusion est-il lui-même sous contrôle (alarme en cas d'inhibition, auto- 2 3
surveillance des caméras, etc.) ?
02A04-09 Les points de contrôle de la détection d'intrusions et les procédures de réaction aux intrusions font- 2 3
ils l'objet d'audits réguliers ?
02A05 Accès aux zones de déchargement ou de chargement ( de réception ou d'expédition de
marchandises)

MEHARI 2007-ed2 ! 02 Sit 53 Février 2009


Questionnaire d'audit : Domaine des Sites et des bâtiments
N° Question Question Rép. P Max Min ISO 17799 Commentaires
02A05-01 Y a-t-il un contrôle d'accès, depuis l'extérieur, pour accéder aux zones de réception ou 2 9.1.6
d'expédition ?
02A05-02 L'accès aux zones de déchargement est-il limité à ces zones ? 2 9.1.6
02A05-03 Les zones de déchargement sont-elles fermées en dehors des périodes d'activité ? 2 9.1.6
02A05-04 Existe-t-il une procédure de réception des marchandises ? 2 9.1.6
02A05-05 Les expéditions et les réceptions sont-elles séparées ? 1 9.1.6

MEHARI 2007-ed2 ! 02 Sit 54 Février 2009


Questionnaire d'audit : Domaine des Locaux
N° Question Question Rép P Max Min ISO 17799 Commentaires

03A Services généraux


03A01 Qualité de la fourniture de l'énergie
03A01-01 L'énergie électrique fournie répond-elle aux exigences maximales spécifiées par les fournisseurs 2 9.2.2
d'équipements avec une marge suffisante ?
03A01-02 Y a-t-il un système de régulation électrique comportant au moins un onduleur pour les équipements 4 9.2.2
sensibles ?
03A01-03 Y a-t-il des batteries intermédiaires (alimentant un ou plusieurs onduleurs) garantissant une 2 9.2.2
autonomie suffisante pour que les équipements s'arrêtent dans de bonnes conditions ?
03A01-04 Le système d'alimentation en énergie est-il équipé d'un système de contrôle signalant à une équipe 2 3
d'intervention toute indisponibilité partielle ou inhibition d'équipement (mise hors service des
batteries, charge insuffisante, arrêt de la régulation, etc.) ?
03A01-05 Vérifie-t-on régulièrement l'adéquation des systèmes de régulation d'énergie (capacités des 2 2
batteries, en particulier) avec les exigences des systèmes (autonomie nécessaire pour assurer un
arrêt propre) ?
03A02 Continuité de la fourniture de l'énergie
03A02-01 Existe-t-il une installation électrique de secours capable d'assurer la continuité du service des 4 2 9.2.2
équipements critiques (s'appuyant sur un groupe électrogène associé à une réserve de carburant
suffisante ou sur des arrivées indépendantes d'énergie) ?
03A02-02 Teste-t-on régulièrement la capacité du système de secours à assurer la charge prévue (les 4
délestages éventuels ayant été effectués) ?
03A02-03 Teste-t-on régulièrement la séquence de mise en route de l'installation de secours et sa 4 2
compatibilité avec les exigences de continuité de service (les tests incluant les délestages ou
reconfigurations éventuellement nécessaires) ?
03A02-04 Le système de secours d'alimentation en énergie est-il équipé d'un système de contrôle signalant à 2 3
une équipe d'intervention toute indisponibilité partielle ou inhibition d'équipement (mise hors
service des équipements de secours, réserve de fuel insuffisante, arrêt des systèmes de détection
et de commutation, etc.) ?
03A03 Sécurité de la climatisation
03A03-01 Y a-t-il un système de climatisation créant une ambiance (température, hygrométrie, poussières) 4 9.2.2
conforme aux prescriptions des constructeurs des matériels installés ?
03A03-02 Vérifie-t-on régulièrement la capacité du système de climatisation à assurer sa fonction dans les 4
pires conditions climatiques envisageables ?
03A03-03 Le système de climatisation continue-t-il à assurer son service (maintien des conditions climatiques 2 9.2.2
dans les limites spécifiées) en cas de panne simple d'un équipement (redondance suffisante des
équipements, système de secours de la climatisation, etc.) ?
03A03-04 Vérifie-t-on régulièrement la capacité du système de climatisation à assurer sa fonction, après 1 3
occurrence d'une panne simple d'équipement, dans les pires conditions climatiques envisageables ?

03A03-05 L'inhibition accidentelle (panne) ou volontaire (arrêt) d'un équipement de climatisation est-elle 2 2
détectée et signalée à une équipe d'intervention à même d'agir rapidement ?
03A03-06 La sécurité de la climatisation (détection de panne ou d'inhibition, procédures d'intervention, etc.) 2 3
fait-elle l'objet d'un audit régulier ?
03A04 Qualité du câblage
03A04-01 Maintient-on un dossier de tous les chemins et baies de câblage (avec une copie de sauvegarde) et 4 9.2.3
des locaux associés avec leurs caractéristiques ?

MEHARI 2007-ed2 ! 03 Loc 55 Février 2009


Questionnaire d'audit : Domaine des Locaux
N° Question Question Rép P Max Min ISO 17799 Commentaires

03A04-02 Les câbles sont-ils étiquetés individuellement et à chaque extrémité ? 2 9.2.3


03A04-03 Le câblage est-il protégé contre les risques d'accident (goulottes protégées) ? 4 9.2.3
03A04-04 Les courants forts et faibles sont-ils bien séparés ? 2 9.2.3
03A04-05 La qualité et la protection des câblages font-elles l'objet d'un audit régulier ? 2 3
03A04-06 La mise à jour des plans de câblage fait-elle l'objet d'un audit régulier ? 2 2
03A05 Protection contre la foudre
03A05-01 L'immeuble est-il protégé par un paratonnerre ? 4
03A05-02 Les circuits électriques et le câblage sont-ils protégés contre les surtensions et contre la foudre par 4
des équipements spéciaux ?
03A05-03 La protection des circuits et des équipements contre la foudre fait-elle l'objet d'un audit régulier ? 2 3
03B Contrôle d'accès aux locaux sensibles
03B01 Gestion des droits d'accès aux locaux sensibles
03B01-01 Les droits d'accès permanents ou semi-permanents (pour une durée déterminée) aux locaux 4 2 2 9.1.2
sensibles sont-ils définis par rapport à des "profils" types prenant en compte la fonction et le statut
(personnel d'exploitation informatique ou télécom, personnels des services généraux ou de
sécurité, pompiers, prestataires de maintenance ou d'entretien, fournisseurs de services, stagiaires,
visiteurs, etc.) ?
03B01-02 A-t-on recensé tous les types de locaux sensibles et désigné, pour chaque type de local, un 4
responsable chargé de définir et de maintenir à jour les droits attribués à chaque catégorie de
personnel et ces responsables assument-ils cette fonction ?
03B01-03 Les profils permettent-ils également de définir des créneaux horaires et calendaires de travail 4
(heures début et fin de journée, week-end, vacances, etc.) ?
03B01-04 Les droits et profils ainsi définis sont-ils protégés contre toute altération ou falsification, lors de leur 1 2
transfert entre les décisionnaires et les personnes en charge de matérialiser ces droits ou lors de
leur stockage ?
03B01-05 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits attribués aux diverses 1 3 9.1.2
catégories de personnes et de la pertinence de ces droits d'accès ?
03B02 Gestion des autorisations d'accès aux locaux sensibles
03B02-01 La procédure d'attribution d'une autorisation d'accès, permanente ou semi-permanente, nécessite- 4 2
t-elle l'accord formel de la hiérarchie de rattachement ou de l'unité gérante de la prestation
externe (à un niveau suffisant) ?
03B02-02 Le processus d'attribution (ou modification ou retrait) effective d'une autorisation d'accès est-il 4 2
documenté, pour chaque type de local sensible, et strictement contrôlé ?
Un contrôle strict requiert une reconnaissance formelle de la signature (électronique ou non) du
demandeur, que la matérialisation du profil attribué aux utilisateurs soit strictement sécurisée, que
chaque opération soit enregistrée (avec mention du jour de la remise du badge et sa durée de
validité), qu'il existe un contrôle d'accès renforcé pour pouvoir modifier ces enregistrements, et que
ces modifications soient journalisées et auditées.
03B02-03 Les autorisations sont-elles attribuées nominativement en fonction du profil de son titulaire et 4
matérialisées par un badge ou une carte, voire une clé ?
03B02-04 Les badges ou cartes matérialisant les autorisations d'accès aux locaux sensibles sont-ils 4 2 2
personnalisés avec le nom du titulaire et sa photo ?

MEHARI 2007-ed2 ! 03 Loc 56 Février 2009


Questionnaire d'audit : Domaine des Locaux
N° Question Question Rép P Max Min ISO 17799 Commentaires

03B02-05 Peut-on contrôler à tout moment la liste des autorisations d'accès en cours de validité, avec leur 4 2
profil de rattachement ?
03B02-06 Y a-t-il un processus de retrait rapide et systématique des autorisations d'accès (avec dévalidation 2 2
du badge dans les systèmes de contrôle d'accès automatique) et de restitution du badge, de la
carte ou de la clé correspondant lors de départs de personnel interne ou externe à l'entreprise, de
changements de site de rattachement (si les droits dépendent de ce site) ou d'interruption de
03B02-07 Les clés ?et/ou les badges provisoires sont-ils stockés dans un coffre ou armoire résistant à
mission 4 2
l'effraction (par exemple : coffres certifiés) ?
03B02-08 Est-il interdit de pénétrer dans les locaux sensibles avec des moyens d'enregistrement photo, vidéo 1 9.1.5
ou audio ?
03B02-09 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des badges attribués aux diverses 1 2
catégories de personnel et de la pertinence de ces autorisations d'accès ?
03B02-10 Existe-t-il une procédure permettant de détecter, a posteriori, des anomalies dans la gestion des 4
autorisations (badge ou carte non restitué, utilisation d'un badge perdu, faux badge, badge attribué
abusivement, etc.) ?
03B03 Contrôle d'accès aux locaux sensibles
03B03-01 Utilise-t-on un système de contrôle d'accès systématique aux locaux sensibles ? 4 9.1.5; 9.1.2
03B03-02 L'authentification fait-elle appel à des moyens infalsifiables détenus par l'utilisateur (carte à puce 4 3
ou reconnaissance biométrique, par exemple) ?
03B03-03 Le système de contrôle d'accès garantit-il un contrôle exhaustif de toute personne entrant dans les 4 3 3
locaux (sas ne permettant le passage que d'une personne à la fois, processus interdisant
l'utilisation du même badge par plusieurs personnes, etc.) ?
03B03-04 Assure-t-on, en complément du contrôle d'accès par les issues normales, le contrôle des accès par 4 3
les autres issues : contrôle des fenêtres accessibles depuis l'extérieur, contrôle des issues de
secours, contrôle des accès potentiels par les faux planchers et faux plafonds ?
03B03-05 Les systèmes automatiques de contrôle d'accès au site sont-ils placés sous contrôle permanent 2 2
opérationnel 24h/24 permettant de diagnostiquer une panne, une désactivation ou l'utilisation
d'issues de secours en temps réel ?
03B03-06 Y a-t-il une procédure ou des automatismes permettant de déclencher l'intervention immédiate d'un 2 2
personnel spécialisé en cas d'alarme d'arrêt du système de contrôle d'accès automatique (ou
d'utilisation d'issue de secours) ?
03B03-07 Existe-t-il un processus d'audit permettant de détecter, a posteriori, des anomalies dans les 2 3
processus de contrôle d'accès (audit des procédures et du paramétrage des systèmes de contrôle
d'accès, audit des procédures d'exception et d'intervention, etc.) ?
03B04 Détection des intrusions dans les locaux sensibles
03B04-01 A-t-on un système opérationnel de détection des intrusions dans les locaux sensibles relié à un 4 2
poste permanent de surveillance ?
03B04-02 Ce système détecte-t-il tout forçage d'issue (portes et fenêtres), tout fonctionnement d'issue de 4 2
secours et tout maintien en ouverture d'une issue normale ?
03B04-03 Ce système détecte-t-il la présence de personnes en dehors des heures ouvrables ? 4 2
03B04-04 Ce système est-il doublé d'un système de contrôle audio et vidéo permettant à l'équipe de 4 3
surveillance d'établir un premier diagnostic à distance ?
03B04-05 L'équipe de surveillance est-elle dégagée de toute tâche opérationnelle et toute alarme est-elle 4 3
immédiatement détectée et traitée en toute priorité ?
03B04-06 En cas d'alerte du système de détection d'intrusion, l'équipe de surveillance a-t-elle la possibilité 4 2
d'envoyer sans délai une équipe d'intervention pour vérifier l'alerte et agir en conséquence ?

MEHARI 2007-ed2 ! 03 Loc 57 Février 2009


Questionnaire d'audit : Domaine des Locaux
N° Question Question Rép P Max Min ISO 17799 Commentaires

03B04-07 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse 4 3


d'alarmes multiples déclenchées volontairement ?
03B04-08 Existe-t-il un cahier de consigne précis détaillant, pour chaque cas d'alerte envisagé, la conduite à 2
tenir ?
03B04-09 Le système de détection d'intrusion est-il lui-même sous contrôle (alarme en cas d'inhibition, auto- 2 3
surveillance des caméras, etc.) ?
03B04-10 Les points de contrôle de la détection d'intrusions et les procédures de réaction aux intrusions font- 2 3
ils l'objet d'audits réguliers ?
03B05 Surveillance périmétrique (surveillance des issues et des abords immédiats des locaux
sensibles)
03B05-01 Y a-t-il une surveillance périmétrique complète et cohérente de l'environnement immédiat des 4
locaux sensibles, par vidéosurveillance ou surveillance visuelle directe ?
03B05-02 L'équipe de surveillance est-elle dégagée de toute tâche opérationnelle et toute alarme est-elle 4 3
immédiatement détectée et traitée en toute priorité ?
03B05-03 En cas d'alerte, l'équipe de surveillance a-t-elle la possibilité d'envoyer sans délai une équipe 4
d'intervention pour vérifier l'alerte et agir en conséquence ?
03B05-04 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse 4 3
d'alarmes multiples déclenchées volontairement ?
03B05-05 Existe-t-il un cahier de consigne précis détaillant, pour chaque cas d'alerte envisagé, la conduite à 2
tenir ?
03B05-06 Existe-t-il un enregistrement de la vidéosurveillance, conservé sur une logue période ? 1
03B05-07 Le système de surveillance périmétrique est-il lui-même sous contrôle (alarme en cas d'inhibition, 2 3
auto surveillance des caméras, etc.) ?
03B05-08 Les procédures de surveillance et les procédures de réaction aux intrusions font-ils l'objet d'audits 2 3
réguliers ?
03B06 Surveillance des locaux sensibles
03B06-01 Pour les locaux sensibles, utilise-t-on un système complémentaire de vidéosurveillance cohérent et 4 3 9.1.5
complet contrôlant tous les mouvements de personnes à l'intérieur des locaux sensibles et
permettant de détecter des anomalies dans les comportements ?
03B06-02 L'équipe de surveillance est-elle dégagée de toute tâche opérationnelle et toute alarme est-elle 4 3
immédiatement détectée et traitée en toute priorité ?
03B06-03 En cas d'alerte, l'équipe de surveillance a-t-elle la possibilité d'envoyer sans délai une équipe 2 2
d'intervention pour vérifier l'alerte ou agir en conséquence ?
03B06-04 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse 4 3
d'alarmes multiples déclenchées volontairement ?
03B06-05 La surveillance des locaux est-elle également en service pendant le nettoyage des locaux 4 2
sensibles ?
03B06-06 Existe-t-il un enregistrement de la vidéosurveillance, conservé sur une longue période ? 1
03B06-07 Le système de surveillance des locaux sensibles est-il lui-même sous contrôle (alarme en cas 2 3
d'inhibition, auto-surveillance des caméras, etc.) ?
03B06-08 Les procédures de surveillance et les procédures de réaction aux comportements anormaux font-ils 2 3
l'objet d'audits réguliers ?
03B07 Contrôle d'accès au câblage
03B07-01 L'accès physique au câblage est-il contrôlé (gaines spécifiques non facilement accessibles ou 2 2
fermées à clé) ?

MEHARI 2007-ed2 ! 03 Loc 58 Février 2009


Questionnaire d'audit : Domaine des Locaux
N° Question Question Rép P Max Min ISO 17799 Commentaires

03B07-02 L'intégralité des chemins de câbles est-elle placée sous surveillance vidéo avec alerte en cas de 4 3
présence (pour signaler au personnel de surveillance de rester en veille sur l'écran correspondant) ?

03B07-03 Les locaux dans lesquels il serait possible d'effectuer un branchement parasite d'équipement sur les 2 2
réseaux WAN et LAN sont-ils sécurisés et équipés d'un contrôle d'accès renforcé (badge nominatif,
système biométrique) ?
03B07-04 Les locaux dans lesquels il serait possible d'effectuer un branchement parasite d'équipement sur les 2 3
réseaux WAN et LAN sont-ils en outre placés sous vidéosurveillance dès qu'une personne y pénètre
(avec alerte au personnel de surveillance) ?
03B07-05 Procède-t-on régulièrement à des audits de la sécurité du câblage (utilisation effective des contrôles 2 3
d'accès aux gaines techniques, audit des droits attribués et des procédures d'intervention sur
violation de droits, inspection des locaux dans lesquels des équipements parasites pourraient être
branchés) ?
03B08 Localisation des locaux sensibles
03B08-01 Les locaux sensibles sont-ils situés dans des zones non accessibles par le public ? 1 9.1.3
03B08-02 Les locaux de traitement de l'information sont-ils exempts de toute indication extérieure sur leur 1 9.1.3
contenu ?
03B08-03 L'implantation des locaux sensibles est-elle absente des répertoires téléphoniques ? 1 9.1.3
03C Sécurité contre les dégâts des eaux
03C01 Prévention des risques de dégâts des eaux
03C01-01 A-t-on fait une analyse systématique et exhaustive de toutes les voies possibles d'arrivée d'eau 4 2 9.1.4
(position des locaux par rapport aux risques d'écoulement naturel en cas de crue ou d'orage
violent, d'inondation provenant des étages supérieurs, de rupture ou de fuite de canalisation
apparente ou cachée, de mise en oeuvre de systèmes d'extinction d'incendie, de remontée d'eau
par des voies d'évacuation, de mise en route intempestive d'un système d'humidification
automatique, etc.) ?
03C01-02 A-t-on pu écarter chaque voie possible comme hautement improbable ou pris des mesures pour 4
rendre hautement improbable une arrivée d'eau intempestive (systèmes d'extinction d'incendie à
pré-action, clapets anti-retour sur les évacuations, contrôle d'humidité indépendant assurant une
sécurité, etc.) ?
03C01-03 Les diverses mesures d'évitement de risque de dégât des eaux sont-elles protégées contre une 2 3
mise hors service et placées sous un contrôle permanent ?
03C01-04 Procède-t-on régulièrement à des audits de la mise en oeuvre effective des mesures d'évitement et 2 3
du maintien de leur pertinence (vérification de l'étude des risques) ?
03C02 Détection des dégâts des eaux
03C02-01 Existe-t-il des détecteurs d'humidité à proximité des ressources sensibles (en particulier dans les 4 9.1.4
faux planchers le cas échéant), reliés à un poste permanent de surveillance ?
03C02-02 Existe-t-il des détecteurs d'eau à proximité des ressources sensibles (en particulier dans les faux 4 9.1.4
planchers le cas échéant), reliés à un poste permanent de surveillance ?
03C02-03 Existe-t-il des détecteurs de fuite d'eau à l'étage supérieur à proximité des locaux abritant des 4 9.1.4
ressources sensibles, reliés à un poste permanent de surveillance ?

MEHARI 2007-ed2 ! 03 Loc 59 Février 2009


Questionnaire d'audit : Domaine des Locaux
N° Question Question Rép P Max Min ISO 17799 Commentaires

03C02-04 Le poste de surveillance a-t-il la possibilité de faire intervenir rapidement un équipe d'intervention 2 2
ayant les moyens d'action suffisants pour agir (existence de robinets d'arrêt ou de shunts protégés,
PC disposant de plans à jour des canalisations et des robinets d'arrêt, bâches plastiques pour
protéger les équipements, etc.) ?
03C02-05 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse 4 3
d'alarmes multiples ?
03C02-06 Existe-t-il un cahier de consigne précis détaillant, pour chaque cas d'alerte envisagé, la conduite à 2 3
03C02-07 tenir ? hors service des systèmes de détection est-elle signalée par un renvoi systématique à un
La mise 2 3
poste permanent de surveillance ?
03C02-08 Procède-t-on régulièrement à des tests des installations de détection et à des audits des procédures 2 3
et des capacités d'intervention ?
03C03 Évacuation de l'eau
03C03-01 Existe-t-il des moyens permanents d'évacuation des eaux (pompage, voie naturelle, etc.) et une 2
équipe formée pour les mettre en oeuvre ?
03C03-02 La mise hors service des systèmes d'évacuation de l'eau est-elle signalée par un renvoi 2 2 3
systématique à un poste permanent de surveillance ?
03C03-03 Procède-t-on régulièrement à des tests des installations d'évacuation et à des audits des 2 2 3
procédures et des capacités d'intervention ?
03D Sécurité incendie
03D01 Prévention des risques d'incendie
03D01-01 A-t-on fait une analyse systématique et approfondie de tous les risques d'incendie (court-circuit au 4 2 9.1.4
niveau du câblage, effet de la foudre, personnel fumant dans les locaux, appareillages électriques
courants, échauffement d'équipement, propagation depuis l'extérieur, propagation par les gaines
techniques ou la climatisation, etc.) ?
03D01-02 A-t-on pu écarter chaque risque possible comme hautement improbable ou pris des mesures pour 4
rendre hautement improbable un début d'incendie ou sa propagation (protection des câbles dans
des goulottes adaptées, séparation des câblages de signaux et d'énergie, protection des locaux et
des équipements contre la foudre, interdiction de fumer, poubelles anti-feu, matériaux
incombustibles, protection des circuits électriques par des disjoncteurs différentiels, détection
incendie dans les locaux mitoyens et dans les gaines techniques, etc.) ?
03D01-03 Les diverses mesures d'évitement de risque d'incendie sont-elles protégées contre une mise hors 2 3
service et placées sous un contrôle permanent ?
03D01-04 Procède-t-on régulièrement à des audits de la mise en oeuvre effective des mesures d'évitement et 2 3
du maintien de leur pertinence (vérification de l'étude des risques) ?
03D02 Détection d'incendie
03D02-01 Existe-t-il une installation de détection automatique d'incendie complète pour les locaux sensibles 2 9.1.4
(faux planchers et faux plafonds s'ils existent) ?
03D02-02 L'installation de détection est-elle composée d'au moins deux types de détecteurs (par exemple : 4 2
détecteurs de fumée ioniques et optiques) ?
03D02-03 Les installations de détection automatique sont-elles reliées à un poste permanent de surveillance, 2
équipées d'un système permettant de localiser les détecteurs ayant réagi ?
03D02-04 La mise hors service des installations de détection automatique est-elle signalée par un renvoi 4 2
systématique à un poste permanent de surveillance ?
03D02-05 Procède-t-on régulièrement à des tests des installations de détection et à des audits des procédures 2 3
et des capacités d'intervention ?

MEHARI 2007-ed2 ! 03 Loc 60 Février 2009


Questionnaire d'audit : Domaine des Locaux
N° Question Question Rép P Max Min ISO 17799 Commentaires

03D03 Extinction d'incendie


03D03-01 Le poste de surveillance a-t-il la possibilité de faire intervenir rapidement un équipe d'intervention 2 1
ayant les moyens d'action suffisants pour agir (diagnostic précis de la situation, extinction
manuelle, déclenchement ou validation de l'extinction automatique, appel des secours, etc.) ?
03D03-02 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse 2 3
d'alarmes multiples ?
03D03-03 Existe-t-il un cahier de consigne précis détaillant, pour chaque cas d'alerte envisagé, la conduite à 2 3
tenir ?
03D03-04 Y a-t-il une formation spécifique et un entraînement régulier du personnel d'intervention ? 4
03D03-05 L'ensemble des extincteurs mobiles est-il régulièrement contrôlé par un organisme compétent 1
(remplissage, modes d'emploi, adéquation aux risques, localisations, etc.) ?
03D03-06 Les locaux sensibles sont-ils protégés par une installation d'extinction automatique (ambiance, faux 4 2 9.1.4
planchers, faux plafonds) ?
03D03-07 Les installations d'extinction automatique sont-elles vérifiées périodiquement conformément aux 2
règles par un installateur ou vérificateur agréé et font-elles l'objet d'une maintenance régulière ?
03D03-08 La mise hors service des installations d'extinction automatique est-elle signalée par un renvoi 4 2
systématique à un poste permanent de surveillance ?
03D03-09 Existe-t-il une installation de robinets d'incendie armés (RIA) à proximité des salles ordinateurs, 4
cette installation est-elle vérifiée périodiquement et fait-elle l'objet d'une maintenance régulière ?
03D03-10 Le délai d'intervention des pompiers est-il inférieur à 15 minutes ? 2
03D03-11 Procède-t-on régulièrement à des tests des installations d'extinction et à des audits des procédures 2 3
et des capacités d'intervention pour extinction d'incendie ?
03E Protection contre les risques environnementaux divers
03E01 Protection contre les risques environnementaux divers
03E01-01 A-t-on fait une analyse systématique et approfondie de tous les risques environnementaux 1 9.1.4
envisageables pour le site considéré (séisme, explosion à proximité, pollution, etc.) ?
03E01-02 A-t-on pu écarter chaque cas comme hautement improbable ou pris des mesures en conséquence ? 2 9.1.4

MEHARI 2007-ed2 ! 03 Loc 61 Février 2009


Questionnaire d'audit : Domaine du Réseau Étendu (Intersites)
N° Question Rép. P Max Min ISO 17799 Commentaires
Le réseau étendu est vu, ici, comme le réseau reliant des sites, à priori distants. C'est l'architecture de communication entre
unités autonomes gérant leur réseau propre (LAN). Les connexions de postes nomades sont supposées assurées au niveau des
réseaux locaux.
A - Sécurité de l'architecture réseau et continuité du service
A01 Sûreté de fonctionnement des éléments d'architecture du réseau étendu
04A01-01 A-t-on analysé les exigences de continuité de service du réseau étendu et en a-t-on déduit, si 4 2
nécessaire, une architecture de redondance au niveau des points d'interconnexion, des
équipements ou du maillage du réseau ?
04A01-02 A-t-on fait une recherche systématique des Single Point of Failure et s'est-on assuré que les 4 2
équipements de servitude (alimentation en énergie, climatisation, etc.) n'en introduisaient pas ou
ne détruisaient pas les redondances prévues au niveau des équipements ou de l'architecture ?
04A01-03 A-t-on vérifié, par une analyse de la charge moyenne et crête de chaque segment du réseau 4 2
étendu, la compatibilité du réseau et de ses équipements avec cette charge et cette vérification
est-elle régulièrement réactualisée ?
04A01-04 Cette analyse a-t-elle été complétée par une étude des capacités du réseau à assurer les 4 2
communications dans tous les cas de pannes simples de liaisons ou d'équipements ?
04A01-05 Existe-t-il une mesure dynamique de la charge du réseau étendu et des outils d'équilibrage (load 4
balancing) ?
04A01-06 Les outils de monitoring et de reconfiguration du réseau permettent-ils une action en temps réel 4 2
compatible avec les besoins des utilisateurs ?
04A01-07 Les équipements et appareils (sondes) assurant la détection de surcharge et le rééquilibrage du 2 2
réseau étendu ne sont-ils accessibles que par les administrateurs réseau et sont-ils protégés par un
contrôle d'accès renforcé ?
04A01-08 Toute inhibition ou mise à l'arrêt des équipements et appareils (sondes) assurant la détection de 2 3
surcharge et le rééquilibrage du réseau étendu est-elle signalée à un poste de surveillance et à des
administrateurs réseau ?
04A01-09 Procède-t-on régulièrement à des tests de performance des mécanismes de détection et de 2 3
reconfiguration ?
04A01-10 Procède-t-on régulièrement à un audit du paramétrage des équipements et des procédures 2 3
associées à la gestion des systèmes de détection et de reconfiguration ?
A02 Télépilotage de l'exploitation du réseau étendu
04A02-01 L'exploitation du réseau étendu est-elle pilotable à distance ? 2
04A02-02 Le poste (ou l'installation) de pilotage distant dispose-t-il de tous les outils de pilotage 4 3
habituellement utilisés (et de toutes les licences nécessaires) ?
04A02-03 La gestion des priorités permet-elle au pilotage distant de désactiver ou d'empêcher toute action de 4 2
pilotage depuis l'intérieur ?
04A02-04 La passerelle d'accès permettant au poste de pilotage distant de se connecter sur le réseau étendu 4 2
est-elle protégée par une double protection, logique et physique, de très fort niveau, afin d'éviter
qu'une personne interne puisse l'inhiber ou la mettre hors tension ?
04A02-05 Vérifie-t-on régulièrement, et en fonctionnement réel, la capacité de pilotage à distance du réseau 4 3
étendu depuis le poste prévu ?
A03 Organisation de la maintenance des équipements du réseau étendu
04A03-01 Tous les équipements sont-ils couverts par un contrat de maintenance ? 2 9.2.4
04A03-02 A-t-on identifié les équipements critiques pour l'exploitation et la tenue des performances 4
annoncées et, pour ceux-ci, les délais de remise en service souhaitable et les délais maximum
tolérables en cas de défaillance ?

MEHARI 2007-ed2 ! 04 ArcWan 62 Février 2009


N° Question Rép. P Max Min ISO 17799 Commentaires
04A03-03 En a-t-on déduit des clauses particulières et adaptées à ces exigences dans les contrats de 4 2
maintenance ?
04A03-04 Les pénalités en cas de non tenue des engagements par le titulaire du contrat de maintenance 4 2
sont-elles réellement dissuasives ?
04A03-05 Les procédures d'escalade en cas de difficulté de maintenance sont-elles précisées et prévoient- 2 3
elles l'intervention de spécialistes dans des délais courts compatibles avec la criticité des
équipements ?
04A03-06 Le nombre et la proximité des spécialistes sont-ils précisés et donnent-ils une bonne garantie de 4
maintenance dans des délais acceptables ?
04A03-07 Les contrats de maintenance prévoient-ils le remplacement complet des équipements en cas 4
d'endommagement important non susceptible d'être pris en charge par une maintenance curative ?
04A03-08 Les contrats de maintenance et les procédures de maintenance associées font-ils l'objet d'un audit 2 3
régulier ?
A04 Procédures et plans de reprise du réseau étendu sur incidents
04A04-01 A-t-on établi une liste des incidents pouvant affecter le bon fonctionnement du réseau étendu et, 2
pour chacun d'eux, la solution à mettre en oeuvre et les opérations à mener par le personnel
d'exploitation ?
04A04-02 Les moyens de diagnostic d'une part et de pilotage du réseau étendu (reconfiguration) d'autre part 2 2
couvrent-ils de manière satisfaisante tous les cas de figures analysés et permettent-ils de mettre en
œuvre les solutions décidées dans les délais spécifiés ?
04A04-03 A-t-on défini, pour chaque incident du réseau étendu, un délai de résolution et une procédure 4
d'escalade en cas d'insuccès ou de retard des mesures prévues ?
04A04-04 Les moyens de diagnostic et de pilotage et de reconfiguration du réseau étendu sont-ils protégés 4 3
contre toute inhibition intempestive ou malveillante ?
04A04-05 Les procédures de reprise sur incident tiennent-elles compte d'une éventuelle perte de données (en 4
04A04-06 particulier
Audite-t-onperte de messages)
régulièrement ?
la capacité des moyens de diagnostic et de reconfiguration à assurer un 2 3
fonctionnement minimal du réseau étendu satisfaisant en cas d'incident ?
A05 Plan de sauvegarde des configurations du réseau étendu
04A05-01 A-t-on établi un plan de sauvegarde, couvrant l'ensemble des configurations du réseau étendu, 4 10.5.1
définissant les objets à sauvegarder et la fréquence des sauvegardes ?
04A05-02 Ce plan de sauvegarde est-il traduit en automatismes de production ? 2 2 10.5.1
04A05-03 Teste-t-on régulièrement que les sauvegardes des programmes (sources et/ou exécutables), de leur 4 2 10.5.1
documentation et de leur paramétrage permettent effectivement de reconstituer à tout moment
l'environnement de production ?
04A05-04 Les automatismes de production assurant les sauvegardes sont-ils protégés par des mécanismes de 4 3 10.5.1
haute sécurité contre toute modification illicite ou indue ?
Un tel mécanisme pourrait être un scellement électronique ou tout système de détection de
modification équivalent.
04A05-05 L'ensemble des sauvegardes et fichiers de configuration permettant de reconstituer 4 2 10.5.1
l'environnement de production du réseau étendu est-il également sauvegardé en dehors du site de
production (sauvegardes de recours) ?
04A05-06 Ces copies de sauvegarde de recours sont-elles conservées dans un local sécurisé et protégé des 4 10.5.1
risques accidentels et d'intrusion ?
Un tel local devrait être protégé par un contrôle d'accès renforcé et, en outre, être protégé contre
les risques d'incendie et de dégâts des eaux.
04A05-07 Procède-t-on régulièrement à des tests de relecture des sauvegardes et sauvegardes de recours ? 2 3 10.5.1

MEHARI 2007-ed2 ! 04 ArcWan 63 Février 2009


N° Question Rép. P Max Min ISO 17799 Commentaires
04A05-08 L'ensemble des procédures et plans de sauvegarde des fichiers de configuration fait-il l'objet d'un 2 3
audit régulier ?
A06 Plan de sauvegarde des données applicatives (applications réseaux et télécom, par
exemple journalisation, facturation téléphonique, ...)
04A06-01 A-t-on procédé à une étude préliminaire afin d'identifier les scénarios que les sauvegardes doivent 1
permettre de surmonter ?
04A06-02 A-t-on fait une étude afin de définir pour chaque fichier la durée maximale admissible entre deux 2
sauvegardes ?
04A06-03 En a-t-on déduit pour chaque fichier un cycle de sauvegarde compatible avec cette durée maximale 4
admissible et la capacité de reconstitution des informations ?
Le cycle de sauvegarde doit également prendre en compte la nécessaire synchronisation des
sauvegardes de certains fichiers fonctionnellement liés.
04A06-04 Les différentes procédures issues des études faites sont-elles consignées dans un plan de 4 2
sauvegardes comprenant les configurations à sauvegarder, la fréquence des sauvegardes et les
modalités de constitution ?
04A06-05 Le plan de sauvegarde comprend-il un plan de contrôle indiquant les différents contrôles à effectuer 4 2
et leur fréquence (volumétrie, durée, relecture, etc.) ainsi que la conduite à tenir en cas d'incident
ou d'anomalie ?
04A06-06 Le plan de sauvegarde est-il remis à jour à chaque changement de contexte d'exploitation et 2
particulièrement à chaque création ou modification d'applications ?
04A06-07 Ce plan de sauvegarde est-il traduit en automatismes de production ? 2 2
04A06-08 Contrôle-t-on régulièrement qu'une reprise ou un redémarrage est effectivement possible à partir 4 2
des sauvegardes réalisées (test complet vérifiant le fonctionnement d'ensemble et l'absence de
problème de synchronisme ou de cohérence) ?
04A06-09 Les automatismes de production assurant les sauvegardes sont-ils strictement contrôlés vis-à-vis de 4 3
toute modification illicite ou indue ?
Un contrôle strict requiert une protection renforcée pour pouvoir modifier ces automatismes et un
enregistrement et un audit de toute modification des automatismes de sauvegarde ou un contrôle
par scellement électronique de toute modification.
04A06-10 Les copies de sauvegarde de fichiers de données sont-elles conservées dans un local séparé, 2
adapté (température, hygrométrie, etc.) et isolé par un compartimentage efficient et protégé des
risques accidentels et d'intrusion ?
04A06-11 Stocke-t-on en outre des sauvegardes des fichiers essentiels de données en dehors du site de 4 2
production ?
04A06-12 Toute modification des procédures d'exécution des opérations de sauvegardes est-elle strictement 2
réglementée ?
04A06-13 Procède-t-on régulièrement à des tests de relecture des sauvegardes des données applicatives ? 2 3
04A06-14 Dispose-t-on systématiquement de plusieurs générations de fichiers afin de pouvoir s'affranchir 4
d'un manque ou d'un illisible, en organisant par exemple une rotation des supports de sauvegarde ?

04A06-15 L'adéquation des rythmes de sauvegarde aux besoins et l'application des procédures font-elles 4 3
l'objet d'audits réguliers ?
04A06-16 L'ensemble des procédures et plans de sauvegarde de données fait-il l'objet d'un audit régulier ? 2 3
A07 Plan de Reprise d'Activité (PRA) du réseau étendu

MEHARI 2007-ed2 ! 04 ArcWan 64 Février 2009


N° Question Rép. P Max Min ISO 17799 Commentaires
04A07-01 Existe-t-il une solution de secours, parfaitement opérationnelle, pour pallier l'indisponibilité de tout 4 2
équipement ou de toute liaison critique du réseau étendu ?
04A07-02 Ces solutions sont-elles décrites en détail dans un Plan de Reprise d'Activité incluant les règles de 4
déclenchement, les actions à mener, les priorités, les acteurs à mobiliser et leurs coordonnées, ainsi
que les conditions de retour à la normale ?
04A07-03 Ces plans sont-ils testés de manière opérationnelle au moins une fois par an ? 4 2
04A07-04 A-t-on la garantie formelle de la compatibilité et de la capacité des solutions de secours à assurer 4 2
une charge opérationnelle suffisante et approuvée par les l'ensemble des entités connectées ?
04A07-05 Si les solutions de secours incluent des livraisons de matériels, qui ne peuvent être déclenchés lors 4 2
des tests, existe-t-il un contrat d'engagement de livraison des matériels de remplacement dans des
délais fixés et prévus au plan de secours, par le constructeur ou un tiers (leaser, broker, autres) ?
04A07-06 En cas de mutualisation des moyens de secours utilisés, y a-t-il un nombre d'adhérents limité et 2 2
connu ?
04A07-07 Le cas de défaillance ou d'indisponibilité du moyen de secours a-t-il été envisagé et y a-t-il un back- 2 3
up de deuxième niveau ?
04A07-08 La solution de secours est-elle utilisable pour une durée illimitée ou, à défaut, est-il prévu une 2
deuxième solution venant en remplacement de la première après un temps déterminé ?
04A07-09 L'existence, la pertinence et la mise à jour des plans de reprise d'activité font-elles l'objet d'un audit 2 3
régulier ?
A08 Gestion des fournisseurs critiques vis-à-vis de la permanence de la maintenance
04A08-01 A-t-on analysé les conséquences de la disparition d'un fournisseur d'équipement, de solution 2
logicielle ou de service réseau (en cas de panne, de bug ou de nécessité d'évolution) et en a-t-on
déduit une liste de points critiques ?
04A08-02 Existe-t-il, pour tout point critique, une solution palliative pour faire face à la disparition ou la 2
défaillance du fournisseur (dépôt de la documentation de maintenance chez un tiers de confiance,
remplacement de l'équipement, du logiciel ou du service par des solutions du marché, etc.) ?

04A08-03 A-t-on l'assurance que cette solution palliative pourra être rendue opérationnelle dans des délais 2 2
compatibles avec la poursuite de l'activité et acceptés par les utilisateurs ?
04A08-04 A-t-on prévu des variantes de la solution de base au cas où celle-ci rencontrerait des difficultés 2 3
imprévues ?
04A08-05 Procède-t-on régulièrement à une revue des points pouvant être critiques et des solutions 2 3
palliatives prévues ?
B - Contrôle des connexions sur le réseau étendu
B01 Profils de sécurité des entités connectées au réseau étendu
04B01-01 A-t-on défini un ensemble de règles pour qu'une entité puisse être connectée au réseau étendu 4
considéré comme un espace de confiance ?
04B01-02 Ces règles couvrent-elles l'organisation nécessaire au sein de chaque entité connectée et la 4 2
nomination de responsables de la sécurité de divers domaines (sécurité physique, sécurité des
systèmes d'information, etc.) ?
04B01-03 Ces règles définissent-elles les mesures de sécurité physique devant protéger les équipements de 4 2
réseau et le câblage ?
04B01-04 Ces règles définissent-elles les mesures de sécurité logique devant protéger les équipements de 2 11.4.6
réseau et les équipements de sécurité ?
04B01-05 Ces règles précisent-elles les filtrages à assurer pour les accès entrants aussi bien que pour les 4 2 11.4.6
accès sortants ?

MEHARI 2007-ed2 ! 04 ArcWan 65 Février 2009


N° Question Rép. P Max Min ISO 17799 Commentaires
04B01-06 Ces règles précisent-elles les contrôles à effectuer sur les configurations des équipements de 4 3
réseau et sur les configurations des postes utilisateurs ?
04B01-07 Ces règles définissent-elles les mesures nécessaires pour la gestion des anomalies et incidents et 4 2
les rapports obligatoires vers une entité centrale ?
04B01-08 Existe-t-il une procédure de gestion des demandes d'autorisation de rattachement au réseau 4 2
étendu émanant des entités, et une structure en charge de l'analyse de ces demandes, de l'audit de
l'application des règles, et de la suppression des droits spécifiques quand le besoin a disparu ou
quand les conditions exigées ne sont plus remplies ?
04B01-09 Procède-t-on régulièrement à un audit des conditions requises et de l'application des règles, dans 4 3
chaque entité autorisée à faire partie du réseau étendu ?
04B01-10 Procède-t-on régulièrement à une revue des connexions autorisées (standards et non standards ) et 4 3 11.4.7
de leur pertinence ?
B02 Authentification de l'entité accédante lors des accès entrants depuis le réseau étendu
04B02-01 Y a-t-il un mécanisme d'authentification et de contrôle d'accès de l'entité appelante avant tout 4 1
accès au réseau local depuis le réseau étendu ?
04B02-02 Le processus d'authentification est-il un processus reconnu comme "fort" ? 4 2
Un simple mot de passe sera toujours un point faible notable. Les seuls processus qui soient
reconnus comme forts, c'est-à-dire observables sans divulguer d'information et pratiquement
inviolables sont basés sur des algorithmes cryptologiques.
04B02-03 La conservation et l'utilisation par les équipements de sécurité d'éléments de référence supports de 4 3
l'authentification (clés secrètes ou publiques, etc.), ainsi que leur transmission entre des systèmes
de référence et les équipements de sécurité, font-elles appel à des mécanismes qui en garantissent
l'inviolabilité et l'authenticité ?
Dans le cas d'authentification faisant appel à des procédés cryptologiques, les mécanismes de
modification, de stockage et de transmission des éléments de base (des clés publiques, en
particulier) doit présenter des garanties de solidité au même titre que le protocole d'authentification

04B02-04 Les procédures de gestion des clés révoquées garantissent-elles que les systèmes de contrôle 4 2
prennent en compte ces révocations en temps réel et testent systématiquement que les clés ne
sont pas révoquées ?
04B02-05 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
l'authentification.
B03 Authentification de l'entité accédée lors des accès sortants vers d'autres entités par le
réseau étendu
04B03-01 Y a-t-il un mécanisme d'authentification et de contrôle d'accès de l'entité appelée avant tout accès 4 1
sortant depuis le réseau interne par le réseau étendu ?
04B03-02 Le processus d'authentification est-il un processus reconnu comme "fort" ? 4 2
Un simple mot de passe sera toujours un point faible notable. Les seuls processus qui soient
reconnus comme forts, c'est-à-dire observables sans divulguer d'information et pratiquement
inviolables sont basés sur des algorithmes cryptologiques.

MEHARI 2007-ed2 ! 04 ArcWan 66 Février 2009


N° Question Rép. P Max Min ISO 17799 Commentaires
04B03-03 La conservation et l'utilisation par les équipements de sécurité d'éléments de référence supports de 4 3
l'authentification (mots de passe, clés publiques, etc.), ainsi que leur transmission entre des
systèmes de référence et les équipements de sécurité, font-elles appel à des mécanismes qui en
garantissent l'inviolabilité et l'authenticité ?
Dans le cas d'authentification faisant appel à des procédés cryptologiques, les mécanismes de
modification, de stockage et de transmission des éléments de base (des clés publiques, en
particulier) doit présenter des garanties de solidité au même titre que le protocole d'authentification
04B03-04 Les procédures de gestion des clés révoquées garantissent-elles que les systèmes de contrôle 4 2
prennent en compte ces révocations en temps réel et testent systématiquement que les clés ne
sont pas révoquées ?
04B03-05 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
l'authentification.
C - Sécurité des données lors des échanges et des communications
C01 Chiffrement des échanges sur le réseau étendu
Le chiffrement peut être effectué au niveau 2 (modem chiffrant), 3 (IPSEC, alors on parle de VPN) ou
au niveau 4-5 (SSL, fonction de l'application utilisée) ou effectué directement par l'application
(couche 6-7, par ex. chiffrement avant ou lors de l'envoi), cas vraiment traité par le domaine 09.
Il peut être systématique sur le "tuyau" (physique ou logique) ou limité à certains flux (en fonction
des adresses ou du type, ou autre?), il peut être réalisé sur des systèmes intermédiaires (boîtiers
VPN) ou finaux (postes, serveur) ou mixtes.

04C01-01 A-t-on défini les liens permanents et les échanges de données devant être protégés par des 4 12.3.1
solutions de chiffrement et mis en place de telles solutions au niveau du réseau étendu ?
04C01-02 La solution de chiffrement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été 4 2
approuvée par le RSSI ?
Une longueur de clés suffisante est un des paramètres à prendre en compte (en fonction de
l'algorithme) mais bien d'autres paramètres également. La recommandation d'un organisme officiel,
tel que la DCSSI en France, peut être un facteur de confiance.
04C01-03 La procédure et les mécanismes de conservation, de distribution et d'échange de clés, et plus 4 3 12.3.2
généralement de gestion des clés, offrent-ils des garanties de solidité dignes de confiance et ont-ils
été approuvés par le RSSI ?
04C01-04 Les mécanismes de chiffrement sont-ils réalisés par des composants électroniques très solidement 4 3 3
protégés, au niveau physique, contre toute violation ou altération ?
Il s'agit ici de boîtiers de chiffrement protégés physiquement de telle sorte qu'il soit impossible
04C01-05 La mise hors service ou le by-pass de la solution de chiffrement sont-ils immédiatement détectés et 4 2
d'accéder aux mécanismes de chiffrement ou de carte à microprocesseur dont l'algorithme de
signalés à une équipe permanente ou d'astreinte capable d'engendrer une réaction immédiate ?
chiffrement est contenu dans le microprocesseur et protégé physiquement et logiquement
04C01-06 En cas d'inhibition ou de by-pass de la solution de chiffrement ou de mise en œuvre d'une solution 4 2
de secours du réseau par une voie non protégée, existe-t-il une procédure permettant d'en alerter
immédiatement l'ensemble des utilisateurs ?
Par exemple par un avertissement lors de l'utilisation de ce réseau demandant la validation active
de l'utilisateur.
04C01-07 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des systèmes de chiffrement des 4 3
données échangées et des procédures associées ?
C02 Contrôle de l'intégrité des échanges

MEHARI 2007-ed2 ! 04 ArcWan 67 Février 2009


N° Question Rép. P Max Min ISO 17799 Commentaires
04C02-01 A-t-on défini les liens permanents et les échanges de données devant être protégés par des 4
solutions de scellement et mis en place de telles solutions au niveau du réseau étendu ?
04C02-02 La solution de scellement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été 4 2
approuvée par le RSSI ?
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres
paramètres également. La recommandation d'un organisme officiel, tel que la DCSSI en France,
peut
04C02-03 La être un facteur
procédure de confiance.
et les mécanismes de conservation, de distribution et d'échange de clés, et plus 4 3
généralement de gestion des clés, offrent-ils des garanties de solidité dignes de confiance et ont-ils
été approuvés par le RSSI ?
04C02-04 Les mécanismes de scellement sont-ils réalisés par des composants électroniques très solidement 4 3 3
protégés, au niveau physique, contre toute violation ou altération ?
Il s'agit ici de boîtiers de scellement protégés physiquement de telle sorte qu'il soit impossible
d'accéder aux mécanismes de scellement ou de carte à microprocesseur dont l'algorithme de
chiffrement est contenu dans le microprocesseur et protégé physiquement et logiquement
04C02-05 La mise hors service ou le by-pass de la solution de scellement sont-ils immédiatement détectés et 4 2
signalés à une équipe permanente ou d'astreinte capable d'engendrer une réaction immédiate ?
04C02-06 En cas d'inhibition ou de by-pass de la solution de scellement ou de mise en œuvre d'une solution 4 2
de secours du réseau par une voie non protégée, existe-t-il une procédure permettant d'en alerter
immédiatement l'ensemble des utilisateurs ?
Par exemple par un avertissement lors de l'utilisation de ce réseau demandant la validation active
de l'utilisateur.
04C02-07 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des systèmes de scellement des 4 3
données échangées et des procédures associées ?
D - Contrôle, détection et traitement des incidents sur le réseau étendu
D01 Surveillance (en temps réel) du réseau étendu
04D01-01 A-t-on analysé les événements ou succession d'événements pouvant être révélateurs de 4 10.10.2
comportements anormaux ou d'actions illicites sur le réseau étendu et en a-t-on déduit des points
ou indicateurs de surveillance ?
04D01-02 Le système dispose-t-il d'une fonction automatique de surveillance en temps réel en cas 4 10.10.2
d'accumulation d'événements anormaux (par exemple tentatives infructueuses de connexion sur
des ports non ouverts, etc.) ?
04D01-03 Emploie-t-on un système de détection d'intrusion et d'anomalies sur le réseau étendu ? 4 10.10.2
04D01-04 Existe-t-il une (ou plusieurs) application capable d'analyser les divers diagnostics individuels 4
d'anomalies sur le réseau étendu et de déclencher une alerte à destination du personnel
d'exploitation ?
04D01-05 Existe-t-il, parmi le personnel d'exploitation, une équipe permanente ou sous astreinte permanente 4 2
capable de réagir en cas d'alerte de la surveillance du réseau étendu ?
04D01-06 A-t-on défini pour chaque cas d'alerte, la réaction attendue de l'équipe d'intervention et sa 4 3
disponibilité est-elle suffisante pour faire face à cette attente ?
04D01-07 Les paramètres définissant les alarmes sont-ils strictement protégés (droits limités et 4
authentification forte) contre tout changement illicite ?
04D01-08 Toute inhibition du système d'alerte lié au réseau étendu déclenche-t-elle une alarme auprès de 4 3 10.10.2
l'équipe de surveillance ?
04D01-09 Existe-t-il un archivage (sur disque, cassette, DON, etc.) de tous les éléments ayant permis de 2 10.10.3
détecter une anomalie ou un incident ?
04D01-10 Les procédures de surveillance du réseau étendu et de détection d'anomalies et la disponibilité de 2 3
l'équipe de surveillance font-elles l'objet d'un audit régulier ?
D02 Analyse (en temps différé) des traces, logs et journaux d'événements sur le réseau
étendu

MEHARI 2007-ed2 ! 04 ArcWan 68 Février 2009


N° Question Rép. P Max Min ISO 17799 Commentaires
04D02-01 A-t-on fait une analyse approfondie des événements ou succession d'événements sur le réseau 2 10.10.1
étendu pouvant avoir un impact sur la sécurité (connexions refusées, reroutages, reconfigurations,
évolutions de performances, accès à des informations ou des outils sensibles, etc.) ?
04D02-02 Enregistre-t-on ces événements ainsi que tous les paramètres utiles à leur analyse ultérieure ? 4 10.10.1
04D02-03 Existe-t-il une application capable d'analyser ces enregistrements ainsi que les mesures de 4 2 3
performances, d'en déduire des statistiques, un tableau de bord et des diagnostics d'anomalies
examinés par une structure ad hoc ?
04D02-04 La structure chargée d'analyser ces éléments de synthèse (ou éventuellement les journaux des 4
incidents, et événements liés à la sécurité) a-t-elle l'obligation de le faire à période fixe et
déterminée et a-t-elle la disponibilité suffisante ?
04D02-05 A-t-on défini pour chaque cas d'alerte, la réaction attendue de l'équipe de surveillance et sa 4
disponibilité est-elle suffisante pour faire face à cette attente ?
04D02-06 Les paramètres définissant les éléments à enregistrer et les synthèses effectuées sur ces éléments 4 10.10.3
sont-ils strictement protégés (droits limités et authentification forte) contre tout changement
illicite ?
04D02-07 Toute inhibition du système d'enregistrement et de traitement des enregistrements déclenche-t-elle 4
une alarme auprès de l'équipe de surveillance ?
04D02-08 Les enregistrements ou les synthèses sont-ils conservés sur une longue durée et protégés contre 2 10.10.3
toute altération ou destruction ?
04D02-09 Les procédures d'enregistrement, de traitement des enregistrements et d'analyse des synthèses 2
ainsi que la disponibilité de l'équipe d'analyse et d'intervention font-elles l'objet d'un audit régulier ?
D03 Traitement des incidents du réseau étendu
04D03-01 Y a-t-il une équipe (hot line) accessible en permanence, chargée de recueillir les appels liés au 2 10.10.5
réseau étendu et de signaler et d'enregistrer tous les incidents ?
04D03-02 Y a-t-il un système support de la gestion des incidents ? 2 2 10.10.5
04D03-03 Ce système centralise-t-il et prend-il en compte aussi bien les incidents détectés par l'exploitation 2 10.10.5
que ceux signalés par les utilisateurs ?
04D03-04 Ce système permet-il un suivi et une relance automatiques des actions nécessaires ? 4 10.10.5
04D03-05 Ce système incorpore-t-il une typologie des incidents avec élaboration de statistiques et de tableau 4
de bord des incidents à destination du RSSI ?
04D03-06 Le système de gestion d'incidents est-il strictement contrôlé vis-à-vis de toute modification illicite 4 3
ou indue ?
Un contrôle strict requiert une protection renforcée pour pouvoir modifier un enregistrement et un
audit de toute modification des enregistrements ou un contrôle par scellement électronique de
toute modification.
04D03-07 Chaque incident réseau majeur fait-il l'objet d'un suivi spécifique (nature et description, priorité, 4
solutions techniques, études en cours, délai prévu de résolution, etc.) ?

MEHARI 2007-ed2 ! 04 ArcWan 69 Février 2009


Questionnaire d'audit : Domaine du Réseau Local (LAN)
N° Question Questions Rép. P Max Min ISO 17799 Commentaires
05A Sécurité de l'architecture du réseau local
05A01 Partitionnement du réseau local en domaines de sécurité
05A01-01 A-t-on effectué un partitionnement du réseau local en séparant du réseau strictement interne les zones 4
de communication avec l'extérieur (DMZ) ?
05A01-02 A-t-on effectué un partitionnement du réseau local en domaines de sécurité correspondant à des 4 2 11.4.5
exigences de sécurité homogènes et à des espaces de confiance à l'intérieur desquels les contrôles
peuvent être adaptés ?
05A01-03 En particulier tout réseau sans fil (Wlan) est-il considéré comme un domaine distinct strictement isolé 4 2 11.4.5
du reste du réseau (par firewall, routeur filtrant, etc.) ?
05A01-04 Ces partitionnements sont-ils documentés et tenus à jour, avec une cartographie des liaisons et des 2 11.4.5
équipements de communication en place ?
05A01-05 Chaque domaine est-il isolé des autres domaines par des mesures spécifiques de sécurité (routeur 4 2 11.4.5;
filtrant, firewall, portail, etc.) ? 11.4.6
05A01-06 La sécurité propre de ces équipements de filtrage fait-elle l'objet d'un suivi permanent par un expert et 4 3
d'une veille active ?
05A01-07 A-t-on, pour chacun des domaines, défini une liste strictement limitée des liaisons et des protocoles 4 2 11.4.6
autorisés pour communiquer de manière standard d'un domaine à un autre, et a-t-on, par défaut,
fermé tous les autres protocoles (politique "rien sauf")?
05A01-08 Existe-t-il une procédure de gestion des demandes d'ouvertures de connexions interdomaines, et une 4 2
structure en charge de l'analyse de ces demandes, de définition des règles de filtrage qui seront mises
en place (filtrage sur les adresses, les services demandés, les protocoles, etc.), et de la suppression
des droits spécifiques quand le besoin a disparu. ?
05A01-09 Existe-t-il une liste des responsables de domaine autorisés à faire des demandes d'ouverture de 4 3
connexion non standard, et y a-t-il la possibilité, pour la structure en charge d'analyser les demandes,
d'authentifier son émetteur (reconnaissance de signature) ?
05A01-10 Toute adjonction à la liste des connexions autorisées d'un domaine et toute modification de l'un de ses 4 3
paramètres sont-elles journalisées et auditées ?
05A01-11 Procède-t-on régulièrement à une revue des connexions autorisées (standards et non standards ) et de 4 3 11.4.7
05A02 leur
Sûretépertinence ?
de fonctionnement des éléments d'architecture du réseau local
05A02-01 A-t-on analysé chaque domaine de sécurité pour déterminer les exigences de continuité de service et 4 2
en a-t-on déduit, si nécessaire, une architecture de redondance au niveau des points d'interconnexion,
des équipements et du maillage du réseau ?
05A02-02 A-t-on fait une recherche systématique des Single Point of Failure et s'est-on assuré que les 4 2
équipements de servitude (alimentation en énergie, climatisation, etc.) n'en introduisaient pas ou ne
détruisaient pas les redondances prévues au niveau des équipements ou de l'architecture ?
05A02-03 A-t-on vérifié, par une analyse de la charge moyenne et crête de chaque segment de réseau, la 4 2
compatibilité du réseau et de ses équipements avec cette charge et cette vérification est-elle
régulièrement réactualisée ?
05A02-04 Cette analyse a-t-elle été complétée par une étude des capacités du réseau à assurer les 4 2
communications dans tous les cas de pannes simples de liaisons ou d'équipements ?
05A02-05 Existe-t-il une mesure dynamique de la charge réseau et des outils d'équilibrage (load balancing) ? 4
05A02-06 Les outils de monitoring et de reconfiguration du réseau permettent-ils une action en temps réel 4 2
compatible avec les besoins des utilisateurs ?
05A02-07 L'architecture des équipements de réseau permet-elle une adaptation facile aux évolutions de charge 2
(clusters, grappes, etc.) ?
05A02-08 Les équipements et appareils (sondes) assurant la détection de surcharge et le rééquilibrage du réseau 2 2
ne sont-ils accessibles que par les administrateurs réseau et sont-ils protégés par un contrôle d'accès
renforcé ?

MEHARI 2007-ed2 ! 05 ArcLan 70 Février 2009


Questionnaire d'audit : Domaine du Réseau Local (LAN)
N° Question Questions Rép. P Max Min ISO 17799 Commentaires
05A02-09 Toute inhibition ou mise à l'arrêt des équipements et appareils (sondes) assurant la détection de 2 3
surcharge et le rééquilibrage du réseau est-elle signalée à un poste de surveillance et aux
administrateurs réseau ?
05A02-10 Procède-t-on régulièrement à des tests de performance des mécanismes de détection et de 2 3
reconfiguration ?
05A02-11 Procède-t-on régulièrement à un audit du paramétrage des équipements et des procédures associées à 2 3
la gestion des systèmes de détection et de reconfiguration ?
05A03 Télépilotage de l'exploitation du réseau local
05A03-01 L'exploitation du réseau local est-elle pilotable à distance ? 2
05A03-02 Le poste (ou l'installation) de pilotage distant dispose-t-il de tous les outils de pilotage habituellement 4 3
utilisés (et de toutes les licences nécessaires) ?
05A03-03 La gestion des priorités permet-elle au pilotage distant de désactiver ou d'empêcher toute action de 4 2
pilotage depuis l'intérieur ?
05A03-04 La passerelle d'accès permettant au poste de pilotage distant de se connecter sur le réseau local est- 4 2
elle protégée par une double protection, logique et physique, de très fort niveau, afin d'éviter qu'une
personne interne puisse l'inhiber ou la mettre hors tension ?
05A03-05 Vérifie-t-on régulièrement, et en fonctionnement réel, la capacité de pilotage à distance du réseau local 4 3
depuis le poste prévu ?
05A04 Organisation de la maintenance des équipements du réseau local
05A04-01 Tous les équipements du réseau local sont-ils couverts par un contrat de maintenance ? 2 9.2.4
05A04-02 A-t-on identifié les équipements critiques pour l'exploitation et la tenue des performances annoncées 4
et, pour ceux-ci, les délais de remise en service souhaitable et les délais maximum tolérables en cas de
défaillance ?
05A04-03 En a-t-on déduit des clauses particulières et adaptées à ces exigences dans les contrats de 4 2
maintenance ?
05A04-04 Les pénalités en cas de non tenue des engagements par le titulaire du contrat de maintenance sont- 4 2
05A04-05 elles réellementd'escalade
Les procédures dissuasivesen
? cas de difficulté de maintenance sont-elles précisées et prévoient-elles 2 3
l'intervention de spécialistes dans des délais courts compatibles avec la criticité des équipements ?
05A04-06 Le nombre et la proximité des spécialistes sont-ils précisés et donnent-ils une bonne garantie de 4
maintenance dans des délais acceptables ?
05A04-07 Les contrats de maintenance prévoient-ils le remplacement complet des équipements en cas 4
d'endommagement important non susceptible d'être pris en charge par une maintenance curative ?
05A04-08 Les contrats de maintenance et les procédures de maintenance associées font-ils l'objet d'un audit 2 3
régulier ?
05A05 Procédures et plans de reprise du réseau local sur incidents
05A05-01 A-t-on établi une liste des incidents pouvant affecter le bon fonctionnement du réseau local et, pour 2
chacun d'eux, la solution à mettre en oeuvre et les opérations à mener par le personnel d'exploitation ?

05A05-02 Les moyens de diagnostic d'une part et de pilotage du réseau local (reconfiguration) d'autre part 2 2
couvrent-ils de manière satisfaisante tous les cas de figures analysés et permettent-ils de mettre en
oeuvre les solutions décidées dans les délais spécifiés ?
05A05-03 A-t-on défini, pour chaque incident réseau, un délai de résolution et une procédure d'escalade en cas 4
d'insuccès ou de retard des mesures prévues ?
05A05-04 Les moyens de diagnostic et de pilotage et de reconfiguration du réseau sont-ils protégés contre toute 4 3
inhibition intempestive ou malveillante ?
05A05-05 Les procédures de reprise sur incident tiennent-elles compte d'une éventuelle perte de données (en 4
particulier perte de messages) ?

MEHARI 2007-ed2 ! 05 ArcLan 71 Février 2009


Questionnaire d'audit : Domaine du Réseau Local (LAN)
N° Question Questions Rép. P Max Min ISO 17799 Commentaires
05A05-06 Audite-t-on régulièrement la capacité des moyens de diagnostic et de reconfiguration à assurer un 2 3
fonctionnement minimal du réseau satisfaisant en cas d'incident ?
05A06 Plan de sauvegarde des configurations du réseau local
05A06-01 A-t-on établi un plan de sauvegarde, couvrant l'ensemble des configurations du réseau local, 4 10.5.1
définissant les objets à sauvegarder et la fréquence des sauvegardes ?
05A06-02 Ce plan de sauvegarde est-il traduit en automatismes de production ? 2 2 10.5.1
05A06-03 Teste-t-on régulièrement que les sauvegardes des programmes (sources et/ou exécutables), de leur 4 2 10.5.1
documentation et de leur paramétrage permettent effectivement de reconstituer à tout moment
l'environnement de production ?
05A06-04 Les automatismes de production assurant les sauvegardes sont-ils protégés par des mécanismes de 4 3 10.5.1
haute sécurité contre toute modification illicite ou indue ?
Un tel mécanisme pourrait être un scellement électronique ou tout système de détection de
modification équivalent.
05A06-05 L'ensemble des sauvegardes et fichiers de configuration permettant de reconstituer l'environnement 4 2 10.5.1
de production est-il également sauvegardé en dehors du site de production (sauvegardes de recours) ?

05A06-06 Ces copies de sauvegarde de recours sont-elles conservées dans un local sécurisé et protégé des 4 10.5.1
risques accidentels et d'intrusion ?
Un tel local devrait être protégé par un contrôle d'accès renforcé et, en outre, être protégé contre les
05A06-07 risques
Procède-t-on régulièrement
d'incendie à des
et de dégâts tests
des de relecture des sauvegardes et sauvegardes de recours ?
eaux. 2 3 10.5.1
05A06-08 L'ensemble des procédures et plans de sauvegarde des fichiers de configuration fait-il l'objet d'un audit 2 3
régulier ?
05A07 Plan de sauvegarde des données applicatives (applications réseau et télécom, par exemple
journalisation, facturation téléphonique, ...)
05A07-01 A-t-on procédé à une étude préliminaire afin d'identifier les scénarios que les sauvegardes doivent 1
permettre de surmonter ?
05A07-02 A-t-on fait une étude afin de définir pour chaque fichier la durée maximale admissible entre deux 2
sauvegardes ?
05A07-03 En a-t-on déduit pour chaque fichier un cycle de sauvegarde compatible avec cette durée maximale 4
admissible et la capacité de reconstitution des informations ?
Le cycle de sauvegarde doit également prendre en compte la nécessaire synchronisation des
sauvegardes de certains fichiers fonctionnellement liés.

05A07-04 Les différentes procédures issues des études faites sont-elles consignées dans un plan de sauvegardes 4 2
comprenant les configurations à sauvegarder, la fréquence des sauvegardes et les modalités de
constitution ?
05A07-05 Le plan de sauvegarde comprend-il un plan de contrôle indiquant les différents contrôles à effectuer et 4 2
leur fréquence (volumétrie, durée, relecture, etc.) ainsi que la conduite à tenir en cas d'incident ou
d'anomalie ?
05A07-06 Le plan de sauvegarde est-il remis à jour à chaque changement de contexte d'exploitation et 2
particulièrement à chaque création ou modification d'applications ?
05A07-07 Ce plan de sauvegarde est-il traduit en automatismes de production ? 2 2
05A07-08 Contrôle-t-on régulièrement qu'une reprise ou un redémarrage est effectivement possible à partir des 4 2
sauvegardes réalisées (test complet vérifiant le fonctionnement d'ensemble et l'absence de problème
de synchronisme ou de cohérence) ?

MEHARI 2007-ed2 ! 05 ArcLan 72 Février 2009


Questionnaire d'audit : Domaine du Réseau Local (LAN)
N° Question Questions Rép. P Max Min ISO 17799 Commentaires
05A07-09 Les automatismes de production assurant les sauvegardes sont-ils strictement contrôlés vis-à-vis de 4 3
toute modification illicite ou indue ?
Un contrôle strict requiert une protection renforcée pour pouvoir modifier ces automatismes et un
enregistrement et un audit de toute modification des automatismes de sauvegarde ou un contrôle par
05A07-10 scellement électronique
Les copies de sauvegarde dede
toute modification.
fichiers de données sont-elles conservées dans un local séparé, adapté 2
(température, hygrométrie, etc.) et isolé par un compartimentage efficient et protégé des risques
accidentels et d'intrusion ?
05A07-11 Stocke-t-on en outre des sauvegardes des fichiers essentiels de données en dehors du site de 4 2
production ?
05A07-12 Toute modification des procédures d'exécution des opérations de sauvegardes est-elle strictement 2
réglementée ?
05A07-13 Procède-t-on régulièrement à des tests de relecture des sauvegardes des données applicatives ? 2 3
05A07-14 Dispose-t-on systématiquement de plusieurs générations de fichiers afin de pouvoir s'affranchir d'un 4
manque ou d'un illisible, en organisant par exemple une rotation des supports de sauvegarde ?
05A07-15 L'adéquation des rythmes de sauvegarde aux besoins et l'application des procédures font-elles l'objet 4 3
05A07-16 d'audits réguliers
L'ensemble ?
des procédures et plans de sauvegarde de données fait-il l'objet d'un audit régulier ? 2 3
05A08 Plan de Reprise d'Activité (PRA) du réseau local
05A08-01 Existe-t-il une solution de secours, parfaitement opérationnelle, pour pallier l'indisponibilité de tout 4 2
05A08-02 équipement
Ces solutionsou de toutedécrites
sont-elles liaison critique ? dans des Plans de Reprise d'Activité incluant les règles de
en détail 4
déclenchement, les actions à mener, les priorités, les acteurs à mobiliser et leurs coordonnées ?
05A08-03 Ces plans sont-ils testés de manière opérationnelle au moins une fois par an ? 4 2
05A08-04 A-t-on la garantie formelle de la compatibilité et de la capacité des solutions de secours à assurer une 4 2
charge opérationnelle suffisante et approuvée par les utilisateurs ?
05A08-05 Si les solutions de secours incluent des livraisons de matériels, qui ne peuvent être déclenchés lors des 4 2
tests, existe-t-il un contrat d'engagement de livraison des matériels de remplacement dans des délais
fixés et prévus au plan de secours, par le constructeur ou un tiers (leaser, broker, autres) ?
05A08-06 En cas de mutualisation des moyens de secours utilisés, y a-t-il un nombre d'adhérents limité et 2 2
connu ?
05A08-07 Le cas de défaillance ou d'indisponibilité du moyen de secours a-t-il été envisagé et y a-t-il un back-up 2 3
de deuxième niveau ?
05A08-08 La solution de secours est-elle utilisable pour une durée illimitée ou, à défaut, est-il prévu une 2
deuxième solution venant en remplacement de la première après un temps déterminé ?
05A08-09 L'existence, la pertinence et la mise à jour des plans de reprise d'activité font-elles l'objet d'un audit 2 3
régulier ?
05A09 Gestion des fournisseurs critiques vis-à-vis de la permanence de la maintenance
05A09-01 A-t-on analysé les conséquences de la disparition d'un fournisseur d'équipement, de solution logicielle 2
ou de service réseau (en cas de panne, de bug ou de nécessité d'évolution) et en a-t-on déduit une
liste de points critiques ?
05A09-02 Existe-t-il, pour tout point critique, une solution palliative pour faire face à la disparition ou la 2
défaillance du fournisseur (dépôt de la documentation de maintenance chez un tiers de confiance,
remplacement de l'équipement, du logiciel ou du service par des solutions du marché, etc.) ?
05A09-03 A-t-on l'assurance que cette solution palliative pourra être rendue opérationnelle dans des délais 2 2
compatibles avec la poursuite de l'activité et acceptés par les utilisateurs ?

MEHARI 2007-ed2 ! 05 ArcLan 73 Février 2009


Questionnaire d'audit : Domaine du Réseau Local (LAN)
N° Question Questions Rép. P Max Min ISO 17799 Commentaires
05A09-04 A-t-on prévu des variantes de la solution de base au cas où celle-ci rencontrerait des difficultés 2 3
imprévues ?
05A09-05 Procède-t-on régulièrement à une revue des points pouvant être critiques et des solutions palliatives 2 3
prévues ?
05B Contrôle d'accès au réseau local de "données"
05B01 Gestion des profils d'accès au réseau local de données
05B01-01 A-t-on établi une politique de gestion des droits d'accès au réseau local s'appuyant sur une analyse 2 11.1.1
préalable des exigences de sécurité, basées sur les enjeux business?
05B01-02 Cette politique est-elle documentée, revue régulièrement et approuvée par les responsables 2 11.2.2
concernés?
05B01-03 Les droits d'accès au réseau local et aux diverses parties de ce réseau en cas de partitionnement, sont- 4 2
ils définis par rapport à des "profils" métiers regroupant des "rôles" ou des "fonctions" dans
l'organisation (un profil définissant les droits dont disposent les titulaires de ce profil) ?
Nota : La notion de profil peut, dans certaines circonstances, être remplacée par une notion de
"groupe". Par ailleurs les droits attribués éventuellement à des partenaires doivent être pris en
compte.
Les profils d'accès doivent comprendre les profils d'accès à chaque partitionnement du réseau, depuis
un poste connecté directement sur le réseau et depuis les diverses possibilités prévues de connexion
05B01-04 depuis l'extérieurdans
A-t-on introduit, du réseau (postes
les règles denomades,
définitiontélétravail,
des droitspartenaires, etc.). les droits attribués à un
(qui déterminent 4 2
profil), des paramètres variables en fonction du contexte, en particulier la localisation du poste du
demandeur (réseau interne, étendu, externe), la nature de la connexion utilisée (LAN, LS, Internet, type
de protocoles, etc.) ou la classification du sous-réseau demandé ?
05B01-05 Les profils permettent-ils également de définir des créneaux horaires et calendaires de travail (heures 2
début et fin de journée, week-end, vacances, etc.) ?
05B01-06 Ces profils et l'attribution de droits aux différents profils, en fonction du contexte, ont-ils reçu 4 2
l'approbation des propriétaires d'information et du RSSI ?
05B01-07 Les processus de définition et de gestion des droits attribués aux profils sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que la liste des personnes habilitées à changer les droits attribués aux profils
soit très limitée, que la matérialisation de ces droits sous forme de tables soit strictement sécurisée
lors de leur transmission et de leur stockage et qu'il existe un contrôle d'accès renforcé pour pouvoir
les modifier, et que les modifications soient journalisées et auditées.
05B01-08 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits attribués à chaque profil et 4 2 11.2.4
des procédures de gestion des profils ?
05B02 Gestion des autorisations d'accès et privilèges (attribution, délégation, retrait)
05B02-01 La procédure d'attribution d'autorisations d'accès au réseau local nécessite-t-elle l'accord formel de la 4 2
hiérarchie (à un niveau suffisant) ou de l'organisme responsable de la prestation en cas de droits
attribués à des partenaires ?
05B02-02 Les autorisations sont-elles attribuées nominativement en fonction du seul profil des utilisateurs ? 2
05B02-03 Le processus d'attribution (ou modification ou retrait) effectif d'autorisations d'accès au réseau local à 4 2 11.2.2
un individu (directement ou par le biais de profils) est-il strictement contrôlé ?
Un contrôle strict requiert une identification formelle du demandeur (reconnaissance de sa signature,
signature électronique, etc.), que la matérialisation des profils attribués aux utilisateurs sous forme de
tables soit strictement sécurisée lors de leur transmission et de leur stockage et qu'il existe un contrôle
d'accès renforcé pour pouvoir les modifier, et que ces modifications soient journalisées et auditées.

MEHARI 2007-ed2 ! 05 ArcLan 74 Février 2009


Questionnaire d'audit : Domaine du Réseau Local (LAN)
N° Question Questions Rép. P Max Min ISO 17799 Commentaires
05B02-04 Y a-t-il un processus de remise à jour systématique de la table des autorisations d'accès au réseau 2 11.2.4
local lors de départs de personnel interne ou de fin de mission de personnel externe à l'entreprise ou
de changements de fonctions ?
05B02-05 Y a-t-il une liste indiquant l'ensemble des personnes ayant des autorisations d'accès au réseau local ? 1
05B02-06 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des autorisations d'accès au réseau 1 2 11.2.4
local attribuées au personnel ou à des partenaires ?
05B03 Authentification de l'accédant lors des accès au réseau local depuis un point d'accès
interne
Ce mécanisme correspond à l'authentification réalisée sous Windows par un contrôleur de domaine
05B03-01 Y a-t-il un mécanisme d'authentification et de contrôle d'accès de chaque utilisateur avant tout accès à 4 1
une ressource du réseau local ?
05B03-02 Le processus de définition ou de modification de l'authentifiant support du contrôle d'accès pour les 4 2 11.2.3
accès internes vérifie-t-il le respect d'un ensemble de règles permettant d'avoir confiance dans sa
solidité intrinsèque ?
Dans le cas de mots de passe : longueur suffisante (8 caractères ou +), mélange obligatoire de types
de caractères, changement fréquent (<1 mois), impossibilité de réemployer un mot de passe ancien,
test de non trivialité fait en relation avec un dictionnaire, interdiction des "standards systèmes", des
prénoms, de l'anagramme de l'identifiant, de dates, etc.
Dans le cas de certificats ou d'authentification reposant sur des mécanismes cryptologiques, processus
de génération évalué ou reconnu publiquement, clés de chiffrement de longueur suffisante, etc.
05B03-03 Le processus de présentation par l'utilisateur de son authentifiant garantit-il son inviolabilité ? 4 2
La frappe d'un mot de passe sera toujours un point faible notable. Les seuls processus qui soient
observables sans divulguer d'information consistent soit à introduire un objet contenant un secret
(carte à puce), soit à frapper un code qui change à chaque instant (carte à jeton), soit à présenter un
caractère biométrique.
05B03-04 La conservation et l'utilisation par les équipements de sécurité d'éléments de référence supports de 4 3
l'authentification (mots de passe, numéro d'appelant, etc.), ainsi que leur transmission entre le poste
appelant et les équipements de sécurité, font-elles appel à des mécanismes qui en garantissent
l'inviolabilité et l'authenticité ?
Dans le cas de mots de passe, ils doivent être stockés chiffrés et un contrôle d'accès préliminaire à
l'utilisation de ces éléments par l'utilisateur doit être effectué.
La transmission d'un mot de passe doit être chiffrée ou utiliser un algorithme qui introduise un aléa à
chaque transmission.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit
présenter des garanties de solidité validées par un organisme de référence.

05B03-05 A-t-on mis en place une dévalidation automatique de l'utilisateur appelant, en cas de tentatives 4 2
multiples infructueuses, avec nécessité d'intervention de l'administrateur pour revalider le poste ou
l'utilisateur ?
05B03-06 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de 4 2
passe, jeton, etc.) permet-elle d'inhiber instantanément l'ancien authentifiant et permet-elle un
contrôle effectif de l'identité du demandeur ?

MEHARI 2007-ed2 ! 05 ArcLan 75 Février 2009


Questionnaire d'audit : Domaine du Réseau Local (LAN)
N° Question Questions Rép. P Max Min ISO 17799 Commentaires
05B03-07 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des
authentifiants, les authentifiants eux-mêmes, les règles de surveillance des tentatives de connexion,
etc. soit très limitée, qu'il existe un contrôle d'accès renforcé pour procéder à ces modifications, que
les modifications soient journalisées et auditées et qu'il existe un audit général au moins annuel de
l'ensemble des paramètres de l'authentification.

05B03-08 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test
d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
l'authentification.
05B04 Authentification de l'accédant lors des accès au réseau local depuis un site distant via le
réseau étendu
05B04-01 Les règles d'appartenance au réseau étendu exigent-elles l'authentification de chaque utilisateur avant 4 1
tout accès sortant empruntant le réseau étendu ?
05B04-02 Les règles d'appartenance au réseau étendu et les contrôles effectués permettent-ils d'accorder la 4 2
même confiance aux utilisateurs du réseau étendu qu'aux utilisateurs locaux ?
05B04-03 La pertinence des règles d'appartenance au réseau étendu est-elle régulièrement auditée ? 4 3
05B04-04 L'application des règles d'appartenance au réseau étendu par l'ensemble des entités autorisées à se 4 3
connecter au réseau étendu est-elle régulièrement auditée ?
05B05 Authentification de l'accédant lors des accès au réseau local depuis l'extérieur
(depuis le Réseau Téléphonique Commuté, X25, RNIS, ADSL, Internet, etc.)

05B05-01 Y a-t-il un mécanisme d'authentification et de contrôle d'accès de chaque utilisateur pour toute 4 2 11.4.2
connexion au réseau local depuis l'extérieur ?
05B05-02 Le processus de définition ou de modification de l'authentifiant support du contrôle d'accès pour les 4 2 11.4.2
accès externes vérifie-t-il le respect d'un ensemble de règles permettant d'avoir confiance dans sa
solidité intrinsèque ?
Dans le cas de mots de passe : longueur suffisante (8 caractères ou +), mélange obligatoire de types
de caractères, changement fréquent (<1 mois), impossibilité de réemployer un mot de passe ancien,
test de non trivialité fait en relation avec un dictionnaire, interdiction des "standards systèmes", des
prénoms, de l'anagramme de l'identifiant, de dates, etc.
Dans le cas d'authentifiants fixes (numéro de l'appelant), procédure de call-back.
Dans le cas de certificats ou d'authentification reposant sur des mécanismes cryptologiques, processus
de génération évalué ou reconnu publiquement, clés de chiffrement de longueur suffisante, etc.

05B05-03 Le processus de présentation par l'utilisateur de son authentifiant garantit-il son inviolabilité ? 4 2 11.4.2
La frappe d'un mot de passe sera toujours un point faible notable. Les seuls processus qui soient
observables sans divulguer d'information consistent soit à introduire un objet contenant un secret
(carte à puce) soit à frapper un code qui change à chaque instant (jeton type SecureId), soit à
présenter un caractère biométrique.

MEHARI 2007-ed2 ! 05 ArcLan 76 Février 2009


Questionnaire d'audit : Domaine du Réseau Local (LAN)
N° Question Questions Rép. P Max Min ISO 17799 Commentaires
05B05-04 La conservation et l'utilisation par les équipements de sécurité d'éléments de référence supports de 4 3
l'authentification (mots de passe, numéro d'appelant, etc.), ainsi que leur transmission entre le poste
appelant et les équipements de sécurité, font-elles appel à des mécanismes qui en garantissent
l'inviolabilité et l'authenticité ?
Dans le cas de mots de passe, ils doivent être stockés chiffrés et un contrôle d'accès préliminaire à
l'utilisation de ces éléments par l'utilisateur doit être effectué.
La transmission d'un mot de passe doit être chiffrée ou utiliser un algorithme qui introduise un aléa à
chaque transmission.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit
présenter des garanties de solidité validées par un organisme de référence.

05B05-05 A-t-on mis en place une dévalidation automatique du poste ou de l'utilisateur appelant, en cas de 4 2
tentatives multiples infructueuses, avec nécessité d'intervention de l'administrateur pour revalider le
poste ou l'utilisateur ?
05B05-06 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de 4 2
passe, jeton, etc.) permet-elle d'inhiber instantanément l'ancien authentifiant et permet-elle un
contrôle effectif de l'identité du demandeur ?
05B05-07 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des
authentifiants, les authentifiants eux-mêmes, les règles de surveillance des tentatives de connexion,
etc. soit très limitée, qu'il existe un contrôle d'accès renforcé pour procéder à ces modifications, que
les modifications soient journalisées et auditées et qu'il existe un audit général au moins annuel de
l'ensemble des paramètres de l'authentification.

05B05-08 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test
d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
l'authentification.
05B06 Authentification de l'accédant lors des accès au réseau local depuis un sous-réseau WiFi
05B06-01 Tout sous-réseau WiFi est-il isolé du réseau local par un pare-feu ? 4 2
05B06-02 Y a-t-il un mécanisme d'authentification et de contrôle d'accès de chaque utilisateur pour toute 4 2
connexion au réseau local depuis un sous-réseau WiFi ?
05B06-03 Le processus de définition ou de modification de l'authentifiant support du contrôle d'accès pour les 4 2
accès depuis un sous-réseau WiFi vérifie-t-il le respect d'un ensemble de règles permettant d'avoir
confiance dans sa solidité intrinsèque ?
Dans le cas de mots de passe : longueur suffisante (8 caractères ou +), mélange obligatoire de types
de caractères, changement fréquent (<1 mois), impossibilité de réemployer un mot de passe ancien,
test de non trivialité fait en relation avec un dictionnaire, interdiction des "standards systèmes", des
prénoms, de l'anagramme de l'identifiant, de dates, etc.
Dans le cas d'authentifiants fixes (numéro de l'appelant), procédure de call-back.
Dans le cas de certificats ou d'authentification reposant sur des mécanismes cryptologiques, processus
de génération évalué ou reconnu publiquement, clés de chiffrement de longueur suffisante, etc.

MEHARI 2007-ed2 ! 05 ArcLan 77 Février 2009


Questionnaire d'audit : Domaine du Réseau Local (LAN)
N° Question Questions Rép. P Max Min ISO 17799 Commentaires
05B06-04 Le processus de présentation par l'utilisateur de son authentifiant garantit-il son inviolabilité ? 4 2
La frappe d'un mot de passe sera toujours un point faible notable. Les seuls processus qui soient
observables sans divulguer d'information consistent soit à introduire un objet contenant un secret
(carte à puce) soit à frapper un code qui change à chaque instant (jeton type SecureId), soit à
présenter un caractère biométrique.
05B06-05 La conservation et l'utilisation par les équipements de sécurité d'éléments de référence supports de 4 3
l'authentification (mots de passe), ainsi que leur transmission entre le poste appelant et les
équipements de sécurité, font-elles appel à des mécanismes qui en garantissent l'inviolabilité et
l'authenticité ?
Dans le cas de mots de passe, ils doivent être stockés chiffrés et un contrôle d'accès préliminaire à
l'utilisation de ces éléments par l'utilisateur doit être effectué.
La transmission d'un mot de passe doit être chiffrée ou utiliser un algorithme qui introduise un aléa à
chaque transmission.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit
présenter des garanties de solidité validées par un organisme de référence.

05B06-06 A-t-on mis en place une dévalidation automatique du poste ou de l'utilisateur appelant, en cas de 4 2
tentatives multiples infructueuses, avec nécessité d'intervention de l'administrateur pour revalider le
poste ou l'utilisateur ?
05B06-07 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de 4 2
passe, jeton, etc.) permet-elle d'inhiber instantanément l'ancien authentifiant et permet-elle un
contrôle effectif de l'identité du demandeur ?
05B06-08 Les paramètres de l'authentification pour les accès depuis un sous-réseau WiFi sont-ils sous contrôle 4 2
strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des
authentifiants, les authentifiants eux-mêmes, les règles de surveillance des tentatives de connexion,
etc. soit très limitée, qu'il existe un contrôle d'accès renforcé pour procéder à ces modifications, que
les modifications soient journalisées et auditées et qu'il existe un audit général au moins annuel de
l'ensemble des paramètres de l'authentification.
05B06-09 Les processus qui assurent l'authentification pour les accès depuis un sous-réseau WiFi sont-ils sous 4 3
contrôle strict ?
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test
d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
05B07 l'authentification.
Filtrage général des accès au réseau local
05B07-01 Tout accès au réseau local requiert-il la présentation d'un identifiant reconnu par le système ? 2
05B07-02 Tout identifiant reconnu par le système correspond-il à une personne physique unique et identifiable, 4 2
directement ou indirectement ?
05B07-03 Tous les comptes génériques ou par défaut ont-ils été supprimés ? 4 2
05B07-04 L'acceptation de l'identifiant par le contrôle d'accès au réseau local est-elle systématiquement sujette 4 2
à une authentification ?
L'authentification systématique requiert que ce processus soit effectivement mis en oeuvre pour
l'ensemble des voies et ports d'accès (accès interne, tous types d'accès depuis l'extérieur, y compris
05B07-05 les portsun
Y a-t-il réservés tels
contrôle que la télémaintenance
systématique du contexteéventuelle).
du demandeur d'accès (réseau local, réseau étendu, 4 2
liaison externe, nature de la liaison utilisée et protocoles) ?
05B07-06 Y a-t-il un contrôle systématique du profil du demandeur, de son contexte et de l'adéquation de ce 4 2
profil et du contexte avec l'accès demandé ?

MEHARI 2007-ed2 ! 05 ArcLan 78 Février 2009


Questionnaire d'audit : Domaine du Réseau Local (LAN)
N° Question Questions Rép. P Max Min ISO 17799 Commentaires
05B07-07 Y a-t-il une dévalidation automatique de l'identifiant de l'utilisateur, en cas d'absence de trafic après un 4
délai défini, nécessitant une nouvelle identification - authentification ?
05B07-08 Pour les connexions qui l'exigent, y a-t-il une identification de l'équipement appelant (adresse MAC, 3 11.4.3
adresse IP, etc.) en association avec des règles de contrôle d'accès ?
05B07-09 Les processus de définition et de gestion des règles de filtrage des accès sont-ils sous contrôle strict ? 4 2
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de sécurité
du filtrage des accès soit très limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir les
modifier, et que les modifications soient journalisées et auditées.
05B07-10 Procède-t-on à des tests périodiques de pénétration du réseau et à des audits techniques spécialisés 2 3 15.2.2
approfondis ?
05B08 Contrôle du routage des accès sortants
05B08-01 Tout accès sortant requiert-il la présentation d'un identifiant reconnu par le système ? 2 11.4.2
05B08-02 Cet identifiant correspond-il à une personne physique unique et identifiable, directement ou 1 11.4.2
indirectement ?
05B08-03 L'acceptation de l'identifiant par le contrôle d'accès sortant est-elle systématiquement sujette à une 4 2 11.4.2
authentification ?
L'authentification systématique requiert que ce processus soit effectivement mis en oeuvre pour
l'ensemble des voies et ports d'accès sortants.
05B08-04 Y a-t-il un contrôle systématique du contexte du demandeur (type de sous-réseau) et du contexte de 4 2
l'accès sortant demandé (type de réseau externe, nature de la liaison utilisée et protocoles) ?
05B08-05 Y a-t-il un contrôle systématique du profil du demandeur, de son contexte et du contexte de l'accès 4 2
demandé et de l'adéquation de ce profil et des contextes avec l'accès demandé ?
05B08-06 Y a-t-il une dévalidation automatique de l'identifiant de l'utilisateur, en cas d'absence de trafic après un 4
délai défini, nécessitant une nouvelle identification - authentification ?
05B08-07 Les processus de définition et de gestion des règles de filtrage des accès sortants sont-ils sous contrôle 4 2
strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de sécurité
du filtrage des accès soit très limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir les
05B08-08 modifier, et que
Procède-t-on les modifications
à des soient
tests périodiques dejournalisées et règles
violation des auditées.
de contrôle des accès sortants et à des 2 3
audits techniques spécialisés approfondis ?
05B09 Authentification de l'entité accédée lors des accès sortants vers des sites sensibles
05B09-01 Existe-t-il une possibilité de déclarer des sites ou des accès distants comme sensibles et, comme tels, 4 1
requérant une authentification de l'entité accédée ?
05B09-02 Y a-t-il un mécanisme d'authentification de l'entité appelée avant tout accès sortant vers des sites 4 1
sensibles depuis le réseau interne ?
05B09-03 Le processus d'authentification des entités sensibles accédées est-il un processus reconnu comme 4 2
"fort" ?
Un simple mot de passe sera toujours un point faible notable. Les seuls processus qui soient reconnus
comme forts, c'est-à-dire observables sans divulguer d'information et pratiquement inviolables sont
05B09-04 basés sur des algorithmes
La conservation cryptologiques.
et l'utilisation par les équipements de sécurité d'éléments de référence supports de 4 3
l'authentification (mots de passe, clés publiques, etc.), ainsi que leur transmission entre des systèmes
de référence et les équipements de sécurité, font-elles appel à des mécanismes qui en garantissent
l'inviolabilité et l'authenticité ?
Dans le cas d'authentification faisant appel à des procédés cryptologiques, les mécanismes de
modification, de stockage et de transmission des éléments de base (des clés publiques, en particulier)
doit présenter des garanties de solidité au même titre que le protocole d'authentification

MEHARI 2007-ed2 ! 05 ArcLan 79 Février 2009


Questionnaire d'audit : Domaine du Réseau Local (LAN)
N° Question Questions Rép. P Max Min ISO 17799 Commentaires
05B09-05 Les procédures de gestion des clés révoquées garantissent-elles que les systèmes de contrôle 4 2
prennent en compte ces révocations en temps réel et testent systématiquement que les clés ne sont
pas révoquées ?
05B09-06 Les processus qui assurent l'authentification des entités accédées sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test
d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
l'authentification.
05C Sécurité des données lors des échanges et des communications sur le
réseau local
05C01 Chiffrement des échanges sur le réseau local
Le chiffrement peut être effectué au niveau 3 (IPSEC, alors on parle de VPN) ou au niveau 4-5 (SSL,
fonction de l'application utilisée) ou effectué directement par l'application (couche 6-7, par ex.
chiffrement avant ou lors de l'envoi), cas vraiment traité par le domaine 09.
Il peut être systématique sur le "tuyau" (physique ou logique) ou limité à certains flux (en fonction des
adresses ou du type, ou autre?), il peut être réalisé sur des systèmes intermédiaires (boîtiers VPN) ou
finaux (postes, serveur) ou mixtes.
05C01-01 A-t-on défini les liens permanents et les échanges de données devant être protégés par des solutions 4 12.3.1
de chiffrement et mis en place de telles solutions au niveau réseau ?
05C01-02 La solution de chiffrement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été 4 2
approuvée par le RSSI ?
Une longueur de clés suffisante est un des paramètres à prendre en compte (en fonction de
l'algorithme) mais bien d'autres paramètres également. La recommandation d'un organisme officiel, tel
queprocédure
05C01-03 La la DCSSI en France,
et les peut êtrede
mécanismes unconservation,
facteur de confiance.
de distribution et d'échange de clés, et plus 4 3 12.3.2
généralement de gestion des clés, offrent-ils des garanties de solidité dignes de confiance et ont-ils
été approuvés par le RSSI ?
05C01-04 Les mécanismes de chiffrement sont-ils réalisés par des composants électroniques très solidement 4 3 3
protégés, au niveau physique, contre toute violation ou altération ?
Il s'agit ici de boîtiers de chiffrement protégés physiquement de telle sorte qu'il soit impossible
d'accéder aux mécanismes de chiffrement ou de carte à microprocesseur dont l'algorithme de
chiffrement est contenu dans le microprocesseur et protégé physiquement et logiquement
05C01-05 La mise hors service ou le by-pass de la solution de chiffrement sont-ils immédiatement détectés et 4 2
signalés à une équipe permanente ou d'astreinte capable d'engendrer une réaction immédiate ?
05C01-06 En cas d'inhibition ou de by-pass de la solution de chiffrement ou de mise en oeuvre d'une solution de 4 2
secours du réseau par une voie non protégée, existe-t-il une procédure permettant d'en alerter
immédiatement l'ensemble des utilisateurs ?
Par exemple par un avertissement lors de l'utilisation de ce réseau demandant la validation active de
05C01-07 l'utilisateur.
Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des systèmes de chiffrement des 4 3
données échangées et des procédures associées ?
05C02 Protection de l'intégrité des échanges sur le réseau local
05C02-01 A-t-on défini les liens permanents et les échanges de données devant être protégés par des solutions 4
de scellement et mis en place de telles solutions au niveau réseau ?

MEHARI 2007-ed2 ! 05 ArcLan 80 Février 2009


Questionnaire d'audit : Domaine du Réseau Local (LAN)
N° Question Questions Rép. P Max Min ISO 17799 Commentaires
05C02-02 La solution de scellement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été 4 2
approuvée par le RSSI ?
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres
paramètres également. La recommandation d'un organisme officiel, tel que la DCSSI en France, peut
être
05C02-03 La un facteur
procédure etde
lesconfiance.
mécanismes de conservation, de distribution et d'échange de clés, et plus 4 3
généralement de gestion des clés, offrent-ils des garanties de solidité dignes de confiance et ont-ils
été approuvés par le RSSI ?
05C02-04 Les mécanismes de scellement sont-ils réalisés par des composants électroniques très solidement 4 3 3
protégés, au niveau physique, contre toute violation ou altération ?
Il s'agit ici de boîtiers de scellement protégés physiquement de telle sorte qu'il soit impossible
d'accéder aux mécanismes de scellement ou de carte à microprocesseur dont l'algorithme de
chiffrement est contenu dans le microprocesseur et protégé physiquement et logiquement

05C02-05 La mise hors service ou le by-pass de la solution de scellement sont-ils immédiatement détectés et 4 2
signalés à une équipe permanente ou d'astreinte capable d'engendrer une réaction immédiate ?
05C02-06 En cas d'inhibition ou de by-pass de la solution de scellement ou de mise en oeuvre d'une solution de 4 2
secours du réseau par une voie non protégée, existe-t-il une procédure permettant d'en alerter
immédiatement l'ensemble des utilisateurs ?
Par exemple par un avertissement lors de l'utilisation de ce réseau demandant la validation active de
05C02-07 l'utilisateur.
Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des systèmes de scellement des 4 3
données échangées et des procédures associées ?
05C03 Chiffrement des échanges lors des accès distants au réseau local
05C03-01 A-t-on défini et mis en place des solutions de chiffrement pour les échanges avec des utilisateurs se 4 12.3.1
connectant depuis l'extérieur (nomades, prestataires autorisés à se connecter au réseau, etc.) ?
05C03-02 La solution de chiffrement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été 4 2
approuvée par le RSSI ?
Une longueur de clés suffisante est un des paramètres à prendre en compte (en fonction de
l'algorithme) mais bien d'autres paramètres également. La recommandation d'un organisme officiel, tel
05C03-03 que la DCSSI en
La procédure France,
et les peut êtrede
mécanismes unconservation,
facteur de confiance.
de distribution et d'échange de clés, et plus 4 3 12.3.2
généralement de gestion des clés, offrent-ils des garanties de solidité dignes de confiance et ont-ils
été approuvés par le RSSI ?
05C03-04 Les mécanismes de chiffrement sont-ils réalisés par des composants électroniques très solidement 4 3 3
protégés, au niveau physique, contre toute violation ou altération ?
Il s'agit ici de boîtiers de chiffrement protégés physiquement de telle sorte qu'il soit impossible
d'accéder aux mécanismes de chiffrement ou de carte à microprocesseur dont l'algorithme de
chiffrement est contenu dans le microprocesseur et protégé physiquement et logiquement

05C03-05 La connexion au réseau depuis l'extérieur est-elle impossible en dehors du chiffrement ? 4 2


05C04 Protection de l'intégrité des échanges lors des accès distants au réseau local
05C04-01 A-t-on défini et mis en place des solutions de scellement ou de contrôle d'intégrité pour les échanges 4
avec des utilisateurs se connectant depuis l'extérieur (nomades, prestataires autorisés à se connecter
au réseau, etc.) ?

MEHARI 2007-ed2 ! 05 ArcLan 81 Février 2009


Questionnaire d'audit : Domaine du Réseau Local (LAN)
N° Question Questions Rép. P Max Min ISO 17799 Commentaires
05C04-02 La solution de scellement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été 4 2
approuvée par le RSSI ?
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres
paramètres également. La recommandation d'un organisme officiel, tel que la DCSSI en France, peut
05C04-03 être un facteur
La procédure etde
lesconfiance.
mécanismes de conservation, de distribution et d'échange de clés, et plus 4 3
généralement de gestion des clés, offrent-ils des garanties de solidité dignes de confiance et ont-ils
été approuvés par le RSSI ?
05C04-04 Les mécanismes de scellement sont-ils réalisés par des composants électroniques très solidement 4 3 3
protégés, au niveau physique, contre toute violation ou altération ?
Il s'agit ici de boîtiers de scellement protégés physiquement de telle sorte qu'il soit impossible
d'accéder aux mécanismes de scellement ou de carte à microprocesseur dont l'algorithme de
chiffrement est contenu dans le microprocesseur et protégé physiquement et logiquement

05C04-05 La connexion au réseau depuis l'extérieur est-elle impossible en dehors du contrôle d'intégrité ? 4 2
05D Contrôle, détection et traitement des incidents du réseau local
05D01 Surveillance (en temps réel) du réseau local
05D01-01 A-t-on analysé les événements ou successions d'événements pouvant être révélateurs de 4 10.10.2
comportements anormaux ou d'actions illicites et en a-t-on déduit des points ou indicateurs de
surveillance ?
05D01-02 Le système dispose-t-il d'une fonction automatique de surveillance en temps réel en cas 4 10.10.2
d'accumulation d'événements anormaux (par exemple tentatives infructueuses de connexion sur des
ports non ouverts, etc.) ?
05D01-03 Emploie-t-on un système de détection d'intrusion et d'anomalies ? 4 10.10.2
05D01-04 Existe-t-il une (ou plusieurs) application capable d'analyser les divers diagnostics individuels 4
d'anomalies et de déclencher une alerte à destination du personnel d'exploitation ?
05D01-05 Existe-t-il, parmi le personnel d'exploitation, une équipe permanente ou sous astreinte permanente 4 2
capable de réagir en cas d'alerte de la surveillance réseau ?
05D01-06 A-t-on défini pour chaque cas d'alerte, la réaction attendue de l'équipe d'intervention et sa disponibilité 4 3
est-elle suffisante pour faire face à cette attente ?
05D01-07 Les paramètres définissant les alarmes sont-ils strictement protégés (droits limités et authentification 4
05D01-08 forte)
Toute contre toutduchangement
inhibition illicitedéclenche-t-elle
système d'alerte ? une alarme auprès de l'équipe de surveillance ? 4 3 10.10.2
05D01-09 Existe-t-il un archivage (sur disque, cassette, DON, etc.) de tous les éléments ayant permis de détecter 2 10.10.3
05D01-10 une anomalie oude
Les procédures unsurveillance
incident ? du réseau et de détection d'anomalies et la disponibilité de l'équipe de 2 3
surveillance font-elles l'objet d'un audit régulier ?
05D02 Analyse (en temps différé) des traces, logs et journaux d'événements sur le réseau local
05D02-01 A-t-on fait une analyse approfondie des événements ou succession d'événements pouvant avoir un 2 10.10.1
impact sur la sécurité (connexions refusées, reroutages, reconfigurations, évolutions de performances,
accès à des informations ou des outils sensibles, etc.) ?
05D02-02 Enregistre-t-on ces événements ainsi que tous les paramètres utiles à leur analyse ultérieure ? 4 10.10.1
05D02-03 Existe-t-il une application capable d'analyser ces enregistrements ainsi que les mesures de 4 2 3
performances, d'en déduire des statistiques, un tableau de bord et des diagnostics d'anomalies
examinés par une structure ad hoc ?

MEHARI 2007-ed2 ! 05 ArcLan 82 Février 2009


Questionnaire d'audit : Domaine du Réseau Local (LAN)
N° Question Questions Rép. P Max Min ISO 17799 Commentaires
05D02-04 La structure chargée d'analyser ces éléments de synthèse (ou éventuellement les journaux des 4
incidents, et événements liés à la sécurité) a-t-elle l'obligation de le faire à période fixe et déterminée
et a-t-elle la disponibilité suffisante ?
05D02-05 A-t-on défini pour chaque cas d'alerte, la réaction attendue de l'équipe de surveillance et sa 4
disponibilité est-elle suffisante pour faire face à cette attente ?
05D02-06 Les paramètres définissant les éléments à enregistrer et les synthèses effectuées sur ces éléments 4 10.10.3
sont-ils strictement protégés (droits limités et authentification forte) contre tout changement illicite ?
05D02-07 Toute inhibition du système d'enregistrement et de traitement des enregistrements déclenche-t-elle 4
une alarme auprès de l'équipe de surveillance ?
05D02-08 Les enregistrements ou les synthèses sont-ils conservés sur une longue durée et protégés contre toute 2 10.10.3
05D02-09 altération ou destruction
Les procédures ?
d'enregistrement, de traitement des enregistrements et d'analyse des synthèses ainsi 2
que la disponibilité de l'équipe d'analyse et d'intervention font-elles l'objet d'un audit régulier ?
05D03 Traitement des incidents du réseau local
05D03-01 Y a-t-il une équipe (hot line) accessible en permanence, chargée de recueillir les appels et de signaler 2 10.10.5
eta-t-il
05D03-02 Y d'enregistrer tous
un système les incidents
support ?
de la gestion des incidents ? 2 2 10.10.5
05D03-03 Ce système centralise-t-il et prend-il en compte aussi bien les incidents détectés par l'exploitation que 2 10.10.5
05D03-04 ceux signalés
Ce système par les utilisateurs
permet-il ?
un suivi et une relance automatiques des actions nécessaires ? 4 10.10.5
05D03-05 Ce système incorpore-t-il une typologie des incidents avec élaboration de statistiques et de tableau de 4
bord des incidents à destination du RSSI ?
05D03-06 Le système de gestion d'incidents est-il strictement contrôlé vis-à-vis de toute modification illicite ou 4 3
indue ?
Un contrôle strict requiert une protection renforcée pour pouvoir modifier un enregistrement et un
audit de toute modification des enregistrements ou un contrôle par scellement électronique de toute
05D03-07 modification.
Chaque incident réseau majeur fait-il l'objet d'un suivi spécifique (nature et description, priorité, 4 13.2.1
solutions techniques, études en cours, délai prévu de résolution, etc.) ?

MEHARI 2007-ed2 ! 05 ArcLan 83 Février 2009


Questionnaire d'audit : Domaine de l'exploitation des réseaux
N° Question Questions Rép. P Max Min ISO 17799 Commentaires

06A Sécurité des procédures d'exploitation


06A01 Prise en compte de la sécurité dans les relations avec le personnel d'exploitation
(salariés et prestataires)
06A01-01 A-t-on rédigé, à l'usage des personnels d'exploitation des réseaux, une politique de sécurité 4 1
spécifique couvrant tous les aspects de la sécurité des systèmes d'information (confidentialité des
informations, disponibilité des informations et services, intégrité des informations et configurations,
traçabilité, etc.) ?
06A01-02 Fait-on signer au personnel d'exploitation des réseaux employé par l'entreprise (quel que soit le 4
statut, CDI, CDD, intérimaire, stagiaire, etc.) des clauses de respect de la politique de sécurité ?
06A01-03 Ces clauses précisent-elles que le devoir de respect de la politique de sécurité s'applique en général 2 2
à toute information quel qu'en soit le support (papier, magnétique, optique, etc.) ?
06A01-04 Ces clauses précisent-elles que le devoir de respect de la politique de sécurité s'applique sans 4 2
limitation de durée et même après expiration du contrat liant directement ou indirectement le
personnel à l'entreprise ?
06A01-05 Ces clauses précisent-elles que le personnel a l'obligation non seulement de ne pas agir, 4 3
directement ou indirectement, au détriment de la sécurité d'une information, mais également de ne
pas favoriser une telle action par d'autres personnes ?
06A01-06 La signature de ces clauses constitue-t-elle un engagement formel du signataire et reconnaît-il 4 3
explicitement en avoir pris connaissance et les accepter ?
06A01-07 Les mêmes clauses sont-elles rendues obligatoires pour les entreprises intervenant dans 4 2
l'exploitation des réseaux, avec obligation faite auxdites entreprises de les faire signer
individuellement et dans les mêmes conditions à son personnel ?
06A01-08 Existe-t-il une formation spécifique au bénéfice du personnel d'exploitation et cette formation est- 2
elle obligatoire ?
06A01-09 Les clauses de respect de la politique de sécurité signées par le personnel et les entreprises 2 3
contractées sont-elles conservées de manière sûre (au moins dans une armoire fermée à clé) ?
06A01-10 Y a-t-il un audit régulier, au moins une fois par an, de l'application effective des procédures de 2 3
signature des clauses de confidentialité par le personnel d'exploitation (directement employé par
l'entreprise ou par l'intermédiaire d'une société prestataire) ?
06A02 Contrôle de la mise en production de nouveaux logiciels ou matériels ou d'évolutions de
06A02-01 logiciels ou matériels
Les décisions de changements et d'évolutions des équipements et systèmes font-elles l'objet de 2 2 10.1.2
procédures de contrôle (enregistrement, planning, approbation formelle, communication à
l'ensemble des personnes concernées, etc.) ?
06A02-02 Les décisions de changement s'appuient-elles sur des analyses de la capacité des nouveaux 1 10.3.1
équipements et systèmes à assurer la charge requise en fonction des évolutions des demandes
prévisibles ?
06A02-03 Les installations sont-elles faites avec un souci de protection physique (accès protégé, absence de 1 9.2.1
vue directe externe sur les équipements, absence de menaces physiques diverses, conditions
climatiques, protection contre la foudre, protection contre la poussière, etc.) ?
06A02-04 Une revue formelle des nouvelles fonctionnalités (ou des changements de fonctionnalités) liées à un 4 12.4.1;
nouveau logiciel ou équipement ou à une nouvelle version et des risques éventuels pouvant naître à 10.3.2
cette occasion est-elle systématiquement réalisée, avec le concours de la fonction sécurité
informatique ?
06A02-05 L'exploitation a-t-elle reçu une formation spécifique à l'analyse des risques et a-t-elle l'appui d'un 4
support adapté ?

MEHARI 2007-ed2 ! 06 ExpRés 84 Février 2009


Questionnaire d'audit : Domaine de l'exploitation des réseaux
N° Question Questions Rép. P Max Min ISO 17799 Commentaires

06A02-06 Les mesures de sécurité décidées pour remédier aux nouveaux risques mis en évidence font-elles 4 10.3.2
l'objet de contrôles et de tests formels avant mise en exploitation ?
06A02-07 Les paramétrages de sécurité et règles de configuration (suppression de tout compte générique, 4 11.4.4;
changement de tout mot de passe générique, fermeture de tout port non explicitement demandé et 10.3.2
autorisé, paramétrages du contrôle des droits et de l'authentification, contrôles des tables de
routage, etc.) font-ils l'objet d'une liste précise, tenue à jour, et sont-ils contrôlés avant toute mise
06A02-08 en
Lesexploitation
dérogationsd'une nouvelle d'analyse
au processus version ? de risque préalable et aux contrôles des paramètres de 4
sécurité font-elles l'objet de procédures strictes avec signature d'un responsable de niveau élevé ?
06A02-09 La mise en production de nouveaux équipements ou logiciels n'est-elle possible que par le 2 2 12.4.1;
personnel d'exploitation et selon un processus de validation et d'autorisation défini ? 6.1.4
06A02-10 L'ensemble des procédures de contrôle de la mise en production fait-il l'objet d'un audit régulier ? 2 3
06A03 Contrôle des opérations de maintenance
06A03-01 Conserve-t-on une trace de toute opération de maintenance ? 1 9.2.4
06A03-02 Toute opération de maintenance doit-elle être conclue par une vérification systématique des 4 2
paramètres de sécurité (tels que définis lors de la mise en production) ?
06A03-03 Toute opération de maintenance doit-elle être conclue par une vérification systématique des 4 3
paramètres d'enregistrement des événements de sécurité (événements à enregistrer, contextes
des événements à enregistrer, durée de rétention, etc.) ?
06A03-04 Toute opération de maintenance doit-elle être conclue par une vérification systématique des 4 3
paramètres de contrôle de l'administration des équipements (profil nécessaire, type
d'authentification, suppression des login standards, etc.) ?
06A03-05 Les procédures ci-dessus sont-elles obligatoires en toute circonstance et les dérogations 4
éventuelles doivent-elles être signées par un membre de la Direction ?
06A03-06 L'ensemble des procédures de contrôle de la mise en production fait-il l'objet d'un audit régulier ? 2 3
06A04 Contrôle de la télémaintenance
06A04-01 En cas de télémaintenance, y a-t-il une procédure d'authentification forte du centre de 4 2 11.4.4
télémaintenance ?
06A04-02 En cas de télémaintenance, y a-t-il une procédure d'authentification forte de l'agent de 4 2 11.4.4
maintenance ?
06A04-03 Existe-t-il un ensemble de procédures couvrant l'attribution de droits d'utilisation à un nouvel agent, 2 11.4.4
le retrait de droits et l'ouverture de droits pour les situations d'urgence ?
06A04-04 Les procédures et protocoles d'échange de conventions secrètes, de stockage, etc. ont-elles été 4
approuvées par le RSSI ou un organisme spécialisé ?
06A04-05 L'utilisation de la ligne de télémaintenance nécessite-t-elle l'agrément préalable (à chaque 4 11.4.4
utilisation) de l'exploitation (après que le constructeur ou l'éditeur ait envoyé une demande
spécifiant la nature, la date et l'heure de l'intervention) ?
06A04-06 Les équipements ouverts à la télémaintenance sont-ils protégés contre toute inhibition ou 2 2
modification des conditions d'accès à la télémaintenance avec émission d'une alarme en cas de
violation ?
06A04-07 L'ensemble des procédures de contrôle de la télémaintenance fait-il l'objet d'un audit régulier ? 2 3
06A05 Gestion des procédures opérationnelles d'exploitation des réseaux
06A05-01 Les procédures opérationnelles d'exploitation découlent d'une étude de l'ensemble des cas à 4 10.1.1
couvrir par ces procédures (cas normaux de fonctionnement et incidents) ?

MEHARI 2007-ed2 ! 06 ExpRés 85 Février 2009


Questionnaire d'audit : Domaine de l'exploitation des réseaux
N° Question Questions Rép. P Max Min ISO 17799 Commentaires

06A05-02 Les procédures opérationnelles d'exploitation sont-elles documentées, maintenues à jour et 4 10.1.1
rendues disponibles à toute personne en ayant besoin ?
06A05-03 Les modifications de ces procédures sont-elles approuvées par le management ? 2 10.1.1
06A05-04 Ces procédures sont-elles protégées contre des altérations illicites ? 2
06A05-05 L'authenticité et la pertinence des procédures opérationnelles font-elles l'objet d'un audit régulier ? 2
06A06 Gestion des prestataires de services liés aux réseaux
06A06-01 S'assure-t-on que les services de sécurité mis à charge des prestataires sont effectivement mis en 4 10.2.1
place et maintenus par lesdits prestataires ?
06A06-02 S'assure-t-on que les prestataires ont effectivement prévu les dispositions nécessaires pour être à 2 10.2.1
même d'assurer les prestations convenues ?
06A06-03 Le respect des clauses de sécurité, par les prestataires, est-il sous contrôle et fait-il l'objet de 4 10.2.2
revues régulières ?
06A06-04 S'assure-t-on que les prestataires signalent et documentent tout incident de sécurité touchant 2 10.2.2
l'information ou les réseaux et y a-t-il une revue régulière de ces incidents ou des
dysfonctionnements avec les prestataires concernés?
06A06-05 Tout changement dans les relations contractuelles et les niveaux de service fait-il l'objet d'une 2 10.2.3
analyse de son impact sur l'activité et des risques potentiels ?
06A07 Prise en compte de la confidentialité lors des opérations de maintenance sur les
équipements de réseau
06A07-01 Existe-t-il une procédure décrivant en détail les opérations à mener, avant appel à la maintenance, 4 9.2.6; 9.2.4
pour empêcher que celle-ci ait accès aux données critiques (clés de chiffrement ou de protection de
réseau, configurations des équipements de sécurité, etc.) ?
06A07-02 Existe-t-il une procédure et une clause contractuelle vis-à-vis du personnel de maintenance (interne 4 9.2.4
et externe), spécifiant que tout support ayant contenu des informations sensibles doit être détruit
en cas de mise au rebut ?
06A07-03 Existe-t-il une procédure de vérification de l'intégrité des systèmes après intervention de la 2
maintenance (absence de logiciel espion, absence de cheval de Troie, etc.) ?
06A07-04 Les procédures ci-dessus sont-elles obligatoires en toute circonstance et les dérogations 2 3
éventuelles doivent-elles être signées par un membre de la Direction ?
06A07-05 Les procédures ci-dessus font-elles l'objet d'un audit régulier ? 2 3
06A08 Gestion des contrats de services réseaux
06A08-01 Les dispositifs de sécurité nécessaires, les niveaux de services et obligations du management ont- 4 10.6.2
ils été identifiés pour chaque service réseau et inclus dans un contrat de service (que ces services
soient assurés en interne ou par un prestataire externe) ?
06A08-02 Le management contrôle-t-il l'application des mesures correspondantes ? 2 10.6.2
06B Paramétrage et contrôle des configurations matérielles et logicielles
06B01 Paramétrage des équipements de réseau et contrôle de la conformité des configurations
06B01-01 Existe-t-il un document (ou un ensemble de documents) ou une procédure opérationnelle décrivant 4 2
l'ensemble des versions de système, des paramètres de sécurité des équipements de réseau
découlant de la politique de protection des réseaux et des règles de filtrage décidées ?
06B01-02 Ce (ou ces) document impose-t-il de supprimer l'ensemble des comptes génériques ou par défaut et 4 2
en établit-il la liste ?

MEHARI 2007-ed2 ! 06 ExpRés 86 Février 2009


Questionnaire d'audit : Domaine de l'exploitation des réseaux
N° Question Questions Rép. P Max Min ISO 17799 Commentaires

06B01-03 Cette procédure impose-t-elle la mise en place d'un dispositif de synchronisation avec un référentiel 4 10.10.6
06B01-04 de
Cestemps précis ? sont-ils régulièrement mis à jour en fonction de l'état des connaissances, en
paramétrages 2 3
relation avec un organisme expert (audits spécialisés, abonnement à un centre de service,
consultation régulière des avis des CERTs, etc.) ?
06B01-05 Ces documents de référence (ou des copies des paramètres installés, considérées comme des 2 3
références) sont-ils protégés contre toute altération indue ou illicite, par des mécanismes forts
(sceau électronique) ?
06B01-06 L'intégrité des configurations par rapport aux configurations théoriquement attendues est-elle 4 2 15.2.2
testée à chaque initialisation du système et/ou très régulièrement (hebdomadairement) ?
06B01-07 Procède-t-on à des audits réguliers de la liste des paramètres de sécurité, du paramétrage 2 10.1.4;
effectivement réalisé et des procédures d'exception et d'escalade en cas de difficulté ? 15.2.2
06B01-08 Les systèmes de développement et de test sont-ils séparés des systèmes opérationnels ? 1 10.1.4
06B02 Contrôle de la conformité des configurations utilisateurs
06B02-01 Existe-t-il un document décrivant l'ensemble des paramètres à contrôler sur les postes utilisateurs 4 2
concernant leurs possibilités de connexion externe (modem, WiFi, ...) ?
06B02-02 Ce document est-il régulièrement mis à jour en fonction de l'état des connaissances, en relation 4 2
avec un organisme expert (audits spécialisés, abonnement à un centre de service, consultation
régulière des avis des CERTs, etc.) ?
06B02-03 Ce document de référence est-il protégé contre toute altération indue ou illicite, par des 4 3
mécanismes forts (sceau électronique) ?
06B02-04 Contrôle-t-on systématiquement et à chaque connexion, la conformité des configurations des 2 2
équipements réseau des postes de travail des utilisateurs par rapport à ce document de référence ?

06B02-05 Y a-t-il des automates analysant systématiquement l'utilisation du réseau phonie pour transmettre 4
des données ?
06B02-06 Y a-t-il des automates analysant la présence de borne non déclarée de réseau sans fil (WiFi) ? 4
06B02-07 La configuration des postes utilisateurs les empêche-t-elle de modifier les configurations et 4
d'installer des logiciels systèmes ?
06B02-08 Procède-t-on à des audits réguliers du document de référence spécifiant les configurations 2 3
utilisateurs, et de l'application régulière des procédures de contrôle des configurations ?
06C Contrôle des droits d'administration
06C01 Gestion des droits privilégiés sur les équipements de réseau
06C01-01 A-t-on établi une politique de gestion des droits privilégiés sur les équipements de réseau 2 11.1.1
s'appuyant sur une analyse préalable des exigences de sécurité, basées sur les enjeux business?
06C01-02 Cette politique est-elle documentée, revue régulièrement et approuvée par les responsables 2
concernés?
06C01-03 A-t-on défini, au sein de l'exploitation des réseaux, des profils correspondant à chaque type 4 10.6.1;
d'activité (administration d'équipements, administration d'équipement de sécurité, pilotage réseau, 11.2.2;
opérations de gestion de supports et sauvegardes, etc.) ? 10.1.3
06C01-04 A-t-on défini, pour chaque profil, les droits privilégiés nécessaires ? 4 2 10.1.3;
10.6.1

MEHARI 2007-ed2 ! 06 ExpRés 87 Février 2009


Questionnaire d'audit : Domaine de l'exploitation des réseaux
N° Question Questions Rép. P Max Min ISO 17799 Commentaires

06C01-05 La procédure d'attribution de droits privilégiés nécessite-t-elle l'accord formel de la hiérarchie (ou 4 2 10.1.3
du responsable de la prestation pour un prestataire) à un niveau suffisant et n'est-elle attribuée
qu'en fonction du profil du titulaire ?
06C01-06 Le processus d'attribution (ou modification ou retrait) de droits privilégiés à un individu est-il 4 2 3 11.2.2
strictement contrôlé ?
Un contrôle strict requiert une reconnaissance formelle de la signature (électronique ou non) du
demandeur, qu'il existe un contrôle d'accès très renforcé pour pouvoir attribuer ou modifier de tels
droits, et que les modifications d'attributions de droits privilégiés soient journalisées et auditées.
06C01-07 Y a-t-il un processus d'invalidation systématique des droits privilégiés lors de départs ou mutations 2 11.2.4
de personnel ?
06C01-08 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits privilégiés attribués ? 1 2 11.2.4
06C02 Authentification et contrôle des droits d'accès des administrateurs et personnels
d'exploitation
06C02-01 Le protocole d'authentification des administrateurs ou possesseurs de droits privilégiés est-il 4 2
considéré comme "fort" ?
Un protocole d'authentification est considéré comme fort s'il n'est pas susceptible d'être mis en
brèche par une observation ou une écoute de réseau, ni mis en défaut par des outils de spécialistes
(en particulier des outils de craquage de mots de passe). Il s'agit de protocole s'appuyant
06C02-02 A défaut, s'il s'agit
généralement deprocédés
sur des mots de cryptologiques.
passe, les règles imposées peuvent-elles être considérées comme 2
très strictes et ont-elles été approuvées par le RSSI ?
Des règles très strictes supposent des mots de passe non triviaux et testés comme tels avant
acceptation, des mélanges de différents types de caractères avec une longueur importante (10
caractères ou +)

06C02-03 Cette authentification forte est-elle la règle aussi bien pour la connexion des administrateurs au 4 2
système de supervision éventuel qu'entre ce système et les équipements de réseau ?
Si l'administrateur se connecte à un hyperviseur de management (genre HP OpenView, IBM TIVOLI,
Unicenter de CA, Patrol de BMC ou Bull OpenMaster) avec une authentification éventuellement forte
et un contrôle d'accès réel, il faut également que le contrôle soit effectif, avec la même robustesse,
au niveau des différents objets à administrer (en évitant, par ex. en snmp les pswd en clair, les
groupes community et public par défaut, les accès par telnet ou SQL simple) pour éviter des actions
malveillantes directes sur les équipements.
06C02-04 Y a-t-il un contrôle systématique des droits de l'administrateur, de son contexte et de l'adéquation 4
de ces droits et du contexte avec l'accès demandé, en fonction de règles de contrôle d'accès
formalisées ?
06C02-05 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition
des authentifiants, les authentifiants eux-mêmes, les règles de surveillance des tentatives de
connexion, etc. soit très limitée, qu'il existe un contrôle d'accès renforcé pour procéder à ces
modifications, que les modifications soient journalisées et auditées et qu'il existe un audit général
au moins annuel de l'ensemble des paramètres de l'authentification.
06C02-06 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
l'authentification.

MEHARI 2007-ed2 ! 06 ExpRés 88 Février 2009


Questionnaire d'audit : Domaine de l'exploitation des réseaux
N° Question Questions Rép. P Max Min ISO 17799 Commentaires

06C02-07 Existe-t-il un audit régulier des personnels ayant des profils et des droits privilégiés, des procédures 4 3 11.2.4
d'attribution de profils, des profils effectivement attribués et des paramètres de sécurité de
protection des profils et des droits ?
06C03 Surveillance des actions d'administration des réseaux
06C03-01 A-t-on fait une analyse approfondie des événements ou successions d'événements menés avec des 2 10.10.4;
droits d'administration et pouvant avoir un impact sur la sécurité des réseaux (configuration des 10.6.1
systèmes de sécurité, accès à des informations sensibles, utilisation d'outils sensibles,
téléchargement ou modification d'outils d'administration, etc.) ?
06C03-02 Enregistre-t-on ces événements ainsi que tous les paramètres utiles à leur analyse ultérieure ? 4 10.10.4;
10.6.1
06C03-03 Existe-t-il un système permettant de détecter toute modification ou suppression d'un 4 2 10.10.4
enregistrement passé et de déclencher une alerte immédiate auprès d'un responsable ?
06C03-04 Existe-t-il une synthèse de ces enregistrements permettant à la hiérarchie de détecter des 4 3 10.10.4
comportements anormaux ?
06C03-05 Existe-t-il un système permettant de détecter toute modification des paramètres d'enregistrement 4 2 10.10.4
et de déclencher une alerte immédiate auprès d'un responsable ?
06C03-06 Toute inhibition du système d'enregistrement et de traitement des enregistrements déclenche-t-elle 4 3 10.10.4
une alarme auprès d'un responsable ?
06C03-07 Les enregistrements ou les synthèses sont-ils conservés sur une longue durée et protégés contre 2 10.10.4
toute altération ou destruction ?
06C03-08 Les procédures d'enregistrement des actions privilégiées et de traitement de ces enregistrements 2 3
font-elles l'objet d'un audit régulier ?
06C04 Contrôle des outils et utilitaires de l'exploitation
06C04-01 Les outils ou utilitaires sensibles (administration des privilèges, gestion des configurations, 4
sauvegardes, copies, reprises à chaud, etc.) sont-ils recensés de manière exhaustive pour chaque
type de profil de personnel d'exploitation ?
06C04-02 Les outils ou utilitaires sensibles d'un profil d'exploitation ne sont-ils utilisables que par les titulaires 2 2
du profil correspondant, après authentification individuelle forte (carte à puce, jeton, etc.) ?
06C04-03 Est-il interdit d'ajouter ou de créer des outils ou utilitaires sans autorisation formelle et cette 2 2
interdiction est-elle régulièrement contrôlée par un automatisme avec alerte auprès d'un
responsable ?
06C04-04 La limitation des privilèges accordés aux équipes d'exploitation les empêche-t-elle de modifier les 4 2
outils ou les utilitaires de l'exploitation ou, à défaut, existe-t-il un contrôle de toute modification
avec alerte auprès d'un responsable ?
06C04-05 L'attribution des profils et la mise en oeuvre des mesures de sécurité précédentes font-elles l'objet 2 2
d'un audit régulier ?
06D Procédures d'audit et de contrôle des réseaux
06D01 Fonctionnement des contrôles d'audit
06D01-01 Les exigences et les procédures à respecter pour les audits menés sur les réseaux ont-elles été 15.3.1
édictées par le management ? 4
06D01-02 Les règles concernant les audits menés sur les réseaux, les procédures et responsabilités associées, 15.3.1
sont-elles définies et documentées ?
Les limites à apporter concernent les types d'accès aux équipements, les contrôles et les
traitements admis, l'effacement des données sensibles obtenues, le marquage de certaines 3
opérations, ... ainsi que l'habilitation des personnes réalisant l'audit

MEHARI 2007-ed2 ! 06 ExpRés 89 Février 2009


Questionnaire d'audit : Domaine de l'exploitation des réseaux
N° Question Questions Rép. P Max Min ISO 17799 Commentaires

06D01-03 Les auditeurs sont-ils indépendants des activités concernées ? 2 15.3.1


06D01-04 Les opérations d'audit réalisées pour les données critiques sont-elles enregistrées ? 2 15.3.1
06D02 Protection des outils et résultats d'audit
06D02-01 Les outils d'audit sont-ils protégés afin d'éviter toute utilisation indue ou malveillante ? 15.3.2
Ceci s'applique, en particulier, aux tests de pénétration et aux évaluations de vulnérabilité 3
06D02-02 Les résultats d'audit sont-ils protégés contre toute modification ou divulgation ? 3 15.3.2
06D02-03 L'activité des auditeurs est-elle délimitée, spécialement s'il s'agit d'intervenants externes ? 2 15.3.2

MEHARI 2007-ed2 ! 06 ExpRés 90 Février 2009


Questionnaire d'audit : Domaine de la sécurité des Systèmes et de leur architecture
N° Question Question Rép. P Max Min ISO 17799 Commentaires
07A Contrôle d'accès aux systèmes et applications
07A01 Gestion des profils d'accès (droits et privilèges accordés en fonction des profils de
fonction)
07A01-01 A-t-on établi une politique de gestion des droits d'accès aux systèmes s'appuyant sur une analyse 2 11.1.1
préalable des exigences de sécurité, basées sur les enjeux business ?
07A01-02 Les droits d'accès aux différentes parties du SI (applications, bases de données, systèmes, etc.) 4 2 11.2.2
sont-ils définis par rapport à des "profils" métiers regroupant des "rôles" ou des "fonctions" dans
l'organisation (un profil définissant les droits dont disposent les titulaires de ce profil) ?
Nota : La notion de profil peut, dans certaines circonstances, être remplacée par une notion de
07A01-03 "groupe".
Est-il possible d'introduire, dans les règles de définition des droits (qui déterminent les droits 4
attribués à un profil), des paramètres variables en fonction du contexte tels que la localisation du
demandeur ou les réseaux utilisés, ou fonction des moyens employés (protocoles, chiffrement, etc.)
ou de la classification des ressources accédées ?
07A01-04 Les profils permettent-ils également de définir des créneaux horaires et calendaires de travail 2 11.5.6
(heures début et fin de journée, week-end, vacances, etc.) ?
07A01-05 Ces profils et l'attribution de droits aux différents profils ont-ils reçu l'approbation des propriétaires 4 2 11.5.6
d'information et/ou du RSSI ?
07A01-06 Les processus de définition et de gestion des droits attribués aux profils sont-ils sous contrôle 4 3
strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les droits attribués aux
profils soit très limitée, que la matérialisation de ces droits sous forme de tables soit strictement
sécurisée lors de leur transmission et de leur stockage et qu'il existe un contrôle d'accès renforcé
07A01-07 pour pouvoir
Peut-on les modifier,
contrôler et que les
à tout moment modifications
la liste des profilssoient journalisées
et l'ensemble et auditées.
des droits attribués à chaque profil 2 2
?
07A01-08 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits attribués à chaque profil 4 2 11.2.4
et des procédures de gestion des profils ?
07A02 Gestion des autorisations d'accès et privilèges (attribution, délégation, retrait)
07A02-01 La procédure d'attribution des autorisations d'accès nécessite-t-elle l'accord formel de la hiérarchie 4 2
(à un niveau suffisant) ?
07A02-02 Les autorisations sont-elles attribuées nominativement en fonction du seul profil des utilisateurs ? 2
07A02-03 Le processus d'attribution (ou modification ou retrait) effectif d'autorisations à un individu 4 2 3 11.2.2
(directement ou par le biais de profils) est-il strictement contrôlé ?
Un contrôle strict requiert une identification formelle du demandeur (reconnaissance de sa
signature, signature électronique, etc.), que la matérialisation des profils attribués aux utilisateurs
(par exemple sous forme de tables) soit strictement sécurisée lors de leur transmission et de leur
stockage et qu'il existe un contrôle d'accès renforcé pour pouvoir les modifier, et que ces
modifications soient journalisées et auditées.

07A02-04 Y a-t-il un processus de remise à jour systématique de la table des autorisations d'accès lors de 2 11.2.4
départs de personnel interne ou externe à l'entreprise ou de changements de fonctions ?

MEHARI 2007-ed2 ! 07 Sys 91 Février 2009


Questionnaire d'audit : Domaine de la sécurité des Systèmes et de leur architecture
N° Question Question Rép. P Max Min ISO 17799 Commentaires
07A02-05 Y a-t-il un processus strictement contrôlé (voir ci-dessus) permettant de déléguer ses propres 4
autorisations, en tout ou en partie, à une personne de son choix, pour une période déterminée (en
cas d'absence) ?
Dans ce cas les autorisations déléguées ne doivent plus être autorisées à la personne qui les a
déléguées. Cette dernière doit cependant avoir la possibilité de les reprendre, en annulant ou en
suspendant la délégation.
07A02-06 Peut-on contrôler à tout moment, pour tous les utilisateurs, les habilitations, autorisations et 1
privilèges en cours ?
07A02-07 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des profils ou des autorisations 1 2 11.2.4
attribués aux utilisateurs et des procédures de gestion des profils attribués ?
07A03 Authentification de l'accédant
07A03-01 Le processus de distribution ou de modification de l'authentifiant garantit-il que seul le titulaire de 2 1 11.5.3
l'identifiant peut y avoir accès (diffusion initiale confidentielle, changement de mot de passe sous le
seul contrôle de l'utilisateur, etc.) ?
07A03-02 Le processus de création ou de modification d'un authentifiant vérifie-t-il le respect d'un ensemble 4 2 11.2.3;
de règles permettant d'avoir confiance dans sa solidité intrinsèque ? 11.5.3
Dans le cas de mots de passe : longueur suffisante (8 caractères ou +), mélange obligatoire de
types de caractères, changement fréquent (<1 mois), impossibilité de réemployer un mot de passe
ancien, test de non trivialité fait en relation avec un dictionnaire, interdiction des "standards
systèmes", des prénoms, de l'anagramme de l'identifiant, de dates, etc.
Dans le cas de certificats ou d'authentification reposant sur des mécanismes cryptologiques
utilisant des clés de chiffrement : longueur de clé suffisante, processus de génération évalué ou
reconnu publiquement, etc.
07A03-03 Le processus de présentation par l'utilisateur de son authentifiant garantit-il son inviolabilité ? 4 2 11.5.1;
La frappe d'un mot de passe sera toujours un point faible notable. Les seuls processus qui soient 11.5.3
observables sans divulguer d'information consistent soit à introduire un objet contenant un secret
(carte à puce) soit à frapper un code qui change à chaque instant (carte à jeton), soit à présenter un
caractère biométrique.
07A03-04 Le processus de log-on est-il sécurisé ? 1 11.5.1;
Un log-on sécurisé ne devrait donner aucune information avant achèvement satisfaisant du 11.5.3
processus, ne pas afficher le mot de passe ou l'authentifiant, afficher la date et l'heure de la
dernière connexion, afficher les éventuelles tentatives de connexion ayant échoué, etc.
07A03-05 La conservation et l'utilisation par l'utilisateur (ou par des systèmes représentant l'utilisateur) ou 2 2 3 11.5.3;
par les systèmes cibles d'éléments de référence supports de l'authentification ainsi que leur 11.5.1
transmission entre l'utilisateur et les systèmes cibles font-elles appel à des mécanismes qui en
garantissent l'inviolabilité et l'authenticité ?
Dans le cas de mots de passe, ils doivent être stockés chiffrés et un contrôle d'accès préliminaire à
l'utilisation de ces éléments par l'utilisateur doit être effectué.
La transmission d'un mot de passe doit être chiffrée ou utiliser un algorithme qui introduise un aléa
à chaque transmission.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit
présenter des garanties de solidité validées par un organisme de référence.

MEHARI 2007-ed2 ! 07 Sys 92 Février 2009


Questionnaire d'audit : Domaine de la sécurité des Systèmes et de leur architecture
N° Question Question Rép. P Max Min ISO 17799 Commentaires
07A03-06 En cas de répétition de tentatives infructueuses d'authentification, existe-t-il un processus 4 2 11.5.1;
déclenchant une dévalidation automatique de l'identifiant de l'utilisateur, éventuellement du 11.5.3
terminal lui-même, ou un ralentissement du processus d'authentification empêchant toute routine
automatique de tentative de connexion ?
07A03-07 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de 4 2 11.5.3
passe, jeton, etc.) permet-elle d'inhiber instantanément l'ancien authentifiant et permet-elle un
contrôle effectif de l'identité du demandeur ?
07A03-08 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition
des authentifiants, les authentifiants eux-mêmes, les règles de surveillance des tentatives de
connexion, etc. soit très limitée, qu'il existe un contrôle d'accès renforcé pour procéder à ces
modifications, que les modifications soient journalisées et auditées et qu'il existe un audit général
au moins annuel de l'ensemble des paramètres de l'authentification.

07A03-09 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
l'authentification (y compris des processus visant à détecter les tentatives de violation et les
processus de réaction à ces tentatives de violation).
07A04 Filtrage des accès et gestion des associations
07A04-01 Tout accès au système requiert-il la présentation d'un identifiant reconnu par le système ? 1 11.5.2
07A04-02 Tout identifiant reconnu par le système correspond-il à une personne physique unique et 4 2 11.5.2
identifiable, directement ou indirectement ?
Nota : Dans le cas où une application en appelle une autre ou déclenche un appel système, il se
peut que l'application ne transfère pas au système cible l'identifiant ayant initialisé la demande. Le
lien entre cet appel et l'identifiant et la personne d'origine doit cependant rester possible a
posteriori.
07A04-03 Tous les comptes génériques ou par défaut ont-ils été supprimés ? 4 2 11.5.2
07A04-04 L'acceptation de l'identifiant par le système est-elle systématiquement sujette à une 2 2 11.5.2
authentification ?
L'authentification systématique requiert que ce processus soit effectivement mis en oeuvre pour
l'ensemble des sous-systèmes (moniteur de télétraitement, SGBD, traitements par lots, etc.) et pour
toutes les demandes d'accès en provenance des applications ainsi que pour toutes les voies et
ports d'accès, y compris depuis des ports réservés tels que la télémaintenance éventuelle.
07A04-05 Y a-t-il une répétition de la procédure d'authentification en cours de session pour les transactions 4
jugées sensibles ?
07A04-06 Y a-t-il une dévalidation automatique de l'identifiant de l'utilisateur, en cas d'absence d'échange 4 11.5.5
après un délai défini, nécessitant une nouvelle identification - authentification ?
07A04-07 Y a-t-il un contrôle systématique du profil du demandeur, de son contexte et de l'adéquation de ce 4 2
profil et du contexte avec l'accès demandé, en fonction de règles de contrôle d'accès formalisées ?
07A04-08 Les paramètres de définition et de gestion des règles de filtrage des accès sont-ils sous contrôle 4 2
strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de
sécurité du filtrage des accès soit très limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir
les modifier, et que les modifications soient journalisées et auditées.

MEHARI 2007-ed2 ! 07 Sys 93 Février 2009


Questionnaire d'audit : Domaine de la sécurité des Systèmes et de leur architecture
N° Question Question Rép. P Max Min ISO 17799 Commentaires
07A04-09 Les processus qui assurent le filtrage des accès sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
filtrage d'accès (y compris des processus visant à détecter les tentatives de modification et les
processus de réaction à ces tentatives de modification).
07A04-10 Procède-t-on à des tests périodiques de pénétration du système informatique et à des audits 2 3
techniques spécialisés approfondis ?
07B Confinement des environnements
07B01 Contrôle des accès aux résidus
07B01-01 A-t-on procédé à une analyse poussée, pour chaque type de système, des fichiers et zones 4
temporaires affectés à des stockages temporaires d'information et des moyens d'accès à ces
fichiers et zones temporaires ?
07B01-02 A-t-on identifié les supports de stockage réaffectés à d'autres usages après avoir contenu des 4
informations sensibles ?
07B01-03 En cours d'exploitation, le système dispose-t-il, notamment, d'un mécanisme de contrôle des 4
privilèges empêchant à un utilisateur d'accéder à des contenus de ressources libérées par un autre
process (zones de mémoire, ressources temporaires, etc.) ?
07B01-04 Les utilitaires permettant d'accéder aux résidus sensibles (fichiers ou zones de stockage 4
temporaires) sont-ils réservés aux seules équipes systèmes et requièrent-ils une authentification
forte avant usage ?
07B01-05 Existe-t-il des procédures d'effacement physique des résidus sensibles (en mémoire centrale ou sur 4
support) ?
07B01-06 Ces procédures sont-elles mises en oeuvre systématiquement et automatiquement par les 4 3
systèmes à chaque libération logique de ressource ?
07B01-07 L'inhibition de ces procédures se traduit-elle par une alerte auprès d'un responsable de 4 3
l'exploitation ?
07B01-08 Existe-t-il une procédure garantissant, en cas de mise au rebut, la non divulgation des informations 4 10.7.2
sensibles jusqu'à la destruction de leur support ?
07B01-09 L'ensemble des procédures et paramètres de sécurité de la protection des accès aux résidus fait-il 4 3
l'objet d'un audit régulier ?
07C Gestion et enregistrement des traces
07C01 Enregistrement des accès aux ressources sensibles
07C01-01 A-t-on procédé a une analyse spécifique des accès à journaliser et des paramètres concernant ces 4 10.10.2
accès à conserver ?
07C01-02 Utilise-t-on un outil ou une application de contrôle permettant de journaliser et d'enregistrer les 4 10.10.2
accès aux ressources sensibles (applications, fichiers applicatifs, bases de données, etc.) ?
07C01-03 Les règles spécifiant les accès à journaliser et enregistrer sont-elles formalisées et ont-elles été 4
approuvées par les propriétaires d'information ou le RSSI ?
07C01-04 Les règles spécifiant les accès à journaliser et enregistrer couvrent-elles les éléments essentiels 2 10.10.1
pour une investigation en cas d'anomalie ?
Ces règles devraient spécifier pour chaque type d'accès (système, SGBD, etc.) les éléments
fondamentaux à enregistrer, par exemple l'identifiant, le service ou l'application demandée, la date
et l'heure, le point d'appel s'il est connu, etc.

MEHARI 2007-ed2 ! 07 Sys 94 Février 2009


Questionnaire d'audit : Domaine de la sécurité des Systèmes et de leur architecture
N° Question Question Rép. P Max Min ISO 17799 Commentaires
07C01-05 Ces règles ont-elles été validées par la Direction Juridique (en particulier pour les enregistrements 2 2 10.10.1
contenant des données à caractère personnel) ?

07C01-06 Existe-t-il un archivage (sur disque, cassette, DON, etc.) de tous ces enregistrements, conservés sur 2 10.10.1;
une longue période et de manière infalsifiable ? 10.10.3
07C01-07 Les paramètres de définition et de gestion des règles d'enregistrement des login et applications 4 2 10.10.3
appelées sont-ils sous contrôle strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de
définition et de gestion des règles d'enregistrement des login et applications appelées soit très
limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications
soient journalisées et auditées.
07C01-08 Les processus qui assurent l'enregistrement des login et applications appelées sont-ils sous contrôle 4 3
strict ?
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus
d'enregistrement (y compris des processus visant à détecter les tentatives de modification et les
processus de réaction à ces tentatives de modification).
07C02 Enregistrement des appels aux procédures privilégiées
07C02-01 A-t-on procédé a une analyse spécifique des appels systèmes privilégiés que l'on souhaite 4 10.10.2
journaliser et des paramètres concernant ces appels à conserver ?
07C02-02 Utilise-t-on un outil ou une application de contrôle permettant de journaliser et d'enregistrer les 4 10.10.2
appels systèmes sensibles (utilitaires sensibles nécessitant des droits privilégiés, accès aux fichiers
de sécurité, administration de paramètres de sécurité, etc.) ?
07C02-03 Les règles spécifiant les appels aux procédures privilégiées à journaliser et enregistrer sont-elles 2
formalisées ?
07C02-04 Les règles spécifiant les appels systèmes sensibles à journaliser et enregistrer couvrent-elles les 2 10.10.1
éléments essentiels pour une investigation en cas d'anomalie ?
Ces règles devraient spécifier pour chaque type d'appel (consultation, création, modification,
destruction, etc.) les éléments fondamentaux à enregistrer, par exemple la nature de l'événement,
l'identifiant, le service système demandé, date et heure, etc.
07C02-05 Ces règles ont-elles été validées par la Direction Juridique (en particulier pour les enregistrements 2 2 10.10.1
contenant des données à caractère personnel) ?
07C02-06 Existe-t-il un archivage (sur disque, cassette, DON, etc.) de tous ces enregistrements, conservés sur 2 10.10.3;
une longue période et de manière infalsifiable ? 10.10.1
07C02-07 Les paramètres de définition et de gestion des règles d'enregistrement des appels aux procédures 4 2 10.10.3
privilégiées sont-ils sous contrôle strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres
d'enregistrement soit très limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir les
07C02-08 modifier, et quequi
Les processus lesassurent
modifications soient journalisées
l'enregistrement et auditées.
des appels systèmes sensibles sont-ils sous contrôle 4 3
strict ?
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus
d'enregistrement (y compris des processus visant à détecter les tentatives de modification et les
processus de réaction à ces tentatives de modification).
07D Sécurité de l'architecture
07D01 Sûreté de fonctionnement des éléments d'architecture

MEHARI 2007-ed2 ! 07 Sys 95 Février 2009


Questionnaire d'audit : Domaine de la sécurité des Systèmes et de leur architecture
N° Question Question Rép. P Max Min ISO 17799 Commentaires
07D01-01 A-t-on analysé la criticité des différents systèmes généraux (hors architecture applicative, mais y 4 2
compris systèmes généraux périphériques tels que systèmes ou robots de sauvegarde, serveurs
d'impression ou équipement central d'impression, etc.) pour mettre en évidence les besoins de
continuité de service ?
Une analyse approfondie suppose que l'on établisse une liste de scénarios de panne ou d'incidents
et qu'on en analyse toutes les conséquences prévisibles.

07D01-02 Cette analyse a-t-elle permis de formaliser les performances minimales à assurer au niveau de 4 2
chaque système et ces performances minimales ont-elles été acceptées par les utilisateurs
(propriétaires d'information) ?
07D01-03 En a-t-on déduit des architectures de redondance (ex. clusters) ou de réplication (ex. disques 4 2
miroirs) appropriées pour les serveurs ou équipements concernés ?
07D01-04 Cette architecture et sa mise en oeuvre en cas d'incident ou de panne garantissent-ils la 4 2
satisfaction des performances minimales ?
Une telle garantie suppose, soit que les systèmes à tolérance de panne soient entièrement
automatiques, soit que les systèmes de détection et les capacités de réaction du personnel à même
de procéder
07D01-05 S'est-on aux dans
assuré, reconfigurations
ce cas, que manuelles aient été
les équipements spécifiés avec
de servitude cet objectif.
(alimentation en énergie, 2
climatisation, etc.) n'introduisaient pas de vulnérabilité supplémentaire ou ne détruisaient pas les
redondances prévues au niveau des équipements ou de l'architecture ?
07D01-06 La mise hors service ou l'inhibition de tout équipement de redondance ou de tout système de 2
détection nécessaire à une intervention manuelle ou à une reconfiguration automatique sont-elles
détectées et déclenchent-elles une alarme auprès d'un responsable de l'exploitation ?
07D01-07 Procède-t-on régulièrement à des tests visant à démontrer la capacité des éléments de sécurité à 2 3
assurer les performances minimales en cas d'incident ou de panne ?
07D02 Isolement des systèmes sensibles
07D02-01 A-t-on analysé la sensibilité des systèmes généraux (en fonction des applications et des données 3 11.6.2
traitées) y compris systèmes généraux périphériques tels que systèmes ou robots de sauvegarde,
serveurs d'impression ou équipement central d'impression, etc.) pour mettre en évidence leurs
exigences de sécurité ?
Une analyse approfondie suppose que l'on établisse une liste de scénarios d'incidents (D, I, C) et
qu'on en analyse toutes les conséquences prévisibles.

07D02-02 Cette analyse a-t-elle permis de formaliser les exigences minimales à assurer au niveau de chaque 3 11.6.2
système et ces exigences minimales ont-elles été acceptées par les utilisateurs (propriétaires
d'information) ?
07D02-03 En a-t-on déduit des mesures d'isolement (physique et logique) appropriées pour les serveurs ou 3 11.6.2
équipements concernés ?
Ces mesures peuvent couvrir la séparation des centres hébergeant des serveurs sensibles d'autres
serveurs et/ou des applications sur différents serveurs

MEHARI 2007-ed2 ! 07 Sys 96 Février 2009


Questionnaire d'audit : Domaine de la Production Informatique
N° Question Question Rép. P Max Min ISO 17799 Commentaires
08A Sécurité des procédures d'exploitation
08A01 Prise en compte de la sécurité dans les relations avec le personnel d'exploitation (salariés et prestataires)
08A01-01 A-t-on rédigé une politique de sécurité spécifique à l'usage du personnel d'exploitation des systèmes 4 9.2.1
d'information ?
Cette politique devrait traiter de la protection de l'information, mais aussi de la protection des biens et procédés et
des comportements interdits.
08A01-02 Fait-on signer au personnel d'exploitation des systèmes d'information employé par l'entreprise (quel que soit le 4
statut, CDI, CDD, intérimaire, stagiaire, etc.) des clauses de respect de la politique de sécurité ?
08A01-03 Ces clauses précisent-elles que le devoir de respect de la politique de sécurité s'applique en général à toute 2 2
information quel qu'en soit le support (papier, magnétique,optique, etc.) ?
08A01-04 Ces clauses précisent-elles que le devoir de respect de la politique de sécurité s'applique sans limitation de durée 4 2
et même après expiration du contrat liant directement ou indirectement le personnel à l'entreprise ?
08A01-05 Ces clauses précisent-elles que le personnel a l'obligation non seulement de ne pas agir, directement ou 4 3
indirectement, au détriment de la sécurité d'une information, mais également de ne pas favoriser une telle action
par d'autres personnes ?
08A01-06 La signature de ces clauses constitue-t-elle un engagement formel du signataire et reconnaît-il explicitement en 4 3
avoir pris connaissance et les accepter ?
08A01-07 Les mêmes clauses sont-elles rendues obligatoires pour les entreprises intervenant dans l'exploitation des 4 2
systèmes, avec obligation faite auxdites entreprises de les faire signer individuellement et dans les mêmes
conditions à son personnel ?
08A01-08 Existe-t-il une formation spécifique au bénéfice du personnel d'exploitation et cette formation est-elle obligatoire ? 2
08A01-09 Les clauses de confidentialité signées par le personnel et les entreprises contractées sont-elles conservées de 2 3
manière sûre (au moins dans une armoire fermée à clé) ?
08A01-10 Y a-t-il un audit régulier, au moins une fois par an, de l'application effective des procédures de signature des 2 3
clauses de confidentialité par le personnel d'exploitation (directement employé par l'entreprise ou par
l'intermédiaire d'une société prestataire) ?
08A02 Contrôle des outils et utilitaires de l'exploitation
08A02-01 A-t-on défini différents profils au niveau de l'exploitation des systèmes (administration et gestion des 4 11.5.4
configurations, administration des équipements de sécurité, monitoring, audit et investigation, etc.) et chaque
personnel de l'exploitation se voit-il attribuer un profil particulier ?
08A02-02 Les outils ou utilitaires sensibles (administration des privilèges, gestion des configurations, sauvegardes, copies, 4 11.5.4
reprises à chaud, etc.) sont-ils recensés de manière exhaustive pour chaque type de profil ?
08A02-03 Les outils ou utilitaires sensibles d'un profil ne sont-ils utilisables que par les titulaires du profil correspondant, 2 2 11.5.4
après authentification individuelle forte (carte à puce, jeton, etc.) ?
08A02-04 Est-il interdit d'ajouter ou de créer des outils ou utilitaires sans autorisation formelle et cette interdiction est-elle 2 2 11.5.4
régulièrement contrôlée par un automatisme avec alerte auprès d'un responsable ?
08A02-05 La limitation des privilèges accordés aux équipes d'exploitation les empêche-t-elle de modifier les outils ou les 4 2 11.5.4
utilitaires de l'exploitation ou, à défaut, existe-t-il un contrôle de toute modification avec alerte auprès d'un
08A02-06 L'attribution des profils d'administration et la mise en oeuvre des mesures de sécurité précédentes font-elles l'objet 2 2
d'un audit régulier ?
08A03 Télépilotage de l'exploitation
08A03-01 La production informatique est-elle pilotable à distance ? 2
08A03-02 Le poste (ou l'installation) de pilotage distant dispose-t-il de tous les outils de pilotage habituellement utilisés (et de 4 3
toutes les licences nécessaires) ?
08A03-03 Ce télépilotage inclut-il la possibilité de traiter en dehors du site normal de production toutes les entrées sorties 4 2
périphériques (éditions, rechargement d'archives, sauvegardes et restaurations, etc.) ?

MEHARI 2007-ed2 ! 08 ProdInf 97 Février 2009


Questionnaire d'audit : Domaine de la Production Informatique
N° Question Question Rép. P Max Min ISO 17799 Commentaires
08A03-04 La gestion des priorités permet-elle au pilotage distant de désactiver ou d'empêcher toute action de pilotage 4 2
depuis l'intérieur ?
08A03-05 La passerelle d'accès permettant au poste de pilotage distant de se connecter sur le réseau est-elle protégée par 4 2
une double protection, logique et physique, de très fort niveau, afin d'éviter qu'une personne interne puisse
l'inhiber ou la mettre hors tension ?
08A03-06 Vérifie-t-on régulièrement, et en fonctionnement réel, la capacité de pilotage à distance depuis le poste prévu ? 4 3
08A03-07 Vérifie-t-on régulièrement, et de manière très poussée (tests d'intrusion par des spécialistes), que le pilotage 4
distant n'ouvre pas la porte à des prises de contrôle non désirées ?
08A04 Contrôle de la mise en production de nouveaux systèmes ou d'évolutions de systèmes existants
Les systèmes englobent les systèmes opératoires, les progiciels applicatifs et les middleware associés)
08A04-01 Les décisions de changements et d'évolutions des équipements et systèmes font-elles l'objet de procédures de 4 10.1.2
contrôle (enregistrement, planning, approbation formelle, communication à l'ensemble des personnes concernées,
etc.) ?
08A04-02 Les décisions de changement s'appuient-elles sur des analyses de la capacité des nouveaux équipements et 1 10.3.1
systèmes à assurer la charge requise en fonction des évolutions des demandes prévisibles ?
08A04-03 Les installations sont-elles faites avec un souci de protection physique (accès protégé, absence de vue directe 1 9.2.1; 12.5.1
externe sur les équipements, absence de menaces physiques diverses, conditions climatiques, protection contre
la foudre, protection contre la poussière, etc.) ?
08A04-04 Les nouvelles fonctionnalités (ou changements de fonctionnalités) liées à un nouveau système ou à une nouvelle 4 2 12.4.1; 12.5.1
version sont-elles systématiquement décrites dans une documentation (obligatoire avant tout passage en
production) ?
08A04-05 Une revue formelle des nouvelles fonctionnalités (ou des changements de fonctionnalités) liées à un nouveau 4 10.3.2
système ou à une nouvelle version et des risques éventuels pouvant naître à cette occasion est-elle
systématiquement réalisée, avec le concours de la fonction sécurité informatique ?
08A04-06 L'exploitation a-t-elle reçu une formation spécifique à l'analyse des risques et a-t-elle l'appui d'un support adapté ? 4
08A04-07 Les mesures de sécurité décidées pour remédier aux nouveaux risques mis en évidence font-elles l'objet de 4 2 10.3.2
contrôles formels avant mise en production ?
08A04-08 Les paramétrages de sécurité et règles de configuration (suppression de tout compte générique, changement de 4 10.3.2
tout mot de passe générique, paramétrages du contrôle des droits et de l'authentification, etc.) font-ils l'objet d'une
liste précise, tenue à jour, et sont-ils contrôlés avant toute mise en production d'une nouvelle version ?

08A04-09 L'impact éventuel des évolutions de systèmes sur les plans de continuité a-t-il été pris en compte ? 2 10.3.2
08A04-10 Les dérogations au processus d'analyse de risque préalable et aux contrôles des paramètres de sécurité font-elles 4 12.4.1
l'objet de procédures strictes avec signature d'un responsable de niveau élevé ?
08A04-11 La mise en production de nouveaux systèmes ou applications n'est-elle possible que par le personnel 2 2 6.1.4
d'exploitation et selon un processus de validation et d'autorisation défini ?
08A04-12 L'ensemble des procédures de contrôle de la mise en production fait-il l'objet d'un audit régulier ? 2 3
08A05 Contrôle des opérations de maintenance
08A05-01 Conserve-t-on une trace de toute opération de maintenance ? 1 9.2.4
08A05-02 Toute opération de maintenance doit-elle être conclue par un contrôle systématique des paramètres de sécurité 4 2
(tels que définis lors de la mise en production) ?
08A05-03 Toute opération de maintenance doit-elle être conclue par un contrôle systématique des paramètres 4 3
d'enregistrement des événements de sécurité (événements à enregistrer, contextes des événements à
enregistrer, durée de rétention, etc.) ?

MEHARI 2007-ed2 ! 08 ProdInf 98 Février 2009


Questionnaire d'audit : Domaine de la Production Informatique
N° Question Question Rép. P Max Min ISO 17799 Commentaires
08A05-04 Toute opération de maintenance doit-elle être conclue par un contrôle systématique des paramètres de contrôle 4 3
de l'administration système (profil nécessaire, type d'authentification, suppression des login standards, etc.) ?
08A05-05 Les contrôles ci-dessus sont-ils obligatoires en toute circonstance et les dérogations éventuelles doivent-elles être 4
signées par un membre de la Direction ?
08A05-06 La mise en oeuvre effective de ces contrôles ainsi que leurs résultats sont-ils enregistrés et ces enregistrements 2 3
font-ils l'objet d'un audit régulier ?
08A06 Prise en compte de la confidentialité lors des opérations de maintenance sur systèmes de production
08A06-01 Existe-t-il une procédure décrivant en détail les opérations à mener, avant appel à la maintenance, pour empêcher 4 9.2.4; 9.2.6
que celle-ci ait accès aux données opérationnelles de production (déconnexion des baies de disque et
cartouches, effacement des données opérationnelles, etc.) ?
08A06-02 Existe-t-il une procédure et une clause contractuelle vis-à-vis du personnel de maintenance (interne et externe), 4 9.2.4; 9.2.6
spécifiant que tout support ayant contenu des informations sensibles doit être détruit en cas de mise au rebut ?
08A06-03 Existe-t-il une procédure de vérification de l'intégrité des systèmes après intervention de la maintenance (absence 2
de logiciel espion, absence de cheval de Troie, etc.) ?
08A06-04 Les procédures ci-dessus sont-elles obligatoires en toute circonstance et les dérogations éventuelles doivent-elles 2 3
être signées par un membre de la Direction ?
08A06-05 Les procédures ci-dessus font-elles l'objet d'un audit régulier ? 2 3
08A07 Contrôle de la télémaintenance
08A07-01 En cas de télémaintenance, y a-t-il une procédure d'authentification forte du centre de télémaintenance ? 4 2 11.4.4
08A07-02 En cas de télémaintenance, y a-t-il une procédure d'authentification forte de l'agent de maintenance ? 4 2 11.4.4
08A07-03 Existe-t-il un ensemble de procédures couvrant l'attribution de droits d'utilisation à un nouvel opérateur, le retrait 2 11.4.4
de droits, l'ouverture de droits pour les situations d'urgence ?
08A07-04 Les procédures et protocoles d'échange de conventions secrètes, de stockage, etc. ont-elles été approuvées par 4
le RSSI ou un organisme spécialisé ?
08A07-05 L'utilisation de la ligne de télémaintenance nécessite-t-elle l'agrément de l'exploitation (après que le constructeur 4 3 11.4.4
ou l'éditeur ait envoyé une demande spécifiant la nature, la date et l'heure de l'intervention) ?
08A07-06 Les échanges de commandes et de données lors de la télémaintenance sont-ils protégés par chiffrement ou par 4 2
un contrôle d'intégrité (scellement) ?
08A07-07 L'utilisation de la ligne de télémaintenance est-elle placée sous contrôle strict ? 4 3
Un contrôle strict suppose un enregistrement de l'utilisation de la ligne, de l'agent de maintenance et des actions
effectuées et un audit, a posteriori, de la pertinence de ces actions et de leur conformité aux attentes des
08A07-08 Les équipements
responsables de laouverts à la télémaintenance sont-ils protégés contre toute inhibition ou modification des
maintenance 2 2
conditions d'accès à la télémaintenance avec émission d'une alarme en cas de violation ?
08A07-09 L'ensemble des procédures de gestion de la télémaintenance fait-il l'objet d'un audit régulier ? 2 3
08A08 Diffusion des états imprimés sensibles
08A08-01 Tous les états sensibles sont-ils imprimés dans des locaux protégés contre des intrusions et contre les risques de 4
détournement d'état en cours d'élaboration ou en attente de diffusion ?
08A08-02 Les procédures de diffusion des états imprimés assurent-elles une protection contre les vols ou les consultations 4
indiscrètes (casiers fermés à clé, conteneurs sécurisés pendant le transport) ?
08A08-03 Les procédures de diffusion des états imprimés prévoient-elles une authentification du destinataire avant remise 4
des états ?
08A08-04 Les états imprimés sont-ils "marqués" anonymement à l'exclusion de toute classification ? 4

MEHARI 2007-ed2 ! 08 ProdInf 99 Février 2009


Questionnaire d'audit : Domaine de la Production Informatique
N° Question Question Rép. P Max Min ISO 17799 Commentaires
08A08-05 Ces mesures de protection sont-elles adaptées à la sensibilité maximale des informations (stockage intermédiaire 4
en armoires fortes et remise en main propre pour les informations très sensibles ) ?
08A08-06 L'ensemble des procédures de diffusion des états imprimés sensibles fait-il l'objet d'un audit régulier ? 2 3
08A09 Gestion des procédures opérationnelles d'exploitation informatique
08A09-01 Les procédures opérationnelles d'exploitation découlent d'une étude de l'ensemble des cas à couvrir par ces 4 10.1.1
procédures (cas normaux de fonctionnement et incidents) ?
08A09-02 Les procédures opérationnelles d'exploitation sont-elles documentées, maintenues à jour et rendues disponibles à 4 10.1.1
toute personne en ayant besoin ?
08A09-03 Les modifications de ces procédures sont-elles approuvées par le management ? 4 10.1.1
08A09-04 Ces procédures sont-elles protégées contre des altérations illicites ? 2
08A09-05 L'authenticité et la pertinence des procédures opérationnelles font-elles l'objet d'un audit régulier ? 2
08A10 Gestion des prestataires de service liés à la production informatique
08A10-01 S'assure-t-on que les services de sécurité mis à charge des prestataires sont effectivement mis en place et 4 10.2.1
maintenus par lesdits prestataires ?
08A10-02 S'assure-t-on que les prestataires ont effectivement prévus les dispositions nécessaires pour être à même 2 10.2.1
d'assurer les prestations convenues ?
08A10-03 Le respect des clauses de sécurité, par les prestataires, est-il sous contrôle et fait-il l'objet de revues régulières ? 4 10.2.2
08A10-04 S'assure-t-on que les prestataires signalent et documentent tout incident de sécurité touchant l'information ou les 2 10.2.2
systèmes et y a-t-il une revue régulière de ces incidents ou des dysfonctionnements avec les prestataires
concernés?
08A10-05 Tout changement dans les relations contractuelles et les niveaux de service fait-il l'objet d'une analyse de son 2 10.2.3
impact sur l'activité et des risques potentiels ?
08B Contrôle des configurations matérielles et logicielles
08B01 Paramétrage des systèmes et contrôle de la conformité des configurations systèmes
08B01-01 Existe-t-il un document (ou un ensemble de documents) et une procédure opérationnelle décrivant l'ensemble des 4 2
versions de systèmes, des paramètres de sécurité des systèmes découlant de la politique de sécurité et de
l'architecture de sécurité retenue ?
08B01-02 Ce (ou ces) document impose-t-il de supprimer l'ensemble des comptes génériques ou par défaut et en établit-il la 4 2 11.4.4
liste ?
08B01-03 Les versions de systèmes et les correctifs à apporter, ainsi que les paramétrages, sont-ils régulièrement mis à jour 2 3 10.7.4; 12.6.1
en fonction de l'état des connaissances, en relation avec un organisme expert (audits spécialisés, abonnement à
un centre de service, consultation régulière des avis des CERTs, etc.) ?
08B01-04 Cette procédure impose-t-elle la mise en place d'un dispositif de synchronisation avec un référentiel de temps 4 10.10.6
précis ?
08B01-05 Les documents de référence sont-ils protégés contre tout accès indu ou illicite, par des mécanismes forts ? 2 3 10.7.4
08B01-06 L'intégrité des configurations systèmes par rapport aux configurations théoriquement attendues est-elle testée à 4 2 15.2.2
chaque initialisation des systèmes et/ou très régulièrement (hebdomadairement) ?
08B01-07 Procède-t-on à des audits réguliers des versions de systèmes et des paramètres de sécurité, référencés d'une 2 15.2.2
part et effectivement installés d'autre part, ainsi que des procédures d'exception et d'escalade en cas de difficulté
ou de problème d'installation ?
08B01-08 Les systèmes de développement et de test sont-ils séparés des systèmes opérationnels ? 1
08B02 Contrôle de la conformité des configurations applicatives (logiciels et progiciels)
08B02-01 Existe-t-il un document (ou un ensemble de documents) et une procédure opérationnelle décrivant l'ensemble des 4 2
versions des logiciels et progiciels applicatifs, des paramètres de sécurité des applications et de l'architecture de
sécurité applicative retenue ?

MEHARI 2007-ed2 ! 08 ProdInf 100 Février 2009


Questionnaire d'audit : Domaine de la Production Informatique
N° Question Question Rép. P Max Min ISO 17799 Commentaires
08B02-02 Ce (ou ces) document impose-t-il de supprimer l'ensemble des comptes génériques ou par défaut et en établit-il la 4 2
liste ?
08B02-03 Ces versions ainsi que les paramétrages sont-ils régulièrement mis à jour en fonction de l'état des connaissances, 4 2 12.6.1
en relation avec un organisme expert (audits spécialisés, abonnement à un centre de service, consultation
régulière des avis des CERTs, etc.) ?
08B02-04 Ces documents de référence sont-ils protégés contre tout accès indu ou illicite, par des mécanismes forts ? 4 2
08B02-05 L'intégrité des configurations applicatives par rapport aux configurations théoriquement attendues est-elle testée 4 2 10.7.4; 15.2.2
très régulièrement (hebdomadairement) ?
08B02-06 Procède-t-on à de audits réguliers des versions applicatives et des paramètres de sécurité, référencés d'une part 2 15.2.2
et effectivement installés d'autre part, ainsi que des procédures d'exception et d'escalade en cas de difficulté ?
08B03 Contrôle de la conformité des programmes de référence (Sources et exécutables)
08B03-01 La production informatique gère-t-elle une version de référence pour chaque produit mis en exploitation (source et 2 12.4.1
exécutable) ?
08B03-02 Cette version de référence est-elle protégée contre toute altération ou modification illicite (support signé conservé 2
par un responsable de haut rang, scellement électronique, etc.) ?
08B03-03 Cette protection est-elle considérée comme inviolable (scellement par un algorithme cryptographique approuvé 4
par le RSSI) ?
08B03-04 Y a-t-il un contrôle automatique du sceau de protection (ou à défaut d'une signature déposée) à chaque nouvelle 4
installation ?
08B03-05 Effectue-t-on un contrôle d'authenticité de l'origine et d'intégrité du contenu lors de la réception sur support d'un 4
module "maintenance" ou d'une nouvelle version du fournisseur de progiciel ou du constructeur (pour les
systèmes opératoires) ?
08B03-06 Les utilitaires de scellement sont-ils protégés contre tout usage non autorisé ? 4
08B03-07 L'inhibition du système de contrôle automatique des sceaux de protection déclenche-t-elle une alarme auprès d'un 4
responsable ?
08B03-08 Procède-t-on régulièrement à des audits des procédures de protection des programmes de référence ? 4
08B04 Contrôle de la conformité des configurations utilisateurs
08B04-01 A-t-on établi une liste des logiciels et des matériels additionnels autorisés sur les postes de travail des utilisateurs 4
(avec les versions de référence autorisées et éventuellement les options de paramétrage) ?
08B04-02 Cette liste est-elle protégée contre toute modification illicite par un processus de scellement de grande 2
robustesse ?
08B04-03 Les droits accordés aux utilisateurs leur interdisent-ils de modifier par eux-mêmes les configurations systèmes 4
(ajouts de matériels ou de logiciels) ?
08B04-04 Contrôle-t-on régulièrement la conformité des configurations matérielles et logicielles des postes de travail des 4 2
utilisateurs par rapport à la liste des options autorisées ?
08B04-05 L'inhibition du processus de contrôle déclenche-t-elle une alarme auprès d'un responsable ? 4 3
08B04-06 Contrôle-t-on également que les utilisateurs ne possèdent pas les droits d'administration nécessaires à 2 3
l'installation de nouveaux matériels ou logiciels ?
08B04-07 Les processus de contrôle font-ils eux-mêmes l'objet d'un audit régulier ? 4
08B05 Contrôle des licences des logiciels et progiciels
08B05-01 La politique de sécurité précise-t-elle qu'il est strictement interdit d'installer sur son poste ou de conserver tout 4 15.1.2
logiciel non officiellement acquis et non accompagné d'une licence en règle ?
08B05-02 Tient-on à jour en permanence une liste des logiciels officiellement installés et déclarés sur chaque poste de 2 15.1.2
travail ?
08B05-03 Procède-t-on à des contrôles fréquents visant à vérifier que les logiciels installés sont conformes aux logiciels 4 2 15.1.2
déclarés ou qu'ils possèdent une licence en règle ?

MEHARI 2007-ed2 ! 08 ProdInf 101 Février 2009


Questionnaire d'audit : Domaine de la Production Informatique
N° Question Question Rép. P Max Min ISO 17799 Commentaires
08B05-04 Ces contrôles visent-ils l'intégralité du parc ? 2 3
08B05-05 Ces contrôles font-ils l'objet d'un audit régulier ? 2 3
08C Gestion des supports informatiques de données et programmes
08C01 Administration des supports
08C01-01 Toute sortie de support de la médiathèque est-elle contrôlée par une personne ou un service spécialement chargé 4 10.7.1
de la gestion des supports ?
08C01-02 La sortie des supports de la médiathèque est-elle systématiquement enregistrée (date et heure, personne 4 10.7.1
responsable du média, etc.) ?
08C01-03 La mise au rebut des supports est-elle systématiquement enregistrée (date et heure, personne responsable du 4 10.7.1; 10.7.2
média, etc.) ?
08C01-04 Existe-t-il une procédure d'effacement des données inutiles avant sortie ou mise au rebut des supports ? 1 C 10.7.1; 9.2.6
08C01-05 La restitution des supports après utilisation par la production est-elle contrôlée par cette personne ou ce service ? 4
08C01-06 Les manquants éventuels font-ils systématiquement l'objet d'une procédure de recherche avec établissement d'un 4
tableau de suivi faisant partie du tableau de bord de l'exploitation ?
08C01-07 Les entrées/sorties de supports de la "médiathèque" sont-elles contrôlées (automatiquement ou indirectement) par 4
rapport à la planification de la production ?
08C01-08 Les fichiers supports de la gestion des supports sont-ils sous contrôle strict ? 4 2
Un contrôle strict requiert que la liste des personnes habilitées à accéder aux fichiers soit très limitée, qu'il existe
un contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.
08C01-09 Les processus qui assurent la gestion des supports sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel applicatif éventuellement utilisé ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de gestion des
supports (y compris de la gestion des anomalies détectées lors de la gestion des supports).
Cela suppose également qu'il existe un document rappelant l'ensemble des exigences concernant la gestion des
supports.

08C02 Marquage des supports de production (vivants, sauvegardes et archives)


08C02-01 Les supports magnétiques sont-ils "marqués" anonymement à l'exclusion de toute classification ? 4
08C02-02 Les fichiers supports du marquage anonyme des supports (fichiers faisant le lien entre un numéro de support et 4 2
un contenu) sont-ils sous contrôle strict ?
Un contrôle strict requiert que la liste des personnes habilitées à accéder aux fichiers soit très limitée, qu'il existe
un contrôle d'accès renforcé pour pouvoir y accéder et les modifier, et que les modifications soient journalisées et
auditées.

08C02-03 Les processus qui assurent la gestion du marquage des supports sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel applicatif éventuellement utilisé ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de gestion du
marquage des supports (y compris de la gestion des anomalies détectées).
Cela suppose également qu'il existe un document rappelant l'ensemble des exigences concernant le marquage
des supports.

08C03 Sécurité physique des supports stockés sur site

MEHARI 2007-ed2 ! 08 ProdInf 102 Février 2009


Questionnaire d'audit : Domaine de la Production Informatique
N° Question Question Rép. P Max Min ISO 17799 Commentaires
08C03-01 Utilise-t-on un système automatique de contrôle d'accès systématique aux locaux de stockage des supports de 4
production sur site ?
08C03-02 L'authentification fait-elle appel à des moyens infalsifiables détenus par l'utilisateur (carte à puce ou 4 3
reconnaissance biométrique, par exemple) ?
08C03-03 Le système de contrôle d'accès garantit-il un contrôle exhaustif de toute personne entrant dans les locaux (sas ne 4 3
permettant le passage que d'une personne à la fois, processus interdisant l'utilisation du même badge par
plusieurs personnes, etc.) ?
08C03-04 Assure-t-on, en complément du contrôle d'accès par les issues normales, le contrôle des accès par les autres 4 3
issues : contrôle des fenêtres accessibles depuis l'extérieur, contrôle des issues de secours, contrôle des accès
potentiels par les faux planchers et faux plafonds ?
08C03-05 Les systèmes automatiques de contrôle d'accès aux locaux de stockage sont-ils placés sous contrôle permanent 2 2
opérationnel 24h/24 permettant de diagnostiquer une panne, une désactivation ou l'utilisation d'issues de secours
en temps réel ?
08C03-06 Existe-t-il un processus d'audit permettant de détecter, a posteriori, des anomalies dans les processus de contrôle 2 3
d'accès (audit des procédures et du paramétrage des systèmes de contrôle d'accès, audit des procédures
d'exception et d'intervention, etc.) ?
08C03-07 A-t-on un système opérationnel de détection des intrusions dans les locaux de stockage relié à un poste 4 2
permanent de surveillance ?
08C03-08 Les locaux de stockage des supports de production sur site sont-ils placés sous une surveillance permanente 4
(télésurveillance du local lui-même) ?
08C03-09 Le transfert entre les locaux de la production et les locaux de stockage des supports sur site est-il strictement 2
contrôlé (procédures spécifiques, accompagnement ou container sécurisé, etc.) ?
08C03-10 Les locaux de stockage des supports de production sont-ils protégés contre tout risque accidentel (détection et 4
extinction incendie, protection contre les dégâts des eaux, etc.) ?
08C03-11 Les locaux de stockage des supports de production sont-ils surveillés et régulés en température et hygrométrie, 4 10.7.1
en accord avec les spécifications des fournisseurs ?
08C03-12 Les systèmes automatiques de détection d'incendie, de dégâts des eaux ou de régulation d'ambiance sont-ils 2 2
placés sous contrôle permanent opérationnel 24h/24 permettant de diagnostiquer une panne, une désactivation
ou une alarme en temps réel ?
08C03-13 Y a-t-il une procédure ou des automatismes permettant de déclencher l'intervention immédiate d'un personnel 2 2
spécialisé en cas d'alarme (du système de contrôle d'accès automatique ou d'une détection d'incident) ?

08C04 Sécurité physique des supports externalisés (stockés sur un site externe)
08C04-01 Utilise-t-on une société spécialisée dans le stockage des supports d'archives ou de sauvegardes externalisées 4
offrant des garanties contractuelles de sécurité ?
08C04-02 Les clauses contractuelles signées avec la société assurant la prestation de stockage externalisé assurent-elles 4
un haut niveau de sécurité du stockage (authentification forte pour les accès, contrôle des issues annexes et de
secours, détection d'intrusion, télésurveillance, protection contre les risques naturels, équipe d'intervention, etc.) ?
08C04-03 Lors du transfert de données sensibles sur support informatique pour stockage externe, existe-t-il une procédure 4 10.8.3
imposant des conteneurs haute sécurité et des convoyeurs accrédités par l'entreprise ?
08C04-04 Les clauses contractuelles ou une procédure annexe précisent-elles les conditions de rappel ou de restitution des 4
supports stockés garantissant que la personne à laquelle sont restitués les supports en a bien l'autorisation, ceci
même en cas de procédure d'urgence ?
08C04-05 Procède-t-on périodiquement à un audit des mesures de sécurité employées par la société assurant le stockage 2 3
externe des archives et sauvegardes ainsi que des procédures de gestion des supports (transport et restitution) ?
08C04-06 Procède-t-on périodiquement à un audit des clauses contractuelles régissant les rapports avec la société assurant 2 3
le stockage externe des archives et sauvegardes ?

MEHARI 2007-ed2 ! 08 ProdInf 103 Février 2009


Questionnaire d'audit : Domaine de la Production Informatique
N° Question Question Rép. P Max Min ISO 17799 Commentaires
08C05 Vérification et rotation des supports d'archivage
08C05-01 Les supports informatiques devant avoir une durée de conservation longue (archives) sont-ils vérifiés 4
régulièrement (en fonction de la périodicité de mise à jour et de la classification des informations), recopiés sur
des supports neufs périodiquement avec tenue à jour d'un inventaire, ou avec redondance des supports ?
08C05-02 Vérifie-t-on régulièrement la compatibilité technique des supports archivés avec les moyens de restitution 2
opérationnels ?
08C05-03 Procède-t-on périodiquement à des tests de relecture des supports d'archivage ? 4
08C05-04 Les tests de relecture comprennent-ils des tests d'authenticité des informations stockées ? 4
08C05-05 Les fichiers supports de la gestion des rotations et prélèvements sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que la liste des personnes habilitées à accéder aux fichiers soit très limitée, qu'il existe
un contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.
08C05-06 L'ensemble des procédures concernant la vérification des supports d'archivage fait-il l'objet d'un audit régulier ? 2 3
08C06 Sécurité des réseaux de stockage (SAN : Storage Area Network)
08C06-01 Les réseaux de stockage sont-ils isolés, physiquement ou logiquement) des autres réseaux de données ? 4
08C06-02 Les réseaux de stockage sont-ils protégés par un pare-feu ne laissant passer que les flux de stockage et les flux 4 2
d'administration ?
08C06-03 L'accès aux baies de stockage fait-il l'objet d'une authentification forte des éléments autorisés (serveurs et stations 4 3
d'administration) ?
08C06-04 Les protocoles de stockage de données comportent-ils une protection contre le rejeu ? 2
08C06-05 Les données stockées via les réseaux de stockage sont-elles chiffrées avant transmission sur ces réseaux ? 4 3 12.3.1
08C06-06 Les solutions de protection des accès aux données stockées sur les réseaux de stockage offrent-elles des 2 2
garanties de solidité dignes de confiance et ont-elles été approuvées par le RSSI ?
Un processus cryptographique avec une longueur de clés suffisante pour l'authentification forte ou le chiffrement
des données est un des paramètres à prendre en compte, mais bien d'autres paramètres également. La
recommandation d'un organisme officiel, tel que la DCSSI en France, peut être un facteur de confiance.

08C06-07 Les mécanismes de sécurité des accès aux données sont-ils très solidement protégés contre toute violation ou 4 3
altération ?
08C06-08 La mise hors service ou le by-pass des dispositifs de sécurité sont-ils immédiatement détectés et signalés à une 4 2
équipe permanente ou d'astreinte capable d'engendrer une réaction immédiate ?
08C06-09 Existe-t-il une procédure précisant la conduite à tenir en cas d'erreur ou d'alerte ? 3
08C07 Sécurité physique des media en transit
08C07-01 Les transferts de media entre sites (internes ou externes) sont-ils strictement contrôlés (procédures spécifiques, 2 10.8.3
accompagnement ou container sécurisé, etc.) ?
08C07-02 Toute anomalie ou perte de media est-elle immédiatement signalée et suivie d'une enquête ? 2 10.8.3
08C07-03 Les procédures de transfert de media sont-elles régulièrement auditées ? 2 3
08D Continuité de fonctionnement
08D01 Organisation de la maintenance du matériel
08D01-01 Tous les matériels sont-ils couverts par un contrat de maintenance ? 2 9.2.4
08D01-02 Existe-t-il des contrats de maintenance particuliers pour tous les matériels demandant une forte disponibilité dont 4
la réparation ou le remplacement ne pourrait s'effectuer dans des délais acceptables ?

MEHARI 2007-ed2 ! 08 ProdInf 104 Février 2009


Questionnaire d'audit : Domaine de la Production Informatique
N° Question Question Rép. P Max Min ISO 17799 Commentaires
08D01-03 Ces contrats prévoient-ils des engagements d'intervention dont la durée maximale est fixée au contrat et 4 2
compatible avec les impératifs de disponibilité ?
08D01-04 Ces contrats prévoient-ils des horaires et jours d'intervention (24h/24, 7j/7, par exemple ) compatibles avec les 4 2
impératifs de disponibilité ?
08D01-05 Ces contrats prévoient-ils les conditions d'escalade en cas de difficulté d'intervention et les possibilités et 4 3
conditions d'appel aux meilleurs spécialistes ?

08D01-06 Ces contrats prévoient-ils des clauses spécifiques lorsque l'indisponibilité du matériel dépasse la durée fixée au 4 3
contrat (pénalités, remplacement du matériel, etc.) et ce quelles qu'en soient les raisons (difficulté technique,
grève du personnel, etc.) ?
08D01-07 Les contrats de maintenance prévoient-ils le remplacement complet des équipements en cas d'endommagement 4
important non susceptible d'être pris en charge par une maintenance curative ?
08D01-08 Les contrats de maintenance, le choix des prestataires et les procédures de maintenance associées font-ils l'objet 2 3
d'un audit régulier ?
08D02 Organisation de la maintenance du logiciel (système, middleware et progiciel applicatif)
08D02-01 Existe-t-il des contrats de maintenance pour tous les produits logiciels provenant de sources externes installés 2
(logiciels systèmes, middleware, progiciels applicatifs)?
08D02-02 Les fournisseurs disposent-ils d'un centre technique de support logiciel garantissant une assistance téléphonique 2
rapide et compétente ?
08D02-03 Les contrats de maintenance logiciel prévoient-ils la mise à disposition périodique de nouvelles versions prenant 1
en compte toutes les corrections apportées au produit ?
08D02-04 Existe-t-il des contrats de maintenance particuliers pour tous les logiciels (systèmes, middleware et progiciels) 4
demandant une forte disponibilité et dont la maintenance courante ne pourrait s'effectuer dans des délais
acceptables ?
08D02-05 Ces contrats prévoient-ils des engagements d'intervention dont la durée maximale est fixée au contrat et 4 2
compatible avec les impératifs de disponibilité ?
08D02-06 Ces contrats prévoient-ils des horaires et jours d'intervention (24h/24, 7j/7, par exemple ) compatibles avec les 4 2
impératifs de disponibilité ?
08D02-07 Ces contrats prévoient-ils les conditions d'escalade en cas de difficulté d'intervention et les possibilités et 4 3
conditions d'appel aux meilleurs spécialistes ?
08D02-08 Ces contrats prévoient-ils des clauses spécifiques lorsque l'indisponibilité du système dépasse la durée fixée au 4 2
contrat (pénalités) et ce quelles qu'en soient les raisons (difficulté technique, grève du personnel, etc.)?
08D02-09 Les contrats de maintenance, le choix des prestataires et les procédures de maintenance associées font-ils l'objet 2 3
d'un audit régulier ?
08D03 Procédures et plans de reprise des applications sur incidents
08D03-01 A-t-on établi, pour chaque application, une liste des incidents pouvant intervenir en cours d'exploitation et a-t-on 4
analysé, pour chacun d'eux, les conséquences possibles sur la cohérence des données et sur la continuité des
services offerts ?
08D03-02 A-t-on établi, pour chaque incident, les moyens de diagnostic correspondants ? 4
08D03-03 A-t-on établi, pour chaque incident, la solution à mettre en oeuvre pour restaurer la cohérence des données et les 4
conditions de poursuite du service ainsi que les opérations à mener par le personnel d'exploitation (et les outils
éventuellement nécessaires pour cela) ?
08D03-04 A-t-on défini, pour chaque incident d'exploitation, un délai de résolution et une procédure d'escalade en cas 2
d'insuccès ou de retard des mesures prévues ?
08D03-05 Les moyens de diagnostic nécessaires à l'intervention du personnel d'exploitation sont-ils protégés contre toute 2 3
inhibition ou altération non justifiées ?

MEHARI 2007-ed2 ! 08 ProdInf 105 Février 2009


Questionnaire d'audit : Domaine de la Production Informatique
N° Question Question Rép. P Max Min ISO 17799 Commentaires
08D03-06 Les moyens de reconfiguration et de restauration du service et des données nécessaires à l'intervention du 2 3
personnel d'exploitation sont-ils protégés contre toute inhibition ou altération non justifiées ?
08D03-07 S'assure-t-on régulièrement de l'efficacité réelle des procédures et des moyens de surveillance et de diagnostic du 2
fonctionnement des applications et de la mise à jour de la documentation correspondante ?
08D03-08 S'assure-t-on régulièrement des possibilités réelles de restauration des données et de reprise du service en cas 2 3
d'incident ?
08D03-09 Pour la récupération des données chiffrées, la gestion des clés prévoit-elle la récupération des clés perdues ou 2 12.3.2
altérées ?
08D04 Sauvegarde des logiciels de base et applicatifs
08D04-01 A-t-on établi un plan de sauvegarde, couvrant l'ensemble des programmes et définissant les objets à sauvegarder 4 10.5.1
et la fréquence des sauvegardes ?
08D04-02 Ce plan couvre-t-il également les paramètres de configuration des systèmes et du middleware ? 4 2 10.5.1
08D04-03 Ce plan couvre-t-il également les paramètres de configuration des applications ? 4 2 10.5.1
08D04-04 Ce plan de sauvegarde est-il traduit en automatismes de production ? 2 3 10.5.1
08D04-05 Teste-t-on régulièrement que les sauvegardes des programmes (sources et/ou exécutables), de leur 4 2 10.5.1; 14.1.5
documentation et de leur paramétrage permettent effectivement de reconstituer à tout moment l'environnement de
08D04-06 Les automatismes de production assurant les sauvegardes sont-ils protégés par des mécanismes de haute 4 3 10.5.1
sécurité contre toute modification illicite ou indue ?
Un tel mécanisme pourrait être un scellement électronique ou tout système de détection de modification
équivalent.
08D04-07 Procède-t-on régulièrement à des tests de relecture des sauvegardes ? 2 3 10.5.1
08D04-08 L'ensemble des procédures et plans de sauvegarde des logiciels fait-il l'objet d'un audit régulier ? 2 3
08D05 Sauvegarde des données applicatives
08D05-01 A-t-on procédé, avec les utilisateurs, à une étude préliminaire afin d'identifier les scénarios que les sauvegardes 1 10.5.1
doivent permettre de surmonter ?
08D05-02 A-t-on fait une étude avec l'ensemble des utilisateurs afin de définir pour chaque fichier la durée maximale 2 10.5.1
admissible entre deux sauvegardes et le cycle de sauvegarde minimum compatible avec la capacité de
reconstitution des informations perdues ?
08D05-03 A-t-on étudié les synchronismes nécessaires entre différentes sauvegardes, toutes plates-formes confondues, 2 10.5.1
pour assurer le bon fonctionnement de la reprise des applications et la cohérence des données nécessaire à cette
reprise ?
08D05-04 Les différentes procédures issues des études faites sont-elles consignées dans un plan de sauvegardes 4 2 10.5.1
comprenant, pour chaque classe de fichiers, la fréquence, les modalités de constitution et les synchronismes
nécessaires ?
08D05-05 Le plan de sauvegarde comprend-il un plan de contrôle indiquant les différents contrôles à effectuer et leur 4 2 10.5.1
fréquence (volumétrie, durée, relecture, etc.) ainsi que la conduite à tenir en cas d'incident ou d'anomalie ?
08D05-06 Le plan de sauvegarde est-il remis à jour à chaque changement de contexte d'exploitation et particulièrement à 2 10.5.1
chaque création ou modification d'applications ?
08D05-07 Ce plan de sauvegarde est-il traduit en automatismes de production ? 2 2 10.5.1
08D05-08 Contrôle-t-on régulièrement qu'une reprise ou un redémarrage est effectivement possible à partir des sauvegardes 4 2 10.5.1; 14.1.5
réalisées (test complet vérifiant le fonctionnement d'ensemble et l'absence de problème de synchronisme ou de
cohérence) ?

MEHARI 2007-ed2 ! 08 ProdInf 106 Février 2009


Questionnaire d'audit : Domaine de la Production Informatique
N° Question Question Rép. P Max Min ISO 17799 Commentaires
08D05-09 Les automatismes de production assurant les sauvegardes sont-ils strictement contrôlés vis-à-vis de toute 4 3 10.5.1
modification illicite ou indue ?
Un contrôle strict requiert une protection renforcée pour pouvoir modifier ces automatismes et un enregistrement
et un audit de toute modification des automatismes de sauvegarde ou un contrôle par scellement électronique de
toute modification.

08D05-10 Les procédures de sauvegarde et de conservation des données offrent-elles des garanties de conformité aux 1 10.5.1
régulations et aux engagements de l'organisation en ce qui concerne la confidentialité et l'intégrité ?
08D05-11 Procède-t-on régulièrement à des tests de relecture des sauvegardes des données applicatives ? 2 3 10.5.1
08D05-12 Dispose-t-on systématiquement de plusieurs générations de fichiers afin de pouvoir s'affranchir d'un manque ou 4 10.5.1
d'un illisible, en organisant par exemple une rotation des supports de sauvegarde ?
08D05-13 L'ensemble des procédures et plans de sauvegarde de données fait-il l'objet d'un audit régulier ? 2 3
08D06 Plans de Reprise d'Activité
08D06-01 A-t-on identifié précisément les scénarios de sinistre pouvant affecter l'infrastructure et les services informatiques, 4 14.1.3
établi des plans de secours correspondants et analysé, pour chaque scénario, ses conséquences en termes de
services non rendus aux utilisateurs ?
08D06-02 A-t-on défini, pour chaque scénario et en accord avec les utilisateurs, un échéancier des services minimum à 4 2 14.1.3
assurer en fonction du temps ?
Les pertes d'information, les moyens de les reconstituer et les procédures opérationnelles intérimaires doivent être
considérées.

08D06-03 A-t-on défini et mis en place, en conséquence et pour faire face à chaque scénario retenu, une solution de 4 2 14.1.3
secours respectant les demandes des utilisateurs ?
08D06-04 Les ressources organisationnelles, techniques et humaines sont-elles suffisantes et éduquées afin d'adresser les 4 14.1.3
exigences pour l'organisation ?
Il faudra veiller à introduire des moyens permettant de pallier à des défaillances en personnel et à former tous les
acteurs concernés.

08D06-05 Les solutions de continuité des services informatiques sont-elles décrites en détail dans des Plans de Reprise 4 14.1.3
d'Activité incluant les règles de déclenchement, les actions à mener, les priorités, les acteurs à mobiliser et leurs
coordonnées ?
08D06-06 Ces plans sont-ils testés au moins une fois par an ? 4 2 14.1.5
08D06-07 Les tests effectués permettent-ils de garantir la capacité des personnels et des systèmes de secours à assurer, en 4 3 14.1.5
pleine charge opérationnelle, les services minimum demandés par les utilisateurs ?
Les tests requis pour obtenir cette garantie reposent généralement sur des essais en vraie grandeur impliquant
l'ensemble des utilisateurs et pour chaque variante de scénario. Les résultats des tests doivent être consignés et
analysés afin d'améliorer les capacités de l'organisation à répondre aux situations envisagées.

08D06-08 Si les solutions de secours incluent des livraisons de matériels, qui ne peuvent être déclenchées lors des tests, 4 2
existe-t-il un contrat d'engagement de livraison des matériels de remplacement dans des délais fixés et prévus au
plan de secours, par le constructeur ou un tiers (leaser, broker, autres) ?
08D06-09 Le cas de défaillance ou d'indisponibilité du moyen de secours est-il prévu une solution de remplacement (back-up 2 3
de deuxième niveau) et cette solution a-t-elle été testée ?
08D06-10 La solution de secours est-elle utilisable pour une durée illimitée ou, à défaut, est-il prévu une deuxième solution 2 3
venant en remplacement de la première après un temps déterminé ?
08D06-11 L'existence, la pertinence et la mise à jour des plans de reprise d'activité font-elles l'objet d'un audit régulier ? 2 3

MEHARI 2007-ed2 ! 08 ProdInf 107 Février 2009


Questionnaire d'audit : Domaine de la Production Informatique
N° Question Question Rép. P Max Min ISO 17799 Commentaires
08D06-12 La mise à jour des procédures citées dans le plan de secours font-elles l'objet d'un audit régulier ? 2 3
08D07 Protection antivirale des serveurs de production
08D07-01 A-t-on défini les actions à mener par le personnel informatique, pour prévenir, détecter et corriger les attaques par 2 3 10.4.1
des codes malveillants ?
08D07-02 Les serveurs de production (incluant la bureautique et la messagerie) sont ils pourvus de dispositifs de protection 4 10.4.1
contre les virus et contre les codes malveillants ?
08D07-03 Utilise-t-on, sur les serveurs de production, des anti-virus provenant de plusieurs fournisseurs ? 4
08D07-04 Les produits anti-virus sont-ils régulièrement (quotidiennement) et automatiquement mis à jour ? 4 2
08D07-05 Est-on abonné à une centrale d'alerte permettant d'être prévenu et d'anticiper certaines attaques massives pour 4 3
lesquelles les anti-virus ne sont pas encore à jour ?
08D07-06 Existe-t-il une cellule de crise pouvant être mise en place très rapidement en cas d'alerte ou de détection 4 3
d'infection ?
08D07-07 L'activation et la mise à jour des anti-virus sur les serveurs font-elles l'objet d'un audit régulier ? 2 3
08D08 Gestion des systèmes critiques (vis-à-vis de la permanence de la maintenance)
08D08-01 A-t-on analysé les conséquences de la disparition d'un fournisseur de matériel ou de logiciel de base (en cas de 2
panne, de bug ou de nécessité d'évolution) et en a-t-on déduit une liste de systèmes critiques ?
08D08-02 Existe-t-il, pour l'ensemble des systèmes critiques, une solution palliative étudiée pour faire face à la disparition ou 2
la défaillance du fournisseur (dépôt de la documentation de maintenance ou du code source chez un tiers de
confiance, remplacement du système par des systèmes standards, etc.) ?
08D08-03 A-t-on l'assurance que cette solution palliative pourra être rendue opérationnelle dans des délais compatibles avec 2 2
la poursuite de l'activité et acceptés par les utilisateurs ?
08D08-04 A-t-on prévu des variantes de la solution de base au cas où celle-ci rencontrerait des difficultés imprévues ? 2 3
08D08-05 Procède-t-on régulièrement à une revue des systèmes pouvant être critiques et des solutions palliatives prévues ? 2 3
08D09 Sauvegardes de recours externalisées
08D09-01 L'ensemble des sauvegardes de logiciels et fichiers de configuration permettant de reconstituer l'environnement 4 3
de production est-il également sauvegardé en dehors du site de production (sauvegardes de recours) ?
08D09-02 L'ensemble des sauvegardes de données est-il également stocké en dehors du site de production (sauvegardes 4 2
de recours) ?
08D09-03 Procède-t-on régulièrement à des tests de relecture des sauvegardes de recours ? 2 3
08E Gestion et traitement des incidents
08E01 Détection et traitement (en temps réel) des anomalies et incidents
08E01-01 A-t-on analysé les événements ou successions d'événements pouvant être révélateurs de comportements 4
anormaux ou d'actions illicites et a-t-on mis en place des points ou indicateurs de surveillance en conséquence ?
08E01-02 Le système dispose-t-il d'une fonction automatique de surveillance en temps réel en cas d'accumulation 4
d'événements anormaux (par exemple tentatives infructueuses de connexion sur stations voisines ou sur des
transactions sensibles) ?
08E01-03 Existe-t-il une application capable d'analyser les diagnostics individuels d'anomalie et de déclencher une alerte à 4
destination du personnel d'exploitation ?
08E01-04 Existe-t-il, parmi le personnel d'exploitation, une équipe permanente ou sous astreinte permanente capable de 4 2
réagir en cas d'alerte de la détection d'anomalie ?
08E01-05 A-t-on défini, pour chaque cas d'alerte, la réaction attendue de l'équipe d'intervention et sa disponibilité est-elle 4
suffisante pour faire face à cette attente ?

MEHARI 2007-ed2 ! 08 ProdInf 108 Février 2009


Questionnaire d'audit : Domaine de la Production Informatique
N° Question Question Rép. P Max Min ISO 17799 Commentaires
08E01-06 Les paramètres définissant les alarmes sont-ils strictement protégés (droits limités et authentification forte) contre 4 3
tout changement illicite ?
08E01-07 Toute inhibition du système d'alerte déclenche-t-elle une alarme auprès de l'équipe de surveillance ? 4 3
08E01-08 Existe-t-il un archivage (sur disque, cassette, DON, etc.) de tous les éléments ayant permis de détecter une 2
anomalie ou un incident ?
08E01-09 Les procédures de détection d'anomalies et la disponibilité de l'équipe de surveillance font-elles l'objet d'un audit 2 3
régulier ?
08E02 Surveillance, en temps différé, des traces, logs et journaux
08E02-01 A-t-on fait une analyse approfondie des événements ou successions d'événements pouvant avoir un impact sur la 2
sécurité (connexions refusées, reconfigurations, évolutions de performances, accès à des informations ou des
outils sensibles, etc.) ?
08E02-02 Enregistre-t-on ces événements ainsi que tous les paramètres utiles à leur analyse ultérieure ? 4
08E02-03 Existe-t-il une application capable d'analyser ces enregistrements ainsi que les mesures de performances, d'en 4 2 3
déduire des statistiques, un tableau de bord et des diagnostics d'anomalies examinés par une structure ad hoc ?
08E02-04 La structure chargée d'analyser ces éléments de synthèse (ou éventuellement les journaux des incidents, et 4
événements liés à la sécurité) a-t-elle l'obligation de le faire à période fixe et déterminée et a-t-elle la disponibilité
suffisante ?
08E02-05 A-t-on défini pour chaque cas d'alerte, la réaction attendue de l'équipe de surveillance et sa disponibilité est-elle 4
suffisante pour faire face à cette attente ?
08E02-06 Les paramètres définissant les éléments à enregistrer et les synthèses effectuées sur ces éléments sont-ils 4
strictement protégés (droits limités et authentification forte) contre tout changement illicite ?
08E02-07 Toute inhibition du système d'enregistrement et de traitement des enregistrements déclenche-t-elle une alarme 4
auprès de l'équipe de surveillance ?
08E02-08 Les enregistrements ou les synthèses sont-ils conservés sur une longue durée ? 2
08E02-09 Les procédures d'enregistrement, de traitement des enregistrements et d'analyse des synthèses ainsi que la 2
disponibilité de l'équipe d'analyse et d'intervention font-elles l'objet d'un audit régulier ?
08E03 Gestion et traitement des incidents systèmes et applicatifs
08E03-01 Y a-t-il une équipe (hot line) accessible en permanence, chargée de recueillir les appels et de signaler et 2
d'enregistrer tous les incidents ?
08E03-02 Y a-t-il un système support de la gestion des incidents ? 1
08E03-03 Ce système centralise-t-il et prend-il en compte aussi bien les incidents détectés par l'exploitation que ceux 4 2
signalés par les utilisateurs ?
08E03-04 Ce système permet-il un suivi et une relance automatiques des actions nécessaires ? 4
08E03-05 Ce système incorpore-t-il une typologie des incidents avec élaboration de statistiques et de tableau de bord des 4
incidents à destination du RSSI ?
08E03-06 Le système de gestion d'incidents est-il strictement contrôlé vis-à-vis de toute modification illicite ou indue ? 4 3
Un contrôle strict requiert une protection renforcée pour pouvoir modifier un enregistrement et un audit de toute
modification des enregistrements ou un contrôle par scellement électronique de toute modification.
08E03-07 Chaque incident système ou applicatif majeur fait-il l'objet d'un suivi spécifique (nature et description, priorité, 4
solutions techniques, études en cours, délai prévu de résolution, etc.) ?
08F Contrôle des droits d'administration
08F01 Gestion des attributions de droits privilégiés sur les systèmes (droits d'administrateur)
08F01-01 A-t-on défini, au sein de la production informatique, des profils correspondant à chaque type d'activité 4 10.1.3; 11.2.2
(administration systèmes, administration d'équipement de sécurité, pilotage de la production, opérations de
gestion de supports et sauvegardes, etc.) ?

MEHARI 2007-ed2 ! 08 ProdInf 109 Février 2009


Questionnaire d'audit : Domaine de la Production Informatique
N° Question Question Rép. P Max Min ISO 17799 Commentaires
08F01-02 A-t-on défini, pour chaque profil, les droits privilégiés nécessaires ? 4 2 10.1.3
08F01-03 La procédure d'attribution de droits privilégiés nécessite-t-elle l'accord formel de la hiérarchie (ou du responsable 4 2 10.1.3
de la prestation pour un prestataire) à un niveau suffisant et n'est-elle attribuée qu'en fonction du profil du
08F01-04 Le processus d'attribution (ou modification ou retrait) de droits privilégiés à un individu est-il strictement contrôlé ? 4 2 3 11.2.2
Un contrôle strict requiert une reconnaissance formelle de la signature (électronique ou non) du demandeur, qu'il
existe un contrôle d'accès très renforcé pour pouvoir attribuer ou modifier de tels droits, et que les modifications
d'attributions de droits privilégiés soient journalisées et auditées.

08F01-05 Y a-t-il un processus d'invalidation systématique des droits privilégiés lors de départs ou mutations de personnel ? 2 11.2.4
08F01-06 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits privilégiés attribués ? 1 2 11.2.4
08F02 Authentification et contrôle des droits d'accès des administrateurs et personnels d'exploitation
08F02-01 Le protocole d'authentification des administrateurs ou possesseurs de droits privilégiés est-il considéré comme 4 4
"fort" ?
Un protocole d'authentification est considéré comme fort s'il n'est pas susceptible d'être mis en brèche par une
observation ou une écoute de réseau, ni mis en défaut par des outils de spécialistes (en particulier des outils de
craquage de mots de passe). Il s'agit de protocole s'appuyant généralement sur des procédés cryptologiques.
08F02-02 A défaut, s'il s'agit de mots de passe, les règles imposées peuvent-elles être considérées comme très strictes et 2
ont-elles été approuvées par le RSSI ?
Des règles très strictes supposent des mots de passe non triviaux et testés comme tels avant acceptation, des
mélanges de différents types de caractères avec une longueur importante (10 car ou +)

08F02-03 Y a-t-il un contrôle systématique des droits de l'administrateur, de son contexte et de l'adéquation de ces droits et 4
du contexte avec l'accès demandé, en fonction de règles de contrôle d'accès formalisées ?
08F02-04 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des
authentifiants, les authentifiants eux-mêmes, les règles de surveillance des tentatives de connexion, etc. soit très
limitée, qu'il existe un contrôle d'accès renforcé pour procéder à ces modifications, que les modifications soient
journalisées et auditées et qu'il existe un audit général au moins annuel de l'ensemble des paramètres de
l'authentification.
08F02-05 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité
(sceau) et qu'il existe un audit au moins annuel des procédures et processus de l'authentification.

08F02-06 Existe-t-il un audit régulier des personnels ayant des profils et des droits privilégiés, des procédures d'attribution 4 3 11.2.4
de profils, des profils effectivement attribués et des paramètres de sécurité de protection des profils et des droits ?
08F03 Surveillance des actions d'administration des systèmes
08F03-01 A-t-on fait une analyse approfondie des événements ou successions d'événements menés avec des droits 2 10.10.4
d'administration et pouvant avoir un impact sur la sécurité (configuration des systèmes de sécurité, accès à des
informations sensibles, utilisation d'outils sensibles, téléchargement ou modification d'outils d'administration,
08F03-02 Enregistre-t-on ces événements ainsi que tous les paramètres utiles à leur analyse ultérieure ? 4 10.10.4
08F03-03 Existe-t-il un système permettant de détecter toute modification ou suppression d'un enregistrement passé et de 4 2 10.10.4
déclencher une alerte immédiate auprès d'un responsable ?
08F03-04 Existe-t-il une synthèse de ces enregistrements permettant à la hiérarchie de détecter des comportements 4 3 10.10.4
anormaux ?

MEHARI 2007-ed2 ! 08 ProdInf 110 Février 2009


Questionnaire d'audit : Domaine de la Production Informatique
N° Question Question Rép. P Max Min ISO 17799 Commentaires
08F03-05 Existe-t-il un système permettant de détecter toute modification des paramètres d'enregistrement et de déclencher 4 2 10.10.4
une alerte immédiate auprès d'un responsable ?
08F03-06 Toute inhibition du système d'enregistrement et de traitement des enregistrements déclenche-t-elle une alarme 4 10.10.4
auprès d'un responsable ?
08F03-07 Les enregistrements ou les synthèses sont-ils conservés sur une longue durée et protégés contre toute altération 2 10.10.4
ou destruction ?
08F03-08 Les procédures d'enregistrement des actions privilégiées et de traitement de ces enregistrements font-elles l'objet 2
d'un audit régulier ?
08G Procédures d'audit et de contrôle des systèmes de traitement de l'information
08G01 Fonctionnement des contrôles d'audit
08G01-01 Les exigences et les procédures à respecter pour les audits menés sur les systèmes opérationnels ont-elles été 4 15.3.1
édictées par le management ?
08G01-02 Les règles concernant les audits menés sur les systèmes opérationnels, les procédures et responsabilités 3 15.3.1
associées, sont-elles définies et documentées ?
Les limites à apporter concernent les types d'accès aux programmes et aux données, les contrôles et les
traitements admis, l'effacement des données sensibles obtenues, le marquage de certaines opérations, ... ainsi
que l'habilitation des personnes réalisant l'audit
08G01-03 Les auditeurs sont-ils indépendants des activités concernées ? 2 15.3.1
08G01-04 Les opérations d'audit réalisées pour les données critiques sont-elles enregistrées ? 2 15.3.1
08G02 Protection des outils et résultats d'audit
08G02-01 Les outils d'audit sont-ils protégés afin d'éviter toute utilisation indue ou malveillante ? 3 15.3.2
Ceci s'applique, en particulier, aux tests de pénétration et aux évaluations de vulnérabilité
08G02-02 Les résultats d'audit sont-ils protégés contre toute modification ou divulgation ? 3 15.3.2
08G02-03 L'activité des auditeurs est-elle délimitée, spécialement s'il s'agit d'intervenants externes ? 2 15.3.2

MEHARI 2007-ed2 ! 08 ProdInf 111 Février 2009


Questionnaire d'audit : Domaine de la Sécurité applicative
Question N° Question Rép. P Max Min ISO 17799 Commentaires

09A Contrôle d'accès applicatif


09A01 Gestion des profils d'accès aux données applicatives
09A01-01 A-t-on établi une politique de gestion des droits d'accès aux données et à l'information s'appuyant 2 11.1.1
sur une analyse préalable des exigences de sécurité, basées sur les enjeux business?
09A01-02 Les droits d'accès aux différentes applications et données applicatives sont-elles définies par rapport 4 2 11.2.2;
à des "profils" métiers regroupant des "rôles" ou des "fonctions" dans l'organisation (un profil 11.6.1
définissant les droits dont disposent les titulaires de ce profil) ?
Nota : La notion de profil peut, dans certaines circonstances, être remplacée par une notion de
09A01-03 "groupe".
Est-il possible d'introduire, dans les règles de définition des droits (qui déterminent les droits 4
attribués à un profil), des paramètres variables en fonction du contexte tels que la localisation du
demandeur ou les réseaux utilisés, ou fonction des moyens employés (protocoles, chiffrement, etc.)
ou de la classification des ressources accédées ?
09A01-04 Les profils permettent-ils également de définir des créneaux horaires et calendaires de travail 2 11.5.6
(heures début et fin de journée, week-end, vacances, etc.) ?
09A01-05 Ces profils et l'attribution de droits aux différents profils ont-ils reçu l'approbation des propriétaires 4
d'information et/ou du RSSI ?
09A01-06 Les processus de définition et de gestion des droits attribués aux profils sont-ils sous contrôle strict ? 4 2
Un contrôle strict requiert que la liste des personnes habilitées à changer les droits attribués aux
profils soit très limitée, que la matérialisation de ces droits (sous forme de tables par exemple) soit
strictement sécurisée et qu'il existe un contrôle d'accès renforcé pour pouvoir les modifier, et que les
modifications soient journalisées et auditées.
09A01-07 Peut-on contrôler à tout moment la liste des profils et l'ensemble des droits attribués à chaque 2 2
profil ?
09A01-08 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits attribués à chaque profil 4 2 11.2.4
et des procédures de gestion des profils ?
09A02 Gestion des autorisations d'accès aux données applicatives (attribution, délégation,
09A02-01 retrait)
La procédure d'attribution des autorisations d'accès nécessite-t-elle l'accord formel de la hiérarchie 4 2 11.6.1
(à un niveau suffisant) ?
09A02-02 Les autorisations sont-elles attribuées nominativement en fonction du seul profil des utilisateurs ? 2 11.6.1
09A02-03 Le processus d'attribution (ou modification ou retrait) effectif d'autorisations à un individu 4 2 3 11.2.2
(directement ou par le biais de profils) est-il strictement contrôlé ?
Un contrôle strict requiert une reconnaissance formelle de la signature (électronique ou non) du
demandeur, que la matérialisation des profils attribués aux utilisateurs sous forme de tables soit
strictement sécurisée et qu'il existe un contrôle d'accès renforcé pour pouvoir les modifier, et que
ces modifications soient journalisées et auditées.

09A02-04 Y a-t-il un processus de remise à jour systématique de la table des autorisations d'accès lors de 2 11.2.4
départs de personnel interne ou externe à l'entreprise ou de changements de fonctions ?
09A02-05 Y a-t-il un processus strictement contrôlé (voir ci-dessus) permettant de déléguer ses propres 4
autorisations en tout ou en partie, à une personne de son choix, pour une période déterminée (en
cas d'absence) ?
Dans ce cas les droits délégués ne doivent plus être autorisés à la personne qui les a délégués. Cette
dernière doit cependant avoir la possibilité de les reprendre, en annulant ou en suspendant la
délégation.

MEHARI 2007-ed2 ! 09 Applis 112 Février 2009


Questionnaire d'audit : Domaine de la Sécurité applicative
Question N° Question Rép. P Max Min ISO 17799 Commentaires
09A02-06 Peut-on contrôler à tout moment, pour tous les utilisateurs, les habilitations, autorisations et 1
privilèges en cours ?
09A02-07 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des profils ou des autorisations 1 2 11.2.4
attribués au personnel et des procédures de gestion des profils attribués ?
09A03 Authentification de l'accédant
09A03-01 Le processus de distribution ou de modification de l'authentifiant garantit-il que seul le titulaire de 2 1 11.5.3
l'identifiant peut y avoir accès (diffusion initiale confidentielle, changement de mot de passe sous le
seul contrôle de l'utilisateur, etc.) ?
09A03-02 Le processus de création ou de modification d'un authentifiant vérifie-t-il le respect d'un ensemble de 4 2 11.2.3;
règles permettant d'avoir confiance dans sa solidité intrinsèque ? 11.5.3
Dans le cas de mots de passe : longueur suffisante (8 caractères ou +), mélange obligatoire de types
de caractères, changement fréquent (<1 mois), impossibilité de réemployer un mot de passe ancien,
test de non trivialité fait en relation avec un dictionnaire, interdiction des "standards systèmes", des
prénoms, de l'anagramme de l'identifiant, de dates, etc.
Dans le cas de certificats ou d'authentification reposant sur des mécanismes cryptologiques : clés de
chiffrement de longueur suffisante, processus de génération évalué ou reconnu publiquement, etc.

09A03-03 Le processus de présentation par l'utilisateur de son authentifiant garantit-il son inviolabilité ? 4 2 11.5.3
La frappe d'un mot de passe sera toujours un point faible notable. Les seuls processus qui soient
observables sans divulguer d'information consistent soit à introduire un objet contenant un secret
(clé, carte à puce, etc.) soit à frapper un code qui change à chaque instant (jeton), soit à présenter
un caractère biométrique.
09A03-04 La conservation et l'utilisation par l'utilisateur (ou par des systèmes représentant l'utilisateur) ou par 2 2 3 11.5.3
les systèmes cibles d'éléments de référence supports de l'authentification ainsi que leur transmission
entre l'utilisateur et les systèmes cibles font-elles appel à des mécanismes qui en garantissent
l'inviolabilité et l'authenticité ?
Dans le cas de mots de passe, ils doivent être stockés chiffrés et un contrôle d'accès préliminaire à
l'utilisation de ces éléments par l'utilisateur doit être effectué.
La transmission d'un mot de passe doit être chiffrée ou utiliser un algorithme qui introduise un aléa à
chaque transmission.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit
présenter des garanties de solidité validées par un organisme de référence.

09A03-05 En cas de répétition de tentatives infructueuses d'authentification, existe-t-il un processus 4 2 11.5.3


déclenchant une dévalidation automatique de l'identifiant de l'utilisateur, éventuellement du
terminal lui-même, ou un ralentissement du processus d'authentification empêchant toute routine
automatique de tentative de connexion ?
09A03-06 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de 4 2 11.5.3
passe, jeton, etc.) permet-elle d'inhiber instantanément l'ancien authentifiant et permet-elle un
contrôle effectif de l'identité du demandeur ?

MEHARI 2007-ed2 ! 09 Applis 113 Février 2009


Questionnaire d'audit : Domaine de la Sécurité applicative
Question N° Question Rép. P Max Min ISO 17799 Commentaires
09A03-07 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des
authentifiants, les authentifiants eux-mêmes, les règles de surveillance des tentatives de connexion,
etc. soit très limitée, qu'il existe un contrôle d'accès renforcé pour procéder à ces modifications, que
les modifications soient journalisées et auditées et qu'il existe un audit général au moins annuel de
l'ensemble des paramètres de l'authentification.

09A03-08 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
l'authentification (y compris des processus visant à détecter les tentatives de violation et les
processus de réaction à ces tentatives de violation).
09A04 Filtrage des accès et gestion des associations
09A04-01 Tout accès aux applications requiert-il la présentation d'un identifiant reconnu par elles ? 1 11.5.2;
11.6.1
09A04-02 Tout identifiant reconnu par les applications correspond-il à une personne physique unique et 4 2 11.6.1;
identifiable, directement ou indirectement ? 11.5.2
Nota : Dans le cas où une application en appelle une autre ou déclenche un appel système, il se peut
que l'application ne transfère pas au système cible l'identifiant ayant initialisé la demande. Le lien
entre cet appel et l'identifiant et la personne d'origine doit cependant rester possible a posteriori.
09A04-03 Tous les comptes génériques ou par défaut ont-ils été supprimés ? 4 2 11.5.2
09A04-04 L'acceptation de l'identifiant par le système est-elle systématiquement sujette à une 2 2 11.5.2
authentification ?
L'authentification systématique requiert que ce processus soit effectivement mis en oeuvre pour
l'ensemble des sous-systèmes (moniteur de télétraitement, SGBD, traitements par lots, etc.) et pour
toutes les demandes d'accès en provenance des applications ainsi que pour toutes les voies et ports
d'accès, y compris depuis des ports réservés tels que la télémaintenance éventuelle.
09A04-05 Y a-t-il une répétition de la procédure d'authentification en cours de session pour les transactions 4 11.5.6
jugées sensibles ?
09A04-06 Y a-t-il une dévalidation automatique de l'identifiant de l'utilisateur, en cas d'absence d'échange 4 11.5.5
pendant un délai défini, nécessitant une nouvelle identification - authentification ?
09A04-07 Utilise-t-on des contrôles d'accès applicatifs permettant de limiter la visibilité et l'accès aux 4 11.6.1
informations les plus sensibles ?
09A04-08 Y a-t-il un contrôle systématique du profil du demandeur, de son contexte et de l'adéquation de ce 4 2
profil et du contexte avec l'accès demandé, en fonction de règles de contrôle d'accès formalisées ?
09A04-09 Les paramètres de définition et de gestion des règles de filtrage des accès sont-ils sous contrôle 4 2
strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de sécurité
du filtrage des accès soit très limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir les
modifier, et que les modifications soient journalisées et auditées.

MEHARI 2007-ed2 ! 09 Applis 114 Février 2009


Questionnaire d'audit : Domaine de la Sécurité applicative
Question N° Question Rép. P Max Min ISO 17799 Commentaires
09A04-10 Les processus qui assurent le filtrage des accès sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
filtrage d'accès (y compris des processus visant à détecter les tentatives de modification et les
processus de réaction à ces tentatives de modification).

09B Contrôle de l'intégrité des données


09B01 Scellement des données sensibles
09B01-01 A-t-on défini les fichiers sensibles devant être protégés par des solutions de scellement et mis en 4
place de telles solutions au niveau applicatif ?
09B01-02 La conformité des sceaux est-elle contrôlée automatiquement par l'application ? 4 2
09B01-03 La solution de scellement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été 4 2
approuvée par le RSSI ?
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres
paramètres également. La recommandation d'un organisme officiel, tel que la DCSSI en France, peut
09B01-04 être un facteur
La procédure etde
lesconfiance.
mécanismes de conservation, de distribution et d'échange de clés, et plus 4 3
généralement de gestion des clés, offrent-ils des garanties de solidité dignes de confiance et ont-ils
été approuvés par le RSSI ?
09B01-05 Les mécanismes de scellement sont-ils très solidement protégés contre toute violation ou altération ? 4 3 3
S'il s'agit de boîtiers de scellement matériels, ils doivent être protégés physiquement de telle sorte
qu'il soit impossible d'accéder aux mécanismes de scellement. S'il s'agit de solution logicielle, elle
doit comporter elle-même un contrôle d'intégrité.
09B01-06 La mise hors service ou le by-pass de la solution de scellement sont-ils immédiatement détectés et 4 2
signalés à une équipe permanente ou d'astreinte capable d'engendrer une réaction immédiate ?
09B01-07 Existe-t-il une procédure précisant la conduite à tenir en cas d'erreur ou d'alerte ? 3 2
09B01-08 Les mécanismes de scellement, leur paramétrage et les procédures associées font-ils l'objet d'audits 4 3
réguliers ?
09B02 Protection de l'intégrité des données échangées
09B02-01 A-t-on défini les échanges de données ou transactions sensibles devant être protégés par des 4 12.2.3
solutions de scellement et mis en place de telles solutions au niveau applicatif ?
09B02-02 La conformité des sceaux est-elle contrôlée automatiquement par l'application ? 4 2 12.2.3
09B02-03 La solution de scellement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été 4 2 12.2.3
approuvée par le RSSI ?
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres
paramètres également. La recommandation d'un organisme officiel, tel que la DCSSI en France, peut
être
09B02-04 La un facteur
procédure etde
lesconfiance.
mécanismes de conservation, de distribution et d'échange de clés, et plus 4 3
généralement de gestion des clés, offrent-ils des garanties de solidité dignes de confiance et ont-ils
été approuvés par le RSSI ?
09B02-05 Les mécanismes de scellement sont-ils très solidement protégés contre toute violation ou altération ? 4 3 3
S'il s'agit de boîtiers de scellement matériels, ils doivent être protégés physiquement de telle sorte
qu'il soit impossible d'accéder aux mécanismes de scellement. S'il s'agit de solution logicielle, elle
doit comporter elle-même un contrôle d'intégrité.

MEHARI 2007-ed2 ! 09 Applis 115 Février 2009


Questionnaire d'audit : Domaine de la Sécurité applicative
Question N° Question Rép. P Max Min ISO 17799 Commentaires
09B02-06 La mise hors service ou le by-pass de la solution de scellement sont-ils immédiatement détectés et 4 2
signalés à une équipe permanente ou d'astreinte capable d'engendrer une réaction immédiate ?
09B02-07 Existe-t-il une procédure précisant la conduite à tenir en cas d'erreur ou d'alerte ? 3 2
09B02-08 Les mécanismes de scellement, leur paramétrage et les procédures associées font-ils l'objet d'audits 4 3
réguliers ?
09B03 Contrôle de la saisie des données
09B03-01 Les données sensibles font-elles l'objet d'un autocontrôle formel (par la personne assurant la 2 12.2.1
saisie) ?
09B03-02 Les données sensibles font-elles l'objet d'un contrôle de saisie indépendant (par une autre personne) 4 2 12.2.1
?
09B03-03 Existe-t-il une incitation à la saisie sans erreur (prime individuelle ou de service, malus pour le travail 2 12.2.1
comportant trop d'erreurs, etc.) ?
09B03-04 Existe-t-il un contrôle global sur des séries de saisie (somme, fourchette, min, max., etc.) ? 4 12.2.1
09B03-05 La saisie fait-elle l'objet de contrôles de cohérence incorporés au processus de saisie ? 4 12.2.1
09B03-06 Ces contrôles additionnels (par fourchettes, cohérence, etc.) sont-ils fortement protégés contre toute 4
altération illicite ?
09B03-07 A-t-on défini les procédures à appliquer en cas d'erreur de validation ? 4 12.2.1
09B03-08 Le processus de contrôle fait-il l'objet d'un audit régulier ? 2 3
09B04 Contrôles permanents (vraisemblance, ...)
09B04-01 A-t-on analysé, avec les utilisateurs, les contrôles qu'il serait souhaitable de faire pour vérifier la 4 12.2.1;
pertinence des données entrées, modifiées ou en sortie d'applications (cadrage par rapport à des 12.2.4
fourchettes, ratios entre données entrées indépendamment, contrôles de cohérence, évolution et
comparaison avec des statistiques, etc.) et a-t-on mis en place les contrôles correspondants dans les
09B04-02 applications ? de ces contrôles (valeurs de fourchettes, etc.) sont-ils dans des tables séparées du
Les paramètres 4
code de l'application et facilement auditables ?
09B04-03 Les processus qui assurent les contrôles permanents sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
contrôle (y compris des processus visant à détecter les tentatives de modification et les processus de
réaction à ces tentatives de modification).
09B04-04 Les paramètres des contrôles permanents sont-ils sous contrôle strict ? 4 2
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de contrôle
soit très limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir les modifier, et que les
modifications soient journalisées et auditées.
09B04-05 Tous ces contrôles, s'ils existent, sont-ils intégrés dans un processus opérationnel d'alerte et de 4
traitement des erreurs ?
09C Contrôle de la confidentialité des données
09C01 Chiffrement des échanges
On traite ici du chiffrement effectué directement par l'application (couche 6-7, par ex. chiffrement
avant ou lors de l'envoi).
09C01-01 A-t-on défini les messages ou échanges devant être protégés par des solutions de chiffrement et mis 4 12.3.1
en place de telles solutions au niveau applicatif ?

MEHARI 2007-ed2 ! 09 Applis 116 Février 2009


Questionnaire d'audit : Domaine de la Sécurité applicative
Question N° Question Rép. P Max Min ISO 17799 Commentaires
09C01-02 La solution de chiffrement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été 4 2
approuvée par le RSSI ?
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres
paramètres également. La recommandation d'un organisme officiel, tel que la DCSSI en France, peut
être
09C01-03 La un facteur
procédure etde
lesconfiance.
mécanismes de conservation, de distribution et d'échange de clés, et plus 4 3 12.3.2
généralement de gestion des clés, offrent-ils des garanties de solidité dignes de confiance et ont-ils
été approuvés par le RSSI ?
09C01-04 Les mécanismes de chiffrement sont-ils très solidement protégés contre toute violation ou 4 3 3
altération ?
S'il s'agit de boîtiers de chiffrement matériels, ils doivent être protégés physiquement de telle sorte
qu'il soit impossible d'accéder aux mécanismes de chiffrement. S'il s'agit de solution logicielle, elle
doitmise
09C01-05 La comporter elle-même
hors service un contrôle
ou le by-pass d'intégrité.
de la solution de chiffrement sont-ils immédiatement détectés et 4 2
signalés à une équipe permanente ou d'astreinte capable d'engendrer une réaction immédiate ?
09C01-06 Les mécanismes de chiffrement des échanges, leur paramétrage et les procédures associées font-ils 4 3
l'objet d'audits réguliers ?
09C02 Chiffrement des données stockées
09C02-01 A-t-on défini les fichiers ou zones de stockage devant être protégés par des solutions de chiffrement 4 12.3.1
et mis en place de telles solutions au niveau de l'architecture applicative ?
09C02-02 Ce chiffrement se fait-il de façon systématique (en fonction de la classification) et/ou automatique 2 3
(en fonction du support) lors de l'écriture sur un support ou lors de la clôture d'une session de
l'application ?
09C02-03 La solution de chiffrement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été 4 2
approuvée par le RSSI ?
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres
paramètres également. La recommandation d'un organisme officiel, tel que la DCSSI en France, peut
09C02-04 être un facteur
La procédure etde
lesconfiance.
mécanismes de conservation, de distribution, et plus généralement de gestion 4 3 12.3.2
des clés, offrent-ils des garanties de solidité dignes de confiance et ont-ils été approuvés par le
RSSI ?
La possibilité de devoir récupérer ces données sur un autre système matériel ou une autre version
du système d'opération ou de l'application doit être anticipée.
09C02-05 Les mécanismes de chiffrement sont-ils très solidement protégés contre toute violation ou 4 3 3
altération ?
S'il s'agit de boîtiers de chiffrement matériels, ils doivent être protégés physiquement de telle sorte
qu'il soit impossible d'accéder aux mécanismes de chiffrement. S'il s'agit de solution logicielle, elle
doitmise
09C02-06 La comporter elle-même
hors service un contrôle
ou le by-pass d'intégrité.
de la solution de chiffrement sont-ils immédiatement détectés et 4 2
signalés à une équipe permanente ou d'astreinte capable d'engendrer une réaction immédiate ?
09C02-07 Les mécanismes de chiffrement des données stockées, leur paramétrage et les procédures associées 4 3
(en particulier la gestion et la protection des clés) font-ils l'objet d'audits réguliers ?
09C03 Dispositif anti-rayonnement
09C03-01 Utilise-t-on des moyens de lutte contre le rayonnement des matériels supportant des applications 2
très sensibles (matériel Tempest, blindage des câbles, faradisation de locaux, etc.) ?
09C03-02 Contrôle-t-on régulièrement le rayonnement des matériels supportant ces applications sensibles ? 2 2
09D Disponibilité des données

MEHARI 2007-ed2 ! 09 Applis 117 Février 2009


Questionnaire d'audit : Domaine de la Sécurité applicative
Question N° Question Rép. P Max Min ISO 17799 Commentaires
09D01 Enregistrement de Très Haute Sécurité
09D01-01 Applique-t-on des procédures spécifiques de sécurité vérifiant que chaque donnée enregistrée peut 4 2
être relue ?
09D01-02 Existe-t-il des procédures ou une architecture de Très Haute Sécurité enregistrant chaque donnée 4 3
avec redondance (disques RAID, mirroring, etc.) ?
09D01-03 Ces procédures de Très Haute Sécurité emploient-elles des moyens permettant de reconstituer les 4
données en cas d'erreur ou d'impossibilité de lecture de quelques secteurs ?
09D01-04 A-t-on défini les scénarios contre lesquels les enregistrements de très haute sécurité devaient 4
intervenir et a-t-on vérifié que la protection physique des supports d'enregistrements était adaptée à
ces scénarios ?
09D02 Reconstitution des données
09D02-01 A-t-on pris en compte la possibilité de destruction de toute information sur support informatique et 2
en a-t-on déduit des procédures qui pourraient servir à la reconstitution à partir d'originaux ?
09D02-02 A-t-on recensé pour chaque fichier les moyens non informatiques permettant de reconstituer les 2
informations ?
09D02-03 A-t-on sécurisé ces moyens (doubles d'archives, protection renforcée, etc. ) contre une destruction 2
accidentelle ou malveillante ?
09D02-04 A-t-on analysé les conséquences d'une entrée faussée de données découverte tardivement ou d'une 4
altération des processus de traitement et a-t-on mis en place, en conséquence, des moyens
permettant de reconstituer après traitements les données d'origine et permettant ainsi de corriger
les données altérées (ex. : journaux avant, après la mise à jour d'une donnée critique) ?
09D02-05 La durée de reconstitution des données est-elle totalement compatible avec les besoins des 2 2
utilisateurs ?
09D02-06 Audite-t-on, de manière impromptue, que ces moyens sont effectivement mis en place et que les 3 2
procédures sont bien respectées ?
09D03 Reconstitution des traitements
09D03-01 A-t-on pris en compte la possibilité de destruction d'information sur support informatique et en a-t-on 2
déduit des procédures permettant leur reconstitution à partir de sauvegardes et de journaux des
transactions et opérations ?
09D03-02 Pour cela, a-t-on recensé, documenté et testé les procédures et les moyens informatiques 4 2
permettant de constituer les journaux et de reconstituer les informations ?
09D03-03 A-t-on sécurisé ces moyens (contrôle des journaux utilisés, protection renforcée, etc. ) contre une 4
altération ou destruction accidentelle ou malveillante ?
09D03-04 A-t-on analysé les conséquences d'une entrée faussée de données découverte tardivement et a-t-on 4
mis en place les moyens informatisés permettant de reconstituer après coup l'ensemble des
traitements et de corriger la ou les données altérées ?
09D03-05 Ces moyens sont-ils automatisés ? 4
09D03-06 La durée de reconstitution des traitements est-elle totalement compatible avec les besoins des 2 2
utilisateurs ?
09D03-07 Audite-t-on, de manière impromptue, que ces moyens sont effectivement mis en place et que les 2 2
procédures sont bien respectées ?
09D04 Organisation de la politique d'archivage

MEHARI 2007-ed2 ! 09 Applis 118 Février 2009


Questionnaire d'audit : Domaine de la Sécurité applicative
Question N° Question Rép. P Max Min ISO 17799 Commentaires
09D04-01 Un cahier des charges concernant les règles d'archivage est-il établi et tenu à jour par chaque 4 1
propriétaire de données à archiver ?
09D04-02 Les exigences externes (légales et réglementaires) et internes sont-elles définies et prises en compte 4 13.2.3;
par l'entité propriétaire des données et acceptées par la direction de l'entité au plus haut niveau ? 15.1.3
Les conséquences (juridiques, financières, d'image) d'un non respect (partiel ou total) des exigences
doit être avalisé par la direction générale.

09D04-03 Des accords de service sont-ils négociés avec les services informatiques, considérés comme 4 1 15.1.3
dépositaires des données, et les moyens nécessaires sont-ils connus et financés sur le long terme ?
Chaque accord doit édicter ces exigences : contenu des archives, durée de rétention, pérennité,
traçabilité, imputabilité, intégrité, confidentialité, procédures et délai de remise à disposition,
contraintes d'administration, etc.
Une distinction claire doit être établie entre le contenu des archives, sous responsabilité du
propriétaire des données, et le contenant (sur supports informatisés, disques, cartouches, etc.) dont
la direction informatique concernée a la charge.
09D04-04 Les modifications résultant des évolutions technologiques et réglementaires, pouvant affecter le 4 2
contenu comme les supports d'archivage, sont-elles prises en compte, documentées et acceptées
par la Direction ?
Ces évolutions sont inévitables sur le long terme et leur prise en compte doit respecter toutes les
règles externes afin de garantir la conformité des données aux originaux.
09D04-05 Les documents spécifiant les procédures d'administration, d'opérations et de contrôle édictées pour 2
les archivages sont-ils approuvés par le management (dont RSSI et gestionnaire des risques) et sous
contrôle strict ?
Les procédures doivent aussi établir les rôles et les droits des acteurs, les règles de délégation de
09D04-06 Un
cescontrôle des procédures édictées pour les archivages est-il effectué régulièrement et toute
droits, etc. 4 2
déviation est-elle remontée aux propriétaires des données ?
Ces contrôles doivent aussi chercher à éliminer les possibilités de fraudes impliquant des employés
chargés des opérations ou pouvant avoir accès aux supports et aux contenus.

09D04-07 L'ensemble des procédures concernant la politique d'archivage fait-il l'objet d'un audit régulier ? 4 3
09E Continuité de fonctionnement
09E01 Reconfiguration matérielle
09E01-01 A-t-on déduit d'une analyse de criticité une architecture de redondance ou de mirroring au niveau 4 2 14.1.4
des serveurs ou équipements pouvant être critiques ?
09E01-02 Cette architecture et sa mise en oeuvre en cas d'incident ou de panne garantissent-ils la satisfaction 4 2
des performances minimales ?
Une telle garantie suppose, soit que les systèmes à tolérance de panne soient entièrement
automatiques, soit que les systèmes de détection et les capacités de réaction du personnel à même
de procéder aux reconfigurations manuelles aient été spécifiés avec cet objectif.
09E01-03 S'est-on assuré, dans ce cas, que les équipements de servitude (alimentation en énergie, 2
climatisation, etc.) n'introduisaient pas de vulnérabilité supplémentaire ou ne détruisaient pas les
redondances prévues au niveau des équipements ou de l'architecture ?
09E01-04 La mise hors service ou l'inhibition de tout équipement de redondance ou de tout système de 2
détection nécessaire à une intervention manuelle sont-elles détectées et déclenchent-elles une
alarme auprès d'un responsable de l'exploitation ?

MEHARI 2007-ed2 ! 09 Applis 119 Février 2009


Questionnaire d'audit : Domaine de la Sécurité applicative
Question N° Question Rép. P Max Min ISO 17799 Commentaires
09E01-05 Procède-t-on régulièrement à des tests visant à démontrer la capacité des éléments de sécurité à 2 2
assurer les performances minimales en cas d'incident ou de panne ?
09E02 Plans de Continuité des Processus Applicatifs
09E02-01 A-t-on déduit de l'analyse de criticité des Plans de Continuité pour chaque processus applicatif 3 14.1.3
critique ?
09E02-02 Ces plans sont-ils en phase avec les Plans de Reprise d'Activités (back-up) des matériels et systèmes 3 2 14.1.3
utilisés par le processus ou l'application ?
09E02-03 Ces plans prévoient-ils bien toutes les actions à entreprendre pour assurer la continuité des 3 2 14.1.3
processus applicatifs entre l'alerte et la mise en oeuvre effective des solutions de remplacement
prévues par les PRA ?
09E02-04 Ces plans traitent-ils tous les aspects organisationnels liés aux moyens à mettre en œuvre pour 3 14.1.3
assurer la continuité entre la détection d'incident et la reprise effective des processus applicatifs
(personnel, logistique, encadrement, etc.) ?
09E02-05 A-t-on prévu les instructions et la formation à donner aux personnels ? 2 14.1.3
09E02-06 Les Plans de Continuité Utilisateurs des processus applicatifs prévoient-ils les procédures de retour à 4 2 14.1.3
la normale ?
09E02-07 Existe-t-il un plan regroupant l'ensemble des solutions de secours pour pallier tous les arrêts des 4 14.1.3
processus critiques et applications sensibles ?
09E02-08 Le Plan de déclenchement de crise est-il en phase avec ce plan ? 4
09E02-09 Ces plans sont-ils régulièrement testés en vraie grandeur (avec toute la volumétrie réelle) et remis à 3 2 14.1.5
jour (au moins une fois par an) ?
09E02-10 Les mises à jour de ces plans sont-elles régulièrement auditées (au moins une fois par an) ? 3 2
09E03 Gestion des applications critiques (vis-à-vis de la permanence de la maintenance)
09E03-01 A-t-on analysé les conséquences de la disparition d'un fournisseur de logiciel applicatif (en cas de 2
bug ou de nécessité d'évolution) et en a-t-on déduit une liste d'applications critiques ?
09E03-02 Existe-t-il, pour l'ensemble des applications critiques, une solution palliative étudiée pour faire face à 2
la disparition ou la défaillance du fournisseur (dépôt de la documentation de maintenance ou du
code source chez un tiers de confiance, remplacement du logiciel par un progiciel standard, etc.) ?
09E03-03 A-t-on l'assurance que cette solution palliative pourra être rendue opérationnelle dans des délais 2 2
compatibles avec la poursuite de l'activité et acceptés par les utilisateurs ?
09E03-04 A-t-on prévu des variantes de la solution de base au cas où celle-ci rencontrerait des difficultés 2 3
imprévues ?
09E03-05 Procède-t-on régulièrement à une revue des applications pouvant être critiques et des solutions 2 3
palliatives prévues ?
09E04 Reconstitution des programmes de traitement
09E04-01 A-t-on pris en compte la possibilité de destruction de tous les supports informatiques des traitements 2
applicatifs et en a-t-on déduit des procédures qui pourraient servir à leur reconstitution à partir de
documents ou d'archives ?
09E04-02 A-t-on recensé pour chaque application critique les moyens non informatiques permettant de 2
reconstituer les traitements à effectuer ?
09E04-03 A-t-on sécurisé ces moyens (doubles d'archives, protection renforcée, etc. ) contre une destruction 2
accidentelle ou malveillante ?

MEHARI 2007-ed2 ! 09 Applis 120 Février 2009


Questionnaire d'audit : Domaine de la Sécurité applicative
Question N° Question Rép. P Max Min ISO 17799 Commentaires
09E04-04 La durée de reconstitution des traitements est-elle totalement compatible avec les besoins des 2 2
utilisateurs ?
09E04-05 Audite-t-on, de manière impromptue, que ces moyens sont effectivement mis en place et que les 3 2
procédures sont bien respectées ?
09F Contrôle de l'émission et de la réception de données
09F01 Garantie d'origine, signature électronique
09F01-01 A-t-on défini les transactions sensibles devant être protégés par des solutions de signature 4 12.3.1
électronique et mis en place de telles solutions au niveau applicatif ?
09F01-02 La conformité des signatures est-elle contrôlée automatiquement par l'application ? 4 2
09F01-03 La solution de signature offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été 4 2
approuvée par le RSSI ?
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres
paramètres également. La recommandation d'un organisme officiel, tel que la DCSSI en France, peut
09F01-04 être un facteur
La procédure etde
lesconfiance.
mécanismes de conservation, de distribution et d'échange de clés, et plus 4 3 12.3.2
généralement de gestion des clés, offrent-ils des garanties de solidité dignes de confiance et ont-ils
été approuvés par le RSSI ?
09F01-05 Les mécanismes de signature sont-ils très solidement protégés contre toute violation ou altération ? 4 3 3
S'il s'agit d'équipements matériels, ils doivent être protégés physiquement de telle sorte qu'il soit
impossible d'accéder aux mécanismes de signature S'il s'agit de solution logicielle, elle doit
comporter elle-même un contrôle d'intégrité.
09F01-06 La mise hors service ou le by-pass de la solution de signature sont-ils immédiatement détectés et 4 2
signalés à une équipe permanente ou d'astreinte capable d'engendrer une réaction immédiate ?
09F01-07 Existe-t-il une procédure précisant la conduite à tenir en cas d'erreur ou d'alerte ? 3 2
09F01-08 Les mécanismes de signature, leur paramétrage et les procédures associées font-ils l'objet d'audits 4 3
réguliers ?
09F02 Individualisation des messages empêchant leur duplication (numérotation,
séquencement, ... )
09F02-01 A-t-on défini les transactions sensibles devant être protégés par des solutions de contrôle de 4
numérotation ou de séquencement et mis en place de telles solutions au niveau applicatif (ou
éventuellement au niveau réseau) ?
09F02-02 La conformité des numéros et séquences est-elle contrôlée automatiquement par l'application ou par 4 2
le middleware utilisé ?
09F02-03 La solution de contrôle de numérotation ou de séquencement offre-t-elle des garanties de solidité 4 2
dignes de confiance et a-t-elle été approuvée par le RSSI ?
La recommandation d'un organisme officiel, tel que la DCSSI en France, peut être un facteur de
confiance.
09F02-04 Les mécanismes de numérotation et de contrôle de numérotation sont-ils très solidement protégés 4 3 3
contre toute violation ou altération ?
S'il s'agit d'équipements matériels, ils doivent être protégés physiquement de telle sorte qu'il soit
impossible d'accéder aux mécanismes internes. S'il s'agit de solution logicielle, elle doit comporter
elle-même un contrôle d'intégrité.
09F02-05 La mise hors service ou le by-pass de la solution de contrôle de numérotation sont-ils 4 2
immédiatement détectés et signalés à une équipe permanente ou d'astreinte capable d'engendrer
une réaction immédiate ?

MEHARI 2007-ed2 ! 09 Applis 121 Février 2009


Questionnaire d'audit : Domaine de la Sécurité applicative
Question N° Question Rép. P Max Min ISO 17799 Commentaires
09F02-06 Existe-t-il une procédure précisant la conduite à tenir en cas d'erreur ou d'alerte ? 3 2
09F02-07 Les mécanismes de numérotation et du contrôle associé, leur paramétrage et les procédures 4 3
associées font-ils l'objet d'audits réguliers ?
09F03 Accusé de réception
09F03-01 Y a-t-il une procédure imposant l'envoi d'un accusé de réception pour tous les messages sensibles ? 4
Nota : dans certains cas, les contrôles peuvent être basés sur une signature

09F03-02 Y a-t-il alerte en cas d'absence d'AR pour les messages sensibles ? 4 2
09F03-03 Le système d'accusé de réception est-il protégé contre des interventions malveillantes ? 2 3
09F03-04 Existe-t-il une procédure consignant la conduite à tenir en cas d'alerte ou d'anomalie constatée ? 3 2
09F03-05 Procède-t-on régulièrement à des audits du système d'accusé de réception ? 3 2
09G Détection et gestion des incidents et anomalies applicatifs
09G01 Détection des anomalies applicatives
09G01-01 A-t-on analysé les événements ou successions d'événements pouvant être révélateurs de 4
comportements anormaux ou d'actions illicites et en a-t-on déduit des points ou indicateurs de
surveillance ?
09G01-02 Dans les applications, est-il prévu des capteurs d'événements sensibles et l'enregistrement de ces 4 3
événements (type d'événement, identifiant de l'utilisateur, date et heure, etc.) ?
09G01-03 Existe-t-il un système de pistage intégré dans certains processus sensibles (audit-trail) enregistrant 4 3
les événements pouvant servir à établir des diagnostics d'anomalies ?
09G01-04 Les applications sensibles disposent-elles d'une fonction automatique de surveillance en temps réel 4 3
en cas d'accumulation d'événements anormaux (par exemple tentatives infructueuses de connexion
sur des stations voisines ou tentatives infructueuses de transactions sensibles) ?
09G01-05 Existe-t-il un archivage de tous ces éléments de diagnostic ? 2
09G01-06 Existe-t-il une application capable d'analyser les diagnostics individuels enregistrés et donnant lieu à 4 2
un tableau de bord transmis à une structure ad hoc ?
09G01-07 Le système de diagnostic d'anomalie émet-il une alarme en temps réel à une structure permanente 4 3
ou placée sous astreinte, chargée et capable de réagir sans délai ?
09G01-08 A-t-on défini pour chaque cas d'alerte, la réaction attendue de l'équipe de surveillance et sa 4
disponibilité est-elle suffisante pour faire face à cette attente ?
09G01-09 Les paramètres définissant les éléments à enregistrer et les analyses de diagnostic effectuées sur 4
ces éléments sont-ils strictement protégés (droits limités et authentification forte) contre tout
changement illicite ?
09G01-10 Toute inhibition du système d'enregistrement et de traitement des enregistrements déclenche-t-elle 4
une alarme auprès de l'équipe de surveillance ?
09G01-11 Les procédures d'enregistrement, de traitement des enregistrements et d'analyse des diagnostic 2
ainsi que la disponibilité de l'équipe d'analyse et d'intervention font-elles l'objet d'un audit régulier ?
09H Commerce électronique
09H01 Sécurité des sites de commerce électronique
09H01-01 A-t-on analysé les exigences de sécurité spécifiques au commerce électronique et défini en 2 10.9.1
conséquence les protections nécessaires ?

MEHARI 2007-ed2 ! 09 Applis 122 Février 2009


Questionnaire d'audit : Domaine de la Sécurité applicative
Question N° Question Rép. P Max Min ISO 17799 Commentaires
09H01-02 A-t-on analysé les exigences de sécurité spécifiques aux transactions effectuées en ligne et défini en 2 10.9.2
conséquence les protections nécessaires ?
09H01-03 A-t-on analysé les exigences de sécurité spécifiques à la mise à disposition du public d'informations 2 10.9.3
et défini en conséquence les protections nécessaires ?

MEHARI 2007-ed2 ! 09 Applis 123 Février 2009


Questionnaire d'audit : Domaine de la sécurité des projets et développements applicatifs
N° Question Rép P Ma Min ISO 17799 Commentaires
Question . x
Le domaine 10 de Méhari est vu d'un point de vue particulier que l'on pourrait résumer ainsi : le problème de
sécurité pouvant venir des développements et de la maintenance applicative est celui de l'introduction de failles
de sécurité à l'occasion de ces développements ou de la maintenance. L'assurance qualité des développements,
qui vise à s'assurer que les besoins sont bien spécifiés, qu'ils sont effectués conformément à une méthode de
développement normalisée, que les spécifications sont bien remplies, que l'application fonctionne correctement,
etc., ne fait pas partie de ce domaine de sécurité.
10A Sécurité des projets et développements applicatifs
10A01 Prise en compte de la sécurité dans les projets et développements
10A01-01 Procède-t-on systématiquement, dès la phase de spécification de projets, à une analyse des 4 12.1.1
dysfonctionnements pouvant être induits par l'application ou les applications mises en place,
modifiées et/ou retirées suite à ce projet ou par un des composants du projet ?
Notes : Un projet peut consister en la mise en place d'un progiciel métier, autant que résulter de
développements internes.
Les dysfonctionnements à analyser doivent l'être à deux niveaux : au niveau de l'activité de
l'entreprise et de ses processus opérationnels (les fonctionnalités nouvelles ou au contraire
supprimées peuvent apporter des risques nouveaux) et au niveau de l'architecture informatique
(infrastructure, systèmes opératoires, middleware, applications, données : car cette nouvelle
architecture peut apporter des risques nouveaux).
10A01-02 Analyse-t-on, avec les responsables utilisateurs, le niveau de gravité de ces dysfonctionnements et 4 12.1.1
leur potentialité, en prenant en compte les mesures de sécurité déjà en place et les mesures
additionnelles ou spécifiques prévues dans les spécifications du projet ?
10A01-03 Existe-t-il des revues de projet au cours desquelles ces risques sont présentés (impact et 4 2 12.1.1
potentialité), des décisions sont prises quant à leur caractère acceptable ou non, et des mesures de
sécurité additionnelles éventuelles nécessaires sont décidées ?
10A01-04 A-t-on envisagé, lors des études de risques, les possibilités de fuite d'information par des canaux 4 2 12.5.4
cachés et mis en place des contrôles adaptés ?
10A01-05 La mise en oeuvre effective des mesures de sécurité spécifiques du projet ou nécessitées par le 4
projet fait-elle l'objet d'un suivi formel tout au long du cycle de vie du projet ?
La formalisation du suivi peut consister en un point obligatoire de l'ordre du jour des revues de
projet, au moins aux étapes clés et/ou être matérialisée par des fiches de sécurité actant des
décisions prises, des évolutions quant aux choix de solutions et de l'état d'avancement de la mise en
oeuvre.

10A01-06 Existe-t-il une structure support, formée à l'analyse des risques des projets, pouvant assister la 4
maîtrise d'ouvrage dans la démarche d'analyse de risque et ayant la disponibilité suffisante pour
répondre aux demandes des utilisateurs ?
10A01-07 La fonction RSSI est-elle impliquée, directement ou au moins à titre de contrôle, dans les processus 4
de prise en compte de la sécurité dans les projets ?
10A01-08 Dans le cas d'acquisition de produits ou progiciels, les exigences de sécurité en accord avec l'activité 4 2 12.1.1
de l'entreprise ont-elles été prises en compte dans les contrats conclus avec les fournisseurs ?

10A02 Gestion des changements


10A02-01 Tout changement fait-il l'objet d'une procédure de revue formelle (demandeur, justification, 2 12.5.1
processus de décision)?
10A02-02 Tient-on à jour les versions de chaque logiciel et la documentation associée ? 2 12.5.1

MEHARI 2007-ed2 ! 10 Dév 124 Février 2009


Questionnaire d'audit : Domaine de la sécurité des projets et développements applicatifs
N° Question Rép P Ma Min ISO 17799 Commentaires
Question . x
10A02-03 A l'occasion de modification des systèmes d'exploitation, est-il procédé à une revue et à des tests de 4 12.5.2
l'impact de ces modifications sur les applications ?
10A02-04 L'impact des changements sur les plans de continuité est-il pris en compte ? 2 12.5.2;
14.1.5
10A03 Externalisation du développement logiciel
10A03-01 Lorsque le développement logiciel est sous-traité, a-t-on pris soin de régler les questions d'accord de 2 12.5.5
licence et de propriété intellectuelle du code développé ?
10A03-02 Des exigences contractuelles relatives à la qualité et au niveau de sécurité du code ont-elles été 2 2 12.5.5
conclues ?
10A03-03 Un droit d'accès permettant d'auditer la qualité des travaux réalisés a-t-il été prévu ? 2 2 12.5.5
10A03-04 A-t-on prévu des essais préalables à l'installation en vue de détecter les codes malveillants éventuels 2 12.5.5
?
10A03-05 A-t-on pris des dispositions relatives au séquestre du code et de tous les documents 2 2 12.5.5
d'accompagnement en cas de manquement du tiers ?
10A04 Organisation de la maintenance applicative
10A04-01 La maintenance applicative dispose-t-elle d'un centre technique de support logiciel garantissant une 2
assistance téléphonique rapide et compétente ?
10A04-02 Existe-t-il une convention de service particulière pour tous les logiciels internes demandant une forte
disponibilité et dont la maintenance courante ne pourrait s'effectuer dans des délais acceptables ? 4 2
10A04-03 Cette convention de service prévoit-elle les conditions d'escalade en cas de difficulté d'intervention
et les possibilités et conditions d'appel aux meilleurs spécialistes ? 4 3
10A04-04 A-t-on l'assurance que les capacités et disponibilités de l'équipe de maintenance lui permette de
répondre de manière satisfaisante aux demandes de maintenance des utilisateurs, y compris en
période de week-end ou de congés ? 4 2
10A04-05 Le respect des conventions de service relatives à la maintenance fait-il l'objet d'un audit régulier ? 2 3
10A05 Modification des progiciels
10A05-01 Évite-t-on au maximum de modifier les progiciels et lorsque cela ne peut pas être évité applique-t-on 2 12.5.3
un contrôle strict de ces modifications ?
10A05-02 En particulier a-t-on obtenu le consentement de l'éditeur pour effectuer ces modifications ? 2 12.5.3
10A05-03 A-t-on examiné les conséquences de ces modifications sur la maintenance assurée par l'éditeur ? 2 2 12.5.3
10B Sécurité des processus de développement et de maintenance
10B01 Sécurité des processus des développements applicatifs
10B01-01 Les procédures de développement imposent-elles une ségrégation stricte des tâches entre 4
spécification détaillée, conception, test unitaire et intégration, avec attribution au personnel de
développement, pour chaque projet, de profils spécifiques caractéristiques du type de tâche ?
10B01-02 L'affectation de profil et de tâches au personnel est-elle faite de manière individuelle et nominative 2 2
et garde-t-on une trace des tâches effectuées par chaque membre du personnel de développement ?

10B01-03 Les environnements de développement, de test et d'intégration sont-ils distingués et séparés, avec 4 12.4.1
un contrôle d'accès strict en fonction des profils et des projets ?
Un contrôle d'accès strict suppose qu'il soit nécessaire d'avoir le bon profil pour le bon projet pour
10B01-04 Les procédures de développement imposent-elles qu'une personne ne soit jamais seule responsable 2
avoir accès à l'environnement correspondant et qu'il y ait une authentification individuelle renforcée
d'une tâche ?
avant autorisation d'accès.

MEHARI 2007-ed2 ! 10 Dév 125 Février 2009


Questionnaire d'audit : Domaine de la sécurité des projets et développements applicatifs
N° Question Rép P Ma Min ISO 17799 Commentaires
Question . x
10B01-05 Les procédures de développement imposent-elles, pour les fonctions sensibles, une vérification du 4 3
code par une équipe indépendante ?
10B01-06 Les procédures de développement imposent-elles une validation formelle, par les utilisateurs, de la 4
couverture des tests fonctionnels ?
10B01-07 Les procédures de développement imposent-elles une validation formelle, par la fonction sécurité, de 4 3
la couverture des tests relatifs aux fonctions ou dispositifs de sécurité ?
10B01-08 Les codes sources, objets et la documentation font-ils l'objet d'une procédure de gestion stricte 2
précisant, en fonction des phases de développement, le gestionnaire de ces objets, les procédures
de gestion des modifications (incluant les personnes autorisées à les faire) et de gestion d'indices
ainsi que les conditions de stockage et de contrôle d'accès correspondantes ?
Une procédure et des conditions de gestion strictes doivent permettre de garantir que toute
modification de code ou de documentation est faite par une personne autorisée dans des conditions
autorisées.
10B01-09 En cas de développements confiés à des SSII et de progiciels, les conditions ci-dessus sont-elles 2
imposées contractuellement à l'éditeur, au partenaire ou au sous-traitant ?
10B01-10 Les paramètres de contrôle de la gestion des droits attribués au personnel de développement sont- 4
ils sous contrôle strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les profils par projets
attribués au personnel de développement et les paramètres de contrôle d'accès aux environnements
et objets de développement soit très limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir
les modifier, et que les modifications soient journalisées et auditées.
10B01-11 L'organisation des tâches au sein des études et l'application des règles de ségrégation et de contrôle 2
font-elles régulièrement l'objet d'un audit ?
10B02 Protection de la confidentialité des développements applicatifs
10B02-01 Les procédures de développement imposent-elles une analyse de la confidentialité des applications 4
développées et une classification des objets mis en oeuvre au cours des développements
(documentation, code source, code objet, notes d'étude, etc.) ?
10B02-02 En cas de développement portant sur une application confidentielle, existe-t-il des procédures 4
particulières de gestion de la documentation ?
10B02-03 En cas de développement portant sur une application confidentielle, a-t-on mis en place des profils 4 2
permettant de limiter la diffusion d'information confidentielle aux seules personnes en ayant
réellement besoin ?
10B02-04 Les codes sources, objets et la documentation font-ils l'objet d'une procédure de gestion d'accès 4 2 12.4.3
stricte précisant, en fonction des phases de développement, les profils ayant accès à ces éléments
ainsi que les conditions de stockage et de contrôle d'accès correspondantes ?
Une procédure et des conditions de gestion d'accès strictes doivent permettre de garantir que tout
accès au code ou à la documentation est fait par une personne autorisée dans des conditions
autorisées.
10B02-05 Les paramètres de contrôle de la gestion des droits attribués au personnel de développement sont- 2 3
ils sous contrôle strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les profils par projets
attribués au personnel de développement et les paramètres de contrôle d'accès aux environnements
et objets de développement soit très limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir
les modifier, et que les modifications soient journalisées et auditées.
10B02-06 Les processus qui assurent le filtrage des accès aux objets de développement (documentation et 2 3
codes) sont-ils sous contrôle strict ?
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
filtrage d'accès (y compris des processus visant à détecter les tentatives de modification et les
processus de réaction à ces tentatives de modification).

MEHARI 2007-ed2 ! 10 Dév 126 Février 2009


Questionnaire d'audit : Domaine de la sécurité des projets et développements applicatifs
N° Question Rép P Ma Min ISO 17799 Commentaires
Question . x
10B02-07 En cas de développements confiés à des SSII et de progiciels, les conditions ci-dessus sont-elles 2 2
imposées contractuellement à l'éditeur, au partenaire ou au sous-traitant ?
10B02-08 La gestion des droits d'accès aux objets de développement et les procédures et mécanismes de 2 3
protection font-ils régulièrement l'objet d'un audit ?
10B03 Sécurité relative aux traitements internes des applications
10B03-01 Lors de la conception ou de la mise en oeuvre des applications, procède t-on à une étude détaillée 4 12.2.2
des défaillances de traitement pouvant donner lieu à des pertes d'intégrité ?
10B03-02 En particulier s'est-on assurer que l'utilisation des fonctions "Ajouter", "Modifier", "Supprimer" ne 2 12.2.2
pouvait pas entraîner des pertes d'intégrité (intégrité référentiel, etc …) ?
10B03-03 L'ordre d'exécution des traitements a-t-il été validé et a-t-on prévu leur enchaînement après l'échec 2 12.2.2
d'un traitement antérieur ?
10B03-04 A-t-on prévu une lutte contre les attaques par dépassement de la mémoire tampon ? 2 12.2.2
10B04 Protection des données d'essai
10B04-01 Dans le cadre d'essais, évite-t-on d'utiliser les bases de données fonctionnelles contenant des 4 12.4.2
informations personnelles ou tout autre information sensible ?
10B04-02 Si des données personnelles ou sensibles doivent malgré tout être utilisées, prend on le soin de 2 2 12.4.2
supprimer les détails et contenus sensibles avant de les utiliser (ou de les modifier afin de les rendre
anonymes) ?
10B04-03 Dans le cas d'utilisation des données d'exploitation, les procédures de contrôle d'accès qui 2 2 12.4.2
s'appliquent aux applications en exploitation s'appliquent-elles également aux applications d'essais ?
10B04-04 Les informations d'exploitation utilisées sur une application d'essai sont-elles effacées 2 12.4.2
immédiatement après la fin des essais ?
10B04-05 Journalise-t-on toute reproduction ou utilisation de données d'exploitation lors des essais afin de 2 12.4.2
créer une trace d'audit ?
10B05 Sécurité de la maintenance applicative
10B05-01 Les procédures de maintenance applicative imposent-elles une ségrégation stricte des tâches entre 4
spécification détaillée, conception, test unitaire et intégration, avec attribution au personnel de
maintenance, pour chaque projet, de profils spécifiques caractéristiques du type de tâche ?
10B05-02 L'affectation de profil et de tâches au personnel de maintenance applicative est-elle faite de manière 2 2
individuelle et nominative et garde-t-on une trace des tâches effectuées par chaque membre du
personnel de maintenance ?
10B05-03 Les environnements de maintenance applicative, de test et d'intégration sont-ils distingués et 4
séparés, avec un contrôle d'accès strict en fonction des profils et des projets ?
Un contrôle d'accès strict suppose qu'il soit nécessaire d'avoir le bon profil pour le bon projet pour
avoir accès à l'environnement correspondant et qu'il y ait une authentification individuelle renforcée
avant autorisation d'accès.
10B05-04 Les procédures de maintenance applicative imposent-elles qu'une personne ne soit jamais seule 2
responsable d'une tâche ?
10B05-05 Les procédures de maintenance applicative imposent-elles, pour les fonctions sensibles, une 4 3
vérification du code par une équipe indépendante ?
10B05-06 Les procédures de maintenance applicative imposent-elles une validation formelle, par les 4
utilisateurs, de la couverture des tests fonctionnels ?
10B05-07 Les procédures de maintenance applicative imposent-elles une validation formelle, par la fonction 4 3
sécurité, de la couverture des tests relatifs aux fonctions ou dispositifs de sécurité ?

MEHARI 2007-ed2 ! 10 Dév 127 Février 2009


Questionnaire d'audit : Domaine de la sécurité des projets et développements applicatifs
N° Question Rép P Ma Min ISO 17799 Commentaires
Question . x
10B05-08 Les codes sources, objets et la documentation font-ils l'objet d'une procédure de gestion stricte 2 12.4.3
précisant, en fonction des phases de maintenance applicative, le gestionnaire de ces objets, les
procédures de gestion des modifications (incluant les personnes autorisées à les faire) et de gestion
d'indices ainsi que les conditions de stockage et de contrôle d'accès correspondantes ?
Une procédure et des conditions de gestion strictes doivent permettre de garantir que toute
modification de code ou de documentation est faite par une personne autorisée dans des conditions
autorisées.
10B05-09 En cas de maintenance applicative confiée à l'éditeur ou une SSII, les conditions ci-dessus sont-elles 2
imposées contractuellement au partenaire ou sous-traitant ?
Note : lorsque la maintenance est assurée par l'éditeur et/ou se trouve délocalisée dans un pays tiers
et lointain, les garanties accordées quant au respect des conditions de maintenance devront être
examinées avec circonspection.
10B05-10 Les paramètres de contrôle de la gestion des droits attribués au personnel de maintenance 4
applicative sont-ils sous contrôle strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les profils par projets
attribués au personnel de maintenance applicative et les paramètres de contrôle d'accès aux
environnements et objets de développement soit très limitée, qu'il existe un contrôle d'accès
renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.
10B05-11 L'organisation des tâches au sein de la maintenance applicative et l'application des règles de 2
ségrégation et de contrôle font-elles régulièrement l'objet d'un audit ?
10B06 Maintenance à chaud
10B06-01 La maintenance "à chaud" faite directement dans l'environnement de production fait-elle l'objet 4 2
d'une procédure de déclenchement formelle incluant, en particulier, l'accord formel du Directeur de
la production et du responsable du domaine applicatif (ou propriétaire des données) concerné ?
10B06-02 Procède-t-on, avant toute maintenance à chaud, à une sauvegarde complète de l'environnement de 4 2
production (systèmes et applicatifs) permettant de revenir à la situation antérieure en cas de
problème ?
10B06-03 Procède-t-on, avant toute maintenance à chaud, à une sauvegarde complète des données de 4 2
production (en synchronisme) permettant de revenir à la situation antérieure en cas de problème ?
10B06-04 Conserve-t-on, lors des opérations de maintenance à chaud, une trace de toutes les opérations 4
effectuées et commandes lancées, afin d'être capable d'investiguer, après coup, si la séquence
d'opérations s'est mal terminée ?
10B06-05 Les procédures de maintenance à chaud et leur application font-elles l'objet d'un audit régulier ? 4 3

MEHARI 2007-ed2 ! 10 Dév 128 Février 2009


Questionnaire d'audit : Domaine de la protection de l'environnement de travail
N° Question Question Rép. P Max Min ISO 17799 Commentaires

11A Contrôle des accès aux zones de bureaux


11A01 Partitionnement des zones de bureaux en domaines de sécurité
11A01-01 A-t-on établi une politique de gestion des droits d'accès aux zones de bureaux s'appuyant sur une 1 11.1.1
analyse préalable des exigences de sécurité, basées sur les enjeux business?
11A01-02 A-t-on effectué un partitionnement des zones de bureaux en domaines de sécurité ou zones 4
protégées correspondant à des exigences de sécurité homogènes et à des espaces de confiance à
l'intérieur desquels les informations peuvent être librement partagées ?
11A01-03 Ce partitionnement des zones de bureaux et les cloisonnements correspondants séparent-ils les 4
espaces internes protégés des zones de réception et de réunion avec des personnes externes aux
entités protégées ?
11A01-04 Utilise-t-on un système automatique d'authentification et de contrôle d'accès systématique aux 4 2
zones protégées ?
11A01-05 L'authentification fait-elle appel à des moyens infalsifiables détenus par l'utilisateur (badge, carte à 2 3
puce ou reconnaissance biométrique, par exemple) ?
11A01-06 Le mécanisme employé comporte-t-il en outre une procédure d'authentification du possesseur de ce 2 3
moyen ?
11A01-07 Le système de contrôle d'accès garantit-il un contrôle exhaustif de toute personne entrant dans les 4
locaux (sas ne permettant le passage que d'une personne à la fois, processus interdisant l'utilisation
du même badge par plusieurs personnes, etc.) ?
11A01-08 Existe-t-il une procédure et des moyens permettant aux personnes n'ayant pas d'autorisations 4 2
permanentes d'appeler et de pénétrer dans les zones protégées et cette procédure garantit-elle que
lesdites personnes sont alors accueillies et accompagnées ?
11A01-09 Assure-t-on, en complément du contrôle d'accès par les issues normales, le contrôle des accès par 4 3
les autres issues : contrôle des fenêtres accessibles depuis l'extérieur, contrôle des issues de
secours, contrôle des accès potentiels par les faux planchers et faux plafonds ?
11A01-10 Les systèmes automatiques de contrôle d'accès aux zones protégées sont-ils placés sous contrôle 2 2
permanent opérationnel 24h/24 permettant de diagnostiquer une panne, une désactivation ou
l'utilisation d'issues de secours en temps réel ?
11A01-11 Y a-t-il une procédure ou des automatismes permettant de déclencher l'intervention immédiate d'un 2 2
personnel spécialisé en cas d'alarme d'arrêt du système de contrôle d'accès automatique (ou
d'utilisation d'issue de secours) ?
11A01-12 Existe-t-il un processus d'audit permettant de détecter, a posteriori, des anomalies dans les 2 3
processus de contrôle d'accès (audit des procédures et du paramétrage des systèmes de contrôle
d'accès, audit des procédures d'exception et d'intervention, etc.) ?
11A02 Gestion des autorisations d'accès aux zones de bureaux protégées
11A02-01 La procédure d'attribution d'un droit d'accès permanent à une zone protégée nécessite-t-elle l'accord 4
formel du responsable de la zone protégée ?
11A02-02 L'authenticité des demandes d'attribution de droits d'accès est-elle vérifiable et vérifiée (contrôle de 4 2
signature) ?
11A02-03 Les autorisations accordées sont-elles attribuées nominativement et consignées sur un registre ou 4
enregistrées (avec mention du jour de l'autorisation et sa durée de validité) ?
11A02-04 A-t-on mis en place une procédure de retrait des droits systématique en cas de départ ou de 4 2
mutation ?
11A02-05 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des autorisations d'accès à chaque 1 2
zone protégée attribuées et de la pertinence de ces autorisations ?

MEHARI 2007-ed2 ! 11 Env 129 Février 2009


Questionnaire d'audit : Domaine de la protection de l'environnement de travail
N° Question Question Rép. P Max Min ISO 17799 Commentaires

11A02-06 Y a-t-il un enregistrement de toutes les entrées dans les zones protégées ? 2
11A02-07 Existe-t-il une procédure permettant de détecter, a posteriori, des anomalies dans la gestion des 4
autorisations (badge ou carte non restitué, utilisation d'un badge perdu, faux badge, etc.) ou dans
l'utilisation de ces autorisations ?
11A03 Détection des intrusions dans les zones de bureaux protégées
11A03-01 A-t-on un système opérationnel de détection des intrusions dans les zones de bureaux protégées 4 2
relié à un poste permanent de surveillance ?
Ce système devrait contrôler le forçage d'issue (portes et fenêtres), l'actionnement ou le maintien
ouvert d'une issue de secours, la présence de personnes en dehors des heures normales (détecteur
volumétrique) etc. Il peut également s'agir d'un système de vidéosurveillance relayé jusqu'à un
poste de garde permanent.
11A03-02 Ce système est-il doublé d'un système de contrôle audio et vidéo permettant à l'équipe de 4 3
surveillance d'établir un premier diagnostic à distance ?
11A03-03 En cas d'alerte du système de détection d'intrusion, l'équipe de surveillance a-t-elle la possibilité 4 2
d'envoyer sans délai une équipe d'intervention pour vérifier l'alerte et agir en conséquence ?
11A03-04 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse 4 3
d'alarmes multiples déclenchées volontairement ?
11A03-05 Les locaux contenant les systèmes électroniques de détection et de traitement des alarmes sont-ils 2 2
protégés en permanence par un système de contrôle d'accès et par un système de détection
d'intrusion en dehors des heures d'exploitation ?
11A03-06 Le système de détection d'intrusion est-il lui-même sous contrôle (alarme en cas d'inhibition, auto- 2 3
surveillance des caméras, etc.) ?
11A03-07 Les points de contrôle de la détection d'intrusion et les procédures de réaction aux intrusions font-ils 2 3
l'objet d'audits réguliers ?
11A04 Surveillance des zones de bureaux protégées
11A04-01 Pour les zones de bureaux protégées, utilise-t-on un système complémentaire de vidéosurveillance 4 3
cohérent et complet contrôlant les mouvements de personnes à l'intérieur de ces zones et
permettant de détecter des anomalies dans les comportements ?
11A04-02 En cas d'alerte, l'équipe de surveillance a-t-elle la possibilité d'envoyer sans délai une équipe 2
d'intervention pour vérifier l'alerte ou agir en conséquence ?
11A04-03 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse 4 3
d'alarmes multiples déclenchées volontairement ?
11A04-04 La surveillance des locaux est-elle également en service pendant le nettoyage des locaux sensibles ? 4
2
11A04-05 Existe-t-il un enregistrement de la vidéosurveillance, conservé sur une longue période ? 1
11A04-06 Le système de surveillance des locaux sensibles est-il lui-même sous contrôle (alarme en cas 2 3
d'inhibition, auto-surveillance des caméras, etc.) ?
11A04-07 Les procédures de surveillance et les procédures de réaction aux comportements anormaux font-ils 2 3
l'objet d'audits réguliers ?
11A05 Contrôle de la circulation des visiteurs et des prestataires occasionnels amenés à
intervenir dans les bureaux
11A05-01 Contrôle-t-on de manière globale le mouvement des visiteurs et des prestataires occasionnels (bon 2 9.1.2
horodaté à l'arrivée et au départ, signature de la personne visitée, etc.) ?

MEHARI 2007-ed2 ! 11 Env 130 Février 2009


Questionnaire d'audit : Domaine de la protection de l'environnement de travail
N° Question Question Rép. P Max Min ISO 17799 Commentaires

11A05-02 Les visiteurs et prestataires occasionnels sont-ils accompagnés en permanence (aller, retour à 2 2 9.1.2
l'accueil, déplacements intermédiaires) ?
11A05-03 Les visiteurs sont-ils accueillis dans une zone spécifiquement délimitée et ne contenant que des 4 3 9.1.2
locaux d'accueil, salles de réunions ou zones accessibles au public ?
11A05-04 A-t-on défini des procédures spécifiques de contrôle pour chaque type de prestataire extérieur au 4 9.1.2
service amené à intervenir dans les bureaux (SSII, sociétés de maintenance, personnel de
nettoyage, etc.) : port d'un badge spécifique, présence d'un accompagnateur, autorisation préalable
indiquant le nom de l'intervenant, etc. ?
11A05-05 Ces procédures permettent-elles de garantir que l'intervention correspond bien à un besoin exprimé 2 2
et que le domaine d'intervention est confiné au seul besoin ?
11A05-06 Y a-t-il un enregistrement des visiteurs et prestataires occasionnels permettant de vérifier a 1 3
posteriori la réalité et l'objet de la visite et a-t-on mis en place une procédure permettant de détecter
des abus éventuels ?
11A05-07 Les procédures de contrôle de la circulation des visiteurs et des prestataires occasionnels font-elles 1 3
régulièrement l'objet d'un audit ?
11B Protection de l'information écrite ou échangée (téléphone, messagerie)

11B01 Conservation et protection des pièces originales et éléments de preuve et des archives
patrimoniales
11B01-01 Existe-t-il un service spécialement chargé de l'archivage et de la protection des pièces devant être 2 13.2.3
conservées en tant que preuves, des éléments pouvant servir de justificatifs ou des archives
patrimoniales ?
11B01-02 Existe-t-il une procédure incitant ou obligeant les utilisateurs à utiliser le service d'archivage pour 2 13.2.3
toute pièce ayant valeur de preuve ou pour tout document représentant une valeur patrimoniale ?

11B01-03 Les délais d'archivage et de restitution en cas de besoins sont-ils conformes aux attentes des 2
utilisateurs ?
A défaut, les utilisateurs conserveront leurs documents à archiver.
11B01-04 Les pièces et documents ayant valeur de preuve ou considérés comme des valeurs patrimoniales 2 3
sont-ils stockés dans des coffres ignifuges, eux-mêmes placés dans des salles équipées de détection
et d'extinction incendie adaptée, de détection de dégâts des eaux et de moyens d'évacuation ?
11B01-05 Les pièces et documents ayant valeur de preuve ou considérés comme des valeurs patrimoniales 2 3
sont-ils dans des salles équipées de contrôle d'accès renforcé et de détection d'intrusion ?
11B01-06 L'arrêt ou l'inhibition des systèmes de sécurité (incendie, dégâts des eaux, contrôle d'accès, 2 2
détection d'intrusion) déclenchent-ils une alarme auprès d'un centre de surveillance pouvant
intervenir rapidement ?
11B01-07 Les conditions de stockage des pièces critiques en valeur de preuve ou considérées comme des 2 3
valeurs patrimoniales et les systèmes de sécurité associés font-ils l'objet d'audits réguliers ?
11B02 Rangement des bureaux et protection des documents et supports amovibles
11B02-01 Les procédures et instructions de sécurité précisent-elles les règles de protection applicables aux 4 2 10.7.1
documents et aux supports d'information situés dans les bureaux (quel que soit la nature du support)
?
11B02-02 Les procédures et instructions de sécurité précisent-elles les règles de protection applicables aux 4 2
micro-ordinateurs portables (rangement, attachement par un câble, etc.) ?
11B02-03 Les procédures et instructions de sécurité précisent-elles également les règles de protection 4 2
applicables aux tablettes ou assistants personnels pouvant contenir des informations sensibles ?

MEHARI 2007-ed2 ! 11 Env 131 Février 2009


Questionnaire d'audit : Domaine de la protection de l'environnement de travail
N° Question Question Rép. P Max Min ISO 17799 Commentaires

11B02-04 Le personnel peut-il disposer à la demande de possibilités de stockage sécurisé (en armoire forte) à 4
disponibilité immédiate (dans le bureau ou à proximité immédiate du bureau, à toute heure) ?
11B02-05 Le personnel est-il régulièrement sensibilisé à la nécessité de protéger les documents et autres 4 3
11B02-06 supports sensibles
Les services dans contrôlent-ils
de sécurité leur bureau ? très régulièrement (rondes quotidiennes) l'application des 4 3
règles de rangement des documents et supports divers situés dans les bureaux ?
11B03 Ramassage des corbeilles à papier et destruction des documents
11B03-01 L'intégralité du contenu des corbeilles à papier est-il soumis à un circuit de destruction sécurisé ? 4 3
11B03-02 Le personnel dispose-t-il d'une possibilité de destruction sécurisée des documents sensibles à 2
détruire (déchiqueteuse, circuit de ramassage spécial ) ?
11B03-03 Les moyens de destruction offerts au personnel offrent-ils une garantie forte que les documents 2 2
détruits ne peuvent pas être reconstitués ?
Pour cela, une déchiqueteuse doit être à coupe croisée
11B03-04 La capacité des moyens de destruction offerts au personnel est-elle compatible avec le volume 2 2
moyen des documents à détruire ?
11B03-05 A-t-on installé une déchiqueteuse de capacité suffisante à coté de chaque photocopieur ? 2
Nota : La capacité nécessaire devrait prendre en compte l'épaisseur maximale que peuvent
couramment atteindre les documents photocopiés.

11B03-06 L'ensemble des procédures et moyens de destruction fait-il l'objet d'audits réguliers ? 2
11B04 Sécurité du courrier
11B04-01 Le local de tri et de dispatching du courrier (arrivée et départ) est-il fermé à clé en dehors des heures 4
où le personnel y travaille ?
11B04-02 Le circuit de distribution du courrier assure-t-il que seul le service destinataire peut y avoir accès 4
(casiers fermés à clé, distribution directe et remise en main propre, etc.) ?
11B04-03 Dans les services utilisateurs, les courriers arrivés ou en partance ouverts sont-ils tenus à l'abri de 4
toute indiscrétion ?
11B04-04 Les courriers sensibles au départ sont-ils rendus banalisés (double enveloppe, le degré de 4
classification n'étant indiqué que sur l'enveloppe interne) ?
11B04-05 L'application des consignes et procédures de sécurisation du courrier est-elle régulièrement 4 3
auditée ?
11B05 Sécurité des fax
11B05-01 Le local de chaque fax est-il fermé en dehors des heures où le personnel y travaille ? 4
11B05-02 Le circuit de distribution des fax assure-t-il que seul le service destinataire peut y avoir accès (casiers 4
fermés à clé, distribution directe et remise en main propre, etc.) ?
11B05-03 Les possibilités et modalités de relève distante avec mot de passe sont-elles expliquées au personnel 4
et affichées à proximité immédiate des fax ?
11B05-04 Le mode de relève distante avec mot de passe est-il obligatoire pour l'envoi ou la réception de fax 4
sensible ?
11B06 Sécurité des autocommutateurs
11B06-01 Existe-t-il une politique de sécurité propre aux autocommutateurs définissant de manière restrictive 2 2
la configuration standard (pas de substitution de poste, pas de transfert d'appel commandé à
distance, etc.) et mettant en évidence les risques liés à certaines options ?

MEHARI 2007-ed2 ! 11 Env 132 Février 2009


Questionnaire d'audit : Domaine de la protection de l'environnement de travail
N° Question Question Rép. P Max Min ISO 17799 Commentaires

11B06-02 Cette politique a-t-elle reçu l'approbation du RSSI ? 4


11B06-03 La liste des postes autorisés à accéder aux options spéciales (transfert à distance des appels de leur 4 2
poste vers un autre, substitution de poste, etc.) est-elle limitée et strictement contrôlée ?
11B06-04 Contrôle-t-on qu'aucune ligne dédiée à un fax susceptible de recevoir des informations 2 2
confidentielles n'est ouverte à un transfert de poste distant ?
11B06-05 L'accès aux options spéciales est-il protégé par un mot de passe non standard et personnalisé ? 4 2
11B06-06 La configuration réelle des autocommutateurs et des options attachées à chaque poste autorisé à y 4 2
accéder est-elle régulièrement vérifiée (par référence à la politique de sécurité correspondante) ?
11B06-07 Les dérogations éventuelles sont-elles soumises à l'approbation du RSSI ? 4
11B06-08 La procédure d'attribution de droits d'administration sur les autocommutateurs nécessite-t-elle 4 2
l'accord formel de la hiérarchie et vérifie-t-on que le constructeur ne bénéficie pas de droits cachés ?

11B06-09 Le processus d'attribution (et modification ou retrait) de droits privilégiés à une personne ou à une 4 2 3
structure est-il strictement contrôlé ?
Un contrôle strict requiert une reconnaissance formelle de la signature (électronique ou non) du
demandeur, qu'il existe un contrôle d'accès très renforcé pour pouvoir attribuer ou modifier de tels
droits, et que les modifications d'attributions de droits privilégiés soient journalisées et auditées.
11B06-10 Y a-t-il un processus d'invalidation systématique des droits privilégiés lors de départs ou mutations 2
de personnel ?
11B06-11 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits privilégiés attribués ? 1 2
11B06-12 Le protocole d'authentification des administrateurs d'autocommutateurs est-il considéré comme 4 3
"fort" ?
Un protocole d'authentification est considéré comme fort s'il n'est pas susceptible d'être mis en
brèche par une observation ou une écoute de réseau, ni mis en défaut par des outils de spécialistes
(en particulier des outils de craquage de mots de passe). Il s'agit de protocole s'appuyant
généralement sur des procédés cryptologiques.
11B06-13 A défaut, s'il s'agit de mots de passe, les règles imposées peuvent-elles être considérées comme très 2
strictes et ont-elles été approuvées par le RSSI ?
Des règles très strictes supposent des mots de passe non triviaux et testés comme tels avant
acceptation, des mélanges de différents types de caractères avec une longueur importante (10 car
ou +)
11B07 Sécurité de la messagerie électronique et des échanges électroniques d'information
11B07-01 Existe-t-il une politique de sécurité propre à la messagerie électronique définissant les précautions 2 10.8.4
d'emploi et mesures de sécurité à mettre en oeuvre ?
11B07-02 A-t-on mis en place un service de messagerie chiffrée ? 4 10.8.4
11B07-03 A-t-on mis en place un service de signature électronique ? 4 10.8.4
11B07-04 Existe-t-il une politique de sécurité propre aux autres échanges électroniques d'information 2 10.8.5
(conference call, travail coopératif, partage de documents, etc.) définissant les précautions d'emploi
et mesures de sécurité à mettre en oeuvre ?
11C Protection des postes de travail
11C01 Contrôle d'accès au poste de travail

MEHARI 2007-ed2 ! 11 Env 133 Février 2009


Questionnaire d'audit : Domaine de la protection de l'environnement de travail
N° Question Question Rép. P Max Min ISO 17799 Commentaires

11C01-01 L'accès au poste de travail en lui-même (hors connexion au réseau) est-il protégé par un mot de 2
passe ou un système d'authentification ?
11C01-02 Le processus de création ou de modification de l'authentifiant vérifie-t-il le respect d'un ensemble de 4 2 11.2.3
règles permettant d'avoir confiance dans sa solidité intrinsèque ?
Dans le cas de mots de passe : longueur suffisante (8 caractères ou +), mélange obligatoire de types
de caractères, changement fréquent (<1 mois), impossibilité de réemployer un mot de passe ancien,
test de non trivialité fait en relation avec un dictionnaire, interdiction des "standards systèmes", des
prénoms, de l'anagramme de l'identifiant, de dates, etc.
Dans le cas de certificats ou d'authentification reposant sur des mécanismes cryptologiques utilisant
des clés de chiffrement : longueur de clé suffisante, processus de génération évalué ou reconnu
publiquement, etc.
11C01-03 Le processus de présentation par l'utilisateur de son authentifiant garantit-il son inviolabilité ? 4 2
La frappe d'un mot de passe sera toujours un point faible notable. Les seuls processus qui soient
observables sans divulguer d'information consistent soit à introduire un objet contenant un secret
(carte à puce), soit à présenter un caractère biométrique.
11C01-04 Le processus d'authentification est-il permanent (carte à puce) ou doit-il être réinitialisé après une 4
courte période d'inactivité ?
11C01-05 Le poste de travail est-il protégé contre toute introduction de logiciel par d'autres personnes que les 4
administrateurs du poste ?
11C01-06 Le poste de travail est-il protégé contre toute utilisation par d'autres personnes que les titulaires du 2 11.3.2
poste (en particulier en cas d'absence momentanée du titulaire, au-delà d'une durée tolérable, 10'
par exemple) ?
11C01-07 L'inhibition du service de contrôle d'accès au poste est-elle détectée dynamiquement lors de la 4
connexion au réseau d'entreprise ou, à défaut, régulièrement auditée ?
11C02 Protection de la confidentialité des données contenues dans le poste de travail ou sur un
serveur de données (disque logique pour le poste de travail)
11C02-01 Les données sensibles contenues éventuellement sur le poste de travail ou sur un disque logique de 4 11.7.1;
données partagées hébergé sur un serveur de données sont-elles chiffrées ? 12.3.1
11C02-02 Les éléments du processus de chiffrement sont-ils fortement protégés contre toute altération, 4 3
modification ou inhibition ?
11C02-03 Les postes de travail sont-ils équipés d'un système d'effacement empêchant effectivement de relire 4
toute donnée effacée sur le disque local ou sur un disque partagé ?
11C02-04 Le poste de travail est-il équipé d'un système d'effacement réel et efficace des fichiers temporaires 4
créés sur le disque local ou sur un disque partagé ?
11C02-05 Le processus ou les directives concernant le chiffrement des fichiers s'étend-il aux messages, aux 4
pièces jointes des messages et aux adresses de messagerie ?
11C02-06 Les utilisateurs ont-ils reçu une formation à l'utilisation des moyens de chiffrement et d'effacement 2 2
des informations à supprimer, leur indiquant, en particulier, les conditions à respecter pour que ce
chiffrement ne puisse être contourné ?
11C02-07 Procède-t-on à des audits réguliers de l'utilisation des moyens de chiffrement et d'effacement par les 2 3
utilisateurs ?
11C03 Prise en compte de la confidentialité lors des opérations de maintenance des postes
utilisateurs

MEHARI 2007-ed2 ! 11 Env 134 Février 2009


Questionnaire d'audit : Domaine de la protection de l'environnement de travail
N° Question Question Rép. P Max Min ISO 17799 Commentaires

11C03-01 Existe-t-il une procédure décrivant en détail les opérations à mener, avant appel à la maintenance, 4 9.2.6
pour empêcher que celle-ci ait accès aux informations sensibles éventuellement contenues sur le
poste (effacement physique des zones sensibles, effacement des fichiers temporaires, conservation
du disque, etc.) ?
11C03-02 Existe-t-il une procédure et une clause contractuelle vis-à-vis du personnel de maintenance (interne 4
et externe), spécifiant que tout support ayant contenu des informations sensibles doit être détruit en
cas de mise au rebut ?
11C03-03 Existe-t-il une procédure de vérification de l'intégrité des systèmes après intervention de la 4 3
maintenance (absence de logiciel espion, absence de cheval de Troie, etc.) ?
11C03-04 Les procédures ci-dessus sont-elles obligatoires en toute circonstance et les dérogations éventuelles 2 3
doivent-elles être signées par un membre de la Direction ?
11C03-05 Les procédures ci-dessus font-elles l'objet d'un audit régulier ? 2 3
11C04 Protection de l'intégrité des fichiers contenus sur le poste de travail ou sur un serveur de
données (disque logique pour le poste de travail)
11C04-01 Les fichiers sensibles contenus éventuellement sur le poste de travail ou sur un disque logique de 4
fichiers partagés hébergé sur un serveur de données sont-ils protégés par un mécanisme
d'interdiction d'écriture et/ou de contrôle d'intégrité ?
Nota : un tel mécanisme peut autoriser la création de copies de travail modifiables tout en
11C04-02 garantissant
Les élémentsl'intégrité de l'original.
du processus de contrôle d'intégrité sont-ils fortement protégés contre toute altération, 4 3
modification ou inhibition ?
11C04-03 Le processus ou les directives concernant le contrôle d'intégrité s'étend-il aux messages, aux pièces 4
jointes des messages et aux adresses de messagerie ?
11C04-04 Les utilisateurs ont-ils reçu une formation à l'utilisation des moyens de contrôle d'intégrité, leur 2 2
indiquant, en particulier, les conditions à respecter pour que ce contrôle ne puisse être contourné ?
11C04-05 Procède-t-on à des audits réguliers de l'utilisation des moyens de contrôle d'intégrité par les 2 3
utilisateurs ?
11C05 Travail en dehors des locaux de l'entreprise
11C05-01 A-t-on établi une politique de sécurité et des recommandations relatives au travail en dehors des 4 11.7.1;
locaux de l'entreprise ? 11.7.2;
Les recommandations et directives devraient traiter des précautions à prendre aussi bien dans des 9.2.5
situations de travail à domicile, qu'en déplacement ou dans les transports publics et couvrir la
protection des micro-ordinateurs portables, l'utilisation du pare-feux et de l'antivirus à jour, les
connexions à des réseaux publics ou tiers, les précautions à prendre concernant les documents
écrits, les messageries instantanées et les conversations téléphoniques et orales.
11C05-02 A-t-on établi une politique de sécurité et des recommandations relatives au télétravail (avec 4 11.7.2
connexion au réseau de l'entreprise) ?
Les recommandations et directives devraient traiter des précautions et moyens à prendre et couvrir
la sécurité des connexions au réseau d'entreprise (authentification renforcée, VPN, etc.), la
restriction éventuelle des autorisations d'accès, les précautions à prendre concernant l'utilisation du
poste personnel par d'autres personnes que le titulaire du poste (famille, amis, etc.), etc.
11C05-03 Les personnes susceptibles de travailler en dehors des locaux de l'entreprise reçoivent-elles une 2 11.7.1;
sensibilisation et une formation sur les mesures à appliquer pour protéger les documents utilisés, 9.2.5
leurs systèmes et les données qu'ils contiennent ?
Ces protections concernent la sécurité physique et logique contre le vol mais aussi les indiscrétions
ou les accès non autorisés par la famille tout autant qu'en public.

MEHARI 2007-ed2 ! 11 Env 135 Février 2009


Questionnaire d'audit : Domaine de la protection de l'environnement de travail
N° Question Question Rép. P Max Min ISO 17799 Commentaires

11C05-04 Les moyens informatiques utilisés pour le travail en dehors des locaux de l'entreprise (micro- 4 2 11.7.2
ordinateurs portables) sont-ils exclusivement des moyens de l'entreprise, configurés spécifiquement
(en particulier s'ils permettent la connexion au réseau interne) ?
11C05-05 La configuration des moyens informatiques utilisés pour le travail en dehors des locaux de 2 3
l'entreprise (micro-ordinateurs portables) est-elle régulièrement contrôlée ?
11C06 Utilisation d'équipements personnels
11C06-01 A-t-on établi une politique de sécurité relatives à l'utilisation d'équipements personnels dans le cadre 2 11.7.2;
du travail ? 6.1.4
Les directives devraient traiter de l'introduction et de l'utilisation d'équipements personnels tels que
ordinateurs portables, assistants personnels, disques externes,etc.
11C06-02 A-t-on défini et mis en place des moyens de contrôle relatifs à l'usage d'équipements personnels ? 4 6.1.4

11D Continuité de service de l'environnement de travail


11D01 Organisation de la maintenance du matériel mis à la disposition du personnel
11D01-01 Tous les matériels sont-ils couverts par un contrat de maintenance (micro-ordinateurs, 2
périphériques, etc.) ?
11D01-02 Existe-t-il des contrats de maintenance particuliers pour tous les matériels demandant une forte 4
disponibilité dont la réparation ou le remplacement ne pourrait s'effectuer dans des délais
acceptables ?
11D01-03 Ces contrats prévoient-ils des engagements d'intervention dont la durée maximale est fixée au 4 2
contrat et compatible avec les impératifs de disponibilité ?
11D01-04 Les contrats de maintenance, le choix des prestataires et les procédures de maintenance associées 2 3
font-ils l'objet d'un audit régulier ?
11D02 Organisation de la maintenance du logiciel utilisateur (système, middleware et applicatif)
11D02-01 Existe-t-il des contrats de maintenance pour tous les produits logiciels installés sur les postes 2
utilisateurs ?
11D02-02 Les fournisseurs disposent-ils d'un centre technique de support logiciel garantissant une assistance 2
téléphonique rapide et compétente ?
11D02-03 Existe-t-il des contrats de maintenance particuliers pour tous les logiciels systèmes demandant une 4
forte disponibilité dont la maintenance courante ne pourrait s'effectuer dans des délais acceptables ?
11D02-04 Les contrats de maintenance et les procédures de maintenance associées font-ils l'objet d'un audit 2 3
régulier ?
11D03 Plans de sauvegardes des configurations utilisateurs
11D03-01 Les utilisateurs sont-ils sensibilisés et formés aux sauvegardes des données éventuellement stockées 2
sur leur poste de travail. ?
11D03-02 L'ensemble des configurations utilisateurs (ou des paramètres permettant de les reconstituer) est-il 4
systématiquement sauvegardé ?
11D03-03 La sauvegarde des configurations utilisateurs permet-elle de reconstituer à tout moment leur 4
environnement de travail ?
11D03-04 L'ensemble des procédures et plans de sauvegarde des configurations utilisateurs fait-il l'objet d'un 2 3
audit régulier ?
11D04 Plan de sauvegardes des données utilisateurs stockées sur serveurs de données
11D04-01 L'ensemble des données utilisateurs (stockées sur serveur de données) est-il systématiquement 1
sauvegardé ?

MEHARI 2007-ed2 ! 11 Env 136 Février 2009


Questionnaire d'audit : Domaine de la protection de l'environnement de travail
N° Question Question Rép. P Max Min ISO 17799 Commentaires

11D04-02 La fréquence des sauvegardes a-t-elle été communiquée aux utilisateurs ? 2


11D04-03 Dispose-t-on systématiquement de plusieurs générations de fichiers de sauvegardes afin de pouvoir 4
s'affranchir d'un manque ou d'un illisible, en organisant par exemple une rotation des supports de
sauvegarde ?
11D04-04 Conserve-t-on systématiquement un jeu de sauvegardes trimestrielles ou semestrielles, afin de 2
pouvoir servir d'archives de secours ?
11D04-05 Les procédures de sauvegarde des données bureautiques font-elles l'objet d'un audit régulier ? 2 3
11D05 Plan de sauvegardes des données utilisateurs stockées sur les postes de travail
11D05-01 L'ensemble des données utilisateurs (stockées sur les postes de travail) est-il systématiquement 1 11.7.1
sauvegardé (à l'initiative des utilisateurs, à fréquence fixe ou à l'occasion d'une connexion au réseau
interne) ?
11D05-02 Les utilisateurs ont-ils la possibilité de déclencher eux-mêmes une sauvegarde en cas de besoin ? 2
11D05-03 Dispose-t-on systématiquement de plusieurs générations de fichiers de sauvegardes afin de pouvoir 4
s'affranchir d'un manque ou d'un illisible, en organisant par exemple une rotation des supports de
sauvegarde ?
11D05-04 Conserve-t-on systématiquement un jeu de sauvegardes trimestrielles ou semestrielles, afin de 2
pouvoir servir d'archives de secours ?
11D05-05 Les procédures de sauvegarde des données bureautiques font-elles l'objet d'un audit régulier ? 2 3
11D06 Protection des stations utilisateurs contre des codes malveillants ou des codes
exécutables non autorisés
11D06-01 A-t-on défini une politique afin de lutter contre les risques d'attaque par des codes malveillants 1 10.4.1
(virus, chevaux de Troie, vers, etc.) : interdiction d'emploi de logiciels non préalablement autorisés,
mesures de protection lors de la récupération de fichiers via des réseaux externes, revues de
logiciels installés ?
11D06-02 Les stations de travail sont elles pourvues de dispositifs de protection contre les virus et les codes 4
malveillants ?
11D06-03 Le produit anti-virus est-il régulièrement et automatiquement mis à jour ? 4 2
11D06-04 A-t-on défini les actions à mener par le management en cas d'attaque par des codes malveillants 4 3 10.4.1
(alerte, actions de confinement, déclenchement de processus de gestion de crise, etc.) ?
11D06-05 A-t-on défini une politique et des mesures de protection pour lutter contre des codes exécutables 1 3 10.4.2
(applets, contrôles activeX, etc.) non autorisés (blocage ou contrôle de l'environnement dans lequel
ces codes s'exécutent, contrôle des ressources accessibles par les codes mobiles, authentification de
l'émetteur, etc.) ?
11D06-06 L'activation et la mise à jour des anti-virus sur les stations utilisateurs font-elles l'objet d'un audit 2 3
régulier ?
11D07 Plans de Reprise de l'Environnement de Travail
11D07-01 Existe-t-il une solution de secours pour pallier l'indisponibilité de l'environnement de travail 4 2
(indisponibilité des locaux, de l'alimentation en énergie, de la téléphonie, etc.) ?
11D07-02 Cette solution est-elle décrite en détail dans un Plan de Reprise de l'Environnement de Travail (PRET) 4
incluant les règles de déclenchement, les actions à mener, les priorités, les acteurs à mobiliser et
leurs coordonnées ?
11D07-03 Ce plan est-il testé au moins une fois par an ? 4 2

MEHARI 2007-ed2 ! 11 Env 137 Février 2009


Questionnaire d'audit : Domaine de la protection de l'environnement de travail
N° Question Question Rép. P Max Min ISO 17799 Commentaires

11D07-04 Le cas de défaillance ou d'indisponibilité du moyen de secours a-t-il été envisagé et y a-t-il un back- 2 3
up de deuxième niveau ?
11D07-05 La solution de secours est-elle utilisable pour une durée illimitée ou, à défaut, est-il prévu une 2
deuxième solution venant en remplacement de la première après un temps déterminé ?
11D07-06 L'existence, la pertinence et la mise à jour du PRET font-elles l'objet d'un audit régulier ? 2 3

MEHARI 2007-ed2 ! 11 Env 138 Février 2009


Questionnaire d'audit : Domaine Juridique et Réglementation
N° Question Question Rép. P Max Min ISO 17799 Commentaires

12A Respect de la législation concernant les relations avec le personnel et


avec des tiers
12A01 Respect de la réglementation extérieure et de la législation concernant la protection des
renseignements personnels
12A01-01 Une politique de protection des renseignements personnels est-elle définie, en vigueur et 4 2 15.1.4
communiquée aux personnels concernés ?
12A01-02 Existe-t-il un recueil regroupant l'ensemble des dispositions légales ou réglementaires liées au 4 15.1.4
système d'information et à la protection des renseignements personnels, applicables à l'entreprise
ou à l'organisme ?
12A01-03 Ces règles précisent-elles la conduite à tenir en ce qui concerne la correspondance privée, les 4
messages électroniques personnels et les communications personnelles reçues ou émises par le
personnel avec des ressources appartenant à l'entreprise ?
12A01-04 Les règles concernant les dispositions légales ou réglementaires liées au système d'information et au 4
respect de la vie privée sont-elles rendues facilement accessibles à l'ensemble du personnel
(Intranet, par exemple) ?
12A01-05 Le document concernant les dispositions légales liées au système d'information et à la protection de 2 3
la vie privée, s'il existe, fait-il l'objet d'une procédure régulière de mise à jour avec validation par un
juriste ?
12A02 Respect de la réglementation extérieure et de la législation concernant les accès non
autorisés à des systèmes tiers
12A02-01 Existe-t-il un recueil regroupant l'ensemble des dispositions légales ou réglementaires liées au 4
système d'information et concernant les accès non autorisés à des systèmes tiers ?
12A02-02 Les règles concernant les dispositions légales ou réglementaires liées au système d'information et 4
concernant les accès non autorisés à des systèmes tiers sont-elles rendues facilement accessibles à
l'ensemble du personnel (Intranet, par exemple) ?
12A02-03 Le document concernant les dispositions légales liées au système d'information et concernant les 2 3
accès non autorisés à des systèmes tiers, s'il existe, fait-il l'objet d'une procédure régulière de mise à
jour avec validation par un juriste ?
12B Protection de la propriété intellectuelle
12B01 Respect de la réglementation extérieure et de la législation concernant la protection de la
propriété intellectuelle
12B01-01 Existe-t-il un recueil regroupant l'ensemble des dispositions légales ou réglementaires liées au 4 15.1.2
système d'information et concernant la protection de la propriété intellectuelle, applicables à
l'entreprise ou à l'organisme ?
12B01-02 Ces règles sont-elles explicites quant à l'interdiction d'emploi de logiciels sans licence en règle et aux 2 2 15.1.2
limitations de copie des logiciels, des enregistrements (vidéo, audio) commerciaux et des documents
?
12B01-03 Ces règles et limitations ont-elles été communiquées au personnel ? 2 2 15.1.2
12B01-04 Ces règles précisent-elles les sanctions encourues en cas de manquement ? 4 15.1.2
12B01-05 Existe-t-il un système d'enregistrement de l'ensemble des produits acquis et de conservation des originaux ?3 15.1.2
12B01-06 Existe-t-il des contrôles réguliers des licences des logiciels installés ? 2
12C Respect de la législation concernant la communication financière

MEHARI 2007-ed2 ! 12 Jur 139 Février 2009


Questionnaire d'audit : Domaine Juridique et Réglementation
N° Question Question Rép. P Max Min ISO 17799 Commentaires

12C01 Respect de la législation concernant la communication financière


Il s'agit notamment de la Loi de Sécurité Financière ou loi Mer en France et du Sarbanes Oxley Act
aux États Unis
12C01-01 La Direction Générale a-t-elle fait évaluer la qualité du contrôle interne pour s'assurer de 4
l'adéquation des procédures et du contrôle interne supportant la production des états financiers vis à
vis de la réglementation ?
12C01-02 Le rapport d'évaluation a-t-il été contrôlé et approuvé par les auditeurs externes (ou les 2 2
commissaires aux comptes, en France) ?
12C01-03 Les dirigeants certifient-ils l'efficacité des procédures et des contrôles mis en oeuvre pour assurer la 2
sécurité de la communication financière ?
12C01-04 Existe-t-il un Comité d'audit chargé de choisir les auditeurs externes, d'en fixer la rémunération et 4
d'en superviser les activités ?
12C01-05 Les membres de ce comité d'audit sont-ils totalement indépendants (c'est-à-dire qu'ils n'exercent 2 2
aucun pouvoir opérationnel au sein de la société, ne sont affiliés à aucune personne exerçant des
pouvoirs dans la société, et ne reçoivent de la société d'autre rémunération que celle liée à leur
fonction dans le comité d'audit) ?
12C01-06 Existe-t-il un référentiel formalisant l'ensemble des règles relatives à la collecte, au traitement et à la 4
présentation des données conduisant à la communication financière ?
12C01-07 L'application du référentiel permet-elle de tracer toute information émise et de remonter la chaîne de 2 2
l'information pour identifier les données (faits générateurs, écritures comptables, ...) et décisions à
l'origine de l'information ?
12D Respect de la législation concernant l'usage de la cryptologie
12D01 Respect de la réglementation extérieure et de la législation concernant l'usage de la
cryptologie
12D01-01 Existe-t-il un recueil regroupant l'ensemble des dispositions légales ou réglementaires liées au 4 15.1.6
système d'information et concernant l'usage de la cryptologie ?
12D01-02 Ces règles précisent-elles les différences d'usage possibles selon les pays et fournissent-elles les 4
recommandations adaptées à la législation des pays avec lesquels l'entreprise est susceptible de
communiquer ?
12D01-03 Les règles concernant les dispositions légales ou réglementaires liées au système d'information et 4
concernant l'usage de la cryptologie sont-elles rendues facilement accessibles à l'ensemble du
personnel (Intranet, par exemple) ?
12D01-04 Le document concernant les dispositions légales liées au système d'information et concernant 2 3 15.1.6
l'usage de la cryptologie, s'il existe, fait-il l'objet d'une procédure régulière de mise à jour avec
validation par un juriste ?
12D01-05 L'application de ces règles est-elle contrôlée avec montée d'une alerte auprès d'un responsable 2
désigné ?
12D01-06 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des utilisations d'outils 3 2
cryptographiques par l'entité ?
12E Respect de la législation concernant la Vérification de la Comptabilité
Informatisée (VCI)
12E01 Conservation des données et traitements
12E01-01 A-t-on établi la liste des types d'enregistrements à conserver et les procédures et protections à 4 1
appliquer jusqu'à leur élimination ?

MEHARI 2007-ed2 ! 12 Jur 140 Février 2009


Questionnaire d'audit : Domaine Juridique et Réglementation
N° Question Question Rép. P Max Min ISO 17799 Commentaires

12E01-02 Conserve-t-on les données élémentaires de comptabilité conformément à la réglementation VCI ? 4


Les données élémentaires sont des données non agrégées, prises en compte dès leur origine, par
exemple : fichiers historiques des mouvements (commandes, factures, stocks...), pièces
justificatives, bordereaux de saisie, données permanentes, mouvements de mise à jour des
fichiers... ;
12E01-03 Conserve-t-on les fichiers à caractères permanents ou référentiels (plan comptable, fichiers clients, 4
fournisseurs, tarifs, produits...) conformément à la VCI ?
12E01-04 Conserve-t-on les procédures d’exploitation conformément à la réglementation VCI ? 4
12E01-05 Conserve-t-on les systèmes opérationnels possédant un lien direct ou indirect avec le système 4
comptable ?
Les systèmes possédant un lien direct ou indirect avec le système comptable doivent être maintenus
afin de pouvoir apporter la preuve de la véridicité des données
12E01-06 Conserve-t-on les applications comptables ou alimentant la comptabilité par l’intermédiaire de 4
fichiers d’interface ?
12E01-07 Conserve-t-on les applications de nature analytique ou budgétaire utilisées pour déterminer les 4
charges et les produits ?
12E01-08 Respecte-t-on les contraintes liées à aux migrations de systèmes ou d'applications ? 4
En cas de migrations l’entreprise doit être capable de fournir soit des copies de l’historique de
chaque fichier de données, soit une conversion et un historique de la compatibilité des fichiers de
données avec le nouveau système. Il n’est donc pas nécessaire de conserver l’ancien système en
état de marche.
12E02 Documentation des données , procédures et traitements liés à la comptabilité
12E02-01 Tient-on à jour un inventaire des applications et documentations susceptibles d’être contrôlées dans
le cadre d’une VCI ? 4
12E02-02 Conserve-t-on une documentation complète comprenant l’ensemble des dossiers requis ? 4
La documentation doit comprendre les dossiers suivants : étude de l’organisation informatique,
inventaire et description des matériels utilisés, conception générale, spécifications fonctionnelles,
réalisation informatique (description des chaînes de traitement, description des données et
traitements, code source), maintenance, paramétrage, documentation utilisateur, documentation
d'exploitation, procédures de contrôle interne, plan d'archivage

12E02-03 La documentation est-elle conservée sur le support (papier ou informatique) exigé par la 1
réglementation ?
12E02-04 La documentation est elle mise à jour et suit-elle une règle de suivi des mises à jour 4
précise (versioning) ?
12E02-05 L’accès au code source du programme est-il possible ? 4
12E02-06 L’ensemble des documents, données et traitements soumis au droit de contrôle est-il accessible et 1
consultable sur le territoire national ?
12E02-07 Le plan de conservation des données et informations, dont la documentation, est-il conforme aux 1
règles en vigueur (durée et nature des supports) ?
12E02-08 Les contrats informatiques conclus avec des tiers contiennent-ils une clause juridique spécifique 1
prenant en compte la réglementation sur la VCI, mise à disposition de code source, documentation,
assistance technique en cas de VCI ?
Tiers = fournisseurs de logiciels (système, applications, utilitaires, etc.) concernés par la VCI

MEHARI 2007-ed2 ! 12 Jur 141 Février 2009


Questionnaire d'audit : Domaine Juridique et Réglementation
N° Question Question Rép. P Max Min ISO 17799 Commentaires

12E02-09 Les développements d’applications (et leur mise à jour) inclus dans le périmètre VCI donnent-ils lieu 1
à une documentation conforme aux règles en vigueur ?

12E02-10 Lors d’acquisition de société prévoit-on une clause de garantie sur les obligations en matière de 1
VCI ?
12E02-11 Existe-t-il une procédure de contrôle du plan de sauvegarde des documents techniques 1
d’exploitation, des données et traitements et des versions des différents éléments sauvegardés ?

MEHARI 2007-ed2 ! 12 Jur 142 Février 2009


Scoring ISO 17799 : 2005 ou 27002

Questions ou services
5 Politique de sécurité support du scoring
5.1 Politique de sécurité de l'information
5.1.1 Document de politique de sécurité de l'information 01A02-01
5.1.2 Réexamen de la politique de sécurité de l'information 01A02-02
6 Organisation de la sécurité de l'information
6.1 Organisation interne
6.1.1 Engagement de la direction vis-à-vis de la sécurité de l'information 01A02-09
6.1.2 Coordination de la sécurité de l'information 01A02-03:05
6.1.3 Attribution des responsabilités en matière de sécurité de 01A02-06:07
l'information
6.1.4 Système d'autorisation concernant les moyens de traitement de 06A02-09
l'information 08A04-11
11C06-01:02
6.1.5 Engagement de confidentialité 01C01-01:05
6.1.6 Relations avec les autorités 01A02-10
6.1.7 Relations avec des groupes de spécialistes 01A02-11
6.1.8 Revue indépendante de la sécurité de l'information 01A02-13
6.2 Tiers
6.2.1 Identification des risques provenant des tiers 01C05-01
6.2.2 La sécurité et les clients 01C05-02
6.2.3 La sécurité dans les accords conclus avec des tiers 01C05-04:05
7 Gestion des biens
7.1 Responsabilités relatives aux biens
7.1.1 Inventaire des biens 01B04-01:02
7.1.2 Propriété des biens 01B04-03
7.1.3 Utilisation correcte des biens 01B04-04
7.2 Classification des informations
7.2.1 Lignes directrices pour la classification 01B03-03
01B03-10
7.2.2 Marquage et manipulation de l'information 01B02-04
01B03-02
8 Sécurité liée aux ressources humaines
8.1 Avant le recrutement
8.1.1 Rôles et responsabilités 01C03-01

MEHARI 2007-ed2 ! Scoring ISO 143 Février 2009


8.1.2 Sélection 01C03-02:04
8.1.3 Conditions d'embauche 01C01-01:02
8.2 Pendant la durée du contrat
8.2.1 Responsabilités de la direction 01C01-06
8.2.2 Sensibilisation, qualification et formations en matière de sécurité 01C04-01:05
de l'information
8.2.3 Processus disciplinaire 01B01-07
8.3 Fin ou modification de contrat
8.3.1 Responsabilités en fin de contrat 01B01-09
8.3.2 Restitution des biens 01B04-05
8.3.3 Retrait des droits d'accès 01B01-10
9 Sécurité physique et environnementale
9.1 Zones sécurisées
9.1.1 Périmètre de sécurité physique 02A03-01:02
02A03-06
02A04-01
9.1.2 Contrôle physique des accès 03B01-01
03B01-05
03B03-01
11A05-01:04
9.1.3 Sécurisation des bureaux, des salles et des équipements 03B08-01:03
9.1.4 Protection contre les menaces extérieures et environnementales 03C01-01
03C02-01:03
03D01-01
03D02-01
03D03-06
03E01-01:02
9.1.5 Travail dans les zones sécurisées 03B02-08
03B03-01
03B06-01
9.1.6 Zones d'accès public, de livraison et de chargement 02A05-01:05
9.2 Sécurité du matériel
9.2.1 Choix de l'emplacement et protection du matériel 06A02-03
08A01-01
08A04-03
9.2.2 Services généraux 03A01-01:03
03A02-01
03A03-01
03A03-03
9.2.3 Sécurité du câblage 03A04-01:04

MEHARI 2007-ed2 ! Scoring ISO 144 Février 2009


9.2.4 Maintenance du matériel 04A03-01
05A04-01
06A03-01
06A07-01:02
08A05-01
08A06-01:02
08D01-01
9.2.5 Sécurité du matériel hors des locaux 11C05-01
11C05-03
9.2.6 Mise au rebut ou recyclage sécurisé(e) du matériel 06A07-01
08A06-01:02
08C01-04
11C03-01
9.2.7 Sortie d'un bien 01B04-06
10 Gestion de l'exploitation et des télécommunications
10.1 Procédures et responsabilités liées à l'exploitation
10.1.1 Procédures d'exploitation documentées 06A05-01:03
08A09-01:03
10.1.2 Gestion des modifications 06A02-01
08A04-01
10.1.3 Séparation des tâches 06C01-03:05
08F01-01:03
10.1.4 Séparation des équipements de développement, de test et 06B01-07:08
d'exploitation
10.2 Gestion de la prestation de service par un tiers
10.2.1 Prestation de service 06A06-01:02
08A10-01:02
10.2.2 Surveillance et réexamen des services tiers 06A06-03:04
08A10-03:04
10.2.3 Gestion des modifications dans les services tiers 06A06-05
08A10-05
10.3 Planification et acceptation du système
10.3.1 Dimensionnement 06A02-02
08A04-02
10.3.2 Acceptation du système 06A02-04
06A02-06:07
08A04-05
08A04-07:09
10.4 Protection contre les codes malveillant et mobile

MEHARI 2007-ed2 ! Scoring ISO 145 Février 2009


10.4.1 Mesures contre les codes malveillants 08D07-01:02
11D06-01
11D06-04
10.4.2 Mesures contre le code mobile 11D06-05
10.5 Sauvegarde
10.5.1 Sauvegarde des informations 04A05-01:07
05A06-01:07
08D04-01:07
08D05-01:12
10.6 Gestion de la sécurité des réseaux
10.6.1 Mesures sur les réseaux 06C01-03:04
06C03-01:02
10.6.2 Sécurité des services réseaux 06A08-01:02
10.7 Manipulation des supports
10.7.1 Gestion des supports amovibles 08C01-01:04
08C03-11
11B02-01
10.7.2 Mise au rebut des supports 07B01-08
08C01-03
10.7.3 Procédures de manipulation des informations 01B02-03:07
10.7.4 Sécurité de la documentation système 08B01-03
08B01-05
08B02-05
10.8 Echanges des informations
10.8.1 Politique et procédures d'échange des informations 01B02-03:05
01B02-07:08
10.8.2 Accords d'échange 01C05-03
10.8.3 Supports physiques en transit 08C04-03
08C07-01
10.8.4 Messagerie électronique 11B07-01:03
10.8.5 Systèmes d'information d'entreprise 11B07-04
10.9 Services de commerce électronique
10.9.1 Commerce électronique 09H01-01
10.9.2 Transactions en ligne 09H01-02
10.9.3 Informations à disposition du public 09H01-03
10.10 Surveillance
10.10.1 Rapport d'audit 04D02-01:02
05D02-01:02
07C01-04:06
07C02-04:06

MEHARI 2007-ed2 ! Scoring ISO 146 Février 2009


10.10.2 Surveillance de l'exploitation du système 04D01-01:03
04D01-08
05D01-01:03
05D01-08
07C01-01:02
07C02-01:02
10.10.3 Protection des informations journalisées 04D01-09
04D02-06
04D02-08
05D01-09
05D02-06
05D02-08
07C01-06:07
07C02-06:07

10.10.4 Journal administrateur et journal des opérations 06C03-01:07


08F03-01:07
10.10.5 Rapports de défaut 04D03-01:04
05D03-01:04
10.10.6 Synchronisation des horloges 06B01-03
08B01-04
11 Contrôle d'accès
11.1 Exigences métier relatives au contrôle d'accès
11.1.1 Politique de contrôle d'accès 05B01-01
06C01-01
07A01-01
09A01-01
11A01-01
11.2 Gestion de l'accès utilisateur
11.2.1 Enregistrement des utilisateurs 01C06-01:06
11.2.2 Gestion des privilèges 05B01-02
05B02-03
06C01-03
06C01-06
07A01-02
07A02-03
08F01-01
08F01-04
09A01-02
09A02-03

MEHARI 2007-ed2 ! Scoring ISO 147 Février 2009


11.2.3 Gestion du mot de passe utilisateur 05B03-02
07A03-02
09A03-02
11C01-02
11.2.4 Réexamen des droits d'accès utilisateurs 05B01-08
05B02-04
05B02-06
06C01-07:08
06C02-07
07A01-08
07A02-04
07A02-07
08F01-05:06
08F02-06
09A01-08
09A02-04
09A02-07

11.3 Responsabilités utilisateurs


11.3.1 Utilisation du mot de passe 01B01-02
11.3.2 Matériel utilisateur laissé sans surveillance 01B01-03
11C01-06
11.3.3 Politique du bureau propre et de l'écran vide 01B02-07
11.4 Contrôle d'accès au réseau
11.4.1 Politique relative à l'utilisation des services en réseau 01B02-05
11.4.2 Authentification de l'utilisateur pour les connexions externes 01B02-01:02
05B05-01:03
05B08-01:03
11.4.3 Identification des matériels en réseau 05B07-08
11.4.4 Protection des ports de diagnostic et de configuration à distance 06A02-07
06A04-01:03
06A04-05
08A07-01:03
08A07-05
08B01-02
11.4.5 Cloisonnement des réseaux 01B02-02
05A01-02:05
11.4.6 Mesure relative à la connexion réseau 04B01-04:05
05A01-05
05A01-07
11.4.7 Contrôle du routage réseau 04B01-10
05A01-11
11.5 Contrôle d'accès au système d'exploitation

MEHARI 2007-ed2 ! Scoring ISO 148 Février 2009


11.5.1 Ouverture de sessions sécurisées 07A03-03:06
11.5.2 Identification et authentification de l'utilisateur 07A04-01:04
09A04-01:04
11.5.3 Système de gestion des mots de passe 07A03-01:07
09A03-01:06
11.5.4 Emploi des utilitaires système 08A02-01:05
11.5.5 Déconnexion automatique des sessions inactives 07A04-06
09A04-06
11.5.6 Limitation du temps de connexion 07A01-04:05
09A01-04
09A04-05
11.6 Contrôle d'accès aux applications et à l'information
11.6.1 Restriction d'accès à l'information 09A01-02
09A02-01:02
09A04-01:02
09A04-07
11.6.2 Isolation des systèmes sensibles 07D02-01:03
11.7 Informatique mobile et télétravail
11.7.1 Informatique mobile et télécommunications 01B02-08
11C02-01
11C05-01
11C05-03
11D05-01
11.7.2 Télétravail 11C05-01:02
11C05-04
11C06-01
12 Acquisition, développement et maintenance des systèmes d'information
12.1 Exigences de sécurité applicables aux systèmes d'information
12.1.1 Analyse et spécification des exigences de sécurité 10A01-01:03
10A01-08
12.2 Bon fonctionnement des applications
12.2.1 Validation des données d'entrée 09B03-01:05
09B03-07
09B04-01
12.2.2 Mesure relative au traitement interne 10B03-01:04
12.2.3 Intégrité des messages 09B02-01:03
12.2.4 Validation des données de sortie 09B04-01
12.3 Mesures cryptographiques

MEHARI 2007-ed2 ! Scoring ISO 149 Février 2009


12.3.1 Politique d'utilisation des mesures cryptographiques 04C01-01
05C01-01
05C03-01
08C06-05
09C01-01
09C02-01
09F01-01
11C02-01

12.3.2 Gestion des clés 04C01-03


05C01-03
05C03-03
08D03-09
09C01-03
09C02-04
09F01-04
12.4 Sécurité des fichiers système
12.4.1 Mesures relatives aux logiciels en exploitation 06A02-04
06A02-09
08A04-04
08A04-10
08B03-01
10B01-03
12.4.2 Protection des données systèmes d'essai 10B04-01:05
12.4.3 Contrôle d'accès au code source du programme 10B02-04
10B05-08
12.5 Sécurité en matière de développement et d'assistance technique
12.5.1 Procédures de contrôle des modifications 08A04-03:04
10A02-01:02
12.5.2 Réexamen technique des applications après modification du 10A02-03:04
système d'exploitation
12.5.3 Restrictions relatives à la modification des progiciels 10A05-01:03
12.5.4 Fuite d'informations 10A01-04
12.5.5 Externalisation du développement logiciel 10A03-01:05
12.6 Gestion des vulnérabilités techniques
12.6.1 Mesures relatives aux vulnérabilités techniques 08B01-03
08B02-03
13 Gestion des incidents liés à la sécurité de l'information
13.1 Signalement des événements et des failles liés à la sécurité de l'information
13.1.1 Signalement des événements liés à la sécurité de l'information 01A03-01:04
01A02-12
13.1.2 Signalement des failles de sécurité 01C04-06

MEHARI 2007-ed2 ! Scoring ISO 150 Février 2009


13.2 Gestion des améliorations et incidents liés à la sécurité de l'information
13.2.1 Responsabilités et procédures 01A02-12
01A03-04
05D03-07
13.2.2 Exploitation des incidents liés à la sécurité de l'information déjà 01A03-05
survenus
13.2.3 Collecte de preuves 01A03-06
09D04-02
11B01-01:02
14 Gestion du plan de continuité de l'activité
14.1 Aspects de la sécurité de l'information en matière de gestion de la continuité de l'activité
14.1.1 Intégration de la sécurité de l'information dans le processus de 01E01-03
gestion du plan de continuité de l'activité
14.1.2 Continuité de l'activité et appréciation du risque 01E01-01:02
14.1.3 Elaboration et mise en oeuvre des plans de continuité intégrant la 01E02-01:05
sécurité de l'information 08D06-01:05
09E02-01:07
14.1.4 Cadre de la planification de la continuité de l'activité 09E02-01
14.1.5 Mise à l'essai, gestion et appréciation constante des plans de 01E02-08
continuité de l'activité 08D04-05
08D05-08
08D06-06:07
09E02-09
10A02-04
15 Conformité
15.1 Conformité avec les exigences légales
15.1.1 Identification de la législation en vigueur 01B02-10
15.1.2 Droits de propriété intellectuelle 12B01-01:05
08B05-01:03
15.1.3 Protection des enregistrements de l'organisme 01B02-09
09D04-02:03
15.1.4 Protection des données et confidentialité des informations 12A01-01:02
relatives à la vie privée
15.1.5 Mesure préventive à l'égard du mauvais usage des moyens de 01B01-05
traitement de l'information 01C05-05
15.1.6 Règlementation relative aux mesures cryptographiques 12D01-01
12D01-04
15.2 Conformité avec les politiques et normes de sécurité et conformité technique
15.2.1 Conformité avec les politiques et les normes de sécurité 01B01-12

MEHARI 2007-ed2 ! Scoring ISO 151 Février 2009


15.2.2 Vérification de la conformité technique 05B07-10
06B01-06:07
08B01-06:07
08B02-05:06
15.3 Prises en compte de l'audit du système d'information
15.3.1 Contrôles de l'audit du système d'information 06D01-01:04
08G01-01:04
15.3.2 Protection des outils d'audit du système d'information 06D02-01:03
08G02-01:03

MEHARI 2007-ed2 ! Scoring ISO 152 Février 2009


Feuille de synthèse : Gravité globale des risques

Impact

4 2 3 4 4
3 2 3 3 4
2 1 2 2 3
1 1 1 1 2
1 2 3 4
Potentialité

MEHARI 2007-ed2 ! Gravité 153 Février 2009


Grilles d'élaboration des STATUS-RI
Les scénarios non évolutifs sont évalués par la colonne PROT = 0
1. Scénarios de type Disponibilité
P R O T = 1 P R O T = 2 P R O T = 3 P R O T = 4 P R O T = 0

R 4 3 3 3 3 R 4 3 3 3 3 R 4 3 3 3 3 R 4 3 3 3 4 R 4 3 3 3 3
E 3 2 2 3 3 E 3 2 2 3 3 E 3 2 3 3 3 E 3 3 3 3 4 E 3 2 2 3 3
C 2 1 2 3 3 C 2 1 2 3 3 C 2 1 2 3 3 C 2 2 3 3 4 C 2 1 2 3 3
U 1 1 2 3 3 U 1 1 2 3 3 U 1 1 2 3 3 U 1 2 3 3 4 U 1 1 2 3 3
P 1 2 3 4 P 1 2 3 4 P 1 2 3 4 P 1 2 3 4 P 1 2 3 4
P A L L P A L L P A L L P A L L P A L L

2. Scénarios de type Intégrité


P R O T = 1 P R O T = 2 P R O T = 3 P R O T = 4 P R O T = 0

R 4 3 3 3 3 R 4 3 3 3 3 R 4 3 3 3 3 R 4 3 3 3 4 R 4 3 3 3 3
E 3 2 2 2 2 E 3 2 2 2 2 E 3 2 2 2 2 E 3 2 2 3 4 E 3 2 2 2 2
C 2 1 1 1 1 C 2 1 1 1 1 C 2 1 1 2 2 C 2 1 2 3 4 C 2 1 1 1 1
U 1 1 1 1 1 U 1 1 1 1 1 U 1 1 1 2 2 U 1 1 2 3 4 U 1 1 1 1 1
P 1 2 3 4 P 1 2 3 4 P 1 2 3 4 P 1 2 3 4 P 1 2 3 4
P A L L P A L L P A L L P A L L P A L L

3. Scénarios de type Confidentialité


P R O T = 1 P R O T = 2 P R O T = 3 P R O T = 4 P R O T = 0
R 4 3 R 4 3 R 4 3 R 4 3 R 4 3
E 3 2 E 3 2 E 3 3 E 3 3 E 3 2
C 2 1 C 2 2 C 2 3 C 2 3 C 2 1
U 1 1 U 1 2 U 1 3 U 1 3 U 1 1
P 1 P 1 P 1 P 1 P 1
P A L L P A L L P A L L P A L L P A L L

Nota : Les grilles de réduction d'impact des scénarios non évolutifs sont remplies par défaut avec les grilles correspondant à STATUS-
PROT = 1
mais sont modifiables pour tenir compte de conditions particulières

MEHARI 2007-ed2 ! Grilles_IP 154 Février 2009


Grilles d'élaboration des STATUS-P
Valeur par défaut de l'exposition naturelle
1. Scénarios de type Accident
E X P O = 1 E X P O = 2 E X P O = 3 E X P O = 4
D D D D
I I I I
S S S S
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P R E V P R E V P R E V P R E V

2. Scénarios de type Erreur


E X P O = 1 E X P O = 2 E X P O = 3 E X P O = 4

D D D D
I I I I
S S S S
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P R E V P R E V P R E V P R E V

3. Scénarios de type action Volontaire


E X P O = 1 E X P O = 2 E X P O = 3 E X P O = 4

D 4 1 1 1 1 D 4 2 1 1 1 D 4 3 2 1 1 D 4 4 3 2 2
I 3 1 1 1 1 I 3 2 2 1 1 I 3 3 2 2 1 I 3 4 3 2 2
S 2 1 1 1 1 S 2 2 2 2 1 S 2 3 3 2 1 S 2 4 4 3 2
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 3 2
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P R E V P R E V P R E V P R E V

MEHARI 2007-ed2 ! Grilles_IP 155 Février 2009