Plan Pour La Mise en Œuvre de L'Iso/Cei 27001:2013, Dans Le Fondation Universitaire San Mateo

Machine Translated by Google
Mémoire de maîtrise (MISTIC) Plan directeur de sécurité à la Fondation universitaire de San Mateo
PLAN POUR LA MISE EN ŒUVRE DE L'ISO/CEI 27001:2013, DANS LE
FONDATION UNIVERSITAIRE SAN MATEO
Présenté par : FELIX EDUARDO SANCHEZ ARDILA
Enseignants : Professeur Carles Garrigues Olivella
Professeur collaborateur : Antonio José Segovia Henares
juin 2018
F élix E duardo Sánchez A rdila P sur gina 1 | 180
MERCI
Tout d'abord à ma femme, ma fille, mes parents et ma famille en général. pour le soutien inconditionnel
et une motivation constante pour la croissance professionnelle et professionnelle que j'ai tracée dans ma vie.
La réalisation de ce Projet de Fin d'Études de Master est le fruit des orientations et du développement
du sujet Système de Management de la Sécurité, ce qui m'a encouragé à mettre en place une
système de gestion de l'organisation pour laquelle je travaille, la Fundación Universitaria San
Matéo.
D'autre part, remercier la Fondation de l'Université San Mateo pour son soutien inconditionnel.
dans la réalisation du Maître.
Table des matières 0.
Description............................................ .................................................. ......... .................... 9 0.1
Méthodologie.................. ........... ....................................... .................................................................... ............. dix
Phase 1 : Situation actuelle : contextualisation, objectifs et analyse différentielle.............. 11
1.1 Introduction ................................................ .................................................. ......... ............. onze
1.2 Se familiariser avec les normes ISO/IEC 27001:2013 et ISO/IEC 27002:2013 11
1.2.1 Origine de la norme ISO/CEI 27001:2013 .................................................. ... ............... 12
1.2.2 Relation entre les normes ISO/CEI 27001 et 27002................................... ... 13
1.2.3 Famille ISO : 27000 ................................................ ............................................... 13
1.2.4 Avantages de la mise en œuvre d'un SMSI basé sur ISO/CEI 27001:2013 ...... 16
1.2.5 Structure de la norme ISO/CEI 27001:2013.................................................. .. ............ 17
1.2.6 Cycle d'amélioration continue par rapport à la norme ISO/IEC 27001:2013.............. 18
1.2.7 Phases de mise en œuvre du SMSI .................................................. ....................................... 19
1.2.8 ISO/CEI 27002:2013......................................................... ............................................... 24
1.2.9 Mesures de sécurité ISO/IEC 27002:2013 ....................................... .... ..............25
2. Etat des lieux : Contextualisation, objets et analyse différentielle................................... 29
2.1 CONTEXTUALISATION .................................................. .................................................. 29
2.1.1 Description générale de l'établissement .................................................. .... ........................... 29 2.1.2
Organisation de l'Institution ........... ....... ................................................ ................ ... 30 2.1.3 Structure
organisationnelle institutionnelle ......................... .................................................... 31 2.1.4 Infrastructure
technologique ................................ ..................... ....................................... ... 32
2.1.5 INFRASTRUCTURES PHYSIQUES ................................................ . ....................................... 35
2.1.6 Processus stratégiques institutionnels .................................................. ................... 36
2.1.7 Portée .................................................. ..................................................................... .................................... 39
2.2 Objectifs de sécurité de l'information 39
2.2.1 Objectif général .................................................. ...... ................................................ ............... 39
2.2.2 Objectifs spécifiques .................................................. .................................................. 39
2.3 Analyse différentielle 40
2.2.1 Analyse différentielle ISO/CEI : 27001:2013.................................................. .. ..................40
2.2.1 Analyse Différentielle ISO/CEI : 27002:2013 ...................................... ..................................... 48
2.3.1 Résultats .................................................. ..................................................................... .................................... 66
2.3.1.1 Résultats de maturité ISO 27001:2013.................................. ... ........... 66
2.3.1.1 Évaluation de la maturité ISO 27002:2013......................................... ...... ..............68
Phase 2. Système de gestion de documents................................................. ....................... 69
3.1 Introduction 69
3.2 Schéma de documentation 70
3.2.1 Politiques de sécurité................................................. ....... ................................................ 70
3.2.2 Procédures d'audit interne .................................................. ....... ................... 71
3.2.3 Gestion des Indicateurs............................................................ .. ................................................ 71
3.2.4 Procédure de revue de direction .................................................. .................... 71
3.2.5 Gestion des rôles et des responsabilités .................................................. ..................................... 72
3.2.7 Méthodologie d'analyse des risques .................................................. ............. ........................... 72
3.2.7 Déclaration d'applicabilité... .................................................. ....................... ... 72
3.2.8 Résultats .................................................. ..................................................................... .................... .... 73
Phase 3 4. Analyse des risques............................................ .................................................. ......... 74
4.1 Présentation …………………………………………………………………………….74
4.2 Inventaire des biens………………………………………………………………. 74
4.3 Valorisation des actifs………………………………………………………. 78
4.4 Cotes de sécurité……………………………………………………… 80
4.5 Tableau récapitulatif des valorisations…………………………………………….. 81
4.6 Analyse des menaces…………………………………………………………………….. 85
4.7 Impact potentiel …………………………………………………………………..95
4.8 Niveau de risque acceptable et risque résiduel ……………………………………….106
Phase 4 : Propositions de projets .................................................. ................................................... 116
5.1 Présentation …………………………………………………………………………….116
5.2 Propositions 117
5.3 Résultats 123
Phase 5 : 6 Audit de conformité ................................................ ....... ................................................ 125
6.1 Présentation 125
6.2 Méthodologie 126
6.3 Évaluation de la maturité ISO/IEC 27001:2013…………………………….. 127
6.4 Évaluation de la maturité ISO/CEI 27002:2013 ……………………………….136
6.5 Nonconformités par rapport à ISO 27002:2013 ………………………………..152
6.6 Remarques concernant ISO/IEC 27002:2013…………………………………..162
6.7 Présentation des résultats………………………………………….. 168
6.8 Résultats ……………………………………………………………………………..172
PHASE 6 7. Présentation des résultats et remise des rapports ...................................... 173
7.1 Introduction 173
7.2 Objectifs………………………………………………………………………………….173 7.3
Livrables………………………………… ……………………………………………….173
8.Conclusion .................................................. .................................................. ............................... 174
8.1 Présentation……………………………………………………………………………….174
8.2 Objectifs spécifiques ……………………………………………………………………..174
8.3 Recommandations …………………………………………………………………..174
8. Termes et définitions.................................................. .................................................. .......... 174
9. Pièces jointes…………………………………………………………………………………………..177
Bibliographie …………………………………………………………………………………178
Index des illustrations
Illustration 1 : Évolution Système intégré de gestion institutionnelle. .................................................. 18
Illustration 2 : Cycle de Deming appliqué à l'information systèmes de gestion de la sécurité.18 Illustration 3 :
Structure organisationnelle institutionnelle................................. ...... ...................... 31 Illustration 4 Structure
organique de la gestion des systèmes .................. .... ...................................... 32 Illustration 5 : Architecture
logicielle ..... .................................................. .... ........................... 33 Illustration 6 : Topologie
physique.............. .... .............................................. ............. .......................... 33 Illustration 7 : Infrastructure
de serveur..... ............ ................................................ ..................... .......... 34 Illustration 8 Carte de
localisation de San Mateo ............ .................................................................... ........... 36 Illustration 9 :
Evolution du Système de Management Intégré institutionnel. .................................................. 37 Illustration
10 : système de sécurité de la qualité. .................................................. ......... .......... 38 Figure 11 : Maturité
CMM des contrôles ISO ...................... .............................................. 66 Illustration 12 : Schéma comparatif
de l'état actuel avec l'état souhaité Contrôles ISO... .... 67 Illustration 13 : Synthèse de la conformité par
Domaines ...................... ..................... .................... 68 Illustration 14 : Pourcentage de maturité du contrôles
mis en place .................................................................. .... 68 Illustration 15 : Pourcentage de contrôles
Approuvés et Non Approuvés .................. ................ ........... 69 Illustration 16 : Dépendances d'administration
et de surveillance ................ ............ ............................... 79 Illustration 17 : Évaluation de la maturité par
rapport aux contrôles ISO/CEI 27002 : 2013... 125 Illustration 18 Degré de Maturité
MMC.................................. ....... .................................... 169 Illustration 19 Pourcentage de maturité mesuré
dans l'audit .... . ..... .................................. 171 Illustration 20 Pourcentage de conformité à la
Norme ......... .................................................. 172
Indice du tableau
Tableau 1 : Phases de mise en œuvre du SMSI à la Fondation de l'Université de San Mateo............ 19
Tableau 2 : Évaluation des critères de maturité du CMM............ ... ............................................................... ............
40 Tableau 3 : Évaluation de l'efficacité des contrôles ISO 27001:2013.............. ....... .... 41 Tableau 4
Exigences obligatoires pour le SMSI .................................. .................................................... 42 Tableau 5 :
Maturité du contrôle ISO............. .............................. ............................. ..................... ......... 48 Tableau 6 :
Modèle de maturité de la conformité .................................. .................................................. .... 50 Tableau
7 : Résumé of Compliance Maturity à la Fondation Universitaire San Mateo.......... 51 Tableau 8 : Évaluation
des 114 contrôles. .................................................. ......... ................................ 51 Tableau 9 : Evaluation des
contrôles de la Norme ISO / IEC 27002:2013Contrôle dans la norme ISO/
IEC27002:2013. .................................................. ......................................................... 52 Tableau 10
Récapitulatif de la conformité par domaines .................................................. .................. ........... 65 Tableau
11 : Types d'actifs selon MAGERIT. .................................................. ......... ........................... 74 Tableau 12 :
Inventaire des actifs ........ ................................ ....................... ....................................... .............. ..... 75
Tableau 13 : Échelle de cotation. .................................................. ......... ......................................... 79
Tableau 14 : Évaluation des dimensions de sécurité .................................................. ................. ...........................
81 Tableau 15 : Valorisation des des atouts. .................................................. ......... ...................................
81 Tableau 16 : Catalogue des Menaces MAGERIT ....................................................... ..................................
85 Tableau 17 : Catégories de fréquence des menaces. .................................................. ......... .............. 87
Tableau 18 : Synthèse de l'analyse des menaces .................. ............................................................... ..................................
88 Tableau 19 : Impact des menaces ...................... ................................ .................. ............................... 95
Tableau 20 : Rapport Impact/Fréquence ...... ....................................... ........... .................................. 107
Tableau 21 : Valeurs de fréquence maximales. .................................................. ......... ................................
107 Tableau 22 : Résumé de l'analyse du niveau de risque . .................................................. ......... ...........
108 Tableau 23 : Actifs dépassant le niveau MOYEN. .................................................. ......... ...........................
111 Tableau 24 : Résumé de la conformité du domaine. .................................................. ......... 124 Tableau
25 Modèle de maturité de capacité (CMM) .................................. ................ ............ 126 Tableau 26
Pourcentage de maturité des domaines ISO 27002 ........... .................................... 170
indice de pièce jointe
Annexe A Autodiagnostic .................................................. .................................................. ......... 177 Annexe
B Politiques de sécurité des informations .................................. ............................... 177 Annexe C Procédure
d'audit interne .................. ....................... ........................... ................ 177 Annexe D Gestion des
indicateurs ...................................... ...................................... ............ ............... 177 Annexe E Procédure de
revue de direction ................................ .................................................... 177 Annexe F Gestion des rôles et
des responsabilités.................................................. .................. ....... 177 Annexe G Méthodologie d'analyse
des risques .................... ....................... ........................... .............. 177 Annexe H Énoncé
d'applicabilité ................ ........... ................................................ .. ...... 177 Annexe I Évaluation de la maturité
concernant les contrôles définis dans la norme ISO 27002 ..... 177 A Appendice J Déclaration d'applicabilité
San Mateo………………………………………174 Appendice K Résumé de l'analyse du niveau de
risque……………..…………… ……174 Annexe L Interne Rapport
d'audit……………………………….…………………………174 Annexe M Inventaire de San
Mateo……………………………… ………………… ………………174 Annexe N Résultat de l'évaluation de la
maturité………………………………………………174 Annexe Ñ Résultat de l'évaluation de la maturité2………
…….……………… ………………174
0. Descriptif
Le plan de mise en œuvre ISO/IEC 27001:2013 est un aspect clé dans toute organisation qui souhaite aligner
ses objectifs et principes de sécurité sur la norme de référence internationale.
L'objectif principal est de jeter les bases du processus d'amélioration continue en matière de sécurité de
l'information, permettant aux organisations de connaître son état et de proposer les actions nécessaires pour
minimiser l'impact des risques potentiels.
Le projet vise la mise en place d'un SMSI (Système de Management de la Sécurité de l'Information)
Information) pour la Fondation Universitaire San Mateo, pour laquelle une méthodologie a été établie qui
comporte les phases suivantes :
• Documentation réglementaire sur les meilleures pratiques en matière de sécurité de l'information.
• Définition claire de la situation actuelle et des objectifs du SMSI.
• Analyse des risques.
o Identification et valorisation des actifs de l'entreprise comme point de départ d'une analyse des
risques.
o Identification des menaces, évaluation et classification de cellesci.
• Évaluation du niveau de conformité à la norme ISO/IEC 27002:2013 dans l'organisation.
• Propositions de projets en vue d'une gestion adéquate de la sécurité.
• Schéma documentaire.
En tant que livrables du projet, essentiellement les produits spécifiés cidessous doivent être présentés :
• Rapport d'analyse différentielle.
• Schéma de documentation ISO/CEI 27001.
• Analyse des risques.
• Planification du projet.
• Audit de conformité.
• Présentation des résultats.
0.1 Méthodologie
Sur le plan méthodologique, une approche progressive du projet sera menée en vue de faire face aux
différentes sections de manière à pouvoir le faire dans les délais impartis.
En ce sens, le calendrier des activités à réaliser est listé cidessous :
• Phase 1. Situation actuelle : Contextualisation, objectifs et analyse différentielle
Date limite de livraison : 9 mars.
Présentation du projet. Approche et sélection de l'entreprise qui fera l'objet de l'étude. Définition des
objectifs du schéma directeur de sécurité et analyse différentielle de l'entreprise par rapport à la norme
ISO/IEC 27001+ISO/IEC 27002.
• Phase 2. Système de gestion de documents
Date limite de livraison : 23 mars.
Élaboration de la politique de sécurité. Déclaration d'applicabilité et documentation du SMS
• Phase 3. Analyse des risques
Date limite de livraison : 13 avril.
Développement d'une méthodologie d'analyse des risques : Identification et évaluation des actifs,
menaces, vulnérabilités, calcul des risques, niveau de risque acceptable et risque résiduel.
• Phase 4 : Proposition de projet
Date limite de livraison : 27 avril
Évaluation des projets à réaliser par l'Organisation pour s'aligner sur les objectifs énoncés dans le
Plan directeur. Quantification économique et temporelle de la même chose.
• Phase 5 : Audit de conformité ISO/IEC 27002:2013
Date limite de livraison : 18 mai
Évaluation des contrôles, maturité et niveau de conformité.
• Phase 6. Présentation des résultats et livraison des rapports
Date limite de livraison : 6 juin
Consolidation des résultats obtenus au cours du processus d'analyse. Préparation de rapports et
présentation à la direction. Livraison du projet final.
Phase 1 : Situation actuelle : Contextualisation, Objectifs et Analyse
Différentiel
1.1 Introduction
La mise en place d'un système de management de la sécurité de l'information (SMSI) est l'un des
les éléments clés avec lesquels le responsable de la sécurité de l'information doit travailler dans un
institution, entreprise ou organisation, ce système organise les procédures de gestion d'un
sécurité correctement, permettant l'analyse et l'autodiagnostic pour connaître l'état
dans lequel il se trouve, vérifier les lacunes et établir un plan d'amélioration.
Lors de la réalisation d'une implémentation d'un (ISMS), en tenant compte d'une norme
Contrôles internationaux ISO 27001:2013 et ISO/IEC 27002:2013, un cycle doit être utilisé
PDCA OU PHVA1 qui comporte les étapes suivantes : Planifier, Faire, Vérifier et Agir. Ces
cycles permettent une amélioration continue, établissant des objectifs de sécurité, des contrôles, des analyses
et des audits basés sur des outils tels que GAP, dont la principale fonction est d'identifier les
menaces qui mettent en péril les piliers de la sécurité informatique. Confidentialité, intégrité
et la disponibilité des informations.
Les organisations doivent contrôler, identifier, évaluer et classer à travers chacun des
Contrôles de sécurité ISO/IE 27002:2013, mettant en œuvre des solutions efficaces pour atténuer
situations susceptibles de compromettre des informations importantes et vulnérables telles que des bases de données de
les personnes, les actifs et les informations financières ("ISO 27001 : La mise en œuvre d'un système de
Gestion de la sécurité de l'information)
1.2 Connaître les normes ISO/IEC 27001:2013 et ISO/IEC 27002:2013
L'information est un atout très précieux qui peut faire ou défaire une entreprise. La
Les organisations doivent assurer leur sécurité en termes d'intégrité, de disponibilité et de
confidentialité de l'information, l'information a été consolidée comme faisant de plus en plus partie
important, et en même temps la méthodologie et les "bonnes pratiques" sur
sécurité des informations.
En ce sens, des organisations telles que l'ISO (Organisation internationale de normalisation) et la CEI
(Commission Electrotechnique Internationale) ont développé conjointement la famille ISO/CEI 27000.
Il s'agit d'un ensemble de normes élaborées pour fournir un cadre de gestion de la sécurité des
informations applicables
1.2.1 Origine de la norme ISO/IEC 27001:2013
L'histoire de l' ISO a commencé en 1946 lorsque des délégués de 25 pays se sont réunis à l'Institut de
Civil Engineers à Londres et a décidé de créer une nouvelle organisation internationale « pour faciliter
coordination internationale et unification des normes industrielles ». Le 23 février 1947,
la nouvelle organisation, l'ISO, a officiellement commencé ses activités (ISO, 2016), son siège est à Genève
Suisse, les normes internationales sont l'épine dorsale de la société, garantissant la sécurité et
qualité des produits et services. L'ISO est une organisation non gouvernementale internationale et
indépendant avec un effectif de 161 organismes nationaux de normalisation (ISO, 2016).
Les normes internationales font que les choses fonctionnent bien, offrent des spécifications de classe
dans le monde entier pour les produits, services et systèmes, afin d'assurer la qualité, la sécurité et l'efficacité.
Ils sont indispensables pour faciliter le commerce international, l'ISO a publié 22070 normes
documents internationaux et documents connexes, couvrant presque tous les secteurs, de la technologie,
à la sécurité alimentaire, à l'agriculture et à la santé.
ISO/IEC 27001:2013 spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer
en permanence un système de management de la sécurité de l'information dans le cadre de la
organisme. Il comprend également des exigences pour l'évaluation et le traitement des risques de sécurité.
d'informations adaptées aux besoins de l'organisation. Les exigences établies dans la norme ISO/
CEI 27001:2013 sont génériques et sont destinés à être applicables à toutes les organisations,
Indépendamment de son type, de sa taille ou de sa nature, la révision la plus récente de cette norme a été
publié en 2013 et maintenant son nom complet est ISO/IEC 27001:2013. Le premier avis est
publié en 2005 et a été développé sur la base de la norme britannique BS 77992.
Comme la sécurité est devenue une partie de plus en plus importante des systèmes
d'informations, tout comme la méthodologie et les "bonnes pratiques" en matière de sécurité
des informations. Pour cette raison, il est important d'avoir une première étape d'enquête
informations et certaines des meilleures pratiques en matière de sécurité de l'information. Ces « meilleures
pratiques » seront essentielles pour mener à bien une approche systématique de l'analyse de la sécurité.
Adoption de l'Annexe SL (ce qui était auparavant le Guide ISO 83) dans le SMSI. C'est important de mentionner
que cette annexe décrit les lignes directrices d'un système de gestion générique ; aider le
entreprises qui, pour une raison quelconque, doivent certifier plusieurs normes de système de management. De cette
La fiche ISO 27001 répond aux exigences communes à tous les systèmes de management, facilitant la
mise en place et audit de plusieurs systèmes au sein d'une même organisation.
1.2.2 Relation entre les normes ISO/CEI 27001 et 27002
La norme ISO/IEC : 27001:2013 est une norme qui définit comment exécuter un système de gestion de la
Sécurité ISO/IEC : 27001:2013 de l'information (ISMS), indiquant que la sécurité des
l'information doit être planifiée, mise en œuvre, surveillée, révisée et améliorée. Parmi ces jalons,
ils extraient une série d'objectifs pour son accomplissement et qui sont établis dans la norme. Pour le
Il s'agit donc d'une norme de certification de conformité auxdits objectifs.
Au lieu de cela, ISO/IEC/27002:2013 est un guide des meilleures pratiques pour améliorer la sécurité
de l'information de manière à ce qu'elle contribue à atteindre les objectifs fixés dans l'ISO/CEI :
27001:2013. Ces bonnes pratiques sont présentées sous forme de contrôles différenciés par domaines
liés à la sécurité de l'information. Ces contrôles sont déjà nommés dans la norme
ISO/IEC : 27001:2013 dans son Annexe A, mais sans être développée, et c'est dans 27002 où
développer. (ISO, 2016).
Par conséquent, on peut conclure que la norme ISO/IEC 27002 offre les outils pour aider
atteindre les objectifs établis dans la norme ISO/27001.
1.2.3 Famille ISO : 27000
ISO 27000 est un regroupement de normes développées ou en cours de développement qui fournissent un cadre
de gestion de la sécurité de l'information applicable à tout type d'entreprise, privée ou publique, petite ou grande
("famille iso 27001 Rechercher avec Google")
ISO/IEC 27000:2018 donne un aperçu des systèmes de management de la
sécurité de l'information (SMSI). Il fournit également des termes et des définitions couramment utilisés.
utilisé dans la famille de normes ISMS. Ce document est applicable à tous les types et tailles
organisation (par exemple, sociétés commerciales, agences gouvernementales, organisations à but non lucratif).
ISO/IEC 27001:2013 spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer
en permanence un système de management de la sécurité de l'information dans le cadre de l'organisation. Il comprend
également des exigences pour l'évaluation et le traitement des risques de sécurité de l'information adaptés aux besoins
de l'organisation. Les exigences établies dans l'ISO
/ IEC 27001 : 2013 sont génériques et sont destinés à être applicables à toutes les organisations, quels que soient leur
type, leur taille ou leur nature.
ISO/IEC 27002:2013 fournit des lignes directrices pour les normes de sécurité de l'information
les pratiques organisationnelles et de gestion de la sécurité de l'information, y compris la sélection,
la mise en place et la gestion des contrôles en tenant compte des environnements de risques de sécurité des
informations sur l'organisation.
Il est conçu pour être utilisé par des organisations qui souhaitent :
• Sélectionner les contrôles dans le processus de mise en œuvre d'un système de gestion de la sécurité de
l'information basé sur ISO/IEC 27001 ;
• mettre en œuvre des contrôles de sécurité de l'information communément acceptés ;
• développer leurs propres directives de gestion de la sécurité de l'information.
ISO/IEC 27003:2017 mis à jour le 12 avril 2017. Non certifiable. C'est un guide qui se concentre
dans les aspects critiques nécessaires à la conception et à la mise en œuvre réussies d'un SMSI conformément
ISO/IEC 27001. Décrit le processus de spécification et de conception de la conception à la mise en service
plans de mise en œuvre en cours, ainsi que le processus d'obtention de l'approbation par le
direction pour mettre en œuvre un SMSI.
ISO/IEC 27004:2016 fournit des lignes directrices destinées à aider les organisations à évaluer
performances en matière de sécurité de l'information et efficacité d'un système de gestion de la sécurité de l'information
les informations afin de se conformer aux exigences de la norme ISO/IEC 27001:2013.
Établit :
a) surveiller et mesurer les performances en matière de sécurité de l'information ;
b) surveiller et mesurer l'efficacité d'un système de gestion de la sécurité de l'information
informations (ISMS), y compris ses processus et contrôles ;
c) analyse et évaluation des résultats de la surveillance et des mesures.
ISO/IEC 27005:2011 fournit des lignes directrices pour la gestion des risques de sécurité des
informations, est compatible avec les concepts généraux spécifiés dans la norme ISO/CEI 27001 et est
conçu pour aider à la mise en œuvre réussie de la sécurité de l'information basée sur
une approche de gestion des risques.
Connaissance des concepts, modèles, processus et terminologies décrits dans ISO/IEC 27001
et ISO / IEC 27002 est important pour une compréhension complète de l'ISO / IEC 27005: 2011.
L'ISO/CEI 27005:2011 s'applique à tous les types d'organisations (par exemple, les sociétés commerciales,
agences gouvernementales, organisations à but non lucratif) qui cherchent à gérer les risques
pourrait compromettre la sécurité des informations de l'organisation.
ISO/IEC 27006:2015 spécifie les exigences et fournit des lignes directrices pour les organismes qui
assurer l'audit et la certification d'un système de management de la sécurité de l'information
(ISMS), en plus des exigences contenues dans ISO/IEC 170211 et ISO/IEC 27001. Il est prévu
principalement pour soutenir l'accréditation des organismes de certification qui fournissent les
Certification SMSI.
Les exigences contenues dans la présente Norme internationale doivent être démontrées en termes de
la compétence et la fiabilité de tout organisme délivrant la certification SMSI, et la
Les lignes directrices de la présente Norme internationale fournissent une interprétation supplémentaire de ces
exigences pour tout organisme fournissant une certification SMSI.
NOTE : La présente Norme internationale peut être utilisée comme document de critères pour l'accréditation,
examen par les pairs ou autres processus d'audit ISO/IEC 27007:2011 Lignes directrices pour l'audit
un SGSI.
ISO/IEC 27007:2017 fournit des lignes directrices sur la gestion d'un programme d'audit de
système de gestion de la sécurité de l'information (SMSI), sur la réalisation d'audits et sur
la compétence des auditeurs SMSI, en plus des orientations contenues dans la norme ISO 19011:2011.
ISO/IEC 27007 est applicable à ceux qui ont besoin de comprendre ou de réaliser des audits internes
ou externe d'un SMSI ou pour administrer un programme d'audit SMSI.
ISO/IEC TR 27008:2011 fournit des lignes directrices sur l'examen de la mise en œuvre et
fonctionnement des contrôles, y compris la vérification de la conformité technique des contrôles du système
d'informations, conformément aux normes de sécurité de l'information établies par
une organisation.
L'ISO/CEI TR 27008:2011 s'applique à tous les types et tailles d'organisations, y compris
entreprises publiques et privées, entités gouvernementales et organisations à but non lucratif qui
effectuer des revues de sécurité de l'information et des contrôles de conformité technique. Il n'est pas là
destinés aux audits des systèmes de management.
ISO/IEC 27009:2016 définit les exigences pour l'utilisation d'ISO/IEC 27001 dans n'importe quel secteur
spécifique (domaine, domaine d'application ou secteur de marché). Expliquer comment inclure les exigences
en plus de celles de l'ISO/IEC 27001, comment affiner l'une des exigences de l'ISO/IEC 27001 et
comment inclure des contrôles ou des ensembles de contrôles en plus de l'ISO/IEC 27001:2013, Annexe A.
S'assure que les exigences supplémentaires ou affinées n'entrent pas en conflit avec les exigences existantes.
de l'ISO/CEI 27001.
Elle s'applique à ceux qui participent à l'élaboration de normes sectorielles.
liés à ISO / CEI 27001.
1.2.4 Avantages de la mise en œuvre d'un SMSI basé sur ISO/IEC 27001:2013
• Réduire le risque, avec la réduction conséquente des dépenses associées.
• Réduire l'incertitude en connaissant les risques et impacts associés.
• Améliorer continuellement la gestion de la sécurité de l'information.
• Assurer la continuité de l'activité.
• Accroître la compétitivité en améliorant l'image de l'entreprise.
• Confiance accrue des parties prenantes.
• Augmentation de la rentabilité, dérivée de la maîtrise des risques.
• Se conformer à la législation en vigueur en matière de sécurité de l'information.
• Augmenter les opportunités d'affaires.
• Réduire les coûts associés aux incidents.
• Améliorer l'implication et la participation du personnel dans la gestion de la sécurité.
• Possibilité d'intégration avec d'autres systèmes de gestion tels que ISO 9001, ISO14001, OHSAS 18001, entre
autres.
• Améliorer les processus et les services fournis.
• Accroître la compétitivité en améliorant l'image de l'entreprise (Marco & Poblano, nd).
1.2.5 Structure de l'ISO/CEI 27001:2013
Le nouveau schéma défini par l'Organisation internationale de normalisation ISO pour tous
Systèmes de gestion selon le nouveau format appelé "Annexe SL", qui fournit une structure
uniforme comme cadre d'un système de gestion générique.
L'annexe SL s'applique à toutes les normes de système de gestion, telles que les normes ISO,
les spécifications d'accès public (PAS) et les spécifications techniques (TS). Révisions ISO
9001 et ISO 14001, ainsi que la nouvelle norme ISO 45001 sont tous basés sur la structure de haut niveau
Niveau annexe SL.
Clause 1 : Objet et champ d'application
Article 2 : Références normatives
Article 3 : Termes et définitions
Article 4 : Contexte de l'organisation
Article 5 : Direction
Article 6 : Planification
Article 7 : Assistance
Article 8 : Fonctionnement
Article 9 : Évaluation des performances
Clause 10 : Amélioration (Marco & Poblano, nd)
1.2.6 Cycle d'amélioration continue par rapport à la norme ISO/IEC 27001:2013
Illustration 1 : Évolution Système intégré de gestion institutionnelle.
Source : UOC. (2016). Mise en place d'un système de management de la sécurité de l'information
(SGSI).
Le développement d'un système de management de la sécurité de l'information est basé sur la norme ISO 27001
et ISO 27002, ainsi que dans le cycle de Deming, pour garantir la mise à jour du système et la
amélioration continue, comme décrit dans le graphique suivant :
Illustration 2 : Cycle de Deming appliqué aux systèmes de management de la sécurité de l'information.
Source : UOC. (2016). Mise en place d'un système de management de la sécurité de l'information
(SGSI).
• Phase PLANIFICATION dans la norme ISO 27001:2013 : Contexte de l'organisation de la norme ISO 27001:2013,
la nécessité de réaliser une analyse des questions externes et internes de l'organisation et de son contexte est
déterminée, dans le but d'inclure les besoins et les attentes des parties prenantes de l'organisation dans le
périmètre du SMSI. Le leadership, les responsabilités et les engagements de la haute direction concernant le
système de gestion de la sécurité de l'information sont établis.
• Phase DO dans la norme ISO 27001:2013 : Au chapitre 8 Fonctionnement de la norme ISO 27001:2013, il est
indiqué que l'organisation doit planifier, mettre en œuvre et contrôler les processus nécessaires pour répondre
aux objectifs et aux exigences de sécurité et effectuer l'évaluation et le traitement des risques de sécurité de
l'information.
• Phase VERIFY de la norme ISO 27001:2013 : le chapitre 9 Évaluation des performances définit les exigences
pour évaluer périodiquement les performances de la sécurité de l'information et l'efficacité du système de
gestion de la sécurité de l'information.
• Phase ACT dans la norme ISO 27001:2013 : Au chapitre 10 Amélioration20, il est établi pour le processus
d'amélioration du Système de Management de la Sécurité de l'Information, qu'à partir des nonconformités30
qui surviennent, les organisations doivent établir les actions les plus efficaces pour résoudre et évaluer la
nécessité d'actions pour éliminer les causes de la nonconformité dans le but de ne pas les répéter ("Cycle
PDCA (Planifier, Faire, Vérifier et Agir) : Le cercle d'amélioration de Deming suite | Accueil PDCA")
1.2.7 Phases de mise en œuvre du SMSI
Les phases qui seraient nécessaires à la mise en œuvre, ainsi que le détail des activités à réaliser.
serait réalisée à chaque phase à la Fundación Universitaria San Mateo
Tableau 1 : Phases de mise en œuvre du SMSI à la Fondation Universitaire San Mateo.
ÉTAPES ACTIVITÉS JUSTIFICATION TEMPS DÉTERMINÉ
A EFFECTUER POUR SON EXÉCUTION
PHASE 1 Définir la politique L'établissement doit définir Dans la phase 1 (Planification), quelle
(PLANIFIER) de sécurité stratégies visant à établir cherche vraiment, c'est que le
une série de normes, standards ou institution prendre une photo,
règles qui vont de pair avec une levée de
objectifs d'affaires. informations, comment trouver
définir le périmètre Pour définir le périmètre actuellement et où vous voulez
Fondation de l'Université Saint arriver, dans le but de
Mateo doit identifier où mettre en place un SMSI, une politique
trouver l'organisation sécurité globale (gestion des
où veuxtu aller, avec quels moyens renseignements), procédures
compte et dans quels domaines vous souhaitez pour la gestion des risques,
travail, vous pourrez à votre tour identifier périmètre de mise en œuvre
processus critiques à la recherche de SMSI, l'amélioration de la sécurité des
mettre en place priorités Oui informations à obtenir
délimitations de la objectifs et une politique globale,
Mise en œuvre du SMSI. le tour est aussi important
définir la L'établissement doit établir son inclusion ou nombre d'activités
organisme structure organisationnelle, où réalisées avec des tiers pour
tous les domaines de l'organisation, entre autres.
idem, faites une description
organisation générale et
entreprise en tant que telle.
définir la définir les politiques de haute
politiques élevées niveau de l'organisation, il devrait
niveau couvrir un objectif de sécurité,
doit renforcer ses moyens
informatique
définir Les L'entreprise doit définir les
objectifs de objectifs de Sécurité
Sécurité visant les objectifs de
entreprise en quête d'amélioration
non seulement en interne
organisation mais aussi à
avec vos clients.
identité Les Identifiez les points.
des risques actifs à haut risque
avec lequel le
organisme, cette devoir
documenter et créer
méthodologie où la
l'organisation peut examiner et
accomplir et constant
maintenance.
Sélectionner Identifié les risques
garanties détracteurs de l'organisation
doit sélectionner les contrôles
nécessaires pour atténuer les
risques, ces mesures doivent
être documenté et chaque
le contrôle sélectionné doit avoir
une justification et respective
procédure en cas de
exécuté, pour cette affaire dans
il est particulièrement important que le
l'organisation prend en compte
contrôle du commerce électronique
puisque c'est leur activité principale
économique.
PHASE 2 mettre en œuvre une Une fois tous les La deuxième phase est composée
(FAIS) plan de gestion activités de la phase précédente pour deux très
des risques l'organisation doit mettre en œuvre importante basée sur
plan de gestion, comment vontils mise en oeuvre d'un plan
mettre en place des garanties et gestion des risques et réalisation
contrôles sélectionnés, sélection d'indicateurs, dans ce
quand serontils mis en œuvre si l'étape est très importante à garder à l'esprit
Elle est à court, moyen ou long terme. Notez que cette phase ne se termine pas
Vous devrez tenir compte des coûts avec la définition d'un plan de
de chacune des activités sécurité oui non une fois fait
réaliser, puisque le plan de Planification SMSI dans
la gestion des risques est essentiellement de l'organisation, il doit
comment atteindre ses objectifs mettre en œuvre et exploiter
sécurité prévue dans la phase SMSI, mettre en œuvre et exploiter le
précédent. Il est très important que le politique, contrôles, processus et
l'organisation connaît et est à la procédures prévu,
l'avantgarde de ce qui est actuellement surveiller en permanence
offre le marché dans le domaine de toutes les sousphases et activités
La technologie. prévu et donc cette deuxième phase du
sélectionner et Dans cette activité, la société processus est
mettre en place joue un rôle fondamental car devient l'un des plus
indicateurs pour que le système vive et longueurs du SMSI et dans lequel les

actualisé doit effectuer l'organisation prendra plus de temps.
revoit périodiquement et
évaluations au système
identifier le niveau d'efficacité de
les contrôles mis en place,
cette activité l'organisation
doit préparer un document
où tous sont identifiés
les indicateurs mis en place,
indiquer la fréquence à laquelle
doit exécuter et qui est le
responsable; cela nous permettra
surveiller et assurer l'efficacité
de la informations Quel
ils fournissent.
PHASE 3 Développer L'établissement doit La phase de vérification permet au
(CHÈQUE) procédures suivi périodique afin Le SMSI est tenu à jour et

de connaître l'état et l'évolution les faiblesses sont identifiées
surveillance de chacun des indicateurs. aideznous à agir
sécurité mise en œuvre, avec améliorations pertinentes, évaluer et
cette; l'organisation montrera mesurer l'évolution du processus
que le contrôle constitue ou non la En ce qui concerne la politique SMSI, son
objectifs de Sécurité objectifs et portée, cette phase
mise en œuvre ou si à Il vous permettra également d'obtenir
Sinon, l'un d'eux nécessite des résultats qui doivent être
Action urgente. gérer pour examen. La
l'organisation dépensera moins
Chèque La révision régulière du SMSI est
temps que dans les autres phases,
régulièrement le l'une des fonctions qui de la
puisque dans cette phase seules les
SGSI direction doit être faite, cela
mesures et actions mises en place
l'activité doit être exercée au minimum
doivent être vérifiées.
une fois par an mais si le
le budget le permet c'est mieux
faire ces avis
plus souvent, cela permettra à
l'organisation de contrôler les procédures,
identifier les changements possibles,
vérifier l'état du système,
mettre en place des actions de prévention,
actions correctives ou d'amélioration
quand il y a de la place.
Audit L'organisation doit auditer
en interne le votre SMSI en interne, vous devez
SGSI bien planifier le
audits, inclure l'objectivité
dans l'évaluation et établir
critères standard pour cela,
cette activité peut se faire
ou soutenu par des auditeurs externes
qui peut fournir plus
objectivité dans l'audit
tel. Suite à cette phase
devrait se terminer par un rapport
détails dudit audit
qui doit comprendre au minimum
exigences établies par la
norma.
PHASE 4 Mettre en place Dans cette phase, l'organisation doit s'assurer qu'elle maintient et améliore ses
(LOI) améliorations, SMSI, conservant des enregistrements lisibles, identifiables et
Actions traçables, cellesci doivent à leur tour être conservées au minimum 3 ans,
correctif Oui la conservation de cet ensemble de preuves permettra à l'organisation
préventif vérifier que les indicateurs, contrôles et politiques de sécurité sont
Tenir ont mis en œuvre et dont il existe un dossier de preuve
enregistrements permettra d'obtenir des plans d'amélioration qui doivent être planifiés
dans le cadre du plan de sécurité de l'information.
1.2.8 ISO/CEI 27002:2013
ISO/IEC 27002:2013 (anciennement ISO 17799) est une norme de sécurité de l'information publiée par l'Organisation
internationale de normalisation et la
Commission internationale en électrotechnique. La version la plus récente de la norme ISO 27002:2013.
Les normes ISO/IEC 27001:2013, ISO/IEC 27002:2013 se concentrent sur tous les types de
organisations (par exemple, sociétés commerciales, agences, gouvernement, organisations à but non lucratif)
profit), la taille (petite, moyenne ou grande entreprise), le type ou la nature, est organisé sur la base de
les 14 domaines, 35 objectifs de contrôle et 114 contrôles de la norme ISO/IEC 27002:2013.
Toutes les futures normes de système de management auront la même structure de référence, texte
de base identiques, ainsi que des termes et définitions communs. Bien que la structure de référence ne soit pas
peuvent être modifiés, des sousclauses et du texte spécifique à la discipline peuvent être ajoutés. ("Norme ISO
27002 : Politique de sécurité du domaine,")
1.2.9 Mesures de sécurité ISO/IEC 27002:2013
Les contrôles de sécurité basés sur la norme ISO 27002:2013 sont décrits cidessous, qui
cherche à prendre des mesures de sécurité dans les actifs informatiques de la Fundación Universitaria San
Mateo prenant en compte les piliers de la sécurité informatique Confidentialité, Intégrité et
disponibilité.
5. POLITIQUES DE SÉCURITÉ
5.1 Lignes directrices de la Direction de la sécurité de l'information.
o 5.1.1 Ensemble de politiques de sécurité de l'information. o 5.1.2 Revue
des politiques de sécurité de l'information ("ISO Standard
27002 : Politique de sécurité du domaine,")
6. ASPECTS ORGANISATIONNELS DE LA SÉCURITÉ DE L'INFORMATION
6.1 Organisation interne. o
6.1.1 Attribution des responsabilités en matière de sécurité. des informations.
O • 6.1.2 Séparation des tâches.
O • 6.1.3 Contact avec les autorités.
O • 6.1.4 Contact avec des groupes d'intérêts spéciaux.
o 6.1.5 Sécurité de l'information dans la gestion de projet.
6.2 Dispositifs de mobilité et de télétravail. o 6.2.1
Politique d'utilisation des appareils de mobilité.
o 6.2.2 Télétravail
7. SÉCURITÉ LIÉE AUX RESSOURCES HUMAINES
7.1 Avant l'embauche. ou 7.1.1
Enquête sur les antécédents. ou 7.1.2
Termes et conditions du contrat. 7.2 Pendant la
contractualisation.
o 7.2.1 Responsabilités de gestion.
o 7.2.2 Sensibilisation, éducation et formation à la sécurité de l'information
o 7.2.3 Procédure disciplinaire.
• 7.3 Cessation ou changement d'emploi
• 7.3.1 Cessation ou changement d'emploi
8. GESTION DES ACTIFS
8.1 Responsabilité des actifs.
o 8.1.1 Inventaire des actifs. ou
8.1.2 Propriété des actifs. ou 8.1.3
Utilisation acceptable des actifs.
ou 8.1.4 Restitution des avoirs.
8.2 Classement des informations.
o 8.2.1 Directives de classification.
o 8.2.2 Étiquetage et traitement des informations.
ou 8.2.3 Manipulation d'actifs. 8.3
Gestion des supports de stockage
o 8.3.1 Gestion des supports amovibles. ou
8.3.2 Retrait des supports. o 8.3.3 Support
physique en transit
9. CONTRÔLE D'ACCÈS
9.1 Exigences métier pour le contrôle d'accès.
o 9.1.1 Politique de contrôle d'accès.
o 9.1.2 Contrôle d'accès aux réseaux et services associés.
9.2 Gestion des accès utilisateurs.
o 9.2.1 Gestion des inscriptions/désinscriptions au registre des utilisateurs.
o 9.2.2 Gestion des droits d'accès attribués aux utilisateurs.
o 9.2.3 Gestion des droits d'accès avec privilèges spéciaux. o 9.2.4 Gestion des
informations confidentielles d'authentification des utilisateurs.
o 9.2.5 Examen des droits d'accès des utilisateurs. o 9.2.6 Retrait ou
adaptation des droits d'accès 9.3 Responsabilités de l'utilisateur.
ou 9.3.1 Utilisation d'informations confidentielles pour l'authentification. 9.4
Contrôle d'accès aux systèmes et applications.
o 9.4.1 Restriction d'accès aux informations.
ou 9.4.2 Procédures de connexion sécurisées.
o 9.4.3 Gestion du mot de passe utilisateur.
o 9.4.4 Utilisation des outils d'administration système.
o 9.4.5 Contrôle d'accès au code source des programmes.
10. CHIFFREMENT
10.1 Contrôles cryptographiques.
ou 10.1.1 Les contrôles cryptographiques utilisent la politique.
ou 10.1.2 Gestion des clés
11. SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE
11.1 Zones sécurisées.
o 11.1.1 Périmètre de sécurité physique.
ou 11.1.2 Contrôles physiques d'entrée. o
11.1.3 Sécurité des bureaux, bureaux et ressources.
o 11.1.4 Protection contre les menaces externes et environnementales.
o 11.1.5 Travailler dans des zones sûres.
o 11.1.6 Accès public, zones de chargement et de
déchargement. 11.2 Sécurité des équipements.
o 11.2.1 Emplacement et protection des équipements. ou
11.2.2 Installations d'approvisionnement. o 11.2.3 Sécurité
du câblage.
o 11.2.4 Entretien des équipements.
o 11.2.5 Sortie de biens hors des locaux de l'entreprise.
o 11.2.6 Sécurité des équipements et des biens à l'extérieur des installations.
ou 11.2.7 Réutilisation ou retrait en toute sécurité des dispositifs de stockage. ou
11.2.8 Équipement informatique de l'utilisateur sans surveillance. o 11.2.9 Effacer la
politique de poste de travail et de verrouillage d'écran
12. SÉCURITÉ DANS LE FONCTIONNEMENT
12.1 Responsabilités et modes opératoires.
o 12.1.1 Documentation des procédures d'exploitation.
ou 12.1.2 Gestion du changement.
ou 12.1.3 Gestion de la capacité. o
12.1.4 Séparation des environnements de développement, de test et de
production. 12.2 Protection contre les codes malveillants. o 12.2.1 Contrôles contre
les codes malveillants. 12.3 Copies de sauvegarde.
o 12.3.1 Copies de sauvegarde des informations.
12.4 Registre d'activité et de supervision. o 12.4.1 Enregistrement
et gestion des événements d'activité.
o 12.4.2 Protection des dossiers d'information.
o 12.4.3 Journaux d'activité de l'administrateur système et de l'opérateur.
ou 12.4.4 Synchronisation d'horloge.
12.5 Contrôle des logiciels en cours d'utilisation.
o 12.5.1 Installation de logiciels sur les systèmes de production.
12.6 Gestion des vulnérabilités techniques. o 12.6.1 Gestion des vulnérabilités
techniques.
ou 12.6.2 Restrictions sur l'installation du logiciel.
12.7 Réflexions sur les audits des systèmes d'information.
o 12.7.1 Contrôles d'audit des systèmes d'information
13. SÉCURITÉ DANS LES TÉLÉCOMMUNICATIONS
13.1 Gestion de la sécurité du réseau.
ou 13.1.1 Commandes réseau.
o 13.1.2 Mécanismes de sécurité associés aux services de réseau.
o 13.1.3 Ségrégation des réseaux.
13.2 Échange d'informations avec des parties externes. o
13.2.1 Politiques et procédures d'échange d'informations.
ou 13.2.2 Accords d'échange. ou 13.2.3
Messagerie électronique. o 13.2.4
Accords de confidentialité et de secret.
14. ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES
INFORMATIONS
14.1 Exigences de sécurité des systèmes d'information.
o 14.1.1 Analyse et spécification des exigences de sécurité. o 14.1.2
Sécurité des communications dans les services accessibles par les réseaux publics. o 14.1.3
Protection des transactions par les réseaux télématiques.
14.2 Sécurité des processus de développement et de support.
o 14.2.1 Politique de développement de logiciels sécurisés.
o 14.2.2 Procédures de contrôle des modifications du système. o 14.2.3
Examen technique des demandes après avoir apporté des modifications au système
opératoire.
ou 14.2.4 Restrictions sur les modifications apportées aux progiciels.
o 14.2.5 Utilisation des principes d'ingénierie dans la protection du système.
o 14.2.6 Sécurité dans les environnements de
développement. o 14.2.7 Externalisation du développement
logiciel. o 14.2.8 Tests de fonctionnalité lors du développement des systèmes. ou
14.2.9 Essais d'acceptation. 14.3 Données d'essai.
o 14.3.1 Protection des données utilisées dans les tests.
15. RELATIONS AVEC LES FOURNISSEURS
15.1 Sécurité de l'information dans les relations avec les fournisseurs.
o 15.1.1 Politique de sécurité de l'information des fournisseurs. o 15.1.2
Traitement des risques dans les accords avec les fournisseurs. o 15.1.3 Chaîne
d'approvisionnement en technologies de l'information et de la communication.
15.2 Gestion de la prestation de services par les fournisseurs.
O • 15.2.1 Supervision et examen des services fournis par des tiers.
O • 15.2.2 Gestion des modifications des services fournis par des tiers
16. GESTION DES INCIDENTS DE SÉCURITÉ DE L'INFORMATION
16.1 Gestion des incidents de sécurité de l'information et améliorations.
o 16.1.1 Responsabilités et procédures.
o 16.1.2 Notification des événements de sécurité de l'information.
o 16.1.3 Notification de faiblesse de sécurité. o 16.1.4 Évaluation
des événements de sécurité de l'information et prise de décision.
o 16.1.5 Réponse aux incidents de sécurité.
o 16.1.6 Apprendre des incidents de sécurité de l'information.
o 16.1.7 Collecte de preuves.
17. ASPECTS DE SÉCURITÉ DE L'INFORMATION DANS LA GESTION DES
CONTINUITÉ DE L'ACTIVITÉ
17.1 Continuité de la sécurité des informations. o 17.1.1
Planification de la continuité de la sécurité de l'information.
o 17.1.2 Mise en œuvre de la continuité de la sécurité de l'information. o 17.1.3
Vérification, revue et évaluation de la continuité de la sécurité des
informations.
17.2 Licenciements.
o 17.2.1 Disponibilité des installations de traitement de l'information.
18. CONFORMITÉ
• 18.1 Respect des exigences légales et contractuelles.
• 18.1.1 Identification de la législation applicable. • 18.1.2
Droits de propriété intellectuelle (DPI). • 18.1.3 Protection
des archives de l'organisation. • 18.1.4 Protection des données
et confidentialité des informations personnelles.
• 18.1.5 Réglementation des contrôles cryptographiques. •
18.2 Revues de sécurité de l'information. • 18.2.1 Examen
indépendant de la sécurité de l'information.
• 18.2.2 Conformité aux politiques et normes de sécurité.
• 18.2.3 Vérification de la conformité (PCS, 2017)
2. Situation actuelle : Contextualisation, objets et analyse différentielle
La Fundación Universitaria San Mateo objet de ce plan de directeur de la sécurité est une institution
dédié à la fourniture de services éducatifs en méthodologie face à face dans la ville de Bogotá
et dans la modalité virtuelle en Colombie.
2.1 CONTEXTUALISATION
Ensuite, une contextualisation de l'institution sera effectuée ; Fondation de l'Université Saint
Mateo, avec qui sera élaboré le plan de mise en œuvre ISO/IEC/27001:2013, selon le
besoins et exigences de l'établissement
2.1.1 Description générale de l'établissement
L'organisme retenu comme objet d'étude du projet de fin d'études du Master est la "Fundación
Universitaria San Mateo", a 30 ans d'expérience dans le secteur de l'éducation, inculquant la
principaux éléments de sa Mission qui sont : le service éducatif, l'engagement social,
formation complète et articulation avec le secteur productif. Également concentré sur votre vision
projeté à 2021 qui sera un établissement d'enseignement supérieur reconnu au niveau national et
avec projection internationale centrée sur chacun de ses éléments Modèle Pédagogique, Formation
Pertinent, engagement social, innovation et développement technologique, inculquer les valeurs
institutionnel : Honnêteté, Respect, Travail d'équipe, Tolérance, Confiance Leadership et loyauté
(Fondation universitaire San Mateo, 2018).
Il y a deux facultés; Sciences administratives et Faculté de génie et apparentés, ces deux
Les facultés proposent des programmes en mode présentiel le jour, la nuit et le samedi, et proposent des
programmes en mode virtuel.
Les programmes associés à cette faculté de génie sont : Génie des systèmes,
Télécommunications, Génie industriel, Génie de la santé et de la sécurité au travail, Design
Graphique.
La Faculté des sciences administratives propose les programmes suivants : Commerce
International, Administration des affaires, Comptabilité publique et Gastronomie
La mise en œuvre du système de gestion de la sécurité de l'information couvrira le domaine
technologique de la Fondation universitaire de San Mateo.
2.1.2 Organisation de l'établissement
La Fondation Universitaire San Mateo, en cohérence avec sa croissance, ses projets et son plan de
développement, a une structure administrative académique mise à jour, organisée et conforme
par résolution présidentielle de février 2014.
La structure académique administrative du programme est encadrée dans l'universitaire de la
viceprésident académique. Voici les facultés dirigées par les décanats; dans la
institution il y a deux facultés est comme le montre la figure 1, chaque faculté gère le
processus et procédures liés aux fonctions fonctionnelles dirigeant et guidant
stratégiquement dans le groupe de programmes, les dimensions d'extension, de projection sociale,
enseignement, recherche et internationalisation en cohérence avec les objectifs et les politiques
institutionnel.(“organigramme.png (2846×1722)
2.1.3 Structure organisationnelle institutionnelle
Illustration 3 : Structure organisationnelle institutionnelle.
MEILLEUR CONSEIL
PRÉSIDENCE
Planification PRESBYTÈRE Communication et

Commercialisation
viceprésident de Viceprésident Le bienêtre gestion de La gestion

Qualité académique Institutionnel systèmes administratif
La
sécurité sera située
Faculté des sciences administratives Ecole d'ingénieurs dans cette dépendance.
dans les informations
SOURCE : http://www.sanmateo.edu.co/img/organigrama.png.
Illustration 4 Structure organique de la gestion des systèmes
Source : Fondation de l'Université de San Mateo.
2.1.4 Infrastructure technologique
La Fondation Universitaire San Mateo dispose d'une infrastructure informatique conforme à sa
besoins actuels et futurs, y compris une infrastructure de réseau de données permettant le transfert
et recevoir tout type d'informations à l'intérieur ou à l'extérieur de celuici, ce réseau interconnecte les différents
bâtiments et centres de services aux étudiants que l'institution a, formés par un anneau de
fibre et interconnectés par des équipements de haute technologie ; une solution de virtualisation implémentée
de serveurs et de stockage qui consolide le centre de données qui permet d'avoir une solution
redondant, hautement disponible et de secours ; un nombre suffisant et à jour de moyens
audiovisuel; des applications informatiques au service de sa communauté académique et administrative et un
nombre suffisant en quantité et en qualité d'ordinateurs personnels. ("FONDATION
UNIVERSITÉ SAN MATEO », 2014).
Illustration 5 : Architecture logicielle.
La Fondation de l'Université de San Mateo a différentes applications pour mener à bien le
processus académiques administratifs, il existe un logiciel sous licence et une utilisation gratuite pour
différents services tels que bases de données, serveur de domaine, serveurs de téléphonie, serveur
des candidatures etc...
Illustration 6 : Topologie physique.
L'illustration cidessus nous permet d'identifier l'infrastructure technologique de commutation, elle est basée sur
La technologie Cisco Systems NEXUS, composée de 2 commutateurs Cisco Nexus 9372PX,
qui sont configurés et installés dans un schéma redondant.
Actuellement pour les différents programmes de la Fondation pour l'Enseignement Supérieur San Mateo
Il existe un canal dédié de 110 MBPS avec une réutilisation 1:1 (extensible à des capacités supérieures)
Cette chaîne garantira la bande passante contractée tout le temps ainsi que dans tous ses segments : dernier kilomètre,
NAP Colombie et départ international.
Illustration 7 : Infrastructure de serveur.
L'établissement dispose d'une gamme de serveurs afin de fournir tous les services
l'informatique et les communications à la communauté Manteísta, a des serveurs virtualisés
dans lequel sont hébergés les principaux, qui sont : bases de données, conteneurs, applications, domaine,
astérisque etc…
2.1.5 INFRASTRUCTURES PHYSIQUES
Le bâtiment situé au Transversal 17 n°2525 est le Siège et les autres bâtiments sont
sont dans ses environs à quelques mètres de celuici, devant un grand espace commun de
environ 2000 m2, dans lesquels se trouvent un espace vert et un parc, séparés par un
rue pavée fermée, avec entrée exclusive au parking, qui privilégie les facilités
être isolé du bruit et loin de la pollution automobile et de la pollution en général. De même, à l'ouest, il
jouxte le British Cemetery Park qui place l'institution dans des conditions isolées de bruit et de pollution.
Sa proximité avec les principales routes de la ville telles que l'Avenida Caracas et la Calle 26, permet
de se déplacer facilement depuis différentes parties de la ville, ce qui garantit un accès facile à travers
les différents moyens de transport tels que le système de transport en commun Transmilenio auquel
Il est accessible par les stations Calle 26 et Calle 22 de la route nationale de Caracas et les différentes
lignes SITP et bientôt le métro avec sa station sur la Calle 26. Accès véhiculaire au siège principal
de la Fondation pour l'enseignement supérieur San Mateo est faite par la transversale 17 sur laquelle
nous trouvons une place de parking d'une superficie totale de 1400 mètres carrés, appartenant à
l'établissement et géré par un tiers, qui offre le service de stationnement pour 60
véhicules et 200 motos, pour les étudiants, les enseignants, le personnel administratif et le public
visiteur. De plus, sur cette même transversale et à moins de 200 mètres, il y a 4
parkings d'une capacité totale approximative de 120 véhicules, qui sont utilisés par nos
Communauté mathématique. Cidessous la carte avec l'emplacement stratégique de l'institution.
Illustration 8 Carte de localisation de San Mateo
Source : Fondation San Mateo. (2018), disponible sur le site http://www.sanmateo.edu.co/.
2.1.6 Processus stratégiques institutionnels
L'institution dispose d'un système intégré de gestion institutionnelle comme indiqué dans le
illustration suivante. (SGAG) Système de gestion et d'assurance de la qualité, (A&A)
Autoévaluation et autorégulation, (SGA) Système de gestion environnementale et (SGSST) Système de
Gestion de la santé et de la sécurité au travail.
Figure 9 : Évolution du système intégré de gestion institutionnelle.
Source : (Saint Matthieu)
Compte tenu de la figure n°2, dans le système intégré de gestion institutionnelle, il est en attente
intégrer les systèmes de gestion de la sécurité de l'information (ISMS), ce qui est très important
Pour l'institution, c'est un enjeu qui s'est renforcé grâce aux différentes politiques de
protection des données que différents pays ont adopté. Cependant, l'établissement
a commencé à partir du département de la technologie le processus de sensibilisation et d'affectation des
responsabilités dans ces matières.
L'établissement dispose d'un système d'assurance qualité pour les processus institutionnels
afin de garantir la qualité, l'excellence et l'amélioration continue de nos programmes.
Illustration 10 : système d'assurance qualité.
PROCESSUS STRATÉGIQUES
Direction stratégique
Relations internationales
Autoévaluation et autorégulation
Gestion du capital humain Gestion et assurance de la qualité
PRENANTES
SATISFAITS
BESOINS
PARTIES
DES
–
PROCESSUS MISSIONS
INTÉRESSÉES
BESOINS
PARTIES
DES
PRODUCTIF
SECTEUR
IMPACT
IMPACT
SOCIAL
SUR
LE

Gestion de l'enseignement
Gestion de la recherche Gestion des extensions
PROCESSUS DE SOUTIEN
Gestion du bienêtre
Gestion administrative et financière
Gestion des services Gestion de la commercialisation et Technologie et gestion de

académiques Communication l'information
Source : http://sanmateo.edu.co/sgac.html
Nous avons 12 processus classés comme stratégique, mission et support, qui sont gérés
garantir clairement la planification et l'administration des fonctions de fond du programme
(Enseignement, recherche et vulgarisation, internationalisation) son exécution, son évaluation, son suivi et
autorégulation.
2.1.7 Portée
L'objectif du plan directeur de sécurité suivant à la Fondation universitaire de San Mateo est
mettre en œuvre la norme ISO/IEC 27001:2013 ET ISO/IEC 27002:2013, tous les processus actifs et
procédures impliquées dans les différents services en matière de gestion de l'information
du domaine de la gestion des systèmes institutionnels.
Les points suivants sont définis dans le cadre
• Actifs liés au traitement de la gestion des systèmes d'information
• Processus et procédures liés au traitement des informations
• Processus et procédures pour le personnel interne et externe ayant accès à tout actif
de l'établissement.
En bref, le périmètre est l'ensemble des systèmes d'information qui supportent les processus,
activités et services de l'établissement mentionné et qui sont réalisés et offerts conformément
à la déclaration d'applicabilité actuelle.
2.2 Objectifs de sécurité de l'information
2.2.1 Objectif général
Mettre en œuvre des stratégies de sécurité de l'information basées sur la norme ISO/IEC 27001:2013,
dans le domaine où le risque est le plus élevé, c'estàdire le domaine de la gestion des systèmes, compte tenu des
gestion des systèmes d'information.
2.2.2 Objectifs spécifiques
Soumettre les politiques de sécurité de l'information, la documentation et les
procédures d'un système de gestion de la sécurité de l'information (ISMS) pour le personnel
administration de la Fondation universitaire de San Mateo
Planifier les procédures et les manuels qui impliquent l'utilisation de l'information, de toutes les personnes
en relation avec le domaine de gestion du système de l'institution.
Évaluer clairement les exigences de sécurité de l'information que l'institution doit
se conformer, afin d'identifier les risques et de protéger les informations et les bases de
institution.
Présenter les piliers de la sécurité informatique, de l'intégrité, de la disponibilité et de la confidentialité
dans les systèmes d'information de l'Institution afin de donner confiance à tous les membres
de l'établissement.
Établir au sein de l'entreprise les rôles et responsabilités en matière de Sécurité des
l'information.
2.3 Analyse différentielle
2.2.1 Analyse différentielle ISO/IEC : 27001:2013
Sur la base de cette définition de la norme ISO27001:2013, ce projet de fin d'études de Master est
se concentrera sur l'analyse des contrôles et des exigences de sécurité de l'ISO/IEC 27002:2013 avec le
processus de la Fondation de l'Université de San Mateo, pour laquelle vous examinerez (Annexe A) le
évaluation de l'efficacité des contrôles (Oberta De Catalunya Autor & Rojas Valduciel, 2014)
L'étude doit réaliser une revue des 114 contrôles proposés par la norme pour répondre aux
différents objectifs de contrôle, cette estimation sera faite selon le tableau suivant, qui est basé
dans le modèle de maturité des capacités (CMM) :
Tableau 2 : Évaluation des critères de maturité du CMM.
Valeur d'efficacité Signification La description
L0 0% Inexistant Absence totale de tout processus reconnaissable.
On n'a même pas reconnu qu'il y avait un problème à résoudre.
État initial où la réussite des activités du processus repose la plupart du
L1 10 % Initiale / Adhoc
temps sur l'effort personnel.
Les procédures sont inexistantes ou localisées dans des zones
béton.
Reproductible, Des
n'y parocessus
Il pas de msodèles
imilaires
sont eaxécutés
définis dde
u niveau ml'entreprise.
e anière similaire par différents
L2 50% personnes ayant la même tâche.
mais intuitif Les bonnes pratiques sont standardisées en fonction de l'expérience et de
la méthode.
Il n'y ad pe
as de communication ou
ad e
pfrocessus.
ormation formelle,
L3 le 90% Processus défini L'ensemble l'organisation participe u
Les r esponsabilités i ncombent à
c hacun.
Les processus sont mis en place, documentés et communiqués, cela
dépend
par du degré de connaissance de chacun.
la formation.
Géré et L'évolution des processus peut être suivie avec des indicateurs
L4 95%
mesurable
numériques et statistiques.
La technologie est disponible pour automatiser le flux de travail, des
L5 100 % optimisé outils sont disponibles
Les processus pcour
sont en améliorer
onstante la qualité et l'efficacité.
amélioration.
Sur la base de critères quantitatifs, les écarts les plus courants sont
déterminés et les processus sont optimisés
En tenant compte du tableau précédent, nous procédons à l'évaluation de l'efficacité de la
contrôles correspondant à la norme ISO 27001:2013,
Comme résultats synthétiques, il est intéressant d'évaluer le pourcentage de maturité des différents
les contrôles. C'estàdire, pour les 114 témoins, quel degré de maturité a chacun, ce qui nous donne une
vision de l'état de la sécurité dans la Fondation Universitaire San Mateo.
Voir détail en annexe : TFM SGSI (ANNEXE A Autodiagnostic)
Tableau 3 : Évaluation de l'efficacité des contrôles ISO 27001:2013.
ÉVALUATION
Qualification Qualification DE
DOMAINES
Réel Objectif EFFICACITÉ
DE CONTRÔLE
A.5 POLITIQUES DE SÉCURITÉ DES INFORMATIONS 70 100 GÉRÉ
ORGANISATION DE LA SECURITE DES
A.6 30 100 RÉPÉTABLE
INFORMATIONS
A.7 SÉCURITÉ DES RESSOURCES HUMAINES 40 100 RÉPÉTABLE
A.8 GESTION DES ACTIFS 70 100 GÉRÉ
A.9 CONTRÔLE D'ACCÈS 70 100 GÉRÉ
A.10 CRYPTAGE 30 100 RÉPÉTABLE
A.11 SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE 60 100 EN ESPÈCES
A.12 SÉCURITÉ DES OPÉRATIONS 30 100 RÉPÉTABLE
A.13 SÉCURITÉ DES COMMUNICATIONS 40 100 RÉPÉTABLE
ACQUISITION, DEVELOPPEMENT ET MAINTENANCE
A.14 60 100 EN ESPÈCES
DES SYSTÈMES
A.15 RELATIONS AVEC LES FOURNISSEURS 70 100 GÉRÉ
GESTION DES INCIDENTS DE SÉCURITÉ
A.16 40 100 RÉPÉTABLE
INFORMATIONS
ASPECTS DE SÉCURITÉ DE L'INFORMATION
A.17 DE LA GESTION DE LA CONTINUITÉ DE 50 100 EN ESPÈCES
ENTREPRISE
A.18 CONFORMITÉ 30 100 RÉPÉTABLE
ÉVALUATION MOYENNE DES CONTRÔLES 49 100 EN ESPÈCES
Dans le tableau cidessus, vous pouvez évaluer les 14 domaines de l'ISO 27001:2013, dans lesquels il est qualifié
l'efficacité de chaque contrôle. Cette analyse nous montre l'état actuel de la Fondation
Universidad San Mateo, une valeur sera ajoutée à chaque domaine en fonction de l'état dans lequel il se trouve.
Tableau 4 Exigences obligatoires pour le SMSI
Contrôle de
ISO/CEI Exigences obligatoires pour le SMSI évaluer
27001 tion
4 SGSI
4.1 Exigences générales
L'organisme doit établir, mettre en œuvre, exploiter, surveiller, réviser, maintenir et améliorer un
4.1 L2
SMSI documenté.
4.2 Établir et gérer le SMSI
4.2.1 Établir le SMSI
4.2.1 (a) Définir le périmètre et les limites du SMSI. L2
4.2.1 (b) Définir une politique SMSI. L2
4.2.1 (c) Définir l'approche de l'évaluation des risques. L2
4.2.1 (d) Identifiez les risques. L2
4.2.1 (e) Analyser et évaluer les risques. L2
4.2.1 (e) Identifier et évaluer les options de traitement des risques. L1
4.2.1 (g) Sélectionner les objectifs de contrôle et les contrôles pour les traitements des risques. L1
4.2.1 (h) Obtenir l'approbation de la direction concernant les risques résiduels proposés. L2
4.2.1 (i) Obtenir l'autorisation de la Direction pour mettre en œuvre et exploiter le SMSI. L2
4.2.1 (j) Préparer une déclaration d'applicabilité. L2
4.2.2 Mettre en œuvre le SMSI
4.2.2 (a) Élaborer un plan de traitement des risques. L1
4.2.2 (b) Mettre en œuvre le plan de traitement des risques pour atteindre les objectifs de contrôle identifiés. L1
4.2.2 (c) Mettre en œuvre les contrôles sélectionnés en 4.2.1g pour atteindre les objectifs de contrôle. L1
Définir comment mesurer l'efficacité des contrôles ou groupes de contrôles sélectionnés et spécifier
4.2.2 (d) comment ces mesures doivent être utilisées pour évaluer l'efficacité du contrôle dans la production L1
résultats comparables et reproductibles (voir 4.2.3c).
4.2.2 (e) Mettre en place des programmes de formation et de sensibilisation (voir 5.2.2) . L2
4.2.2 (f) Gérer l'opération ISMS. L2
4.2.2 (g) Gérer les ressources du SMSI (voir 5.2). L2
Mettre en place des procédures et autres contrôles capables de permettre une détection rapide des événements de
L0
4.2.2 (h)
sécurité et réponse aux incidents de sécurité (voir 4.2.3a ).
4.2.3 Surveiller et réviser le SMSI
Exécuter les procédures de surveillance et d'examen et d'autres contrôles. L2
4.2.3 (a)
Procéder à des examens périodiques de l'efficacité du SMSI. L1
4.2.3 (b)
Mesurer l'efficacité des contrôles pour vérifier que les exigences de sécurité sont respectées. L1
4.2.3 (c)
Examiner les évaluations des risques à des intervalles planifiés et examiner les risques résiduels et
L1
4.2.3 (d)
niveaux acceptables de risques identifiés.
Réaliser régulièrement des audits internes du SMSI (voir 6). L0
4.2.3 (e)
Procéder régulièrement à une revue de direction du SMSI (voir 7.1). L2
4.2.3 (e)
Mettre à jour les plans de sécurité pour tenir compte des conclusions des activités de surveillance.
L3
4.2.3 (g)
suivi et examen.
Enregistrer les actions et les événements qui pourraient avoir un impact sur l'efficacité ou la performance du SMSI
L2
4.2.3 (h)
(voir 4.3.3).
4.2.4 Maintenir et améliorer le SMSI
L2
4.2.4 (a) Mettre en œuvre les améliorations identifiées dans le SMSI.
Réaliser les actions correctives et préventives conformément aux 8.2 et 8.3. L2
4.2.4 (b)
L3
4.2.4 (c) Communiquer les actions et les améliorations à toutes les parties prenantes.
Veiller à ce que les améliorations atteignent les objectifs proposés. L2
4.2.4 (d)
4.3 Exigences en matière de documentation
4.3.1 Documentation générale SMSI
Documenter les procédures et les objectifs de la politique SMSI (voir 4.2.1b) L3
4.3.1 (a)
Périmètre du SMSI (voir 4.2.1A) L3
4.3.1 (b)
Procédures et contrôles pour soutenir le SMSI. L2
4.3.1 (c)
Description de la méthodologie d'évaluation des risques (voir 4.2.1c) L1
4.3.1 (d)
Rapport d'évaluation des risques (voir de 4.2.1c à 4.2.1g) L0
4.3.1 (e)
Plan de traitement des risques (voir 4.2.2b) L2
4.3.1 (e)
Procédures nécessaires à l'organisme pour assurer la planification, l'exploitation et la
contrôle de vos processus de sécurité de l'information et décrire comment mesurer l'efficacité de la L1
4.3.1 (g)
contrôles (voir 4.2.3c)
Enregistrements requis par la présente Norme internationale (voir 4.3.3) L2
4.3.1 (h)
Déclaration d'applicabilité. L1
4.3.1 (i)
4.3.2 Contrôle des documents
Les Documents exigés par le SMSI doivent être protégés et contrôlés. Une procédure
4.3.2
Un enregistrement documenté doit être établi pour définir les actions de gestion nécessaires pour :
4.3.2 (a) Approuver les documents pour leur adéquation avant leur émission. L2
4.3.2 (b) Examiner et mettre à jour les documents si nécessaire et réapprouver les documents. L1
4.3.2 (c) S'assurer que les changements et les statuts de révision actuels des documents sont identifiés L2
S'assurer que les versions pertinentes des documents applicables sont disponibles et prêtes à être
4.3.2 (d) L1
utilisé.
4.3.2 (e) Veiller à ce que les documents restent lisibles et facilement identifiables. L3
Veiller à ce que les documents soient disponibles pour ceux qui en ont besoin et soient transférés,
4.3.2 (f) stockés et finalement éliminés conformément aux procédures applicables en fonction de votre L2
classification.
4.3.2 (g) S'assurer que les documents d'origine externe sont identifiés. L2
4.3.2 (h) S'assurer que la distribution des documents est contrôlée. L3
4.3.2 (i) Empêcher l'utilisation involontaire de documents obsolètes. L3
4.3.2 (j) Appliquez une identification appropriée aux documents s'ils sont conservés à quelque fin que ce soit. L3
4.3.3 Contrôle des enregistrements
Des enregistrements doivent être établis et conservés pour fournir la preuve de la conformité aux
4.3.3 (a) L3
exigences et l'efficacité du SMSI.
4.3.3 (b) Les enregistrements seront protégés et contrôlés L3
4.3.3 (c) Le SMSI doit tenir compte des exigences légales ou réglementaires et des obligations contractuelles. L5
4.3.3 (d) Les enregistrements doivent rester lisibles, facilement identifiables et récupérables. L4
Les contrôles nécessaires pour l'identification, le stockage, la protection, la récupération, le temps de
4.3.3 (e) L5
la conservation et l'élimination des dossiers seront documentées et mises en œuvre.
Des enregistrements seront conservés des résultats du processus, comme indiqué à la section 4.2 et de tous les
4.3.3 (e) occurrences d'incidents de sécurité significatifs liés au SMSI. L3
5 Gestion des responsabilités
5.1 Engagement de la direction.
La direction doit fournir la preuve de son engagement à établir, mettre en œuvre,
5.1 L4
l'exploitation, le suivi, l'examen, la maintenance et l'amélioration du SMSI par :
5.1 (a) Établir une politique SMSI. L3
5.1 (b) Assurezvous que les objectifs et les plans du SMSI sont établis. L3
5.1 (c) Établir les rôles et les responsabilités en matière de sécurité de l'information. L4
Communiquer à l'organisation l'importance d'atteindre les objectifs de sécurité de l'information et
5.1 (d) conformément à la politique de sécurité de l'information, vos responsabilités en vertu de la loi ainsi que L3
le besoin d'amélioration continue.
Fournir des ressources suffisantes pour établir, mettre en œuvre, exploiter, surveiller, réviser, maintenir
5.1 (e) L4
et améliorer le SMSI (voir 5.2.1)
5.1 (f) Décider des critères d'acceptation des risques et des niveaux de risque acceptables. L3
5.1 (g) S'assurer que les audits SMSI internes sont effectués (voir 6) L2
5.1 (h) Réalisation de revues par la direction du SMSI (voir 7) L3
5.2 La gestion des ressources.
5.2.1 Mise à disposition de ressources.
5.2.1 L'organisme doit déterminer et fournir les ressources nécessaires pour :
5.2.1 (a) Établir, mettre en œuvre, exploiter, surveiller, réviser, maintenir et améliorer un SMSI. L4
S'assurer que les procédures de sécurité de l'information sont compatibles avec les
5.2.1 (b) L2
besoins de l'entreprise.
Identifier et traiter les exigences légales et réglementaires et les obligations contractuelles des
5.2.1 (c) L3
Sécurité.
5.2.1 (d) Maintenir une sécurité adéquate grâce à l'application correcte de tous les contrôles mis en place. L2
Procéder à des revues si nécessaire, et donner une réponse appropriée aux résultats de ces
5.2.1 (e) L3
Commentaires.
5.2.1 (e) Si nécessaire, améliorer l'efficacité du SMSI. L3
5.2.2 Formation, sensibilisation et compétence.
L'organisme doit s'assurer que tout le personnel auquel sont confiées des responsabilités
5.2.2
définis dans le SMSI sont compétents pour effectuer les tâches requises par :
5.2.2 (a) Déterminer les compétences nécessaires pour le personnel qui effectue un travail efficace dans le SMSI. L3
Offrir une formation ou prendre d'autres mesures (par exemple, employer du personnel compétent) pour
5.2.2 (b) L3
satisfaire ces besoins.
5.2.2 (c) Évaluer l'efficacité des actions menées.
Tenir à jour des dossiers sur l'éducation, la formation, les compétences, l'expérience et les qualifications
5.2.2 (d) L2
(voir 4.3.3)
L'organisme doit également s'assurer que tout le personnel concerné est conscient de la pertinence et
5.2.2 l'importance de ses activités de sécurité de l'information et comment elles contribuent à la réalisation des L3
Objectifs SMSI.
6 Audit interne SMSI
L'organisation doit effectuer des audits internes du SMSI à des intervalles planifiés pour
6
déterminer si les objectifs de contrôle, contrôles, processus et procédures de votre SMSI :
6 (a) Se conformer aux exigences de la présente norme Norme et des lois ou règlements pertinents. L4
6 (b) Se conformer aux exigences de sécurité de l'information identifiées. L3
6 (c) Qu'il est effectivement mis en œuvre et maintenu. L3
6 (d) Effectuer comme prévu L2
6 (e) Qu'un programme d'audit soit prévu. L3
La direction responsable du domaine audité doit s'assurer que des mesures sont prises
sans retard excessif pour éliminer les nonconformités détectées et leurs causes. Les activités
6 (f) L1
le suivi doit inclure la vérification des actions menées et le rapport des résultats
vérification (voir 8).
sept
Revue de direction du SMSI
7.1 Général
La direction examinera le SMSI de l'organisation à des intervalles planifiés (au moins une fois par an)
7.1 L3
pour s'assurer de sa pertinence, de son adéquation et de son efficacité
7.2 (a) Informations pour examen.
7.2 Les informations pour un examen comprendront :
7.2 (a) Résultats des audits et revues du SMSI. L3
7.2 (b) Les commentaires des intéressés. L1
Techniques, produits ou procédures qui pourraient être utilisés dans l'organisation pour améliorer la
7.2 (c) L3
la performance et l'efficacité du SMSI.
7.2 (d) État des actions préventives et correctives. L3
7.2 (e) Vulnérabilités ou menaces non traitées de manière adéquate dans l'évaluation des risques précédente. L2
7.2 (f) Les résultats des mesures d'efficacité. L1
7.2 (g) Actions de suivi des revues de direction précédentes. L3
7.2 (h) Tous les changements qui pourraient affecter le SMSI. L2
7.2 (i) Recommandations d'amélioration. L3
7,3 Examinez les résultats.
Le résultat de la revue de direction doit inclure toutes les décisions et actions connexes
7,3
avec ce qui suit :
7.3 (a) Amélioration de l'efficacité du SMSI. L4
7.3 (b) Mise à jour du plan de traitement des risques et évaluation des risques. L2
Modification des procédures et des contrôles qui affectent la sécurité des informations, si nécessaire
7.3 (c) L3
nécessaire, pour répondre à des événements internes ou externes susceptibles d'influencer le SMSI.
7.3 (d) Besoins en ressources. L3
7.3 (e) Améliorations de la façon dont l'efficacité des contrôles est mesurée. L3
8 Amélioration du SMSI
8.1 Amélioration continue.
L'organisation doit continuellement améliorer l'efficacité du SMSI grâce à l'utilisation des
sécurité de l'information, objectifs de sécurité de l'information, résultats d'audit,
8.1 L2
l’analyse des événements surveillés, des actions correctives et préventives et la revue par le
direction (voir 7).
8.2 (a) Action corrective.
L'organisme doit prendre des mesures pour éliminer la cause des nonconformités aux exigences.
8.2 du SMSI afin d'éviter qu'ils ne se reproduisent. La procédure d'action documentée
Les mesures correctives doivent définir les exigences pour :
8.2 (a) Identifier les nonconformités. L2
8.2 (b) Déterminer les causes des nonconformités. L2
8.2 (c) Évaluer la nécessité d'adopter des mesures pour s'assurer que les nonconformités ne se reproduisent plus. L1
8.2 (d) Déterminer et appliquer les mesures correctives nécessaires. L1
8.2 (e) Enregistrer les résultats des actions entreprises (voir 4.3.3) . L3
8.2 (f) Passer en revue les actions correctives mises en place. L1
8.3 (a) Action préventive.
L'organisme doit déterminer des actions pour éliminer les causes de nonconformités potentielles avec
Exigences SMSI afin d'éviter son apparition. Les actions préventives entreprises doivent
8.3
être approprié aux effets des problèmes potentiels. La procédure documentée pour
Les actions préventives doivent définir les exigences pour :
8.3 (a) Identifier les nonconformités potentielles et leurs causes L1
8.3 (b) Évaluer la nécessité d'agir pour prévenir l'apparition de nonconformités. L2
8.3 (c) Déterminer et mettre en œuvre les actions préventives nécessaires. L2
8.3 (d) Enregistrer les résultats des actions entreprises (voir 4.3.3) . L2
8.3 (e) Passer en revue les actions préventives mises en place. L2
L'organisation doit identifier les changements dans les risques et déterminer les besoins d'actions
8,3 L2
actions préventives en focalisant l'attention sur les risques qui ont beaucoup évolué.
Tableau 5 : Maturité du contrôle ISO.
Sens Numéro
Inexistant 3
Initiale / Adhoc 21
Reproductible, mais intuitif 41
Processus défini 35
Géré et mesurable sept
optimisé 2
Ne s'applique pas 3
2.2.1 Analyse différentielle ISO/IEC : 27002:2013
Dans cette section, l'analyse différentielle sera effectuée par rapport à ISO/IEC 27002, cette analyse
Il permettra de connaître de manière globale l'état actuel de l'entreprise par rapport aux exigences établies par
la norme pour un système de gestion de la sécurité de l'information (« FUNDACIÓN
UNIVERSITÉ SAN MATEO », 2014).
ISO/IEC : 27002:2013 Fournit des lignes directrices pour les normes de sécurité de l'information
les pratiques organisationnelles et de gestion de la sécurité de l'information, y compris la sélection,
la mise en œuvre et la gestion des contrôles en tenant compte des environnements de risque de sécurité de l'information
de l'organisation (« POLITIQUE DE SÉCURITÉ DE L'INFORMATION », nd).
Chaque contrôle est décrit cidessous :
Politiques de sécurité de l'information : contrôles sur la manière dont elles doivent être rédigées et révisées
la politique.
Organisation de la sécurité de l'information : contrôle de l'attribution des responsabilités ; il comprend également des
contrôles pour les appareils mobiles et le télétravail.
Sécurité des Ressources Humaines : contrôles avant, pendant et après l'embauche.
Gestion des ressources : contrôles concernant l'inventaire des ressources et leur utilisation acceptable, ainsi que la
classification des informations et la gestion des supports de stockage.
Contrôle d'accès : contrôles des politiques de contrôle d'accès, gestion des accès des utilisateurs
utilisateurs, contrôle d'accès au système et aux applications, et responsabilités des utilisateurs.
Cryptographie : contrôles liés à la gestion de l'enregistrement et des clés.
Sécurité physique et environnementale : contrôles qui définissent les zones sécurisées, contrôles d'entrée, protection
contre les menaces, la sécurité de l'équipe, la suppression sécurisée, la suppression des politiques de bureau et d'écran,
etc.
Sécurité opérationnelle : de nombreux contrôles liés à la gestion de la production dans
Informatique : gestion des modifications, gestion de la capacité, logiciels malveillants, sauvegarde, journaux, miroirs, installation,
vulnérabilités, etc...
Sécurité des communications : contrôles liés à la sécurité du réseau, à la ségrégation,
services réseau, transfert d'informations, messagerie, etc.
Acquisition, développement et maintenance des Systèmes : contrôles qui définissent les exigences
sûreté et sécurité dans les processus de développement et de support.
Relations avec les fournisseurs : contrôles sur ce qu'il faut inclure dans les contrats et comment le faire.
suivi des fournisseurs.
Gestion des incidents de sécurité de l'information : contrôles pour signaler les événements et
faiblesses, définir les responsabilités, les procédures de réponse et la collecte de preuves.
Aspects de la sécurité de l'information de la gestion de la continuité des activités : contrôles
qui nécessitent une planification, des procédures, une vérification et un examen de la continuité des activités,
et la redondance informatique.
Conformité : contrôles qui nécessitent l'identification des lois et réglementations applicables,
protection de la propriété intellectuelle, protection des données personnelles et examens de sécurité
des informations.
Vous trouverez cidessous un tableau explicatif avec l'échelle de maturité utilisée pour évaluer la conformité
aux 114 contrôles établis dans la norme ISO/IEC 27002:2013.
Tableau 6 : Modèle de maturité de la conformité.
Évaluer Efficacité Sens La description
L0 0% Inexistant Absence totale de tout procédé connu.
Procédures inexistantes ou localisées dans les zones
L1 dix% Initiale / Adhoc béton. Le succès des tâches est dû aux efforts
personnel.
Il existe une méthode de travail basée sur l'expérience,
L2 50% Reproductible, mais intuitif bien que sans communication formelle. dépendance de la
connaissances individuelles
L'organisation dans son ensemble participe au
L3 90% Processus défini processus. Les processus sont mis en œuvre
documenté et communiqué.
L'évolution des processus peut être suivie par
L4 95% Géré et mesurable indicateurs numériques et statistiques. Il y a
des outils pour améliorer la qualité et l'efficacité
Les processus sont en constante amélioration. Basé sur
L5 100% optimisé les écarts des critères quantitatifs sont déterminés
les plus courants et les processus sont optimisés
L6 N / A Ne s'applique pas
Une fois les contrôles de la norme ISO/27002:2013 vérifiés, le niveau de maturité est identifié
de la Fondation Universitaire San Mateo.
Voici le pourcentage d'efficacité pour les 114 contrôles, où vous pouvez
montrent que 65 contrôles ne sont pas approuvés dans l'évaluation faite à la Fondation universitaire
San Mateo, équivalent à 57% des contrôles qui ont entre 0% et 50% d'efficacité,
ce qui indique qu'ils manquent complètement d'un certain processus ou qu'il y a des histoires de réussite dans
certaines tâches mais dépend d'efforts personnels ou il y a un travail basé sur des expériences.
Les 43 % restants sont évalués comme approuvés, car il existe 49 contrôles entre 90 % et 100 % dans le
évaluation de l'efficacité.
Tableau 7 : Résumé de la maturité de la conformité à la Fondation de l'Université de San Mateo.
Valeur d'efficacité Sens Numéro
L0 0% Inexistant 3
L1 dix% Initiale / Adhoc 14
L2 50% reproductible, mais intuitif 48
L3 Processus défini à 90 % 40
L4 95% Géré et mesurable 8
L5 100 % optimisé 1
L6 N / A Ne s'applique pas 0
Tableau 8 : Évaluation des 114 témoins.
Évaluer Numéro
approuvé 49
Non approuvé 65
Le tableau suivant présente un résumé détaillé de chacun des domaines, le % de
efficacité et les 114 contrôles dûment identifiés dans leur niveau de maturité au regard de la
contrôles définis dans la norme ISO/27002:2013.
Tableau 9 : Évaluation des contrôles de la norme ISO/IEC 27002:2013 Contrôle dans la norme
ISO/CEI 27002:2013.
5 POLITIQUE DE SÉCURITÉ
5.1 Lignes directrices de la Direction de la sécurité de l'information
5.1.1 Politiques de sécurité de l'information Contrôle : Un ensemble de politiques de sécurité de l'information
doit être défini, approuvé par la direction, publié et communiqué
L2
aux employés et aux parties externes concernées.
5.1.2 Examen des politiques de sécurité de l'information. Contrôle : les politiques de sécurité de l'information doivent être
révisées à intervalles planifiés ou si des changements importants
se produisent, aleur
fin dee garantir leur pertinence, leur adéquation et L2
fficacité.
6 ORGANISATION DE LA SÉCURITÉ DE L'INFORMATION
6.1 Organisation interne
A6.1.1 Rôles et responsabilités pour le Contrôle : toutes les responsabilités en matière de sécurité de
sécurité des informations l'information doivent être définies et attribuées. L1
A6.1.2 Séparation des tâches Contrôle : les tâches et les domaines de responsabilité
conflictuels doivent être séparés afin de réduire les risques de
modification non autorisée ou involontaire ou d'utilisation L2
abusive des actifs de l'organisation.
A6.1.3 Contact avec les autorités Contrôle : Des contacts appropriés doivent être maintenus avec
les autorités compétentes. L2
A6.1.4 Contact avec des groupes d'intérêts spéciaux Contrôle : Des contacts appropriés avec des groupes d'intérêts
spéciaux ou d'autres forums et associations professionnelles
L2
spécialisées dans la sécurité doivent être maintenus.
A6.1.5 Sécurité de l'information dans le Contrôle : la sécurité de l'information doit être abordée dans la
Gestion de projets. gestion de projet, quel que soit le type de projet.
L3
6.2 Appareils mobiles et télétravail
A6.2.1 Politique pour les appareils mobiles Contrôle : Une politique et des mesures de sécurité à l'appui
doivent être adoptées pour gérer les risques introduits par
L1
l'utilisation d'appareils mobiles.
A6.2.2 Télétravail Contrôle : Une politique et des mesures de sécurité
d'accompagnement doivent être mises en place pour protéger les
informations consultées, traitées ou stockées dans les lieux où L3
s'effectue le télétravail.
7 SÉCURITÉ DES RESSOURCES HUMAINES
7.1 Avant de prendre un emploi
A7.1.1 Sélection Contrôle : les vérifications des antécédents de tous les candidats à
un emploi doivent être effectuées conformément aux lois,
réglementations et règles d'éthique applicables et doivent être
proportionnées aux exigences de l'entreprise, à la classification des L3
informations auxquelles accéder et aux risques perçus.
A7.1.2 Conditions d'emploi Contrôle : les accords contractuels avec les employés et les sous
traitants doivent établir leurs responsabilités et celles de l'organisation
L3
en matière de sécurité de l'information.
7.2 Pendant l'exécution de l'emploi
A7.2.1 Responsabilités de gestion . Contrôle : la direction doit exiger de tous les employés et sous
traitants qu'ils appliquent la sécurité de l'information conformément
aux politiques et procédures établies par l'organisation.
L3
A7.2.2 Sensibilisation, éducation et formation à Contrôle : tous les employés de l'organisation et, le cas échéant, les
la sécurité de l'information. soustraitants, doivent recevoir une sensibilisation et une formation
appropriées, ainsi que des mises à jour régulières sur les politiques
L3
et procédures de l'organisation concernant leur
cargaison.
A7.2.3 Processus disciplinaire. Contrôle : Il doit y avoir un processus formel, qui doit être
communiqué, pour prendre des mesures contre les employés qui
L3
ont commis une violation de la sécurité de l'information.
7.2 Cessation et changement d'emploi
A7.3.1 La cessation d'emploi modifie
O les de Contrôle : les responsabilités et les devoirs en matière de sécurité
responsabilités de l'emploi. de l'information qui restent valables après la cessation ou le
changement d'emploi doivent être définis, communiqués à l'employé L3
ou au soustraitant et appliqués.
8 GESTION DES ACTIFS
8.1 Responsabilité des actifs
A8.1.1 Inventaire des actifs Contrôle : Les actifs associés aux informations et aux
installations de traitement de l'information doivent être
L2
identifiés, et un inventaire de ces actifs doit être développé et
maintenu.
A8.1.2 Propriété des actifs Contrôle : Actifs détenus en inventaire
L3
Ils doivent avoir un propriétaire.
A8.1.3 Utilisation acceptable des actifs Contrôle : les règles d'utilisation acceptable des informations et
des actifs associés aux informations et aux installations de
L3
traitement de l'information doivent être identifiées, documentées
et mises en œuvre.
A8.1.4 Restitution des avoirs Contrôle : Tous les employés et utilisateurs de parties externes
doivent restituer tous les actifs de l'organisation qui sont à leur
charge, à la fin de leur emploi, contrat ou accord. L3
A8.2 Classement des informations
A8.2.1 Classement des informations Contrôle : Les informations doivent être classées en fonction
des exigences légales, de la valeur, de la criticité et de la
L2
susceptibilité à la divulgation ou à la modification non autorisée.
A8.2.2 Étiquetage informatif Contrôle : Un ensemble adéquat de procédures pour l'étiquetage
des informations doit être développé et mis en œuvre,
conformément au schéma de classification des informations L3
adopté par l'organisation.
A8.2.3 Gestion des actifs Contrôle : Des procédures de gestion des actifs doivent être
élaborées et mises en œuvre, conformément au schéma de
L3
classification des informations adopté par l'organisation.
A8.2 Gestion des supports
A8.3.1 Gestion des supports amovibles Contrôle : Des procédures doivent être mises en place pour la
gestion des supports amovibles, conformément au schéma de
L2
classification adopté par l'organisation.
A8.3.2 Disposition des médias Contrôle : Les moyens doivent être éliminés en toute sécurité
lorsqu'ils ne sont plus nécessaires, en utilisant des procédures L3
formelles.
A8.3.3 Transfert de supports physiques Contrôle : les supports d'information doivent être protégés
contre tout accès non autorisé, mauvaise utilisation ou corruption L2
pendant le transport.
9 CONTRÔLE D'ACCÈS
9.1 Exigences commerciales pour le contrôle d'accès
A9.1.1 Politique de contrôle d'accès Contrôle : une politique de contrôle d'accès doit être établie,
documentée et révisée en fonction des exigences de sécurité
L2
de l'entreprise et de l'information.
A9.1.2 Accès aux réseaux et aux services de réseau Contrôle : les utilisateurs ne doivent être autorisés à accéder
qu'au réseau et aux services réseau pour lesquels ils ont été L4
spécifiquement autorisés.
9.2 Gestion des accès utilisateurs
A9.2.1 Enregistrement et désenregistrement des Contrôle : Un processus formel d'enregistrement et de
utilisateurs désenregistrement des utilisateurs doit être mis en œuvre
L3
pour permettre l'attribution des droits d'utilisateur.
allumé.
A9.2.2 Fourniture d'accès aux utilisateurs Contrôle : Un processus formel de fourniture d'accès utilisateur
doit être en place pour attribuer ou révoquer les droits d'accès
pour tous les types d'utilisateurs pour tous les systèmes et L3
services.
A9.2.3 Gestion des droits d'accès privilégiés Contrôle : L'attribution et l'utilisation des droits d'accès
L3
privilégiés doivent être restreintes et contrôlées
A9.2.4 Gestion des informations de Contrôle : L'attribution d'informations d'authentification
authentification secrète de l'utilisateur secrètes doit être contrôlée par un processus de gestion L4
formel.
A9.2.5 Examen des droits d'accès Contrôle : les propriétaires d'actifs doivent vérifier les droits
des utilisateurs d'accès des utilisateurs à intervalles réguliers. L3
A9.2.6 Retrait ou ajustement des droits de Contrôle : Les droits d'accès de tous
allumé les employés et les tiers utilisateurs d'informations et
d'installations de traitement d'informations doivent être
L4
supprimés à la fin de leur emploi, contrat ou accord, ou
ajustés lorsque des modifications sont apportées.
A9.3 Responsabilités de l'utilisateur
A9.3.1 Utilisation des informations d'authentification Contrôle : les utilisateurs doivent être tenus de respecter les
secret pratiques de l'organisation en matière d'utilisation des L2
informations d'authentification secrètes.
A9.4 Contrôle d'accès aux systèmes et applications
A9.4.1 Restriction d'accès au Contrôle : L'accès aux informations et aux fonctions des
informations systèmes d'application doit être limité conformément à la
L4
politique de contrôle de
allumé.
A9.4.2 Procédure d'entrée en toute sécurité Contrôle : lorsque la politique de contrôle d'accès l'exige, l'accès
aux systèmes et aux applications doit être contrôlé via un
L4
processus de connexion sécurisé.
A9.4.3 Système de gestion des mots de passe Contrôle : Les systèmes de gestion des mots de passe doivent
être interactifs et doivent garantir la qualité des mots de passe. L2
A9.4.4 Utilisation des utilitaires privilégiés Contrôle : L'utilisation de programmes utilitaires qui pourraient
avoir la capacité de remplacer les contrôles du système et des
L1
applications doit être strictement restreinte et contrôlée.
A9.4.5 Contrôle d'accès aux codes source des programmes Contrôle : L'accès aux codes sources des programmes doit être
L4
restreint.
10 CRYPTAGE
10.1 Contrôles cryptographiques
A10.1.1 Politique d'utilisation des contrôles Contrôle : Une politique sur l'utilisation des contrôles
cryptographique cryptographiques pour la protection des informations doit être L1
élaborée et mise en œuvre.
A10.1.2 Gestion des clés Contrôle : Une politique d'utilisation, de protection et de durée de
vie des clés cryptographiques doit être élaborée et mise en œuvre
L0
tout au long de leur cycle de vie.
A11 SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE
11.1 Zones de sécurité
A11.1.1 Périmètre de sécurité physique Contrôle : Des périmètres de sécurité doivent être définis et utilisés, et
utilisés pour protéger les zones contenant des informations confidentielles
ou critiques, et les installations de traitement des informations. L2
A11.1.2 Contrôles d'accès physique Contrôle : Les zones sécurisées doivent être protégées par des contrôles
d'accès appropriés pour s'assurer que seul le personnel autorisé est
L3
autorisé à y accéder.
A11.1.3 Sécurité des bureaux, locaux et installations. Contrôle : La sécurité physique des bureaux, des locaux et des installations
doit être conçue et appliquée.
L2
A11.1.4 Protection contre les menaces Contrôle : Une protection physique contre les catastrophes naturelles, les
externe et environnemental. attaques malveillantes ou les accidents doit être conçue et appliquée. L2
A11.1.5 Travailler dans des zones sûres. Contrôle : Des procédures de travail dans des zones sûres doivent être
conçues et appliquées.
L1
A11.1.6 Zones de chargement, d'expédition et d'accès Contrôle : les points d'accès tels que les zones d'expédition et de
public chargement et les autres points où des personnes non autorisées peuvent
entrer doivent être contrôlés et, si possible, isolés des installations de
L3
traitement de l'information afin d'empêcher tout accès non autorisé.
A11.2 Équipement
A11.2.1 Emplacement et protection des Contrôle : L'équipement doit être situé et protégé de manière à réduire
équipements les risques de menaces et de dangers provenant de l'environnement, L3
ainsi que les possibilités d'accès non autorisé.
A11.2.2 Services d'approvisionnement Contrôle : l'équipement doit être protégé contre les pannes de courant et
autres interruptions causées par des pannes dans les services L3
d'approvisionnement.
A11.2.3 Sécurité du câblage. Contrôle : Le câblage d'alimentation et de télécommunications qui
transporte des données ou prend en charge des services d'information
doit être protégé contre les interceptions, les interférences ou les L5
dommages.
A11.2.4 Entretien de l'équipement. Contrôle : L'équipement doit être correctement entretenu pour assurer sa
disponibilité et son intégrité continues. L4
A11.2.5 Mise hors service d'actifs Contrôle : Aucun équipement, information ou logiciel ne doit être retiré de
votre site sans autorisation préalable.
L4
A11.2.6 Sécurité des équipements et des biens à l'extérieur Contrôle : Des mesures de sécurité doivent être appliquées aux actifs qui
des installations se trouvent à l'extérieur des installations de l'organisation, en tenant
compte des différents risques de travailler à l'extérieur desdites installations. L3
A11.2.7 Élimination ou réutilisation en toute sécurité de Contrôle : tous les éléments d'équipement contenant des supports de
l'équipement stockage doivent être vérifiés pour s'assurer que toutes les données
confidentielles ou les logiciels sous licence ont été supprimés ou écrasés
L2
en toute sécurité avant leur élimination ou leur réutilisation.
A11.2.8 Équipement utilisateur sans surveillance Contrôle : les utilisateurs doivent s'assurer que l'équipement sans
surveillance bénéficie d'une protection appropriée.
L3
A11.2.9 Nettoyer la politique de bureau et d'écran Contrôle : Une politique de bureau propre doit être adoptée pour le papier
propre et les supports de stockage amovibles, et une politique d'écran propre
doit être adoptée dans les installations de traitement de l'information. L2
A12 SÉCURITÉ DES OPÉRATIONS
A12.1 Procédures opérationnelles et responsabilités
A12.1.1 Modes opératoires documentés Contrôle : Les procédures d'exploitation doivent être documentées et
mises à la disposition de tous les utilisateurs qui en ont besoin. L3
A12.1.2 Gestion du changement Contrôle : Les changements dans l'organisation, dans les processus
commerciaux, dans les installations et dans les systèmes de traitement
L3
de l'information qui affectent la sécurité de l'information doivent être
contrôlés.
A12.1.3 Gestion de la capacité Contrôle : l'utilisation des ressources doit être suivie, des ajustements
doivent être effectués et les besoins futurs en capacité doivent être
L2
projetés pour garantir les performances requises du système.
A12.1.4 Séparation des environnements de Contrôle : les environnements de développement, de test et
développement, de test et d'exploitation d'exploitation doivent être séparés pour réduire les risques d'accès L2
non autorisés ou de modifications de l'environnement d'exploitation.
A12.2 Protection contre les codes malveillants
A12.2.1 Contrôles contre les codes malveillants Contrôle : Des contrôles de détection, de prévention et de récupération, associés à
une sensibilisation appropriée des utilisateurs, doivent être mis en
œuvre pour se protéger contre les codes malveillants.
L2
A12.3.1 Contrôle de la sauvegarde des informations : les informations, les logiciels et les images système doivent être sauvegardés
et testés régulièrement conformément à une politique de sauvegarde
convenue.
L2
A12.4.1 Contrôle du journal des événements : des enregistrements sur les activités des utilisateurs, les exceptions, les défaillances
et les événements de sécurité des informations doivent être créés,
L1
conservés et régulièrement révisés.
A12.4.2 Protection des informations d'enregistrement Contrôle : Les installations et les informations d'enregistrement doivent
être protégées contre toute altération et tout accès non autorisé. L3
A12.4.3 Journaux administrateur et opérateur Contrôle : les activités de l'administrateur et de l'opérateur du système
doivent être enregistrées, et les enregistrements doivent être protégés L3
et régulièrement révisés.
A12.4.4 Synchronisation de l'horloge Contrôle : les horloges de tous les systèmes de traitement de
l'information pertinents au sein d'une organisation ou d'un
environnement de sécurité doivent être synchronisées avec une L1
source unique de référence temporelle.
A12.5.1 Installation du logiciel sur les systèmes Contrôle : Des procédures doivent être mises en place pour contrôler
opératoire l'installation des logiciels sur les systèmes d'exploitation. L3
A12.6 Gestion des vulnérabilités techniques
A12.6.1 Gestion des vulnérabilités Contrôle : les informations sur les vulnérabilités techniques des
techniques systèmes d'information utilisés doivent être obtenues en temps
opportun ; Évaluez l'exposition de l'organisation à ces vulnérabilités L1
et prenez les mesures appropriées pour faire face au risque associé.
A12.6.2 Restrictions sur l'installation du logiciel Contrôle : Les règles d'installation des logiciels par les utilisateurs
L3
doivent être établies et mises en œuvre.
A12.7 Considérations relatives à l'audit des systèmes d'information
A12.7.1 Contrôles d'audit du système Contrôle : les exigences d'audit et les activités impliquant la vérification
d'information des systèmes d'exploitation doivent être soigneusement planifiées et
convenues afin de minimiser les perturbations des processus métier.
L2
A13 SÉCURITÉ DES COMMUNICATIONS
A13.1 Gestion de la sécurité du réseau
A13.1.1 Commandes réseau Contrôle : les réseaux doivent être gérés et contrôlés pour protéger
les informations des systèmes et des applications. L2
A13.1.2 Sécurité des services Contrôle : Les mécanismes de contrôle doivent être identifiés
réseau exigences de sécurité, de niveaux de service et de gestion pour tous
les services réseau, et incluezles dans les accords de service
L3
réseau, que les services soient fournis en interne ou externalisés.
A13.1.3 Séparation dans les réseaux Contrôle : Les groupes de services d'information, d'utilisateurs et de
systèmes d'information doivent être séparés dans les réseaux. L2
A13.2 Transfert d'informations
A13.2.1 Politiques et procédures de transfert Contrôle : Des politiques, des procédures
compter suret des contrôles formels
d'information de transfert d'informations doivent
transfert
être edn
'informations
place pour pprotéger
ar l'utilisation
le
de L2
toutes sortes d'installations de communication.
A13.2.2 Accords sur Contrôle : les accords doivent traiter du transfert sécurisé des
transférer de informations commerciales entre l'organisation et les parties externes. L1
informations
A13.2.3 Messagerie électronique Contrôle : Les informations incluses dans la messagerie électronique
doivent être protégées de manière adéquate. L2
A13.2.4 Accords de Contrôle : les exigences relatives aux accords de confidentialité ou
confidentialité ou pas de nondivulgation qui reflètent les besoins de l'organisation en
divulgation matière de protection des informations doivent être identifiées,
régulièrement révisées et documentées. L3
14 Acquisition, développement et maintenance de systèmes
Exigences de sécurité des systèmes d'information
14.1
A.14.1.1 Analyse et spécification des exigences de Contrôle : les exigences relatives à la sécurité de l'information
sécurité de l'information doivent être incluses dans les exigences relatives aux nouveaux
systèmes d'information ou aux améliorations apportées aux L2
systèmes d'information existants.
A.14.1.2 Sécurité des services d'application dans les Contrôle : Les informations impliquées dans les services
réseaux publics Les applications qui transitent sur les réseaux publics doivent être
protégées contre les activités frauduleuses,
et la divulgation
les
elitiges
t la modification
contractuels
L2
non autorisées.
A.14.1.3 protection des transactions Contrôle : Les informations impliquées dans le

services applicatifs. Les transactions de service d'application doivent être protégées
pour empêcher la transmission incomplète, le mauvais
L3
acheminement, la modification non autorisée des messages, la
divulgation non autorisée et la duplication ou la relecture non
autorisées des messages.
Sécurité dans les processus de développement et de support
A14.2
A.14.2.1 Politique de développement sécurisé Contrôle : des règles de développement de logiciels et de systèmes
doivent être établies et appliquées aux développements au sein de L3
l'organisation.
A.14.2.2 procédures de contrôle Contrôle : Modifications apportées aux systèmes dans le cycle de

modifications du système la durée de vie du développement doit être contrôlée par l'utilisation
L2
de procédures formelles de contrôle des modifications.
A.14.2.3 Revue technique des Contrôle : lorsque les platesformes d'exploitation sont modifiées,

applications après évolution de la les applications métier critiques doivent être examinées et testées
plateforme d'exploitation pour s'assurer qu'il n'y a pas d'impact négatif sur les opérations ou L2
la sécurité de l'organisation.
A.14.2.4 Restrictions sur les changements de Contrôle : Modifications du

progiciels progiciels, qui doivent être limités aux modifications nécessaires, et
toutes les modifications doivent être strictement contrôlées.
L3
A.14.2.5 Principe de construction des systèmes Contrôle : Les principes du système sécurisé doivent être établis,

sûrs. de leur maintien, et appliqués à toute
documentés
activité dee
t pmour
ise le
a
n
construction
œuvre du
système d'information.
L0
A.14.2.6 Environnement de développement sécurisé Contrôle : les organisations doivent établir et protéger de manière
adéquate des environnements de développement sécurisés pour
les activités de développement et d'intégration d
englobent
e systèmes
l'ensemble
qui L3
du cycle de vie du développement de systèmes.
A.14.2.7 développement sous contrat Contrôle : L'organisation doit superviser et surveiller l'activité de

extérieurement développement des systèmes sous contrat externe. L2
A.14.2.8 Essais de sécurité du système Contrôle : Au cours du développement doit être effectué
L2
test des fonctionnalités de sécurité.
A.14.2.9 Essais d'acceptation des systèmes Contrôle : pour les nouveaux systèmes d'information, les mises à
niveau et les nouvelles versions, des programmes de tests
d'acceptation
L2
et des critères d'acceptation connexes doivent être établis.
Données de test
A14.3
A.14.3.1 tester la protection des données Contrôle : les données de test doivent être soigneusement
L2
sélectionnées, protégées et contrôlées.
A15 RELATIONS AVEC LES FOURNISSEURS
Sécurité de l'information dans les relations avec les fournisseurs.
A15.1
A15.1.1 Politique de sécurité de Contrôle : Les exigences de sécurité de l'information pour atténuer
l'information pour les relations avec les risques associés à l'accès des fournisseurs aux actifs de
les fournisseurs l'organisation doivent être convenues avec eux et documentées.
L2
A15.1.2 Traitement de la sécurité dans les Contrôle : Toutes les exigences pertinentes en matière de sécurité

accords avec les fournisseurs de l'information doivent être établies et convenues avec chaque
fournisseur qui peut accéder, traiter, stocker, communiquer ou fournir
L1
des composants d'infrastructure informatique pour les informations
de l'organisation.
A15.1.3 Chaîne d'approvisionnement de Contrôle : les accords avec les fournisseurs doivent inclure des
Technologies de l'information et de exigences pour traiter les risques de sécurité de l'information
la communication associés à la chaîne d'approvisionnement du fournisseur.
produits et services des technologies de l'information et de la
L2
communication.
A15.2 Gestion de la prestation de services du fournisseur
A15.2.1 Surveillance et examen des services Contrôle : les organisations doivent surveiller, examiner et auditer
des fournisseurs régulièrement la prestation de services par les prestataires. L0
A15.2.2 Gestion du changement dans Contrôle : les modifications de la fourniture de services par les

les services des fournisseurs fournisseurs doivent être gérées, y compris le maintien et
l'amélioration des politiques, procédures et contrôles de sécurité de
l'information existants, en tenant compte de la criticité des L2
informations, des systèmes et des processus des activités
concernées, et de la réévaluation des risques. .
A16 GESTION DES INCIDENTS DE SÉCURITÉ DE L'INFORMATION
Gestion des incidents et amélioration de la sécurité de
A16.1 l'information
A16.1.1 Responsabilités et Contrôle : les responsabilités et les procédures de gestion doivent être
procédures établies pour assurer une réponse rapide, efficace et ordonnée aux
L2
incidents de sécurité de l'information.
A16.1.2 Rapports sur les événements de sécurité Contrôle : les événements de sécurité de l'information doivent être

de l'information signalés par les canaux de gestion appropriés dès que possible. L2
A16.1.3 Rapport sur les faiblesses de la Contrôle : tous les employés et soustraitants qui utilisent les systèmes

sécurité de l'information et services d'information de l'organisation doivent être tenus d'observer
et de signaler toute faiblesse observée ou suspectée en matière de L3
sécurité de l'information dans les systèmes ou services.
A16.1.4 Évaluation des événements de Contrôle : les événements de sécurité de l'information doivent être

sécurité de l'information et décisions évalués et il faut décider s'il faut les classer comme incidents de
L2
à leur sujet sécurité de l'information.
A16.1.5 Réponse aux incidents de Contrôle : Les incidents de sécurité de l'information doivent être traités

sécurité de l'information conformément aux procédures documentées. L1
A16.1.6 Apprendre des incidents de Contrôle : les connaissances acquises grâce à l'analyse et à la

sécurité de l'information résolution des incidents de sécurité de l'information doivent être utilisées L2
pour réduire la possibilité ou l'impact d'incidents futurs.
A16.1.7 Collecte de preuves Contrôle : L'organisme doit définir et appliquer des procédures

d'identification, de collecte, d'acquisition et de conservation des
L3
informations pouvant servir de preuve.
ASPECTS DE SÉCURITÉ DE L'INFORMATION DE LA GESTION DES
A17 CONTINUITÉ DE L'ACTIVITÉ
A17.1 Continuité de la sécurité des informations
A17.1.1 planification de la continuité des activités Contrôle : l'organisation doit déterminer ses exigences en matière
la sécurité des informations de sécurité de l'information et de continuité de la gestion de la
sécurité de l'information dans des situations défavorables, par L2
exemple lors d'une crise ou d'une catastrophe.
A17.1.2 Mise en œuvre de la continuité de la Contrôle : L'organisation doit établir, documenter, mettre en œuvre

sécurité de l'information et maintenir des processus, des procédures et des contrôles pour
assurer le niveau de continuité requis pour la sécurité de l'information L1
lors d'une situation défavorable.
A17.1.3 Vérification, examen et évaluation de la Contrôle : L'organisation doit vérifier à intervalles réguliers les

continuité de la sécurité de l'information contrôles de continuité de la sécurité de l'information établis et mis
en œuvre, afin de s'assurer qu'ils sont valides et efficaces lors de L1
situations défavorables.
A17.2 Licenciements
A17.2.1 Disponibilité des installations de traitement Contrôle : les installations de traitement de l'information doivent être
de l'information mises en œuvre avec une redondance suffisante pour répondre aux L2
exigences de disponibilité.
CONFORMITÉ A18
Conformité aux exigences légales et contractuelles
A18.1
A18.1.1 Identification de la législation Contrôle : toutes les exigences légales, réglementaires et
applicable. contractuelles pertinentes, ainsi que l'approche de l'organisation
pour y répondre, doivent être explicitement identifiées, documentées
L3
et tenues à jour pl'organisation.
our chaque système d'information et pour
A18.1.2 droits de propriété intellectuelle Contrôle : Des procédures appropriées doivent être

(ppp) en place pour assurer la conformité aux exigences
législatives, réglementaires et contractuelles liées aux
droits de propriété intellectuelle et à l'utilisation de L2
produits logiciels exclusifs.
A18.1.3 Protection des enregistrements Contrôle : Les dossiers doivent être protégés contre

la perte, la destruction, la falsification, l'accès non
autorisé et la diffusion non autorisée, conformément aux L2
exigences législatives, réglementaires, contractuelles et
commerciales.
A18.1.4 Confidentialité et protection Contrôle : La confidentialité et la protection des
des informations personnelles informations personnelles doivent être assurées, comme
l'exigent la législation et la réglementation en vigueur, L2
le cas échéant.
A18.1.5 Réglementation des contrôles Contrôle : Des contrôles cryptographiques doivent être

cryptographiques. utilisés, conformément à tous les accords, lois et
L1
réglementations applicables.
Examens de la sécurité de l'information
A18.2
A18.2.1 Examen indépendant de la Contrôle : l'approche de l'organisation en matière de gestion
sécurité de l'information de la sécurité de l'information et sa mise en œuvre (c'està
dire les objectifs de contrôle, les contrôles, les politiques,
les processus et les procédures pour la sécurité de L2
l'information) doivent être revues indépendamment des
intervalles planifiés ou lorsque des changements importants
se produisent.
A18.2.2 Conformité aux politiques et normes Contrôle : les administrateurs doivent régulièrement

de sécurité examiner la conformité du traitement de l'information et des
procédures dans leur domaine de responsabilité, avec les
politiques et normes de sécurité appropriées, et toute autre
L3
exigence de sécurité.
A18.2.3 Examen de la conformité technique Contrôle : Les systèmes d'information doivent être examinés
périodiquement pour déterminer la conformité aux politiques
L2
et aux normes de sécurité de l'information.
Tableau 10 Résumé de la conformité par domaines
% de # NC # NC

Domaine
Efficacité Plus grand mineurs <
5 POLITIQUES DE SÉCURITÉ DES INFORMATIONS 50% 0 2 0
6 ORGANISATION DE LA SÉCURITÉ DE L'INFORMATION 50% 2 5 0
7 SÉCURITÉ DES RESSOURCES HUMAINES 90% 0 6 0
8 GESTION DES ACTIFS 73% 0 dix 0
9 CONTRÔLE D'ACCÈS 71% 1 sept 6
10 CRYPTOGRAPHIE 5% 2 0 0
11 SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE 70% 1 11 3
12 SÉCURITÉ DES OPÉRATIONS 57% 3 11 0
13 SÉCURITÉ DES COMMUNICATIONS 57% 1 6 0
14 ACQUISITION, DEVELOPPEMENT ET MAINTIEN DE
SYSTÈMES 57% 1 12 0
15 RELATION AVEC LES FOURNISSEURS 31% 2 3 0
16 GESTION DES INCIDENTS DE SÉCURITÉ
INFORMATIONS 0% 1 6 0
17 ASPECTS DE SECURITE DES INFORMATIONS DU
GESTION DE LA CONTINUITÉ DES ACTIVITÉS 37% 2 2 0
18 SÉCURITÉ DES COMMUNICATIONS 57% 1 sept 0
Le tableau cidessus présente une synthèse des 14 domaines et des 114 contrôles valorisés en
% d'efficacité et nombre de contrôles que la Fundación Universitaria San
Matéo.
2.3.1 Résultats
2.3.1.1 Résultats de maturité ISO 27001:2013
Les résultats suivants montrent l'état de maturité au regard des contrôles de la Norme ISO,
et le degré de conformité avec les contrôles établis.
Figure 11 : Maturité CMM des contrôles ISO.
CMM Maturité des contrôles ISO
6% 2% 3% 3%
19%
31%
36%
Inexistant Initiale / Adhoc
Reproductible, mais intuitif Processus défini
Géré et mesurable optimisé
Ne s'applique pas
Sources : Résultat de l'annexe A.
À la suite de l'illustration, le pourcentage de niveau de maturité des différents contrôles est évalué,
le degré de maturité que chacun a est identifié, ce qui nous donne un état de sécurité dans le
Fundación Universitaria San Mateo, Nous pouvons voir que 36% Des processus similaires sont effectués dans
manière similaire par différentes personnes ayant la même tâche, les bonnes pratiques sont normalisées sur la base
à l'expérience et à la méthode, Il n'y a pas de communication ou de formation formelle, les responsabilités
sont en charge de chaque individu et dépendent du degré de connaissance de chacun.
Vous trouverez cidessous une vue plus détaillée qui montrera le niveau de conformité par le
Le chapitre ISO, Anticiper les mesures, compare l'état actuel avec l'état souhaité.
Illustration 12 : Schéma comparatif de l'état actuel avec l'état souhaité Commandes ISO.
ANNEXE GAP À ISO 27001:2013
POLITIQUES DE SÉCURITÉ DU
INFORMATIONS
100 ORGANISATION DE LA SECURITE DES
CONFORMITÉ
L'INFORMATION
ASPECTS DE SÉCURITÉ DU
80
SÉCURITÉ DES RESSOURCES
INFORMATIONS SUR LA GESTION DES
CONTINUITÉ DE L'ACTIVITÉ
60 HUMAINS
40
GESTION DES INCIDENTS DE SÉCURITÉ
LA GESTION D'ACTIFS
DES INFORMATIONS 20
0
RELATIONS AVEC LES FOURNISSEURS CONTRÔLE D'ACCÈS
ACQUISITION, DEVELOPPEMENT ET CRYPTOGRAPHIE
ENTRETIEN DU SYSTÈME
SÉCURITÉ DES COMMUNICATIONS SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE
SÉCURITÉ DES OPÉRATIONS
Note actuelle Note cible
Sources : ANNEXE A Autodiagnostic.
Dans l'illustration cidessus, il convient de noter que le domaine qui a un niveau de
la maturité est la politique de sécurité, suivie de la sécurité physique et environnementale, l'institution
a travaillé sur ces aspects et a été les contrôles qui ont été travaillés avec différents contrôles
de acceso por medio de huella, control biométrico, circuitos cerrado de televisión, controles de acceso
segmentados, restricciones en áreas de las tecnologías, y protección de la información en cuanto a
los servidores ya que son administrados por un proveedor y están virtual izados en otra localité.
2.3.1.1 Évaluation de la maturité ISO 27002:2013
Illustration 13 : Synthèse de la conformité par Domaines.
Dans l'image suivante, vous pouvez voir graphiquement le résumé de la conformité par domaine.
Source : ISO27002 État d'évaluation de la maturité Annexe A2 ISO 27002 Maturité 2013
Illustration 14 : Pourcentage de maturité des contrôles mis en place.
5 POLITIQUES DE
SÉCURITÉ DU…
6 ORGANISATION DE LA 1 SÉCURITÉ 18 SECURITE DES
DU… COMMUNICATION
0,8
7 SÉCURITÉ DES 17 ASPECTS DE
RESSOURCES HUMAINES 0,6 SÉCURITÉ DU…
0,4
16 GESTION DES
0,2 INCIDENTS DE…
0
15 RELATION AVEC
FOURNISSEURS
14 ACQUISITION,
10 CRYPTOGRAPHIE
DEVELOPPEMENT ET…
11 SÉCURITÉ PHYSIQUE ET 13 SÉCURITÉ DES
DE L'ENVIRONNEMENT COMMUNICATION
12 SÉCURITÉ DES
OPÉRATIONS
Dans les graphiques précédents, nous pouvons observer que le domaine le mieux valorisé en termes d'efficacité est la sécurité des
Les ressources humaines, et le domaine avec le pourcentage d'efficacité le plus faible est la gestion des incidents de sécurité dans le
informations et cryptographie
Illustration 15 : Pourcentage de contrôles approuvés et non approuvés.
0%
43%
approuvé
Non approuvé
57%
Ne s'applique pas
Source : ISO27002 État d'évaluation de la maturité Annexe A2 ISO 27002 Maturité 2013,
Comme on peut le voir dans le graphique cidessus, la Fundación Universitaria San Mateo présente dans le
actuellement une faible réalisation de 57% des 114 contrôles, compte tenu de la norme
ISO/IEC : 27002:2013, et une maturité de 43% des contrôles déjà mis en place.
Phase 2. Système de gestion des documents
3.1 Présentation
Tous les Systèmes de Management s'appuient sur un corps documentaire de conformité réglementaire,
cela signifie que dans notre système de gestion de la sécurité de l'information, nous devrons avoir
une série de documents pour atteindre les objectifs d'un SMSI. qui sont établis dans
la norme ISO/IEC 27001:2013 ellemême.
Les documents standard qui seront expliqués dans la section suivante sont présentés cidessous.
Politique de sécurité
Procédure d'audit interne
Gestion des Indicateurs
Procédure de revue de direction
Gestion des rôles et responsabilités
Méthodologie d'analyse des risques
Déclaration d'applicabilité
3.2 Schéma de documentation
3.2.1 Politiques de sécurité
Règlement intérieur qui doit être connu et respecté par tout le personnel concerné par le périmètre du Système
Gestion de la sécurité des informations. Le contenu de la Politique doit couvrir les aspects liés à
l'accès à l'information, l'utilisation des ressources de l'Organisation, le comportement en cas de
incidents de sécurité, etc.
La politique de sécurité de l'information de la Fondation sera décrite cidessous.
Universidad San Mateo, afin d'organiser la sécurité de l'information des systèmes et
garantir la protection de toute perte de votre confidentialité, intégrité et disponibilité.
Avec la socialisation, on cherche à ce que toute l'organisation, y compris les directeurs, les conseils supérieurs,
des individus et des groupes fournissent un soutien afin que l'institution dispose d'informations avec des niveaux
de sécurité appropriés (« Norme ISO 27002 : Le domaine de la politique de sécurité », ndb).
La politique institutionnelle de la Fondation universitaire de San Mateo a été définie, qui
partie intégrante du SMSI et se trouve dans les Annexes B du présent Document.
3.2.2 Procédures d'audit interne
Le document de procédure d'audit interne a pour objet d'inclure un planning des
les audits qui seront réalisés pendant la validité de la certification (une fois celleci obtenue),
vérifier que tous les aspects du SMSI fonctionnent comme prévu et sont correctement
évolué.
Ce document établit les exigences pour les auditeurs internes et définit le modèle d'audit.
rapport d'audit.
La procédure d'audit interne de la Fondation Universitaire San Mateo a été définie sur
qui font partie du SMSI et se trouvent à l'annexe C de ce document.
3.2.3 Gestion des indicateurs
Dans la Fondation universitaire de San Mateo, il est nécessaire de définir des indicateurs pour mesurer l'efficacité de
les contrôles de sécurité mis en place. Il est également important de définir la systématique pour mesurer la
niveau de maturité par rapport aux objectifs fixés, pour disposer de ces informations, il faut
mettre en place des indicateurs qui nous donnent des informations pour les évaluer.
La procédure de gestion des indicateurs a été proposée qui indique comment les
mesures pour la Fondation de l'Université de San Mateo et se trouvent à l'annexe D de cela
document.
3.2.4 Procédure de revue de direction
Le but de la direction de l'organisation est d'examiner annuellement les questions les plus importantes
qui se sont produits en relation avec le système de gestion de la sécurité de l'information. Pour cette
révision, ISO/IEC 27001 définit à la fois les points d'entrée et les points de sortie qui doivent être
tirer de ces critiques.
La procédure de revue de direction a été proposée pour la Fundación Universitaria San
Mateo et se trouve à l'annexe E de ce document.
3.2.5 Gestion des rôles et des responsabilités
Le système de gestion de la sécurité de l'information doit être composé d'une équipe qui
est responsable de la création, de la maintenance, de la supervision et de l'amélioration du Système. Cette équipe de travail, connue
généralement en tant que comité de sécurité, il doit être composé d'au moins une personne du
Gestion, de sorte que de cette façon les décisions qui sont prises puissent être soutenues par quelqu'un
de la Direction.
La procédure de Gestion des Rôles et Responsabilités pour la Fondation a été proposée
Universidad San Mateo et est situé dans l'annexe F de ce document.
3.2.7 Méthodologie d'analyse des risques
Il établit le système qui sera suivi pour calculer le risque, qui devrait essentiellement inclure l'identification
et l'évaluation des actifs, des menaces et des vulnérabilités.
La méthodologie d'analyse des risques établit le système qui sera suivi pour calculer le risque,
qui devrait essentiellement inclure l'identification et l'évaluation des actifs, des menaces et des
vulnérabilités.
MAGERIT sera utilisé comme méthodologie d'analyse des risques, qui a la caractéristique
Il est essentiel que les risques posés à la Fondation universitaire de San Mateo soient exprimés
en valeurs économiques directement.
La procédure de Gestion des Rôles et Responsabilités pour la Fondation a été proposée
Universidad San Mateo et est situé dans l'annexe G de ce document.
3.2.7 Déclaration d'applicabilité
Document qui comprend tous les contrôles de sécurité établis dans la Fondation universitaire
San Mateo Basé sur la norme ISO/IEC 27002:2013, avec des détails sur son applicabilité, son statut et
Documentation connexe.
Le document de déclaration d'applicabilité a été créé pour la Fundación Universitaria San
Mateo et se trouve à l'annexe H de ce document ("Documentation requise par l'ISO
27001 », )
Analyse du pourcentage d'efficacité : résultat de la déclaration d'applicabilité.
Domaine % Efficacité
5 POLITIQUES DE SÉCURITÉ DES INFORMATIONS 50%
6 ORGANISATION DE LA SÉCURITÉ DE L'INFORMATION 50%
7 SÉCURITÉ DES RESSOURCES HUMAINES 90%
8 GESTION DES ACTIFS 73%
9 CONTRÔLE D'ACCÈS 71%
10 CRYPTOGRAPHIE 5%
11 SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE 70%
12 SÉCURITÉ DES OPÉRATIONS 57%
13 SÉCURITÉ DES COMMUNICATIONS 57%
14 ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES 57%
15 RELATION AVEC LES FOURNISSEURS 31%
16 GESTION DES INCIDENTS DE SÉCURITÉ DE L'INFORMATION 0%
17 ASPECTS DE SÉCURITÉ DE L'INFORMATION DE LA GESTION DES
CONTINUITÉ DE L'ACTIVITÉ 37%
3.2.8 Résultats
Avec le schéma documentaire de base établi par la norme préparée, nous aurons établi le
bases de notre système de gestion de la sécurité de l'information, puisque sur ces documents
et/ou politiques/procédures, les différentes activités de mise en œuvre seront réalisées (réalisation
analyse des risques, mise en place des contrôles nécessaires, mise en place de projets, mise en place
audit interne, etc...
Phase 3 4. Analyse des risques
4.1 Présentation
Ce n'est un secret pour personne que depuis plusieurs décennies l'information est devenue l'atout
avec plus de valeur d'une organisation, en passant par le cycle continu d'être un intrant à haute valeur ajoutée,
devenir un produit du développement des activités, ou inversement, ceci étant fondamental
pour la réalisation des objectifs et la subsistance des organisations.
Il n'est pas possible de protéger ce qui n'est pas connu, c'est pourquoi la première étape vers la réalisation
du plan de mise en œuvre d'un SMSI consistera en l'évaluation des actifs,
compte tenu des dépendances existantes entre eux et en faisant une évaluation.
Les actifs de l'Institution liés à la sécurité de l'information sont identifiés, dont
L'objectif du SMSI est de les protéger et la valeur, les menaces et les vulnérabilités sont calculées.
4.2 Inventaire des actifs
Le premier point à traiter est d'analyser les actifs liés à l'information, il est habituel de regrouper les
actifs par groupes, dans ce cas, nous pouvons regrouper les actifs en groupes selon la méthodologie
MAGERIT, la démarche est donnée dans :
Tableau 11 : Types d'actifs selon MAGERIT.
UN La description
Installations [L] Lieux où sont hébergés les systèmes d'information et de communication.
Les moyens matériels, physiques, destinés à soutenir directement ou indirectement les
Matériel [HW]
services fournis par l'organisation.
Tâches qui ont été automatisées pour leur exécution par une équipe informatique. Les
Logiciel [logiciel] applications gèrent, analysent et transforment les données permettant l'exploitation des
informations pour la fourniture de services.
Données[D] Les informations qui permettent à l'organisation de fournir ses services.
réseaux de communication Ce sont les moyens de transport qui transportent les données d'un endroit à un autre. Les
installations dédiées et les services de communication contractuels sont inclus
[AVEC]
Aux tiers.
Autre équipement qui supporte les systèmes d'information, sans leur être directement lié.
Équipement auxiliaire [AUX]
Personnel [P] Personnes liées aux systèmes d'information.
supports d'information Dispositifs physiques qui permettent de stocker des informations de manière permanente
[Médias] ou, au moins, pendant de longues périodes.
Tableau 12 : Inventaire des actifs.
Type d'actif
IDENTIFIANT ACTIF
La description
L1 Centre de traitement des données
L2 Bureau du directeur administratif
L3 Bureau du directeur comptable
L4 Bureau du directeur de la planification
L5 Bureau de gestion des systèmes
L6 Bureau de Dean
L7 Bureau des orientations du programme
L8 Bureau du presbytère
L9 Bureau du viceprésident académique
Installations [L] L10 Bureau d'accueil

L11 Bureau Qualité
L12 Bureau de la recherche
L13 Bureau de projection sociale
L14 Bureau du bienêtre institutionnel
L15 Bureau d'enregistrement et de contrôle
L16 Bureau de commercialisation
L17 Salle des professeurs
L18 Chambres spécialisées
L19 Laboratoires
Serveur d'applications HW1
Serveur de base de données HW2
Serveur de téléphonie HW3
Serveur proxy HW4
Serveur Web HW5
Serveur de domaine HW6
Equipes HW7 Salle 1 (30) équipes
Matériel [HW]
Équipes HW10 Salle 4 (30) équipes
Équipes HW11 Salle 5 (30) équipes
HW12 Équipement Salle du personnel 15
HW13 Matériel de bureau administratif 16
HW14 Équipement de laboratoire 120
HW15 Équipement de laboratoire de télécommunications 120
HW16 Équipement électronique de laboratoire 1 10
Équipement de laboratoire d'antenne HW19 10
HW20 Matériel Équipement de laboratoire 20
SW1 Windows Serveur 2012
Bureau SW2 2013
Système d'exploitation Windows 10 SW3
SW4 Matlab
Traceur Paquect SW5
SW6 Microsoft Active Directory
Apache Tomcat SW7
Antivirus SW8
SW9 Academysoft
Systèmes de degrés SW10
Système d'approbation SW11
SW12 Moodle
Logiciel [logiciel] SW13 Bibliofus
SW14 ESS
Assistance SW15
Évaluation de l'enseignant SW16
Surveillance des enseignants SW17
Système budgétaire SW18
Système d'événements SW19
Service d'assistance SW20
Fichiers statistiques SW21
SW22 Gestion des talents humains
SW23 Hélisa
Tutoriels SW24
Facturation et portefeuille SW25
D1 Bases de données administratives
D2 Bases de données des étudiants
D3 Bases de données pédagogiques
D4 Bases de données Fournisseurs, Employeurs
Données[D]
D5 Backus généré à partir des bases de données
D6 Bases de données de courrier institutionnel
D7 Accompagnement des candidatures institutionnelles
D8 Centre de traitement des données
Réseaux de communication [COM] COM1 Accès aux interoffices (14)
Lignes téléphoniques COM2 (24)
COM3 1 Télécopieur
Accès sans fil COM4 (8)
S1 Utilisateurs de sauvegarde
S2 Vidéosurveillance
Prestations (S)
S3 Virtualisation (serveur Moodle)
S4 Email institutionnel
Système électrique général
Climatisation (Centre de données)
Système de détection d'incendie
système de premiers secours
Fibre optique
Équipement auxiliaire AIDER
Bureau de câblage structuré
Câblage structuré Salles informatiques
Laboratoires de câblage structuré
Principal d'UPS
Centrale électrique
P1 Recteur
P2 Vicerectorats (5)
P3 Directeur administratif
P4 décanaturation (2)
P5 Directeurs de programme (6)
P6 Directeur de la vulgarisation
P7 Directeur du bienêtre
P8 Directeur de recherche
P9 Directeur des Talents Humains
P10 Directeur comptable
Personnel [P] P11 Secrétaires adjoints (12)

P12 Enseignants (156)
P13 Coordonnateur de la technologie
P14 Coordonnatrice des inscriptions et du contrôle
P15 Secrétaire Académique 3)
P16 Assistance technique 5()
P17 Étudiants (4300)
Q18 Commercialisation (5)
P19 Communication (2)
P20 Personnel des services généraux (8)
P21 Zone de développement (4)
P22 Réception
P23 Assistant administratif (4)
P24 Assistant comptable (3)
M1 Disques durs de sauvegarde ( 4)
Supports d'information [Médias] M2 Dans le
M3 USB (5)
Source : ("FONDATION SAN MATEO")
4.3 Valorisation des actifs
Si l'on considère le processus dans son ensemble, le but ultime est de prendre un ensemble de mesures qui
garantir nos actifs. Le bon sens veut que le coût des mesures ne soit pas
supérieur au coût du bien protégé. Nous allons donc commencer par déterminer la valeur de
différents atouts
Cette évaluation est sans doute compliquée dans de nombreux cas. Quel est par exemple la base de
les données clients d'une entreprise ? Nous nous baserons sur l'analyse proposée par MAGERIT dans son Livre
III (point 2.1), en le complétant par une estimation quantitative. La proposition cidessus fait une
classement selon les catégories suivantes.
• Valeur réelle : Valeur que le remplacement de l'actif a pour l'entreprise dans les conditions
avant l'action de la menace
• Valeur estimée : mesure subjective de l'entreprise qui, compte tenu de l'importance de l'actif, attribue une
valeur économique • La valeur de remplacement : c'est la valeur pour l'entreprise de remplacer cet actif
en cas de perte ou d'inutilisation
• La valeur de configuration : il s'agit du temps nécessaire entre l'acquisition du nouvel actif et sa
configuration ou son réglage afin qu'il puisse être utilisé pour la fonction exécutée par l'actif précédent.
• La valeur d'usage de l'actif : c'est la valeur que l'organisation perd pendant le temps où ledit actif ne peut
pas être utilisé pour la fonction qu'il remplit.
• La valeur de perte d'opportunité : c'est la valeur que l'organisation perd potentiellement en ne pouvant
disposer dudit actif pendant un certain temps.
Pour effectuer l'évaluation, différents groupes d'actifs sont établis en fonction de leur valeur et chaque groupe
attribuer une valeur économique estimée qui sera utilisée pour tous les actifs appartenant à
ce groupe. Le tableau suivant présente les groupes d'amortissement pour l'analyse de risque des
Fondation universitaire San Mateo.
Tableau 13 : Échelle d'évaluation.
IDENTIFIANT Évaluation Intervalle Valeur estimée
ET Très haut Montant > 200 000 000 300.000.000
UN Haute 100 000 000<Valeur>200 000 000 150.000.000
M Moyen 50 000 000<Valeur>100 000 000 75.000.000
B bas 10 000 000<Valeur>50 000 000 30.000000
Mo Très bas Montant>10 000 000 10.000
De plus, il faut tenir compte du fait que les actifs sont en fait hiérarchiques. C'estàdire,
nous devons identifier et évaluer les dépendances entre les actifs. On dit qu'un « atout supérieur »
dépend d'un autre « actif inférieur » lorsque les besoins de sécurité du supérieur se reflètent dans
les besoins de sécurité de l'inférieur, c'estàdire lorsque la matérialisation de
une menace à l'actif inférieur entraîne des dommages à l'actif supérieur,
Par conséquent , l'arborescence ou la hiérarchie des dépendances entre les actifs doit être analysée .
Vous trouverez cidessous les hiérarchies de dépendance des services de surveillance et
administration de la Fondation universitaire de San Mateo
Illustration 16 : Dépendances d'administration et de surveillance.
S4
P 24 EC 20 SO 25 COM 4 M3 HW D 8

Dans
L 19 AUX 10
4.4 Cotes de sécurité
Du point de vue de la sécurité, parallèlement à l'évaluation réelle des actifs, il doit être indiqué
quel est l'aspect le plus critique de la sécurité. Cela vous sera utile lorsque vous penserez à
garanties possibles, puisque cellesci se concentreront sur les aspects qui présentent le plus d'intérêt.
Une fois les actifs identifiés, leur valorisation ACID doit être réalisée. Bonheur
l'évaluation vient mesurer la criticité dans les cinq dimensions de la sécurité de l'information
piloté par le processus métier. Cette évaluation permettra d'évaluer a posteriori l'impact que
aura la matérialisation d'une menace de la part de l'actif exposé (non couvert par
garanties dans chacune des dimensions).
Authenticité [A] : Propriété ou caractéristique selon laquelle une entité est celle qu'elle prétend être ou qu'elle
garantit la source d'où proviennent les données.
Confidentialité [C] : Propriété des informations de ne pas être mises à disposition ou divulguées à des
personnes, entités ou processus non autorisés
Intégrité [I] : Propriété de l'information relative à son exactitude et son exhaustivité
Disponibilité [D] : Propriété ou caractéristique des actifs constitués des entités ou
les processus autorisés y ont accès en cas de besoin.
Menace : [D] : cause potentielle d'un incident indésirable, qui peut endommager un système
ou à l'organisation
La valeur reçue par un bien peut être propre ou cumulée, la valeur propre sera affectée au
informations, laissant les autres actifs subordonnés aux besoins d'exploitation et
protection des informations. Ainsi, les actifs inférieurs dans un régime de dépendance
accumuler la valeur des actifs qui reposent sur eux. Chaque actif informationnel peut posséder
une valeur différente dans chacune des différentes dimensions pour l' organisation souhaitée
analyser, pour cela nous devons toujours garder à l'esprit ce que chaque dimension représente.
Une fois les cinq dimensions expliquées, l'échelle à laquelle les mesures seront effectuées est prise en compte.
valorisations. Dans ce cas, une échelle d'évaluation de dix valeurs est utilisée en suivant ce qui suit
Critères:
Tableau 14 : Évaluation des dimensions de sécurité.
ÉVALUER CRITÈRE
10 Atteinte très grave à l'organisation
79 Atteinte grave à l'organisation
46 Préjudice important à l'organisation
13 Dommages mineurs à l'organisation
0 Indifférent à l'organisation
Lors de la pondération de chaque actif, l'importance de
ou participation de l'actif à la chaîne de valeur du service, en évitant les situations du type « tout
est très important » et obligeant ainsi la ou les personnes chargées de procéder à ladite évaluation à discerner
entre ce qui est vraiment important et ce qui ne l'est pas.
Les actifs seront évalués comme "très élevé", "élevé", "moyen", "faible" ou
« Négligeable » en même temps que chaque actif dans chaque dimension se verra attribuer un
évaluation de [010].(Larrahondo Nuñez & Alexander Larrahondo)
4.5 Tableau récapitulatif de valorisation
En bref, ce que nous avons vu jusqu'à présent devrait nous permettre de générer un tableau qui reflétera à la fois
l'évaluation des actifs comme ses aspects critiques. La table résultante s'appellera
Évaluation des actifs.
Tableau 15 : Valorisation des actifs.
Genre de
Actif IDENTIFIANT ACTIF ÉVALUER
La description ACIDE
L1 Centre de traitement des données ET 10 10 10 10 10
L2 Bureau du directeur administratif UN 9 7 8 8 8
L3 Bureau du directeur comptable UN 9 9 9 8 8
L4 Bureau du directeur de la planification UN 8 8 7 7 8
Installations
L5 Bureau de gestion des systèmes ET 10 10 10 10 10
[L]
L6 Bureau de Dean M 4 6 4 4 5
L7 Bureau des orientations du programme M 4 6 5 4 4
L8 Bureau du presbytère UN 8 8 8 8 8
L9 Bureau du viceprésident académique UN 8 8 7 8 7
L10 Bureau d'accueil Mo 2 3 2 2 2

L11 Bureau Qualité UN 8 7 9 8 8
L12 Bureau de la recherche M 4 6 6 6 6
L13 Bureau de projection sociale M 4 5 5 6 6
L14 Bureau du bienêtre institutionnel M 5 6 4 6 6
L15 Bureau d'enregistrement et de contrôle UN 9 9 9 8 7
L16 Bureau de commercialisation M 5 6 4 6 6
L17 Salle des professeurs Mo 2 3 2 3 1
L18 salles informatiques M 6 6 6 6 6
L19 Laboratoires M 4 6 5 6 6
Serveur d'applications HW1 ET 10 10 10 10 10
Serveur de base de données HW2 ET 10 10 10 10 10
Serveur de téléphonie HW3 A 7 9 9 8 7
Serveur proxy HW4 Mo 3 3 2 3 3
Serveur Web HW5 UN 9 9 7 8 7
Serveur de domaine HW6 M 6 6 5 4 4
Equipes HW7 Salle 1 (30) équipes UN 8 9 7 8 7
Équipes HW10 Salle 4 (30) équipes UN 8 9 7 8 7
Matériel [HW] Équipes HW11 Salle 5 (30) équipes UN 8 9 7 8 7
HW12 Équipement Salle du personnel 15 UN 8 9 7 8 7
HW13 Matériel de bureau administratif 16 UN 9 9 7 8 9
HW14 Équipement de laboratoire 120 UN 8 9 7 8 7
HW15 Équipement de laboratoire
Télécommunications 120 UN 8 9 7 8 7
HW16 Équipement électronique de laboratoire 1 10 UN 8 9 7 8 7
Équipement de laboratoire d'antenne HW19 10 UN 8 9 7 8 7
HW20 Matériel Équipement de laboratoire 20 UN 8 9 7 8 7
SW1 Windows Serveur 2012 UN 7 9 8 7 7
Bureau SW2 2013 Mo 3 3 2 3 3
Système d'exploitation Windows 10 SW3 UN 8 7 9 9 9
SW4 Matlab Mo 3 2 3 2 1
Logiciel [logiciel] Traceur Paquect SW5 Mo 3 2 3 2 1
SW6 Microsoft Active Directory UN 8 9 7 7 8
Apache Tomcat SW7 ET 10 10 10 10 10
Antivirus SW8 UN 9 9 8 8 7
SW9 Academysoft UN 8 9 7 7 8
Systèmes de degrés SW10 M 4 4 4 5 4
Système d'homologation SW11 M 4 4 4 5 4
SW12 Moodle UN 7 8 8 9 7
SW13 Bibliofus Mo 3 2 3 2 3
SW14 ESS UN 9 7 8 8 7
Assistance SW15 Mo 3 3 2 3 1
Évaluation de l'enseignant SW16 M 4 6 4 5 6
Surveillance des enseignants SW17 M 5 4 4 5 6
Système budgétaire SW18 UN 8 9 8 8 7
Système d'événements SW19 Mo 3 2 3 3 3
Service d'assistance SW20 M 5 6 6 5 6
Fichiers statistiques SW21 UN 8 9 8 7 7
SW22 Gestion des talents humains UN 8 8 9 8 7
SW23 Hélisa UN 9 9 8 8 9
Tutoriels SW24 Mo 3 2 3 3 3
Facturation et portefeuille SW25 ET 10 10 10 10 10
D1 Bases de données administratives UN 8 8 9 8 9
D2 Bases de données des étudiants ET 10 10 10 10 10
D3 Bases de données pédagogiques ET 10 10 10 10 10
D4 Bases de données Fournisseurs, Employeurs ET 10 10 10 10 10
Données[D]
D5 Backus généré à partir des bases de données UN 9 9 9 9 9
D6 Bases de données de courrier institutionnel UN 9 9 8 9 8
D7 Accompagnement des candidatures institutionnelles UN 9 8 8 7 9
D8 Centre de traitement des données UN 8 9 8 9 9
COM1 Accès aux inter offices (14) UN 9 8 8 9 9
réseaux
Lignes téléphoniques COM2 (24) M 6 4 6 5 4
de communication
Télécopie COM3 Mo 2 2 1 3 2
[AVEC]
Accès sans fil COM4 (8) M 5 4 6 4 5
S1 Utilisateurs de sauvegarde M 4 6 5 5 4
S2 Vidéosurveillance UN 7 9 9 9 8
Prestations (S)
S3 Virtualisation (serveur Moodle) UN 9 8 8 9 8
S4 Email institutionnel M 4 6 5 5 4
Système électrique général ET 10 10 10 10 10
Climatisation (Centre de données) M 6 6 6 6 6
Système de détection d'incendie UN 7 8 8 9 9
équipement système de premiers secours UN 8 8 8 8 8

AIDER
Assistant Fibre optique UN 8 8 8 7 7
Bureau de câblage structuré M 6 6 6 6 5
Câblage structuré Salles informatiques M 6 6 6 6 6
Laboratoires de câblage structuré M 6 6 6 6 6
Principal d'UPS UN 8 8 7 9 7
Centrale électrique
UN 7 7 7 7 7
P1 Recteur ET 10 10 10 10 10
P2 Viceprésidents (5) UN 9 9 9 9 9
P3 Directeur administratif UN 9 8 9 8 9
P4 décanaturation (2) UN 8 8 9 8 7
P5 Directeurs de programme (6) UN 8 8 7 8 7
P6 Directeur de la vulgarisation UN 8 8 7 8 7
P7 Directeur du bienêtre M 5 5 6 4 4
P8 Directeur de recherche UN 7 8 7 9 7
P9 Directeur des Talents Humains UN 9 9 9 8 9
P10 Directeur comptable UN 9 8 9 8 8
P11 Secrétaires adjoints (12) M 6 6 4 4 6
P12 Enseignants (156) UN 9 9 9 9 9
Personnel [P]
P13 Coordonnateur de la technologie UN 8 9 9 9 9
P14 Coordonnatrice des inscriptions et du contrôle UN 8 9 9 8 9
P15 Secrétaire Académique 3) UN 8 9 9 9 9
P16 Assistance technique 5() UN 8 9 7 8 9
P17 Étudiants (4300) UN 9 9 9 9 9
Q18 Commercialisation (5) UN 8 9 8 9 9
P19 Communication (2) M 6 5 4 5 6
P20 Personnel des services généraux (8) M 6 6 4 6 6
P21 Zone de développement (4) UN 8 9 8 9 9
P22 Réception M 6 4 6 6 4
P23 Assistant administratif (4) M 6 6 6 6 5
P24 Assistant comptable (3) M 5 5 6 5 6
M1 Disques durs de sauvegarde ( 4) UN 8 8 9 8 9
supports
d'information M2 Nas A 7 8 9 8 9
[Médias] M3 USB (5) A 7 8 7 8 9
4.6 Analyse des menaces
Les actifs sont exposés à des menaces et cellesci peuvent affecter différents aspects de la
Sécurité. Au niveau méthodologique, nous voulons analyser quelles menaces peuvent affecter quels actifs
de la Fondation Universitaire San Mateo. Une fois étudié, estimer la vulnérabilité de l'actif aux
la matérialisation de la menace ainsi que sa fréquence estimée.
Le plus courant dans une approche méthodologique est d'avoir un premier tableau des menaces.
De nombreuses méthodologies ont des tableaux avec certains des plus courants, dans ce cas, et pour un
question d'homogénéité, ceux utilisés dans MAGERIT seront également utilisés (notamment le Livre 2
« Catalogue des éléments » (Point 5)).
Les menaces sont classées dans les grands blocs suivants :
• Catastrophes naturelles [N]
• D'origine industrielle [I]
• Erreurs et défaillances involontaires [E]
• Attaques intentionnelles [A]
Le tableau suivant présente le catalogue des menaces selon MAGERIT pour la Fundación
Université San Mateo.
Tableau 16 : Catalogue des Menaces MAGERIT.
Type d'actif IDENTIFIANT ACTIF

La description
N1 Feu
N2 Dégâts des eaux
Catastrophes naturelles [N]
N3 Tempête électrique
Séisme N4
I1 Feu
I2 Dégâts d'eau
I3 Surcharge électrique
I4 Éclatement
Origine Industrielle [I]
I5 Effondrement
I6 pollution mécanique
I7 Pollution électromagnétique
I8 Défaut d'origine physique ou logique
I9 coupure électrique
I10 Conditions de température et/ou d'humidité inadéquates
I11 Panne du service de communication
I12 Perturbation d'autres services et fournitures essentiels
Dégradation des supports de stockage d'informations
I13
I14 émanations électromagnétiques
E1 erreurs de l'utilisateur
E2 Erreurs du technicien informatique
E3 Erreurs des administrateurs syriens
E4 Surveillance des erreurs (journal)
E5 erreurs de configuration
E6 Lacunes organisationnelles
E7 Diffusion de logiciels nuisibles
E8 erreurs de [re]routage
E9 erreurs de séquence
Erreurs et défaillances E10 Fuites d'informations
involontaires [E] E11 Altération accidentelle des informations
E12 Destruction des informations
E13 fuites d'informations
E14 Vulnérabilité des programmes (logiciels)
Erreurs de maintenance / mise à jour des programmes (logiciels)
E15
Erreurs de maintenance/mise à jour de l'équipement (matériel)
E16
E17 Plantage du système dû à l'épuisement des ressources
E18 Perte de matériel
E19 Indisponibilité du personnel
A1 Gestion des enregistrements d'activité (journal)
Manipulation de configuration A2
A3 Usurpation de l'identité de l'utilisateur
A4 Abus des privilèges d'accès
A5 Utilisation non conforme
A6 Diffusion de logiciels nuisibles
Attaques intentionnelles [A] A7 [Re]routage des messages
A8 Modification de la séquence
A9 Accès non autorisé
A10 Analyse du trafic
A11 Répudiation
A12 Interception d'informations (écoute)
A13 Modification délibérée des informations
A14 Destruction des informations
A15 Divulgation d'informations
A16 Manipulation du programme
A17 Manipulation de l'équipement
A18 Déni de service
Robot A19
A20 Attaque Destructrice
A21 Occupation ennemie
A22 Indisponibilité du personnel
A23 Extorsion
A24 Ingénierie sociale (picaresque)
Pour estimer la vulnérabilité, il faut estimer la fréquence d'occurrence des menaces
sur une échelle de temps.
Tableau 17 : Catégories de fréquence des menaces.
Vulnérabilité IDENTIFIANT
Intervalle évaluer
Fréquence extrême ET Une fois par jour 1
Haute fréquence UN 1 fois toutes les 2 semaines 26/365=0,071233
Moyenne fréquence M 1 fois tous les 2 mois 6/365=0,016438
Basse fréquence B 1 fois tous les 6 mois 2/365=0,005479
Très basse fréquence Mo 1 fois par an 1/365=0,002739
La valeur numérique de la plage de vulnérabilité est extraite par des estimations annuelles basées sur
jours, c'estàdire en attribuant un certain nombre de fois par an :
Valeur de vulnérabilité = Fréquence estimée en jours par an/ 365 (Nombre de jours dans une année
Et l'évaluation de l'impact que la survenance d'une menace produira dans les dimensions de
la sécurité sera basée sur le tableau suivant :
Impact IDENTIFIANT Évaluer
Très haut ET Valeur > 95%
Haute UN 75 %<Valeur>95 %
Moyen M 50 %<Valeur>75 %
bas B 30 %<Valeur>50 %
Très bas Mo 10 %<Valeur>30 %
Cidessous un tableau récapitulatif de l'analyse des menaces de la Fondation Universitaire
San Mateo, on constate que pour chaque menace qui affecte un actif, la fréquence à laquelle la menace peut
survenir est analysée, ainsi que son impact sur les différentes dimensions de la sécurité.
de l'actif.
En bref, pour chaque type d'actif, la fréquence avec laquelle la menace peut survenir sera analysée,
ainsi que son impact sur les différentes dimensions de la sécurité des actifs.
Tableau 18 : Analyse sommaire des menaces.
GROUPE
Fréq Dimensions
MENACE Actif affecté élèves d'impact %
O un
ACID
Matériel [HW] Mo 100
Installations [L] Mo 100
Réseau de communication
Incendie [N1]
[AVEC] Mo 100
Équipement auxiliaire
[AUX] Mo 75
Dégâts d'eau Réseau de communication
catastrophes [N2] [AVEC] Mo 75
Naturel Équipement auxiliaire
[N] [AUX] Mo 75
Tempête
[AVEC] Mo 50
Électricité [N3]
[AUX] Mo 50
Tremblement de terre [N4]
[AUX] Mo 75
d'origine
industrielle Installations [L] Mo 100
Feu [l1]
[JE]
[AVEC] Mo 100
[AUX] Mo 100
dégâts des eaux Réseau de communication
[l2] [AVEC] Mo 75
[AUX] Mo 75
Matériel [HW] B 75
Surcharge
[AVEC] B 50
électrique [l3]
[AUX] B 50
explosion [l4]
[AVEC] Mo 100
[AUX] Mo 100
Glissement de terrain [l5]
[AVEC] Mo 60
[AUX] Mo 60
Contamination
mécanique [l6]
[AUX] Mo 50
[AVEC] Mo 75
Pollution
électromagnétique
Données [D] Mo 75
[l7]
[AUX] Mo 775
[AVEC] M 75
Matériel [HW] M 75
Panne d'origine [AUX] M 40
physique ou logique [l] B 20
Installations [L]
Logiciel [logiciel] M 75
Prestations [S] M 80
Données [D] B 30
Matériel [HW] B 100
Coupure électrique [AVEC] B 100
[l9] Équipement auxiliaire
[AUX] B 100
Matériel [HW] B 60
Conditions de
température et/ou
[AVEC] B 60
d'humidité
inadéquates [l] Équipement auxiliaire
[AUX] B 60
Accès Internet principal
Ateliers [COM] M 100
Accès Internet secondaire
Ateliers[COM] M 100
Accès Internet Navire
[AVEC] M 100
Lignes mobiles (COM] M 100
Panne du service de
Ligne téléphonique fixe de
bureau [COM] M 100
communication
[JE] Ligne téléphonique fixe de
bureau [COM] M 100
Bureaux de navire à ligne téléphonique fixe
[AVEC] M 100
Accès vocal fixe [COM] M 100
Accès Internet Plantes
[AVEC ] M 100
Perturbation des
Système de climatisation CPD B 60
autres services et
approvisionnements Système d'alimentation
essentiels I12 ininterrompu B 30
Dégradation des Serveurs [HW] Mo 75
supports de
Cabine de stockage
stockage
[HW 11] Mo 100
d'informations
[I13] PC [HW] B dix
émanations Installations [L] Mo 20 20

électromagnétiques Matériel [HW] Mo 50 50
s I14
[AUX] Mo 20 20
Installations [L] M 20 50 10
Bugs et
problèmes Erreurs
involontaires utilisateur E1 M 20 20 50
PC [HW]
de [E] M 20 20 50
Mobile [HW]
Données [D] M 75 40 75
Installations [L] M 20 20 50
Erreurs du Matériel [HW] M 20 20 75
technicien informatique E2 M 20 20 75 60
Logiciel [logiciel]
Données [D] M 20 20 75
[AUX] M 75
Surveillance
des erreurs
(E4 Données [D] M 75
Matériel [HW] B 50
Logiciel [logiciel] B 50
Erreurs de
Données [D] B 50
configuration E5
[AUX] B 50
M 50 30 75
Lacunes Personnel [P]
Bugs et
problèmes organisationnelles Données [D] M 50 30 75
involontaires E6 M 50 30 75
Installations [L]
de [E] M 50 30 75
Prestations [S]
Diffusion de B 75 75 75
Logiciel [logiciel]
logiciel nuisible
E7 Données [D] B 50 50 50
Prestations [S] Mo 50 75
Erreurs de [re Réseau de communication
]routage 40
[AVEC] Mo 75
E8
Erreurs de Réseau de communication
50
séquence E9 [AVEC] Mo 75
Logiciel [logiciel] B 50 75
Prestations [S] Mo 50
Fuites 50
d'informations E10 Logiciel [logiciel] B
Données [D] B 100
altération
accidentelle de la
informations E11 Données [D] M 75
destruction de
informations E12 Données [D] 100
Fuites
B 65
d'informations E13 Logiciel [logiciel]
Données [D] B 100
Vulnérabilité des
programmes Logiciel [logiciel] M 75 20 75
(logiciels) E14 Données [D] M 75 20 75
Bogues de
maintenance/mise
à jour
programmes
(logiciels) E15 B 50 75
Logiciel [logiciel]
Erreurs de
maintenance/mise
à jour de
l'équipement
(matériel) E16 Matériel [HW] B 75
Plantage du système
dû à l'épuisement
des ressources E17 Réseau de communication
[AVEC] Mo 100
Perte PC B 50 100
d'équipes E18 Mobile M
Indisponibilité du
personnel E19 Personnel [P] UN 100
Gestion des Mo
Données [D] 75
enregistrements
d'activité (journal)
A1 Prestations [S] Mo 80
Manipulations de
configuration Données [D] Mo 75 75 75
A2 Mo 75 75 75
Prestations [S]
Logiciel [logiciel] B 75 100 80
attaques dix
Usurpation de
intentionnelles
l'identité de Données [D] B 0 100 80
deux [A] Réseau de communication
l'utilisateur [A3]
[AVEC] B 75 75 75
Prestations [S] B 85 75 75
Installations [L] B 75 50 50
Abus des
privilèges
d'accès A4 Réseau de communication
[AVEC] B 75 50 50
Installations [L] Mo 25 25 25
Logiciel [logiciel] Mo 25 25 25
Utilisation non conforme Réseau de communication
A5 [AVEC] Mo 25 25 25
Prestations [S] Mo 25 25 25
Matériel [HW] Mo 25 25 25
Diffusion de B 75 20 75
Logiciel [logiciel]
logiciels nuisibles
A6 Données [D] B 75 20 75
[Concernant
[AVEC] Mo 50 75
]routage des
Logiciel [logiciel] Mo 50 75
messages A7
Modification de Réseau de communication
la séquence A8 [AVEC] Mo 50
Logiciel [logiciel] B 50 75
[AVEC] B 30 30 75
Accès non Matériel [HW] Mo 50
autorisé A9 dix
Données [D] B 100 0 100
[AUX] B 50
Installations [L] B 20 20 20
Analyse du
trafic A10 Données [D] Mo 50
Répudiation A11 Services [S] Mo 80
Interception
d'informations
(écoute) A12 Données [D] B 100
dix
Modification
Données [D] B 0
délibérée des
informations A13 dix
Destruction des Données [D] B 100

informations A14
Divulgation de Données [D] B 100

informations A15
Manipulation du
programme A16 Logiciel [SW] B 100
Manipulation du
matériel A17
Matériel [HW] B 100
Prestations [S] B 100
Déni de service
A18
[AVEC] B 100
Matériel [HW] B 75
Robot A19 [AUX] Mo 75
Données [D] Mo 100 100
Logiciel [logiciel] Mo 100
Attaque
[AUX] Mo 100
destructrice A20
[AVEC] Mo 100
Données [D] Mo 100
Logiciel [logiciel] Mo 100
Attaque
[AUX] Mo 100
destructrice A20
[AVEC] Mo 100
Données [D] Mo 100
Installations [L] Mo 20 100
Matériel [HW] Mo 20 100
Occupation
[AUX] Mo 20 100
ennemie A21
[AVEC] Mo 30 100
Données [D] Mo 100 100
Indisponibilité du
personnel A22 Personnel [P] M 100
Extorsion A23 Personnel [P] B 25 25 25
Ingénierie sociale
(picaresque) A24 Personnel [P] B 25 25 25
4.7 Impact potentiel
Une fois le tableau précédent réalisé, et étant donné que les valeurs des différents actifs sont connues,
peut déterminer l'impact potentiel qu'il peut avoir pour la Fondation de l'Université de San Mateo
matérialisation des menaces. Il s'agit de données pertinentes, car elles permettront de prioriser
le plan d'action, et à son tour, évaluer comment ladite valeur est modifiée une fois qu'elles sont appliquées
contremesures.
Étant donné que la valeur des actifs dans les différentes dimensions et la dégradation qu'ils provoquent sont déjà connues
menaces dans ces mêmes dimensions, il est immédiat d'en déduire l'impact qu'elles auraient sur
le système par la formule suivante.
Impact potentiel = valeur de l'actif x valeur de l'impact de la menace
L'efficacité a été rendue dans l'analyse des actifs en regroupant les actifs lorsque les menaces
impacté un groupe, puis un tableau est présenté avec les valeurs absolues maximales de
impact des menaces obtenues dans l'analyse précédente, qui seront les valeurs qui seraient utilisées pour obtenir l'impact potentiel
(Icaro Directeur de la sécurité Luis Rodríguez Conde Página, Luis
Rodriguez Conde Adresse Antonio Jose Segovia Henares, & Rodriguez Conde Page, 2700)
Tableau 19 : Impact des menaces.
IMPACTEUR PAR DIMENSIONS
Description du type d'actif A C je ré J
Installations [L] 0 7,5 5 dix 0
Matériel [HW] 0 2,5 5 dix 0
Logiciel [logiciel] 7,5 dix dix dix 6
Données[D] 10 dix dix dix 7,5

Réseaux de communication [COM] 7,5 7,5 7,5 dix 0
Prestations [S] 8 7,5 7,5 dix 8
Équipement auxiliaire [AUX] 0 2 0 dix 0
Personnel [P] 0 5 3 dix 0
Vous trouverez cidessous un tableau récapitulatif avec les résultats de l'application de la formule d'impact
potentiel pour chaque actif.
ET
Genre de ID ACTIF ASPECTS CRITIQUES
CE
Actif R UN C je ré UN
Description
tion
Installation L1 centre de M $
$
ceux [L] traiter de UN 225,00 $ 150 300

Données
L2 Directeur de bureau Un $ $
$ 112,50 $ 75,00 $ 150,00
Administratif
$ 112,50 $ 75,00 $ 150,00
Comptabilité
112,5 $ 75,00 $ 150,00
Planification
L5 Bureau M $
$
La gestion de UN $ 225,00 $ 150,00 $ 300,00

systèmes
L6 Bureau de M $ $
$ 56,25 $ 37,50 $ 75,00
Décanteurs
L7 Bureau de M$
$
adresses de $ 56,25 $ 37,50 $ 75,00

Programme
L8 Bureau de Un $ $
$ 112,50 $ 75,00 $ 150,00
Presbytère
L9 Bureau de Un $
$
Vice président $ 112,50 $ 75,00 $ 150,00

académique
Bureau L10 M $ $
$ 0,00 $ 0,00 $ 0,00
B
Réception
Bureau L11 de Un $ $
$ 112,50 $ 75,00 $ 150,00
Qualité
Bureau L12 de M $ $
$ 56,25 $ 37,50 $ 75,00

Rechercher
ET
CE
R
Actif UN C je ré UN
Description
tion
Bureau L13 de M $
$
Projection $ 56,25 $ 37,50 $ 75,00

Social
Bureau L14 de M $
$
Le bienêtre $ 56,25 $ 37,50 $ 75,00

Institutionnel
Bureau L15 de Un $
$
Enregistrement Oui $ 112,50 $ 75,00 $ 150,00

Contrôler
Bureau L16 de M $ $
$ 56,25 $ 37,50 $ 75,00
Commercialisation
L17 Sel de M $ $
$ 0,001 $ 0,00 $ 0,00
enseignants B
L18 Salas de M $ $
$ 56,25 $ 37,50 $ 75,00
L'informatique
L19 Laboratoires M $ $
$ 56,25 $ 37,50 $ 75,00

Hardwar Serveur HW1 de M $ $
$ 7,50 $ 150,00 $ 300,00
e [HW]
Applications UN
Serveur HW2 de M $ $
$ 7,50 $ 150,00 $ 300,00
Base de données UN
Serveur HW3 Un $ $
$ 3,75 $ 75,00 $ 150,00
Téléphonie
$ $
Serveur proxy HW4 M
$ 0,00 $ 0,00 $ 0,00
B
Serveur Web HW5 $
$ 3,75 $ 75,00 $ 150,00

Serveur HW6 de M $ $
$ 1,88 $ 37,50 $ 75,00
Domaine
ET
CE
Description
tion
Un $ $
HW7 Salle d'équipement 1
$ 3,75 $ 75,00 $ 150,00

(30) équipes
Un $ $
HW8 Salle d'équipement 2
$ 3,75 $ 75,00 $ 150,00

(30) équipes
Un $ $
Équipes HW9 Salle 3
$ 3,75 $ 75,00 $ 150,00

(30) équipes
HW1 Un $ $
Salle des équipes 4
$ 3,75 $ 75,00 $ 150,00
0
(30) équipes
HW1 Un $ $
Salle des équipes 5
$ 3,75 $ 75,00 $ 150,00
1
(30) équipes
HW1 Salon Un $ $

Équipement
$ 3,75 $ 75,00 $ 150,00
2 enseignants 15
HW1 de Un $
Équipement
3 ateliers $
$ 3,75 $ 75,00 $ 150,00
administratif
16
HW1 de Un $
Équipement
$
4 Laboratoires $ 3,75 $ 75,00 $ 150,00

120
HW1 de Un $
Équipement
5 Laboratoires $
$ 3,75 $ 75,00 $ 150,00
Télécommunications
ceux 120
HW1 de Un $
Équipement
$
6 Laboratoires $ 3,75 $ 75,00 $ 150,00

Électronique 1 10
HW1 de Un $
Équipement
$
sept Laboratoires $ 3,75 $ 75,00 $ 150,00

Électronique 1 20
ET
CE
R
Description
tion
HW1 de Un $
Équipement
$
8 Laboratoires $ 3,75 $ 75,00 $ 150,00

électronique 3 20
HW1 de Un $
Équipement
$
9 Laboratoires de $ 3,75 $ 75,00 $ 150,00

antennes 10
HW2 de Un $
Équipement
$
0 Laboratoires de $ 3,75 $ 75,00 $ 150,00

Matériel 20
Logiciel Serveur Windows A 112,50 $

$ 150,00 $ 150,00 $ 150,00 $ 90,00
e [SW] SW1 2012
Bureau 2013 M $ 0,00 $
$ 0,00 $ 0,00 $ 0,00
SW2 B 0,00
Système A 112,50 $
SW3 opérationnel $ 150,00 $ 150,00 $ 150,00 $ 90,00
Windows 10
Matlab M $ 0,00
$ 0,00 $ 0,00 $ 0,00 $ 0,00
SW4 B
Paquect Tracer M $ 0,00
$ 0,00 $ 0,00 $ 0,00 $ 0,00
SW5 B
Microsoft actif A 112,50 $
$ 150,00 $ 150,00 $ 150,00 $ 90,00
SW6 Annuaire
Apache Tomcat M 225,00 $
$ 300,00 $ 300,00 $ 300,00 $ 180,00
SW7 UN
antivirus A 112,50 $
$ 150,00 $ 150,00 $ 150,00 $ 90,00
SW8
Academusoft A $ 112,50
$ 150,00 $ 150,00 $ 150,00 $ 90,00
SW9
ET
CE
R
Description
tion
systèmes de M $ 56,25
SW1 Degrés $ 75,00 $ 75,00 $ 75,00 $ 45,00
Système de M $ 56,25
SW1 Homologations $ 75,00 $ 75,00 $ 75,00 $ 45,00
1 s
Moodle A 112,50 $
SW1 $ 150,00 $ 150,00 $ 150,00 $ 90,00
Bibliofus M $ 0,00
SW1 B $ 0,00 $ 0,00 $ 0,00 $ 0,00
ESS A 112,50 $
SW1 $ 150,00 $ 150,00 $ 150,00 $ 90,00
assistance M $ 0,00
SW1 B $ 0,00 $ 0,00 $ 0,00 $ 0,00
Évaluation M $ 56,25
SW1 prof $ 75,00 $ 75,00 $ 75,00 $ 45,00
Le suivi M $ 56,25
SW1 prof $ 75,00 $ 75,00 $ 75,00 $ 45,00
sept
Système A 112,50 $
SW1 Devis $ 150,00 $ 150,00 $ 150,00 $ 90,00
ET
CE
Description
tion
Système d'événements M $ 0,00
SW1 B $ 0,00 $ 0,00 $ 0,00 $ 0,00
Service d'assistance M$56.25
SW2 $ 75,00 $ 75,00 $ 75,00 $ 45,00
des dossiers A 112,50 $
SW2 Statistiques $ 150,00 $ 150,00 $ 150,00 $ 90,00
La gestion de A 112,50 $
SW2 Talent humain $ 150,00 $ 150,00 $ 150,00 $ 90,00
L'amener sur A 112,50 $
SW2 $ 150,00 $ 150,00 $ 150,00 $ 90,00
tutoriels M $ 0,00
SW2 B $ 0,00 $ 0,00 $ 0,00 $ 0,00
facturation et M 225,00 $
SW2 Sac UN $ 300,00 $ 300,00 $ 300,00 $ 180,00
Données[D D1 Base de données A $ 150,00

$ 150,00 $ 150,00 $ 150,00 $ 112,50
] administratif
Bases de données D2 M 300,00 $
$ 300,00 $ 300,00 $ 300,00 $ 225,00
Étudiants UN
$ 300,00 $ 300,00 $ 300,00 $ 225,00
prof UN
ET
CE
Description
tion
fournisseurs, UN $ 300,00 $ 300,00 $ 300,00 $ 225,00
entrepreneurs
D5 Retour A $ 150,00
généré de $ 150,00 $ 150,00 $ 150,00 $ 112,50

Base de données
Bases de données D6 A $ 150,00
bureau de poste $ 150,00 $ 150,00 $ 150,00 $ 112,50
Institutionnel
Sauvegarde D7 de A $ 150,00
Applications $ 150,00 $ 150,00 $ 150,00 $ 112,50

Institutionnel
D8 Centre de A $ 150,00
traiter de $ 150,00 $ 150,00 $ 150,00 $ 112,50

Données
réseaux CO accès à internet A $ 150,00

$ 150,00 $ 675,00 $ 800,00 $
de M1 Ateliers (14)
communiquer CO Lignes M $ 75,00
$ 75,00 $ 450,00 $ 400,00 $
Actions M2 Téléphone (24)
[AVEC] CO Fax M $ 0,00 $

$ 0,00 $ 150,00 $ 200,00
M3 B
CO allumé M $ 75,00 $
$ 75,00 $ 375,00 $ 400,00
M4
Sans fil (8)
Service S1 Sauvegarde de M $ 60,00
$ 56,25 $ 56,25 $ 75,00 $ 60,00
s (S) utilisateurs
S2 Vidéosurveillance A 120,00 $ 112,50 $ 112,50 $ 150,00 $ 120,00
S3 Virtualisation A $ 120,00
(serveur $ 112,50 $ 112,50 $ 150,00 $ 120,00
Moodle)
ET
CE
Description
tion
S4 courrier M $ 60,00
électronique $ 56,25 $ 56,25 $ 75,00 $ 60,00
Institutionnel
AUX Système M $
Équipe
je ments je Électrique UN $ 60,00 $ $ 300,00 $
Assistant Général
Air M $
$
Conditionné $ 15,00 $ $ 75,00

(Centre de données)
Système de Un $
$
Détection de $ 30,00 $ $ 150,00

les feux
Système de Un $
$
$ 30,00 $ $ 150,00
première

sida
Un $ $
Fibre optique
$ 30,00 $ $ 150,00

Câblage M $
$
structuré $ 15,00 $ $ 75,00

Bureau
Câblage M $
structuré
$ 15,00 $ $ 75,00 $
Pièces de
L'informatique
Câblage M $
$
structuré $ 15,00 $ $ 75,00

laboratoires
$
Ups principal A $
$ 30,00 $ $ 150,00

ET
CE
Description
tion
Centrale électrique A $ $
$ 30,00 $ $ 150,00

Personnel P1 Recteur M $ $
$ 60,00 $ 90,00
UN
[P]
P2 Viceprésidents Un $ $
$ 30,00 $ 45,00

(5)
P3 Gestionnaire Un $ $
$ 30,00 $ 45,00
Administratif
P4 $
Décan (2) A $
$ 30,00 $ 45,00

P5 directeurs de Un $ $
$ 30,00 $ 45,00

Programme (6)
P6 Directeur de Un $ $
$ 30,00 $ 45,00
Extension
P7 Directeur de M $ $
$ 15,00 $ 22,50
Le bienêtre
$ 30,00 $ 45,00

Rechercher
$ 30,00 $ 45,00
Talent humain
Directeur P10 Un $ $
$ 75,00 $ 45,00 $ 150,00
Comptabilité
Adjoints P11 M $ $
$ 37,50 $ 22,50 $ 75,00

Secrétaire (12)
$
Enseignants P12 (156) A$
$ 75,00 $ 45,00 $ 150,00

P13 Coordinateur de Un $ $
$ 75,00 $ 45,00 $ 150,00

Technologie
ET
CE
Description
tion
Coordinateur P14 Un $
$
Enregistrement Oui $ 75,00 $ 45,00 $ 150,00

Contrôler
P15 Secrétaire Un $ $
$ 75,00 $ 45,00 $ 150,00

académique 3)
Un $ $
Assistance technique P16
$ 75,00 $ 45,00 $ 150,00

5()
P17 Élèves Un $ $
$ 75,00 $ 45,00 $ 150,00

(4300)
$
P18 Marketing (5) A $
$ 75,00 $ 45,00 $ 150,00

Communication P19 M $ $
$ 37,50 $ 22,50 $ 75,00

(2)
P20 Personnel de M $
$
Prestations de service $ 37,50 $ 22,50 $ 75,00

Général (8)
Zone P21 de Un $ $
$ 37,50 $ 22,50 $ 75,00

Développement (4)
M $ $
P22 Réception
$ 37,50 $ 22,50 $ 75,00

Auxiliaire P23 M $
$
Administratif $ 37,50 $ 22,50 $ 75,00

(4)
Auxiliaire P24 M $ $
$ 37,50 $ 22,50 $ 75,00

Comptabilité (3)
4.8 Niveau de risque acceptable et risque résiduel
Sachant que l'élimination absolue du risque est une situation presque impossible à atteindre, il est
Il faut définir une limite à partir de laquelle il est possible de décider de prendre un risque ou au contraire de ne pas
l'assumer et donc appliquer des contrôles.
Une fois l'analyse des risques présentée au recteur de la Fundación Universitaria San Mateo, celleci
a décidé et approuvé que le niveau de risque acceptable pour l'entreprise sera MOYEN et équivaut à
0,016438.
Les actifs inférieurs ou égaux à ce seuil ne constitueront pas une menace significative pour le
sécurité de l'entreprise, le risque associé sera acceptable et aucune mesure d'atténuation ne sera prise.
À l'inverse, les actifs dont le risque dépasse ce seuil constitueront une menace pour la sécurité.
de l'entreprise et des contrôles seront mis en place pour atténuer les risques associés. Une fois la
contrôles de sécurité aux actifs dont le risque dépasse la valeur, cette valeur sera réduite, mais
il pourra difficilement disparaître, il subsistera un risque dit résiduel.
Nous utiliserons le calcul de chacun des actifs avec les informations des analyses précédentes et nous appliquerons
la formule suivante. (Directeur de la sécurité d'Ícaro Luis Rodríguez Conde Page et
al., 2700)
Niveau de risque= Impact potentiel X Fréquence de la menace.
Le tableau suivant montre la relation entre l'impact et la fréquence à partir de laquelle le niveau de risque est déduit.
Tableau 20 : Rapport Impact/Fréquence.
RISQUE LA FRÉQUENCE
MB( 0,002739) B (0,005479) M (0,016438) A (0,071233) MA (1)
ET (3) UN ET ET ET ET
A (1,5) M UN UN ET ET
B M M
IMPACT
M (0,75) UN UN
B (0,3) Mo B B M M
Mo (0,0001) Mo Mo Mo B B
Dans le tableau suivant, nous montrons la valeur maximale des fréquences de chaque groupe d'actifs de la
exercice précédent
Tableau 21 : Valeurs de fréquence maximales.
Groupe d'actifs Évaluer Valeur numérique

Installations [L]
Matériel [HW]
Logiciel [logiciel]
Données [D]
Réseaux de communication MÉDIAS 0,016438
[AVEC]
Prestations [S]
Équipement auxiliaire [AUX]
Personnel [P]
Le tableau suivant présente une synthèse de l'analyse du niveau de risque par actif.
Tableau 22 : Résumé de l'analyse du niveau de risque.
Genre de ASPECTS CRITIQUES
Actif IDENTIFIANT ACTIF
La description UN C je ré J
L1 Centre de traitement des données 0 3,698550 2,4657 4,9314 0
L2 Bureau du directeur administratif 0 1 849275 1,23285 2,4657 0
L3 Bureau du directeur comptable 0 1,849275 1,23285 2,4657 0
L4 Bureau du directeur de la planification 0 1,849275 1,23285 2,4657 0
L5 Bureau de gestion des systèmes 0 3,69855 2,4657 4,9314 0
L6 Bureau de Dean 0 0,9246375 0,616425 1,23285 0
L7 Bureau des orientations du programme 0 0,9246375 0,6164250 1,23285 0
L8 Bureau du presbytère 0 1,849275 1,23285 2,4657 0
L9 Bureau du viceprésident académique 0 1,849275 1,23285 2,4657 0
Installations [L] L10 Bureau d'accueil 0 0,000012 0,000008 0,000016 0,000000

L11 Bureau Qualité 0 1,849275 1,232850 2,465700 0,000000
L12 Bureau de la recherche 0 0,924638 0,616425 1,232850 0,000000
L13 Bureau de projection sociale 0 0,924638 0,616425 1,232850 0,000000
L14 Bureau du bienêtre institutionnel 0 0,924638 0,616425 1,232850 0,000000
L15 Bureau d'enregistrement et de contrôle 0 1,849275 1,232850 2,465700 0,000000
L16 Bureau de commercialisation 0 0,924638 0,616425 1,232850 0,000000
L17 Salle des professeurs 0 0,000012 0,000008 0,000016 0,000000
L18 salles informatiques 0 0,924638 0,616425 1,232850 0,000000
L19 Laboratoires 0 0,924638 0,616425 1,232850 0,000000
Serveur d'applications HW1 0 0,123285 2,465700 4,931400 0,000000
Serveur de base de données HW2 0 0,123285 2,465700 4,931400 0,000000
Serveur de téléphonie HW3 0 0,061643 1,232850 2,465700 0,000000
Serveur proxy HW4 0 0,000000 0,000008 0,000016 0,000000
Serveur Web HW5 0 0,061643 1,232850 2,465700 0,000000
Serveur de domaine HW6 0 0,030821 0,616425 1,232850 0,000000
Equipes HW7 Salle 1 (30) équipes 0 0,061643 1,232850 2,465700 0,000000
Matériel [HW]
Équipes HW10 Salle 4 (30) équipes 0 0,061643 1,232850 2,465700 0,000000
Équipes HW11 Salle 5 (30) équipes 0 0,061643 1,232850 2,465700 0,000000
HW12 Équipement Salle du personnel 15 0 0,061643 1,232850 2,465700 0,000000
Matériel de bureau
HW13
Administratif 16 0 0,061643 1,232850 2,465700 0,000000
HW14 Équipement de laboratoire 120 0 0,061643 1,232850 2,465700 0,000000
HW15 Équipement de laboratoire
Télécommunications 120 0 0,061643 1,232850 2,465700 0,000000
Équipement électronique de laboratoire 1 10
HW16
0 0,061643 1,232850 2,465700 0,000000
Équipement électronique de laboratoire 1 20
HW17
0 0,061643 1,232850 2,465700 0,000000
Équipement électronique de laboratoire 3
HW18
20 0 0,061643 1,232850 2,465700 0,000000
Équipement de laboratoire
HW19
antennes 10 0 0,061643 1,232850 2,465700 0,000000
Équipement de laboratoire
HW20
Matériel 20 0 0,061643 1,232850 2,465700 0,000000
SW1 Windows Serveur 2012 1,849275 2,465700 2,465700 2,465700 1,479420
Bureau SW2 2013 0,000012 0,000016 0,000016 0,000016 0,000010
Système d'exploitation Windows 10 SW3 1,849275 2,465700 2,465700 2,465700 1,479420
SW4 Matlab 0,000012 0,000016 0,000016 0,000016 0,000010
Traceur Paquect SW5 0,000012 0,000016 0,000016 0,000016 0,000010
SW6 Microsoft Active Directory 1,849275 2,465700 2,465700 2,465700 1,479420
Apache Tomcat SW7 3,698550 4,931400 4,931400 4,931400 2,958840
Antivirus SW8 1,849275 2,465700 2,465700 2,465700 1,479420
SW9 Academysoft 1,849275 2,465700 2,465700 2,465700 1,479420
Systèmes de degrés SW10 0,924638 1,232850 1,232850 1,232850 0,739710
Système d'homologation SW11 0,924638 1,232850 1,232850 1,232850 0,739710
SW12 Moodle 1,849275 2,465700 2,465700 2,465700 1,479420
Logiciel [logiciel] SW13 Bibliofus 0,000012 0,000016 0,000016 0,000016 0,000010
SW14 ESS 1,849275 2,465700 2,465700 2,465700 1,479420
Assistance SW15 0,000012 0,000016 0,000016 0,000016 0,000010
Évaluation de l'enseignant SW16 0,924638 1,232850 1,232850 1,232850 0,739710
Surveillance des enseignants SW17 0,924638 1,232850 1,232850 1,232850 0,739710
Système budgétaire SW18 1,849275 2,465700 2,465700 2,465700 1,479420
Système d'événements SW19 0,000012 0,000016 0,000016 0,000016 0,000010
Service d'assistance SW20 0,924638 1,232850 1,232850 1,232850 0,739710
Fichiers statistiques SW21 1,849275 2,465700 2,465700 2,465700 1,479420
SW22 Gestion des talents humains 1,849275 2,465700 2,465700 2,465700 1,479420
SW23 Hélisa 1,849275 2,465700 2,465700 2,465700 1,479420
Tutoriels SW24 0,000012 0,000016 0,000016 0,000016 0,000010
Facturation et portefeuille SW25 3,698550 4,931400 4,931400 4,931400 2,958840
D1 Bases de données administratives 2,465700 2,465700 2,465700 2,465700 1,849275
Données[D] D2 Bases de données des étudiants 4,931400 4,931400 4,931400 4,931400 3,698550
D3 Bases de données pédagogiques 4,931400 4,931400 4,931400 4,931400 3,698550
Bases de données fournisseurs,
D4
Entrepreneurs 4.931400 4.931400 4.931400 4.931400 3.698550
D5 Backus généré à partir des bases de données 2,465700 2,465700 2,465700 2,465700 1,849275
Bases de données des bureaux de poste
D6
Institutionnel 2,465700 2,465700 2,465700 2,465700 1,849275
D7 Sauvegarde d'application
Institutionnel 2,465700 2,465700 2,465700 2,465700 1,849275
D8 Centre de traitement des données 2,465700 2,465700 2,465700 2,465700 1,849275
COM1 Accès aux inter offices (14) 2,465700 2,465700 11,095650 13,150400 0,000000
réseaux
Lignes téléphoniques COM2 (24) 1,232850 1,232850 7,397100 6,575200 0,000000
de communication
Télécopie COM3 0,000016 0,000016 2,465700 3,287600 0,000000
[AVEC]
Accès sans fil COM4 (8) 1,23285 1,23285 6,164250 6,5752 0,98628 0,9246375 0
S1 Utilisateurs de sauvegarde 0,924638 1,23285 0,98628
S2 Vidéosurveillance 1,97256 1,849275 1,849275 2,4657 1,97256
Prestations (S)
S3 Virtualisation (serveur Moodle) 1,97256 1,849275 1,849275 2,4657 1,97256
S4 Email institutionnel 0,98628 0,9246375 0,924638 1,23285 0,98628
Système électrique général 0 0,98628 0,000000 4,9314 0,24657 0
Climatisation (Centre de données) 0 0,000000 1,23285 0,49314 0,000000 0
Système de détection d'incendie 0 2,4657 0
système de premiers secours 0 0,49314 0,000000 2,4657 0,49314 0
Fibre optique 0 0,000000 2,4657 0,24657 0,000000 0
équipement AIDER
Assistant Bureau de câblage structuré 0 1,23285 0
Câblage structuré Salles informatiques
0 0,24657 0,000000 1,23285 0,24657 0
Laboratoires de câblage structuré 0 0,000000 1,23285 0,49314 0,000000 0
Principal d'UPS 0 2,4657 0
Centrale électrique 0 0,49314 0,000000 2,4657 0
P1 Recteur 0 0,98628 1,479420 0 0
P2 Vicerectorats (5) 0 0,49314 0,739710 0 0
P3 Directeur administratif 0 0,49314 0,739710 0 0
P4 décanaturation (2) 0 0,49314 0,739710 0 0
P5 Directeurs de programme (6) 0 0,49314 0,739710 0 0
P6 Directeur de la vulgarisation 0 0,49314 0,739710 0 0
Personnel [P] P7 Directeur du bienêtre 0 0,24657 0,369855 0 0

P8 Directeur de recherche 0 0,49314 0,739710 0 0
P9 Directeur des Talents Humains 0 0,49314 0,739710 1,23285 0 0
P10 Directeur comptable 0 0,739710 2,4657 0,616425 0,369855 0
P11 Secrétaires adjoints (12) 0 1,23285 0
P12 Enseignants (156) 0 1,23285 0,739710 2,4657 0
P13 Coordonnateur de la technologie 0 1,23285 0,739710 2,4657 0
P14 Coordonnatrice des inscriptions et du contrôle 0 1,23285 0,739710 2,4657 0

P15 Secrétaire Académique 3) 0 1,23285 0,739710 2,4657 1,23285 0
P16 Assistance technique 5() 0 0,739710 2,4657 1,23285 0,739710 0
P17 Étudiants (4300) 0 2,4657 1,23285 0,739710 2,4657 0
Q18 Commercialisation (5) 0 0
P19 Communication (2) 0 0,616425 0,369855 1,23285 0
P20 Personnel des services généraux (8) Zone 0 0,616425 0,369855 1,23285 0,616425 0
P21 de développement (4) 0 0,369855 1,23285 0,616425 0,369855 0
P22 Réception 0 1,23285 0
P23 Assistant administratif (4) 0 0,616425 0,369855 1,23285 0
P24 Assistant comptable (3) 0 0,616425 0,369855 1,23285 0
Une fois que le niveau de risque de tous les actifs est exposé, ceux qui dépassent le niveau sont affichés.
SUPPORT qui sera sur lequel les mesures correctives seront implantées.
Le tableau suivant montre le niveau des risques qui dépassent le niveau moyen.
Tableau 23 : Actifs qui dépassent le niveau MOYEN.
Type d'actif ASPECTS CRITIQUES
IDENTIFIANT ACTIF
La description UN C je ré J
Centre de traitement
L1
des données 0 0,9246375 0,616425 1,23285 0
Directeur de bureau
L2
Administratif 0 0,9246375 0,6164250 1,23285 0
Directeur de cabinet de
L3
Comptabilité 0 3,698550 2,4657 4,9314 0
Directeur de cabinet de
L4
Planification 0 1 849275 1,23285 2,4657 0
Bureau de gestion de
L5
Installations [L] systèmes 0 1 849275 1,23285 2,4657 0
Bureau de
L6
Décanteurs 0 1 849275 1,23285 2,4657 0
Bureau de
L7 adresses de
Programme 0 3,69855 2,4657 4,9314 0
Bureau du presbytère L8 0 1 849275 1,23285 2,4657 0
Bureau de
L9 Vice président
académique 0 1 849275 1,23285 2,4657 0
Réception du bureau L10 0 0,000012 0,000008 0,000016 0,000000

Bureau Qualité L11 0 0,000012 0,000008 0,000016 0,000000
Bureau de
L12
Rechercher 0 0,000000 0,000008 0,000016 0,000000
Bureau de
L13
Projection sociale 0 0,98628 0,000000 4,9314 0
Bureau d'aide sociale
L14
Institutionnel 0 0,24657 0,000000 1,23285 0
Bureau d'enregistrement
L15
et de contrôle 0 0,49314 0,000000 2,4657 0
Bureau de
L16
Commercialisation 0 0,49314 0,000000 2,4657 0
Salle des professeurs L17 0 0,49314 0,000000 2,4657 0
L18 Salles informatiques 0 0,24657 0,000000 1,23285 0
Laboratoires L19 0 0,24657 0,000000 1,23285 0
serveur de
HW1
Applications 0 0,24657 0,000000 1,23285 0
Serveur de base de données
HW2
de données 0 0,49314 0,000000 2,4657 0
Serveur de téléphonie HW3 0 0,49314 0,000000 2,4657 0
Serveur proxy HW4 0 1,23285 0,739710 2,4657 0

Serveur Web HW5 0 0,616425 0,369855 1,23285 0
serveur de
HW6
Domaine 0 1,23285 0,739710 2,4657 0
Equipes Salle 1 (30)
HW7
équipes 0 1,23285 0,739710 2,4657 0
HW8
équipes 0 1,23285 0,739710 2,4657 0
Matériel [HW] HW9
équipes 0 1,23285 0,739710 2,4657 0
HW10
équipes 0 1,23285 0,739710 2,4657 0
HW11
équipes 0 1,23285 0,739710 2,4657 0
Equipement Salle
HW12
pédagogique 15 0 1,23285 0,739710 2,4657 0
Matériel de bureau
HW13
Administratif 16 0 0,616425 0,369855 1,23285 0
Des équipes de
HW14
Laboratoires 120 0 0,616425 0,369855 1,23285 0
Des équipes de
Laboratoires
HW15
télécommunications
120 0 0,616425 0,369855 1,23285 0
Des équipes de
HW16 Laboratoires
Électronique 1 10 0 0,616425 0,369855 1,23285 0
Des équipes de
HW17 Laboratoires
Électronique 1 20 0 0,616425 0,369855 1,23285 0
Des équipes de
HW18 Laboratoires
électronique 3 20 0 0,616425 0,369855 1,23285 0
Des équipes de
HW19 Laboratoires de
antennes 10 1,23285 1,23285 6,164250 6,5752 0
Des équipes de
HW20 Laboratoires de
Matériel 20 0 1 849275 1,232850 2,465700 0,000000
Serveur Windows
SW1
2012 0 0,924638 0,616425 1,232850 0,000000
Bureau SW2 2013 0 0,924638 0,616425 1,232850 0,000000
Système opérateur
SW3
Windows 10 0 0,924638 0,616425 1,232850 0,000000
SW4 Matlab 0 1 849275 1,232850 2,465700 0,000000
Traceur Paquect SW5 0 0,924638 0,616425 1,232850 0,000000

Microsoft actif
SW6
Annuaire 0 0,924638 0,616425 1,232850 0,000000
Apache Tomcat SW7 0 0,924638 0,616425 1,232850 0,000000

Antivirus SW8 0 0,123285 2,465700 4,931400 0,000000
SW9 Academysoft 0 0,123285 2,465700 4,931400 0,000000
Systèmes de notation
SW10 0 0,061643 1,232850 2,465700 0,000000
Logiciel [logiciel] Système de
SW11 Homologations 0 0,061643 1,232850 2,465700 0,000000
Moodle
SW12 0 0,030821 0,616425 1,232850 0,000000
Bibliofus
SW13 0 0,061643 1,232850 2,465700 0,000000
ESS
SW14 0 0,061643 1,232850 2,465700 0,000000
assistance
SW15 0 0,061643 1,232850 2,465700 0,000000
Évaluation des enseignants
SW16 0 0,061643 1,232850 2,465700 0,000000
Le suivi
SW17 prof 0 0,061643 1,232850 2,465700 0,000000
Système
SW18 Devis 0 0,061643 1,232850 2,465700 0,000000
Système d'événements
SW19 0 0,061643 1,232850 2,465700 0,000000
bureau d'aide
SW20 0 0,061643 1,232850 2,465700 0,000000
des dossiers
SW21 Statistiques 0 0,061643 1,232850 2,465700 0,000000

Gestion des talents
SW22 Humain 0 0,061643 1,232850 2,465700 0,000000
L'amener sur
SW23 0 0,061643 1,232850 2,465700 0,000000
tutoriels
SW24 0 0,061643 1,232850 2,465700 0,000000
facturation et
SW25 Sac 0 0,061643 1,232850 2,465700 0,000000
Base de données
D1
administratif 0 0,061643 1,232850 2,465700 0,000000
Base de données
D2
Étudiants 0 0,98628 1,479420 0 0
Base de données
D3
prof 0 0,49314 0,739710 0 0
Base de données
D4 fournisseurs,
entrepreneurs 0 0,49314 0,739710 0 0
Données[D] Backus généré à partir
D5
des bases de données 0 0,49314 0,739710 0 0
Base de données
D6 bureau de poste
Institutionnel 0 0,49314 0,739710 0 0
Soutien de
D7 Applications
Institutionnel 0 0,49314 0,739710 0 0
Centre de traitement
D8
des données 0 0,24657 0,369855 0 0
accès à internet
COM1
Ateliers (14) 0 0,49314 0,739710 0 0
des réseaux de Lignes téléphoniques
COM2
communication (24) 0 0,49314 0,739710 0 0
[AVEC] Télécopie COM3 1 849275 2,465700 2,465700 2,465700 1,479420

Accès sans fil (8)
COM4
0,000012 0,000016 0,000016 0,000016 0,000010
Sauvegarde des utilisateurs S1 1.849275 2,465700 2,465700 2,465700 1,479420

Vidéosurveillance S2 0,000012 0,000016 0,000016 0,000016 0,000010
Virtualisation
Prestations (S) S3
(Serveur Moodle) 0.000012 0,000016 0,000016 0,000016 0,000010
Courrier électronique
S4
Institutionnel 1 849275 2,465700 2,465700 2,465700 1,479420
Système électrique
Général 3,698550 4,931400 4,931400 4,931400 2,958840
Air conditionné
(Centre de données) 1 849275 2,465700 2,465700 2,465700 1,479420
Système de
Détection de
les feux 1 849275 2,465700 2,465700 2,465700 1,479420
système de
premiers secours 0,924638 1,232850 1,232850 1,232850 0,739710
Fibre optique 0,924638 1,232850 1,232850 1,232850 0,739710

équipement
AIDER Câblage
Assistant
structuré
Bureau 1 849275 2,465700 2,465700 2,465700 1,479420
Câblage
Chambres structurées
l'informatique 0,000012 0,000016 0,000016 0,000016 0,000010
Câblage
structuré
laboratoires 1 849275 2,465700 2,465700 2,465700 1,479420
Principal d'UPS 0,000012 0,000016 0,000016 0,000016 0,000010

Centrale électrique 0,924638 1,232850 1,232850 1,232850 0,739710
Recteur P1 0,924638 1,232850 1,232850 1,232850 0,739710
Viceprésidents P2 (5) 1 849275 2,465700 2,465700 2,465700 1,479420

Gestionnaire
P3
Administratif 0,000012 0,000016 0,000016 0,000016 0,000010
P4 Décanature (2) 0,924638 1,232850 1,232850 1,232850 0,739710

directeurs de
P5
Programme (6) 1 849275 2,465700 2,465700 2,465700 1,479420
Directeur de
P6
Extension 1 849275 2,465700 2,465700 2,465700 1,479420
Directeur de
P7
Le bienêtre 1 849275 2,465700 2,465700 2,465700 1,479420
Directeur de
Personnel [P] P8
Rechercher 0,000012 0,000016 0,000016 0,000016 0,000010
Directeur des talents
P9
Humain 3,698550 4,931400 4,931400 4,931400 2,958840
Directeur
P10
Comptabilité 2,465700 2,465700 2,465700 2,465700 1,849275
assistants de
P11
Secrétaire (12) 4,931400 4,931400 4,931400 4,931400 3,698550
Enseignants P12 (156) 4,931400 4,931400 4,931400 4,931400 3,698550

coordinateur de
P13
Technologie 4,931400 4,931400 4,931400 4,931400 3,698550
Coordinateur
P14
Enregistrement et Contrôle 2,465700 2,465700 2,465700 2,465700 1,849275
secrétaire
P15
académique 3) 2.465700 2,465700 2,465700 2,465700 1,849275
P16 Assistance technique 5() 2.465700 2,465700 2,465700 2,465700 1,849275
P17 Étudiants (4300) 2.465700 2,465700 2,465700 2,465700 1,849275
P18 Commercialisation (5) 2.465700 2,465700 11,095650 13,150400 0,000000
P19 Communication (2) 1.232850 1,232850 7,397100 6,575200 0,000000
Personnel de
P20 Services généraux
(8) 0,000016 0,000016 2,465700 3,287600 0,000000
Zone de développement
P21
(4) 0,98628 0,9246375 0,924638 1,23285 0,98628
P22 Réception 1,97256 1 849275 1,849275 2,4657 1,97256
auxiliaire
P23
Administratif (4) 1,97256 1 849275 1,849275 2,4657 1,97256
Assistant
P24
Comptabilité (3) 0,98628 0,9246375 0,924638 1,23285 0,98628
Comme le montre le tableau cidessus, la plupart des actifs de la Fundación Universitaria San
Mateo dépasse le seuil de risque imposé par la Direction, des mesures doivent donc être prises pour
atténuer le niveau de risque.
Phase 4 : Propositions de projet
5.1 Présentation
À ce stade, nous connaissons le niveau de risque actuel de la Fundación Universitaria San
Mateo, concernant les risques résiduels auxquels ils sont exposés, pour lesquels ils doivent
envisager en priorité des projets qui permettent d'atteindre les niveaux de sécurité nécessaires.
Les projets à travailler cidessous sont le résultat de l'analyse des risques préparée pour la Fondation universitaire
de San Mateo, par conséquent, des projets seront proposés dans lesquels
priorité aux risques qui ont le plus d'impact pour la Fondation Universitaire San Mateo.
5.2 Propositions
5.2.1 Formation du personnel administratif en sécurité informatique
L'objectif de ce projet est de mettre en place un plan de formation pour sensibiliser les employés
de la Fondation Universitaire San Mateo à l'importance de la sécurité de l'information pour le
Objectif
bon fonctionnement des processus dans lesquels ils sont impliqués.
L'objectif de ce projet est que les employés reçoivent une éducation et une formation en
sécurité de l'information pour l'utilisation des ressources et des actifs auxquels ils ont accès
dans l'exercice de leurs fonctions.
Les points suivants seront couverts
• Politiques de sécurité sociale.
La description • Exigences de sécurité et responsabilité légale
• Processus disciplinaires des politiques de sécurité
• Formation sur les menaces et leur atténuation
• Protocoles d'action en cas d'incident ou d'événements impliquant un
actif de l'établissement.
• Canaux de communication sécurisés
• Utilisation de mots de passe
• Ordinateurs d'utilisateurs sans surveillance, effacer les politiques de bureau
Le cours sera dispensé à l'ensemble du personnel administratif et académique de l'établissement,
réparti en trois sessions d'une semaine par an pour s'adapter à la disponibilité des salariés.
Planification Cette formation se déroulera en salle informatique. Au mois de mai, août et novembre pour un
total de 64 heures.
4 442 300 $ Pour les trois sessions mai, août et novembre.
Coûts associés
Indicateur Personnel [P](P1, P2, P4, P5, P6, P7, P9, P10, P11, P122, P13, P14, P15, P16, P17, P18,
P19, P20, P21, P22, P23, P24)
• Diminution des incidents de sécurité
Avantages
• Optimisation de l'utilisation des ressources
• Amélioration de l'image de l'entreprise
• Amélioration de la qualité de la sécurité par l'Institution
• Recteur, vicerectorats, responsable administratif, directeurs de programmes, direction de
Actif la vulgarisation, bienêtre, recherche, talent humain, comptabilité, enseignants,
impliqué technologie, contrôle des inscriptions, secrétariat académique, support technique,
marketing, étudiants, communication, assistante administrative et comptable ACCUEIL
• 5.1 Engagement envers la direction (a,b,c,d,e,f,g,h)
Contrôles ISO 27001
• 5.2.1 Gestion des ressources (a,b,c,d,e,f,)
• 5.2.2 formation, sensibilisation et compétence (a,b,c,d)
Dimensions du
• [I] Intégrité • [D]
risque atténué
Disponibilité • [A]
Authenticité
Responsable • Directeur de la sécurité
• Professeur de sécurité
5.2.2 Installations [L] Lieux où sont hébergés les systèmes d'information.
information et communication
Éviter la perte, les dommages, le vol ou la mise en danger des actifs et l'interruption des
Objectif
activités de l'organisation.
Avec ce projet, il est prévu de travailler sur les éléments
suivants • Emplacement et protection des équipements
• Service d'alimentation électrique
• Sécurité du câblage
La description
• Entretien du matériel
• Sécurité du matériel à l'extérieur des installations
• Sécurité dans la réutilisation ou l'élimination des équipements
• Retrait d'actifs
Planification Pour ce projet, il est prévu de travailler en 6 mois (l'exécution commencera au mois de mai et se
terminera au mois de novembre).
34 200 000 $ Associé au paiement d'un ingénieur électricien, ingénieur systèmes et matériaux.
Coûts associés
Indicateur Installations [L] (L1, L2, L3, L4, L5, L6, L7, L8, L9, L13, L14, L15, L15, L17, L18 et L19)
Réduire les risques dus aux menaces ou dangers de l'environnement, aux accès non autorisés, aux
pannes d'alimentation électrique, à la protection des câbles de communication et d'alimentation
Avantages
contre tout dommage ou interception, à la maintenance adéquate des équipements pour leur
disponibilité et leur intégrité continues, à éviter la perte d'informations et à contrôler la sortie des
équipements extérieurs à l'Institution, sauvegardes d'informations et élimination des informations
d'équipements qui ne sont plus utilisées.
Centre informatique, directeur administratif, comptabilité, planification, gestion des systèmes,
Actif décanats, directeurs de programmes, presbytère, vicerectorat, accueil, qualité, recherche,
impliqué projection sociale, prévoyance, enregistrement et contrôle, marketing Enseignants, salles
informatiques et laboratoires.
• [C] Confidentialité • [I]
Dimensions du Intégrité • [D] Disponibilité
risque atténué • [A] Authenticité • [T]
Traçabilité • A.5 Politiques
de sécurité de l'information
Contrôles ISO 27001 • A.8 Gestion des actifs
• A.9 Contrôles d'accès
• A.11 Sécurité physique et environnementale
Responsable Ingénieur électricien, ingénieur système
5.2.3 Matériel [HW] Le matériel, les moyens physiques destinés à soutenir directement
ou indirectement les services fournis par l'organisation.
Objectif Atteindre et maintenir une protection adéquate des actifs organisationnels
Ce projet vise à maintenir une protection adéquate en termes des aspects suivants.
• Inventaire des actifs
La description • Propriété des actifs
• Utilisation acceptable des actifs
• Étiquette et gestion de l'information
• Directives de classement
Planification 1 an, les activités débuteront au mois de mai, sous la direction de la coordination Systèmes et
d'un stagiaire jusqu'au mois de décembre.
$ 18,400,000.00 Associé au paiement de la coordination du Support Technologique ET d'un
Coûts associés stagiaire en support.
Indicateur Matériel [HW] (HW1, HW2, HW3, HW4, HW5, HW5, HW7, HW8, HW9, HW10, HW11, HW12,
HW13, HW14, HW15, HW16, HW17, HW18, HW19, HW20)
Tous les actifs doivent être clairement identifiés et un inventaire de tous les actifs importants doit
être préparé et maintenu, ils doivent être marqués comme propriété d'une zone de l'institution,
tous les actifs doivent être identifiés, documentés et les règles sur l'utilisation acceptable des
informations et actifs associés aux services de traitement de l'information, les actifs doivent être
Avantages classés en termes de valeur, d'enregistrements juridiques, de sensibilité et d'importance, des
procédures adéquates doivent être mises en œuvre pour l'étiquetage et le traitement des
informations selon le schéma de classification adopté par l'Institution.
Centre informatique, directions administratives, comptabilité, planification, gestion des systèmes, directions
Actif des programmes, presbytère, vicerectorats, accueil, recherche qualité, projection sociale, prévoyance,
impliqué enregistrement et contrôle, commercialisation, enseignement, salles et laboratoires informatiques
• A.8 Gestion des actifs
• A.9 Contrôle d'accès
Dimensions du • C] Confidentialité • [I]
Intégrité • [D] Disponibilité •
risque atténué
[A] Authenticité
Responsable Coordonnateur du soutien technologique, stagiaire systèmes
5.2.4 Logiciel [SW] Tâches qui ont été automatisées pour être exécutées par une équipe
Informaticien. Les applications gèrent, analysent et transforment les données permettant l'exploitation des
informations pour la fourniture de services.
Empêcher l'accès non autorisé aux informations contenues dans les systèmes de
Objectif Informations, logiciels, éviter les erreurs, les pertes, les modifications non autorisées ou l'utilisation
d'informations dans les applications.
Ce projet vise la mise en œuvre concernant la restriction d'accès à l'information, l'isolement des
systèmes sensibles, les contrôles contre les codes malveillants. Politiques, procédures et accords
La description
d'échange de logiciels, validation des données d'entrée, contrôle interne des procédures,
contrôle du logiciel d'exploitation, protection des données de test du système, contrôle
accès au code source des programmes
Planification Ce projet sera exécuté en 6 mois, il y aura un responsable de la sécurité pour 16
800 000 $.Cet argent servira au salaire durant les 7 mois du projet à un spécialiste en
Coûts associés
sécurité informatique.
Indicateur Logiciel [SW] (SW1, SW2, SW3, SW4, SW5, SW5, SW7, SW8, SW9, SW10, SW11, SW12, SW13,
SW14, SW15, SW16, SW17, SW18, SW19, SW20, SW21, SW22, SW23 , W24, SW25)
Des contrôles de détection, de prévention et de récupération doivent être mis en place pour
protéger contre les codes malveillants, ainsi que des procédures appropriées de
sensibilisation des utilisateurs, l'accès aux informations et aux fonctions des systèmes
applicatifs par les utilisateurs et le personnel de support doit être restreint, conformément à
Avantages la politique définie dans le contrôle d'accès, les systèmes sensibles doivent disposer d'un
ordinateur dédié environnement, des procédures doivent être mises en place pour contrôler
l'installation des logiciels sur les systèmes d'exploitation, restriction au code source des
programmes.
Windows server 2012, bureautique, système d'exploitation, annuaire actif, tomcat, antivirus,
academusoft, systèmes de diplômes, système d'homologation, Moodle, bibliofus, sse,
Actif
assistance, évaluation des enseignants, système budgétaire, événements, helpdesk,
impliqué
fichiers statistiques, gestion des talents humains helisa , tutoriels, facturation et portfolio.
Contrôles ISO 27001 • A.6 Organisation de la sécurité de l'information
• A.12 Sécurité des communications
• A.17 Gestion des incidents de sécurité de l'information
• C] Confidentialité • [I]
Dimensions du
Intégrité • [D] Disponibilité
risque atténué • [A] Authenticité Ingénieur
système / Connaissances
Responsable approfondies en sécurité
5.2.5 Réseaux de communication [COM] Ce sont les moyens de transport qui transportent des données d'un
endroit à un autre. Les installations dédiées et les services de communication soustraités à des tiers sont
inclus.
Assurer la protection des informations dans les réseaux et la protection de l'infrastructure
Objectif de support.
Ce projet vise à contrôler l'ensemble du réseau de données de l'établissement, la sécurité
La description des services du réseau, la certification générale du câblage filaire et la mise à jour du
réseau WiFi.
Planification Ce projet sera réalisé en 4 mois. A partir du mois d'août.
12 000 000 $ Ces coûts sont pour un fournisseur externe qui travaillera sur la certification
Coûts associés du réseau et la mise à jour du réseau WiFi.
Indicateur Réseaux de communication [COM] (COM1, COM2, COM3, COM4)
• A.8 Gestion des actifs
• A.9 Contrôles d'accès
Les réseaux doivent être correctement entretenus et contrôlés pour se protéger contre
les menaces et maintenir la sécurité des systèmes et des applications qui utilisent le
réseau, y compris les informations en transit, des travaux doivent être effectués sur
Avantages
les services du réseau et les exigences de gestion de tous les services du réseau,
indépendamment de si les services sont présentés en interne ou externalisés.
Actif Accès Internet depuis les bureaux, lignes téléphoniques, fax, accès sans fil.
impliqué
• C] Confidentialité • [I]
Dimensions du Intégrité • [D] Disponibilité •
risque atténué [A] Authenticité • [T] Traçabilité
Responsable fournisseur externe
5.2.6 Données[D] Les informations qui permettent à l'organisation de fournir ses services
Assurer la sécurité des fichiers système, améliorer l'intégrité et la confidentialité des informations
Objectif sur les actifs des employés.
Vous souhaitez chiffrer les informations de base pour :
• Cryptage des données stockées sur les disques durs des PC des employés • Cryptage des
informations des données mobiles des employés selon
La description Système d'exploitation correspondant (Android ou IOS)
• Cryptage des données stockées dans l'armoire en activant une licence du fabricant
activée pour celleci. • Chiffrement des communications entre les systèmes déployés
dans les usines et les serveurs grâce à l'utilisation de certificats SSL.
Planification Ce projet sera réalisé en 8 mois
Cryptage des communications $ 1.000.000,00
Annuel pour activer l'option de cryptage chez le fournisseur de services
de haute disponibilité. $ 2.000.000,00
Coûts associés
Conférences annuelles des services informatiques et de $ 2.000.000,00
développement sur les licences de chiffrement en cabine $ 2.000.000,00
Indicateur • Données [D] (D1, D2, D3, D4, D5, D6, D7, D8)
• A.6. Organisation de la sécurité de l'information
• A.10 Chiffrement
Contrôles ISO 27001 • A.11 Sécurité physique et environnementale
• A.17 Aspects de sécurité de l'information de la gestion de la continuité
de l'entreprise
Les exigences pour garantir l'authenticité et protéger l'intégrité du message dans les applications doivent
être identifiées, ainsi que l'identification et la mise en œuvre de contrôles adéquats, Les données de sortie
Avantages d'une application doivent être validées pour garantir que le traitement des informations stockées est correct
et adéquate aux circonstances.
• Bases de données de : Administratifs, étudiants, enseignants, fournisseurs, hommes d'affaires,
Actif
courrier institutionnel, candidatures, centre de traitement de données
impliqué
• C] Confidentialité • [I] Intégrité
• [D] Disponibilité • [A]
Dimensions du
Authenticité • [T] Traçabilité
risque atténué
Responsable Direction Systèmes (coordonnateur, fournisseurs).
5.2.7 Equipement Auxiliaire (Auxi), SERVICES(S) Sécurité Physique et Environnementale
Éviter l'accès physique non autorisé, les dommages et les interférences aux installations et aux informations
Objectif de l'organisation, éviter la perte, l'endommagement, le vol ou la mise en danger des actifs et l'interruption des
activités de l'organisation.
Ce projet vise à améliorer les périmètres de sécurité physique, les contrôles d'accès physiques, la
sécurité dans les bureaux, locaux et installations, la protection contre les menaces extérieures et
La description environnementales, le travail dans les zones sécurisées, les zones de chargement, l'expédition et l'accès
du public, la localisation et la protection des équipements, les services d'approvisionnement, sécurité des équipements.
Planification Le projet sera exécuté en 8 mois, Société
de sécurité, Personnel de maintenance et d'infrastructure
Équipement de vidéosurveillance Mesures de sécurité périmétrique $ 2.000.000,00 $
Coûts associés et interne Mise à jour Contrôles d'accès 5.000.000,00 $
2.000.000,00 $
4.000.000,00
Indicateur Services (S) et équipements auxiliaires (AUXI)
Des périmètres de sécurité doivent être utilisés (barrières telles que murs, portes d'accès contrôlées par carte
ou bureaux d'accueil, empreintes digitales à l'entrée des bureaux de l'établissement, contrôles d'accès
appropriés pour s'assurer que seul le personnel autorisé est autorisé, sécurité physique des locaux et des
installations du bureau, des protections physiques contre les dommages causés par un incendie, une
inondation, un tremblement de terre, une explosion, des manifestations sociales ou d'autres formes de
catastrophes naturelles ou d'origine humaine, une protection physique et des directives pour travailler dans
des zones sûres doivent être conçues et appliquées, des points d'accès tels que des zones de chargement et
Avantages
d'expédition et d'autres points où le personnel non autorisé peut entrer dans les installations doivent être
contrôlés et s'il est possible d'isoler les services de traitement de l'information pour empêcher l'accès non
autorisé, l'équipement doit être situé ou protégé pour réduire le risque d'accès non autorisé. , le câblage doit
être protégé contre pour les interceptions, la sécurité des équipements à l'extérieur des installations, les
contrôles pour retirer et entrer les équipements dans l'établissement
Equipements Auxiliaires (AUXI) : Systèmes électriques généraux, climatisation, système de détection incendie,
Actif systèmes de premiers secours, fibre optique, câblage structuré pour bureaux, locaux et laboratoires, Onduleurs
impliqué et centrale Services (S) : Secours utilisateurs, infrastructure • A.8 La gestion d'actifs
• A.9 Contrôle d'accès
contrôles de la
• A.12. Sécurité dans les opérations
ISO 27001
• C] Confidentialité • [I] Intégrité
Dimensions du • [D] Disponibilité • [A]
risque atténué Authenticité • [T] Traçabilité
Responsable Entreprise de sécurité, personnel de maintenance et d'infrastructure
5.3 Résultats
À ce stade, la planification temporaire de 8 mois est indiquée pour les projets définis dans la section précédente, ces projets
sont alignés sur l'analyse des risques et l'identification du niveau de maturité en sécurité de l'information pour la Fondation
universitaire de San Mateo.
PROJETS PRÉVUS (Fondation universitaire San Mateo)
20181 20182
Présupposé
Non PROJETS RESPONSABLE ET
O JUIN JUIL AOÛT SEP OCT NOV DÉC
Oui
• Directeur de
Sécurité
5.2.1 Personnel [P] Formation du personnel
• Prof
1 administratif en sécurité informatique
$ 4.442.300,00
spécialiste de
Sécurité
Ingénieur
5.2.2 Installations [L] lieux où sont hébergés les
électriciens,
2 systèmes d'information et de communication $ 34.200.000,00
génie
Système
coordinateur de
5.2.3 Matériel [HW] Matériel, moyen
Soutien
physique destiné à soutenir directement ou
3 Technologique, $ 18.400.000,00
indirectement les services fournis par l'organisation.
praticien de
systèmes
5.2.4 Logiciel [SW] Tâches dont l'exécution a été Ingénieur des
automatisée par un ordinateur. Les applications systèmes /
4 gèrent, analysent et transforment les données Connaissances $ 16.800.000,00
permettant l'exploitation des large en
matière de sécurité
informations pour la prestation de
services.
5.2.5 Réseaux de communication [COM]
Ce sont les moyens de transport qui transportent
les données d'un endroit à un autre. À la fois Fournisseur
5 $ 12.000.000,00
dévoué et externe
services de communication contractuels
Aux tiers
département de
5.2.6 Données[D] Les informations qui permettent
systèmes
6 à l'organisation de fournir ses services $ 56.000.000,00
(coordinateur,
prestataires)
compagnie de
5.2.7 Équipement auxiliaire (AUXI), SERVICES Sécurité,
sept (S) Sécurité physique et environnementale Personnel de $ 27.000.000,00
entretien et
Infrastructure
Définir les projets proposés dans cette phase du Schéma Directeur de Sécurité à la Fondation
Universidad San Mateo, une analyse différentielle a été réalisée dans les domaines de l'ISO/IEC 27002:2013, où la
situation actuelle et le niveau de maturité de l'institution sont reflétés.
Tableau 24 : Résumé de la conformité du domaine.
% de
Domaine efficace # NC # NC
un d Plus grand Contrôle mineur OK
5 POLITIQUES DE SÉCURITÉ DES INFORMATIONS 50% 0 2 0
6 ORGANISATION DE LA SÉCURITÉ DE L'INFORMATION 50 % 2 5 0

7 SÉCURITÉ DES RESSOURCES HUMAINES 90 % 0 6 0
8 GESTION DES ACTIFS 73 % 0 10 0
9 CONTRÔLE D'ACCÈS 71 % 1 7 6
10 CRYPTOGRAPHIE 5 % 2 0 0
11 SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE 70 % 1 11 3
12 SÉCURITÉ DES OPÉRATIONS 57 % 3 11 0

13 SÉCURITÉ DES COMMUNICATIONS 57 % 1 6 0
14 ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES 57 % 1 12 0
15 RELATION AVEC LES FOURNISSEURS 31 % 2 3 0
16 GESTION DES INCIDENTS DE SÉCURITÉ DE L'INFORMATION 0 % 1 6 0
17 ASPECTS DE SÉCURITÉ DE L'INFORMATION DE LA GESTION DES
CONTINUITÉ DE L'ACTIVITÉ 37% 2 2 0
18 SÉCURITÉ DES COMMUNICATIONS 57% 1 7 0
Dans le tableau cidessus, nous pouvons identifier un résumé des 114 contrôles de la norme ISO/IEC
27002:2013 pour la Fondation de l'Université de San Mateo.
Illustration 17 : Évaluation de la maturité par rapport aux contrôles ISO/IEC 27002:2013.
5 POLITIQUES DE…
1
6 ORGANISATION… 18 SECURITE DES…
0,8
7 SÉCURITÉ DE… 17 ASPECTS DE…
0,6
0,4
8 GESTION DE… 0,2 16 GESTION DE…
9 CONTRÔLE DE… 15 RELATION AVEC…
10 CRYPTOGRAPHIE 14 ACQUISITION,…
11 SÉCURITÉ… 13 SECURITE DES…
12 SECURITE DES…
Phase 5 : 6 audit de conformité
6.1 Présentation
A ce stade, nous avons procédé à un inventaire des actifs de l'institution, et nous avons évalué et
Les menaces ont été évaluées, une analyse des risques a été réalisée et nous avons proposé des projets pour leur
atténuation,
Compte tenu des aspects cidessus, il est temps d'évaluer dans quelle mesure la Fondation
Universitaria San Mateo est conforme aux sections 4 à 10 de la norme ISO/IEC 27001:2013 et
vérifier les bonnes pratiques établies dans la norme ISO 27002:2013, qui servira de cadre pour
contrôle de l'état de la sécurité.
6.2 Méthodologie
Pour évaluer correctement la maturité de la sécurité de l'information de la Fondation universitaire de San
Mateo, un audit sera effectué par rapport à la norme ISO/IEC 27001:2013, évaluant les sections 4 à 10 et la
norme ISO/IEC 27002:2013, dans laquelle les groupes un total de
114 contrôles ou sauvegardes sur les bonnes pratiques pour la gestion de la sécurité de l'information
organisé en 14 domaines et 35 objectifs de contrôle. Cette norme est internationalement reconnue
et il est parfaitement valable pour la plupart des organisations.
Il existe différents aspects dans lesquels les garanties agissent pour réduire les risques, parlonsen
Contrôles ISO/IEC 27002:2013 ou tout autre catalogue. Ce sont généralement :
• Formalisation des pratiques par des documents écrits ou validés.
• Politique du personnel.
• Demandes techniques (logiciel, matériel ou communications).
• Sécurité physique.
Une protection complète contre d'éventuelles menaces nécessite une combinaison de sauvegardes sur chacun
de ces aspects. ("TFM_SGSI_CASTPEC1,"")
Dans le tableau suivant, nous pouvons voir les différents niveaux pour rappel.
Tableau 25 Modèle de maturité de la capacité (CMM)
Évaluer Efficacité Sens La description
L0 0% Inexistant Absence totale de tout procédé connu.
Procédures inexistantes ou localisées dans des
L1 dix% Initiale / Adhoc zones spécifiques. Le succès des tâches est dû
aux efforts personnels.
Il existe une méthode de travail basée sur
L2 l'expérience, bien que sans communication
50% reproductible, mais intuitif
formelle. Dépendance aux connaissances
individuelles
L'organisation dans son ensemble participe au
L3 Processus défini à 90 % processus. Les processus sont mis en œuvre,
documentés et communiqués.
Vous pouvez suivre l'évolution des processus
L4 grâce à des indicateurs numériques et statistiques.
95% Géré et mesurable
Il existe des outils pour améliorer la qualité et
l'efficacité
Les processus sont en constante amélioration.
Sur la base de critères quantitatifs, les écarts les
L5 100 % optimisé
plus courants sont déterminés et les processus
sont optimisés
L6 N/A Sans objet
6.3 Évaluation de la maturité ISO/IEC 27001:2013
Le niveau de maturité acquis lors de la mise en œuvre par rapport au GAP initial est présenté cidessous.
ETAT INITIAL RÉSULTAT DE
AVANT LE PREMIÈRE
LA MISE EN OEUVRE AUDIT
4 CONTEXTE DE L'ORGANISATION
L'organisme doit déterminer les questions
externes et internes qui sont pertinentes
pour
CONNAISSANCE DE LA
son objectif et qui affectent sa
4.1 ORGANISATION ET Échoue
VOTRE CONTEXTE capacité à atteindre les résultats escomptés partiellement conforme
de son système
gestion de la sécurité de
l'information.
L'organisme doit déterminer :
a) les parties intéressées pertinentes
COMPRÉHENSION DE pour le système de gestion de la sécurité
LES BESOINS ET
du répond
4.2 ATTENTES DE
PARTIES informations; Oui partiellement conformede manière satisfaisante
INTÉRESSÉ
b) les exigences de ces parties
intéressées concernant la sécurité de
l'information.
L'organisme doit déterminer les limites et
l'applicabilité du système de gestion de
l'information.
sécurité de l'information pour établir sa
portée.
Lors de la détermination de cette portée,
l'organisation doit prendre en compte :
DÉTERMINATION DE
CHAMP D'APPLICATION a) les questions externes et internes visées
répond
4.3 SYSTÈME DE GESTION au chiffre 4.1, et Échoue
DE LA SÉCURITÉ DE de manière satisfaisante
L'INFORMATION b) les exigences visées au chiffre
4.2 ; Oui
c) les interfaces et les dépendances
entre les activités réalisées par l'organisme
et celles réalisées par d'autres organismes.
Le champ d'application doit être disponible
sous forme d'informations documentées.
SYSTÈME DE GESTION
L'organisme doit établir, mettre en répond
4.4 DE LA SÉCURITÉ DE œuvre, maintenir et améliorer en de manière satisfaisante
Échoue
L'INFORMATION permanence un système de
l'information, conformément aux
exigences de la présente norme.
5 DIRECTION
La haute direction doit faire preuve de
leadership et d'engagement envers le
système de gestion des risques.
sécurité des informations :
a) s'assurer que la politique de sécurité de
l'information et les objectifs de sécurité de
l'information sont établis et conformes à
l'orientation stratégique de l'organisation ;
b) assurer l'intégration des exigences du
système de gestion de la sécurité de
l'information dans les processus de
l'organisation ;
c) s'assurer que les ressources
nécessaires au système de gestion
de la sécurité de l'information sont
disponibles ; d) communiquer
DIRECTION ET répond
5.1 l'importance d'une gestion efficace de la
ENGAGEMENT partiellement conformede
m anière
satisfaisante
sécurité de l'information et de la conformité
aux exigences du système de gestion de
la sécurité de l'information ;
e) s'assurer que le système de gestion
de la sécurité de l'information atteint les
résultats escomptés ;
f) diriger et soutenir les personnes,
pour contribuer à l'efficacité du
l'information ;
g) promouvoir l'amélioration continue,
Oui
h) soutenir d'autres rôles de gestion
pertinents, pour démontrer leur leadership
appliqué à leurs domaines de responsabilité.
La haute direction doit établir un
politique de sécurité de
l'information qui :
a) est adapté à l'objectif de l'organisation ;
b) comprend des objectifs de sécurité de
l'information (voir 6.2) ou fournit le cadre
pour l'établissement d'objectifs de sécurité
de l'information;
c) comprend un engagement à se
répond
5.2 POLITIQUE conformer aux exigences applicables liées
partiellement conformede manière satisfaisante
à la sécurité de l'information ; Oui
d) comprend un engagement à
l'amélioration continue du système de
La politique de sécurité de
l'information doit :
e) être disponible sous forme
d'informations documentées ;
f) communiquer au sein de
l'organisation ; Oui
g) être à la disposition des parties
intéressées, le cas échéant.
La haute direction doit s'assurer que les
responsabilités et les autorités pour les
rôles pertinents à la sécurité de l'information
sont attribuées et communiquées. La
haute direction doit attribuer la
responsabilité et l'autorité à :
LES RÔLES,
RESPONSABILITÉS répond
5.3 Échoue
ET AUTORITÉS DANS
a) garantir que le système de de manière satisfaisante
L'ORGANISATION
management de la sécurité de
l'information est conforme aux exigences
de la présente Norme internationale ;
b) faire rapport à la haute direction sur la
performance du système de gestion de la
sécurité
des informations.
6 POLITIQUE
6.1.1 Général
ACTIONS POUR TRAITER 6.1.2 Évaluation des risques de
6.1 RISQUES ET sécurité de l'information 6.1.3 Échoue
OPPORTUNITÉS partiellement conforme
Traitement des risques de sécurité de
l'information
L'organisation doit établir des objectifs de
sécurité de l'information aux fonctions et
niveaux pertinents. Les objectifs de sécurité
de l'information doivent :
a) être cohérent avec la politique de
sécurité de l'information ;
b) être mesurable (si possible);
c) tenir compte des exigences applicables
en matière de sécurité de l'information et
des résultats de l'évaluation et du traitement
des risques ;
OBJECTIFS DE
SÉCURITÉ DE LA
d) être communiqué ; Oui
6.2 L'INFORMATION ET e) être mis à jour, le cas échéant. Échoue
DES PLANS POUR partiellement conforme
RÉALISEZLES
L'organisme doit conserver des
informations documentées sur les objectifs
de sécurité de l'information. Quand le
planifier pour atteindre vos
objectifs de sécurité
informations, l'organisme doit déterminer:
f) ce qui va être fait ;
g) quelles ressources seront nécessaires;
h) qui sera responsable ;
i) quand il sera terminé ; Oui
j) comment les résultats seront évalués.
sept SUPPORT
L'organisme doit déterminer et fournir les
ressources nécessaires à la
répond
7.1 RESSOURCES établissement, mise en œuvre,
maintenance et amélioration continue du
l'information.
L'organisation doit :
a) déterminer la compétence
nécessaire des personnes exécutant,
sous son contrôle, des travaux qui affectent
sa performance en matière de sécurité de
l'information, b) s'assurer que ces personnes
sont compétentes, sur la base de leur
formation,
7.2 CONCURRENCE Échoue
partiellement conforme
formation ou expérience adéquate;
c) le cas échéant, prendre des
mesures pour acquérir la compétence
nécessaire et évaluer
l'efficacité des actions entreprises ; Oui
d) conserver les informations
documentées appropriées comme
preuve de compétence.
Les personnes exécutant des travaux sous
le contrôle de l'organisme doivent être
informées :
a) la politique de sécurité de l'information ;
b) leur contribution à l'efficacité du
système de management de la sécurité
de l'information, répond
7.3 SENSIBILISATION
y compris les avantages de l'amélioration partiellement conformede manière satisfaisante
des performances de sécurité du
informations;
c) les implications de la non
conformité aux exigences du système de
L'organisme doit déterminer le besoin de
communications internes et externes
pertinentes pour le système de gestion de
la sécurité de l'information, y compris :
répond
7.4 LA COMMUNICATION a) le contenu de la communication ;
b) quand communiquer ;
c) à qui communiquer ;
d) qui doit communiquer ; Oui
e) les processus pour effectuer la
communication.
*Le système de gestion de la
sécurité de l'information de
l'organisation doit inclure :
a) les informations documentées
requises par la présente norme ;
b) les informations documentées que
INFORMATIONS répond
7.5 l'organisme a déterminées comme étant
DOCUMENTÉ de
partiellement conforme m anière
satisfaisante
nécessaires à l'efficacité du système de
management de la sécurité de
l'information.
*Création et mise à jour
*Maîtrise des informations
documentées
8 FONCTIONNEMENT
L'organisation doit planifier, mettre
en œuvre et contrôler les processus
nécessaires pour répondre aux exigences
de sécurité de l'information et pour
mettre en œuvre les actions déterminées
PLANIFICATION ET répond
8.1 dans le Échoue
CONTRÔLE OPÉRATIONNEL de manière satisfaisante
chiffre 6.1. L'organisation doit
également mettre en œuvre des plans
pour atteindre les objectifs de sécurité
de l'information déterminés en 6.2.
L'organisation doit effectuer des
évaluations des risques pour la
sécurité de l'information à des
intervalles planifiés ou lorsque des
modifications importantes sont
L'ÉVALUATION DES RISQUES
proposées ou se produisent, en tenant
8.2 DE LA SÉCURITÉ DU Échoue
INFORMATIONS
compte des critères établis à la section partiellement conforme
6.1.2 a). L'organisation doit conserver
les informations documentées
des résultats des évaluations
des risques de sécurité de
l'information.
L'organisation doit mettre en œuvre le
plan de traitement des risques de sécurité partiellement conforme
de l'information. L'organisme doit
conserver des informations documentées
TRAITEMENT DE
RISQUES DE
sur les
8.3 Échoue
SÉCURITÉ DE LA résultats du traitement
INFORMATIONS
risques de sécurité de
l'information.
9 ÉVALUATION DES PERFORMANCES
L'organisme doit déterminer : a) ce qui
doit être surveillé et ce qui doit être
mesuré, y compris les processus et
contrôles de sécurité de l'information ;
b) les méthodes de surveillance, de
mesure, d'analyse et d'évaluation, selon
le cas, pour garantir des résultats
valides ; NOTE Pour être considérées
comme valides, les méthodes
SURVEILLANCE, MESURE, sélectionnées doivent produire des
9.1 ANALYSE ET ÉVALUATION Échoue
résultats comparables et reproductibles. partiellement conforme
c) quand la surveillance et la mesure
doivent être effectuées ; d) qui doit
effectuer la surveillance et la mesure ; e)
quand les résultats de la surveillance et
des mesures doivent être analysés et
évalués ; et f) qui devrait analyser et
évaluer ces résultats
L'organisation doit effectuer des audits
internes à des intervalles planifiés,
afin de fournir des informations sur la
question de savoir si le système de
gestion de la sécurité de l'information :
a) est conforme : 1) aux propres
exigences de l'organisation pour son
l'information ; et 2) les exigences de
cette norme ; b) est effectivement mis
en œuvre et maintenu. La
l'organisme doit : c) planifier,
9.2 AUDIT INTERNE
Échoue
établir, mettre en œuvre et tenir à jour partiellement conforme
un ou plusieurs programmes d'audit, y
compris la fréquence, les méthodes, les
responsabilités, les exigences de
planification et les rapports. Les
les programmes d'audit doivent tenir
compte de l'importance des processus
impliqués et des résultats des audits
précédents ; d) pour chaque audit,
définir ses critères et sa portée ; e)
sélectionner les commissaires aux
comptes et effectuer
effectuer des audits pour garantir
l'objectivité et l'impartialité du processus
d'audit ; f) s'assurer que les résultats
des audits sont communiqués à la
direction
pertinent; et g) conserver des
informations documentées telles que
la preuve de la mise en œuvre du
programme d'audit et de ses résultats.
La direction doit revoir le système
de gestion de la sécurité de l'information
de l'organisation à des intervalles planifiés
pour s'assurer de sa pertinence, de son
adéquation et de son efficacité. La revue
de direction doit inclure des considérations
sur : a) le statut des actions par rapport
à la
revues de direction préalables ; b)
changements dans les problèmes
externes et internes pertinents
pour le système de gestion de la sécurité
de l'information ; c) retour d'information
REVUE PAR
9.3 sur les performances en matière de Échoue
ADRESSE partiellement conforme
sécurité de l'information, y compris les
tendances concernant :
1) nonconformités et actions
correctives ; 2) les résultats de la
surveillance et de la mesure ; 3) les
résultats des audits ; 4) réalisation
des objectifs de sécurité de l'information ;
d) retour d'information des parties
prenantes ;
e) les résultats de l'évaluation des
risques et l'état du plan de traitement
des risques ; Oui
f) possibilités d'amélioration
continue. Les éléments de sortie de
la revue de direction doit inclure
les décisions relatives à
avec les opportunités d'amélioration
continue et tout besoin de
changement dans le système de
L'organisme doit conserver des
informations documentées telles que
la preuve des résultats
revues de direction.
10 AMÉLIORATION
Lorsqu'une nonconformité survient,
l'organisme doit : a) réagir à la non
conformité et, le cas échéant, 1)
prendre des mesures pour la
contrôler et la corriger, et 2) faire
face aux conséquences ; b) évaluer
la nécessité d'une action pour
éliminer les causes de la non
conformité, afin qu'elle ne se
reproduise pas ou ne se produise
pas ailleurs, en : 1) examinant la non
conformité 2) déterminant les causes
de la nonconformité nonconformité,
NONCONFORMITÉS
10.1 et 3) déterminant si des non
ET ACTIONS Échoue
CORRECTIFS conformités similaires existent , ou partiellement conforme
pourrait potentiellement se produire ;
c) mettre en œuvre toute action
nécessaire ; d) examiner l'efficacité
des mesures correctives prises, et e)
apporter des modifications au système
de gestion de la sécurité de
l'information, si nécessaire. Les
actions correctives doivent être
adaptées aux effets des non
conformités constatées. L'organisme
doit conserver des informations
documentées adéquates, telles que
la preuve : f) de la nature
des nonconformités et de toute action
ultérieure entreprise ; et g) les résultats
de toute mesure corrective.
L'organisme doit continuellement
améliorer la pertinence, l'adéquation
S'AMÉLIORE partiellement conforme
10.2 et l'efficacité du système d'information. Échoue
CONTINUE
l'information.
Source : NTCISOIEC 27001:2013
file:///C:/Users/Dir%20comercio/Downloads/document.pdf
6.4 Évaluation de la maturité ISO/IEC 27002:2013
L'objectif de cette phase du projet est d'évaluer la maturité de la sécurité de la Fondation universitaire de San
Mateo en ce qui concerne les différents domaines de contrôle et les 114 contrôles
soulevées par ISO/IEC 27002:2013. Avant d'aborder cet aspect, nous chercherons à approfondir au maximum
notre connaissance de l'organisation.
En résumé, les domaines à analyser sont :
Domaine
5 POLITIQUES DE SÉCURITÉ DES INFORMATIONS
7 SÉCURITÉ DES RESSOURCES HUMAINES
10 CRYPTOGRAPHIE
11 SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE
12 SÉCURITÉ DES OPÉRATIONS
13 SÉCURITÉ DES COMMUNICATIONS
14 ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES
15 RELATION AVEC LES FOURNISSEURS
16 GESTION DES INCIDENTS DE SÉCURITÉ DE L'INFORMATION
17 SÉCURITÉ DE L'INFORMATION ASPECTS DE LA GESTION DE LA CONTINUITÉ DES
ENTREPRISE
18 SÉCURITÉ DES COMMUNICATIONS
Les résultats de l'audit des 114 contrôles de la norme ISO/IEC 27002:2013 sont présentés dans le tableau
suivant.
contrôle dans
le %
Section Contrôler Conformité
Normatif conformité
ISO 27002
5 POLITIQUE DE SÉCURITÉ
5.1 Lignes directrices de la Direction de la sécurité de l'information
Contrôle : Doit être défini
un ensemble de politiques
de sécurité de l'information,
Politiques de
approuvées par la direction,
5.1.1 sécurité des 50% L2
publiées et communiquées
informations
aux employés et aux parties
externes concernées.
Contrôle : les politiques de
sécurité de l'information
doivent être
Examen des politiques de vérifier à intervalles
5.1.2 sécurité de l'information. prévu ou si des changements 50% L2
importants se produisent,
pour garantir son
adéquation, son adéquation
et son efficacité.
contrôle dans
%
le Section Contrôler Conformité
6.1 Organisation interne
A6.1.1 Rôles Contrôle : toutes les
et responsabilités en responsabilités en matière de
dix% L1
matière de sécurité de sécurité de l'information doivent
l'information être définies et attribuées.
A6.1.2 Contrôle de la séparation des tâches : les tâches et les domaines
de responsabilité conflictuels
doivent être séparés afin de
réduire les risques de modification
50% L2
non autorisée ou involontaire ou
d'utilisation abusive des actifs de
l'organisation
A6.1.3 Contact avec le Contrôle : Doit être maintenu

les autorités contacts appropriés avec les 50% L2
autorités compétentes.
A6.1.4 Contact avec des groupes Contrôle : des contacts appropriés
d'intérêts spéciaux doivent être maintenus avec des
groupes d'intérêts spéciaux ou
50% L2
d'autres forums de sécurité
spécialisés et des associations
professionnelles.
A6.1.5 Sécurité de Contrôle : la sécurité de
l'information dans la l'information doit être abordée
gestion de projet. dans la gestion de projet, quel 90% L3
que soit le type de projet.
6.2 Appareils mobiles et télétravail
A6.2.1 Politique relative aux appareils Contrôle : Une politique et des

mobiles mesures de sécurité à l'appui
doivent être adoptées pour gérer
dix% L1
les risques introduits par
l'utilisation d'appareils mobiles.
A6.2.2 Télétravail Contrôle : Une

politique et des mesures de
sécurité d'accompagnement
doivent être mises en place pour
protéger les informations 90% L3
consultées, traitées ou stockées
dans les lieux où s'effectue le
télétravail.
contrôle dans %
le Section Contrôler conformité Conformité
Normatif O
SÉCURITÉ DES RESSOURCES
sept
HUMAINS
7.1 Avant de prendre un emploi
A7.1.1 Contrôle de sélection : les vérifications des antécédents de
tous les candidats à un emploi
doivent être effectuées
conformément aux lois,
réglementations et règles
d'éthique applicables et doivent
90% L3
être proportionnées aux exigences
de l'entreprise, à la classification
des informations auxquelles
accéder et aux risques perçus.
A7.1.2 Termes et conditions Contrôle : Accords

d'emploi Les accords contractuels avec
les employés et les soustraitants
doivent établir leurs responsabilités
et celles de l'organisation en 90% L3
matière de sécurité de
l'information.
7.2 Pendant l'exercice de l'emploi
A7.2.1 Responsabilités de contrôle : la direction doit
exiger que tous les employés et
soustraitants appliquent la
sécurité de l'information 90% L3
conformément aux politiques et
procédures établies par
l'organisation.
A7.2.2 Sensibilisation, éducation et Contrôle : Tous les employés de
formation à la sécurité de l'organisation et, le cas échéant,
l'information. les soustraitants, doivent recevoir
une sensibilisation et une
formation appropriées, ainsi que
des mises à jour régulières sur 90% L3
les politiques et procédures de
l'organisation en rapport avec
leur rôle.
A7.2.3 procédure disciplinaire Contrôle : Il doit y avoir un

processus formel, qui doit être
communiqué, pour prendre 90% L3
des mesures contre les
employés qui ont
commis une violation de
sécurité des informations.
7.2 Licenciement et changement d'emploi
A7.3.1 Cessation ou changement de Contrôle : les
responsabilités professionnelles responsabilités et les
devoirs en matière de sécurité
de l'information qui restent valables
après la cessation ou le changement
90% L3
d'emploi doivent être définis,
communiqués à l'employé ou au
soustraitant et appliqués.
contrôle dans %
le Section Contrôler conformer
conformité rien
Normatif O
8 LA GESTION D'ACTIFS
8.1 Responsabilité pour les actifs
A8.1.1 Inventaire des actifs Contrôle : Obligatoire
identifier les actifs
associés à des informations et
installations de
50% L2
traitement de
l'information, et un
inventaire de ces actifs
devrait être établi et tenu à jour.
A8.1.2 Propriété des actifs Contrôle : Actifs
détenus en inventaire doivent 90% L3
avoir un propriétaire.
A8.1.3 Utilisation acceptable des actifs Contrôle : Des règles
doivent être identifiées,
documentées et mises en
œuvre pour l'utilisation
acceptable des informations et 90% L3
des actifs associés aux informations et
installations de
traitement de
l'information.
A8.1.4 Restitution des avoirs Contrôle : Tous

les employés et les utilisateurs
de parties externes doivent
restituer tous les actifs de
90% L3
l'organisation qui sont à leur
charge, à la fin de leur emploi,
contrat ou accord.
A8.2 Classement des informations
A8.2.1 Classement des informations Contrôle : Les informations
doivent être classées en fonction
des exigences légales, de la valeur,
50% L2
de la criticité et de la susceptibilité
à la divulgation ou à la modification
non autorisée.
A8.2.2 Étiquetage des informations Contrôle : Un ensemble adéquat
de procédures pour l'étiquetage
des informations doit être développé
et mis en œuvre, conformément
au schéma de classification des
90% L3
informations adopté par
l'organisation.
A8.2.3 la gestion d'actifs Contrôle : Obligatoire

élaborer et mettre en œuvre des
procédures de gestion des actifs,
conformément au schéma de
90% L3
classification des informations
A8.2 Gestion des supports
A8.3.1 Gestion des supports amovibles Contrôle : Obligatoire
mettre en œuvre
des procédures de gestion
des supports amovibles,
50% L2
conformément au schéma de
classification adopté par
l'organisation.
A8.3.2 Disposition des médias Contrôle : Les moyens doivent

être éliminés en toute sécurité
lorsqu'ils ne sont plus 90% L3
nécessaires, en utilisant des
procédures formelles.
A8.3.3 Transfert de supports physiques Contrôle : les supports

d'information doivent être
protégés contre tout accès non
50% L2
autorisé, mauvaise utilisation ou
corruption pendant le transport.
contrôle dans le %
Section Contrôler Conformité
Exigences commerciales pour le contrôle de
9.1 allumé
A9.1.1 Politique de contrôle d'accès Contrôle : une politique de contrôle d'accès
doit être établie, documentée et révisée en
fonction des exigences de sécurité de L2
l'entreprise et de l'information.
A9.1.2 Accès aux réseaux et services Contrôle : les utilisateurs ne doivent être

réseau autorisés à accéder qu'au réseau et aux
95% L4
services réseau pour lesquels ils ont été
9.2 Gestion des accès utilisateurs
A9.2.1 Enregistrement et annulation du Contrôle : Un registre d'utilisateurs doit être
mis en place processus formel d'enregistrement et
de désenregistrement des utilisateurs, pour 90% L3
permettre l'attribution des droits d'accès.
A9.2.2 fourniture d'accès Contrôle : Un processus formel de

utilisateurs fourniture d'accès utilisateur doit être en
place pour attribuer ou révoquer les droits
90% L3
d'accès pour tous les types d'utilisateurs
pour tous les systèmes et services.
A9.2.3 gestion des droits Contrôle : L'attribution et l'utilisation des droits

accès privilégié d'accès privilégiés doivent être restreintes et 90% L3
contrôlées
A9.2.4 gestion de l'information Contrôle : L'attribution d'informations
authentification secrète de d'authentification secrètes doit être contrôlée
95% L4
utilisateurs par un processus de gestion formel.
A9.2.5 Examen des droits d'accès des Contrôle : les propriétaires d'actifs

utilisateurs doivent vérifier les droits d'accès des
90% L3
utilisateurs à intervalles réguliers.
A9.2.6 Retrait ou modification Contrôle : Les droits d'accès de

des droits d'accès toutes les informations sur les employés
et les utilisateurs externes et les
installations de traitement des informations L4
95%
doivent être supprimées à la fin de leur
emploi, contrat ou accord, ou ajustées
lorsque des modifications sont apportées.
A9.3 Responsabilités de l'utilisateur
A9.3.1 Utilisation des informations de Contrôle : les utilisateurs doivent être tenus
authentification secrète de se conformer aux pratiques de
l'organisation en matière d'utilisation des 50% L2
informations d'authentification
secret.
A9.4 Contrôle d'accès aux systèmes et applications
A9.4.1 Restriction d'accès aux Contrôle : L'accès aux informations et aux
informations fonctions des systèmes d'application doit
être limité conformément à la politique de 95% L4
contrôle de
allumé.
A9.4.2 Procédure d'entrée Contrôle : lorsque la politique de
sûr contrôle d'accès l'exige, l'accès aux
systèmes et aux applications doit être 95% L4
contrôlé via un processus de connexion
sécurisé.
A9.4.3 Système de gestion des Contrôle : Les systèmes de gestion des
mots de passe mots de passe doivent être interactifs et
50% L2
doivent garantir la qualité des mots de passe.
A9.4.4 Utilisation d'utilitaires privilégiés Contrôle : L'utilisation de programmes

utilitaires qui pourraient avoir la capacité de
remplacer les contrôles du système et des dix% L1
applications doit être strictement restreinte et
contrôlée.
A9.4.5 Contrôle d'accès aux codes Contrôle : L'accès aux codes sources des
95% L4
sources du programme programmes doit être restreint.
%
contrôle dans le Conformité
Section Contrôler conformité
Normatif O
O
10 CRYPTAGE
Contrôles
10.1 cryptographiques
A10.1.1 Politique d'utilisation des Contrôle : Il doit être développé et

contrôles cryptographiques mettre en œuvre une politique sur l'utilisation
dix% L1
des contrôles cryptographiques pour la
protection des informations.
A10.1.2 gestion des clés Contrôle : Une politique d'utilisation,
de protection et de durée de vie des clés
cryptographiques doit être élaborée et mise 0% L0
en œuvre tout au long de leur cycle de vie.
%
contrôle dans le Section Contrôler conformité Conformité
Normatif O
A11 SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE
11.1 Zones de sécurité
A11.1.1 périmètre de sécurité physique Contrôle : Des périmètres de sécurité
doivent être définis et utilisés, et utilisés pour
protéger les zones contenant des informations
50% L2
confidentielles ou critiques, et les installations
de traitement des informations.
A11.1.2 Contrôles d'accès physiques Contrôle : Les zones sécurisées doivent être
protégées par des contrôles d'accès
appropriés pour garantir que seul le personnel 90% L3
autorisé est autorisé à y accéder.
A11.1.3 Sécurité des bureaux, des Contrôle : La sécurité physique des bureaux,

locaux et des installations. des locaux et des installations doit être conçue 50% L2
et appliquée.
A11.1.4 Protection contre Contrôle : Une protection physique contre les
menaces externes et catastrophes naturelles, les attaques
50% L2
environnementales. malveillantes ou les accidents doit être
conçue et appliquée.
A11.1.5 Je travaille dans des zones sécurisées. Contrôle : Des procédures de travail dans
des zones sûres doivent être conçues et dix% L1
appliquées.
A11.1.6 Zones de chargement, Contrôle : les points d'accès tels que les
d'expédition et d'accès public zones d'expédition et de chargement et les autres
points où des personnes non autorisées peuvent
entrer doivent être contrôlés et, si possible, isolés
90% L3
des installations de traitement de l'information
afin d'empêcher tout accès non autorisé.
A11.2 Équipement
A11.2.1 Emplacement et protection des Contrôle : L'équipement doit être situé et

équipements protégé de manière à réduire les risques de
menaces et de dangers provenant de 90% L3
l'environnement, ainsi que les possibilités
d'accès non autorisé.
A11.2.2 services d'approvisionnement Contrôle : l'équipement doit être
protégé contre les pannes de courant et
90% L3
autres interruptions causées par des
pannes dans les services d'approvisionnement.
A11.2.3 Sécurité du câblage. Contrôle : Les câbles d'alimentation électrique et de
télécommunications qui transportent des
données ou prennent en charge des
100% L5
services d'information doivent être
protéger contre l'interception, les
interférences ou les dommages.
A11.2.4 entretien de la Contrôle : L'équipement doit être
équipement. correctement entretenu pour assurer
95% L4
sa disponibilité et son intégrité
continues.
A11.2.5 retraite d'actifs Contrôle : Les équipements, informations ou
logiciels ne doivent pas être supprimés de 95% L4
votre site sans autorisation préalable
A11.2.6 Sécurité des actifs et des Contrôle : Des mesures de sécurité doivent
équipements hors site être appliquées aux actifs qui se trouvent à
l'extérieur des installations de l'organisation,
90% L3
en tenant compte des différents risques de
travailler à l'extérieur desdites installations.
A11.2.7 Élimination ou réutilisation Contrôle : Tous les

sécuritaire de l'équipement les éléments d'équipement contenant des
supports de stockage pour s'assurer que toutes
les données confidentielles ou les logiciels
50% L2
sous licence ont été supprimés ou écrasés en
toute sécurité avant d'être éliminés ou réutilisés.
A11.2.8 Équipement utilisateur Contrôle : les utilisateurs doivent

sans surveillance s'assurer que l'équipement sans
90% L3
surveillance bénéficie d'une protection
appropriée.
A11.2.9 politique de bureau Contrôle : Une politique de bureau propre doit
écran propre et net être adoptée pour le papier et les supports de
stockage
50% L2
amovibles et une politique d'écran propre dans
les installations de traitement de l'information.
%
contrôle dans le
Section Contrôler conformité Conformité
Normatif
O
SÉCURITÉ DE LA
A12 OPÉRATIONS
A12.1 Procédures opérationnelles et responsabilités
A12.1.1 Procédures Contrôle : Les procédures d'exploitation
d'exploitation documentées doivent être documentées et mises à la 90% L3
disposition de tous les utilisateurs qui en
ont besoin.
A12.1.2 gestion du changement Contrôle : Les changements dans
l'organisation, dans les processus
commerciaux, dans les installations et
90% L3
dans les systèmes de traitement de
l'information qui affectent la sécurité de
l'information doivent être contrôlés.
A12.1.3 gestion de la capacité Contrôle : l'utilisation des ressources doit

être suivie, des ajustements doivent être
effectués et les besoins futurs en capacité 50% L2
doivent être projetés pour garantir les
performances requises du système.
A12.1.4 Séparation des Contrôle : les environnements de

environnements de développement, de test et d'exploitation
50% L2
développement, de test et d'exploitation
doivent être séparés pour réduire les
risques d'accès non autorisés ou de
modifications de l'environnement d'exploitation.
A12.2.1 Contrôles contre les codes Contrôle : des contrôles de détection,
malveillants de prévention et de récupération,
associés à une sensibilisation
50% L2
appropriée des utilisateurs, doivent
être mis en œuvre pour se protéger
contre les codes malveillants.
A12.3.1 Sauvegarde des Contrôle : les données, les logiciels et les
informations images du système doivent être
sauvegardés et testés régulièrement
50% L2
conformément à une politique de
sauvegarde convenue.
A12.4.1 inscription à l'événement Contrôle : des enregistrements
sur les activités des utilisateurs, les exceptions,
les défaillances et les événements de sécurité dix%
L1
des informations doivent être créés, conservés
et régulièrement révisés.
A12.4.2 Protection des Contrôle : Les installations et les

informations d'enregistrement informations d'enregistrement doivent 90%
L3
être protégées contre toute altération et tout
accès non autorisé.
A12.4.3 Journaux Contrôle : les activités de
administrateur et l'administrateur et de l'opérateur du
90%
opérateur système doivent être enregistrées, et les L3
enregistrements doivent être protégés et
régulièrement révisés.
A12.4.4 synchronisation d'horloge Contrôle : les horloges de tous les
systèmes de traitement de l'information
pertinents au sein d'une organisation ou
dix%
d'un environnement de sécurité doivent L1
être synchronisées avec une source unique
de référence temporelle.
A12.5.1 Installation de logiciels sur les Contrôle : Des procédures doivent être
systèmes d'exploitation mises en œuvre pour contrôler 90%
L3
l'installation de logiciels sur les systèmes
opérationnel.
A12.6 Gestion des vulnérabilités techniques
A12.6.1 Gestion de Contrôle : Obligatoire
vulnérabilités techniques des informations opportunes sur les
vulnérabilités techniques des systèmes
d'information utilisés ; Évaluez l'exposition
dix%
de l'organisation à ces vulnérabilités et L1
prenez les mesures appropriées pour faire
face au risque associé.
A12.6.2 Restrictions sur Contrôle : Doit être établi et

Installation du logiciel mettre en œuvre les règles 90%
L3
d'installation des logiciels par les utilisateurs.
A12.7 Considérations relatives à l'audit du système d'information
A12.7.1 contrôles de Contrôle : les exigences d'audit et les activités

audits de impliquant la vérification des systèmes
systèmes de d'exploitation doivent être soigneusement 50%
L2
informations planifiées et convenues afin de minimiser les
perturbations des processus métier.
contrôle %
dans le Section Contrôler conformité Conformité
Normatif O
A13 SÉCURITÉ DES COMMUNICATIONS
A13.1 Gestion de la sécurité du réseau
A13.1.1 contrôles réseau Contrôle : les réseaux doivent
être gérés et contrôlés pour protéger les
50% L2
informations des systèmes et des
applications.
A13.1.2 Sécurité des services Contrôle : les mécanismes de sécurité,
réseau les niveaux de service et les exigences
de gestion pour tous les services réseau
doivent être identifiés et inclus dans les
90% L3
accords de service réseau, que les
services soient fournis en interne ou
externalisés.
A13.1.3 Séparation dans les réseaux Contrôle : Les groupes de services

d'information, d'utilisateurs et de systèmes
50% L2
d'information doivent être séparés dans les
réseaux.
A13.2 Transfert d'informations
A13.2.1 Politiques et procédures de Contrôle : Des politiques,
transfert procédures et contrôles formels de
informations transfert d'informations doivent être
en place pour protéger le transfert
50% L2
d'informations.
Par l'utilisation de
toutes sortes d'installations de
communication.
A13.2.2 les accords sur Contrôle : les accords doivent traiter du
transférer de transfert sécurisé des informations
dix% L1
informations commerciales entre l'organisation et les
parties externes.
A13.2.3 Messagerie électronique Contrôle : Les informations

incluses dans la messagerie 50% L2
électronique doivent être protégées de manière adéquate.
A13.2.4 les accords de Contrôle : les exigences relatives
confidentialité ou nondivulgation aux accords de confidentialité ou de non
divulgation qui reflètent les besoins de
l'organisation en matière de protection des 90% L3
informations doivent être identifiées,
régulièrement révisées et documentées.
contrôle
%
dans le Section Contrôler Conformité
14 Acquisition, développement et maintenance de systèmes
14.1 Exigences de sécurité des systèmes d'information
A.14.1.1 Analyse et Contrôle : les exigences relatives à la sécurité de
spécification des l'information doivent être incluses dans les exigences
exigences de sécurité relatives aux nouveaux systèmes d'information ou aux 50% L2
de l'information améliorations apportées aux systèmes d'information
existants.
A.14.1.2 Sécurité des services Contrôle : les informations impliquées dans les services
d'application dans applicatifs passant sur les réseaux publics doivent être
les réseaux publics protégées contre les activités frauduleuses, les litiges
50% L2
contractuels, ainsi que la divulgation et la modification
non autorisées.
A.14.1.3 Protection des Contrôle : Les informations impliquées dans le
opérations de opérations de service de la
les toilettes Les applications doivent être protégées pour empêcher
des la transmission incomplète, le mauvais acheminement,
90% L3
Applications. la modification non autorisée des messages, la
divulgation non autorisée et la duplication ou la
relecture non autorisées des messages.
A14.2 Sécurité dans les processus de développement et de support
A.14.2.1 Politique de Contrôle : des règles de développement de logiciels
développement sécurisé et de systèmes doivent être établies et appliquées aux 90% L3
développements au sein de l'organisation.
A.14.2.2 Procédures Contrôle : Modifications apportées aux systèmes au sein du
de contrôle de le cycle de vie du développement doit être contrôlé par
50% L2
changements dans l'utilisation de procédures formelles de contrôle des
systèmes modifications.
A.14.2.3 Revue technique des Contrôle : lorsque les platesformes d'exploitation sont
applications après modifiées, les applications métier critiques doivent être
évolution de la plate examinées et testées pour s'assurer qu'il n'y a pas d'impact
50% L2
forme d'exploitation négatif sur les opérations ou la sécurité de l'organisation.
A.14.2.4 Restrictions sur les Contrôle : les modifications apportées
modifications aux progiciels doivent être découragées et limitées aux
apportées aux changements 90% L3
progiciels nécessaire, et toutes les modifications doivent être
strictement contrôlées.
A.14.2.5 Principe de Contrôle : les principes de construction
construction des de systèmes sécurisés doivent être établis, documentés
systèmes sûrs. et maintenus, et appliqués à toute activité de mise en 0% L0
œuvre du système d'information.
A.14.2.6 Environnement de Contrôle : les organisations doivent établir et protéger de
développement sécurisé manière adéquate des environnements de développement
sécurisés pour les activités de développement et
90% L3
d'intégration de systèmes qui englobent l'ensemble du
cycle de vie du développement de systèmes.
A.14.2.7 Développement Contrôle : l'organisation doit superviser et surveiller
du contrat l'activité de développement des systèmes sous contrat
50% L2
extérieurement
extérieurement.
A.14.2.8 Essais de sécurité du Contrôle : pendant le développement, des tests de
système fonctionnalité de sécurité doivent être effectués. 50% L2
A.14.2.9 Essais d'acceptation Contrôle : pour les nouveaux systèmes d'information, les
des systèmes mises à niveau et les nouvelles versions, des programmes
de tests d'acceptation et des critères d'acceptation 50% L2
connexes doivent être établis.
A14.3 Données d'essai
A.14.3.1 Protection des contrôles : les données d'essai doivent être soigneusement sélectionnées,
protégées et contrôlées. 50% L2
contrôle
%
dans le Section Contrôler Conformité
A15 RELATIONS AVEC LES FOURNISSEURS
A15.1 Sécurité de l'information dans les relations avec les fournisseurs.
A15.1.1 Politique de sécurité de Contrôle : Les exigences de sécurité de l'information
l'information pour les relations pour atténuer les risques associés à l'accès des
avec les fournisseurs fournisseurs aux actifs de l'organisation doivent être
50% L2
convenues avec eux et documentées.
A15.1.2 Traitement de la Contrôle : Toutes les exigences pertinentes en

la sécurité dans le cadre des matière de sécurité de l'information doivent être
accords avec établies et convenues avec chaque fournisseur
fournisseurs qui peut accéder, traiter, stocker, communiquer
dix% L1
ou fournir des composants d'infrastructure
informatique pour les informations de l'organisation.
A15.1.3 Chaine d'approvisionnement Contrôle : les accords avec les fournisseurs

technologies de doivent inclure des exigences pour traiter les
l'information et de la risques de sécurité de l'information associés à la
50% L2
communication chaîne d'approvisionnement des produits et services
des technologies de l'information et de la
communication.
A15.2 Gestion de la prestation de services du fournisseur
A15.2.1 Suivi et revue des prestations de la Contrôle : les organisations doivent surveiller,
examiner et auditer régulièrement la prestation de
0% L0
fournisseurs services par les prestataires.
A15.2.2 Gestion du changement dans Contrôle : les changements dans la prestation de

les prestations de la services par les fournisseurs, y compris la
fournisseurs maintenance et l'amélioration des politiques,
procédures et contrôles de sécurité de l'information
existants, doivent être gérés en tenant compte de
50% L2
la criticité de la sécurité de l'information.
les informations, les systèmes et les
processus opérationnels concernés, ainsi que la
réévaluation des risques.
contrôle Section Contrôler % Conformité

dans le conformité
Normatif rien
A16 GESTION DES INCIDENTS DE SÉCURITÉ DE L'INFORMATION
A16.1 Améliorations de la gestion des incidents et de la sécurité de l'information
A16.1.1 Responsabilités et Contrôle : Vous devez établir le 50% L2

procédures responsabilités et procédures de gestion pour
assurer une réponse rapide, efficace et
ordonnée aux incidents de sécurité de l'information.
A16.1.2 Rapports sur les Contrôle : les événements liés à la sécurité des 50% L2

événements de sécurité informations doivent être signalés via
de l'information par les voies de gestion appropriées, dans les
meilleurs délais.
A16.1.3 Rapport sur Contrôle : tous les employés et sous 90% L3
les faiblesses de traitants qui utilisent les systèmes et services
la sécurité de d'information de l'organisation doivent être tenus
l'information d'observer et de signaler toute faiblesse observée
ou suspectée en matière de sécurité de
l'information dans les systèmes ou services.
A16.1.4 Évaluation Contrôle : les événements de sécurité de 50% L2

événements de l'information doivent être évalués et il faut
la sécurité de décider s'il faut les classer comme incidents de
l'information et les sécurité de l'information.
décisions concernant
elles ou ils
A16.1.5 réponse aux Contrôle : Les incidents de sécurité de dix% L1

incidents de l'information doivent être traités
sécurité des conformément aux procédures documentées.
informations
A16.1.6 Apprentissage Contrôle : les connaissances acquises grâce 50% L2
obtenu de à l'analyse et à la résolution des incidents de
incidents de sécurité de l'information doivent être utilisées pour
sécurité de réduire la possibilité ou l'impact d'incidents futurs.
l'information
A16.1.7 collection de Contrôle : L'organisme doit définir et appliquer 90% L3
preuve des procédures d'identification, de collecte,
d'acquisition et de conservation des informations
pouvant servir de preuve.
6.5 Nonconformités par rapport à ISO 27002:2013
Cette section présente les nonconformités (NC) à la norme ISO 27002:2013 découvertes lors du processus d'audit
de conformité, ainsi que les actions correctives préconisées. Un contrôle est considéré comme non conforme
lorsqu'il a obtenu une évaluation MMC inférieure à L3.
ACTION
IDENTIFIANT Contrôler NC DÉTAIL CMM
CORRECTIF
Un ensemble de politiques de sécurité
Les politiques de sécurité
de l'information doit être défini,
Politiques de doivent être socialisées
approuvé par la direction, publié et
5.1.1 sécurité des plus petit avec tous L2
communiqué aux employés et aux parties
informations membres de
externes concernées.
Institution
Les politiques de sécurité de l'information
communiquer à tout le
Examen de la doivent être revues
personnel les politiques
politiques de intervalles planifiés ou si des changements
5.1.2 plus petit et les changements L2
sécurité de importants se produisent,
importants pour leur
l'information. s'assurer de sa pertinence, de
pertinence et leur efficacité
son adéquation et de son efficacité.
A6.1.1 les rôles et les
Rôles et
Il n'y a pas de rôles et responsabilités doivent
responsabilités en
plus petit de responsabilités pour tous les être définis pour chacune L1
matière de sécurité
utilisateurs des unités et des
de l'information
utilisateurs
Les tâches et les domaines
doit être établi
de responsabilité conflictuels doivent
mesures et
être séparés afin de réduire les risques
séparation des responsabilités en cas
A6.1.2 plus petit de modification non autorisée ou L2
tâches d'utilisation inappropriée
involontaire ou d'utilisation abusive des actifs
des actifs de l'organisation
de l'organisation.
les contacts doivent être maintenus Mettre à jour le
approprié avec les autorités contacts
Contact avec le
A6.1.3 plus petit compétentes. d'urgence pour toute L2
les autorités
situation qui se présente
Des contacts appropriés doivent être Mettre à jour le
Contacter avec maintenus avec des groupes d'intérêts contacts de
A6.1.4 groupes d'intérêts plus petit spéciaux ou d'autres forums et associations d'urgence pour toute L2
spéciaux professionnelles spécialisés dans la sécurité. situation qui survient
A6.2.1 doit être effectué
Des politiques et des mesures de
procédure d'adoption de
Politique sécurité de soutien doivent être adoptées
politiques et de mesures
relative aux plus petit pour gérer les risques introduits par L1
de sécurité pour les
appareils mobiles l'utilisation d'appareils mobiles.
appareils mobiles
Les actifs doivent être identifiés
doit être mis à jour
Inventaire associés aux installations
A8.1.1 plus petit atouts en tout L2
actif d'information et de traitement de
temps
l'information, et devraient être développés et
tenir un inventaire de ces
actif.
Les informations doivent être classées en pas tous les
en fonction des exigences légales, de la les informations sont
valeur, de la criticité et de la sensibilité à classé, il doit être classé
classement de la
A8.2.1 plus petit la divulgation ou à la modification non en fonction des exigences L2
informations
autorisée. de valeur, de la criticité et
des susceptibilités
Des procédures doivent être
mettre en place
mises en place pour la gestion des
gestion des médias des procédures de
A8.3.1 plus petit supports amovibles, conformément au L2
amovible gestion des supports
schéma de classification adopté par
amovibles
l'organisation.
Les supports contenant des Vérifier et
informations doivent être protégés paramétrer les
contre tout accès non autorisé, mauvaise supports physiques
Transfert de supports
A8.3.3 plus petit utilisation ou corruption pendant le pour éviter le transfert L2
physiques
transport. d'informations avant
personnes non
autorisées
Une politique de contrôle d'accès doit être Établir des
établie, documentée et révisée en fonction procédures pour contrôler
Politique de contrôle
A9.1.1 plus petit des exigences de sécurité de l'entreprise l'accès des L2
d'accès
et de l'information. informations par le
biais de politiques
Les utilisateurs doivent être tenus de Former tout le personnel
Utilisation des respecter les pratiques de l'organisation pour se conformer aux
A9.3.1 informations d'authentification
plus petit pour l'utilisation des informations meilleures pratiques L2
secret d'authentification d'authentification secrète
secret.
Les systèmes de gestion des systèmes de gestion des
mots de passe doivent être interactifs chèques
Système de gestion et ils doivent s'assurer de la qualité des mots de passe en
A9.4.3 plus petit L2
des mots de passe mots de passe. termes de qualité et
qu'ils doivent être
interactifs
A9.4.4 Les usages de
Mettre en place les
Utilisation de différents contrôles pour
programmes utilitaires qui peuvent avoir
programmes utilitaires plus petit restreindre l'utilisation L1
la capacité de remplacer les contrôles du
privilégié des programmes privilégiés
système et des applications.
A10.1.1 Il n'y a pas de politiques,
des politiques doivent
Élaborer et mettre en œuvre une être générées pour la
Politique sur
politique sur l'utilisation des contrôles protection des
utilisation des contrôles plus petit L1
cryptographiques pour la protection de informations de la gestion
cryptographique
l'information. de la technologie à la
développeurs
A10.1.2 Majeur Il n'y a pas de politique sur l'utilisation, la
Créer une politique
protection et la durée de vie des clés
gestion des clés de protection des clés L0
cryptographiques, pendant tout leur cycle
cryptographiques
de vie.
Des périmètres de sécurité doivent être vérifie tout
définis et utilisés, et utilisés pour protéger domaines dans lesquels
les zones contenant des informations a des informations
périmètre de
A11.1.1 plus petit sensibles ou critiques, et les installations de critiques et vérifier les L2
sécurité physique
traitement des informations. périmètres de sécurité
pour
allumé
La sécurité physique doit être Vérifier tous les bureaux,
Sécurité des
conçue et appliquée pour les les installations concernant
et
A11.1.3 bureaux, des locaux et plus petit L2
bureaux, les locaux et les installations. la sécurité dans
des installations.
Une protection physique contre Avoir actif
les catastrophes naturelles, les attaques systèmes de
Protection contre
malveillantes ou les accidents doit être de détection
A11.1.4 menaces externes plus petit L2
conçue et appliquée. d'urgence et de
et environnemental.
incendies, humidité
etc...
A11.1.5 Concevoir et appliquer des procédures Examen et accomplir
de travail dans des zones sûres. nouvelles politiques et
Travailler dans des domaines
plus petit procédures pour le travail L1
sûr.
dans les zones
sûr
Tous les éléments d'équipement
contenant des supports de tous les moyens de
stockage doivent être vérifiés pour stockage
Élimination ou s'assurer que toutes les données devraient être
A11.2.7 réutilisation sécuritaire plus petit confidentielles ou les logiciels sous licence vol protégé, contre L2
de l'équipement ont été supprimés ou écrasés en toute copie
sécurité avant d'être éliminés ou réutilisés. d'informations en et de
double
Une politique de bureau propre doit Former le personnel pour
Politique de
être adoptée pour le papier et les supports maintenir des politiques de
A11.2.9 nettoyer le bureau et plus petit
de stockage L2
bureau et d'écran propres
nettoyer l'écran amovible, et une politique de
écran propre dans les installations de
traitement de l'information.
L'utilisation des ressources doit être suivie,
La capacité de l'information
les ajustements effectués et les besoins
doit être projetée de manière
gestion de la futurs en capacité projetés pour garantir les
A12.1.3 plus petit à ne présenter aucun L2
capacité performances requises du système.
inconvénient
Les environnements de développement, de Vérifiez que les environnements
Séparation des test et d'exploitation doivent être séparés pour
environnements de réduire les risques d'accès non autorisés ou de la production tellement de
développement, de test modifications de l'environnement. de tests de comme
et d'exploitation De fonctionnement. développement est bien

définie
Des contrôles de détection, de prévention et de tout le personnel doit être
récupération, associés à une sensibilisation sensibilisé et des contrôles
Contrôles contre les appropriée des utilisateurs, doivent être mis en mis en place
codes malveillants œuvre pour se protéger contre les codes de
malveillants. détection d'intrusion et de
code malveillant
Les données système, les logiciels et les
images doivent être sauvegardés et testés les sauvegardes des
Sauvegarde des régulièrement conformément à une politique de être
informations doivent
informations de sauvegarde convenue. garanties
institutionnel
A12.4.1 Des enregistrements sur les activités des Élaborer
utilisateurs, les exceptions, les défaillances procédures de contrôle des
Registre de et les événements de sécurité des journaux d'événements dès
plus petit L1
événements informations doivent être créés, conservés et
régulièrement révisés. à la sécurité des
informations
A12.4.4 Les horloges de tous les systèmes de traitement Programmer et synchroniser
de l'information pertinents au sein d'une dans tout l'établissement les
synchronisation organisation ou d'un environnement de sécurité horloges des systèmes
plus petit L1
d'horloge doivent être synchronisées avec une source informatiques
unique de référence temporelle.
A12.6.1 Les informations sur les vulnérabilités
techniques des systèmes d'information Faire en sorte
Gestion des utilisés doivent être obtenues en temps utile ; des informations la
vulnérabilités plus petit évaluer l'exposition de l'organisation à ces opportunes sur les L1
techniques vulnérabilités et prendre vulnérabilités
techniques
mesures appropriées pour traiter le risque
associé.
Les exigences d'audit et les activités
impliquant la vérification des systèmes les lignes directrices
contrôles de
d'exploitation doivent être des processus d'audit
audits de
A12.7.1 plus petit soigneusement planifiées et convenues doivent être suivies dans L2
systèmes de
afin de minimiser les perturbations des les délais établis
informations
processus métier.
Les réseaux doivent être gérés et contrôlés
Vérifier les contrôles pour
pour protéger les informations dans les
A13.1.1 Commandes réseau plus petit protéger les informations L2
systèmes et les applications.
Les groupes de services segmenter les réseaux
Séparation dans les d'information, d'utilisateurs et de systèmes institutionnels, académiques,
réseaux d'information doivent être séparés dans les administratifs
réseaux.
Des politiques, procédures et contrôles
mettre en œuvre la
Politiques et formels de transfert d'informations doivent
des politiques et des
procédures de être en place pour protéger le transfert
procédures pour le transfert
A13.2.1 plus petit d'informations par l'utilisation de L2
de
transfert
informations dans le
d'informations toutes sortes d'installations de
communication
communication.
A13.2.2 Les accords doivent traiter Gâchette
les accords transfert sécurisé d'informations la procédure et les formats
sur commerciales entre l'organisation et les de transfert d'informations
plus petit L1
transfert parties externes. dans le
d'informations
Institution
Les informations incluses dans la former le personnel à la
messagerie électronique doivent être gestion de l'information
Service de messagerie
A13.2.3 plus petit protégées de manière adéquate. dans le L2
électronique
comptes de messagerie,
chats
Les exigences relatives à la sécurité de
appliquer les exigences de
Analyse et l'information devraient être incluses dans
sécurité aux applications
spécification des les exigences relatives aux nouveaux
existantes et appliquer les
A.14.1.1 exigences de plus petit systèmes d'information ou aux L2
exigences aux nouveaux
sécurité de améliorations apportées aux systèmes
systèmes
l'information d'information existants.
d'information
Les informations impliquées dans les services
vérifier les serveurs
d'application passant sur les réseaux publics
Sécurité des d'applications qui transitent
doivent être protégées contre les activités
services de la par les réseaux publics et
A.14.1.2 plus petit frauduleuses, les litiges contractuels et la L2
applications de réseau les protéger de toute activité
divulgation et la modification non autorisées.
public frauduleuse
Modifications des systèmes au sein
Établir des
procédures du cycle de vie du développement
procédures de contrôle des
A.14.2.2 contrôle de changement plus petit doit être contrôlée par l'utilisation de L2
modifications
dans les systèmes procédures formelles de contrôle des
dans les systèmes
modifications.
Lorsque les platesformes d'exploitation sont Établir des
examen technique de modifiées, les applications métier critiques procédures pour les
applications après doivent être examinées et testées pour modifications apportées
dans aux
modification de s'assurer qu'il n'y a pas d'impact négatif sur applications, au Web et aux
A.14.2.3 plus petit L2
la plateforme les opérations ou la sécurité de l'organisation. tests, afin d'atténuer l'impact
d'exploitation sur les opérations de
l'établissement.
A.14.2.5 Majeur Il n'existe aucun principe pour documenter et
maintenir la construction de systèmes
principe de Doit documenter les
sécurisés, et les appliquer à toute activité de
Construction de la Les principes de L0
mise en œuvre de systèmes d'information.
Systèmes sécurisés. systèmes sécurisés
L'organisation doit surveiller et suivre l'activité Les évolutions
Développement de développement des systèmes doivent être suivies
A.14.2.7 embauché plus petit L2
extérieurement contracté en externe. embauché
extérieurement
Les tests de fonctionnalité de sécurité Établir des
Test de
doivent être effectués pendant le procédures pour les tests
A.14.2.8 sécurité des plus petit L2
développement. de sécurité
systèmes
Pour les nouveaux systèmes d'information,
les mises à niveau et les nouvelles versions, Mettre en place
Test
des programmes d'essais d'acceptation et procédures de test de
A.14.2.9 d'acceptation des plus petit L2
des critères d'acceptation connexes doivent nouveaux systèmes
systèmes
être établis.
Les données de test doivent être Définir les
soigneusement sélectionnées, protégées et paramètres des services de
tester la protection
A.14.3.1 plus petit contrôlées. protection des données L2
des données
dans
essais
Les exigences de sécurité de
Politique de
l'information pour atténuer les risques
sécurité de Établir des politiques de
associés à l'accès des fournisseurs aux
A15.1.1 l'information pour plus petit sécurité pour les L2
actifs de l'organisation doivent être
les relations avec les fournisseurs
convenues avec eux et documentées.
fournisseurs
A15.1.2 Toutes les exigences pertinentes en matière
de sécurité de l'information doivent être
doit être documenté
Traitement de la établies et convenues avec chaque
les accords de
sécurité dans les fournisseur qui peut accéder, traiter,
plus petit sécurité de dans L1
accords avec les stocker, communiquer ou fournir des
l'information avec
fournisseurs composants d'infrastructure informatique
fournisseurs
pour les informations de l'organisation.
Les accords avec les fournisseurs
Incorporer dans les
Chaîne de doivent inclure des exigences relatives
accords avec les
mise à disposition aux risques de sécurité de l'information
Les
fournisseurs des exigences
A15.1.3 des technologies plus petit associés à la chaîne d'approvisionnement L2
pour faire face aux risques
de l'information et des produits et services des technologies
de
liés à l'information
de la communication de l'information et de la communication.
A15.2.1 Majeur Il n'y a pas de suivi de la prestation de services effectuer un

Suivi et examen
par les prestataires. le suivi
de
constante à Les L0
services du
services du fournisseur
fournisseur
Les changements dans la fourniture de
services par les prestataires, y compris le
maintien et l'amélioration des politiques,
les changements doivent
procédures et contrôles de sécurité de
être gérés
Gestion du changement l'information existants, doivent être gérés
services de la
A15.2.2 dans les services de plus petit en tenant compte de la criticité des L2
fournisseurs dans
Fournisseurs informations, des systèmes et des
de sécurité de l'information
processus métier impliqués, et de la
réévaluation des risques.
Vous devez définir le Socialiser Les
responsabilités et procédures de gestion procédures
pour assurer une réponse rapide, efficace responsabilités veiller
Responsabilités et et ordonnée aux incidents de sécurité de pour à ce que
procédures l'information. les réponses
en vue de
incident de
sécurité
Les événements liés à la sécurité de Des procédures doivent
Rapports sur
l'information doivent être signalés à être établies pour toute
les
A16.1.2 plus petit par les voies de gestion appropriées communication ou L2
événements de
dans les meilleurs délais. événement
sécurité de l'information
Sécurité
Évaluation Les événements de sécurité de
évaluer les événements
événements l'information doivent être évalués et une
et décider de les classer
et décisions relatifs décision doit être prise quant à leur classification
A16.1.4 plus petit comme L2
à la sécurité de tels que les incidents de sécurité de
incident de
l'information l'information.
Sécurité
elles ou ils
A16.1.5 Réponse aux Répondre aux incidents de

incidents de sécurité de l'information conformément Documenter un
plus petit L1
sécurité de à traiter
l'information procédures documentées.
Apprentissage Les connaissances acquises grâce Socialiser tout type
obtenu de à l'analyse et à la résolution des d'incident concernant la
A16.1.6 incidents de plus petit incidents de sécurité de l'information doivent sécurité de l'information L2
sécurité de être utilisées pour réduire la possibilité ou
l'information l'impact d'incidents futurs. une fois qu'ils sont résolus
L'organisation doit déterminer ses
exigences en matière de sécurité de déterminer les exigences
Planification de la
l'information et de continuité de la gestion de de sécurité et de continuité
continuité de la
A17.1.1 plus petit la sécurité de l'information dans des situations de l'information face aux L2
sécurité de
défavorables, par exemple lors d'une crise
l'information
ou d'une catastrophe. situations défavorables
A17.1.2 L'organisation doit établir, documenter,
mettre en œuvre et maintenir des
Mise en œuvre de la
processus, des procédures et des contrôles des processus à jour
continuité de la sécurité
plus petit pour assurer le niveau de continuité requis doivent être mis en œuvre L1
de l'information
pour la sécurité de l'information lors d'une et maintenus
situation défavorable.
A17.1.3 L'organisation doit vérifier à intervalles
Vérification, mettre en place dans
réguliers les contrôles de continuité de la
révision et l'établissement des
sécurité de l'information établis et mis en
évaluation des contrôles pour vérifier et
plus petit œuvre, afin de s'assurer qu'ils sont valides L1
continuité de la revoir la continuité de
et efficaces lors de situations défavorables.
sécurité des la sécurité des
informations informations
Les installations de établir des
Le traitement de l'information doit être mis procédures de rapport
Disponibilité des
en œuvre avec une redondance suffisante pour mettre en œuvre
installations de
A17.2.1 plus petit pour répondre aux exigences de disponibilité. une redondance L2
traitement de
suffisante pour la
l'information
disponibilité
Des procédures appropriées
doivent être en place pour assurer le Mettre en œuvre
respect des exigences législatives, des procédures
Droits de
réglementaires et contractuelles liées appropriées pour
A18.1.2 propriété plus petit L2
aux droits d'auteur. assurer la
intellectuelle (DPI)
conformité aux exigences
la propriété intellectuelle et l'utilisation législatives
de produits logiciels propriétaires.
Les dossiers doivent être protégés Mettre en place
contre la perte, la destruction, la procédures pour protéger
falsification, l'accès non autorisé et la les documents contre la
Protection des
A18.1.3 plus petit diffusion non autorisée, conformément aux perte, la destruction ou L2
enregistrements
exigences législatives, réglementaires,
contractuelles et commerciales. contrefaçon de
informations
La confidentialité et la protection des
Confidentialité
informations personnelles doivent être Assurer la confidentialité et
et protection des
A18.1.4 plus petit assurées, comme l'exigent la législation et la la protection des L2
données
réglementation applicables, le cas échéant. informations
Informations personnelles
A18.1.5 des contrôles doivent être utilisés réglementer les

cryptographique, conformément à tous les contrôles
Réglementation des
accords, lois et réglementations applicables. cryptographiques
contrôles plus petit L1
conformément à
cryptographiques.
la législation et aux accords
pertinents
L'approche de l'organisation en matière de
gestion de la sécurité de l'information et sa Vérifier
mise en œuvre (c'estàdire les objectifs de indépendamment de la
Examen contrôle, les contrôles, les politiques, les sécurité de l'information
indépendant de la processus et les procédures de sécurité de dans tous
sécurité de l'information l'information) doivent être revues de manière les procédures
indépendante à des intervalles planifiés ou objectives, les politiques
lorsque des changements importants se de contrôle, les processus
produisent. et les procédures
Les systèmes d'information sont Se conformer aux
devrait examiner périodiquement pour examens périodiques
examen de la
déterminer la conformité aux politiques et pour déterminer la
A18.2.3 conformité plus petit L2
aux normes de sécurité de l'information. conformité aux politiques
technique
et aux normes de sécurité
6.6 Remarques concernant ISO/CEI 27002:2013
Concernant le reste des contrôles ayant obtenu un niveau égal ou supérieur à L3 dans l'analyse, une série
d'observations est présentée cidessous que l'institution doit prendre en compte afin de poursuivre
l'amélioration constante en termes de sécurité de l'information.
GENRE DE OCCASION MM
IDENTIFIANT Contrôler DÉTAIL
NC D POUR L'AMÉLIORATION C
Sécurité des La sécurité de l'information doit être
la sécurité doit être
informations abordée dans la gestion de projet,
A6.1.5 Observation maintenue dans L3
en gestion de quel que soit le type de projet.
chacun des projets
projet.
Une politique et des mesures de sécurité
Maintenir des politiques
d'accompagnement doivent être mises en
de sécurité actives pour
place pour protéger les informations
protéger les informations
A6.2.2 Télétravail Observation consultées, traitées ou stockées dans les L3
dans tous
lieux où s'effectue le télétravail.
lieux de télétravail
Les vérifications des antécédents de tous
les candidats à un emploi doivent être
Garde les
effectuées conformément aux lois,
contrôles de
réglementations et règles d'éthique
sécurité à
A7.1.1 Sélection Observation applicables et doivent être proportionnées L3
l'embauche
aux exigences de l'entreprise, à la
nouveau, vérification
classification des informations auxquelles
des antécédents
accéder et aux risques perçus.
Les accords contractuels avec les Mettre l'accent sur les accords
employés et les soustraitants contractuel avec
Termes et doivent établir leurs responsabilités et chaque employé du

A7.1.2 conditions Observation celles de l'organisation en matière de combien un L3
D'emploi sécurité de l'information. responsabilité des
informations
institution
La direction doit exiger que tous les Le Rectorat doit
employés et soustraitants appliquent la promouvoir par le
Responsabilité sécurité de l'information conformément différents médias le
A7.2.1 des de la Observation aux politiques et procédures établies par l'importance de la L3
adresse l'organisation. sécurité de l'information
pour
l'ensemble
communauté
Tous les employés de
l'organisation et, le cas échéant, La formation doit continuer
les soustraitants, doivent recevoir une à être encouragée pour
Sensibilisation,
sensibilisation et une formation appropriées, sensibiliser
éducation et
A7.2.2 Observation ainsi que des mises à jour régulières sur les L3
formation en
politiques et procédures de l'organisation l'importance de la sécurité
sécurité des
concernant leur dans l'établissement
informations.
cargaison.
Il doit y avoir un processus formel, sociale pour tout le monde
qui doit être communiqué, pour prendre des du personnel, le règlement
mesures contre les employés qui ont intérieur du travail et les
Traiter
A7.2.3 Observation commis une violation de la sécurité de différentes sanctions et L3
disciplinaire
l'information. procédures disciplinaires
établies
Les responsabilités et les devoirs en Améliorer la
matière de sécurité de l'information qui les communications avec
résiliation ou
restent valables après la cessation ou le les employés
changement de
A7.3.1 Observation changement d'emploi doivent être définis, un L3
responsabilité
communiqués à l'employé ou au soustraitant résiliation ou modification
de l'emploi
et appliqués. des responsabilités
professionnelles
Les actifs détenus dans le Vous devez associer un
Propriété des
A8.1.2 Observation l'inventaire doit avoir un responsable de chaque L3
actifs
propriétaire. actif de l'institution
Des règles doivent être identifiées,
documentées et mises en œuvre pour Socialiser les règles,
Utilisation l'utilisation acceptable des informations et consignes associées aux
A8.1.3 Observation L3
acceptable des actifs des actifs associés aux informations et informations, applications,
installations de traitement de l'information. actifs
Tous les employés et utilisateurs de Générer la paix et la
parties externes doivent restituer tous les sécurité à tout le personnel
actifs de l'organisation qui sont à leur charge, pour restituer les actifs,
retour de à la fin de leur emploi, contrat ou accord. les utilisateurs, let
es
tous
unités
les
actif actifs
ce
appartenir à
l'établissement
Un ensemble approprié de procédures pour
l'étiquetage des informations doit être
vérifier la labellisation des
développé et mis en œuvre, conformément
Étiquetage des actifs et mettre à jour
A8.2.2 Observation au schéma de classification des informations L3
informations 100% des
des atouts
Des procédures de gestion des actifs doivent Socialiser les procédures
être élaborées et mises en œuvre, de gestion des actifs à
la gestion
A8.2.3 Observation conformément au schéma de classification chacun des L3
d'actifs
des informations
adoptée par l'organisation. le responsable
Les supports doivent être éliminés en toute mettre à jour les formats
Disposition des sécurité lorsqu'ils ne sont plus nécessaires, et les procédures de
médias en utilisant des procédures formelles. gestion des médias
Les utilisateurs ne doivent être autorisés à ce contrôle a été mis en
Accès aux réseaux
Possibilité accéder qu'au réseau et aux services place mais peut être
A9.1.2 déjà des services L4
d'amélioration réseau pour lesquels ils ont été amélioré avec une procédure
réseau
Un processus formel d'enregistrement et
Inscription Vérifiez le processus
de désenregistrement des utilisateurs doit
et désinscription pour inscription ou
A9.2.1 Observation être mis en œuvre pour permettre L3
des utilisateurs annulation
l'attribution des droits d'accès.
utilisateurs
Un processus formel de fourniture d'accès Mettre à jour
utilisateur doit être en place pour attribuer la procédure de fourniture
fourniture de
ou révoquer les droits d'accès pour tous les de tous
A9.2.2 l'accès de Observation L3
types d'utilisateurs pour tous les systèmes et les usagers de
utilisateurs
services. l'établissement au personnel
Nouveau
gestion des L'attribution et l'utilisation des droits
Vérifier et mettre à jour
droits d'accès privilégiés doivent être
A9.2.3 Observation les contrôles d'accès L3
allumé restreintes et contrôlées
privilégiés
privilégié
Gestion de L'attribution d'informations Cette procédure est
informations de d'authentification secrètes doit être
effectuée mais le délai de
Chance contrôle par le biais d'un processus de gestion
A9.2.4 authentification livraison des utilisateurs L4
amélioration formel.
secrète de doit être amélioré.
utilisateurs
Examen de la Les propriétaires d'actifs doivent revoir les
Vous devez vérifier le
droits de droits d'accès des utilisateurs à intervalles
A9.2.5 Observation Accès utilisateur L3
l'accès de réguliers.
fréquemment
utilisateurs
Les droits d'accès de tous les employés et
utilisateurs externes à l'information et aux
Suppression ou Cette procédure est
installations de traitement de l'information
ajustement de Chance effectuée, mais elle doit
A9.2.6 doivent être retirés à la fin de leur emploi, L4
droits de amélioration être effectuée dans un
contrat ou accord, ou ajustés lorsque des
allumé délai plus court
modifications sont apportées.
limitation de L'accès à l'information et aux fonctions
Chance Il est envisagé de revoir
A9.4.1 accès au des systèmes du L4
amélioration souvent le
informations les applications doivent être interdites
conformément à la politique de contrôle de politique de contrôle
allumé. allumé
Lorsque la politique de contrôle d'accès il a ceci
Traiter l'exige, l'accès aux systèmes et aux procédure, améliore
Chance
A9.4.2 De revenu applications doit être contrôlé via un l'accès pour les L4
amélioration
sûr processus de connexion sécurisé. visiteurs
Contrôle de L'accès aux codes sources des il est proposé

accès à Chance programmes devrait être limité. de documenter toutes les
A9.4.5 L4
codes sources du amélioration procédures aux codes
programme de sécurité
Les zones sécurisées doivent être Vérifier l'accès aux zones
protégées par des contrôles d'accès sécurisées, restreindre
contrôles de
A11.1.2 Observation appropriés pour s'assurer que seul le personnel et délimiter l'accès pour le L3
accès physique
autorisé est autorisé à y accéder. personnel autorisé
Les points d'accès tels que les zones
d'expédition et de chargement et les
autres points où des personnes non Contrôler les zones
Zones de
autorisées peuvent pénétrer doivent être chargement et
A11.1.6 chargement, Observation L3
contrôlés et, si possible, isolés des expédition dans
d'expédition et d'accès public
installations de traitement de l'information afin l'établissement et accès public
d'empêcher tout accès non autorisé.
L'équipement doit être situé et protégé de Il est suggéré que tous les
manière à réduire les risques de menaces équipements soient vérifiés
et de dangers provenant de l'environnement, et que des mesures de
Emplacement
ainsi que les possibilités d'accès non protection soient prises
A11.2.1 et protection des Observation L3
autorisé. contre les menaces, les
équipements
risques environnementaux
et l'accès
Pas autorisé
L'équipement doit être protégé contre les Vérifiez l'état de
pannes de courant et autres interruptions l'onduleur, les installations
Prestations de
A11.2.2 Observation causées par des pannes de courant. et la protection contre les L3
la fourniture
pannes d'alimentation
Électrique
Le câblage d'alimentation électrique et de Comme opportunité
télécommunications qui transporte des d'amélioration, il est
données ou prend en charge des services proposé de faire l'entretien,
Sécurité du Chance
A11.2.3 d'information doit être protégé contre les de vérifier tout le câblage L5
câblage. amélioration
interceptions, les interférences ou les dommages.
pour éviter de futures
interférences
ou des dommages
L'équipement doit être correctement avec propose

entretenu pour assurer sa disponibilité de documenter tous
Entretien et son intégrité continues. maintenance de
Chance
A11.2.4 ou de la l'équipement, pour suivre et L4
amélioration
équipement. détecter la durée de vie
utile de l'équipement
Aucun équipement, information ou logiciel ne améliore le processus
retrait de Possibilité
A11.2.5 doit être retiré de votre site sans autorisation d'enregistrement et de L4
actif d'amélioration
préalable départ
Des mesures de sécurité doivent
Sécurité des
être appliquées aux actifs situés à les informations doivent
équipements et
l'extérieur des installations de l'organisation, rester sécurisées
A11.2.6 des actifs à l'extérieur Observation L3
en tenant compte des différents risques liés au des équipes à l'extérieur
des
travail à l'extérieur de ces installations. sur les lieux
installations
Les utilisateurs doivent s'assurer que doit être conservé
équipement l'équipement sans surveillance bénéficie d'une un équipement sûr qui ne
A11.2.8 utilisateur Observation protection appropriée. fonctionne pas tout le temps L3
ignoré dans
Les modes opératoires doivent être Socialiser les modes
Traiter documentés et mis à la disposition de tous opératoires dans le système
A12.1.1 s d'opération Observation les utilisateurs qui en ont besoin. de management de la qualité L3
documentée
Changements dans le garder tous les
l'organisation, les processus contrôles dans le
Gestion de commerciaux, les installations et les systèmes changements un
changements de traitement de l'information qui affectent la procédures affectant les
sécurité de l'information. systèmes
d'information
Les installations et les informations les installations et les
Protection de d'enregistrement doivent être protégées informations doivent être
A12.4.2 l'information Observation contre la falsification et l'accès non autorisé. protégées en vue de L3
du registre toute altération et accès
non autorisé
Les activités de l'administrateur et de doit garder un
l'opérateur du système doivent être registre de l'administrateur
Journaux
enregistrées, et les enregistrements doivent et de l'opérateur des
A12.4.3 administrateur et Observation L3
être protégés et régulièrement révisés. systèmes
opérateur
informations
Installation de Des procédures doivent être Doit être réglé

logiciel et en place pour contrôler l'installation de dans les procédures les
A12.5.1 Observation logiciels sur les systèmes L3
systèmes contrôles Oui
opératoire opérationnel. restrictions pour
installation de
systèmes d'exploitation
Des règles d'installation du logiciel par les Socialiser les règles au
Restrictions sur
utilisateurs doivent être établies et mises en personnel concernant
A12.6.2 Observation œuvre. l'installation
logiciel
de tout type de L3
installation de
Logiciel
Les mécanismes doivent être identifiés
normes de sécurité, niveaux de service et
les clauses doivent être
exigences de gestion pour tous les services
Sécurité des vérifiées auprès de
réseau, et les inclure dans les accords de
A13.1.2 services Observation prestataires externes L3
service réseau, que les services soient fournis
réseau concernant
en interne ou
service réseau
embaucher à l'extérieur.
Les exigences relatives aux accords
les accords de confidentialité ou de nondivulgation Tous les accords de
de qui reflètent les besoins de l'organisation confidentialité
A13.2.4 confidentiel Observation en matière de protection des informations et la divulgation doit être L3
de pas doivent être identifiées, régulièrement revues identifiée, examinée et
divulgation et documentées. documentée
Les informations impliquées dans
protection opérations de service de la
de Les applications doivent être protégées
Les transactions doivent
transactions pour empêcher la transmission incomplète,
être protégées
A.14.1.3 des Observation le mauvais acheminement, la modification non L3
prestations de service Oui
prestations de autorisée des messages, la divulgation non
Applications
la autorisée et la duplication ou la relecture non
Applications. autorisées des messages.
Des règles pour le développement de Vérifier les politiques
Politique de
logiciels et de systèmes doivent être développement dans le
A.14.2.1 développement Observation L3
établies et appliquées aux développements systèmes de la
sûr
au sein de l'organisation. Institution
Les modifications des
avoir une poignée
restrictions progiciels doivent être découragées,
dans Les
dans les changements limitées aux changements nécessaires, et
A.14.2.4 Observation changements stricts dans L3
aux progiciels tous les changements doivent être contrôlés
mises à jour de
Logiciel
strictement.
Les organisations doivent établir
et protéger adéquatement les
environnements de vérifier et protéger
environnement de
développement sécurisé pour les l'environnement de
A.14.2.6 développement Observation L3
activités de développement et développement sécurisé, qui
sûr
d'intégration de systèmes qui Il est
englobent l'ensemble du cycle de vie du
développement de systèmes.
Tous les employés et soustraitants qui Communiquer
utilisent les systèmes et services d'information fréquemment le
Rapport sur de l'organisation doivent être tenus d'observer Contacts pour
les faiblesses de et de signaler toute faiblesse observée ou signaler n'importe qui
la sécurité de suspectée en matière de sécurité de les nouvelles qui surviennent
l'information l'information dans les systèmes ou services. en termes de sécurité de
l'information
L'organisme doit définir et appliquer des
Les procédures de collecte
procédures d'identification, de collecte,
collection de des données doivent être
A16.1.7 Observation d'acquisition et de conservation des L3
preuve définies.
informations pouvant servir de preuve.
preuve
Toutes les exigences légales,
réglementaires et contractuelles
Les règlements, les
IDENTIFIANT pertinentes, ainsi que l'approche de
lois doivent être
de l'organisation pour y répondre, doivent
A18.1.1 Observation mise à jour pour chaque L3
législation être explicitement identifiées,
système et pour l'organisation
applicable. documentées et tenues à jour pour
chaque système d'information et pour
l'organisation.
Les directeurs devraient revoir tous les réalisateurs
régulièrement la conformité du ils doivent connaître la
Conformité avec
traitement de l'information dans son procédures d'information
domaine de responsabilité, avec les politiques dans L3
A18.2.2 politiques Observation
et normes de sécurité appropriées, et toute Région de
et normes
autre exigence de sécurité. exigences en matière de
Sécurité
responsabilité et de sécurité
6.7 Présentation des résultats
Cette section présentera les résultats obtenus à partir de l'audit de la Fondation
Universidad San Mateo, en tenant compte de la norme ISO/IEC 27001:2013
Cidessous le niveau de maturité acquis lors de la mise en œuvre par rapport au
ÉCART initial
Tableau 26 Pourcentages requis par la norme ISO 27001:2013
Objet Aspects requis du SMSI initial Final

20% 80%
4 Contexte de l'organisation
40% 100%
5 Direction
6 Politique 0% 50%
50% 75%
7 Assistance
0% 45%
8 Fonctionnement
0% 50%
9 Évaluation des performances
0% 50%
10 Mise à niveau
Moyenne totale 16% 64%
Les résultats du diagnostic montrent que le niveau moyen de conformité au SMSI basé sur
aux exigences minimales de la norme ISO/IEC 27001:2013 (chiffres 4 à 10) est de 64 %, ce qui
qui est partiellement remplie.
Illustration 18 Degré de maturité MMC
MATURITÉ DES CONTRÔLES ISO
1% 3%
sept%
12%
35%
42%
Inexistant Initiale / Adhoc Reproductible, mais intuitif

Processus défini Géré et mesurable optimisé
Dans l'illustration cidessus, le niveau de maturité de la Fondation universitaire de San Mateo peut être vu, dans lequel
il est identifié qu'un travail important doit être fait dans certains des contrôles.
Le tableau suivant montre le pourcentage de maturité des domaines ISO/IEC 27002:2013
Pour plus d'illustration, nous pouvons voir l' évaluation de la maturité du document en annexe concernant le
contrôles définis dans la norme ISO 27002
Tableau 27 Pourcentage de maturité des domaines ISO 27002
Domaine % Efficacité
5 POLITIQUES DE SÉCURITÉ DES INFORMATIONS 50%
6 ORGANISATION DE LA SÉCURITÉ DE L'INFORMATION 50%
7 SÉCURITÉ DES RESSOURCES HUMAINES 90%
8 GESTION DES ACTIFS 73%
9 CONTRÔLE D'ACCÈS 71%
10 CRYPTOGRAPHIE 5%
11 SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE 70%
12 SÉCURITÉ DES OPÉRATIONS 57%
14 ACQUISITION, DEVELOPPEMENT ET MAINTENANCE DES SYSTEMES 57%
15 RELATION AVEC LES FOURNISSEURS 31%
16 GESTION DES INCIDENTS DE SÉCURITÉ DE L'INFORMATION 0%
17 ASPECTS DE SÉCURITÉ DE L'INFORMATION DE LA GESTION DE LA CONTINUITÉ DES ACTIVITÉS 37%
Comme on peut le voir, il y a plusieurs domaines qui ont une large marge d'amélioration, et il convient
travailler avec les domaines prioritaires 10 et 16.
Une vue plus détaillée est présentée sous la forme d'un "diagramme radar" qui montrerait le niveau de
conformité de chacun des domaines de la norme ISO/IEC 2700:2013, nous pouvons identifier l'état actuel par
rapport à l'état souhaité.
Illustration 19 Pourcentage de maturité mesuré dans l'audit
5 POLITIQUES DE
SÉCURITÉ DU… 1
6 ORGANISATION DE LA 18 SÉCURITÉ DES
SÉCURITÉ DES… 0,8 0,6 0,4 COMMUNICATIONS 17
7 SÉCURITÉ DES 0,2 0 ASPECTS DE SÉCURITÉ
RESSOURCES HUMAINES DU…
8 GESTION DES 16 GESTION DES
ACTIF INCIDENTS DE…
9 CONTRÔLE DE 15 RELATION AVEC
ACCÉDER FOURNISSEURS
14 ACQUISITION,
10 CRYPTOGRAPHIE
DEVELOPPEMENT ET…
11 SÉCURITÉ PHYSIQUE 13 SÉCURITÉ DES
ET L'ENVIRONNEMENT COMMUNICATIONS
12 SÉCURITÉ DES
OPÉRATIONS
Statut actuel
État souhaité
En tenant compte de l'illustration cidessus, nous pouvons voir que la plupart des domaines doivent être
vérifier, travailler à l'amélioration de la maturité de la sécurité de l'information dans l'établissement
6.8 Résultats
Illustration 20 Pourcentage de conformité à la norme ISO 27001
Exigences de niveau de maturité de la norme
ISO/IEC 27001:2013
120%
100%
80%
60%
40%
20%
0%
Le contexte Évaluation
de de
Direction politique Opération de soutien S'améliore
Organisme performance
du O
20 % initiaux 40% 0% 50% 0% 0% 0%

Final 80% 100% 50% 75% 45% 50% 50%
Une fois cette phase terminée, il y aura une vision de conformité avec les différents domaines de
ISO/IEC 27002:2013 – et nonconformité
Illustration 21 Pourcentage de conformité à la norme ISO 27002.
% conformité
43%
approuvé
57% Non approuvé
, ainsi que la synthèse de l'impact de l'exécution des projets dans l'état de
Dans l'illustration précédente, nous pouvons identifier que 57 % des contrôles ne sont pas respectés
par rapport à la norme ISO/IEC 27002 : 2013. Ces contrôles sont % efficaces en dessous de 50 %,
et 43 % sont entre 90 % et 100 % d'efficacité dans les contrôles.
PHASE 6 7. Présentation des résultats et remise des rapports
7.1 Présentation
Cette section compile les informations pertinentes du plan directeur de sécurité de la Fondation universitaire
de San Mateo.
7.2 Objectifs
L'objectif générique de cette phase est la génération de la documentation, qui doit inclure au moins les
aspects suivants
• Résumé exécutif : brève description qui comprend la motivation, l'approche du projet et les principales
conclusions tirées.
• Rapport descriptif : où un détail du processus sera inclus, comprenant au moins la description de
l'entreprise à l'étude, l'analyse des risques effectuée, le niveau de conformité actuel de l'entreprise,
un plan d'action pour améliorer la sécurité, la quantification de l'amélioration que le plan impliquera
et les aspects organisationnels qui doivent être abordés pour rendre le plan viable.
• Une présentation à la direction proposée d'une durée d'1 heure dans laquelle sont présentés les
principaux résultats de l'étude, le plan d'action et les aspects organisationnels pertinents.
7.3 Livrables
La documentation fournie dans cette section est la suivante :
• Résumé exécutif avec les principales conclusions du schéma directeur
• Présentation power point avec un résumé des différentes phases du Schéma Directeur de Sécurité
• Rapports de projet, annexes
• Résultats de l'analyse des risques
• Niveau de conformité ISO basé sur l'analyse des 114 contrôles proposés
par la norme.
• Projets proposés à la direction, détaillant leur coût économique, leur planification temporelle et leur
impact sur la conformité réglementaire ISO/IEC 27002:2013 dans les différents domaines.
• Vidéo de la soutenance du Schéma Directeur de Sécurité
8. Conclusion
8.1 Présentation
Après avoir mené à bien toutes les phases précédentes, on peut conclure que les objectifs proposés au début de ce
projet ont été atteints, c'estàdire que la sécurité de l'information de la Fondation universitaire San Mateo s'améliore
grâce à la mise en place d'un plan de sécurité.
8.2 Objectifs spécifiques
• L'état initial de la sécurité de l'information de la Fondation universitaire de San Mateo a été établi, ainsi que la
réalisation des objectifs après la mise en œuvre du SMSI.
• Le schéma documentaire nécessaire à la mise en conformité a été défini et développé.
norme ISO/CEI 27001:2013
• Une analyse des risques de l'institution a été effectuée, à partir de laquelle la liste de tous les actifs a été obtenue,
les menaces possibles auxquelles l'institution est exposée, ainsi que l'impact et le risque de tous les actifs
pour vérifier la priorité en termes d'information Sécurité.
• Une série de projets ont été mis en œuvre afin d'atténuer les risques obtenus dans l'analyse des risques effectuée
à la Fondation universitaire de San Mateo.
• Le niveau de maturité de la sécurité de l'information a été évalué par rapport à la norme
ISO/CEI 27002:2013
• Il a été possible de réduire le risque des actifs de l'organisation
8.3 Recommandations
• Les améliorations proposées dans la phase d'audit de conformité doivent être mises en œuvre.
• Une fois les projets exécutés, des efforts doivent être faits pour obtenir la certification ISO/CEI.
27001:2013.
• Nous devons continuer à travailler sur les recommandations et apporter des révisions constantes aux systèmes
d'information les plus faibles.
• Des audits plus fréquents devraient être effectués pour détecter les faiblesses et apporter des améliorations dans
temps courts.
8. Termes et définitions
• Analyse des risques : Processus systématique pour estimer l'ampleur des risques auxquels
l'organisation est exposée
• Actifs informationnels : informations et ressources associées, qui ont une valeur pour
organisme
• Menace : cause potentielle d'un incident indésirable, qui peut causer des dommages à un système
ou à l'organisation.
• Applications : C'est l'ensemble des logiciels qui servent à la gestion de l'information
• Action corrective : Action entreprise pour éliminer la cause d'une nonconformité détectée ou d'une
autre situation indésirable afin d'éviter qu'elle ne se reproduise.
Action préventive : action entreprise pour éliminer la cause d'une nonconformité potentielle.
ou toute autre situation potentiellement indésirable, pour l'empêcher de se produire.
•
• Auditeur : Personne chargée de vérifier, de manière indépendante, la qualité et l'intégrité
du travail qui a été fait dans un domaine particulier.
• Audit : processus planifié et systématique dans lequel un auditeur obtient des preuves objectives
qui lui permettent d'émettre un jugement éclairé sur l'état et l'efficacité du SMSI d'une organisation.
• Confidentialité : Propriété qui détermine que les informations ne sont pas disponibles ou divulguées
à des personnes, entités ou processus non autorisés.
• Contrôle : politiques, procédures, pratiques et structures organisationnelles conçues pour maintenir
les risques de sécurité de l'information en dessous du niveau de risque assumé.
• Correction : Action entreprise pour éliminer une nonconformité.
• Données : ce sont tous ces éléments d'information de base (dans n'importe quel format) qui
générés, collectés, gérés, transmis et détruits
• Disponibilité : Propriété que l'information est accessible et utilisable sur demande.
une entité autorisée.
• Efficacité : capacité à disposer de quelqu'un ou de quelque chose pour obtenir un certain effet
• Efficacité : capacité à obtenir l'effet souhaité ou attendu
• Gestion des risques : processus d'identification, de contrôle et de minimisation ou d'élimination, à un
coût acceptable, des risques qui affectent l'information de l'organisation. Il comprend l'évaluation
des risques et le traitement des risques.
• Incident de sécurité de l'information : Un événement ou une série d'événements indésirables ou
inattendus liés à la sécurité de l'information qui ont une probabilité significative de compromettre
les opérations commerciales et de menacer la sécurité de l'information.
• Impact : C'est l'évaluation de l'effet ou de la conséquence de la matérialisation du risque.
Généralement, l'implication du risque se mesure en image économique, juridique
de l'entreprise, diminution de la capacité de réponse et de la compétitivité, interruption des
opérations, entre autres.
• Intégrité : Propriété de sauvegarder l'exactitude et l'exhaustivité des actifs.
• Nonconformité : nonrespect d'une exigence. Il peut s'agir d'une nonconformité des services, des
processus ou du système de gestion de la sécurité de l'information.
• Personnel: C'est tout le personnel soustraité par la Fondation Universitaire San Mateo,
Administratifs, Enseignants, Etudiants et clients, utilisateurs et en général et tous ceux qui ont
accès d'une manière ou d'une autre aux actifs informationnels
• Risque : Estimation du degré d'exposition à une menace se matérialisant sur un ou plusieurs actifs
causant des dommages ou des préjudices à l'Organisation.
• Services : Il s'agit à la fois des services internes, ceux qu'une partie de l'Institution fournit à une
autre, et des services externes, ceux que l'Institution fournit aux clients et aux utilisateurs.
• ISMS : Système de gestion de la sécurité de l'information, partie du système de gestion global,
basé sur une approche des risques globaux d'une entreprise, dont le but est d'établir, de mettre
en œuvre, d'exploiter, de surveiller, de réviser, de maintenir et d'améliorer la sécurité de
l'information. informations.
9. Pièces jointes
Annexe A Autodiagnostic
Annexe B Politiques de sécurité de l'information
Annexe C Procédure d'audit interne
Annexe D Gestion des indicateurs
Annexe E Procédure de revue de direction
Annexe F Rôles et responsabilités de la direction
Annexe G Méthodologie d'analyse des risques
Annexe H Déclaration d'applicabilité
Annexe I Évaluation de la maturité concernant les contrôles définis dans la norme ISO 27002
ANNEXE J Déclaration d'applicabilité San Mateo
ANNEXE K Résumé de l'analyse du niveau de risque
ANNEXE L Rapport d'audit interne
ANNEXE M Inventaire de San Mateo
Annexe N Résultat de l'évaluation de la maturité
Annexe Ñ Résultat de l'évaluation de la maturité2
Bibliographie
Cycle PDCA (Planifier, Faire, Vérifier et Agir) : Le cercle de Deming de l'amélioration continue | PDCA
Maison. (sd). Extrait le 28 avril 2018 de https://www.pdcahome.com/5202/ciclopdca/
Directeur de la sécurité d'Icaro Luis Rodriguez Count Page, PS, Luis Rodriguez Count Adresse
Antonio Jose Segovia Henares, A., & Rodriguez Count Page, L. (2700). Fin des travaux
Master (MISTIC) Master interuniversitaire en sécurité des technologies de l'information
Oui
la Communication (MYSTIQUE). Récupéré de
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/64545/1/liziyoTFM0617Resumen
ExecutiveMemory.pdf
Documentation requise par la norme ISO 27001. (nd). Extrait le 6 juin 2018 de https://www.pmg
ssi.com/2016/05/documentacionrequeridaporlaiso27001/
famille iso 27001 Buscar avec Google. (sd). Extrait le 6 juin 2018 de
https://www.google.com.co/search?ei=a8AXW_25CMyfzwKGiLXYBw&q=famila+iso+2700
1&oq=famila+iso+27001&gs_l=psy
ab.3...773.2126.0.2438.6.6.0.0.0.0.0.0..0.0....0...1c.1.64.psyab..6.0.0....0.jAJBOCiEyo4
Fondation San Mateo. (2018). Fondation San Mateo. Extrait de http://www.sanmateo.edu.co/
FONDATION SAINT MATTHIEU. (2014). Extrait de www.sanmateo.edu.co
ISO. (2016). ISO Organisation internationale de normalisation. Extrait le 28 avril 2018 de
https://www.iso.org/home.html
ISO 27001 : La mise en place d'un Système de Management de la Sécurité de l'Information. (sd).
Extrait le 28 avril 2018 de https://www.pmgssi.com/2015/01/iso27001laimplementationofainformation
securitymanagementsystem/
Larrahondo Nuñez, A., & Alexander Larrahondo Page, TN (nd). Master interuniversitaire en sécurité des TIC (MISTIC)
Projet de fin de master Plan directeur de sécurité pour le
Informations. Récupéré de
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/23383/6/alarrahondoTFM0613memori
un.pdf
Marco, I., & Poblano, AP (nd). ISO/CEI 27001 Management de la sécurité de l'information.
Récupéré de
http://www.ema.org.mx/sectorsalud/descargas/dia2/Aplicaciones_informaticas_para_la_consu
lta.pdf
Norme ISO 27002 : Le domaine de la politique de sécurité. (sda). Extrait le 6 juin 2018 de
https://www.pmgssi.com/2017/08/normaiso27002politicaseguridad/
Norme ISO 27002 : Le domaine de la politique de sécurité. (ndb). Extrait le 25 mars 2018 de
https://www.pmgssi.com/2017/08/normaiso27002politicaseguridad/
Oberta De Catalunya Auteur, U., & Rojas Valduciel, H. (2014). Université ouverte de Catalogne.
Récupéré de
http://openaccess.uoc.edu/webapps/o2/bitstream/10609/40297/1/hrojasvTFM1214.pdf
organigramme.png (2846×1722). (sd). Récupéré Juin 6, 2018, de
http://www.sanmateo.edu.co/img/organigrama.png
PC. (2017). Politiques de sécurité des informations. récupéré de
http://jacevedo.imprenta.gov.co/documents/10280/2763839/E4++GSIDC1+
+Politicas+Securidad+Informacion++V.4++20170421.pdf/29c4e197dbf24ba39bef
c944e2ee91d8
• POLITIQUE DE SÉCURITÉ DES INFORMATIONS. (sd). récupéré de
https://www.invima.gov.co/images/stories/formatotramite/GDIDIEPL010version2.pdf
Saint Matthieu. (sd). San Mateo/ Enseignement supérieur. Extrait le 17 mai 2018 de
http://sanmateo.edu.co/sanmateo.html
TFM_SGSI_CASTPEC1.).

Plan Pour La Mise en Œuvre de L'Iso/Cei 27001:2013, Dans Le Fondation Universitaire San Mateo

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Plan Pour La Mise en Œuvre de L'Iso/Cei 27001:2013, Dans Le Fondation Universitaire San Mateo

Transféré par

Droits d'auteur :

Formats disponibles

Machine Translated by Google

ÉTAPES ACTIVITÉS JUSTIFICATION TEMPS DÉTERMINÉ

PHASE 1 Définir la politique L'établissement doit définir Dans la phase 1 (Planification), quelle

(PLANIFIER) de sécurité stratégies visant à établir cherche vraiment, c'est que le

ÉTAPES ACTIVITÉS JUSTIFICATION TEMPS DÉTERMINÉ

organisme structure organisationnelle, où réalisées avec des tiers pour

définir Les L'entreprise doit définir les

objectifs de objectifs de Sécurité

identité Les Identifiez les points.

organisme, cette devoir

ÉTAPES ACTIVITÉS JUSTIFICATION TEMPS DÉTERMINÉ

PHASE 2 mettre en œuvre une Une fois tous les La deuxième phase est composée

(FAIS) plan de gestion activités de la phase précédente pour deux très

des risques l'organisation doit mettre en œuvre importante basée sur

ÉTAPES ACTIVITÉS JUSTIFICATION TEMPS DÉTERMINÉ

l'organisation connaît et est à la procédures prévu,

sélectionner et Dans cette activité, la société processus est

mettre en place joue un rôle fondamental car devient l'un des plus

indicateurs pour que le système vive et longueurs du SMSI et dans lequel les

PHASE 3 Développer L'établissement doit La phase de vérification permet au

(CHÈQUE) procédures suivi périodique afin Le SMSI est tenu à jour et

objectifs de Sécurité objectifs et portée, cette phase

ÉTAPES ACTIVITÉS JUSTIFICATION TEMPS DÉTERMINÉ

ÉTAPES ACTIVITÉS JUSTIFICATION TEMPS DÉTERMINÉ

PHASE 4 Mettre en place Dans cette phase, l'organisation doit s'assurer qu'elle maintient et améliore ses

(LOI) améliorations, SMSI, conservant des enregistrements lisibles, identifiables et

correctif Oui la conservation de cet ensemble de preuves permettra à l'organisation

Planification PRESBYTÈRE Communication et

vice­président de Vice­président Le bien­être gestion de La gestion

Gestion des services Gestion de la commercialisation et Technologie et gestion de

A.5 POLITIQUES DE SÉCURITÉ DES INFORMATIONS 70 100 GÉRÉ

A.7 SÉCURITÉ DES RESSOURCES HUMAINES 40 100 RÉPÉTABLE

A.8 GESTION DES ACTIFS 70 100 GÉRÉ

A.9 CONTRÔLE D'ACCÈS 70 100 GÉRÉ

A.10 CRYPTAGE 30 100 RÉPÉTABLE

A.11 SÉCURITÉ PHYSIQUE ET ENVIRONNEMENTALE 60 100 EN ESPÈCES

A.12 SÉCURITÉ DES OPÉRATIONS 30 100 RÉPÉTABLE

A.13 SÉCURITÉ DES COMMUNICATIONS 40 100 RÉPÉTABLE

A.15 RELATIONS AVEC LES FOURNISSEURS 70 100 GÉRÉ

A.17 DE LA GESTION DE LA CONTINUITÉ DE 50 100 EN ESPÈCES

A.18 CONFORMITÉ 30 100 RÉPÉTABLE

ÉVALUATION MOYENNE DES CONTRÔLES 49 100 EN ESPÈCES

ISO/CEI Exigences obligatoires pour le SMSI évaluer

Évaluer Efficacité Sens La description

L1 dix% Initiale / Ad­hoc béton. Le succès des tâches est dû aux efforts

Valeur d'efficacité Sens Numéro

A.14.1.3 protection des transactions Contrôle : Les informations impliquées dans le

A.14.2.2 procédures de contrôle Contrôle : Modifications apportées aux systèmes dans le cycle de

A.14.2.3 Revue technique des Contrôle : lorsque les plates­formes d'exploitation sont modifiées,

A.14.2.4 Restrictions sur les changements de Contrôle : Modifications du

A.14.2.5 Principe de construction des systèmes Contrôle : Les principes du système sécurisé doivent être établis,

A.14.2.7 développement sous contrat Contrôle : L'organisation doit superviser et surveiller l'activité de

A15.1.2 Traitement de la sécurité dans les Contrôle : Toutes les exigences pertinentes en matière de sécurité

A15.2.2 Gestion du changement dans Contrôle : les modifications de la fourniture de services par les

A16.1.2 Rapports sur les événements de sécurité Contrôle : les événements de sécurité de l'information doivent être

A16.1.3 Rapport sur les faiblesses de la Contrôle : tous les employés et sous­traitants qui utilisent les systèmes

A16.1.4 Évaluation des événements de Contrôle : les événements de sécurité de l'information doivent être

A16.1.5 Réponse aux incidents de Contrôle : Les incidents de sécurité de l'information doivent être traités

A16.1.6 Apprendre des incidents de Contrôle : les connaissances acquises grâce à l'analyse et à la

A16.1.7 Collecte de preuves Contrôle : L'organisme doit définir et appliquer des procédures

A17.1.2 Mise en œuvre de la continuité de la Contrôle : L'organisation doit établir, documenter, mettre en œuvre

A17.1.3 Vérification, examen et évaluation de la Contrôle : L'organisation doit vérifier à intervalles réguliers les

A18.1.2 droits de propriété intellectuelle Contrôle : Des procédures appropriées doivent être

viceprésident de Viceprésident Le bienêtre gestion de La gestion

L1 dix% Initiale / Adhoc béton. Le succès des tâches est dû aux efforts

A.14.2.3 Revue technique des Contrôle : lorsque les platesformes d'exploitation sont modifiées,

A16.1.3 Rapport sur les faiblesses de la Contrôle : tous les employés et soustraitants qui utilisent les systèmes

8 GESTION DES ACTIFS 73% 0 dix 0

9 CONTRÔLE D'ACCÈS 71% 1 sept 6

18 SÉCURITÉ DES COMMUNICATIONS 57% 1 sept 0

HW1 Salon Un $ $

je ments je Électrique UN $ 60,00 $ $ 300,00 $

Personnel [P] P7 Directeur du bienêtre 0 0,24657 0,369855 0 0