ETAT DES LIEUX

I. Présentation de la structure à auditer ou de l’organisme à auditer

Dans cette partie on présente la structure à auditer et son organisation suivant son texte
organique. Ressortir les différentes activités de la structure à auditer et son Organigramme.

II. Missions de la structures à auditer

Dans cette rubrique, faire ressortir toutes les missions de la structure auditée contenue dans
son texte organique. Faire ressortir également toutes les missions de la structure en charge du
système d’information de la structure auditée contenue dans l’organigramme.

III. Identification des processus métier de la structure à auditer

Faire ressortir les différents type de processus de l’organisation en utilisation la
cartographie de processus métier de l’organisme et ces différents processus peuvent êtres de
types (management, support et métiers).

IV. Vision et stratégie de développement du système d’information

Présenter l’ensemble des politiques et procédures existants en matière du système
d’information au sein de l’organisme. (Schéma directeur informatique, politique de sécurité,
…).

V. Bilan des ressources matérielles, logicielles et humaines sur les plans

organisationnels, physiques et techniques
Il est question ici de renseigner la fiche volumétrique avec l’audité afin d’avoir des
informations sur les actifs matériels et immatériels de son organisation.
 Eléments de volumétrie sur le plan organisationnel
Libellé Quantité Observations/Caractéristiques
Nombre de politiques et procédures existantes liées
au SI. (lister toutes les politiques et procédures)
Liste de documents existants :
 Organigramme ;
 Cartographie de Processus métiers ;
 Cartographie de risques ;
 Politique de sécurité et ensemble des
documents de politique de sécurité
(politique de gestion des mots de passes, de
sauvegarde,…etc) ;
 Schéma Directeur Informatique ;
 Plans de continuité et de reprise d’activité ;
 Manuel des procédures (ensemble des
procédures opérationnelles encadrant la
gestion du SI comme les procédures ou
processus de gestion des incidents,
procédure ou processus de gestion des
changements,..etc) ;
 Charte d’utilisation des TIC ;
 Liste des applications métiers utilisées au
sein de la structure (applications
automatisant des processus) ;
 Modèles de contrat avec les prestataires
(relatif à la gestion du Système
d’Information) ;
 Manuels
d’utilisation/d’administration/d’analyse-
conception/de maintenance des applications
métiers ;
 Architecture du réseau Informatique et
Télécoms ;
 Plan d’adressage
Types et nombre de processus métier existant.
Nombre de ressources humaines de l’organisme.
Nombre de personnel en charge du système
d’information.
Ressource ou responsable de la sécurité de système
d’information
Nombres de responsable à interviewer.
Nombre de formation et sensibilisation du
personnel sur les risques liées à la cyber-sécurité et
cybercriminalité ou tout autre type de formation
liée à l’activité de l’organisme
Nombre de prestataires sur le système
d’information existants.
Nombres et types de contrats existant avec les
prestataires
 Eléments de volumétrie sur le plan physique
Libellé Quantité Observations/ Caractéristiques
Nombre de sites et locaux à auditer (sites BTS pour
les opérateurs de téléphonies mobiles).
Nombre d’éléments de sécurité ou personnel de
sécurité sur chaque site à auditer.
Nombre et type de système d’authentification
physique (biométrique, carte à puce, badge,
turnstile…) utilisé
Nombre des extincteurs en date de non expiration
ou de validité
Nombres des détecteurs d’incendie, fumé et
d’inondation ou sprinkler
Nombre de détecteurs d’humidité
Nombre de système de vidéo- surveillance sur les
sites et différents lieux critique
Nombre de salle serveurs ou de data center
Nombre de salle d’archives
Nombre d’armoire de rangement
Nombre de baie
Nombre de groupe électrogène
Nombre d’onduleurs qui fonctionne
Nombre de parafoudre installé sur les sites
Nombre de système d’alarme installé sur chaque
site
Nombres de système de climatisation
L’éclairage
Plan de sécurité du site
Nombre de panneau de signalisation des zones de
danger
Nombre des installations sanitaires (lavabos,
douches, sanitaires)
Nombre de capteur de température.
Eléments de volumétrie sur le plan Technique
Libellé Quantité Observations/ Caractéristiques
Poste de travail (Desktops ou Windows
laptops) sui tournent sous : Linux
Sous Mac OS
Autres OS
Nombre de tablettes ou mobiles devices
Serveurs en exploitations Physiques
virtuelles
Nombre de sites interconnectés
Nombre de sous-réseau
Nombre de connexions permanentes, leur type (LS,
FR…) et leurs utilisations.
Eléments du réseau et outils de communication
Nombre de routeurs
DMZ
 Type de connexions VPN activées
Niveau 2
Nombre de switchs Niveau 3

Access point
Nombre de serveur anti-virus et nombre de licences
Nombre de licences de windows
Nombre de licences de Suite Office
Outils de cyber-defence et cyber-intelligence/ ML
(EDR,MDR,NDR,XDR, DLP,MDM)
Nombre de
serveurs
Outils d’authentification  d'authentification
réseau et nombre
moyen
d’utilisateurs
supportés
Outils de détection/prévention d’intrusion
Outils de sauvegarde automatique et leurs types
Outils intégrés d'administration de la sécurité et
leurs types
Nombre d’administrateurs réseau
Autres outils, le cas échéant (authentification forte,
PKI, Chiffrement, ...)
Bande passante dédiée du réseau au sein de
l’entreprise
Outils d'administration réseau et de supervision
Protocole de routage utilisé
Nombre d’adresse IP publique et répartition
Outils ou plate-forme de messagerie utilisée
Applications utilisées
Nombre d’applications métiers utilisés
Nombres de serveurs d’applications utilisés
Nombre de serveurs de base de données
Nombres d’utilisateurs de l’application
Nombres et type de systèmes de gestion de base de
données (SGBD)
Nombre d’administrateurs des applications
Nombre d’administrateurs du SGBD
Nombre et type de serveur web utilisé

EDR: Endpoint Detected and Response

MDM: Mobile Device Management
MDR: Managed Detection Response
NDR: Network Detection Response
XDR: Extended Detection and Response
 DLP: Data Loss Prevention
De même l’auditeur doit renseigner le tableau de la fiche des applications métiers

Etat des lieux des Applications

Désignation Description Observation

VI. Description de l’architecture du réseau et de télécommunication existant

Décrire le réseau en se réfèrent à l’architecture réseau de l’audité et insérer l’architecture
du réseau et télécommunication.

VII. Synthèses documentaire

Analyser et faire la synthèse de tous les documents d’audit reçus pendant la mission dans
le tableau ci-dessous:
intitulé description Points de contrôles constats observations
Périmètre
Validité du document et la
date d’approbation
Source du document
Version du document
VIII. Evaluation de la mise en œuvre des recommandations des précédents audits
Exploitation du précèdent rapport d’audit et du plan d’action correctif afin d’évaluer la
mise en œuvre des recommandations.
Code Vulnérabilités Risques Recommandations Etat Observations
Org_A0 Gestion de risques
Org_A0_1
Org_A1 Domaines organisationnel iso 27002 : 2013
Org_A1_1 . .
Phys_A5 Domaine sécurité physique et environnemental iso 27002 : 2013

Phys_A5_1

Tech_A6 Domaine sécurité Technique iso 27002 : 2013

.

Tech_A6_1
ETATS : IMPLEMENTE, NON IMPLEMENTE ET EN COURS D’IMPLEMENTATION
IX. Evaluation quantitative de la mise en œuvre des recommandations des précédents
audits

Recomman
Nombre de Recommandat dations en Recommandati
Axe d’audit recommandati ions cours ons non
ons implémentées d’implémentat implémentées
ion
Organisationnel
Physique
Technique
Total
Tableau : Evaluation quantitative de la mise en œuvre des recommandations

Apres le tableau ci-dessus on ressort le graphe de la mise en œuvre des recommandations

issues du précédent audit :

Figure : Evaluation des mises en œuvre des recommandations du précèdent audits

A. Classification du taux de mise en œuvre par niveau de criticité

Etats Taux de mise en œuvre

implémentées 2
Critique Non implémentées 5
En cours d’implémentations 3
implémentées 4
Elevée Non implémentées 2
En cours d’implémentations 1
implémentées 5
Moyen Non implémentées 3
En cours d’implémentations 2
implémentées 5
Faible Non implémentées 5
En cours d’implémentations 4