) e.ursrtoxi.ta.

tRB n'auur

COMMBNTAIRES
QUESTIONS ET RENVOI AUX
FBUILLBS DB
TRAVAII,
ORGANISATION DE LA SECTJ-

RTTE DES ACCES LOGIQUES

1. Existe-t-il une stratégie de la sécunté des

accès logiques dans I 'entreprise ?

2. Cette stratégie a-t-elle eté dêveloppée

selon un processus cohérent :

- Etude de faisabilité ;

- Etude fonctionnelle ;

- Programmation et tests ;

- Mise à l'essai auprès cles utilisateurs ;

- Mise en place déflnitive ?

3. Cette stratégie est-elle mise en æuwe et

supervisée par un gestionnaire de la

sécurité suffisamment indépendant de Ia

fonction informatique'?

4. Cette stratégie est-elle périodiquement

révisée au fur et à mesure de l'évolution

 de la configuration etlou de la structure
du système d'information ?

PROCEDURBS DB PREVENTION

Les fichiers et programmes sensibles

sont-ils stockés hors site en dehors des
périodes de traitement ?

6. Si l'entreprise utilise des mots de passe,

les règles suivantes sont-elles suivies par

I 'entreprise :

- Gestion des mots de passe par une

personne suffisamment
indépendante, de préférence le
gestionnaire de 1a sécurité ?

- Le responsable des mots de passe,

procède-t-il régulièrement aux

tâches suivantes :

o Maintenance a\/ec les

Lrtilisateurs des profils d'accès

selon l'ér,olution
l'enffeprise ?

o Contrôle sur le respect des

procédures ?

e Contrôle de la diffusion des

mots de passe aux utilisateurs ?

- Les procédures relatives aux mots

 de passe assurcnt-cllcs unc

protection suffisante :

r Quatre caractères

alphanumériques minimum ?

o Difficilement reconstituable ?

. Changement au moins tous les

mois ?

o Création selon un programme

générique des caractères au

hasard ?

. Procédure de diffusion des

mots de passe garantissant un

secret suffisant ?

ORGANISATION Dtr LA SECU.

RTTE DES ACCES PHYSIQUES

7. Existe-t-il une stratégre de la sécurité

portant sur la protection :

- Des accès physiques ;

- Des procédures de sauvegarde,

restauration et reprise ?

- Un plan de sauvegarde en cas de

destruction du patrimoine physique ?

8. Cette stratégie a-t-elle été développée

par des professionnels compétents de

formatron differente en ce qui conceme :

 -La sécurité dite physique ?

-La sécurité dite logique ?

9. Cette stratégie a-t-elle été développée

selon un processus cohérent, comportant

au minimum une étude de faisabilité et

une implication sufflsante des

utilisateurs '?

ACCES PHYSIQUES

l0.Existe-t-il des procédures lin-ritant,

l'accès physique aux actifs

informatiques :

Les utilisateurs ne sont pas admis

dans les locaux de l'informatique ;

Les pupitreurs, seuls, ont accès à

la salle machine ;

Les documentations ne sont

accessibles qu'aux personnes

autonsées :

. Documeritation
analyste/progranlmat i on :

o Documentation exploitation :

. Documentation réseau ;

o Documentation base de

données ;

o Documentation sécurité ?
l l.Les procédures d'accès physiques sont-
elles renforcées par des systèmes de

badge, de carte magnétique ou de code ?

12.Le système de protection des accès

physiques assure-t-il une protection 24

heures sur 24 par des procédés d'alarnre
ou de gardienr-rage '/

l3.Les ressources physiques de la fonction

informatique sont-elles installées dans

des locaux difhciles d'accès ?

l4,En cas de crise (mouvements SOCIAUX,

par exemple), les accès aux locaux

informatiques peuvent-ils être fermés

rapidernent ?

INCENDTE
l5.L'entreprise a-t-elle pns des mesures
préventives au moment de l'implantation
des ressources physiques infornratiques ?

l6.L'entreprise a-t-e lle des moye ns dc

combattre l'incendie en réduisant all

rnaximum les dégâts :

- Détecteur de fumée ?
 - Détecteur de chaleur ?

l7.L'entreprise a-t-elle mis en place

système de détection :

- co2?
- Gaz halon ?

lS.Existe-il des instructions incendie

suffisamment connues du personnel

inlormatique :

- Interdiction de fumer ?
- Volume de papier maximai
acceptable à la salle machine ?

- Actions à suiwe en cas

d'incendie ?

DEGATS DES EAUX

l9.Existe-il des procédures suffisantes

permettant de prévenir ou de linriter les
dégâts cles eaux ?

ALIMENTATIOI\ ELtrCTRIQUE

20.Le système d'alimentation électrique est-

il conforme aux règlements et normes en
vigueur ?
2l.L'installation comprend-elle un

transformateur d'isolement et un

régulateur de tension pour se prénrunir

des variations du courant électrique '/

la continuité
22.L'installation permet-elle
de l'exploitation en cas de coupure
électnque :

- Onduleurs ?

- Onduleurs * groupe électrogène '/

PROCEDURES DE
SAUVEGARDE ET DE
RESTAURATION

23.Existe-t-il des procédures formalisées de

sauvegarde et de restauration ?

24.La périodicité des sauvegardes est-elle

adaptée aux besoins de l'eritreprise '/

25.Pour les applications considérées comme

vitales, est-il procédé à une duplication

des sauvegardes ?

26.Un historique suffisant des .jeux

sauvegarde est-il conservé ?
27.Existe-il des procédures de stockage des
sauvegardes hors site ?

28.Le stockage des sauvegardes sur le site

et hors site est-il réalisé dans des
armoires ignrfuges ?

29.Le respect des procédures de sauvegarde

et de restauration fàit-il l'objet d'urr

contrôle périodique a posteriori par

I'audit interne etlou le gestionnaire de la

sécurité ?