Referentiel - Audit 2.1

Référentiel d’Audit
de la Sécurité des Systèmes

d’Information
Évolutions du document
Version Date Nature des modifications

1.0 19/12/2018 Version initiale
1.1 05/01/2015 Version mise à jour
1.2 03/06/2015 MAJ des intitulés des domaines
2.0 10/05/2018 Alignement avec la norme ISO/IEC 27002 :2013
1.2 14/10/2019 MAJ suite à la publication de l’arrêté du ministre des
technologies de la communication et de l'économie
numérique et du ministre du développement, de
l’investissement et de la coopération internationale du
01 Octobre 2019, fixant le cahier des charges relatif à
l'exercice de l’activité d’audit dans le domaine de la
sécurité informatique.
Pour toute remarque
Contact @ Mail Téléphone

Direction de l’Audit de la Sécurité des audit@ansi.tn 71 846 020
Systèmes d’Information
Critère de diffusion
Public Interne Diffusion restreinte Hautement confidentiel
1 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

1. Avant-propos
L’audit de la sécurité des systèmes d’information en Tunisie est stipulé par la loi n° 5 de 2004 et
organisé par le décret 2004-1250 et l’arrêté du ministre des technologies de la communication et de
l'économie numérique et du ministre du développement, de l’investissement et de la coopération
internationale du 01 Octobre 2019, fixant le cahier des charges relatif à l'exercice de l’activité d’audit
dans le domaine de la sécurité informatique. Le décret cité identifie les organismes soumis à
l’obligation de l’audit, ainsi que les étapes clés de la mission d’audit et les livrables à fournir à
l’organisme audité à la fin de la mission. Cependant, les contrôles de sécurité à vérifier n’ont pas été
identifiés au niveau de ces textes.
Ainsi, l’ANSI estime qu’il est nécessaire d’identifier les critères d’audit à travers un document de
référentiel qui permettra d’accompagner les experts auditeurs dans la réalisation des missions
d’audit de sécurité des systèmes d’information et aux organismes audités de disposer de garanties
sur la qualité des audits effectués.
Ce référentiel comprend les contrôles de sécurité nécessaires pour le maintien d’un système de
gestion de la sécurité et que l’expert auditeur est appelé à vérifier lors de la mission d’audit.
2. Objectif
Le présent document détaille les critères par rapport auxquels l’audit est réalisé conformément aux
exigences de la loi 2004-05, au décret 2004-1250 et à l’arrêté ministre des technologies de la
communication et de l'économie numérique et du ministre du développement, de l’investissement
et de la coopération internationale du 01 Octobre 2019, fixant le cahier des charges relatif à
l'exercice de l’activité d’audit dans le domaine de la sécurité informatique.
Le présent document est un document de référence pour :

- Les experts auditeurs qui réalisent les missions d’audit, pour les accompagner à conduire la
mission conformément aux exigences du présent référentiel
- Les audités, bénéficiaires de la mission d’audit, pour assurer un meilleur suivi de ladite
mission.
3. Domaine d’application
Ce référentiel est applicable à tous les organismes soumis à l’obligation de l’audit conformément aux
exigences de de la loi 2004-05 et ses décrets applicatifs.
4. Références
- Loi n° 2004-5 du 3 février 2004, relative à la sécurité informatique et portant sur

l'organisation du domaine de la sécurité informatique et fixant les règles générales de
protection des systèmes informatiques et des réseaux,
- Décret n° 2004-1250 du 25 mai 2004, fixant les systèmes informatiques et les réseaux des
organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères
relatifs à la nature de l'audit et à sa périodicité et aux procédures de suivi de l'application des
recommandations contenues dans le rapport d'audit,
- La norme ISO 18045, qui fournit une méthodologie pour l’évaluation de la sécurité IT,
- La norme ISO 19011 :2011, qui fournit les lignes directrices sur l’audit interne ou externe
d’un système de management et l’évaluation des compétences des équipes d’audit,
- La norme ISO 22301 :2012, Gestion de la continuité des affaires,
- La norme ISO 27001 :2013, Système de management de la sécurité de l’information,
- La norme ISO 27002 :2013, Code de bonnes pratiques pour le management de la sécurité de
l'information,
- La norme ISO 27005 :2018, Gestion du risque en sécurité de l’information,
- ITIL (Information Technology Infrastructure Library (« Bibliothèque pour l'infrastructure des
technologies de l'information ») est un ensemble d'ouvrages recensant les bonnes pratiques
(« best practices ») du management du système d'information.
5. Termes et définitions
Preuves d’audit : Enregistrements, énoncés de faits ou autres informations qui se rapportent aux
critères d’audit et qui sont vérifiables. Les preuves d’audit peuvent être qualitatives ou quantitatives.
Les preuves peuvent être classées en 4 catégories :
- La preuve physique : c'est ce que l'on voit, constate = observation,
- La preuve testimoniale : témoignages. C'est une preuve très fragile qui doit toujours être recoupée
et validée par d'autres preuves,
- La preuve documentaire : procédures écrites, comptes rendus, notes,
- La preuve analytique : résulte de calculs, rapprochements, déductions et comparaisons diverses.
Critères d’audit : Ensemble de politiques, procédures ou exigences déterminées par rapport
auxquelles la conformité du système est évaluée (contrôles au niveau de la norme ISO/IEC
27002 :2013).
Plan d’audit : Description des activités et des dispositions nécessaires pour réaliser un audit, préparé
par le responsable de l’audit, en commun accord entre l’équipe de l’audit et l’audité pour faciliter la
programmation dans le temps et la coordination des activités d’audit.
Champ d’audit : Etendu et limites d’un audit, le champ décrit généralement les lieux, les unités
organisationnelles, les activités et les processus ainsi que la période de temps couverte.
Constats d’audit : Résultats de l'évaluation des preuves d'audit recueillies, par rapport aux critères
d'audit.
6. Documents requis pour la revue
Les documents requis pour la revue sont, sans s’y limiter :

 L’ensemble des politiques de sécurité de l’information de l’audité, approuvées
par la direction,
 Le manuel de procédures relatif à la sécurité de l’information, qui doit
comprendre au minimum les procédures suivantes :
• La procédure de mise à jour des documents de politiques de sécurité et des
procédures
• La procédure d’attribution des responsabilités
• La procédure d’autorisation pour l’ajout d’outil de traitement de
l’information
• La procédure de classification des actifs
• Les procédures de sécurité physique (contrôle des accès physiques, sécurité
des équipements hors des locaux, mise au rebut des équipements, …)
• La procédure de développement, test et déploiement des applications
• La procédure de gestion des ressources par des tiers
• La procédure de protection contre les logiciels malveillants
• La procédure de sauvegarde et de restitution des données
• La procédure de gestion du courrier électronique
• La procédure de gestion des accès logiques (aux réseaux, aux systèmes, aux
applications,…)
• La procédure de gestion des changements
• La procédure de gestion des incidents
• Les procédures de gestion de la continuité des activités
 Les fiches de poste du RSSI et des autres employés en relation avec la sécurité du
système d’Information,
 La matrice de flux des données
 Les schémas d’architecture du système d’information
 L’inventaire du matériel et logiciel informatique
7. Domaines couverts par l’audit de la sécurité des systèmes d’information
L’audit de la sécurité des systèmes d’information est un jalon de l’amélioration de la maturité de la

sécurité du système d’information en vue d’établir un équilibre entre les risques et les bénéfices de
l’utilisation des moyens de traitement de l’information et d’assurer une amélioration quantifiable,
efficace et efficiente des processus qui s’y rapporte. Le référentiel d’audit repose sur la norme
ISO/IEC 27002 :2013.
S’agissant d’un audit réglementaire et non pas d’un audit de la politique de sécurité des systèmes
d’information (PSSI), ni d’un audit de la mise en œuvre de cette PSSI, l’auditeur est tenu de vérifier
pour chaque domaine :
- la conformité par rapport aux critères d’audit au niveau des documents de référence de l’audité
(PSSI, procédures, etc.) le cas échéant,
- la conformité des pratiques de sécurité par rapport à ces critères d’audit.
8. Echantillonnage
Les critères d’échantillonnage pour chaque type de composante du système d’information à auditer
doivent être bien définis et justifiés.
9. Types de vérification
Les vérifications à effectuer tout au long de la mission d’audit sont de type organisationnel, physique
ou technique présentés par la légende suivante :
Type Couleur
Organisationnel
Physique
Technique

Réf Titre Description Vérifications à effectuer Moyen de vérification (sans s’y Preuves
Annexe Domaine/Objectif/Con limiter)
A (ISO trôle
27001)
A.5 Politiques de sécurité de l’information
A.5.1 Orientations de la Apporter à la sécurité de l’information une orientation et un soutien de la part de la direction, conformément aux exigences métier et
direction en matière de aux lois et règlements en vigueur.
sécurité de
l’information
A.5.1.1 Politiques de sécurité Un ensemble de politiques S'il existe des documents de  Revue des documents de PSI,  Documents de PSI
de l’information de sécurité de politiques de sécurité de  Entretien avec le DG, approuvées par la DG,
l’information (PSI) doit être l’information, qui sont approuvées  Interviews d’un échantillon des  Echantillon de décharges
défini, par la direction, publiées et utilisateurs, (ou courriers
approuvé par la direction, communiquées, à tous les  Revue des PVs de réunion du comité électroniques) attestant
diffusé et communiqué aux utilisateurs du SI et aux tiers de sécurité que les utilisateurs ont
salariés et aux tiers concernés reçu une copie des PSI,
concernés.  Historique des mises à
A.5.1.2 Revue des politiques de Les politiques de sécurité  Si ces politiques sont passées en jour des PSI,
sécurité de de l’information doivent revue par un comité de sécurité  PV de réunion du comité
l’information être revues à intervalles de haut niveau à intervalles de sécurité sur la màj de
programmés ou en cas de planifiés, ou si des changements la PSI,
changements majeurs pour importants se produisent pour  procédures en place
garantir leur pertinence, s'assurer qu'elles sont toujours pour le réexamen des
leur adéquation et leur pertinentes, adéquates et PSI.
effectivité dans le temps. efficaces,
 S’il existe des procédures en
place pour le réexamen des
politiques de sécurité de
l’information
A.6 Organisation de la sécurité de l’information
A.6.1 Organisation interne Établir un cadre de management pour lancer et vérifier la mise en place et le fonctionnement opérationnel de la sécurité de
l’information au sein de l’organisme.
A.6.1.1 Fonctions et Toutes les responsabilités  Si un RSI, doté d’un pouvoir  Revue de l’organigramme, des fiches  Décision de nomination
responsabilités en matière de sécurité de décisionnel et assurant le de poste, des décisions et notes du RSI,

A (ISO trôle
27001)
liées à la sécurité l’information doivent reporting directement à la internes en relation avec la sécurité  Décision de mise en
de l’information être définies et attribuées. direction, est désigné, du SI, place du comité de
 Si un comité de sécurité est mis  Entretien avec le DG, sécurité,
en place,  Interview du RSI (le cas échéant).  PVs de réunions du
 Si les rôles et les responsabilités comité,
liés à la sécurité de l’information  Fiches de poste.
sont bien définis et attribués à
des individus ayant les
compétences requises.
A.6.1.2 Séparation des tâches Les tâches et les domaines  Si les tâches incompatibles Sont  Revue des fiches de poste,  Fiches de poste,
de responsabilité identifiées et les responsabilités  Entretien avec les responsables des  Compte rendu de
incompatibles doivent être sont attribuées en conséquence, services métier pour l’identification vérification de la
cloisonnés pour limiter les  Si une tâche de vérification des taches incompatibles, définition et de
possibilités de modification régulière, de la définition et de  Revue des procédures internes qui l'attribution des
ou de mauvais usage, non l'attribution des responsabilités, identifient les tâches incompatibles, responsabilités.
autorisé(e) ou involontaire, est prévue et réalisée,  Vérification des droits d’accès sur
des actifs de l’organisme.  Si des contrôles compensatoires les systèmes qui hébergent ou
sont mis en place en cas traitent les services concernés,
d’attribution des tâches  Vérification des contrôles
incompatibles à la même compensatoires en cas en cas
personne. d’attribution des tâches
incompatibles à la même personne.
A.6.1.3 Relations avec les Des relations appropriées  Si les autorités avec lesquelles  Revue de la liste de ces autorités,  Liste mise à jour de
autorités avec les autorités l’organisme peut collaborer en  Revue de la procédure d’échange, contacts des autorités
compétentes doivent être matière de sécurité de  Entretien avec les responsables des avec lesquelles
entretenues. l'information sont identifiées, différents services pour l’organisme peut
 Si une liste mise à jour de l’identification des autorités collaborer,
contacts de ces autorités est compétentes.  Procédure d'échange
maintenue, entre l’organisme et ces
 Si une procédure d'échange autorités,

A (ISO trôle
27001)
entre l’organisme et ces  Supports de
autorités est définie et mise en communication en
œuvre. vigueur Courriers, Emails,
PVs de réunions, etc…).
A.6.1.4 Relations avec des Des relations appropriées  Si des groupes d’intérêt, des  Revue des accords éventuels établis  Abonnement à des
groupes de travail avec des groupes d’intérêt, forums spécialisés dans la avec les groupes d’intérêt, les mailing lists des
spécialisés des forums spécialisés dans sécurité et des associations forums et les associations. constructeurs de
la sécurité et des professionnelles ont été  Interview du RSI pour l’identification produits utilisés et
associations identifiés, de ces groupes et les relations d'institutions spécialisées
professionnelles doivent  Si des relations sont entretenues éventuelles entretenues avec eux. dans le domaine de la
être entretenues. avec ces groupes, forums et sécurité de l'information,
associations,  Participation à des
 Si des accords de partage workgroups,
d'informations ont été établis  Echange de retour
pour améliorer la coopération et d'expérience,
la coordination en matière de  Accords établis avec les
sécurité. groupes.
A.6.1.5 La sécurité de La sécurité de l’information  Si une analyse des risques liés à  Revue du document d’analyse des  Document d’analyse des
l’information doit être considérée dans la sécurité de l'information est risques, risques,
dans la gestion la gestion de projet, effectuée à un stade précoce du  Revue des documents des projets et  Documents de projets
de projet quel que soit le type de projet afin d'identifier les vérification de la prise en compte contenant l’expression
projet concerné. contrôles de sécurité des besoins de sécurité, des besoins de sécurité,
nécessaires,  Revue des PVs des réunions des  Procédure de gestion des
 Si l'expression des besoins de équipes de projets, projets en matière de
sécurité (confidentialité,  Interview du RSI, sécurité de l’information,
intégrité, disponibilité), est prise  Interview des responsables métier.  Procédure de gestion des
en considération dans la gestion projets (volet en relation
des projets, avec la sécurité de
 Si une coordination entre les l’information),
différents services concernés par  PVs des réunions des

A (ISO trôle
27001)
ces projets est mise en place dès équipes de projets
la phase d'expression de ces
besoins et maintenue pendant
toutes les phases des projets
pour la planification de
l'allocation des ressources
nécessaires,
A.6.2 Appareils mobiles et Assurer la sécurité du télétravail et de l’utilisation d’appareils mobiles.
télétravail
A.6.2.1 Politique en matière Une politique et des  Si une analyse des risques  Revue de la politique d’utilisation  Document de l’analyse
d’appareils mobiles mesures de sécurité d'utilisation des appareils des appareils mobiles, des risques d’utilisation
complémentaires doivent mobiles est réalisée,  Interview du RSI, des appareils mobiles,
être adoptées pour gérer  Si une politique d'utilisation des  Interview du responsable réseau,  Politique d’utilisation de
les risques découlant de appareils mobiles est élaborée et  Test d'accès d'un appareil mobile et ces appareils,
l’utilisation des appareils mise en œuvre, vérification des logs des solutions de  Inventaire des appareils
mobiles.  Si des outils nécessaires sont contrôle d'accès sur le réseau, mobiles,
déployés pour détecter l'accès  Vérification de la configuration des  Inventaire des outils de
des appareils mobiles et solutions de contrôle d'accès sur le détection et de contrôle
étrangers au SI de l’organisme et réseau et revue des ACLs. de ces appareils,
limiter leurs accès  Logs des solutions de
conformément à ladite politique. contrôle d'accès sur le
réseau.
A.6.2.2 Télétravail Une politique et des Pour les organismes autorisant les  Revue de la politique sur l’utilisation  Politique d’utilisation du
mesures de sécurité activités de télétravail : du télétravail, télétravail,
complémentaires doivent  Si une politique définissant les  Revue de la procédure organisant le  Procédure d’organisation
être mises en œuvre pour conditions et les restrictions à télétravail, du télétravail,
protéger les informations l’utilisation du télétravail,  Revue du rapport d’analyse des  rapport d’analyse des
consultées, traitées ou  Si une procédure organisant le risques relatifs au domicile des risques relatifs au
stockées sur des sites de télétravail est développée et utilisateurs et/ou des sites distants, domicile des utilisateurs
télétravail. mise en œuvre.

A (ISO trôle
27001)
 Si des mesures de sécurité  Interview du RSI et des responsables et/ou des sites distants,
adéquates sont en place pour la métier,  Document des mesures
protection de l’information sur  Vérification des mesures de sécurité déployées pour la
des sites de télétravail. mises en place pour la protection de protection de
l’information, l’information (Type de
 Vérification des droits d’accès sur connectivité sécurisé
les systèmes qui hébergent ou déployé pour le
traitent les services concernés par le télétravail (VPN, SSL,
télétravail, etc), fichier de
 Test d'accès d'un site distant et configuration de l'accès à
vérification des logs sur les solutions distance),
de contrôle d'accès sur le réseau.  Liste des droits d’accès
sur les systèmes qui
hébergent ou traitent les
services concernés par le
télétravail,
 Logs des solutions de
contrôle d'accès sur le
réseau suite à un accès
distant.
A.7 Sécurité des ressources humaines
A.7.1 Avant l’embauche S’assurer que les salariés et les sous-traitants comprennent leurs responsabilités et sont qualifiés
pour les rôles qu’on envisage de leur donner.
A.7.1.1 Sélection des candidats Des vérifications doivent  Si des contrôles de vérification  Revue du statut et du règlement  Statut et règlement
être effectuées sur tous les de fond pour tous les candidats à intérieur, intérieur,
candidats à l’embauche l'emploi ont été réalisés  Revue de la procédure de  fiches de postes des
conformément aux lois, conformément à la recrutement, personnes impliquées
aux règlements et à réglementation en vigueur,  Revue du dossier du RSI et d'un directement dans la
l’éthique et être  Si la vérification comprend le échantillon de personnes impliqués sécurité de l’information,
proportionnées aux certificat de moralité, la dans la sécurité,  Procédure de
exigences métier, à la
A (ISO trôle
27001)
classification des confirmation des qualifications  Interview du DRH. recrutement
informations accessibles et académiques et professionnelles  Dossier du RSI et des
aux risques identifiés. prétendues et des contrôles personnes impliquées
indépendants d'identité, dans la sécurité de
 Si un candidat pour un poste l'information.
spécifique de sécurité de
l'information possède les
compétences nécessaires pour ce
poste et s’il est digne de
confiance surtout si le poste est
critique pour l’organisme
A.7.1.2 Termes et conditions Les accords contractuels  Si les employés et les sous-  Revue d’un échantillon des  Echantillon des
d’embauche entre les salariés et les traitants sont invités à signer un engagements de confidentialité, Engagements de
sous-traitants doivent engagement de confidentialité  Interview du DRH et du DAF. confidentialité signés par
préciser leurs ou de non-divulgation dans le les employés et les sous-
responsabilités et celles de cadre de leurs termes et traitants.
l’organisme en matière de conditions initiaux du contrat de
sécurité de l’information. travail,
 Si cet engagement de
confidentialité couvre la
responsabilité de l'audité et des
employés et des sous-traitants
concernant la sécurité de
l’information.
A.7.2 Pendant la durée du S’assurer que les salariés et les sous-traitants sont conscients de leurs responsabilités en matière de
contrat sécurité de l’information et qu’ils assument ces responsabilités.
A.7.2.1 Responsabilités de la La direction doit demander  Si la direction exige explicitement  Revue de la note interne signée par  Note interne signée par
direction à tous les salariés et sous- (par une note interne signée par le DG, le DG,
traitants d’appliquer le DG) que les employés et les  Revue d’un échantillon de contrats  Echantillon de contrats
les règles de sécurité de sous-traitants appliquent les avec les sous-traitants, avec les sous-traitants
l’information
A (ISO trôle
27001)
conformément aux exigences de sécurité  Entretien avec le DG, comportant un
politiques et aux conformément aux politiques et  Interview du DRH et du DAF. engagement d’appliquer
procédures en vigueur procédures établies par l’audité. les exigences de sécurité
dans l’organisme. conformément aux
politiques et procédures
A.7.2.2 Sensibilisation, L’ensemble des salariés de  Si les nouvelles recrues de  Revue des programmes de  Programme de formation
apprentissage l’organisme et, quand cela l'audité, et le cas échéant, les formation et de sessions de des années précédentes
et formation à est pertinent, des sous- nouveaux sous-traitants sensibilisation, et de l’année en cours,
la sécurité de traitants, doit bénéficier reçoivent systématiquement des  Interview du DRH pour  Programme de sessions
l’information d’une sensibilisation et de sessions de sensibilisation à la l’identification des sujets des de sensibilisation
formations adaptées et sécurité du système sessions de sensibilisation et de réalisées et planifiées et
recevoir régulièrement les d’information, formation, bénéficiaires,
mises à jour des politiques  Si tous les employés et les sous-  Interview d’un échantillon  Listes des participants
et procédures de traitants reçoivent d’employés ayant participé à ces aux sessions de
l’organisme s’appliquant à périodiquement des sessions de sessions. formation et de
leurs fonctions. sensibilisation sur les risques liés sensibilisation.
à l’utilisation des moyens IT et les
tendances en la matière et sont
informés des mises à jour
régulières appliquées aux
politiques et procédures
organisationnelles en ce qui
concerne leurs fonctions,
 Si les employés dont les missions
sont liées directement à la
sécurité du SI (RSI, DSI,
Administrateurs, développeurs)
ont reçus les formations
spécialisées sur la sécurité des
produits utilisés et sur la gestion
de la sécurité de manière
A (ISO trôle
27001)
générale pendant les 3 dernières
années.
A.7.2.3 Processus disciplinaire Un processus disciplinaire  S’il existe un processus  Revue du statut et du règlement  Statut et règlement
formel et connu de tous disciplinaire formel pour les intérieur, intérieur.
doit exister pour prendre utilisateurs du SI qui ont commis  Interview du DRH.
des mesures à l’encontre une violation de la politique de
des salariés ayant enfreint sécurité.
les règles liées à la sécurité
de l’information.
A.7.3 Rupture, terme ou Protéger les intérêts de l’organisme dans le cadre du processus de modification, de rupture ou de
modification du contrat terme d’un contrat de travail.
de travail
A.7.3.1 Achèvement ou Les responsabilités et les  Si les responsabilités en fin ou  Revue du processus de restitution  Etat sur les actifs et
modification missions liées à la sécurité modification de contrat sont des biens par les employés ou sous- droits d’accès restitués
des responsabilités de l’information qui clairement définies et attribuées, traitants suite à une fin de leur suite à la fin ou à la
associées au restent valables à l’issue de  S'il existe un processus en place emploi ou contrat, modification du contrat
contrat de travail la rupture, du terme ou de qui garantit que tous les  Interview du DRH pour d’un employé ou d’un
la modification du employés et les sous-traitants l’identification des responsabilités sous-traitant,
contrat de travail, doivent restituent à l'audité tous les en fin ou modification de contrat,  Rapport d’audit sur les
être définies, biens en leur possession à la fin  Vérification de la suppression ou comptes utilisateurs des
communiquées au salarié de leur emploi, contrat ou d’ajustement des droits d’accès d’un employés ou sous-
ou au sous-traitant, et convention, échantillon d’employés et de sous- traitants après leurs
appliquées.  Si les droits d'accès de tous les traitants en fin ou changement de départs.
employés et les sous-traitants, contrat.
aux informations et aux moyens
de traitement de l'information,
sont supprimés à la fin de leur
emploi, contrat ou convention,
ou sont ajustés en cas de
changement.

A (ISO trôle
27001)
A.8 Gestion des actifs
A.8.1 Responsabilités Identifier les actifs de l’organisme et définir les responsabilités pour une protection appropriée.
relatives aux actifs
A.8.1.1 Inventaire des actifs Les actifs associés à  S’il existe des règles relatives à  Revue de la PSI pour l’identification  PSI,
l’information et aux l’inventoring des actifs au niveau des règles relatives à l’inventoring,  Procédures
moyens de traitement de de la PSI, qui exigent le maintien  Revue des procédures d’inventoring d’inventoring,
l’information d’un inventaire des actifs, des actifs,  Inventaire des actifs.
doivent être identifiés et  Si des procédures d’inventoring  Revue de l’inventaire et vérification
un inventaire de ces actifs des actifs sont développées et de son exhaustivité,
doit être dressé maintenues,  Interview du DAF,
et tenu à jour.  Si un inventaire ou registre est  Interview du DSI.
maintenu pour tous les actifs de
l’audité.
A.8.1.2 Propriété des actifs Les actifs figurant à  Si chaque actif identifié a un  Revue de l’inventaire et vérification  Inventaire des actifs.
l’inventaire doivent être propriétaire de l’existence du nom du
attribués à un propriétaire. propriétaire de chaque actif.
A.8.1.3 Utilisation correcte des Les règles d’utilisation  Si une politique d'utilisation  Revue de la politique d’utilisation  Politique d’utilisation
actifs correcte de l’information, correcte de l'information, des correcte de l’information, correcte de
les actifs associés à actifs associés et des moyens de  Revue d’un échantillon de contrats l’information,
l’information et les moyens son traitement est élaborée et avec les sous-traitants ayant l’accès  Echantillon de contrats
de traitement de mise en œuvre, aux moyens de traitement de avec les sous-traitants
l’information doivent être  Si les employés et les sous- l’information, ayant l’accès aux moyens
identifiées, documentées traitants ont été sensibilisés aux  Interview du RSI et du DSI, de traitement de
et mises en œuvre. exigences de sécurité comprises  Interview du DRH et du DAF. l’information.
dans cette politique et de leur
responsabilité de l’utilisation de
ces actifs.

A (ISO trôle
27001)
A.8.1.4 Restitution des actifs Tous les salariés et les  Si la restitution des actifs en  Revue des documents relatifs aux  PVS de passation au
utilisateurs tiers doivent possession des salariés et des fins de période de l’emploi et des terme de la période
restituer la totalité des utilisateurs tiers au terme de la contrats des sous-traitants (ex : PVs d’emploi, PVS de
actifs de l’organisme qu’ils période de l’emploi ou de de passation, PVs de réception réception définitives,
ont en leur possession au l’accord est documentée, définitives, …),  Liste de contrôles
terme de la période  Si pendant la période de préavis  Revue des contrôles mis en place interdisant les copies non
d’emploi, du contrat ou de de fin du contrat, l'organisme pour empêcher les copies non autorisées des
l’accord. contrôle la copie non autorisée autorisées des informations informations pertinentes
des informations pertinentes pertinentes pendant la période de pendant la période de
(par exemple la propriété préavis de fin du contrat des préavis de fin du contrat
intellectuelle) par les employés employés et des sous-traitants, des employés et des
et les sous-traitants concernés.  Interview du DRH et du DAF. sous-traitants.
A.8.2 Classification de S’assurer que l’information bénéficie d’un niveau de protection approprié conforme à son importance
l’information pour l’organisme.
A.8.2.1 Classification des Les informations doivent  S’il existe des règles relatives à la  Revue de la PSI,  PSI,
informations être classifiées en termes classification des actifs selon  Revue des procédures de  Procédures de
d’exigences légales, de leurs exigences de sécurité au classification des actifs, classification des
valeur, de caractère niveau de la PSI,  Interview des responsables métier, informations,
critique et de sensibilité au  Si des procédures de  Vérification des mesures de sécurité  Etat sur les mesures de
regard d’une divulgation ou classification des actifs sont sur un échantillon d’informations sécurité appliquées,
modification non autorisée. développées et maintenues, classifiées critique.  Logs des actions sur ces
 Si des mesures de sécurité informations (voir A.9).
spécifiques à chaque classe sont
appliquées en concordance avec
le système de classification.
A.8.2.2 Marquage des Un ensemble approprié de  Si des procédures de marquage  Revue des procédures de marquage  Procédures de marquage
informations procédures pour le de l'information conformément à de l’information, des informations,
marquage de l’information la classification établie sont  Interview des responsables métier,  Echantillon de
doit être élaboré et mis en élaborées et mises en œuvre.  Vérification de marquage sur un documents
œuvre conformément au échantillon de documents.
A (ISO trôle
27001)
plan de classification
adopté par l’organisme.
A.8.2.3 Manipulation des actifs Des procédures de  Si des procédures pour une  Revue des procédures de traitement  procédures de
traitement de l’information utilisation acceptable de de l’information, traitement de
doivent être élaborées et l'information et des actifs  Revue de la matrice des droits l’information,
mises en œuvre associés à un moyen de d’accès aux informations et à leurs  Matrice des droits
conformément au plan de traitement de l'information sont copies, d’accès aux informations
classification de élaborées et mises en œuvre,  Interview des responsables métier, et à leurs copies,
l’information  Vérification des contrôles d’accès  logs des actions sur ces
adopté par l’organisme. mis en place par rapport à la matrice informations (voir A.9).
 Si les restrictions d'accès aux des droits d’accès,
informations, conformément aux  Vérification des logs des actions sur
exigences de protection pour un échantillon d’informations
chaque niveau de classification, classifiées critique.
sont mises en place,
 Si des copies temporaires ou
permanentes de l'information
bénéficient du même niveau de
protection de l'information
originale.
A.8.3 Manipulation des Empêcher la divulgation, la modification, le retrait ou la destruction non autorisé(e) de l’information de l’organisme stockée sur des
supports supports.
A.8.3.1 Gestion des supports Des procédures de gestion  Si des procédures de gestion des  Revue des procédures de gestion  Procédures de gestion
amovibles des supports amovibles supports amovibles sont des supports amovibles, des supports amovibles,
doivent être mises en élaborées et mises en œuvre  Interview des responsables métier,  Rapports des différents
œuvre conformément au conformément à la classification  Test de récupération du contenu tests,
plan de classification établie, d’un support devant être retiré,  Extrait de pages de
adopté par l’organisme.  Test de visualisation du contenu fichiers visualisés à partir

A (ISO trôle
27001)
 Si le contenu de tout support d’un échantillon de supports d’anciens supports
réutilisable devant être retiré est amovibles contenant des amovibles.
rendu irrécupérable si ce informations classées à un niveau
contenu n'est plus indispensable, élevé en termes de confidentialité
 Si des techniques et d’intégrité,
cryptographiques sont utilisées  Test d’utilisation des lecteurs de
pour protéger les données sur les supports amovibles sur un
supports amovibles lorsque le échantillon de postes de travail pour
niveau de confidentialité ou lesquels ces lecteurs sont censés
d'intégrité de ces données est être désactivés,
élevé,  Vérification de lisibilité des données
 SI les données stockées sur un sur un échantillon d’anciens
support amovible, lorsqu’elles supports amovibles.
sont encore nécessaires, sont
transférées vers un nouveau
support avant d'être illisibles
pour réduire le risque de
dégradation des médias,
 Si les lecteurs de supports
amovibles sont désactivés sauf
pour un besoin du métier.
A.8.3.2 Mise au rebut des Les supports qui ne sont  Si une procédure de mise au  Revue de la procédure de mise au  Procédure de mise au
supports plus nécessaires doivent rebut d'une manière sécurisée rebut des supports, rebut des supports,
être mis au rebut de des supports en tenant compte  Revue des journaux des mises au  Journaux de mise au
manière sécurisée en de la classification adoptée rebut, rebut.
suivant des procédures (formatage bas niveau,  Interview du DSI et de l’archiviste.
formelles. destruction, …) est élaborée et
mise en œuvre,
 Si cette mise au rebut est
journalisée.

A (ISO trôle
27001)
A.8.3.3 Transfert physique des Les supports contenant de  Si une liste des transporteurs  Revue de la procédure de  procédure de vérification
supports l’information doivent être autorisés est convenue avec la vérification de l'identification des de l'identification des
protégés contre les accès direction, transporteurs, transporteurs,
non autorisés, les erreurs  Si une procédure pour vérifier  Revue des registres de transport,  Echantillon d’emballages,
d’utilisation et l’altération l'identification des transporteurs  Revue d’un échantillon d’emballage  Registres de transport
lors du transport. est élaborée et mise en œuvre, utilisé,
 Interview du DAF.
 Si l'emballage utilisé assure la
protection adéquate du support
contre tout dommage physique
pendant le transport pouvant
réduire l'efficacité de sa
restauration dû aux facteurs
environnementaux tels que la
chaleur, l’humidité ou les rayons
électromagnétiques,
 Si les informations identifiant le
contenu du support, la
protection appliquée ainsi que la
date et l’heure de son transfert
au transporteur ainsi que la date
et l’heure de sa réception au lieu
de destination sont journalisées
et conservées.
A.9 Contrôle d’accès
A.9.1 Exigences métier en Limiter l’accès à l’information et aux moyens de traitement de l’information.
matière de contrôle
d’accès
A.9.1.1 Politique de contrôle Une politique de contrôle  Si les données de l’audité, leurs  Revue de la politique de contrôle  Inventaire des données,
d’accès d’accès doit être établie, propriétaires, les systèmes ou d'accès, leurs propriétaires, les
documentée et revue sur personnes qui ont besoin des  Revue des procédures de contrôle systèmes ou personnes
A (ISO trôle
27001)
la base des exigences accès à ces données, leurs rôles d'accès aux différents systèmes, qui ont besoin des accès
métier et de sécurité de selon le principe du "besoin de  Interviews des responsables métiers à ces données et leurs
l’information. savoir" sont identifiés, pour : rôles,
 Si les risques d'accès non - l’identification des données, de  Document
autorisé aux données sont leurs propriétaires, les systèmes d’identification des
identifiés, ou personnes qui ont besoin des risques d’accès non
 Si une politique de contrôle accès à ces données et leurs autorisé à ces données,
d'accès dans le cadre de la rôles,  Politique de contrôle
politique de sécurité de - l’identification des risques d’accès,
l'information de l’audité est d’accès non autorisé à ces  Procédures de contrôles
élaborée et mise en œuvre en données. d’accès.
prenant en compte les points
précédents,
 Si cette politique de contrôle
d'accès est appuyée par des
procédures de contrôle d'accès
aux différents systèmes.
A.9.1.2 Accès aux réseaux et Les utilisateurs doivent  Si une procédure de contrôle  Revue de la procédure de contrôle  Diagramme des flux
aux services réseau avoir uniquement accès au d'accès au réseau de l’audité est d'accès au réseau et vérification de réseau,
réseau et aux services élaborée et mise en œuvre en sa conformité avec la politique de  Document
réseau pour lesquels ils ont application de la politique de contrôle d'accès, d’identification des rôles
spécifiquement reçu une contrôle d'accès,  Revue du diagramme des flux et des responsabilités de
autorisation.  Si les entités qui peuvent avoir réseau pour l’identification des chaque service interne
accès aux réseaux de l’audité entités pouvant avoir accès et les dans l'attribution des
sont identifiées, accès nécessaires pour chacune accès au réseau,
 Si les accès nécessaires pour d’elle selon le principe du « moindre  Document de définition
chaque entité selon le principe privilège », des rôles et des
du « moindre privilège » sont  Revue de la définition des rôles et responsabilités de
identifiés, des responsabilités de chaque chaque service interne
 Si les rôles et les responsabilités service interne dans l'attribution de dans l'attribution de ces

A (ISO trôle
27001)
de chaque service interne dans ces accès, accès,
l'attribution de ces accès sont  Revue des ACL sur les équipements  ACL sur les équipements
définis. réseau et de sécurité (Switchs, réseau et de sécurité,
routeurs, firewalls, …)  Procédure de contrôle
 Interview de l’administrateur d'accès au réseau.
réseau.
A.9.2 Gestion de l’accès Maîtriser l’accès utilisateur par le biais d’autorisations et empêcher les accès non autorisés aux systèmes
utilisateur et services d’information.
A.9.2.1 Enregistrement et Un processus formel  Si un processus d’enregistrement  Revue du processus  Document du processus
désinscription des d’enregistrement et de et de désinscription des d’enregistrement et de d’enregistrement et de
utilisateurs désinscription des utilisateurs, qui définit les étapes désinscription des utilisateurs, désinscription des
utilisateurs à suivre pour ajouter un  Interview de l’administrateur utilisateurs,
doit être mis en œuvre utilisateur et pour supprimer un systèmes, BD et réseaux,  Liste des comptes
pour permettre utilisateur suite à la fin de son  Vérification des comptes utilisateurs sur les
l’attribution des droits travail, est défini et mis en utilisateurs sur les serveurs pour serveurs.
d’accès. œuvre, l’identification de ceux qui sont
 Si des identifiants utilisateur partagés, redondants ou obsolètes.
uniques sont utilisés pour tenir
les utilisateurs responsables de
leurs actions,
 Si l'utilisation d'identifiants
partagés n’est autorisée que
lorsqu'elle est nécessaire pour
des raisons commerciales ou
opérationnelles et si elle est
approuvée et documentée,
 Si les identifiants utilisateur
redondants sont périodiquement
identifiés et supprimés ou
désactivés.

A (ISO trôle
27001)
A.9.2.2 Distribution des accès Un processus formel de  Si un processus de distribution  Revue des matrices des droits  Politique de contrôle
aux utilisateurs distribution des accès aux des accès aux utilisateurs est mis d’accès et des fiches de postes et d’accès,
utilisateurs doit être mis en œuvre, vérification :  Matrice des droits
en œuvre pour attribuer et  Si l'autorisation du propriétaire - de la conformité des niveaux d’accès,
retirer des droits d’accès à du système ou du service d’accès avec la politique de  Fiches de postes d’un
tous types d’utilisateurs sur d'information, pour l'utilisation contrôle d’accès, échantillon d’utilisateurs.
l’ensemble des services et de ce système ou service - de la compatibilité de ces niveaux
des systèmes. d'information, est obtenue et si d’accès avec la séparation des
une approbation distincte des tâches,
droits d'accès de la part de la  Interview des responsables métiers
direction est nécessaire, et des administrateurs systèmes et
 Si le niveau d'accès accordé est BD,
conforme à la politique de  vérification des droits d’accès sur
contrôle d'accès et est les serveurs et les équipements
compatible avec d'autres réseau et de sécurité d’un
exigences telles que la séparation échantillon d’utilisateurs ayant
des tâches, changé de rôle ou d'emploi ou
 Si un enregistrement des droits quitté l’organisme.
d'accès accordés à un utilisateur,
pour accéder aux systèmes et
services d'information, est
maintenu,
 Si les droits d'accès des
utilisateurs qui ont changé de
rôle ou d'emploi sont mis à jour
et si les droits d'accès des
utilisateurs ayant quitté
l'organisme sont supprimés ou
bloqués immédiatement,
 Si les droits d'accès sont

A (ISO trôle
27001)
périodiquement revus avec les
propriétaires des systèmes
d'information ou des services.
A.9.2.3 Gestion des droits L’allocation et l’utilisation  Si un processus d'attribution des  Revue du processus d’attribution  Politique de contrôle
d’accès à privilèges des droits d’accès à droits d'accès à privilèges est mis des droits à privilèges et la d’accès,
privilèges doivent être en œuvre conformément à la conformité de sa mise en œuvre  Procédure de gestion des
restreintes et contrôlées. politique de contrôle d'accès, avec la politique de contrôle accès (règles
 Si les droits d'accès à privilèges d’accès, d’attribution des droits
associés à chaque système ou  Revue des comptes d’accès à d’accès à privilèges),
processus (système privilèges,  Liste des comptes
d'exploitation, SGBD, …) et  Revue des logs des accès, d’accès à privilèges sur
chaque application et les  Interview des administrateurs les applications, les BD,
utilisateurs à qui ils doivent être systèmes, réseaux, BD et les serveurs et les
alloués ont été identifiés, applications et des responsables équipements réseau et
 Si les droits d'accès à privilèges métier pour l’identification des de sécurité,
sont attribués aux utilisateurs droits d’accès à privilèges et des  Paramètres des comptes
selon le besoin d'utilisation et en conditions de leur expiration. d’accès à privilèges
respectant le principe du (droits accordés, délai
« moindre privilège », d’expiration).
 Si les conditions d'expiration des
droits d'accès à privilèges ont été
définies.
A.9.2.4 Gestion des L’attribution des  Si un processus de gestion formel  Revue du processus d’attribution  Document du processus
informations informations secrètes est mis en œuvre pour des informations secrètes d’attribution des
secrètes d’authentification doit être l’attribution des informations d’authentification, informations secrètes
d’authentification des réalisée dans le cadre d’un secrètes d’authentification,  Revue d’un échantillon d’authentification,
utilisateurs processus de gestion  Si les utilisateurs sont tenus de d’engagements de confidentialité  Echantillon
formel. signer un engagement pour des utilisateurs détenant des d’engagements de
garder confidentielles les informations secrètes confidentialité,
informations secrètes d'authentification,  Echantillon d’accusés de

A (ISO trôle
27001)
d'authentification (cet  Interview des administrateurs réception des
engagement signé peut être systèmes, réseaux, BD et informations secrètes
inclus dans les conditions applications, d’authentification,
d'emploi),  Revue d’un échantillon d’accusés de  Captures d’écran de
 Si les informations secrètes réception de ces informations, tentatives de connexions
d'authentification temporaire  Test d’accès sur les systèmes et utilisant des informations
sont fournies aux utilisateurs de logiciels en utilisant des secrètes
manière sécurisée (l'utilisation informations secrètes d'authentification par
de parties externes ou de d'authentification par défaut des défaut des fournisseurs.
messages électroniques non fournisseurs.
protégés (en texte clair) doit être
évitée),
 Si les utilisateurs signent un
accusé de réception des
informations secrètes
d'authentification,
 Si les informations secrètes
d'authentification par défaut des
fournisseurs des systèmes ou des
logiciels sont modifiées après
leur l'installation.
A.9.2.5 Revue des droits Les propriétaires d’actifs  Si les droits d'accès des  Revue de la matrice des droits  Historique des
d’accès utilisateurs doivent vérifier les droits utilisateurs sont revus à d’accès d’un échantillon modifications sur les
d’accès des utilisateurs à intervalles réguliers et après tout d’utilisateurs ayant changé de statut comptes utilisateurs des
intervalles réguliers. changement, comme la (changement de structures ou de employés ayant changé
promotion, la rétrogradation ou rôles, promotion, rétrogradation, de statut (changement
la cessation d'emploi, cessation d’emploi), de structures ou de
 Si les droits d'accès des  Interview des responsables métiers rôles, promotion,
utilisateurs sont revus et et des administrateurs systèmes, rétrogradation, cessation
réaffectés lors de la modification réseaux, et BD pour l’identification d’emploi),

A (ISO trôle
27001)
des rôles au sein de l’organisme, des changements relatifs au  Historique des
 Si les autorisations pour les mouvement du personnel, modifications sur les
droits d'accès à privilèges sont  Vérification des logs des comptes à privilèges,
revues à des intervalles plus modifications des comptes à  Logs des modifications
fréquents, privilèges. des comptes à privilèges.
 Si les modifications apportées
aux comptes à privilèges sont
journalisées.
A.9.2.6 Suppression ou Les droits d’accès aux  Si les droits d'accès de tous les  Revue de la liste des employés et  Liste des employés et des
adaptation informations et aux employés et les sous-traitants, des sous-traitants ayant quitté sous-traitants ayant
des droits d’accès moyens de traitement des aux informations et aux moyens l’organisme, quitté l’organisme,
informations de l’ensemble de traitement de l'information,  Revue de la liste des employés et  Liste des employés et des
des salariés et utilisateurs sont supprimés à la fin de leur des sous-traitants dont les contrats sous-traitants dont les
tiers doivent être emploi, contrat ou convention, ont connu des modifications, contrats ont connu des
supprimés à la fin de leur ou sont ajustés en cas de  Interview des administrateurs modifications,
période d’emploi, ou changement systèmes, réseaux, BD et  Historique des
adaptés en cas de application, modifications sur les
modification du contrat ou  Vérification sur les serveurs de la droits d’accès des
de l’accord. suppression ou de l’ajustement des employés et des sous-
droits d’accès de ceux qui ont quitté traitants ayant quitté
ou dont les contrats ont connu des l’organisme et ceux dont
modifications. les contrats ont connu
des modifications.
A.9.3 Responsabilités des Rendre les utilisateurs responsables de la protection de leurs informations d’authentification.
utilisateurs
A.9.3.1 Utilisation Les utilisateurs doivent  Si tous les utilisateurs sont  Revue des programmes de sessions  Programme de sessions
d’informations suivre les pratiques de sensibilisés et invités à : de sensibilisation, de sensibilisation
secrètes l’organisme pour - garder confidentielles les  Interview du DRH pour réalisées et bénéficiaires,
d’authentification l’utilisation informations secrètes l’identification des sujets des  Listes des participants

A (ISO trôle
27001)
des informations secrètes d'authentification, en veillant à sessions de sensibilisation relative à aux sessions de
d’authentification. ce qu'elles ne soient pas l’utilisation d’informations secrètes sensibilisation.
divulguées à d'autres parties, y d’authentification,
compris à leurs supérieurs  Interview d’un échantillon
hiérarchiques, d’employés ayant participé à ces
- éviter de conserver un sessions.
enregistrement d'informations
secrètes d'authentification (par
exemple sur du papier, un
fichier logiciel ou un appareil
portatif), sauf si cela peut être
stocké de manière sécurisée et
si la méthode de stockage a été
approuvée (par exemple,
coffre-fort),
- changer les informations
secrètes d'authentification
chaque fois qu'il y a un soupçon
de sa compromission,
- ne pas partager ses propres
d'authentification,
- ne pas utiliser les mêmes
d'authentification à des fins
professionnelles et
personnelles.
A.9.4 Contrôle de l’accès au Empêcher les accès non autorisés aux systèmes et aux applications.
système et à
l’information
A.9.4.1 Restriction d’accès à L’accès à l’information et  Si les restrictions d'accès sont  Revue de la politique de contrôle  Politique de contrôle
A (ISO trôle
27001)
l’information aux fonctions d’application basées sur des exigences d'accès, d’accès,
système doit être restreint individuelles de l'application  Revue de la matrice des rôles  Matrice des rôles
conformément à la métier et conformément à la d’accès, d’accès,
politique de contrôle politique de contrôle d'accès  Interview des administrateurs  Echantillon de sorties,
d’accès. définie, systèmes, réseaux BD et  Logs des accès,
 Si des menus pour contrôler applications,  ACL des équipements
l'accès aux fonctions du système  Vérification des contrôles d’accès réseau et de sécurité.
d'application sont fournis, par rapport à la matrice,
 Si les informations contenues  vérification d’un échantillon de
dans les sorties sont limitées, sorties,
 Si des contrôles d'accès  Vérification des ACL sur les
physiques ou logiques pour équipements réseaux et de sécurité
l'isolation d'applications
sensibles, de données
d'application ou de systèmes
sont mis en place.
A.9.4.2 Sécuriser les Lorsque la politique de Lorsque la politique de contrôle  Revue de la politique de contrôle  politique de contrôle
procédures contrôle d’accès l’exige, d’accès exige l’utilisation d’une d’accès, d’accès,
de connexion l’accès aux systèmes et aux procédure de connexion sécurisé  Interview des responsables métiers  log des accès,
applications doit être pour l’accès aux systèmes et aux et des administrateurs systèmes,  captures d’écran,
contrôlé par une procédure applications : réseaux, et BD,  Rapport d’audit des
de connexion sécurisée.  Si cette procédure est élaborée  Vérification sur les systèmes des paramètres de
et mise en œuvre, paramètres relatifs : configuration système.
 Si le système affiche un message - A l’affichage du message
avertissant les utilisateurs l’accès d’avertissement,
n’est permis qu’aux utilisateurs - Au blocage de connexion après un
autorisés, certain nombre de tentatives
 Si le système est protéger contre échouées,
les tentatives de connexion par - Aux tentatives d’accès réussies et
« brute force », échouées journalisées,

A (ISO trôle
27001)
 Si les tentatives d’accès réussies - Au masquage des mots de passe
ou échouées sont journalisées, entrés,
 Si les mots de passes entrés sont - A la mise en fin automatique à des
masqués, sessions inactives après une
 Si les mots de passe sont période d'inactivité définie,
transmis en mode crypté, - A la limitation du temps de
 Si les sessions inactives après une connexion.
période d'inactivité définie sont
terminées automatiquement, en
particulier dans des zones à haut
risque telles que des zones
publiques ou externes en dehors
de la gestion de la sécurité de
l'organisme ou sur des appareils
mobiles,
 Si les temps de connexion sont
limités pour fournir une sécurité
supplémentaire aux applications
à haut risque et réduire les
opportunités d'accès non
autorisé.
A.9.4.3 Système de gestion des Les systèmes qui gèrent les  Si le système impose l'utilisation  Interview des administrateurs  Captures d’écran,
mots de passe mots de passe doivent être d'identifiants d'utilisateur et de systèmes, réseaux, et BD et  Rapport d’audit des
interactifs et doivent mots de passe individuels pour applications, paramètres de
garantir la qualité des mots garantir l’imputabilité,  Audit des paramètres de configuration des mots
de passe.  Si le système permet aux configuration des mots de passe sur de passe,
utilisateurs de sélectionner et de les serveurs, BD, applications et  Fichiers de stockage des
modifier leurs propres mots de équipements réseau et de sécurité, mots de passe.
passe avec la possibilité de  Vérification des fichiers de stockage
confirmation pour éviter les des mots de passe.

A (ISO trôle
27001)
erreurs de saisie,
 Si le système impose un choix de
mots de passe de qualité
(longueur, lettres, chiffres,
caractères spéciaux …),
 Si le système force les utilisateurs
à changer leurs mots de passe
lors de la première connexion,
 Si le système exige un
changement périodique des
mots de passe et au besoin,
 Si le système tient un
enregistrement des mots de
passe utilisés précédemment et
empêche leur réutilisation,
 Si le système masque les mots de
passe sur l'écran lors de la saisie,
 Si le système stocke les fichiers
de mot de passe séparément des
données des applications,
 Si le système stocke et transmet
les mots de passe sous une
forme protégée.
A.9.4.4 Utilisation de L’utilisation des  Si une procédure d’identification,  Revue de la procédure  Procédure
programmes programmes utilitaires d’authentification et d’identification, d’authentification d’identification,
utilitaires à permettant de contourner d’autorisation spécifiques aux et d’autorisation spécifiques aux d’authentification et
privilèges les mesures de sécurité programmes utilitaires à programmes utilitaires à privilège, d’autorisation
d’un système ou d’une privilèges est élaborée et mise en  Revue du document définissant les spécifiques aux
application doit être œuvre, niveaux d’autorisation relatifs aux programmes utilitaires,
limitée et étroitement  Si les programmes utilitaires à programmes utilitaires à privilège,  Document définissant les

A (ISO trôle
27001)
contrôlée. privilège sont séparés des  Interview du DSI, niveaux d’autorisation
logiciels d’application,  Vérification sur les serveurs et sur relatifs aux programmes
 Si l’utilisation des programmes un échantillon de postes de travail utilitaires à privilège,
utilitaires à privilège est limitée à de l’existence de programmes  logs d’utilisation des
un nombre minimal acceptable utilitaires à privilège et de leur programmes utilitaires à
d’utilisateurs de confiance utilité, privilège.
bénéficiant d’une autorisation,  Vérification sur un échantillon de
 Si toutes les utilisations de postes de travail des utilisateurs
programmes utilitaires à ayant accès à des applications
privilège sont journalisées, relatives à des systèmes pour
 Si les niveaux d’autorisation lesquels la séparation des tâches est
relatifs aux programmes requise, de l’existence de
utilitaires à privilège sont définis programmes utilitaires à privilège,
et documentés,  vérification des logs d’utilisation des
 Si tous les programmes utilitaires programmes utilitaires à privilège.
à privilège inutiles sont
désinstallés ou désactivés,
 Si les programmes utilitaires ne
sont pas mis à la disposition des
utilisateurs ayant accès à des
applications relatives à des
systèmes pour lesquels la
séparation des tâches est
requise.
A.9.4.5 Contrôle d’accès au L’accès au code source des  Si les bibliothèques de  Revue de la procédure de gestion  procédure de gestion des
code source des programmes doit être programmes sources ne sont pas des changements pour la changements,
programmes restreint. stockées sur les systèmes en vérification de la prise en charge de  liste des droits d’accès
exploitation lorsque cela est la maintenance et de copie des aux bibliothèques de
possible, bibliothèques de programmes programmes sources,
 Si le personnel chargé de sources,  Echantillon

A (ISO trôle
27001)
l’assistance technique ne dispose  revue d’un échantillon d’autorisation de mise à
pas d’un accès illimité aux d’autorisation de mise à jour et de jour et de délivrance des
bibliothèques de programmes délivrance des programmes sources programmes sources aux
sources, aux programmeurs, programmeurs,
 Si la mise à jour des  Interview du DSI, des programmeurs  paramètres de
bibliothèques de programmes et du personnel chargé de configuration de
sources et des éléments associés, l’assistance, l’environnement de
ainsi que la délivrance des  Vérification de l’absence des stockage des listing de
programmes sources aux bibliothèques de programmes programmes
programmeurs ne sont réalisées sources sur les systèmes en  logs des accès aux
qu’après attribution d’une exploitation, bibliothèques de
autorisation appropriée,  Vérification des droits d’accès aux programmes sources.
 Si les listings de programmes bibliothèques de programmes
sont stockés dans un sources,
environnement sécurisé,  Vérification de l’environnement de
 Si tous les accès aux stockage des listings de
bibliothèques de programmes programmes,
sources sont journalisés,  vérification des logs des accès aux
 Si les processus de maintenance bibliothèques de programmes
et de copie des bibliothèques de sources.
programmes sources sont soumis
à des procédures strictes de
contrôle des changements.
A.10 Cryptographie
A.10.1 Mesures Garantir l’utilisation correcte et efficace de la cryptographie en vue de protéger la confidentialité,
cryptographiques l’authenticité et/ou l’intégrité de l’information.

A (ISO trôle
27001)
A.10.1.1 Politique d’utilisation Une politique d’utilisation  Si une politique d’utilisation des  Revue de la politique d’utilisation  Politique d’utilisation des
des mesures des mesures mesures cryptographiques est des mesures cryptographiques, mesures
cryptographiques cryptographiques en vue élaborée et mise en œuvre,  Revue de rapport d’analyse des cryptographiques,
de protéger l’information  Si la direction adopte une risques,  Rapport d’analyse des
doit être élaborée et mise approche en ce qui concerne  Entrevue avec le DG, risques,
en œuvre. l’utilisation de mesures  Interview des administrateurs  Rapports de test des
cryptographiques pour la systèmes, réseaux, BD et solutions de chiffrement.
protection de l’information liée à applications,
l’activité de l’organisme,  Test des solutions de chiffrement
 Si le niveau de protection requis, mises en place au niveau des
en tenant compte du type, de la serveurs, des équipements réseaux
puissance et de la qualité de et de sécurité et des applications.
l’algorithme de chiffrement
requis, est identifié sur la base
d’une appréciation du risque,
 Si les liens permanents et les
échanges de données devant
être protégés par des solutions
de chiffrement sont définis et si
ces solutions sont mises en place
au niveau du réseau local et du
réseau étendu,
 Si les transactions sensibles
devant être protégés par des
solutions de chiffrement sont
définies et si ces solutions sont
mises en place au niveau
applicatif.
A.10.1.2 Gestion des clés Une politique sur  Si une politique sur l’utilisation,  Revue de la politique sur  Politique sur l’utilisation,
l’utilisation, la protection et la protection et la durée de vie l’utilisation, la protection et la durée la protection et la durée

A (ISO trôle
27001)
la durée de vie des clés des clés cryptographiques est de vie des clés cryptographiques, de vie des clés
cryptographiques doit être élaborée et mise en œuvre,  Interview des responsables métiers, cryptographiques,
élaborée et mise en œuvre  Si le système de gestion des clés  Vérification de la conformité du  Normes de gestion des
tout au long de leur cycle repose sur une série convenue système de gestion du cycle de vie cycles de vie des clés
de vie. de normes, de procédures et de des clés cryptographiques avec les cryptographiques,
méthodes sécurisées pour : normes en vigueurs,  Logs des activités liées à
- La génération des clés,  vérification des logs et du rapport la gestion des clés,
l’attribution de ces clés aux d’audit des activités liées à la  Rapport d’audit des
utilisateurs, gestion des clés. activités liées à la gestion
- leur stockage, des clés.
- le traitement des clés
compromises,
- leur révocation,
- la récupération des clés
perdues,
- la sauvegarde ou l’archivage,
- la destruction,
 Si les activités liées à la gestion
des clés sont journalisées et
auditées.
A.11 Sécurité physique et environnementale
A.11.1 Zones sécurisées Empêcher tout accès physique non autorisé, tout dommage ou intrusion portant sur l’information et
les moyens de traitement de l’information de l’organisme.
A.11.1.1 Périmètre de sécurité Des périmètres de sécurité  Si les périmètres de sécurité sont  Revue du rapport d’analyse des  Rapport d’analyse des
physique doivent être définis et définis et si l’emplacement et le risques, risques,
utilisés pour protéger les niveau de résistance de chacun  Revue du plan d’architecture du  Plan d’architecture du
zones contenant des périmètres sont fonction des bâtiment de l’audité et bâtiment de l’audité,
l’information sensible ou exigences relatives à la sécurité identification des périmètres de  Rapport de test des
critique et les moyens de des actifs situés à l’intérieur et sécurité physique, mécanismes de sécurité,
traitement de des conclusions de l’appréciation  Revue du rapport de test des  Photos.
l’information. du risque,
A (ISO trôle
27001)
 Si le périmètre d’un bâtiment ou mécanismes de sécurité contre les
d’un site abritant des moyens de dommages d’intrusion physiques,
traitement de l’information est d’incendies, d’inondations, de
physiquement solide (le perturbation des services généraux
périmètre ou les zones ne  Interview du DAF, du responsable
présentent aucune faille de la sécurité physique et du RSI,
susceptible de faciliter une  Inspection visuelle des périmètres
intrusion), de sécurité.
 Si le toit, les murs extérieurs et le
sol du site sont construits de
manière solide et si les portes
extérieures sont toutes
convenablement protégées
contre les accès non autorisés
par des mécanismes de contrôle,
par exemple des barres, des
alarmes, des verrous,
 Si les portes et les fenêtres non
gardées sont verrouillées, et si
une protection extérieure pour
les fenêtres, particulièrement
celles du rez-de-chaussée, est en
place,
 Si un personnel à l’accueil ou des
moyens de contrôle d’accès
physique au site ou au bâtiment
sont placés,
 Si l’accès aux sites et aux
bâtiments est limité aux seules
personnes autorisées,

A (ISO trôle
27001)
 Si des systèmes de détection
d’intrus adaptés sont installés et
testés régulièrement pour
s’assurer qu’ils englobent
l’ensemble des portes
extérieures et des fenêtres
accessibles,
 Si les alarmes des zones
inoccupées sont activées en
permanence,
 Si les autres zones, comme la
salle informatique ou la salle des
télécommunications sont
également couvertes,
 Si les moyens de traitement de
l’information gérés par
l’organisme sont séparés
physiquement de ceux gérés par
des tiers.
A.11.1.2 Contrôle d’accès Les zones sécurisées  Si une procédure de contrôle  Revue de la procédure de contrôle  Procédure de contrôle
physique doivent être protégées par d’accès physique est élaborée et d’accès physique, d’accès physique,
des contrôles adéquats à mise en œuvre,  Revue d’un échantillon  Echantillon
l’entrée pour s’assurer que  Si la date et l’heure d’arrivée et d’autorisations d’accès aux zones d’autorisations d’accès
seul le personnel autorisé de départ des visiteurs sont sécurisées, aux zones sécurisées,
est admis. consignées et si tous les visiteurs  Interview du DAF, du responsable  Logs du système de
sont encadrés, sauf si leur accès de la sécurité physique et du RSI, contrôle d’accès
a déjà été autorisé,  Vérification du registre des visiteurs, physique,
 Si l’accès leur est accordé  Vérification des contrôles d’accès  Rapport de test du
uniquement à des fins précises physiques aux périmètres sécurisés, système de contrôle
ayant fait l’objet d’une

A (ISO trôle
27001)
autorisation et si les instructions  Vérification des emplacements des d’accès,
relatives aux exigences de caméras de surveillances et des  Photos,
sécurité de la zone et aux alarmes,
procédures d’urgence associées  Vérification du système de
leur ont été remises, vidéosurveillance,
 Si l’identité des visiteurs est  Test du système de contrôle d’accès
authentifiée à l’aide d’un moyen physique aux salles contenant les
approprié, moyens de traitement de
 Si l’accès aux zones de l’information,
traitement ou de stockage de  Vérification de la synchronisation
l’information confidentielle est des horloges des serveurs
restreint uniquement aux hébergeant ces systèmes,
personnes autorisées en mettant  Vérification des logs de ces
en œuvre des contrôles d’accès systèmes,
appropriés, par exemple un  Vérification sur un échantillon des
système d’authentification à salariés et des sous-traitant du port
deux facteurs, tels qu’une carte d’un moyen d’identification visible
d’accès et un code PIN secret, (ex : badges)
 Si un journal physique ou un
système de traçabilité
électronique de tous les accès est
conservé de manière sécurisée et
est contrôlé régulièrement,
 S’il est exigé de l’ensemble des
salariés, des contractants et des
tiers le port d’un moyen
d’identification visible,
 S’il leur est demandé qu’ils
informent immédiatement le
personnel de sécurité s’ils

A (ISO trôle
27001)
rencontrent des visiteurs non
accompagnés ou quiconque ne
portant pas d’identification
visible,
 Si un accès limité aux zones
sécurisées ou aux moyens de
traitement de l’information
confidentielle est accordé au
personnel d’un organisme tier
chargé de l’assistance technique
et uniquement en fonction des
nécessités,
 Si cet accès fait l’objet d’une
autorisation et d’une
surveillance,
 Si les droits d’accès aux zones
sécurisées sont revus et mis à
jour régulièrement et révoqués
au besoin.
A.11.1.3 Sécurisation des Des mesures de sécurité  Si les équipements-clés sont  Revue du plan d’architecture du  plan d’architecture du
bureaux, des salles et physique aux bureaux, aux hébergés dans un emplacement bâtiment de l’audité, bâtiment de l’audité
des équipements salles et aux équipements non accessible au public,  Interview du DSI,
doivent être conçues et  Si, dans la mesure du possible,  Inspection visuelle.
appliquées. les locaux sont discrets et
donnent le minimum
d’indications sur leur finalité,
sans signe manifeste, extérieur
ou intérieur, qui permette
d’identifier la présence
d’activités de traitement de

A (ISO trôle
27001)
l’information,
 Si les équipements sont
configurés de manière à
empêcher que l’information
confidentielle ou les activités
soient visibles et audibles de
l’extérieur,
 Si les répertoires et annuaires
téléphoniques internes
identifiant l’emplacement des
moyens de traitement de
l’information confidentielle ne
sont pas accessibles sans
autorisation.
A.11.1.4 Protection contre les Des mesures de protection  Si une étude sur les menaces  Revue de l’étude sur les menaces  Document de l’étude sur
menaces extérieures et physique contre les physiques et environnementales physiques et environnementales les menaces physiques et
environnementales désastres naturels, les possibles (exemple : incendies, possibles, environnementales
attaques malveillantes ou inondations, tremblements de  Revue du schéma des voies possibles,
les accidents doivent être terre, explosions, troubles civils possibles d’arrivée d’eau,  Schéma des voies
conçues et appliquées. et d'autres formes de  Revue des rapports de test des possibles d’arrivée d’eau,
catastrophes naturelles ou systèmes de détection et  Rapports de test des
d'origine humaine) et leurs d’extinction d’incendie, systèmes de détection et
impact sur l’activité de l’audité a  Interview du DAF, du responsable d’extinction d’incendie.
été réalisée de la sécurité physique et du DSI,
 S’il a été procédé à une analyse  Vérification de l’emplacement des
systématique et exhaustive de détecteurs d’humidité, de fuite
toutes les voies possibles d’eau et de fumée.
d'arrivée d'eau (Par exemple
position des locaux par rapport
aux risques d'écoulement naturel

A (ISO trôle
27001)
en cas de crue ou d'orage
violent, d'inondation provenant
des étages supérieurs, de rupture
ou de fuite de canalisation
apparente ou cachée, de mise en
œuvre de systèmes d'extinction
d'incendie, de remontée d'eau
par des voies d'évacuation, de
mise en route intempestive d'un
système d'humidification
automatique, etc.
 Si des détecteurs d'humidité ont
été installés à proximité des
ressources sensibles (en
particulier dans les faux
planchers le cas échéant), reliés à
un poste permanent de
surveillance,
 Si des détecteurs de fuite d'eau
ont été installés à l'étage
supérieur à proximité des locaux
abritant des ressources sensibles,
reliés à un poste permanent de
surveillance,
 S’il a été procédé à une analyse
systématique et approfondie de
tous les risques d'incendie (Par
exemple : court-circuit au niveau
du câblage, effet de la foudre,
personnel fumant dans les
locaux, appareillages électriques
A (ISO trôle
27001)
courants, échauffement
d'équipement, propagation
depuis l'extérieur, propagation
par les gaines techniques ou la
climatisation, etc.),
 Si un système de détection
automatique d'incendie est mise
en place pour les locaux
sensibles,
 Si Les locaux sensibles sont-
protégés par une installation
d'extinction automatique
d’incendie.
A.11.1.5 Travail dans les zones Des procédures pour le  Si des procédures pour le travail  Revue des procédures pour le travail  Procédures pour le
sécurisées travail dans les zones dans les zones sécurisées sont dans les zones sécurisées, travail dans les zones
sécurisées doivent être élaborées et mises en œuvre,  Interview du responsable de sécurisées.
conçues et appliquées.  Si le personnel est informé de sécurité physique,
l’existence de zones sécurisées  Interview d’un échantillon du
ou des activités qui s’y personnel,
pratiquent, sur la seule base du  Inspection des zones sécurisées
besoin d’en connaître, inoccupées.
 Si le travail non
supervisé/encadré en zone
sécurisée, tant pour des raisons
de sécurité personnelle que pour
prévenir toute possibilité d’acte
malveillant, est évité,
 Si les zones sécurisées
inoccupées sont verrouillées
physiquement et contrôlées

A (ISO trôle
27001)
périodiquement,
 Si tout équipement
photographique, vidéo, audio ou
autres dispositifs
d’enregistrement, tels que les
appareils photos intégrés à des
appareils mobiles sont interdits,
sauf autorisation.
A.11.1.6 Zones de livraison et Les points d’accès tels que  Si l’accès à une zone de livraison  Revue des procédures de gestion  procédures de gestion
de chargement les zones de livraison et de et de chargement depuis des actifs (classification, marquage, des actifs (classification,
chargement et les l’extérieur du bâtiment est limité manipulation, …), marquage, manipulation,
autres points par lesquels au personnel identifié et  Interview du DAF, …),
des personnes non autorisé,  Visite et inspection de la zone de  photos.
autorisées peuvent  Si la zone de livraison et de chargement et de livraison.
pénétrer dans les locaux chargement est conçue de sorte
doivent être contrôlés et, si que les marchandises puissent
possible, isolés des moyens être chargées et déchargées sans
de traitement de que le personnel ait accès aux
l’information, de façon à autres parties du bâtiment,
éviter les accès non  Si les portes extérieures de la
autorisés. zone de livraison et de
chargement sont sécurisées
lorsque les portes intérieures
sont ouvertes,
 Si les matières entrantes sont
contrôlées pour vérifier la
présence éventuelle de
substances explosives, chimiques
ou autres substances
dangereuses, avant qu’elles ne

A (ISO trôle
27001)
quittent la zone de livraison et de
chargement,
enregistrées conformément aux
procédures de gestion des actifs
dès leur arrivée sur le site,
 Si, dans la mesure du possible,
les livraisons sont séparées
physiquement des expéditions,
examinées pour vérifier la
présence d’éventuelles
altérations survenues lors de leur
acheminement, et si le personnel
de sécurité est prévenu
immédiatement de toute
découverte de ce type.
A.11.2 Matériels Empêcher la perte, l’endommagement, le vol ou la compromission des actifs et l’interruption des activités de l’organisme.
A.11.2.1 Emplacement et Les matériels doivent être  Si les moyens de traitement de  Revue du rapport d’inspection de  Rapport d’inspection de
protection localisés et protégés de l’information manipulant des l’emplacement du matériel, l’emplacement du
des matériels manière à réduire les données sensibles sont  Revue du rapport de surveillance matériel,
risques liés à des menaces positionnés avec soin, en vue de des conditions ambiantes  Rapport de surveillance
et des dangers réduire le risque que cette (température, humidité), des conditions
environnementaux et les information puisse être vue par  Revue des directives sur le fait de ambiantes,
possibilités d’accès non des personnes non autorisées, manger, boire et fumer à proximité  Directives sur le fait de
autorisé.  Si les moyens de stockage sont des moyens de traitement de manger, boire et fumer à
sécurisés contre tout accès non l’information, proximité des moyens de
autorisé,  Interview du DSI, traitement de
 Si des mesures sont adoptées  Vérification des moyens de l’information.
pour réduire au minimum les protection du matériel et des

A (ISO trôle
27001)
risques de menaces physiques et  Vérification des conditions
environnementales potentielles, ambiantes (température, humidité),
comme le vol, l’incendie, les  Inspection du paratonnerre des
explosions, la fumée, les fuites parafoudres.
d’eau (ou une rupture de
l’alimentation en eau), la
poussière, les vibrations, les
effets engendrés par les produits
chimiques, les interférences sur
le secteur électrique, les
interférences sur les lignes de
télécommunication, les
rayonnements
électromagnétiques et le
vandalisme,
 Si des directives, sur le fait de
manger, boire et fumer à
proximité des moyens de
traitement de l’information, sont
fixées,
 Si les conditions ambiantes, telles
que la température et l’humidité,
qui pourraient nuire au
fonctionnement des moyens de
traitement de l’information sont
surveillées,
 Si l’ensemble des bâtiments est
équipé d’un paratonnerre et si
toutes les lignes électriques et de
télécommunication entrantes
sont équipées de parafoudres.
A (ISO trôle
27001)
A.11.2.2 Services généraux Les matériels doivent être Si les services généraux (tels que  Revue des rapports d’évaluation des  Rapports d’évaluation
protégés des coupures de l’électricité, les services généraux, des services généraux,
courant et autres télécommunications, l’alimentation  Revue des rapports de test de ses  Rapports de test de ses
perturbations dues à une en eau, le gaz, l’évacuation des services, services.
défaillance des services eaux usées, la ventilation et la  Interview du DSI,
généraux. climatisation):  Vérification de la conformité de ses
 sont conformes aux services aux spécifications du
spécifications du fabricant du fabricant du matériel et aux
matériel et aux exigences légales exigences légales,
locales,  Vérification de l’existence
 font l’objet d’une évaluation d’alimentation redondante,
régulière pour vérifier leur d’onduleur, d’un groupe
capacité à répondre à la électrogène.
croissance de l’organisme et aux
interactions avec les autres
services généraux,
 sont examinés et testés de
manière régulière pour s’assurer
de leur fonctionnement correct,
 sont équipés, si nécessaire,
d’alarmes de détection des
dysfonctionnements,
 disposent, si nécessaire,
d’alimentations multiples sur les
réseaux physiques
d’acheminement.
A.11.2.3 Sécurité du câblage Les câbles électriques ou  Si, dans la mesure du possible,  Revue du schéma de câblage du  Schéma de câblage du
de télécommunication les lignes électriques et les lignes réseau électrique et informatique, réseau électrique et
transportant des données de télécommunication branchées  Balayages techniques et informatique,
ou supportant les services aux moyens de traitement de d’inspections physiques pour  Rapport de balayages

A (ISO trôle
27001)
d’information doivent être l’information sont enterrées, ou détecter le branchement d’appareils techniques et
protégés contre toute soumises à toute autre forme de non autorisés sur les câbles, d’inspections physiques
interception ou tout protection adéquate,  Interview du DSI, pour détecter le
dommage.  Si les câbles électriques sont  Inspection des conduits de câbles et branchement d’appareils
séparés des câbles de des panneaux de répartition et des non autorisés sur les
télécommunication pour éviter chambres de câblage. câbles.
toute interférence,
 Si, pour les systèmes sensibles ou
critiques, les mesures
supplémentaires comprennent:
- l’installation d’un conduit de
câbles blindé et de chambres
ou de boîtes verrouillées aux
points d’inspection et aux
extrémités,
- l’utilisation d’un blindage
électromagnétique pour
assurer la protection des
câbles,
- le déclenchement de balayages
techniques et d’inspections
physiques pour détecter le
branchement d’appareils non
autorisés sur les câbles,
- un accès contrôlé aux panneaux
de répartition et aux chambres
de câblage.
A.11.2.4 Maintenance des Les matériels doivent être  Si le matériel est entretenu selon  Revue des contrats de maintenances  Contrats de
matériels entretenus correctement les spécifications et la périodicité des matériels, maintenances des
pour garantir leur recommandées par le  Revue du dossier de toutes les matériels,
disponibilité permanente fournisseur,
A (ISO trôle
27001)
et leur intégrité.  Si seul un personnel de pannes suspectées ou avérées,  Dossier de toutes les
maintenance autorisé assure les  Revue des rapports d’intervention pannes suspectées ou
réparations et l’entretien du de maintenance préventive et avérées,
matériel, curative,  Rapports d’intervention
 Si un dossier de toutes les  Revue des contrats d’assurance des de maintenance
pannes suspectées ou avérées et matériels, préventive et curative,
de toutes les tâches de  Revue des rapports d’inspection du  Contrats d’assurance des
maintenance préventives ou matériel avant de le remettre en matériels,
correctives est conservé, service à l’issue de sa maintenance,  Rapports d’inspection du
 Si des mesures appropriées sont  Interview du DSI, matériel avant de le
mises en œuvre lorsque la  Vérification des mesures mises en remettre en service à
maintenance d’un matériel est œuvre avant la maintenance du l’issue de sa
planifiée en prenant en compte matériel. maintenance,
le fait qu’elle soit effectuée par  Liste des mesures mises
du personnel sur site ou en œuvre avant la
extérieur à l’organisme; et si, maintenance du
lorsque cela est nécessaire, matériel.
l’information confidentielle
contenue dans le matériel est
effacée ou le personnel de
maintenance a reçu les
autorisations suffisantes,
 Si toutes les exigences de
maintenance qu’imposent les
polices d’assurance sont
respectées,
 Si le matériel est inspecté avant
de le remettre en service à l’issue
de sa maintenance, pour
s’assurer qu’il n’a pas subi

A (ISO trôle
27001)
d’altérations et qu’il fonctionne
correctement.
A.11.2.5 Sortie des actifs Les matériels, les  Si des règles, concernant la sortie  Revue des règles concernant la  Règles concernant la
informations ou les des actifs (autorisations sortie des actifs, sortie des actifs,
logiciels des locaux de préalables, personnes autorisées,  Revue des registres de sortie des  Registres de sortie des
l’organisme enregistrement de la sortie et de actifs, actifs,
ne doivent pas sortir sans la rentrée, effacement des  Revue d’un échantillon  Echantillon
autorisation préalable. données inutiles, etc.), sont d’autorisations de sortie des actifs, d’autorisations de sortie
établies et documentées,  Interview du DAF, et du DSI. des actifs.
 Si les salariés et les tiers, qui ont
autorité pour permettre le retrait
des actifs du site, sont clairement
identifiés,
 Si des limites dans le temps sont
fixées pour la sortie des actifs et
si la date de retour est respectée,
 Si, le cas échéant, la sortie des
actifs et leur retour dans les
locaux de l’organisme sont
enregistrés,
 Si l’identité, la fonction et
l’affiliation de toute personne qui
manipule ou utilise les actifs sont
documentées et si ces
documents accompagnent le
retour du matériel, de
l’information ou des logiciels.
A.11.2.6 Sécurité des matériels Des mesures de sécurité  Si l’utilisation de matériels de  Revue d’un échantillon  Echantillon
et des actifs hors des doivent être appliquées traitement et de stockage de d’autorisations de la direction de d’autorisations de la
locaux aux matériels utilisés hors l’information hors des locaux de l’utilisation du matériel hors site, direction de l’utilisation

A (ISO trôle
27001)
des locaux de l’organisme l’organisme est autorisée par la  Revue du rapport d’analyse des du matériel hors site,
en tenant compte des direction, risques issus du travail hors site,  Rapport d’analyse des
différents risques associés  Si une politique de sécurité  Revue des registres de circulation du risques issus du travail
au travail hors site. relative au travail hors site est matériel hors site entre différentes hors site,
élaborée et mise en œuvre, personne ou tiers,  Registres de circulation
 Si le matériel et les supports de  Interview du DSI. du matériel hors site
données sortis des locaux ne entre différentes
sont pas laissés sans surveillance personne ou tiers,
dans des lieux publics,
 Si les instructions du fabricant,
visant à protéger le matériel, par
exemple celles sur la protection
contre les champs
électromagnétiques forts, sont
observées à tout instant,
 Si des mesures pour les
emplacements de travail hors
site, comme le travail à domicile,
le télétravail et les sites
temporaires, sont déterminées
en réalisant une appréciation du
risque,
 Si, lorsque du matériel circule
hors des locaux de l’organisme
entre différentes personnes ou
entre des tiers, un journal
détaillant la chaîne de traçabilité
du matériel est tenu à jour,
mentionnant au minimum les
noms des personnes

A (ISO trôle
27001)
responsables du matériel, ainsi
que les organismes dont elles
relèvent.
A.11.2.7 Mise au rebut ou Tous les composants des  Si une procédure de mise au  Revue de la procédure de mise au  Procédure de mise au
recyclage matériels contenant des rebut ou de réutilisation du rebut ou de réutilisation du matériel rebut ou de réutilisation
sécurisé(e) des supports de stockage matériel est élaborée et mise en  Revue du rapport d’analyse des du matériel
matériels doivent être vérifiés pour œuvre, risques des appareils endommagés  Rapport d’analyse des
s’assurer que toute donnée  S’il est procédé, lorsqu’il est contenant des supports de stockage, risques des appareils
sensible a bien été nécessaire, à une appréciation du  Revue de l’inventaire du matériel endommagés contenant
supprimée et que tout risque des appareils mis au rebut ou réutilisé, des supports de
logiciel sous licence a bien endommagés contenant des  Revue des rapports de mise au stockage,
été désinstallé ou écrasé supports de stockage pour rebut ou de réutilisation du  Inventaire du matériel
de façon sécurisée, avant déterminer s’il convient de les matériel, mis au rebut ou réutilisé,
leur mise au rebut ou leur détruire physiquement plutôt  Interview du DSI.  Rapports de mise au
réutilisation. que de les faire réparer ou de les rebut ou de réutilisation
mettre au rebut, du matériel.
 Si les supports de stockage
contenant de l’information
confidentielle ou protégée par le
droit d’auteur sont détruits
physiquement, ou bien si cette
information est détruite,
supprimée ou écrasée en
privilégiant les techniques
rendant l’information d’origine
irrécupérable plutôt qu’en
utilisant la fonction standard de
suppression ou de formatage.
A.11.2.8 Matériels utilisateur Les utilisateurs doivent  Si tous les utilisateurs sont  Revue des programmes de sessions  Programmes de sessions
laissés sans s’assurer que les matériels sensibilisés aux exigences et aux de sensibilisation réalisées et de sensibilisation

A (ISO trôle
27001)
surveillance non surveillés sont procédures de sécurité destinées bénéficiaires, réalisées et bénéficiaires,
dotés d’une protection à protéger les matériels laissés  Audit, sur un échantillon de postes  Rapport d’audit des
appropriée. sans surveillance, ainsi qu’aux de travail, des paramètres de paramètres de
responsabilités qui leur configuration, configuration.
incombent pour assurer la mise  Interview du DSI,
en œuvre de cette protection  Interview d’un échantillon
 Si les utilisateurs ferment les d’utilisateurs.
sessions actives lorsqu’ils ont
terminé, sauf si les sessions
peuvent être sécurisées par un
mécanisme de verrouillage
approprié, par exemple un
économiseur d’écran protégé par
un mot de passe,
 Si les utilisateurs se
déconnectent des applications
ou des services en réseau
lorsqu’ils n’en ont plus besoin,
 Si les utilisateurs protègent les
ordinateurs ou les appareils
mobiles, lorsqu’ils ne s’en
servent pas, contre toute
utilisation non autorisée par une
clé ou un dispositif équivalent tel
qu’un mot de passe.
A.11.2.9 Politique du bureau Une politique du bureau  Si une politique du bureau  Revue de la politique du bureau  Politique du bureau
propre et de l’écran propre pour les documents propre et de l’écran vide, tenant propre et de l’écran vide, propre et de l’écran vide,
vide papier et les supports compte de la classification de  Interview du DSI et du DAF,  Captures d’écrans,
de stockage amovibles, et l’information, des exigences  Inspection d’un échantillon de  Rapport d’audit des
une politique de l’écran légales et contractuelles, des

A (ISO trôle
27001)
vide pour les risques associés et de la culture bureaux occupés par des personnes paramètres de
moyens de traitement de de l’organisme, est élaborée et traitant des dossiers sensibles configuration des
l’information doivent être mise en œuvre, (utilisation d’armoires fermant à imprimantes.
adoptées.  Si l’information sensible ou clés, bureau propres, …),
critique liée à l’activité de  Vérification de l’écran vide sur un
l’organisme est mise sous clé (de échantillon de postes de travail de
préférence dans un coffre-fort, ces personnes,
une armoire ou tout autre  Audit des paramètres de
meuble de sécurité), lorsqu’elle configuration sur un échantillon
n’est pas utilisée, qu’elle soit d’imprimantes utilisées par ces
sous format papier ou sur un personnes.
support de stockage électronique
et notamment lorsque les locaux
sont vides,
 Si l’utilisation non autorisée, des
photocopieurs et autres
appareils de reproduction (par
exemple les scanneurs ou les
appareils photo numériques), est
interdite,
 Si les documents contenant de
l’information sensible ou classée
sont retirés immédiatement des
imprimantes,
 Si des imprimantes dotées d’une
fonction d’identification par code
personnel sont utilisées, afin que
seules les personnes ayant lancé
l’impression puissent récupérer
les documents imprimés et

A (ISO trôle
27001)
uniquement lorsqu’elles se
trouvent à proximité de
l’imprimante.
A.12 Sécurité liée à l’exploitation
A.12.1 Procédures et Assurer l’exploitation correcte et sécurisée des moyens de traitement de l’information.
responsabilités liées à
l’exploitation
A.12.1.1 Procédures Les procédures  Si les procédures opérationnelles  Revue des procédures  Procédures
d’exploitation d’exploitation doivent être d'exploitation (systèmes, opérationnelles d'exploitation opérationnelles
documentées documentées et mises à applications, BD, équipements et (systèmes, applications, d'exploitation,
disposition de tous les solutions réseau et sécurité, etc.) équipements et solutions réseau et  Historique des MAJ des
utilisateurs concernés. sont documentées, sécurité, etc.), procédures
 Si la documentation des  Interview du DSI, du RSI et des opérationnelles,
procédures opérationnelles différents administrateurs (système,  Rapports d’audit de
d'exploitation est maintenue à réseau, BD, …), l'authenticité et la
jour,  Interview d’un échantillon pertinence des
 Si les modifications des d’utilisateurs supposés utiliser ces procédures
procédures d'exploitation sont procédures, opérationnelles.
approuvées par les responsables  vérification du rapport d’audit de
concernés, l'authenticité et la pertinence des
 Si les procédures opérationnelles procédures opérationnelles.
d'exploitation sont rendues
disponibles à toute personne en
ayant besoin,
 Si ces procédures sont protégées
contre des altérations illicites,
 Si l'authenticité et la pertinence
des procédures opérationnelles
font l'objet d'un audit régulier.

A (ISO trôle
27001)
A.12.1.2 Gestion des Les changements apportés  S’il existe une procédure de  Revue de la procédure de gestion  Procédure de gestion des
changements à l’organisme, aux gestion des changements des changements, changements,
processus métier, aux permettant de contrôler les  Revue par échantillonnage, du  Enregistrements liés au
systèmes et moyens de décisions de changements à processus de gestion des processus de gestion des
traitement de l’information apporter au système changements : gestion des changements.
ayant une incidence sur la d'information (mise en demandes de changement et leur
sécurité de l’information production de nouveaux validation, analyse des risques
doivent être contrôlés. systèmes/équipements/logiciels potentiels des changements,
ou d'évolutions de systèmes planification et affectation des rôles
existants), et responsabilités, communication à
 Si cette procédure englobe la l'ensemble des personnes
gestion des demandes de concernées, test des changements
changement et leur validation, et mise en production des
analyse des risques potentiels changements,
des changements, planification  Interview du RSI et des
et affectation des rôles et administrateurs système, BD et
responsabilités, communication réseau
à l'ensemble des personnes 
concernées, test des
changements et mise en
production des changements.
A.12.1.3 Dimensionnement L’utilisation des ressources  Si les indicateurs/critères de  Revue des indicateurs/critères de  Indicateurs/critères de
doit être surveillée et performance des serveurs et performance des serveurs et des performance des
ajustée et des projections des équipements réseaux sont équipements réseaux, serveurs et des
sur les dimensionnements définis,  Revue de la procédure de gestion équipements réseaux,
futurs doivent être  Si les décisions de changement des changements,  Procédure de gestion des
effectuées pour garantir les s'appuient sur des analyses de  Interview du RSI et des changements.
performances exigées du la capacité des nouveaux administrateurs système, BD et
système. équipements et systèmes à réseau.
assurer la charge requise en
fonction des évolutions des
A (ISO trôle
27001)
demandes prévisibles,
 S’il existe un suivi régulier de la
performance des serveurs et
des équipements réseaux,
 S’il existe une de configuration
d'alertes lorsque les seuils de
performance sont atteints.
A.12.1.4 Séparation des Les environnements de  Si les environnements de  Interview de l’administrateur  Inventaire des serveurs
environnements de développement, de test et développement et de test sont système et d’un échantillon de de l’environnement
développement, de d’exploitation doivent être séparés des environnements développeurs et testeurs, opérationnel,
test séparés pour réduire les opérationnels,  Vérification sur les serveurs.  Inventaire des serveurs
et d’exploitation risques d’accès ou de  Si les serveurs applicatifs (où de développement et de
changements non autorisés sont installées les applications) test.
dans l’environnement en et BD s'agissent des serveurs
exploitation. dédiés.
A.12.2 Protection contre les S’assurer que l’information et les moyens de traitement de l’information sont protégés contre les logiciels malveillants.
logiciels malveillants
A.12.2.1 Mesures contre les Des mesures de détection,  Si une politique est définie afin  Revue de la politique de protection  Politique de protection
logiciels malveillants de prévention et de de lutter contre les risques contre les logiciels malveillants, contre les logiciels
récupération conjuguées à d'attaque par des codes  Revue des abonnements à des malveillants,
une sensibilisation des malveillants (virus, chevaux de centres d’alerte,  Abonnements à des
utilisateurs adaptée, Troie, spyware, vers, etc.) :  Revue des rapports d’audit de la centres d’alerte.
doivent être mises en interdiction d'utiliser des solution antivirale,
œuvre pour se protéger logiciels non préalablement  Interview d’un échantillon du
contre les logiciels autorisés, mesures de personnel informatique veillant à la
malveillants. protection lors de la
protection contre les logiciels
récupération de fichiers via des
malveillants,
réseaux externes, revues de
logiciels installés, etc,  Interview du responsable de la
 Si les actions à mener par le protection antivirale,
personnel informatique, pour  Vérification au niveau des interfaces

A (ISO trôle
27001)
prévenir, détecter et corriger d’administration des produits
les attaques par des codes antivirus.
malveillants sont définies,
 S’il y a abonnement à un centre
d'alerte permettant d'être
prévenu et d'anticiper
certaines attaques massives
pour lesquelles les antivirus ne
sont pas encore à jour,
 Si les produits antivirus sont
régulièrement
(quotidiennement) et
automatiquement mis à jour,
 Si les serveurs (et
essentiellement de production)
sont pourvus de dispositifs de
protection contre les codes
malveillants,
 Si les postes de travail sont
pourvus de dispositifs de
protection contre les codes
malveillants,
 Si une analyse complète des
fichiers du poste de travail est
régulièrement effectuée de
façon automatique,
 S’il y-a une mise en place d’une
passerelle antivirale
permettant l’inspection du
trafic Internet et messagerie,
 Si la solution antivirale et son
application/activation au
A (ISO trôle
27001)
niveau des serveurs et des
postes de travail font l'objet
d'un audit régulier.
A.12.3 Sauvegarde Se protéger de la perte de données.
A.12.3.1 Sauvegarde des Des copies de sauvegarde  Si une politique de sauvegarde,  Revue de la politique de  Politique de sauvegarde,
informations de l’information, des définissant : sauvegarde,  Liste des responsables de
logiciels et des images - les objets à sauvegarder,  Revue des rapports d’audit du sauvegardes,
systèmes doivent être - la fréquence des sauvegardes, processus de sauvegarde,  Rapports d’audit du
réalisés et testés - la nature de sauvegarde (totale,  Interview des responsables métier, processus de sauvegarde.
régulièrement différentielle),  Interview du RSI et des
conformément à une - les emplacements, administrateurs système, BD et
politique de sauvegarde - les mesures de protection, réseau.
convenue. - la procédure de restauration,
- les synchronismes nécessaires
entre différentes sauvegardes,
- les tests périodiques des
supports de sauvegarde,
- les tests périodiques de
restauration,
- la définition des rôles et des
responsabilités, période/cycle
de conservation, etc.,
est élaborée et mise en œuvre,
 Si cette politique couvre:
-les données applicatives,
- les programmes (sources
et/ou exécutables),
-les paramètres de
configuration des applications
et des logiciels de base (les
différents fichiers de

A (ISO trôle
27001)
paramétrages),
-clonage OS des Serveurs
métiers ou mise en place d'une
infrastructure virtuelle avec
acquisition des sauvegardes
des machines virtuelles,
-l'ensemble des configurations
des équipements réseau et
sécurité,
-les données utilisateurs,
-l'ensemble des paramètres de
configuration des postes
utilisateurs,
 Si la politique de sauvegarde
est mise à jour à chaque
changement de contexte
d'exploitation,
 Si les responsabilités de
sauvegarde sont définies,
 Si le processus de sauvegarde
fait l'objet d'un audit régulier.
 Si les copies de sauvegarde sont
conservées dans un local
sécurisé et protégé des risques
accidentels et d'intrusion. Si un
tel local est protégé par un
contrôle d'accès renforcé et, en
outre, être protégé contre les
risques d'incendie et de dégâts
des eaux,
 Si la politique de sauvegarde
est appliquée,
A (ISO trôle
27001)
 Si l'ensemble des sauvegardes
permettant de reconstituer
l'environnement de production
est également sauvegardé en
dehors du site de production
(sauvegardes de recours),
 Si les sauvegardes sont
protégées par des mécanismes
de haute sécurité contre toute
modification illicite ou indue,
 S’il y-a des tests périodiques de
restauration: Tests réguliers
pour s'assurer que les
sauvegardes réalisées, leur
documentation et leur
paramétrage permettent
effectivement de reconstituer à
tout moment l'environnement
de production,
 S’il y a des tests réguliers des
supports de sauvegardes.
A.12.4 Journalisation et Enregistrer les événements et générer des preuves.
surveillance
A.12.4.1 Journalisation des Des journaux  Si une analyse spécifique des  Revue du rapport d’analyse des  Rapport d’analyse des
événements d’événements enregistrant besoins en termes de besoins en termes de journalisation, besoins en termes de
les activités de l’utilisateur, journalisation est réalisée: les  Revue de la politique de journalisation,
les exceptions, les types de journaux à activer, journalisation,  Politique de
défaillances et les paramètres/éléments  Interview des responsables métier, journalisation.
événements liés à la fondamentaux concernant  Interview du RSI et des
sécurité de l’information chaque type de journaux à administrateurs système, BD et
doivent être créés, tenus à conserver (par exemple pour réseau.
l’accès à une ressource
A (ISO trôle
27001)
jour et vérifiés sensible: l’identifiant, le service
régulièrement. ou l'application demandée, la
date et l'heure, ...), localisation
des fichiers journaux, durée de
rétention des fichiers journaux,
mécanismes de protection,
mécanisme d'analyse et de
corrélation, …,
 Si les règles résultantes de cette
analyse fait l'objet d'une
politique formalisée,
 Si cette politique couvre les
applications, les bases de
données, les systèmes et les
équipements,
 Si le répertoire de stockage des
fichiers journaux se trouve
dans une partition non
système,
 Si les fichiers de journalisation
sont déplacés dans un serveur
de journalisation dédié,
 S’il y a application d’une
stratégie de rétention (puisque
taille max config du fichier
journal),
 S’il y a utilisation des
mécanismes d'analyse et de
corrélation des fichiers
journaux,
 S’il y a utilisation des outils ou
une application de contrôle
A (ISO trôle
27001)
permettant de journaliser et
d'enregistrer les appels
systèmes sensibles et les accès
aux ressources sensibles
(applications, fichiers
applicatifs, bases de données,
systèmes, etc.),
A.12.4.2 Protection de Les moyens de  S’il y a utilisation des  Revue des rapports d’audit du  Mécanismes de
l’information journalisation et mécanismes de protection des processus d’enregistrement, protection du processus
journalisée d’information journalisée fichiers journaux: exemples :  Interview de l’administrateur de journalisation,
doivent être protégés chiffrement, un système de système,  Rapports d’audit du
contre les risques de détection de modification,  Vérification des mécanismes de processus
falsification ou d’accès non contrôle d'accès, protection du processus de d’enregistrement.
autorisé.  Si les processus qui assurent la journalisation,
journalisation sont sous  Vérification de l’archivage des
contrôle strict (droits limités et enregistrements.
authentification forte pour la
solution utilisée contre tout
changement illicite des
paramètres définis),
 S’il existe un archivage (sur
disque, cassette, etc.) des
enregistrements, conservés sur
une période bien définie et de
manière infalsifiable,
 Si un audit au moins annuel du
processus d'enregistrement est
réalisé (y compris des
processus visant à détecter les
tentatives de modification et les
processus de réaction à ces
tentatives de modification).
A (ISO trôle
27001)
A.12.4.3 Journaux Les activités de  S’il y a une analyse des  Revue du rapport d’analyse des  Rapport d’analyse des
administrateur l’administrateur système et événements menés avec des événements menés avec des droits événements menés avec
et opérateur de l’opérateur système droits d'administration sur les d’administration, des droits
doivent être journalisées, systèmes/bases de données/  Revue des rapports d’audit du d’administration
protégées et vérifiées équipements réseaux/solutions processus d’enregistrement des  Mécanismes de
régulièrement. de sécurité/le parc de postes actions privilégiées, protection des journaux
utilisateurs et pouvant avoir un  Interview de l’administrateur administrateur,
impact sur la sécurité : système,  Rapports d’audit du
configuration des ressources
 Vérification des mécanismes de processus
critiques, accès à des
protection des journaux d’enregistrement des
informations sensibles,
administrateur. actions privilégiées.
utilisation d'outils sensibles,
téléchargement ou modification 
d'outils d'administration, etc.
 Si ces événements ainsi que
tous les paramètres utiles à leur
analyse ultérieure sont
enregistrés (journalisés),
 Si une analyse de ces
enregistrements, permettant de
détecter des comportements
anormaux, est réalisée,
 S’il existe un système
permettant de détecter toute
modification du système
d'enregistrement et de
déclencher une alerte
immédiate auprès d'un
responsable,
 Si les enregistrements sont
protégés contre toute altération
ou destruction,
A (ISO trôle
27001)
 Si les enregistrements ou les
synthèses sont conservés sur
une durée bien étudiée,
 Si le processus
d'enregistrement des actions
privilégiées et de traitement de
ces enregistrements fait l'objet
d'un audit régulier.
A.12.4.4 Synchronisation des Les horloges de l’ensemble  Si un dispositif de  Interview des administrateurs  horloges des serveurs et
horloges des systèmes de traitement synchronisation des horloges système et réseau, des équipements réseau
de l’information concernés des systèmes et des  Vérification de la synchronisation et sécurité synchronisées
d’un organisation ou d’un équipements réseau et sécurité des horloges des serveurs et des avec un serveur NTP
domaine de sécurité avec un référentiel de temps équipements réseau et sécurité avec unique.
doivent être précis (un serveur NTP) est mis un serveur NTP unique.
synchronisées sur une en place.
source de référence
temporelle unique.
A.12.5 Maîtrise des logiciels Garantir l’intégrité des systèmes en exploitation.
en exploitation
A.12.5.1 Installation de logiciels Des procédures doivent  Si une procédure d'installation  Revue de la procédure du contrôle  Procédure du contrôle de
sur des systèmes en être mises en œuvre pour sur l'environnement de de l’installation de logiciels sur l’installation de logiciels
exploitation contrôler l’installation de production de nouvelles l'environnement de production, sur l'environnement de
logiciel sur des systèmes en versions de  Interview de l’administrateur production,
exploitation. systèmes/logiciels/ système,  Historique des
applications est élaborée et  Vérification sur un échantillon installations sur
mise en œuvre selon un d’installations sur l'environnement l'environnement de
processus de validation et de production, des documents production,
d'autorisation bien défini, résultants,  Documentation des
 Si les nouvelles fonctionnalités
 Interview de l’administrateur changements sur
ou changements de
système, l'environnement de
fonctionnalités liées à un

A (ISO trôle
27001)
nouveau système ou à une  Vérification sur un échantillon des production,
nouvelle version sont postes utilisateurs.  Outil ou document de
systématiquement décrites gestion des versions de
dans une documentation références pour les
obligatoire avant tout passage produits installés sur les
en production, postes utilisateurs.
 Si une revue formelle des
nouvelles fonctionnalités (ou
des changements de
fonctionnalités) liées à un
changement majeur de
logiciel/système est
systématiquement réalisée,
 Si cette revue comprend une
analyse des risques éventuels
pouvant naître à cette occasion,
 Si l'équipe d’exploitation a reçu
une formation spécifique à
l'analyse des risques ou fait
appel à une ressource
spécialisée pour de telle
analyse de risques,
 Si la mise en production de
nouvelles versions de
systèmes/logiciels/
applications n'est possible que
par le personnel d'exploitation,
 Si la production informatique
gère une version de référence
pour chaque produit installé
sur les postes utilisateurs.
A (ISO trôle
27001)
A.12.6 Gestion des Empêcher toute exploitation des vulnérabilités techniques.
vulnérabilités
techniques
A.12.6.1 Gestion des Des informations sur les  S’il existe une procédure de  Revue de la procédure de gestion  Procédure de gestion de
vulnérabilités vulnérabilités techniques gestion de vulnérabilités de vulnérabilités techniques, vulnérabilités
techniques des systèmes d’information techniques permettant  Revue des rapports des audits techniques,
en exploitation doivent d’identifier, d’évaluer et de techniques,  Rapports des audits
être obtenues en temps répondre aux vulnérabilités des  Revue des documents résultants de techniques,
opportun, l’exposition systèmes, réseaux, base de l’installation des correctifs,  Documentation de
de l’organisme à ces données et applications,  Interview du RSI et des l’installation des
vulnérabilités doit être  Si des audits techniques administrateurs système et réseau, correctifs,
évaluée et les mesures réguliers sont menés,   Cellule de veille,
appropriées doivent être  Si l’installation des correctifs de  abonnement au CERT
 Vérification du processus de veille
prises pour traiter le risque sécurité se fait suite à une national,
sur les vulnérabilités techniques,
étude d'impact, des tests et une
associé.  Revue de l’historique des  Historique des
approbation préalable,
installations des nouvelles versions installations des
 Si un processus de veille sur les
et des correctifs, nouvelles versions et des
vulnérabilités techniques est
mis en œuvre :  Interview des administrateurs correctifs.
- Si une cellule de veille est mise système et réseau,
en place,  Vérification des versions installées
- Si un abonnement au CERT sur les serveurs, les équipements
national est souscrit pour réseau et sécurité et les postes de
s'informer aux vulnérabilités travail.
liées aux produits et systèmes
utilisés
 Si les correctifs de sécurité sont
régulièrement appliqués,
 Si les installations des
nouvelles versions et des
correctifs sont tracées,

A (ISO trôle
27001)
A.12.6.2 Restrictions liées à Des règles régissant  Si les droits d'accès distincts  Voir les vérifications de A.9.2.2,  Politique de contrôle
l’installation de l’installation de logiciels sont définis, pour chaque  Revue de la liste des types de d’accès,
logiciels par les utilisateurs doivent système, en fonction des profils logiciels dont l’installation est  Matrice des droits
être établies et mises en et des projets, autorisée et des types d’installation d’accès,
œuvre.  Si les types de logiciels dont qui sont interdits.  Fiches de postes d’un
l’installation est autorisée (par échantillon d’utilisateurs,
exemple l’installation des mises  liste des types de
à jour ou de correctifs à des logiciels dont
logiciels existants) et les types l’installation est
d’installation qui sont interdits
autorisée et des types
(par exemple, l’installation de
d’installation qui sont
logiciels destinés uniquement à
interdits.
un usage personnel) sont
déterminés.
A.12.7 Considérations sur Réduire au minimum l’impact des activités d’audit sur les systèmes en exploitation.
l’audit des systèmes
d’information
A.12.7.1 Mesures relatives à Les exigences et activités  Si une procédure formelle  Revue de la procédure d’audit des  Procédure d’audit des
l’audit des systèmes d’audit impliquant des d’audit des systèmes systèmes d’information, systèmes d’information
d’information vérifications sur des d’information, définissant les  Interview du RSI.
systèmes en exploitation règles concernant les audits
doivent être prévues avec menés sur les systèmes
soin et validées afin de opérationnels/ réseaux et les
réduire au minimum les responsabilités associées, est
perturbations subies par élaborée et mise en œuvre
les processus métier.
A.13 Sécurité des communications
A.13.1 Gestion de la sécurité Objectif: Garantir la protection de l’information sur les réseaux et des moyens de traitement de l’information sur lesquels elle s’appuie.
des réseaux
A.13.1.1 Contrôle des réseaux Les réseaux doivent être  Si les responsabilités et les  Revue de la procédure de gestion  Procédure de gestion des
gérés et contrôlés pour procédures de gestion des des équipements réseau, équipements réseau,

A (ISO trôle
27001)
protéger l’information équipements réseau sont  Revue des fiches de postes des  Fiches de postes des
contenue dans les définies, administrateurs réseau, administrateurs réseau,
systèmes et les  Si la responsabilité d’exploitation  Revue du schéma synoptique de  Schéma synoptique de
applications. des réseaux est séparée de celle l’architecture du réseau, l’architecture du réseau,
de l’exploitation des ordinateurs,  Revue du diagramme des flux  Diagramme des flux
 Si des mesures spéciales pour réseau, réseau,
préserver la confidentialité et  Revue de l’inventaire des  Inventaire des
l’intégrité des données équipements réseau et de sécurité, équipements réseau et
transmises sur les réseaux  Interview des administrateurs de sécurité,
publics ou les réseaux sans fil réseau,  Rapport d’audit des
sont mises en place,  Audit des comptes d’administration comptes
 Si des mesures spéciales pour des équipements réseaux et de d’administration des
maintenir la disponibilité des sécurité (compte partagé par tous équipements réseaux et
services réseau sont mises en les admins ou comptes nominatifs), de sécurité,
place,  Audit des configurations de ces  Fichiers de configuration
 Si les actions susceptibles équipements, et ACL des équipements
d’affecter la sécurité de  Revue des ACLs sur ces réseau et de sécurité,
l’information sont détectées et équipements,  Logs de ces équipements.
journalisées,  Revue des logs de ces équipements
 Si les systèmes sont authentifiés et identification des actions
sur le réseau. éventuelles pouvant avoir un impact
sur la sécurité des réseaux (ex :
accès par des outils non sécurisé tel
que Telnet).
A.13.1.2 Sécurité des services Pour tous les services de  Si la capacité du fournisseur de  Revue des accords de niveau de  Accords de niveau de
de réseau réseau, les mécanismes de services de réseau à gérer ses service (SLA) conclus avec les service (SLA) conclus
sécurité, les niveaux de services de façon sécurisée est fournisseurs de service internes ou avec les fournisseurs de
service et les exigences de déterminée et surveillée externes, service internes ou
gestion, doivent être régulièrement,  Revue de l’accord sur le droit à externes,
identifiés et intégrés dans  Si un accord sur le droit à auditer,  Accord sur le droit à

A (ISO trôle
27001)
les accords de services de auditer est conclu avec le  Revue des rapports de surveillance auditer,
réseau, que ces services fournisseur, de la capacité des connexions et des  Rapports de surveillance
soient fournis en interne  Si les dispositions de sécurité équipements (bande passante de la capacité des
ou externalisés. nécessaires à des services en contracté vs bande passante connexions et des
particulier, telles que les réelle,…), équipements (bande
fonctions de sécurité, les niveaux  Revue des rapports d’audit de la passante contracté vs
de service et les exigences de capacité des fournisseurs à bande passante réelle,…),
gestion sont identifiées et respecter l’accord de niveau de  Rapports d’audit de la
documentées, service, capacité des fournisseurs
 Si l’audité s’assure que les  Interview des administrateurs à respecter l’accord de
fournisseurs de services de réseau et des responsables métier. niveau de service.
réseau mettent ces mesures en
œuvre.
A.13.1.3 Cloisonnement des Les groupes de services  Si le réseau est divisé en  Revue du schéma synoptique de  Schéma synoptique de
réseaux d’information, domaines séparés en faisant l’architecture du réseau, l’architecture du réseau,
d’utilisateurs et de recours à des réseaux physiques  Revue du diagramme des flux  Diagramme des flux
systèmes d’information différents ou des réseaux réseau, réseau,
doivent être cloisonnés sur logiques différents (VLANs),  Revue de l’inventaire des  Inventaire des
les réseaux.  Si le périmètre de chaque équipements réseau et de sécurité, équipements réseau et
domaine est bien défini  Interview des administrateurs de sécurité,
documenté et tenu à jour, réseau,  Rapport d’audit de
 Si l’accès entre les différents  Audit des configurations et des ACLs configuration et ACLs des
domaines du réseau est contrôlé des équipements réseau et de équipements réseau et
au niveau du périmètre en sécurité. de sécurité.
utilisant une passerelle (exemple:
pare-feu, routeur-filtre),
 Si les critères de cloisonnement
des réseaux en domaines et
l’accès autorisé au-delà des
passerelles sont déterminés en

A (ISO trôle
27001)
s’appuyant sur une appréciation
des exigences de sécurité
propres à chaque domaine,
 Si cette appréciation est en
conformité avec la politique du
contrôle d’accès, la valeur et la
classification de l’information
traitée.
A.13.2 Transfert de Maintenir la sécurité de l’information transférée au sein de l’organisme et vers une entité extérieure.
l’information
A.13.2.1 Politiques et Des politiques, des  Si une politique décrivant  Revue de la politique de l’utilisation  Politique de l’utilisation
procédures procédures et des mesures succinctement l’utilisation acceptable des équipements de acceptable des
de transfert de de transfert formelles acceptable des équipements de communication, équipements de
l’information doivent être mises en place communication est élaborée et  Revue de la procédure de protection communication,
pour protéger les transferts mise en œuvre, de l’information transférée,  Procédure de protection
d’information transitant  Si une procédure de protection  Revue de la procédure de détection de l’information
par tous types de l’information transférée et de protection contre les logiciels transférée,
d’équipements de contre l’interception, la malveillants,  Procédure de détection
communication. reproduction, la modification, les  Revue des programmes de sessions et de protection contre
erreurs d’acheminement et la de sensibilisation réalisées et les logiciels malveillants,
destruction est élaborée et mise bénéficiaires,  Programmes de sessions
en œuvre,  Interview du DSI et des responsables de sensibilisation
 Si une procédure de détection et métier, réalisées et bénéficiaires,
de protection contre les logiciels  Interview d’un échantillon  Existence des outils de
malveillants qui peuvent être d’utilisateurs, détection et de
transmis via l’utilisation des  Vérification sur les serveurs et sur protection contre les
communications électroniques un échantillon de poste de travail de logiciels malveillants,
est élaborée et mise en œuvre, l’existence d’outils de détection et  Utilisation des
 Si des mesures et des de protection contre les logiciels techniques de
restrictions, liées à l’utilisation
66

Langue

Referentiel - Audit 2.1

Transféré par

Informations du document

Titre original

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Referentiel - Audit 2.1

Transféré par

Droits d'auteur :

Référentiel d’Audit

de la Sécurité des Systèmes

Version Date Nature des modifications

Pour toute remarque

Contact @ Mail Téléphone

Public Interne Diffusion restreinte Hautement confidentiel

1 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

Le présent document est un document de référence pour :

- Loi n° 2004-5 du 3 février 2004, relative à la sécurité informatique et portant sur

6. Documents requis pour la revue

Les documents requis pour la revue sont, sans s’y limiter :

7. Domaines couverts par l’audit de la sécurité des systèmes d’information

L’audit de la sécurité des systèmes d’information est un jalon de l’amélioration de la maturité de la

4 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

5 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

6 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

7 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

8 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

12 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

13 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

15 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

16 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

18 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

19 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

20 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

21 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

22 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

23 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

25 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

26 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

27 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

28 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

29 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

30 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

32 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

33 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

34 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

35 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

36 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

38 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

39 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

40 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

42 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

44 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

45 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

46 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

47 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

48 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

49 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

50 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

52 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

54 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

60 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

62 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

63 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

64 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

65 Référentiel d’Audit de la Sécurité des Systèmes d’Information ©ANSI 2019

66