VOYAGES EXTRÊMES lnc.

Introduction et historique

Voyages Extrêmes inc. (VE) a commencé ses opérations à Montréal en mars 2003. C'est Marc
Leroux et son épouse, Isabelle Garnier, qui fondent l'agence de voyages dès leur retour d'une
expédition dans le Sahara. Ces deux grands aventuriers veulent créer un nouveau type
d'agence de voyages. Dès ses débuts, VE se spécialise essentiellement dans le tourisme
d'aventure extrême. Ses forfaits les plus populaires sont la traversée du Sahara avec une
caravane de bédouins, une randonnée à dos d'éléphant dans le nord de la Thaïlande et
l'expédition en canot avec des amérindiens du Canada. VE loue un local dans un immeuble
de bureaux au centre-ville.

L'agence obtient un certain succès commercial et une grande visibilité dans plusieurs médias
locaux, mais aussi à l'international. Compte tenu de ce marché de niche, Marc et Isabelle
décident en 2005 de rapidement se lancer à l'assaut du marché international en misant sur la
création d'un réseau de revendeurs et sur la création d'une agence virtuelle en ligne.

L'agence connaît une croissance impressionnante en signant des accords de partenariat avec
plusieurs agences de voyage généralistes. En moins de 18 mois, VE compte sur un réseau
de 75 partenaires dans 20 pays. L'entreprise qui possédait un site Web promotionnel depuis
2003 lance son portail de voyages transactionnel en mai 2006. Le responsable du marketing
est particulièrement fier d'avoir maintenant plus de 76 000 membres inscrits sur le site Web,
ce qui constitue une base de clients qualifiée. Depuis l'année précédente, VE génère même
de nouveaux revenus en revendant des listes de clients.

Marc pense qu'Internet permettra à VE de poursuivre sa croissance à un coût moindre que

n'exige l'ouverture d'un réseau de succursales à l'étranger. La création d'une agence de
voyages virtuelle où les clients pourraient se procurer tous les produits de VE en ligne
permettrait à VE d'étendre ses activités mondialement. Plus encore, VE y voit la possibilité de
générer des revenus supplémentaires en ajoutant à sa gamme de produits des guides de
voyage personnalisés et en vendant de l'espace publicitaire sur son site Web. Enfin, à des fins
de gestion, le développement d'un réseau Intranet est essentiel. Le site agira comme porte
d'entrée à !'Intranet de VE, qui sera à la base de la nouvelle stratégie de gestion et facilitera
le partage de l'information entre ses partenaires, ses clients et le siège social.
Afin de limiter les coûts fixes d'opération, VE a choisi d'adopter un modèle d'affaires
d'entreprise virtuelle. L'entreprise sous-traite la plupart de ses opérations : site Web, centre
d'appel, comptabilité, recouvrement des comptes en souffrance, recherche de partenaire,
marketing et publicité. Marc et Isabelle ont décidé de se concentrer sur les processus qui
créent de la valeur : la création des produits touristiques et la gestion des partenaires. Il est à
noter que le centre d'appel à la clientèle a été confié à une entreprise indienne, la recherche
et la qualification de partenaires à une entreprise américaine, le développement du matériel
marketing est confié à diverses agences de publicité suite à des appels d'offre.
L'entreprise, qui a actuellement un chiffre d'affaires de 10 millions CAO, compte seulement 15
employés permanents et 8 autres à temps partiel qui travaillent surtout à partir de leur domicile.
Les guides touristiques sont des contractuels payés au forfait.
VE peut compter sur une banque de données d'une centaine de guides potentiels qui sont pré-
qualifiés. A chaque fois qu'un séjour est confirmé, VE l'affiche sur son Intranet et les guides
peuvent postuler pour obtenir les contrats.
La croissance fulgurante de VE ne se fait pas sans heurt. L'entreprise connaît des crises de
croissance et Marc et Isabelle doivent faire face à de nouveaux défis. Il devient de plus en plus
difficile de coordonner les activités et d'avoir une vue d'ensemble de l'entreprise. Plusieurs
incidents se sont produits dernièrement. Par exemple, des partenaires se plaignent des
erreurs dans les factures émises par VE.
Certains clients qui ont écrit un email n'ont pas reçu de réponse avant plusieurs semaines.

Développement du site Web

Pour le développement du site et du nouveau système, VE a fait plusieurs appels d'offre et a

retenu les services de Web Transit, une entreprise de consultants reconnue dans le domaine
du commerce électronique grâce à l'excellente réputation dont elle jouit mais aussi parce
qu'elle a soumissionné au prix le plus bas. La première étape consistait à développer un
Intranet à des fins de gestion et d'y intégrer, entre autres, le nouveau système comptable. Le
but de la seconde étape est d'améliorer la communication entre les partenaires, les guides
touristiques associés, les consultants et le siège social en assurant la consultation à distance
de bases de données et de rapports financiers. L'intranet permet également la saisie
d'informations à distance tels les rapports de dépenses et les feuilles de présence afin d'en
accélérer le traitement, et ce, à moindre coût.

La deuxième étape a été de transformer le site Web promotionnel en site Web transactionnel
afin d'héberger la nouvelle agence virtuelle. VE a automatisé et simplifié le maximum de ses
opérations grâce aux paiements électroniques et intégré en partie la gestion électronique de
documents (GED).

Organisation générale du site Web

Avec les changements apportés, Internet occupe une place importante dans les opérations
commerciales de VE. Dans un premier temps, les clients potentiels consultent le site Web afin
d'obtenir des informations sur les différents produits et services offerts ainsi que des
informations générales sur l'entreprise.

Le client qui désire passer une commande ou consulter un guide de voyage personnalisé doit
avant tout s'inscrire. Pour ce faire, il remplit un formulaire à l'écran en indiquant obligatoirement
son nom, ses coordonnées, une adresse électronique et son numéro de carte de crédit ainsi
que la date d'expiration de celle-ci. Il doit également indiquer quelques renseignements
personnels tels que son âge, son sexe, ses centres d'intérêt et ses préférences de destination,
etc.

Le client doit ensuite choisir un nom d'utilisateur (identifiant) et un mot de passe contenant au
moins huit caractères qu'il doit saisir deux fois. Avant de valider son inscription, le système
consulte la base de données afin de s'assurer que le nom d'utilisateur (identifiant) n'est pas
déjà employé. Le système communique également avec les sociétés émettrices de cartes de
crédit pour valider le numéro donné par le client. Le tout ne prend que quelques minutes.
Le client consent par son formulaire d'inscription à recevoir le bulletin électronique de
VE ou toute autre information promotionnelle par email. Il autorise également VE à fournir cette
information à des partenaires commerciaux qui pourront s'en servir à des fins de promotion.
En tout temps, l'information sur les cartes de crédit reste confidentielle.
Dès que l'inscription du client est acceptée, les renseignements sont enregistrés dans la base
de données de VE. Le client peut, après coup, accéder au site en utilisant son nom d'utilisateur
(identifiant). Lorsque le client accède au site en employant son nom d'utilisateur (identifiant), il
peut personnaliser le site pour qu'il réponde mieux à ses besoins. Par exemple, il peut
demander que VE l'avertisse des nouveaux forfaits en
Asie dès leur arrivée sur le site. Le client a également la possibilité de modifier les informations
personnelles qu'il a entrées lors de l'inscription. Lorsque le client communique des
informations confidentielles à VE par le site Web (nom d'utilisateur (identifiant) et mot de
passe, informations personnelles, etc.), cela se fait en utilisant le protocole de transmission
sécuritaire SSL (Secure Socket Layer).

Pour chaque produit acheté, le client doit inscrire le nom et les coordonnées de la personne
(ou des personnes) pour qui l'achat est fait (nom et adresse du passager pour un billet d'avion,
par exemple). Cela est nécessaire puisque chaque billet d'avion, forfait, etc., doit porter le nom
d'un individu, qui peut être différent de celui qui passe la commande. Par défaut, le système
propose les nom et coordonnées du client inscrit.
À tout moment, le client peut revenir à l'écran précédent afin d'apporter des modifications.

Enfin, le client doit inscrire les renseignements relatifs à la carte de crédit. VE est reliée, par
Internet, aux sociétés émettrices de cartes de crédit et obtient un numéro d'autorisation. Une
confirmation du paiement portant le numéro de la commande du client apparaît à l'écran. Le
client est invité à imprimer ce document. Le processus est très rapide. Le système de VE est
programmé de façon à ce que l'argent soit transféré du compte commercial au compte de
banque courant et que le produit de la vente soit enregistré à la date du départ.

Malgré l'automatisation de tout le processus, VE veut s'assurer de maintenir un service de

première qualité à la clientèle. Dans un premier temps, les clients peuvent accéder à une
section « foire aux questions » où ils peuvent trouver réponse aux questions les plus souvent
posées. Dans un deuxième temps, ils peuvent envoyer leurs questions ou commentaires par
courriel à VE et obtenir une réponse dans les 24 heures. Enfin, à tout moment, un préposé
peut être joint grâce à un numéro gratuit qui est transféré au centre d'appel en Inde.
Organisation technique et description du service informatique
Le système de prise de commande et celui de gestion du site Web sont des versions
personnalisées de programmes propriétaires spécialement conçus pour le commerce
électronique dans le secteur du voyage par Web Transit. VE n'a pas accès aux versions
sources des programmes et systèmes et tous les changements doivent être apportés par Web
Transit.
Le service informatique est assuré par un webmestre et un administrateur réseau.
L'administrateur réseau est responsable de l'entretien de tous les systèmes informatiques et
du réseau, de la gestion de la sécurité, de l'administration des bases de données, de la gestion
des incidents et du support aux employés. Le Webmestre s'occupe essentiellement de mettre
à jour le contenu du site Web et de seconder l'administrateur réseau dans le support aux
usagers.
Architecture des systèmes informatiques et description du réseautage VE utilise le système
d'exploitation Windows 2003 incluant le service de Microsoft lIS (Internet Information Services)
pour l'exploitation du serveur Internet. Il y a trois serveurs. Le premier héberge les bases de
données, le second comporte toutes les applications du système de prise de commande et du
système comptable et le dernier est dédié à la gestion du site Web et du courrier électronique.
Les postes de travail sont munis de micro-ordinateurs IBM. Ceux-ci comprennent une série
d'applications de base telles qu'un traitement de texte, un chiffreur électronique, etc. De plus,
ils sont tous reliés en un réseau local (LAN). Un routeur assure une connexion en permanence
depuis le réseau local vers l'Internet.
 Annexe A : processus de gestion des modifications

Aucune programmation n'est effectuée à l'interne de Voyage Extrême. Pour développer un

nouveau système ou pour modifier un programme ou application, on fait toujours appel à Web
Transit avec laquelle un contrat de maintenance a été signé suite au développement et à la
mise en œuvre du site Web transactionnelle. De légères modifications ont été apportées
depuis la mise en opération du nouveau système afin de corriger certains problèmes
notamment en ce qui concerne la facturation afin de tenir compte des taxes applicables.
Toute demande de modification au système de prise de commande doit être approuvée par le
responsable informatique. Suite à une demande, il fait une évaluation des besoins et prend
contact avec l'analyste de Web Transit pour lui envoyer une demande formelle de modification.
Web Transit dans un délai maximum de 48 heures doit répondre à la demande de changement
et indiquer quand le développement aura lieu et la date de mise en production prévue.
Les techniciens de Voyage Extrême ont cependant la possibilité de créer eux-mêmes et
modifier les rapports produits par le système ainsi que d'apporter des modifications aux bases
de données. Bien entendu, ils peuvent également modifier l'apparence et l'organisation
générale du site Web, sans que cela n'affecte le système de prise de commandes. Quand ils
reçoivent une demande de changement, ils demandent habituellement une autorisation de la
part du directeur informatique avant d'apporter les modifications demandées et de les mettre
en production. Le technicien effectue quelques tests standards dans un environnement distinct
avant de mettre les modifications en production.
Certaines modifications sont routinières et se font sans l'approbation du directeur informatique.
Par exemple, les modifications apportées au site Web afin d'ajouter une publicité ou encore
les mises à jour de la base de données pour ajouter les nouveaux produits ou des
changements de prix.
Toutes les demandes de changements concernant le contenu du site Web sont adressées
directement au Webmestre de l'entreprise. Il s'occupe d'apporter les modifications des textes
présents sur le site Web.
Afin de rendre opérationnelles les modifications, les systèmes, le site Web et les bases de
données sont mis à jour quotidiennement entre 4 h et 5 h du matin, alors que le niveau
d'activité est au plus bas. Cela entraîne un arrêt temporaire du service pendant au plus une
heure, mais cette période peut aussi durer à peine dix minutes. Un message apparaît alors à
l'écran afin d'aviser un internaute que le site est « en cours d'entretien ». On profite de cet arrêt
du système pour effectuer une copie de sauvegarde du contenu des trois différents serveurs.
Liste des exercices
Exercice 1 : Raisons d'adopter ISO 27001

Veuillez lire les parties suivantes de l'étude de cas fournie pour ce cours :

Histoire de l'entreprise Organisation de l'entreprise En vous basant sur ces informations,

déterminez et expliquez les trois plus grands avantages de l'implémentation de la norme ISO
27001 pour cette organisation et comment l'entreprise peut mesurer ces avantages grâce aux
métriques.

Avantage 1
....................................................................................................................................................
....................................................................................................................................................

Comment l'entreprise peut mesurer cet avantage :

....................................................................................................................................................
....................................................................................................................................................

Avantage 2
....................................................................................................................................................
....................................................................................................................................................

Comment l'entreprise peut mesurer cet avantage :

....................................................................................................................................................
....................................................................................................................................................

Avantage 3
....................................................................................................................................................
..................................................................................................................................................

Comment l'entreprise peut mesurer cet avantage :

....................................................................................................................................................
..................................................................................................................................................
Exercice 2 : Établir le contexte de la gestion du SMSI

Fiers de la croissance de leur entreprise, les dirigeants de Voyage Extrême sont soudainement
préoccupés par les aspects de contrôle et de sécurité, d'autant plus qu'il y a eu quelques
incidents de sécurité dernièrement. Comme ils vous connaissent bien et qu'ils savent que vous
êtes des experts en sécurité de l'information, ils vous confient la mission de les accompagner
pour la mise en œuvre d'un système de gestion de la sécurité de l'information et de les préparer
à la certification ISO 27001.
La première étape de votre m1ss1on est d'établir le contexte de la gestion de la sécurité de
l'information dans l'organisme. Cela lui semble du jargon de spécialistes. Il veut que vous lui
proposiez une version qu'il approuvera par la suite. Pour y parvenir, en vous basant sur les
informations contenues dans l'étude de cas, veuillez déterminer quelles seraient
potentiellement les trois sources d'exigences de conformité pour l'organisme que vous
considérez les plus importantes. Également, veuillez identifier quelle serait les deux actifs
informationnels ainsi que les deux processus métiers que vous jugez les plus critiques pour
l'organisme.

Exigence de conformité 1 : ........................................................................................................

Implication pour le SMSI :
....................................................................................................................................................
....................................................................................................................................................

Exigence de conformité 2 : ........................................................................................................

Implication pour le SMSI :
....................................................................................................................................................
....................................................................................................................................................

Exigence de conformité 3 : ........................................................................................................

Implication pour le SMSI :
....................................................................................................................................................
....................................................................................................................................................

Identification des actifs

Actifs informationnels 1 : ............................................................................................................

Justification de la valeur :
....................................................................................................................................................

Actifs informationnels 2 : ............................................................................................................

Justification de la valeur :
....................................................................................................................................................

Processus métier 1 : ..................................................................................................................

Justification de la valeur :
....................................................................................................................................................

Processus métier 2 : ..................................................................................................................

Justification de la valeur :
....................................................................................................................................................
Exercice 3 : Analyse des écarts

À partir des informations fournies dans l'étude de cas sur le fonctionnement du processus de
gestion des modifications, veuillez évaluer le niveau de maturité de ce processus.
Également, la direction de l'organisme désire recevoir des recommandations de votre part
pour améliorer le processus en place afin de se conformer aux exigences de l'ISO 27001
relatives à la gestion des changements.

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Exercice 4 : Définition du domaine d'application

À partir des informations fournies dans l'étude de cas, veillez proposer un domaine
d'application pour le SMSI de l'organisme et en déterminer les frontières. La direction désire
choisir un domaine d'application qui sera perçu comme une valeur ajoutée pour ses clients et
en même temps le circonscrire le plus possible pour la certification initiale du SMSI.

Définition du domaine d'application :

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Frontières organisationnelles :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Frontières des systèmes d'information :

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Frontières physiques :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Exercice 5 :

Actif 1 : Processus de comptabilité

Scénario Menace Vunlérabilité Impact C I D

du risque

#1

#2

Actif 2 : Informations personelles des clients

Scénario Menace Vunlérabilité Impact C I D

du risque

#1

#2

Actif 3 : L’équipe des guides touristiques

Scénario Menace Vunlérabilité Impact C I D

du risque

#1

#2
Exercice 6 : Options de traitement du risque

Suite à l'analyse de risque, vous avez identifié que 0,5% des transactions électroniques (chiffre
d'affaires de 10 millions) effectués par cartes de crédit sur le site Web de l'entreprise sont de
nature frauduleuse et que 70% proviennent de transactions en provenance de 6 pays. La
direction de Voyage Extrême veut prendre une décision pour traitement de risque. Veuillez lui
préparer un sommaire exécutif expliquant les 4 choix d'options possible pour traiter ce risque
et les actions à entreprendre si l'option est sélectionnée.

Option 1 :

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Option 2 :

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Option 3 :

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Option 4 :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Exercice 7 : Liste principale des documents

Les dirigeants de Voyage Extrême ont décidé d'inclure l'ensemble des mesures de sécurité
relatif à la gestion de la continuité (clause A.14) dans leur firme. Afin de préparer la mise en
œuvre, on vous demande de compléter la liste principale des documents pour ce domaine.
Proposer une liste des documents et enregistrements que vous devriez créer afin que Voyage
Extrême se conforme aux exigences des mesures de sécurité de la section A.14.

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Exercice 8 : Classification des mesures de sécurité

Pour chacune des 5 mesures de sécurité suivantes, indiquez si elle est préventive, corrective
et/ou détective. Indiquez également si cette mesure est administrative, technique, managériale
ou légale. Expliquez votre réponse.

Exemple : L'installation d'un grillage autour du site de l'organisme.

Il s'agit d'une mesure de sécurité préventive qui doit aider à sécuriser l'organisme contre les
intrusions physiques. L'installation d'un grillage est une mesure technique qui implique une
installation matérielle.

1. Attribution de responsabilités en sécurité de l'information à chaque membre de l'organisme

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

2. Installation d'un système anti-incendie

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

3. Encryption des communications électroniques

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

4. Investigations au sujet des incidents de sécurité

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

5. Identification de la législation applicable

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Exercice 9 : Mesures de sécurité

Pour chacune des clauses suivantes de l'ISO 27001, veuillez définir un plan d'action contenant
au moins deux actions concrètes qui permettraient d'assurer la conformité à la clause
concernée et de satisfaire aux objectifs de sécurité.

Exemple A.11.2.3 Sécurité du câblage

• Utilisation de gaines de câblage réseau pour isoler et protéger celui-ci contre les
interceptions de paquets.
• Inventaire documenté du matériel de câblage autorisé pour éviter l'utilisation de matériel
non conforme.

1. Détermination des compétences nécessaires de la ou des personnes effectuant, sous son

contrôle, un travail qui a une incidence sur les performances de la sécurité de l'information
(Clause 7.2 a)
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

2. Réaction à la non-conformité (Clause 10.1 a)

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

2. Dimensionnement (Clause.12. 1.3)

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

4. Mesures contre les logiciels malveillants (Clause A.12.2.1)

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

5. Messagerie électronique (Clause A.13.2.3)

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Exercice 10 : Développement d'indicateurs de sécurité de l'information

Pour chacune des clauses d'ISO 27001 citée ci-dessous, veuillez fournir deux exemples de
mesures qui seraient acceptable pour mesurer la conformité à la clause concernée.

Exemple 5.1 1 Implication de la direction

Réunions de revue de direction réalisées périodiquement

Taux moyen périodique de participation aux revues de direction

1. Réviser l'efficacité de toute action corrective mise en œuvre ; (Clause 10.1 d)

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

2. Rôles, responsabilités et autorités au sein de l'organisation (Clause 5.3)

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

3. Propriété des actifs (Clause A.8.1 .2.)

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

4. Restitution des actifs (Clause A.8.1.4.)

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

5. Utilisation d'informations secrètes d'authentification (Clause A.9.3.1.)

……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
Exercice 11 : Plan d'actions correctives

Voyage Extrême a été audité et plusieurs non-conformités ont été identifiées par l'auditeur.
Veuillez proposer une action corrective pour chacune de ces non-conformités et justifiez.

1.Une non-conformité indique que les seuls enregistrements conservés pour le contrôle des
accès des utilisateurs sont ceux relatifs à l'Active Directory. Les autres enregistrements ne
sont pas conservés.

Cause intrinsèque :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Action corrective :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Justification :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

2.Une non-conformité indique le manque de formation et d'expérience de l'auditeur interne.

L'auditeur interne n'a pas identifié plusieurs non-conformités qui auraient pu être facilement
détectées. En passant en revue le curriculum vitae de l'auditeur, on notera que malgré 20 ans
d'expérience dans le domaine des Tl, l'auditeur interne n'a jamais suivi un cours d'audit ni
réalisé un quelconque audit avant l'audit interne de l'organisation. Durant un entretien,
l'auditeur interne a mentionné qu'il avait reçu cette responsabilité parce que personne d'autre
n'en voulait mais qu'il avait accueilli cette nomination comme un défi.

Cause intrinsèque :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Action corrective :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Justification :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
3.Une non-conformité indique que l'entreprise n'a pas traité un incident dans le délai indiqué
dans la politique de gestion des incidents. En effet, la politique de gestion des incidents
mentionne explicitement que le délai de fermeture d'un incident ne pet excéder cinq jours et
que 100% des incidents doivent être clôturés dans les quinze jours qui suivent leur première
notification. Pour cet incident, un client qui a acheté un pack voyage a signalé avoir été victime
d'une fraude à la carte de crédit et désirait un remboursement intégral. La personne en charge
de la gestion de cet incident est tombée malade le lendemain et est revenue au travail
seulement après 12 jours. Il y avait tant de retard à rattraper dans sa gestion et la complexité
de cet incident de fraude à la carte de crédit était si complexe qu'il fallut cinq jours à l'employé
pour traiter le cas, investiguer et clôturer l'incident. Personne d'autre dans l'entreprise ne
s'occupa des incidents durant l'absence de l'employé.

Cause intrinsèque :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Action corrective :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Justification :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

4.Une non-conformité indique que durant l'audit, le site web de l'entreprise est devenu
inaccessible et que le tiers responsable de la maintenance du site web n'a pas réglé le
problème avant un délai de 72 heures. Personne dans l'organisation ne semblait savoir quoi
faire. Le Directeur Général estime que Voyage Extrême a perdu au moins $35,000 de
revenus au cours de cette indisponibilité, un montant considéré comme inacceptable pour
l'entreprise.

Cause intrinsèque :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Action corrective :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Justification :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
5. Une non-conformité indique que l'auditeur a demandé à un technicien IT de réaliser un scan
du système de fichiers partagés et que plus de 2.000 fichiers musicaux y ont été détectés.
L'organisation n'interdit en effet pas formellement la copie des fichiers musicaux sur son
réseau. L'auditeur a remarqué que plusieurs fichiers musicaux étaient déposés dans des
répertoires partagés et que certains employés avaient écouté ou copié plusieurs chansons
d'autres employés. L'auditeur a également trouvé trace de téléchargement de chansons
depuis des sites web de partage musical. En interrogeant des employés sur cette question,
certains d'entre eux ont expliqué qu'ils avaient copié des chansons depuis leur CD personnels
et qu'ils pouvaient donc ainsi écouter de la musique tout en travaillant. D'autres ont admis
qu'ils avaient téléchargé des chansons depuis divers sites Web de partage musical mais qu'il
s'agissait de chansons qu'ils possèdent sur CD et qu'ils avaient donc achetées légalement. -
"Nous sommes conscients de la politique de la société en matière de droits de propriété
intellectuelle et n'écouterions en aucun cas de la musique obtenue illégalement". Ils
indiquèrent avoir procédé de la sorte parce qu'ils souhaitaient écouter certaines de leurs
chansons favorites qu'ils possédaient par ailleurs à la maison mais qu'ils ne voulaient pas
apporter leurs CD au bureau et les copier sur leur ordinateur.

Cause intrinsèque :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Action corrective :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………

Justification :
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………
……………………………………………………………………………………………………………