QUESTIONNAIRE DE CONTROLE INTERNE AUDIT

ORGANISATIONNEL DE LA SECURITE DES SI

(Points de contrôle selon ISO 27002)

Sécurité physique, logique, applicative

organisationnelle,…

1) Existe-t-il une politique de contrôle d’accès pour chaque utilisateur ou groupe

d’utilisateurs ?
OUI NON

2) Est-ce que seuls les utilisateurs dument autorisés ont accès aux services en réseaux ?
OUI NON

3) Est-ce que les accès sont dument authentifiés ?

OUI NON

4) Par quels moyens ?

……………………………………………………………………………………………

5) Quel est le délai requis pour retirer l’accès d’un utilisateur temporaire ou après son
mandat de travail dans le système ?
……………………………………………………………………………………………

6) La communication des mots de passe utilisateurs temporaires est-elle sécurisée ?

OUI NON

7) Par quels moyens sont-ils sécurisés ?

……………………………………………………………………………………………

8) Quel est le délai de modification du mot de passe temporaire accordé ?

…………………………………………………………………………………………

9) Le système est-il configuré à imposer une modification des mots de passe des
utilisateurs après un délai prédéfini ?
OUI NON

10) Quel est ce délai prédéfini ?

……………………………………………………………………………………………

11) Les utilisateurs sont-ils sensibilisés sur la bonne gestion de leur mot de passe ?
 OUI NON

12) Le système est-il configuré à accepter un mot de passe long renferment au moins quatre
(4) caractères ?
OUI NON

13) Les actions des utilisateurs (personnel permanent ou temporaire) sont-elles

identifiables ?
OUI NON

14) Le progiciel utilisé est-il configuré pour imposer l’authentification avant l’accès de tout
utilisateur ?
OUI NON

15) La configuration des droits d’accès dans le système tient-elle compte de la

confidentialité des données (uniquement aux ayants droits) ?
OUI NON

16) Les imprimantes sont-ils dotés d’une fonction d’identification par numéro personnel ?
OUI NON

17) Les photocopieurs et autres dispositifs de reproduction nécessitent-ils un mot de passe

pour une utilisation non autorisée ?
OUI NON

18) Est-ce que toutes les ressources informatiques de l’entreprise sont identifiées
(marquées) et inventoriées ?
OUI NON

19) Qui s’occupe de cette activité ? quand et comment le fait-il ?

……………………………………………………………………………………………

20) Qui s’occupe de l’affectation des ressources informatiques aux utilisateurs ?

……………………………………………………………………………………………

21) Les ressources informatiques affectées aux utilisateurs sont-elles assorties d’un manuel
d’utilisation correcte ?
OUI NON

22) Des directives sont-elles fixées interdisant le fait de manger, de boire et fumer à
proximité des moyens de traitement de l’information ?
OUI NON

23) L’entretien du matériel informatique est-il effectué conformément aux spécifications et

aux intervalles de dépannage recommandés par le fournisseur ?
OUI NON

24) Qui s’occupe de l’entretien des équipements informatiques ?

…………………………………………………………………………………………
25) Qui s’occupe de la maintenance des équipements informatiques de l’entreprise ?
…………………………………………………………………………………………….

26) Disposez-vous des armoires ignifuges pour l’archivage des documents, CD, disques et
autres supports physique ?
OUI NON
27) Le matériel est-il protégé des coupures de courant et autres perturbations ?
OUI NON

28) Les utilisateurs sont-ils informés des dangers des codes malveillants (virus
informatiques, vers de réseau, cheval de Troie, bombe logique…) ?
OUI NON
29) Par quels moyens sont-ils informés ?
……………………………………………………………………………………………

30) L’entreprise a-t-elle une politique formelle prohibant l’installation et l’utilisation de

logiciels non autorisés ? sites non autorisés ?
OUI NON

31) L’entreprise dispose-t-elle les logiciels de détection/prévention suivants ?

- Antivirus OUI NON Si oui, lequel :
- Anti spam OUI NON Si oui, lequel :
- Anti spyware OUI NON Si oui, lequel :
- Anti phishing OUI NON Si oui, lequel :
32) Le service informatique procède-t-il à une mise à jour régulière de ces logiciels ?
OUI NON

33) Les logiciels de détection /prévention sont-ils installés sur tous les postes de travail ?
OUI NON

34) Existe-t-il un plan approprié de continuité de l’activité pour la récupération après une
attaque par code malveillant, comprenant toutes les données nécessaires, les
sauvegardes logicielles et les dispositions de récupération ?
OUI NON
35) Est-ce qu’il existe une procédure écrite de sauvegarde des données clairement définie ?
OUI NON
36) Les supports de sauvegarde sont-ils soumis à un essai (restauration) pour s’assurer de
leur fiabilité en cas de d’utilisation en urgence ?
OUI NON
37) Comment procède (processus) à la sauvegarde journalière, mensuelle et annuelle dans
l’entreprise ?
 ……………………………………………………………………………………………
38) Les sauvegardes sont-elles placées à un endroit suffisamment éloigné pour échapper
aux dommages d’un sinistre sur le site principal ?
OUI NON

39) Une politique de sécurité réseau

- Est-elle mise en place ? OUI NON
- Est-elle mise à jour ? OUI NON
40) Quelles sont les solutions de sécurité (protection) des réseaux que dispose l’entreprise ?
……………………………………………………………………………………………
41) Quelles sont les méthodes de détection d’intrusion sur le son réseau qu’utilise
l’entreprise ?
……………………………………………………………………………………………
42) Existe-t-il une protection de manière adéquate des informations transitant par la
messagerie électronique ?
OUI NON
43) Laquelle ?
…………………………………………………………………………………………
44) L’entreprise dispose-t-elle des licences relatives à l’utilisation des logiciels et autres
matériels ?
OUI NON
45) Existe-t-il des procédures formelles de signalement des évènements et des failles liées à
la sécurité de l’information ?
OUI NON
46) Quelle est la politique mis en place par le service informatique pour la gestion des
incidents de sécurité ?
…………………………………………………………………………………………
47) Comment sont gérées les expirations bloquantes ?
……………………………………………………………………………………………
48) Est-ce qu’il existe une procédure récapitulant les moyens par lesquels les incidents
antérieurs ont été résolus ?
OUI NON
49) L’entreprise dispose-t-elle de façon formelle d’un plan de continuité des activités utilisé
suite : catastrophes naturelles, panne de matériels, absence du responsable d’une
quelconque activité, coupure d’électricité etc…
OUI NON
50) Les lignes électriques et les lignes de télécommunication branchées aux moyens de
traitement de l’information sont-elles protégées ?
OUI NON
51) Par quels moyens sont-elles protégées ?

…………………………………………………………………………………………

52) Le câblage réseau est-il protégé contre les dommages ?

OUI NON
53) Les câbles électriques sont-ils séparés des câbles de télécommunications pour éviter
toute interférence ?
OUI NON
54) L’entreprise dispose-t-elle :
- d’un groupe électrogène ; OUI NON
- d’un onduleur ; OUI NON
55) Les vigils consignent- ils la date, l’heure d’arrivée et de départ des visiteurs ?
OUI NON

56) Les visiteurs sont-ils accompagnés par la sécurité jusqu’à leur destination ?
OUI NON

57) Existe-t-il des cartes d’accès propre aux visiteurs ?

OUI NON

58) Les individus ne portant pas de signe d’identification sont-ils signalés au personnel de
sécurité ?
OUI NON

59) La sécurité dispose-t-elle des moyens de détection des métaux, armes, bombes par
infrarouge ?
OUI NON

60) Le port d’identifiant personnel (badges) est-il exigé au personnel de l’entreprise ?

OUI NON

61) Est-ce que les sites particulièrement sensibles sont surveillés par le personnel de
sécurité pendant les jours :
- de congé OUI NON
- férié OUI NON
 - week-end OUI NON

62) Existe-t-il un accès limité concernant les zones sécurisées ou les moyens de traitement
des informations sensibles ?
OUI NON

63) Existe-t-il des caméras de surveillance dans les sites où les informations sont les plus
sensibles ?
OUI NON

64) L’entreprise dispose-t-elle d’extincteur ?

OUI NON

65) L’entreprise dispose-t-elle d’une alarme ou de tout autre système de détection des
incidents ?
OUI NON

66) Lors de l’embauche d’un agent, les aspects suivants sont-ils pris en compte dans le
contrat de travail ?
- Un contrôle sur le CV du candidat ; OUI NON
- Un contrôle d’identité indépendant (passeport ou autres) ; OUI NON
- Contrôle sur le casier judiciaire ; OUI NON

67) Les salariés ou autres contractants signent-ils un engagement de confidentialité et de

non-divulgation des informations de l’entreprise lors de leur recrutement ?
OUI NON
68) Si oui, dans quel(s) document(s) signent-ils ?
………………………………………………………………………………………………

69) En cas de violation de la politique de sécurité de l’information ou d’autres procédures

de sécurité de l’information, est-il prévu des sanctions disciplinaires ?
OUI NON
70) Sont-ils informés des sanctions suite au non-respect de la confidentialité et la protection
des informations de l’entreprise
OUI NON
71) Par quels moyens sont-ils informés de ces sanctions ?
………………………………………………………………………………………………
72) Le personnel est-il conscient des pertes énormes (financières, perte d’image de
marque, …) que pourrait subir l’entreprise suite à la divulgation d’une information
sensible ?
OUI NON
73) Existe-t-il un plan de formation et de sensibilisation des salariés à la sécurité des
systèmes d’information ?
OUI NON
74) Les salariés sont-ils formés sur la sécurité de l’information et son importance?
OUI NON
75) Si oui, à quand date la dernière formation en matière de sécurité de l’information ?
…………………………………………………………………………………………..

76) A la fin du contrat de travail, l’intéressé est-il informé de la pérennité de la

confidentialité des informations de l’entreprise ?
OUI NON
77) Les salariés sont-ils informés de la restitution des biens de l’entreprise à la fin du
contrat ?
OUI NON
78) S’assure-t-on du retrait du droit d’accès aux systèmes d’information à la fin du
contrat d’un salarié ?
OUI NON
79) Quelles sont les actions mises en place par la direction des ressources humaines, en
cas de démission ou d’absence imprévue du responsable d’une activité, pour ne pas
être en situation d’arrêt ou de ralentissement des activités ?
……………………………………………………………………………………………….
80) Est-ce qu’il existe dans l’entreprise le poste de RSSI (responsable de la sécurité du
système d’information ?
OUI NON

81) Connaissez-vous la norme ISO 27002 ? OUI NON

82) De quoi parle cette norme ?

…………………………………………………………………………………………
83) Avez-vous déjà effectuez une mission d’audit sur la sécurité du système
d’information ?
OUI NON

84) A quand date la dernière mission ?

……………………………………………………………………………………………

85) Quel est le référentiel utilisé pour l’exécution de cette mission ?

 ……………………………………………………………………………………………

86) Votre planning de cette année inclut-elle l’audit de la sécurité du système

d’information ?
OUI NON

87) Combien de temps mettez-vous entre 2 missions d’audit de la sécurité du système

d’information ?
……………………………………………………………………………………………

88) Votre méthodologie en matière d’audit de la sécurité du système d’information tient-

elle compte de :
- l’aspect technique de la sécurité de l’information ; OUI NON
- l’aspect organisationnel ; OUI NON
- l’aspect juridique ; OUI NON

89) Existe-t-il une politique de sécurité de l’information dans l’entreprise ?

OUI NON

90) Est-elle approuvée par la direction générale ?

OUI NON

91) Est-elle publiée et diffusée à l’ensemble de tous les salariés de l’entreprise ?

OUI NON

92) Une personne est-elle désignée comme responsable de la politique de sécurité de

l’information ?
OUI NON

93) Hormis la politique de sécurité de l’information, l’entreprise a-t-elle d’autres

procédures formelles relatives à la sécurité du système d’information ?
OUI NON

94) Lesquelles ?
……………………………………………………………………………………………

95) Existe-t-il un manuel de procédure informatique ?

OUI NON

96) L’entreprise a-t-elle élaborée et mis en œuvre la protection des données de l’organisme
et une politique de confidentialité ?
OUI NON

97) Cette politique est-elle connue de toutes les personnes impliquées dans le traitement des
informations relatives à la vie privée ?
OUI NON

98) Quelle est l’apport de la direction de l’audit interne dans la gestion des mots de passe
des utilisateurs ?
……………………………………………………………………………………………
99) L’entreprise dispose-t-elle d’un :
- Plan de continuité des activités ? OUI NON
- Plan de reprise après sinistre ? OUI NON
- Plan de restauration ? OUI NON

100) Qu’en est de leur mise à jour ?

……………………………………………………………………………………………

101) La sécurité des systèmes d’information fait-elle partie de la stratégie générale de

l’entreprise ?

OUI NON

102) Comment la direction générale s’implique-t-elle dans la gestion de la sécurité de

l’information ?
……………………………………………………………………………………………
103) Quels sont les actions réalisées à cet effet par le management pour la gestion de
la sécurité des SI ?
……………………………………………………………………………………………
104) Quels sont les acteurs de la sécurité désignés par la direction générale ? quelles
sont les responsabilités qui les sont conférées ?
……………………………………………………………………………………………

105) Quels sont les efforts mis en œuvre par la direction dans le cadre de la
conformité aux exigences légales tels que la protection des données relatives à la vie
privée, droits de propriété intellectuelle ?
……………………………………………………………………………………………