Vous êtes sur la page 1sur 52

Objectifs du séminaire

Présenter l’audit

Présenter les référentiels potentiels pour l’audit informatique


COBIT (Gouvernance IT)
ITIL (Gestion des services)
ISO27000 (Gestion de la sécurité de l’information)

 Présenter l’Audit de la Sécurité des Systèmes d'Information selon


l’ISO 27000
L’audit

Le terme « Audit » vient du latin, du verbe audire qui signifie «


écouter».

L'ATH énonce ce qui suit : « l'audit est l'examen d'information en vue


d'exprimer sur cette information une opinion responsable et
indépendante par référence à un critère de qualité, cette opinion doit
accroître l'utilité de l'information »
ATH, Audit Financier, Edition CLET 1983, p18
L’audit
Méthodologie
Référentiels potentiels pour l’audit informatique
COBIT (Gouvernance IT)

Le référentiel COBIT est un cadre de référence et de contrôle fourni


avec de nombreux outils (indicateurs, guides,…) pour les SI visant à
déterminer « si les technologies de l’information sont en
cohérence avec les objectifs […] et la stratégie de l’entreprise. »
Guide informatique, Principe du COBIT,
www.guideinformatique.com

De par son utilisation, COBIT permet aux SI :


• de s’aligner sur le métier de l’entreprise
• d’apporter un plus aux métiers
• de gérer au mieux ses ressources
• de gérer les risques de façon efficace
Référentiels potentiels pour l’audit informatique
COBIT (Gouvernance IT)
COBIT peut être analysé
comme une succession
d’étapes formant un cycle
itératif et incrémental. Ces
dernières sont :
• La compréhension des
objectifs métiers
• Leur traduction en
objectifs informatiques
• La détermination des
principaux processus
• La mesure de leurs effets
sur les objectifs
précédemment définis
Référentiels potentiels pour l’audit informatique
ITIL (Gestion des services)

ITIL à été mis en place dès 1988 par l’Organisation du commerce


britannique (l’OGC). Le but premier était de rassembler des modes
de pensées, de trouver les meilleurs procédés et de les rassembler
dans des livres. Cette méthode se caractérise par l’utilisation d’un
langage commun et d’une séparation des processus fondée sur le
principe d’amélioration continue.

L’objectif premier d’ITIL est de mettre sous contrôle la production


au travers la mise en place de bonnes pratiques répertoriées dans
plusieurs livres.

Les deux tomes les plus utilisés sont le soutien et la fourniture des
services informatiques.
Référentiels potentiels pour l’audit informatique
ITIL (Gestion des services)
ITIL dans sa version 3 s’articule autour
du catalogue de service et met l’accent
sur le cycle de vie du service :
 Service Strategy
 Service Design
 Service Transition
 Service Operation
 Amélioration continue des services.
Référentiels potentiels pour l’audit informatique
ISO27000 (Gestion de la sécurité de l’information)

Cette norme est très répandue sur


le marché et contient les exigences
concernant la mise en place un
système de management de la
sécurité de l’information au travers
de 11 domaines.
ISO 27000
Processus d’implémentation et Certification

Statement of Applicability

Risk Treatment Plan


ISO 27000
Appréciation et traitement du risque (§ 4)
La gestion des risques (accidents, erreurs, défaillances,
malveillances) de sécurité consiste à protéger les biens de votre
organisation contre les menaces pouvant subvenir.

Objectif(s): Identifier et déterminer les risques qu'il faut maîtriser ou


accepter en fonction des objectifs fixés par votre organisation.

CONTROLES ISO 27000


4.1 Appréciation du risque lié à la sécurité
4.2 Traitement du risque lié à la sécurité
ISO 27000
Appréciation et traitement du risque (§ 4)
ISO 27000
Politique de Sécurité de l’Information (§ 5)
La Politique de Sécurité de l’Information est composée d’un
ensemble de documents constitués de directives Sécurité. Ces
derniers sont définis sous la forme d’un ensemble de règles.

Objectif(s): Protection du patrimoine informationnel de votre


organisation.

CONTROLES ISO 27000


5.1.1 Document de politique de sécurité de l’information
5.1.2 Réexamen de la politique de sécurité de l’information
ISO 27000
Politique de Sécurité de l’Information (§ 5)
Questionnaire
 Est-ce qu’il existe un document qui traite de la sécurité des systèmes
d’information ?
 Est-ce que ce document:
 a été approuvé par la direction ?
 a été communiqué et approprié par tous les employés ?
 est révisé régulièrement ?
ISO 27000
Organisation de la Sécurité de l’Information (§ 6)
L'organisation de la sécurité de l'information consiste à :
•définir un cadre de gestion;
•préciser les rôles, responsabilités et qualifications des
gestionnaires, utilisateurs, contractuels, fournisseurs de services et
détenteurs des ressources informationnelles;
•assurer la protection de vos ressources informationnelles;
•mettre en place des mécanismes de sécurité pour assurer la
sécurisation de l'accès des tiers aux informations et ressources de
votre organisation.

•Objectif(s): Clarifier les rôles et responsabilités des acteurs en


sécurité de l'information.
ISO 27000
Organisation de la Sécurité de l’Information (§ 6)
CONTROLES ISO 27000
6.1 Organisation interne
6.1.1 Engagement de la Direction vis-à-vis de la sécurité de l’information
6.1.2 Coordination de la sécurité de l’information
6.1.3 Attribution des responsabilités en matière de sécurité de l’information
6.1.4 Système d’autorisation concernant les moyens de traitement de l’information
6.1.5 Engagements de confidentialité
6.1.6 Relations avec les autorités
6.1.7 Relations avec des groupes de spécialistes
6.1.8 Revue indépendante de la sécurité de l’information

6.2 Tiers
6.2.1 Identification des risques provenant des tiers
6.2.2 La sécurité et les clients
6.2.3 La sécurité dans les accords conclus avec des tiers
ISO 27000
Organisation de la Sécurité de l’Information (§ 6)
Questionnaire
6.1 Organisation interne
Est-ce que les gestionnaires de l’organisation offrent un support actif à la
sécurité de l’information (assignation de tâches, définir des responsabilités,
etc.) ?
 Est-ce que l’organisation a un comité impliquant un représentant, de tous
les départements, responsable d’assurer la sécurité des informations ?
 Est-ce que les responsabilités de la sécurité de l’information sont
clairement définies ?
 Est-ce qu’il y a une entente de confidentialité en rapport avec les besoins
de l’organisation et est-elle régulièrement révisée ?
 Est-ce que l’organisation collabore avec les différentes organisations ?
 Est-ce que l’organisation est auditée de façon indépendante ?

6.2 Tiers
Est-ce que les politiques de l’organisation sont respectées par les
organisations externes mandatées des systèmes de l’information?
ISO 27000
Gestion des Biens (§ 7)
Un inventaire de tous les biens, qu’ils soient physiques ou
logiques, est établi et maintenu à jour, et il leur sera
attribué un propriétaire. Le propriétaire est en charge de
la mise en place de Standards de Sécurité et responsable
de leur conformité.

Objectif(s):
- Classifier et évaluer les biens de l’organisme;
- S’assurer que tous les biens ont un propriétaire
responsable de leur protection.
ISO 27000
Gestion des Biens (§ 7)
CONTROLES ISO 27000
7.1 Responsabilités relatives aux biens
7.1.1 Inventaire des biens
7.1.2 Propriété des biens
7.1.3 Utilisation correcte des biens

7.2 Classification des informations


7.2.1 Lignes directrices pour la classification
7.2.2 Marquage et manipulation de l’information
ISO 27000
Gestion des Biens (§ 7)
Questionnaire
7.1 Responsabilités relatives aux biens
 Existe-t-il un inventaire de tous les actifs importants ?
 Est-il maintenu à jour ?
 Existe-t-il des règles d’utilisation des ressources ?

7.2 Classification des informations


 Est-ce que les composantes des systèmes d’information sont classifiées ?
 Existe-t-il des procédures de traitement de l’information en fonction de la
classification (création, diffusion, stockage, destruction, etc.) ?
ISO 27000
Sécurité liée aux Ressources Humaines (§ 8)
L’organisation met en place les mesures et les contrôles appropriés
pour s’assurer qu’elle n’emploie que des employés, contractants et
consultants dont l’attitude et le profil sont compatibles avec
l’importance que l’organisation attache à la sécurité de ses
employés et de ses biens. La sensibilisation et la formations
techniques nécessaires doivent être pourvus.

Objectif(s):
-Minimiser les risques d’erreurs humaines, de vol, de fraude ou
d’utilisation inadéquate des installations;
-Minimiser les dommages dus à des incidents liés à la Sécurité,
contrôler et apprendre suite à de tels incidents.
ISO 27000
Sécurité liée aux Ressources Humaines (§ 8)
CONTROLES ISO 27000
8.1 Avant le recrutement
8.1.1 Rôles et responsabilités
8.1.2 Sélection
8.1.3 Conditions d’embauche
8.2 Pendant la durée du contrat
8.2.1 Responsabilités de la direction
8.2.2 Sensibilisation, qualification et formations en matière de sécurité de
l’information
8.2.3 Processus disciplinaire
8.3 Fin ou modification de contrat
8.3.1 Responsabilités en fin de contrat
8.3.2 Restitution des biens
8.3.3 Retrait des droits d’accès
ISO 27000
Sécurité liée aux Ressources Humaines (§ 8)
Questionnaire
8.1 Avant le recrutement
Est-ce qu’il existe une entente de confidentialité et une entente de sécurité de
l’information pour les employés ?

8.2 Pendant la durée du contrat


 Est-ce que les politiques de sécurité de l’organisation sont enseignées aux
employés de l’organisation afin de les encourager ?
 Est-ce qu’il y a des sanctions en cas de violation des politiques de sécurité ?

8.3 Fin ou modification de contrat


Est-ce que TOUS les droits d’accès sont retirés lorsqu’une ressource humaine
quitte l’organisation ?
ISO 27000
Sécurité Physique et Environnementale (§ 9)
L’organisation met en place les mesures et les contrôles
environnementaux proportionnés à la valeur et la nature critique
des biens auxquels ils s’appliquent.

Objectif(s):
-Prévenir tout accès ou interférence non autorisé aux services de
l’organisation;
-Prévenir la perte, le dommage /altération des biens ou
l’interruption des affaire.
ISO 27000
Sécurité Physique et Environnementale (§ 9)
CONTROLES ISO 27000
9.1 Zones sécurisées
9.1.1 Périmètre de sécurité physique
9.1.2 Contrôles physiques des accès
9.1.3 Sécurisation des bureaux, des salles et des équipements
9.1.4 Protection contre les menaces extérieures et environnementales
9.1.5 Travail dans les zones sécurisées
9.1.6 Zones d’accès public, de livraison et de chargement
9.2 Sécurité du matériel
9.2.1 Choix de l’emplacement et protection du matériel
9.2.2 Services généraux
9.2.3 Sécurité du câblage
9.2.4 Maintenance du matériel
9.2.5 Sécurité du matériel hors des locaux
9.2.6 Mise au rebut ou recyclage sécurisé(e) du matériel
9.2.7 Sortie d’un bien
ISO 27000
Sécurité Physique et Environnementale (§ 9)
Questionnaire
9.1 Zones sécurisées
 Est-ce que les systèmes de l’information sont isolés dans des lieux
sécuritaires ?
 Est-ce qu’il y a des mécanismes de contrôle d’accès pour se rendre
physiquement aux systèmes de l’information ?
 Est-ce qu’il y a des mécanismes prévus en cas d’incident (i.e.: feu,
inondation, etc.) ?

9.2 Sécurité du matériel


 Est-ce qu’il y a des mécanismes de protection face aux problèmes
d’alimentation ?
 Est-ce que les spécifications des fabricants sont respectées ?
 Est-ce qu’il y a des procédures pour la destruction des équipements
informatiques ?
ISO 27000
Gestion de l’exploitation et des télécommunications (§ 10)
Des mécanismes de sécurité son mis en place sur les systèmes
informatiques et le réseau en vue d’assurer la disponibilité,
l’intégrité, la confidentialité, ainsi que la traçabilité des données.

Objectif(s):
-S’assurer du fonctionnement correct et en toute sécurité du
système d’information et du réseau;
-Minimiser le risque de panne du système.
ISO 27000
Gestion de l’exploitation et des télécommunications (§ 10)
CONTROLES ISO 27000 (1/3)
10.1 Procédures et responsabilités liées à l’exploitation
10.1.1 Procédures d’exploitation documentées
10.1.2 Gestion des modifications
10.1.3 Séparation des tâches
10.1.4 Séparation des équipements de développement, de test et d’exploitation
10.2 Gestion de la prestation de service par un tiers
10.2.1 Prestation de service
10.2.2 Surveillance et réexamen des services tiers
10.2.3 Gestion des modifications dans les services tiers
10.3 Planification et acceptation du système
10.3.1 Dimensionnement
10.3.2 Acceptation du système
10.4 Protection contre les codes malveillant et mobile
10.4.1 Mesures contre les codes malveillants
10.4.2 Mesures contre le code mobile
ISO 27000
Gestion de l’exploitation et des télécommunications (§ 10)
CONTROLES ISO 27000 (2/3)
10.5 Sauvegarde
10.5.1 Sauvegarde des informations
10.6 Gestion de la sécurité des réseaux
10.6.1 Mesures sur les réseaux
10.6.2 Sécurité des services réseau
10.7 Manipulation des supports
10.7.1 Gestion des supports amovibles
10.7.2 Mise au rebut des supports
10.7.3 Procédures de manipulation des informations
10.7.4 Sécurité de la documentation système
10.8 Échange des informations
10.8.1 Politiques et procédures d’échange des informations
10.8.2 Accords d’échange
10.8.3 Supports physiques en transit
10.8.4 Messagerie électronique
10.8.5 Systèmes d’information d’entreprise
ISO 27000
Gestion de l’exploitation et des télécommunications (§ 10)
CONTROLES ISO 27000 (3/3)
10.9 Services de commerce électronique
10.9.1 Commerce électronique
10.9.2 Transactions en ligne
10.9.3 Informations à disposition du public
10.10 Surveillance
10.10.1 Rapport d’audit
10.10.2 Surveillance de l’exploitation du système
10.10.3 Protection des informations journalisées
10.10.4 Journal administrateur et journal des opérations
10.10.5 Rapports de défaut
10.10.6 Synchronisation des horloges
ISO 27000
Gestion de l’exploitation et des télécommunications (§ 10)
Questionnaire (1/3)
10.1 Procédures et responsabilités liées à l’exploitation
 Existe-t-il des procédures sur les opérations ?
 Sont-elles maintenues ?
 Existe-t-il un contrôle sur la gestion du changement des logiciels utilisés ?
 Est-ce qu’il y a une distinction entre les opérations de développement et de
production ?
 Existe-t-il une procédure de migration entre les environnements ?

10.2 Gestion de la prestation de service par un tiers


Est-ce qu’il y a des mécanismes de contrôle du respect des exigences sécurité par
les tiers?

10.3 Planification et acceptation du système


Existe-t-il des critères d’acceptation pour les systèmes d’information lors de nouvelle
installation et mise à jour ?

10.4 Protection contre les codes malveillant et mobile


Existe-t-il des mécanismes pour combattre les « malware » ?
ISO 27000
Gestion de l’exploitation et des télécommunications (§ 10)
Questionnaire (2/3)
10.5 Sauvegarde
Existe-t-il des copies de sauvegarde des informations de l’organisation ? Sont-elles
vérifiées ?

10.6 Gestion de la sécurité des réseaux


Existe-t-il des contrôles pour l’établissement et le maintien de la sécurité des
réseaux ?
10.7 Manipulation des supports
Existe-t-il des procédures pour la gestion/destruction/conservation de médias de
l’information (disquettes, cassettes, etc.) ?

10.8 Échange des informations


 Existe-t-il des mécanismes de protection pour l’échange d’information
(protéger contre l’interception, modification, destruction et redirection) ?
 Existe-t-il une politique sur l’utilisation sécurisée du courrier électronique ?
ISO 27000
Gestion de l’exploitation et des télécommunications (§ 10)
Questionnaire (3/3)
10.9 Services de commerce électronique
Existe-t-il une politique sur l’utilisation sécurisée du commerce électronique ?

10.10 Surveillance
Est-ce que les fichiers journaux des systèmes d’information sont conservés? Est-ce
qu’il y a des lectures/vérifications qui sont faites sur ces fichiers ?
ISO 27000
Contrôle d’accès (§ 11)
L’organisation met en place des mesures strictes de contrôle d’accès
aux systèmes et réseaux qu’elle opère. La détermination des droits
d’accès sera de la responsabilité du propriétaire de l’information.

Objectif(s):
-Contrôler l’accès aux informations de l’organisation;
-Prévenir tout accès non autorisé au système informatique;
-Protéger les services en réseau;
-Détecter les activités non autorisés.
ISO 27000
Contrôle d’accès (§ 11)
CONTROLES ISO 27000 (1/3)
11.1 Exigences métier relatives au contrôle d’accès
11.1.1 Politique de contrôle d’accès
11.2 Gestion de l’accès utilisateur
11.2.1 Enregistrement des utilisateurs
11.2.2 Gestion des privilèges
11.2.3 Gestion du mot de passe utilisateur
11.2.4 Réexamen des droits d’accès utilisateurs
11.3 Responsabilités utilisateurs
11.3.1 Utilisation du mot de passe
11.3.2 Matériel utilisateur laissé sans surveillance
11.3.3 Politique du bureau propre et de l’écran vide
ISO 27000
Contrôle d’accès (§ 11)
CONTROLES ISO 27000 (2/3)
11.4 Contrôle d’accès au réseau
11.4.1 Politique relative à l’utilisation des services en réseau
11.4.2 Authentification de l’utilisateur pour les connexions externes
11.4.3 Identification des matériels en réseau
11.4.4 Protection des ports de diagnostic et de configuration à distance
11.4.5 Cloisonnement des réseaux
11.4.6 Mesure relative à la connexion réseau
11.4.7 Contrôle du routage réseau
11.5 Contrôle d’accès au système d’exploitation
11.5.1 Ouverture de sessions sécurisées
11.5.2 Identification et authentification de l’utilisateur
11.5.3 Système de gestion des mots de passe
11.5.4 Emploi des utilitaires système
11.5.5 Déconnexion automatique des sessions inactives
11.5.6 Limitation du temps de connexion
ISO 27000
Contrôle d’accès (§ 11)
CONTROLES ISO 27000 (3/3)
11.6 Contrôle d’accès aux applications et à l’information
11.6.1 Restriction d’accès à l’information
11.6.2 Isolement des systèmes sensibles
11.7 Informatique mobile et télétravail
11.7.1 Informatique mobile et télécommunications
11.7.2 Télétravail
ISO 27000
Contrôle d’accès (§ 11)
Questionnaire (1/2)
11.1 Exigences métier relatives au contrôle d’accès
L’accès à l’information est-il sujet à des restrictions en fonction de la politique et
de la classification de l’organisation ?

11.2 Gestion de l’accès utilisateur


Existe-t-il des procédures d’accès aux systèmes d’information ?
La gestion des utilisateurs (création, retrait)
La gestion des mots de passe
La gestion des privilèges

11.3 Responsabilités utilisateurs


Est-ce que les utilisateurs sont sensibilisés face à leurs responsabilités (mot de
passe, utilisation du matériel) ?
ISO 27000
Contrôle d’accès (§ 11)
Questionnaire (2/2)
11.4 Contrôle d’accès au réseau
 Existe-t-il des mécanismes d’authentification et de confidentialité pour
l’accès aux réseaux (de l’intérieur comme de l’extérieur du LAN) ?
 Est-ce que les systèmes d’information critiques sont isolés du réseau ?

11.5 Contrôle d’accès au système d’exploitation


Est-ce que l’accès aux systèmes d’information se fait via une authentification
sécuritaire ?

11.6 Contrôle d’accès aux applications et à l’information


Est-ce que l’accès aux applications et aux informations se fait via une
authentification sécuritaire ?

11.7 Informatique mobile et télétravail


 Existe-t-il des politiques pour l’accès aux portables ?
 Existe-t-il des politiques pour le télétravail ?
ISO 27000
Acquisition, Développement et Maintenance des Systèmes
d’Information (§ 12)
L’organisation évalue les risques liés aux nouveaux processus,
systèmes d’information et réseaux, ainsi que les changements
significatifs à ceux qui existent déjà. La sécurité fait partie du
processus de développement et de maintenance.

Objectif(s):
-S’assurer que la sécurité est mise en place pour tous les systèmes;
-Prévenir toute perte, modification ou utilisation des informations
relatives aux utilisateurs à mauvais escient, dans les systèmes.
-S’assurer que les projets et leurs activités de support sont menés
de manière sécurisée;
-Maintenir la sécurité des applications et de l’information.
ISO 27000
Acquisition, Développement et Maintenance des Systèmes
d’Information (§ 12)
CONTROLES ISO 27000 (1/2)
12.1 Exigences de sécurité applicables aux systèmes d’information
12.1.1 Analyse et spécification des exigences de sécurité
12.2 Bon fonctionnement des applications
12.2.1 Validation des données d’entrée
12.2.2 Mesure relative au traitement interne
12.2.3 Intégrité des messages
12.2.4 Validation des données de sortie
12.3 Mesures cryptographiques
12.3.1 Politique d’utilisation des mesures cryptographiques
12.3.2 Gestion des clés
12.4 Sécurité des fichiers système
12.4.1 Mesure relative aux logiciels en exploitation
12.4.2 Protection des données système d’essai
12.4.3 Contrôle d’accès au code source du programme
ISO 27000
Acquisition, Développement et Maintenance des Systèmes
d’Information (§ 12)
CONTROLES ISO 27000 (2/2)
12.5 Sécurité en matière de développement et d’assistance
technique
12.5.1 Procédures de contrôle des modifications
12.5.2 Réexamen technique des applications après modification du système
d’exploitation
12.5.3 Restrictions relatives à la modification des progiciels
12.5.4 Fuite d’informations
12.5.5 Externalisation du développement logiciel
12.6 Gestion des vulnérabilités techniques
12.6.1 Mesure relative aux vulnérabilités techniques
ISO 27000
Acquisition, Développement et Maintenance des Systèmes
d’Information (§ 12)
Questionnaire (1/2)
12.1 Exigences de sécurité applicables aux systèmes d’information
Existe-t-il des exigences de sécurité et de contrôle, pour les nouveaux systèmes
ou pour les mises à jour des systèmes existants ?

12.2 Bon fonctionnement des applications


Est-ce que les données des applications (entrantes et sortantes) sont validées ?

12.3 Mesures cryptographiques


Est-ce que l’on a recours aux techniques de cryptographie pour assurer la
confidentialité, l’intégrité, l’authentification et la non répudiation dans l’utilisation
des systèmes d’information ?

12.4 Sécurité des fichiers système


Est-ce qu’il y a des mécanismes de protection et de contrôle sur les données de
tests ?
ISO 27000
Acquisition, Développement et Maintenance des Systèmes
d’Information (§ 12)
Questionnaire (2/2)
12.5 Sécurité en matière de développement et d’assistance
technique
Existe-t-il des procédures de contrôle des modifications avant leur mise en
œuvre?

12.6 Gestion des vulnérabilités techniques


Est-ce que l’organisation fait de la gestion des vulnérabilités ?
ISO 27000
Gestion des Incidents liés à la Sécurité de l’Information (§ 13)
L’organisation applique des contrôles et procédures de gestion des
incidents. Une méthode formelle assure ainsi une résolution des
dysfonctionnements de façon appropriée et dans des délais
adéquats.

Objectif(s):
-Détection et identification des incidents, résolutions et
enregistrement des dysfonctionnements;
-Remontée d’alertes d’intervention;
-Affectation et mise à jour des incidents;
-Résolution et clôture des dysfonctionnements;
-Rapports de traitement et gestion des incidents;
-Résolution et clôture des dysfonctionnements;
-Rapports de traitement et gestion des incidents;
-Remontée des incidents.
ISO 27000
Gestion des Incidents liés à la Sécurité de l’Information (§ 13)
CONTROLES ISO 27000
13.1 Signalement des événements et des failles liés à la sécurité de
l’information
13.1.1 Signalement des événements liés à la sécurité de l’information
13.1.2 Signalement des failles de sécurité
13.2 Gestion des améliorations et incidents liés à la sécurité de
l’information
13.2.1 Responsabilités et procédures
13.2.2 Exploitation des incidents liés à la sécurité de l’information déjà
survenus
13.2.3 Collecte de preuves
ISO 27000
Gestion des Incidents liés à la Sécurité de l’Information (§ 13)
Questionnaire
13.1 Signalement des événements et des failles liés à la sécurité de
l’information
 Est-ce que les incidents de sécurité sont signalés ?
 Est-ce que les failles de sécurité sont signalées ?

13.2 Gestion des améliorations et incidents liés à la sécurité de


l’information
Est-ce que les incidents sont gérés ?
ISO 27000
Gestion du Plan de Continuité de l’Activité (§ 14)
L’organisation établit et maintient à jour des Plans de Continuité
d’Activité et de Secours. Ces Plans assurent le rétablissement au
niveau de la disponibilité des procédures critiques, des systèmes
d’information, des réseaux et des infrastructures. En cas de
perturbation ou d’interruption, ces Plan organisent également la
présence des personnes ayant les responsabilités, la connaissance
et le pouvoir de décision requis.

Objectif(s):
-Avoir des plans prêts pour réagir à toute interruption des activités
de l’organisation;
-Assurer la continuité des processus critiques de l’organisation.
ISO 27000
Gestion du Plan de Continuité de l’Activité (§ 14)
CONTROLES ISO 27000
14.1 Aspects de la sécurité de l’information en matière de gestion
de la continuité de l’activité
14.1.1 Intégration de la sécurité de l’information dans le processus de PCA
14.1.2 Continuité de l’activité et appréciation du risque
14.1.3 Élaboration et mise en œuvre des PCA intégrant la sécurité de
l'information
14.1.4 Cadre de la planification de la continuité de l’activité
14.1.5 Mise à l’essai, gestion et appréciation constante des plans de
continuité de l’activité
ISO 27000
Gestion du Plan de Continuité de l’Activité (§ 14)
Questionnaire
14.1 Aspects de la sécurité de l’information en matière de gestion
de la continuité de l’activité
 Existe-t-il un plan pour assurer la continuité des activités de
l’organisation ?
 Est-ce que ce plan est validé via la pratique ?
ISO 27000
Conformité (§ 15)
L’organisation établit le cadre nécessaire pour s’assurer de sa
conformité aux exigences légales, ainsi qu’aux exigences internes en
matière de sécurité et de valeurs déontologiques et éthiques.

Objectif(s):
-Eviter d’enfreindre les obligations statuaires, pénales, civiles ou les
exigences en matière de sécurité.
-Assurer la conformité des systèmes aux Standards de Sécurité;
-Permettre une intégration constructive avec les procédures d’audit.
ISO 27000
Conformité (§ 15)
CONTROLES ISO 27000
15.1 Conformité avec les exigences légales
15.1.1 Identification de la législation en vigueur
15.1.2 Droits de propriété intellectuelle
15.1.3 Protection des enregistrements de l’organisme
15.1.4 Protection des données et confidentialité des informations relatives à
la vie privée
15.1.5 Mesure préventive à l’égard du mauvais usage des moyens de
traitement de l’information
15.1.6 Réglementation relative aux mesures cryptographiques
15.2 Conformité avec les politiques et normes de sécurité et
conformité technique
15.2.1 Conformité avec les politiques et les normes de sécurité
15.2.2 Vérification de la conformité technique
15.3 Prises en compte de l’audit du système d’information
15.3.1 Contrôles de l’audit du système d’information
15.3.2 Protection des outils d’audit du système d’information
ISO 27000
Conformité (§ 15)
Questionnaire
15.1 Conformité avec les exigences légales
Est-ce que toutes les exigences réglementaires et contractuelles, dont relève
chaque système d’information, sont explicitement définies ?

15.2 Conformité avec les politiques et normes de sécurité et


conformité technique
Est-ce que les directions s’assurent que toutes les procédures de sécurité sous
leurs responsabilités sont en accord avec les politiques de sécurités de
l’organisation ?

15.3 Prises en compte de l’audit du système d’information


Est-ce qu’il y a des audits réguliers pour assurer le respect des politiques de
sécurité ?