Vous êtes sur la page 1sur 526

MEHARI™ 2010 Edition 2-14

Base de connaissances Méhari


Onglet
Intro
Dossier
Nav
Licence
Module d'analyse des enjeux et classification des actifs:
T1, T2 et T3
Classif
Module du diagnostic des services de sécurité (ou d'audit)
Domaines 01 Org à 14 MSI
Services
Thèmes
Score ISO
Module d'analyse de risque (identification, estimation et évaluation des risques)
Expo
Scénarios
Risk%Actif
Risk%event
Traitement des risques : options, plans de réduction et suivi
Plans_action
Obj_PA
Obj_Projets
Eléments permanents et de paramétrage de la méthode
Vulnérabilités types
Gravité
Grilles IP

Corr_Services

Utiliser le forum mehari.info pour poster questions, remarques ou commentaires


Date
25 mars 2010

6 octobre 2010

25-Aug-11

30-Mar-12

Espace Méthodes
Club de la Sécurité de l'Information Français
11, rue Mogador, 75009 PARIS
T : +33 1 53 25 08 80 / F : +33 1 53 25 08 88
http://www.clusif.fr/
MEHARI™ 2010 Edition 2-14

Base de connaissances Méhari


Objectif
Description et navigation entre les onglets du fichier de la base de connaissance
Description du contexte de réalisation du dossier
Schéma de navigation dans la base de connaissance
Rappel de la licence Publique de MEHARI
eux et classification des actifs: Tableaux de
Tableaux de classification classification :
Classification des actifs T1, T2, T3 et Classif
s services de sécurité (ou d'audit)
Questionnaires relatifs aux domaines (01 à 14) de sécurité MEHARI Feuilles de
Récapitulé de la qualité des services de sécurité (avec variantes) questionnaires :
Thèmes de sécurité Mehari : regroupement des services et sous-services en 10 centres de 01Org à 14 Msi
d’intérêts et 18 axes de représentation Thèmes et Score ISO
Table de scoring ISO 27002 suite au diagnostic des services Mehari
ue (identification, estimation et évaluation des risques) Feuilles d'analyse des
Tableau des expositions naturelles aux menaces risques :
Scénarios de risque incluant le calcul des risques Evénements types,
Panorama de gravité des scénarios par type d'actif Risques par actifs
Panorama de gravité des scénarios par type d'événement ou événements
options, plans de réduction et suivi Feuilles de traitement :
Sélection de plans de réduction des risques Plans_d'action
Sélection de plans de réduction des risques Obj_PA
Sélection de plans de réduction des risques Obj_Projets
de paramétrage de la méthode
Feuilles des
Les onglets qui suivent sont apportés avec la méthode
vulnérabilités types,
Détermination de la Gravité du risque en fonction de la Potentialité et de l’Impact Grilles d'acceptabilité
Tables de détermination d’Impact et de Potentialité des scénarios des risques et
d'évaluation de I et P,
Table de correspondance entre les services de Méhari 2010 et ceux de la version 2007 Corr_Services

forum mehari.info pour poster questions, remarques ou commentaires


Versions et commentaires
Edition 1-3 :
Rectification de formules dans feuille Obj_proj et quelques corrections de présentation et
d'erreurs typographiques
Edition 2-1 :
Ajout de capacités de sélection pour les scénarios
Rectification de quelques formules dans feuille scénarios
Edition 2-11
Correction de quelques erreurs
Edition 2-14
Introduction : périmètre, automatismes T1-T2-T3, SOA
Introduction d'une possibilité de décider de la confinabilité des scénarios
Espace Méthodes
Club de la Sécurité de l'Information Français
11, rue Mogador, 75009 PARIS
T : +33 1 53 25 08 80 / F : +33 1 53 25 08 88
http://www.clusif.fr/
Masquer è

Masquer è

Masquer è

Masquer è

Masquer è
MEHARI 2010
Version : 2.14

Organisme :
Maîtrise
d'ouvrage

Maîtrise d'oeuvre
Responsable :
Rédacteur :
Date début :
Date fin :
Description du
contexte :
Navigation dans la base de connaissances

Enjeux business Menaces Vulnérabilités

T1 T2 T3 Expo Services de
sécurité
Analyser et évaluer
les risques

Classif Thèmes
Impact Potentialité

Gravités intrinsèques ISO 27002

Gravités actuelles

Risk%actif Sélection des scénarios


les risques

Risk%event Réduire Accepter Éviter Transférer


Traiter

Plans_action Obj_PA Obj_Projets

Gravités planifiées
Le CLUSIF rappelle que MEHARI est destiné à des professionnels de la sécurité et vous invite à prendre connaissance d
d’utilisation et de redistribution ci-dessous :

Mehari Public License


Version 2010 : 12 January 2010

MEHARI is an Open Information security risk management methodology provided as a spreadsheet containing a knowled
with attached document like:
- manuel de référence de la base de connaissances Excel,

Redistribution and use of this knowledge base and associated documentation ("MEHARI"), with or without modification, ar
provided that the following conditions are met:

1. Redistributions in any form must reproduce applicable copyright statements and notices, this list of conditions, and the
in the documentation and/or other materials provided with the distribution, and
2. Redistributions must contain a verbatim copy of this document.
3. No persons may sell this Methodology, charge for the distribution of this Methodology, or any medium of which this Met
without explicit consent from the copyright holder.
4. No persons may modify or change this Methodology for republication without explicit consent from the copyright holder.
5. All persons may utilize the Methodology or any portion of it to create or enhance commercial or free software, and copy
software under any terms, provided that they strictly meet all of the above conditions.

The CLUSIF may revise this license from time to time.


Each revision is distinguished by a version number.
You may use Mehari under terms of this license or under the terms of any subsequent revision of the license.

MEHARI IS PROVIDED BY THE CLUSIF AND ITS CONTRIBUTORS “AS IS” AND ANY EXPRESSED OR IMPLIED WAR
INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PAR
PURPOSE ARE DISCLAIMED.

IN NO EVENT SHALL THE CLUSIF, ITS CONTRIBUTORS, OR THE AUTHOR(S) OR OWNER(S) OF MEHARI BE LIAB
DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT
PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTE
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF MEHARI EVEN IF ADVISED OF THE P
SUCH DAMAGE.

The names of the authors and copyright holders must not be used in advertising or otherwise to promote the sale, use or
Mehari without specific, written prior permission from CLUSIF. Title to copyright in MEHARI shall at all times remain with c

MEHARI is a registered trademark of the CLUSIF.

Copyright 1997-2012 The CLUSIF, PARIS, France.


https://www.clusif.fr/
NIVEAUX DE SENSIBILITE DES APPLICATIONS, DONNEES ET INFORMATIONS
Tableau T1 CLASSIFICATION DES DONNÉES

Données
Processus métier, domaine applicatif Données
applicatives Fichiers Fichiers Listings Archives Données
ou domaine d'activité applicatives Documents Courrier Courrier postal Arhives
FONCTION (descriptif) isolées, en bureautiques bureautiques ou états documen- publiées (web
(bases de personnels électronique Fax informa-tiques
transit partagés personnels impri-més taires ou interne)
Services communs à particulariser données)
Messages

D I C D I C D I C D I C D C C D I C D I C D C D I C D

Types d'actifs D01 D01 D01 D06 D06 D06 D02 D02 D02 D03 D03 D03 D04 D04 D05 D07 D07 D07 D08 D08 D08 D09 D09 D10 D10 D10 D11
Processus métiers
Domaine 1 :
Domaine 2 :
Domaine 3 :
Domaine 4 :
Domaine 5
Domaine 6 :
Domaine 7 :
Domaine 8 :
Domaine 9 :
Domaine 10 :
Domaine 11 :
Processus transverses
Processus 1 :
Processus 2 :
Processus 3 :
Administration/ politique d'ensemble

Classification pour l'ensemble

Classification pour le périmètre choisi

La synthèse des classifications (maximum) par colonne est effectuée automatiquement : pour ajouter ou supprimer des domaines utiliser les fonctions " insérer " une ligne ou
"supprimer " une ligne.
La classification (maximum de chaque colonne) est reportée dans le tableau d'impact intrinsèque, pour chaque type de données dans la colonne correspondant au critère de
classification (D, I ou C)

Le 03/13/2020 Page 7 / 526


NIVEAUX DE SENSIBILITE DES APPLICATIONS, DONNEES ET INFORMATIONS

Données
publiées (web
ou interne)

I C Incl

D11 D11

1
1
1
1
1
1
1
1
1
1
1

1
1
1
1

ligne ou

tère de

Le 03/13/2020 Page 8 / 526


NIVEAUX DE SENSIBILITE DES APPLICATIONS, DONNEES ET INFORMATIONS
Tableau T3 CLASSIFICATION DES PROCESSUS DE MANAGEMENT

Processus métier, application ou Sécurité des


Protection des Vérification de la
domaine applicatif Communication Protection de la Protection des personnes et
FONCTION (descriptif) renseignements comptabilité
financière propriété intellectuelle systèmes informatisés protection de
personnels informatisée
Services communs l'environnement

E E E E E E

Nom de colonne pour formules Classif C01 C02 C03 C04 C05 C06
Processus métiers
Domaine 1 :
Domaine 2 :
Domaine 3 :
Domaine 4 :
Domaine 5
Domaine 6 :
Domaine 7 :
Domaine 8 :
Domaine 9 :
Domaine 10 :
Domaine 11 :
Processus transverses
Processus 1 :
Processus 2 :
Processus 3 :
Administration/ politique d'ensemble

Classification pour l'ensemble

Classification pour le périmètre

LE SEUL CRITERE DE CLASSIFICATION EST :


E : Efficience (des processus de management pour être conforme aux exigences légales, réglementaires ou contractuelles, dans le domaine considéré)

La synthèse des classifications (maximum) par colonne est effectuée automatiquement : pour ajouter ou supprimer des domaines utiliser les
fonctions " insérer " une ligne ou "supprimer " une ligne.
La classification (maximum de chaque colonne) est reportée dans le tableau d'impact intrinsèque, pour chaque type de processus de management
dans la colonne correspondant au critère de classification (E)

Le 03/13/2020 Page 9 / 526


Tableau d'Impact Intrinsèque
Actifs de type Données et informations D I C
Données et informations
D01 Fichiers de données ou bases de données applicatives
D02 Fichiers bureautiques partagés
D03 Fichiers bureautiques personnels (gérés dans environnement personnel)
D04 Informations écrites ou imprimées détenues par les utilisateurs, archives personnelles
D05 Listings ou états imprimés des applications informatiques
D06 Données échangées, écrans applicatifs, données individuellement sensibles
D07 Courrier électronique
D08 Courrier postal et télécopies
D09 Archives patrimoniales ou documentaires
D10 Archives informatiques
D11 Données et informations publiées sur des sites publics ou internes

Actifs de type Services D I C


Services généraux communs
G01 Environnement de travail des utilisateurs
G02 Services de télécommunication (voix, télécopies, visioconférence, etc.)
Services informatiques et réseaux
R01 Service du réseau étendu
R02 Service du réseau local
S01 Services applicatifs
S02 Services bureautiques communs (serveurs de données, gestionnaires de documents,
imprimantes partagées, etc.)
S03 Equipements mis à la disposition des utilisateurs (PC, imprimantes locales, périphériques,
interfaces spécifiques, etc.)
Nota : Considérer ici la perte massive de ces services et non celle d'un seul utilisateur

S04 Services systèmes communs : messagerie, archivage, impression, édition, etc.


S05 Services de publication d'informations sur un site web interne ou public

Actifs de type Processus de gestion E


Processus de gestion de la conformité à la loi ou à la réglementation
C01 Conformité à la loi ou aux réglementations relatives à la protection des renseignements
personnels
C02 Conformité à la loi ou aux réglementations relatives à la communication financière
C03 Conformité à la loi ou aux réglementations relatives à la vérification de la comptabilité
informatisée
C04 Conformité à la loi ou aux réglementations relatives à la propriété intellectuelle
C05 Conformité à la loi relative à la protection des systèmes informatisés
C06 Conformité aux réglementations relatives à la sécurité des personnes et à la protection de
l'environnement

Nota : Les cases grisées correspondent à des cas dans lesquels il n'y a généralement pas de classification à
effectuer et pour lesquels il n'y a pas de scénario de risque dans la base Méhari.
Il faut mettre 0 dans la colonne F (sélection d'actifs) pour dé-sélectionner l'actif correspondant.
Attention : Cette facilité équivaut à donner un impact nul pour tous les scénarios attachés à cet actif.

Légende :

464752531.xls ! Classif 10 Décembre 2006


D Disponibilité
I Intégrité
C Confidentialité
E Efficience (des processus de gestion, vis-à-vis de la conformité aux législations ou aux
règlements). Pour ce critère, la grille de décision "Scénarios de type Limitable" pour l'impact
sera utilisée.

464752531.xls ! Classif 11 Décembre 2006


Sélection
d'actifs

1
1
1
1
1
1
1
1
1
1
1

1
1

1
1
1
1

1
1

1
1

1
1
1

464752531.xls ! Classif 12 Décembre 2006


NIVEAUX DE SENSIBILITE DES APPLICATIONS, DONNEES ET INFORMATIONS
Tableau T2 CLASSIFICATION DES SERVICES

Equipe-ments Services Services


Processus métier, application ou
Services mis à la systèmes Services de généraux
domaine applicatif Services du Services du Services
FONCTION (descriptif) Services applicatifs bureautiques disposition Communs publication sur environ-
réseau étendu réseau local télécom
communs des (Systèmes, site web nement de
Services communs
utilisateurs périfs, etc.) travail

D I D I D I C D I D D I D I D D I

Nom de colonne pour formules Classif R01 R01 R02 R02 S01 S01 S01 S02 S02 S03 S04 S04 S05 S05 G01 G02 G02
Processus métiers
Domaine 1 :
Domaine 2 :
Domaine 3 :
Domaine 4 :
Domaine 5
Domaine 6 :
Domaine 7 :
Domaine 8 :
Domaine 9 :
Domaine 10 :
Domaine 11 :
Processus transverses
Processus 1 :
Processus 2 :
Processus 3 :
Administration/ politique d'ensemble

Classification pour l'ensemble

Classification pour le périmètre

LES CRITERES DE CLASSIFICATION SONT :


D : Disponibilité
I : Intégrité
C : Confidentialité

La synthèse des classifications (maximum) par colonne est effectuée automatiquement : pour ajouter ou supprimer des domaines utiliser les fonctions " insérer
" une ligne ou "supprimer " une ligne.
La classification (maximum de chaque colonne) est reportée dans le tableau d'impact intrinsèque, pour chaque type de service dans la colonne correspondant
au critère de classification (D, I ou C)

Le 03/13/2020 Page 13 / 526


Questionnaire d'audit : Organisation de la sécurité 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
01A Rôles et structures de la sécurité
01A01 Organisation et pilotage de la sécurité générale
01A01-01 Tous les domaines concernés par la sécurité ont-ils un responsable désigné [sécurité informatique et télécom, sécurité générale de 4 2 E1
l'environnement de travail (documents, télécopie, téléphone), sécurité physique générale des sites et locaux] ou un interlocuteur
privilégié [DRH pour les actions de sensibilisation, la formation, les contrats de travail, la gestion des comptes utilisateurs et des
droits d'accès divers, le traitement (punitif) des opérations délictueuses ou illicites et la négligence interne] ?
01A01-02 Existe-t-il, pour chacun de ces responsables, une définition de fonction précisant, en particulier, ses finalités, responsabilités et 4 E2
interfaces avec les autres domaines de sécurité ?
01A01-03 Les actions de ces responsables font-elles l'objet d'un tableau de bord et d'un suivi régulier ? 4 E2
01A01-04 Existe-t-il un comité ou une structure regroupant l'ensemble des responsables de sécurité, tous domaines confondus, en charge de 2 R1
coordonner les diverses actions et de prendre toute décision transverse, et se réunissant régulièrement ?
01A01-05 La démarche de sécurité est-elle clairement reconnue et soutenue par la Direction Générale ? 2 E2
01A02 Organisation et pilotage de la sécurité des systèmes d'information
01A02-01 Existe-t-il un document décrivant la politique de sécurité des systèmes d'information et, en particulier, les principes d'organisation, 2 E1 5.1.1
de gestion et de pilotage de la sécurité (rôles et responsabilités) ainsi que les principes fondamentaux structurant le management de
la sécurité de l'information ?
01A02-02 Cette politique de sécurité est-elle revue à intervalles réguliers ou lors de changements significatifs, afin d'assurer le maintien de sa 1 E2 5.1.2
pertinence et de son efficacité ?
01A02-03 A-t-on défini dans le détail la structure et l'organisation de la gestion de la sécurité : RSSI et correspondants ou responsables 4 2 3 E2 6.1.2
locaux, rôles et responsabilités respectifs et vis-à-vis des responsables opérationnels, et cette structure est-elle opérationnelle ?
01A02-04 Cette structure a-t-elle la capacité à alerter sans délai la Direction Générale en cas de problème grave ? 2 E2 6.1.2
01A02-05 A-t-on défini dans le détail le mode de gestion de la sécurité et les processus de prise de décision : méthodologie (audit de 4 E2 6.1.2
vulnérabilité, analyse de risque, etc.), outils associés, acteurs (animateur, support, formation, expertise, conseils, etc.) ?
01A02-06 A-t-on clairement défini les rôles respectifs des responsables de la sécurité, des responsables opérationnels et des responsables 4 2 E2 6.1.3
fonctionnels de domaines (propriétaires ou détenteurs d'information) dans la prise de décision finale, ainsi que les processus
d'arbitrage ?
01A02-07 A-t-on défini dans le détail un mode de pilotage global de la sécurité des systèmes d'information : tableau de bord (contenu et 4 E2 6.1.3
périodicité), structure de pilotage et d'orientation, types de rapports ?
01A02-08 Établit-on annuellement un plan de sécurité des systèmes d'information regroupant l'ensemble des plans d'action, moyens à mettre 2 2 E2
en oeuvre, échéancier, budget ?
01A02-09 Le management de l'entreprise est-il impliqué dans l'organisation de la sécurité de l'information et, en particulier dans l'élaboration et 1 E2 6.1.1
l'approbation de la politique de sécurité, la définition des responsabilités, l'allocation de ressources et le contrôle de l'efficacité des
mesures prises ?
01A02-10 Maintient-on des contacts avec les autorités pouvant être concernées par la sécurité de l'information et les situations de crise 1 E2 6.1.6
(Police, Services de renseignements, Administration judiciaire, Pompiers, Services publics, etc....) ?
01A02-11 Assure-t-on une veille technologique en matière de sécurité (participation à des cercles, associations, congrès...) ? 1 3 E2 6.1.7
01A02-12 Les responsabilités et les procédures sont-elles établies afin de fournir rapidement des solutions effectives aux incidents de sécurité 2 E2 13.2.1; 13.1.1
?
01A02-13 Existe-t-il une procédure de mise à jour des notes d'organisation relatives à la sécurité des systèmes d'information en fonction des 2 3 R1 6.1.8
évolutions de structures ou à intervalles planifiés ?
01A03 Système général de déclaration et de gestion des incidents
01A03-01 Y a-t-il un système de déclaration des incidents auprès des correspondants du RSSI avec une synthèse de ces incidents transmise 2 E1 13.1.1
au RSSI ?
01A03-02 Le système de déclaration et de gestion des incidents inclut-il tous les incidents (exploitation, développement, maintenance, 4 2 E1 13.1.1
utilisation du SI) physiques, logiques ou organisationnels ?

Mise à jour : janvier 2010 464752531.xls ! 01 Org page 14


Questionnaire d'audit : Organisation de la sécurité 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
01A03-03 Le système de déclaration et de gestion des incidents inclut-il les tentatives d'actions malveillantes ou non autorisées n'ayant pas 4 3 E3 13.1.1
abouti ?

01A03-04 Le système de déclaration et de gestion des incidents s'applique-t-il à l'ensemble des structures et des personnels de l'entreprise (y 4 3 E2 13.1.1; 13.2.1
compris les filiales) ?
01A03-05 La typologie et la description des incidents sont-elles enregistrées dans une base permettant un enrichissement progressif ainsi 2 E2 13.2.2
qu'un accès sélectif facile pour effectuer le traitement et le suivi des divers incidents ?
01A03-06 La collecte de preuves est-elle réalisée chaque fois qu'une action juridique doit être envisagée ? 2 E2 13.2.3
01A03-07 La mise en place et la tenue à jour du système de gestion des incidents font-elles l'objet d'un tableau de bord et d'un suivi régulier, 2 2 R1
se traduisant par des plans d'action ?
01A04 Organisation des audits et du programme d'audit
01A04-01 La fonction sécurité a-t-elle défini et diffusé à l'audit interne (ou à la structure chargée des audits internes) un Référentiel d'audit de 4 2 E2
la SSI décrivant, en particulier, les obligations de chaque catégorie de personnel, les directives incontournables et les
recommandations ?
01A04-02 Existe-t-il une procédure de dérogation aux directives décrites dans ce référentiel d'audit et cette procédure est-elle auditable ? 4 E2
01A04-03 Existe-t-il une structure de coordination ou une procédure permettant au RSSI de définir le programme d'audit interne annuel ou de 4 E3
participer à sa définition ?
01A04-04 Le responsable sécurité des systèmes d'information est-il informé des résultats des audits sur les aspects touchant à la sécurité des 2 3 E2
systèmes d'information ?
01A04-05 Le responsable sécurité des systèmes d'information est-il informé des résultats synthétiques des audits non spécifiques de la 4 E2
sécurité des systèmes d'information et peut-il avoir accès aux rapports détaillés correspondants ?

01A04-06 Le programme d'audit annuel a-t-il été présenté et validé par la Direction ? 2 E2
01A04-07 Le programme d'audit annuel relatif à la sécurité des systèmes d'information fait-il l'objet d'un tableau de bord et d'un suivi régulier ? 2 3 R1

01A05 Gestion de crise liée à la sécurité de l'information


01A05-01 Existe-t-il un plan de crise dans tous les établissements précisant, en fonction de divers symptômes, les noms et coordonnées des 4 2 E1
personnes à prévenir pour qu'elles puissent effectuer un premier diagnostic et, en fonction de ce diagnostic, les responsables de la
cellule de crise à rassembler et les actions urgentes à mener ?
01A05-02 Existe-t-il au moins une procédure d'alerte, diffusée à l'ensemble du personnel, qui permette, directement ou indirectement (par le 2 E1
personnel de surveillance), de joindre les personnes ad hoc aptes à déclencher le plan de crise ?
01A05-03 Le plan de crise décrit-il en détail les situations de crise majeure ayant trait aux systèmes d'information et inclut-il les aspects 4 2 E2
spécifiques à ce domaine ?
01A05-04 La définition du plan de crise s'est-elle accompagnée de la mise en place des moyens logistiques correspondants (salle équipée, 4 2 E2
moyens de communication, etc.) ?
01A05-05 Existe-t-il des outils ou des procédures permettant la mise à jour du plan de crise et cette mise à jour est-elle auditée ? 4 3 R1

01B Référentiel de sécurité


01B01 Devoirs et responsabilités du personnel et du management
01B01-01 IlLes
s'agit de tous
devoirs les personnels du
et responsabilités internes comme
personnel externes
quant (sous-traitants,
à l'utilisation, stagiaires,
la conservation etc) associés
et l'archivage desàinformations
l'activité de et
l'entreprise.
à la protection du 4 E1
secret sont-ils précisés dans une note ou document mis à la disposition du management ?

01B01-02 Ce document précise-t-il les devoirs et responsabilités du personnel quant à l'utilisation et la protection des moyens 1 E2 11.3.1
d'authentification (mots de passe, clés, tokens, badges, etc.) mis à sa disposition ?
01B01-03 Les devoirs et responsabilités du personnel précisent-ils la conduite à tenir lorsque le poste est laissé vacant (fermeture de session, 1 E2 11.3.2
logoff, écran de veille, verrouillage, etc.) ?

Mise à jour : janvier 2010 464752531.xls ! 01 Org page 15


Questionnaire d'audit : Organisation de la sécurité 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
01B01-04 Les devoirs et responsabilités du personnel quant à l'utilisation et la protection des biens et ressources de l'entreprise sont-ils 4 E2
précisés dans une note ou document mis à la disposition du management ?
01B01-05 Ces notes précisent-elles ce qui est toléré et les limites à ne pas dépasser (usage des biens de l'entreprise à des fins personnelles, 2 E2 15.1.5
par exemple) ?
01B01-06 Ces notes précisent-elles la conduite à tenir en cas de dépassement ou d'abus ? 2 E2
01B01-07 Le processus disciplinaire en cas de manquement aux règles de sécurité ou de violation de procédure est-il formalisé ? 1 E3 8.2.3
01B01-08 Les devoirs et responsabilités du management dans le domaine de la protection de l'information et des ressources de l'entreprise 2 E2
sont-ils précisés dans une note ou document communiqué à l'ensemble des managers ?
01B01-09 Les devoirs et responsabilités du management lors de la cessation ou d'un changement d'activité d'un collaborateur (interne ou sous 1 E2 8.3.1
contrat) sont-ils définis et précisés dans une procédure ou document communiqué à l'ensemble des managers ?
01B01-10 La procédure précédente (ou le document équivalent) couvre-t-elle la remise en cause et la suppression de tous les droits d'accès 2 E2 8.3.3
aux diverses parties du système d'information ?
01B01-11 L'authenticité des notes publiées (ou de la Charte) relative aux devoirs et responsabilités du personnel est-elle contrôlée ? 2 3 E3
01B01-12 Les managers s'assurent-ils et doivent-ils rendre compte, de la conformité du comportement de leurs collaborateurs aux politiques 2 3 R1 15.2.1
et standards en vigueur ?
01B01-13 Existe-t-il une revue régulière de la charte des devoirs et responsabilités du personnel (ou des notes correspondantes) ? 2 3 R1
01B02 Directives générales relatives à la protection de l'information
01B02-01 Existe-t-il un document définissant les règles générales à appliquer en ce qui concerne la protection des sites vis-à-vis de l'extérieur, 2 E2 11.4.2
les conditions requises pour accéder à chaque site depuis l'extérieur et la protection des locaux sensibles ?
01B02-02 Existe-t-il un document définissant les règles générales à appliquer en ce qui concerne la protection du réseau interne vis-à-vis de 2 E2 11.4.2; 11.4.5
l'extérieur, les conditions requises pour accéder depuis l'extérieur au réseau interne et réciproquement et les cloisonnements
internes entre sous-réseaux ?
01B02-03 Existe-t-il un document définissant les règles générales à appliquer en ce qui concerne la protection des moyens et supports de 2 E2 10.8.1; 10.7.3
stockage, de traitement et de transport de l'information (équipements de réseau et de travail, systèmes, applications, données,
media, etc.) et les conditions requises pour l'attribution, la gestion et le contrôle des droits d'accès ?

01B02-04 Ces règles sont-elles établies en fonction du niveau de classification des ressources concernées ? 2 E2 10.7.3; 10.8.1;
7.2.2

01B02-05 Existe-t-il un document définissant les règles à appliquer en ce qui concerne l'exploitation des ressources informatiques (réseaux, 2 E2 10.8.1; 11.4.1;
serveurs, etc.), des services de communication électronique et des réseaux sans fil ? 10.7.3
01B02-06 Existe-t-il un document définissant les règles générales à appliquer en ce qui concerne les développements informatiques et la prise 2 E2 10.7.3
en compte de la sécurité dans la gestion des projets ?
01B02-07 Existe-t-il un document définissant les règles générales à appliquer au quotidien dans la gestion de l'environnement de travail 2 E2 10.8.1; 11.3.3;
(documents, bureau propre, micro-informatique, téléphone, fax, etc.) ? 10.7.3
01B02-08 Existe-t-il un document définissant les procédures de sécurité additionnelles à appliquer en ce qui concerne l'informatique mobile et 2 E2 10.8.1; 11.7.1
le télétravail ?
01B02-09 Existe-t-il un document précisant les exigences, les responsabilités et les procédures à appliquer afin de protéger les archives 2 E1 15.1.3
importantes pour l'organisation ?
01B02-10 L'ensemble des exigences réglementaires, contractuelles, et légales a-t-il été explicitement identifié et son application par 2 E2 15.1.1
l'organisation figure-t-elle dans un document tenu à jour ?
01B02-11 Les moyens et solutions de sécurité mis à disposition des responsables et des utilisateurs sont-ils cohérents avec les directives 4 2 E2
précédentes ?
01B02-12 Les règles concernant la protection des informations et des ressources sont-elles rendues facilement accessibles à l'ensemble du 4 2 E2
personnel (Intranet, par exemple) et régulièrement mises à jour en fonction des exigences business ?
01B02-13 Existe-t-il une procédure de contrôle ou d'audit de l'authenticité et de la pertinence des règles de protection de l'information et des 2 3 R1
ressources du système d'information diffusées à l'ensemble du personnel ?

Mise à jour : janvier 2010 464752531.xls ! 01 Org page 16


Questionnaire d'audit : Organisation de la sécurité 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
01B03 Classification des ressources
01B03-01 A-t-on défini un schéma de classification permettant d'attribuer aux informations et ressources un niveau de classification reflétant le 4 E1
besoin de protection de ces informations ou ressources en fonction du contexte de l'entreprise et prenant en compte les critères
Disponibilité, Intégrité, Confidentialité ?
01B03-02 Ce schéma de classification définit-il le marquage des différents types de ressources en fonction de leur classification ? 1 E2 7.2.2
01B03-03 A-t-on effectué une classification des informations (documents, données, fichiers, bases de données, etc.) en fonction de l'impact 4 1 2 E2 7.2.1
qu'un sinistre touchant ces informations aurait sur l'entreprise ?
01B03-04 Cette classification a-t-elle été effectuée pour chacun des critères de Disponibilité, Intégrité et Confidentialité ? 2 2 E2
01B03-05 A-t-on effectué une classification des ressources sensibles (systèmes informatiques, équipements télécoms et divers, locaux, etc.) 4 E2
en fonction de l'impact qu'un sinistre touchant ces ressources aurait sur l'entreprise ?
01B03-06 Cette classification a-t-elle été effectuée pour chacun des critères de Disponibilité, Intégrité et Confidentialité ? 2 E2
01B03-07 A-t-on effectué une classification des programmes et traitements sensibles en fonction de l'impact qu'un sinistre touchant ces 4 E2
ressources aurait sur l'entreprise ?
01B03-08 Cette classification a-t-elle été effectuée pour chacun des critères de Disponibilité, Intégrité et Confidentialité ? 4 E2
01B03-09 Ces diverses classifications sont-elles rendues facilement accessibles au personnel concerné en cas de besoin ? 4 2 E2
01B03-10 Existe-t-il une procédure de revue périodique des classifications et l'application de cette procédure est-elle contrôlée ? 4 3 E3 7.2.1
01B04 Gestion des "actifs" (assets)
01B04-01 A-t-on défini les types d'actifs devant être identifiés et inventoriés ? 2 E2 7.1.1
Les actifs peuvent être des informations (bases de données, fichiers, contrats et accords, documentation, manuels, procédures,
plans, archives, etc.), des logiciels (applications, firmware, middleware, outils et utilitaires, etc.), des équipements matériels
(ordinateurs, équipements de réseau, media, etc.), des services et servitudes (énergie, chauffage, climatisation, etc.), des
personnes ou du savoir-faire, des actifs intangibles tels que la réputation ou l'image.

01B04-02 Tient-on à jour un inventaire des types d'actifs tels qu'identifiés et définis ci-dessus ? 4 E2 7.1.1
01B04-03 A-t-on désigné pour chaque actif identifié et inventorié un "propriétaire" de cet actif ? 2 E2 7.1.2
Un propriétaire est la personne ou l'entité désignée pour assumer la responsabilité du développement, de la maintenance, de
l'exploitation, de l'utilisation et de la sécurité de cet actif. Le terme de propriétaire ne signifie pas que la personne ou l'entité détient
un droit de propriété sur cet actif.
01B04-04 A-t-on défini et documenté, pour chaque actif, les règles d'utilisation acceptables ? 2 E2 7.1.3
Ceci implique, en particulier, de définir l'usage privé qu'un collaborateur peut faire d'un actif de l'entreprise.
01B04-05 Les règles concernant le retour à l'entreprise ou à l'organisation des biens confiés au personnel, lors de cessation ou de 1 E2 8.3.2
changement d'activité, sont-elles clairement définies et précisées au management ?
01B04-06 Existe-t-il des règles concernant la sortie des actifs (autorisations préalables, personnes autorisées, enregistrement de la sortie et 1 E2 9.2.7
de la rentrée, effacement des données inutiles, etc.) ?
01B05 Protection des actifs ayant valeur de preuve
01B05-01 A-t-on identifié et répertorié les actifs susceptibles d'être utilisés comme éléments de preuve ? 2 E2

01B05-02 A-t-on identifié précisément, pour chacun de ces actifs, les proclamations qu'il permettrait de vérifier et le processus de vérification 4 E2
correspondant ?
01B05-03 A-t-on analysé, pour chaque processus de vérification, ce qui pourrait le faire échouer ou affaiblir le niveau de confiance qu'aurait la 4 E2
partie à convaincre dans ce processus ?

01B05-04 A-t-on pris en conséquence toutes les mesures nécessaires ? 2 E2


01B05-05 Ces mesures font-elles l'objet d'une revue périodique de pertinence ? 1 R2
01B05-06 Ces mesures font-elles l'objet d'un audit périodique ? 1 C1

Mise à jour : janvier 2010 464752531.xls ! 01 Org page 17


Questionnaire d'audit : Organisation de la sécurité 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
01C Gestion des ressources humaines
01C01 Engagements du personnel, clauses contractuelles
01C01-01 Une note précisant les devoirs et responsabilités du personnel, a-t-elle été diffusée à l'ensemble des collaborateurs (y compris les 4 E2 6.1.5; 8.1.3
intérimaires, stagiaires, etc.) de telle sorte qu'ils ne puissent nier en avoir eu connaissance ?
01C01-02 Existe-t-il, dans les contrats d'embauche ou dans le règlement intérieur, une clause précisant l'obligation de respecter l'ensemble 4 E2 6.1.5; 8.1.3
des règles de sécurité en vigueur ?
01C01-03 Une note précisant les obligations légales, réglementaires ou contractuelles a-t-elle été diffusée à l'ensemble des collaborateurs ? 2 E2 6.1.5

01C01-04 Les devoirs et responsabilités imposés au personnel sont-ils imposés contractuellement (par le biais de conditions générales ou de 4 E3 6.1.5
clauses spécifiques) à tout prestataire intervenant au profit de l'entreprise et pouvant, de ce fait, avoir accès ou favoriser l'accès à
des informations ou à des ressources sensibles ?
01C01-05 Impose-t-on contractuellement à toute société prestataire pouvant avoir accès ou favoriser l'accès à des informations ou à des 4 E3 6.1.5
ressources sensibles, que ses collaborateurs signent un engagement personnel de respect des clauses de sécurité spécifiées ?
01C01-06 Le management a-t-il la responsabilité de s'assurer que le personnel, le personnel sous contrat ou les tiers respectent les politiques 1 E2 8.2.1
et procédures de sécurité de l'organisation ?
01C01-07 Existe-t-il une procédure de contrôle de l'authenticité et de la pertinence des règles de sécurité diffusées à l'ensemble du 4 3 R1
personnel ?
01C02 Gestion du personnel et des partenaires ou prestataires stratégiques
01C02-01 Les compétences stratégiques sont-elles régulièrement identifiées ? 4 2 E2
01C02-02 Des solutions de secours existent-elles en cas d'indisponibilité de compétences stratégiques ? 4 3 E3
01C02-03 Les partenaires ou prestataires stratégiques sont-ils régulièrement identifiés ? 4 2 E2
01C02-04 Des solutions de secours existent-elles en cas d'indisponibilité de partenaires ou prestataires stratégiques ? 4 3 E3
01C02-05 Ces solutions de secours (concernant le personnel interne ou les prestataires) permettent-elles de garantir une poursuite de 4 3 E3
l'activité de l'entreprise sans perturbation majeure ?
01C02-06 Le personnel stratégique fait-il l'objet d'une gestion de carrière spécifique ? 2 E3
01C02-07 Les prestataires stratégiques font-ils l'objet d'une gestion contractuelle spécifique ? 2 E3
01C02-08 Existe-t-il une procédure de contrôle de la pertinence et de la mise à jour des mesures précédentes ? 2 3 R1
01C03 Procédure d'habilitation du personnel
01C03-01 Y a-t-il une procédure d'information préliminaire auprès du personnel (interne ou contracté), en ce qui concerne ses devoirs et 1 E2 8.1.1
responsabilités et les exigences de sécurité de la fonction, avant tout changement d'affectation ou embauche ?
01C03-02 Y a-t-il un recueil d'informations à l'embauche de personnel pouvant être amené à travailler sur des tâches sensibles ? 4 E2 8.1.2
01C03-03 Les intervenants extérieurs travaillant dans les locaux de l'entreprise à des tâches sensibles ont-ils été habilités par un organisme 4 E2 8.1.2
officiel ?
01C03-04 Y a-t-il un recueil d'informations lors de l'affectation de personnels à des tâches sensibles ? 4 E2 8.1.2
Nota : il peut également s'agir d'un entretien ouvert destiné à éviter de placer du personnel dans une position de conflit d'intérêt.
01C04 Sensibilisation et formation à la sécurité
01C04-01 Existe-t-il un programme de sensibilisation du personnel aux risques d'accident, d'erreur et de malveillance relatifs au traitement de 4 2 E1 8.2.2
l'information ?
01C04-02 Ce programme de sensibilisation touche-t-il l'ensemble du personnel et est-il réactivé régulièrement ? 2 E2 8.2.2
01C04-03 Existe-t-il un programme de formation du personnel aux règles et mesures générales de protection de l'information ? 2 E2 8.2.2
01C04-04 Ces règles et mesures générales couvrent-elles l'ensemble des domaines concernés (documents, micro-informatique, accès aux 2 E2 8.2.2
locaux, systèmes et applications, téléphone et fax, comportements en réunion ou à l'extérieur, etc.) ?

Mise à jour : janvier 2010 464752531.xls ! 01 Org page 18


Questionnaire d'audit : Organisation de la sécurité 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
01C04-05 Ces règles et mesures générales sont-elles facilement accessibles au personnel en cas de besoin (intranet par exemple) et a-t-on 4 E2 8.2.2
communiqué sur cette possibilité ?
01C04-06 Ces règles précisent-elles les processus de reporting des incidents et des anomalies constatées et les comportements adaptés ? 1 E2 13.1.2

01C04-07 Le personnel ayant des responsabilités dans le domaine de la sécurité reçoit-il une formation particulière adaptée ? 4 E2
01C04-08 Existe-t-il un tableau de bord de la mise en oeuvre effective des actions de sensibilisation et de formation ? 4 3 R1
01C04-09 Existe-t-il un suivi du niveau de satisfaction et d'adhésion du personnel aux actions de sensibilisation et de formation à la sécurité 4 3 R1
des systèmes d'information ?
01C05 Gestion des tierces parties (partenaires, prestataires, clients, public, etc.)
01C05-01 A-t-on analysé les risques liés aux accès de personnel tiers (prestataires) au système d'information ou aux locaux contenant de 2 E2 6.2.1
l'information et défini en conséquences les mesures de sécurité nécessaires ?
01C05-02 A-t-on analysé les risques liés aux accès de clients ou du public au système d'information (ou à une partie du système 2 E2 6.2.2
d'information) ou aux locaux contenant de l'information et défini en conséquences les mesures de sécurité nécessaires ?

01C05-03 A-t-on analysé les risques liés aux transfert d'informations ou de logiciels avec un tiers, et formalisé contractuellement les 2 E2 10.8.2
procédures, responsabilités et obligations de chacune des parties ?
01C05-04 A-t-on défini l'ensemble des clauses de sécurité que devrait comprendre tout accord signé avec un tiers impliquant un accès au 4 E2 6.2.3
système d'information ou aux locaux contenant de l'information ?
Le système d'information incluant les divers supports d'information ou moyens de traitement, transport et communication de
l'information.

01C05-05 Tout accès d'un tiers au système d'information ou aux locaux contenant de l'information n'est-il autorisé qu'après la signature d'un 2 2 E3 6.2.3; 15.1.5
accord formel reprenant ces clauses ?
01C06 Enregistrement des personnes
01C06-01 Existe-t-il des procédures formelles d'enregistrement et de révocation des personnes ? 4 E2 11.2.1
01C06-02 Ces procédures impliquent-elles fortement la gestion du personnel et la hiérarchie ? 4 E2 11.2.1
01C06-03 Un identifiant (ID) unique est-il associé à chaque utilisateur (employé, externe, etc.) pouvant avoir accès au système d'information ? 4 E2 11.2.1

01C06-04 Les droits accordés aux utilisateurs dès leur enregistrement (services communs, messagerie, etc.) ont-ils été approuvés par les 4 E2 11.2.1
propriétaires des ressources concernées ?
01C06-05 Tout utilisateur est-il tenu informé, lors de son enregistrement, des droits acquis de ce fait et des devoirs liés à toute attribution 4 E2 11.2.1
droits (acquise dès son enregistrement ou qu'il pourra recevoir par la suite) ?
01C06-06 Ces procédures sont-elles contrôlées et les anomalies éventuelles documentées et corrigées en temps réel ? 4 R1 11.2.1
La réactivité de la chaîne de managers concernés doit supprimer les procédures d'exception pouvant résulter de retards dans les
processus concernés.

01D Assurances
01D01 Assurance des dommages matériels
01D01-01 Les systèmes d'information sont-ils couverts par un contrat d'assurance couvrant les dommages matériels (Dommage incendie, 2 E1
accident et risques divers, Bris de machine, Tous risques informatiques, "Tous Risques Sauf", Périls dénommés, etc.) ?
01D01-02 Ce contrat couvre-t-il l'ensemble des systèmes informatiques et de télécommunication, leur câblage et les installations de servitudes 4 2 E2
associées ?
01D01-03 Ce contrat couvre-t-il toutes les causes usuelles de ce type de sinistre : accidents (incendie, dégâts des eaux, foudre, etc.), erreurs 4 2 E2
humaines, sabotage et vandalisme (y compris par le personnel de l'entreprise ou préposé à son opération ou entretien) ?
01D01-04 Ce contrat assure-t-il tous les frais (réels) de réinitialisation des systèmes d'information touchés par le sinistre (frais d'installation, de 4 2 E2
redémarrage et de test des systèmes de remplacement, frais de reconstitution des données et des supports, etc.) ?

Mise à jour : janvier 2010 464752531.xls ! 01 Org page 19


Questionnaire d'audit : Organisation de la sécurité 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
01D01-05 Ce contrat couvre-t-il tous les frais supplémentaires d'exploitation et de fonctionnement (prise en charge des frais et dépenses qui 4 2 E2
continuent à courir, des frais exposés pour éviter ou limiter l'arrêt de l'activité) ?
01D01-06 Ce contrat couvre-t-il tous les frais supplémentaires engagés par l'entreprise pour rétablir son image auprès de ses clients ou 4 E2
partenaires ?
01D01-07 Ce contrat couvre-t-il globalement la perte d'exploitation engendrée par le sinistre ? 4 3 E2
01D01-08 Le choix des garanties en matière informatique (exclusions, franchises, etc.) est-il le résultat d'une étude spécifique conduite en 2 E2
commun avec la Direction Informatique et remise à jour régulièrement ?
01D01-09 Les niveaux des garanties et des franchises permettent-ils de garantir la survie de l'entreprise en cas de sinistre ? 2 2 E2
01D01-10 Les niveaux des garanties et des franchises permettent-ils de garantir qu'un sinistre pourrait être supporté sans conséquences 2 3 E2
graves pour l'entreprise ?
01D02 Assurance des dommages immatériels
01D02-01 Les systèmes d'information sont-ils couverts par un contrat d'assurance couvrant les dommages immatériels (malveillance, 2 E1
utilisation non autorisée des systèmes d'information, pertes accidentelles de données ou de programmes, déni de service, etc.) ?

01D02-02 Ce contrat couvre-t-il l'ensemble des systèmes informatiques (systèmes internes, intranet, extranet, sites Web, etc.) ? 4 2 E2
01D02-03 Ce contrat couvre-t-il toutes les causes usuelles de ce type de sinistre : accidents (pannes, bogues, etc.), erreurs humaines (erreurs 4 2 E2
de manipulation, erreurs de programmation, etc.), malveillances (fraudes, intrusions, déni de service, y compris par le personnel de
l'entreprise ou préposé à son opération ou entretien) ?
01D02-04 Ce contrat assure-t-il tous les frais (réels) d'investigation et de recherche des causes et des conséquences du sinistre ? 4 2 E2
01D02-05 Ce contrat assure-t-il tous les frais (réels) de réinitialisation des systèmes d'information touchés par le sinistre (frais de redémarrage 4 2 E2
et de test après redémarrage, frais de reconstitution des données, etc.) ?
01D02-06 Ce contrat couvre-t-il tous les frais supplémentaires d'exploitation et de fonctionnement (prise en charge des frais et dépenses qui 4 2 E2
continuent à courir, des frais exposés pour éviter ou limiter l'arrêt de l'activité) ?
01D02-07 Ce contrat couvre-t-il tous les frais supplémentaires engagés par l'entreprise pour rétablir son image auprès de ses clients ou 4 E2
partenaires ?
01D02-08 Ce contrat couvre-t-il globalement la perte d'exploitation engendrée par le sinistre ? 4 3 E2
01D02-09 Le choix des garanties en matière informatique (exclusions, franchises, etc.) est-il le résultat d'une étude spécifique conduite en 2 E2
commun avec la Direction Informatique et remise à jour régulièrement ?
01D02-10 Les niveaux des garanties et des franchises permettent-ils de garantir la survie de l'entreprise en cas de sinistre ? 2 2 E2
01D02-11 Les niveaux des garanties et des franchises permettent-ils de garantir qu'un sinistre pourrait être supporté sans conséquences 2 3 E2
graves pour l'entreprise ?
01D03 Assurance Responsabilité Civile (RC)
01D03-01 A-t-on souscrit une garantie "Responsabilité Civile" incluant les conséquences de sinistres informatiques (RC professionnelle, RC 4 E1
produit) ?
01D03-02 Ce contrat couvre-t-il toutes les causes possibles de sinistre : accidents touchant du matériel, des programmes ou des données 2 E2
(pannes, bogues, risques divers, etc.), erreurs humaines (erreurs de manipulation, erreurs de programmation, etc.), malveillances
(fraudes, intrusions, déni de service, y compris par le personnel de l'entreprise ou préposé à son opération ou entretien) ?
01D03-03 Ce contrat couvre-t-il tous les frais supplémentaires engagés par l'entreprise pour rétablir son image auprès de ses clients ou 2 E2
partenaires ?
01D03-04 Le choix des garanties en matière informatique (exclusions, franchises, etc.) est-il le résultat d'une étude spécifique conduite en 2 E2
commun avec la Direction Informatique et remise à jour régulièrement ?
01D03-05 Les niveaux des garanties et des franchises permettent-ils de garantir la survie de l'entreprise en cas de sinistre ? 2 2 E2
01D03-06 Les niveaux des garanties et des franchises permettent-ils de garantir qu'un sinistre pourrait être supporté sans conséquences 2 3 E2
01D04 graves pour Perte
Assurance l'entreprise ?
de Personnages clés
01D04-01 L'entreprise est-elle assurée par un contrat couvrant la perte de personnes clés pour l'activité de l'entreprise ? 2 E2

Mise à jour : janvier 2010 464752531.xls ! 01 Org page 20


Questionnaire d'audit : Organisation de la sécurité 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
01D04-02 Ce contrat couvre-t-il toutes les causes possibles de perte de personnes clés : accidents (avion, automobile, etc.), maladies, départs 4 2 E2
volontaires individuels ou groupés ?
01D04-03 Ce contrat couvre-t-il tous les frais supplémentaires de fonctionnement engendrés par cette perte ? 4 2 E2
01D04-04 Ce contrat couvre-t-il tous les frais supplémentaires engagés par l'entreprise pour rétablir son image auprès de ses clients ou 4 E2
partenaires ?
01D04-05 Ce contrat couvre-t-il globalement la perte d'exploitation engendrée par le sinistre ? 4 E2
01D04-06 Le choix des garanties en matière informatique (exclusions, franchises, etc.) est-il le résultat d'une étude spécifique conduite en 2 E2
commun avec la Direction Informatique et remise à jour régulièrement ?
01D04-07 Les niveaux des garanties et des franchises permettent-ils de garantir la survie de l'entreprise en cas de sinistre ? 2 2 E2
01D04-08 Les niveaux des garanties et des franchises permettent-ils de garantir qu'un sinistre pourrait être supporté sans conséquences 2 3 E2
graves pour l'entreprise ?
01D05 Gestion des contrats d'assurance
01D05-01 Y a-t-il un responsable "Assurances" dans l'entreprise ? 1 E1
01D05-02 Le choix des garanties en matière informatique est-il le résultat d'une étude spécifique conduite en commun avec la Direction 2 E1
Informatique (sur la base d'une analyse de risque récente - moins de trois ans) ?
01D05-03 Y a-t-il une vérification périodique (>1/ an) des contrats d'assurances par le responsable assurance après consultation des 2 E2
responsables des secteurs concernés entraînant un ajustement des garanties avec le courtier ou l'agent d'assurances ?
01D05-04 Y a-t-il une visite de risque régulière par un inspecteur de la compagnie d'assurances apéritrice, donnant lieu à un rapport écrit et 2 E2
communiqué aux responsables des secteurs concernés ?
01D05-05 Les responsables des secteurs concernés ont-ils participé à l'étude des limites des garanties (exclusion, franchise, plafond, etc.) 2 E2
figurant dans les contrats souscrits ?
01D05-06 Y a-t-il eu une étude pour analyser les transferts de risque en fonction des divers types de partenaires ? 2 E2
Prestataires, fournisseurs, hébergeurs, voire clients.
01E Continuité de l'activité
01E01 Prise en compte des besoins de continuité de l'activité
01E01-01 A-t-on analysé la criticité des différentes activités pour mettre en évidence les besoins de continuité de service ? 4 2 E1 14.1.2
Une analyse approfondie suppose que l'on établisse une liste de scénarios d'incidents et qu'on en analyse toutes les conséquences
prévisibles.
01E01-02 Cette analyse a-t-elle permis de formaliser les performances minimales à assurer au niveau des systèmes d'information et ces 4 2 E1 14.1.2
performances minimales ont-elles été acceptées par les utilisateurs (propriétaires d'information) ?
01E01-03 Existe-t-il des processus, régulièrement mis en oeuvre, d'analyse des risques, liés à l'information, pouvant conduire à une 2 E2 14.1.1
interruption des activités de l'entreprise, débouchant sur une définition des exigences de sécurité, des responsabilités, des
procédures à appliquer et moyens à mettre en oeuvre afin de permettre l'élaboration des plans de continuité ?

01E02 Plans de Continuité de l'Activité


01E02-01 A-t-on déduit, d'une analyse de criticité, des Plans de Continuité d'Activité (PCA) pour chaque activité critique ? 3 E1 14.1.3
01E02-02 Ces plans prévoient-ils bien toutes les actions à entreprendre pour assurer la continuité de l'activité entre l'alerte et la mise en 3 2 E2 14.1.3
œuvre éventuelle des solutions de remplacement prévues par les plans de secours techniques ?
01E02-03 Ces plans traitent-ils tous les aspects organisationnels liés à la solution de secours (personnel, logistique, encadrement, etc.) ? 3 E2 14.1.3
01E02-04 A-t-on prévu les instructions et la formation à donner aux personnels pour la mise en œuvre des plans de continuité ? 2 E2 14.1.3
01E02-05 Les Plans de Continuité d'Activité prévoient-ils les procédures de retour à la normale ? 4 2 E2 14.1.3
01E02-06 Existe-t-il un Plan de déclenchement de crise associé avec chacun de ces plans ? 4 E2
01E02-07 La réalisation de ces plans permet-elle de rendre supportable (impact limité à 2) tout dysfonctionnement critique ? 1 2 3 E2
Question destinée à ne pas surévaluer l'efficacité de ce service.

Mise à jour : janvier 2010 464752531.xls ! 01 Org page 21


Questionnaire d'audit : Organisation de la sécurité 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
01E02-08 Y a-t-il un responsable en charge de l’élaboration, le suivi et les tests de ces plans ? 3 C1 14.1.5
01E02-09 Ces plans sont-ils régulièrement testés (au moins une fois par an) ? 3 2 C1 14.1.5
01E02-10 Les résultats des tests sont-ils analysés avec le management et les parties prenantes concernées ? 3 2 C1 14.1.5
01E02-11 Les plans de continuité sont-ils remis à jour régulièrement ? 3 2 C1 14.1.5
Cette mise à jour devrait être déclenchée pour tenir compte des changements de personnels concernés, des évolutions techniques
et des résultats des tests effectués.
01E02-12 Les mises à jour de ces plans sont-elles régulièrement auditées (au moins une fois par an) ? 3 2 R1
01E03 Plans de Reprise de l'Environnement de Travail (PRET)
01E03-01 Existe-t-il des solutions de secours pour pallier l'indisponibilité de l'environnement de travail (indisponibilité des locaux, de 4 2 E1
l'alimentation en énergie, de la téléphonie, etc.) ?
01E03-02 Ces solutions sont-elles décrites en détail dans des Plans de Reprise de l'Environnement de Travail (PRET) incluant les règles de 4 E1
déclenchement, les actions à mener, les priorités, les acteurs à mobiliser et leurs coordonnées ?
01E03-03 Ces plans sont-ils testés au moins une fois par an ? 2 3 R1
01E03-04 Le cas de défaillance ou d'indisponibilité d'un moyen de secours a-t-il été envisagé et y a-t-il, pour chacun, une solution de secours 4 3 R2
de deuxième niveau ?
01E03-05 Les solutions de secours sont-elles utilisables pour une durée illimitée ou, à défaut, est-il prévu une deuxième solution venant en 2 E2
remplacement de la première après un temps déterminé ?
01E03-06 L'existence, la pertinence et la mise à jour des PRET font-elles l'objet d'un audit régulier ? 3 C1

Mise à jour : janvier 2010 464752531.xls ! 01 Org page 22


Commentaires

Mise à jour : janvier 2010 464752531.xls ! 01 Org page 23


Mise à jour : janvier 2010 464752531.xls ! 01 Org page 24
Mise à jour : janvier 2010 464752531.xls ! 01 Org page 25
Mise à jour : janvier 2010 464752531.xls ! 01 Org page 26
Mise à jour : janvier 2010 464752531.xls ! 01 Org page 27
Mise à jour : janvier 2010 464752531.xls ! 01 Org page 28
Mise à jour : janvier 2010 464752531.xls ! 01 Org page 29
Mise à jour : janvier 2010 464752531.xls ! 01 Org page 30
Mise à jour : janvier 2010 464752531.xls ! 01 Org page 31
Mise à jour : janvier 2010 464752531.xls ! 01 Org page 32
Questionnaire d'audit : Sécurité des Sites 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
02A Contrôle d'accès physique au site et aux bâtiments
On traite ici du contrôle d'accès à l'ensemble du site ou à l'immeuble, voire à un ensemble d'étages,
représentant le "site propre" dans lequel sont situés les locaux sensibles.
02A01 Gestion des droits d'accès au site ou à l'immeuble
02A01-01 Les droits permanents ou semi-permanents (pour une durée déterminée) d'accès à chaque site ou immeuble (ou aux étages 4 3 2 E1
propres) sont-ils définis par rapport à des "profils" types (personnel en CDI, CDD, personnels temporaires, stagiaires, prestataires,
fournisseurs de services, etc.) et/ou au métier de chaque type de personnel ?
02A01-02 Y a -t-il une liste, tenue à jour, de ces profils et des personnes responsables de la gestion des droits de chacun d'entre eux ? 4 2 2 E2
02A01-03 Les droits attribués aux différents profils et leurs conditions de validité sont-ils validés par le responsable de la sécurité du site ou 4 E2
le responsable de la sécurité générale ?
02A01-04 Les profils permettent-ils également de définir des créneaux horaires et calendaires de travail (heures début et fin de journée, 2 E2
week-end, vacances, etc.) ?
02A01-05 Les droits et profils ainsi définis sont-ils protégés contre toute altération ou falsification, lors de leur transfert entre les 1 3 R1
décisionnaires et les personnes en charge de matérialiser ces droits ou lors de leur stockage ?
02A01-06 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits attribués aux diverses catégories de personnes et de 1 3 C1
la pertinence de ces droits d'accès ?
02A02 Gestion des autorisations d'accès au site ou à l'immeuble
02A02-01 La procédure d'attribution d'une autorisation d'accès permanente ou semi-permanente nécessite-t-elle l'accord formel de la 4 2 E1
hiérarchie de rattachement ou de l'unité gérante de la prestation externe (à un niveau suffisant) ?
02A02-02 Le processus d'attribution (ou modification ou retrait) effective d'une autorisation d'accès est-il documenté et strictement contrôlé ? 4 2 E2
Un contrôle strict requiert une reconnaissance formelle de la signature (électronique ou non) du demandeur, que la matérialisation
du profil attribué aux utilisateurs soit strictement sécurisée, que chaque opération soit enregistrée (avec mention du jour de la
remise du badge et sa durée de validité), qu'il existe un contrôle d'accès renforcé pour pouvoir modifier ces enregistrements, et
que ces modifications soient journalisées et auditées.

02A02-03 Les autorisations sont-elles attribuées nominativement en fonction du profil de son titulaire ? 4 E2
02A02-04 Ces autorisations d'accès aux sites sont-elles matérialisées par un badge ou une carte ? 2 E2
02A02-05 Les badges ou cartes matérialisant les autorisations d'accès aux sites sont-ils personnalisés avec le nom du titulaire et sa photo ? 2 E2

02A02-06 Peut-on contrôler à tout moment la liste des autorisations d'accès en cours de validité, avec leur profil de rattachement ? 2 E2
02A02-07 Y a-t-il un processus de retrait rapide et systématique des autorisations d'accès (avec dévalidation du badge dans les systèmes de 4 2 E2
contrôle d'accès automatique) et de restitution du badge ou de la carte correspondant lors de départs de personnel interne ou
externe à l'entreprise, de changements de site de rattachement (si les autorisations dépendent de ce site) ou d'interruption de
mission ?
02A02-08 Existe-t-il une procédure permettant de détecter, a posteriori, des anomalies dans la gestion des autorisations (badge ou carte non 4 C1
restitué, utilisation d'un badge perdu, faux badge, etc.) ?
02A03 Contrôle d'accès au site ou à l'immeuble
02A03-01 Le site est-il complètement clos par une enceinte difficile à franchir ? 1 1 E1 9.1.1
S'il s'agit d'un immeuble sur la voie publique, pour être considéré comme clos, toutes les fenêtres du rez-de-chaussée doivent être
bloquées fermées et toutes les voies d'accès doivent être prises en compte (garages ou sous-sols, toiture, etc.).

02A03-02 A-t-on un système opérationnel (automatique ou gardiennage) de contrôle d'accès systématique (piétons et véhicules) au site ? 1 1 E2 9.1.1

Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 33


Questionnaire d'audit : Sécurité des Sites 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
02A03-03 Ce système permet-il de garantir que toute personne est contrôlée ? 4 2 E3
Un contrôle efficace suppose un sas, un système de tourniquet ou un gardien ne permettant le passage que d'une personne à la
fois, pour les piétons et, pour les véhicules entrant sur un site, un gardien contrôlant toutes les personnes présentes dans le
véhicule
02A03-04 Un tel système, s'il repose sur un badge, permet-il de garantir qu'un même badge n'est pas réutilisé par une deuxième personne 4 E3
(par exemple en mémorisant l'entrée et en empêchant toute réutilisation sans avoir auparavant badgé pour ressortir) ?

02A03-05 En cas d'autorisation d'accès au site sur présentation d'un badge ou d'une carte, a-t-on la possibilité immédiate d'en vérifier 4 2 E2
l'authenticité et la validité ?
02A03-06 Les systèmes automatiques de contrôle d'accès au site sont-ils placés sous contrôle permanent opérationnel 24h/24 permettant 4 2 R1 9.1.1
de diagnostiquer une panne, une désactivation ou l'utilisation d'issues de secours en temps réel ?
02A03-07 Y a-t-il une procédure ou des automatismes permettant de déclencher l'intervention immédiate d'un personnel spécialisé en cas 4 3 R2
d'alarme d'arrêt du système de contrôle d'accès automatique (ou d'utilisation d'issue de secours) ?
02A03-08 Existe-t-il une procédure permettant de détecter, a posteriori, des anomalies dans les processus de contrôle d'accès (audit des 4 3 C1
procédures et du paramétrage des systèmes de contrôle d'accès, audit des procédures d'exception et d'intervention, etc.) ?

02A04 Détection des intrusions sur le site ou dans l'immeuble


02A04-01 A-t-on un système opérationnel de détection des intrusions sur le site relié à un poste permanent de surveillance ? 4 E2 9.1.1
02A04-02 Ce système détecte-t-il tout franchissement de clôture, tout forçage d'issue (portes et fenêtres) tout fonctionnement d'issue de 4 2 E2
secours et tout maintien en ouverture d'une issue normale ?
02A04-03 Ce système est-il doublé d'un système de contrôle audio et vidéo permettant à l'équipe de surveillance d'établir un premier 4 3 E3
diagnostic ou une levée de doute à distance ?
02A04-04 L'équipe de surveillance est-elle dégagée de toute tâche opérationnelle et toute alarme est-elle immédiatement détectée et traitée 4 3 E3
en toute priorité ?
02A04-05 En cas d'alerte du système de détection d'intrusion, l'équipe de surveillance a-t-elle la possibilité d'envoyer sans délai une équipe 4 2 E2
d'intervention pour vérifier l'alerte et agir en conséquence ?
02A04-06 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse d'alarmes multiples déclenchées 4 3 E3
volontairement ?
02A04-07 Existe-t-il un cahier de consigne précis détaillant, pour chaque cas d'alerte envisagé, la conduite à tenir ? 2 E2
02A04-08 Le système de détection d'intrusion est-il lui-même sous contrôle (alarme en cas d'inhibition, auto-surveillance des caméras, 2 3 R1
etc.) ?
02A04-09 Les points de contrôle de la détection d'intrusions et les procédures de réaction aux intrusions font-ils l'objet d'audits réguliers ? 2 3 C1

02A05 Accès aux zones de transfert (livraison ou chargement) ou aux zones accessibles au public
02A05-01 Des mécanismes spécifiques de contrôle d'accès ont-ils été mis en œuvre pour les zones de livraison/chargement depuis 2 E2 9.1.6
l’extérieur du bâtiment ?

02A05-02 Les zones de déchargement sont elles conçues de telle sorte que les livraisons/chargement puissent être effectués sans que le 2 E2 9.1.6
personnel de livraison ait accès aux autres parties du bâtiment ou du site ?
02A05-03 Pour les zones accessibles au public, a-t-il été mis en œuvre des mesures spécifiques permettant d'isoler les flux du public et les 2 E2 9.1.6
accès aux bâtiments ?
02B Protection contre les risques environnementaux divers
02B01 Analyse des risques environnementaux divers

Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 34


Questionnaire d'audit : Sécurité des Sites 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
02B01-01 A-t-on fait une analyse approfondie des risques environnementaux envisageables pour le site considéré ? 1 E3 9.1.4
Les risques potentiels sont : Avalanche, Cyclone, Tempête, Inondations, Feu de forêt, Mouvement de terrain, Séisme, Volcan,
Risque rupture de barrage, Inondations, crues torrentielles, rupture de barrage ou de digue, Glissement de terrain, chute de blocs,
écroulement, ravinement , sécheresse.
02B01-02 A-t-on fait une analyse approfondie des risques industriels envisageables pour le site considéré ? 1 E3 9.1.4
Les risques potentiels sont : présence à proximité de site à risques (type Seveso), d'installations internes dangereuses, proximité
d'une station services, d'une voie de circulation autorisée aux matières dangereuses ...

02B01-03 A-t-on pu écarter chaque cas comme hautement improbable ou pris des mesures en conséquence ? 2 E3 9.1.4
02C Contrôle des accès aux zones de bureaux
02C01 Partitionnement des zones de bureaux en zones protégées
02C01-01 A-t-on établi une politique de gestion des droits d'accès aux zones de bureaux s'appuyant sur une analyse préalable des 2 E1 11.1.1
exigences de sécurité, basées sur les enjeux de l'activité ?
02C01-02 A-t-on effectué un partitionnement des zones de bureaux en zones protégées correspondant à des exigences de sécurité 2 E2
homogènes ?
02C01-03 S'est-on assuré que les règles d'accès aux actifs sont cohérentes avec ce partitionnement en zones protégées ? 4 E2
Les actifs sont constitués des données, documents et équipements installés dans ces zones ou accessibles depuis ces zones.

02C01-04 Ce partitionnement des zones de bureaux et les cloisonnements correspondants séparent-ils les espaces internes protégés des 2 3 E2
zones d'accueil et de réunion, où sont reçues des personnes externes aux entités protégées ?
02C01-05 Y-a-t-il un processus de mise à jour systématique des règles de partitionnement pour les zones de bureaux ? 2 C1
02C02 Contrôle d'accès physique aux zones de bureaux protégées
02C02-01 Utilise-t-on un système automatique d'authentification et de contrôle d'accès systématique aux zones protégées ? 2 E2
02C02-02 Existe-t-il une procédure et des moyens permettant aux personnes n'ayant pas d'autorisations d'appeler afin de pouvoir pénétrer 3 E3
dans les zones protégées ?

02C02-03 Dans le cas d'accueil de personnes sans autorisation, la procédure garantit-elle que lesdites personnes sont alors 3 E3
accompagnées ?
02C02-04 Y a-t-il une procédure associée à des automatismes permettant de déclencher l'intervention immédiate d'un personnel spécialisé 2 R1
en cas d'alarme suite à un arrêt du système automatique de contrôle d'accès ou à sa désactivation ?
02C02-05 Le système de contrôle d'accès aux zones de bureaux protégés est-il équipé d'un dispositif "anti-retour" (ou dispositif "anti-pass 2 3 E3
back") ?
02C02-06 L'authentification fait-elle appel à des moyens infalsifiables détenus par l'utilisateur (badge, carte à puce ou reconnaissance 4 4 E2
biométrique, par exemple) ?
02C02-07 Le mécanisme employé comporte-t-il en outre une procédure d'authentification forte (à deux facteurs) du détenteur de ce moyen ? 4 3 E3

02C02-08 Existe-t-il une procédure d'attribution temporaire de moyen d'accès pour couvrir les cas de perte, d'oubli ou de vol de badges ? 2 E3
02C02-09 Ces moyens temporaires ne donnent-ils accès qu'à une zone strictement limitée ? 2 3 E3
02C02-10 Le système de contrôle d'accès garantit-il un contrôle exhaustif de toute personne entrant dans les locaux (sas ne permettant le 4 4 E3
passage que d'une personne à la fois, processus interdisant l'utilisation du même badge par plusieurs personnes, etc.) ?
02C02-11 En complément du contrôle d'accès par les issues normales, assure-t-on un contrôle d'accès par les autres issues (fenêtres 4 3 E1
accessibles depuis l'extérieur, issues de secours, accès potentiels par les faux planchers et faux plafonds,... ) ?
02C02-12 Les systèmes automatiques de contrôle d'accès aux zones protégées sont-ils placés sous contrôle permanent opérationnel 24h/24 2 R1
permettant de diagnostiquer une panne ou une désactivation en temps réel ?

Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 35


Questionnaire d'audit : Sécurité des Sites 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
02C02-13 Les issues de secours sont-elles placées sous contrôle permanent opérationnel 24h/24 permettant d'en diagnostiquer l'utilisation 3 E2
en temps réel ?
02C02-14 Existe-t-il un processus d'audit permettant de détecter, a posteriori, des anomalies dans les processus de contrôle d'accès (audit 3 C1
des procédures et du paramétrage des systèmes de contrôle d'accès, audit des procédures d'exception et d'intervention, etc.) ?

02C02-15 Y-a-t-il un processus de mise à jour systématique de la politique de gestion des droits d'accès ? 2 C1
02C03 Gestion des autorisations d'accès aux zones de bureaux protégées
02C03-01 La procédure d'attribution d'un droit d'accès permanent à une zone protégée nécessite-t-elle l'accord formel du responsable de la 2 E1
zone protégée ?
02C03-02 L'authenticité des demandes d'attribution de droits d'accès est-elle vérifiable et vérifiée (contrôle de signature) ? 3 E2
02C03-03 Les autorisations accordées sont-elles attribuées nominativement et consignées sur un registre ou enregistrées (avec mention du 4 E2
jour de l'autorisation et sa durée de validité) ?
02C03-04 Ces autorisations sont-elles limitées dans le temps (durée de validité) ? 2 E3
La durée de validité peut être définie en fonction du profil.

02C03-05 A-t-on mis en place une procédure de retrait des droits systématique en cas de départ ? 2 E2
02C03-06 A-t-on mis en place une procédure de retrait des droits systématique en cas de changement de fonction ou de mutation ? 2 E3
02C03-07 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des autorisations d'accès en cours de validité à chaque zone 2 C1
protégée ?
Cet audit devrait également analyser la pertinence de ces autorisations.

02C03-08 Y a-t-il un enregistrement de toutes les entrées dans les zones protégées ? 3 E2
02C03-09 Y a-t-il également un enregistrement de toutes les sorties des zones protégées ? 2 E3
02C03-10 Existe-t-il une procédure permettant de détecter, a posteriori, des anomalies dans la gestion des autorisations (badge ou carte non 4 R1
restitué, utilisation d'un badge perdu, faux badge, etc.) ou dans l'utilisation de ces autorisations ?
02C04 Détection des intrusions dans les zones de bureaux protégées
02C04-01 Existe-t-il un système opérationnel de détection de forçage d'issues dans les zones de bureaux protégées relié à un poste 2 E2
permanent de surveillance ?
Ce système devrait contrôler le forçage d'issue (portes et fenêtres), l'actionnement ou le maintien ouvert d'une issue de secours,
etc...

02C04-02 Existe-t-il un système opérationnel de détection de présence en dehors des heures de travail dans les zones de bureaux 2 E2
protégées relié à un poste permanent de surveillance ?
Ce système devrait contrôler la présence de personnes (détecteur volumétrique) etc. Il peut également s'agir d'un système de
vidéosurveillance relayé à un poste de garde permanent.
02C04-03 Ce système est-il doublé d'un système de contrôle audio et vidéo permettant à l'équipe de surveillance d'établir un premier 3 E2
diagnostic à distance ?
02C04-04 En cas d'alerte du système de détection d'intrusion, l'équipe de surveillance a-t-elle la possibilité d'envoyer sans délai une équipe 2 E2
d'intervention pour vérifier l'alerte et agir en conséquence ?
02C04-05 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse d'alarmes multiples déclenchées 3 E2
volontairement ?
02C04-06 Les locaux contenant les systèmes électroniques de détection et de traitement des alarmes sont-ils protégés en permanence par 2 R1
un système de contrôle d'accès et par un système de détection d'intrusion en dehors des heures d'exploitation ?
02C04-07 Le système de détection d'intrusion est-il lui-même sous contrôle (alarme en cas d'arrêt, auto-surveillance des caméras, etc.) ? 3 R2
02C04-08 Les points de contrôle de la détection d'intrusion et les procédures de réaction aux intrusions font-ils l'objet d'audits réguliers ? 3 C1
02C05 Surveillance des zones de bureaux protégées

Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 36


Questionnaire d'audit : Sécurité des Sites 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
02C05-01 Pour les zones de bureaux protégées, utilise-t-on un système complémentaire de vidéosurveillance cohérent et complet contrôlant 4 3 E2
les mouvements de personnes à l'intérieur de ces zones et permettant de détecter des anomalies dans les comportements ?

02C05-02 En cas d'alerte, l'équipe de surveillance a-t-elle la possibilité d'envoyer sans délai une équipe d'intervention pour vérifier l'alerte ou 4 E2
agir en conséquence ?
02C05-03 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse d'alarmes multiples déclenchées 3 E2
volontairement ?
02C05-04 La surveillance des locaux est-elle également en service pendant le nettoyage des locaux sensibles ? 2 E2
02C05-05 Existe-t-il un enregistrement de la vidéosurveillance, conservé sur une longue période ? 2 E3

02C05-06 Le système de surveillance des locaux sensibles est-il lui-même sous contrôle (alarme en cas d'arrêt, auto-surveillance des 3 R2
caméras, etc.) ?
02C05-07 Les procédures de surveillance et les procédures de réaction aux comportements anormaux font-ils l'objet d'audits réguliers ? 3 C2
02C06 Contrôle de la circulation des visiteurs et des prestataires occasionnels amenés à intervenir dans les bureaux
02C06-01 Contrôle-t-on de manière globale le mouvement des visiteurs et des prestataires occasionnels (bon horodaté à l'arrivée et au 2 E1 9.1.2
départ, signature de la personne visitée, etc.) ?
02C06-02 Les visiteurs et prestataires occasionnels sont-ils accompagnés en permanence (aller, retour à l'accueil, déplacements 2 E1 9.1.2
intermédiaires) ?
02C06-03 Les visiteurs sont-ils accueillis dans une zone spécifiquement délimitée et ne contenant que des locaux d'accueil, salles de 3 E2 9.1.2
réunions ou zones accessibles au public ?
02C06-04 A-t-on défini des procédures spécifiques de contrôle pour chaque type de prestataire extérieur au service amené à intervenir dans 4 E2 9.1.2
les bureaux (consultants, sociétés de maintenance, personnel de nettoyage, etc.) : port d'un badge spécifique, présence d'un
accompagnateur, autorisation préalable indiquant le nom de l'intervenant, etc. ?

02C06-05 Ces procédures permettent-elles de garantir que l'intervention correspond bien à un besoin exprimé et que le domaine 2 E2
d'intervention est confiné au seul besoin ?
02C06-06 Y a-t-il un enregistrement des visiteurs et prestataires occasionnels permettant de vérifier a posteriori la réalité et l'objet de la visite 3 E2
et a-t-on mis en place une procédure permettant de détecter des abus éventuels ?
02C06-07 Dispose-t-on d'un moyen sûr d'enregistrer les départs des visiteurs (conservation de la carte d'identité par exemple) ? 2 E2
02C06-08 Les procédures de contrôle de la circulation des visiteurs et des prestataires occasionnels font-elles régulièrement l'objet d'un 3 C1
audit ?
02D Protection de l'information écrite
02D01 Conservation et protection des documents courants importants
02D01-01 Existe-t-il des facilités permettant au personnel de stocker à proximité immédiate de leurs bureaux des documents courants et 4 E2
vivants requérant un haut degré de protection en ce qui concerne leur conservation ?
02D01-02 Ces facilités permettent-elles de protéger les documents importants contre les risques de dégâts des eaux et des inondations ? 4 E2

02D01-03 Ces facilités permettent-elles de protéger les documents importants contre les risques d'incendie (coffres ignifuges) ? 4 E2

02D01-04 Les locaux de stockage de ces documents sont-ils équipés de contrôle d'accès renforcé et de détection d'intrusion ? 3 E2
02D01-05 L'arrêt des systèmes de sécurité (incendie, dégâts des eaux, contrôle d'accès, détection d'intrusion) déclenchent-ils une alarme 2 R1
auprès d'un centre de surveillance pouvant intervenir rapidement ?
02D01-06 Les conditions de stockage des documents courants importants font-elles l'objet d'audits réguliers ? 3 3 C2
02D02 Protection des documents et supports amovibles
02D02-01 Les procédures et instructions de sécurité précisent-elles les règles de protection applicables aux documents et aux supports 3 E1 10.7.1
d'information situés dans les bureaux (quel que soit la nature du support) ?

Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 37


Questionnaire d'audit : Sécurité des Sites 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
02D02-02 Les procédures et instructions de sécurité précisent-elles les règles de protection applicables aux micro-ordinateurs portables 3 E1
(rangement, attachement par un câble, etc.) ?
02D02-03 Les procédures et instructions de sécurité précisent-elles également les règles de protection applicables aux tablettes, assistants 3 E2
numériques personnels (PDA ou ANP), téléphones pouvant contenir des informations sensibles ?

02D02-04 Les procédures et instructions de sécurité précisent-elles les règles de sécurité relatives à l'impression de documents sensibles ? 3 E2

02D02-05 Les procédures et instructions de sécurité précisent-elles les règles de sécurité relatives à la diffusion de documents sensibles ? 3 E2

02D02-06 Les procédures et instructions de sécurité précisent-elles les règles de sécurité relatives à la gestion de documents sensibles lors 3 E2
de déplacement en dehors de l'entreprise ?
02D02-07 Le personnel peut-il disposer, à la demande, de possibilités de stockage sécurisé (en armoire forte) à disponibilité immédiate 4 3 E2
(dans le bureau ou à proximité immédiate du bureau, à toute heure) ?
02D02-08 Le personnel est-il régulièrement sensibilisé à la nécessité de protéger les documents et autres supports sensibles ? 2 E2
02D02-09 Les services de sécurité contrôlent-ils très régulièrement (rondes quotidiennes) l'application des règles de rangement des 3 C1
documents et supports amovibles divers situés dans les bureaux ?
02D02-10 Ces contrôles ont-ils lieu également pendant les heures ouvrables, en l'absence des occupants des bureaux ? 3 C2
02D02-11 L'application des règles de sécurité relatives à l'impression et à la diffusion des documents sensibles est-elle régulièrement 3 C2
auditée ?
02D03 Ramassage des corbeilles à papier et destruction des documents
02D03-01 L'intégralité du contenu des corbeilles à papier est-il soumis à une procédure de destruction sécurisée ? 2 3 E2
02D03-02 Le personnel dispose-t-il de moyens de destruction sécurisée des documents sensibles à détruire (déchiqueteuse, procédure de 4 3 E1
ramassage spéciale ) ?
02D03-03 Les moyens de destruction offerts au personnel offrent-ils une garantie forte que les documents détruits ne peuvent pas être 2 3 E2
reconstitués ?
Pour cela, une déchiqueteuse doit être à coupe croisée.
02D03-04 La capacité des moyens de destruction offerts au personnel est-elle compatible avec le volume moyen des documents à détruire ? 2 E1

02D03-05 A-t-on installé une déchiqueteuse de capacité suffisante à coté de chaque photocopieur et de chaque imprimante partagée ? 4 E2
Nota : La capacité nécessaire devrait prendre en compte l'épaisseur maximale que peuvent couramment atteindre les documents
photocopiés.
02D03-06 L'ensemble des procédures et moyens de destruction fait-il l'objet d'audits réguliers ? 2 3 C1
02D04 Sécurité du courrier
02D04-01 Le local de tri et de répartition du courrier (arrivée et départ) est-il fermé à clé en dehors des heures où le personnel y travaille ? 4 E1
02D04-02 Le local de tri et de dispatching du courrier (arrivée et départ) est-il protégé contre les risques d'incendie et contre les dégâts des 3 E1
eaux (détection automatique avec alerte auprès d'une équipe de surveillance) ?
02D04-03 Le circuit de distribution du courrier assure-t-il que seul le service destinataire peut y avoir accès (casiers fermés à clé, distribution 3 E1
directe et remise en main propre, etc.) ?
02D04-04 Dans les services utilisateurs, les courriers non clos en attente (de distribution ou de départ) sont-ils tenus à l'abri de toute 2 E2
indiscrétion ?
02D04-05 Les courriers sensibles au départ sont-ils rendus banalisés (double enveloppe, le degré de classification n'étant indiqué que sur 2 E2
l'enveloppe interne) ?
02D04-06 Les courriers importants envoyés le sont-ils systématiquement en recommandé avec avis de réception ? 3 E2
02D04-07 L'application des consignes et procédures de sécurisation du courrier est-elle régulièrement auditée ? 3 C1
02D05 Sécurité des télécopies (traditionnelles)

Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 38


Questionnaire d'audit : Sécurité des Sites 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
02D05-01 Existe-t-il une procédure ou directive précisant les modalités d'envoi et de réception de télécopies sensibles ? 2 E1
02D05-02 Le local de chaque télécopieur est-il fermé en dehors des heures où le personnel y travaille ? 4 E1
02D05-03 Le local d'émission et de réception des télécopies est-il protégé contre les risques d'incendie et contre les dégâts des eaux 3 E1
(détection automatique avec alerte auprès d'une équipe de surveillance) ?
02D05-04 Le circuit de distribution des télécopies assure-t-il que seul le service destinataire peut y avoir accès (casiers fermés à clé, 3 E1
distribution directe et remise en main propre, etc.) ?
02D05-05 Les possibilités et modalités de relève distante avec mot de passe sont-elles expliquées au personnel et affichées à proximité 4 3 E2
immédiate des télécopieurs ?
02D05-06 Le mode de relève distante avec mot de passe est-il obligatoire pour l'envoi ou la réception de télécopies sensible ou important ? 3 E2

02D05-07 Les procédures et les instructions sont-elles régulièrement auditées ? 2 3 C1


02D06 Conservation et protection des documents importants à conserver sur une longue période
02D06-01 Existe-t-il un service spécialement chargé de la conservation et de la protection des documents importants devant être conservés 2 E2 13.2.3
sur une longue période ?
Documents originaux importants, éléments pouvant servir de preuve ou de justificatifs, etc.
02D06-02 Existe-t-il une procédure obligeant les utilisateurs à utiliser ce service pour tout document ayant valeur de preuve ou constituant un 2 E2 13.2.3
original important ?
02D06-03 Les documents correspondants sont-ils stockés dans des coffres ignifuges, eux-mêmes placés dans des salles équipées de 3 E2
détection et d'extinction incendie adaptée, de détection de dégâts des eaux et de moyens d'évacuation ?
02D06-04 Les locaux de stockage de ces documents sont-ils équipés de contrôle d'accès renforcé et de détection d'intrusion ? 3 E2
02D06-05 L'arrêt des systèmes de sécurité (incendie, dégâts des eaux, contrôle d'accès, détection d'intrusion) déclenchent-ils une alarme 2 R1
auprès d'un centre de surveillance pouvant intervenir rapidement ?
02D06-06 S'assure-t-on régulièrement de la capacité à exploiter ces documents sur le long terme ? 3 C1
02D06-07 Les conditions de stockage correspondants et les systèmes de sécurité associés font-ils l'objet d'audits réguliers ? 3 C1
02D07 Gestion des archives documentaires
02D07-01 Existe-t-il un service spécialement chargé de l'archivage des documents à conserver sur une longue période ? 2 E2

02D07-02 Existe-t-il une procédure obligeant les utilisateurs à utiliser ce service d'archivage pour toute pièce devant être conservée sur une 2 E2
longue période ?

02D07-03 Les délais d'archivage et de restitution en cas de besoins sont-ils conformes aux attentes des utilisateurs ? 4 E2
À défaut, les utilisateurs conserveront leurs documents à archiver.
02D07-04 Les locaux d'archivage sont-ils équipés de détection et d'extinction incendie adaptée, de détection de dégâts des eaux et de 3 3 E2
moyens d'évacuation ?

02D07-05 Les locaux d'archivage sont-ils équipés de contrôle d'accès renforcé et de détection d'intrusion ? 3 3 E2
02D07-06 Les locaux d'archivage sont-ils sous vidéosurveillance quand ils ne sont pas occupés ? 3 3 E3
02D07-07 Les cartons d'archives sont-ils marqués sans référence à leur contenu ? 3 3 E2
02D07-08 Les tables permettant d'associer un contenu à un numéro d'archive sont-elles rendues inaccessibles au personnel gérant 3 E3
physiquement les cartons d'archive ?
02D07-09 Ces tables font-elles l'objet d'un processus de sauvegarde ? 3 3 E2
02D07-10 L'arrêt ou l'interruption des systèmes de sécurité (incendie, dégâts des eaux, contrôle d'accès, détection d'intrusion) déclenchent- 2 3 R1
ils une alarme auprès d'un centre de surveillance pouvant intervenir rapidement ?
02D07-11 Le demandeur d'une archive est-il authentifié par une procédure reconnue comme "forte" ? 3 3 E2

Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 39


Questionnaire d'audit : Sécurité des Sites 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
02D07-12 La délivrance d'une archive est-elle enregistrée et tracée ? 3 3 E2
02D07-13 Existe-t-il une procédure spécfique pour la destruction des archives ? 1 E2
02D07-14 Cette procédure garantit-elle que l'émetteur de la demande a les habilitations requises ? 4 3 E2
02D07-15 Les archives sont-elles protégées contre tout détournement pendant leur transport entre le local d'archivage et la remise au 3 E2
demandeur ?
02D07-16 Les conditions de stockage des archives et les systèmes de sécurité associés font-ils l'objet d'audits réguliers ? 3 3 C1

Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 40


Commentaires

Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 41


Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 42
Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 43
Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 44
Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 45
Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 46
Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 47
Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 48
Mise à jour : janvier 2010 464752531.xls ! 02 Sit page 49
Questionnaire d'audit : Sécurité des Locaux 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002

03A Services techniques


03A01 Qualité de la fourniture de l'énergie
03A01-01 L'énergie électrique fournie répond-elle aux exigences spécifiées par les fournisseurs d'équipements avec une marge suffisante ? 2 E2 9.2.2

03A01-02 Y a-t-il un système de régulation électrique comportant au moins un système d'onduleur pour les équipements sensibles ? 4 E2 9.2.2
03A01-03 Y a-t-il des batteries intermédiaires (alimentant un ou plusieurs onduleurs) garantissant une autonomie suffisante pour que les 2 E2 9.2.2
équipements s'arrêtent dans de bonnes conditions ?
03A01-04 Le système d'alimentation en énergie est-il équipé d'un système de contrôle signalant à une équipe d'intervention toute 2 3 R1
indisponibilité partielle ou inhibition d'équipement (mise hors service des batteries, charge insuffisante, arrêt de la régulation,
etc.) ?
03A01-05 Vérifie-t-on régulièrement l'adéquation des systèmes de régulation d'énergie (capacités des batteries, en particulier) avec les 2 3 C2
exigences des systèmes (autonomie nécessaire pour assurer un arrêt propre) ?
03A01-06 Y a-t-il un remplacement régulier des batteries intermédiaires respectant les recommandations des fournisseurs ? 2 2 E2
03A02 Continuité de la fourniture de l'énergie
03A02-01 A-t-on établi une politique documentée établissant les exigences de continuité dans la fourniture électrique (et les fluides en 1 2 E1 9.2.2
général) ?
03A02-02 Existe-t-il une installation électrique de secours capable d'assurer la continuité du service des équipements critiques (s'appuyant 4 2 E1 9.2.2
sur un groupe électrogène associé à une réserve de carburant suffisante ou sur des arrivées indépendantes d'énergie) ?

03A02-03 Teste-t-on régulièrement la capacité du système de secours à assurer la charge prévue (les délestages éventuels ayant été 4 C1
effectués) ?
03A02-04 Teste-t-on régulièrement la séquence de mise en route de l'installation de secours et sa compatibilité avec les exigences de 4 2 E2
continuité de service (les tests incluant les délestages ou reconfigurations éventuellement nécessaires) ?

03A02-05 Le système de secours d'alimentation en énergie est-il équipé d'un système de contrôle signalant à une équipe d'intervention toute 2 3 R1
indisponibilité partielle ou inhibition d'équipement (mise hors service des équipements de secours, réserve de fuel insuffisante,
arrêt des systèmes de détection et de commutation, etc.) ?
03A03 Sécurité de la climatisation
03A03-01 Y a-t-il un système de climatisation créant une ambiance (température, hygrométrie, poussières) conforme aux prescriptions des 4 E2 9.2.2
constructeurs des matériels installés ?
03A03-02 Vérifie-t-on régulièrement la capacité du système de climatisation à assurer sa fonction dans les pires conditions climatiques 4 C1
envisageables ?
03A03-03 Le système de climatisation continue-t-il à assurer son service (maintien des conditions climatiques dans les limites spécifiées) en 2 E3 9.2.2
cas de panne simple d'un équipement (redondance suffisante des équipements, système de secours de la climatisation, etc.) ?

03A03-04 Vérifie-t-on régulièrement la capacité du système de climatisation à assurer sa fonction, à la suite d'une panne simple 1 3 C2
d'équipement, dans les pires conditions climatiques envisageables ?
03A03-05 Y a-t-il un système de redondance pour les équipements de climatisation les plus critiques ? 4 E2
03A03-06 L'inhibition accidentelle (panne) ou volontaire (arrêt) d'un équipement de climatisation est-elle détectée et signalée à une équipe 2 2 R1
d'intervention à même d'agir rapidement ?
03A03-07 La sécurité de la climatisation (détection de panne ou d'inhibition, procédures d'intervention, etc.) fait-elle l'objet d'un audit 2 3 C1
régulier ?
03A04 Qualité du câblage
03A04-01 Maintient-on un dossier de tous les chemins et baies de câblage et des locaux associés avec leurs caractéristiques ? 4 E1 9.2.3
03A04-02 Les câbles sont-ils étiquetés individuellement et à chaque extrémité ? 2 E2 9.2.3

Mise à jour : janvier 2010 464752531.xls ! 03 Loc page 50


Questionnaire d'audit : Sécurité des Locaux 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002

03A04-03 Le câblage est-il protégé contre les risques courants d'accident ? 4 E2 9.2.3
(par exemple par la mise en œuvre de goulottes protégées, encoffrement des chemins de câble….)
03A04-04 Les courants forts et faibles sont-ils bien séparés dans des chemins de câbles différents ? 2 E1 9.2.3
03A04-05 La qualité et la protection des câblages font-elles l'objet d'un audit régulier ? 2 3 C1
03A04-06 La mise à jour des plans de câblage fait-elle l'objet d'un audit régulier ? 2 2 C1
03A05 Protection contre la foudre
03A05-01 L'immeuble est-il protégé par un paratonnerre ? 4 E1
03A05-02 Les circuits électriques et le câblage sont-ils protégés contre les surtensions et contre la foudre par des équipements spéciaux ? 4 E1
03A05-03 La protection des circuits et des équipements contre la foudre fait-elle l'objet d'un audit régulier ? 2 3 C1
03A06 Sécurité des équipements de servitude
03A06-01 A-t-on répertorié précisément l'ensemble des équipements de servitude nécessaires aux systèmes d'information et de 4 E2 9.2.2
communication (eau froide, air, alimentations particulières, etc.) ?
03A06-02 Ces équipements sont-ils couverts par un contrat de maintenance adapté aux exigences du service attendu ? 4 C1
03A06-03 Y a-t-il un système de redondance ou une possibilité de remplacement rapide pour les équipements de servitude les plus 4 E2
critiques ?
03A06-04 L'inhibition accidentelle (panne) ou volontaire (arrêt) d'un équipement de servitude est-elle détectée et signalée à une équipe 2 2 R1
d'intervention à même d'agir rapidement ?
03A06-05 La sécurité des équipements de servitude (détection de panne ou d'inhibition, procédures d'intervention, etc.) fait-elle l'objet d'un 2 3 C1
audit régulier ?
03B Contrôle d'accès aux locaux sensibles (hors zones de bureaux)
03B01 Gestion des droits d'accès aux locaux sensibles
03B01-01 Les droits d'accès permanents ou pour une durée déterminée aux locaux sensibles sont-ils définis par rapport à des "profils" types 4 2 2 E1 9.1.2
prenant en compte la fonction et le statut du personnel ?
Ces profils peuvent concerner le personnel d'exploitation informatique ou télécom, le personnel des services généraux ou de
sécurité, les pompiers, les prestataires de maintenance ou d'entretien, les fournisseurs de services, les stagiaires, les visiteurs,
etc...
03B01-02 A-t-on recensé et classifié tous les types de locaux sensibles ? 4 E2
03B01-03 A-t-on désigné, pour chaque local sensible ou chaque type de local, un responsable chargé de définir et de maintenir à jour les 4 E1
droits d'accès attribués à chaque catégorie de personnel ?
03B01-04 Ces responsables assument-ils effectivement cette fonction et en rendent-ils compte au RSSI ? 4 2 E2
03B01-05 Les profils permettent-ils également de définir des créneaux horaires et calendaires de travail 4 E2
(par exemple : heures début et fin de journée, week-end, vacances, etc.) ?
03B01-06 Les droits d'accès et profils ainsi définis sont-ils protégés contre toute altération ou falsification, lors de leur transfert entre les 1 3 R1
décisionnaires et les personnes en charge de matérialiser ces droits ou lors de leur stockage ?
03B01-07 Y a-t-il un audit régulier ou inspections régulières, au moins une fois par an, tant des catégories de personnes, que des droits 1 3 C1 9.1.2
attribués et que des processus de gestion eux-mêmes ?
03B02 Gestion des autorisations d'accès aux locaux sensibles
03B02-01 La procédure d'attribution d'une autorisation d'accès, permanente ou pour une durée déterminée, nécessite-t-elle l'accord formel 4 2 E1
de la hiérarchie de rattachement ou de l'unité gérante de la prestation externe (à un niveau suffisant) ?

Mise à jour : janvier 2010 464752531.xls ! 03 Loc page 51


Questionnaire d'audit : Sécurité des Locaux 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002

03B02-02 Le processus d'attribution (ou modification ou retrait) effective d'une autorisation d'accès pour chaque type de local sensible est-il 4 2 E2
documenté et strictement contrôlé ?
Un contrôle strict requiert une reconnaissance formelle de la signature (électronique ou non) du demandeur, que la matérialisation
du profil attribué aux utilisateurs soit strictement sécurisée, que chaque opération soit enregistrée (avec mention du jour de la
remise du badge et sa durée de validité), qu'il existe un contrôle d'accès renforcé pour pouvoir modifier ces enregistrements, et
que ces modifications soient journalisées et auditées.

03B02-03 Les autorisations sont-elles attribuées nominativement en fonction du profil de son titulaire et matérialisées par un badge ou une 4 E2
carte, voire une clé ?
03B02-04 Les badges ou cartes matérialisant les autorisations d'accès aux locaux sensibles sont-ils personnalisés avec le nom du titulaire et 4 E2
sa photo ?
03B02-05 Peut-on contrôler à tout moment la liste des autorisations d'accès en cours de validité, avec leur profil de rattachement ? 4 2 E3
03B02-06 Y a-t-il un processus de retrait rapide et systématique des autorisations d'accès (avec dévalidation du badge dans les systèmes de 2 2 E2
contrôle d'accès automatique) et de restitution du badge, de la carte ou de la clé correspondant lors de départs de personnel
interne ou externe à l'entreprise, de changements de site de rattachement (si les droits dépendent de ce site) ou d'interruption de
mission ?
03B02-07 Les clés et/ou les badges provisoires sont-ils stockés dans un coffre ou armoire résistant à l'effraction ? 4 2 E2
Par exemple : coffres certifiés.
03B02-08 Est-il interdit de pénétrer dans les locaux sensibles avec des moyens d'enregistrement photo, vidéo ou audio ? 1 E3 9.1.5
03B02-09 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des badges attribués aux diverses catégories de personnel et de 1 2 C1
la pertinence de ces autorisations d'accès ?
03B02-10 Existe-t-il une procédure permettant de détecter, a posteriori, des anomalies dans la gestion des autorisations (badge ou carte non 4 C2
restitué, utilisation d'un badge perdu, faux badge, badge attribué abusivement, etc.) ?
03B03 Contrôle d'accès aux locaux sensibles
03B03-01 Utilise-t-on un système de contrôle d'accès systématique aux locaux sensibles ? 4 E1 9.1.2; 9.1.5
03B03-02 L'authentification fait-elle appel à des moyens infalsifiables détenus par l'utilisateur ? 4 3 E3
Par exemple : carte à puce, système de reconnaissance biométrique, clef numérique, ...
03B03-03 Le système de contrôle d'accès garantit-il un contrôle exhaustif de toute personne entrant dans les locaux ? 4 3 E2
Par exemple, sas ne permettant le passage que d'une personne à la fois, processus interdisant l'utilisation du même badge par
plusieurs personnes, etc.

03B03-04 Assure-t-on, en complément du contrôle d'accès par les issues normales, le contrôle des accès par les autres issues : contrôle 4 3 E2
des fenêtres accessibles depuis l'extérieur, contrôle des issues de secours, contrôle des accès potentiels par les faux planchers et
faux plafonds ?
03B03-05 Les systèmes automatiques de contrôle d'accès au site sont-ils placés sous contrôle permanent opérationnel 24h/24 permettant 2 2 R1
de diagnostiquer une panne, une désactivation ou l'utilisation d'issues de secours en temps réel ?
03B03-06 Y a-t-il une procédure ou des automatismes permettant de déclencher l'intervention immédiate d'un personnel spécialisé en cas 2 2 R2
d'alarme d'arrêt du système de contrôle d'accès automatique (ou d'utilisation d'issue de secours) ?
03B03-07 Existe-t-il un processus d'audit permettant de détecter, a posteriori, des anomalies dans les processus de contrôle d'accès (audit 2 3 C1
des procédures et du paramétrage des systèmes de contrôle d'accès, audit des procédures d'exception et d'intervention, etc.) ?
03B04 Détection des intrusions dans les locaux sensibles
03B04-01 A-t-on un système opérationnel de détection des intrusions dans les locaux sensibles relié à un poste permanent de 4 2 E1
surveillance ?
03B04-02 Ce système détecte-t-il tout forçage d'issue (portes et fenêtres), tout fonctionnement d'issue de secours et tout maintien en 4 2 E2
ouverture d'une issue normale ?
03B04-03 Ce système détecte-t-il la présence de personnes en dehors des heures ouvrables ? 4 2 E2
03B04-04 Ce système est-il doublé d'un système de contrôle audio et vidéo permettant à l'équipe de surveillance d'établir un premier 4 3 E3
diagnostic à distance ?

Mise à jour : janvier 2010 464752531.xls ! 03 Loc page 52


Questionnaire d'audit : Sécurité des Locaux 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002

03B04-05 L'équipe de surveillance est-elle dégagée de toute tâche opérationnelle et toute alarme est-elle immédiatement détectée et traitée 4 3 E3
en toute priorité ?
03B04-06 En cas d'alerte du système de détection d'intrusion, l'équipe de surveillance a-t-elle la possibilité d'envoyer sans délai une équipe 4 2 E2
d'intervention pour vérifier l'alerte et agir en conséquence ?
03B04-07 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse d'alarmes multiples déclenchées 4 3 E3
volontairement ?
03B04-08 Existe-t-il un cahier de consigne précis détaillant, pour chaque cas d'alerte envisagé, la conduite à tenir ? 2 E2
03B04-09 Le système de détection d'intrusion est-il lui-même sous contrôle (alarme en cas d'inhibition, auto-surveillance des caméras, 2 3 R1
etc.) ?
03B04-10 Les points de contrôle de la détection d'intrusions et les procédures de réaction aux intrusions font-ils l'objet d'audits réguliers ? 2 3 C1
03B05 Surveillance périmétrique (surveillance des issues et des abords immédiats des locaux sensibles)
03B05-01 Y a-t-il une surveillance périmétrique complète et cohérente de l'environnement immédiat des locaux sensibles, par 4 E2
vidéosurveillance ou surveillance visuelle directe ?
03B05-02 L'équipe de surveillance est-elle dégagée de toute tâche opérationnelle et toute alarme est-elle immédiatement détectée et traitée 4 3 E3
en toute priorité ?
03B05-03 En cas d'alerte, l'équipe de surveillance a-t-elle la possibilité d'envoyer sans délai une équipe d'intervention pour vérifier l'alerte et 4 E2
agir en conséquence ?
03B05-04 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse d'alarmes multiples déclenchées 4 3 E3
volontairement ?
03B05-05 Existe-t-il un cahier de consigne précis détaillant, pour chaque cas d'alerte envisagé, la conduite à tenir ? 2 E2
03B05-06 Existe-t-il un enregistrement de la vidéosurveillance, conservé sur une logue période ? 1 E3
03B05-07 Le système de surveillance périmétrique est-il lui-même sous contrôle (alarme en cas d'inhibition, auto surveillance des caméras, 2 3 R1
etc.) ?
03B05-08 Les procédures de surveillance et les procédures de réaction aux intrusions font-elles l'objet d'audits réguliers ? 2 3 C1
03B06 Surveillance des locaux sensibles
03B06-01 Pour les locaux sensibles, utilise-t-on un système complémentaire de vidéosurveillance cohérent et complet contrôlant tous les 4 3 E2 9.1.5
mouvements de personnes à l'intérieur des locaux sensibles et permettant de détecter des anomalies dans les comportements ?

03B06-02 L'équipe de surveillance est-elle dégagée de toute tâche opérationnelle et toute alarme est-elle immédiatement détectée et traitée 4 3 E3
en toute priorité ?
03B06-03 En cas d'alerte, l'équipe de surveillance a-t-elle la possibilité d'envoyer sans délai une équipe d'intervention pour vérifier l'alerte ou 2 2 E2
agir en conséquence ?
03B06-04 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse d'alarmes multiples déclenchées 4 3 E3
volontairement ?
03B06-05 La surveillance des locaux est-elle également en service pendant le nettoyage des locaux sensibles ? 4 2 E2
03B06-06 Existe-t-il un enregistrement de la vidéosurveillance, conservé sur une longue période ? 1 E3
03B06-07 Le système de surveillance des locaux sensibles est-il lui-même sous contrôle (alarme en cas d'inhibition, auto-surveillance des 2 3 R1
caméras, etc.) ?
03B06-08 Les procédures de surveillance et les procédures de réaction aux comportements anormaux font-ils l'objet d'audits réguliers ? 2 3 C1
03B07 Contrôle d'accès au câblage
03B07-01 L'accès physique au câblage est-il protégé (gaines spécifiques non facilement accessibles ou fermées à clé) ? 2 2 E2
03B07-02 L'intégralité des chemins de câbles est-elle placée sous surveillance vidéo avec alerte en cas de présence (pour signaler au 4 3 E3
personnel de surveillance de rester en veille sur l'écran correspondant) ?
03B07-03 Les locaux dans lesquels il serait possible d'effectuer un branchement parasite d'équipement sur les réseaux WAN et LAN sont-ils 2 2 E2
équipés d'un contrôle d'accès renforcé (badge nominatif, système biométrique) ?

Mise à jour : janvier 2010 464752531.xls ! 03 Loc page 53


Questionnaire d'audit : Sécurité des Locaux 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002

03B07-04 Les locaux dans lesquels il serait possible d'effectuer un branchement parasite d'équipement sur les réseaux WAN et LAN sont-ils 2 3 E2
placés sous vidéosurveillance dès qu'une personne y pénètre ?
03B07-05 Procède-t-on régulièrement à des audits de la sécurité du câblage ? 2 3 C1
Utilisation effective des contrôles d'accès aux gaines techniques, audit des droits attribués et des procédures d'intervention sur
violation de droits, inspection des locaux dans lesquels des équipements parasites pourraient être branchés.

03B08 Localisation des locaux sensibles


03B08-01 L'ensemble des locaux classifiés comme sensibles sont-ils situés tous dans des zones non accessibles par le public ? 1 E2 9.1.3
03B08-02 Les locaux sensibles contenant des systèmes de traitement de l'information sont-ils exempts de toute indication extérieure sur leur 1 E2 9.1.3
contenu ?
Absence de signalisation particulière.
03B08-03 L'implantation des locaux sensibles est-elle absente des répertoires téléphoniques ? 1 E2 9.1.3
03C Sécurité contre les dégâts des eaux
03C01 Prévention des risques de dégâts des eaux
03C01-01 A-t-on fait une analyse systématique et exhaustive de toutes les voies possibles d'arrivée d'eau ? 4 2 E2 9.1.4
Par exemple position des locaux par rapport aux risques d'écoulement naturel en cas de crue ou d'orage violent, d'inondation
provenant des étages supérieurs, de rupture ou de fuite de canalisation apparente ou cachée, de mise en oeuvre de systèmes
d'extinction d'incendie, de remontée d'eau par des voies d'évacuation, de mise en route intempestive d'un système d'humidification
automatique, etc.

03C01-02 A-t-on pu écarter chaque voie possible comme hautement improbable ou pris des mesures pour rendre hautement improbable une 4 E3
arrivée d'eau intempestive ?
Par exemple : systèmes d'extinction d'incendie à pré-action, clapets anti-retour sur les évacuations, contrôle d'humidité
indépendant assurant une sécurité, etc.
03C01-03 Les diverses mesures d'évitement de risque de dégât des eaux sont-elles protégées contre une mise hors service et placées sous 2 3 R2
un contrôle permanent ?
03C01-04 Procède-t-on régulièrement à des audits de la mise en oeuvre effective des mesures d'évitement et du maintien de leur pertinence 2 3 C2
(vérification de l'étude des risques) ?
03C02 Détection des dégâts des eaux
03C02-01 Existe-t-il des détecteurs d'humidité à proximité des ressources sensibles (en particulier dans les faux planchers le cas échéant), 4 E2 9.1.4
reliés à un poste permanent de surveillance ?
03C02-02 Existe-t-il des détecteurs d'eau à proximité des ressources sensibles (en particulier dans les faux planchers le cas échéant), reliés 4 E2 9.1.4
à un poste permanent de surveillance ?
03C02-03 Existe-t-il des détecteurs de fuite d'eau à l'étage supérieur à proximité des locaux abritant des ressources sensibles, reliés à un 4 E3 9.1.4
poste permanent de surveillance ?
03C02-04 Le poste de surveillance a-t-il la possibilité de faire intervenir rapidement un équipe d'intervention ayant les moyens d'action 2 2 E2
suffisants pour agir ?
Par exemple : existence de robinets d'arrêt ou de shunts protégés, poste de surveillance disposant de plans à jour des
canalisations et des robinets d'arrêt, bâches plastiques pour protéger les équipements, etc.
03C02-05 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse d'alarmes multiples ? 4 3 E3
03C02-06 Existe-t-il un cahier de consigne précis détaillant, pour chaque cas d'alerte envisagé, la conduite à tenir ? 2 3 E2
03C02-07 La mise hors service des systèmes de détection est-elle signalée par un renvoi systématique à un poste permanent de 2 R1
surveillance ?
03C02-08 Procède-t-on régulièrement à des tests des installations de détection d'humidité ou de présence d'eau ? 2 3 C1
03C02-09 Procède-t-on régulièrement à des audits des procédures et des capacités d'intervention ? 2 C1

Mise à jour : janvier 2010 464752531.xls ! 03 Loc page 54


Questionnaire d'audit : Sécurité des Locaux 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002

03C03 Évacuation de l'eau


03C03-01 Existe-t-il des moyens permanents d'évacuation des eaux (pompage, voie naturelle, etc.) et une équipe formée pour les mettre en 2 E2
oeuvre ?
03C03-02 La mise hors service des systèmes d'évacuation de l'eau est-elle signalée par un renvoi systématique à un poste permanent de 2 2 3 E2
surveillance ?
03C03-03 Procède-t-on régulièrement à des tests des installations d'évacuation ? 2 3 E2
03C03-04 Procède-t-on régulièrement à des audits des procédures et des capacités d'intervention ? 2 3 C2
03D Sécurité incendie
03D01 Prévention des risques d'incendie
03D01-01 A-t-on fait une analyse systématique et approfondie de tous les risques d'incendie ? 4 2 E2 9.1.4
Par exemple : court-circuit au niveau du câblage, effet de la foudre, personnel fumant dans les locaux, appareillages électriques
courants, échauffement d'équipement, propagation depuis l'extérieur, propagation par les gaines techniques ou la climatisation,
etc.
03D01-02 A-t-on pu évaluer chaque risque comme hautement improbable ou pris des mesures pour rendre hautement improbable un début 4 E3
d'incendie ou sa propagation ?
Par exemple : protection des câbles dans des goulottes adaptées, séparation des câblages de signaux et d'énergie, protection des
locaux et des équipements contre la foudre, interdiction de fumer, poubelles anti-feu, matériaux incombustibles, protection des
circuits électriques par des disjoncteurs différentiels, détection incendie dans les locaux mitoyens et dans les gaines techniques,
etc.
03D01-03 Les diverses mesures d'évitement de risque d'incendie sont-elles protégées contre une mise hors service et placées sous un 2 3 R2
contrôle permanent ?
03D01-04 Procède-t-on régulièrement à des audits électriques suite à des évolutions de configuration électrique ? 4 C2
Par exemple : vérification des points chauds par caméra infrarouge , …
03D01-05 Procède-t-on régulièrement à des audits de la mise en oeuvre effective des mesures d'évitement et du maintien de leur 2 3 C2
pertinence ?
Vérification de l'étude des risques.
03D02 Détection d'incendie
03D02-01 Existe-t-il une installation de détection automatique d'incendie complète pour les locaux sensibles (faux planchers et faux plafonds 2 E1 9.1.4
s'ils existent) ?
03D02-02 L'installation de détection est-elle composée d'au moins deux types de détecteurs (par exemple : détecteurs de fumée ioniques et 4 2 E2
optiques) ?
03D02-03 Les installations de détection automatique sont-elles reliées à un poste permanent de surveillance, équipées d'un système 2 E2
permettant de localiser les détecteurs ayant réagi ?
03D02-04 La mise hors service des installations de détection automatique est-elle signalée par un renvoi systématique à un poste permanent 4 2 R1
de surveillance ?
03D02-05 Procède-t-on régulièrement à des tests des installations de détection ? 2 3 C1
03D02-06 Procède-t-on régulièrement à des audits des procédures et des capacités d'intervention ? 2 3 C1
03D03 Extinction d'incendie
03D03-01 Le poste de surveillance a-t-il la possibilité de faire intervenir rapidement un équipe d'intervention ayant les moyens d'action 2 1 E1
suffisants pour agir (diagnostic précis de la situation, extinction manuelle, déclenchement ou validation de l'extinction automatique,
appel des secours, etc.) ?
03D03-02 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse d'alarmes multiples ? 2 3 E2
03D03-03 Existe-t-il un cahier de consigne précis détaillant, pour chaque cas d'alerte envisagé, la conduite à tenir ? 2 3 E2
03D03-04 Y a-t-il une formation spécifique et un entraînement régulier du personnel d'intervention ? 4 E2
03D03-05 L'ensemble des extincteurs mobiles est-il régulièrement contrôlé par un organisme compétent (remplissage, modes d'emploi, 1 E2
adéquation aux risques, localisations, etc.) ?

Mise à jour : janvier 2010 464752531.xls ! 03 Loc page 55


Questionnaire d'audit : Sécurité des Locaux 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002

03D03-06 Les locaux sensibles sont-ils protégés par une installation d'extinction automatique (ambiance, faux planchers, faux plafonds) ? 4 2 E2 9.1.4
03D03-07 Les installations d'extinction automatique sont-elles vérifiées périodiquement conformément aux règles par un installateur ou 2 E2
vérificateur agréé et font-elles l'objet d'une maintenance régulière ?
03D03-08 La mise hors service des installations d'extinction automatique est-elle signalée par un renvoi systématique à un poste permanent 4 2 R1
de surveillance ?
03D03-09 Existe-t-il une installation de robinets d'incendie armés (RIA) à proximité des salles ordinateurs, cette installation est-elle vérifiée 4 E1
périodiquement et fait-elle l'objet d'une maintenance régulière ?
03D03-10 Le délai d'intervention des pompiers est-il inférieur à 15 minutes ? 2 E2
03D03-11 Procède-t-on régulièrement à des tests des installations d'extinction et à des audits des procédures et des capacités d'intervention 2 3 C1
pour extinction d'incendie ?

Mise à jour : janvier 2010 464752531.xls ! 03 Loc page 56


Commentaires

Mise à jour : janvier 2010 464752531.xls ! 03 Loc page 57


Mise à jour : janvier 2010 464752531.xls ! 03 Loc page 58
Mise à jour : janvier 2010 464752531.xls ! 03 Loc page 59
Mise à jour : janvier 2010 464752531.xls ! 03 Loc page 60
Mise à jour : janvier 2010 464752531.xls ! 03 Loc page 61
Mise à jour : janvier 2010 464752531.xls ! 03 Loc page 62
Mise à jour : janvier 2010 464752531.xls ! 03 Loc page 63
Mise à jour : janvier 2010 464752531.xls ! 03 Loc page 64
1 variante 0
Questionnaire d'audit : Réseau Étendu Intersites
Le réseau étendu est vu, ici, comme le réseau reliant des sites, à priori distants. C'est l'architecture de communication entre unités gérant leur
propre réseau local (LAN). Les connexions de postes nomades sont supposées être assurées au niveau des réseaux locaux.

Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
04A Sécurité de l'architecture du réseau étendu et continuité du service
04A01 Sûreté de fonctionnement des éléments d'architecture du réseau étendu
04A01-01 A-t-on analysé les exigences de continuité de service du réseau étendu et en a-t-on déduit, si nécessaire, une architecture de 4 2 E2
redondance au niveau des points d'interconnexion, des équipements ou du maillage du réseau ?
04A01-02 A-t-on fait une recherche systématique des Points Singuliers de Vulnérabilité ("Single Point of Failure") afin de s'assurer que des 4 2 E3
équipements, en particulier de servitude, (alimentation en énergie, climatisation, etc.) n'en introduisaient pas ou ne détruisaient
pas les redondances prévues au niveau des équipements ou de l'architecture ?
04A01-03 A-t-on vérifié, par une analyse de la charge moyenne et crête de chaque segment du réseau étendu, la compatibilité du réseau et 4 2 E2
de ses équipements avec cette charge et cette vérification est-elle régulièrement réactualisée ?
04A01-04 Cette analyse a-t-elle été complétée par une étude des capacités du réseau à assurer les communications dans tous les cas de 4 2 E3
pannes simples de liaisons ou d'équipements ?
04A01-05 Existe-t-il une mesure dynamique de la charge du réseau étendu et des outils d'équilibrage (load balancing) ? 4 E2
04A01-06 Les outils d'administration et de reconfiguration du réseau permettent-ils une action en temps réel compatible avec les besoins des 4 2 E2
utilisateurs ?
04A01-07 Les équipements et appareils (sondes) assurant la détection de surcharge et le rééquilibrage du réseau étendu ne sont-ils 2 2 R2
accessibles que par les administrateurs réseau et sont-ils protégés par un contrôle d'accès renforcé ?
04A01-08 Toute inhibition ou mise à l'arrêt des équipements et appareils (sondes) assurant la détection de surcharge et le rééquilibrage du 2 3 R1
réseau étendu est-elle signalée à un poste de surveillance ou à des administrateurs réseau ?
04A01-09 Procède-t-on régulièrement à des tests de performance des mécanismes de détection et de reconfiguration ? 2 3 C1
04A01-10 Procède-t-on régulièrement à un audit du paramétrage des systèmes de détection et de reconfiguration ? 1 3 C1
04A01-11 Procède-t-on régulièrement à un audit des procédures associées aux systèmes de détection et de reconfiguration ? 1 3 C1
04A02 Organisation de la maintenance des équipements du réseau étendu
04A02-01 Tous les équipements sont-ils couverts par un contrat de maintenance ? 2 E1 9.2.4
04A02-02 A-t-on identifié les équipements critiques pour l'exploitation et la tenue des performances annoncées et, pour ceux-ci, les délais de 4 E2
remise en service souhaitable et les délais maximum tolérables en cas de défaillance ?
04A02-03 En a-t-on déduit des clauses particulières et adaptées à ces exigences dans les contrats de maintenance ? 4 2 E2
04A02-04 Les pénalités en cas de non tenue des engagements par le titulaire du contrat de maintenance sont-elles réellement dissuasives ? 4 2 E3

04A02-05 Les procédures d'escalade en cas de difficulté de maintenance sont-elles précisées et prévoient-elles l'intervention de spécialistes 2 3 R1
dans des délais courts compatibles avec la criticité des équipements ?
04A02-06 Le nombre et la proximité des spécialistes sont-ils précisés et donnent-ils une bonne garantie de maintenance dans des délais 4 R2
acceptables ?
04A02-07 Les contrats de maintenance prévoient-ils le remplacement complet des équipements en cas d'endommagement important non 4 E3
susceptible d'être pris en charge par une maintenance curative ?
04A02-08 Les contrats de maintenance et les procédures de maintenance associées font-ils l'objet d'un audit régulier ? 2 3 C1
04A03 Procédures et plans de reprise du réseau étendu sur incidents
04A03-01 A-t-on établi une liste des incidents pouvant affecter le bon fonctionnement du réseau étendu et analysé la criticité de chacun d'eux 2 E2
?
04A03-02 A-t-on établi, pour chaque incident critique, la solution à mettre en oeuvre et les opérations à mener par le personnel 2 E2
d'exploitation ?

Mise à jour : janvier 2010 464752531.xls ! 04 Wan page 65


Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
04A03-03 Les moyens d'intervention sur le réseau étendu (tant de diagnostic que de reconfiguration) couvrent-ils de manière satisfaisante 2 2 E2
tous les cas de figures analysés et permettent-ils de mettre en œuvre les solutions décidées dans les délais spécifiés ?
04A03-04 A-t-on défini, pour chaque incident critique du réseau étendu, un délai de résolution et une procédure d'escalade en cas d'insuccès 4 E3
ou de retard des mesures prévues ?
04A03-05 Les moyens de diagnostic et de pilotage et de reconfiguration du réseau étendu sont-ils protégés contre toute inhibition 4 3 R1
intempestive ou malveillante ?
04A03-06 Les procédures de reprise sur incident tiennent-elles compte d'une éventuelle perte de données (en particulier perte de messages) 4 E3
?

04A03-07 Audite-t-on régulièrement la capacité des moyens de diagnostic et de reconfiguration à assurer un fonctionnement minimal du 2 3 C1
réseau étendu satisfaisant en cas d'incident ?
04A04 Plan de sauvegarde des configurations du réseau étendu
04A04-01 A-t-on établi un plan de sauvegarde, couvrant l'ensemble des configurations du réseau étendu, définissant les objets à 4 E1 10.5.1
sauvegarder et la fréquence des sauvegardes ?
04A04-02 Ce plan de sauvegarde est-il traduit en automatismes de production ? 2 2 E2 10.5.1
04A04-03 Teste-t-on régulièrement que les sauvegardes des programmes (sources et/ou exécutables), de leur documentation et de leur 4 2 E1 10.5.1
paramétrage permettent effectivement de reconstituer à tout moment l'environnement de production ?
04A04-04 Les automatismes de production assurant les sauvegardes sont-ils protégés par des mécanismes de haute sécurité contre toute 4 3 R1 10.5.1
modification illicite ou indue ?
Un tel mécanisme pourrait être un scellement électronique ou tout système de détection de modification équivalent.

04A04-05 L'ensemble des sauvegardes et fichiers de configuration permettant de reconstituer l'environnement de production du réseau 4 2 E3 10.5.1
étendu est-il également sauvegardé en dehors du site de production (sauvegardes de recours) ?
04A04-06 Ces copies de sauvegarde de recours sont-elles conservées dans un local sécurisé et protégé des risques accidentels et 4 E3 10.5.1
d'intrusion ?
Un tel local devrait être protégé par un contrôle d'accès renforcé et, en outre, être protégé contre les risques d'incendie et de
dégâts des eaux.
04A04-07 Procède-t-on régulièrement à des tests de relecture des sauvegardes et sauvegardes de recours ? 2 3 C1 10.5.1
04A04-08 L'ensemble des procédures et plans de sauvegarde des fichiers de configuration fait-il l'objet d'un audit régulier ? 2 3 C1
04A05 Plan de Reprise d'Activité (PRA) du réseau étendu
04A05-01 Existe-t-il une solution de secours pour pallier l'indisponibilité de tout équipement ou de toute liaison critique du réseau étendu ? 4 2 E1 14.1.3

04A05-02 Cette solution de secours est-elle parfaitement opérationnelle ? 4 2 E2 14.1.3


04A05-03 Ces solutions sont-elles décrites en détail dans un (ou plusieurs) Plan de Reprise d'Activité formel et complet ? 4 E1 14.1.3
Un plan de reprise d'activité complet doit comprendre les règles de déclenchement, les actions à mener, les priorités, les acteurs à
mobiliser et leurs coordonnées, ainsi que les conditions de retour à la normale.
04A05-04 Ces plans sont-ils testés de manière opérationnelle au moins une fois par an ? 4 2 C1 14.1.5
04A05-05 A-t-on la garantie formelle de la compatibilité et de la capacité des solutions de secours à assurer une charge opérationnelle 4 2 E2 14.1.5
suffisante et approuvée par l'ensemble des entités connectées ?
04A05-06 Si les solutions de secours incluent des livraisons de matériels, qui ne peuvent être déclenchés lors des tests, existe-t-il un contrat 4 2 E2
d'engagement de livraison des matériels de remplacement dans des délais fixés et prévus au plan de secours, par le constructeur
ou un tiers (revendeur, loueur, fournisseur, autres) ?
04A05-07 En cas de mutualisation des moyens de secours utilisés, y a-t-il un nombre d'adhérents limité et connu ? 2 2 E3
04A05-08 Le cas de défaillance ou d'indisponibilité du moyen de secours a-t-il été envisagé et y a-t-il un back-up de deuxième niveau ? 2 3 R1
04A05-09 La solution de secours est-elle utilisable pour une durée illimitée ou, à défaut, est-il prévu une deuxième solution venant en 2 E3
remplacement de la première après un temps déterminé ?
04A05-10 L'existence, la pertinence et la mise à jour des plans de reprise d'activité font-elles l'objet d'un audit régulier ? 2 3 C1

Mise à jour : janvier 2010 464752531.xls ! 04 Wan page 66


Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
04A06 Gestion des fournisseurs critiques vis-à-vis de la permanence de la maintenance
04A06-01 A-t-on analysé les conséquences de la disparition d'un fournisseur d'équipement, de solution logicielle ou de service réseau (en 2 E2
cas de panne, de bug ou de nécessité d'évolution) et en a-t-on déduit une liste de points critiques ?
04A06-02 Existe-t-il, pour tout point critique, une solution palliative pour faire face à la disparition ou la défaillance du fournisseur (dépôt de la 2 E2
documentation de maintenance chez un tiers de confiance, remplacement de l'équipement, du logiciel ou du service par des
solutions du marché, etc.) ?

04A06-03 A-t-on l'assurance que cette solution palliative pourra être rendue opérationnelle dans des délais compatibles avec la poursuite de 2 2 E3
l'activité et acceptés par les utilisateurs ?
04A06-04 A-t-on prévu des variantes de la solution de base au cas où celle-ci rencontrerait des difficultés imprévues ? 2 3 E3
04A06-05 Procède-t-on régulièrement à une revue des points pouvant être critiques et des solutions palliatives prévues ? 2 3 C1
04B Contrôle des connexions sur le réseau étendu
04B01 Profils de sécurité des entités connectées au réseau étendu
04B01-01 A-t-on défini un ensemble de règles pour qu'une entité puisse être connectée au réseau étendu considéré comme un espace de 4 E1
confiance ?
04B01-02 Ces règles couvrent-elles l'organisation nécessaire au sein de chaque entité connectée ? 2 2 E3
04B01-03 Au sein de chaque entité connectée, existe-t-il des responsables, désignés et connus, de la sécurité de divers domaines (sécurité 4 2 E3
physique, sécurité des systèmes d'information, etc.) ?
04B01-04 Les règles établissant les critères de connexion au réseau étendu définissent-elles les mesures de sécurité physique devant 4 2 E2
protéger les équipements de réseau et le câblage ?
04B01-05 Ces règles établissant les critères de connexion au réseau étendu définissent-elles les mesures de sécurité logique devant 2 E2 11.4.6
protéger les équipements de réseau et les équipements de sécurité ?
04B01-06 Ces règles précisent-elles les filtrages à mettre en place pour contrôler les accès entrants aussi bien que pour les accès sortants ? 4 2 E2 11.4.6

04B01-07 Ces règles précisent-elles les contrôles à effectuer sur les configurations des équipements de réseau ? 4 3 E2
04B01-08 Ces règles précisent-elles les contrôles à effectuer sur les configurations des postes utilisateurs ? 4 3 E2
04B01-09 Ces règles définissent-elles les mesures nécessaires pour la gestion des anomalies et incidents ? 2 2 E3
04B01-10 Ces règles obligent-elles à rapporter vers une entité centrale tout incident ou anomalie mettant en cause la sécurité du réseau 4 2 E3
étendu ?
04B01-11 Existe-t-il une procédure de gestion des demandes d'autorisation de rattachement au réseau étendu émanant des entités, et une 4 2 E2
structure en charge de l'analyse de ces demandes et de l'autorisation correspondante ?
04B01-12 Existe-t-il une structure en charge de vérifier l'application des règles et la suppression des droits spécifiques quand le besoin a 4 2 E3
disparu ou quand les conditions exigées ne sont plus remplies ?
04B01-13 Procède-t-on régulièrement à un audit des conditions requises et de l'application des règles, dans chaque entité autorisée à faire 4 3 C1
partie du réseau étendu ?
04B01-14 Procède-t-on régulièrement à une revue des connexions autorisées (standards et non standards ) et de leur pertinence ? 4 3 C1 11.4.7
04B02 Authentification de l'entité accédante lors des accès entrants depuis le réseau étendu
04B02-01 Y a-t-il un mécanisme d'authentification et de contrôle d'accès de l'entité accédante avant tout accès au réseau local depuis le 4 1 E1
réseau étendu ?
04B02-02 Le processus d'authentification est-il un processus reconnu comme "fort" ? 4 2 E2
Un simple mot de passe sera toujours un point faible notable. Les seuls processus qui soient reconnus comme forts, c'est-à-dire
observables sans divulguer d'information et pratiquement inviolables sont basés sur des algorithmes cryptologiques.

Mise à jour : janvier 2010 464752531.xls ! 04 Wan page 67


Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
04B02-03 La conservation et l'utilisation par les équipements de sécurité d'éléments de référence supportant l'authentification (éléments 4 3 E2
secrets ) font-elles appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
Dans le cas d'authentification faisant appel à des procédés cryptologiques, les mécanismes de modification et de stockage des
éléments de base (des clés publiques, en particulier) doivent présenter des garanties de solidité au même titre que le protocole
d'authentification.

04B02-04 La transmission entre équipements d'éléments de référence supportant l'authentification (éléments secrets, clés secrètes ou 4 3 E3
publiques, etc.) fait-elle appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
Dans le cas d'authentification faisant appel à des procédés cryptologiques, les mécanismes de transmission des éléments de base
(éléments secrets, clés publiques, etc.) doivent présenter des garanties de solidité au même titre que le protocole
d'authentification.

04B02-05 Les procédures de gestion des clés révoquées garantissent-elles que les systèmes de contrôle testent systématiquement que les 4 2 E2
clés ne sont pas révoquées ?
04B02-06 Les procédures de gestion des clés révoquées garantissent-elles que les systèmes de contrôle prennent en compte ces 4 2 E3
révocations en temps réel ?
04B02-07 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3 C1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus de l'authentification.

04B03 Authentification de l'entité accédée lors des accès sortants vers d'autres entités par le réseau étendu
04B03-01 Y a-t-il un mécanisme d'authentification de l'entité accédée avant tout accès sortant depuis le réseau interne par le réseau 4 1 E1
étendu ?
04B03-02 Le processus d'authentification est-il un processus reconnu comme "fort" ? 4 2 E2
Les seuls processus qui soient reconnus comme forts, c'est-à-dire observables sans divulguer d'information et pratiquement
inviolables sont basés sur des algorithmes cryptologiques.
04B03-03 La conservation et l'utilisation par les équipements de sécurité d'éléments de référence supportant l'authentification (éléments 4 3 E2
secrets) font-elles appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
Dans le cas d'authentification faisant appel à des procédés cryptologiques, les mécanismes de modification et de stockage des
éléments de base (des clés publiques, en particulier) doivent présenter des garanties de solidité au même titre que le protocole
d'authentification.

04B03-04 La transmission entre équipements d'éléments de référence supportant l'authentification (éléments secrets, clés secrètes ou 4 3 E3
publiques, etc.) fait-elle appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
Dans le cas d'authentification faisant appel à des procédés cryptologiques, les mécanismes de transmission des éléments de base
(éléments secrets, clés publiques, etc.) doivent présenter des garanties de solidité au même titre que le protocole
d'authentification.

04B03-05 Les procédures de gestion des clés révoquées garantissent-elles que les systèmes de contrôle testent systématiquement que les 4 2 E2
clés ne sont pas révoquées ?
04B03-06 Les procédures de gestion des clés révoquées garantissent-elles que les systèmes de contrôle prennent en compte ces 4 2 E3
révocations en temps réel ?
04B03-07 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3 C1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus de l'authentification.

04C Sécurité des données lors des échanges et des communications

Mise à jour : janvier 2010 464752531.xls ! 04 Wan page 68


Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
04C01 Chiffrement des échanges sur le réseau étendu
Le chiffrement peut être effectué au niveau 2 (modem chiffrant), 3 (IPSEC, alors on parle de VPN) ou au niveau 4-5 (SSL, fonction
de l'application utilisée) ou effectué directement par l'application (couche 6-7, par ex. chiffrement avant ou lors de l'envoi), cas
vraiment traité par le domaine 09.
Il peut être systématique sur le "tuyau" (physique ou logique) ou limité à certains flux (en fonction des adresses ou du type, ou
autre?), il peut être réalisé sur des systèmes intermédiaires (boîtiers VPN) ou finaux (postes, serveur) ou mixtes.

04C01-01 A-t-on défini les liens permanents et les échanges de données devant être protégés par des solutions de chiffrement et mis en 4 E2 12.3.1
place de telles solutions au niveau du réseau étendu ?
04C01-02 La solution de chiffrement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été approuvée par le RSSI ? 4 2 E2
Une longueur de clés suffisante est un des paramètres à prendre en compte (en fonction de l'algorithme) mais bien d'autres
paramètres également. La recommandation d'un organisme officiel peut être un facteur de confiance.
04C01-03 La procédure et les mécanismes de conservation, de distribution et d'échange de clés, et plus généralement de gestion des clés, 4 3 E3 12.3.2
offrent-ils des garanties de solidité dignes de confiance et ont-ils été approuvés par le RSSI ?
04C01-04 Les mécanismes de chiffrement sont-ils réalisés par des composants électroniques très solidement protégés, au niveau physique, 4 3 3 R2
contre toute violation ou altération ?
Il s'agit ici de boîtiers de chiffrement protégés physiquement de telle sorte qu'il soit impossible d'accéder aux mécanismes de
chiffrement ou de carte à microprocesseur dont l'algorithme de chiffrement est contenu dans le microprocesseur et protégé
physiquement et logiquement.

04C01-05 La mise hors service ou le by-pass de la solution de chiffrement sont-ils immédiatement détectés et signalés à une équipe 4 2 R1
permanente ou d'astreinte capable d'engendrer une réaction immédiate ?
04C01-06 En cas d'inhibition ou de by-pass de la solution de chiffrement ou de mise en œuvre d'une solution de secours du réseau par une 4 2 R1
voie non protégée, existe-t-il une procédure permettant d'en alerter immédiatement l'ensemble des utilisateurs ?
Par exemple, par un avertissement lors de l'utilisation de ce réseau demandant la validation active de l'utilisateur.

04C01-07 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des systèmes de chiffrement des données échangées et des 4 3 C1
procédures associées ?
04C02 Contrôle de l'intégrité des échanges
04C02-01 A-t-on défini les liens permanents et les échanges de données devant être protégés par des solutions de scellement et mis en 4 E2
place de telles solutions au niveau du réseau étendu ?
04C02-02 La solution de scellement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été approuvée par le RSSI ? 4 2 E2
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres paramètres également. La
recommandation d'un organisme officiel peut être un facteur de confiance.

04C02-03 La procédure et les mécanismes de conservation, de distribution et d'échange de clés, et plus généralement de gestion des clés, 4 3 E3
offrent-ils des garanties de solidité dignes de confiance et ont-ils été approuvés par le RSSI ?
04C02-04 Les mécanismes de scellement sont-ils réalisés par des composants électroniques très solidement protégés, au niveau physique, 4 3 3 R2
contre toute violation ou altération ?
Il s'agit ici de boîtiers de scellement protégés physiquement de telle sorte qu'il soit impossible d'accéder aux mécanismes de
scellement ou de carte à microprocesseur dont l'algorithme de chiffrement est contenu dans le microprocesseur et protégé
physiquement et logiquement.
04C02-05 La mise hors service ou le by-pass de la solution de scellement sont-ils immédiatement détectés et signalés à une équipe 4 2 R1
permanente ou d'astreinte capable d'engendrer une réaction immédiate ?
04C02-06 En cas d'inhibition ou de by-pass de la solution de scellement ou de mise en œuvre d'une solution de secours du réseau par une 4 2 R1
voie non protégée, existe-t-il une procédure permettant d'en alerter immédiatement l'ensemble des utilisateurs ?
Par exemple par un avertissement lors de l'utilisation de ce réseau demandant la validation active de l'utilisateur.
04C02-07 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des systèmes de scellement des données échangées et des 4 3 C1
procédures associées ?

Mise à jour : janvier 2010 464752531.xls ! 04 Wan page 69


Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
04D Contrôle, détection et traitement des incidents sur le réseau étendu
04D01 Surveillance (en temps réel) du réseau étendu
04D01-01 A-t-on analysé les événements ou succession d'événements pouvant être révélateurs de comportements anormaux ou d'actions 4 E2 10.10.2
illicites sur le réseau étendu et en a-t-on déduit des points ou indicateurs de surveillance ?
04D01-02 Le système dispose-t-il d'une fonction automatique de surveillance en temps réel en cas d'accumulation d'événements anormaux 4 E3 10.10.2
(par exemple tentatives infructueuses de connexion sur des ports non ouverts, etc.) ?
04D01-03 Emploie-t-on un système de détection d'intrusion et d'anomalies sur le réseau étendu ? 4 E2 10.10.2
04D01-04 Existe-t-il une (ou plusieurs) application capable d'analyser les divers diagnostics individuels d'anomalies sur le réseau étendu et 4 E3
de déclencher une alerte à destination du personnel d'exploitation ?
04D01-05 Existe-t-il, parmi le personnel d'exploitation, une équipe permanente ou disponible sur appel (astreinte) capable de réagir en cas 4 2 E3
d'alerte de la surveillance du réseau étendu ?
04D01-06 A-t-on défini pour chaque cas d'alerte, la réaction attendue de l'équipe d'intervention et sa disponibilité est-elle suffisante pour faire 4 3 E3
face à cette attente ?
04D01-07 Les paramètres définissant les alarmes sont-ils strictement protégés (droits limités et authentification forte) contre tout 4 R1
changement illicite ?
04D01-08 Toute inhibition du système d'alerte lié au réseau étendu déclenche-t-elle une alarme auprès de l'équipe de surveillance ? 4 3 R1 10.10.2
04D01-09 Existe-t-il un archivage (sur disque, cassette, DON, etc.) de tous les éléments ayant permis de détecter une anomalie ou un 2 E2 10.10.3
incident ?
04D01-10 Les procédures de surveillance du réseau étendu et de détection d'anomalies et la disponibilité de l'équipe de surveillance font- 2 3 C1
elles l'objet d'un audit régulier ?
04D02 Analyse (en temps différé) des traces, logs et journaux d'événements sur le réseau étendu
04D02-01 A-t-on fait une analyse approfondie des événements ou succession d'événements sur le réseau étendu pouvant avoir un impact 2 E1 10.10.1
sur la sécurité (connexions refusées, reroutages, reconfigurations, évolutions de performances, accès à des informations ou des
outils sensibles, etc.) ?
04D02-02 Enregistre-t-on ces événements ainsi que tous les paramètres utiles à leur analyse ultérieure ? 4 E1 10.10.1
04D02-03 Existe-t-il une application capable d'analyser ces enregistrements ainsi que les mesures de performances, d'en déduire des 4 2 3 E2
statistiques, un tableau de bord et des diagnostics d'anomalies examinés par une structure ad hoc ?
04D02-04 La structure chargée d'analyser ces éléments de synthèse (ou éventuellement les journaux des incidents, et événements liés à la 4 E2
sécurité) a-t-elle l'obligation de le faire à période fixe et déterminée et a-t-elle la disponibilité suffisante ?
04D02-05 A-t-on défini pour chaque cas d'alerte, la réaction attendue de l'équipe de surveillance et sa disponibilité est-elle suffisante pour 4 E3
faire face à cette attente ?
04D02-06 Les paramètres définissant les éléments à enregistrer et les synthèses effectuées sur ces éléments sont-ils strictement protégés 4 R1 10.10.3
(droits limités et authentification forte) contre tout changement illicite ?
04D02-07 Toute inhibition du système d'enregistrement et de traitement des enregistrements déclenche-t-elle une alarme auprès de l'équipe 4 R1
de surveillance ?
04D02-08 Les enregistrements ou les synthèses sont-ils protégés contre toute altération ou destruction ? 2 E2 10.10.3
04D02-09 Les enregistrements ou les synthèses sont-ils conservés sur une longue durée ? 2 E2 10.10.3
04D02-10 Les procédures d'enregistrement, de traitement des enregistrements et d'analyse des synthèses ainsi que la disponibilité de 2 C1
l'équipe d'analyse et d'intervention font-elles l'objet d'un audit régulier ?
04D03 Traitement des incidents du réseau étendu
04D03-01 Y a-t-il une équipe (hot line) chargée de recueillir les appels liés au réseau étendu et de signaler et d'enregistrer tous les 2 E1 10.10.5
incidents ?
04D03-02 Cette équipe (hot line) est-elle accessible en permanence? 2 E2 10.10.5
04D03-03 Y a-t-il un système supportant la gestion des incidents ? 2 2 E2 10.10.5
04D03-04 Ce système centralise-t-il et prend-il en compte aussi bien les incidents détectés par l'exploitation que ceux signalés par les 2 E2 10.10.5
utilisateurs ?

Mise à jour : janvier 2010 464752531.xls ! 04 Wan page 70


Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
04D03-05 Ce système permet-il un suivi et une relance automatiques des actions nécessaires ? 4 E3 10.10.5
04D03-06 Ce système incorpore-t-il une typologie des incidents avec élaboration de statistiques et de tableau de bord des incidents à 4 E3
destination du RSSI ?
04D03-07 Le système de gestion d'incidents est-il strictement contrôlé vis-à-vis de toute modification illicite ou indue ? 4 3 R1
Un contrôle strict requiert une protection renforcée pour pouvoir modifier un enregistrement et un audit de toute modification des
enregistrements ou un contrôle par scellement électronique de toute modification.
04D03-08 Chaque incident réseau majeur fait-il l'objet d'un suivi spécifique (nature et description, priorité, solutions techniques, études en 4 E2 13.2.1
cours, délai prévu de résolution, etc.) ?

Mise à jour : janvier 2010 464752531.xls ! 04 Wan page 71


Commentaires

Mise à jour : janvier 2010 464752531.xls ! 04 Wan page 72


Mise à jour : janvier 2010 464752531.xls ! 04 Wan page 73
Mise à jour : janvier 2010 464752531.xls ! 04 Wan page 74
Mise à jour : janvier 2010 464752531.xls ! 04 Wan page 75
Mise à jour : janvier 2010 464752531.xls ! 04 Wan page 76
Mise à jour : janvier 2010 464752531.xls ! 04 Wan page 77
Mise à jour : janvier 2010 464752531.xls ! 04 Wan page 78
Mise à jour : janvier 2010 464752531.xls ! 04 Wan page 79
Questionnaire d'audit : Réseau Local (LAN) 1 variante 0
Le réseau local est vu, ici, comme le réseau reliant les différents serveurs et postes utilisateurs du site. Les connexions de postes nomades sont
supposées assurées sur ce réseau.

Référence Questions R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
05A Sécurité de l'architecture du réseau local
05A01 Partitionnement du réseau local en domaines de sécurité
05A01-01 A-t-on effectué un partitionnement du réseau local en séparant du réseau strictement interne les zones de communication avec l'extérieur 4 E1
(DMZ) ?
Une DMZ, ou zone démilitarisée, est une zone d'échange avec l'extérieur isolée du réseau interne par un pare-feu.

05A01-02 A-t-on effectué un partitionnement du réseau local en domaines de sécurité correspondant à des exigences de sécurité homogènes et à 4 2 E1 11.4.5
des espaces de confiance à l'intérieur desquels les contrôles peuvent être adaptés ?
05A01-03 En particulier tout réseau sans fil (Wlan) est-il considéré comme un domaine distinct strictement isolé du reste du réseau (par firewall, 4 2 E1 11.4.5
routeur filtrant, etc.) ?
05A01-04 Ces partitionnements sont-ils documentés et tenus à jour ? 2 E2 11.4.5
05A01-05 Existe-t-il une cartographie des liaisons et des équipements de communication en place ? 2 E2 11.4.5
05A01-06 Chaque domaine est-il isolé des autres domaines par des mesures spécifiques de sécurité (routeur filtrant, firewall, portail, etc.) ? 4 2 E2 11.4.5; 11.4.6

05A01-07 La sécurité propre de ces équipements de filtrage fait-elle l'objet d'un suivi permanent par un expert et d'une veille technologique ? 4 3 E3

05A01-08 A-t-on, pour chacun des domaines, défini une liste strictement limitée des liaisons et des protocoles autorisés pour communiquer de 4 2 E2 11.4.6
manière standard d'un domaine à un autre, et a-t-on, par défaut, fermé tous les autres protocoles (politique "rien sauf") ?

05A01-09 Existe-t-il une procédure de gestion des demandes d'ouvertures de connexions interdomaines, et une structure en charge d'analyser ces 4 2 E3
demandes, d'accorder des autorisations et de définir les règles de filtrage (filtrage sur les adresses, les services demandés, les
protocoles, etc.) ?

05A01-10 Existe-t-il une structure en charge de la vérification de l'application des règles définies et de la suppression des droits spécifiques quand 4 2 E3
le besoin a disparu ou quand les conditions ne sont plus remplies ?

05A01-11 Toute adjonction à la liste des connexions autorisées d'un domaine et toute modification de l'un de ses paramètres sont-elles journalisées 4 3 C1
et auditées ?
05A01-12 Procède-t-on régulièrement à une revue des connexions autorisées (standards et non standards ) et de leur pertinence ? 4 3 C1 11.4.7
05A02 Sûreté de fonctionnement des éléments d'architecture du réseau local
05A02-01 A-t-on analysé chaque domaine de sécurité pour déterminer les exigences de continuité de service et en a-t-on déduit, si nécessaire, une 4 2 E2
architecture de redondance au niveau des points d'interconnexion, des équipements et du maillage du réseau ?

05A02-02 A-t-on fait une recherche systématique des Points Singuliers de Vulnérabilité ("Single Point of Failure") afin de s'assurer que des 4 2 E3
équipements, en particulier de servitude, (alimentation en énergie, climatisation, etc.) n'en introduisent pas ou ne détruisent pas les
redondances prévues au niveau des équipements ou de l'architecture ?

05A02-03 A-t-on vérifié, par une analyse de la charge moyenne et crête de chaque segment de réseau, la compatibilité du réseau et de ses 4 2 E2
équipements avec cette charge et cette vérification est-elle régulièrement réactualisée ?
05A02-04 Cette analyse a-t-elle été complétée par une étude des capacités du réseau à assurer les communications dans tous les cas de pannes 4 2 E3
simples de liaisons ou d'équipements ?
05A02-05 Existe-t-il une mesure dynamique de la charge réseau et des outils d'équilibrage (load balancing) ? 4 E2

Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 80


Questionnaire d'audit : Réseau Local (LAN) 1 variante 0
Le réseau local est vu, ici, comme le réseau reliant les différents serveurs et postes utilisateurs du site. Les connexions de postes nomades sont
supposées assurées sur ce réseau.

Référence Questions R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
05A02-06 Les outils de monitoring et de reconfiguration du réseau permettent-ils une action en temps réel compatible avec les besoins des 4 2 E2
utilisateurs ?
05A02-07 L'architecture des équipements de réseau permet-elle une adaptation facile aux évolutions de charge (clusters, grappes, etc.) ? 2 E2
05A02-08 Les équipements et appareils (sondes) assurant la détection de surcharge et le rééquilibrage du réseau ne sont-ils accessibles que par 2 2 R1
les administrateurs réseau et sont-ils protégés par un contrôle d'accès renforcé ?
05A02-09 Toute inhibition ou mise à l'arrêt des équipements et appareils (sondes) assurant la détection de surcharge et le rééquilibrage du réseau 2 3 R1
est-elle signalée à un poste de surveillance et ou aux administrateurs réseau ?
05A02-10 Procède-t-on régulièrement à des tests de performance des mécanismes de détection et de reconfiguration ? 2 3 C1
05A02-11 Procède-t-on régulièrement à un audit du paramétrage des systèmes de détection et de reconfiguration ? 1 3 C1
05A02-12 Procède-t-on régulièrement à un audit des procédures associées aux systèmes de détection et de reconfiguration ? 1 3 C1
05A03 Organisation de la maintenance des équipements du réseau local
05A03-01 Tous les équipements du réseau local sont-ils couverts par un contrat de maintenance ? 2 E1 9.2.4
05A03-02 A-t-on identifié les équipements critiques pour l'exploitation et la tenue des performances annoncées et, pour ceux-ci, les délais de remise 4 E2
en service souhaitable et les délais maximum tolérables en cas de défaillance ?
05A03-03 En a-t-on déduit des clauses particulières et adaptées à ces exigences dans les contrats de maintenance ? 4 2 E2
05A03-04 Les pénalités en cas de non tenue des engagements par le titulaire du contrat de maintenance sont-elles réellement dissuasives ? 4 2 E3
05A03-05 Les procédures d'escalade en cas de difficulté de maintenance sont-elles précisées et prévoient-elles l'intervention de spécialistes dans 2 3 R1
des délais courts compatibles avec la criticité des équipements ?
05A03-06 Le nombre et la proximité des spécialistes sont-ils précisés et donnent-ils une bonne garantie de maintenance dans des délais 4 R1
acceptables ?
05A03-07 Les contrats de maintenance prévoient-ils le remplacement complet des équipements en cas d'endommagement important non 4 E3
susceptible d'être pris en charge par une maintenance curative ?
05A03-08 Les contrats de maintenance et les procédures de maintenance associées font-ils l'objet d'un audit régulier ? 2 3 C1
05A04 Procédures et plans de reprise du réseau local sur incidents
05A04-01 A-t-on établi une liste des incidents pouvant affecter le bon fonctionnement du réseau local et analysé la criticité de chacun d'eux ? 2 E1

05A04-02 A-t-on établi, pour chaque incident critique, la solution à mettre en oeuvre et les opérations à mener par le personnel d'exploitation ? 2 E1
05A04-03 Les moyens d'intervention sur le réseau local (tant de diagnostic que de reconfiguration) couvrent-ils de manière satisfaisante tous les cas 2 2 E2
de figures analysés et permettent-ils de mettre en œuvre les solutions décidées dans les délais spécifiés ?

05A04-04 A-t-on défini, pour chaque incident critique du réseau local, un délai de résolution et une procédure d'escalade en cas d'insuccès ou de 4 E3
retard des mesures prévues ?
05A04-05 Les moyens de diagnostic et de pilotage et de reconfiguration du réseau sont-ils protégés contre toute inhibition intempestive ou 4 3 R1
malveillante ?
05A04-06 Les procédures de reprise sur incident tiennent-elles compte d'une éventuelle perte de données (en particulier perte de messages) ? 4 E3
05A04-07 Audite-t-on régulièrement la capacité des moyens de diagnostic et de reconfiguration à assurer un fonctionnement minimal du réseau 2 3 C1
satisfaisant en cas d'incident ?
05A05 Plan de sauvegarde des configurations du réseau local
05A05-01 A-t-on établi un plan de sauvegarde, couvrant l'ensemble des configurations du réseau local, définissant les objets à sauvegarder et la 4 E1 10.5.1
fréquence des sauvegardes ?
05A05-02 Ce plan de sauvegarde est-il traduit en automatismes de production ? 2 2 E2 10.5.1

Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 81


Questionnaire d'audit : Réseau Local (LAN) 1 variante 0
Le réseau local est vu, ici, comme le réseau reliant les différents serveurs et postes utilisateurs du site. Les connexions de postes nomades sont
supposées assurées sur ce réseau.

Référence Questions R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
05A05-03 Teste-t-on régulièrement que les sauvegardes des programmes (sources et/ou exécutables), de leur documentation et de leur 4 2 E1 10.5.1
paramétrage permettent effectivement de reconstituer à tout moment l'environnement de production ?
05A05-04 Les automatismes de production assurant les sauvegardes sont-ils protégés par des mécanismes de haute sécurité contre toute 4 3 R1 10.5.1
modification illicite ou indue ?
Un tel mécanisme pourrait être un scellement électronique ou tout système de détection de modification équivalent.

05A05-05 L'ensemble des sauvegardes et fichiers de configuration permettant de reconstituer l'environnement de production est-il également 4 2 E3 10.5.1
sauvegardé en dehors du site de production (sauvegardes de recours) ?
05A05-06 Ces copies de sauvegarde de recours sont-elles conservées dans un local sécurisé et protégé des risques accidentels et d'intrusion ? 4 E3 10.5.1
Un tel local devrait être protégé par un contrôle d'accès renforcé et, en outre, être protégé contre les risques d'incendie et de dégâts des
eaux.

05A05-07 Procède-t-on régulièrement à des tests de relecture des sauvegardes et sauvegardes de recours ? 2 3 R2 10.5.1
05A05-08 L'ensemble des procédures et plans de sauvegarde des fichiers de configuration fait-il l'objet d'un audit régulier ? 2 3 C1
05A06 Plan de Reprise d'Activité (PRA) du réseau local
05A06-01 Existe-t-il une solution de secours pour pallier l'indisponibilité de tout équipement ou de toute liaison critique ? 4 2 E1 14.1.3
05A06-02 Cette solution de secours est-elle parfaitement opérationnelle ? 4 2 E2 14.1.3
05A06-03 Ces solutions sont-elles décrites en détail dans un (ou plusieurs) Plan de Reprise d'Activité formel et complet ? 4 E1 14.1.3
Un plan de reprise d'activité complet doit comprendre les règles de déclenchement, les actions à mener, les priorités, les acteurs à
mobiliser et leurs coordonnées, ainsi que les conditions de retour à la normale.
05A06-04 Ces plans sont-ils testés de manière opérationnelle au moins une fois par an ? 4 2 C1 14.1.5
05A06-05 A-t-on la garantie formelle de la compatibilité et de la capacité des solutions de secours à assurer une charge opérationnelle suffisante et 4 2 E2 14.1.5
approuvée par les utilisateurs ?
05A06-06 Si les solutions de secours incluent des livraisons de matériels, qui ne peuvent être déclenchés lors des tests, existe-t-il un contrat 4 2 E2
d'engagement de livraison des matériels de remplacement dans des délais fixés et prévus au plan de secours, par le constructeur ou un
tiers (leaser, broker, autres) ?
05A06-07 En cas de mutualisation des moyens de secours utilisés, y a-t-il un nombre d'adhérents limité et connu ? 2 2 E3
05A06-08 Le cas de défaillance ou d'indisponibilité du moyen de secours a-t-il été envisagé et y a-t-il un back-up de deuxième niveau ? 2 3 R1
05A06-09 La solution de secours est-elle utilisable pour une durée illimitée ou, à défaut, est-il prévu une deuxième solution venant en remplacement 2 E3
de la première après un temps déterminé ?
05A06-10 L'existence, la pertinence et la mise à jour des plans de reprise d'activité font-elles l'objet d'un audit régulier ? 2 3 C1
05A07 Gestion des fournisseurs critiques vis-à-vis de la permanence de la maintenance
05A07-01 A-t-on analysé les conséquences de la disparition d'un fournisseur d'équipement, de solution logicielle ou de service réseau (en cas de 2 E2
panne, de bug ou de nécessité d'évolution) et en a-t-on déduit une liste de points critiques ?
05A07-02 Existe-t-il, pour tout point critique, une solution palliative pour faire face à la disparition ou la défaillance du fournisseur (dépôt de la 2 E2
documentation de maintenance chez un tiers de confiance, remplacement de l'équipement, du logiciel ou du service par des solutions du
marché, etc.) ?

05A07-03 A-t-on l'assurance que cette solution palliative pourra être rendue opérationnelle dans des délais compatibles avec la poursuite de 2 2 E3
l'activité et acceptés par les utilisateurs ?
05A07-04 A-t-on prévu des variantes de la solution de base au cas où celle-ci rencontrerait des difficultés imprévues ? 2 3 E3
05A07-05 Procède-t-on régulièrement à une revue des points pouvant être critiques et des solutions palliatives prévues ? 2 3 C1

Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 82


Questionnaire d'audit : Réseau Local (LAN) 1 variante 0
Le réseau local est vu, ici, comme le réseau reliant les différents serveurs et postes utilisateurs du site. Les connexions de postes nomades sont
supposées assurées sur ce réseau.

Référence Questions R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
05B Contrôle d'accès au réseau local de "données"
05B01 Gestion des profils d'accès au réseau local de données
05B01-01 A-t-on établi une politique de gestion des droits d'accès au réseau local s'appuyant sur une analyse préalable des exigences de sécurité, 2 E1 11.1.1
basées sur les enjeux de l'activité ?
05B01-02 Cette politique est-elle documentée, revue régulièrement et approuvée par les responsables concernés ? 2 E2 11.2.2
05B01-03 Les droits d'accès au réseau local et aux diverses parties de ce réseau sont-ils définis par rapport à des "profils" métiers regroupant des 4 2 E1
"rôles" ou des "fonctions" dans l'organisation (un profil définissant les droits dont disposent les titulaires de ce profil) ?
Nota : La notion de profil peut, dans certaines circonstances, être remplacée par une notion de "groupe". Par ailleurs les droits attribués
éventuellement à des partenaires doivent être pris en compte.
Les profils d'accès doivent comprendre les profils d'accès à chaque partitionnement du réseau, depuis un poste connecté directement sur
le réseau et depuis les diverses possibilités prévues de connexion depuis l'extérieur du réseau (postes nomades, télétravail, partenaires,
etc.).

05B01-04 A-t-on introduit, dans les règles de définition des droits d'accès (qui déterminent les droits attribués à un profil), des paramètres variables 4 2 E2
en fonction du contexte, en particulier la localisation du poste du demandeur (réseau interne, étendu, externe), la nature de la connexion
utilisée (LAN, LS, Internet, type de protocoles, etc.) ou la classification du sous-réseau demandé ?
05B01-05 Les profils d'accès permettent-ils également de définir des créneaux horaires et des calendriers de travail (heures début et fin de journée, 2 E3
week-end, vacances, etc.) ?
05B01-06 Ces profils et l'attribution de droits d'accès aux différents profils, en fonction du contexte, ont-ils reçu l'approbation des propriétaires 4 2 E2
d'information et du RSSI ?

05B01-07 Les processus de définition et de gestion des droits attribués aux profils sont-ils sous contrôle strict ? 4 3 R1
Un contrôle strict requiert que la liste des personnes habilitées à changer les droits attribués aux profils d'accès soit très limitée, que la
matérialisation de ces droits sous forme de tables soit strictement sécurisée lors de leur transmission et de leur stockage et qu'il existe un
contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.

05B01-08 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits attribués à chaque profil d'accès et des procédures de gestion 4 2 C1 11.2.4
des profils ?
05B02 Gestion des autorisations d'accès et privilèges (attribution, délégation, retrait)
05B02-01 La procédure d'attribution d'autorisations d'accès au réseau local nécessite-t-elle l'accord formel de la hiérarchie (à un niveau suffisant) 4 2 E1
ou de l'organisme gestionnaire de la prestation en cas de droits attribués à des partenaires ?
05B02-02 Les autorisations sont-elles attribuées à chaque utilisateur uniquement en fonction de son (ou ses) profil ? 2 E2
05B02-03 Le processus d'attribution (ou modification ou retrait) effectif d'autorisations d'accès au réseau local à un individu (directement ou par le 4 2 E3 11.2.2
biais de profils) est-il strictement contrôlé ?
Un contrôle strict requiert une identification formelle du demandeur (reconnaissance de sa signature, signature électronique, etc.), que la
matérialisation des profils attribués aux utilisateurs sous forme de tables soit strictement sécurisée lors de leur transmission et de leur
stockage et qu'il existe un contrôle d'accès renforcé pour pouvoir les modifier, et que ces modifications soient journalisées et auditées.

05B02-04 Y a-t-il un processus de mise à jour systématique de la table des autorisations d'accès au réseau local lors de départs de personnel 2 E2 11.2.4
interne ?

Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 83


Questionnaire d'audit : Réseau Local (LAN) 1 variante 0
Le réseau local est vu, ici, comme le réseau reliant les différents serveurs et postes utilisateurs du site. Les connexions de postes nomades sont
supposées assurées sur ce réseau.

Référence Questions R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
05B02-05 Y a-t-il un processus de mise à jour systématique de la table des autorisations d'accès au réseau local lors de changements de fonctions 2 E3 11.2.4
(fin de mission ou de mandat de personnel externe ou mutation interne) ?

05B02-06 Y a-t-il une liste indiquant l'ensemble des personnes ayant des autorisations d'accès au réseau local ? 1 C1

05B02-07 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des autorisations d'accès au réseau local attribuées au personnel ou à 1 2 C1 11.2.4
des partenaires ?
05B03 Authentification de l'utilisateur ou de l'entité demandant un accès au réseau local depuis un point d'accès interne
Ce mécanisme correspond à l'authentification réalisée sous Windows par un contrôleur de domaine.

05B03-01 Y a-t-il un mécanisme d'authentification de chaque utilisateur avant tout accès à une ressource du réseau local ? 4 1 E1
05B03-02 Le processus de définition ou de modification de l'authentifiant supportant le contrôle d'accès pour les accès internes vérifie-t-il le respect 4 2 E2 11.2.3
d'un ensemble de règles permettant d'avoir confiance dans sa solidité intrinsèque ?
Dans le cas de mots de passe : longueur suffisante (8 caractères ou +), mélange obligatoire de types de caractères, changement fréquent
(<1 mois), impossibilité de réemployer un mot de passe ancien, test de non trivialité fait en relation avec un dictionnaire, interdiction des
"standards systèmes", des prénoms, de l'anagramme de l'identifiant, de dates, etc.
Dans le cas de certificats ou d'authentification reposant sur des mécanismes cryptologiques, processus de génération évalué ou reconnu
publiquement, clés de chiffrement de longueur suffisante, etc.

05B03-03 Le processus de présentation par l'utilisateur de son authentifiant garantit-il son inviolabilité ? 4 2 E3
La frappe d'un mot de passe sera toujours un point faible notable. Les seuls processus qui soient observables sans divulguer
d'information consistent soit à introduire un objet contenant un secret (carte à puce), soit à frapper un code qui change à chaque instant
(jeton d'authentification), soit à présenter un caractère biométrique.

05B03-04 La conservation et l'utilisation par les équipements de sécurité d'éléments de référence supportant l'authentification (mots de passe, 4 3 E2
numéro d'appelant, etc.) font-elles appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
Dans le cas de mots de passe, ils doivent être stockés chiffrés et un contrôle d'accès préliminaire à l'utilisation de ces éléments par
l'utilisateur doit être effectué.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité validées
par un organisme de référence.

05B03-05 La transmission entre le poste appelant et les équipements de sécurité d'éléments de référence supportant l'authentification (mots de 4 3 E3
passe, numéro d'appelant, etc.) fait-elle appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
La transmission d'un mot de passe doit être chiffrée ou utiliser un algorithme qui introduise un aléa à chaque transmission.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité validées
par un organisme de référence.

05B03-06 A-t-on mis en place une dévalidation automatique de l'utilisateur appelant, en cas de tentatives multiples infructueuses, avec nécessité 4 2 E2
d'intervention de l'administrateur pour revalider le poste ou l'utilisateur ?
05B03-07 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de passe, jeton d'authentification, etc.) 4 2 E2
permet-elle de neutraliser instantanément l'ancien authentifiant ?
05B03-08 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de passe, jeton d'authentification, etc.) 4 2 E3
permet-elle un contrôle effectif de l'identité du demandeur ?

Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 84


Questionnaire d'audit : Réseau Local (LAN) 1 variante 0
Le réseau local est vu, ici, comme le réseau reliant les différents serveurs et postes utilisateurs du site. Les connexions de postes nomades sont
supposées assurées sur ce réseau.

Référence Questions R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
05B03-09 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2 C1
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des authentifiants, les authentifiants eux-
mêmes, les règles de surveillance des tentatives de connexion, etc. soit très limitée, qu'il existe un contrôle d'accès renforcé pour
procéder à ces modifications, que les modifications soient journalisées et auditées et qu'il existe un audit général au moins annuel de
l'ensemble des paramètres de l'authentification.

05B03-10 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3 C1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il existe un
audit au moins annuel des procédures et processus de l'authentification.

05B04 Authentification de l'utilisateur ou de l'entité demandant un accès au réseau local depuis un site distant via le réseau étendu
05B04-01 Les règles d'appartenance au réseau étendu exigent-elles l'authentification de chaque utilisateur avant tout accès sortant empruntant le 4 1 E1
réseau étendu ?
05B04-02 Les règles d'appartenance au réseau étendu et les contrôles effectués permettent-ils d'accorder la même confiance aux utilisateurs du 4 2 E2
réseau étendu qu'aux utilisateurs locaux ?
05B04-03 La pertinence des règles d'appartenance au réseau étendu est-elle régulièrement auditée ? 4 3 C1
05B04-04 L'application des règles d'appartenance au réseau étendu par l'ensemble des entités autorisées à se connecter au réseau étendu est-elle 4 3 C1
régulièrement auditée ?
05B05 Authentification de l'utilisateur ou de l'entité demandant un accès au réseau local depuis l'extérieur
(depuis le Réseau Téléphonique Commuté, X25, RNIS, ADSL, Internet, etc.)

05B05-01 Y a-t-il un mécanisme d'authentification de chaque utilisateur pour toute connexion au réseau local depuis l'extérieur ? 4 2 E1 11.4.2
05B05-02 Le processus de définition ou de modification de l'authentifiant supportant le contrôle d'accès pour les accès externes vérifie-t-il le respect 4 2 E2 11.4.2
d'un ensemble de règles permettant d'avoir confiance dans sa solidité intrinsèque ?
Dans le cas de mots de passe : longueur suffisante (8 caractères ou +), mélange obligatoire de types de caractères, changement fréquent
(<1 mois), impossibilité de réemployer un mot de passe ancien, test de non trivialité fait en relation avec un dictionnaire, interdiction des
"standards systèmes", des prénoms, de l'anagramme de l'identifiant, de dates, etc.
Dans le cas d'authentifiants fixes (numéro de l'appelant), procédure de call-back.
Dans le cas de certificats ou d'authentification reposant sur des mécanismes cryptologiques, processus de génération évalué ou reconnu
publiquement, clés de chiffrement de longueur suffisante, etc.

05B05-03 Le processus de présentation par l'utilisateur de son authentifiant garantit-il son inviolabilité ? 4 2 E3 11.4.2
La frappe d'un mot de passe sera toujours un point faible notable. Les seuls processus qui soient observables sans divulguer
d'information consistent soit à introduire un objet contenant un secret (carte à puce) soit à frapper un code qui change à chaque instant
(jeton d'authentification), soit à présenter un caractère biométrique.

05B05-04 La conservation et l'utilisation par les équipements de sécurité d'éléments de référence supportant l'authentification (mots de passe, 4 3 E2
numéro d'appelant, etc.) font-elles appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
Dans le cas de mots de passe, ils doivent être stockés chiffrés et un contrôle d'accès préliminaire à l'utilisation de ces éléments par
l'utilisateur doit être effectué.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité validées
par un organisme de référence.

Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 85


Questionnaire d'audit : Réseau Local (LAN) 1 variante 0
Le réseau local est vu, ici, comme le réseau reliant les différents serveurs et postes utilisateurs du site. Les connexions de postes nomades sont
supposées assurées sur ce réseau.

Référence Questions R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
05B05-05 La transmission entre le poste appelant et les équipements de sécurité d'éléments de référence supportant l'authentification (mots de 4 3 E3
passe, numéro d'appelant, etc.) fait-elle appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
La transmission d'un mot de passe doit être chiffrée ou utiliser un algorithme qui introduise un aléa à chaque transmission.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité validées
par un organisme de référence.

05B05-06 A-t-on mis en place une dévalidation automatique du poste ou de l'utilisateur appelant, en cas de tentatives multiples infructueuses, avec 4 2 E2
nécessité d'intervention de l'administrateur pour revalider le poste ou l'utilisateur ?
05B05-07 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de passe, jeton d'authentification, etc.) 4 2 E2
permet-elle de neutraliser instantanément l'ancien authentifiant ?
05B05-08 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de passe, jeton d'authentification, etc.) 4 2 E3
permet-elle un contrôle effectif de l'identité du demandeur ?
05B05-09 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2 C1
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des authentifiants, les authentifiants eux-
mêmes, les règles de surveillance des tentatives de connexion, etc. soit très limitée, qu'il existe un contrôle d'accès renforcé pour
procéder à ces modifications, que les modifications soient journalisées et auditées et qu'il existe un audit général au moins annuel de
l'ensemble des paramètres de l'authentification.

05B05-10 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3 C1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il existe un
audit au moins annuel des procédures et processus de l'authentification.

05B06 Authentification de l'utilisateur ou de l'entité demandant un accès au réseau local depuis un sous-réseau WiFi
05B06-01 Tout sous-réseau WiFi est-il isolé du réseau local par un pare-feu ? 4 2 E1
05B06-02 Y a-t-il un mécanisme d'authentification de chaque utilisateur pour toute connexion au réseau local depuis un sous-réseau WiFi ? 4 2 E1
05B06-03 Le processus de définition ou de modification de l'authentifiant supportant le contrôle d'accès pour les accès depuis un sous-réseau WiFi 4 2 E2
vérifie-t-il le respect d'un ensemble de règles permettant d'avoir confiance dans sa solidité intrinsèque ?
Dans le cas de mots de passe : longueur suffisante (8 caractères ou +), mélange obligatoire de types de caractères, changement fréquent
(<1 mois), impossibilité de réemployer un mot de passe ancien, test de non trivialité fait en relation avec un dictionnaire, interdiction des
"standards systèmes", des prénoms, de l'anagramme de l'identifiant, de dates, etc.
Dans le cas d'authentifiants fixes (numéro de l'appelant), procédure de call-back.
Dans le cas de certificats ou d'authentification reposant sur des mécanismes cryptologiques, processus de génération évalué ou reconnu
publiquement, clés de chiffrement de longueur suffisante, etc.

05B06-04 Le processus de présentation par l'utilisateur de son authentifiant garantit-il son inviolabilité ? 4 2 E3
La frappe d'un mot de passe sera toujours un point faible notable. Les seuls processus qui soient observables sans divulguer
d'information consistent soit à introduire un objet contenant un secret (carte à puce) soit à frapper un code qui change à chaque instant
(jeton d'authentification), soit à présenter un caractère biométrique.

Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 86


Questionnaire d'audit : Réseau Local (LAN) 1 variante 0
Le réseau local est vu, ici, comme le réseau reliant les différents serveurs et postes utilisateurs du site. Les connexions de postes nomades sont
supposées assurées sur ce réseau.

Référence Questions R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
05B06-05 La conservation et l'utilisation par les équipements de sécurité d'éléments de référence supportant l'authentification (mots de passe, 4 3 E2
numéro d'appelant, etc.) font-elles appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
Dans le cas de mots de passe, ils doivent être stockés chiffrés et un contrôle d'accès préliminaire à l'utilisation de ces éléments par
l'utilisateur doit être effectué.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité validées
par un organisme de référence.

05B06-06 La transmission entre le poste appelant et les équipements de sécurité d'éléments de référence supportant l'authentification (mots de 4 3 E3
passe, numéro d'appelant, etc.) fait-elle appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
La transmission d'un mot de passe doit être chiffrée ou utiliser un algorithme qui introduise un aléa à chaque transmission.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité validées
par un organisme de référence.

05B06-07 A-t-on mis en place une dévalidation automatique du poste ou de l'utilisateur appelant, en cas de tentatives multiples infructueuses, avec 4 2 E2
nécessité d'intervention de l'administrateur pour revalider le poste ou l'utilisateur ?
05B06-08 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de passe, jeton d'authentification, etc.) 4 2 E2
permet-elle de neutraliser instantanément l'ancien authentifiant ?
05B06-09 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de passe, jeton d'authentification, etc.) 4 2 E3
permet-elle un contrôle effectif de l'identité du demandeur ?
05B06-10 Les paramètres de l'authentification pour les accès depuis un sous-réseau WiFi sont-ils sous contrôle strict ? 4 2 C1
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des authentifiants, les authentifiants eux-
mêmes, les règles de surveillance des tentatives de connexion, etc. soit très limitée, qu'il existe un contrôle d'accès renforcé pour
procéder à ces modifications, que les modifications soient journalisées et auditées et qu'il existe un audit général au moins annuel de
l'ensemble des paramètres de l'authentification.

05B06-11 Les processus qui assurent l'authentification pour les accès depuis un sous-réseau WiFi sont-ils sous contrôle strict ? 4 3 C1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il existe un
audit au moins annuel des procédures et processus de l'authentification.

05B07 Filtrage général des accès au réseau local


05B07-01 Tout accès au réseau local requiert-il la présentation d'un identifiant reconnu par le système ? 2 E1
05B07-02 Tout identifiant reconnu par le système correspond-il à une personne physique unique et identifiable, directement ou indirectement ? 4 2 E2
05B07-03 Tous les comptes génériques ou par défaut ont-ils été supprimés ? 4 2 E2
05B07-04 L'acceptation de l'identifiant par le contrôle d'accès au réseau local est-elle systématiquement sujette à une authentification ? 4 2 E1
L'authentification systématique requiert que ce processus soit effectivement mis en oeuvre pour l'ensemble des voies et ports d'accès
(accès interne, tous types d'accès depuis l'extérieur, y compris les ports réservés tels que la télémaintenance éventuelle).

05B07-05 Y a-t-il un contrôle systématique du contexte du demandeur d'accès (réseau local, réseau étendu, liaison externe, nature de la liaison 4 2 E3
utilisée et protocoles) ?
05B07-06 Y a-t-il un contrôle systématique du profil du demandeur d'accès, de son contexte et de l'adéquation de ce profil et du contexte avec 4 2 E3
l'accès demandé ?
05B07-07 Y a-t-il une dévalidation automatique de l'identifiant de l'utilisateur, en cas d'absence de trafic après un délai défini, nécessitant une 4 E2
nouvelle identification - authentification ?

Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 87


Questionnaire d'audit : Réseau Local (LAN) 1 variante 0
Le réseau local est vu, ici, comme le réseau reliant les différents serveurs et postes utilisateurs du site. Les connexions de postes nomades sont
supposées assurées sur ce réseau.

Référence Questions R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
05B07-08 Pour les connexions qui l'exigent, y a-t-il une identification de l'équipement appelant (adresse MAC, adresse IP, etc.) en association avec 3 E3 11.4.3
des règles de contrôle d'accès ?
05B07-09 Les processus de définition et de gestion des règles de filtrage des accès sont-ils sous contrôle strict ? 4 2 R1
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de sécurité du filtrage des accès soit très limitée,
qu'il existe un contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.

05B07-10 Procède-t-on à des tests périodiques de pénétration du réseau et à des audits techniques spécialisés approfondis ? 2 3 C1 15.2.2
05B08 Contrôle du routage des accès sortants
05B08-01 Tout accès sortant requiert-il la présentation d'un identifiant reconnu par le système ? 2 E1 11.4.2
05B08-02 Cet identifiant correspond-il à une personne physique unique et identifiable, directement ou indirectement ? 1 E2 11.4.2
05B08-03 L'acceptation de l'identifiant par le contrôle d'accès sortant est-elle systématiquement sujette à une authentification ? 4 2 E2 11.4.2
L'authentification systématique requiert que ce processus soit effectivement mis en oeuvre pour l'ensemble des voies et ports d'accès
sortants.

05B08-04 A-t-on défini, dans une politique de sécurité relative aux accès sortants, des règles définissant les types d'accès sortants autorisés (type 4 2 E2
de réseau externe, nature de la liaison utilisée et protocoles) en fonction des types de sous-réseaux internes ?

05B08-05 Y a-t-il, avant tout accès sortant, un contrôle des règles définies dans la politique de sécurité ? 4 2 E2
05B08-06 Y a-t-il une dévalidation automatique de l'identifiant de l'utilisateur, en cas d'absence de trafic après un délai défini, nécessitant une 4 E2
nouvelle identification - authentification ?
05B08-07 Les processus de définition et de gestion des règles de filtrage des accès sortants sont-ils sous contrôle strict ? 4 2 R1
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de sécurité du filtrage des accès soit très limitée,
qu'il existe un contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.

05B08-08 Procède-t-on à des tests périodiques de violation des règles de contrôle des accès sortants et à des audits techniques spécialisés 2 3 C1
approfondis ?
05B09 Authentification de l'entité accédée lors des accès sortants vers des sites sensibles
05B09-01 Existe-t-il une possibilité de déclarer des sites ou des accès distants comme sensibles et, comme tels, requérant une authentification de 4 1 E2
l'entité accédée ?
05B09-02 Y a-t-il un mécanisme d'authentification de l'entité appelée avant tout accès sortant vers des sites sensibles depuis le réseau interne ? 4 1 E2
05B09-03 Le processus d'authentification des entités sensibles accédées est-il un processus reconnu comme "fort" ? 4 2 E3
Un simple mot de passe sera toujours un point faible notable. Les seuls processus qui soient reconnus comme forts, c'est-à-dire
observables sans divulguer d'information et pratiquement inviolables sont basés sur des algorithmes cryptologiques.

05B09-04 La conservation et l'utilisation par les équipements de sécurité d'éléments de référence supportant l'authentification (mots de passe, 4 3 E2
numéro d'appelant, etc.) font-elles appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
Dans le cas de mots de passe, ils doivent être stockés chiffrés et un contrôle d'accès préliminaire à l'utilisation de ces éléments par
l'utilisateur doit être effectué.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité validées
par un organisme de référence.

Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 88


Questionnaire d'audit : Réseau Local (LAN) 1 variante 0
Le réseau local est vu, ici, comme le réseau reliant les différents serveurs et postes utilisateurs du site. Les connexions de postes nomades sont
supposées assurées sur ce réseau.

Référence Questions R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
05B09-05 La transmission entre le poste appelant et les équipements de sécurité d'éléments de référence supports de l'authentification (mots de 4 3 E3
passe, numéro d'appelant, etc.) fait-elle appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
La transmission d'un mot de passe doit être chiffrée ou utiliser un algorithme qui introduise un aléa à chaque transmission.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité validées
par un organisme de référence.

05B09-06 Les procédures de gestion des clés révoquées garantissent-elles que les systèmes de contrôle testent systématiquement que les clés ne 4 2 E2
sont pas révoquées ?
05B09-07 Les procédures de gestion des clés révoquées garantissent-elles que les systèmes de contrôle prennent en compte ces révocations en 4 2 E3
temps réel ?
05B09-08 Les processus qui assurent l'authentification des entités accédées sont-ils sous contrôle strict ? 4 3 R1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il existe un
audit au moins annuel des procédures et processus de l'authentification.

05C Sécurité des données lors des échanges et des communications sur le réseau local
05C01 Chiffrement des échanges sur le réseau local
Le chiffrement peut être effectué au niveau 3 (IPSEC, alors on parle de VPN) ou au niveau 4-5 (SSL, fonction de l'application utilisée) ou
effectué directement par l'application (couche 6-7, par ex. chiffrement avant ou lors de l'envoi), cas vraiment traité par le domaine 09.
Il peut être systématique sur le "tuyau" (physique ou logique) ou limité à certains flux (en fonction des adresses ou du type, ou autre?), il
peut être réalisé sur des systèmes intermédiaires (boîtiers VPN) ou finaux (postes, serveur) ou mixtes.

05C01-01 A-t-on défini les liens permanents et les échanges de données devant être protégés par des solutions de chiffrement et mis en place de 4 E1 12.3.1
telles solutions au niveau du réseau local ?
05C01-02 La solution de chiffrement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été approuvée par le RSSI ? 4 2 E2
Une longueur de clés suffisante est un des paramètres à prendre en compte (en fonction de l'algorithme) mais bien d'autres paramètres
également. La recommandation d'un organisme officiel peut être un facteur de confiance.

05C01-03 La procédure et les mécanismes de conservation, de distribution et d'échange de clés, et plus généralement de gestion des clés, offrent- 4 3 E2 12.3.2
ils des garanties de solidité dignes de confiance et ont-ils été approuvés par le RSSI ?
05C01-04 Les mécanismes de chiffrement sont-ils réalisés par des composants électroniques très solidement protégés, au niveau physique, contre 4 3 3 R2
toute violation ou altération ?
Il s'agit ici de boîtiers de chiffrement protégés physiquement de telle sorte qu'il soit impossible d'accéder aux mécanismes de chiffrement
ou de carte à microprocesseur dont l'algorithme de chiffrement est contenu dans le microprocesseur et protégé physiquement et
logiquement.

05C01-05 La mise hors service ou le by-pass de la solution de chiffrement sont-ils immédiatement détectés et signalés à une équipe permanente ou 4 2 R1
d'astreinte capable d'engendrer une réaction immédiate ?
05C01-06 En cas d'inhibition ou de by-pass de la solution de chiffrement ou de mise en oeuvre d'une solution de secours du réseau par une voie 4 2 R1
non protégée, existe-t-il une procédure permettant d'en alerter immédiatement l'ensemble des utilisateurs ?
Par exemple par un avertissement lors de l'utilisation de ce réseau demandant la validation active de l'utilisateur.

05C01-07 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des systèmes de chiffrement des données échangées et des procédures 4 3 C1
associées ?
05C02 Protection de l'intégrité des échanges sur le réseau local

Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 89


Questionnaire d'audit : Réseau Local (LAN) 1 variante 0
Le réseau local est vu, ici, comme le réseau reliant les différents serveurs et postes utilisateurs du site. Les connexions de postes nomades sont
supposées assurées sur ce réseau.

Référence Questions R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
05C02-01 A-t-on défini les liens permanents et les échanges de données devant être protégés par des solutions de scellement et mis en place de 4 E1
telles solutions au niveau du réseau local ?
05C02-02 La solution de scellement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été approuvée par le RSSI ? 4 2 E2
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres paramètres également. La
recommandation d'un organisme officiel peut être un facteur de confiance.

05C02-03 La procédure et les mécanismes de conservation, de distribution et d'échange de clés, et plus généralement de gestion des clés, offrent- 4 3 E2
ils des garanties de solidité dignes de confiance et ont-ils été approuvés par le RSSI ?
05C02-04 Les mécanismes de scellement sont-ils réalisés par des composants électroniques très solidement protégés, au niveau physique, contre 4 3 3 R2
toute violation ou altération ?
Il s'agit ici de boîtiers de scellement protégés physiquement de telle sorte qu'il soit impossible d'accéder aux mécanismes de scellement
ou de carte à microprocesseur dont l'algorithme de chiffrement est contenu dans le microprocesseur et protégé physiquement et
logiquement.

05C02-05 La mise hors service ou le by-pass de la solution de scellement sont-ils immédiatement détectés et signalés à une équipe permanente ou 4 2 R1
d'astreinte capable d'engendrer une réaction immédiate ?
05C02-06 En cas d'inhibition ou de by-pass de la solution de scellement ou de mise en oeuvre d'une solution de secours du réseau par une voie non 4 2 R1
protégée, existe-t-il une procédure permettant d'en alerter immédiatement l'ensemble des utilisateurs ?
Par exemple par un avertissement lors de l'utilisation de ce réseau demandant la validation active de l'utilisateur.

05C02-07 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des systèmes de scellement des données échangées et des procédures 4 3 C1
associées ?
05C03 Chiffrement des échanges lors des accès distants au réseau local
05C03-01 A-t-on défini et mis en place des solutions de chiffrement pour les échanges avec des utilisateurs se connectant depuis l'extérieur 4 E1 12.3.1
(nomades, prestataires autorisés à se connecter au réseau, etc.) ?
05C03-02 La solution de chiffrement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été approuvée par le RSSI ? 4 2 E2
Une longueur de clés suffisante est un des paramètres à prendre en compte (en fonction de l'algorithme) mais bien d'autres paramètres
également. La recommandation d'un organisme officiel peut être un facteur de confiance.

05C03-03 La procédure et les mécanismes de conservation, de distribution et d'échange de clés, et plus généralement de gestion des clés, offrent- 4 3 E2 12.3.2
ils des garanties de solidité dignes de confiance et ont-ils été approuvés par le RSSI ?
05C03-04 Les mécanismes de chiffrement sont-ils réalisés par des composants électroniques très solidement protégés, au niveau physique, contre 4 3 3 R1
toute violation ou altération ?
Il s'agit ici de boîtiers de chiffrement protégés physiquement de telle sorte qu'il soit impossible d'accéder aux mécanismes de chiffrement
ou de carte à microprocesseur dont l'algorithme de chiffrement est contenu dans le microprocesseur et protégé physiquement et
logiquement.

05C03-05 La connexion au réseau depuis l'extérieur est-elle impossible en dehors du chiffrement ? 4 2 R1


05C04 Protection de l'intégrité des échanges lors des accès distants au réseau local
05C04-01 A-t-on défini et mis en place des solutions de scellement ou de contrôle d'intégrité pour les échanges avec des utilisateurs se connectant 4 E2
depuis l'extérieur (nomades, prestataires autorisés à se connecter au réseau, etc.) ?
05C04-02 La solution de scellement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été approuvée par le RSSI ? 4 2 E2
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres paramètres également. La
recommandation d'un organisme officiel peut être un facteur de confiance.

Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 90


Questionnaire d'audit : Réseau Local (LAN) 1 variante 0
Le réseau local est vu, ici, comme le réseau reliant les différents serveurs et postes utilisateurs du site. Les connexions de postes nomades sont
supposées assurées sur ce réseau.

Référence Questions R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
05C04-03 La procédure et les mécanismes de conservation, de distribution et d'échange de clés, et plus généralement de gestion des clés, offrent- 4 3 E3
ils des garanties de solidité dignes de confiance et ont-ils été approuvés par le RSSI ?
05C04-04 Les mécanismes de scellement sont-ils réalisés par des composants électroniques très solidement protégés, au niveau physique, contre 4 3 3 R2
toute violation ou altération ?
Il s'agit ici de boîtiers de scellement protégés physiquement de telle sorte qu'il soit impossible d'accéder aux mécanismes de scellement
ou de carte à microprocesseur dont l'algorithme de chiffrement est contenu dans le microprocesseur et protégé physiquement et
logiquement.

05C04-05 La connexion au réseau depuis l'extérieur est-elle impossible en dehors du contrôle d'intégrité ? 4 2 R1
05D Contrôle, détection et traitement des incidents du réseau local
05D01 Surveillance (en temps réel) du réseau local
05D01-01 A-t-on analysé les événements ou successions d'événements pouvant être révélateurs de comportements anormaux ou d'actions illicites 4 E2 10.10.2
et en a-t-on déduit des points ou indicateurs de surveillance ?
05D01-02 Le système dispose-t-il d'une fonction automatique de surveillance en temps réel en cas d'accumulation d'événements anormaux (par 4 E3 10.10.2
exemple tentatives infructueuses de connexion sur des ports non ouverts, etc.) ?
05D01-03 Emploie-t-on un système de détection d'intrusion et d'anomalies ? 4 E2 10.10.2
05D01-04 Existe-t-il une (ou plusieurs) application capable d'analyser les divers diagnostics individuels d'anomalies et de déclencher une alerte à 4 E3
destination du personnel d'exploitation ?
05D01-05 Existe-t-il, parmi le personnel d'exploitation, une équipe permanente ou disponible sur appel (astreinte) capable de réagir en cas d'alerte 4 2 E3
de la surveillance réseau ?
05D01-06 A-t-on défini pour chaque cas d'alerte, la réaction attendue de l'équipe d'intervention et sa disponibilité est-elle suffisante pour faire face à 4 3 E3
cette attente ?
05D01-07 Les paramètres définissant les alarmes sont-ils strictement protégés (droits limités et authentification forte) contre tout changement 4 R1
05D01-08 illicite
Toute ?inhibition du système d'alerte déclenche-t-elle une alarme auprès de l'équipe de surveillance ? 4 3 R1 10.10.2
05D01-09 Existe-t-il un archivage (sur disque, cassette, Disque Optique Numérique, etc.) de tous les éléments ayant permis de détecter une 2 E2 10.10.3
05D01-10 anomalie ou un incident
Les procédures ?
de surveillance du réseau et de détection d'anomalies et la disponibilité de l'équipe de surveillance font-elles l'objet d'un 2 3 C1
audit régulier ?
05D02 Analyse (en temps différé) des traces, logs et journaux d'événements sur le réseau local
05D02-01 A-t-on fait une analyse approfondie des événements ou succession d'événements pouvant avoir un impact sur la sécurité (connexions 2 E1 10.10.1
refusées, reroutages, reconfigurations, évolutions de performances, accès à des informations ou des outils sensibles, etc.) ?
05D02-02 Enregistre-t-on ces événements ainsi que tous les paramètres utiles à leur analyse ultérieure ? 4 E1 10.10.1
05D02-03 Existe-t-il une application capable d'analyser ces enregistrements ainsi que les mesures de performances, d'en déduire des statistiques, 4 2 3 E2
un tableau de bord et des diagnostics d'anomalies examinés par une structure ad hoc ?
05D02-04 La structure chargée d'analyser ces éléments de synthèse (ou éventuellement les journaux des incidents, et événements liés à la 4 E2
sécurité) a-t-elle l'obligation de le faire à période fixe et déterminée et a-t-elle la disponibilité suffisante ?
05D02-05 A-t-on défini pour chaque cas d'alerte, la réaction attendue de l'équipe de surveillance et sa disponibilité est-elle suffisante pour faire face 4 E3
à cette attente ?
05D02-06 Les paramètres définissant les éléments à enregistrer et les synthèses effectuées sur ces éléments sont-ils strictement protégés (droits 4 R1 10.10.3
limités et authentification forte) contre tout changement illicite ?
05D02-07 Toute inhibition du système d'enregistrement et de traitement des enregistrements déclenche-t-elle une alarme auprès de l'équipe de 4 R1
surveillance ?
05D02-08 Les enregistrements ou les synthèses sont-ils protégés contre toute altération ou destruction ? 2 E2 10.10.3

Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 91


Questionnaire d'audit : Réseau Local (LAN) 1 variante 0
Le réseau local est vu, ici, comme le réseau reliant les différents serveurs et postes utilisateurs du site. Les connexions de postes nomades sont
supposées assurées sur ce réseau.

Référence Questions R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
05D02-09 Les enregistrements ou les synthèses sont-ils conservés sur une longue durée ? 2 E2 10.10.3
05D02-10 Les procédures d'enregistrement, de traitement des enregistrements et d'analyse des synthèses ainsi que la disponibilité de l'équipe 2 C1
d'analyse et d'intervention font-elles l'objet d'un audit régulier ?
05D03 Traitement des incidents du réseau local
05D03-01 Y a-t-il une équipe (hot line) chargée de recueillir les appels et de signaler et d'enregistrer tous les incidents ? 2 E1 10.10.5
05D03-02 Cette équipe (hot line) est-elle accessible en permanence ? 2 E2 10.10.5
05D03-03 Y a-t-il un système support de la gestion des incidents ? 2 2 E2 10.10.5
05D03-04 Ce système centralise-t-il et prend-il en compte aussi bien les incidents détectés par l'exploitation que ceux signalés par les utilisateurs ? 2 E2 10.10.5
05D03-05 Ce système permet-il un suivi et une relance automatiques des actions nécessaires ? 4 E3 10.10.5
05D03-06 Ce système incorpore-t-il une typologie des incidents avec élaboration de statistiques et de tableau de bord des incidents à destination du 4 E3
RSSI ?
05D03-07 Le système de gestion d'incidents est-il strictement contrôlé vis-à-vis de toute modification illicite ou indue ? 4 3 R1
Un contrôle strict requiert une protection renforcée pour pouvoir modifier un enregistrement et un audit de toute modification des
enregistrements ou un contrôle par scellement électronique de toute modification.

05D03-08 Chaque incident réseau majeur fait-il l'objet d'un suivi spécifique (nature et description, priorité, solutions techniques, études en cours, 4 E2 13.2.1
délai prévu de résolution, etc.) ?

Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 92


Commentaires

Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 93


Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 94
Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 95
Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 96
Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 97
Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 98
Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 99
Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 100
Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 101
Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 102
Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 103
Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 104
Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 105
Mise à jour : janvier 2010 464752531.xls ! 05 Lan page 106
Questionnaire d'audit : Exploitation des réseaux 1 variante 0
Référence Questions P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
06A Sécurité des procédures d'exploitation
06A01 Prise en compte de la sécurité dans les relations avec le personnel d'exploitation (salariés et prestataires ou
fournisseurs)
06A01-01 A-t-on rédigé, à l'usage des personnels d'exploitation des réseaux, une politique de sécurité spécifique couvrant tous les aspects 4 1 E1
de la sécurité des systèmes d'information (confidentialité des informations, disponibilité des informations et services, intégrité des
informations et configurations, traçabilité, etc.) ?
06A01-02 Fait-on signer au personnel d'exploitation des réseaux employé par l'entreprise (quel que soit le statut, CDI, CDD, intérimaire, 4 E2
stagiaire, etc.) des clauses de respect de la politique de sécurité ?
06A01-03 Ces clauses précisent-elles que le devoir de respect de la politique de sécurité s'applique en général à toute information quel qu'en 2 2 E3
soit le support (papier, magnétique, optique, etc.) ?
06A01-04 Ces clauses précisent-elles, quand cela est nécessaire et juridiquement possible, que le devoir de respect de la politique de 4 2 E3
sécurité s'applique sans limitation de durée ?
En particulier, pour les clauses touchant à la confidentialité, les clauses de non divulgation peuvent (et souvent doivent) s'étendre
au delà du contrat de travail ou du contrat liant l'entreprise à son sous-traitant ou partenaire.
06A01-05 Ces clauses précisent-elles que le personnel a l'obligation de ne pas favoriser les actions qui pourraient être menées par d'autres 4 3 E3
personnes au détriment de la sécurité ?

06A01-06 La signature de ces clauses constitue-t-elle un engagement formel du signataire ? 4 3 E2


Pour qu'il s'agisse d'un engagement formel, il est souhaitable que le signataire reconnaisse explicitement en avoir pris
connaissance et les accepter.
06A01-07 Les mêmes clauses sont-elles rendues obligatoires pour le personnel des entreprises intervenant dans l'exploitation des réseaux ? 4 2 E2
En pratique, cela conduit à faire obligation auxdites entreprises de les faire signer individuellement, et dans les mêmes conditions,
à son personnel.

06A01-08 Le personnel d'exploitation suit-il systématiquement une formation à la sécurité adaptée à sa fonction ? 2 E2
06A01-09 Les clauses de respect de la politique de sécurité signées par le personnel sont-elles conservées de manière sûre (au moins dans 2 3 R1
une armoire fermée à clé) ?
06A01-10 Les clauses de respect de la politique de sécurité signées par le personnel des entreprises contractées sont-elles conservées de 2 3 R1
manière sûre (au moins dans une armoire fermée à clé) ?
06A01-11 Y a-t-il un audit régulier, au moins une fois par an, de l'application effective des procédures de signature des clauses de 2 3 C1
confidentialité par le personnel d'exploitation (directement employé par l'entreprise ou par l'intermédiaire d'une société
prestataire) ?
06A02 Contrôle de la mise en production de nouveaux logiciels ou matériels ou d'évolutions de logiciels ou matériels

06A02-01 Les décisions de changements majeurs des équipements et systèmes font-elles l'objet de procédures de contrôle (enregistrement, 2 2 E1 10.1.2
planning, approbation formelle, communication à l'ensemble des personnes concernées, etc.) ?
06A02-02 Les décisions de changement s'appuient-elles sur des analyses de la capacité des nouveaux équipements et systèmes à assurer 2 E2 10.3.1
la charge requise en fonction des évolutions des demandes prévisibles ?
06A02-03 Les installations sont-elles faites avec un souci de protection physique (accès protégé, absence de vue directe externe sur les 2 E2 9.2.1
équipements, absence de menaces physiques diverses, conditions climatiques, protection contre la foudre, protection contre la
poussière, etc.) ?

06A02-04 Une revue formelle des nouvelles fonctionnalités (ou des changements de fonctionnalités) liées à un changement majeur de 2 E2 12.4.1; 10.3.2
logiciel ou d'équipement est-elle systématiquement réalisée, avec le concours de la fonction sécurité informatique ?
06A02-05 Cette revue comprend-elle une analyse des risques éventuels pouvant naître à cette occasion ? 2 2 E2 12.4.1; 10.3.2
06A02-06 L'exploitation a-t-elle reçu une formation spécifique à l'analyse des risques ? 1 E3

Mise à jour : janvier 2010 464752531.xls ! 06 Exr page 107


Questionnaire d'audit : Exploitation des réseaux 1 variante 0
Référence Questions P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
06A02-07 L'exploitation peut-elle faire appel à un support adapté pour de telles analyses de risques ? 4 E3
06A02-08 Les mesures de sécurité décidées pour remédier aux nouveaux risques mis en évidence font-elles l'objet de contrôles et de tests 4 E2 10.3.2
formels avant mise en exploitation ?
06A02-09 Les paramétrages de sécurité et règles de configuration (suppression de tout compte générique, changement de tout mot de 4 E2 11.4.4; 10.3.2
passe générique, fermeture de tout port non explicitement demandé et autorisé, paramétrages du contrôle des droits et de
l'authentification, contrôles des tables de routage, etc.) font-ils l'objet d'une liste précise tenue à jour ?

06A02-10 Les paramétrages de sécurité et règles de configuration sont-ils contrôlés avant toute mise en exploitation d'une nouvelle version ? 4 E2 11.4.4; 10.3.2

06A02-11 L'impact éventuel des changements de systèmes sur les plans de continuité est-il pris en compte ? 2 E2 10.3.2
06A02-12 Les dérogations au processus d'analyse de risque préalable et aux contrôles des paramètres de sécurité font-elles l'objet de 4 R1
procédures strictes avec signature d'un responsable de niveau élevé ?
06A02-13 La mise en production de nouvelles versions d'équipements ou de logiciels n'est-elle possible que par le personnel d'exploitation ? 4 2 E2 12.4.1; 6.1.4

06A02-14 La mise en production de nouvelles versions d'équipements ou de logiciels n'est-elle possible que selon un processus de 2 3 E3 12.4.1; 6.1.4
validation et d'autorisation défini ?
06A02-15 L'ensemble des procédures de contrôle de la mise en production fait-il l'objet d'un audit régulier ? 2 3 C1
06A03 Contrôle des opérations de maintenance
06A03-01 Conserve-t-on une trace de toute opération de maintenance ? 1 E2 9.2.4
06A03-02 Toute opération de maintenance doit-elle être conclue par une vérification systématique des paramètres de sécurité (tels que 4 2 E2
définis lors de la mise en production) ?
06A03-03 Toute opération de maintenance doit-elle être conclue par une vérification systématique des paramètres d'enregistrement des 4 3 E3
événements de sécurité (événements à enregistrer, contextes des événements à enregistrer, durée de rétention, etc.) ?
06A03-04 Toute opération de maintenance doit-elle être conclue par une vérification systématique des paramètres de contrôle de 4 3 E3
l'administration des équipements (profil nécessaire, type d'authentification, suppression des login standards, etc.) ?
06A03-05 La non application des procédures ci-dessus doit-elle obligatoirement faire l'objet d'une dérogation formelle signée par un membre 4 E3
de la Direction ?
06A03-06 L'ensemble des procédures de contrôle de la maintenance fait-il l'objet d'un audit régulier ? 2 3 C1
06A04 Contrôle de la télémaintenance
06A04-01 En cas de télémaintenance, y a-t-il une procédure d'authentification forte du centre de télémaintenance ? 2 E2 11.4.4
06A04-02 En cas de télémaintenance, y a-t-il une procédure d'authentification forte de l'agent de maintenance ? 4 2 E2 11.4.4
06A04-03 Existe-t-il un ensemble de procédures couvrant l'attribution de droits d'utilisation à un nouvel agent, le retrait de droits et l'ouverture 2 E3 11.4.4
de droits pour les situations d'urgence ?
06A04-04 Les procédures et protocoles d'échange de conventions secrètes, de stockage, etc. ont-elles été approuvées par le RSSI ou un 4 E3
organisme spécialisé ?
06A04-05 L'utilisation de la ligne de télémaintenance nécessite-t-elle l'agrément préalable (à chaque utilisation) de l'exploitation (après que le 4 E2 11.4.4
constructeur ou l'éditeur ait envoyé une demande spécifiant la nature, la date et l'heure de l'intervention) ?
06A04-06 Les équipements ouverts à la télémaintenance sont-ils protégés contre toute inhibition ou modification des conditions d'accès à la 2 2 R1
télémaintenance avec émission d'une alarme en cas de violation ?
06A04-07 L'ensemble des procédures de contrôle de la télémaintenance fait-il l'objet d'un audit régulier ? 2 3 C1
06A05 Gestion des procédures opérationnelles d'exploitation des réseaux
06A05-01 Les procédures opérationnelles d'exploitation des réseaux découlent-elles d'une étude de l'ensemble des cas à couvrir par ces 4 E2 10.1.1
procédures (cas normaux de fonctionnement et incidents) ?

Mise à jour : janvier 2010 464752531.xls ! 06 Exr page 108


Questionnaire d'audit : Exploitation des réseaux 1 variante 0
Référence Questions P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
06A05-02 Les procédures opérationnelles d'exploitation sont-elles documentées et maintenues à jour ? 4 E2 10.1.1
06A05-03 Les procédures opérationnelles d'exploitation sont-elles rendues disponibles à toute personne en ayant besoin ? 4 E2 10.1.1
06A05-04 Les modifications de ces procédures sont-elles approuvées par les responsables concernés ? 2 E2 10.1.1
06A05-05 Ces procédures sont-elles protégées contre des altérations illicites ? 2 R1
06A05-06 L'authenticité et la pertinence des procédures opérationnelles font-elles l'objet d'un audit régulier ? 2 C1
06A06 Gestion des prestataires ou fournisseurs de services liés aux réseaux
06A06-01 S'assure-t-on régulièrement que les services de sécurité mis en œuvre par des prestataires ou fournisseurs de services réseaux 4 C1 10.2.1
sont effectivement assurés par lesdits prestataires ou fournisseurs ?
06A06-02 S'assure-t-on que les prestataires ou fournisseurs de services réseaux ont effectivement prévu les dispositions nécessaires pour 2 E2 10.2.1
être à même d'assurer les prestations de services convenues ?
06A06-03 Le respect des clauses de sécurité, par les prestataires ou fournisseurs, fait-il l'objet de revues régulières ? 4 E1 10.2.2
06A06-04 S'assure-t-on que les prestataires ou fournisseurs de services réseaux signalent et documentent tout incident de sécurité touchant 4 E2 10.2.2
l'information ou les réseaux ?
06A06-05 Y a-t-il une revue régulière de ces incidents ou des dysfonctionnements avec les prestataires ou fournisseurs concernés ? 2 E2 10.2.2
06A06-06 Tout changement dans les relations contractuelles (obligations diverses, niveaux de service, etc.) fait-il l'objet d'une analyse des 2 E3 10.2.3
risques induits potentiels ?
06A07 Prise en compte de la confidentialité lors des opérations de maintenance sur les équipements de réseau
06A07-01 Existe-t-il une procédure décrivant en détail les opérations à mener, avant appel à la maintenance, pour empêcher que le 4 E2 9.2.6; 9.2.4
personnel de maintenance ait accès aux données critiques (clés de chiffrement ou de protection de réseau, configurations des
équipements de sécurité, etc.) ?
06A07-02 Existe-t-il une procédure et une clause contractuelle vis-à-vis du personnel de maintenance (interne et externe), spécifiant que tout 4 E2 9.2.4
support ayant contenu des informations sensibles doit être détruit en cas de mise au rebut ?
06A07-03 Existe-t-il une procédure de vérification de l'intégrité des systèmes après intervention de la maintenance (absence de logiciel 2 E2
espion, absence de cheval de Troie, etc.) ?
06A07-04 La non application des procédures ci-dessus doit-elle obligatoirement faire l'objet d'une dérogation formelle signée par un membre 4 E3
de la Direction ?
06A07-05 Les procédures ci-dessus font-elles l'objet d'un audit régulier ? 2 3 C1
06A08 Gestion des contrats de services réseaux
06A08-01 Les niveaux de services ont-ils été identifiés pour chaque service réseau ? 4 E1 10.6.2
Les niveaux de services comprennent non seulement le service rendu aux utilisateurs, mais les dispositifs de sécurité nécessaires
et les obligations des parties prenantes.

06A08-02 Les niveaux de services ont-ils été inclus dans un contrat de service (que ces services soient assurés en interne ou par un 4 E2 10.6.2
prestataire externe) ?

06A08-03 L'application des mesures correspondantes est-elle contrôlée ? 2 C1 10.6.2


06B Paramétrage et contrôle des configurations matérielles et logicielles
06B01 Paramétrage des équipements de réseau et contrôle de la conformité des configurations
06B01-01 Existe-t-il un document (ou un ensemble de documents) ou une procédure opérationnelle spécifiant l'ensemble des paramètres de 4 2 E1
sécurité des équipements de réseau ?
Un tel document doit découler de la politique de protection des réseaux et décrire l'ensemble des règles de filtrage décidées. Il
devait également contenir les références des versions de systèmes pour pouvoir vérifier l'état des mises à jour.
06B01-02 Ce (ou ces) document impose-t-il de supprimer l'ensemble des comptes génériques ou par défaut et en établit-il la liste ? 4 2 E2

Mise à jour : janvier 2010 464752531.xls ! 06 Exr page 109


Questionnaire d'audit : Exploitation des réseaux 1 variante 0
Référence Questions P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
06B01-03 Ce document ou cette procédure impose-t-elle la mise en place d'un dispositif de synchronisation avec un référentiel de temps 4 E2 10.10.6
précis ?
06B01-04 Ces paramétrages sont-ils régulièrement mis à jour en fonction de l'état des connaissances, en relation avec un organisme expert 2 3 E3
(audits spécialisés, abonnement à un centre de service, consultation régulière des avis des CERTs, etc.) ?
06B01-05 Ces documents de référence (ou des copies des paramètres installés, considérées comme des références) sont-ils protégés 2 3 R1
contre toute altération indue ou illicite, par des mécanismes forts (sceau électronique) ?
06B01-06 L'intégrité des configurations par rapport aux configurations théoriquement attendues est-elle testée très régulièrement (au moins 4 2 E3 15.2.2
hebdomadairement, si ce n'est à chaque initialisation du système) ?
06B01-07 Procède-t-on à des audits réguliers de la liste des paramètres de sécurité spécifiés ? 2 R1 10.1.4; 15.2.2
06B01-08 Procède-t-on à des audits réguliers des procédures d'exception et d'escalade en cas de difficulté ? 2 C1 10.1.4; 15.2.2
06B01-09 Les environnements de développement et de test sont-ils séparés des environnements opérationnels ? 1 E2 10.1.4
06B02 Contrôle des configurations des accès réseaux des postes utilisateurs
06B02-01 Existe-t-il un document décrivant l'ensemble des paramètres à contrôler sur les postes utilisateurs concernant leurs possibilités de 4 2 E2
connexion externe (modem, WiFi, ...) ?
06B02-02 Ce document est-il régulièrement mis à jour en fonction de l'état des connaissances, en relation avec un organisme expert (audits 4 2 E2
spécialisés, abonnement à un centre de service, consultation régulière des avis des CERTs, etc.) ?
06B02-03 Ce document de référence est-il protégé contre toute altération indue ou illicite, par des mécanismes forts (sceau électronique) ? 4 3 R1

06B02-04 Contrôle-t-on la conformité des configurations des équipements réseau des postes de travail des utilisateurs par rapport à ce 2 3 E2
document de référence ?
06B02-05 Ce contrôle est-il fait systématiquement à chaque connexion au réseau ? 4 E3
06B02-06 Y a-t-il des automates analysant systématiquement l'utilisation du réseau de télécommunication pour transmettre des données ? 4 E3

06B02-07 Y a-t-il des automates analysant la présence de borne non déclarée de réseau sans fil (WiFi) ? 4 E3
06B02-08 La configuration des postes utilisateurs les empêche-t-elle de modifier les configurations et d'installer des logiciels systèmes ? 4 E3
06B02-09 Procède-t-on à des audits réguliers du document de référence spécifiant les configurations utilisateurs, et de l'application régulière 2 3 C1
des procédures de contrôle des configurations ?
06C Contrôle des droits d'administration
06C01 Gestion des droits privilégiés sur les équipements de réseau
06C01-01 A-t-on établi une politique de gestion des droits privilégiés sur les équipements de réseau s'appuyant sur une analyse préalable 2 E1 11.1.1
des exigences de sécurité, basées sur les enjeux de l'activité ?
06C01-02 Cette politique est-elle documentée, revue régulièrement et approuvée par les responsables concernés ? 2 E2
06C01-03 A-t-on défini, au sein de l'exploitation des réseaux, des profils correspondant à chaque type d'activité (administration 1 E1 10.1.3; 10.6.1;
d'équipements, administration d'équipement de sécurité, pilotage réseau, opérations de gestion de supports et sauvegardes, 11.2.2
etc.) ?
06C01-04 A-t-on défini, pour chaque profil, les droits privilégiés nécessaires ? 4 2 E1 10.1.3; 10.6.1
06C01-05 La procédure d'attribution de droits privilégiés nécessite-t-elle l'accord formel de la hiérarchie (ou du responsable de la prestation 4 2 E2 10.1.3
pour un prestataire) à un niveau suffisant ?
06C01-06 La procédure d'attribution de droits privilégiés n'est-elle attribuée qu'en fonction du profil du titulaire ? 4 2 E2 10.1.3
06C01-07 Le processus d'attribution (ou modification ou retrait) de droits privilégiés à un individu est-il strictement contrôlé ? 4 2 3 R1 11.2.2
Un contrôle strict requiert une reconnaissance formelle de la signature (électronique ou non) du demandeur, qu'il existe un
contrôle d'accès très renforcé pour pouvoir attribuer ou modifier de tels droits, et que les modifications d'attributions de droits
privilégiés soient journalisées et auditées.

Mise à jour : janvier 2010 464752531.xls ! 06 Exr page 110


Questionnaire d'audit : Exploitation des réseaux 1 variante 0
Référence Questions P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
06C01-08 Y a-t-il un processus de suppression systématique des droits privilégiés lors de départs ou mutations de personnel ? 4 3 E2 11.2.4
06C01-09 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits privilégiés attribués ? 1 2 C1 11.2.4
06C02 Authentification et contrôle des droits d'accès des administrateurs et personnels d'exploitation des réseaux
06C02-01 Le protocole d'authentification des administrateurs réseaux ou possesseurs de droits privilégiés est-il considéré comme "fort" ? 4 2 E2
Un protocole d'authentification est considéré comme fort s'il n'est pas susceptible d'être mis en brèche par une observation ou une
écoute de réseau, ni mis en défaut par des outils de spécialistes (en particulier des outils de craquage de mots de passe). Il s'agit
de protocole s'appuyant généralement sur des procédés cryptologiques.

06C02-02 A défaut, s'il s'agit de mots de passe, les règles imposées peuvent-elles être considérées comme très strictes ? 2 2 E2
Des règles très strictes supposent des mots de passe non triviaux et testés comme tels avant acceptation, des mélanges de
différents types de caractères avec une longueur importante (10 caractères ou +). Il est souhaitable que de telles règles soient
élaborées en accord avec le RSSI.

06C02-03 Cette authentification forte est-elle la règle aussi bien pour la connexion des administrateurs au système de supervision des 4 2 E2
machines virtuelles du réseau qu'entre ce système et les équipements de réseau ?
Si l'administrateur se connecte à un hyperviseur de gestion du réseau (genre HP OpenView, IBM TIVOLI, Unicenter de CA, Patrol
de BMC ou Bull OpenMaster) avec une authentification éventuellement forte et un contrôle d'accès réel, il faut également que le
contrôle soit effectif, avec la même robustesse, au niveau des différents objets à administrer (en évitant, par ex. en snmp les mots
de passe en clair, les groupes community et public par défaut, les accès par telnet ou SQL simple) pour éviter des actions
malveillantes directes sur les équipements.

06C02-04 Y a-t-il un contrôle systématique des droits de l'administrateur, de son contexte et de l'adéquation de ces droits et du contexte 4 E2
avec l'accès demandé, en fonction de règles de contrôle d'accès formalisées ?
06C02-05 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2 R1
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des authentifiants, les
authentifiants eux-mêmes, les règles de surveillance des tentatives de connexion, etc. soit très limitée, qu'il existe un contrôle
d'accès renforcé pour procéder à ces modifications, que les modifications soient journalisées et auditées et qu'il existe un audit
général au moins annuel de l'ensemble des paramètres de l'authentification.

06C02-06 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3 R1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus de l'authentification.

06C02-07 Existe-t-il un audit régulier des profils privilégiés effectivement attribués ? 4 3 C1 11.2.4

06C02-08 Existe-t-il un audit régulier des procédures d'attribution de profils privilégiés et des paramètres de sécurité de protection des profils 4 3 C1
et des droits ?
06C03 Surveillance des actions d'administration des réseaux
06C03-01 A-t-on fait une analyse approfondie des événements ou successions d'événements menés avec des droits d'administration et 2 E2 10.10.4; 10.6.1
pouvant avoir un impact sur la sécurité des réseaux (configuration des systèmes de sécurité, accès à des informations sensibles,
utilisation d'outils sensibles, téléchargement ou modification d'outils d'administration, etc.) ?
06C03-02 Enregistre-t-on ces événements (journalisation) ainsi que tous les paramètres utiles à leur analyse ultérieure ? 4 E2 10.10.4; 10.6.1
06C03-03 Existe-t-il un système permettant de détecter toute modification ou suppression d'un enregistrement passé et de déclencher une 4 2 E3 10.10.4
alerte immédiate auprès d'un responsable ?
06C03-04 Existe-t-il une synthèse de ces enregistrements permettant à la hiérarchie de détecter des comportements anormaux ? 4 3 E3 10.10.4

Mise à jour : janvier 2010 464752531.xls ! 06 Exr page 111


Questionnaire d'audit : Exploitation des réseaux 1 variante 0
Référence Questions P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
06C03-05 Existe-t-il un système permettant de détecter toute modification des paramètres d'enregistrement et de déclencher une alerte 4 2 R1 10.10.4
immédiate auprès d'un responsable ?
06C03-06 Toute inhibition du système d'enregistrement et de traitement des enregistrements déclenche-t-elle une alarme auprès d'un 4 3 E3 10.10.4
responsable ?
06C03-07 Les enregistrements ou les synthèses sont-ils protégés contre toute altération ou destruction ? 2 R1 10.10.4
06C03-08 Les enregistrements ou les synthèses sont-ils conservés sur une longue durée ? 2 R1 10.10.4
06C03-09 Les procédures d'enregistrement des actions privilégiées et de traitement de ces enregistrements font-elles l'objet d'un audit 2 3 C1
régulier ?
06C04 Contrôle des outils et utilitaires de l'exploitation du réseau
06C04-01 Les outils ou utilitaires sensibles de l'exploitation du réseau (administration des privilèges, gestion des configurations, 4 E1
sauvegardes, copies, reprises à chaud, etc.) sont-ils recensés de manière exhaustive pour chaque type de profil de personnel
d'exploitation ?
06C04-02 Les outils ou utilitaires sensibles d'un profil d'exploitation ne sont-ils utilisables que par les titulaires du profil correspondant, après 2 2 E2
authentification individuelle forte (carte à puce, jeton d'authentification, etc.) ?
06C04-03 Est-il interdit d'ajouter ou de créer des outils ou utilitaires d'exploitation de réseau sans autorisation formelle ? 2 2 E2
06C04-04 Cette interdiction est-elle régulièrement contrôlée par un automatisme avec alerte auprès d'un responsable ? 2 2 E3
06C04-05 La limitation des privilèges accordés aux équipes d'exploitation les empêche-t-elle de modifier les outils ou les utilitaires de 4 2 E3
l'exploitation ou, à défaut, existe-t-il un contrôle de toute modification avec alerte auprès d'un responsable ?
06C04-06 L'attribution des profils et la mise en oeuvre des mesures de sécurité précédentes font-elles l'objet d'un audit régulier ? 2 2 C1
06D Procédures d'audit et de contrôle des réseaux
06D01 Fonctionnement des contrôles d'audit
06D01-01 Les exigences et les procédures à respecter pour les audits menés sur les réseaux ont-elles été édictées par les responsables ? 4 E2 15.3.1

06D01-02 Les règles concernant les audits menés sur les réseaux, les procédures et responsabilités associées, sont-elles définies et 3 E2 15.3.1
documentées ?
Les limites à apporter concernent les types d'accès aux équipements, les contrôles et les traitements admis, l'effacement des
données sensibles obtenues, le marquage de certaines opérations, ... ainsi que l'habilitation des personnes réalisant l'audit.

06D01-03 Les auditeurs sont-ils indépendants des activités concernées ? 2 E2 15.3.1


06D01-04 Les opérations d'audit réalisées pour les données critiques sont-elles enregistrées ? 2 E3 15.3.1
06D01-05 L'activité des auditeurs est-elle délimitée ? 2 E2 15.3.2
Une telle délimitation est particulièrement recommandée s'il s'agit d'intervenants externes.
06D02 Protection des outils et résultats d'audit
06D02-01 Les outils d'audit sont-ils protégés afin d'éviter toute utilisation indue ou malveillante ? 3 E2 15.3.2
Ceci s'applique, en particulier, aux tests de pénétration et aux évaluations de vulnérabilité.
06D02-02 Les résultats d'audit sont-ils protégés contre toute modification ou divulgation ? 3 E2 15.3.2
06D02-03 L'utilisation des outils et des résultats d'audit est-elle délimitée ? 2 E2 15.3.2
Une telle délimitation est particulièrement recommandée s'il s'agit d'intervenants externes.

Mise à jour : janvier 2010 464752531.xls ! 06 Exr page 112


Commentaires

Mise à jour : janvier 2010 464752531.xls ! 06 Exr page 113


Mise à jour : janvier 2010 464752531.xls ! 06 Exr page 114
Mise à jour : janvier 2010 464752531.xls ! 06 Exr page 115
Mise à jour : janvier 2010 464752531.xls ! 06 Exr page 116
Mise à jour : janvier 2010 464752531.xls ! 06 Exr page 117
Mise à jour : janvier 2010 464752531.xls ! 06 Exr page 118
Mise à jour : janvier 2010 464752531.xls ! 06 Exr page 119
Questionnaire d'audit : Sécurité des Systèmes et de leur architecture 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
07A Contrôle d'accès aux systèmes
07A01 Gestion des profils d'accès (droits et privilèges accordés en fonction des profils de fonction)
07A01-01 A-t-on établi une politique de gestion des droits d'accès aux systèmes s'appuyant sur une analyse préalable des exigences de 2 E1 11.1.1
sécurité, basées sur les enjeux de l'activité ?
07A01-02 Les droits d'accès aux différentes parties du SI (applications, bases de données, systèmes, équipements etc.) sont-ils définis par 4 2 E1 11.2.2
rapport à des "profils" métiers regroupant des "rôles" ou des "fonctions" dans l'organisation (un profil définissant les droits dont
disposent les titulaires de ce profil) ?
Nota : La notion de profil peut, dans certaines circonstances, être remplacée par une notion de "groupe".

07A01-03 Est-il possible d'introduire, dans les règles de définition des droits d'accès (qui déterminent les droits attribués à un profil), des 4 E2
paramètres variables en fonction du contexte tels que la localisation du demandeur ou les réseaux utilisés, ou en fonction des
moyens utilisés (protocoles, chiffrement, etc.) ou de la classification des ressources auxquelles les droits donnent accès ?

07A01-04 Les profils permettent-ils également de définir des créneaux horaires et des calendriers de travail (heures début et fin de journée, 2 E3 11.5.6
week-end, vacances, etc.) ?
07A01-05 Ces profils et l'attribution de droits aux différents profils ont-ils reçu l'approbation des propriétaires d'information et/ou du RSSI ? 4 2 E2 11.5.6
07A01-06 Les processus de définition et de gestion des droits attribués aux profils sont-ils sous contrôle strict ? 4 3 R1
Un contrôle strict requiert que la liste des personnes habilitées à changer les droits attribués aux profils soit très limitée, que la
matérialisation de ces droits sous forme de tables soit strictement sécurisée lors de leur transmission et de leur stockage et qu'il
existe un contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.

07A01-07 Peut-on contrôler à tout moment la liste des profils et l'ensemble des droits attribués à chaque profil ? 2 2 C1
07A01-08 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits attribués à chaque profil et des procédures de gestion 4 2 C1 11.2.4
des profils ?
07A02 Gestion des autorisations d'accès et privilèges (attribution, délégation, retrait)
07A02-01 La procédure d'attribution des autorisations d'accès nécessite-t-elle l'accord formel de la hiérarchie (à un niveau suffisant) ? 4 2 E1
07A02-02 Les autorisations sont-elles attribuées nominativement (par individu) en fonction du seul profil des utilisateurs ? 2 E1
07A02-03 Le processus d'attribution (ou modification ou retrait) effectif d'autorisations à un individu (directement ou par le biais de profils) 4 2 3 E2 11.2.2
est-il strictement contrôlé ?
Un contrôle strict requiert une identification formelle du demandeur (reconnaissance de sa signature, signature électronique, etc.),
que la matérialisation des profils attribués aux utilisateurs (par exemple sous forme de tables) soit strictement sécurisée lors de
leur transmission et de leur stockage et qu'il existe un contrôle d'accès renforcé pour pouvoir les modifier, et que ces modifications
soient journalisées et auditées.

07A02-04 Y a-t-il un processus de mise à jour systématique de la table des autorisations d'accès lors de départs de personnel (interne ou 4 3 E2 11.2.4
externe à l'entreprise) ?
07A02-05 Y a-t-il un processus de mise à jour systématique de la table des autorisations d'accès lors de changements de fonctions ? 4 E3 11.2.4
07A02-06 Y a-t-il un processus strictement contrôlé (voir ci-dessus) permettant de déléguer ses propres autorisations, en tout ou en partie, à 4 E3
une personne de son choix, pour une période déterminée (en cas d'absence) ?
Dans ce cas, les autorisations déléguées ne doivent plus être autorisées à la personne qui les a déléguées. Cette dernière doit
cependant avoir la possibilité de les reprendre, en annulant ou en suspendant la délégation.

07A02-07 Peut-on contrôler à tout moment, pour tous les utilisateurs, les habilitations, autorisations et privilèges en cours ? 2 C1

Mise à jour : janvier 2010 464752531.xls ! 07 Sys page 120


Questionnaire d'audit : Sécurité des Systèmes et de leur architecture 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
07A02-08 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des profils ou des autorisations attribués aux utilisateurs et des 1 2 C1 11.2.4
procédures de gestion des profils attribués ?
07A03 Authentification de l'utilisateur ou de l'entité demandant un accès
07A03-01 Le processus de distribution ou de changement de l'authentifiant garantit-il que seul le titulaire de l'identifiant peut y avoir accès 2 1 E1 11.5.3
(diffusion initiale confidentielle, changement de mot de passe sous le seul contrôle de l'utilisateur, etc.) ?
07A03-02 Le processus de création ou de modification d'un authentifiant vérifie-t-il le respect d'un ensemble de règles permettant d'avoir 4 2 E2 11.2.3; 11.5.3
confiance dans sa solidité intrinsèque ?
Dans le cas de mots de passe : longueur suffisante (8 caractères ou +), mélange obligatoire de types de caractères, changement
fréquent (<1 mois), impossibilité de réemployer un mot de passe ancien, test de non trivialité fait en relation avec un dictionnaire,
interdiction des "standards systèmes", des prénoms, de l'anagramme de l'identifiant, de dates, etc.
Dans le cas de certificats ou d'authentification reposant sur des mécanismes cryptologiques utilisant des clés de chiffrement :
longueur de clé suffisante, processus de génération évalué ou reconnu publiquement, etc.

07A03-03 Le processus de présentation par l'utilisateur de son authentifiant garantit-il son inviolabilité ? 4 2 E3 11.5.1; 11.5.3
La frappe d'un mot de passe sera toujours un point faible notable. Les seuls processus qui soient observables sans divulguer
d'information consistent soit à introduire un objet contenant un secret (carte à puce) soit à frapper un code qui change à chaque
instant (carte à jeton), soit à présenter un caractère biométrique.

07A03-04 Le processus de connexion (login) est-il sécurisé ? 1 E3 11.5.1; 11.5.3


Un processus de connexion sécurisé ne devrait donner aucune information avant achèvement satisfaisant du processus, ne pas
afficher le mot de passe ou l'authentifiant, afficher la date et l'heure de la dernière connexion, afficher les éventuelles tentatives de
connexion ayant échoué, etc.

07A03-05 La conservation et l'utilisation par l'utilisateur (ou par des systèmes représentant l'utilisateur) ou par les systèmes cibles 2 2 3 E2 11.5.1; 11.5.3
d'éléments de référence supportant l'authentification font-elles appel à des mécanismes qui en garantissent l'inviolabilité et
l'authenticité ?
Dans le cas de mots de passe, ils doivent être stockés chiffrés et un contrôle d'accès préliminaire à l'utilisation de ces éléments
par l'utilisateur doit être effectué.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité
validées par un organisme de référence.

07A03-06 La transmission entre l'utilisateur et les systèmes cibles d'éléments de référence supportant l'authentification fait-elle appel à des 2 2 3 E3 11.5.1; 11.5.3
mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
La transmission d'un mot de passe doit être chiffrée ou utiliser un algorithme qui introduise un aléa à chaque transmission.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité
validées par un organisme de référence.

07A03-07 En cas de répétition de tentatives infructueuses d'authentification, existe-t-il un processus déclenchant une dévalidation 4 2 E2 11.5.1; 11.5.3
automatique de l'identifiant de l'utilisateur, éventuellement du terminal lui-même, ou un ralentissement du processus
d'authentification empêchant toute routine automatique de tentative de connexion ?
07A03-08 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de passe, jeton, etc.) permet-elle de 2 2 E2 11.5.3
neutraliser instantanément l'ancien authentifiant ?

07A03-09 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de passe, jeton, etc.) permet-elle un 2 2 E3 11.5.3
contrôle effectif de l'identité du demandeur ?

Mise à jour : janvier 2010 464752531.xls ! 07 Sys page 121


Questionnaire d'audit : Sécurité des Systèmes et de leur architecture 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
07A03-10 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2 R1
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des authentifiants, les
authentifiants eux-mêmes, les règles de surveillance des tentatives de connexion, etc. soit très limitée, qu'il existe un contrôle
d'accès renforcé pour procéder à ces modifications, que les modifications soient journalisées et auditées et qu'il existe un audit
général au moins annuel de l'ensemble des paramètres de l'authentification.

07A03-11 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3 C1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus de l'authentification (y compris des processus visant à détecter les
tentatives de violation et les processus de réaction à ces tentatives de violation).

07A04 Filtrage des accès et gestion des associations


07A04-01 Tout accès à un système requiert-il la présentation d'un identifiant reconnu par ledit système ? 1 2 E1 11.5.2
07A04-02 Tout identifiant reconnu par le système correspond-il à une personne physique unique et identifiable, directement ou indirectement 4 2 E1 11.5.2
?
Nota : Dans le cas où une application en appelle une autre ou déclenche un appel système, il se peut que l'application ne transfère
pas au système cible l'identifiant ayant initialisé la demande. Le lien entre cet appel et l'identifiant et la personne d'origine doit
cependant rester possible a posteriori.

07A04-03 Tous les comptes génériques ou par défaut ont-ils été supprimés ? 4 2 E2 11.5.2
07A04-04 L'acceptation de l'identifiant par le système est-elle systématiquement sujette à une authentification ? 2 2 E2 11.5.2
L'authentification systématique requiert que ce processus soit effectivement mis en oeuvre pour l'ensemble des sous-systèmes
(moniteur de télétraitement, SGBD, traitements par lots, etc.) et pour toutes les demandes d'accès en provenance des applications
ainsi que pour toutes les voies et ports d'accès, y compris depuis des ports réservés tels que la télémaintenance éventuelle.

07A04-05 Y a-t-il une répétition de la procédure d'authentification en cours de session pour les transactions jugées sensibles ? 4 E3
07A04-06 Y a-t-il une dévalidation automatique de la session de l'utilisateur, en cas d'absence d'échange après un délai défini, nécessitant 4 E3 11.5.5
une nouvelle identification - authentification ?
07A04-07 Y a-t-il un contrôle systématique du profil du demandeur, de son contexte et de l'adéquation de ce profil et du contexte avec 4 2 E3
l'accès demandé, en fonction de règles de contrôle d'accès formalisées ?
07A04-08 Les paramètres de définition et de gestion des règles de filtrage des accès sont-ils sous contrôle strict ? 4 2 R1
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de sécurité du filtrage des accès soit très
limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.

07A04-09 Les processus qui assurent le filtrage des accès sont-ils sous contrôle strict ? 4 3 C1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus de filtrage d'accès (y compris des processus visant à détecter les
tentatives de modification et les processus de réaction à ces tentatives de modification).

07A04-10 Procède-t-on à des tests périodiques de pénétration du système informatique et à des audits techniques spécialisés approfondis ? 2 3 R2
07A05 Authentification du serveur lors des accès à des serveurs sensibles
07A05-01 Existe-t-il une possibilité de déclarer des serveurs comme sensibles et, comme tels, requérant une authentification du serveur 4 1 E2
auquel on se connecte ?
07A05-02 Y a-t-il un mécanisme d'authentification du serveur auquel on se connecte avant tout accès à un serveur sensible ? 4 1 E2

Mise à jour : janvier 2010 464752531.xls ! 07 Sys page 122


Questionnaire d'audit : Sécurité des Systèmes et de leur architecture 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
07A05-03 Le processus d'authentification des serveurs sensibles accédés est-il un processus reconnu comme "fort" ? 4 2 E3
Un simple mot de passe sera toujours un point faible notable. Les seuls processus qui soient reconnus comme forts, c'est-à-dire
observables sans divulguer d'information et pratiquement inviolables sont basés sur des algorithmes cryptologiques.

07A05-04 La conservation et l'utilisation par les équipements de sécurité d'éléments de référence supports de l'authentification (mots de 4 3 E2
passe, numéro d'appelant, etc.) font-elles appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
Dans le cas de mots de passe, ils doivent être stockés chiffrés et un contrôle d'accès préliminaire à l'utilisation de ces éléments
par l'utilisateur doit être effectué.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité
validées par un organisme de référence.

07A05-05 La transmission entre le poste appelant et les équipements de sécurité d'éléments de référence supports de l'authentification 4 3 E3
(mots de passe, numéro d'appelant, etc.) fait-elle appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
La transmission d'un mot de passe doit être chiffrée ou utiliser un algorithme qui introduise un aléa à chaque transmission.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité
validées par un organisme de référence.

07A05-06 Les procédures de gestion des clés révoquées garantissent-elles que les systèmes de contrôle testent systématiquement que les 4 2 E2
clés ne sont pas révoquées ?
07A05-07 Les procédures de gestion des clés révoquées garantissent-elles que les systèmes de contrôle prennent en compte ces 4 2 E3
révocations en temps réel ?
07A05-08 Les processus qui assurent l'authentification des entités accédées sont-ils sous contrôle strict ? 4 3 R1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus de l'authentification.

07B Confinement des environnements


07B01 Contrôle des accès aux résidus
07B01-01 A-t-on procédé à une analyse poussée, pour chaque type de système, des fichiers et zones temporaires affectés à des stockages 4 E2
temporaires d'information et des moyens d'accès à ces fichiers et zones temporaires ?
07B01-02 A-t-on identifié les supports de stockage réaffectés à d'autres usages après avoir contenu des informations sensibles ? 4 E1
07B01-03 En cours d'exploitation, le système dispose-t-il, notamment, d'un mécanisme de contrôle des privilèges empêchant à un utilisateur 4 E2
d'accéder à des contenus de ressources libérées par un autre processus (zones de mémoire, ressources temporaires, etc.) ?

07B01-04 Les utilitaires permettant d'accéder aux résidus sensibles (fichiers ou zones de stockage temporaires) sont-ils réservés aux seules 4 E3
équipes systèmes et requièrent-ils une authentification forte avant usage ?
07B01-05 Existe-t-il des procédures d'effacement physique des résidus sensibles (en mémoire centrale ou sur support) ? 4 E3
07B01-06 Ces procédures sont-elles mises en oeuvre systématiquement et automatiquement par les systèmes à chaque libération logique 4 3 E2
de ressource ?
07B01-07 L'inhibition de ces procédures se traduit-elle par une alerte auprès d'un responsable de l'exploitation ? 4 3 R1
07B01-08 Existe-t-il une procédure garantissant, en cas de mise au rebut, la non divulgation des informations sensibles jusqu'à la destruction 4 E2 10.7.2
de leur support ?
07B01-09 L'ensemble des procédures et paramètres de sécurité de la protection des accès aux résidus fait-il l'objet d'un audit régulier ? 4 3 C1
07C Gestion et enregistrement des traces
07C01 Enregistrement des accès aux ressources sensibles

Mise à jour : janvier 2010 464752531.xls ! 07 Sys page 123


Questionnaire d'audit : Sécurité des Systèmes et de leur architecture 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
07C01-01 A-t-on procédé a une analyse spécifique des accès à journaliser et des paramètres concernant ces accès à conserver ? 4 E2 10.10.2
07C01-02 Utilise-t-on un outil ou une application de contrôle permettant de journaliser et d'enregistrer les accès aux ressources sensibles 4 E2 10.10.2
(applications, fichiers applicatifs, bases de données, etc.) ?
07C01-03 Les règles spécifiant les accès à journaliser et enregistrer sont-elles décrites et validées (formalisées) ? 2 E2
07C01-04 Les règles spécifiant les accès à journaliser et enregistrer ont-elles été approuvées par les propriétaires d'information ou le RSSI ? 4 E3

07C01-05 Les règles spécifiant les accès à journaliser et enregistrer couvrent-elles les éléments essentiels pour une investigation en cas 2 E2 10.10.1
d'anomalie ?
Ces règles devraient spécifier pour chaque type d'accès (système, SGBD, etc.) les éléments fondamentaux à enregistrer, par
exemple l'identifiant, le service ou l'application demandée, la date et l'heure, le point d'appel s'il est connu, etc.
07C01-06 Ces règles ont-elles été validées par la Direction Juridique (en particulier pour les enregistrements contenant des données à 2 2 E3 10.10.1
caractère personnel) ?

07C01-07 Existe-t-il un archivage (sur disque, cassette, DON, etc.) de tous ces enregistrements, conservés sur une longue période et de 2 E2 10.10.1;
manière infalsifiable ? 10.10.3
07C01-08 Les paramètres de définition et de gestion des règles d'enregistrement des connexions (login) et applications appelées sont-ils 4 2 R1 10.10.3
sous contrôle strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de définition et de gestion des règles
d'enregistrement des login et applications appelées soit très limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir les
modifier, et que les modifications soient journalisées et auditées.

07C01-09 Les processus qui assurent l'enregistrement des connexions et applications appelées sont-ils sous contrôle strict ? 4 3 C1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus d'enregistrement (y compris des processus visant à détecter les
tentatives de modification et les processus de réaction à ces tentatives de modification).

07C02 Enregistrement des appels aux procédures privilégiées


07C02-01 A-t-on procédé a une analyse spécifique des appels systèmes privilégiés que l'on souhaite journaliser et des paramètres 4 E2 10.10.2
concernant ces appels à conserver ?
07C02-02 Utilise-t-on un outil ou une application de contrôle permettant de journaliser et d'enregistrer les appels systèmes sensibles 4 E2 10.10.2
(utilitaires sensibles nécessitant des droits privilégiés, accès aux fichiers de sécurité, administration de paramètres de sécurité,
etc.) ?
07C02-03 Les règles spécifiant les appels aux procédures privilégiées à journaliser et enregistrer sont-elles décrites et validées (formalisées) 2 E2
?
07C02-04 Les règles spécifiant les accès aux procédures privilégiées à journaliser et enregistrer ont-elles été approuvées par les 4 E3
propriétaires d'information ou le RSSI ?
07C02-05 Les règles spécifiant les appels systèmes sensibles à journaliser et enregistrer couvrent-elles les éléments essentiels pour une 2 E2 10.10.1
investigation en cas d'anomalie ?
Ces règles devraient spécifier pour chaque type d'appel (consultation, création, modification, destruction, etc.) les éléments
fondamentaux à enregistrer, par exemple la nature de l'événement, l'identifiant, le service système demandé, date et heure, etc.

07C02-06 Ces règles ont-elles été validées par la Direction Juridique (en particulier pour les enregistrements contenant des données à 2 2 E3 10.10.1
caractère personnel) ?
07C02-07 Existe-t-il un archivage (sur disque, cassette, DON, etc.) de tous ces enregistrements, conservés sur une longue période et de 2 E2 10.10.3;
manière infalsifiable ? 10.10.1

Mise à jour : janvier 2010 464752531.xls ! 07 Sys page 124


Questionnaire d'audit : Sécurité des Systèmes et de leur architecture 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
07C02-08 Les paramètres de définition et de gestion des règles d'enregistrement des appels aux procédures privilégiées sont-ils sous 4 2 R1 10.10.3
contrôle strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres d'enregistrement soit très limitée, qu'il
existe un contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.

07C02-09 Les processus qui assurent l'enregistrement des appels systèmes sensibles sont-ils sous contrôle strict ? 4 3 C1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus d'enregistrement (y compris des processus visant à détecter les
tentatives de modification et les processus de réaction à ces tentatives de modification).

07D Sécurité de l'architecture


07D01 Sûreté de fonctionnement des éléments d'architecture
07D01-01 A-t-on analysé la criticité des différents systèmes généraux (hors architecture applicative, mais y compris des systèmes généraux 4 2 E2
périphériques tels que systèmes ou robots de sauvegarde, serveurs d'impression ou équipement central d'impression, etc.) pour
mettre en évidence les besoins de continuité de service ?
Une analyse approfondie suppose que l'on établisse une liste de scénarios de panne ou d'incidents et qu'on en analyse toutes les
conséquences prévisibles.

07D01-02 Cette analyse a-t-elle permis de formaliser les performances minimales à assurer au niveau de chaque système et ces 4 2 E2
performances minimales ont-elles été acceptées par les utilisateurs (propriétaires d'information) ?
07D01-03 En a-t-on déduit des architectures de redondance (ex. clusters) ou de réplication (ex. disques miroirs) appropriées pour les 4 2 E2
serveurs ou équipements concernés ?
07D01-04 Cette architecture et sa mise en oeuvre en cas d'incident ou de panne garantissent-ils la satisfaction des performances 4 2 E2
minimales ?
Une telle garantie suppose, soit que les systèmes à tolérance de panne soient entièrement automatiques, soit que les systèmes
de détection et les capacités de réaction du personnel à même de procéder aux reconfigurations manuelles aient été spécifiés
avec cet objectif.
07D01-05 S'est-on assuré, dans ce cas, que les équipements de servitude (alimentation en énergie, climatisation, etc.) n'introduisaient pas 2 E3
de vulnérabilité supplémentaire ou ne détruisaient pas les redondances prévues au niveau des équipements ou de l'architecture ?

07D01-06 La mise hors service ou l'arrêt de tout équipement de redondance ou de tout système de détection nécessaire à une intervention 2 R1
manuelle ou à une reconfiguration automatique sont-elles détectées et déclenchent-elles une alarme auprès d'un responsable de
l'exploitation ?
07D01-07 Procède-t-on régulièrement à des tests visant à démontrer la capacité des éléments de sécurité à assurer les performances 2 3 C1
minimales en cas d'incident ou de panne ?
07D02 Isolement des systèmes sensibles
07D02-01 A-t-on analysé la sensibilité des systèmes généraux (en fonction des applications et des données traitées, y compris des systèmes 3 E2 11.6.2
généraux périphériques tels que systèmes ou robots de sauvegarde, serveurs d'impression ou équipement central d'impression,
etc.) pour mettre en évidence leurs exigences de sécurité ?
Une analyse approfondie suppose que l'on établisse une liste de scénarios d'incidents (D, I, C) et qu'on en analyse toutes les
conséquences prévisibles.

07D02-02 Cette analyse a-t-elle permis de formaliser les exigences minimales à assurer au niveau de chaque système et ces exigences 3 E2 11.6.2
minimales ont-elles été acceptées par les utilisateurs (propriétaires d'information) ?

Mise à jour : janvier 2010 464752531.xls ! 07 Sys page 125


Questionnaire d'audit : Sécurité des Systèmes et de leur architecture 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
07D02-03 En a-t-on déduit des mesures d'isolement (physique et logique) appropriées pour les serveurs ou équipements concernés ? 3 E2 11.6.2
Ces mesures peuvent couvrir la séparation des centres hébergeant des serveurs sensibles d'autres serveurs et/ou des
applications sur différents serveurs.

Mise à jour : janvier 2010 464752531.xls ! 07 Sys page 126


Commentaires

Mise à jour : janvier 2010 464752531.xls ! 07 Sys page 127


Mise à jour : janvier 2010 464752531.xls ! 07 Sys page 128
Mise à jour : janvier 2010 464752531.xls ! 07 Sys page 129
Mise à jour : janvier 2010 464752531.xls ! 07 Sys page 130
Mise à jour : janvier 2010 464752531.xls ! 07 Sys page 131
Mise à jour : janvier 2010 464752531.xls ! 07 Sys page 132
Mise à jour : janvier 2010 464752531.xls ! 07 Sys page 133
Mise à jour : janvier 2010 464752531.xls ! 07 Sys page 134
Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08A Sécurité des procédures d'exploitation
08A01 Prise en compte de la sécurité dans les relations avec le personnel d'exploitation (salariés et prestataires)
08A01-01 A-t-on rédigé une politique de sécurité spécifique à l'usage du personnel d'exploitation des systèmes d'information ? 4 E1 9.2.1
Cette politique devrait traiter de la protection de l'information, mais aussi de la protection des biens et procédés et des
comportements interdits.

08A01-02 Fait-on signer au personnel d'exploitation des systèmes d'information employé par l'entreprise (quel que soit le statut, CDI, CDD, 4 E2
intérimaire, stagiaire, etc.) des clauses de respect de la politique de sécurité ?
08A01-03 Ces clauses précisent-elles que le devoir de respect de la politique de sécurité s'applique en général à toute information quel qu'en 2 2 E2
soit le support (papier, magnétique, optique, etc.) ?
08A01-04 Ces clauses précisent-elles, quand cela est nécessaire et juridiquement possible, que le devoir de respect de la politique de sécurité 4 2 E3
s'applique sans limitation de durée ?
En particulier, pour les clauses touchant à la confidentialité, les clauses de non divulgation peuvent (et souvent doivent) s'étendre au
delà du contrat de travail ou du contrat liant l'entreprise à son sous-traitant ou partenaire.
08A01-05 Ces clauses précisent-elles que le personnel a l'obligation de ne pas favoriser les actions qui pourraient être menées par d'autres 4 3 E3
personnes au détriment de la sécurité ?

08A01-06 La signature de ces clauses constitue-t-elle un engagement formel du signataire ? 4 3 E2


Pour qu'il s'agisse d'un engagement formel, il est souhaitable que le signataire reconnaisse explicitement en avoir pris connaissance
et les accepter.
08A01-07 Les mêmes clauses sont-elles rendues obligatoires pour le personnel des entreprises intervenant dans l'exploitation des systèmes ? 4 2 E2
En pratique, cela conduit à faire obligation auxdites entreprises de les faire signer individuellement, et dans les mêmes conditions, à
son personnel.

08A01-08 Le personnel d'exploitation suit-il systématiquement une formation à la sécurité adaptée à sa fonction ? 2 E2
08A01-09 Les clauses de respect de la politique de sécurité signées par le personnel sont-elles conservées de manière sûre (au moins dans 2 3 R1
une armoire fermée à clé) ?
08A01-10 Les clauses de respect de la politique de sécurité signées par le personnel des entreprises contractées sont-elles conservées de 2 3 R1
manière sûre (au moins dans une armoire fermée à clé) ?
08A01-11 Y a-t-il un audit régulier, au moins une fois par an, de l'application effective des procédures de signature des clauses de 2 3 C1
confidentialité par le personnel d'exploitation (directement employé par l'entreprise ou par l'intermédiaire d'une société prestataire) ?

08A02 Contrôle des outils et utilitaires de l'exploitation


08A02-01 A-t-on défini différents profils au niveau de l'exploitation des systèmes (administration et gestion des configurations, administration 4 E1
des équipements de sécurité, monitoring, audit et investigation, etc.) ?
08A02-02 Chaque personnel de l'exploitation se voit-il attribuer un profil particulier ? 4 E2

08A02-03 Les outils ou utilitaires sensibles (administration des privilèges, gestion des configurations, sauvegardes, copies, reprises à chaud, 4 E2 11.5.4
etc.) sont-ils recensés de manière exhaustive pour chaque type de profil ?
08A02-04 Les outils ou utilitaires sensibles d'un profil ne sont-ils utilisables que par les titulaires du profil correspondant, après authentification 2 2 E3 11.5.4
individuelle forte (carte à puce, jeton, etc.) ?
08A02-05 Est-il interdit d'ajouter ou de créer des outils ou utilitaires sans avoir obtenu une autorisation formelle ? 2 2 E2 11.5.4
08A02-06 Cette interdiction est-elle régulièrement contrôlée par un automatisme avec alerte auprès d'un responsable ? 2 2 E3 11.5.4
08A02-07 La limitation des privilèges accordés aux équipes d'exploitation les empêche-t-elle de modifier les outils ou les utilitaires de 4 2 E3 11.5.4
l'exploitation ou, à défaut, existe-t-il un contrôle pour toute modification avec alerte auprès d'un responsable ?
08A02-08 L'attribution des profils d'administration et la mise en oeuvre des mesures de sécurité précédentes font-elles l'objet d'un audit 2 2 C1
régulier ?

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 135


Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08A03 Contrôle de la mise en production de nouveaux systèmes ou d'évolutions de systèmes existants
Les systèmes englobent les systèmes opératoires, les progiciels applicatifs et les logiciels des couches intermédiaires associés)
08A03-01 Les décisions de changements majeurs des équipements et systèmes font-elles l'objet de procédures de contrôle (enregistrement, 4 E1 10.1.2
planification, approbation formelle, communication à l'ensemble des personnes concernées, etc.) ?

08A03-02 Les décisions de changement s'appuient-elles sur des analyses de la capacité des nouveaux équipements et systèmes à assurer la 2 E2 10.3.1
charge requise en fonction des évolutions des demandes prévisibles ?
08A03-03 Les installations sont-elles faites avec un souci de protection physique (accès protégé, absence de vue directe externe sur les 2 E2 9.2.1; 12.5.1
équipements, absence de menaces physiques diverses, conditions climatiques, protection contre la foudre, protection contre la
poussière, etc.) ?
08A03-04 Les nouvelles fonctionnalités (ou changements de fonctionnalités) liées à un nouveau système ou à une nouvelle version sont-elles 4 2 E2 12.4.1; 12.5.1
systématiquement décrites dans une documentation (obligatoire avant tout passage en production) ?

08A03-05 Une revue formelle des nouvelles fonctionnalités (ou des changements de fonctionnalités) liées à un changement majeur de 2 E2 12.4.1; 10.3.2
système est-elle systématiquement réalisée, avec le concours de la fonction sécurité informatique ?
08A03-06 Cette revue comprend-elle une analyse des risques éventuels pouvant naître à cette occasion ? 2 2 E2 12.4.1; 10.3.2
08A03-07 L'exploitation a-t-elle reçu une formation spécifique à l'analyse des risques ? 1 E3
08A03-08 L'exploitation peut-elle faire appel à une ressource spécialisée pour de telles analyses de risques ? 4 E3
08A03-09 Les mesures de sécurité décidées pour remédier aux nouveaux risques mis en évidence font-elles l'objet de contrôles formels avant 4 2 E3 10.3.2
mise en production ?
08A03-10 Les paramétrages de sécurité et règles de configuration (suppression de tout compte générique, changement de tout mot de passe 4 E3 11.4.4; 10.3.2
générique, fermeture de tout port non explicitement demandé et autorisé, paramétrages du contrôle des droits et de
l'authentification, etc.) font-ils l'objet d'une liste précise tenue à jour ?

08A03-11 Les paramétrages de sécurité et règles de configuration sont-ils contrôlés avant toute mise en exploitation d'une nouvelle version ? 4 E3 11.4.4; 10.3.2

08A03-12 L'impact éventuel des changements de systèmes sur les plans de continuité d'activité a-t-il été pris en compte ? 2 E2 10.3.2
08A03-13 Les dérogations au processus d'analyse de risque préalable et aux contrôles des paramètres de sécurité font-elles l'objet de 4 R1 12.4.1
procédures strictes avec signature d'un responsable de niveau élevé ?
08A03-14 La mise en production de nouvelles versions de systèmes ou applications n'est-elle possible que par le personnel d'exploitation ? 2 2 E3 12.4.1; 6.1.4
08A03-15 La mise en production de nouvelles versions de systèmes ou applications n'est-elle possible que selon un processus de validation 2 2 E3 12.4.1; 6.1.4
et d'autorisation défini ?
08A03-16 L'ensemble des procédures de contrôle de la mise en production fait-il l'objet d'un audit régulier ? 2 3 C1
08A04 Contrôle des opérations de maintenance
08A04-01 Conserve-t-on une trace de toute opération de maintenance ? 1 E2 9.2.4
08A04-02 Toute opération de maintenance doit-elle se terminer par un contrôle systématique des paramètres de sécurité (tels que définis lors 4 2 E2
de la mise en production) ?
08A04-03 Toute opération de maintenance doit-elle se terminer par un contrôle systématique des paramètres d'enregistrement des 4 3 E3
événements de sécurité (événements à enregistrer, contextes des événements à enregistrer, durée de rétention, etc.) ?
08A04-04 Toute opération de maintenance doit-elle se terminer par un contrôle systématique des paramètres de contrôle de l'administration 4 3 E3
système (profil nécessaire, type d'authentification, suppression des login standards, etc.) ?
08A04-05 La non application des procédures ci-dessus doit-elle obligatoirement faire l'objet d'une dérogation formelle signée par un membre 4 E3
de la Direction ?
08A04-06 La mise en oeuvre effective de ces contrôles fait-elle l'objet d'un audit régulier ? 2 3 C1

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 136


Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08A05 Prise en compte de la confidentialité lors des opérations de maintenance sur les systèmes en production
08A05-01 Existe-t-il une procédure décrivant en détail les opérations à mener, avant appel à la maintenance, pour empêcher que celle-ci ait 4 E1 9.2.4; 9.2.6
accès aux données opérationnelles de production (déconnexion des baies de disque et cartouches, effacement des données
opérationnelles, etc.) ?
08A05-02 Existe-t-il une procédure et une clause contractuelle vis-à-vis du personnel de maintenance (interne et externe), spécifiant que tout 4 E2 9.2.4; 9.2.6
support ayant contenu des informations sensibles doit être détruit en cas de mise au rebut ?
08A05-03 Existe-t-il une procédure de vérification de l'intégrité des systèmes après intervention de la maintenance (absence de logiciel 2 E2
espion, absence de cheval de Troie, etc.) ?
08A05-04 La non application des procédures ci-dessus doit-elle obligatoirement faire l'objet d'une dérogation formelle signée par un membre 2 3 E3
de la Direction ?
08A05-05 Les procédures ci-dessus font-elles l'objet d'un audit régulier ? 2 3 C1
08A06 Contrôle de la télémaintenance
08A06-01 En cas de télémaintenance, y a-t-il une procédure d'authentification forte du centre de télémaintenance ? 2 2 E2 11.4.4
08A06-02 En cas de télémaintenance, y a-t-il une procédure d'authentification forte de l'agent de maintenance ? 4 2 E2 11.4.4
08A06-03 Existe-t-il un ensemble de procédures couvrant l'attribution de droits d'utilisation à un nouvel opérateur, le retrait de droits, 2 E3 11.4.4
l'ouverture de droits pour les situations d'urgence ?
08A06-04 Les procédures et protocoles d'échange de conventions secrètes, de stockage, etc. ont-elles été approuvées par le RSSI ou un 4 E3
organisme spécialisé ?
08A06-05 L'utilisation de la ligne de télémaintenance nécessite-t-elle l'agrément de l'exploitation (après que le constructeur ou l'éditeur ait 4 3 E3 11.4.4
envoyé une demande spécifiant la nature, la date et l'heure de l'intervention) ?
08A06-06 Les échanges de commandes et de données lors de la télémaintenance sont-ils protégés par chiffrement ? 4 2 E3

08A06-07 Les échanges de commandes et de données lors de la télémaintenance sont-ils protégés par un contrôle d'intégrité (scellement) ? 4 2 E3

08A06-08 L'utilisation de la ligne de télémaintenance est-elle placée sous contrôle strict ? 4 3 E2


Un contrôle strict suppose un enregistrement de l'utilisation de la ligne, de l'agent de maintenance et des actions effectuées et un
audit, a posteriori, de la pertinence de ces actions et de leur conformité aux attentes des responsables de la maintenance.
08A06-09 Les équipements ouverts à la télémaintenance sont-ils protégés contre toute modification des conditions d'accès à la 2 2 R1
télémaintenance avec émission d'une alarme en cas de violation ?
08A06-10 L'ensemble des procédures de gestion de la télémaintenance fait-il l'objet d'un audit régulier ? 2 3 C1
08A07 Protection des états et rapports imprimés sensibles
08A07-01 Tous les états et rapports sensibles sont-ils imprimés dans des locaux protégés contre des intrusions ? 4 E1
08A07-02 Tous les états et rapports sensibles sont-ils protégés contre les risques de détournement d'état en cours d'élaboration ? 4 3 E1
08A07-03 Tous les états et rapports sensibles sont-ils protégés contre les risques de détournement d'état en attente de diffusion ? 4 3 E1
08A07-04 Les procédures de diffusion des états et rapports imprimés assurent-elles une protection contre les vols (casiers fermés à clé, 4 3 E2
conteneurs sécurisés pendant le transport) ?
08A07-05 Les procédures de diffusion des états et rapports imprimés assurent-elles une protection contre les consultations indiscrètes ? 4 3 E2
08A07-06 Les procédures de diffusion des états et rapports imprimés prévoient-elles une authentification du destinataire avant remise des 4 3 E3
états et rapports ?
08A07-07 Les états et rapports imprimés sont-ils "marqués" anonymement à l'exclusion de toute classification ? 4 E2
08A07-08 Ces mesures de protection sont-elles adaptées à la sensibilité maximale des informations (stockage intermédiaire en armoires 4 E2
fortes et remise en main propre pour les informations très sensibles ) ?
08A07-09 Les états et rapports imprimés sensibles rebutés sont-ils détruits de manière sécurisée rendant impossible leur exploitation ? 4 3 E2

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 137


Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08A07-10 L'ensemble des procédures de diffusion des états et rapports imprimés sensibles fait-il l'objet d'un audit régulier ? 2 3 C1
08A08 Gestion des procédures opérationnelles d'exploitation informatique
08A08-01 Les procédures opérationnelles d'exploitation découlent-elles d'une étude de l'ensemble des cas à couvrir par ces procédures (cas 4 E2 10.1.1
normaux de fonctionnement et incidents) ?
08A08-02 Les procédures opérationnelles d'exploitation sont-elles documentées et maintenues à jour ? 4 E2 10.1.1
08A08-03 Les procédures opérationnelles d'exploitation sont-elles rendues disponibles à toute personne en ayant besoin ? 4 E2 10.1.1
08A08-04 Les modifications de ces procédures d'exploitation sont-elles approuvées par le responsable de l'exploitation ? 4 E2 10.1.1
08A08-05 Ces procédures sont-elles protégées contre des altérations illicites ? 2 R1
08A08-06 L'authenticité et la pertinence des procédures opérationnelles font-elles l'objet d'un audit régulier ? 2 C1
08A09 Gestion des prestataires ou fournisseurs de service liés à la production informatique
08A09-01 S'assure-t-on régulièrement que les services de sécurité devant être mis en œuvre par les prestataires ou fournisseurs de services 4 E1 10.2.1
le sont effectivement ?

08A09-02 S'assure-t-on que les prestataires ou fournisseurs ont effectivement prévu les dispositions nécessaires pour être à même d'assurer 2 E2 10.2.1
les prestations de services convenues ?
08A09-03 Le respect des clauses de sécurité, par les prestataires ou fournisseurs, fait-il l'objet de revues régulières ? 4 C1 10.2.2
08A09-04 S'assure-t-on que les prestataires ou fournisseurs signalent et documentent tout incident de sécurité touchant l'information ou les 4 E2 10.2.2
systèmes ?

08A09-05 Y a-t-il une revue régulière de ces incidents ou des dysfonctionnements avec les prestataires ou fournisseurs concernés ? 2 E2 10.2.2

08A09-06 Tout changement dans les relations contractuelles (obligations diverses, niveaux de service, etc.) fait-il l'objet d'une analyse des 2 E3 10.2.3
risques induits potentiels ?
08B Contrôle des configurations matérielles et logicielles
08B01 Paramétrage des systèmes et contrôle de la conformité des configurations systèmes
08B01-01 Existe-t-il un document (ou un ensemble de documents) ou une procédure opérationnelle spécifiant l'ensemble des paramètres de 4 2 E1
sécurité des systèmes ?
Un tel document doit découler de la politique de sécurité et décrire l'ensemble des règles de filtrage décidées. Il devait également
contenir les références des versions de systèmes pour pouvoir vérifier l'état des mises à jour.

08B01-02 Ce (ou ces) document impose-t-il de supprimer l'ensemble des comptes génériques ou par défaut et en établit-il la liste ? 4 2 E2 11.4.4
08B01-03 Les versions de systèmes et les correctifs à apporter, ainsi que les paramétrages, sont-ils régulièrement mis à jour en fonction de 2 3 E2 10.7.4; 12.6.1
l'état des connaissances ?
Ceci devrait se faire en relation avec un organisme expert (audits spécialisés, abonnement à un centre de service, consultation
régulière des avis des CERTs, etc.).
08B01-04 Ce document ou cette procédure imposent-ils la mise en place d'un dispositif de synchronisation avec un référentiel de temps précis 4 E3 10.10.6
?
08B01-05 Les documents de référence sont-ils protégés contre tout accès indu ou illicite, par des mécanismes forts ? 2 3 R1 10.7.4
08B01-06 L'intégrité des configurations par rapport aux configurations théoriquement attendues est-elle testée très régulièrement (au moins 4 2 E3 15.2.2
hebdomadairement, si ce n'est à chaque initialisation du système) ?
08B01-07 Procède-t-on à des audits réguliers des paramètres de sécurité spécifiés ? 2 R1 15.2.2

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 138


Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08B01-08 Procède-t-on à des audits réguliers des procédures d'exception et d'escalade en cas de difficulté ou de problème d'installation ? 2 R1 15.2.2

08B01-09 Les environnements de développement et de test sont-ils séparés des environnements opérationnels ? 1 C1
08B02 Contrôle de la conformité des configurations applicatives (logiciels et progiciels)
08B02-01 Existe-t-il un document (ou un ensemble de documents) ou une procédure opérationnelle décrivant l'ensemble des paramètres de 4 2 E1
sécurité des applications ?
Ces paramètres doivent dépendre de l'architecture de sécurité applicative retenue.
08B02-02 Ce document est-il mis à jour à chaque changement de version de référence ? 2 2 E2
08B02-03 Ce (ou ces) document impose-t-il de supprimer l'ensemble des comptes génériques ou par défaut et en établit-il la liste ? 4 2 E2
08B02-04 Les versions de systèmes et les correctifs à apporter, ainsi que les paramétrages, sont-ils régulièrement mis à jour en fonction de 2 3 E2 10.7.4; 12.6.1
l'état des connaissances ?
Ceci devrait se faire en relation avec un organisme expert (audits spécialisés, abonnement à un centre de service, consultation
régulière des avis des CERTs, etc.).

08B02-05 Ces documents de référence sont-ils protégés contre tout accès indu ou illicite, par des mécanismes forts ? 4 2 R1 10.7.4
08B02-06 L'intégrité des configurations applicatives par rapport aux configurations théoriquement attendues est-elle testée très régulièrement 4 2 E3 10.7.4; 15.2.2
(hebdomadairement) ?
08B02-07 Procède-t-on à des audits réguliers des paramètres de sécurité spécifiés ? 2 R1 15.2.2
08B02-08 Procède-t-on à des audits réguliers des procédures d'exception et d'escalade en cas de difficulté ? 2 R1 15.2.2
08B03 Contrôle de la conformité des programmes de référence (Sources et exécutables)
08B03-01 La production informatique gère-t-elle une version de référence pour chaque produit mis en exploitation (source et exécutable) ? 4 2 E1 12.4.1
08B03-02 Cette version de référence est-elle protégée contre toute altération ou modification illicite (support signé conservé par un 2 R1
responsable de haut rang, scellement électronique, etc.) ?
08B03-03 Cette protection est-elle considérée comme inviolable (scellement par un algorithme cryptographique approuvé par le RSSI) ? 4 R2
08B03-04 Y a-t-il un contrôle automatique du sceau de protection (ou à défaut d'une signature déposée) à chaque nouvelle installation ? 4 R2
08B03-05 Effectue-t-on un contrôle d'authenticité de l'origine et d'intégrité du contenu lors de la réception d'un module "maintenance" ou d'une 4 E2
nouvelle version du fournisseur de progiciel ou du constructeur (pour les systèmes opératoires) ?
08B03-06 Les utilitaires de scellement sont-ils protégés contre tout usage non autorisé ? 4 R2
08B03-07 L'inhibition du système de contrôle automatique des sceaux de protection déclenche-t-elle une alarme auprès d'un responsable ? 4 E3
08B03-08 Procède-t-on régulièrement à des audits des procédures de protection des programmes de référence ? 4 C1
08C Gestion des supports informatiques de données et programmes
08C01 Administration des supports
08C01-01 Toute sortie de support de la médiathèque est-elle contrôlée par une personne ou un service spécialement chargé de la gestion des 4 E1 10.7.1
supports ?
08C01-02 La restitution des supports après utilisation par la production est-elle contrôlée par cette personne ou ce service ? 4 E2 10.7.1
08C01-03 La sortie des supports de la médiathèque est-elle systématiquement enregistrée (date et heure, personne responsable du média, 4 E2 10.7.1
etc.) ?
08C01-04 La mise au rebut des supports est-elle systématiquement enregistrée (date et heure, personne responsable du média, etc.) ? 4 E2 10.7.1; 10.7.2
08C01-05 Existe-t-il une procédure d'effacement des données avant mise au rebut ou recyclage des supports ? 1 E3 10.7.1; 9.2.6
08C01-06 Les manquants éventuels font-ils systématiquement l'objet d'une procédure de recherche avec établissement d'un tableau de suivi 4 E2
faisant partie du tableau de bord de l'exploitation ?

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 139


Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08C01-07 Les entrées/sorties de supports de la "médiathèque" sont-elles contrôlées (automatiquement ou indirectement) en rapport avec la 4 E3
planification de la production ?
08C01-08 Les fichiers soutenant la gestion des supports sont-ils sous contrôle strict ? 4 2 R1
Un contrôle strict requiert que la liste des personnes habilitées à accéder aux fichiers soit très limitée, qu'il existe un contrôle
d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.

08C01-09 Les processus qui assurent la gestion des supports sont-ils sous contrôle strict ? 4 3 C1
Un contrôle strict requiert que le logiciel applicatif éventuellement utilisé ait été validé et subisse régulièrement un test d'intégrité
(sceau) et qu'il existe un audit au moins annuel des procédures et processus de gestion des supports (y compris de la gestion des
anomalies détectées lors de la gestion des supports).
Cela suppose également qu'il existe un document rappelant l'ensemble des exigences concernant la gestion des supports.

08C02 Marquage des supports de production (vivants, sauvegardes et archives)


08C02-01 Les supports magnétiques sont-ils "marqués" anonymement à l'exclusion de toute classification ? 4 E1
08C02-02 Les fichiers soutenant le marquage anonyme des supports (fichiers faisant le lien entre un numéro de support et un contenu) sont-ils 4 2 E2
sous contrôle strict ?
Un contrôle strict requiert que la liste des personnes habilitées à accéder aux fichiers soit très limitée, qu'il existe un contrôle
d'accès renforcé pour pouvoir y accéder et les modifier, et que les modifications soient journalisées et auditées.

08C02-03 Les processus qui assurent la gestion du marquage des supports sont-ils sous contrôle strict ? 4 3 C1
Un contrôle strict requiert que le logiciel applicatif éventuellement utilisé ait été validé et subisse régulièrement un test d'intégrité
(sceau) et qu'il existe un audit au moins annuel des procédures et processus de gestion du marquage des supports (y compris de la
gestion des anomalies détectées).
Cela suppose également qu'il existe un document rappelant l'ensemble des exigences concernant le marquage des supports.

08C03 Sécurité physique des supports stockés sur site


08C03-01 Utilise-t-on un système automatique de contrôle d'accès systématique aux locaux de stockage des supports de production sur site ? 4 E1

08C03-02 L'authentification, pour le contrôle d'accès aux locaux de stockage des supports de production, fait-elle appel à des moyens 4 3 E2
infalsifiables détenus par l'utilisateur (carte à puce ou reconnaissance biométrique, par exemple) ?
08C03-03 Le système de contrôle d'accès garantit-il un contrôle exhaustif de toute personne entrant dans les locaux de stockage (sas ne 4 3 E2
permettant le passage que d'une personne à la fois, processus interdisant l'utilisation du même badge par plusieurs personnes, etc.)
?
08C03-04 Assure-t-on, en complément du contrôle d'accès par les issues normales, le contrôle des accès par les autres issues : contrôle des 4 3 E3
fenêtres accessibles depuis l'extérieur, contrôle des issues de secours, contrôle des accès potentiels par les faux planchers et faux
plafonds ?
08C03-05 Les systèmes automatiques de contrôle d'accès aux locaux de stockage sont-ils placés sous contrôle permanent opérationnel 2 2 R1
24h/24 permettant de diagnostiquer une panne, une désactivation ou l'utilisation d'issues de secours en temps réel ?

08C03-06 Existe-t-il un processus d'audit permettant de détecter, a posteriori, des anomalies dans les processus de contrôle d'accès (audit 2 3 C1
des procédures et du paramétrage des systèmes de contrôle d'accès, audit des procédures d'exception et d'intervention, etc.) ?

08C03-07 A-t-on un système opérationnel de détection des intrusions dans les locaux de stockage relié à un poste permanent de 4 2 R2
surveillance ?

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 140


Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08C03-08 Les locaux de stockage des supports de production sur site sont-ils placés sous une surveillance permanente (télésurveillance du 4 3 R2
local lui-même) ?
08C03-09 Le transfert entre les locaux de la production et les locaux de stockage des supports sur site est-il strictement contrôlé (procédures 2 E2
spécifiques, accompagnement ou conteneur sécurisé, etc.) ?
08C03-10 Les locaux de stockage des supports de production sont-ils protégés contre tout risque accidentel (détection et extinction incendie, 4 E2
protection contre les dégâts des eaux, etc.) ?
08C03-11 Les locaux de stockage des supports de production sont-ils surveillés et régulés en température et hygrométrie, en accord avec les 4 E2 10.7.1
spécifications des fournisseurs ?

08C03-12 Les systèmes automatiques de détection d'incendie, de dégâts des eaux ou de régulation d'ambiance sont-ils placés sous contrôle 2 2 R1
permanent opérationnel 24h/24 permettant de diagnostiquer une panne, une désactivation ou une alarme en temps réel ?
08C03-13 Y a-t-il une procédure ou des automatismes permettant de déclencher l'intervention immédiate d'un personnel spécialisé en cas 2 2 C1
d'alarme (du système de contrôle d'accès automatique ou d'une détection d'incident) ?

08C04 Sécurité physique des supports externalisés (stockés dans un site externe)
08C04-01 Utilise-t-on une société spécialisée dans le stockage des supports d'archives ou de sauvegardes externalisées offrant des garanties 4 E1
contractuelles de sécurité ?
08C04-02 Les clauses contractuelles signées avec la société assurant la prestation de stockage externalisé assurent-elles un haut niveau de 4 3 E2
sécurité du stockage (authentification forte pour les accès, contrôle des issues annexes et de secours, détection d'intrusion,
télésurveillance, protection contre les risques naturels, équipe d'intervention, etc.) ?
08C04-03 Lors du transfert de données sensibles sur support informatique pour stockage externe, existe-t-il une procédure imposant des 4 E2 10.8.3
conteneurs haute sécurité et des convoyeurs accrédités par l'entreprise ?
08C04-04 Les clauses contractuelles ou une procédure annexe précisent-elles les conditions de rappel ou de restitution des supports stockés 4 E3
garantissant que la personne à laquelle sont restitués les supports en a bien l'autorisation, ceci même en cas de procédure
d'urgence ?
08C04-05 Procède-t-on périodiquement à un audit des mesures de sécurité utilisées par la société assurant le stockage externe des archives 2 3 C2
et sauvegardes ?
08C04-06 Procède-t-on périodiquement à un audit des procédures de gestion des supports (transport et restitution) ? 2 3 C1
08C04-07 Procède-t-on périodiquement à un audit des clauses contractuelles régissant les rapports avec la société assurant le stockage 2 3 C1
externe des archives et sauvegardes ?
08C05 Vérification et rotation des supports d'archivage
08C05-01 Les supports informatiques devant avoir une durée de conservation longue (archives) sont-ils vérifiés régulièrement (en fonction de 4 E2
la périodicité de mise à jour et de la classification des informations) ?
08C05-02 Les supports informatiques devant avoir une durée de conservation longue (archives) sont-ils recopiés sur des supports neufs 4 E2
périodiquement avec tenue à jour d'un inventaire, ou avec redondance des supports ?
08C05-03 Vérifie-t-on régulièrement la compatibilité technique des supports archivés avec les moyens de restitution opérationnels ? 2 E3
08C05-04 Procède-t-on périodiquement à des tests de relecture des supports d'archivage ? 4 E2
08C05-05 Les tests de relecture comprennent-ils des tests d'authenticité des informations stockées ? 4 E3
08C05-06 Les fichiers soutenant la gestion des rotations et prélèvements sont-ils sous contrôle strict ? 4 3 R2
Un contrôle strict requiert que la liste des personnes habilitées à accéder aux fichiers soit très limitée, qu'il existe un contrôle
d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.

08C05-07 L'ensemble des procédures concernant la vérification des supports d'archivage fait-il l'objet d'un audit régulier ? 2 3
08C06 Sécurité des réseaux de stockage (SAN : Storage Area Network)
08C06-01 Les réseaux de stockage sont-ils isolés, physiquement ou logiquement, des autres réseaux de données ? 4 E1

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 141


Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08C06-02 Les réseaux de stockage sont-ils protégés par un pare-feu ne laissant passer que les flux de stockage et les flux d'administration ? 4 2 E1
08C06-03 L'accès aux équipements de stockage fait-il l'objet d'une authentification forte des éléments autorisés (serveurs et stations 4 3 E2
d'administration) ?
08C06-04 Les protocoles de stockage de données comportent-ils une protection contre le rejeu ? 2 E3
08C06-05 Les données stockées via les réseaux de stockage (SAN) sont-elles chiffrées avant leur transmission sur ces réseaux ? 4 3 E3 12.3.1
08C06-06 Les solutions de protection des accès aux données stockées sur les réseaux de stockage (SAN) offrent-elles des garanties de 2 2 E2
solidité dignes de confiance ?
Un processus cryptographique avec une longueur de clés suffisante pour l'authentification forte ou le chiffrement des données est
un des paramètres à prendre en compte, mais bien d'autres paramètres également. La recommandation d'un organisme officiel peut
être un facteur de confiance. A défaut la solution devrait être approuvée par le RSSI.

08C06-07 Les mécanismes de sécurité des accès aux données sont-ils très solidement protégés contre toute violation ou altération ? 4 3 R1

08C06-08 La mise hors service ou le contournement des dispositifs de sécurité sont-ils immédiatement détectés et signalés à une équipe 4 2 R1
responsable ?
08C06-09 Cette équipe est-elle disponible en permanence ou sur appel (sous astreinte) et capable d'engendrer une réaction immédiate ? 4 2 R1
08C06-10 Existe-t-il une procédure précisant la conduite à tenir en cas d'erreur ou d'alerte ? 3 C1
08C07 Sécurité physique des médias en transit
08C07-01 Les transferts de médias entre sites (internes ou externes) sont-ils strictement contrôlés (procédures spécifiques, accompagnement 2 E1 10.8.3
ou conteneur sécurisé, etc.) ?
08C07-02 Les médias en transit sont-ils "marqués" anonymement à l'exclusion de toute classification ? 4 E2
08C07-03 Toute anomalie ou perte de média est-elle immédiatement signalée ? 2 E2
08C07-04 Toute anomalie ou perte de média est-elle immédiatement suivie d'une enquête ? 2 E2
08C07-05 Les procédures de transfert de médias sont-elles régulièrement auditées ? 2 3 C1
08D Continuité de fonctionnement
08D01 Organisation de la maintenance du matériel (équipements) en exploitation
08D01-01 Tous les matériels sont-ils couverts par un contrat de maintenance ? 2 E1 9.2.4
08D01-02 Existe-t-il des contrats de maintenance particuliers pour tous les matériels demandant une forte disponibilité dont la réparation ou le 4 E2
remplacement ne pourrait s'effectuer dans des délais acceptables ?
08D01-03 Ces contrats prévoient-ils des engagements d'intervention dont la durée maximale est fixée au contrat et compatible avec les 4 2 E2
exigences de disponibilité ?
08D01-04 Ces contrats prévoient-ils des horaires et jours d'intervention (24h/24, 7j/7, par exemple ) compatibles avec les exigences de 4 2 E3
disponibilité ?
08D01-05 Ces contrats prévoient-ils les conditions d'escalade en cas de difficulté d'intervention ? 4 3 R1
08D01-06 Ces contrats prévoient-ils des clauses spécifiques lorsque l'indisponibilité du matériel dépasse la durée fixée au contrat (pénalités, 4 3 E3
remplacement du matériel, etc.) ?
Il est souhaitable que ces clauses soient générales et couvrent tous les cas sans exception (difficulté technique, grève du personnel,
etc.).

08D01-07 Les contrats de maintenance prévoient-ils le remplacement complet des équipements en cas d'endommagement important non 4 E3
susceptible d'être pris en charge par une maintenance curative ?
08D01-08 Les contrats de maintenance, le choix des prestataires et les procédures de maintenance associées font-ils l'objet d'un audit régulier 2 3 C1
?

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 142


Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08D02 Organisation de la maintenance du logiciel (système, logiciel de couche intermédiaire et progiciel applicatif)
08D02-01 Existe-t-il des contrats de maintenance pour tous les produits logiciels provenant de sources externes installés (logiciels systèmes, 4 E1
middleware, progiciels applicatifs) ?
08D02-02 Les fournisseurs disposent-ils d'un centre technique de support logiciel garantissant une assistance téléphonique rapide et 2 E2
compétente ?
08D02-03 Les contrats de maintenance logiciel prévoient-ils la mise à disposition périodique de nouvelles versions prenant en compte toutes 4 E2
les corrections apportées au produit ?
08D02-04 Existe-t-il des contrats de maintenance particuliers pour tous les logiciels (systèmes, middleware et progiciels) demandant une 4 E2
disponibilité telle que la maintenance courante ne pourrait s'effectuer dans des délais acceptables ?
08D02-05 Ces contrats prévoient-ils des engagements d'intervention dont la durée maximale est compatible avec les exigences de 4 2 E2
disponibilité ?
08D02-06 Ces contrats prévoient-ils des horaires et jours d'intervention (24h/24, 7j/7, par exemple ) compatibles avec les exigences de 4 2 E3
disponibilité ?
08D02-07 Ces contrats prévoient-ils les conditions d'escalade en cas de difficulté d'intervention ? 4 3 R1
08D02-08 Ces contrats prévoient-ils des clauses spécifiques lorsque l'indisponibilité du système dépasse la durée fixée au contrat (pénalités, 4 3 E3
remplacement du matériel, etc.) ?
Il est souhaitable que ces clauses soient générales et couvrent tous les cas sans exception (difficulté technique, grève du personnel,
etc.)

08D02-09 Les contrats de maintenance, le choix des prestataires et les procédures de maintenance associées font-ils l'objet d'un audit régulier 2 3 C1
?
08D03 Procédures et plans de reprise des applications sur incidents d'exploitation
08D03-01 A-t-on établi, pour chaque application, une liste des incidents pouvant intervenir en cours d'exploitation et a-t-on analysé, pour 4 E1
chacun d'eux, la criticité des conséquences possibles ?
Les conséquences critiques peuvent être la cohérence des données ou la continuité du service.

08D03-02 A-t-on établi, pour chaque incident d'exploitation, les moyens de diagnostic correspondants ? 4 E2
08D03-03 A-t-on établi, pour chaque incident critique d'exploitation, la solution à mettre en oeuvre ainsi que les opérations à mener par le 4 E2
personnel d'exploitation ?
08D03-04 A-t-on défini, pour chaque incident d'exploitation, un délai de résolution et une procédure d'escalade en cas d'insuccès ou de retard 2 E3
des mesures prévues ?
08D03-05 Les moyens de diagnostic nécessaires à l'intervention du personnel d'exploitation sont-ils protégés contre toute inhibition ou 2 3 R1
altération non justifiées ?
08D03-06 Les moyens nécessaires à l'intervention du personnel d'exploitation pour résoudre tout incident critique d'exploitation sont-ils 2 3 R2
protégés contre toute inhibition ou altération non justifiées ?
08D03-07 S'assure-t-on régulièrement de l'efficacité réelle des procédures et des moyens de surveillance et de diagnostic du bon 2 C1
fonctionnement des applications ?
08D03-08 S'assure-t-on régulièrement de la mise à jour de la documentation d'exploitation correspondante ? 2 C2
08D03-09 S'assure-t-on régulièrement des possibilités réelles de restauration des données et de reprise du service en cas d'incident 2 3 C1
d'exploitation ?
08D03-10 Pour la récupération des données chiffrées, la gestion des clés prévoit-elle la récupération des clés perdues ou altérées ? 2 E3 12.3.2
08D04 Sauvegarde des configurations logicielles (logiciels de base et applicatifs et paramètres de configuration)
08D04-01 A-t-on établi un plan de sauvegarde, couvrant l'ensemble des programmes et définissant les objets à sauvegarder et la fréquence 4 E1 10.5.1
des sauvegardes ?
08D04-02 Ce plan couvre-t-il également les paramètres de configuration des logiciels systèmes et des logiciels de couches intermédiaires ? 4 3 E2 10.5.1

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 143


Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08D04-03 Ce plan couvre-t-il également les paramètres de configuration des applications ? 4 3 E2 10.5.1
08D04-04 Ce plan de sauvegarde est-il traduit en automatismes de production ? 2 3 E2 10.5.1
08D04-05 Teste-t-on régulièrement que les sauvegardes des programmes (sources et/ou exécutables) permettent effectivement de 4 2 E2 10.5.1; 14.1.5
reconstituer à tout moment l'environnement de production ?
On prendra en compte, pour ces tests, l'ensemble des sauvegardes (y compris documentation et fichiers de paramétrages) à
l'exclusion des éléments ne faisant pas l'objet de sauvegardes.
08D04-06 Les automatismes de production assurant les sauvegardes sont-ils protégés par des mécanismes de haute sécurité contre toute 4 3 R1 10.5.1
modification illicite ou injustifiée ?
Un tel mécanisme pourrait être un scellement électronique ou tout système de détection de modification équivalent.

08D04-07 Procède-t-on régulièrement à des tests de relecture des sauvegardes ? 2 3 R2 10.5.1


08D04-08 L'ensemble des procédures et plans de sauvegarde des logiciels fait-il l'objet d'un audit régulier ? 2 3 C1
08D05 Sauvegarde des données applicatives
08D05-01 A-t-on procédé, avec les utilisateurs, à une étude préliminaire afin d'identifier les scénarios que les sauvegardes doivent permettre 1 E1 10.5.1
de surmonter ?
08D05-02 A-t-on fait une étude avec l'ensemble des utilisateurs afin de définir pour chaque fichier la durée maximale admissible entre deux 2 E1 10.5.1
sauvegardes ?
Cette étude qui se base sur la capacité de reconstitution des informations perdues permet de définir le cycle de sauvegarde
minimum.
08D05-03 A-t-on étudié les synchronismes nécessaires entre différentes sauvegardes, toutes plates-formes confondues, pour assurer le bon 2 E1 10.5.1
fonctionnement de la reprise des applications et la cohérence des données nécessaire à cette reprise ?
08D05-04 Les différentes procédures issues des études faites sont-elles consignées dans un plan de sauvegardes comprenant, pour chaque 4 2 E2 10.5.1
classe de fichiers, la fréquence, les modalités de constitution et les synchronismes nécessaires ?
08D05-05 Le plan de sauvegarde comprend-il un plan de contrôle indiquant les différents contrôles à effectuer et leur fréquence (volumétrie, 2 E3 10.5.1
durée, relecture, etc.) ?
08D05-06 Ce plan de contrôle indique-t-il la conduite à tenir en cas d'incident ou d'anomalie ? 2 E3 10.5.1
08D05-07 Le plan de sauvegarde est-il mis à jour à chaque changement de contexte d'exploitation ? 2 E2 10.5.1
On veillera, en particulier, à ce qu'il soit bien mis à jour à chaque création ou modification d'applications.
08D05-08 Ce plan de sauvegarde est-il traduit en automatismes de production ? 2 E2 10.5.1
08D05-09 Contrôle-t-on régulièrement qu'une reprise ou un redémarrage est effectivement possible à partir des sauvegardes réalisées (test 4 2 E2 10.5.1; 14.1.5
complet vérifiant le fonctionnement d'ensemble et l'absence de problème de synchronisme ou de cohérence) ?
08D05-10 Les automatismes de production assurant les sauvegardes sont-ils strictement contrôlés vis-à-vis de toute modification illicite ou 4 3 R1 10.5.1
injustifiée ?
Un contrôle strict requiert une protection renforcée pour pouvoir modifier ces automatismes et un enregistrement et un audit de toute
modification des automatismes de sauvegarde ou un contrôle par scellement électronique de toute modification.

08D05-11 Les procédures de sauvegarde et de conservation des données offrent-elles des garanties de conformité aux régulations et aux 1 E3 10.5.1
engagements de l'organisation en ce qui concerne la confidentialité et l'intégrité ?
08D05-12 Procède-t-on régulièrement à des tests de relecture des sauvegardes des données applicatives ? 2 3 E2 10.5.1
08D05-13 Dispose-t-on systématiquement de plusieurs générations de fichiers afin de pouvoir s'affranchir d'un manque ou d'un illisible, en 4 E3 10.5.1
organisant par exemple une rotation des supports de sauvegarde ?
08D05-14 L'ensemble des procédures et plans de sauvegarde de données fait-il l'objet d'un audit régulier ? 2 3 C1
08D06 Plans de Reprise d'Activité des services informatiques

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 144


Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08D06-01 A-t-on identifié précisément les scénarios de sinistre pouvant affecter l'infrastructure et les services informatiques et analysé, pour 4 E1 14.1.3
chaque scénario, ses conséquences en termes de services non rendus aux utilisateurs ?
08D06-02 A-t-on défini, pour chaque scénario et en accord avec les utilisateurs, un échéancier des services informatiques minimum à assurer 4 2 E2 14.1.3
en fonction du temps ?
Les pertes d'information, les moyens de les reconstituer et les procédures opérationnelles intérimaires doivent être considérées.

08D06-03 A-t-on défini et mis en place, en conséquence et pour faire face à chaque scénario retenu, une solution de secours respectant les 4 2 E1 14.1.3
demandes des utilisateurs ?
08D06-04 Les ressources organisationnelles, techniques et humaines sont-elles suffisantes pour satisfaire les exigences de continuité 4 E2 14.1.3
informatique de l'organisation ?
Il faudra veiller à introduire des moyens permettant de pallier à des défaillances en personnel.
08D06-05 Les ressources organisationnelles et humaines sont-elles formées afin de pouvoir satisfaire les exigences de continuité informatique 4 E2 14.1.3
de l'organisation ?
Il faudra veiller à former tous les acteurs concernés.

08D06-06 Les solutions de continuité des services informatiques sont-elles décrites en détail dans des Plans de Reprise d'Activité incluant les 4 E1 14.1.3
règles de déclenchement, les actions à mener, les priorités, les acteurs à mobiliser et leurs coordonnées ?

08D06-07 Ces plans sont-ils testés au moins une fois par an ? 4 2 E2 14.1.5
08D06-08 Les tests effectués permettent-ils de garantir la capacité des personnels et des systèmes de secours à assurer, en pleine charge 4 3 E2 14.1.5
opérationnelle, les services informatiques minimum demandés par les utilisateurs ?
Les tests requis pour obtenir cette garantie reposent généralement sur des essais en vraie grandeur impliquant l'ensemble des
utilisateurs et pour chaque variante de scénario. Les résultats des tests doivent être consignés et analysés afin d'améliorer les
capacités de l'organisation à répondre aux situations envisagées.

08D06-09 Si les solutions de secours incluent des livraisons de matériels, qui ne peuvent être déclenchées lors des tests, existe-t-il un contrat 4 2 E2
d'engagement de livraison des matériels de remplacement dans des délais fixés et prévus au plan de secours, par le constructeur
ou un tiers (revendeur, loueur ou fournisseur d'équipement) ?
08D06-10 Pour le cas de défaillance ou d'indisponibilité du moyen de secours, est-il prévu une solution de remplacement (secours de 2 3 E2
deuxième niveau) ?
08D06-11 Cette solution (secours de deuxième niveau) a-t-elle été testée ? 2 3 E3
08D06-12 La solution de secours est-elle utilisable pour une durée illimitée ou, à défaut, est-il prévu une deuxième solution venant en 2 3 E3
remplacement de la première après un temps déterminé ?
08D06-13 L'existence, la pertinence et la mise à jour des plans de reprise d'activité des services informatiques font-elles l'objet d'un audit 2 3 C1
régulier ?
08D06-14 La mise à jour des procédures citées dans le plan de secours fait-elle l'objet d'un audit régulier ? 2 3 C1
08D07 Protection antivirale des serveurs de production
08D07-01 A-t-on défini les actions à mener par le personnel informatique, pour prévenir, détecter et corriger les attaques par des codes 2 3 E2 10.4.1
malveillants (virus, spyware, autres) ?
08D07-02 Les serveurs de production (incluant la bureautique et la messagerie) sont ils pourvus de dispositifs de protection contre les virus et 4 E1 10.4.1
contre les codes malveillants ?
08D07-03 Utilise-t-on, sur les serveurs de production, des antivirus provenant de plusieurs fournisseurs ? 4 E2
08D07-04 Les produits antivirus sont-ils régulièrement (quotidiennement) et automatiquement mis à jour ? 4 2 E2
08D07-05 Est-on abonné à une centrale d'alerte permettant d'être prévenu et d'anticiper certaines attaques massives pour lesquelles les 4 3 E3
antivirus ne sont pas encore à jour ?

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 145


Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08D07-06 Existe-t-il une cellule de crise pouvant être mise en place très rapidement en cas d'alerte ou de détection d'infection ? 4 3 E2
08D07-07 L'activation et la mise à jour des antivirus sur les serveurs font-elles l'objet d'un audit régulier ? 2 3 C1
08D08 Gestion des systèmes critiques (vis-à-vis de la permanence de la maintenance)
08D08-01 A-t-on analysé les conséquences de la disparition d'un fournisseur (en cas de panne, de bogue ou de nécessité d'évolution) pour en 2 E2
déduire une liste de systèmes critiques ?
Ceci vaut aussi bien pour les fournisseurs de matériel que de logiciels ou de services.
08D08-02 Existe-t-il, pour l'ensemble des systèmes critiques, une solution palliative étudiée pour faire face à la disparition ou la défaillance du 2 E2
fournisseur (dépôt de la documentation de maintenance ou du code source chez un tiers de confiance, remplacement du système
par des systèmes standards, etc.) ?
08D08-03 A-t-on l'assurance que cette solution palliative pourra être rendue opérationnelle dans des délais compatibles avec la poursuite de 2 2 E2
l'activité et acceptés par les utilisateurs ?
08D08-04 A-t-on prévu des variantes de la solution de base au cas où celle-ci rencontrerait des difficultés imprévues ? 2 3 E3
08D08-05 Procède-t-on régulièrement à une revue des systèmes pouvant être critiques et des solutions palliatives prévues ? 2 3 C1
08D09 Sauvegardes de secours (recours) externalisées
08D09-01 L'ensemble des sauvegardes de logiciels et fichiers de configuration permettant de reconstituer l'environnement de production est-il 4 3 E1
également sauvegardé en dehors du site de production (sauvegardes de secours) ?
08D09-02 L'ensemble des sauvegardes de données est-il également stocké en dehors du site de production (sauvegardes de secours) ? 4 2 E1
08D09-03 Procède-t-on régulièrement à des tests de relecture des sauvegardes de secours ? 2 3 E2
08D10 Maintien des comptes d'accès
08D10-01 A-t-on défini, avec les utilisateurs, les délais maximum admissibles pour le rétablissement de leurs droits, en cas de blocage, 4 E1
accidentel ou non, de leurs de comptes (applicatifs, systèmes ou réseaux) ?
08D10-02 A-t-on défini la procédure a suivre en cas de blocage de compte ?. 4 E2
08D10-03 Cette procédure est-elle connue de tous les utilisateurs ? 2 E2
08D10-04 Cette procédure permet-elle de respecter les délais maximum admissibles en cas de bocages isolés de quelques comptes (attaque 2 2 E2
en déni de service) ?
08D10-05 A-t-on pris en compte la possibilité de blocage simultané de nombreux comptes ? 4 3 E3
08D10-06 A-t-on défini avec les utilisateurs le processus à mettre en œuvre en cas de bocage simultané de nombreux comptes ? 4 3 E3
08D10-07 Les mesures relatives aux maintien des comptes utilisateurs font-elles l'objet d'un audit régulier ? 2 2 C1
08E Gestion et traitement des incidents
08E01 Détection et traitement (en temps réel) des anomalies et incidents d'exploitation
08E01-01 A-t-on analysé les événements ou successions d'événements pouvant être révélateurs de comportements anormaux ou d'actions 4 E2
illicites et a-t-on mis en place des points ou indicateurs de surveillance en conséquence ?
08E01-02 Le système dispose-t-il d'une fonction automatique de surveillance en temps réel en cas d'accumulation d'événements anormaux 4 E3
(par exemple tentatives infructueuses de connexion sur stations voisines ou sur des transactions sensibles) ?
08E01-03 Existe-t-il une application capable d'analyser les diagnostics individuels d'anomalie et de déclencher une alerte à destination du 4 E3
personnel d'exploitation ?
08E01-04 Existe-t-il, parmi le personnel d'exploitation, une équipe permanente ou disponible sur appel (astreinte) capable de réagir en cas 4 2 E3
d'alerte de la détection d'anomalie ?
08E01-05 A-t-on défini, pour chaque cas d'alerte, la réaction attendue de l'équipe d'intervention et sa disponibilité est-elle suffisante pour faire 4 E3
face à cette attente ?
08E01-06 Les paramètres définissant les alarmes sont-ils strictement protégés (droits limités et authentification forte) contre tout changement 4 3 R1
illicite ?
08E01-07 Tout arrêt du système d'alerte déclenche-t-elle une alarme auprès de l'équipe de surveillance ? 4 3 R1

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 146


Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08E01-08 Existe-t-il un archivage (sur disque, cassette, DON, etc.) de tous les éléments ayant permis de détecter une anomalie ou un incident 2 E2
?

08E01-09 Les procédures de détection d'anomalies et la disponibilité de l'équipe de surveillance font-elles l'objet d'un audit régulier ? 2 3 C1
08E02 Surveillance, en temps différé, des traces, logs et journaux
08E02-01 A-t-on fait une analyse approfondie des événements ou successions d'événements pouvant avoir un impact sur la sécurité 2 E1
(connexions refusées, reconfigurations, évolutions de performances, accès à des informations ou des outils sensibles, etc.) ?
08E02-02 Enregistre-t-on ces événements ainsi que tous les paramètres utiles à leur analyse ultérieure ? 4 E1
08E02-03 Existe-t-il une application capable d'analyser ces enregistrements ainsi que les mesures de performances, d'en déduire des 4 2 3 E2
statistiques, un tableau de bord et des diagnostics d'anomalies examinés par une structure ad hoc ?
08E02-04 La structure chargée d'analyser ces éléments de synthèse (ou éventuellement les journaux des incidents, et événements liés à la 4 E2
sécurité) a-t-elle l'obligation de le faire à période fixe et déterminée et a-t-elle la disponibilité suffisante ?
08E02-05 A-t-on défini pour chaque cas d'alerte, la réaction attendue de l'équipe de surveillance et sa disponibilité est-elle suffisante pour faire 4 E3
face à cette attente ?
08E02-06 Les paramètres définissant les éléments à enregistrer et les synthèses effectuées sur ces éléments sont-ils strictement protégés 4 R1
(droits limités et authentification forte) contre tout changement illicite ?
08E02-07 Tout arrêt du système d'enregistrement et de traitement des enregistrements déclenche-t-elle une alarme auprès de l'équipe de 4 R1
surveillance ?
08E02-08 Les enregistrements ou les synthèses sont-ils conservés sur une longue durée ? 2 E2
08E02-09 Les procédures d'enregistrement, de traitement des enregistrements et d'analyse des synthèses ainsi que la disponibilité de l'équipe 2 C1
d'analyse et d'intervention font-elles l'objet d'un audit régulier ?
08E03 Gestion et traitement des incidents systèmes et applicatifs
08E03-01 Y a-t-il une équipe (hot line) chargée de recueillir les appels et de signaler et d'enregistrer tous les incidents ? 2 E1
08E03-02 Cette équipe (hot line) est-elle accessible en permanence ? 2 E2
08E03-03 Y a-t-il un système soutenant la gestion des incidents ? 1 E2
08E03-04 Ce système centralise-t-il et prend-il en compte aussi bien les incidents détectés par l'exploitation que ceux signalés par les 4 2 E2
utilisateurs ?
08E03-05 Ce système permet-il un suivi et une relance automatiques des actions nécessaires ? 4 E3
08E03-06 Ce système incorpore-t-il une typologie des incidents avec élaboration de statistiques et de tableau de bord des incidents à 4 E3
destination du RSSI ?
08E03-07 Le système de gestion d'incidents est-il strictement contrôlé vis-à-vis de toute modification illicite ou injustifiée ? 4 3 R1
Un contrôle strict requiert une protection renforcée pour pouvoir modifier un enregistrement et un audit de toute modification des
enregistrements ou un contrôle par scellement électronique de toute modification.

08E03-08 Chaque incident système ou applicatif majeur fait-il l'objet d'un suivi spécifique (nature et description, priorité, solutions techniques, 4 E2 13.2.2
études en cours, délai prévu de résolution, etc.) ?
08F Contrôle des droits d'administration
08F01 Gestion des attributions de droits privilégiés sur les systèmes (droits d'administrateur)
08F01-01 A-t-on défini, au sein de la production informatique, des profils correspondant à chaque type d'activité (administration systèmes, 1 E1 10.1.3; 11.2.2
administration d'équipement de sécurité, pilotage de la production, opérations de gestion de supports et sauvegardes, etc.) ?
08F01-02 A-t-on défini, pour chaque profil, les droits privilégiés nécessaires ? 4 2 E1 10.1.3
08F01-03 La procédure d'attribution de droits privilégiés nécessite-t-elle l'accord formel de la hiérarchie (ou du responsable de la prestation 4 2 E2 10.1.3
pour un prestataire) à un niveau suffisant ?
08F01-04 La procédure d'attribution de droits privilégiés n'est-elle attribuée qu'en fonction du profil du titulaire ? 4 2 E2 10.1.3

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 147


Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08F01-05 Le processus d'attribution (ou modification ou retrait) de droits privilégiés à un individu est-il strictement contrôlé ? 4 2 3 R1 11.2.2
Un contrôle strict requiert une reconnaissance formelle de la signature (électronique ou non) du demandeur, qu'il existe un contrôle
d'accès très renforcé pour pouvoir attribuer ou modifier de tels droits, et que les modifications d'attributions de droits privilégiés
soient journalisées et auditées.

08F01-06 Y a-t-il un processus d'invalidation systématique des droits privilégiés lors de départs ou mutations de personnel ? 2 E2 11.2.4
08F01-07 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits privilégiés attribués ? 1 2 C1 11.2.4
08F02 Authentification et contrôle des droits d'accès des administrateurs et personnels d'exploitation
08F02-01 Le protocole d'authentification des administrateurs ou possesseurs de droits privilégiés est-il considéré comme "fort" ? 4 4 E2
Un protocole d'authentification est considéré comme fort s'il n'est pas susceptible d'être mis en brèche par une observation ou une
écoute de réseau, ni mis en défaut par des outils de spécialistes (en particulier des outils de craquage de mots de passe). Il s'agit de
protocole s'appuyant généralement sur des procédés cryptologiques.

08F02-02 À défaut, s'il s'agit de mots de passe, les règles imposées peuvent-elles être considérées comme très strictes ? 2 E2
Des règles très strictes supposent des mots de passe non triviaux et testés comme tels avant acceptation, des mélanges de
différents types de caractères avec une longueur importante (10 caractères ou +). Il est souhaitable que de telles règles soient
élaborées en accord avec le RSSI.

08F02-03 Y a-t-il un contrôle systématique des droits de l'administrateur, de son contexte et de l'adéquation de ces droits et du contexte avec 4 E2
l'accès demandé, en fonction de règles de contrôle d'accès formalisées ?

08F02-04 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2 R1


Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des authentifiants, les
authentifiants eux-mêmes, les règles de surveillance des tentatives de connexion, etc. soit très limitée, qu'il existe un contrôle
d'accès renforcé pour procéder à ces modifications, que les modifications soient journalisées et auditées et qu'il existe un audit
général au moins annuel de l'ensemble des paramètres de l'authentification.

08F02-05 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3 R1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus de l'authentification.

08F02-06 Existe-t-il un audit régulier des profils privilégiés effectivement attribués ? 4 3 C1 11.2.4

08F02-07 Existe-t-il un audit régulier des procédures d'attribution de profils privilégiés et des paramètres de sécurité de protection des profils 4 3 C1
et des droits ?
08F03 Surveillance des actions d'administration des systèmes
08F03-01 A-t-on fait une analyse approfondie des événements ou successions d'événements menés avec des droits d'administration et 2 E2 10.10.4; 10.6.1
pouvant avoir un impact sur la sécurité (configuration des systèmes de sécurité, accès à des informations sensibles, utilisation
d'outils sensibles, téléchargement ou modification d'outils d'administration, etc.) ?
08F03-02 Enregistre-t-on ces événements ainsi que tous les paramètres utiles à leur analyse ultérieure ? 4 E2 10.10.4; 10.6.1
08F03-03 Existe-t-il un système permettant de détecter toute modification ou suppression d'un enregistrement passé et de déclencher une 4 2 E3 10.10.4
alerte immédiate auprès d'un responsable ?
08F03-04 Existe-t-il une synthèse de ces enregistrements permettant à la hiérarchie de détecter des comportements anormaux ? 4 3 E3 10.10.4
08F03-05 Existe-t-il un système permettant de détecter toute modification des paramètres d'enregistrement et de déclencher une alerte 4 2 E3 10.10.4
immédiate auprès d'un responsable ?
08F03-06 Tout arrêt du système d'enregistrement et de traitement des enregistrements déclenche-t-elle une alarme auprès d'un 4 E3 10.10.4
responsable ?

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 148


Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08F03-07 Les enregistrements ou les synthèses sont-ils protégés contre toute altération ou destruction ? 2 E2 10.10.4
08F03-08 Les enregistrements ou les synthèses sont-ils conservés sur une longue durée ? 2 E2 10.10.4
08F03-09 Les procédures d'enregistrement des actions privilégiées et de traitement de ces enregistrements font-elles l'objet d'un audit régulier 2 C1 10.10.4
?
08G Procédures d'audit et de contrôle des systèmes de traitement de l'information
08G01 Fonctionnement des contrôles d'audit
08G01-01 Les exigences et les procédures à respecter pour les audits menés sur les systèmes opérationnels ont-elles été édictées par le 4 E2 15.3.1
management ?
08G01-02 Les règles concernant les audits menés sur les systèmes opérationnels, les procédures et responsabilités associées, sont-elles 3 E2 15.3.1
définies et documentées ?
Les limites à apporter concernent les types d'accès aux programmes et aux données, les contrôles et les traitements admis,
l'effacement des données sensibles obtenues, le marquage de certaines opérations, ... ainsi que l'habilitation des personnes
réalisant l'audit.

08G01-03 Les auditeurs sont-ils indépendants des activités concernées ? 2 E2 15.3.1


08G01-04 Les opérations d'audit réalisées pour les données critiques sont-elles enregistrées ? 2 E3 15.3.1
08G02 Protection des outils et résultats d'audit
08G02-01 Les outils d'audit sont-ils protégés afin d'éviter toute utilisation injustifiée ou malveillante ? 3 E2 15.3.2
Ceci s'applique, en particulier, aux tests de pénétration et aux évaluations de vulnérabilité.
08G02-02 Les résultats d'audit sont-ils protégés contre toute modification ou divulgation ? 3 E2 15.3.2
08G02-03 L'activité des auditeurs est-elle délimitée ? 2 E2 15.3.2
Une telle délimitation est particulièrement recommandée s'il s'agit d'intervenants externes.
08H Gestion des archives informatiques
08H01 Organisation de la gestion des archives informatiques
08H01-01 Existe-t-il un service spécialement chargé de l'archivage des fichiers informatiques à conserver sur une longue période ? 4 E2

08H01-02 Existe-t-il une procédure obligeant les utilisateurs à utiliser ce service d'archivage pour tout fichier devant être conservé sur une 4 E2
longue période ?
08H01-03 Un cahier des charges concernant les règles d'archivage est-il établi et tenu à jour par chaque propriétaire de données à archiver ? 4 1 E1

08H01-04 Les exigences d'archivage externes (légales et réglementaires) et internes sont-elles définies et prises en compte par l'entité 4 E1 13.2.3; 15.1.3
propriétaire des données et acceptées par la direction de l'entité au plus haut niveau ?
Les conséquences (juridiques, financières, d'image) d'un non respect (partiel ou total) des exigences d'archivage doivent être
avalisées par la Direction Générale.

08H01-05 Des accords de service sont-ils négociés avec les services informatiques, considérés comme dépositaires des données ? 4 1 E2 15.1.3
Chaque accord doit édicter ces exigences : contenu des archives, durée de rétention, pérennité, traçabilité, imputabilité, intégrité,
confidentialité, procédures et délai de remise à disposition, contraintes d'administration, etc.
Une distinction claire doit être établie entre le contenu des archives, sous responsabilité du propriétaire des données, et le
contenant (sur supports informatisés, disques, cartouches, etc.) dont la direction informatique concernée a la charge.

08H01-06 Les moyens nécessaires à l'archivage des données sont-ils connus et financés sur le long terme ? 2 1 E2 15.1.3
08H01-07 Procède-t-on régulièrement à des tests de relecture des archives 4 C1

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 149


Questionnaire d'audit : Production Informatique 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
08H01-08 Les modifications résultant des évolutions technologiques et réglementaires, pouvant affecter le contenu comme les supports 4 2 E2
d'archivage, sont-elles prises en compte, documentées et acceptées par la Direction ?
Ces évolutions sont inévitables sur le long terme et leur prise en compte doit respecter toutes les règles externes afin de garantir la
conformité des données aux originaux.

08H01-09 Vérifie-t-on régulièrement l'existence des moyens d'exploitation des archives (matériels, logiciels compatibles, etc.) 2 C1
08H01-10 Un contrôle des procédures édictées pour les archivages est-il effectué régulièrement et toute déviation est-elle remontée aux 4 2 C1
propriétaires des données ?
Ces contrôles doivent aussi chercher à éliminer les possibilités de fraudes impliquant des employés chargés des opérations ou
pouvant avoir accès aux supports et aux contenus.

08H01-11 L'ensemble des procédures concernant la politique d'archivage fait-il l'objet d'un audit régulier ? 4 3
08H02 Gestion des accès aux archives
08H02-01 Les exigences et les procédures à respecter pour les accès aux archives ont-elles été édictées par le management ? 2 E2 15.3.1
08H02-02 Existe-t-il pour chaque archive ou domaine d'archives un "propriétaire" désigné ? 4 E2
08H02-03 Les demandes d'extraction d'archives ne peuvent-elles provenir que du propriétaire désigné ? 4 2 E2
08H02-04 La demande du propriétaire fait-elle l'objet d'un contrôle d'authenticité ? 4 2 E2
08H02-05 Ce contrôle est-il considéré comme "fort" ? 4 3 E3
08H02-06 Les utilisateurs n'ont-ils accès qu'à des copies d'archives, le service des archives conservant toujours une version de l'archive 4 3 E3
originale ?
08H02-07 Les accès aux archives, par le personnel de gestion des archives, fait-il lui-même l'objet d'une authentification forte ? 4 3 E3
08H02-08 Ces accès sont-ils enregistrés de manière sécurisée ? 4 3 E3
08H02-09 Le transfert des archives ou d'une copie au demandeur est-il assuré de manière sécurisée ? 4 3 E3
08H02-10 Les conditions d'accès aux archives et les systèmes de sécurité associés font-ils l'objet d'audits réguliers ? 3 2 C1
08H03 Gestion de la sécurité des archives
08H03-01 Les locaux d'archivage sont-ils équipés de détection et d'extinction incendie adaptée, de détection de dégâts des eaux et de moyens 3 2 E2
d'évacuation ?

08H03-02 Les locaux d'archivage sont-ils équipés de contrôle d'accès renforcé et de détection d'intrusion ? 3 E2
08H03-03 Les locaux d'archivage sont-ils sous vidéosurveillance quand ils ne sont pas occupés ? 2 3 E2
08H03-04 Les locaux d'archivage sont-ils sous vidéosurveillance permanente ? 2 3 E2
08H03-05 Les supports d'archives sont-ils marqués sans référence à leur contenu ? 3 E2
08H03-06 Les tables permettant d'associer un contenu à un numéro d'archive sont-elles rendues inaccessibles au personnel gérant les 3 3 E2
supports d'archive ?

08H03-07 Ces tables font-elles l'objet d'un processus de sauvegarde ? 3 3 E2


08H03-08 L'arrêt ou l'inhibition des systèmes de sécurité (incendie, dégâts des eaux, contrôle d'accès, détection d'intrusion) déclenchent-ils 3 3 R1
une alarme auprès d'un centre de surveillance pouvant intervenir rapidement ?
08H03-09 Les conditions de stockage des archives et les systèmes de sécurité associés font-ils l'objet d'audits réguliers ? 3 2 C1

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 150


Commentaires

Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 151


Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 152
Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 153
Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 154
Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 155
Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 156
Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 157
Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 158
Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 159
Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 160
Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 161
Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 162
Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 163
Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 164
Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 165
Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 166
Mise à jour : janvier 2010 464752531.xls ! 08 Exs page 167
Questionnaire d'audit : Sécurité applicative 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002

09A Contrôle d'accès applicatif


09A01 Gestion des profils d'accès aux données applicatives
09A01-01 A-t-on établi une politique de gestion des droits d'accès aux données et à l'information s'appuyant sur une analyse préalable des 2 E1 11.1.1
exigences de sécurité, basées sur les enjeux de l'activité ?
09A01-02 Les droits d'accès aux différentes applications et données applicatives sont-elles définies par rapport à des "profils" métiers 4 2 E1 11.2.2; 11.6.1
regroupant des "rôles" ou des "fonctions" dans l'organisation (un profil définissant les droits dont disposent les titulaires de ce
profil) ?
Nota : La notion de profil peut, dans certaines circonstances, être remplacée par une notion de "groupe".

09A01-03 Est-il possible d'introduire, dans les règles de définition des droits d'accès (qui déterminent les droits attribués à un profil), des 4 E2
paramètres variables en fonction du contexte tels que la localisation du demandeur ou les réseaux utilisés, ou en fonction des
moyens utilisés (protocoles, chiffrement, etc.) ou de la classification des ressources accédées ?
09A01-04 Les profils d'accès permettent-ils également de définir des créneaux horaires et des calendriers de travail (heures début et fin de 2 E3 11.5.6
journée, week-end, vacances, etc.) ?
09A01-05 Ces profils et l'attribution de droits aux différents profils ont-ils reçu l'approbation des propriétaires d'information et/ou du RSSI ? 4 E2
09A01-06 Les processus de définition et de gestion des droits attribués aux profils sont-ils sous contrôle strict ? 4 2 R1
Un contrôle strict requiert que la liste des personnes habilitées à changer les droits attribués aux profils soit très limitée, que la
matérialisation de ces droits (sous forme de tables par exemple) soit strictement sécurisée et qu'il existe un contrôle d'accès
renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.

09A01-07 Peut-on contrôler à tout moment la liste des profils et l'ensemble des droits attribués à chaque profil ? 2 2 C1
09A01-08 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits attribués à chaque profil et des procédures de gestion 4 2 C1 11.2.4
des profils ?
09A02 Gestion des autorisations d'accès aux données applicatives (attribution, délégation, retrait)
09A02-01 La procédure d'attribution des autorisations d'accès nécessite-t-elle l'accord formel de la hiérarchie (à un niveau suffisant) ? 4 2 E1 11.6.1
09A02-02 Les autorisations sont-elles attribuées nominativement en fonction du seul profil des utilisateurs ? 2 E1 11.6.1
09A02-03 Le processus d'attribution (ou modification ou retrait) effectif d'autorisations à un individu (directement ou par le biais de profils) est-il 4 2 3 E2 11.2.2
strictement contrôlé ?
Un contrôle strict requiert une reconnaissance formelle de la signature (électronique ou non) du demandeur, que la matérialisation
des profils attribués aux utilisateurs sous forme de tables soit strictement sécurisée et qu'il existe un contrôle d'accès renforcé pour
pouvoir les modifier, et que ces modifications soient journalisées et auditées.

09A02-04 Y a-t-il un processus de mise à jour systématique de la table des autorisations d'accès lors de départs de personnel (interne ou 4 E2 11.2.4
externe à l'entreprise) ?
09A02-05 Y a-t-il un processus de mise à jour systématique de la table des autorisations d'accès lors de changements de fonctions ? 4 E3 11.2.4
09A02-06 Y a-t-il un processus strictement contrôlé (voir ci-dessus) permettant de déléguer ses propres autorisations en tout ou en partie, à 4 E3
une personne de son choix, pour une période déterminée (en cas d'absence) ?
Dans ce cas les droits délégués ne doivent plus être autorisés à la personne qui les a délégués. Cette dernière doit cependant avoir
la possibilité de les reprendre, en annulant ou en suspendant la délégation.

09A02-07 Peut-on contrôler à tout moment, pour tous les utilisateurs, les habilitations, autorisations et privilèges en cours ? 2 C1
09A02-08 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des profils ou des autorisations attribués au personnel et des 1 2 C1 11.2.4
procédures de gestion des profils attribués ?
09A03 Authentification de l'utilisateur ou de l'entité demandant un accès
09A03-01 Le processus de distribution ou de modification de l'authentifiant garantit-il que seul le titulaire de l'identifiant peut y avoir accès 2 1 E1 11.5.3
(diffusion initiale confidentielle, changement de mot de passe sous le seul contrôle de l'utilisateur, etc.) ?

Mise à jour : janvier 2010 464752531.xls ! 09 App page 168


Questionnaire d'audit : Sécurité applicative 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
09A03-02 Le processus de création ou de modification d'un authentifiant vérifie-t-il le respect d'un ensemble de règles permettant d'avoir 4 2 E2 11.2.3; 11.5.3
confiance dans sa solidité intrinsèque ?
Dans le cas de mots de passe : longueur suffisante (8 caractères ou +), mélange obligatoire de types de caractères, changement
fréquent (<1 mois), impossibilité de réemployer un mot de passe ancien, test de non trivialité fait en relation avec un dictionnaire,
interdiction des "standards systèmes", des prénoms, de l'anagramme de l'identifiant, de dates, etc.
Dans le cas de certificats ou d'authentification reposant sur des mécanismes cryptologiques : clés de chiffrement de longueur
suffisante, processus de génération évalué ou reconnu publiquement, etc.

09A03-03 Le processus de présentation par l'utilisateur de son authentifiant garantit-il son inviolabilité ? 4 2 E3 11.5.3
La frappe d'un mot de passe sera toujours un point faible notable. Les seuls processus qui soient observables sans divulguer
d'information consistent soit à introduire un objet contenant un secret (clé, carte à puce, etc.) soit à frapper un code qui change à
chaque instant (jeton, comme, par exemple, un jeton de type RSA SecureID), soit à présenter un caractère biométrique.

09A03-04 La conservation et l'utilisation par l'utilisateur (ou par des systèmes représentant l'utilisateur) ou par les systèmes cibles d'éléments 2 2 3 E2 11.5.3
de référence supportant l'authentification font-elles appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
Dans le cas de mots de passe, ils doivent être stockés chiffrés et un contrôle d'accès préliminaire à l'utilisation de ces éléments par
l'utilisateur doit être effectué.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité
validées par un organisme de référence.

09A03-05 La transmission entre l'utilisateur et les systèmes cibles d'éléments de référence supportant l'authentification fait-elle appel à des 2 2 3 E3 11.5.3
mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
La transmission d'un mot de passe doit être chiffrée ou utiliser un algorithme qui introduise un aléa à chaque transmission.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité
validées par un organisme de référence.

09A03-06 En cas de répétition de tentatives infructueuses d'authentification, existe-t-il un processus déclenchant une dévalidation automatique 4 2 E2 11.5.3
de l'identifiant de l'utilisateur, éventuellement du terminal lui-même, ou un ralentissement du processus d'authentification empêchant
toute routine automatique de tentative de connexion ?
09A03-07 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de passe, jeton, etc.) permet-elle de 2 2 E2 11.5.3
neutraliser instantanément l'ancien authentifiant ?
09A03-08 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de passe, jeton, etc.) permet-elle un 2 2 E3 11.5.3
contrôle effectif de l'identité du demandeur ?
09A03-09 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2 R1
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des authentifiants, les
authentifiants eux-mêmes, les règles de surveillance des tentatives de connexion, etc. soit très limitée, qu'il existe un contrôle
d'accès renforcé pour procéder à ces modifications, que les modifications soient journalisées et auditées et qu'il existe un audit
général au moins annuel de l'ensemble des paramètres de l'authentification.

09A03-10 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3 C1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus de l'authentification (y compris des processus visant à détecter les
tentatives de violation et les processus de réaction à ces tentatives de violation).

Mise à jour : janvier 2010 464752531.xls ! 09 App page 169


Questionnaire d'audit : Sécurité applicative 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
09A04 Filtrage des accès et gestion des associations
09A04-01 Tout accès aux applications requiert-il la présentation d'un identifiant reconnu par lesdites applications ? 1 2 E1 11.5.2; 11.6.1
09A04-02 Tout identifiant reconnu par les applications correspond-il à une personne physique unique et identifiable, directement ou 4 2 E1 11.5.2; 11.6.1
indirectement ?
Nota : Dans le cas où une application en appelle une autre ou déclenche un appel système, il se peut que l'application ne transfère
pas au système cible l'identifiant ayant initialisé la demande. Le lien entre cet appel et l'identifiant et la personne d'origine doit
cependant rester possible a posteriori.

09A04-03 Tous les comptes génériques ou par défaut ont-ils été supprimés ? 4 2 E2 11.5.2
09A04-04 L'acceptation de l'identifiant par le système est-elle systématiquement sujette à une authentification ? 2 2 E2 11.5.2
L'authentification systématique requiert que ce processus soit effectivement mis en oeuvre pour l'ensemble des sous-systèmes
(moniteur de télétraitement, SGBD, traitements par lots, etc.) et pour toutes les demandes d'accès en provenance des applications
ainsi que pour toutes les voies et ports d'accès, y compris depuis des ports réservés tels que la télémaintenance éventuelle.

09A04-05 Y a-t-il une répétition de la procédure d'authentification en cours de session pour les transactions jugées sensibles ? 4 E3 11.5.6
09A04-06 Y a-t-il une dévalidation automatique de la session de l'utilisateur, en cas d'absence d'échange pendant un délai défini, nécessitant 4 E3 11.5.5
une nouvelle identification - authentification ?
09A04-07 Utilise-t-on des contrôles d'accès applicatifs permettant de limiter la visibilité et l'accès aux informations les plus sensibles ? 4 E3 11.6.1
09A04-08 Y a-t-il un contrôle systématique du profil du demandeur, de son contexte et de l'adéquation de ce profil et du contexte avec l'accès 4 2 R1
demandé, en fonction de règles de contrôle d'accès formalisées ?
09A04-09 Les paramètres de définition et de gestion des règles de filtrage des accès sont-ils sous contrôle strict ? 4 2 C1
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de sécurité du filtrage des accès soit très
limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.

09A04-10 Les processus qui assurent le filtrage des accès sont-ils sous contrôle strict ? 4 3 R2
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus de filtrage d'accès (y compris des processus visant à détecter les
tentatives de modification et les processus de réaction à ces tentatives de modification).

09A05 Authentification de l'application lors des accès à des applications sensibles


09A05-01 Existe-t-il une possibilité de déclarer des applications comme sensibles et, comme telles, requérant une authentification de 4 1 E2
l'application à laquelle on se connecte ?
09A05-02 Y a-t-il un mécanisme d'authentification de l'application à laquelle on se connecte avant tout accès à une application sensible depuis 4 1 E2
le réseau interne ?
09A05-03 Le processus d'authentification des applications sensibles auxquelles on se connecte est-il un processus reconnu comme "fort" ? 4 2 E3
Un simple mot de passe sera toujours un point faible notable. Les seuls processus qui soient reconnus comme forts, c'est-à-dire
observables sans divulguer d'information et pratiquement inviolables sont basés sur des algorithmes cryptologiques.

Mise à jour : janvier 2010 464752531.xls ! 09 App page 170


Questionnaire d'audit : Sécurité applicative 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
09A05-04 La conservation et l'utilisation par les équipements de sécurité d'éléments de référence supportant l'authentification (mots de passe, 4 3 E2
numéro d'appelant, etc.) font-elles appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
Dans le cas de mots de passe, ils doivent être stockés chiffrés et un contrôle d'accès préliminaire à l'utilisation de ces éléments par
l'utilisateur doit être effectué.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité
validées par un organisme de référence.

09A05-05 La transmission entre le poste appelant et les équipements de sécurité d'éléments de référence supportant l'authentification (mots 4 3 E3
de passe, numéro d'appelant, etc.) fait-elle appel à des mécanismes qui en garantissent l'inviolabilité et l'authenticité ?
La transmission d'un mot de passe doit être chiffrée ou utiliser un algorithme qui introduise un aléa à chaque transmission.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit présenter des garanties de solidité
validées par un organisme de référence.

09A05-06 Les procédures de gestion des clés révoquées garantissent-elles que les systèmes de contrôle testent systématiquement que les 4 2 E2
clés ne sont pas révoquées ?
09A05-07 Les procédures de gestion des clés révoquées garantissent-elles que les systèmes de contrôle prennent en compte ces révocations 4 2 E3
en temps réel ?
09A05-08 Les processus qui assurent l'authentification des entités accédées sont-ils sous contrôle strict ? 4 3 R1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus de l'authentification.

09B Contrôle de l'intégrité des données


09B01 Scellement des données sensibles
09B01-01 A-t-on défini les fichiers sensibles devant être protégés par des solutions de scellement et mis en place de telles solutions au niveau 4 E2
applicatif ?
09B01-02 La conformité des sceaux est-elle contrôlée automatiquement par l'application ? 4 2 E3
09B01-03 La solution de scellement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été approuvée par le RSSI ? 4 2 E3
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres paramètres également. La
recommandation d'un organisme officiel peut être un facteur de confiance.

09B01-04 La procédure et les mécanismes de conservation, de distribution et d'échange de clés, et plus généralement de gestion des clés, 4 3 R1
offrent-ils des garanties de solidité dignes de confiance et ont-ils été approuvés par le RSSI ?
09B01-05 Les mécanismes de scellement sont-ils très solidement protégés contre toute violation ou altération ? 4 3 3 R2
S'il s'agit de boîtiers de scellement matériels, ils doivent être protégés physiquement de telle sorte qu'il soit impossible d'accéder
aux mécanismes de scellement. S'il s'agit de solution logicielle, elle doit comporter elle-même un contrôle d'intégrité.

09B01-06 La mise hors service ou le contournement de la solution de scellement sont-ils immédiatement détectés et signalés à une équipe 4 2 R2
permanente ou disponible sur appel (astreinte) capable d'engendrer une réaction immédiate ?
09B01-07 Existe-t-il une procédure précisant la conduite à tenir en cas d'erreur ou d'alerte ? 3 2 R2
09B01-08 Les mécanismes de scellement, leur paramétrage et les procédures associées font-ils l'objet d'audits réguliers ? 4 3 C1
09B02 Protection de l'intégrité des données échangées
09B02-01 A-t-on défini les échanges de données ou transactions sensibles devant être protégés par des solutions de scellement et mis en 4 E2 12.2.3
place de telles solutions au niveau applicatif ?
09B02-02 La conformité des sceaux est-elle contrôlée automatiquement par l'application ? 4 2 E3 12.2.3

Mise à jour : janvier 2010 464752531.xls ! 09 App page 171


Questionnaire d'audit : Sécurité applicative 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
09B02-03 La solution de scellement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été approuvée par le RSSI ? 4 2 E2 12.2.3
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres paramètres également. La
recommandation d'un organisme officiel peut être un facteur de confiance.

09B02-04 La procédure et les mécanismes de conservation, de distribution et d'échange de clés, et plus généralement de gestion des clés, 4 3 R1
offrent-ils des garanties de solidité dignes de confiance et ont-ils été approuvés par le RSSI ?
09B02-05 Les mécanismes de scellement sont-ils très solidement protégés contre toute violation ou altération ? 4 3 3 R2
S'il s'agit de boîtiers de scellement matériels, ils doivent être protégés physiquement de telle sorte qu'il soit impossible d'accéder
aux mécanismes de scellement. S'il s'agit de solution logicielle, elle doit comporter elle-même un contrôle d'intégrité.

09B02-06 La mise hors service ou le contournement de la solution de scellement sont-ils immédiatement détectés et signalés à une équipe 4 2 R2
permanente ou disponible sur appel (astreinte) capable d'engendrer une réaction immédiate ?
09B02-07 Existe-t-il une procédure précisant la conduite à tenir en cas d'erreur ou d'alerte ? 3 2 R2
09B02-08 Les mécanismes de scellement, leur paramétrage et les procédures associées font-ils l'objet d'audits réguliers ? 4 3 C1
09B03 Contrôle de la saisie des données
09B03-01 Les données sensibles font-elles l'objet d'un autocontrôle formel (par la personne assurant la saisie) ? 2 E1 12.2.1
09B03-02 Les données sensibles font-elles l'objet d'un contrôle de saisie indépendant (par une autre personne) ? 4 2 E1 12.2.1
09B03-03 Existe-t-il, pour les données sensibles, un moyen d'imputer les données saisies ou modifiées à leur auteur ? 4 E3 12.2.1
09B03-04 Existe-t-il une incitation à la saisie sans erreur (prime individuelle ou de service, pénalité pour le travail comportant trop d'erreurs, 2 E2 12.2.1
etc.) ?
09B03-05 Existe-t-il un contrôle global sur des séries de saisie (somme, fourchette, min, max., etc.) ? 4 E2 12.2.1
09B03-06 La saisie fait-elle l'objet de contrôles de cohérence incorporés au processus de saisie ? 4 E2 12.2.1
09B03-07 Ces contrôles additionnels (par fourchettes, cohérence, etc.) sont-ils fortement protégés contre toute altération illicite ? 4 R1
09B03-08 A-t-on défini les procédures à appliquer en cas d'erreur de validation ? 4 R1 12.2.1
09B03-09 Le processus de contrôle fait-il l'objet d'un audit régulier ? 2 3 C1
09B04 Contrôles permanents (vraisemblance, ...) sur les données
09B04-01 A-t-on analysé, avec les utilisateurs, les contrôles qu'il serait souhaitable de faire pour vérifier la pertinence des données entrées, 4 E1 12.2.1; 12.2.4
modifiées ou en sortie d'applications (cadrage par rapport à des fourchettes, ratios entre données entrées indépendamment,
contrôles de cohérence, évolution et comparaison avec des statistiques, etc.) et a-t-on mis en place les contrôles correspondants
dans les applications ?

09B04-02 Les paramètres de ces contrôles (valeurs de fourchettes, etc.) sont-ils dans des tables séparées du code de l'application et 4 E2
facilement vérifiables ?
09B04-03 Les processus qui assurent les contrôles permanents sont-ils sous contrôle strict ? 4 3 R1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus de contrôle (y compris des processus visant à détecter les tentatives
de modification et les processus de réaction à ces tentatives de modification).

09B04-04 Les paramètres des contrôles permanents sont-ils sous contrôle strict ? 4 2 R1
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de contrôle soit très limitée, qu'il existe un
contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.

09B04-05 Tous ces contrôles, s'ils existent, sont-ils intégrés dans un processus opérationnel d'alerte et de traitement des erreurs ? 4 E2
09B05 Contrôles permanents (vraisemblance, ...) sur les traitements

Mise à jour : janvier 2010 464752531.xls ! 09 App page 172


Questionnaire d'audit : Sécurité applicative 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
09B05-01 A-t-on analysé, avec les utilisateurs, les contrôles qu'il serait souhaitable de faire pour vérifier la cohérence des données après 4 E1 12.2.1; 12.2.4
traitement par les processus applicatifs (introduction de variables de contrôle, ratios, évolution et comparaison avant et après
traitements, etc.) et a-t-on mis en place les contrôles correspondants dans les applications ?

09B05-02 Les paramètres de ces contrôles sont-ils dans des tables séparées du code de l'application et facilement vérifiables ? 4 E2
09B05-03 Les processus qui assurent les contrôles permanents sur les traitements sont-ils sous contrôle strict ? 4 3 R1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus de contrôle (y compris des processus visant à détecter les tentatives
de modification et les processus de réaction à ces tentatives de modification).

09B05-04 Les paramètres des contrôles permanents sont-ils sous contrôle strict ? 4 2 R1
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de contrôle soit très limitée, qu'il existe un
contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.

09B05-05 Tous ces contrôles, s'ils existent, sont-ils intégrés dans un processus opérationnel d'alerte et de traitement des erreurs ? 4 E2
09C Contrôle de la confidentialité des données
09C01 Chiffrement des échanges
On traite ici du chiffrement effectué directement par l'application (couche 6-7, par ex. chiffrement avant ou lors de l'envoi).
09C01-01 A-t-on défini les messages ou échanges devant être protégés par des solutions de chiffrement et mis en place de telles solutions au 4 E1 12.3.1
niveau applicatif ?
09C01-02 La solution de chiffrement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été approuvée par le RSSI ? 4 2 E2
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres paramètres également. La
recommandation d'un organisme officiel peut être un facteur de confiance.

09C01-03 La procédure et les mécanismes de conservation, de distribution et d'échange de clés, et plus généralement de gestion des clés, 4 3 E2 12.3.2
offrent-ils des garanties de solidité dignes de confiance et ont-ils été approuvés par le RSSI ?
09C01-04 Les mécanismes de chiffrement sont-ils très solidement protégés contre toute violation ou altération ? 4 3 3 R2
S'il s'agit de boîtiers de chiffrement matériels, ils doivent être protégés physiquement de telle sorte qu'il soit impossible d'accéder
aux mécanismes de chiffrement. S'il s'agit de solution logicielle, elle doit comporter elle-même un contrôle d'intégrité.

09C01-05 La mise hors service ou le contournement de la solution de chiffrement sont-ils immédiatement détectés et signalés à une équipe 4 2 R1
permanente ou disponible sur appel (astreinte) capable d'engendrer une réaction immédiate ?
09C01-06 Les mécanismes de chiffrement des échanges, leur paramétrage et les procédures associées font-ils l'objet d'audits réguliers ? 4 3 C1
09C02 Chiffrement des données stockées
09C02-01 A-t-on défini les fichiers devant être protégés par des solutions de chiffrement et mis en place de telles solutions au niveau de 4 E1 12.3.1
l'architecture applicative ?
09C02-02 Ce chiffrement se fait-il de façon systématique (en fonction de la classification) et/ou automatique (en fonction du support) lors de 2 3 E2
l'écriture sur un support ou lors de la clôture d'une session de l'application ?
09C02-03 Ce chiffrement se fait-il de façon systématique lors de tout transfert ou téléchargement de fichiers déclenché par les applications 2 3 E2
concernées ?
09C02-04 La solution de chiffrement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été approuvée par le RSSI ? 4 2 E2
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres paramètres également. La
recommandation d'un organisme officiel peut être un facteur de confiance.

Mise à jour : janvier 2010 464752531.xls ! 09 App page 173


Questionnaire d'audit : Sécurité applicative 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
09C02-05 La procédure et les mécanismes de conservation, de distribution, et plus généralement de gestion des clés, offrent-ils des garanties 4 3 E2 12.3.2
de solidité dignes de confiance et ont-ils été approuvés par le RSSI ?
La possibilité de devoir récupérer ces informations sur un autre système matériel ou une autre version du système d'opération ou de
l'application doit être anticipée.

09C02-06 Les mécanismes de chiffrement sont-ils très solidement protégés contre toute violation ou altération ? 4 3 3 E3
S'il s'agit de boîtiers de chiffrement matériels, ils doivent être protégés physiquement de telle sorte qu'il soit impossible d'accéder
aux mécanismes de chiffrement. S'il s'agit de solution logicielle, elle doit comporter elle-même un contrôle d'intégrité.

09C02-07 La mise hors service ou le contournement de la solution de chiffrement sont-ils immédiatement détectés et signalés à une équipe 4 2 R1
permanente ou disponible sur appel (astreinte) capable d'engendrer une réaction immédiate ?
09C02-08 Les mécanismes de chiffrement des données stockées, leur paramétrage et les procédures associées (en particulier la gestion et la 4 3 C1
protection des clés) font-ils l'objet d'audits réguliers ?
09C03 Dispositif anti-rayonnement électromagnétique
09C03-01 Utilise-t-on des moyens de lutte contre le rayonnement des matériels supportant des applications très sensibles (matériel Tempest, 2 E2
blindage des câbles, installation de "cages de faraday", etc.) ?
09C03-02 Contrôle-t-on régulièrement le rayonnement des matériels supportant ces applications sensibles ? 2 2 E3
09D Disponibilité des données
09D01 Enregistrement de Très Haute Sécurité
09D01-01 Applique-t-on des procédures spécifiques de sécurité vérifiant que chaque donnée enregistrée peut être relue ? 4 2 E2
09D01-02 Existe-t-il des procédures ou une architecture de Très Haute Sécurité enregistrant chaque donnée avec redondance (disques 4 3 E2
RAID, mirroring, etc.) ?
09D01-03 Ces procédures de Très Haute Sécurité emploient-elles des moyens permettant de reconstituer les données en cas d'erreur ou 4 E3
d'impossibilité de lecture de quelques secteurs ?
09D01-04 A-t-on défini les scénarios contre lesquels les enregistrements de très haute sécurité devaient intervenir et a-t-on vérifié que la 4 E2
protection physique des supports d'enregistrements était adaptée à ces scénarios ?
09D02 Gestion des moyens d'accès aux fichiers de données
09D02-01 La liste des formats de fichiers de données dont la lecture doit être assurée est-elle tenue à jour ? 4 3 E1
09D02-02 S'assure-t-on que les moyens matériels et logiciels nécessaires à la lecture de tous les types de fichiers sont disponibles ou 4 3 E1
facilement rendus disponibles ?
09D02-03 Les procédures d'attribution et de personnalisation des moyens de chiffrement et de protection des fichiers garantissent-ils des 4 3 E2
possibilités d'accès aux fichiers, même en cas d'absence ou de départ de leurs propriétaires ?
09D02-04 Les moyens de recouvrement de clés d'accès ou de clés de chiffrement sont-ils protégés contre toute disparition accidentelle ou 4 3 E2
malveillante ?
09D02-05 Procède-t-on régulièrement à des audits des moyens et procédures garantissant la permanence des accès aux fichiers de 2 3 E2
données ?
09E Continuité de fonctionnement
09E01 Reconfiguration matérielle
09E01-01 A-t-on déduit d'une analyse de criticité une architecture de redondance ou de systèmes miroirs au niveau des serveurs ou 4 2 E2 14.1.4
équipements pouvant être critiques ?

Mise à jour : janvier 2010 464752531.xls ! 09 App page 174


Questionnaire d'audit : Sécurité applicative 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
09E01-02 Cette architecture et sa mise en oeuvre en cas d'incident ou de panne garantissent-ils la satisfaction des performances minimales ? 4 2 E2
Une telle garantie suppose, soit que les systèmes à tolérance de panne soient entièrement automatiques, soit que les systèmes de
détection et les capacités de réaction du personnel à même de procéder aux reconfigurations manuelles aient été spécifiés avec cet
objectif.

09E01-03 S'est-on assuré, dans ce cas, que les équipements de servitude (alimentation en énergie, climatisation, etc.) n'introduisaient pas de 2 E3
vulnérabilité supplémentaire ou ne détruisaient pas les redondances prévues au niveau des équipements ou de l'architecture ?

09E01-04 La mise hors service ou l'arrêt de tout équipement de redondance ou de tout système de détection nécessaire à une intervention 2 R1
manuelle sont-elles détectées et déclenchent-elles une alarme auprès d'un responsable de l'exploitation ?
09E01-05 Procède-t-on régulièrement à des tests visant à démontrer la capacité des éléments de sécurité à assurer les performances 2 2 C1
minimales en cas d'incident ou de panne ?
09E02 Plans de Continuité des Processus Applicatifs
09E02-01 A-t-on déduit d'une analyse de criticité des Plans de Continuité pour chaque processus applicatif critique ? 3 E1 14.1.3
09E02-02 Ces plans de continuité sont-ils en phase avec les Plans de Reprise d'Activités (back-up) des matériels et systèmes utilisés par le 3 2 E1 14.1.3
processus ou l'application ?
09E02-03 Ces plans de continuité prévoient-ils bien toutes les actions à entreprendre pour assurer la continuité des processus applicatifs entre 3 2 E2 14.1.3
l'alerte et la mise en oeuvre effective des solutions de remplacement prévues par les PRA (Plans de Reprise d'Activité des services
informatiques) ?

09E02-04 Ces plans prennent-ils en compte tous les aspects organisationnels liés aux moyens à mettre en œuvre pour assurer la continuité 3 E2 14.1.3
entre la détection d'incident et la reprise effective des processus applicatifs (personnel, logistique, encadrement, etc.) ?

09E02-05 A-t-on prévu les instructions et la formation à donner aux personnels ? 2 E2 14.1.3
09E02-06 Les Plans de Continuité des processus applicatifs prévoient-ils les procédures de retour à la normale ? 4 2 E2 14.1.3
09E02-07 Existe-t-il un plan regroupant l'ensemble des solutions de secours pour pallier tous les arrêts des processus critiques et applications 4 E2 14.1.3
sensibles ?
09E02-08 Le Plan de déclenchement de crise est-il en phase avec ce plan de continuité des activités global ? 4 E2
09E02-09 Ces plans sont-ils régulièrement testés en vraie grandeur (avec toute la volumétrie réelle) et actualisés (au moins une fois par an) ? 3 2 C1 14.1.5

09E02-10 Les mises à jour de ces plans sont-elles régulièrement auditées (au moins une fois par an) ? 3 2 C1
09E03 Gestion des applications critiques (vis-à-vis de la permanence de la maintenance)
09E03-01 A-t-on analysé les conséquences de la disparition d'un fournisseur de logiciel applicatif (en cas de bogue ou de nécessité 2 E2
d'évolution) et en a-t-on déduit une liste d'applications critiques ?
09E03-02 Existe-t-il, pour l'ensemble des applications critiques, une solution palliative étudiée pour faire face à la disparition ou la défaillance 2 E2
du fournisseur (dépôt de la documentation de maintenance ou du code source chez un tiers de confiance, remplacement du logiciel
par un progiciel standard, etc.) ?
09E03-03 A-t-on l'assurance que cette solution palliative pourra être rendue opérationnelle dans des délais compatibles avec la poursuite de 2 2 E2
l'activité et acceptés par les utilisateurs ?
09E03-04 A-t-on prévu des variantes de la solution de base au cas où celle-ci rencontrerait des difficultés imprévues ? 2 3 E3
09E03-05 Procède-t-on régulièrement à une revue des applications pouvant être critiques et des solutions palliatives prévues ? 2 3 C1
09F Contrôle de l'émission et de la réception de données
09F01 Garantie d'origine, signature électronique

Mise à jour : janvier 2010 464752531.xls ! 09 App page 175


Questionnaire d'audit : Sécurité applicative 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
09F01-01 A-t-on défini les transactions sensibles devant être protégés par des solutions de signature électronique et mis en place de telles 4 E2 12.3.1
solutions au niveau applicatif ?
09F01-02 La conformité des signatures est-elle contrôlée automatiquement par l'application ? 4 2 E2
09F01-03 La solution de signature offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été approuvée par le RSSI ? 4 2 E2
Une longueur de clés suffisante est un des paramètres à prendre en compte, mais bien d'autres paramètres également. La
recommandation d'un organisme officiel peut être un facteur de confiance.

09F01-04 La procédure et les mécanismes de conservation, de distribution et d'échange de clés, et plus généralement de gestion des clés, 4 3 E2 12.3.2
offrent-ils des garanties de solidité dignes de confiance et ont-ils été approuvés par le RSSI ?
09F01-05 Les mécanismes de signature sont-ils très solidement protégés contre toute violation ou altération ? 4 3 3 R2
S'il s'agit d'équipements matériels, ils doivent être protégés physiquement de telle sorte qu'il soit impossible d'accéder aux
mécanismes de signature S'il s'agit de solution logicielle, elle doit comporter elle-même un contrôle d'intégrité.

09F01-06 La mise hors service ou le contournement de la solution de signature sont-ils immédiatement détectés et signalés à une équipe 4 2 R1
permanente ou disponible sur appel (astreinte) capable d'engendrer une réaction immédiate ?
09F01-07 Existe-t-il une procédure précisant la conduite à tenir en cas d'erreur ou d'alerte ? 3 2 R1
09F01-08 Les mécanismes de signature, leur paramétrage et les procédures associées font-ils l'objet d'audits réguliers ? 4 3 C1
09F02 Individualisation des messages empêchant leur duplication (numérotation, séquencement, ... )
09F02-01 A-t-on défini les transactions sensibles devant être protégés par des solutions de contrôle de numérotation ou de séquencement et 4 E2
mis en place de telles solutions au niveau applicatif (ou éventuellement au niveau réseau) ?
09F02-02 La conformité des numéros et séquences est-elle contrôlée automatiquement par l'application ou par le middleware utilisé ? 4 2 E2
09F02-03 La solution de contrôle de numérotation ou de séquencement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été 4 2 E2
approuvée par le RSSI ?
La recommandation d'un organisme officiel peut être un facteur de confiance.

09F02-04 Les mécanismes de numérotation et de contrôle de numérotation sont-ils très solidement protégés contre toute violation ou 4 3 3 R2
altération ?
S'il s'agit d'équipements matériels, ils doivent être protégés physiquement de telle sorte qu'il soit impossible d'accéder aux
mécanismes internes. S'il s'agit de solution logicielle, elle doit comporter elle-même un contrôle d'intégrité.

09F02-05 La mise hors service ou le contournement de la solution de contrôle de numérotation sont-ils immédiatement détectés et signalés à 4 2 R1
une équipe permanente ou disponible sur appel (astreinte) capable d'engendrer une réaction immédiate ?
09F02-06 Existe-t-il une procédure précisant la conduite à tenir en cas d'erreur ou d'alerte ? 3 2 R1
09F02-07 Les mécanismes de numérotation et du contrôle associé, leur paramétrage et les procédures associées font-ils l'objet d'audits 4 3 C1
réguliers ?
09F03 Accusé de réception
09F03-01 Y a-t-il une procédure imposant l'envoi d'un accusé de réception pour tous les messages sensibles ? 4 E1
Nota : dans certains cas, les contrôles peuvent être basés sur une signature.

09F03-02 Y a-t-il alerte en cas d'absence d'accusé de réception pour les messages sensibles ? 4 2 E2
09F03-03 L'accusé de réception n'est-il bien émis qu'après prise en compte effective du message par l'application cible ? 4 3 E3
Un accusé de réception ne devrait pas être émis tant que le message est en attente de traitement sur le système cible.

09F03-04 Le système d'accusé de réception est-il protégé contre des interventions malveillantes ? 2 3 R1
09F03-05 Existe-t-il une procédure consignant la conduite à tenir en cas d'alerte ou d'anomalie constatée ? 3 2 R1
09F03-06 Procède-t-on régulièrement à des audits du système d'accusé de réception ? 3 2 C1

Mise à jour : janvier 2010 464752531.xls ! 09 App page 176


Questionnaire d'audit : Sécurité applicative 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002

09G Détection et gestion des incidents et anomalies applicatifs


09G01 Détection des anomalies applicatives
09G01-01 A-t-on analysé les événements ou successions d'événements pouvant être révélateurs de comportements anormaux ou d'actions 4 E2
illicites et en a-t-on déduit des points ou indicateurs de surveillance ?
09G01-02 Dans les applications, est-il prévu des capteurs d'événements sensibles et l'enregistrement de ces événements (type d'événement, 4 3 E2
identifiant de l'utilisateur, date et heure, etc.) ?
09G01-03 Existe-t-il un système de pistage intégré dans certains processus sensibles (audit-trail) enregistrant les événements pouvant servir à 4 3 E3
établir des diagnostics d'anomalies ?
09G01-04 Les applications sensibles disposent-elles d'une fonction automatique de surveillance en temps réel en cas d'accumulation 4 3 E3
d'événements anormaux (par exemple tentatives infructueuses de connexion sur des stations voisines ou tentatives infructueuses
de transactions sensibles) ?
09G01-05 Existe-t-il un archivage de tous ces éléments de diagnostic ? 2 E2
09G01-06 Existe-t-il une application capable d'analyser les diagnostics individuels enregistrés et donnant lieu à un tableau de bord transmis à 4 2 E3
une structure ad hoc ?
09G01-07 Le système de diagnostic d'anomalie émet-il une alarme en temps réel à une structure permanente ou disponible sur appel 4 3 E3
(astreinte), chargée et capable de réagir sans délai ?
09G01-08 A-t-on défini pour chaque cas d'alerte, la réaction attendue de l'équipe de surveillance et sa disponibilité est-elle suffisante pour faire 4 E3
face à cette attente ?
09G01-09 Les paramètres définissant les éléments à enregistrer et les analyses de diagnostic effectuées sur ces éléments sont-ils strictement 4 R2
protégés (droits limités et authentification forte) contre tout changement illicite ?
09G01-10 Tout arrêt du système d'enregistrement et de traitement des enregistrements déclenche-t-elle une alarme auprès de l'équipe de 4 R1
surveillance ?
09G01-11 Les procédures d'enregistrement, de traitement des enregistrements et d'analyse des diagnostic ainsi que la disponibilité de l'équipe 2 C1
d'analyse et d'intervention font-elles l'objet d'un audit régulier ?
09H Commerce électronique
09H01 Sécurité des sites de commerce électroniques
09H01-01 A-t-on analysé les exigences de sécurité spécifiques au commerce électronique et défini en conséquence les protections 2 E2 10.9.1
nécessaires ?
09H01-02 A-t-on analysé les exigences de sécurité spécifiques aux transactions effectuées en ligne et défini en conséquence les protections 2 E2 10.9.2
nécessaires ?
09H01-03 A-t-on analysé les exigences de sécurité spécifiques à la mise à disposition du public d'informations et défini en conséquence les 2 E2 10.9.3
protections nécessaires ?

Mise à jour : janvier 2010 464752531.xls ! 09 App page 177


Commentaires

Mise à jour : janvier 2010 464752531.xls ! 09 App page 178


Mise à jour : janvier 2010 464752531.xls ! 09 App page 179
Mise à jour : janvier 2010 464752531.xls ! 09 App page 180
Mise à jour : janvier 2010 464752531.xls ! 09 App page 181
Mise à jour : janvier 2010 464752531.xls ! 09 App page 182
Mise à jour : janvier 2010 464752531.xls ! 09 App page 183
Mise à jour : janvier 2010 464752531.xls ! 09 App page 184
Mise à jour : janvier 2010 464752531.xls ! 09 App page 185
Mise à jour : janvier 2010 464752531.xls ! 09 App page 186
Mise à jour : janvier 2010 464752531.xls ! 09 App page 187
Mise à jour : janvier 2010 464752531.xls ! 09 App page 188
Questionnaire d'audit : Sécurité des projets et développements applicatifs 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Type ISO 27002
Le domaine 10 de Méhari est vu d'un point de vue particulier que l'on pourrait résumer ainsi : le problème de sécurité pouvant venir des
développements et de la maintenance applicative est celui de l'introduction de failles de sécurité à l'occasion de ces développements ou de la
maintenance. L'assurance qualité des développements, qui vise à s'assurer que les besoins sont bien spécifiés, qu'ils sont effectués conformément
à une méthode de développement normalisée, que les spécifications sont bien remplies, que l'application fonctionne correctement, etc., ne fait pas
partie de ce domaine de sécurité.

10A Sécurité des projets et développements applicatifs


10A01 Prise en compte de la sécurité dans les projets et développements
10A01-01 Procède-t-on systématiquement, dès la phase de spécification de projets, à une analyse des dysfonctionnements pouvant être 4 E1 12.1.1
induits par l'application ou les applications mises en place ?
Notes : Un projet peut consister en la mise en place d'un progiciel métier, autant que résulter de développements internes.
Les dysfonctionnements à analyser doivent l'être à deux niveaux : au niveau de l'activité de l'entreprise et de ses processus
opérationnels (les fonctionnalités nouvelles ou au contraire supprimées apportent-elles des risques nouveaux ?) et au niveau de
l'architecture informatique (infrastructure, systèmes opératoires, middleware, applications, données : cette nouvelle architecture
apporte-t-elle des risques nouveaux ?).

10A01-02 Analyse-t-on, avec les responsables utilisateurs, l'impact de ces dysfonctionnements et leur potentialité, en prenant en compte les 4 E2 12.1.1
mesures de sécurité déjà en place et les mesures additionnelles ou spécifiques prévues dans les spécifications du projet ?
10A01-03 Existe-t-il des revues de projet au cours desquelles ces risques sont présentés, des décisions sont prises quant à leur caractère 4 2 E1 12.1.1
acceptable ou non, et des mesures de sécurité additionnelles éventuelles nécessaires sont décidées ?
10A01-04 A-t-on envisagé, lors des études de risques, les possibilités de fuite d'information par des canaux cachés et mis en place des 4 2 E3 12.5.4
contrôles adaptés ?
10A01-05 La mise en oeuvre effective des mesures de sécurité spécifiques du projet fait-elle l'objet d'un suivi formel tout au long du cycle de 4 C1
vie du projet ?
La formalisation du suivi peut consister en un point obligatoire de l'ordre du jour lors des revues de projet, au moins aux étapes clés
et/ou être matérialisée par des fiches de sécurité établies en fonction des décisions prises, des évolutions quant aux choix de
solutions et de l'état d'avancement de la mise en oeuvre.

10A01-06 Existe-t-il une ressource, formée à l'analyse des risques des projets, pouvant assister le responsable du projet de développement 4 E2
dans la démarche d'analyse de risque ?
10A01-07 La fonction RSSI est-elle impliquée, directement ou au moins à titre de contrôle, dans les processus de prise en compte de la 4 E2
sécurité dans les projets ?
10A02 Gestion des changements
10A02-01 Toute demande de changement relative à une application fait-elle l'objet d'une procédure de revue formelle (demandeur, 2 E2 12.5.1
justification, processus de décision) ?
10A02-02 Les mises à jour automatiques des logiciels sont-elles rendues impossibles ? 2 R2 12.5.1
10A02-03 Tient-on à jour les versions de chaque logiciel ? 2 E2 12.5.1
10A02-04 Tient-on à jour les documentations de l'ensemble des logiciels ? 2 E2
10A02-05 À l'occasion de modification des systèmes d'exploitation, procède-t-on à une revue et à des tests de l'impact de ces modifications 4 E2 12.5.2
sur les applications ?
10A02-06 La procédure de gestion des changements inclut-elle l'obligation de tests de non régression ? 4 E2 12.5.2
On appelle test de non régression, un test cherchant à vérifier que les modifications apportées n'affectent pas les caractéristiques et
les performances des autres fonctions de l'application.
10A02-07 L'impact des changements apportés dans les applications sur les plans de continuité est-il pris en compte ? 2 E2 12.5.2; 14.1.5
10A03 Externalisation du développement logiciel (développement en sous-traitance)

Mise à jour : janvier 2010 464752531.xls ! 10 Dev page 189


Questionnaire d'audit : Sécurité des projets et développements applicatifs 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Type ISO 27002
10A03-01 Lorsque le développement logiciel est sous-traité, a-t-on pris soin de régler les questions d'accord de licence et de propriété 2 E2 12.5.5
intellectuelle du code développé ?
10A03-02 Des exigences contractuelles relatives à la sécurité du code ont-elles été formalisées ? 2 2 E2 12.5.5
10A03-03 Un droit d'accès permettant de vérifier la qualité des travaux réalisés en sous-traitance a-t-il été prévu ? 2 2 E2 12.5.5
10A03-04 A-t-on prévu des essais préalables à l'installation d'une nouvelle application en vue de détecter les codes malveillants éventuels ? 2 E2 12.5.5
10A03-05 A-t-on pris des dispositions relatives au dépôt sécurisé du code source et de tous les documents d'accompagnement en cas de 2 2 E2 12.5.5
manquement du tiers ?
10A04 Organisation de la maintenance applicative
10A04-01 La maintenance applicative dispose-t-elle d'un centre technique de support logiciel garantissant une assistance immédiate en cas 2 E1
de difficulté ou de bogue ?
10A04-02 Existe-t-il une convention (ou entente) de service particulière pour tous les logiciels demandant une forte disponibilité et dont la 4 2 E2
maintenance courante ne pourrait s'effectuer dans des délais acceptables ?
10A04-03 Cette convention de service prévoit-elle les conditions d'escalade en cas de difficulté d'intervention et les possibilités et conditions 4 3 E2
d'appel aux meilleurs spécialistes ?
10A04-04 A-t-on l'assurance que les capacités et disponibilités de l'équipe de maintenance lui permette de répondre de manière satisfaisante 4 2 E2
aux demandes de maintenance des utilisateurs ?
Il convient de prendre en compte les périodes de week-end ou de congés.
10A04-05 Le respect des conventions de service relatives à la maintenance fait-il l'objet d'un audit régulier ? 2 3 C1
10A05 Modification des progiciels
10A05-01 Évite-t-on au maximum de modifier les progiciels ? 2 E2 12.5.3
10A05-02 En cas de modification de progiciels applique-t-on un contrôle strict de ces modifications ? 2 E2 12.5.3
10A05-03 En particulier a-t-on obtenu le consentement de l'éditeur pour effectuer ces modifications ? 2 E2 12.5.3
10A05-04 A-t-on examiné les conséquences de ces modifications sur la maintenance assurée par l'éditeur ? 2 2 E2 12.5.3
10B Sécurité des processus de développement et de maintenance
10B01 Sécurité des processus des développements applicatifs
10B01-01 Les procédures de développement imposent-elles une séparation stricte des tâches entre spécification détaillée, conception, test 4 E1
unitaire et intégration, avec attribution au personnel de développement, pour chaque projet, de profils spécifiques caractéristiques
du type de tâche ?
10B01-02 L'affectation de profil et de tâches au personnel de développement est-elle faite de manière individuelle et nominative ? 2 2 E2
10B01-03 Garde-t-on une trace des tâches effectuées par chaque membre du personnel de développement ? 2 E2
10B01-04 Les environnements de développement, de test et d'intégration sont-ils distingués et séparés ? 4 E1 12.4.1
10B01-05 A-t-on pour défini, pour ces environnements, des droits d'accès distincts en fonction des profils et des projets ? 4 E2
Le principe étant qu'il soit nécessaire d'avoir le bon profil pour le bon projet pour avoir accès à l'environnement correspondant.
10B01-06 Le protocole d'authentification du personnel de développement détenant des droits privilégiés est-il considéré comme "fort" ? 4 4 E3
Un protocole d'authentification est considéré comme fort s'il n'est pas susceptible d'être mis en brèche par une observation ou une
écoute de réseau, ni mis en défaut par des outils de spécialistes (en particulier des outils de craquage de mots de passe). Il s'agit de
protocole s'appuyant généralement sur des procédés cryptologiques.

10B01-07 A défaut, s'il s'agit de mots de passe, les règles imposées peuvent-elles être considérées comme très strictes ? 2 E2
Des règles très strictes supposent des mots de passe non triviaux, des mélanges de différents types de caractères avec une
longueur importante (10 caractères ou +). Il est souhaitable que de telles règles soient élaborées en accord avec le RSSI.

Mise à jour : janvier 2010 464752531.xls ! 10 Dev page 190


Questionnaire d'audit : Sécurité des projets et développements applicatifs 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Type ISO 27002
10B01-08 Les procédures de développement imposent-elles qu'une personne ne soit jamais seule responsable d'une tâche ? 2 R1
10B01-09 Les procédures de développement imposent-elles, pour les fonctions sensibles, une vérification du code par une équipe 4 3 R2
indépendante ?
10B01-10 Les procédures de développement imposent-elles une validation formelle, par les utilisateurs, de la couverture des tests 4 E2
fonctionnels ?
10B01-11 Les procédures de développement imposent-elles une validation formelle, par la fonction sécurité, de la couverture des tests relatifs 4 3 E3
aux fonctions ou dispositifs de sécurité ?

10B01-12 En cas de développements confiés à des sociétés de services informatiques ou de progiciels, les conditions ci-dessus sont-elles 2 E1
imposées contractuellement à l'éditeur, au partenaire ou au sous-traitant ?
10B01-13 Les paramètres de contrôle de la gestion des droits attribués au personnel de développement sont-ils sous contrôle strict ? 4 C2
Un contrôle strict requiert que la liste des personnes habilitées à changer les profils par projets attribués au personnel de
développement et les paramètres de contrôle d'accès aux environnements et objets de développement soit très limitée, qu'il existe
un contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.
10B01-14 L'organisation des tâches au sein des équipes de développement et l'application des règles de séparation des tâches et de contrôle 2 C1
font-elles régulièrement l'objet d'un audit ?

10B02 Protection de la confidentialité des développements applicatifs


10B02-01 Les procédures de développement imposent-elles une analyse de la confidentialité des applications développées permettant 4 E1
d'obtenir une classification des objets mis en oeuvre au cours des développements (documentation, code source, code objet, notes
d'étude, etc.) ?
10B02-02 En cas de développement portant sur une application confidentielle, existe-t-il des procédures particulières de gestion de la 4 E1
documentation ?
10B02-03 En cas de développement portant sur une application confidentielle, a-t-on mis en place des profils permettant de limiter la diffusion 4 2 E1
d'information confidentielle aux seules personnes en ayant réellement besoin ?

10B02-04 Les codes sources, objets et la documentation font-ils l'objet d'une procédure de gestion d'accès stricte précisant, en fonction des 4 2 E2 12.4.3
phases de développement, les profils ayant accès à ces éléments ainsi que les conditions de stockage et de contrôle d'accès
correspondantes ?
Une procédure et des conditions de gestion d'accès strictes doivent permettre de garantir que tout accès au code ou à la
documentation est fait par une personne autorisée dans des conditions autorisées.
10B02-05 Les paramètres de contrôle de la gestion des droits attribués au personnel de développement sont-ils sous contrôle strict ? 2 3 R2
Un contrôle strict requiert que la liste des personnes habilitées à changer les profils par projets attribués au personnel de
développement et les paramètres de contrôle d'accès aux environnements et objets de développement soit très limitée, qu'il existe
un contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.
10B02-06 Les processus qui assurent le filtrage des accès aux objets de développement (documentation et codes) sont-ils sous contrôle 2 3 R3
strict ?
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus de filtrage d'accès (y compris des processus visant à détecter les
tentatives de modification et les processus de réaction à ces tentatives de modification).
10B02-07 En cas de développements confiés à des sociétés de services informatiques ou de progiciels, les conditions ci-dessus sont-elles 2 2 E1
imposées contractuellement à l'éditeur, au partenaire ou au sous-traitant ?
10B02-08 La gestion des droits d'accès aux objets de développement et les procédures et mécanismes de protection font-ils régulièrement 2 3 C1
l'objet d'un audit ?
10B03 Sécurité relative aux traitements internes des applications
10B03-01 Lors de la conception ou de la mise en oeuvre des applications, procède t-on à une étude détaillée des défaillances de traitement 4 E2 12.2.2
pouvant donner lieu à des pertes d'intégrité ?
10B03-02 En particulier s'est-on assurer que l'utilisation des fonctions "Ajouter", "Modifier", "Supprimer" ne pouvait pas entraîner des pertes 2 E2 12.2.2
d'intégrité (intégrité référentiel, etc …) ?

Mise à jour : janvier 2010 464752531.xls ! 10 Dev page 191


Questionnaire d'audit : Sécurité des projets et développements applicatifs 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Type ISO 27002
10B03-03 L'ordre d'exécution des traitements a-t-il été validé et a-t-on prévu leur enchaînement après l'échec d'un traitement antérieur ? 2 E2 12.2.2
10B03-04 A-t-on prévu une lutte contre les attaques par dépassement de la mémoire tampon ? 2 E2 12.2.2
10B04 Protection des données d'essai
10B04-01 Dans le cadre d'essais, évite-t-on d'utiliser les bases de données de production contenant des informations personnelles ou tout 4 E1 12.4.2
autre information sensible ?
10B04-02 Si des données personnelles ou sensibles doivent malgré tout être utilisées, prend on le soin de supprimer les détails et contenus 2 2 E2 12.4.2
sensibles avant de les utiliser (ou de les modifier afin de les rendre anonymes) ?
10B04-03 Dans le cas d'utilisation des données d'exploitation, les procédures de contrôle d'accès qui s'appliquent aux applications en 2 2 E2 12.4.2
exploitation s'appliquent-elles également aux applications d'essais ?
10B04-04 Les informations d'exploitation utilisées sur une application d'essai sont-elles effacées immédiatement après la fin des essais ? 2 E2 12.4.2
10B04-05 Journalise-t-on toute reproduction ou utilisation de données d'exploitation lors des essais afin de créer une trace d'audit ? 2 C1 12.4.2
10B05 Sécurité de la maintenance applicative
10B05-01 Les procédures de maintenance applicative imposent-elles une séparation stricte des tâches entre spécification détaillée, 4 E1
conception, test unitaire et intégration, avec attribution au personnel de maintenance, pour chaque projet, de profils spécifiques
caractéristiques du type de tâche ?
10B05-02 L'affectation de profil et de tâches au personnel de maintenance applicative est-elle faite de manière individuelle et nominative ? 2 2 E2
10B05-03 Garde-t-on une trace des tâches effectuées par chaque membre du personnel de maintenance ? 2 2 E2
10B05-04 Les environnements de maintenance applicative, de test et d'intégration sont-ils distingués et séparés ? 4
10B05-05 A-t-on défini, pour ces environnements, des droits d'accès distincts en fonction des profils et des projets ? 4 E2
Le principe étant qu'il soit nécessaire d'avoir le bon profil pour le bon projet pour avoir accès à l'environnement correspondant.
10B05-06 Le protocole d'authentification du personnel de maintenance détenant des droits privilégiés est-il considéré comme "fort" ? 4 4 E3
Un protocole d'authentification est considéré comme fort s'il n'est pas susceptible d'être mis en brèche par une observation ou une
écoute de réseau, ni mis en défaut par des outils de spécialistes (en particulier des outils de craquage de mots de passe). Il s'agit de
protocole s'appuyant généralement sur des procédés cryptologiques.

10B05-07 À défaut, s'il s'agit de mots de passe, les règles imposées peuvent-elles être considérées comme très strictes ? 2 E2
Des règles très strictes supposent des mots de passe non triviaux, des mélanges de différents types de caractères avec une
longueur importante (10 caractères ou +). Il est souhaitable que de telles règles soient élaborées en accord avec le RSSI.

10B05-08 Les procédures de maintenance applicative imposent-elles qu'une personne ne soit jamais seule responsable d'une tâche ? 2 E2

10B05-09 Les procédures de maintenance applicative imposent-elles, pour les fonctions sensibles, une vérification du code par une équipe 4 3 E2
indépendante ?
10B05-10 Les procédures de maintenance applicative imposent-elles une validation formelle, par les utilisateurs, de la couverture des tests 4 E2
fonctionnels ?
10B05-11 Les procédures de maintenance applicative imposent-elles une validation formelle, par la fonction sécurité, de la couverture des 4 3 E3
tests relatifs aux fonctions ou dispositifs de sécurité ?
10B05-12 En cas de maintenance applicative confiée à l'éditeur ou une société de services informatiques, les conditions ci-dessus sont-elles 2 E1
imposées contractuellement au partenaire ou sous-traitant ?
Note : lorsque la maintenance est assurée par l'éditeur et/ou se trouve délocalisée dans un pays tiers et lointain, les garanties
accordées quant au respect des conditions de maintenance devront être examinées avec circonspection.

Mise à jour : janvier 2010 464752531.xls ! 10 Dev page 192


Questionnaire d'audit : Sécurité des projets et développements applicatifs 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Type ISO 27002
10B05-13 Les paramètres de contrôle de la gestion des droits attribués au personnel de maintenance applicative sont-ils sous contrôle strict ? 4 C2
Un contrôle strict requiert que la liste des personnes habilitées à changer les profils par projets attribués au personnel de
maintenance applicative et les paramètres de contrôle d'accès aux environnements et objets de développement soit très limitée,
qu'il existe un contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications soient journalisées et auditées.

10B05-14 L'organisation des tâches au sein de la maintenance applicative et l'application des règles de séparation des tâches et de contrôle 2 C1
font-elles régulièrement l'objet d'un audit ?
10B06 Maintenance à chaud
10B06-01 La maintenance "à chaud" faite directement dans l'environnement de production fait-elle l'objet d'une procédure de déclenchement 4 2 E1
formelle incluant, en particulier, l'accord formel du Directeur de la production et du responsable du domaine applicatif (ou
propriétaire des données) concerné ?
10B06-02 Procède-t-on, avant toute maintenance à chaud, à une sauvegarde complète de l'environnement de production (systèmes et 4 2 E2
applicatifs) permettant de revenir à la situation antérieure en cas de problème ?
10B06-03 Procède-t-on, avant toute maintenance à chaud, à une sauvegarde complète des données de production (en synchronisme) 4 2 E2
permettant de revenir à la situation antérieure en cas de problème ?
10B06-04 Conserve-t-on, lors des opérations de maintenance à chaud, une trace de toutes les opérations effectuées et commandes lancées, 4 E2
afin d'être capable de mener des investigations, voire de faire marche arrière, dans le cas où la séquence d'opérations s'est mal
terminée ?
10B06-05 Les procédures de maintenance à chaud et leur application font-elles l'objet d'un audit régulier ? 4 3 C1

Mise à jour : janvier 2010 464752531.xls ! 10 Dev page 193


Commentaires

Mise à jour : janvier 2010 464752531.xls ! 10 Dev page 194


Mise à jour : janvier 2010 464752531.xls ! 10 Dev page 195
Mise à jour : janvier 2010 464752531.xls ! 10 Dev page 196
Mise à jour : janvier 2010 464752531.xls ! 10 Dev page 197
Mise à jour : janvier 2010 464752531.xls ! 10 Dev page 198
Mise à jour : janvier 2010 464752531.xls ! 10 Dev page 199
Questionnaire d'audit : Protection des postes de travail utilisateurs 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
11A Sécurité des procédures d'exploitation du parc de postes utilisateurs
11A01 Contrôle de l'installation de nouvelles versions de progiciels ou systèmes sur les postes utilisateurs
11A01-01 Les décisions d'évolution de version des progiciels utilisateurs font-elles l'objet de procédures de contrôle (enregistrement, planning, 4 E1 10.1.2; 10.3.1
approbation formelle, communication à l'ensemble des personnes concernées, etc.) ?

11A01-02 Les nouvelles versions sont-elles testées sur sites pilotes avant généralisation à l'ensemble du parc ? 2 E2
11A01-03 Le déclenchement à distance de nouvelles installations sur les postes utilisateurs est-il réservé à une population limitée 2 E2
d'administrateurs spécifiques du parc bureautique ?

11A01-04 Les paramétrages de sécurité et règles de configuration des postes utilisateurs font-ils l'objet d'une liste précise tenue à jour? 4 E3 10.3.2

11A01-05 Les paramétrages de sécurité et règles de configuration sont-ils contrôlés après toute évolution de configuration des postes 4 E3 10.3.2
utilisateurs ?
11A01-06 L'impact éventuel des évolutions de configuration des postes utilisateurs sur les plans de continuité a-t-il été pris en compte ? 2 E2 10.3.2

11A01-07 L'ensemble des procédures de contrôle des configurations utilisateurs fait-il l'objet d'un audit régulier ? 2 3 C1
11A02 Contrôle de la conformité des configurations utilisateurs
11A02-01 A-t-on établi une liste des logiciels autorisés sur les postes de travail des utilisateurs ? 4 E2
Cette liste devrait comprendre les versions de référence autorisées et éventuellement les options de paramétrage.
11A02-02 A-t-on établi une liste des matériels additionnels autorisés sur les postes de travail des utilisateurs ? 4 E2
Cette liste devrait comprendre les versions de référence autorisées et éventuellement les options de paramétrage.
11A02-03 Ces listes sont-elles protégées contre toute modification illicite par un processus de scellement de grande robustesse ? 2 R2
11A02-04 Les droits accordés aux utilisateurs les empêchent-ils de modifier par eux-mêmes les configurations systèmes (ajouts de matériels 4 E2
ou de logiciels) ?
11A02-05 Contrôle-t-on régulièrement la conformité des configurations matérielles des postes de travail des utilisateurs par rapport à la liste 4 2 E3 15.2.2
des options autorisées ?
11A02-06 Contrôle-t-on régulièrement la conformité des configurations logicielles des postes de travail des utilisateurs par rapport à la liste 4 2 E3 15.2.2
des options autorisées ?
11A02-07 L'inhibition du processus de contrôle déclenche-t-elle une alarme auprès d'un responsable ? 4 3 E3
11A02-08 Contrôle-t-on également que les utilisateurs ne possèdent pas les droits d'administration nécessaires à l'installation de nouveaux 2 3 E3
matériels ou logiciels ?
11A02-09 Les processus de contrôle font-ils eux-mêmes l'objet d'un audit régulier ? 4 C1
11A03 Contrôle des licences des logiciels et progiciels
11A03-01 La politique de sécurité précise-t-elle qu'il est strictement interdit de posséder sur son poste tout logiciel non accompagné d'une 4 E1 15.1.2
licence en règle ?
11A03-02 Tient-on à jour en permanence un inventaire des logiciels officiellement installés et déclarés sur chaque poste de travail ? 2 E2 15.1.2
11A03-03 Procède-t-on à des contrôles fréquents visant à vérifier que les logiciels installés sont conformes aux logiciels déclarés ou qu'ils 4 2 E2 15.1.2
possèdent une licence en règle ?
11A03-04 Ces contrôles visent-ils l'intégralité du parc d'ordinateurs ? 2 3 E3
11A03-05 Ces contrôles font-ils l'objet d'un audit régulier ? 2 3 C1
11A04 Contrôle de la conformité des programmes de référence (Sources et exécutables) des logiciels utilisateurs

Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 200


Questionnaire d'audit : Protection des postes de travail utilisateurs 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
11A04-01 La production informatique gère-t-elle une version de référence pour chaque produit installé sur les postes utilisateurs (source et 4 2 E1 12.4.1
exécutable) ?
11A04-02 Cette version de référence est-elle protégée contre toute altération ou modification illicite (support signé conservé par un 2 R1
responsable de haut rang, scellement électronique, etc.) ?
11A04-03 Cette protection est-elle considérée comme inviolable (scellement par un algorithme cryptographique approuvé par le RSSI) ? 4 R2
11A04-04 Y a-t-il un contrôle automatique du sceau de protection (ou à défaut d'une signature déposée) à chaque nouvelle installation sur un 4 R2
poste utilisateur ?
11A04-05 Effectue-t-on un contrôle d'authenticité de l'origine et d'intégrité du contenu lors de la réception sur support d'un module 4 E2
"maintenance" ou d'une nouvelle version du fournisseur de progiciel ?
11A04-06 Procède-t-on régulièrement à des audits des procédures de protection des programmes de référence ? 4 C1
11A05 Gestion des prestataires ou fournisseurs de services de gestion et d'administration du parc de postes utilisateurs
11A05-01 S'assure-t-on régulièrement que les services de sécurité mis en œuvre par des prestataires ou fournisseurs de services de gestion 4 C1 10.2.1
ou d'administration du parc de postes utilisateurs sont effectivement assurés par lesdits prestataires ou fournisseurs ?
11A05-02 S'assure-t-on que les prestataires ou fournisseurs de services de gestion ou d'administration du parc de postes utilisateurs ont 2 E2 10.2.1
effectivement prévu les dispositions nécessaires pour être à même d'assurer les prestations de services convenues ?
11A05-03 Le respect des clauses de sécurité, par les prestataires ou fournisseurs, fait-il l'objet de revues régulières ? 4 E1 10.2.2
11A05-04 S'assure-t-on que les prestataires ou fournisseurs de services de gestion ou d'administration du parc de postes utilisateurs 4 E2 10.2.2
signalent et documentent tout incident de sécurité touchant l'information ou les réseaux ?
11A05-05 Y a-t-il une revue régulière de ces incidents ou des dysfonctionnements avec les prestataires ou fournisseurs concernés ? 2 E2 10.2.2
11A05-06 Tout changement dans les relations contractuelles (obligations diverses, niveaux de service, etc.) fait-il l'objet d'une analyse des 2 E3 10.2.3
risques induits potentiels ?
11B Protection des postes de travail
11B01 Contrôle d'accès au poste de travail
11B01-01 L'accès au poste de travail en lui-même (hors connexion au réseau) est-il protégé par un mot de passe ou un système 4 E1
d'authentification ?
11B01-02 Le processus de création ou de modification de l'authentifiant vérifie-t-il le respect d'un ensemble de règles permettant d'avoir 4 E1 11.2.3
confiance dans sa solidité intrinsèque ?
Dans le cas de mots de passe : longueur suffisante (8 caractères ou +), mélange obligatoire de types de caractères, changement
fréquent (<1 mois), impossibilité de réutiliser un mot de passe ancien, test de non trivialité fait en relation avec un dictionnaire,
interdiction des "standards systèmes", des prénoms, de l'anagramme de l'identifiant, de dates, etc.
Dans le cas de certificats ou d'authentification reposant sur des mécanismes cryptologiques utilisant des clés de chiffrement :
longueur de clé suffisante, processus de génération évalué ou reconnu publiquement, etc.

11B01-03 Le processus de présentation par l'utilisateur de son authentifiant garantit-il son inviolabilité ? 4 E2
La frappe d'un mot de passe sera toujours un point faible notable. Les seuls processus qui soient observables sans divulguer
d'information consistent soit à introduire un objet contenant un secret (carte à puce), soit à présenter un caractère biométrique.
11B01-04 Le processus d'authentification est-il permanent (carte à puce) ? 2 E2
11B01-05 Si le processus d'authentification n'est pas permanent, doit-il être réinitialisé après une courte période d'inactivité ? 2 E2
11B01-06 Le poste de travail est-il protégé contre toute introduction de logiciel par d'autres personnes que les administrateurs du poste ? 2 E1

11B01-07 Existe-t-il une procédure qui permette à un administrateur autorisé d'accéder au poste de travail en cas de départ ou de disparition 2 E2
de son titulaire ?
11B01-08 Le poste de travail est-il protégé contre toute utilisation par d'autres personnes que les titulaires du poste (en particulier en cas 3 E2 11.3.2
d'absence momentanée du titulaire, au-delà d'une durée tolérable, 10' par exemple) ?

Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 201


Questionnaire d'audit : Protection des postes de travail utilisateurs 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
11B01-09 L'interruption du service de contrôle d'accès au poste de travail est-elle détectée dynamiquement lors de la connexion au réseau 2 R1
d'entreprise ?
11B01-10 Procède-t-on à des audits réguliers des procédures et des services de contrôle d'accès ? 3 C1
11B02 Travail en dehors des locaux de l'entreprise
11B02-01 A-t-on établi une politique de sécurité et des recommandations relatives au travail en dehors des locaux de l'entreprise ? 4 E1 9.2.5; 11.7.1;
Les recommandations et directives devraient traiter des précautions à prendre aussi bien dans des situations de travail à domicile, 11.7.2
qu'en déplacement ou dans les transports publics et couvrir la protection des micro-ordinateurs portables, l'utilisation du pare-feux
et de l'antivirus à jour, les connexions à des réseaux publics ou tiers, les précautions à prendre concernant les documents écrits, les
messageries instantanées et les conversations téléphoniques et orales.
11B02-02 A-t-on établi une politique de sécurité et des recommandations relatives au télétravail (avec connexion au réseau de l'entreprise) ? 4 E1 11.7.2
Les recommandations et directives devraient traiter des précautions et moyens à prendre et couvrir la sécurité des connexions au
réseau d'entreprise (authentification renforcée, VPN, etc.), la restriction éventuelle des autorisations d'accès, les précautions à
prendre concernant l'utilisation du poste personnel par d'autres personnes que le titulaire du poste (famille, amis, etc.), etc.

11B02-03 La politique de sécurité interdit-elle formellement d'emporter en dehors de l'entreprise des documents classifiés comme importants 4 E2 9.2.5; 11.71
ou ayant valeur de preuve ?
11B02-04 Les personnes susceptibles de travailler en dehors des locaux de l'entreprise reçoivent-elles une sensibilisation et une formation 4 E2 9.2.5; 11.71
sur les mesures à appliquer pour protéger les documents utilisés, leurs systèmes et les données qu'ils contiennent ?
Ces protections concernent la sécurité physique et logique contre le vol mais aussi les indiscrétions ou les accès non autorisés par
la famille tout autant qu'en public.
11B02-05 Les moyens informatiques utilisés pour le travail en dehors des locaux de l'entreprise (micro-ordinateurs portables) sont-ils 2 E2 11.7.2
exclusivement des moyens de l'entreprise, configurés spécifiquement (en particulier s'ils permettent la connexion au réseau interne)
?

11B02-06 La configuration des moyens informatiques utilisés pour le travail en dehors des locaux de l'entreprise (micro-ordinateurs portables) 3 C1
est-elle régulièrement contrôlée ?
11B03 Utilisation d'équipements personnels ou externes (n'appartenant pas à l'entreprise)
11B03-01 A-t-on fait une analyse exhaustive de toutes les situations de travail ou d'échanges professionnels utilisant des équipements 4 E2
n'appartenant pas à l'entreprise ?
11B03-02 A-t-on fait une analyse exhaustive de toutes les possibilités de connexion de périphériques externes au Système d'Information de 4 E2
l'entreprise (ports USB, bluetooth, etc...) ?
11B03-03 Ces analyses sont-elles réactualisées régulièrement ? 2 C2
Il conviendra d'effectuer une veille technologique afin d'éclairer l'analyse sur l'existence de nouveaux équipements, ou de nouvelles
vulnérabilités.
11B03-04 En a-t-on déduit une politique de sécurité relative à l'utilisation d'équipements personnels dans le cadre du travail ? 2 E2 6.1.4; 11.7.2
Les directives devraient traiter de l'introduction et de l'utilisation d'équipements personnels tels que ordinateurs portables, assistants
numériques personnels (ANP ou PDA), disques externes, supports optiques, clés USB, etc.

11B03-05 A-t-on défini et mis en place des moyens de contrôle relatifs à l'usage d'équipements personnels ? (paramétrages spécifiques des 2 E2 6.1.4
systèmes d'exploitation, systèmes de filtrage, etc...)
11B03-06 Les moyens de contrôle sont-ils protégés contre toute tentative de désactivation ou de contournement ? 2 R1
11B03-07 Les procédures et les moyens de contrôle font-ils l'objet d'audit régulier ? 2 C1
11C Protection des données du poste de travail
11C01 Protection de la confidentialité des données contenues sur le poste de travail ou sur un serveur de données (disque
logique pour le poste de travail)

Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 202


Questionnaire d'audit : Protection des postes de travail utilisateurs 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
11C01-01 Les données sensibles contenues éventuellement sur le poste de travail ou sur un disque logique de données partagées hébergé 4 E2 11.7.1; 12.3.1
sur un serveur de données sont-elles chiffrées ?

11C01-02 Les éléments du processus de chiffrement sont-ils fortement protégés contre toute altération, modification ou arrêt ? 3 E3
11C01-03 Les postes de travail sont-ils équipés d'un système d'effacement empêchant effectivement de relire toute donnée effacée sur le 4 E2
disque local ou sur un disque partagé ?
11C01-04 Le poste de travail est-il équipé d'un système d'effacement réel et efficace des fichiers temporaires créés sur le disque local ou sur 4 E2
un disque partagé ?
11C01-05 Le processus ou les directives concernant le chiffrement des fichiers s'étend-il aux messages électroniques et à leurs pièces jointes 4 E2
?
11C01-06 Le processus ou les directives concernant le chiffrement des fichiers s'étend-il aux informations contenues dans les carnets 2 E3
d'adresses électroniques ?
11C01-07 Les utilisateurs ont-ils reçu une formation à l'utilisation des moyens de chiffrement et d'effacement des informations à supprimer, 2 E3
leur indiquant, en particulier, les conditions à respecter pour que ce chiffrement ne puisse être contourné ?
11C01-08 Procède-t-on à des audits réguliers de l'utilisation des moyens de chiffrement et d'effacement par les utilisateurs ? 3 C1
11C02 Protection de la confidentialité des données de l'environnement de travail personnel stockées sur support amovible
11C02-01 Les données sensibles stockées sur support amovible sont-elles chiffrées ? 4 E2
11C02-02 Les éléments du processus de chiffrement sont-ils fortement protégés contre toute altération, modification ou inhibition ? 4 E3
11C02-03 Le processus de chiffrement est-il appliqué quelque soit le type de support (disque externe, clé USB, PDA, etc.) 4 E2
11C03 Prise en compte de la confidentialité lors des opérations de maintenance des postes utilisateurs
11C03-01 Existe-t-il une procédure décrivant en détail les opérations à effectuer, avant de faire appel à la maintenance, pour empêcher que 4 E2 9.2.6
celle-ci ait accès aux informations sensibles éventuellement contenues sur le poste de travail (effacement physique des zones
sensibles, effacement des fichiers temporaires, conservation du disque, etc.) ?

11C03-02 Existe-t-il une procédure et une clause contractuelle vis-à-vis du personnel de maintenance (interne et externe), spécifiant que tout 2 E2
support ayant contenu des informations sensibles doit être détruit en cas de mise au rebut ?
11C03-03 Existe-t-il une procédure de vérification de l'intégrité des systèmes après intervention de la maintenance (absence de logiciel 3 E2
espion, absence de cheval de Troie, etc.) ?
11C03-04 Les procédures ci-dessus sont-elles obligatoires en toute circonstance et les dérogations éventuelles doivent-elles être signées par 3 R2
un membre de la Direction ?
11C03-05 Les procédures ci-dessus font-elles l'objet d'un audit régulier ? 3 C2
11C04 Protection de l'intégrité des fichiers contenus sur le poste de travail ou sur un serveur de données (disque logique pour le
poste de travail)
11C04-01 Les fichiers sensibles contenus éventuellement sur le poste de travail ou sur un disque logique de fichiers partagés hébergé sur un 4 E2
serveur de données sont-ils protégés par un mécanisme d'interdiction d'écriture et/ou de contrôle d'intégrité ?
Nota : un tel mécanisme peut autoriser la création de copies de travail modifiables tout en garantissant l'intégrité de l'original.
11C04-02 Les éléments du processus de contrôle d'intégrité sont-ils fortement protégés contre toute altération, modification ou arrêt ? 3 R2
11C04-03 Le processus ou les directives concernant le contrôle d'intégrité des fichiers s'étend-il aux messages électroniques et à leurs pièces 4 E2
jointes ?
11C04-04 Le processus ou les directives concernant le contrôle d'intégrité des fichiers s'étend-il informations contenues dans les carnets 4 E3
d'adresses électroniques ?
11C04-05 Les utilisateurs ont-ils reçu une formation à l'utilisation des moyens de contrôle d'intégrité, leur indiquant, en particulier, les 2 E2
conditions à respecter pour que ce contrôle ne puisse être contourné ?
11C04-06 Procède-t-on à des audits réguliers de l'utilisation des moyens de contrôle d'intégrité par les utilisateurs ? 3 C2

Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 203


Questionnaire d'audit : Protection des postes de travail utilisateurs 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
11C05 Sécurité de la messagerie électronique (courriels) et des échanges électroniques d'information
11C05-01 Existe-t-il une politique de sécurité propre à la messagerie électronique (courriel) définissant les précautions d'emploi et mesures de 2 E1 10.8.4
sécurité à mettre en oeuvre ?
11C05-02 Cette politique précise-t-elle les règles concernant l'utilisation d'adresse de courriel sur des espaces publics (site internet, forum, 2 E2
etc...) ?
Il conviendra par exemple d'utiliser des alias et non pas des adresses de boîte aux lettres personnelle.
11C05-03 Cette politique impose-t-elle que les message émis avec une haute importance soient systématiquement assortis d'un accusé de 3 E2
réception contrôlé par l'émetteur ?
11C05-04 Existe-t-il une politique de sécurité propre aux autres échanges électroniques d'information (conférence téléphonique, travail 2 E1 10.8.5
coopératif, partage de documents, services FTP, messagerie instantanée, etc.) définissant les précautions d'emploi et mesures de
sécurité à mettre en oeuvre ?

11C05-05 A-t-on mis en place un service de messagerie électronique chiffrée ? 3 E2 10.8.4


11C05-06 A-t-on mis en place un service de signature électronique ? 3 E3 10.8.4
11C05-07 A-t-on mis en place un service dédié à la collecte et au traitement des messages indésirables ? 3 E3
Les messages indésirables (spams, virus, fausses alertes de virus, etc...) doivent être immédiatement envoyés à ce service, qui
évaluera la menace et mettra en place les contre-mesures : filtrage spécifique, information interne, etc...
11C05-08 Les procédures et les instructions relatives à la sécurité de la messagerie électronique et des échanges électroniques d'information 2 C1
sont-elles régulièrement auditées ?

11C06 Protection des impressions sur imprimantes partagées


11C06-01 Les imprimantes partagées sont-elles situées dans des locaux à accès contrôlé ? 2
11C06-02 Le système de contrôle d'accès est-il considéré comme "fort" ? 4
11C06-03 Les accès aux locaux d'impression sont-ils réservés aux personnes d'un même service partageant les mêmes droits ? 4
11C06-04 Le personnel a-t-il la possibilité d'annuler une impression en attente de traitement, si nécessaire ? 4
11C06-05 Le personnel a-t-il la possibilité de détruire les éléments imprimés à rebuter de manière sécurisée ? 4
11C06-06 L'ensemble des mesures de protection des impressions sur imprimante partagée fait-il l'objet d'un audit régulier ? 2
11D Continuité de service de l'environnement de travail
11D01 Organisation de la maintenance du matériel mis à la disposition du personnel
11D01-01 Tous les matériels sont-ils couverts par un contrat de maintenance (micro-ordinateurs, périphériques, etc.) ? 2 E1 9.2.4
11D01-02 Existe-t-il des contrats de maintenance particuliers pour tous les matériels demandant une forte disponibilité dont la réparation ou le 2 E1
remplacement ne pourrait s'effectuer dans des délais acceptables ?
11D01-03 Ces contrats de maintenance prévoient-ils explicitement la mise à disposition d'un matériel équivalent ? 3 E1
11D01-04 Ces contrats prévoient-ils des engagements d'intervention dont la durée maximale est fixée au contrat et compatible avec les 2 E1
impératifs de disponibilité ?
11D01-05 Les contrats de maintenance, le choix des prestataires et les procédures de maintenance associées font-ils l'objet d'un audit 3 C1
régulier ?
11D02 Organisation de la maintenance du logiciel utilisateur (système d'exploitation et applications)
11D02-01 Existe-t-il des contrats de maintenance pour tous les produits logiciels installés sur les postes utilisateurs ? 2 E1
11D02-02 Les fournisseurs disposent-ils d'un centre technique de support logiciel garantissant une assistance téléphonique rapide et 2 E1
compétente ?
11D02-03 Existe-t-il des contrats de maintenance particuliers pour tous les logiciels systèmes demandant une forte disponibilité dont la 2 E1
maintenance courante ne pourrait s'effectuer dans des délais acceptables ?

Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 204


Questionnaire d'audit : Protection des postes de travail utilisateurs 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
11D02-04 Les contrats de maintenance et les procédures de maintenance associées font-ils l'objet d'un audit régulier ? 3 C1
11D03 Plans de sauvegardes des configurations utilisateurs
11D03-01 A-t-on établi un plan de sauvegarde, couvrant l'ensemble des paramètres de configuration des postes utilisateurs ? 4 E1 10.5.1
11D03-02 Ce plan de sauvegarde est-il traduit en automatismes de production ? 2 3 E2 10.5.1
11D03-03 Teste-t-on régulièrement que les sauvegardes des paramètres de configuration des postes utilisateurs permettent effectivement de 4 2 E2 10.5.1; 14.1.5
reconstituer l'environnement de travail des utilisateurs à partir de postes vierges ou d'une réinstallation complète, dans des temps
compatibles avec les exigences des métiers ?

11D03-04 Les automatismes de production assurant les sauvegardes des configurations utilisateurs sont-ils protégés par des mécanismes de 4 3 R1 10.5.1
haute sécurité contre toute modification illicite ou indue ?
Un tel mécanisme pourrait être un scellement électronique ou tout système de détection de modification équivalent.

11D03-05 L'ensemble des procédures et plans de sauvegarde des logiciels fait-il l'objet d'un audit régulier ? 2 3 C1
11D04 Plan de sauvegardes des données utilisateurs stockées sur serveurs de données
11D04-01 L'ensemble des données utilisateurs (stockées sur serveur de données) est-il systématiquement sauvegardé ? 4 3 E1 10.5.1
11D04-02 La fréquence des sauvegardes a-t-elle été communiquée aux utilisateurs ? 2 E1 10.5.1
11D04-03 Dispose-t-on systématiquement de plusieurs générations de fichiers de sauvegardes afin de pouvoir s'affranchir d'un manque ou 2 E2 10.5.1
d'un illisible, en organisant par exemple une rotation des supports de sauvegarde ?
11D04-04 Conserve-t-on systématiquement un jeu de sauvegardes trimestrielles ou semestrielles, afin de pouvoir servir d'archives de secours 2 E2 10.5.1
?
11D04-05 Les procédures de sauvegarde des données utilisateurs font-elles l'objet d'un audit régulier ? 3 C1
11D05 Plan de sauvegardes des données utilisateurs stockées sur les postes de travail
11D05-01 Les utilisateurs sont-ils sensibilisés et formés aux sauvegardes des données éventuellement stockées sur leur poste de travail ? 3 E1 10.5.1
11D05-02 L'ensemble des données utilisateurs (stockées sur les postes de travail) est-il systématiquement sauvegardé (à l'initiative des 4 E1 10.5.1; 11.7.1
utilisateurs, à fréquence fixe ou à l'occasion d'une connexion au réseau interne) ?
11D05-03 Les utilisateurs ont-ils la possibilité de déclencher eux-mêmes une sauvegarde en cas de besoin ? 4 E1 10.5.1
11D05-04 Dispose-t-on systématiquement de plusieurs générations de fichiers de sauvegardes afin de pouvoir s'affranchir d'un manque ou 2 E2 10.5.1
d'un illisible, en organisant par exemple une rotation des supports de sauvegarde ?
11D05-05 Conserve-t-on systématiquement un jeu de sauvegardes trimestrielles ou semestrielles, afin de pouvoir servir d'archives de secours 2 E2 10.5.1
?
11D05-06 Les procédures de sauvegarde des données utilisateurs font-elles l'objet d'un audit régulier ? 3 C1
11D06 Protection des postes utilisateurs contre des codes malveillants ou des codes exécutables non autorisés
11D06-01 A-t-on défini une politique afin de lutter contre les risques d'attaque par des codes malveillants (virus, chevaux de Troie, vers, etc.) : 2 E1 10.4.1
interdiction d'utiliser des logiciels non préalablement autorisés, mesures de protection lors de la récupération de fichiers via des
réseaux externes, revues de logiciels installés ?
11D06-02 Les postes de travail sont-ils pourvus de dispositifs de protection contre les virus et les codes malveillants ? 4 E1
11D06-03 Le produit anti-virus est-il régulièrement et automatiquement mis à jour ? 2 E1
Avec internet, l'instantanéité de la menace oblige à un contrôle de disponibilité d'une mise à jour au minimum quotidiennement.
11D06-04 Un analyse complète des fichiers du poste de travail est-elle régulièrement effectuée de façon automatique ? 2 E2
11D06-05 A-t-on défini les actions à mener par l'équipe d'assistance aux utilisateurs en cas d'attaque par des codes malveillants (alerte, 3 E2 10.4.1
actions de confinement, déclenchement de processus de gestion de crise, etc.) ?

Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 205


Questionnaire d'audit : Protection des postes de travail utilisateurs 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
11D06-06 L'équipe d'assistance aux utilisateurs a-t-elle la possibilité d'effectuer à tout moment une analyse complète de l'ensemble du parc 2 E2
des postes utilisateurs ?
11D06-07 A-t-on défini une politique et des mesures de protection pour lutter contre des codes exécutables (applets, contrôles activeX, etc.) 3 E2 10.4.2
non autorisés (blocage ou contrôle de l'environnement dans lequel ces codes s'exécutent, contrôle des ressources accessibles par
les codes mobiles, authentification de l'émetteur, etc.) ?
11D06-08 L'activation et la mise à jour des antivirus sur les postes utilisateurs font-elles l'objet d'un audit régulier ? 3 C1
11D07 Plans de Reprise d'Activité des postes utilisateurs
11D07-01 A-t-on identifié précisément les scénarios de sinistre pouvant affecter l'ensemble du parc des postes utilisateurs et analysé, pour 4 E1 14.1.3
chaque scénario, ses conséquences en termes de services rendus impossibles aux utilisateurs ?

11D07-02 A-t-on défini, pour chaque scénario et en accord avec les utilisateurs, un échéancier des services minimum à assurer en fonction du 4 2 E2 14.1.3
temps ?
Les services à assurer sont à considérer qualitativement et quantitativement (pourcentage du parc à remettre en opération)

11D07-03 A-t-on défini et mis en place, en conséquence et pour faire face à chaque scénario retenu, une solution de secours respectant les 4 2 E1 14.1.3
demandes des utilisateurs ?

11D07-04 Les ressources organisationnelles, techniques et humaines sont-elles suffisantes pour satisfaire les exigences de l'organisation ? 4 E2 14.1.3
Il faudra veiller à introduire des moyens permettant de pallier à des défaillances en personnel .

11D07-05 Les ressources organisationnelles et humaines sont-elles éduquées afin de pouvoir satisfaire les exigences de l'organisation ? 4 E2 14.1.3
Il faudra veiller à former tous les acteurs concernés.

11D07-06 Les solutions de continuité des services liés au parc de postes utilisateurs sont-elles décrites en détail dans des Plans de Reprise 4 E1 14.1.3
d'Activité (des postes utilisateurs) incluant les règles de déclenchement, les actions à mener, les priorités, les acteurs à mobiliser et
leurs coordonnées ?

11D07-07 Ces plans sont-ils testés au moins une fois par an ? 4 2 E2 14.1.5
11D07-08 Les tests effectués permettent-ils de garantir la capacité de la solution de secours à assurer, en pleine charge opérationnelle, les 4 3 E2 14.1.5
services minimum demandés par les utilisateurs ?
Les tests requis pour obtenir cette garantie reposent généralement sur des essais en vraie grandeur impliquant l'ensemble des
utilisateurs et pour chaque variante de scénario. Les résultats des tests doivent être consignés et analysés afin d'améliorer les
capacités de l'organisation à répondre aux situations envisagées.

11D07-09 Si les solutions de secours incluent des livraisons de matériels, qui ne peuvent être déclenchées lors des tests, existe-t-il un contrat 4 2 E2
d'engagement de livraison des matériels de remplacement dans des délais fixés et prévus au plan de secours, par le constructeur
ou un tiers (distributeur) ?
11D07-10 L'existence, la pertinence et la mise à jour des plans de reprise d'activité des postes utilisateurs font-elles l'objet d'un audit régulier ? 2 3 C1

11D07-11 La mise à jour des procédures citées dans le plan de secours des postes utilisateurs font-elles l'objet d'un audit régulier ? 2 3 C1
11D08 Gestion des moyens d'accès aux fichiers bureautiques
11D08-01 La liste des formats de fichiers bureautiques dont la lecture doit être assurée est-elle tenue à jour ? 4 3 E1
11D08-02 S'assure-t-on que les moyens matériels et logiciels nécessaires à la lecture de tous le types de fichiers bureautiques archivés sont 4 3 E1
disponibles ou facilement rendus disponibles ?
11D08-03 Les procédures d'attribution et de personnalisation des moyens de chiffrement et de protection des fichiers bureautiques 4 3 E2
garantissent-ils des possibilités d'accès aux fichiers, même en cas d'absence ou de départ de leurs propriétaires ?

Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 206


Questionnaire d'audit : Protection des postes de travail utilisateurs 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
11D08-04 Les moyens de recouvrement de clés d'accès ou de clés de chiffrement sont-ils protégés contre toute disparition accidentelle ou 4 3 E2
malveillante ?

11D08-05 Procède-t-on régulièrement à des audits des moyens et procédures garantissant la permanence des accès aux fichiers 2 3 E2
bureautiques ?

11E Contrôle des droits d'administration


11E01 Gestion des attributions de droits privilégiés sur les postes utilisateurs (droits d'administrateur)
11E01-01 A-t-on défini, au sein de l'équipe de gestion des postes utilisateurs, des profils correspondant à chaque type d'activité (assistance, 1 E1 10.1.3; 11.2.2
installation, maintenance, etc.) ?

11E01-02 A-t-on défini, pour chaque profil, les droits privilégiés nécessaires ? 4 2 E1 10.1.3
11E01-03 La procédure d'attribution de droits privilégiés nécessite-t-elle l'accord formel de la hiérarchie (ou du responsable de la prestation 4 2 E2 10.1.3
pour un prestataire) à un niveau suffisant ?
11E01-04 La procédure d'attribution de droits privilégiés n'est-elle attribuée qu'en fonction du profil du titulaire ? 4 2 E2 10.1.3
11E01-05 Le processus d'attribution (ou modification ou retrait) de droits privilégiés à un individu est-il strictement contrôlé ? 4 2 3 R1 11.2.2
Un contrôle strict requiert une reconnaissance formelle de la signature (électronique ou non) du demandeur, qu'il existe un contrôle
d'accès très renforcé pour pouvoir attribuer ou modifier de tels droits, et que les modifications d'attributions de droits privilégiés
soient journalisées et auditées.

11E01-06 Y a-t-il un processus d'invalidation systématique des droits privilégiés lors de départs ou mutations de personnel ? 2 E2 11.2.4
11E01-07 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits privilégiés attribués ? 1 2 C1 11.2.4
11E02 Authentification et contrôle des droits d'accès des administrateurs et personnels d'exploitation
11E02-01 La prise de contrôle d'un poste utilisateur nécessite-t-elle l'authentification de l'administrateur ? 4 4 E2
11E02-02 Le protocole d'authentification des administrateurs ou possesseurs de droits privilégiés est-il considéré comme "fort" ? 4 4 E2
Un protocole d'authentification est considéré comme fort s'il n'est pas susceptible d'être mis en brèche par une observation ou une
écoute de réseau, ni mis en défaut par des outils de spécialistes (en particulier des outils de craquage de mots de passe). Il s'agit
de protocole s'appuyant généralement sur des procédés cryptologiques.

11E02-03 A défaut, s'il s'agit de mots de passe, les règles imposées peuvent-elles être considérées comme très strictes ? 2 E2
Des règles très strictes supposent des mots de passe non triviaux et testés comme tels avant acceptation, des mélanges de
différents types de caractères avec une longueur importante (10 caractères ou +). Il est souhaitable que de telles règles soient
élaborées en accord avec le RSSI.

11E02-04 Y a-t-il un contrôle systématique des droits de l'administrateur, de son contexte et de l'adéquation de ces droits et du contexte avec 4 E2
l'accès demandé, en fonction de règles de contrôle d'accès formalisées ?

11E02-05 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2 R1


Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des authentifiants, les
authentifiants eux-mêmes, les règles de surveillance des tentatives de connexion, etc. soit très limitée, qu'il existe un contrôle
d'accès renforcé pour procéder à ces modifications, que les modifications soient journalisées et auditées et qu'il existe un audit
général au moins annuel de l'ensemble des paramètres de l'authentification.

Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 207


Questionnaire d'audit : Protection des postes de travail utilisateurs 1 variante 0
Référence Question P Max Min Typ ISO 27002
R-V1 R-V2 R-V3 R-V4
11E02-06 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3 R1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus de l'authentification.

11E02-07 Existe-t-il un audit régulier des paramètres de sécurité de protection des profils et des droits ? 4 3 C1
11E03 Surveillance des actions d'administration du parc de postes utilisateurs
11E03-01 A-t-on fait une analyse approfondie des événements ou successions d'événements menés avec des droits d'administration sur le 2 E2 10.10.4
parc de postes utilisateurs et pouvant avoir un impact sur la sécurité ?
11E03-02 Enregistre-t-on ces événements ainsi que tous les paramètres utiles à leur analyse ultérieure ? 4 E2 10.10.4
11E03-03 Existe-t-il un système permettant de détecter toute modification ou suppression d'un enregistrement passé et de déclencher une 4 2 E3 10.10.4
alerte immédiate auprès d'un responsable ?
11E03-04 Existe-t-il une synthèse de ces enregistrements permettant à la hiérarchie de détecter des comportements anormaux ? 4 3 E3 10.10.4
11E03-05 Existe-t-il un système permettant de détecter toute modification des paramètres d'enregistrement et de déclencher une alerte 4 2 E3 10.10.4
immédiate auprès d'un responsable ?
11E03-06 Toute inhibition du système d'enregistrement et de traitement des enregistrements d'actions menées sur les configurations du parc 4 E3 10.10.4
des postes utilisateurs déclenche-t-elle une alarme auprès d'un responsable ?
11E03-07 Les enregistrements ou les synthèses sont-ils protégés contre toute altération ou destruction ? 2 E2 10.10.4
11E03-08 Les enregistrements ou les synthèses sont-ils conservés sur une longue durée ? 2 E2 10.10.4
11E03-09 Les procédures d'enregistrement des actions privilégiées sur le parc des postes utilisateurs et de traitement de ces enregistrements 2 C1 10.10.4
font-elles l'objet d'un audit régulier ?

Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 208


Commentaires

Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 209


Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 210
Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 211
Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 212
Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 213
Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 214
Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 215
Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 216
Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 217
Mise à jour : janvier 2010 464752531.xls ! 11 Mic page 218
Questionnaire d'audit : Exploitation des télécommunications 1 variante 0
L'architecture et l'exploitation pour la "voix" sont souvent effectuées par une entité différente que pour les réseaux de "données"
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
12A Sécurité des procédures d'exploitation
12A01 Prise en compte de la sécurité dans les relations avec le personnel d'exploitation (salariés et prestataires)
12A01-01 A-t-on rédigé une politique de sécurité spécifique à l'usage du personnel d'exploitation des télécommunications ? 4 E1 9.2.1
Cette politique devrait traiter de la protection de l'information, mais aussi de la protection des biens et procédés et des
comportements interdits.
12A01-02 Fait-on signer au personnel d'exploitation des télécommunications employé par l'entreprise (quel que soit le statut, CDI, CDD, 4 E2
intérimaire, stagiaire, etc.) des clauses de respect de la politique de sécurité ?
12A01-03 Ces clauses précisent-elles que le personnel a l'obligation de ne pas favoriser les actions qui pourraient être menées par d'autres 4 3 E3
personnes au détriment de la sécurité ?
12A01-04 La signature de ces clauses constitue-t-elle un engagement formel du signataire ? 4 3 E2
Pour qu'il s'agisse d'un engagement formel, il est souhaitable que le signataire reconnaisse explicitement en avoir pris connaissance
et les accepter.

12A01-05 Les mêmes clauses sont-elles rendues obligatoires pour le personnel des entreprises intervenant dans l'exploitation des 4 2 E2
télécommunications ?
En pratique, cela conduit à faire obligation aux dites entreprises de les faire signer individuellement, et dans les mêmes conditions, à
son personnel.

12A01-06 Le personnel d'exploitation suit-il systématiquement une formation à la sécurité adaptée à sa fonction ? 2 E2
12A01-07 Les clauses de respect de la politique de sécurité signées par le personnel sont-elles conservées de manière sûre (au moins dans 2 3 R1
une armoire fermée à clé) ?
12A01-08 Les clauses de respect de la politique de sécurité signées par le personnel des entreprises contractées sont-elles conservées de 2 3 R1
manière sûre (au moins dans une armoire fermée à clé) ?
12A01-09 Y a-t-il un audit régulier, au moins une fois par an, de l'application effective des procédures de signature des clauses de 2 3 C1
confidentialité par le personnel d'exploitation (directement employé par l'entreprise ou par l'intermédiaire d'une société prestataire) ?

12A02 Contrôle de la mise en production de nouveaux équipements ou d'évolutions de systèmes existants


Équipements en téléphonie classique : PABX principalement
Avec la ToIP : call server, convertisseur vers la téléphonie classique (gateway), routeurs, commutateurs
S'y ajoutent les équipements destinés aux utilisateurs : terminal téléphonique, télécopie (de plus en plus "multifonction" car couplée
à des possibilités d'impression, de lecture optique et de photocopie partagées, ...), télé et visioconférence
Les systèmes fournissent les services de configuration, d'administration, d'annuaire, de facturation et de stockage (répondeur,
boîtes vocales, ...), etc.

12A02-01 Les décisions de changements majeurs des équipements et systèmes font-elles l'objet de procédures de contrôle (enregistrement, 4 E1 10.1.2; 10.3.1
planning, approbation formelle, communication à l'ensemble des personnes concernées, etc.) ?
La séparation éventuelle (physique ou logique, par VLAN) des flux de données et de "voix" doit être analysée lors du passage à la
ToIP et réévaluée en fonction des charges observée, de même en ce qui concerne les possibilités d'interconnexion entre les deux
réseaux

12A02-02 Les décisions de changement s'appuient-elles sur des analyses de la capacité des nouveaux équipements et systèmes à assurer la 2 E2 10.3.1
charge requise en fonction des évolutions des demandes prévisibles ?
12A02-03 Les installations sont-elles faites avec un souci de protection physique ? 2 E2 9.2.1
Accès protégé, absence de vue directe externe sur les équipements, absence de menaces physiques diverses, continuité de
l'alimentation électrique, conditions climatiques, protection contre la foudre, protection contre la poussière, etc.

Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 219


Questionnaire d'audit : Exploitation des télécommunications 1 variante 0
L'architecture et l'exploitation pour la "voix" sont souvent effectuées par une entité différente que pour les réseaux de "données"
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
12A02-04 Les nouvelles fonctionnalités (ou changements de fonctionnalités) liées à un nouveau système ou à une nouvelle version sont-elles 4 2 E2
systématiquement décrites dans une documentation (obligatoire avant tout passage en production) ?

12A02-05 Une revue formelle des nouvelles fonctionnalités (ou des changements de fonctionnalités) liées à un changement majeur de 2 E2 10.3.2
système est-elle systématiquement réalisée, avec le concours de la fonction sécurité informatique ?
12A02-06 Cette revue comprend-elle une analyse des risques éventuels pouvant naître à cette occasion ? 2 2 E2 10.3.2
12A02-07 L'exploitation a-t-elle reçu une formation spécifique à l'analyse des risques liés aux télécommunications ? 1 E3
Qu'il s'agisse de continuité de service comme de confidentialité et d'intégrité des échanges et des données
12A02-08 L'exploitation peut-elle faire appel à un support adapté pour de telles analyses de risques ? 4 E3
12A02-09 Les mesures de sécurité décidées pour remédier aux nouveaux risques mis en évidence font-elles l'objet de contrôles formels avant 4 2 E3 10.3.2
mise en production ?
12A02-10 Les paramétrages de sécurité et règles de configuration (suppression de tout compte générique, changement de tout mot de passe 4 E3 10.3.2; 11.4.4
générique, fermeture de tout port non explicitement demandé et autorisé, paramétrages du contrôle des droits et de
l'authentification, etc.) font-ils l'objet d'une liste précise tenue à jour?

12A02-11 Les paramétrages de sécurité et règles de configuration sont-ils contrôlés avant toute mise en exploitation d'une nouvelle version ? 4 E3 10.3.2; 11.4.4

12A02-12 L'impact éventuel des changements de systèmes sur les plans de continuité a-t-il été pris en compte ? 2 E2 10.3.2
12A02-13 Les dérogations au processus d'analyse de risque préalable et aux contrôles des paramètres de sécurité font-elles l'objet de 4 R1
procédures strictes avec signature d'un responsable de niveau élevé ?
12A02-14 La mise en production de nouvelles versions de systèmes ou applications n'est-elle possible que par le personnel d'exploitation ? 2 2 E3 6.1.4; 12.4.1
12A02-15 La mise en production de nouvelles versions de systèmes ou applications n'est-elle possible que selon un processus de validation 2 2 E3 6.1.4; 12.4.1
et d'autorisation défini ?
12A02-16 L'ensemble des procédures de contrôle de la mise en production fait-il l'objet d'un audit régulier ? 2 3 C1
12A03 Contrôle des opérations de maintenance
12A03-01 Conserve-t-on une trace de toute opération de maintenance ? 1 E2 9.2.4
12A03-02 Toute opération de maintenance doit-elle être conclue par un contrôle systématique des configurations physiques ou enregistrées et 4 2 E2
des paramètres de sécurité (tels que définis lors de la mise en production) ?

12A03-03 Toute opération de maintenance doit-elle être conclue par un contrôle systématique des paramètres d'enregistrement des 4 3 E3
événements de sécurité (événements à enregistrer, contextes des événements à enregistrer, durée de rétention, etc.) ?
12A03-04 Toute opération de maintenance doit-elle être conclue par un contrôle systématique des paramètres de contrôle de l'administration 4 3 E3
système (profil nécessaire, type d'authentification, suppression des login standards, etc.) ?
12A03-05 La non application des procédures ci-dessus doit-elle obligatoirement faire l'objet d'une dérogation formelle signée par un membre 4 E3
12A03-06 de
La la Direction
mise ? effective de ces contrôles fait-elle l'objet d'un audit régulier ?
en oeuvre 2 3 C1
12A04 Contrôle de la télémaintenance
12A04-01 En cas de télémaintenance, y a-t-il une procédure d'authentification forte du centre de télémaintenance ? 2 2 E2 11.4.4
12A04-02 En cas de télémaintenance, y a-t-il une procédure d'authentification forte de l'agent de maintenance ? 4 2 E2 11.4.4
12A04-03 Existe-t-il un ensemble de procédures couvrant l'attribution de droits d'utilisation à un nouvel opérateur, le retrait de droits, 2 E3 11.4.4
l'ouverture de droits pour les situations d'urgence ?
12A04-04 L'utilisation de la ligne de télémaintenance nécessite-t-elle l'agrément de l'exploitation (après que le constructeur ou l'éditeur ait 4 3 E3 11.4.4
envoyé une demande spécifiant la nature, la date et l'heure de l'intervention) ?

Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 220


Questionnaire d'audit : Exploitation des télécommunications 1 variante 0
L'architecture et l'exploitation pour la "voix" sont souvent effectuées par une entité différente que pour les réseaux de "données"
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
12A04-05 L'utilisation de la ligne de télémaintenance est-elle placée sous contrôle strict ? 4 3 E2
Un contrôle strict suppose un enregistrement de l'utilisation de la ligne, de l'agent de maintenance et des actions effectuées et un
audit, a posteriori, de la pertinence de ces actions et de leur conformité aux attentes des responsables de la maintenance

12A04-06 L'ensemble des procédures de gestion de la télémaintenance fait-il l'objet d'un audit régulier ? 2 3 C1
12A05 Gestion des procédures opérationnelles d'exploitation des télécommunications
12A05-01 Les procédures opérationnelles d'exploitation découlent-elles d'une étude de l'ensemble des cas à couvrir par ces procédures (cas 4 E2 10.1.1
normaux de fonctionnement et incidents) ?
12A05-02 Les procédures opérationnelles d'exploitation sont-elles documentées et maintenues à jour ? 4 E2 10.1.1
12A05-03 Les procédures opérationnelles d'exploitation sont-elles expliquées et rendues disponibles à toute personne en ayant besoin ? 4 E2 10.1.1
12A05-04 Les modifications de ces procédures sont-elles approuvées par le management ? 4 E2 10.1.1
12A05-05 Ces procédures sont-elles protégées contre des altérations illicites ? 2 R1
12A05-06 L'authenticité et la pertinence des procédures opérationnelles font-elles l'objet d'un audit régulier ? 2 C1
12A06 Gestion des prestataires ou fournisseurs de services télécoms
12A06-01 S'assure-t-on régulièrement que les services de sécurité mis en œuvre par des prestataires ou fournisseurs de services télécoms 4 C1 10.2.1
sont effectivement assurés par lesdits prestataires ou fournisseurs ?
12A06-02 S'assure-t-on que les prestataires ou fournisseurs de services télécoms ont effectivement prévu les dispositions nécessaires pour 2 E2 10.2.1
être à même d'assurer les prestations de services convenues ?
12A06-03 Le respect des clauses de sécurité, par les prestataires ou fournisseurs, fait-il l'objet de revues régulières ? 4 E1 10.2.2
12A06-04 S'assure-t-on que les prestataires ou fournisseurs télécoms signalent et documentent tout incident de sécurité touchant l'information 4 E2 10.2.2
ou les réseaux ?
12A06-05 Y a-t-il une revue régulière de ces incidents ou des dysfonctionnements avec les prestataires ou fournisseurs concernés ? 2 E2 10.2.2
12A06-06 Tout changement dans les relations contractuelles (obligations diverses, niveaux de service, etc.) fait-il l'objet d'une analyse des 2 E3 10.2.3
risques induits potentiels ?
12B Contrôle des configurations matérielles et logicielles
12B01 Paramétrage des équipements et contrôle de la conformité des configurations
12B01-01 Un inventaire précis des équipements est-il tenu à jour par les responsables concernés ? 2 E2
Spécialement dans le cas de la ToIP lors des déplacements d'équipements terminaux et de leur configuration (numéros d'appels de
secours programmés en particulier)

12B01-02 Existe-t-il un document (ou un ensemble de documents) ou une procédure opérationnelle spécifiant l'ensemble des configurations 4 2 E1
et des paramètres de sécurité des équipements et systèmes ?
Un tel document doit découler de la politique de sécurité et décrire l'ensemble des règles de filtrage décidées. Il devrait également
contenir les références des versions de systèmes pour pouvoir vérifier l'état des mises à jour.

12B01-03 Ce (ou ces) document impose-t-il de supprimer l'ensemble des comptes génériques ou par défaut et en établit-il la liste ? 4 2 E2 11.4.4
12B01-04 Les versions de systèmes et les correctifs à apporter, ainsi que les paramétrages, sont-ils régulièrement mis à jour en fonction de 2 3 E2 10.7.4; 12.6.1
l'état des connaissances ?
Ceci devrait se faire en relation avec un organisme expert (audits spécialisés, abonnement à un centre de service, consultation
régulière des avis des CERTs, etc.)

Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 221


Questionnaire d'audit : Exploitation des télécommunications 1 variante 0
L'architecture et l'exploitation pour la "voix" sont souvent effectuées par une entité différente que pour les réseaux de "données"
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
12B01-05 Ce document (ou cette procédure) impose-t-il la mise en place d'un dispositif de synchronisation avec un référentiel de temps précis 4 E3 10.10.6
?

12B01-06 Les documents de référence sont-ils protégés contre tout accès indu ou illicite, par des mécanismes forts ? 2 3 R1 10.7.4
12B01-07 L'intégrité des configurations par rapport aux configurations théoriquement attendues est-elle testée très régulièrement (au moins 4 2 E3 15.2.2
hebdomadairement, si ce n'est à chaque initialisation du système) ?
12B01-08 Procède-t-on à des audits réguliers des configurations et des paramètres de sécurité spécifiés ? 2 R1 15.2.2
12B01-09 Procède-t-on à des audits réguliers des procédures d'exception et d'escalade en cas de difficulté ou de problème d'installation ? 2 R1 15.2.2

12B01-10 Les systèmes de développement et de test sont-ils séparés des systèmes opérationnels ? 1 C1
12B01-11 Est-il possible de contrôler, en cas de besoin, la conformité de l'architecture et des configurations des équipements ? 2 2 R2
12B02 Contrôle de la conformité des programmes de référence
12B02-01 L'exploitation des télécommunications gère-t-elle une version de référence pour chaque produit mis en exploitation (source et 4 2 E1
12B02-02 exécutable)
Cette version? de référence est-elle protégée contre toute altération ou modification illicite (support signé conservé par un 2 R1
responsable de haut rang, scellement électronique, etc.) ?
12B02-03 Cette protection est-elle considérée comme inviolable (scellement par un algorithme cryptographique approuvé par le RSSI) ? 4 R2
12B02-04 Y a-t-il un contrôle automatique du sceau de protection (ou à défaut d'une signature déposée) à chaque nouvelle installation ? 4 R2
12B02-05 Effectue-t-on un contrôle d'authenticité de l'origine et d'intégrité du contenu lors de la réception sur support d'un module 4 E2
"maintenance" ou d'une nouvelle version du fournisseur de progiciel ou du constructeur (pour les systèmes opératoires) ?
12B02-06 Les utilitaires de scellement sont-ils protégés contre tout usage non autorisé ? 4 R2
12B02-07 L'inhibition du système de contrôle automatique des sceaux de protection déclenche-t-elle une alarme auprès d'un responsable ? 4 E3
12B02-08 Procède-t-on régulièrement à des audits des procédures de protection des programmes de référence ? 4 C1
12C Continuité de fonctionnement
12C01 Organisation de la maintenance des équipements
12C01-01 Tous les équipements sont-ils couverts par un contrat de maintenance ? 2 E1 9.2.4
12C01-02 Existe-t-il des contrats de maintenance particuliers pour tous les équipements demandant une forte disponibilité dont la réparation 4 E2
ou le remplacement ne pourrait s'effectuer dans des délais acceptables ?
12C01-03 Ces contrats prévoient-ils des engagements d'intervention dont la durée maximale est fixée au contrat et compatible avec les 4 2 E2
impératifs de disponibilité ?
12C01-04 Ces contrats prévoient-ils des horaires et jours d'intervention (24h/24, 7j/7, par exemple ) compatibles avec les impératifs de 4 2 E3
disponibilité ?
12C01-05 Ces contrats prévoient-ils les conditions d'escalade en cas de difficulté d'intervention ? 4 3 R1
12C01-06 Ces contrats prévoient-ils des clauses spécifiques lorsque l'indisponibilité du matériel dépasse la durée fixée au contrat (pénalités, 4 3 E3
remplacement du matériel, etc.) ?
Il est souhaitable que ces clauses soient générales et couvrent tous les cas sans exception (difficulté technique, grève du personnel,
etc.)
12C01-07 Les contrats de maintenance prévoient-ils le remplacement complet des équipements en cas d'endommagement important non 4 E3
susceptible d'être pris en charge par une maintenance curative ?
L'attention doit être portée sur la confidentialité des données stockées sur disque pour les équipements remplacés
12C01-08 Les contrats de maintenance, le choix des prestataires et les procédures de maintenance associées font-ils l'objet d'un audit régulier 2 3 C1
?

Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 222


Questionnaire d'audit : Exploitation des télécommunications 1 variante 0
L'architecture et l'exploitation pour la "voix" sont souvent effectuées par une entité différente que pour les réseaux de "données"
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
12C02 Organisation de la maintenance du logiciel (système et services attachés)
12C02-01 Existe-t-il des contrats de maintenance pour tous les produits logiciels provenant de sources externes installés (logiciels systèmes, 4 E1
middleware)?
12C02-02 Les fournisseurs disposent-ils d'un centre technique de support garantissant une assistance téléphonique rapide et compétente ? 2 E2

12C02-03 Existe-t-il des contrats de maintenance particuliers pour tous les logiciels (systèmes ou middleware) demandant une disponibilité 4 E2
telle que la maintenance courante ne pourrait s'effectuer dans des délais acceptables ?
12C02-04 Ces contrats prévoient-ils des engagements d'intervention dont la durée maximale est compatible avec les impératifs de disponibilité 4 2 E2
?
12C02-05 Ces contrats prévoient-ils des horaires et jours d'intervention (24h/24, 7j/7, par exemple ) compatibles avec les impératifs de 4 2 E3
disponibilité ?

12C02-06 Ces contrats prévoient-ils les conditions d'escalade en cas de difficulté d'intervention ? 4 3 R1
12C02-07 Ces contrats prévoient-ils des clauses spécifiques lorsque l'indisponibilité du matériel dépasse la durée fixée au contrat (pénalités, 4 3 E3
remplacement du matériel, etc.) ?
Il est souhaitable que ces clauses soient générales et couvrent tous les cas sans exception (difficulté technique, grève du personnel,
etc.)

12C02-08 Les contrats de maintenance, le choix des prestataires et les procédures de maintenance associées font-ils l'objet d'un audit régulier 2 3 C1
?
12C03 Sauvegarde des configurations logicielles (logiciels de base, de services et/ou paramètres de configuration)
12C03-01 A-t-on établi un plan de sauvegarde, couvrant l'ensemble des configurations et définissant les objets à sauvegarder et la fréquence 4 E1 10.5.1
des sauvegardes ?
12C03-02 Ce plan couvre-t-il également les paramètres de configuration des équipements de télécommunication ? 4 3 E2 10.5.1
12C03-03 Ce plan de sauvegarde est-il traduit en automatismes de production ? 2 3 E2 10.5.1
12C03-04 Teste-t-on régulièrement que les sauvegardes des configurations permettent effectivement de reconstituer à tout moment 4 2 E2 10.5.1; 14.1.5
l'environnement de production ?
On prendra en compte, pour ces tests, l'ensemble des sauvegardes (y compris documentation et fichiers de paramétrages) à
l'exclusion des éléments ne faisant pas l'objet de sauvegardes.

12C03-05 Les automatismes de production assurant les sauvegardes sont-ils protégés par des mécanismes de haute sécurité contre toute 4 3 R1 10.5.1
modification illicite ou indue ?
Un tel mécanisme pourrait être un scellement électronique ou tout système de détection de modification équivalent.
12C03-06 Procède-t-on régulièrement à des tests de relecture des sauvegardes ? 2 3 R2 10.5.1
12C03-07 L'ensemble des procédures et plans de sauvegarde des logiciels fait-il l'objet d'un audit régulier ? 2 3 C1
12C04 Plans de Reprise d'Activité
12C04-01 A-t-on identifié précisément les scénarios de sinistre pouvant affecter l'infrastructure et les services de télécommunication et 4 E1 14.1.3
analysé, pour chaque scénario, ses conséquences en termes de services non rendus aux utilisateurs ?
Avec la ToIP, s'ajoute le besoin de continuité de l'alimentation électrique et de reconfiguration des équipements terminaux
12C04-02 A-t-on défini, pour chaque scénario et en accord avec les utilisateurs, un échéancier des services minimum à assurer en fonction du 4 2 E2 14.1.3
temps ?
Les pertes d'information, les moyens de les reconstituer et les procédures opérationnelles intérimaires doivent être considérées.

12C04-03 A-t-on défini et mis en place, en conséquence et pour faire face à chaque scénario retenu, une solution de secours respectant les 4 2 E1 14.1.3
demandes des utilisateurs ?

Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 223


Questionnaire d'audit : Exploitation des télécommunications 1 variante 0
L'architecture et l'exploitation pour la "voix" sont souvent effectuées par une entité différente que pour les réseaux de "données"
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
12C04-04 Les ressources organisationnelles, techniques et humaines sont-elles suffisantes pour satisfaire les exigences de l'organisation ? 4 E2 14.1.3
Il faudra veiller à introduire des moyens permettant de pallier à des défaillances en personnel .

12C04-05 Les ressources organisationnelles et humaines sont-elles éduquées afin de pouvoir satisfaire les exigences de l'organisation ? 4 E2 14.1.3
Il faudra veiller à former tous les acteurs concernés.

12C04-06 Les solutions de continuité des services informatiques sont-elles décrites en détail dans des Plans de Reprise d'Activité incluant les 4 E1 14.1.3
règles de déclenchement, les actions à mener, les priorités, les acteurs à mobiliser et leurs coordonnées ?

12C04-07 Ces plans sont-ils testés au moins une fois par an ? 4 2 E2 14.1.5
12C04-08 Les tests effectués permettent-ils de garantir la capacité des personnels et des systèmes de secours à assurer, en pleine charge 4 3 E2 14.1.5
opérationnelle, les services minimum demandés par les utilisateurs ?
Les tests requis pour obtenir cette garantie reposent généralement sur des essais en vraie grandeur impliquant l'ensemble des
utilisateurs et pour chaque variante de scénario. Les résultats des tests doivent être consignés et analysés afin d'améliorer les
capacités de l'organisation à répondre aux situations envisagées.

12C04-09 Si les solutions de secours incluent des livraisons de matériels, qui ne peuvent être déclenchées lors des tests, existe-t-il un contrat 4 2 E2
d'engagement de livraison des matériels de remplacement dans des délais fixés et prévus au plan de secours, par le constructeur
ou un tiers (leaser, broker, autres) ?
12C04-10 Pour le cas de défaillance ou d'indisponibilité du moyen de secours, est-il prévu une solution de remplacement (back-up de 2 3 E2
deuxième niveau) ?
12C04-11 Cette solution (back-up de deuxième niveau) a-t-elle été testée ? 2 3 E3
12C04-12 La solution de secours est-elle utilisable pour une durée illimitée ou, à défaut, est-il prévu une deuxième solution venant en 2 3 E3
remplacement de la première après un temps déterminé ?
12C04-13 L'existence, la pertinence et la mise à jour des plans de reprise d'activité font-elles l'objet d'un audit régulier ? 2 3 C1
12C04-14 La mise à jour des procédures citées dans le plan de secours font-elles l'objet d'un audit régulier ? 2 3 C1
12C05 Gestion des systèmes critiques (vis-à-vis de la permanence de la maintenance)
12C05-01 A-t-on analysé les conséquences de la disparition d'un fournisseur (en cas de panne, de bug ou de nécessité d'évolution) pour en 2 E2
déduire une liste de systèmes critiques ?
Ceci vaut aussi bien pour les fournisseurs de matériel que de logiciels ou de services
12C05-02 Existe-t-il, pour l'ensemble des systèmes critiques, une solution palliative étudiée pour faire face à la disparition ou la défaillance du 2 E2
fournisseur (dépôt de la documentation de maintenance ou du code source chez un tiers de confiance, remplacement du système
par des systèmes standards, etc.) ?
12C05-03 A-t-on l'assurance que cette solution palliative pourra être rendue opérationnelle dans des délais compatibles avec la poursuite de 2 2 E2
l'activité et acceptés par les utilisateurs ?
12C05-04 A-t-on prévu des variantes de la solution de base au cas où celle-ci rencontrerait des difficultés imprévues ? 2 3 E3
12C05-05 Procède-t-on régulièrement à une revue des systèmes pouvant être critiques et des solutions palliatives prévues ? 2 3 C1
12D Utilisation des équipements terminaux
12D01 Contrôle des configurations utilisateurs mises en œuvre
12D01-01 A-t-on établi une liste des logiciels de télécommunication autorisés sur les postes de travail des utilisateurs ? 4 E2
Cette liste devrait comprendre les versions de référence autorisées et éventuellement les options de paramétrage
12D01-02 Ces listes sont-elles protégées contre toute modification illicite par un processus de scellement de grande robustesse ? 2 R2

Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 224


Questionnaire d'audit : Exploitation des télécommunications 1 variante 0
L'architecture et l'exploitation pour la "voix" sont souvent effectuées par une entité différente que pour les réseaux de "données"
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
12D01-03 En cas de matériel de télécommunication spécifique (téléphone, système de visio ou d'audio conférence, etc.), les configurations 4 E2
correspondantes sont-elles protégées contre toute modification faite par les utilisateurs ?
12D01-04 Contrôle-t-on régulièrement la conformité des configurations télécom des postes utilisateurs par rapport à la liste des options 4 2 C1
autorisées ?
12D01-05 L'inhibition du processus de contrôle déclenche-t-elle une alarme auprès d'un responsable ? 4 3 C2
12D01-06 Les processus de contrôle font-ils eux-mêmes l'objet d'un audit régulier ? 4 C1
12D02 Formation et sensibilisation des utilisateurs
12D02-01 Les utilisateurs sont-ils sensibilisés aux risques d'écoute liés à l'utilisation des matériels et services de télécommunication ? 4 E1
12D02-02 Les utilisateurs sont-ils informés des risques liés à l'utilisation malveillante, localement ou à distance, de leurs équipements 4 E2
terminaux ?
Ainsi que de l'utilisation des équipements d'autres collègues à leur insu
12D02-03 Les procédures de mise en veille sont-elles expliquées aux utilisateurs lors de l'installation ou du remplacement des équipements ? 2 E2

12D02-04 Les procédures de contrôle et de sécurité sont-elles documentées ? 4 E2


12D02-05 Ces procédures font-elles l'objet d'une formation donnée à l'ensemble des utilisateurs ? 4 3 E2
12D03 Utilisation de terminaux chiffrants
12D03-01 Des mécanismes de chiffrement des échanges sont-ils réalisables en fonction des besoins de confidentialité déterminés ? 4 E2
12D03-02 Cette possibilité de chiffrement est-elle diffusée au personnel ? 4 E2
12D03-03 A-t-on analysé les fonctions utilisateurs devant faire l'objet d'une protection des échanges télécom ? 4 3 E2
12D03-04 A-t-on installé en conséquence des fonctions de chiffrement télécom sur l'ensemble des postes correspondants ? 4 3 E2
12E Contrôle des droits d'administration
12E01 Gestion des attributions de droits privilégiés sur les équipements et les systèmes (droits d'administrateur)
12E01-01 A-t-on défini, au sein de l'exploitation des télécommunications, des profils correspondant à chaque type d'activité (administration 1 E1 10.1.3; 11.2.2
systèmes, administration d'équipement de sécurité, pilotage de la production, opérations de gestion de supports et sauvegardes,
etc.) ?
12E01-02 A-t-on défini, pour chaque profil, les droits privilégiés nécessaires ? 4 2 E1 10.1.3
12E01-03 La procédure d'attribution de droits privilégiés nécessite-t-elle l'accord formel de la hiérarchie (ou du responsable de la prestation 4 2 E2 10.1.3
pour un prestataire) à un niveau suffisant ?
12E01-04 La procédure d'attribution de droits privilégiés n'est-elle attribuée qu'en fonction du profil du titulaire ? 4 2 E2 10.1.3
12E01-05 Le processus d'attribution (ou modification ou retrait) de droits privilégiés à un individu est-il strictement contrôlé ? 4 2 3 R1 11.2.2
Un contrôle strict requiert une reconnaissance formelle de la signature (électronique ou non) du demandeur, qu'il existe un contrôle
d'accès très renforcé pour pouvoir attribuer ou modifier de tels droits, et que les modifications d'attributions de droits privilégiés
soient journalisées et auditées.

12E01-06 Y a-t-il un processus d'annulation systématique des droits privilégiés lors de départs de personnel ? 2 E2 11.2.4
12E01-07 Y a-t-il un processus d'annulation systématique des droits privilégiés lors de changement de fonction ou de mutation de personnel ? 2 E2 11.2.4

12E01-08 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits privilégiés attribués ? 1 2 C1 11.2.4
12E02 Authentification et contrôle des droits d'accès des administrateurs et personnels d'exploitation

Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 225


Questionnaire d'audit : Exploitation des télécommunications 1 variante 0
L'architecture et l'exploitation pour la "voix" sont souvent effectuées par une entité différente que pour les réseaux de "données"
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
12E02-01 Le protocole d'authentification des administrateurs ou possesseurs de droits privilégiés est-il considéré comme "fort" ? 4 4 E2
Un protocole d'authentification est considéré comme fort s'il n'est pas susceptible d'être mis en brèche par une observation ou une
écoute de réseau, ni mis en défaut par des outils de spécialistes (en particulier des outils de craquage de mots de passe). Il s'agit de
protocole s'appuyant généralement sur des procédés cryptologiques.

12E02-02 À défaut, s'il s'agit de mots de passe, les règles imposées peuvent-elles être considérées comme très strictes ? 2 E2
Des règles très strictes supposent des mots de passe non triviaux, des mélanges de différents types de caractères avec une
longueur importante (10 caractères ou +). Il est souhaitable que de telles règles soient élaborées en accord avec le RSSI.

12E02-03 Y a-t-il un contrôle systématique des droits de l'administrateur, de son contexte et de l'adéquation de ces droits et du contexte avec 4 E2
l'accès demandé, en fonction de règles de contrôle d'accès formalisées ?

12E02-04 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2 R1


Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des authentifiants, les
authentifiants eux-mêmes, les règles de surveillance des tentatives de connexion, etc. soit très limitée, qu'il existe un contrôle
d'accès renforcé pour procéder à ces modifications, que les modifications soient journalisées et auditées et qu'il existe un audit
général au moins annuel de l'ensemble des paramètres de l'authentification.

12E02-05 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3 R1
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité (sceau) et qu'il
existe un audit au moins annuel des procédures et processus de l'authentification.

12E02-06 Existe-t-il un audit régulier des paramètres de sécurité de protection des profils et des droits ? 4 3 C1
12E03 Surveillance des actions d'administration des équipements et des systèmes
12E03-01 A-t-on fait une analyse approfondie des événements ou successions d'événements menés avec des droits d'administration et 2 E2 10.10.4
pouvant avoir un impact sur la sécurité (configuration des systèmes de sécurité, accès à des informations sensibles, utilisation
d'outils sensibles, téléchargement ou modification d'outils d'administration, etc.) ?
12E03-02 Enregistre-t-on ces événements ainsi que tous les paramètres utiles à leur analyse ultérieure ? 4 E2 10.10.4
12E03-03 Existe-t-il un système permettant de détecter toute modification ou suppression d'un enregistrement passé et de déclencher une 4 2 E3 10.10.4
alerte immédiate auprès d'un responsable ?
12E03-04 Existe-t-il une synthèse de ces enregistrements permettant à la hiérarchie de détecter des comportements anormaux ? 4 3 E3 10.10.4
12E03-05 Existe-t-il un système permettant de détecter toute modification des paramètres d'enregistrement et de déclencher une alerte 4 2 E3 10.10.4
immédiate auprès d'un responsable ?
12E03-06 Toute inhibition du système d'enregistrement et de traitement des enregistrements déclenche-t-elle une alarme auprès d'un 4 E3 10.10.4
responsable ?
12E03-07 Les enregistrements ou les synthèses sont-ils protégés contre toute altération ou destruction ? 2 E2 10.10.4
12E03-08 Les enregistrements ou les synthèses sont-ils conservés sur une longue durée ? 2 E2 10.10.4
12E03-09 Les procédures d'enregistrement des actions privilégiées et de traitement de ces enregistrements font-elles l'objet d'un audit régulier 2 C1 10.10.4
?

Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 226


Commentaires

Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 227


Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 228
Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 229
Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 230
Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 231
Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 232
Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 233
Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 234
Mise à jour : janvier 2010 464752531.xls ! 12 Ext page 235
Questionnaire d'audit : Processus de gestion 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
13A Protection des renseignements personnels
13A01 Politique et directives relatives à la PRP
13A01-01 Existe-t-il un recueil regroupant l'ensemble des dispositions légales ou réglementaires relatives à la protection des renseignements 2 E2 15.1.2
personnels ?
13A01-02 Ce recueil fait-il l'objet d'une mise à jour annuelle ? 2 E2 15.1.2
13A01-03 Existe-t-il une politique et des directives précises en matière de PRP ? 4 E1 15.1.4
13A01-04 Cette politique a-t-elle été approuvée par les instances dirigeantes? 2 E2 15.1.4
13A01-05 Cette politique indique-t-elle que la PRP doit être prise en considération dans le développement des projets liés aux technologies de 4 E2
l'information?
13A01-06 Les directives en matière de Prp recouvrent-elles l'ensemble des obligations légales en matière de PRP, dont celles qui ont trait à 4 3 E2
la collecte de tels renseignements, à leur accès, à leur communication, à leur utilisation, à leur conservation et à leur destruction?

13A01-07 A-t-on vérifié, par un contrôle indépendant, l'adéquation des directives correspondantes à l'ensemble des dispositions légales ou 4 3 E2
réglementaires ?
13A01-08 Un responsable en matière de PRP (RPRP) a-t-il été nommé? 4 E2
13A01-09 Le responsable en matière de PRP est-il connu de tous les membres du personnel? 2 E2
13A01-10 La politique relative à la Prp (ou le cadre de gestion) établit-elle clairement les responsabilités des différents intervenants : 4 E1
responsable de la PRP (RPRP), responsable de la sécurité des informations numériques, vérificateur interne, etc.?
13A01-11 Un comité relevant des instances dirigeantes est-il chargé d'élaborer les orientations en matière de PRP et d'étudier périodiquement 4 E2
les problématiques qui y sont liées ?
13A01-12 Ce comité, s'il existe, est-il composé notamment du RPRP et de représentants de la direction, de la sécurité, de l'audit, de 2 E2
l'informatique, des affaires juridiques, de la gestion documentaire et des utilisateurs?
13A01-13 La politique relative à la Prp est-elle révisée régulièrement ? 2 3 E2
13A02 Programme de formation et de sensibilisation à la PRP
13A02-01 Existe-t-il un programme de sensibilisation et de formation en matière de PRP? 2 E1
13A02-02 Ce programme a-t-il été approuvé par le responsable ou le répondant en matière de PRP? 2 E2
13A02-03 Ce programme est-il offert aux personnes qui traitent des informations visées par les dispositions légales en matière de PRP? 2 E2
13A02-04 Ce programme est-il adapté aux tâches accomplies? 4 E2
13A02-05 Ce programme tient-il compte des problématiques en matière de PRP propres à l'utilisation des systèmes informatiques et de 4 E2
télécommunication?
13A02-06 Ce programme inclut-il une formation ou une sensibilisation aux conséquences possibles de non-respect des dispositions légales en 4 E2
matière de PRP?
13A02-07 Le niveau de connaissance des membres du personnel en matière de PRP est-il évalué périodiquement à l'aide de sondages ou 4 3 E3
autrement?
13A02-08 L’existence de ce programme est-elle rappelée périodiquement aux membres du personnel par le moyen de l'affichage, de 2 E2
communiqués, etc.?
13A02-09 Ce programme est-il révisé au moins tous les cinq ans? 2 3 R1
13A02-10 L'application de ce programme fait-elle l'objet d'un audit périodique? 2 3 C1
13A03 Applicabilité de la politique relative à la Prp
13A03-01 A-t-on analysé les conditions nécessaires à la mise en œuvre de la politique relative à la Prp 2 C1
13A03-02 A-t-on mis en place les moyens correspondants (techniques ou humains) ? 4 3 E2
13A03-03 La permanence des moyens nécessaires à l'application de la Prp fait-elle l'objet d'un audit régulier ? 1 3 E2
13A04 Contrôle de l'application de la politique relative à la Prp

Mise à jour : janvier 2010 464752531.xls ! 13 Man page 236


Questionnaire d'audit : Processus de gestion 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
13A04-01 L'application de la politique relative à la Prp fait-elle périodiquement l'objet d'un audit? 4 3 C1
13A04-02 Est-il prévu des sanctions en cas de non application de la politique ou de non-conformité ? 4 3 E2
13A04-03 Ces sanctions sont-elles communiquées au personnel ? 2 3 E2
13B Communication financière
13B01 Il s'agit et
Politique notamment de la àLoi
directives relatives de Sécurité Financière
la Communication financière ou loi Mer en France et du Sarbanes Oxley
13B01-01 Act aux États Unis
Existe-t-il un référentiel formalisant l'ensemble des règles relatives à la collecte, au traitement et à la présentation des données 4 E3
conduisant à la communication financière ?
13B01-02 Ce référentiel fait-il l'objet d'une mise à jour annuelle ? 2 E2
13B01-03 Existe-t-il une politique et des directives précises en matière de Communication financière ? 4 E1
13B01-04 Cette politique a-t-elle été approuvée par les instances dirigeantes? 2 E2
13B01-05 Les directives en matière de Communication financière recouvrent-elles l'ensemble des obligations légales en cette matière ? 4 3 E2
13B01-06 La Direction Générale a-t-elle fait évaluer la qualité du contrôle interne pour s'assurer de l'adéquation des procédures et du contrôle 4 E2
interne supportant la production des états financiers vis à vis de la réglementation ?
13B01-07 Le rapport d'évaluation a-t-il été approuvé par les auditeurs externes (ou les commissaires aux comptes, en France) ? 2 2 E2
Cette approbation implique que les auditeurs doivent obtenir tous les éléments nécessaires en temps voulu pour les contrôler.
13B01-08 Les dirigeants certifient-ils l'efficacité des procédures et des contrôles mis en oeuvre pour assurer la sécurité de la communication 2 E2
financière ?

13B01-09 Existe-t-il un Comité d'audit chargé de choisir les auditeurs externes, d'en fixer la rémunération et d'en superviser les activités ? 4 E2
13B01-10 Les membres de ce comité d'audit sont-ils totalement indépendants ? 2 2 E3
C'est-à-dire qu'ils n'exercent aucun pouvoir opérationnel au sein de la société, ne sont affiliés à aucune personne exerçant des
pouvoirs dans la société, et ne reçoivent de la société d'autre rémunération que celle liée à leur fonction dans le comité d'audit.
13B01-11 L'application du référentiel permet-elle de tracer toute information émise ? 2 2 C1
Par exemple de pouvoir remonter la chaîne de l'information pour identifier les données (faits générateurs, écritures comptables, ...)
et décisions à l'origine de l'information.
13B01-12 Un responsable ou un répondant en matière de Communication financière a-t-il été nommé? 4 E2
13B01-13 La politique relative à la Communication financière (ou le cadre de gestion) établit-elle clairement les responsabilités des différents 4 E1
intervenants  ?
13B01-14 Un comité relevant des instances dirigeantes est-il chargé d'élaborer les orientations en matière de Communication financière et 4 E2
d'étudier périodiquement les problématiques qui y sont liées ?
13B01-15 La politique relative à la Communication financière est-elle révisée régulièrement ? 2 3 E2
13B02 Programme de formation et de sensibilisation à la Communication financière
13B02-01 Existe-t-il un programme de sensibilisation et de formation en matière de Communication financière? 2 E1
13B02-02 Ce programme a-t-il été approuvé par le responsable ou le répondant en matière de Communication financière? 2 E2
13B02-03 Ce programme est-il offert aux personnes qui traitent des informations visées par les dispositions légales en matière de 2 E2
Communication financière?
13B02-04 Ce programme est-il adapté aux tâches accomplies? 4 E2
13B02-05 Ce programme tient-il compte des problématiques en matière de Communication financière propres à l'utilisation des systèmes 4 E2
informatiques et de télécommunication?
13B02-06 Ce programme inclut-il une formation ou une sensibilisation aux conséquences possibles de non-respect des dispositions légales en 4 E2
matière de Communication financière?
13B02-07 Le niveau de connaissance des membres du personnel en matière de Communication financière est-il évalué périodiquement à 4 3 E3
l'aide de sondages ou autrement?

Mise à jour : janvier 2010 464752531.xls ! 13 Man page 237


Questionnaire d'audit : Processus de gestion 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
13B02-08 Ce programme est-il révisé au moins tous les cinq ans? 2 3 R1
13B02-09 L'application de ce programme fait-elle l'objet d'un audit périodique? 2 3 C1
13B03 Applicabilité de la politique relative à la Communication financière
13B03-01 A-t-on analysé les conditions nécessaires à la mise en œuvre de la politique relative à la Communication financière ? 2 C1
13B03-02 A-t-on mis en place les moyens correspondants (techniques ou humains) ? 4 3 E2
13B03-03 La permanence des moyens nécessaires à l'application de la Communication financière fait-elle l'objet d'un audit régulier ? 1 3 E2
13B04 Contrôle de l'application de la politique relative à la Communication financière
13B04-01 L'application de la politique relative à la Communication financière fait-elle périodiquement l'objet d'un audit? 4 3 C1
13B04-02 Est-il prévu des sanctions en cas de non application de la politique ou de non-conformité ? 4 3 E2
13B04-03 Ces sanctions sont-elles communiquées au personnel ? 2 3 E2
13C Respect de la législation concernant la Vérification de la Comptabilité Informatisée (VCI)
13C01 Conservation des données et traitements
13C01-01 A-t-on établi la liste des types d'enregistrements à conserver, associée aux procédures et protections à appliquer jusqu'à leur 4 1 E2
élimination ?
Y compris les supports de conservation (papier, microfiches, fichiers) et leur conservation pendant les durées de rétention exigées.

13C01-02 Conserve-t-on les données élémentaires de comptabilité conformément à la réglementation VCI ? 4 E2


Les données élémentaires sont des données non agrégées, prises en compte dès leur origine, par exemple : fichiers historiques
des mouvements (commandes, factures, stocks...), pièces justificatives, bordereaux de saisie, données permanentes, mouvements
de mise à jour des fichiers...
13C01-03 Conserve-t-on les fichiers à caractères permanents ou référentiels (plan comptable, fichiers clients, fournisseurs, tarifs, 4 E2
produits...) conformément à la VCI ?

13C01-04 Conserve-t-on les procédures d’exploitation conformément à la réglementation VCI ? 4 E2


13C01-05 Conserve-t-on les systèmes opérationnels possédant un lien direct ou indirect avec le système comptable ? 4 E2
Les systèmes possédant un lien direct ou indirect avec le système comptable sont-ils maintenus afin de pouvoir apporter la preuve
de la véridicité des données ?
13C01-06 Conserve-t-on les applications comptables ou alimentant la comptabilité par l’intermédiaire de fichiers d’interface ? 4 E2
13C01-07 Conserve-t-on les applications de nature analytique ou budgétaire utilisées pour déterminer les charges et les produits ? 4 E3
13C01-08 Contrôle-t-on le bon respect des contraintes liées aux migrations de systèmes ou d'applications ? 4 C1
En cas de migrations l’entreprise doit être capable de fournir soit des copies de l’historique de chaque fichier de données, soit une
conversion et un historique de la compatibilité des fichiers de données avec le nouveau système. Il n’est donc pas nécessaire de
conserver l’ancien système en état de marche.
13C02 Documentation des données, procédures et traitements liés à la comptabilité

13C02-01 Tient-on à jour un inventaire des applications et documentations susceptibles d’être contrôlées dans le cadre d’une VCI ? 4 E2
13C02-02 Conserve-t-on une documentation complète comprenant l’ensemble des systèmes informatiques comptables ? 4 E2
La documentation doit comprendre les dossiers suivants : étude de l’organisation informatique, inventaire et description des
matériels utilisés, conception générale, spécifications fonctionnelles, réalisation informatique (description des chaînes de traitement,
description des données et traitements, code source), maintenance, paramétrage, documentation utilisateur, documentation
d'exploitation, procédures de contrôle interne, plan d'archivage.

13C02-03 La documentation est-elle conservée sur le support (papier ou informatique) exigé par la réglementation ? 1 E2

Mise à jour : janvier 2010 464752531.xls ! 13 Man page 238


Questionnaire d'audit : Processus de gestion 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
13C02-04 La documentation est elle mise à jour conformément à une règle de suivi des mises à jour précise (numérotation des versions de 4 E2
documents) ?
13C02-05 L’accès au code source du programme est-il possible ? 4 E2
13C02-06 L’ensemble des documents, données et traitements soumis au droit de contrôle est-il consultable sur le territoire national ? 1 E2

13C02-07 Le plan de conservation des données et informations, dont la documentation, est-il conforme aux règles en vigueur (durée et nature 1 E2
des supports) ?
13C02-08 Les contrats informatiques conclus avec des tiers contiennent-ils une clause juridique spécifique prenant en compte la 1 E2
réglementation sur la VCI (mise à disposition de code source, documentation, assistance technique en cas de vérification) ?
Tiers = fournisseurs de logiciels (système, applications, utilitaires, etc.) concernés par la VCI.
13C02-09 Les développements d’applications (et leur mise à jour) inclus dans le périmètre VCI donnent-ils lieu à une documentation conforme 1 E2
aux règles en vigueur ?
13C02-10 Lors d’acquisition de société prévoit-on une clause de garantie sur les obligations en matière de VCI ? 1 E2
13C02-11 Existe-t-il une procédure de contrôle du plan de sauvegarde des documents techniques d’exploitation, des données et traitements et 1 C1
des versions des différents éléments sauvegardés ?
13C03 Programme de formation et de sensibilisation aux contraintes de la Vérification de la comptabilité informatisée
13C03-01 Existe-t-il un programme de sensibilisation et de formation en matière de Vérification de la comptabilité informatisée? 2 E1
13C03-02 Ce programme a-t-il été approuvé par le responsable ou le répondant en matière de Vérification de la comptabilité informatisée? 2 E2
13C03-03 Ce programme est-il offert aux personnes qui traitent des informations visées par les dispositions légales en matière de vérification 2 E2
de la comptabilité informatisée ?
13C03-04 Ce programme est-il adapté aux tâches accomplies ? 4 E2
13C03-05 Ce programme tient-il compte des problématiques en matière de Vérification de la comptabilité informatisée propres à l'utilisation 4 E2
des systèmes informatiques et de télécommunication ?
13C03-06 Ce programme inclut-il une formation ou une sensibilisation aux conséquences possibles de non-respect des dispositions légales en 4 E2
matière de vérification de la comptabilité informatisée ?
13C03-07 Le niveau de connaissance des membres du personnel en matière de vérification de la comptabilité informatisée est-il évalué 4 3 E3
périodiquement à l'aide de sondages ou autrement ?

13C03-08 Ce programme est-il révisé au moins tous les cinq ans ? 2 3 R1


13C03-09 L'application de ce programme fait-elle l'objet d'un audit périodique ? 2 3 C1
13C04 Applicabilité de la politique relative à la Vérification de la comptabilité informatisée
13C04-01 A-t-on analysé les conditions nécessaires à la mise en œuvre de la politique relative à la Vérification de la comptabilité 2 C1
informatisée ?
13C04-02 A-t-on mis en place les moyens correspondants (techniques ou humains) ? 4 3 E2
13C04-03 La permanence des moyens nécessaires à l'application de la Vérification de la comptabilité informatisée fait-elle l'objet d'un audit 1 3 E2
régulier ?
13C05 Contrôle de l'application de la politique relative à la Vérification de la comptabilité informatisée
13C05-01 L'application de la politique relative à la Vérification de la comptabilité informatisée fait-elle périodiquement l'objet d'un audit ? 4 3 C1
13C05-02 Est-il prévu des sanctions en cas de non application de la politique ou de non-conformité ? 4 3 E2
13C05-03 Ces sanctions sont-elles communiquées au personnel ? 2 3 E2
13D Protection de la propriété intellectuelle
13D01 Politique et directives relatives à la Protection de la propriété intellectuelle
13D01-01 Existe-t-il un recueil regroupant l'ensemble des dispositions légales ou réglementaires relatives à la Protection de la propriété 2 E2
intellectuelle ?

Mise à jour : janvier 2010 464752531.xls ! 13 Man page 239


Questionnaire d'audit : Processus de gestion 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
13D01-02 Ce recueil fait-il l'objet d'une mise à jour annuelle ? 2 E2
13D01-03 Existe-t-il une politique et des directives précises en matière de Protection de la propriété intellectuelle ? 4 E1
13D01-04 Ces directives sont-elles explicites quant à l'interdiction d'utiliser des logiciels sans licence en règle et aux limitations de copie des 2 2 E2
logiciels, des enregistrements (vidéo, audio) commerciaux et des documents ?
13D01-05 Cette politique a-t-elle été approuvée par les instances dirigeantes? 2 E2
13D01-06 Les directives en matière de Protection de la propriété intellectuelle recouvrent-elles l'ensemble des obligations légales en cette 4 3 E2
matière ?
13D01-07 A-t-on vérifié, par un contrôle indépendant, l'adéquation des directives correspondantes à l'ensemble des dispositions légales ou 4 3 E2
réglementaires ?
13D01-08 Un responsable ou un répondant en matière de Protection de la propriété intellectuelle a-t-il été nommé ? 4 E2
13D01-09 Le responsable ou le répondant en matière de Protection de la propriété intellectuelle est-il connu de tous les membres du 2 E2
personnel ?
13D01-10 La politique relative à la Protection de la propriété intellectuelle (ou le cadre de gestion) établit-elle clairement les responsabilités 4 E1
des différents intervenants ?
13D01-11 Un comité relevant des instances dirigeantes est-il chargé d'élaborer les orientations en matière de Protection de la propriété 4 E2
intellectuelle et d'étudier périodiquement les problématiques qui y sont liées ?
13D01-12 La politique relative à la Protection de la propriété intellectuelle est-elle révisée régulièrement ? 2 3 E2
13D02 Programme de formation et de sensibilisation à la Protection de la propriété intellectuelle
13D02-01 Existe-t-il un programme de sensibilisation et de formation en matière de Protection de la propriété intellectuelle? 2 E1
13D02-02 Ce programme a-t-il été approuvé par le responsable ou le répondant en matière de Protection de la propriété intellectuelle? 2 E2
13D02-03 Ce programme est-il offert à l'ensemble du personnel concerné ? 2 E2
13D02-04 Ce programme tient-il compte des problématiques en matière de Protection de la propriété intellectuelle propres à l'utilisation des 4 E2
systèmes informatiques et de télécommunication?
13D02-05 Ce programme inclut-il une formation ou une sensibilisation aux conséquences possibles de non-respect des dispositions légales en 4 E2
matière de Protection de la propriété intellectuelle?
13D02-06 Le niveau de connaissance des membres du personnel en matière de Protection de la propriété intellectuelle est-il évalué 4 3 E3
périodiquement à l'aide de sondages ou autrement?
13D02-07 Ce programme est-il révisé au moins tous les cinq ans? 2 3 R1
13D02-08 L'application de ce programme fait-elle l'objet d'un audit périodique? 2 3 C1
13D03 Applicabilité de la politique relative à la Protection de la propriété intellectuelle
13D03-01 A-t-on analysé les conditions nécessaires à la mise en œuvre de la politique relative à la Protection de la propriété intellectuelle 2 C1
13D03-02 A-t-on mis en place les moyens correspondants (techniques ou humains) ? 4 3 E2
13D03-03 La permanence des moyens nécessaires à l'application de la Protection de la propriété intellectuelle fait-elle l'objet d'un audit 1 3 E2
régulier ?
13D04 Contrôle de l'application de la politique relative à la Protection de la propriété intellectuelle
13D04-01 L'application de la politique relative à la Protection de la propriété intellectuelle fait-elle périodiquement l'objet d'un audit? 4 3 C1
13D04-02 Est-il prévu des sanctions en cas de non application de la politique ou de non-conformité ? 4 3 E2
13D04-03 Ces sanctions sont-elles communiquées au personnel ? 2 3 E2
13E Protection des systèmes informatisés
13E01 Politique et directives relatives à la Protection des systèmes informatisés
13E01-01 Existe-t-il un recueil regroupant l'ensemble des dispositions légales ou réglementaires relatives à la Protection des systèmes 2 E2
informatisés ?
13E01-02 Ce recueil fait-il l'objet d'une mise à jour annuelle ? 2 E2

Mise à jour : janvier 2010 464752531.xls ! 13 Man page 240


Questionnaire d'audit : Processus de gestion 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
13E01-03 Existe-t-il une politique et des directives précises en matière de Protection des systèmes informatisés ? 4 E1
13E01-04 Cette politique a-t-elle été approuvée par les instances dirigeantes? 2 E2
13E01-05 Les directives en matière de Protection des systèmes informatisés recouvrent-elles l'ensemble des obligations légales en cette 4 3 E2
matière ?
13E01-06 A-t-on vérifié, par un contrôle indépendant, l'adéquation des directives correspondantes à l'ensemble des dispositions légales ou 4 3 E2
réglementaires ?
13E01-07 Un responsable ou un répondant en matière de Protection des systèmes informatisés a-t-il été nommé? 4 E2
13E01-08 Le responsable ou le répondant en matière de Protection des systèmes informatisés est-il connu de tous les membres du 2 E2
personnel?
13E01-09 La politique relative à la Protection des systèmes informatisés (ou le cadre de gestion) établit-elle clairement les responsabilités des 4 E1
différents intervenants ?
13E01-10 Un comité relevant des instances dirigeantes est-il chargé d'élaborer les orientations en matière de Protection des systèmes 4 E2
informatisés et d'étudier périodiquement les problématiques qui y sont liées ?
13E01-11 La politique relative à la Protection des systèmes informatisés est-elle révisée régulièrement ? 2 3 E2
13E02 Programme de formation et de sensibilisation à la Protection des systèmes informatisés
13E02-01 Existe-t-il un programme de sensibilisation et de formation en matière de Protection des systèmes informatisés ? 2 E1
13E02-02 Ce programme a-t-il été approuvé par le responsable ou le répondant en matière de Protection des systèmes informatisés ? 2 E2
13E02-03 Ce programme est-il offert à l'ensemble du personnel concerné ? 2 E2
13E02-04 Ce programme inclut-il une formation ou une sensibilisation aux conséquences possibles de non-respect des dispositions légales en 4 E2
matière de Protection des systèmes informatisés ?
13E02-05 Le niveau de connaissance des membres du personnel en matière de Protection des systèmes informatisés est-il évalué 4 3 E3
périodiquement à l'aide de sondages ou autrement?
13E02-06 Ce programme est-il révisé au moins tous les cinq ans? 2 3 R1
13E02-07 L'application de ce programme fait-elle l'objet d'un audit périodique? 2 3 C1
13E03 Applicabilité de la politique relative à la Protection des systèmes informatisés
13E03-01 A-t-on analysé les conditions nécessaires à la mise en œuvre de la politique relative à la Protection des systèmes informatisés 2 C1
13E03-02 A-t-on mis en place les moyens correspondants (techniques ou humains) ? 4 3 E2
13E03-03 La permanence des moyens nécessaires à l'application de la Protection des systèmes informatisés fait-elle l'objet d'un audit 1 3 E2
régulier ?
13E04 Contrôle de l'application de la politique relative à la Protection des systèmes informatisés
13E04-01 L'application de la politique relative à la Protection des systèmes informatisés fait-elle périodiquement l'objet d'un audit? 4 3 C1
13E04-02 Est-il prévu des sanctions en cas de non application de la politique ou de non-conformité ? 4 3 E2
13E04-03 Ces sanctions sont-elles communiquées au personnel ? 2 3 E2
13F Sécurité des personnes et protection de l'environnement
13F01 Politique et directives relatives à la sécurité des personnes et à la protection de l'environnement
13F01-01 Existe-t-il un recueil regroupant l'ensemble des dispositions légales ou réglementaires relatives à la sécurité des personnes et à la 2 E2
protection de l'environnement ?

13F01-02 Ce recueil fait-il l'objet d'une mise à jour annuelle ? 2 E2


13F01-03 Existe-t-il une politique et des directives précises en matière de Sécurité des personnes et de protection de l'environnement ? 4 E1
13F01-05 Cette politique a-t-elle été approuvée par les instances dirigeantes? 2 E2
13F01-06 Les directives en matière de sécurité des personnes et de protection de l'environnement recouvrent-elles l'ensemble des 4 3 E2
obligations légales en cette matière ?

Mise à jour : janvier 2010 464752531.xls ! 13 Man page 241


Questionnaire d'audit : Processus de gestion 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
13F01-07 A-t-on vérifié, par un contrôle indépendant, l'adéquation des directives correspondantes à l'ensemble des dispositions légales ou 4 3 E2
réglementaires ?
13F01-08 Un responsable ou un répondant en matière de sécurité des personnes et de protection de l'environnement a-t-il été nommé? 4 E2
13F01-09 Le responsable ou le répondant en matière de Sécurité des personnes et de protection de l'environnement est-il connu de tous les 2 E2
membres du personnel?
13F01-10 La politique relative à la Sécurité des personnes et à la protection de l'environnement (ou le cadre de gestion) établit-elle clairement 4 E1
les responsabilités des différents intervenants ?
13F01-11 Un comité relevant des instances dirigeantes est-il chargé d'élaborer les orientations en matière de Sécurité des personnes et de 4 E2
protection de l'environnement et d'étudier périodiquement les problématiques qui y sont liées ?
13F01-12 La politique relative à la Sécurité des personnes et à la protection de l'environnement est-elle révisée régulièrement ? 2 3 E2
13F02 Programme de formation et de sensibilisation à la Sécurité des personnes et à la protection de l'environnement
13F02-01 Existe-t-il un programme de sensibilisation et de formation en matière de Sécurité des personnes et de protection de 2 E1
l'environnement ?
13F02-02 Ce programme a-t-il été approuvé par le responsable ou le répondant en matière de Sécurité des personnes et protection de 2 E2
l'environnement ?
13F02-03 Ce programme est-il offert à l'ensemble du personnel concerné ? 2 E2
13F02-04 Ce programme inclut-il une formation ou une sensibilisation aux conséquences possibles de non-respect des dispositions légales en 4 E2
matière de Sécurité des personnes et protection de l'environnement ?
13F02-05 Le niveau de connaissance des membres du personnel en matière de Sécurité des personnes et de protection de l'environnement 4 3 E3
est-il évalué périodiquement à l'aide de sondages ou autrement?
13F02-06 Ce programme est-il révisé au moins tous les cinq ans? 2 3 R1
13F02-07 L'application de ce programme fait-elle l'objet d'un audit périodique? 2 3 C1
13F03 Applicabilité de la politique relative à la Sécurité des personnes et protection de l'environnement
13F03-01 A-t-on analysé les conditions nécessaires à la mise en œuvre de la politique relative à la Sécurité des personnes et à la protection 2 C1
de l'environnement
13F03-02 A-t-on mis en place les moyens correspondants (techniques ou humains) ? 4 3 E2
13F03-03 La permanence des moyens nécessaires à l'application de la politique de sécurité des personnes et de protection de 1 3 E2
l'environnement fait-elle l'objet d'un audit régulier ?
13F04 Contrôle de l'application de la politique relative à la Sécurité des personnes et protection de l'environnement
13F04-01 L'application de la politique relative à la Sécurité des personnes et à la protection de l'environnement fait-elle périodiquement l'objet 4 3 C1
d'un audit?
13F04-02 Est-il prévu des sanctions en cas de non application de la politique ou de non-conformité ? 4 3 E2
13F04-03 Ces sanctions sont-elles communiquées au personnel ? 2 3 E2
13G Règles relatives à l'utilisation de moyens cryptologiques
13G01 Politique et directives relatives à l'utilisation de moyens cryptologiques
13G01-01 Existe-t-il un recueil regroupant l'ensemble des dispositions légales ou réglementaires relatives à l'utilisation de moyens 2 E2
cryptologiques ?

13G01-02 Ce recueil fait-il l'objet d'une mise à jour annuelle ? 2 E2


13G01-03 Existe-t-il une politique et des directives précises en matière d'utilisation de moyens cryptologiques ? 4 E1
13G01-04 Cette politique a-t-elle été approuvée par les instances dirigeantes? 2 E2
13G01-05 Les directives en matière d'utilisation de moyens cryptologiques recouvrent-elles l'ensemble des obligations légales en cette matière 4 3 E2
?
13G01-06 A-t-on vérifié, par un contrôle indépendant, l'adéquation des directives correspondantes à l'ensemble des dispositions légales ou 4 3 E2
réglementaires ?

Mise à jour : janvier 2010 464752531.xls ! 13 Man page 242


Questionnaire d'audit : Processus de gestion 1 variante 0
Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Typ ISO 27002
13G02 Programme de formation et de sensibilisation à l'utilisation de moyens cryptologiques
13G02-01 Existe-t-il un programme de sensibilisation et de formation en matière d'utilisation de moyens cryptologiques ? 2 E1
13G02-02 Ce programme est-il offert à l'ensemble du personnel concerné ? 2 E2
13G03 Contrôle de l'application de la politique relative à l'utilisation de moyens cryptologiques
13G03-01 L'application de la politique relative à l'utilisation de moyens cryptologiques fait-elle périodiquement l'objet d'un audit? 4 3 C1
13G03-02 Est-il prévu des sanctions en cas de non application de la politique ou de non-conformité ? 4 3 E2
13G03-03 Ces sanctions sont-elles communiquées au personnel ? 2 3 E2

Mise à jour : janvier 2010 464752531.xls ! 13 Man page 243


Commentaires

Mise à jour : janvier 2010 464752531.xls ! 13 Man page 244


Mise à jour : janvier 2010 464752531.xls ! 13 Man page 245
Mise à jour : janvier 2010 464752531.xls ! 13 Man page 246
Mise à jour : janvier 2010 464752531.xls ! 13 Man page 247
Mise à jour : janvier 2010 464752531.xls ! 13 Man page 248
Mise à jour : janvier 2010 464752531.xls ! 13 Man page 249
Mise à jour : janvier 2010 464752531.xls ! 13 Man page 250
Mise à jour : janvier 2010 464752531.xls ! 13 Man page 251
Mise à jour : janvier 2010 464752531.xls ! 13 Man page 252
Questionnaire d'audit : Gestion de la sécurité de l'Information 1 variante
Ce questionnaire vérifie que l'organisation réalise effectivement une démarche de management et de réduction continue des
risques ou de SMSI.
Il est recommandé de l'intégrer dans le processus complet de traitement de risque MEHARI et nécessaire de l'associer avec le
domaine 01 (Organisation).

Référence Question R-V1 R-V2 R-V3 R-V4 P Max Min Commentaires

14A Planification du système de management


14A01 Définition du périmètre du SMSI
14A01-01 Le périmètre du SMSI résulte t-il d'une étude préalable des attentes de la direction de l'organisation et des parties prenantes ? 4
14A01-02 Ce périmètre intègre-t-il les processus et les actifs dont l'importance est reconnue comme vitale pour l'organisation ? 2
Ce périmètre doit préciser les sites, les unités organisationnelles et les activités concernées ainsi que les interfaces externes.
Toute exclusion du champ du SMSI doit être documentée et justifiée.
14A02 Définition de la politique du SMSI
14A02-01 La politique du SMSI résulte-t-elle d'une étude préalable des attentes de toutes les parties prenantes ? 4
14A02-02 Précise-t-elle de façon très claire et concise les engagements de la Direction de l'organisation en matière de sécurité de 1
l'information ?
14A02-03 Fait-elle référence aux exigences de l'organisation vis-à-vis de critères tels que la Disponibilité, l'Intégrité et la Confidentialité ? 2
14A02-04 Fait-elle référence aux exigences légales et réglementaires ? 2
14A02-05 Trouve-t-on dans cette politique un engagement à utiliser des critères précis pour évaluer les risques ? 2
14A02-06 Les objectifs de réduction et de gestion des risques sont-ils clairement établis ? 4
14A02-07 Cette politique a-t-elle été approuvée par la Direction de l'organisation ? 2 2
14A02-08 La direction de l'organisation a-t-elle provisionné les ressources et moyens nécessaires sur le long terme ? 1
14A03 Approche de l'analyse des risques et des métriques associées
14A03-01 A-t-on fait le choix d'une méthode d'appréciation des risques conforme aux exigences de l'organisation ? 4
14A03-02 La méthode permet-elle d'analyser les exigences de sécurité de l'information pour chaque actif, en fonction de l'activité et du 2 2
respect des lois en vigueur ?
14A03-03 La méthode permet-elle de positionner les dysfonctionnements redoutés sur une échelle de niveaux applicable à toute l'organisation 1
?
14A03-04 La méthode retenue comporte-t-elle des métriques précises conduisant à une estimation rationnelle et reproductible des risques ? 1
La gravité de chaque risque analysé étant située dans une échelle précédemment établie.

14A04 Identification des risques


14A04-01 La méthode d'analyse des risques permet-elle d'identifier les actifs de support attachés à chaque processus opérationnel et chaque 4
actif primaire ?
14A04-02 La méthode permet-elle de distinguer les menaces ainsi que leurs conséquences par rapport aux objectifs de sécurité (ex. 4
Disponibilité, Intégrité, et Confidentialité) ?
14A04-03 La méthode permet-elle d'évaluer précisément les vulnérabilités en fonction des mesures de sécurité en vigueur ? 2
14A04-04 La méthode permet-elle de décrire précisément les scénarios exploitant les menaces et les vulnérabilités ? 2
14A04-05 La méthode permet-elle d'évaluer précisément les impacts sur l'activité pour chaque scénario (affectant un critère et un actif 4
précis) ?
14A04-06 La méthode permet-elle d'effectuer l'identification des actifs en liaison avec les propriétaires de données et de processus ? 2
14A05 Analyse et évaluation des risques

Mise à jour : janvier 2010 464752531.xls ! 14 Msi page 253


14A05-01 La méthode d'analyse des risques permet-elle de déterminer les niveaux de réduction d'impact en fonction des mesures de sécurité 2
en place (ou prévues) ?
14A05-02 La méthode fournit-elle les éléments permettant d'évaluer la potentialité de chaque scénario de risque ? 4
14A05-03 La méthode permet-elle de réduire la potentialité des scénarios en fonction des mesures de sécurité en place (ou prévues) ? 2
14A05-04 Est-il possible de modifier les niveaux de potentialité en fonction des changements dans l'environnement de l'organisation ? 2
14A05-05 Le niveau de gravité des risques est-il déterminé par les valeur d'impact et de potentialité de chaque scénario ? 1
14A05-06 La méthode fournit-elle les éléments permettant de classer le niveau de gravité de chaque scénario de risque ? 4
14A06 Sélection des options de traitement des risques
14A06-01 La méthode d'analyse du risque permet-elle d'évaluer les modes de traitement des risques appropriés pour l'organisation ? 2
Selon l'une des options : Accepter, Éviter, Transférer ou Réduire le risque et en fonction des critères établis.
14A06-02 Les critères d'acceptation de risque sont-ils examinés au cas par cas ? 2
14A07 Sélection des mesures de réduction des risques
14A07-01 L'organisation dispose-t-elle d'éléments permettant de sélectionner les mesures de sécurité les plus appropriées ? 4 1
La méthode utilisée doit permettre de proposer des axes d'amélioration pour chaque situation de risque et d'optimiser les mesures à
prendre en fonction des objectifs et des contraintes de l'organisation
14A07-02 Les risques résiduels après traitement du risque sont-ils identifiés ? 3 2
14A07-03 Les risques résiduels, après traitement ou ne donnant pas lieu à des traitements complémentaires, sont-ils présentés pour 2 2
validation par la Direction ?
14A08 Sélection des mesures de sécurité et construction d'une déclaration d'applicabilité
14A08-01 La liste des décisions et des mesures de sécurité applicables à l'organisation est-elle formellement établie ? 4
14A08-02 La déclaration d'applicabilité décrit-elle les mesures déjà en place ? 2 2
14A08-03 Les mesures de sécurité différées ou non retenues sont-elles documentées ? 2 2
14B Déploiement du système de management
14B01 Formulation d'un plan de traitement des risques
14B01-01 A-t-on établi un plan de traitement des risques ? 4 1
14B01-02 Ce plan identifie-t-il l'ensemble des actions à engager, les ressources, les responsabilités, les échéances et les priorités 2
appropriées ?
14B01-03 Ce plan a-t-il été validé par la Direction ? 2 2
14B02 Mise en oeuvre du plan de traitement des risques
14B02-01 A-t-on mis en œuvre le plan de traitement des risques ? 4 1
14B02-02 Cette mise en œuvre couvre-t-elle l'ensemble du plan de traitement des risques ? 2
14B02-03 Cette mise en œuvre couvre-t-elle effectivement l'ensemble des objectifs et mesures de sécurité définis dans la phase 2 2
d'établissement du SMSI (étape d'appréciation du risque) ?
14B02-04 Ce plan définit-il des objectifs de réalisation des mesures décidées (dates, niveaux de réduction à atteindre) ? 2
14B02-05 Ce plan est-il suivi de manière régulière par la Direction ? 2 2
14B03 Choix et mise en place des indicateurs pour le SMSI
14B03-01 A-t-on défini les méthodes d'évaluation de l'efficacité des mesures sélectionnées (indicateur, audit, etc.) ? 4
14B03-02 A-t-on défini la manière dont le résultat de ces évaluations doit être interprété (échelle, seuil minimum ou maximum, moyenne, 2 2
objectif de qualité de service, etc.) ?
14B03-03 Est-ce que ces évaluations sont comparables et reproductibles ? 2
14B03-04 Est-ce que ces méthodes d'évaluation ont été validées par la Direction ? 2 2
14B03-05 Est-ce que ces évaluations ont été mises en œuvre ? 2 2

Mise à jour : janvier 2010 464752531.xls ! 14 Msi page 254


14B03-06 Est-ce que ces évaluations sont suivies de manière régulière par la Direction ? 2 2
14B04 Mise en place d'un plan de formation et de sensibilisation
14B04-01 Un programme de formation et de sensibilisation pour les différents acteurs de la sécurité au sein de l'organisation est-il défini ? 4
14B04-02 Ce programme est-il construit à partir d'une analyse des compétences en sécurité nécessaires aux différents acteurs de 3
l'organisation ?
14B04-03 Ce programme est-il effectivement mis en œuvre ? 2 2
14B04-04 Les actions de ce programme font-elles l'objet d'une évaluation et d'une analyse de leurs résultats ? 2 3
14B04-05 La documentation liée à ce programme est-elle conservée et utilisée ? 2 3
Par exemple programmes annuels, fiches de participation et d'évaluation, contenu des cours, compétences acquises, etc.
14B05 Détection et réactions aux incidents
14B05-01 A-t-on mis en œuvre les procédures et mesures permettant de détecter et réagir rapidement aux incidents de sécurité ? 4
14C Mise sous Contrôle du système de management
14C01 Contrôle de l'exécution des procédures et des mesures de sécurité
14C01-01 L'organisation a-t-elle mis en place des procédures de revue et de contrôle du SMSI ? 4
14C01-02 Ces procédures sont-elles destinées à détecter rapidement des anomalies dans les résultats des traitements ? 2 3
14C01-03 Ces procédures permettent-elles d'identifier rapidement des failles de sécurité et des incidents ? 2
14C01-04 Ces procédures permettent-elles aux responsables de déterminer si les procédures ou mesures de sécurité déléguées sont 2 2
exécutées de façon conforme ?
14C01-05 Des indicateurs permettant de détecter ou prévenir des incidents de sécurité sont-ils en place ? 2
14C01-06 Les revues vérifiant l'efficacité et l'application du SMSI sont-elles planifiées et effectuées régulièrement ? 2
14C01-07 Les conclusions de ces revues prennent-elles en compte les propositions et retours d'expérience des parties concernées ? 1
14C02 Pilotage du programme d'audit
14C02-01 Est-ce que la mise en œuvre des exigences organisationnelles du SMSI, ainsi que la mise en œuvre des différents plans d'actions, 4
font partie du périmètre du programme d'Audit?
Par exemple pour les exigences organisationnelles : la déclinaison d'une analyse de risques, d'une PSSI, d'un plan documentaire
SMSI,etc.
Par exemple pour les différents plans d'actions : les actions décidées suite à l'analyse de risques, de la mise en place de la PSSI ou
des différents Audit.

14C02-02 Est-ce que toutes les conclusions des Audits sont présentées en revues de Direction ? 2 2
14C02-03 Est-ce que toutes les conclusions des Audits font l'objet d'une proposition de plan de réduction des risques présentée en Direction ? 2 3

14C02-04 Est-ce que le programme d'audit est suivi par un ensemble d'indicateurs présentés en revue de Direction ? 2 3
14C03 Revue des risques et des mesures de sécurité
14C03-01 Des revues d'évaluation des risques sont-elles réalisées régulièrement ? 4
14C03-02 Ces revues d'évaluation des risques permettent-elles de vérifier l'efficacité des mesures de sécurité mises en place ? 2
Ces mesures peuvent être organisationnelles ou techniques.
14C03-03 Ces revues conduisent-elles à la révision des plans de sécurité chaque fois que nécessaire ? 2
14C03-04 Le périmètre et les objectifs de la politique de management de la sécurité sont-ils revus régulièrement ? 2
14C03-05 La planification de ces revues prend-elle en compte les changements dans l'environnement de sécurité de l'information ? 2
Par exemple les changements dans l'organisation, les technologies, les menaces, les processus, les exigences de l'activité et
réglementaires.

14C03-06 Un enregistrement structuré des observations et des incidents de sécurité significatifs est-il réalisé ? 2

Mise à jour : janvier 2010 464752531.xls ! 14 Msi page 255


14C03-07 Y a-t-il au moins une fois par an une revue de Direction du SMSI intégrant l'ensemble des éléments de pilotage du SMSI (résultats 2 2
de l'analyse de risques, tableaux de bords, résultats d'audit, etc.) et permettant de prendre les décisions relatives à la politique de
mise en oeuvre du SMSI (évolution de la PSSI, du périmètre du SMSI, du programme d'audit, des exigences à prendre en compte,
de l'affectation des ressources, etc.) ?

14D Amélioration du système de management


14D01 Amélioration continue
14D01-01 Les améliorations du SMSI identifiées sont-elles effectivement mises en œuvre ? 4
14D01-02 Est-ce que la Direction effectue une revue de ces actions ? 4 2
14D01-03 Les résultats de ces actions sont-ils consignés dans un registre ? 2
14D01-04 Est-ce qu'une analyse est effectuée pour confirmer que les actions contribuent à l'amélioration de l'efficacité du SMSI ? 1
14D02 Actions de correction des non-conformités
14D02-01 Les non-conformités dans l'application du SMSI sont-elles identifiées régulièrement ? 4
Tant en ce qui concerne les politiques de sécurité, les processus et les procédures que les contrôles eux-mêmes.
14D02-02 A-t-on planifié les actions correctives nécessaires ? 2
14D02-03 A-t-on déterminé les causes de ces non-conformités ? 1
14D02-04 Un plan d'action intégrant toutes les actions correctives a-t-il été élaboré ? 2
14D02-05 Est-ce que les actions correctives ont été mises en œuvre ? 2
14D02-06 A-t-on pris les moyens pour que la non-conformité ne se reproduise plus ? 1
14D02-07 Les résultats des actions correctives sont-ils consignés pour revue ultérieure ? 2
14D02-08 Est-ce qu'une analyse est effectuée pour confirmer que les actions réduisent effectivement les non-conformités ? 1
14D03 Actions de prévention des non-conformités
14D03-01 A-t-on identifié les non-conformités potentielles ? 2
14D03-02 A-t-on déterminé les causes de ces non-conformités potentielles ? 2
14D03-03 Est-ce que les actions préventives ont été déterminées ? 2
14D03-04 Est-ce que les actions préventives ont été mises en œuvre ? 2
14D03-05 Les résultats des mesures préventives mises en place ont-ils été consignés dans un registre ? 2
14D03-06 Est-ce qu'une analyse a été effectuée pour confirmer que les actions préventives évitent les non-conformités ? 1
14D04 Communication vers les parties prenantes
14D04-01 La communication sur les actions correctives et les améliorations est-elle effectuée vers toutes les parties concernées ? 2
Cette communication doit être suffisamment précise et détaillée.
14D04-02 L'accord des parties prenantes concernées par les actions d'amélioration est-il réalisé ? 2
14E Documentation
14E01 Gestion de la documentation
14E01-01 Existe-t-il une procédure décrivant la manière dont la documentation du Système de Management doit être gérée ? 4 2
14E01-02 Existe-t-il un responsable nommément désigné pour l'application de cette procédure ? 2 2
14E01-03 Cette procédure indique-t-elle que tout document doit posséder un propriétaire ? 2
14E01-04 Cette procédure est-elle largement diffusée à tous les services concernés ? 2
14E02 Approbation des documents
14E02-01 Le processus d'approbation de chaque document est-il défini ? 4
14E02-02 L'emplacement physique où doivent se trouver les documents approuvés est-il clairement identifié ? 2
Par exemple, un répertoire partagé sur un serveur.

Mise à jour : janvier 2010 464752531.xls ! 14 Msi page 256


14E03 Mises à jour
14E03-01 Les personnes habilitées à mettre à jour les documents sont-elles clairement identifiées ? 4
14E03-02 Est-il clairement indiqué que toute modification doit faire l'objet d'une nouvelle approbation ? 2
14E04 Identification et gestion des versions des documents
14E04-01 Existe-t-il un système cohérent de numérotation des documents prenant en compte les diverses versions ? 2
14E04-02 Les modifications sont-elles synthétisées dans une section historique des modifications ? 2
14E05 Mise à disposition de la documentation
14E05-01 A-t-on défini un niveau de classification de la documentation avec pour chaque niveau les droits des divers utilisateurs ? 4 2
14E05-02 Les moyens mis en œuvre pour diffuser les documents respectent-ils ces droits d'accès ? 2
14E06 Retrait des documents qui ne sont plus valides
14E06-01 A-t-on décrit la procédure de retrait des documents obsolètes ? 2
14E06-02 L'exécution de cette procédure est-elle régulièrement vérifiée par les responsables ? 2

Mise à jour : janvier 2010 464752531.xls ! 14 Msi page 257


Mise à jour : janvier 2010 464752531.xls ! 14 Msi page 258
Mise à jour : janvier 2010 464752531.xls ! 14 Msi page 259
Mise à jour : janvier 2010 464752531.xls ! 14 Msi page 260
Mise à jour : janvier 2010 464752531.xls ! 14 Msi page 261
Mise à jour : janvier 2010 464752531.xls ! 14 Msi page 262
SERVICES ET SOUS-SERVICES DE SECURITE
DOMAINES Prendre en compte l'objectif des plans 1.0
SERVICES
SOUS-SERVICES Thème Min Obj Fin
01 Organisation de la sécurité (01 Org) V1 V2 V3 V4
A - Rôles et structures de la sécurité
01A01 Organisation et pilotage de la sécurité générale A1 1.0 1.0
01A02 Organisation et pilotage de la sécurité des systèmes d'information A1 1.0 1.0
01A03 Système général de déclaration et de gestion des incidents A1 1.0 1.0
01A04 Organisation des audits et du programme d'audit A1 1.0 1.0
01A05 Gestion de crise liée à la sécurité de l'information A1 1.0 1.0
B - Référentiel de sécurité
01B01 Devoirs et responsabilités du personnel et du management A2 1.0 1.0
01B02 Directives générales relatives à la protection de l'information A2 1.0 1.0
01B03 Classification les ressources A2 1.0 1.0
01B04 Gestion des actifs A2 1.0 1.0
01B05 Protection des actifs ayant valeur de preuve A2 1.0 1.0
C - Gestion des ressources humaines
01C01 Engagement du personnel - clauses contractuelles A2 1.0 1.0
01C02 Gestion du personnel et des partenaires ou prestataires stratégiques A2 1.0 1.0
01C03 Procédure d'habilitation du personnel A2 1.0 1.0
01C04 Sensibilisation et formation à la sécurité A2 1.0 1.0
01C05 Gestion des tierces parties A2 1.0 1.0
01C06 Enregistrement des personnes A2 1.0 1.0
D - Assurances
01D01 Assurance des dommages matériels A1 1.0 1.0
01D02 Assurance des dommages immatériels A1 1.0 1.0
01D03 Assurance Responsabilité Civile (RC) A1 1.0 1.0
01D04 Assurance Perte de Personnages clés A1 1.0 1.0
01D05 Gestion des contrats d'assurance A1 1.0 1.0
E - Continuité de l'activité
01E01 Prise en compte des besoins de continuité de l'activité F1 1.0 1.0
01E02 Plans de continuité de l'activité F1 1.0 1.0
01E03 Plans de Reprise de l'Environnement de Travail (PRET) F1 1.0 1.0
02 Sécurité des sites (02 Sit) V1 V2 V3 V4
A - Contrôle d'accès physique au site et aux bâtiments
02A01 Gestion des droits d'accès au site ou à l'immeuble B1 1.0 1.0
02A02 Gestion des autorisations d'accès au site ou à l'immeuble B1 1.0 1.0
02A03 Contrôle d'accès au site ou à l'immeuble B1 1.0 1.0
02A04 Détection des intrusions sur le site ou dans l'immeuble B1 1.0 1.0
02A05 Accès aux zones de transfert (livraison ou chargement) ou aux zones accessibles au public B1 1.0 1.0
B - Protection contre les risques environnementaux divers
02B01 Analyse des risques environnementaux divers B2 1.0 1.0
C - Contrôle des accès aux zones de bureaux
02C01 Partitionnement des zones de bureaux en zones protégées B1 1.0 1.0
02C02 Contrôle d'accès physique aux zones de bureaux protégées B1 1.0 1.0
02C03 Gestion des autorisations d'accès aux zones de bureaux protégées B1 1.0 1.0
02C04 Détection des intrusions dans les zones de bureaux protégées B1 1.0 1.0
02C05 Surveillance des zones de bureaux protégées B1 1.0 1.0
02C06 Contrôle de la circulation des visiteurs et des prestataires occasionnels amenés à intervenir dans B1
les bureaux 1.0 1.0
D - Protection de l'information écrite
02D01 Conservation et protection des documents courants importants E3 1.0 1.0
02D02 Protection des documents et supports amovibles E3 1.0 1.0
02D03 Ramassage des corbeilles à papier et destruction des documents E3 1.0 1.0
02D04 Sécurité du courrier E3 1.0 1.0
02D05 Sécurité des télécopies E3 1.0 1.0
02D06 Conservation et protection des documents importants à conserver sur une longue période E3 1.0 1.0
02D07 Gestion des archives documentaires E3 1.0 1.0
03 Sécurité des locaux (03 Loc) V1 V2 V3 V4
A - Services techniques
03A01 Qualité de la fourniture de l'énergie B2 1.0 1.0
03A02 Continuité de la fourniture de l'énergie B2 1.0 1.0
03A03 Sécurité de la climatisation B2 1.0 1.0
03A04 Qualité du câblage B2 1.0 1.0
03A05 Protection contre la foudre B2 1.0 1.0
03A06 Sécurité des équipements de servitude B2 1.0 1.0
B - Contrôle d'accès aux locaux sensibles (hors zones de bureaux)
03B01 Gestion des droits d'accès aux locaux sensibles B1 1.0 1.0
03B02 Gestion des autorisations d'accès aux locaux sensibles B1 1.0 1.0
03B03 Contrôle des accès aux locaux sensibles B1 1.0 1.0
03B04 Détection des intrusions dans les locaux sensibles B1 1.0 1.0
03B05 Surveillance périmétrique (surveillance des issues et des abords immédiats des locaux sensibles) B1 1.0 1.0
03B06 Surveillance des locaux sensibles B1 1.0 1.0
03B07 Contrôle d'accès au câblage B1 1.0 1.0
03B08 Localisation des locaux sensibles B1 1.0 1.0
C - Sécurité contre les dégâts des eaux
03C01 Prévention des risques de dégâts des eaux B2 1.0 1.0
03C02 Détection des dégâts des eaux B2 1.0 1.0
03C03 Évacuation de l'eau B2 1.0 1.0
D - Sécurité incendie
03D01 Prévention des risques d'incendie B2 1.0 1.0
03D02 Détection d'incendie B2 1.0