Referentiel - Audit 2.1

Référentiel d’Audit
de la Sécurité des Systèmes

d’Information
Évolutions du document
Version Date Nature des modifications

1.0 19/12/2018 Version initiale
1.1 05/01/2015 Version mise à jour
1.2 03/06/2015 MAJ des intitulés des domaines
2.0 10/05/2018 Alignement avec la norme ISO/IEC 27002 :2013
2.1 14/10/2019 MAJ suite à la publication de l’arrêté du ministre des
technologies de la communication et de l'économie
numérique et du ministre du développement, de
l’investissement et de la coopération internationale du 01
Octobre 2019, fixant le cahier des charges relatif à
l'exercice de l’activité d’audit dans le domaine de la
sécurité informatique.
Pour toute remarque
Contact @ Mail Téléphone

Direction de l’Audit de la Sécurité des audit@ansi.tn 71 846 020
Systèmes d’Information
1 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

1. Avant-propos
L’audit de la sécurité des systèmes d’information en Tunisie est stipulé par la loi n° 5 de 2004 et
organisé par le décret 2004-1250 et l’arrêté du ministre des technologies de la communication et de
l'économie numérique et du ministre du développement, de l’investissement et de la coopération
internationale du 01 Octobre 2019, fixant le cahier des charges relatif à l'exercice de l’activité d’audit
dans le domaine de la sécurité informatique. Le décret cité identifie les organismes soumis à
l’obligation de l’audit, ainsi que les étapes clés de la mission d’audit et les livrables à fournir à
l’organisme audité à la fin de la mission. Cependant, les contrôles de sécurité à vérifier n’ont pas été
identifiés au niveau de ces textes.
Ainsi, l’ANSI estime qu’il est nécessaire d’identifier les critères d’audit à travers un document de
référentiel qui permettra d’accompagner les experts auditeurs dans la réalisation des missions
d’audit de sécurité des systèmes d’information et aux organismes audités de disposer de garanties
sur la qualité des audits effectués.
Ce référentiel comprend les contrôles de sécurité nécessaires pour le maintien d’un système de
gestion de la sécurité et que l’expert auditeur est appelé à vérifier lors de la mission d’audit.
2. Objectif
Le présent document détaille les critères par rapport auxquels l’audit est réalisé conformément aux
exigences de la loi 2004-05, au décret 2004-1250 et à l’arrêté ministre des technologies de la
communication et de l'économie numérique et du ministre du développement, de l’investissement
et de la coopération internationale du 01 Octobre 2019, fixant le cahier des charges relatif à
l'exercice de l’activité d’audit dans le domaine de la sécurité informatique.
Le présent document est un document de référence pour :

- Les experts auditeurs qui réalisent les missions d’audit, pour les accompagner à conduire la
mission conformément aux exigences du présent référentiel
- Les audités, bénéficiaires de la mission d’audit, pour assurer un meilleur suivi de ladite
mission.
3. Domaine d’application
Ce référentiel est applicable à tous les organismes soumis à l’obligation de l’audit conformément aux
exigences de de la loi 2004-05 et ses décrets applicatifs.
4. Références
- Loi n° 2004-5 du 3 février 2004, relative à la sécurité informatique et portant sur

l'organisation du domaine de la sécurité informatique et fixant les règles générales de
protection des systèmes informatiques et des réseaux,
- Décret n° 2004-1250 du 25 mai 2004, fixant les systèmes informatiques et les réseaux des
organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères
relatifs à la nature de l'audit et à sa périodicité et aux procédures de suivi de l'application des
recommandations contenues dans le rapport d'audit,
- La norme ISO 18045, qui fournit une méthodologie pour l’évaluation de la sécurité IT,
- La norme ISO 19011 :2011, qui fournit les lignes directrices sur l’audit interne ou externe
d’un système de management et l’évaluation des compétences des équipes d’audit,
- La norme ISO 22301 :2012, Gestion de la continuité des affaires,
- La norme ISO 27001 :2013, Système de management de la sécurité de l’information,
- La norme ISO 27002 :2013, Code de bonnes pratiques pour le management de la sécurité de
l'information,
- La norme ISO 27005 :2018, Gestion du risque en sécurité de l’information,
- ITIL (Information Technology Infrastructure Library (« Bibliothèque pour l'infrastructure des
technologies de l'information ») est un ensemble d'ouvrages recensant les bonnes pratiques
(« best practices ») du management du système d'information.
5. Termes et définitions
Preuves d’audit : Enregistrements, énoncés de faits ou autres informations qui se rapportent aux
critères d’audit et qui sont vérifiables. Les preuves d’audit peuvent être qualitatives ou quantitatives.
Les preuves peuvent être classées en 4 catégories :
- La preuve physique : c'est ce que l'on voit, constate = observation,
- La preuve testimoniale : témoignages. C'est une preuve très fragile qui doit toujours être recoupée
et validée par d'autres preuves,
- La preuve documentaire : procédures écrites, comptes rendus, notes,
- La preuve analytique : résulte de calculs, rapprochements, déductions et comparaisons diverses.
Critères d’audit : Ensemble de politiques, procédures ou exigences déterminées par rapport
auxquelles la conformité du système est évaluée (contrôles au niveau de la norme ISO/IEC
27002 :2013).
Plan d’audit : Description des activités et des dispositions nécessaires pour réaliser un audit, préparé
par le responsable de l’audit, en commun accord entre l’équipe de l’audit et l’audité pour faciliter la
programmation dans le temps et la coordination des activités d’audit.
Champ d’audit : Etendu et limites d’un audit, le champ décrit généralement les lieux, les unités
organisationnelles, les activités et les processus ainsi que la période de temps couverte.
Constats d’audit : Résultats de l'évaluation des preuves d'audit recueillies, par rapport aux critères
d'audit.
6. Documents requis pour la revue
Les documents requis pour la revue sont, sans s’y limiter :

 L’ensemble des politiques de sécurité de l’information de l’audité, approuvées
par la direction,
 Le manuel de procédures relatif à la sécurité de l’information, qui doit
comprendre au minimum les procédures suivantes :
• La procédure de mise à jour des documents de politiques de sécurité et des
procédures
• La procédure d’attribution des responsabilités
• La procédure d’autorisation pour l’ajout d’outil de traitement de
l’information
• La procédure de classification des actifs
• Les procédures de sécurité physique (contrôle des accès physiques, sécurité
des équipements hors des locaux, mise au rebut des équipements, …)
• La procédure de développement, test et déploiement des applications
• La procédure de gestion des ressources par des tiers
• La procédure de protection contre les logiciels malveillants
• La procédure de sauvegarde et de restitution des données
• La procédure de gestion du courrier électronique
• La procédure de gestion des accès logiques (aux réseaux, aux systèmes, aux
applications,…)
• La procédure de gestion des changements
• La procédure de gestion des incidents
• Les procédures de gestion de la continuité des activités
 Les fiches de poste du RSSI et des autres employés en relation avec la sécurité du
système d’Information,
 La matrice de flux des données
 Les schémas d’architecture du système d’information
 L’inventaire du matériel et logiciel informatique
7. Domaines couverts par l’audit de la sécurité des systèmes d’information
L’audit de la sécurité des systèmes d’information est un jalon de l’amélioration de la maturité de la

sécurité du système d’information en vue d’établir un équilibre entre les risques et les bénéfices de
l’utilisation des moyens de traitement de l’information et d’assurer une amélioration quantifiable,
efficace et efficiente des processus qui s’y rapporte. Le référentiel d’audit repose sur la norme
ISO/IEC 27002 :2013.
S’agissant d’un audit réglementaire et non pas d’un audit de la politique de sécurité des systèmes
d’information (PSSI), ni d’un audit de la mise en œuvre de cette PSSI, l’auditeur est tenu de vérifier
pour chaque domaine :
- la conformité par rapport aux critères d’audit au niveau des documents de référence de l’audité
(PSSI, procédures, etc.) le cas échéant,
- la conformité des pratiques de sécurité par rapport à ces critères d’audit.
8. Echantillonnage
Les critères d’échantillonnage pour chaque type de composante du système d’information à auditer
doivent être bien définis et justifiés.
9. Types de vérification
Les vérifications à effectuer tout au long de la mission d’audit sont de type organisationnel, physique
ou technique présentés par la légende suivante :
Type Couleur
Organisationnel
Physique
Technique

Réf Titre Description Vérifications à effectuer Moyen de vérification (sans s’y Preuves
Annexe Domaine/Objectif/Con limiter)
A (ISO trôle
27001)
A.5 Politiques de sécurité de l’information
A.5.1 Orientations de la Apporter à la sécurité de l’information une orientation et un soutien de la part de la direction, conformément aux exigences métier et
direction en matière de aux lois et règlements en vigueur.
sécurité de
l’information
A.5.1.1 Politiques de sécurité Un ensemble de politiques S'il existe des documents de  Revue des documents de PSI,  Documents de PSI
de l’information de sécurité de politiques de sécurité de  Entretien avec le DG, approuvées par la DG,
l’information (PSI) doit être l’information, qui sont approuvées  Interviews d’un échantillon des  Echantillon de décharges
défini, par la direction, publiées et utilisateurs, (ou courriers
approuvé par la direction, communiquées, à tous les  Revue des PVs de réunion du comité électroniques) attestant
diffusé et communiqué aux utilisateurs du SI et aux tiers de sécurité que les utilisateurs ont
salariés et aux tiers concernés reçu une copie des PSI,
concernés.  Historique des mises à
A.5.1.2 Revue des politiques de Les politiques de sécurité  Si ces politiques sont passées en jour des PSI,
sécurité de de l’information doivent revue par un comité de sécurité  PV de réunion du comité
l’information être revues à intervalles de haut niveau à intervalles de sécurité sur la màj de
programmés ou en cas de planifiés, ou si des changements la PSI,
changements majeurs pour importants se produisent pour  procédures en place
garantir leur pertinence, s'assurer qu'elles sont toujours pour le réexamen des
leur adéquation et leur pertinentes, adéquates et PSI.
effectivité dans le temps. efficaces,
 S’il existe des procédures en
place pour le réexamen des
politiques de sécurité de
l’information
A.6 Organisation de la sécurité de l’information
A.6.1 Organisation interne Établir un cadre de management pour lancer et vérifier la mise en place et le fonctionnement opérationnel de la sécurité de
l’information au sein de l’organisme.
A.6.1.1 Fonctions et Toutes les responsabilités  Si un RSI, doté d’un pouvoir  Revue de l’organigramme, des fiches  Décision de nomination
responsabilités en matière de sécurité de décisionnel et assurant le de poste, des décisions et notes du RSI,
liées à la sécurité l’information doivent reporting directement à la internes en relation avec la sécurité  Décision de mise en
de l’information être définies et attribuées. direction, est désigné, du SI, place du comité de
A (ISO trôle
27001)
 Si un comité de sécurité est mis  Entretien avec le DG, sécurité,
en place,  Interview du RSI (le cas échéant).  PVs de réunions du
 Si les rôles et les responsabilités comité,
liés à la sécurité de l’information  Fiches de poste.
sont bien définis et attribués à
des individus ayant les
compétences requises.
A.6.1.2 Séparation des tâches Les tâches et les domaines  Si les tâches incompatibles Sont  Revue des fiches de poste,  Fiches de poste,
de responsabilité identifiées et les responsabilités  Entretien avec les responsables des  Compte rendu de
incompatibles doivent être sont attribuées en conséquence, services métier pour l’identification vérification de la
cloisonnés pour limiter les  Si une tâche de vérification des taches incompatibles, définition et de
possibilités de modification régulière, de la définition et de  Revue des procédures internes qui l'attribution des
ou de mauvais usage, non l'attribution des responsabilités, identifient les tâches incompatibles, responsabilités.
autorisé(e) ou involontaire, est prévue et réalisée,  Vérification des droits d’accès sur
des actifs de l’organisme.  Si des contrôles compensatoires les systèmes qui hébergent ou
sont mis en place en cas traitent les services concernés,
d’attribution des tâches  Vérification des contrôles
incompatibles à la même compensatoires en cas en cas
personne. d’attribution des tâches
incompatibles à la même personne.
A.6.1.3 Relations avec les Des relations appropriées  Si les autorités avec lesquelles  Revue de la liste de ces autorités,  Liste mise à jour de
autorités avec les autorités l’organisme peut collaborer en  Revue de la procédure d’échange, contacts des autorités
compétentes doivent être matière de sécurité de  Entretien avec les responsables des avec lesquelles
entretenues. l'information sont identifiées, différents services pour l’organisme peut
 Si une liste mise à jour de l’identification des autorités collaborer,
contacts de ces autorités est compétentes.  Procédure d'échange
maintenue, entre l’organisme et ces
 Si une procédure d'échange autorités,
entre l’organisme et ces  Supports de
autorités est définie et mise en communication en
œuvre. vigueur Courriers, Emails,
PVs de réunions, etc…).
A (ISO trôle
27001)
A.6.1.4 Relations avec des Des relations appropriées  Si des groupes d’intérêt, des  Revue des accords éventuels établis  Abonnement à des
groupes de travail avec des groupes d’intérêt, forums spécialisés dans la avec les groupes d’intérêt, les mailing lists des
spécialisés des forums spécialisés dans sécurité et des associations forums et les associations. constructeurs de
la sécurité et des professionnelles ont été  Interview du RSI pour l’identification produits utilisés et
associations identifiés, de ces groupes et les relations d'institutions spécialisées
professionnelles doivent  Si des relations sont entretenues éventuelles entretenues avec eux. dans le domaine de la
être entretenues. avec ces groupes, forums et sécurité de l'information,
associations,  Participation à des
 Si des accords de partage workgroups,
d'informations ont été établis  Echange de retour
pour améliorer la coopération et d'expérience,
la coordination en matière de  Accords établis avec les
sécurité. groupes.
A.6.1.5 La sécurité de La sécurité de l’information  Si une analyse des risques liés à  Revue du document d’analyse des  Document d’analyse des
l’information doit être considérée dans la sécurité de l'information est risques, risques,
dans la gestion la gestion de projet, effectuée à un stade précoce du  Revue des documents des projets et  Documents de projets
de projet quel que soit le type de projet afin d'identifier les vérification de la prise en compte contenant l’expression
projet concerné. contrôles de sécurité des besoins de sécurité, des besoins de sécurité,
nécessaires,  Revue des PVs des réunions des  Procédure de gestion des
 Si l'expression des besoins de équipes de projets, projets en matière de
sécurité (confidentialité,  Interview du RSI, sécurité de l’information,
intégrité, disponibilité), est prise  Interview des responsables métier.  Procédure de gestion des
en considération dans la gestion projets (volet en relation
des projets, avec la sécurité de
 Si une coordination entre les l’information),
différents services concernés par  PVs des réunions des
ces projets est mise en place dès équipes de projets
la phase d'expression de ces
besoins et maintenue pendant
toutes les phases des projets
pour la planification de
l'allocation des ressources
A (ISO trôle
27001)
nécessaires,
A.6.2 Appareils mobiles et Assurer la sécurité du télétravail et de l’utilisation d’appareils mobiles.
télétravail
A.6.2.1 Politique en matière Une politique et des  Si une analyse des risques  Revue de la politique d’utilisation  Document de l’analyse
d’appareils mobiles mesures de sécurité d'utilisation des appareils des appareils mobiles, des risques d’utilisation
complémentaires doivent mobiles est réalisée,  Interview du RSI, des appareils mobiles,
être adoptées pour gérer  Si une politique d'utilisation des  Interview du responsable réseau,  Politique d’utilisation de
les risques découlant de appareils mobiles est élaborée et  Test d'accès d'un appareil mobile et ces appareils,
l’utilisation des appareils mise en œuvre, vérification des logs des solutions de  Inventaire des appareils
mobiles.  Si des outils nécessaires sont contrôle d'accès sur le réseau, mobiles,
déployés pour détecter l'accès  Vérification de la configuration des  Inventaire des outils de
des appareils mobiles et solutions de contrôle d'accès sur le détection et de contrôle
étrangers au SI de l’organisme et réseau et revue des ACLs. de ces appareils,
limiter leurs accès  Logs des solutions de
conformément à ladite politique. contrôle d'accès sur le
réseau.
A.6.2.2 Télétravail Une politique et des Pour les organismes autorisant les  Revue de la politique sur l’utilisation  Politique d’utilisation du
mesures de sécurité activités de télétravail : du télétravail, télétravail,
complémentaires doivent  Si une politique définissant les  Revue de la procédure organisant le  Procédure d’organisation
être mises en œuvre pour conditions et les restrictions à télétravail, du télétravail,
protéger les informations l’utilisation du télétravail,  Revue du rapport d’analyse des  rapport d’analyse des
consultées, traitées ou  Si une procédure organisant le risques relatifs au domicile des risques relatifs au
stockées sur des sites de télétravail est développée et utilisateurs et/ou des sites distants, domicile des utilisateurs
télétravail. mise en œuvre.
A (ISO trôle
27001)
 Si des mesures de sécurité  Interview du RSI et des responsables et/ou des sites distants,
adéquates sont en place pour la métier,  Document des mesures
protection de l’information sur  Vérification des mesures de sécurité déployées pour la
des sites de télétravail. mises en place pour la protection de protection de
l’information, l’information (Type de
 Vérification des droits d’accès sur connectivité sécurisé
les systèmes qui hébergent ou déployé pour le
traitent les services concernés par le télétravail (VPN, SSL,
télétravail, etc), fichier de
 Test d'accès d'un site distant et configuration de l'accès à
vérification des logs sur les solutions distance),
de contrôle d'accès sur le réseau.  Liste des droits d’accès
sur les systèmes qui
hébergent ou traitent les
services concernés par le
télétravail,
 Logs des solutions de
contrôle d'accès sur le
réseau suite à un accès
distant.
A.7 Sécurité des ressources humaines
A.7.1 Avant l’embauche S’assurer que les salariés et les sous-traitants comprennent leurs responsabilités et sont qualifiés
pour les rôles qu’on envisage de leur donner.
A.7.1.1 Sélection des candidats Des vérifications doivent  Si des contrôles de vérification  Revue du statut et du règlement  Statut et règlement
être effectuées sur tous les de fond pour tous les candidats à intérieur, intérieur,
candidats à l’embauche l'emploi ont été réalisés  Revue de la procédure de  fiches de postes des
conformément aux lois, conformément à la recrutement, personnes impliquées
aux règlements et à réglementation en vigueur,  Revue du dossier du RSI et d'un directement dans la
l’éthique et être  Si la vérification comprend le échantillon de personnes impliqués sécurité de l’information,
proportionnées aux certificat de moralité, la dans la sécurité,  Procédure de
exigences métier, à la confirmation des qualifications  Interview du DRH. recrutement
classification des académiques et professionnelles  Dossier du RSI et des
A (ISO trôle
27001)
informations accessibles et prétendues et des contrôles personnes impliquées
aux risques identifiés. indépendants d'identité, dans la sécurité de
 Si un candidat pour un poste l'information.
spécifique de sécurité de
l'information possède les
compétences nécessaires pour ce
poste et s’il est digne de
confiance surtout si le poste est
critique pour l’organisme
A.7.1.2 Termes et conditions Les accords contractuels  Si les employés et les sous-  Revue d’un échantillon des  Echantillon des
d’embauche entre les salariés et les traitants sont invités à signer un engagements de confidentialité, Engagements de
sous-traitants doivent engagement de confidentialité  Interview du DRH et du DAF. confidentialité signés par
préciser leurs ou de non-divulgation dans le les employés et les sous-
responsabilités et celles de cadre de leurs termes et traitants.
l’organisme en matière de conditions initiaux du contrat de
sécurité de l’information. travail,
 Si cet engagement de
confidentialité couvre la
responsabilité de l'audité et des
employés et des sous-traitants
concernant la sécurité de
l’information.
A.7.2 Pendant la durée du S’assurer que les salariés et les sous-traitants sont conscients de leurs responsabilités en matière de
contrat sécurité de l’information et qu’ils assument ces responsabilités.
A.7.2.1 Responsabilités de la La direction doit demander  Si la direction exige explicitement  Revue de la note interne signée par  Note interne signée par
direction à tous les salariés et sous- (par une note interne signée par le DG, le DG,
traitants d’appliquer le DG) que les employés et les  Revue d’un échantillon de contrats  Echantillon de contrats
les règles de sécurité de sous-traitants appliquent les avec les sous-traitants, avec les sous-traitants
l’information exigences de sécurité  Entretien avec le DG, comportant un
conformément aux conformément aux politiques et  Interview du DRH et du DAF. engagement d’appliquer
politiques et aux procédures établies par l’audité. les exigences de sécurité
procédures en vigueur conformément aux
A (ISO trôle
27001)
dans l’organisme. politiques et procédures
A.7.2.2 Sensibilisation, L’ensemble des salariés de  Si les nouvelles recrues de  Revue des programmes de  Programme de formation
apprentissage l’organisme et, quand cela l'audité, et le cas échéant, les formation et de sessions de des années précédentes
et formation à est pertinent, des sous- nouveaux sous-traitants sensibilisation, et de l’année en cours,
la sécurité de traitants, doit bénéficier reçoivent systématiquement des  Interview du DRH pour  Programme de sessions
l’information d’une sensibilisation et de sessions de sensibilisation à la l’identification des sujets des de sensibilisation
formations adaptées et sécurité du système sessions de sensibilisation et de réalisées et planifiées et
recevoir régulièrement les d’information, formation, bénéficiaires,
mises à jour des politiques  Si tous les employés et les sous-  Interview d’un échantillon  Listes des participants
et procédures de traitants reçoivent d’employés ayant participé à ces aux sessions de
l’organisme s’appliquant à périodiquement des sessions de sessions. formation et de
leurs fonctions. sensibilisation sur les risques liés sensibilisation.
à l’utilisation des moyens IT et les
tendances en la matière et sont
informés des mises à jour
régulières appliquées aux
politiques et procédures
organisationnelles en ce qui
concerne leurs fonctions,
 Si les employés dont les missions
sont liées directement à la
sécurité du SI (RSI, DSI,
Administrateurs, développeurs)
ont reçus les formations
spécialisées sur la sécurité des
produits utilisés et sur la gestion
de la sécurité de manière
générale pendant les 3 dernières
années.
A.7.2.3 Processus disciplinaire Un processus disciplinaire  S’il existe un processus  Revue du statut et du règlement  Statut et règlement
formel et connu de tous disciplinaire formel pour les intérieur, intérieur.
doit exister pour prendre utilisateurs du SI qui ont commis  Interview du DRH.
A (ISO trôle
27001)
des mesures à l’encontre une violation de la politique de
des salariés ayant enfreint sécurité.
les règles liées à la sécurité
de l’information.
A.7.3 Rupture, terme ou Protéger les intérêts de l’organisme dans le cadre du processus de modification, de rupture ou de
modification du contrat terme d’un contrat de travail.
de travail
A.7.3.1 Achèvement ou Les responsabilités et les  Si les responsabilités en fin ou  Revue du processus de restitution  Etat sur les actifs et
modification missions liées à la sécurité modification de contrat sont des biens par les employés ou sous- droits d’accès restitués
des responsabilités de l’information qui clairement définies et attribuées, traitants suite à une fin de leur suite à la fin ou à la
associées au restent valables à l’issue de  S'il existe un processus en place emploi ou contrat, modification du contrat
contrat de travail la rupture, du terme ou de qui garantit que tous les  Interview du DRH pour d’un employé ou d’un
la modification du employés et les sous-traitants l’identification des responsabilités sous-traitant,
contrat de travail, doivent restituent à l'audité tous les en fin ou modification de contrat,  Rapport d’audit sur les
être définies, biens en leur possession à la fin  Vérification de la suppression ou comptes utilisateurs des
communiquées au salarié de leur emploi, contrat ou d’ajustement des droits d’accès d’un employés ou sous-
ou au sous-traitant, et convention, échantillon d’employés et de sous- traitants après leurs
appliquées.  Si les droits d'accès de tous les traitants en fin ou changement de départs.
employés et les sous-traitants, contrat.
aux informations et aux moyens
de traitement de l'information,
sont supprimés à la fin de leur
emploi, contrat ou convention,
ou sont ajustés en cas de
changement.
A.8 Gestion des actifs
A.8.1 Responsabilités Identifier les actifs de l’organisme et définir les responsabilités pour une protection appropriée.
relatives aux actifs
A.8.1.1 Inventaire des actifs Les actifs associés à  S’il existe des règles relatives à  Revue de la PSI pour l’identification  PSI,
l’information et aux l’inventoring des actifs au niveau des règles relatives à l’inventoring,  Procédures
moyens de traitement de de la PSI, qui exigent le maintien  Revue des procédures d’inventoring d’inventoring,
l’information d’un inventaire des actifs,
A (ISO trôle
27001)
doivent être identifiés et  Si des procédures d’inventoring des actifs,  Inventaire des actifs.
un inventaire de ces actifs des actifs sont développées et  Revue de l’inventaire et vérification
doit être dressé maintenues, de son exhaustivité,
et tenu à jour.  Si un inventaire ou registre est  Interview du DAF,
maintenu pour tous les actifs de  Interview du DSI.
l’audité.
A.8.1.2 Propriété des actifs Les actifs figurant à  Si chaque actif identifié a un  Revue de l’inventaire et vérification  Inventaire des actifs.
l’inventaire doivent être propriétaire de l’existence du nom du
attribués à un propriétaire. propriétaire de chaque actif.
A.8.1.3 Utilisation correcte des Les règles d’utilisation  Si une politique d'utilisation  Revue de la politique d’utilisation  Politique d’utilisation
actifs correcte de l’information, correcte de l'information, des correcte de l’information, correcte de l’information,
les actifs associés à actifs associés et des moyens de  Revue d’un échantillon de contrats  Echantillon de contrats
l’information et les moyens son traitement est élaborée et avec les sous-traitants ayant l’accès avec les sous-traitants
de traitement de mise en œuvre, aux moyens de traitement de ayant l’accès aux moyens
l’information doivent être  Si les employés et les sous- l’information, de traitement de
identifiées, documentées traitants ont été sensibilisés aux  Interview du RSI et du DSI, l’information.
et mises en œuvre. exigences de sécurité comprises  Interview du DRH et du DAF.
dans cette politique et de leur
responsabilité de l’utilisation de
ces actifs.
A.8.1.4 Restitution des actifs Tous les salariés et les  Si la restitution des actifs en  Revue des documents relatifs aux  PVS de passation au
utilisateurs tiers doivent possession des salariés et des fins de période de l’emploi et des terme de la période
restituer la totalité des utilisateurs tiers au terme de la contrats des sous-traitants (ex : PVs d’emploi, PVS de
actifs de l’organisme qu’ils période de l’emploi ou de de passation, PVs de réception réception définitives,
ont en leur possession au l’accord est documentée, définitives, …),  Liste de contrôles
terme de la période  Si pendant la période de préavis  Revue des contrôles mis en place interdisant les copies non
d’emploi, du contrat ou de de fin du contrat, l'organisme pour empêcher les copies non autorisées des
l’accord. contrôle la copie non autorisée autorisées des informations informations pertinentes
des informations pertinentes pertinentes pendant la période de pendant la période de
(par exemple la propriété préavis de fin du contrat des préavis de fin du contrat
intellectuelle) par les employés employés et des sous-traitants, des employés et des
et les sous-traitants concernés.  Interview du DRH et du DAF. sous-traitants.
A (ISO trôle
27001)
A.8.2 Classification de S’assurer que l’information bénéficie d’un niveau de protection approprié conforme à son importance
l’information pour l’organisme.
A.8.2.1 Classification des Les informations doivent  S’il existe des règles relatives à la  Revue de la PSI,  PSI,
informations être classifiées en termes classification des actifs selon  Revue des procédures de  Procédures de
d’exigences légales, de leurs exigences de sécurité au classification des actifs, classification des
valeur, de caractère niveau de la PSI,  Interview des responsables métier, informations,
critique et de sensibilité au  Si des procédures de  Vérification des mesures de sécurité  Etat sur les mesures de
regard d’une divulgation ou classification des actifs sont sur un échantillon d’informations sécurité appliquées,
modification non autorisée. développées et maintenues, classifiées critique.  Logs des actions sur ces
 Si des mesures de sécurité informations (voir A.9).
spécifiques à chaque classe sont
appliquées en concordance avec
le système de classification.
A.8.2.2 Marquage des Un ensemble approprié de  Si des procédures de marquage  Revue des procédures de marquage  Procédures de marquage
informations procédures pour le de l'information conformément à de l’information, des informations,
marquage de l’information la classification établie sont  Interview des responsables métier,  Echantillon de
doit être élaboré et mis en élaborées et mises en œuvre.  Vérification de marquage sur un documents
œuvre conformément au échantillon de documents.
plan de classification
adopté par l’organisme.
A.8.2.3 Manipulation des actifs Des procédures de  Si des procédures pour une  Revue des procédures de traitement  procédures de
traitement de l’information utilisation acceptable de de l’information, traitement de
doivent être élaborées et l'information et des actifs  Revue de la matrice des droits l’information,
mises en œuvre associés à un moyen de d’accès aux informations et à leurs  Matrice des droits
conformément au plan de traitement de l'information sont copies, d’accès aux informations
classification de élaborées et mises en œuvre,  Interview des responsables métier, et à leurs copies,
l’information  Vérification des contrôles d’accès  logs des actions sur ces
adopté par l’organisme. mis en place par rapport à la matrice informations (voir A.9).
 Si les restrictions d'accès aux des droits d’accès,
informations, conformément aux  Vérification des logs des actions sur
exigences de protection pour un échantillon d’informations
A (ISO trôle
27001)
chaque niveau de classification, classifiées critique.
sont mises en place,
 Si des copies temporaires ou
permanentes de l'information
bénéficient du même niveau de
protection de l'information
originale.
A.8.3 Manipulation des Empêcher la divulgation, la modification, le retrait ou la destruction non autorisé(e) de l’information de l’organisme stockée sur des
supports supports.
A.8.3.1 Gestion des supports Des procédures de gestion  Si des procédures de gestion des  Revue des procédures de gestion  Procédures de gestion
amovibles des supports amovibles supports amovibles sont des supports amovibles, des supports amovibles,
doivent être mises en élaborées et mises en œuvre  Interview des responsables métier,  Rapports des différents
œuvre conformément au conformément à la classification  Test de récupération du contenu tests,
plan de classification établie, d’un support devant être retiré,  Extrait de pages de
adopté par l’organisme.  Test de visualisation du contenu fichiers visualisés à partir
d’un échantillon de supports d’anciens supports
 Si le contenu de tout support
amovibles contenant des amovibles.
réutilisable devant être retiré est
informations classées à un niveau
rendu irrécupérable si ce
élevé en termes de confidentialité
contenu n'est plus indispensable,
et d’intégrité,
 Si des techniques
 Test d’utilisation des lecteurs de
cryptographiques sont utilisées
supports amovibles sur un
pour protéger les données sur les
échantillon de postes de travail pour
supports amovibles lorsque le
lesquels ces lecteurs sont censés
niveau de confidentialité ou
être désactivés,
d'intégrité de ces données est
élevé,  Vérification de lisibilité des données
sur un échantillon d’anciens
 SI les données stockées sur un
supports amovibles.
support amovible, lorsqu’elles
sont encore nécessaires, sont
transférées vers un nouveau
support avant d'être illisibles
A (ISO trôle
27001)
pour réduire le risque de
dégradation des médias,
 Si les lecteurs de supports
amovibles sont désactivés sauf
pour un besoin du métier.
A.8.3.2 Mise au rebut des Les supports qui ne sont  Si une procédure de mise au  Revue de la procédure de mise au  Procédure de mise au
supports plus nécessaires doivent rebut d'une manière sécurisée rebut des supports, rebut des supports,
être mis au rebut de des supports en tenant compte  Revue des journaux des mises au  Journaux de mise au
manière sécurisée en de la classification adoptée rebut, rebut.
suivant des procédures (formatage bas niveau,  Interview du DSI et de l’archiviste.
formelles. destruction, …) est élaborée et
mise en œuvre,
 Si cette mise au rebut est
journalisée.
A.8.3.3 Transfert physique des Les supports contenant de  Si une liste des transporteurs  Revue de la procédure de  procédure de vérification
supports l’information doivent être autorisés est convenue avec la vérification de l'identification des de l'identification des
protégés contre les accès direction, transporteurs, transporteurs,
non autorisés, les erreurs  Si une procédure pour vérifier  Revue des registres de transport,  Echantillon d’emballages,
d’utilisation et l’altération l'identification des transporteurs  Revue d’un échantillon d’emballage  Registres de transport
lors du transport. est élaborée et mise en œuvre, utilisé,
 Interview du DAF.
 Si l'emballage utilisé assure la
protection adéquate du support
contre tout dommage physique
pendant le transport pouvant
réduire l'efficacité de sa
restauration dû aux facteurs
environnementaux tels que la
chaleur, l’humidité ou les rayons
électromagnétiques,
 Si les informations identifiant le
contenu du support, la
A (ISO trôle
27001)
protection appliquée ainsi que la
date et l’heure de son transfert
au transporteur ainsi que la date
et l’heure de sa réception au lieu
de destination sont journalisées
et conservées.
A.9 Contrôle d’accès
A.9.1 Exigences métier en Limiter l’accès à l’information et aux moyens de traitement de l’information.
matière de contrôle
d’accès
A.9.1.1 Politique de contrôle Une politique de contrôle  Si les données de l’audité, leurs  Revue de la politique de contrôle  Inventaire des données,
d’accès d’accès doit être établie, propriétaires, les systèmes ou d'accès, leurs propriétaires, les
documentée et revue sur personnes qui ont besoin des  Revue des procédures de contrôle systèmes ou personnes
la base des exigences accès à ces données, leurs rôles d'accès aux différents systèmes, qui ont besoin des accès
métier et de sécurité de selon le principe du "besoin de  Interviews des responsables métiers à ces données et leurs
l’information. savoir" sont identifiés, pour : rôles,
 Si les risques d'accès non - l’identification des données, de  Document
autorisé aux données sont leurs propriétaires, les systèmes d’identification des
identifiés, ou personnes qui ont besoin des risques d’accès non
 Si une politique de contrôle accès à ces données et leurs autorisé à ces données,
d'accès dans le cadre de la rôles,  Politique de contrôle
politique de sécurité de - l’identification des risques d’accès,
l'information de l’audité est d’accès non autorisé à ces  Procédures de contrôles
élaborée et mise en œuvre en données. d’accès.
prenant en compte les points
précédents,
 Si cette politique de contrôle
d'accès est appuyée par des
procédures de contrôle d'accès
aux différents systèmes.
A.9.1.2 Accès aux réseaux et Les utilisateurs doivent  Si une procédure de contrôle  Revue de la procédure de contrôle  Diagramme des flux
aux services réseau avoir uniquement accès au d'accès au réseau de l’audité est d'accès au réseau et vérification de réseau,
A (ISO trôle
27001)
réseau et aux services élaborée et mise en œuvre en sa conformité avec la politique de  Document
réseau pour lesquels ils ont application de la politique de contrôle d'accès, d’identification des rôles
spécifiquement reçu une contrôle d'accès,  Revue du diagramme des flux et des responsabilités de
autorisation.  Si les entités qui peuvent avoir réseau pour l’identification des chaque service interne
accès aux réseaux de l’audité entités pouvant avoir accès et les dans l'attribution des
sont identifiées, accès nécessaires pour chacune accès au réseau,
 Si les accès nécessaires pour d’elle selon le principe du « moindre  Document de définition
chaque entité selon le principe privilège », des rôles et des
du « moindre privilège » sont  Revue de la définition des rôles et responsabilités de
identifiés, des responsabilités de chaque chaque service interne
 Si les rôles et les responsabilités service interne dans l'attribution de dans l'attribution de ces
de chaque service interne dans ces accès, accès,
l'attribution de ces accès sont  Revue des ACL sur les équipements  ACL sur les équipements
définis. réseau et de sécurité (Switchs, réseau et de sécurité,
routeurs, firewalls, …)  Procédure de contrôle
 Interview de l’administrateur d'accès au réseau.
réseau.
A.9.2 Gestion de l’accès Maîtriser l’accès utilisateur par le biais d’autorisations et empêcher les accès non autorisés aux systèmes
utilisateur et services d’information.
A.9.2.1 Enregistrement et Un processus formel  Si un processus d’enregistrement  Revue du processus  Document du processus
désinscription des d’enregistrement et de et de désinscription des d’enregistrement et de d’enregistrement et de
utilisateurs désinscription des utilisateurs, qui définit les étapes désinscription des utilisateurs, désinscription des
utilisateurs à suivre pour ajouter un  Interview de l’administrateur utilisateurs,
doit être mis en œuvre utilisateur et pour supprimer un systèmes, BD et réseaux,  Liste des comptes
pour permettre utilisateur suite à la fin de son  Vérification des comptes utilisateurs sur les
l’attribution des droits travail, est défini et mis en utilisateurs sur les serveurs pour serveurs.
d’accès. œuvre, l’identification de ceux qui sont
 Si des identifiants utilisateur partagés, redondants ou obsolètes.
uniques sont utilisés pour tenir
les utilisateurs responsables de
leurs actions,
 Si l'utilisation d'identifiants
A (ISO trôle
27001)
partagés n’est autorisée que
lorsqu'elle est nécessaire pour
des raisons commerciales ou
opérationnelles et si elle est
approuvée et documentée,
 Si les identifiants utilisateur
redondants sont périodiquement
identifiés et supprimés ou
désactivés.
A.9.2.2 Distribution des accès Un processus formel de  Si un processus de distribution  Revue des matrices des droits  Politique de contrôle
aux utilisateurs distribution des accès aux des accès aux utilisateurs est mis d’accès et des fiches de postes et d’accès,
utilisateurs doit être mis en œuvre, vérification :  Matrice des droits
en œuvre pour attribuer et  Si l'autorisation du propriétaire - de la conformité des niveaux d’accès,
retirer des droits d’accès à du système ou du service d’accès avec la politique de  Fiches de postes d’un
tous types d’utilisateurs sur d'information, pour l'utilisation contrôle d’accès, échantillon d’utilisateurs.
l’ensemble des services et de ce système ou service - de la compatibilité de ces niveaux
des systèmes. d'information, est obtenue et si d’accès avec la séparation des
une approbation distincte des tâches,
droits d'accès de la part de la  Interview des responsables métiers
direction est nécessaire, et des administrateurs systèmes et
 Si le niveau d'accès accordé est BD,
conforme à la politique de  vérification des droits d’accès sur
contrôle d'accès et est les serveurs et les équipements
compatible avec d'autres réseau et de sécurité d’un
exigences telles que la séparation échantillon d’utilisateurs ayant
des tâches, changé de rôle ou d'emploi ou
 Si un enregistrement des droits quitté l’organisme.
d'accès accordés à un utilisateur,
pour accéder aux systèmes et
services d'information, est
maintenu,
 Si les droits d'accès des
A (ISO trôle
27001)
utilisateurs qui ont changé de
rôle ou d'emploi sont mis à jour
et si les droits d'accès des
utilisateurs ayant quitté
l'organisme sont supprimés ou
bloqués immédiatement,
 Si les droits d'accès sont
périodiquement revus avec les
propriétaires des systèmes
d'information ou des services.
A.9.2.3 Gestion des droits L’allocation et l’utilisation  Si un processus d'attribution des  Revue du processus d’attribution  Politique de contrôle
d’accès à privilèges des droits d’accès à droits d'accès à privilèges est mis des droits à privilèges et la d’accès,
privilèges doivent être en œuvre conformément à la conformité de sa mise en œuvre  Procédure de gestion des
restreintes et contrôlées. politique de contrôle d'accès, avec la politique de contrôle accès (règles
 Si les droits d'accès à privilèges d’accès, d’attribution des droits
associés à chaque système ou  Revue des comptes d’accès à d’accès à privilèges),
processus (système privilèges,  Liste des comptes d’accès
d'exploitation, SGBD, …) et  Revue des logs des accès, à privilèges sur les
chaque application et les  Interview des administrateurs applications, les BD, les
utilisateurs à qui ils doivent être systèmes, réseaux, BD et serveurs et les
alloués ont été identifiés, applications et des responsables équipements réseau et
 Si les droits d'accès à privilèges métier pour l’identification des de sécurité,
sont attribués aux utilisateurs droits d’accès à privilèges et des  Paramètres des comptes
selon le besoin d'utilisation et en conditions de leur expiration. d’accès à privilèges
respectant le principe du (droits accordés, délai
« moindre privilège », d’expiration).
 Si les conditions d'expiration des
droits d'accès à privilèges ont été
définies.
A.9.2.4 Gestion des L’attribution des  Si un processus de gestion formel  Revue du processus d’attribution  Document du processus
informations informations secrètes est mis en œuvre pour des informations secrètes d’attribution des
secrètes d’authentification doit être l’attribution des informations d’authentification, informations secrètes
A (ISO trôle
27001)
d’authentification des réalisée dans le cadre d’un secrètes d’authentification,  Revue d’un échantillon d’authentification,
utilisateurs processus de gestion  Si les utilisateurs sont tenus de d’engagements de confidentialité  Echantillon
formel. signer un engagement pour des utilisateurs détenant des d’engagements de
garder confidentielles les informations secrètes confidentialité,
informations secrètes d'authentification,  Echantillon d’accusés de
d'authentification (cet  Interview des administrateurs réception des
engagement signé peut être systèmes, réseaux, BD et informations secrètes
inclus dans les conditions applications, d’authentification,
d'emploi),  Revue d’un échantillon d’accusés de  Captures d’écran de
 Si les informations secrètes réception de ces informations, tentatives de connexions
d'authentification temporaire  Test d’accès sur les systèmes et utilisant des informations
sont fournies aux utilisateurs de logiciels en utilisant des secrètes
manière sécurisée (l'utilisation informations secrètes d'authentification par
de parties externes ou de d'authentification par défaut des défaut des fournisseurs.
messages électroniques non fournisseurs.
protégés (en texte clair) doit être
évitée),
 Si les utilisateurs signent un
accusé de réception des
informations secrètes
d'authentification,
 Si les informations secrètes
d'authentification par défaut des
fournisseurs des systèmes ou des
logiciels sont modifiées après
leur l'installation.
A.9.2.5 Revue des droits Les propriétaires d’actifs  Si les droits d'accès des  Revue de la matrice des droits  Historique des
d’accès utilisateurs doivent vérifier les droits utilisateurs sont revus à d’accès d’un échantillon modifications sur les
d’accès des utilisateurs à intervalles réguliers et après tout d’utilisateurs ayant changé de statut comptes utilisateurs des
intervalles réguliers. changement, comme la (changement de structures ou de employés ayant changé
promotion, la rétrogradation ou rôles, promotion, rétrogradation, de statut (changement
la cessation d'emploi, cessation d’emploi), de structures ou de
A (ISO trôle
27001)
 Si les droits d'accès des  Interview des responsables métiers rôles, promotion,
utilisateurs sont revus et et des administrateurs systèmes, rétrogradation, cessation
réaffectés lors de la modification réseaux, et BD pour l’identification d’emploi),
des rôles au sein de l’organisme, des changements relatifs au  Historique des
 Si les autorisations pour les mouvement du personnel, modifications sur les
droits d'accès à privilèges sont  Vérification des logs des comptes à privilèges,
revues à des intervalles plus modifications des comptes à  Logs des modifications
fréquents, privilèges. des comptes à privilèges.
 Si les modifications apportées
aux comptes à privilèges sont
journalisées.
A.9.2.6 Suppression ou Les droits d’accès aux  Si les droits d'accès de tous les  Revue de la liste des employés et  Liste des employés et des
adaptation informations et aux employés et les sous-traitants, des sous-traitants ayant quitté sous-traitants ayant
des droits d’accès moyens de traitement des aux informations et aux moyens l’organisme, quitté l’organisme,
informations de l’ensemble de traitement de l'information,  Revue de la liste des employés et  Liste des employés et des
des salariés et utilisateurs sont supprimés à la fin de leur des sous-traitants dont les contrats sous-traitants dont les
tiers doivent être emploi, contrat ou convention, ont connu des modifications, contrats ont connu des
supprimés à la fin de leur ou sont ajustés en cas de  Interview des administrateurs modifications,
période d’emploi, ou changement systèmes, réseaux, BD et  Historique des
adaptés en cas de application, modifications sur les
modification du contrat ou  Vérification sur les serveurs de la droits d’accès des
de l’accord. suppression ou de l’ajustement des employés et des sous-
droits d’accès de ceux qui ont quitté traitants ayant quitté
ou dont les contrats ont connu des l’organisme et ceux dont
modifications. les contrats ont connu
des modifications.
A.9.3 Responsabilités des Rendre les utilisateurs responsables de la protection de leurs informations d’authentification.
utilisateurs
A.9.3.1 Utilisation Les utilisateurs doivent  Si tous les utilisateurs sont  Revue des programmes de sessions  Programme de sessions
d’informations suivre les pratiques de sensibilisés et invités à : de sensibilisation, de sensibilisation
secrètes l’organisme pour - garder confidentielles les  Interview du DRH pour réalisées et bénéficiaires,
A (ISO trôle
27001)
d’authentification l’utilisation informations secrètes l’identification des sujets des  Listes des participants
des informations secrètes d'authentification, en veillant à sessions de sensibilisation relative à aux sessions de
d’authentification. ce qu'elles ne soient pas l’utilisation d’informations secrètes sensibilisation.
divulguées à d'autres parties, y d’authentification,
compris à leurs supérieurs  Interview d’un échantillon
hiérarchiques, d’employés ayant participé à ces
- éviter de conserver un sessions.
enregistrement d'informations
secrètes d'authentification (par
exemple sur du papier, un
fichier logiciel ou un appareil
portatif), sauf si cela peut être
stocké de manière sécurisée et
si la méthode de stockage a été
approuvée (par exemple,
coffre-fort),
- changer les informations
secrètes d'authentification
chaque fois qu'il y a un soupçon
de sa compromission,
- ne pas partager ses propres
d'authentification,
- ne pas utiliser les mêmes
d'authentification à des fins
professionnelles et
personnelles.
A.9.4 Contrôle de l’accès au Empêcher les accès non autorisés aux systèmes et aux applications.
système et à
l’information
A.9.4.1 Restriction d’accès à L’accès à l’information et  Si les restrictions d'accès sont  Revue de la politique de contrôle  Politique de contrôle
A (ISO trôle
27001)
l’information aux fonctions d’application basées sur des exigences d'accès, d’accès,
système doit être restreint individuelles de l'application  Revue de la matrice des rôles  Matrice des rôles
conformément à la métier et conformément à la d’accès, d’accès,
politique de contrôle politique de contrôle d'accès  Interview des administrateurs  Echantillon de sorties,
d’accès. définie, systèmes, réseaux BD et  Logs des accès,
 Si des menus pour contrôler applications,  ACL des équipements
l'accès aux fonctions du système  Vérification des contrôles d’accès réseau et de sécurité.
d'application sont fournis, par rapport à la matrice,
 Si les informations contenues  vérification d’un échantillon de
dans les sorties sont limitées, sorties,
 Si des contrôles d'accès  Vérification des ACL sur les
physiques ou logiques pour équipements réseaux et de sécurité
l'isolation d'applications
sensibles, de données
d'application ou de systèmes
sont mis en place.
A.9.4.2 Sécuriser les Lorsque la politique de Lorsque la politique de contrôle  Revue de la politique de contrôle  politique de contrôle
procédures contrôle d’accès l’exige, d’accès exige l’utilisation d’une d’accès, d’accès,
de connexion l’accès aux systèmes et aux procédure de connexion sécurisé  Interview des responsables métiers  log des accès,
applications doit être pour l’accès aux systèmes et aux et des administrateurs systèmes,  captures d’écran,
contrôlé par une procédure applications : réseaux, et BD,  Rapport d’audit des
de connexion sécurisée.  Si cette procédure est élaborée  Vérification sur les systèmes des paramètres de
et mise en œuvre, paramètres relatifs : configuration système.
 Si le système affiche un message - A l’affichage du message
avertissant les utilisateurs l’accès d’avertissement,
n’est permis qu’aux utilisateurs - Au blocage de connexion après un
autorisés, certain nombre de tentatives
 Si le système est protéger contre échouées,
les tentatives de connexion par - Aux tentatives d’accès réussies et
« brute force », échouées journalisées,
 Si les tentatives d’accès réussies - Au masquage des mots de passe
ou échouées sont journalisées, entrés,
A (ISO trôle
27001)
 Si les mots de passes entrés sont - A la mise en fin automatique à des
masqués, sessions inactives après une
 Si les mots de passe sont période d'inactivité définie,
transmis en mode crypté, - A la limitation du temps de
 Si les sessions inactives après une connexion.
période d'inactivité définie sont
terminées automatiquement, en
particulier dans des zones à haut
risque telles que des zones
publiques ou externes en dehors
de la gestion de la sécurité de
l'organisme ou sur des appareils
mobiles,
 Si les temps de connexion sont
limités pour fournir une sécurité
supplémentaire aux applications
à haut risque et réduire les
opportunités d'accès non
autorisé.
A.9.4.3 Système de gestion des Les systèmes qui gèrent les  Si le système impose l'utilisation  Interview des administrateurs  Captures d’écran,
mots de passe mots de passe doivent être d'identifiants d'utilisateur et de systèmes, réseaux, et BD et  Rapport d’audit des
interactifs et doivent mots de passe individuels pour applications, paramètres de
garantir la qualité des mots garantir l’imputabilité,  Audit des paramètres de configuration des mots
de passe.  Si le système permet aux configuration des mots de passe sur de passe,
utilisateurs de sélectionner et de les serveurs, BD, applications et  Fichiers de stockage des
modifier leurs propres mots de équipements réseau et de sécurité, mots de passe.
passe avec la possibilité de  Vérification des fichiers de stockage
confirmation pour éviter les des mots de passe.
erreurs de saisie,
 Si le système impose un choix de
mots de passe de qualité
(longueur, lettres, chiffres,
A (ISO trôle
27001)
caractères spéciaux …),
 Si le système force les utilisateurs
à changer leurs mots de passe
lors de la première connexion,
 Si le système exige un
changement périodique des
mots de passe et au besoin,
 Si le système tient un
enregistrement des mots de
passe utilisés précédemment et
empêche leur réutilisation,
 Si le système masque les mots de
passe sur l'écran lors de la saisie,
 Si le système stocke les fichiers
de mot de passe séparément des
données des applications,
 Si le système stocke et transmet
les mots de passe sous une
forme protégée.
A.9.4.4 Utilisation de L’utilisation des  Si une procédure d’identification,  Revue de la procédure  Procédure
programmes programmes utilitaires d’authentification et d’identification, d’authentification d’identification,
utilitaires à permettant de contourner d’autorisation spécifiques aux et d’autorisation spécifiques aux d’authentification et
privilèges les mesures de sécurité programmes utilitaires à programmes utilitaires à privilège, d’autorisation
d’un système ou d’une privilèges est élaborée et mise en  Revue du document définissant les spécifiques aux
application doit être œuvre, niveaux d’autorisation relatifs aux programmes utilitaires,
limitée et étroitement  Si les programmes utilitaires à programmes utilitaires à privilège,  Document définissant les
contrôlée. privilège sont séparés des  Interview du DSI, niveaux d’autorisation
logiciels d’application,  Vérification sur les serveurs et sur relatifs aux programmes
 Si l’utilisation des programmes un échantillon de postes de travail utilitaires à privilège,
utilitaires à privilège est limitée à de l’existence de programmes  logs d’utilisation des
un nombre minimal acceptable utilitaires à privilège et de leur programmes utilitaires à
d’utilisateurs de confiance utilité, privilège.
A (ISO trôle
27001)
bénéficiant d’une autorisation,  Vérification sur un échantillon de
 Si toutes les utilisations de postes de travail des utilisateurs
programmes utilitaires à privilège ayant accès à des applications
sont journalisées, relatives à des systèmes pour
 Si les niveaux d’autorisation lesquels la séparation des tâches est
relatifs aux programmes requise, de l’existence de
utilitaires à privilège sont définis programmes utilitaires à privilège,
et documentés,  vérification des logs d’utilisation des
 Si tous les programmes utilitaires programmes utilitaires à privilège.
à privilège inutiles sont
désinstallés ou désactivés,
 Si les programmes utilitaires ne
sont pas mis à la disposition des
utilisateurs ayant accès à des
applications relatives à des
systèmes pour lesquels la
séparation des tâches est
requise.
A.9.4.5 Contrôle d’accès au L’accès au code source des  Si les bibliothèques de  Revue de la procédure de gestion  procédure de gestion des
code source des programmes doit être programmes sources ne sont pas des changements pour la changements,
programmes restreint. stockées sur les systèmes en vérification de la prise en charge de  liste des droits d’accès
exploitation lorsque cela est la maintenance et de copie des aux bibliothèques de
possible, bibliothèques de programmes programmes sources,
 Si le personnel chargé de sources,  Echantillon d’autorisation
l’assistance technique ne dispose  revue d’un échantillon de mise à jour et de
pas d’un accès illimité aux d’autorisation de mise à jour et de délivrance des
bibliothèques de programmes délivrance des programmes sources programmes sources aux
sources, aux programmeurs, programmeurs,
 Si la mise à jour des  Interview du DSI, des programmeurs  paramètres de
bibliothèques de programmes et du personnel chargé de configuration de
sources et des éléments associés, l’assistance, l’environnement de
ainsi que la délivrance des  Vérification de l’absence des stockage des listing de
A (ISO trôle
27001)
programmes sources aux bibliothèques de programmes programmes
programmeurs ne sont réalisées sources sur les systèmes en  logs des accès aux
qu’après attribution d’une exploitation, bibliothèques de
autorisation appropriée,  Vérification des droits d’accès aux programmes sources.
 Si les listings de programmes bibliothèques de programmes
sont stockés dans un sources,
environnement sécurisé,  Vérification de l’environnement de
 Si tous les accès aux stockage des listings de
bibliothèques de programmes programmes,
sources sont journalisés,  vérification des logs des accès aux
 Si les processus de maintenance bibliothèques de programmes
et de copie des bibliothèques de sources.
programmes sources sont soumis
à des procédures strictes de
contrôle des changements.
A.10 Cryptographie
A.10.1 Mesures Garantir l’utilisation correcte et efficace de la cryptographie en vue de protéger la confidentialité,
cryptographiques l’authenticité et/ou l’intégrité de l’information.
A.10.1.1 Politique d’utilisation Une politique d’utilisation  Si une politique d’utilisation des  Revue de la politique d’utilisation  Politique d’utilisation des
des mesures des mesures mesures cryptographiques est des mesures cryptographiques, mesures
cryptographiques cryptographiques en vue élaborée et mise en œuvre,  Revue de rapport d’analyse des cryptographiques,
de protéger l’information  Si la direction adopte une risques,  Rapport d’analyse des
doit être élaborée et mise approche en ce qui concerne  Entrevue avec le DG, risques,
en œuvre. l’utilisation de mesures  Interview des administrateurs  Rapports de test des
cryptographiques pour la systèmes, réseaux, BD et solutions de chiffrement.
protection de l’information liée à applications,
l’activité de l’organisme,  Test des solutions de chiffrement
 Si le niveau de protection requis, mises en place au niveau des
en tenant compte du type, de la serveurs, des équipements réseaux
puissance et de la qualité de et de sécurité et des applications.
l’algorithme de chiffrement
requis, est identifié sur la base
A (ISO trôle
27001)
d’une appréciation du risque,
 Si les liens permanents et les
échanges de données devant
être protégés par des solutions
de chiffrement sont définis et si
ces solutions sont mises en place
au niveau du réseau local et du
réseau étendu,
 Si les transactions sensibles
devant être protégés par des
solutions de chiffrement sont
définies et si ces solutions sont
mises en place au niveau
applicatif.
A.10.1.2 Gestion des clés Une politique sur  Si une politique sur l’utilisation,  Revue de la politique sur  Politique sur l’utilisation,
l’utilisation, la protection et la protection et la durée de vie l’utilisation, la protection et la durée la protection et la durée
la durée de vie des clés des clés cryptographiques est de vie des clés cryptographiques, de vie des clés
cryptographiques doit être élaborée et mise en œuvre,  Interview des responsables métiers, cryptographiques,
élaborée et mise en œuvre  Si le système de gestion des clés  Vérification de la conformité du  Normes de gestion des
tout au long de leur cycle repose sur une série convenue système de gestion du cycle de vie cycles de vie des clés
de vie. de normes, de procédures et de des clés cryptographiques avec les cryptographiques,
méthodes sécurisées pour : normes en vigueurs,  Logs des activités liées à
- La génération des clés,  vérification des logs et du rapport la gestion des clés,
l’attribution de ces clés aux d’audit des activités liées à la  Rapport d’audit des
utilisateurs, gestion des clés. activités liées à la gestion
- leur stockage, des clés.
- le traitement des clés
compromises,
- leur révocation,
- la récupération des clés
perdues,
A (ISO trôle
27001)
- la sauvegarde ou l’archivage,
- la destruction,
 Si les activités liées à la gestion
des clés sont journalisées et
auditées.
A.11 Sécurité physique et environnementale
A.11.1 Zones sécurisées Empêcher tout accès physique non autorisé, tout dommage ou intrusion portant sur l’information et
les moyens de traitement de l’information de l’organisme.
A.11.1.1 Périmètre de sécurité Des périmètres de sécurité  Si les périmètres de sécurité sont  Revue du rapport d’analyse des  Rapport d’analyse des
physique doivent être définis et définis et si l’emplacement et le risques, risques,
utilisés pour protéger les niveau de résistance de chacun  Revue du plan d’architecture du  Plan d’architecture du
zones contenant des périmètres sont fonction des bâtiment de l’audité et identification bâtiment de l’audité,
l’information sensible ou exigences relatives à la sécurité des périmètres de sécurité  Rapport de test des
critique et les moyens de des actifs situés à l’intérieur et physique, mécanismes de sécurité,
traitement de des conclusions de l’appréciation  Revue du rapport de test des  Photos.
l’information. du risque, mécanismes de sécurité contre les
 Si le périmètre d’un bâtiment ou dommages d’intrusion physiques,
d’un site abritant des moyens de d’incendies, d’inondations, de
traitement de l’information est perturbation des services généraux
physiquement solide (le  Interview du DAF, du responsable
périmètre ou les zones ne de la sécurité physique et du RSI,
présentent aucune faille  Inspection visuelle des périmètres
susceptible de faciliter une de sécurité.
intrusion),
 Si le toit, les murs extérieurs et le
sol du site sont construits de
manière solide et si les portes
extérieures sont toutes
convenablement protégées
contre les accès non autorisés
par des mécanismes de contrôle,
par exemple des barres, des
A (ISO trôle
27001)
alarmes, des verrous,
 Si les portes et les fenêtres non
gardées sont verrouillées, et si
une protection extérieure pour
les fenêtres, particulièrement
celles du rez-de-chaussée, est en
place,
 Si un personnel à l’accueil ou des
moyens de contrôle d’accès
physique au site ou au bâtiment
sont placés,
 Si l’accès aux sites et aux
bâtiments est limité aux seules
personnes autorisées,
 Si des systèmes de détection
d’intrus adaptés sont installés et
testés régulièrement pour
s’assurer qu’ils englobent
l’ensemble des portes
extérieures et des fenêtres
accessibles,
 Si les alarmes des zones
inoccupées sont activées en
permanence,
 Si les autres zones, comme la
salle informatique ou la salle des
télécommunications sont
également couvertes,
 Si les moyens de traitement de
l’information gérés par
l’organisme sont séparés
physiquement de ceux gérés par
A (ISO trôle
27001)
des tiers.
A.11.1.2 Contrôle d’accès Les zones sécurisées  Si une procédure de contrôle  Revue de la procédure de contrôle  Procédure de contrôle
physique doivent être protégées par d’accès physique est élaborée et d’accès physique, d’accès physique,
des contrôles adéquats à mise en œuvre,  Revue d’un échantillon  Echantillon
l’entrée pour s’assurer que  Si la date et l’heure d’arrivée et d’autorisations d’accès aux zones d’autorisations d’accès
seul le personnel autorisé de départ des visiteurs sont sécurisées, aux zones sécurisées,
est admis. consignées et si tous les visiteurs  Interview du DAF, du responsable  Logs du système de
sont encadrés, sauf si leur accès de la sécurité physique et du RSI, contrôle d’accès
a déjà été autorisé,  Vérification du registre des visiteurs, physique,
 Si l’accès leur est accordé  Vérification des contrôles d’accès  Rapport de test du
uniquement à des fins précises physiques aux périmètres sécurisés, système de contrôle
ayant fait l’objet d’une  Vérification des emplacements des d’accès,
autorisation et si les instructions caméras de surveillances et des  Photos,
relatives aux exigences de alarmes,
sécurité de la zone et aux  Vérification du système de
procédures d’urgence associées vidéosurveillance,
leur ont été remises,  Test du système de contrôle d’accès
 Si l’identité des visiteurs est physique aux salles contenant les
authentifiée à l’aide d’un moyen moyens de traitement de
approprié, l’information,
 Si l’accès aux zones de  Vérification de la synchronisation
traitement ou de stockage de des horloges des serveurs
l’information confidentielle est hébergeant ces systèmes,
restreint uniquement aux  Vérification des logs de ces
personnes autorisées en mettant systèmes,
en œuvre des contrôles d’accès  Vérification sur un échantillon des
appropriés, par exemple un salariés et des sous-traitant du port
système d’authentification à d’un moyen d’identification visible
deux facteurs, tels qu’une carte (ex : badges)
d’accès et un code PIN secret,
 Si un journal physique ou un
système de traçabilité
A (ISO trôle
27001)
électronique de tous les accès
est conservé de manière
sécurisée et est contrôlé
régulièrement,
 S’il est exigé de l’ensemble des
salariés, des contractants et des
tiers le port d’un moyen
d’identification visible,
 S’il leur est demandé qu’ils
informent immédiatement le
personnel de sécurité s’ils
rencontrent des visiteurs non
accompagnés ou quiconque ne
portant pas d’identification
visible,
 Si un accès limité aux zones
sécurisées ou aux moyens de
traitement de l’information
confidentielle est accordé au
personnel d’un organisme tier
chargé de l’assistance technique
et uniquement en fonction des
nécessités,
 Si cet accès fait l’objet d’une
autorisation et d’une
surveillance,
 Si les droits d’accès aux zones
sécurisées sont revus et mis à
jour régulièrement et révoqués
au besoin.
A.11.1.3 Sécurisation des Des mesures de sécurité  Si les équipements-clés sont  Revue du plan d’architecture du  plan d’architecture du
bureaux, des salles et physique aux bureaux, aux hébergés dans un emplacement bâtiment de l’audité, bâtiment de l’audité
A (ISO trôle
27001)
des équipements salles et aux équipements non accessible au public,  Interview du DSI,
doivent être conçues et  Si, dans la mesure du possible,  Inspection visuelle.
appliquées. les locaux sont discrets et
donnent le minimum
d’indications sur leur finalité,
sans signe manifeste, extérieur
ou intérieur, qui permette
d’identifier la présence
d’activités de traitement de
l’information,
 Si les équipements sont
configurés de manière à
empêcher que l’information
confidentielle ou les activités
soient visibles et audibles de
l’extérieur,
 Si les répertoires et annuaires
téléphoniques internes
identifiant l’emplacement des
moyens de traitement de
l’information confidentielle ne
sont pas accessibles sans
autorisation.
A.11.1.4 Protection contre les Des mesures de protection  Si une étude sur les menaces  Revue de l’étude sur les menaces  Document de l’étude sur
menaces extérieures et physique contre les physiques et environnementales physiques et environnementales les menaces physiques et
environnementales désastres naturels, les possibles (exemple : incendies, possibles, environnementales
attaques malveillantes ou inondations, tremblements de  Revue du schéma des voies possibles,
les accidents doivent être terre, explosions, troubles civils possibles d’arrivée d’eau,  Schéma des voies
conçues et appliquées. et d'autres formes de  Revue des rapports de test des possibles d’arrivée d’eau,
catastrophes naturelles ou systèmes de détection et  Rapports de test des
d'origine humaine) et leurs d’extinction d’incendie, systèmes de détection et
impact sur l’activité de l’audité a  Interview du DAF, du responsable d’extinction d’incendie.
A (ISO trôle
27001)
été réalisée de la sécurité physique et du DSI,
 S’il a été procédé à une analyse  Vérification de l’emplacement des
systématique et exhaustive de détecteurs d’humidité, de fuite
toutes les voies possibles d’eau et de fumée.
d'arrivée d'eau (Par exemple
position des locaux par rapport
aux risques d'écoulement naturel
en cas de crue ou d'orage
violent, d'inondation provenant
des étages supérieurs, de
rupture ou de fuite de
canalisation apparente ou
cachée, de mise en œuvre de
systèmes d'extinction d'incendie,
de remontée d'eau par des voies
d'évacuation, de mise en route
intempestive d'un système
d'humidification automatique,
etc.
 Si des détecteurs d'humidité ont
été installés à proximité des
ressources sensibles (en
particulier dans les faux
planchers le cas échéant), reliés à
un poste permanent de
surveillance,
 Si des détecteurs de fuite d'eau
ont été installés à l'étage
supérieur à proximité des locaux
abritant des ressources sensibles,
reliés à un poste permanent de
surveillance,
A (ISO trôle
27001)
 S’il a été procédé à une analyse
systématique et approfondie de
tous les risques d'incendie (Par
exemple : court-circuit au niveau
du câblage, effet de la foudre,
personnel fumant dans les
locaux, appareillages électriques
courants, échauffement
d'équipement, propagation
depuis l'extérieur, propagation
par les gaines techniques ou la
climatisation, etc.),
 Si un système de détection
automatique d'incendie est mise
en place pour les locaux
sensibles,
 Si Les locaux sensibles sont-
protégés par une installation
d'extinction automatique
d’incendie.
A.11.1.5 Travail dans les zones Des procédures pour le  Si des procédures pour le travail  Revue des procédures pour le travail  Procédures pour le
sécurisées travail dans les zones dans les zones sécurisées sont dans les zones sécurisées, travail dans les zones
sécurisées doivent être élaborées et mises en œuvre,  Interview du responsable de sécurisées.
conçues et appliquées.  Si le personnel est informé de sécurité physique,
l’existence de zones sécurisées  Interview d’un échantillon du
ou des activités qui s’y personnel,
pratiquent, sur la seule base du  Inspection des zones sécurisées
besoin d’en connaître, inoccupées.
 Si le travail non
supervisé/encadré en zone
sécurisée, tant pour des raisons
de sécurité personnelle que pour
A (ISO trôle
27001)
prévenir toute possibilité d’acte
malveillant, est évité,
 Si les zones sécurisées
inoccupées sont verrouillées
physiquement et contrôlées
périodiquement,
 Si tout équipement
photographique, vidéo, audio ou
autres dispositifs
d’enregistrement, tels que les
appareils photos intégrés à des
appareils mobiles sont interdits,
sauf autorisation.
A.11.1.6 Zones de livraison et Les points d’accès tels que  Si l’accès à une zone de livraison  Revue des procédures de gestion  procédures de gestion
de chargement les zones de livraison et de et de chargement depuis des actifs (classification, marquage, des actifs (classification,
chargement et les l’extérieur du bâtiment est limité manipulation, …), marquage, manipulation,
autres points par lesquels au personnel identifié et  Interview du DAF, …),
des personnes non autorisé,  Visite et inspection de la zone de  photos.
autorisées peuvent  Si la zone de livraison et de chargement et de livraison.
pénétrer dans les locaux chargement est conçue de sorte
doivent être contrôlés et, si que les marchandises puissent
possible, isolés des moyens être chargées et déchargées sans
de traitement de que le personnel ait accès aux
l’information, de façon à autres parties du bâtiment,
éviter les accès non  Si les portes extérieures de la
autorisés. zone de livraison et de
chargement sont sécurisées
lorsque les portes intérieures
sont ouvertes,
 Si les matières entrantes sont
contrôlées pour vérifier la
présence éventuelle de
A (ISO trôle
27001)
substances explosives, chimiques
ou autres substances
dangereuses, avant qu’elles ne
quittent la zone de livraison et de
chargement,
enregistrées conformément aux
procédures de gestion des actifs
dès leur arrivée sur le site,
 Si, dans la mesure du possible,
les livraisons sont séparées
physiquement des expéditions,
examinées pour vérifier la
présence d’éventuelles
altérations survenues lors de leur
acheminement, et si le personnel
de sécurité est prévenu
immédiatement de toute
découverte de ce type.
A.11.2 Matériels Empêcher la perte, l’endommagement, le vol ou la compromission des actifs et l’interruption des activités de l’organisme.
A.11.2.1 Emplacement et Les matériels doivent être  Si les moyens de traitement de  Revue du rapport d’inspection de  Rapport d’inspection de
protection localisés et protégés de l’information manipulant des l’emplacement du matériel, l’emplacement du
des matériels manière à réduire les données sensibles sont  Revue du rapport de surveillance matériel,
risques liés à des menaces positionnés avec soin, en vue de des conditions ambiantes  Rapport de surveillance
et des dangers réduire le risque que cette (température, humidité), des conditions
environnementaux et les information puisse être vue par  Revue des directives sur le fait de ambiantes,
possibilités d’accès non des personnes non autorisées, manger, boire et fumer à proximité  Directives sur le fait de
autorisé.  Si les moyens de stockage sont des moyens de traitement de manger, boire et fumer à
sécurisés contre tout accès non l’information, proximité des moyens de
autorisé,  Interview du DSI, traitement de
 Si des mesures sont adoptées  Vérification des moyens de l’information.
A (ISO trôle
27001)
pour réduire au minimum les protection du matériel et des
risques de menaces physiques et  Vérification des conditions
environnementales potentielles, ambiantes (température, humidité),
comme le vol, l’incendie, les  Inspection du paratonnerre des
explosions, la fumée, les fuites parafoudres.
d’eau (ou une rupture de
l’alimentation en eau), la
poussière, les vibrations, les
effets engendrés par les produits
chimiques, les interférences sur
le secteur électrique, les
interférences sur les lignes de
télécommunication, les
rayonnements
électromagnétiques et le
vandalisme,
 Si des directives, sur le fait de
manger, boire et fumer à
proximité des moyens de
traitement de l’information, sont
fixées,
 Si les conditions ambiantes, telles
que la température et l’humidité,
qui pourraient nuire au
fonctionnement des moyens de
traitement de l’information sont
surveillées,
 Si l’ensemble des bâtiments est
équipé d’un paratonnerre et si
toutes les lignes électriques et de
télécommunication entrantes
sont équipées de parafoudres.
A (ISO trôle
27001)
A.11.2.2 Services généraux Les matériels doivent être Si les services généraux (tels que  Revue des rapports d’évaluation des  Rapports d’évaluation
protégés des coupures de l’électricité, les services généraux, des services généraux,
courant et autres télécommunications, l’alimentation  Revue des rapports de test de ses  Rapports de test de ses
perturbations dues à une en eau, le gaz, l’évacuation des services, services.
défaillance des services eaux usées, la ventilation et la  Interview du DSI,
généraux. climatisation):  Vérification de la conformité de ses
 sont conformes aux services aux spécifications du
spécifications du fabricant du fabricant du matériel et aux
matériel et aux exigences légales exigences légales,
locales,  Vérification de l’existence
 font l’objet d’une évaluation d’alimentation redondante,
régulière pour vérifier leur d’onduleur, d’un groupe
capacité à répondre à la électrogène.
croissance de l’organisme et aux
interactions avec les autres
services généraux,
 sont examinés et testés de
manière régulière pour s’assurer
de leur fonctionnement correct,
 sont équipés, si nécessaire,
d’alarmes de détection des
dysfonctionnements,
 disposent, si nécessaire,
d’alimentations multiples sur les
réseaux physiques
d’acheminement.
A.11.2.3 Sécurité du câblage Les câbles électriques ou  Si, dans la mesure du possible,  Revue du schéma de câblage du  Schéma de câblage du
de télécommunication les lignes électriques et les lignes réseau électrique et informatique, réseau électrique et
transportant des données de télécommunication branchées  Balayages techniques et informatique,
ou supportant les services aux moyens de traitement de d’inspections physiques pour  Rapport de balayages
d’information doivent être l’information sont enterrées, ou détecter le branchement d’appareils techniques et
protégés contre toute soumises à toute autre forme de non autorisés sur les câbles, d’inspections physiques
A (ISO trôle
27001)
interception ou tout protection adéquate,  Interview du DSI, pour détecter le
dommage.  Si les câbles électriques sont  Inspection des conduits de câbles et branchement d’appareils
séparés des câbles de des panneaux de répartition et des non autorisés sur les
télécommunication pour éviter chambres de câblage. câbles.
toute interférence,
 Si, pour les systèmes sensibles ou
critiques, les mesures
supplémentaires comprennent:
- l’installation d’un conduit de
câbles blindé et de chambres
ou de boîtes verrouillées aux
points d’inspection et aux
extrémités,
- l’utilisation d’un blindage
électromagnétique pour
assurer la protection des
câbles,
- le déclenchement de balayages
techniques et d’inspections
physiques pour détecter le
branchement d’appareils non
autorisés sur les câbles,
- un accès contrôlé aux panneaux
de répartition et aux chambres
de câblage.
A.11.2.4 Maintenance des Les matériels doivent être  Si le matériel est entretenu selon  Revue des contrats de maintenances  Contrats de
matériels entretenus correctement les spécifications et la périodicité des matériels, maintenances des
pour garantir leur recommandées par le  Revue du dossier de toutes les matériels,
disponibilité permanente fournisseur, pannes suspectées ou avérées,  Dossier de toutes les
et leur intégrité.  Si seul un personnel de  Revue des rapports d’intervention pannes suspectées ou
maintenance autorisé assure les de maintenance préventive et avérées,
réparations et l’entretien du
A (ISO trôle
27001)
matériel, curative,  Rapports d’intervention
 Si un dossier de toutes les  Revue des contrats d’assurance des de maintenance
pannes suspectées ou avérées et matériels, préventive et curative,
de toutes les tâches de  Revue des rapports d’inspection du  Contrats d’assurance des
maintenance préventives ou matériel avant de le remettre en matériels,
correctives est conservé, service à l’issue de sa maintenance,  Rapports d’inspection du
 Si des mesures appropriées sont  Interview du DSI, matériel avant de le
mises en œuvre lorsque la  Vérification des mesures mises en remettre en service à
maintenance d’un matériel est œuvre avant la maintenance du l’issue de sa
planifiée en prenant en compte matériel. maintenance,
le fait qu’elle soit effectuée par  Liste des mesures mises
du personnel sur site ou en œuvre avant la
extérieur à l’organisme; et si, maintenance du
lorsque cela est nécessaire, matériel.
l’information confidentielle
contenue dans le matériel est
effacée ou le personnel de
maintenance a reçu les
autorisations suffisantes,
 Si toutes les exigences de
maintenance qu’imposent les
polices d’assurance sont
respectées,
 Si le matériel est inspecté avant
de le remettre en service à l’issue
de sa maintenance, pour
s’assurer qu’il n’a pas subi
d’altérations et qu’il fonctionne
correctement.
A.11.2.5 Sortie des actifs Les matériels, les  Si des règles, concernant la sortie  Revue des règles concernant la  Règles concernant la
informations ou les des actifs (autorisations sortie des actifs, sortie des actifs,
logiciels des locaux de préalables, personnes autorisées,  Revue des registres de sortie des  Registres de sortie des
A (ISO trôle
27001)
l’organisme enregistrement de la sortie et de actifs, actifs,
ne doivent pas sortir sans la rentrée, effacement des  Revue d’un échantillon  Echantillon
autorisation préalable. données inutiles, etc.), sont d’autorisations de sortie des actifs, d’autorisations de sortie
établies et documentées,  Interview du DAF, et du DSI. des actifs.
 Si les salariés et les tiers, qui ont
autorité pour permettre le retrait
des actifs du site, sont clairement
identifiés,
 Si des limites dans le temps sont
fixées pour la sortie des actifs et
si la date de retour est respectée,
 Si, le cas échéant, la sortie des
actifs et leur retour dans les
locaux de l’organisme sont
enregistrés,
 Si l’identité, la fonction et
l’affiliation de toute personne qui
manipule ou utilise les actifs sont
documentées et si ces
documents accompagnent le
retour du matériel, de
l’information ou des logiciels.
A.11.2.6 Sécurité des matériels Des mesures de sécurité  Si l’utilisation de matériels de  Revue d’un échantillon  Echantillon
et des actifs hors des doivent être appliquées traitement et de stockage de d’autorisations de la direction de d’autorisations de la
locaux aux matériels utilisés hors l’information hors des locaux de l’utilisation du matériel hors site, direction de l’utilisation
des locaux de l’organisme l’organisme est autorisée par la  Revue du rapport d’analyse des du matériel hors site,
en tenant compte des direction, risques issus du travail hors site,  Rapport d’analyse des
différents risques associés  Si une politique de sécurité  Revue des registres de circulation du risques issus du travail
au travail hors site. relative au travail hors site est matériel hors site entre différentes hors site,
élaborée et mise en œuvre, personne ou tiers,  Registres de circulation
 Si le matériel et les supports de  Interview du DSI. du matériel hors site
données sortis des locaux ne entre différentes
A (ISO trôle
27001)
sont pas laissés sans surveillance personne ou tiers,
dans des lieux publics,
 Si les instructions du fabricant,
visant à protéger le matériel, par
exemple celles sur la protection
contre les champs
électromagnétiques forts, sont
observées à tout instant,
 Si des mesures pour les
emplacements de travail hors
site, comme le travail à domicile,
le télétravail et les sites
temporaires, sont déterminées
en réalisant une appréciation du
risque,
 Si, lorsque du matériel circule
hors des locaux de l’organisme
entre différentes personnes ou
entre des tiers, un journal
détaillant la chaîne de traçabilité
du matériel est tenu à jour,
mentionnant au minimum les
noms des personnes
responsables du matériel, ainsi
que les organismes dont elles
relèvent.
A.11.2.7 Mise au rebut ou Tous les composants des  Si une procédure de mise au  Revue de la procédure de mise au  Procédure de mise au
recyclage matériels contenant des rebut ou de réutilisation du rebut ou de réutilisation du matériel rebut ou de réutilisation
sécurisé(e) des supports de stockage matériel est élaborée et mise en  Revue du rapport d’analyse des du matériel
matériels doivent être vérifiés pour œuvre, risques des appareils endommagés  Rapport d’analyse des
s’assurer que toute donnée  S’il est procédé, lorsqu’il est contenant des supports de stockage, risques des appareils
sensible a bien été nécessaire, à une appréciation du endommagés contenant
A (ISO trôle
27001)
supprimée et que tout risque des appareils  Revue de l’inventaire du matériel des supports de
logiciel sous licence a bien endommagés contenant des mis au rebut ou réutilisé, stockage,
été désinstallé ou écrasé supports de stockage pour  Revue des rapports de mise au  Inventaire du matériel
de façon sécurisée, avant déterminer s’il convient de les rebut ou de réutilisation du mis au rebut ou réutilisé,
leur mise au rebut ou leur détruire physiquement plutôt matériel,  Rapports de mise au
réutilisation. que de les faire réparer ou de les  Interview du DSI. rebut ou de réutilisation
mettre au rebut, du matériel.
 Si les supports de stockage
contenant de l’information
confidentielle ou protégée par le
droit d’auteur sont détruits
physiquement, ou bien si cette
information est détruite,
supprimée ou écrasée en
privilégiant les techniques
rendant l’information d’origine
irrécupérable plutôt qu’en
utilisant la fonction standard de
suppression ou de formatage.
A.11.2.8 Matériels utilisateur Les utilisateurs doivent  Si tous les utilisateurs sont  Revue des programmes de sessions  Programmes de sessions
laissés sans s’assurer que les matériels sensibilisés aux exigences et aux de sensibilisation réalisées et de sensibilisation
surveillance non surveillés sont procédures de sécurité destinées bénéficiaires, réalisées et bénéficiaires,
dotés d’une protection à protéger les matériels laissés  Audit, sur un échantillon de postes  Rapport d’audit des
appropriée. sans surveillance, ainsi qu’aux de travail, des paramètres de paramètres de
responsabilités qui leur configuration, configuration.
incombent pour assurer la mise  Interview du DSI,
en œuvre de cette protection  Interview d’un échantillon
 Si les utilisateurs ferment les d’utilisateurs.
sessions actives lorsqu’ils ont
terminé, sauf si les sessions
peuvent être sécurisées par un
mécanisme de verrouillage
A (ISO trôle
27001)
approprié, par exemple un
économiseur d’écran protégé par
un mot de passe,
 Si les utilisateurs se
déconnectent des applications
ou des services en réseau
lorsqu’ils n’en ont plus besoin,
 Si les utilisateurs protègent les
ordinateurs ou les appareils
mobiles, lorsqu’ils ne s’en
servent pas, contre toute
utilisation non autorisée par une
clé ou un dispositif équivalent tel
qu’un mot de passe.
A.11.2.9 Politique du bureau Une politique du bureau  Si une politique du bureau  Revue de la politique du bureau  Politique du bureau
propre et de l’écran propre pour les documents propre et de l’écran vide, tenant propre et de l’écran vide, propre et de l’écran vide,
vide papier et les supports compte de la classification de  Interview du DSI et du DAF,  Captures d’écrans,
de stockage amovibles, et l’information, des exigences  Inspection d’un échantillon de  Rapport d’audit des
une politique de l’écran légales et contractuelles, des bureaux occupés par des personnes paramètres de
vide pour les risques associés et de la culture traitant des dossiers sensibles configuration des
moyens de traitement de de l’organisme, est élaborée et (utilisation d’armoires fermant à imprimantes.
l’information doivent être mise en œuvre, clés, bureau propres, …),
adoptées.  Si l’information sensible ou  Vérification de l’écran vide sur un
critique liée à l’activité de échantillon de postes de travail de
l’organisme est mise sous clé (de ces personnes,
préférence dans un coffre-fort,  Audit des paramètres de
une armoire ou tout autre configuration sur un échantillon
meuble de sécurité), lorsqu’elle d’imprimantes utilisées par ces
n’est pas utilisée, qu’elle soit personnes.
sous format papier ou sur un
support de stockage électronique
et notamment lorsque les locaux
A (ISO trôle
27001)
sont vides,
 Si l’utilisation non autorisée, des
photocopieurs et autres
appareils de reproduction (par
exemple les scanneurs ou les
appareils photo numériques), est
interdite,
 Si les documents contenant de
l’information sensible ou classée
sont retirés immédiatement des
imprimantes,
 Si des imprimantes dotées d’une
fonction d’identification par code
personnel sont utilisées, afin que
seules les personnes ayant lancé
l’impression puissent récupérer
les documents imprimés et
uniquement lorsqu’elles se
trouvent à proximité de
l’imprimante.
A.12 Sécurité liée à l’exploitation
A.12.1 Procédures et Assurer l’exploitation correcte et sécurisée des moyens de traitement de l’information.
responsabilités liées à
l’exploitation
A.12.1.1 Procédures Les procédures  Si les procédures opérationnelles  Revue des procédures  Procédures
d’exploitation d’exploitation doivent être d'exploitation (systèmes, opérationnelles d'exploitation opérationnelles
documentées documentées et mises à applications, BD, équipements et (systèmes, applications, d'exploitation,
disposition de tous les solutions réseau et sécurité, etc.) équipements et solutions réseau et  Historique des MAJ des
utilisateurs concernés. sont documentées, sécurité, etc.), procédures
 Si la documentation des  Interview du DSI, du RSI et des opérationnelles,
procédures opérationnelles différents administrateurs (système,  Rapports d’audit de
d'exploitation est maintenue à réseau, BD, …), l'authenticité et la
A (ISO trôle
27001)
jour,  Interview d’un échantillon pertinence des
 Si les modifications des d’utilisateurs supposés utiliser ces procédures
procédures d'exploitation sont procédures, opérationnelles.
approuvées par les responsables  vérification du rapport d’audit de
concernés, l'authenticité et la pertinence des
 Si les procédures opérationnelles procédures opérationnelles.
d'exploitation sont rendues
disponibles à toute personne en
ayant besoin,
 Si ces procédures sont protégées
contre des altérations illicites,
 Si l'authenticité et la pertinence
des procédures opérationnelles
font l'objet d'un audit régulier.
A.12.1.2 Gestion des Les changements apportés  S’il existe une procédure de  Revue de la procédure de gestion  Procédure de gestion des
changements à l’organisme, aux gestion des changements des changements, changements,
processus métier, aux permettant de contrôler les  Revue par échantillonnage, du  Enregistrements liés au
systèmes et moyens de décisions de changements à processus de gestion des processus de gestion des
traitement de l’information apporter au système changements : gestion des changements.
ayant une incidence sur la d'information (mise en demandes de changement et leur
sécurité de l’information production de nouveaux validation, analyse des risques
doivent être contrôlés. systèmes/équipements/logiciels potentiels des changements,
ou d'évolutions de systèmes planification et affectation des rôles
existants), et responsabilités, communication à
 Si cette procédure englobe la l'ensemble des personnes
gestion des demandes de concernées, test des changements
changement et leur validation, et mise en production des
analyse des risques potentiels changements,
des changements, planification  Interview du RSI et des
et affectation des rôles et administrateurs système, BD et
responsabilités, communication à réseau
A (ISO trôle
27001)
l'ensemble des personnes 
concernées, test des
changements et mise en
production des changements.
A.12.1.3 Dimensionnement L’utilisation des ressources  Si les indicateurs/critères de  Revue des indicateurs/critères de  Indicateurs/critères de
doit être surveillée et performance des serveurs et performance des serveurs et des performance des
ajustée et des projections des équipements réseaux sont équipements réseaux, serveurs et des
sur les dimensionnements définis,  Revue de la procédure de gestion équipements réseaux,
futurs doivent être  Si les décisions de changement des changements,  Procédure de gestion des
effectuées pour garantir les s'appuient sur des analyses de  Interview du RSI et des changements.
performances exigées du la capacité des nouveaux administrateurs système, BD et
système. équipements et systèmes à réseau.
assurer la charge requise en
fonction des évolutions des
demandes prévisibles,
 S’il existe un suivi régulier de la
performance des serveurs et
des équipements réseaux,
 S’il existe une de configuration
d'alertes lorsque les seuils de
performance sont atteints.
A.12.1.4 Séparation des Les environnements de  Si les environnements de  Interview de l’administrateur  Inventaire des serveurs
environnements de développement, de test et développement et de test sont système et d’un échantillon de de l’environnement
développement, de d’exploitation doivent être séparés des environnements développeurs et testeurs, opérationnel,
test séparés pour réduire les opérationnels,  Vérification sur les serveurs.  Inventaire des serveurs
et d’exploitation risques d’accès ou de  Si les serveurs applicatifs (où de développement et de
changements non autorisés sont installées les applications) test.
dans l’environnement en et BD s'agissent des serveurs
exploitation. dédiés.
A.12.2 Protection contre les S’assurer que l’information et les moyens de traitement de l’information sont protégés contre les logiciels malveillants.
logiciels malveillants
A (ISO trôle
27001)
A.12.2.1 Mesures contre les Des mesures de détection,  Si une politique est définie afin  Revue de la politique de protection  Politique de protection
logiciels malveillants de prévention et de de lutter contre les risques contre les logiciels malveillants, contre les logiciels
récupération conjuguées à d'attaque par des codes  Revue des abonnements à des malveillants,
une sensibilisation des malveillants (virus, chevaux de centres d’alerte,  Abonnements à des
utilisateurs adaptée, Troie, spyware, vers, etc.) :  Revue des rapports d’audit de la centres d’alerte.
doivent être mises en interdiction d'utiliser des solution antivirale,
œuvre pour se protéger logiciels non préalablement  Interview d’un échantillon du
contre les logiciels autorisés, mesures de personnel informatique veillant à la
malveillants. protection lors de la protection contre les logiciels
récupération de fichiers via des
malveillants,
réseaux externes, revues de
 Interview du responsable de la
logiciels installés, etc,
protection antivirale,
 Si les actions à mener par le
personnel informatique, pour  Vérification au niveau des interfaces
prévenir, détecter et corriger d’administration des produits
les attaques par des codes antivirus.
malveillants sont définies,
 S’il y a abonnement à un centre
d'alerte permettant d'être
prévenu et d'anticiper
certaines attaques massives
pour lesquelles les antivirus ne
sont pas encore à jour,
 Si les produits antivirus sont
régulièrement
(quotidiennement) et
automatiquement mis à jour,
 Si les serveurs (et
essentiellement de production)
sont pourvus de dispositifs de
protection contre les codes
malveillants,
 Si les postes de travail sont
A (ISO trôle
27001)
pourvus de dispositifs de
protection contre les codes
malveillants,
 Si une analyse complète des
fichiers du poste de travail est
régulièrement effectuée de
façon automatique,
 S’il y-a une mise en place d’une
passerelle antivirale
permettant l’inspection du
trafic Internet et messagerie,
 Si la solution antivirale et son
application/activation au
niveau des serveurs et des
postes de travail font l'objet
d'un audit régulier.
A.12.3 Sauvegarde Se protéger de la perte de données.
A.12.3.1 Sauvegarde des Des copies de sauvegarde  Si une politique de sauvegarde,  Revue de la politique de  Politique de sauvegarde,
informations de l’information, des définissant : sauvegarde,  Liste des responsables de
logiciels et des images - les objets à sauvegarder,  Revue des rapports d’audit du sauvegardes,
systèmes doivent être - la fréquence des sauvegardes, processus de sauvegarde,  Rapports d’audit du
réalisés et testés - la nature de sauvegarde (totale,  Interview des responsables métier, processus de sauvegarde.
régulièrement différentielle),  Interview du RSI et des
conformément à une - les emplacements, administrateurs système, BD et
politique de sauvegarde - les mesures de protection, réseau.
convenue. - la procédure de restauration,
- les synchronismes nécessaires
entre différentes sauvegardes,
- les tests périodiques des
supports de sauvegarde,
- les tests périodiques de
restauration,
A (ISO trôle
27001)
- la définition des rôles et des
responsabilités, période/cycle
de conservation, etc.,
est élaborée et mise en œuvre,
 Si cette politique couvre:
-les données applicatives,
- les programmes (sources
et/ou exécutables),
-les paramètres de
configuration des applications
et des logiciels de base (les
différents fichiers de
paramétrages),
-clonage OS des Serveurs
métiers ou mise en place d'une
infrastructure virtuelle avec
acquisition des sauvegardes
des machines virtuelles,
-l'ensemble des configurations
des équipements réseau et
sécurité,
-les données utilisateurs,
-l'ensemble des paramètres de
configuration des postes
utilisateurs,
 Si la politique de sauvegarde
est mise à jour à chaque
changement de contexte
d'exploitation,
 Si les responsabilités de
sauvegarde sont définies,
 Si le processus de sauvegarde
fait l'objet d'un audit régulier.
A (ISO trôle
27001)
 Si les copies de sauvegarde sont
conservées dans un local
sécurisé et protégé des risques
accidentels et d'intrusion. Si un
tel local est protégé par un
contrô le d'accès renforcé et, en
outre, être protégé contre les
risques d'incendie et de dégâ ts
des eaux,
 Si la politique de sauvegarde
est appliquée,
 Si l'ensemble des sauvegardes
permettant de reconstituer
l'environnement de production
est également sauvegardé en
dehors du site de production
(sauvegardes de recours),
 Si les sauvegardes sont
protégées par des mécanismes
de haute sécurité contre toute
modification illicite ou indue,
 S’il y-a des tests périodiques de
restauration: Tests réguliers
pour s'assurer que les
sauvegardes réalisées, leur
documentation et leur
paramétrage permettent
effectivement de reconstituer à
tout moment l'environnement
de production,
 S’il y a des tests réguliers des
supports de sauvegardes.
A.12.4 Journalisation et Enregistrer les événements et générer des preuves.
A (ISO trôle
27001)
surveillance
A.12.4.1 Journalisation des Des journaux  Si une analyse spécifique des  Revue du rapport d’analyse des  Rapport d’analyse des
événements d’événements enregistrant besoins en termes de besoins en termes de journalisation, besoins en termes de
les activités de l’utilisateur, journalisation est réalisée: les  Revue de la politique de journalisation,
les exceptions, les types de journaux à activer, journalisation,  Politique de
défaillances et les paramètres/éléments  Interview des responsables métier, journalisation.
événements liés à la fondamentaux concernant  Interview du RSI et des
sécurité de l’information chaque type de journaux à administrateurs système, BD et
doivent être créés, tenus à conserver (par exemple pour réseau.
jour et vérifiés l’accès à une ressource
régulièrement. sensible: l’identifiant, le service
ou l'application demandée, la
date et l'heure, ...), localisation
des fichiers journaux, durée de
rétention des fichiers journaux,
mécanismes de protection,
mécanisme d'analyse et de
corrélation, …,
 Si les règles résultantes de cette
analyse fait l'objet d'une
politique formalisée,
 Si cette politique couvre les
applications, les bases de
données, les systèmes et les
équipements,
 Si le répertoire de stockage des
fichiers journaux se trouve
dans une partition non
système,
 Si les fichiers de journalisation
sont déplacés dans un serveur
de journalisation dédié,
 S’il y a application d’une
A (ISO trôle
27001)
stratégie de rétention (puisque
taille max config du fichier
journal),
 S’il y a utilisation des
mécanismes d'analyse et de
corrélation des fichiers
journaux,
 S’il y a utilisation des outils ou
une application de contrô le
permettant de journaliser et
d'enregistrer les appels
systèmes sensibles et les accès
aux ressources sensibles
(applications, fichiers
applicatifs, bases de données,
systèmes, etc.),
A.12.4.2 Protection de Les moyens de  S’il y a utilisation des  Revue des rapports d’audit du  Mécanismes de
l’information journalisation et mécanismes de protection des processus d’enregistrement, protection du processus
journalisée d’information journalisée fichiers journaux: exemples :  Interview de l’administrateur de journalisation,
doivent être protégés chiffrement, un système de système,  Rapports d’audit du
contre les risques de détection de modification,  Vérification des mécanismes de processus
falsification ou d’accès non contrô le d'accès, protection du processus de d’enregistrement.
autorisé.  Si les processus qui assurent la journalisation,
journalisation sont sous  Vérification de l’archivage des
contrô le strict (droits limités et enregistrements.
authentification forte pour la
solution utilisée contre tout
changement illicite des
paramètres définis),
 S’il existe un archivage (sur
disque, cassette, etc.) des
enregistrements, conservés sur
une période bien définie et de
A (ISO trôle
27001)
manière infalsifiable,
 Si un audit au moins annuel du
processus d'enregistrement est
réalisé (y compris des
processus visant à détecter les
tentatives de modification et les
processus de réaction à ces
tentatives de modification).
A.12.4.3 Journaux Les activités de  S’il y a une analyse des  Revue du rapport d’analyse des  Rapport d’analyse des
administrateur l’administrateur système et événements menés avec des événements menés avec des droits événements menés avec
et opérateur de l’opérateur système droits d'administration sur les d’administration, des droits
doivent être journalisées, systèmes/bases de données/  Revue des rapports d’audit du d’administration
protégées et vérifiées équipements réseaux/solutions processus d’enregistrement des  Mécanismes de
régulièrement. de sécurité/le parc de postes actions privilégiées, protection des journaux
utilisateurs et pouvant avoir un  Interview de l’administrateur administrateur,
impact sur la sécurité : système,  Rapports d’audit du
configuration des ressources  Vérification des mécanismes de processus
critiques, accès à des
protection des journaux d’enregistrement des
informations sensibles,
administrateur. actions privilégiées.
utilisation d'outils sensibles,
téléchargement ou modification 
d'outils d'administration, etc.
 Si ces événements ainsi que
tous les paramètres utiles à
leur analyse ultérieure sont
enregistrés (journalisés),
 Si une analyse de ces
enregistrements, permettant de
détecter des comportements
anormaux, est réalisée,
 S’il existe un système
permettant de détecter toute
modification du système
A (ISO trôle
27001)
d'enregistrement et de
déclencher une alerte
immédiate auprès d'un
responsable,
 Si les enregistrements sont
protégés contre toute altération
ou destruction,
 Si les enregistrements ou les
synthèses sont conservés sur
une durée bien étudiée,
 Si le processus
d'enregistrement des actions
privilégiées et de traitement de
ces enregistrements fait l'objet
d'un audit régulier.
A.12.4.4 Synchronisation des Les horloges de l’ensemble  Si un dispositif de  Interview des administrateurs  horloges des serveurs et
horloges des systèmes de traitement synchronisation des horloges système et réseau, des équipements réseau
de l’information concernés des systèmes et des  Vérification de la synchronisation et sécurité synchronisées
d’un organisation ou d’un équipements réseau et sécurité des horloges des serveurs et des avec un serveur NTP
domaine de sécurité avec un référentiel de temps équipements réseau et sécurité avec unique.
doivent être précis (un serveur NTP) est mis un serveur NTP unique.
synchronisées sur une en place.
source de référence
temporelle unique.
A.12.5 Maîtrise des logiciels Garantir l’intégrité des systèmes en exploitation.
en exploitation
A.12.5.1 Installation de logiciels Des procédures doivent  Si une procédure d'installation  Revue de la procédure du contrôle  Procédure du contrôle de
sur des systèmes en être mises en œuvre pour sur l'environnement de de l’installation de logiciels sur l’installation de logiciels
exploitation contrôler l’installation de production de nouvelles l'environnement de production, sur l'environnement de
logiciel sur des systèmes en versions de  Interview de l’administrateur production,
exploitation. systèmes/logiciels/ système,  Historique des
applications est élaborée et
A (ISO trôle
27001)
mise en œuvre selon un  Vérification sur un échantillon installations sur
processus de validation et d’installations sur l'environnement l'environnement de
d'autorisation bien défini, de production, des documents production,
 Si les nouvelles fonctionnalités résultants,  Documentation des
ou changements de  Interview de l’administrateur changements sur
fonctionnalités liées à un système, l'environnement de
nouveau système ou à une  Vérification sur un échantillon des production,
nouvelle version sont postes utilisateurs.  Outil ou document de
systématiquement décrites gestion des versions de
dans une documentation références pour les
obligatoire avant tout passage
produits installés sur les
en production,
postes utilisateurs.
 Si une revue formelle des
nouvelles fonctionnalités (ou
des changements de
fonctionnalités) liées à un
changement majeur de
logiciel/système est
systématiquement réalisée,
 Si cette revue comprend une
analyse des risques éventuels
pouvant naître à cette occasion,
 Si l'équipe d’exploitation a reçu
une formation spécifique à
l'analyse des risques ou fait
appel à une ressource
spécialisée pour de telle
analyse de risques,
 Si la mise en production de
nouvelles versions de
systèmes/logiciels/
applications n'est possible que
par le personnel d'exploitation,
A (ISO trôle
27001)
 Si la production informatique
gère une version de référence
pour chaque produit installé
sur les postes utilisateurs.
A.12.6 Gestion des Empêcher toute exploitation des vulnérabilités techniques.
vulnérabilités
techniques
A.12.6.1 Gestion des Des informations sur les  S’il existe une procédure de  Revue de la procédure de gestion  Procédure de gestion de
vulnérabilités vulnérabilités techniques gestion de vulnérabilités de vulnérabilités techniques, vulnérabilités
techniques des systèmes d’information techniques permettant  Revue des rapports des audits techniques,
en exploitation doivent d’identifier, d’évaluer et de techniques,  Rapports des audits
être obtenues en temps répondre aux vulnérabilités des  Revue des documents résultants de techniques,
opportun, l’exposition systèmes, réseaux, base de l’installation des correctifs,  Documentation de
de l’organisme à ces données et applications,  Interview du RSI et des l’installation des
vulnérabilités doit être  Si des audits techniques administrateurs système et réseau, correctifs,
évaluée et les mesures réguliers sont menés,   Cellule de veille,
appropriées doivent être  Si l’installation des correctifs de  Vérification du processus de veille  abonnement au CERT
prises pour traiter le risque sécurité se fait suite à une sur les vulnérabilités techniques, national,
étude d'impact, des tests et une
associé.  Revue de l’historique des  Historique des
approbation préalable,
installations des nouvelles versions installations des
 Si un processus de veille sur les
et des correctifs, nouvelles versions et des
vulnérabilités techniques est
mis en œuvre :  Interview des administrateurs correctifs.
- Si une cellule de veille est mise système et réseau,
en place,  Vérification des versions installées
- Si un abonnement au CERT sur les serveurs, les équipements
national est souscrit pour réseau et sécurité et les postes de
s'informer aux vulnérabilités travail.
liées aux produits et systèmes
utilisés
 Si les correctifs de sécurité sont
A (ISO trôle
27001)
régulièrement appliqués,
 Si les installations des
nouvelles versions et des
correctifs sont tracées,
A.12.6.2 Restrictions liées à Des règles régissant  Si les droits d'accès distincts  Voir les vérifications de A.9.2.2,  Politique de contrôle
l’installation de l’installation de logiciels sont définis, pour chaque  Revue de la liste des types de d’accès,
logiciels par les utilisateurs doivent système, en fonction des profils logiciels dont l’installation est  Matrice des droits
être établies et mises en et des projets, autorisée et des types d’installation d’accès,
œuvre.  Si les types de logiciels dont qui sont interdits.  Fiches de postes d’un
l’installation est autorisée (par échantillon d’utilisateurs,
exemple l’installation des mises  liste des types de logiciels
à jour ou de correctifs à des dont l’installation est
logiciels existants) et les types autorisée et des types
d’installation qui sont interdits d’installation qui sont
(par exemple, l’installation de
interdits.
logiciels destinés uniquement à
un usage personnel) sont
déterminés.
A.12.7 Considérations sur Réduire au minimum l’impact des activités d’audit sur les systèmes en exploitation.
l’audit des systèmes
d’information
A.12.7.1 Mesures relatives à Les exigences et activités  Si une procédure formelle  Revue de la procédure d’audit des  Procédure d’audit des
l’audit des systèmes d’audit impliquant des d’audit des systèmes systèmes d’information, systèmes d’information
d’information vérifications sur des d’information, définissant les  Interview du RSI.
systèmes en exploitation règles concernant les audits
doivent être prévues avec menés sur les systèmes
soin et validées afin de opérationnels/ réseaux et les
réduire au minimum les responsabilités associées, est
perturbations subies par élaborée et mise en œuvre
les processus métier.
A.13 Sécurité des communications
A.13.1 Gestion de la sécurité Objectif: Garantir la protection de l’information sur les réseaux et des moyens de traitement de l’information sur lesquels elle s’appuie.
A (ISO trôle
27001)
des réseaux
A.13.1.1 Contrôle des réseaux Les réseaux doivent être  Si les responsabilités et les  Revue de la procédure de gestion  Procédure de gestion des
gérés et contrôlés pour procédures de gestion des des équipements réseau, équipements réseau,
protéger l’information équipements réseau sont  Revue des fiches de postes des  Fiches de postes des
contenue dans les définies, administrateurs réseau, administrateurs réseau,
systèmes et les  Si la responsabilité d’exploitation  Revue du schéma synoptique de  Schéma synoptique de
applications. des réseaux est séparée de celle l’architecture du réseau, l’architecture du réseau,
de l’exploitation des ordinateurs,  Revue du diagramme des flux  Diagramme des flux
 Si des mesures spéciales pour réseau, réseau,
préserver la confidentialité et  Revue de l’inventaire des  Inventaire des
l’intégrité des données équipements réseau et de sécurité, équipements réseau et
transmises sur les réseaux  Interview des administrateurs de sécurité,
publics ou les réseaux sans fil réseau,  Rapport d’audit des
sont mises en place,  Audit des comptes d’administration comptes d’administration
 Si des mesures spéciales pour des équipements réseaux et de des équipements réseaux
maintenir la disponibilité des sécurité (compte partagé par tous et de sécurité,
services réseau sont mises en les admins ou comptes nominatifs),  Fichiers de configuration
place,  Audit des configurations de ces et ACL des équipements
 Si les actions susceptibles équipements, réseau et de sécurité,
d’affecter la sécurité de  Revue des ACLs sur ces  Logs de ces équipements.
l’information sont détectées et équipements,
journalisées,  Revue des logs de ces équipements
 Si les systèmes sont authentifiés et identification des actions
sur le réseau. éventuelles pouvant avoir un impact
sur la sécurité des réseaux (ex :
accès par des outils non sécurisé tel
que Telnet).
A.13.1.2 Sécurité des services Pour tous les services de  Si la capacité du fournisseur de  Revue des accords de niveau de  Accords de niveau de
de réseau réseau, les mécanismes de services de réseau à gérer ses service (SLA) conclus avec les service (SLA) conclus
sécurité, les niveaux de services de façon sécurisée est fournisseurs de service internes ou avec les fournisseurs de
service et les exigences de déterminée et surveillée externes, service internes ou
gestion, doivent être
A (ISO trôle
27001)
identifiés et intégrés dans régulièrement,  Revue de l’accord sur le droit à externes,
les accords de services de  Si un accord sur le droit à auditer,  Accord sur le droit à
réseau, que ces services auditer est conclu avec le  Revue des rapports de surveillance auditer,
soient fournis en interne fournisseur, de la capacité des connexions et des  Rapports de surveillance
ou externalisés.  Si les dispositions de sécurité équipements (bande passante de la capacité des
nécessaires à des services en contracté vs bande passante réelle, connexions et des
particulier, telles que les …), équipements (bande
fonctions de sécurité, les niveaux  Revue des rapports d’audit de la passante contracté vs
de service et les exigences de capacité des fournisseurs à bande passante réelle,…),
gestion sont identifiées et respecter l’accord de niveau de  Rapports d’audit de la
documentées, service, capacité des fournisseurs
 Si l’audité s’assure que les  Interview des administrateurs à respecter l’accord de
fournisseurs de services de réseau et des responsables métier. niveau de service.
réseau mettent ces mesures en
œuvre.
A.13.1.3 Cloisonnement des Les groupes de services  Si le réseau est divisé en  Revue du schéma synoptique de  Schéma synoptique de
réseaux d’information, domaines séparés en faisant l’architecture du réseau, l’architecture du réseau,
d’utilisateurs et de recours à des réseaux physiques  Revue du diagramme des flux  Diagramme des flux
systèmes d’information différents ou des réseaux réseau, réseau,
doivent être cloisonnés sur logiques différents (VLANs),  Revue de l’inventaire des  Inventaire des
les réseaux.  Si le périmètre de chaque équipements réseau et de sécurité, équipements réseau et
domaine est bien défini  Interview des administrateurs de sécurité,
documenté et tenu à jour, réseau,  Rapport d’audit de
 Si l’accès entre les différents  Audit des configurations et des ACLs configuration et ACLs des
domaines du réseau est contrôlé des équipements réseau et de équipements réseau et
au niveau du périmètre en sécurité. de sécurité.
utilisant une passerelle (exemple:
pare-feu, routeur-filtre),
 Si les critères de cloisonnement
des réseaux en domaines et
l’accès autorisé au-delà des
passerelles sont déterminés en
A (ISO trôle
27001)
s’appuyant sur une appréciation
des exigences de sécurité
propres à chaque domaine,
 Si cette appréciation est en
conformité avec la politique du
contrôle d’accès, la valeur et la
classification de l’information
traitée.
A.13.2 Transfert de Maintenir la sécurité de l’information transférée au sein de l’organisme et vers une entité extérieure.
l’information
A.13.2.1 Politiques et Des politiques, des  Si une politique décrivant  Revue de la politique de l’utilisation  Politique de l’utilisation
procédures procédures et des mesures succinctement l’utilisation acceptable des équipements de acceptable des
de transfert de de transfert formelles acceptable des équipements de communication, équipements de
l’information doivent être mises en place communication est élaborée et  Revue de la procédure de protection communication,
pour protéger les transferts mise en œuvre, de l’information transférée,  Procédure de protection
d’information transitant  Si une procédure de protection  Revue de la procédure de détection de l’information
par tous types de l’information transférée et de protection contre les logiciels transférée,
d’équipements de contre l’interception, la malveillants,  Procédure de détection
communication. reproduction, la modification, les  Revue des programmes de sessions et de protection contre
erreurs d’acheminement et la de sensibilisation réalisées et les logiciels malveillants,
destruction est élaborée et mise bénéficiaires,  Programmes de sessions
en œuvre,  Interview du DSI et des de sensibilisation
 Si une procédure de détection et responsables métier, réalisées et bénéficiaires,
de protection contre les logiciels  Interview d’un échantillon  Existence des outils de
malveillants qui peuvent être d’utilisateurs, détection et de
transmis via l’utilisation des  Vérification sur les serveurs et sur protection contre les
communications électroniques un échantillon de poste de travail de logiciels malveillants,
est élaborée et mise en œuvre, l’existence d’outils de détection et  Utilisation des
 Si des mesures et des de protection contre les logiciels techniques de
restrictions, liées à l’utilisation malveillants. cryptographie.
des équipements de
communication, comme le renvoi
A (ISO trôle
27001)
automatique de courriers
électroniques vers des adresses
électroniques extérieures, sont
mises en place,
 Si des techniques de
cryptographie, par exemple pour
protéger la confidentialité,
l’intégrité et l’authenticité de
l’information, sont utilisées,
 Si le personnel est sensibilisé de
ne pas tenir de conversation
confidentielle dans des lieux
publics, sur des réseaux de
communication non sécurisés,
dans des bureaux ouverts ou des
lieux de réunion.
A.13.2.2 Accords en matière de Des accords doivent traiter  Si des accords traitant du  Revue des accords traitant du  Accords traitant du
transfert d’information du transfert sécurisé de transfert sécurisé de transfert sécurisé de l’information transfert sécurisé de
l’information liée à l’information liée à l’activité sont liée à l’activité, l’information liée à
l’activité entre l’organisme signé entre l’audité et les tiers,  Revue du document d’identification l’activité,
et les tiers.  Si les responsabilités de gestion, des responsabilités de gestion, de la  Document
pour contrôler et informer de la répartition et de la réception de d’identification des
transmission, de la répartition et l’information, responsabilités de
de la réception de l’information,  Revue de la procédure de gestion de gestion, de la répartition
sont identifiées et documentées, la traçabilité et la non-répudiation, et de la réception de
 Si une procédure de gestion la  Revue du document d’identification l’information,
traçabilité et la non-répudiation des obligations et des  Procédure de gestion de
est élaborée et mise en œuvre, responsabilités des uns et des la traçabilité et la non-
 Si les obligations et les autres en cas d’incident lié à la répudiation,
responsabilités, en cas d’incident sécurité de l’information,  Document
lié à la sécurité de l’information,  Revue des rapports de traitement d’identification des
comme la perte de données, sont obligations et des
A (ISO trôle
27001)
identifiées et documentées, des incidents liés à la sécurité de responsabilités des uns
 Si des mesures particulières, l’information, et des autres en cas
pouvant s’avérer nécessaires  Interview du DSI et des d’incident lié à la sécurité
pour la protection des pièces responsables métier, de l’information,
sensibles, comme l’utilisation de  Vérification sur un échantillon de  Rapports de traitement
la cryptographie, sont mises en courrier électronique de l’utilisation des incidents liés à la
place. du cryptage des pièces jointes sécurité de l’information,
contenant de l’information sensible.  Echantillon de courriers
électroniques transférant
des pièces jointes.
A.13.2.3 Messagerie L’information transitant  Si une politique de sécurité  Revue de la politique de sécurité  Politique de sécurité
électronique par la messagerie propre à la messagerie propre à la messagerie électronique propre à la messagerie
électronique doit être électronique définissant les définissant les précautions d'emploi électronique,
protégée de manière précautions d'emploi et les et les mesures de sécurité à mettre  ACLs des équipements
appropriée. mesures de sécurité à mettre en en œuvre, réseau et de sécurité,
œuvre est élaborée et mise en  Interview du DSI et des  Captures d’écran.
œuvre, administrateurs réseau,
 Si les messages sont protégés  Vérification des mesures de sécurité
contre tout accès non autorisé, mises en place pour la protection
toute modification ou déni de des messages,
service en corrélation avec le  Vérification des ACLs sur les
système de classification adopté équipements réseau et de sécurité
par l’audité, (utilisation des services de la
 Si la disponibilité et la fiabilité du messagerie,
service sont prises en compte,  Vérification des mesures de sécurité
 Si les questions juridiques, sur un échantillon de postes de
comme les exigences en matière travail (connexion à la messagerie
de signatures numériques sont par mot de passe non enregistré, …).
prises en compte,
 S’il est exigé d’obtenir une
autorisation avant d’utiliser des
A (ISO trôle
27001)
services externes publics comme
une messagerie instantanée, un
réseau social ou le partage de
fichiers,
 Si des niveaux plus élevés
d’authentification permettant de
contrôler l’accès depuis les
réseaux accessibles au public
sont mis en place.
A.13.2.4 Engagements de Les exigences en matière  Si les salariés et les sous-traitants  Revue d’un échantillon  Echantillon
confidentialité ou de d’engagements de signent des engagements de d’engagements de confidentialité ou d’engagements de
non-divulgation confidentialité ou de non- confidentialité ou de non- de non-divulgation, confidentialité ou de
divulgation, doivent être divulgation,  Interview du DAF, du DRH et du non-divulgation,
identifiées, vérifiées  Si les modalités de ces responsable juridique,  Historique des mises à
régulièrement et engagements spécifient des jour de ces engagements.
documentées exigences de protection de
conformément aux besoins l’information confidentielle en
de l’organisme. des termes juridiquement
exécutoires,
 S’il est tenu compte des
éléments suivants pour identifier
les exigences en matière de
confidentialité et de non-
divulgation :
- une définition de l’information
à protéger (par exemple
information confidentielle),
- la durée prévue de
l’engagement, y compris les cas
où il peut s’avérer nécessaire
de poursuivre cette durée
indéfiniment,
A (ISO trôle
27001)
- les actions à entreprendre
lorsqu’un engagement arrive à
expiration,
- les responsabilités et les tâches
des signataires visant à éviter
une divulgation non autorisée
de l’information,
- la propriété de l’information,
des secrets de fabrication et la
propriété intellectuelle, ainsi
que leurs liens avec la
protection de l’information
confidentielle,
- l’utilisation autorisée de
l’information confidentielle et
les droits du signataire relatifs à
l’utilisation de cette
information,
- le droit d’auditer et de
contrôler des activités
impliquant l’utilisation de
l’information confidentielle,
- le processus de notification et
de signalement d’une
divulgation non autorisée ou
d’une fuite de l’information
confidentielle,
- les modalités de retour ou de
destruction de l’information à
l’expiration de l’engagement,
- les actions à entreprendre en
cas de violation de
A (ISO trôle
27001)
l’engagement.
 Si les engagements de
confidentialité et de non-
divulgation sont revus à
intervalles réguliers et en cas de
changements ayant une
incidence sur ces exigences.
A.14 Acquisition, développement et maintenance des systèmes d’information
A.14.1 Exigences de sécurité Veiller à ce que la sécurité de l’information fasse partie intégrante des systèmes d’information tout au long de leur cycle de vie. Cela
applicables aux inclut également des exigences pour les systèmes d’information fournissant des services sur les réseaux publics.
systèmes d’information
A.14.1.1 Analyse et spécification Les exigences liées à la  Si une analyse des risques de  Revu du document d’analyse des  Document d’analyse des
des exigences de sécurité de l’information sécurité de l’information est risques, risques,
sécurité de doivent être intégrées aux réalisée dès la phase de  Revue des documents de projets de  Documents de projets de
l’information exigences des nouveaux conception des nouveaux développement de nouveaux développement de
systèmes d’information ou systèmes d’information ou leur systèmes, nouveaux systèmes,
des améliorations de amélioration,  Revue des cahiers des charges pour  Cahiers des charges pour
systèmes d’information  Si le niveau de confiance requis l’acquisition de nouveaux systèmes, l’acquisition de nouveaux
existants. en ce qui concerne l’identité  Revue des contrats avec les systèmes,
déclarée des utilisateurs est pris fournisseurs,  Contrats avec les
en compte afin d’en déduire les  Revue des critères d’acceptation des fournisseurs,
exigences d’authentification produits,  Critères d’acceptation
utilisateur,  Revue des rapports d’évaluation des des produits,
 Si la gestion des accès et des produits avant l’achat,  Rapports d’évaluation
processus d’autorisation, pour  Interview du DSI, RSI des produits avant
les utilisateurs de l’organisme éventuellement l’achat.
ainsi que pour les utilisateurs
techniques ou dotés de
privilèges, est maîtrisée,
 Si les utilisateurs et les
opérateurs sont informés sur les
devoirs et les responsabilités qui
A (ISO trôle
27001)
leur incombent,
 Si les exigences de protection
que requièrent les actifs
impliqués, notamment en ce qui
concerne la disponibilité, la
confidentialité, l’intégrité sont
identifiées et documentées,
 Si les exigences découlant des
processus de l’organisme, tels
que la journalisation et la
surveillance des transactions, les
exigences de non-répudiation
sont identifiées et documentées,
 Si les exigences spécifiées par les
autres mesures de sécurité, telles
que les interfaces pour la
journalisation et la surveillance
ou les systèmes de détection de
fuite de données sont identifiées
et documentées,
 Si les exigences de sécurité
identifiées sont traitées dans les
contrats conclus avec le
fournisseur,
 Si les critères d’acceptation des
produits (par exemple en termes
de fonctionnalité, qui
garantissent que les exigences de
sécurité identifiées sont
respectées) sont définis,
 Si les produits sont évalués au
regard de ces critères avant de
A (ISO trôle
27001)
procéder à l’achat,
 Si toute nouvelle fonctionnalité
est revue pour s’assurer qu’elle
n’entraîne pas de risques
supplémentaires inacceptables.
A.14.1.2 Sécurisation des Les informations liées aux  Si l’identité déclarée des parties  Revue du processus d’autorisation  processus d’autorisation
services services d’application qui échangent l’information sur des personnes pouvant traiter des des personnes pouvant
d’application sur transmises sur les réseaux les réseaux publics est vérifiée documents transactionnels, traiter des documents
les réseaux publics publics doivent être (en utilisant l’authentification par  Interview des responsables métier transactionnels,
protégées contre les exemple), et du RSI,  rapport d’audit des
activités frauduleuses, les  Si les processus d’autorisation  Audit des mécanismes mécanismes
différents liés aux personnes qui peuvent d’authentification lors de d’authentification,
contractuels, ainsi que la approuver le contenu, émettre l’utilisation des applications sur les  Logs des serveurs
divulgation et la ou signer des documents réseaux publics, hébergeant des
modification non transactionnels clés sont définis  Vérification sur les logs des applications utilisées sur
autorisées. et documentés, serveurs. les réseaux publics.
 Si la protection et la vérification
des transactions sont gérées de
façon appropriée (Incluant les
informations de paiement
fournies par le client, l'intégrité,
la confidentialité, la protection
contre la reproduction, accusé de
réception, non-répudiation, etc.
pour se prémunir contre la
fraude).
A.14.1.3 Protection des Les informations  Si la signature électronique est  Interview des responsables métier  Moyens de stockage des
transactions impliquées dans les utilisée par chacune des parties et du RSI, détails des transactions,
liées aux services transactions liées aux impliquées dans la transaction,  Vérification de l’utilisation de  Document du processus
d’application services  Si le canal de communication protocoles sécurisés sur les serveurs de gestion du cycle de vie
d’application doivent être entre toutes les parties (ex : certificats SSL), des certificats
protégées pour empêcher impliquées est chiffré,  Vérification des moyens de stockage électroniques.
A (ISO trôle
27001)
une transmission  Si les protocoles utilisés, pour la des détails des transactions,
incomplète, des erreurs communication entre les parties,  Vérification du processus de gestion
d’acheminement, la sont sécurisés, du cycle de vie des certificats
modification non autorisée,  Si le stockage des détails de la électroniques.
la divulgation non transaction est situé hors de tout
autorisée, la duplication environnement accessible au
non autorisée du message public, à l’instar d’une
ou sa réémission. plateforme de stockage en place
sur l’intranet de l’organisme, et
s’il n’est pas conservé ou exposé
sur un support de stockage
directement accessible depuis
Internet,
 Si, lorsqu’une autorité de
confiance est utilisée (par
exemple dans le but d’émettre et
de tenir à jour des signatures ou
des certificats électroniques), la
sécurité est intégrée et
imbriquée tout au long du
processus de gestion de bout en
bout des certificats ou des
signatures.
A.14.2 Sécurité des processus S’assurer que les questions de sécurité de l’information sont étudiées et mises en œuvre dans le cadre
de développement et du cycle de développement des systèmes d’information.
d’assistance technique
A.14.2.1 Politique de Des règles de  Si une politique de  Revue de la politique de  Politique de
développement développement des développement sécurisé est développement sécurisé, développement sécurisé,
sécurisé logiciels et des systèmes élaborée et mise en œuvre,  Revue de la procédure de  Procédure de
doivent être  Si une procédure de développement, développement,
établies et appliquées aux développement est élaborée et  Revue du document d’identification  Document
développements de mise en œuvre, des exigences de sécurité des d’identification des
A (ISO trôle
27001)
l’organisme.  Si les exigences de sécurité parties prenantes, exigences de sécurité des
auprès de toutes les parties  Revue du document d’analyse de la parties prenantes,
prenantes dès le début de la confidentialité des applications  Document d’analyse de
conception sont identifiées (en développées pour la classification la confidentialité des
considérant les conséquences des objets mis en œuvre au cours applications développées
des menaces, des vulnérabilités des développements, pour la classification des
et de la non-conformité aux lois  Revue des rapports d’audit de la objets mis en œuvre au
et règlements tant sur le métier capacité des équipes de cours des
et l'image de l’audité que sur les développement lors des points de développements,
parties prenantes externes), contrôle établis au long des travaux  Rapports d’audit de la
 Si une analyse de la de développement, capacité des équipes de
confidentialité des applications  Revue des contrats avec les sous- développement lors des
développées, permettant traitants dans le cas de points de contrôle établis
d'obtenir une classification des l’externalisation du développement, au long des travaux de
objets mis en œuvre au cours des  Interview du DSI, du RSSI, des développement,
développements développeurs et d’un échantillon  Contrats avec les sous-
(documentation, code source, d’utilisateurs. traitants dans le cas de
code objet, notes d'étude, etc.), l’externalisation du
est réalisée, développement.
 Si la capacité des équipes de
développement à respecter les
exigences de sécurité suivantes
est vérifiée lors de points de
contrôle établis tout au long des
travaux :
- une personne ne doit jamais
être seule responsable d'une
tâche, pour les fonctions
sensibles,
- une vérification du code doit
être réalisée par une équipe
indépendante,
A (ISO trôle
27001)
- une validation de la couverture
des tests fonctionnels formelle
doit être réalisée par les
utilisateurs,
- une validation formelle, de la
couverture des tests relatifs aux
fonctions ou dispositifs de
sécurité, doit être réalisée par
la fonction sécurité,
 Si, en cas de développements
confiés à des sociétés de services
informatiques ou de progiciels,
les conditions ci-dessus sont
imposées contractuellement à
l'éditeur, au partenaire ou au
sous-traitant.
A.14.2.2 Procédures de contrôle Les changements des  Si une procédure formelle de  Revue de la procédure de contrôle  Procédure de contrôle
des changements de systèmes dans le cadre du contrôle des changements est des changements, des changements,
système cycle de développement élaborée et mise en œuvre,  Revue du registre des niveaux  Registre des niveaux
doivent être contrôlés par  Si un enregistrement des niveaux d’autorisation accordés, d’autorisation accordés,
le biais de procédures d’autorisation accordés est tenu  Revue de la liste des logiciels,  Liste des logiciels,
formelles. à jour, informations, éléments de BD et informations, éléments
 Si les propositions de matériel nécessitant un de BD et matériel
changements émanent changement, nécessitant un
d’utilisateurs autorisés,  Revue des accords pour les changement,
 Si les commandes et les propositions détaillées,  Accords pour les
procédures d’intégrité sont  Revue des demandes de propositions détaillées,
revues afin de s’assurer qu’elles changements,  Liste des demandes de
ne seront pas compromises par  Revue des rapports des changements,
les changements, changements effectués,  Rapports des
 Si tout logiciel, information,  Revue de la documentation changements effectués,
élément de base de données et systèmes,  Documentation
A (ISO trôle
27001)
matériel nécessitant un  Interview des responsables métiers systèmes.
changement sont identifiés, et d’un échantillon d’utilisateurs,
 Si un accord formel pour les  Vérification du système de contrôle
propositions détaillées est des versions des logiciels,
obtenu avant le lancement des  Vérification des mises à jour des
travaux, systèmes critiques.
 Si les utilisateurs autorisés
acceptent les changements avant
leur mise en œuvre,
 Si la documentation système est
mise à jour après chaque
changement et si l’ancienne
documentation est archivée ou
mise au rebut,
 Si un contrôle de version est tenu
à jour pour toutes les mises à
jour logicielles,
 Si un système de traçabilité de
toutes les demandes de
changement est tenu à jour,
 Si la documentation du système
d’exploitation et les procédures
utilisateurs sont adaptées en
fonction des changements,
 Si la mise en œuvre des
changements est programmée
en temps voulu, de manière à ne
pas perturber les activités de
l’organisme,
 Si les mises à jour automatiques
des systèmes critiques sont
rendues impossibles.
A (ISO trôle
27001)
A.14.2.3 Revue technique des Lorsque des changements  Si les changements apportés à la  Revue des études d’impacts des  Etudes d’impacts des
applications après sont apportés aux plateforme d’exploitation changements apportés à la changements apportés à
changement apporté à plateformes d’exploitation, (systèmes d’exploitation, BD, …) plateforme sur les applications la plateforme sur les
la plateforme les applications critiques sont notifiés en temps opportun, critiques, applications critiques,
d’exploitation métier doivent être afin que les tests et revues  Test d’impacts des changements  Rapports de tests
vérifiées et testées afin de appropriés soient réalisés avant apportés à la plateforme sur les d’impacts des
vérifier leur mise en œuvre, applications critiques, changements apportés à
l’absence de tout effet  Si une revue et des tests de  Revue des plans de continuité de la plateforme sur les
indésirable sur l’activité ou l'impact des modifications l’activité, applications critiques,
sur la sécurité. apportées à la plateforme  Interview des responsables métiers  Plans de continuité de
d’exploitation sur les applications et de développement. l’activité.
critiques sont réalisés,
 Si les plans de continuité de
l’activité sont modifiés en
conséquence.
A.14.2.4 Restrictions relatives Les modifications des  Lorsqu’une modification du  Revue du rapport d’analyse des  Rapport d’analyse des
aux changements progiciels ne doivent pas progiciel est nécessaire (dans la risques des changements apportés risques des changements
apportés aux progiciels être encouragées, être mesure du possible, il est aux progiciels, apportés aux progiciels,
limitées aux changements recommandé de ne pas apporter  Revue des licences des progiciels.  Licences des progiciels.
nécessaires et tout de changements aux progiciels  Interview du DSI.
changement doit être fournis par l’éditeur) :
strictement contrôlé. - S’il n y a pas de risque de
compromettre les commandes
intégrées et le processus de
vérification de l’intégrité,
- S’il est nécessaire ou non
d’obtenir le consentement de
l’éditeur,
- S’il est possible d’obtenir les
changements souhaités auprès
de l’éditeur, sous la forme de
mises à jour de programme
A (ISO trôle
27001)
classiques,
- Si l’organisme est tenue
responsable de la maintenance
du logiciel suite à des
changements,
- Si la compatibilité avec les
autres logiciels en service est
prise en compte.
A.14.2.5 Principes d’ingénierie Des principes d’ingénierie  Si des procédures d’ingénierie de  Revue des procédures d’ingénierie  Procédures d’ingénierie
de la sécurité des de la sécurité des systèmes la sécurité des systèmes de la sécurité des systèmes, de la sécurité des
systèmes doivent être établis, d’information, reposant sur les  Revue du rapport de conception de systèmes,
documentés, tenus à jour principes d’ingénierie de la la sécurité,  Rapport de conception
et appliqués à tous les sécurité, sont élaborées et  Revue du rapport d’analyse des de la sécurité,
travaux de mise en œuvre appliquées aux activités internes nouvelles technologies au regard  Rapport d’analyse des
des systèmes d’ingénierie des systèmes des risques de sécurité, nouvelles technologies
d’information. d’information,  Revue des contrats et accords au regard des risques de
 Si cette sécurité est conçue à exécutoires passés entre l’audité et sécurité,
tous les niveaux de l’architecture le prestataire,  Contrats et accords
(activité, données, applications  Interview du DSI et du RSI. exécutoires passés entre
et technologie), l’audité et le prestataire.
 Si les nouvelles technologies
sont analysées au regard des
risques de sécurité et si la
conception est revue par rapport
aux modèles d’attaques connus,
 Si ces principes d’ingénierie de la
sécurité sont appliqués aux
systèmes d’information
externalisés par le biais de
contrats et autres accords
exécutoires passés entre l’audité
et le prestataire auprès duquel
A (ISO trôle
27001)
ces systèmes sont externalisés.
A.14.2.6 Environnement de Les organismes doivent  Si des procédures de  Revue des procédures de  Procédures de
développement établir des environnements développement sont élaborées développement, développement,
sécurisé de développement et mises en œuvre,  Revue des fiches de postes,  Fiches de postes,
sécurisés pour les tâches  Si une séparation stricte des  Revue du schéma de l’architecture  Schéma de l’architecture
de développement et tâches entre spécification réseau, réseau,
d’intégration du système, détaillée, conception, test  Interview du DSI,  Rapport d’audit des
qui englobe l’intégralité du unitaire et intégration, est  Audit des comptes d’accès aux comptes d’accès aux
cycle de vie du réalisée, environnements de développement. environnements de
développement du  Si un cloisonnement entre  développement.
système, et en assurer la différents environnements de
protection de manière développement est opéré,
appropriée.  Si l’accès à l’environnement de
développement est contrôlé.
A.14.2.7 Développement L’organisme doit superviser  Si les questions d'accord de  Revue des licences des systèmes  Licences des systèmes
externalisé et contrôler l’activité de licence et de propriété développés par les sous-traitants, développés par les sous-
développement du intellectuelle du code développé  Revue des contrats de traitants,
système externalisée. sont réglées, développement des systèmes,  Contrats de
 Si les exigences contractuelles  Revue des rapports des tests développement des
relatives à la sécurité du code communiqués par les sous-traitants, systèmes,
sont formalisées,  Revue des accords de séquestre des  Rapports des tests
 Si un droit d'accès permettant de codes source conclus le cas communiqués par les
vérifier la qualité des travaux échéant, sous-traitants,
réalisés en sous-traitance est  Interview du DSI.  Accords de séquestre des
prévu, codes source conclus.
 Si des preuves montrant qu’il a
été procédé à suffisamment de
tests pour garantir l’absence de
vulnérabilités connues sont
communiquées,
 Si des accords de séquestre (par
exemple si le code source n’est
A (ISO trôle
27001)
plus disponible) sont conclus,
 Si le contrat avec le sous-traitant
prévoit le droit de l’audité de
procéder à un audit des
processus et des contrôles de
développement.
A.14.2.8 Test de la sécurité du Les tests de fonctionnalité  Si un programme des tests  Revue du programme des tests,  Programme des tests,
système de la sécurité doivent être détaillé comprenant des tâches  Revue des rapports des tests,  Rapports des tests.
réalisés pendant le et des données de test d’entrée,  Interview des responsables de test.
développement. avec les résultats attendus en
sortie sous un certain nombre de
conditions est élaboré et mise en
œuvre,
 Si ces tests sont réalisés dès le
début par l’équipe de
développement.
A.14.2.9 Test de conformité du Des programmes de test de  Si les paramétrages de sécurité  Revue de la liste des paramètres de  Liste des paramètres de
système conformité et des critères et règles de configuration sécurité et règles de configuration, sécurité et règles de
associés doivent être (suppression de tout compte  Audit de ces paramètres et règles de configuration,
déterminés pour les générique, changement de tout configuration,  Rapport d’audit de ces
nouveaux systèmes mot de passe générique,  Revue des rapports des outils paramètres et règles de
d’information, les mises à fermeture de tout port non d’analyse de code et des scanners configuration,
jour et les nouvelles explicitement demandé et de vulnérabilité,  Rapports des outils
versions. autorisé, paramétrages du  Interview du DSI et du RSI. d’analyse de code et des
contrôle des droits et de scanners de vulnérabilité,
l'authentification, contrôles des
tables de routage, etc.) fonts
l'objet d'une liste précise tenue à
jour,
 Si ces paramétrages de sécurité
et règles de configuration sont
contrôlés avant toute mise en
A (ISO trôle
27001)
exploitation d'une nouvelle
version,
 Si des outils automatiques, tels
que des outils d’analyse de code
ou des scanneurs de
vulnérabilités sont utilisés.
A.14.3 Données de test Garantir la protection des données utilisées pour les tests.
A.14.3.1 Protection des données Les données de test  Si, dans le cadre d'essais,  Revue de la procédure de contrôle  Procédure de contrôle
de test doivent être sélectionnées l’utilisation des bases de données d’accès, d’accès,
avec soin, protégées et de production contenant des  Revue des autorisations de copie  Liste des autorisations de
Contrôlées. informations personnelles ou des informations d’exploitation sur copie des informations
toute autre information sensible un environnement de test, d’exploitation sur un
est évitée,  Interview du DSI, des responsables environnement de test,
 Si, lorsque des données de développement et de test,  Logs des accès sur les
personnelles ou sensibles  Revue des données de test pour systèmes de test,
doivent malgré tout être l’identification des informations  Registres de
utilisées, on prend le soin de d’exploitation. reproduction et
supprimer les détails et contenus d’utilisation de
sensibles avant de les utiliser (ou l’information
de les modifier afin de les rendre d’exploitation,
anonymes),  Echantillon des
 Si la procédure de contrôle informations
d’accès, qui s’applique aux d’exploitation trouvées
systèmes d’applications en dans les données de test.
exploitation, s’applique
également aux systèmes
d’applications de test,
 Si une nouvelle autorisation est
obtenue chaque fois qu’une
information d’exploitation est
copiée dans un environnement
de test,
A (ISO trôle
27001)
 Si les informations d’exploitation
sont effacées immédiatement
d’un environnement de test
après la fin des tests,
 Si toute reproduction et
utilisation de l’information
d’exploitation est journalisée,
afin de créer un système de
traçabilité.
A.15 Relations avec les fournisseurs
A.15.1 Sécurité dans les Garantir la protection des actifs de l’organisme accessible aux fournisseurs.
relations avec les
fournisseurs
A.15.1.1 Politique de sécurité Des exigences de sécurité  Si une politique identifiant et  Revue de la politique identifiant et  Politique identifiant et
de l’information dans de l’information pour imposant des mesures de imposant des mesures de sécurité imposant des mesures de
les relations avec les limiter les risques résultant sécurité spécifiques aux accès spécifiques aux accès des sécurité spécifiques aux
fournisseurs de l’accès des fournisseurs des fournisseurs aux actifs de fournisseurs aux actifs de l’audité, accès des fournisseurs
aux actifs de l’organisme l’audité est élaborée et mise en  Revue de la liste des types de aux actifs de l’audité,
doivent être acceptées par œuvre, fournisseurs,(par exemple services  Liste des types de
le fournisseur et  Si les types de fournisseurs, (par informatiques, services logistiques, fournisseurs,(par
documentées. exemple services informatiques, services financiers, composants de exemple services
services logistiques, services l’infrastructure informatique), informatiques, services
financiers, composants de  Revue des engagements personnels logistiques, services
l’infrastructure informatique), de respect des clauses de sécurité financiers, composants
auxquels l’organisme accordera signés par les collaborateurs du de l’infrastructure
un accès à son information sont fournisseur, informatique),
identifiés et documentés,  Revue du rapport d’analyse des  Engagements personnels
 Si on impose contractuellement à risques liés aux accès du personnel de respect des clauses de
tout fournisseur pouvant avoir du fournisseur, sécurité signés par les
accès ou favoriser l'accès à des  Revue de la définition des types collaborateurs du
informations ou à des ressources d’accès à l’information accordés aux fournisseur,
sensibles, que ses collaborateurs différents types de fournisseurs,  Rapport d’analyse des
A (ISO trôle
27001)
signent un engagement  Revue du rapport de traitement des risques liés aux accès du
personnel de respect des clauses incidents et des impondérables personnel du fournisseur,
de sécurité spécifiées, associés aux accès fournisseurs  Liste des types d’accès à
 Si une analyse des risques liés l’information accordés
aux accès du personnel du aux différents types de
fournisseur au système fournisseurs,
d'information ou aux locaux  Rapport de traitement
contenant de l'information est des incidents et des
réalisée et si les mesures de impondérables associés
sécurité nécessaires sont définies aux accès fournisseurs.
en conséquence,
 Si les types d’accès à
l’information que les différents
types de fournisseurs se verront
accorder sont définis et si ces
accès sont surveillés et contrôlés,
 Si les incidents et les
impondérables associés aux
accès fournisseurs, incluant les
responsabilités de l’organisme et
celles des fournisseurs sont
identifiés et traités.
A.15.1.2 La sécurité dans les Les exigences applicables  Si l'ensemble des clauses de  Revue du document de définition de  Document de définition
accords conclus avec liées à la sécurité de sécurité que devrait comprendre l'ensemble des clauses de sécurité de l'ensemble des
les fournisseurs l’information doivent être tout accord signé avec un tiers que devrait comprendre tout accord clauses de sécurité que
établies et convenues avec impliquant un accès au système signé avec un tiers, devrait comprendre tout
chaque fournisseur d'information ou aux locaux  Revue d’un échantillon d’accords accord signé avec un
pouvant accéder, traiter, contenant de l'information est formels ou de contrats avec les tiers tiers,
stocker, communiquer ou défini et documenté, contenant ces clauses,  Echantillon d’accords
fournir des composants de  Si tout accès d'un tiers au  Interview du DAF, du responsable formels ou de contrats
l’infrastructure système d'information ou aux juridique et du RSI. avec les tiers contenant
informatique destinés à locaux contenant de ces clauses.
A (ISO trôle
27001)
l’information de l'information n'est autorisé
l’organisme. qu'après la signature d'un accord
formel reprenant ces clauses.
A.15.1.3 Chaîne Les accords conclus avec  Si une analyse des risques de la  Revue du rapport d’analyse des  Rapport d’analyse des
d’approvisionnement les fournisseurs doivent sécurité de l’information associés risques de la sécurité de risques de la sécurité de
des produits et inclure des exigences sur le à la chaine d’approvisionnement l’information associés à la chaine l’information associés à
des services traitement des risques liés est réalisée, d’approvisionnement, la chaine
informatiques à la sécurité de  Si les exigences sur le traitement  Revue d’un échantillon d’accords ou d’approvisionnement,
l’information associé à la de ces risques sont incluses dans de contrats avec les fournisseurs,  Echantillon d’accords ou
chaîne les accords ou contrats conclus  Revue d’un échantillon de rapports de contrats avec les
d’approvisionnement des avec les fournisseurs, d’incidents signalés par le fournisseurs,
produits et des services  Si l’audité s'assure que les fournisseur,  Echantillon de rapports
informatiques. fournisseurs signalent et  Interview du DAF et du RSI. d’incidents signalés par le
documentent tout incident de fournisseur.
sécurité touchant ces actifs.
A.15.2 Gestion de la Maintenir le niveau convenu de sécurité de l’information et de service conforme aux accords conclus
prestation du service avec les fournisseurs.
A.15.2.1 Surveillance et revue Les organismes doivent  Si les niveaux de performance  Revue du rapport de surveillance  Rapport de surveillance
des services des surveiller, vérifier et des services sont surveillés et si des niveaux de performance des des niveaux de
fournisseurs auditer à intervalles leur conformité avec les accords services des fournisseurs, performance des services
réguliers la prestation des est vérifiée,  Revue des PVs de réunion avec les des fournisseurs,
services assurés par les  Si les rapports de service fournisseurs,  PVs de réunion avec les
fournisseurs. produits par le fournisseur sont  Revue des aspects liés à la sécurité fournisseurs,
revus et si des réunions de l’information dans les relations
régulières sur l’avancement sont du fournisseur avec ses propres
organisées comme l’exigent les fournisseurs,
accords,  Interview du DSI et du RSI,
 Si les aspects liés à la sécurité de  Interview d’un échantillon de
l’information dans les relations fournisseurs.
du fournisseur avec ses propres
fournisseurs sont revus.
A.15.2.2 Gestion des Les changements effectués  Si les changements apportés aux  Revue du rapport des changements  Rapport des
A (ISO trôle
27001)
changements dans les prestations de accords passés avec les apportés aux accords passés avec changements apportés
apportés dans service des fournisseurs, fournisseurs sont gérés, les fournisseurs, aux accords passés avec
les services des comprenant le maintien et  Si les changements effectués par  Revue des rapports des les fournisseurs,
fournisseurs l’amélioration des l’audité pour mettre en œuvre: changements effectués par l’audité,  Rapports des
politiques, procédures et - des améliorations aux services  Revue des rapports des changements effectués
mesures existant en offerts, changements dans les services par l’audité,
matière de sécurité de - le développement assurés par les fournisseurs,  Rapports des
l’information, doivent être d’applications et de systèmes  Interview du DSI et du RSI. changements dans les
gérés en tenant compte du nouveaux, services assurés par les
caractère critique de - des changements ou des mises fournisseurs.
l’information, des systèmes à jour des politiques et des
et des processus concernés procédures de l’organisme
et de la réappréciation des sont gérés,
risques.  Si les changements dans les
services assurés par les
fournisseurs pour mettre en
œuvre :
- des changements et des
améliorations apportées aux
réseaux,
- l’utilisation de nouvelles
technologies,
- l’adoption de nouveaux
produits ou des versions/des
éditions plus récentes,
- des outils et des
environnements de
développement nouveaux,
- des changements apportés à
l’emplacement physique des
équipements de dépannage,
- des changements de
A (ISO trôle
27001)
fournisseurs,
- la sous-traitance à un autre
fournisseur
sont gérés.
A.16 Gestion des incidents liés à la sécurité de l’information
A.16.1 Gestion des incidents Garantir une méthode cohérente et efficace de gestion des incidents liés à la sécurité de l’information,
liés à la sécurité de incluant la communication des événements et des failles liés à la sécurité.
l’information et
améliorations
A.16.1.1 Responsabilités et Des responsabilités et des  Si des responsabilités pour  Revue du document de définition  Document de définition
procédures procédures permettant de garantir une gestion efficace des des responsabilités relatives à la des responsabilités
garantir une réponse incidents sont définies et gestion des incidents, relatives à la gestion des
rapide, efficace et documentées,  Revue des fiches de postes du incidents,
pertinente doivent être  Si les procédures suivantes sont personnel affecté à la gestion des  Fiches de postes du
établies en cas d’incident élaborées et mises en œuvre : incidents, personnel affecté à la
lié à la - procédure de surveillance, de  Revue des différentes procédures de gestion des incidents,
sécurité de l’information. détection, d’analyse et de gestion des incidents,  Procédures de gestion
signalement des événements et  Revue d’un échantillon de fiches des incidents,
des incidents liés à la sécurité d’incidents,  Echantillon de fiches
de l’information,  Interview du DSI et du RSI. d’incidents.
- procédure de journalisation des
activités de gestion des
incidents,
- procédure de traitement des
incidents,
- procédure de réponse, incluant
les procédures de remontée
d’information, de récupération
contrôlée de l’incident et de
communication aux organismes
ou aux personnes internes ou
extérieures à l’audité.
A (ISO trôle
27001)
A.16.1.2 Signalement des Les événements liés à la  Si tous les salariés et  Revue de la procédure signalement  Procédure signalement
événements sécurité de l’information contractants sont informés de des incidents, des incidents,
liés à la sécurité doivent être signalés dans leur obligation de signaler les  Revue d’un échantillon de fiches de  Echantillon de fiches de
de l’information les meilleurs délais par les événements liés à la sécurité de signalement des incidents, signalement des
voies hiérarchiques l’information dans les meilleurs  Interview du DSI, du RSI et d’un incidents.
appropriées. délais, échantillon d’utilisateurs.
 S’ils sont informés de l’existence
d’une procédure de signalement
des événements liés à la sécurité
de l’information et d’un
responsable servant de point de
contact auprès duquel effectuer
le signalement,
 Si le système de déclaration et
de gestion des incidents inclut-il
tous les incidents (exploitation,
développement, maintenance,
utilisation du SI) physiques,
logiques ou organisationnels et
les tentatives d'actions
malveillantes ou non autorisées
n'ayant pas abouti,
 Si le système de déclaration et de
gestion des incidents s'applique à
l'ensemble des structures et des
personnels de l'organisme (y
compris les filiales).
A.16.1.3 Signalement des failles Les salariés et les sous-  Si les salariés et les contractants  Revue d’un échantillon de  Echantillon de
liées à la sécurité de traitants utilisant les utilisant les systèmes et services signalement des failles de sécurité, signalement des failles de
l’information systèmes et services d’information de l’audité notent  Revue du programme de sécurité,
d’information de et signalent toute faille de sensibilisation réalisé et liste des  Programme de
l’organisme doivent noter sécurité observée ou bénéficiaires, sensibilisation réalisé et
A (ISO trôle
27001)
et signaler toute faille de soupçonnée dans les systèmes  Interview du RSI et d’un échantillon liste des bénéficiaires.
sécurité observée ou ou services, d’utilisateurs.
soupçonnée dans les  S’il est recommandé aux salariés
systèmes ou services. et contractants de ne pas tenter
de démontrer l’existence des
failles de sécurité soupçonnées.
A.16.1.4 Appréciation des Les événements liés à la  Si les événements ou successions  Revue du rapport d’analyse des  Rapport d’analyse des
événements sécurité de l’information d'événements pouvant être événements liés à la sécurité de événements liés à la
liés à la sécurité doivent être appréciés et révélateurs de comportements l’information, sécurité de l’information,
de l’information et il doit être décidé s’il faut anormaux ou d'actions illicites  Revue de l’archive de tous les  Archive de tous les
prise de décision les classer comme sont analysés, éléments de diagnostic, éléments de diagnostic,
incidents liés à la sécurité  Si les applications et les systèmes  Revue des enregistrements de  Enregistrements de
de l’information. sensibles disposent d'une l’analyse des événements et des l’analyse des événements
fonction automatique de conclusions prises, et des conclusions prises,
surveillance en temps réel en cas  Interview du DSI et du RSI,  Rapport d’audit de la
d'accumulation d'événements  Audit de la configuration des configuration des
anormaux (par exemple serveurs, des BD et des serveurs, des BD et des
tentatives infructueuses de équipements réseau et de sécurité, équipements réseau et
connexion sur des stations  Audit de la configuration du système de sécurité,
voisines ou tentatives de détection d’intrusion,  Fichier de configuration
infructueuses de transactions  Revue des logs des accès sur les du système de détection
sensibles, tentatives serveurs, les BD et les équipements d’intrusion,
infructueuses de connexion sur réseau et de sécurité,  logs des accès sur les
des ports non ouverts, etc…),  Revue des registres des résultats de serveurs, les BD et les
 Si un système de détection traitement des événements liés à la équipements réseau et
d'intrusion et d'anomalies est sécurité. de sécurité,
utilisé,  registres des résultats de
 Si tous ces éléments de traitement des
diagnostic sont archivés, événements liés à la
 Si les conclusions de l’analyse des sécurité.
événements et les décisions
prises sont enregistrées de
A (ISO trôle
27001)
manière détaillée en vue de
contrôles ou de références
ultérieurs.
A.16.1.5 Réponse aux incidents Les incidents liés à la  Si une équipe de réponse aux  Revue de la note de constitution de  Note de constitution de
liés à la sécurité de sécurité de l’information incidents est mise en place, l’équipe de réponse aux incidents, l’équipe de réponse aux
l’information doivent être traités  Si cette équipe est accessible en  Revue du registre des incidents, incidents,
conformément aux permanence,  Revue du plan de traitement des  Registre des incidents,
procédures documentées.  Si un système supportant la incidents,  Plan de traitement des
gestion des incidents est mis en  Revue de la BD des incidents, incidents,
place,  Revue du tableau de bord des  BD des incidents,
 Si ce système centralise et prend incidents,  Tableau de bord des
en compte aussi bien les  Interview des membres de l’équipe incidents.
incidents détectés par de réponse aux incidents et du RSI.
l'exploitation que ceux signalés
par les utilisateurs,
 Si ce système permet un suivi et
une relance automatiques des
actions nécessaires,
 Si ce système incorpore une
typologie des incidents avec
élaboration de statistiques et de
tableau de bord des incidents à
destination du RSI,
 Si les preuves sont recueillies
aussitôt que possible après
l’incident,
 Si les failles constatées dans la
sécurité de l’information causant
ou contribuant à l’incident sont
traitées,
 Si, une fois que l’incident a été
résolu avec succès, il est clôturé
A (ISO trôle
27001)
formellement et enregistré.
A.16.1.6 Tirer des Les connaissances  Si les incidents sont revus  Revue des rapports de synthèse des  Rapports de synthèse des
enseignements recueillies suite à l’analyse régulièrement pour quantifier et incidents, incidents,
des incidents et la résolution d’incidents surveiller les différents types  Revue des leçons tirées de l’analyse  Document des leçons
liés à la sécurité de doivent être utilisées pour d'incidents liés à la sécurité de des incidents, tirées de l’analyse des
l’information réduire la probabilité ou l'information, leur volume, les  Revue de la liste des mesures incidents,
l’impact d’incidents coûts associés et leurs impacts, nécessaires pour limiter la  Liste des mesures.
ultérieurs.  Si les informations obtenues par fréquence des futurs incidents ainsi
l’analyse des incidents de que les dommages et les coûts
sécurité passés sont exploitées associés.
afin d'identifier les incidents
récurrents ou ayant un fort
impact avec les mesures
nécessaires pour limiter la
fréquence des futurs incidents
ainsi que les dommages et les
coûts associés.
A.16.1.7 Collecte de preuves L’organisme doit définir et  Si une procédure d’identification,  Revue de la procédure  Procédure
appliquer des procédures de collecte et de protection de d’identification, de collecte et de d’identification, de
d’identification, de l’information pouvant servir de protection de l’information pouvant collecte et de protection
collecte, d’acquisition et de preuve est élaborée et mise en servir de preuve, de l’information pouvant
protection de l’information œuvre,  Revue d’un échantillon de preuves, servir de preuve,
pouvant servir de preuve.  Si la collecte de preuves est  Interview du DSI, du RSI et du DRH.  Echantillon de preuves.
réalisée chaque fois qu'une
action juridique doit être
envisagée,
 Si lors d’incidents de sécurité
suivis d’action en justice contre
des personnes physiques ou
morales, les éléments de preuve
sont collectés, conservés, et
présentés conformément aux
A (ISO trôle
27001)
juridictions concernées,
 Si des procédures sont prévues
et suivies pour la collecte
d’éléments de preuve en cas
d’incidents de sécurité
impliquant des procédures
disciplinaires internes à
l’organisme.
A.17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité
A.17.1 Continuité de la La continuité de la sécurité de l’information doit faire partie intégrante de la gestion de la continuité
sécurité de de l’activité.
l’information
A.17.1.1 Organisation de la L’organisme doit  Si une analyse de l’impact sur  Revue du rapport d’analyse de  Rapport d’analyse de
continuité de la déterminer ses exigences l’activité des aspects liés à la l’impact sur l’activité des aspects liés l’impact sur l’activité des
sécurité de en matière de sécurité de sécurité de l’information est à la sécurité de l’information, aspects liés à la sécurité
l’information l’information et de réalisée,  Revue du document des exigences de l’information,
continuité de management  Si les exigences de sécurité de de sécurité de l’information  Document des exigences
de la sécurité de l’information applicables aux applicables aux situations de sécurité de
l’information dans des situations défavorables sont défavorables, l’information applicables
situations défavorables, déterminées, à la lumière des  Revue du processus de gestion de la aux situations
comme lors d’une crise ou résultats de l’analyse de l’impact, continuité de l’activité et de gestion défavorables,
d’un sinistre et documentées, de la récupération après sinistre,  Processus de gestion de
 Si les objectifs de continuité de la  Interview du DSI et du RSI. la continuité de l’activité
sécurité de l’information sont et de gestion de la
approuvés par la direction, récupération après
 si la continuité de la sécurité de sinistre.
l’information est intégrée au
processus de gestion de la
continuité de l’activité ou au
processus de gestion de la
récupération après sinistre,
 Si les exigences de continuité de
A (ISO trôle
27001)
la sécurité de l’information sont
formulées de manière explicite
dans les processus de gestion de
la continuité de l’activité et de
gestion de la récupération après
sinistre.
A.17.1.2 Mise en œuvre de la L’organisme doit établir,  S’il existe une structure de  Revue de la note de désignation de  Note de désignation de la
continuité de la documenter, mettre en gestion adéquate pour se la structure de gestion et structure de gestion et
sécurité œuvre et tenir à jour des préparer, atténuer et réagir à un nomination de ces membres, nomination de ces
de l’information processus, des procédures événement perturbant en  Revue des processus, des membres,
et des mesures permettant mobilisant du personnel procédures et des mesures  Processus, procédures et
de fournir le niveau requis possédant l’autorité, l’expérience permettant de fournir le niveau mesures permettant de
de continuité de sécurité et les compétences nécessaires, requis de continuité de la sécurité fournir le niveau requis
de l’information au cours  Si les membres du personnel de l’information au cours d’une de continuité de la
d’une situation chargés de la réponse à apporter crise, sécurité de l’information
défavorable. aux incidents, et qui possèdent  Revue des PCA, au cours d’une crise,
les responsabilités, l’autorité et  Revue des rapports de test des PCA,  PCAs et dates de leur
les compétences nécessaires  Revue du rapport d’analyse des MAJ,
pour gérer les incidents et résultats des tests des PCS,  Rapports de test des
maintenir la sécurité de  Interview du DSI et des membres de PCAs,
l’information, sont nommées, la structure de gestion,  Rapport d’analyse des
 Si des processus, des procédures  Interview d’un échantillon du résultats des tests des
et des mesures permettant de personnel. PCAs.
fournir le niveau requis de
continuité de la sécurité de
l’information au cours d’une crise
sont élaborés et mis en œuvre,
 Si des Plans de Continuité
d'Activité (PCA) pour chaque
activité critique sont élaborée,
 Si le personnel est formé à la
mise en œuvre de ces plans,
A (ISO trôle
27001)
 Si ces plans sont mis à jour
régulièrement,
 Si ces plans sont testés
régulièrement,
 Si les résultats des tests sont
analysés avec direction et les
parties prenantes concernées.
A.17.1.3 Vérifier, revoir et L’organisme doit vérifier les  Si les fonctionnalités des  Revue du rapport de test  Rapport de test
évaluer la continuité de mesures de continuité de la processus, des procédures et des fonctionnalités des processus, des fonctionnalités des
la sécurité de sécurité de l’information mesures de continuité de la procédures et des mesures de processus, des
l’information mises en œuvre à sécurité de l’information sont continuité de la sécurité de procédures et des
intervalles réguliers afin de testés à intervalles réguliers pour l’information, mesures de continuité de
s’assurer qu’elles sont s’assurer qu’elles sont  Revue du rapport d’audit de la la sécurité de
valables et efficaces dans cohérentes avec les objectifs de validité et l’efficacité des mesures l’information,
des situations continuité de la sécurité de de continuité de la sécurité de  Rapport d’audit de la
défavorables. l’information, l’information après changement validité et l’efficacité des
 Si la validité et l’efficacité des dans systèmes d’information, les mesures de continuité de
mesures de continuité de la processus, les procédures et les la sécurité de
sécurité de l’information sont mesures de sécurité de l’information après
revues à intervalle régulier l’information, changement dans
lorsque les systèmes  Interview du RSI. systèmes d’information,
d’information, les processus, les les processus, les
procédures et les mesures de procédures et les
sécurité de l’information ou les mesures de sécurité de
solutions et les processus de l’information.
gestion de la continuité de
l’activité/gestion de la
récupération après sinistre
connaissent des changements.
A.17.2 Redondances Garantir la disponibilité des moyens de traitement de l’information
A.17.2.1 Disponibilité des Des moyens de traitement  Si une solution de secours  Revue de l’inventaire du matériel,  Inventaire du matériel,
moyens de traitement de l’information doivent (systèmes redondants) est mise  Revue des rapports de tests de la  Rapports de tests de la
A (ISO trôle
27001)
de l’information être mis en œuvre avec en place pour pallier solution de secours, solution de secours.
suffisamment de l'indisponibilité de tout  Interview du DSI et du RSI.
redondances pour équipement ou de toute liaison
répondre aux exigences de critique,
disponibilité.  Si cette solution de secours est
parfaitement opérationnelle,
 Si la capacité de cette solution de
secours assure une charge
opérationnelle suffisante et est
approuvée par les utilisateurs,
 Si cette solution de secours est
testée à intervalles réguliers pour
s’assurer que le basculement
d’un composant à un autre
fonctionne comme prévu.
A.18 Conformité
A.18.1 Conformité aux Éviter toute violation des obligations légales, statutaires, réglementaires ou contractuelles relatives à la sécurité de l’information, éviter
obligations légales et toute violation des exigences de sécurité.
réglementaires
A.18.1.1 Identification de la Toutes les exigences  Si l'ensemble des exigences  Revue des documents relatifs aux  Documents relatifs aux
législation et des légales, statutaires, réglementaires, contractuelles, exigences réglementaires, exigences
exigences réglementaires et et légales applicable à l’audité contractuelles, et légales, réglementaires,
contractuelles contractuelles en vigueur, sont explicitement identifiées,  Revue du document des mesures contractuelles, et légales,
applicables ainsi que l’approche documentées et tenues à jour, spécifiques et des responsabilités  Historique des MAJ de
adoptée par l’organisme  Si les mesures spécifiques et les individuelles mises en place pour document,
pour satisfaire à ces responsabilités individuelles répondre à ces exigences,  Document des mesures
exigences, doivent être mises en place sont définies et  Interview du DSI, du RSI, du spécifiques et des
explicitement définies, documentées pour répondre à responsable juridique et du DRH. responsabilités
documentées et mises à ces exigences. individuelles mises en
jour pour chaque système place pour répondre à
d’information et pour ces exigences.
l’organisme elle-même.
A (ISO trôle
27001)
A.18.1.2 Droits de propriété Des procédures  Si une procédure est élaborée et  Revue de la procédure de  Procédure de vérification
intellectuelle appropriées doivent être mise en œuvre pour garantir la vérification de la conformité avec les de la conformité avec les
mises en œuvre pour conformité avec les exigences exigences légales, réglementaires et exigences légales,
garantir la conformité avec légales, réglementaires et contractuelles relatives à la réglementaires et
les exigences légales, contractuelles relatives à la propriété intellectuelle et à l’usage contractuelles relatives à
réglementaires et propriété intellectuelle et à des licences de logiciels la propriété intellectuelle
contractuelles relatives à la l’usage des licences de logiciels propriétaires, et à l’usage des licences
propriété intellectuelle et à propriétaires,  Revue de l’inventaire des logiciels de logiciels propriétaires,
l’usage des licences de  Si un inventaire des logiciels officiellement installés et déclarés  Inventaire des logiciels
logiciels propriétaires. officiellement installés et sur chaque équipement officiellement installés et
déclarés sur chaque équipement informatique (serveurs, postes de déclarés sur chaque
informatique (serveurs, postes travail, équipement réseau et de équipement
de travail, équipement réseau et sécurité, …), informatique (serveurs,
de sécurité, …) est tenu à jour en  Revue du rapport d’audit de la postes de travail,
permanence, conformité des logiciels installés aux équipement réseau et de
 S’il est procédé à des contrôles logiciels déclarés, sécurité, …),
fréquents visant à vérifier que les  Revue du programme de  Rapport d’audit de la
logiciels installés sont conformes sensibilisation réalisé et liste de conformité des logiciels
aux logiciels déclarés ou qu'ils bénéficiaires, installés aux logiciels
possèdent une licence en règle,  Interview du DSI et du RSI et d’un déclarés,
 Si une sensibilisation en matière échantillon d’utilisateurs,  Programme de
de protection des droits de  Vérification sur un échantillon de sensibilisation réalisé et
propriété intellectuelle est serveurs du nombre d’utilisateurs liste de bénéficiaires,
réalisée et si le personnel est réels et comparaison avec le  Echantillon de licences de
prévenu de l’intention de nombre d’utilisateurs autorisés par logiciels.
prendre des mesures la licence,
disciplinaires à l’encontre des  Vérification sur un échantillon
personnes enfreignant la d’équipements informatiques des
réglementation relative à la licences de logiciels installés.
propriété intellectuelle,
 Si les preuves tangibles de la
propriété des licences, des
A (ISO trôle
27001)
disques maîtres, des manuels,
etc. sont conservés,
 Si des contrôles, permettant de
s’assurer que le nombre maximal
d’utilisateurs autorisé par la
licence n’est pas dépassé, sont
mis en œuvre.
A.18.1.3 Protection des Les enregistrements  Si une procédure de stockage et  Revue de la procédure de stockage  procédure de stockage et
enregistrements doivent être protégés de la de manipulation des et de manipulation des de manipulation des
perte, de la destruction, de enregistrements est élaborée et enregistrements, enregistrements,
la falsification, des accès mise en œuvre,  Interview du DAF, DRH DSI et RSI,  rapport d’audit des droits
non autorisés et des  Si des mesures de protection des  Audit des droits d’accès aux d’accès aux
diffusions non autorisées, enregistrements sont mises en enregistrements au niveau des enregistrements.
conformément aux place conformément à leur bases de données.
exigences légales, classification telle que définie par
réglementaires, le plan de classification de
contractuelles et aux l’audité,
exigences métier.  Si le système de stockage et de
manipulation des
enregistrements garantit
l’identification des
enregistrements et de leur durée
de conservation telles que
définies par la législation
nationale ou par les
réglementations en vigueur.
A.18.1.4 Protection de la vie La protection de la vie  Si l'audité a procédé à octroyer  Revue de la politique de protection  Déclaration ou demande
privée et protection privée et la protection des les déclarations/autorisations de la vie privée et des données à d'autorisation de
des données à données à caractère nécessaires auprès de l'INPDP, caractère personnel, traitement des données à
caractère personnel personnel doivent être  Si une politique de protection de  Revue du recueil regroupant caractère personnel ou
garanties telles que la vie privée et des données à l'ensemble des dispositions légales déposée auprès de
l’exigent la législation ou caractère personnel est élaborée ou réglementaires, l'INPDP,
A (ISO trôle
27001)
les réglementations et mise en œuvre,  Revue du programme de  Politique de protection
applicables, et les clauses  Si cette politique est approuvée sensibilisation et de formation en de la vie privée et des
contractuelles le cas par la direction et communiquée matière de protection des données données à caractère
échéant. à toutes les personnes à caractère personnel et liste des personnel approuvée par
impliquées dans le traitement bénéficiaires, la DG,
des données à caractère  Interview du DSI, du RSI et d’un  Echantillon de décharges
personnel, échantillon des personnes (ou courriers
 Si un recueil regroupant impliquées dans le traitement des électroniques) attestant
l'ensemble des dispositions données à caractère personnel. que toutes les personnes
légales ou réglementaires impliquées dans le
relatives à la protection des traitement des données à
données à caractère personnel caractère personnel ont
est élaboré, reçu une copie de cette
 Si un programme de politique,
sensibilisation et de formation,  Recueil regroupant
en matière de protection des l'ensemble des
données à caractère personnel, dispositions légales ou
est élaboré et mis en œuvre. réglementaires,
 Programme de
sensibilisation et de
formation en matière de
protection des données à
caractère personnel et
liste des bénéficiaires,
A.18.1.5 Réglementation Des mesures  Si une politique d'utilisation de  Revue de la politique d'utilisation de  Politique d'utilisation de
relative aux mesures cryptographiques doivent moyens cryptographiques est moyens cryptographiques, moyens
cryptographiques être prises conformément élaborée et mise en œuvre,  Revue du recueil regroupant cryptographiques
aux accords, législation et  Si cette politique est approuvée l'ensemble des dispositions légales approuvée par la DG,
réglementations par la direction, ou réglementaires relatives à  Recueil regroupant
applicables.  Si un recueil regroupant l'utilisation de moyens l'ensemble des
l'ensemble des dispositions cryptologiques, dispositions légales ou
légales ou réglementaires  Revue du programme de réglementaires relatives
A (ISO trôle
27001)
relatives à l'utilisation de moyens sensibilisation et de formation en à l'utilisation de moyens
cryptologiques est élaboré, matière d'utilisation de moyens cryptographiques,
 Si un programme de cryptographiques et liste des  Programme de
sensibilisation et de formation en bénéficiaires, sensibilisation et de
matière d'utilisation de moyens  Revue de la liste des sanctions en formation en matière
cryptographiques est élaboré et cas de non application de la d'utilisation de moyens
mis en œuvre, politique. cryptographiques et liste
 Si des sanctions en cas de non des bénéficiaires,
application de la politique sont  Liste des sanctions en cas
prévues et communiqué au de non application de la
personnel. politique,
 Echantillon de décharges
(ou courriers
électroniques) attestant
que les utilisateurs ont
reçu une copie de cette
liste.
A.18.2 Revue de la sécurité de Garantir que la sécurité de l’information est mise en œuvre et appliquée conformément aux politiques et procédures organisationnelles.
l’information
A.18.2.1 Revue indépendante Des revues régulières et  Si une procédure de mise à jour  Revue de la procédure de mise à  procédure de mise à jour
de la sécurité de indépendantes de des notes d'organisation relatives jour des notes d'organisation des notes d'organisation
l’information l’approche retenue par à la sécurité des systèmes relatives à la sécurité de relatives à la sécurité de
l’organisme pour gérer et d'information en fonction des l'information, l'information,
mettre en œuvre la évolutions de structures ou à  Revue des rapports d’audit.  Rapports d’audit.
sécurité de l’information (à intervalles planifiés est élaborée
savoir le suivi des objectifs et mise en œuvre,
de sécurité, les mesures,  Si des audits indépendants sont
les politiques, les réalisés pour veiller à la
procédures et les pérennité de l’applicabilité, de
processus relatifs à la l’adéquation et de l’efficacité de
sécurité de l’information) l’approche de l’organisme en
doivent être effectuées à matière de management de la
A (ISO trôle
27001)
intervalles définis ou sécurité de l’information.
lorsque des changements
importants sont
intervenus.
A.18.2.2 Conformité avec Les responsables doivent  Si les responsables déterminent  Revue des rapports d’audit de  Rapports d’audit de
les politiques et les régulièrement vérifier la la manière de vérifier que les conformité, conformité.
normes de sécurité conformité du traitement exigences de sécurité de  Interview du DSI et du RSI.
de l’information et des l’information définies dans les
procédures dont ils sont politiques, les normes et autres
chargés au regard des règlementations applicables,
politiques, des normes de sont respectées,
sécurité applicables et  Si, lorsque la revue détecte une
autres exigences de non-conformité, les
sécurité. responsables:
- déterminent les causes de la
non-conformité
- évaluent la nécessité d’engager
des actions pour établir la
conformité
- mettent en œuvre l’action
corrective appropriée,
- revoient l’action corrective
entreprise pour vérifier son
efficacité et identifier toute
insuffisance ou faille.
A.18.2.3 Vérification de la Les systèmes d’information  Si une procédure de vérification  Revue des rapports d'audits  Rapports d'audit
conformité technique doivent être examinés du respect des politiques et des techniques spécialisés, technique spécialisé
régulièrement quant à normes de sécurité de  Revue des rapports de test des (audit de configurations,
leur conformité avec les l'information est mise en place, configurations, test de pénétration, etc)
politiques et les normes de  Si des tests périodiques de  Revue des rapports d’audit des
sécurité de l’information pénétration du réseau et des paramètres de sécurité,
de l’organisme. audits techniques spécialisés  Revue des rapports d’audit de
A (ISO trôle
27001)
approfondis sont réalisés, conformité des configurations
 Si l'intégrité des configurations logicielles des postes de travail des
par rapport aux configurations utilisateurs,
théoriquement attendues est  Interview du DSI, des
testée régulièrement, administrateurs systèmes et réseaux
 Si des audits réguliers des et du RSI.
paramètres de sécurité spécifiés
sont réalisés,
 Si la conformité des
configurations logicielles des
postes de travail des utilisateurs
est contrôlée régulièrement par
rapport à la liste des options
autorisées.

Referentiel - Audit 2.1

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Referentiel - Audit 2.1

Titre original :

Transféré par

Droits d'auteur :

Formats disponibles

Référentiel d’Audit

de la Sécurité des Systèmes

Version Date Nature des modifications

Pour toute remarque

Contact @ Mail Téléphone

1 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

Le présent document est un document de référence pour :

- Loi n° 2004-5 du 3 février 2004, relative à la sécurité informatique et portant sur

6. Documents requis pour la revue

Les documents requis pour la revue sont, sans s’y limiter :

7. Domaines couverts par l’audit de la sécurité des systèmes d’information

L’audit de la sécurité des systèmes d’information est un jalon de l’amélioration de la maturité de la

4 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

Vous aimerez peut-être aussi