Exercice N°4

A/ Etablir des indicateurs de sécurité de l’information

Pour chacune des clauses ou des mesures de sécurité de la norme ISO/CEI 27001 citée ci-
dessous, veuillez fournir deux d’indicateurs qui seraient acceptables pour mesurer la
conformité à la clause ou la mesure concernée. Pour chacun d’entre eux, préciser si ceux
sont des indicateurs de performance ou de conformité.

Exemple Clause 5.1 Leadership

Réunions de revue de Direction réalisées périodiquement (indicateur de conformité)
Taux moyen périodique de participation aux revues de Direction (indicateur de performance)

1. Rôles, responsabilités et autorités au sein de l’organisation (Clause 5.3)

2. Politique du bureau propre et de l’écran verrouillé (Mesure A.11.2.9)

3. Restitution des actifs (Mesure A.8.1.4)

4. Utilisation d’informations secrètes d’authentification (Mesure A.9.3.1)

5. Sensibilisation (Clause 7.3)

6. Réviser l’efficacité de toute action corrective mise en œuvre (Clause 10.1 d)

B/ Prendre en compte les non-conformités et mettre en place des actions correctives

Pay-X a été audité et plusieurs non-conformités ont été identifiées par l’auditeur. Veuillez
proposer une action corrective pour chacune de ces non-conformités et justifiez.

1. Une non-conformité indique que les seuls enregistrements conservés pour le contrôle
des accès des utilisateurs sont ceux relatifs à l’Active Directory. Les autres
enregistrements ne sont pas conservés.

Cause :

Action corrective :

Justification :
2. Une non-conformité indique le manque de formation et d’expérience de l’auditeur
interne. L’auditeur interne n’a pas identifié plusieurs non-conformités qui auraient pu
facilement être détectées. En passant en revue le curriculum vitae de l’auditeur, on
notera que malgré 20 ans d’expérience dans le domaine de l’IT, l’auditeur interne n’a
jamais suivi un cours d’audit ni réalisé un quelconque audit avant l’audit interne de
l’organisation. Durant un entretien, l’auditeur interne a mentionné qu’il avait reçu cette
responsabilité parce que personne d’autre n’en voulait mais qu’il avait accueilli cette
nomination comme un défi.

Cause :

Action corrective :

Justification :
3. Une non-conformité indique que l’entreprise n’a pas traité un incident dans le délai
indiqué dans la politique de gestion des incidents. En effet, la politique de gestion des
incidents mentionne explicitement que le délai de fermeture d’un incident ne peut
excéder cinq jours et que 100% des incidents doivent être clôturés dans les quinze jours
qui suivent leur première notification. Pour cet incident, un client qui avait notifié avoir
été victime d’une attaque par skimming de ses terminaux, il demande alors comment les
terminaux ont-ils pu être piratés. La personne en charge de la gestion de cet incident est
tombée malade le lendemain et elle est revenue au travail seulement 12 jours après. Il y
avait tant de retard à rattraper dans sa gestion et la complexité de cet incident de
piratage était si complexe qu’il fallut cinq jours à l’employé pour traiter le cas,
investiguer et clôturer l’incident. Personne d’autre dans l’entreprise ne s’occupa des
incidents durant l’absence de l’employé.

Cause :

Action corrective :

Justification :
4. Une non-conformité indique que durant l’audit, le site web de l’entreprise est devenu
inaccessible et que le tiers responsable de la maintenance du site web n’a pas réglé le
problème avant un délai de 72 heures. Personne dans l’organisation ne semblait savoir
quoi faire. Le Directeur Général estime que Pay-X a perdu au moins 400 000 € de revenus
au cours de cette indisponibilité, un montant considéré comme inacceptable pour
l’entreprise.

Cause :

Action corrective :

Justification :
C/ Communiquer lors d’un incident de sécurité de l’information

Pay-X a été victime d’un piratage de son système d’information. Cette attaque par phishing
a permis aux pirates de récupérer des identifiants d’utilisateurs importants et d’accéder à
leur email via le webmail (par une simple authentification login/mot de passe). Des
données personnelles et des données sur des projets en cours avec des clients ont été
publiées sur internet et revendues à d’autres personnes. La confiance avec certains clients
s’est alors dégradée et la société n’était plus en mesure de répondre à des exigences
légales sur la protection des données personnelles.

1. Suite à cet incident de sécurité, proposez une/des communication(s) que Pay-X devra
diffuser à ses parties prenantes :

2. Selon vous, qui devra communiquer sur cet incident ?

3. Quand et à quelles parties prenantes la communication devra-t-elle être envoyée ?

4. Quels sont les canaux de communication qui devraient-être utilisés ?