Referentiel Audit 3.1 0

Référentiel d’Audit de la Sécurité des Systèmes
d’Information
Date Version Nature de modification

1.0 19/12/2014 Version initiale
1.1 05/01/2015 Version mise à jour
1.2 03/06/2015 MAJ des intitulés des domaines
2.0 10/05/2018 Alignement avec la norme ISO/IEC 27002 :2013
2.1 14/10/2019 MAJ suite à la publication de l’arrêté du ministre des technologies de la
communication et de l'économie numérique et du ministre du développement,
de l’investissement et de la coopération internationale du 01 Octobre 2019,
fixant le cahier des charges relatif à l'exercice de l’activité d’audit dans le
domaine de la sécurité de l’information
3.0 11/09/2023 MAJ suite à l’entrée en vigueur du décret-loi 2023-17 du 11 mars 2023, relatif à
la cybersécurité, et à la publication de la version 2022 de la norme ISO/IEC
27002
3.1 18/09/2023 MAJ suite à la publication de l’arrêté du ministre des technologies de la
communication du 12 Septembre 2023, fixant les critères techniques d'audit et
les modalités de suivi de la mise en œuvre des recommandations contenues
dans le rapport d'audit
Critère de diffusion
Public Interne Confidentiel Secret
Version : 3.1
Référentiel d’Audit
Date : 18/09/2023
de la Sécurité des Systèmes d’Information Page : 2 sur 102
1. Avant-propos
L’audit de la sécurité des systèmes d’information en Tunisie est stipulé par le décret-loi 2023-17 du
11 mars 2023 et organisé par l’arrêté du ministre des technologies de la communication du 12
Septembre 2023, fixant les critères techniques d'audit et les modalités de suivi de la mise en œuvre
des recommandations contenues dans le rapport d'audit, et l’arrêté du ministre des technologies de
la communication et de l'économie numérique et du ministre du développement, de l’investissement
et de la coopération internationale du 01 Octobre 2019, fixant le cahier des charges relatif à
l'exercice de l’activité d’audit dans le domaine de la sécurité de l’information. Cependant, les
contrôles de sécurité à vérifier n’ont pas été identifiés au niveau de ces textes.
Ainsi, l’ANCS estime qu’il est nécessaire d’identifier les critères d’audit à travers un document de
référentiel qui permettra d’accompagner les experts auditeurs dans la réalisation des missions
d’audit de sécurité des systèmes d’information et aux organismes audités de disposer de garanties
sur la qualité des audits effectués.
Ce référentiel comprend les contrôles de sécurité nécessaires pour le maintien d’un système de
gestion de la sécurité et que l’expert auditeur est appelé à vérifier lors de la mission d’audit.
2. Objectif
Le présent document détaille les critères par rapport auxquels l’audit est réalisé conformément aux
exigences du décret-loi 2023-17, à l’arrêté du ministre des technologies de la communication du 12
Septembre 2023, fixant les critères techniques d'audit et les modalités de suivi de la mise en œuvre
des recommandations contenues dans le rapport d'audit, et à l’arrêté du ministre des technologies
de la communication et de l'économie numérique et du ministre du développement, de
l’investissement et de la coopération internationale du 01 Octobre 2019, fixant le cahier des charges
relatif à l'exercice de l’activité d’audit dans le domaine de la sécurité de l’information.
Le présent document est un document de référence pour :

- Les experts auditeurs qui réalisent les missions d’audit, pour les accompagner à conduire la
mission conformément aux exigences du présent référentiel
- Les audités, bénéficiaires de la mission d’audit, pour assurer un meilleur suivi de ladite
mission.
3. Domaine d’application
Ce référentiel est applicable à tous les organismes soumis à l’obligation de l’audit conformément aux
exigences du décret-loi 2023-17 et ses textes applicatifs.
Version : 3.1
Date : 18/09/2023
4. Références
- Décret-loi 2023-17 du 11 mars 2023, relatif à la cybersécurité et portant sur la

réglementation du domaine de la cybersécurité et fixant les règles générales de protection
de l’espace cybernétique national,
- Arrêté du ministre des technologies de la communication du 12 Septembre 2023, fixant les
critères techniques d'audit et les modalités de suivi de la mise en œuvre des
recommandations contenues dans le rapport d'audit,
- Arrêté du ministre des technologies de la communication et de l'économie numérique et du
ministre du développement, de l’investissement et de la coopération internationale du 01
Octobre 2019, fixant le cahier des charges relatif à l'exercice de l’activité d’audit dans le
domaine de la sécurité de l’information,
- La norme ISO 27002 :2022, Mesures de sécurité de l'information,
- La norme ISO 27001 :2022, Système de management de la sécurité de l’information,
- La norme ISO 18045 :2022, qui fournit une méthodologie pour l’évaluation de la sécurité IT,
- La norme ISO 19011 :2018, qui fournit les lignes directrices sur l’audit interne ou externe
d’un système de management et l’évaluation des compétences des équipes d’audit,
- La norme ISO 22301 :2019, Gestion de la continuité d’activité,
- La norme ISO 27005 :2022, Gestion du risque en sécurité de l’information,
- ITIL (Information Technology Infrastructure Library « Bibliothèque pour l'infrastructure des
technologies de l'information ») est un ensemble d'ouvrages recensant les bonnes pratiques
(« best practices ») du management du système d'information.
5. Termes et définitions
Preuves d’audit : Enregistrements, énoncés de faits ou autres informations qui se rapportent aux
critères d’audit et qui sont vérifiables. Les preuves d’audit peuvent être qualitatives ou quantitatives.
Les preuves peuvent être classées en 4 catégories :
- La preuve physique : c'est ce que l'on voit, constate = observation,
- La preuve testimoniale : témoignages. C'est une preuve très fragile qui doit toujours être
recoupée et validée par d'autres preuves,
- La preuve documentaire : procédures écrites, comptes rendus, notes,
- La preuve analytique : résulte de calculs, rapprochements, déductions et comparaisons
diverses.
Critères d’audit : Ensemble de politiques, procédures ou exigences déterminées par rapport
auxquelles la conformité du système est évaluée (contrôles au niveau de la norme ISO/IEC
27002 :2022).
Plan d’audit : Description des activités et des dispositions nécessaires pour réaliser un audit, préparé
par le responsable de l’audit, en commun accord entre l’équipe de l’audit et l’audité pour faciliter la
programmation dans le temps et la coordination des activités d’audit.
Champ d’audit : Etendu et limites d’un audit, le champ décrit généralement les lieux, les unités
organisationnelles, les activités et les processus ainsi que la période de temps couverte.
Version : 3.1
Date : 18/09/2023
Constats d’audit : Résultats de l'évaluation des preuves d'audit recueillies, par rapport aux critères
d'audit.
6. Documents requis pour la revue
Les documents requis pour la revue sont, sans s’y limiter :

- La politique de sécurité de l’information (PSI) approuvée par la direction,
- L’ensemble de politiques spécifiques approuvées par les niveaux de directions appropriés :
 Politique spécifique à l'utilisation correcte des informations et autres actifs associés,
 Politique spécifique à la classification des informations,
 Politique spécifique au contrôle d'accès,
 Politique spécifique au transfert des informations,
 Politique spécifique aux relations avec les fournisseurs,
 Politique spécifique à l'utilisation de services en nuage,
 Politique spécifique à la protection des droits de propriété intellectuelle,
 Politique spécifique à la gestion des enregistrements,
 Politique spécifique à la protection de la vie privée et des DCP,
 Politique spécifique au travail à distance,
 Politique spécifique au bureau vide et à l'écran vide,
 Politique spécifique à la gestion des supports de stockage amovibles,
 Politique spécifique à la configuration et à la manipulation sécurisées des terminaux
finaux des utilisateurs,
 Politique spécifique à la gestion des vulnérabilités techniques,
 Politique spécifique à la conservation des données de l'organisme,
 Politique spécifique à la sauvegarde,
 Politique spécifique à la journalisation,
 Politique spécifique à la cryptographie,
- Le manuel de procédures associées aux politiques spécifiques,
- Les fiches de poste du RSSI et des autres employés en relation avec la sécurité de
l’information,
- La matrice de flux des données,
- Les schémas d’architecture du système d’information,
- L’inventaire du matériel et logiciel informatique.
7. Domaines couverts par l’audit de la sécurité des systèmes d’information
L’audit de la sécurité des systèmes d’information est un jalon de l’amélioration de la maturité de la

sécurité du système d’information en vue d’établir un équilibre entre les risques et les bénéfices de
l’utilisation des moyens de traitement de l’information et d’assurer une amélioration quantifiable,
Version : 3.1
Date : 18/09/2023
efficace et efficiente des processus qui s’y rapporte. Le référentiel d’audit repose sur la norme
ISO/IEC 27002 :2022.
S’agissant d’un audit réglementaire et non pas d’un audit de la politique de sécurité des systèmes
d’information (PSSI), ni d’un audit de la mise en œuvre de cette PSSI, l’auditeur est tenu de vérifier
pour chaque domaine :
- la conformité par rapport aux critères d’audit au niveau des documents de référence de
l’audité (PSSI, procédures, etc.) le cas échéant,
- la conformité des pratiques de sécurité par rapport à ces critères d’audit.
8. Echantillonnage
Les critères d’échantillonnage pour chaque type de composante du système d’information à auditer
doivent être bien définis et justifiés.
9. Types de vérification
Les vérifications à effectuer tout au long de la mission d’audit sont présentées par contrôle de
sécurité. Les contrôles de sécurité sont regroupés en quatre grands domaines, à savoir :
- Contrôles de sécurité organisationnels,
- Contrôles de sécurité applicables aux personnes,
- Contrôles de sécurité physique,
- Contrôles de sécurité technologiques.
Version : 3.1
Date : 18/09/2023
Réf
Titre Domaine Moyen de vérification (sans s’y
ISO Description Vérifications à effectuer Preuves
/Contrôle limiter)
27002
5 Contrôles de sécurité organisationnels
Une politique de sécurité  S'il existe un document de politique de  Revue des documents de la PSI et  Document de PSI approuvé
de l’information et des sécurité de l’information (PSI) approuvée par des politiques spécifiques, par la DG,
politiques spécifiques la direction,  Entretien avec le DG,  Documents de politiques
doivent être définies,  Si tout changement apporté à la PSI est  Interviews d’un échantillon des spécifiques approuvés par
approuvées par la approuvé par la direction, utilisateurs, le niveau de direction
direction, publiées,  Si la PSI est renforcée par des politiques  Revue des PVs de réunion du comité approprié,
communiquées au spécifiques complémentaires, de sécurité.  Echantillon de décharges
personnel et aux parties  Si la responsabilité du développement, de la (ou courriers
intéressées concernés avec révision et de l'approbation des électroniques) attestant
demande de confirmation politiques spécifiques est attribuée au que les utilisateurs ont
et révisées à intervalles personnel approprié en fonction de son niveau reçu une copie de PSI ou
Politiques de planifiés et si des d'autorité et de sa compétence technique, des politiques spécifiques
5.1 sécurité changements significatifs  Si la PSI et les politiques spécifiques sont applicables avec
de l’information ont lieu. publiées et communiquées au personnel et confirmation de leur
aux parties intéressées concernés, compréhension de ces
 S’il est exigé des destinataires des politiques politiques et acceptation
de confirmer leur compréhension de ces de s’y conformer,
politiques et accepter de s'y conformer  Historique des mises à jour
lorsqu'elles sont applicables. de PSI et des politiques
 Si la PSI est passée en revue par un comité de spécifiques,
sécurité de haut niveau à intervalles  PV de réunion du comité
planifiés, ou si des changements significatifs de sécurité sur la màj de la
se produisent pour s'assurer que la PSI et les PSI.
politiques spécifiques sont toujours
pertinentes, adéquates et efficaces.
Fonctions et Les fonctions et les  Si un RSI, doté d’un pouvoir décisionnel et  Revue de l’organigramme, des fiches  Décision de nomination du
responsabilités responsabilités liées à la assurant le reporting directement à la de poste, des décisions et notes RSI,
5.2
liées à la sécurité sécurité de l’information direction, est désigné, internes en relation avec la sécurité  Décision de mise en place
de l’information doivent être définies et  Si un comité de sécurité est mis en place, du SI, du comité de sécurité,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
attribuées selon les  Si les rôles et les responsabilités liés à la  Entretien avec le DG,  PVs de réunions du
besoins de l’organisme. sécurité de l’information sont bien définis et  Interview du RSI (le cas échéant). comité,
attribués à des individus ayant les  Fiches de poste.
compétences requises.
Les tâches et les domaines  Si les tâches qui nécessitent d’être séparées  Revue des fiches de poste,  Fiches de poste,
de responsabilité sont identifiées et les responsabilités sont  Entretien avec les responsables des  Compte rendu de
incompatibles doivent être attribuées en conséquence, services métier pour l’identification vérification de la définition
cloisonnés pour éviter  Si une tâche de vérification régulière, de la des taches incompatibles, et de l'attribution des
qu’une personne ne puisse définition et de l'attribution des  Revue des procédures internes qui responsabilités.
réaliser seule des tâches responsabilités, est prévue et réalisée, identifient les tâches incompatibles,
Séparation des potentiellement
5.3  Si des contrôles compensatoires sont mis en  Vérification des droits d’accès sur
tâches incompatibles. place en cas d’attribution des tâches les systèmes qui hébergent ou
incompatibles à la même personne. traitent les services concernés,
 Vérification des contrôles
compensatoires en cas en cas
d’attribution des tâches
incompatibles à la même personne.
La direction doit demander  Si la direction exige explicitement (par une  Revue de la note interne signée par  Note interne signée par le
à tout le personnel note interne signée par le DG) que le le DG, DG.
d’appliquer personnel applique les exigences de sécurité  Entretien avec le DG,
les mesures de sécurité de conformément à la politique de sécurité de  Interview du DRH et du DAF.
l’information l'information, aux politiques spécifiques et
Responsabilités
5.4 conformément à la aux procédures établies par l’audité.
de la direction
politique de sécurité de
l'information, aux
politiques spécifiques et
aux procédures établies de
l'organisme.
Le contact avec les  Si les autorités avec lesquelles l’organisme  Revue de la liste de ces autorités,  Liste mise à jour de
Contacts avec les
5.5 autorités appropriées doit peut collaborer en matière de sécurité de  Revue de la procédure d’échange, contacts des autorités avec
autorités
être établi et maintenu. l'information sont identifiées,  Entretien avec les responsables des lesquelles l’organisme peut
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
 Si une liste mise à jour de contacts de ces différents services pour collaborer,
autorités est maintenue, l’identification des autorités  Procédure d'échange entre
 Si une procédure d'échange entre l’organisme compétentes. l’organisme et ces
et ces autorités est définie et mise en œuvre. autorités,
 Supports de
communication en vigueur
Courriers, Emails, PVs de
réunions, etc…).
Des contacts avec des  Si des groupes d’intérêt, des forums  Revue des accords éventuels établis  Abonnement à des mailing
groupes d’intérêt spécialisés dans la sécurité et des associations avec les groupes d’intérêt, les lists des constructeurs de
spécifiques, des forums professionnelles ont été identifiés, forums et les associations. produits utilisés et
spécialisés dans la sécurité  Si des contacts sont établis et maintenus avec  Interview du RSI pour l’identification d'institutions spécialisées
et des associations ces groupes, forums et associations, de ces groupes et les contacts dans le domaine de la
Contacts avec des
professionnelles doivent  Si des accords de partage d'informations ont éventuels établis et maintenus avec sécurité de l'information,
5.6 groupes d’intérêt
être établis et maintenus. été établis pour améliorer la coopération et la eux.  Participation à des
spécifiques
coordination en matière de sécurité. workgroups,
 Echange de retour
d'expérience,
 Accords établis avec les
groupes.
Les informations relatives  Si des objectifs sur la production de  Revue du document des objectifs  Document des objectifs sur
aux menaces de sécurité renseignements sur les menaces sont définis sur la production de renseignements la production de
de l'information doivent et établis, sur les menaces, renseignements sur les
être collectées et  Si les sources d'information internes et  Revue de la liste des sources menaces,
analysées pour produire externes nécessaires pour la production de d'information pour les  Liste des sources
Renseignements
5.7 les renseignements sur les renseignements sur les menaces sont renseignements sur les menaces, d'information pour les
sur les menaces
menaces. identifiées,  Revue des abonnements ou des renseignements sur les
 Si les informations sur les menaces existantes contrats avec les fournisseurs de menaces,
et émergentes sont collectées, analysées, renseignements sur les menaces,  Les abonnements et les
communiquées aux personnes appropriées et  Vérification de l'intégration des contrats avec les
exploitées, informations sur les menaces dans fournisseurs de
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
 Si les informations collectées auprès des les processus de gestion des risques, renseignements sur les
sources de renseignements sur les menaces  Revue d’un échantillon des menaces,
sont intégrées dans les processus de gestion informations sur les menaces,  Document de gestion des
des risques de sécurité de l'information de  Interview du DSI et du RSSI. risques,
l'organisme.  Un échantillon des
informations sur les
menaces.
La sécurité de  Si une analyse des risques liés à la sécurité de  Revue du document d’analyse des  Document d’analyse des
l'information doit être l'information est effectuée à un stade risques, risques,
intégrée dans la gestion de précoce du projet afin d'identifier les  Revue des documents des projets et  Documents de projets
projet. contrôles de sécurité nécessaires puis vérification de la prise en compte contenant l’expression des
périodiquement en tant que risques du des besoins de sécurité, besoins de sécurité,
projet, tout au long du cycle de vie du projet,  Revue des PVs des réunions des  Procédure de gestion des
 Si l’avancement et l’efficacité du traitement équipes de projets, projets en matière de
des risques de sécurité de l’information sont  Interview du RSI, sécurité de l’information,
Sécurité de
contrôlés lors de la gestion de projet,  Interview des responsables métier  Procédure de gestion des
l'information
 Si les responsabilités et autorités en matière et des chefs de projets, projets (volet en relation
5.8 dans la gestion de
de sécurité de l'information appropriées au  Revue des cahiers des charges des avec la sécurité de
projet
projet sont définies et attribuées à des projets, l’information),
fonctions précises,  Revue des critères d’acceptation des  PVs des réunions des
 Si les exigences de sécurité de l'information produits. équipes de projets,
pour les produits ou services qui doivent être  cahiers des charges des
livrés par le projet sont déterminées, projets,
 Si les exigences de sécurité de l'information  critères d’acceptation des
sont déterminées pour tous les types de produits.
projets, et pas seulement les projets de
développement de TIC.
Inventaire des Un inventaire des  S’il existe des règles relatives à l’inventoring  Revue de la PSI pour l’identification  PSI,
informations et informations et autres des actifs au niveau de la PSI, qui exigent le des règles relatives à l’inventoring,  Procédures d’inventoring,
5.9
autres actifs actifs associés, y compris maintien d’un inventaire des actifs,  Revue des procédures d’inventoring  Inventaire des
associés leurs propriétaires doit  Si des procédures d’inventoring des actifs des actifs, informations et autres
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
être élaboré et tenu à jour. sont développées et maintenues,  Revue de l’inventaire et vérification actifs associés.
 Si un inventaire ou registre est maintenu pour de son exhaustivité,
les informations et autres actifs associés de  vérification de l’existence du nom
l’audité et si leur importance en termes de du propriétaire pour les
sécurité de l’information est déterminé, informations et autres actifs
 Si la propriété d’actif est attribuée à une associés identifiés.
personne ou à un groupe pour les  Interview du DAF,
informations et autres actifs associés  Interview du DSI.
identifiés.
Les règles d'utilisation  Si une politique spécifique à l'utilisation  Revue de la politique spécifique à  Politique spécifique à
correcte et les procédures correcte des informations et autres actifs l'utilisation correcte des l'utilisation correcte des
de traitement des associés est élaborée, mise en œuvre et informations et autres actifs informations et autres
informations et autres communiquée à toute personne qui utilise ou associés, actifs associés,
actifs associés doivent être traite les informations et autres actifs  Revue des procédures d’utilisation  procédures d’utilisation
Utilisation identifiées, documentées associés. correcte des informations et des correcte des informations
correcte et mises en œuvre.  Si le personnel et les utilisateurs externes ont actifs associés, et des actifs associés,
des informations été sensibilisés aux exigences de sécurité  Revue d’un échantillon de contrats  Echantillon de contrats
5.10
et autres comprises dans cette politique et de leur avec les sous-traitants ayant l’accès avec les sous-traitants
actifs associés responsabilité de l’utilisation de tout moyen aux moyens de traitement de ayant l’accès aux moyens
de traitement de l’information. l’information, de traitement de
 Si des procédures d’utilisation correcte des  Interview du RSI et du DSI, l’information.
informations et des actifs associés, en  Interview du DRH et du DAF,
fonction de leur classification et des risques  Interview des responsables métier.
déterminés, sont élaborées et mises en
œuvre.
Le personnel et les autres  Si la restitution des actifs en possession du  Revue des documents relatifs aux  PVS de passation au terme
parties intéressées doivent personnel et des autres parties intéressées au fins de période de l’emploi et des de la période d’emploi,
Restitution des
restituer tous les terme de la période de l’emploi, du contrat contrats des sous-traitants (ex : PVs PVS de réception
5.11 actifs
actifs de l’organisme qui ou de l’accord est documentée, de passation, PVs de réception définitives,
sont en leur possession au  Si pendant la période de préavis et définitives, …),  Liste de contrôles
moment du changement ultérieurement, l'organisme contrôle la copie  Revue des contrôles mis en place interdisant les copies non
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
ou de la fin de leur emploi, non autorisée des informations pertinentes pour empêcher les copies non autorisées des
contrat (par exemple en matière de propriété autorisées des informations informations pertinentes
ou accord. intellectuelle) par le personnel notifié du pertinentes pendant et après la pendant et après la
préavis. période de préavis de fin du contrat période de préavis de fin
des employés et des sous-traitants, du contrat des employés et
 Interview du DRH et du DAF. des sous-traitants.
Les informations doivent  Si une politique spécifique à la classification  Revue de politique spécifique à la  Politique spécifique à la
être classifiées des informations est établie et communiquée classification des informations, classification des
conformément aux besoins aux parties intéressées concernées,  Interview des responsables métier, informations,
de sécurité de  Si le schéma de classification tient compte  Vérification des mesures de sécurité  Etat sur les mesures de
l'information de des exigences de confidentialité, d’intégrité sur un échantillon d’informations sécurité appliquées.
l'organisme en termes et de disponibilité sur la base des besoins classifiées critiques.
Classification des d’exigences de métier et des exigences légales,
5.12 Informations confidentialité, d'intégrité,  Si les actifs autres que les informations sont
de disponibilité et des classifiés conformément à la classification des
exigences informations qu'ils stockent, traitent ou
importantes des parties manipulent ou qu'ils protègent,
intéressées.  Si des mesures de sécurité spécifiques à
chaque classe sont appliquées en
concordance avec le système de
classification.
Un ensemble approprié de  Si des procédures de marquage de  Revue des procédures de marquage  Procédures de marquage
procédures pour le l'information conformément au schéma de des informations, des informations,
marquage des classification établi sont élaborées et mises  Interview des responsables métier,  Echantillon de documents
Marquage des informations en œuvre.  Vérification de marquage sur un
5.13
informations doit être élaboré et mis en échantillon de documents.
œuvre conformément au
schéma de classification
adopté par l’organisme.
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
Des règles, procédures ou  Si une politique spécifique au transfert des  Revue de la politique spécifique au  Politique spécifique au
accords sur le transfert des informations est établie, mise en œuvre et transfert des informations, transfert des informations,
informations doivent être communiquée à toutes les parties  Revue des accords et des  Accords et procédures liés
mises en place pour intéressées. procédures liés au transfert sécurisé au transfert des
tous types de moyens de  Si cette politique couvre tous les types de des informations, informations,
transfert au sein de transfert d’informations : transfert  Revue de la procédure propre à la  Procédure propre à la
l'organisme et entre électronique, transfert sur support de messagerie électronique définissant messagerie électronique,
l'organisme et des tierces stockage physique et transfert verbal, les précautions d'emploi et les  Programmes de sessions
parties.  Si des accords de transfert sont définis et mesures de sécurité à mettre en de sensibilisation réalisées
maintenus lorsque les informations sont œuvre, et bénéficiaires,
transférées entre l'organisme et des tierces  Revue des programmes de sessions  Document d’identification
parties, de sensibilisation réalisées et des obligations et des
 Si les règles, procédures et accords visant à bénéficiaires, responsabilités en cas
protéger les informations en transit incluent :  Interview des responsables métier, d’incident lié au transfert
Transfert des - les mesures nécessaires pour protéger du DSI et des administrateurs des informations,
5.14 informations l’information transférée contre système et réseau  Rapports de traitement
l’interception, l’accès non autorisé, la copie,  Interview d’un échantillon des incidents liés au
la modification, les erreurs d’utilisateurs, transfert des informations,
d’acheminement, la destruction et le déni  Revue du document d’identification  Echantillon de courriers
de service, des obligations et des électroniques transférant
- des mesures pour assurer la traçabilité et la responsabilités en cas d’incident lié des pièces jointes,
non-répudiation telle que le maintien d’une au transfert des informations,  Captures d’écran.
chaîne de traçabilité pour l’information en  Revue des rapports de traitement
transit, des incidents liés au transfert des
- l’utilisation des techniques de cryptographie informations,
pour protéger la confidentialité, l’intégrité  Vérification des mesures de sécurité
et l’authenticité des informations sensibles, mises en place pour la protection
- les obligations et les responsabilités en cas des messages,
d'incident de sécurité de l'information,  Vérification sur un échantillon de
comme la perte de supports de stockage courrier électronique de l’utilisation
physiques ou de données, du cryptage des pièces jointes
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
- l’utilisation d’un système de marquage contenant de l’information sensible,
convenu pour les informations sensibles,  Vérification des mesures de sécurité
- la fiabilité et la disponibilité du service de sur un échantillon de postes de
transfert, travail (connexion à la messagerie
- toute mesure particulière qui découle du par mot de passe non enregistré, …).
niveau de classification des informations
impliquées,
- la prise en compte des questions juridiques
en lien avec le transfert des informations,
comme les exigences en matière de
signatures électroniques,
 Si les règles, procédures et accords, en cas
d’un transfert électronique, prennent
également en compte les éléments suivants:
- détection et protection contre les logiciels
malveillants qui peuvent être transmis via
l’utilisation des communications
électroniques,
- protection des informations électroniques
sensibles communiquées sous forme de
pièces jointes comme l’utilisation des
techniques de cryptographie,
- des restrictions associées aux moyens de
communication électronique, comme le
renvoi automatique de courriers
électroniques vers des adresses
électroniques extérieures, sont mises en
place,
- obtention d'une approbation avant d'utiliser
des services publics externes tels que les
messageries instantanées, les réseaux
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
sociaux, le partage de fichiers ou le stockage
en nuage,
- niveaux renforcés d'authentification lors du
transfert des informations via des réseaux
accessibles au public,
 Si une procédure propre à la messagerie
électronique définissant les précautions
d'emploi et les mesures de sécurité à mettre
en œuvre est élaborée et mise en œuvre,
 Si le personnel et les autres parties
intéressées sont sensibilisés, en cas d’un
transfert verbal, de ne pas tenir de
conversation confidentielle dans des lieux
publics ou via des canaux de communication
non sécurisés, de s’assurer que les mesures
de sécurité appropriées sont mises en œuvre
dans la salle (porte fermée, insonorisation, …)
et de commencer toute conversation sensible
par un avertissement concernant le niveau de
classification des informations parlées.
Des règles visant à  Si les exigences métier et de sécurité de  Revue de la politique de contrôle  Inventaire des
contrôler l'accès physique l'information relatives au contrôle d'accès d'accès, informations, leurs
et logique aux sont déterminées par les propriétaires des  Revue des procédures de contrôle propriétaires, les entités
informations et autres informations et autres actifs associés, d'accès aux différents systèmes, qui ont besoin des accès à
actifs associés en fonction  Si les entités qui nécessitent un type d'accès  Interviews des responsables métiers ces informations et leurs
5.15
Contrôle d'accès des exigences métier et de défini aux informations et autres actifs pour : rôles,
sécurité de l'information associés sont bien déterminées (selon « le - l’identification des exigences  Document d’identification
doivent être définis et mis besoin d'en connaître » et « le besoin métier et de sécurité de des risques d’accès non
en œuvre. d'utiliser», l'information relatives au autorisé à ces
 Si une politique de contrôle d'accès dans le contrôle d'accès, des entités qui informations,
cadre de la politique de sécurité de nécessitent un type d'accès  Politique de contrôle
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
l'information de l’audité est élaborée et mise défini et leurs rôles les d’accès,
en œuvre en prenant en compte les points propriétaires des informations,  Procédures de contrôles
précédents, - l’identification des risques d’accès,
 Si cette politique de contrôle d'accès est d’accès non autorisé à ces  Diagramme des flux
appuyée par des procédures de contrôle entités. réseau,
d'accès aux différents systèmes.  Revue de la procédure de contrôle  Document d’identification
 Si la classification des informations a eu lieu, d'accès au réseau et vérification de des rôles et des
 Si les droits d'accès sont cohérents avec la sa conformité avec la politique de responsabilités de chaque
classification des informations, contrôle d'accès, entité dans l'attribution
 Si les fonctions de contrôle d'accès (ex: la  Revue du diagramme des flux des accès au réseau,
demande d'accès, l'autorisation d'accès et réseau pour l’identification des  Document de définition
l'administration des accès) sont séparées, entités pouvant avoir accès et les des rôles et des
 Si les accès nécessaires pour chaque entité accès nécessaires pour chacune responsabilités de chaque
selon le principe du « moindre privilège » d’elle selon le principe du « moindre entité dans l'attribution de
sont identifiés, privilège », ces accès,
 Si les rôles et les responsabilités de chaque  Revue de la définition des rôles et  ACL sur les équipements
entité dans l'attribution de ces accès sont des responsabilités de chaque entité réseau et de sécurité,
définis, dans l'attribution de ces accès,  Procédure de contrôle
 Si les approbations sont définies et révisées  Revue des ACL sur les équipements d'accès au réseau.
régulièrement, réseau et de sécurité (Switchs,
 Si les tâches sont séparées. routeurs, firewalls, …),
 Interview de l’administrateur
réseau.
Le cycle de vie complet des  Si un processus de gestion des identités est  Revue du processus de gestion des  Document du processus de
identités doit être géré. défini, documenté et mis en œuvre, identités, gestion des identités,
 Si les identités attribuées aux personnes sont  Vérification des comptes  Liste des comptes
Gestion des
uniques pour tenir la personne responsable utilisateurs sur les serveurs pour utilisateurs sur les
5.16 identités
des actes effectués sous cette identité l’identification de ceux qui sont serveurs,
spécifique, partagés, redondants ou obsolètes,  Document de revue des
 Si l'utilisation d'identifiants partagés n’est  Revue des évènements accès,
autorisée que lorsqu'elle est nécessaire pour d'authentification,  Log des serveurs,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
des raisons métier ou opérationnelles et si  Revue de la procédure de gestion  Procédure de gestion des
elle est approuvée et documentée, des accès, accès.
 Si les identités attribuées à des entités non  Interview de l’administrateur
humaines sont approuvées et surveillées systèmes, BD et réseaux.
d'une manière continue,
 Si les identités non utilisées sont désactivées
ou supprimées (par exemple si les entités
associées sont supprimées ou ne sont plus
utilisées, ou si la personne liée à une identité
a quitté l'organisme ou a changé de fonction),
 Si les évènements liés à la gestion des
identités et les informations
d'authentification sont conservés,
 Si les identités des tierces parties fournissent
le niveau de confiance requis et que tout
risque associé est identifié et suffisamment
traité,
 Si une procédure de gestion des accès est
définie et mis en œuvre,
 Si les identifiants utilisateur redondants sont
périodiquement identifiés et supprimés ou
désactivés.
L’attribution et la gestion  Si un processus de gestion formel est mis en  Revue du processus d’attribution  Document du processus
des informations secrètes œuvre pour l’attribution des informations des informations secrètes d’attribution des
d’authentification doivent secrètes d’authentification, d’authentification, informations secrètes
Informations être contrôlées par un  Si les utilisateurs sont tenus de signer un  Revue d’un échantillon d’authentification,
5.17 d'authentification processus de gestion, engagement pour garder confidentielles les d’engagements de confidentialité  Echantillon d’engagements
incluant des informations secrètes d'authentification (cet des utilisateurs détenant des de confidentialité,
recommandations au engagement signé peut être inclus dans les informations secrètes  Echantillon d’accusés de
personnel sur l’utilisation conditions d'emploi), d'authentification, réception des informations
appropriée des  Si les informations secrètes d'authentification  Interview des administrateurs secrètes d’authentification,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
informations temporaire sont fournies aux utilisateurs de systèmes, réseaux, BD et  Captures d’écran de
d’authentification. manière sécurisée (l'utilisation de parties applications, tentatives de connexions
externes ou de messages électroniques non  Revue d’un échantillon d’accusés de utilisant des informations
protégés (en texte clair) doit être évitée), réception de ces informations, secrètes d'authentification
 Si les utilisateurs signent un accusé de  Test d’accès sur les systèmes et par défaut des
réception des informations secrètes logiciels en utilisant des fournisseurs.
d'authentification, informations secrètes  Programme de sessions de
 Si les informations secrètes d'authentification d'authentification par défaut des sensibilisation réalisées et
par défaut des fournisseurs des systèmes ou fournisseurs, bénéficiaires,
des logiciels sont modifiées après leur  Revue des programmes de sessions  Listes des participants aux
l'installation, de sensibilisation, sessions de sensibilisation.
 Si tous les utilisateurs sont sensibilisés et  Interview du DRH pour
invités à : l’identification des sujets des
- garder confidentielles les informations sessions de sensibilisation relative à
secrètes d'authentification, en veillant à ce l’utilisation d’informations secrètes
qu'elles ne soient pas divulguées à d'autres d’authentification,
parties, y compris à leurs supérieurs  Interview d’un échantillon
hiérarchiques, d’employés ayant participé à ces
- éviter de conserver un enregistrement sessions.
d'informations secrètes d'authentification
(par exemple sur du papier, un fichier
logiciel ou un appareil portatif), sauf si cela
peut être stocké de manière sécurisée et si
la méthode de stockage a été approuvée
(par exemple, coffre-fort),
- changer les informations secrètes
d'authentification chaque fois qu'il y a un
soupçon de sa compromission,
- ne pas partager ses propres informations
secrètes d'authentification,
- ne pas utiliser les mêmes informations
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
secrètes d'authentification à des fins
professionnelles et personnelles,
 les mots de passe personnels ou les numéros
d’identification personnels (codes PIN) sont
générés automatiquement pendant les
processus d'inscription en tant
qu'informations d'authentification secrètes
temporaires et que les utilisateurs doivent les
modifier après la première utilisation,
 Si le système impose l'utilisation d'identifiants
d'utilisateur et de mots de passe individuels
pour garantir l’imputabilité,
 Si le système permet aux utilisateurs de
sélectionner et de modifier leurs propres
mots de passe avec la possibilité de
confirmation pour éviter les erreurs de saisie,
 Si le système impose un choix de mots de
passe de qualité (longueur, lettres, chiffres,
caractères spéciaux …),
 Si le système force les utilisateurs à changer
leurs mots de passe lors de la première
connexion,
 Si le système exige un changement
périodique des mots de passe et au besoin,
 Si le système tient un enregistrement des
mots de passe utilisés précédemment et
empêche leur réutilisation,
 Si le système masque les mots de passe sur
l'écran lors de la saisie,
 Si le système stocke les fichiers de mot de
passe séparément des données des
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
applications,
 Si le système stocke et transmet les mots de
passe sous une forme protégée.
Les droits d'accès aux  Si un processus de provision ou de révocation  Revue des matrices des droits  Politique de contrôle
informations et autres des droits d'accès physiques et logiques d’accès et des fiches de postes et d’accès,
actifs associés doivent être accordés à l’identité authentifiée d’une entité vérification :  Matrice des droits d’accès,
pourvus, révisés, est mis en œuvre, - de la conformité des niveaux  Fiches de postes d’un
modifiés et supprimés  Si l'autorisation du propriétaire des d’accès avec la politique de échantillon d’utilisateurs.
conformément à la informations et autres actifs associés, pour contrôle d’accès,
politique spécifique au l'utilisation de ces informations et autres - de la compatibilité de ces niveaux
contrôle d'accès et aux actifs associés, est obtenue et si une d’accès avec la séparation des
règles de contrôle d'accès approbation distincte des droits d'accès de la tâches,
de l'organisme. part de la direction est nécessaire,  Interview des responsables métiers
 Si le niveau d'accès accordé est conforme à la et des administrateurs systèmes et
Droits d'accès politique de contrôle d'accès et est BD,
5.18
compatible avec d'autres exigences telles que  Vérification des droits d’accès sur
la séparation des tâches, les serveurs et les équipements
 Si un enregistrement des droits d'accès réseau et de sécurité d’un
accordés à un utilisateur, pour accéder aux échantillon d’utilisateurs ayant
informations et autres actifs associés, est changé de rôle ou d'emploi ou
maintenu, quitté l’organisme.
 Si les droits d'accès des utilisateurs qui ont
changé de rôle ou d'emploi sont mis à jour et
si les droits d'accès des utilisateurs ayant
quitté l'organisme sont supprimés ou bloqués
immédiatement,
 Si les droits d'accès sont périodiquement
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
revus avec les propriétaires des informations
et autres actifs associés,
 Si les droits d'accès des utilisateurs sont revus
à intervalles réguliers et après tout
changement, comme la promotion, la
rétrogradation ou la cessation d'emploi,
 Si les droits d'accès des utilisateurs sont revus
et réaffectés lors de la modification des rôles
au sein de l’organisme,
 Si les autorisations pour les droits d'accès à
privilèges sont revues à des intervalles plus
fréquents,
 Si les modifications apportées aux comptes à
privilèges sont journalisées,
 Si les droits d'accès de tous les employés et
les sous-traitants, aux informations et aux
moyens de traitement de l'information, sont
supprimés à la fin de leur emploi, contrat ou
convention, ou sont ajustés en cas de
changement.
Des processus et  Si une politique identifiant et imposant des  Revue de la politique identifiant et  Politique identifiant et
procédures pour gérer les mesures de sécurité spécifiques aux accès des imposant des mesures de sécurité imposant des mesures de
risques de sécurité de fournisseurs aux actifs de l’audité est spécifiques aux accès des sécurité spécifiques aux
Sécurité de
l'information qui sont élaborée et mise en œuvre, fournisseurs aux actifs de l’audité, accès des fournisseurs aux
l'information
associés à l'utilisation des  Si des processus et des procédures pour  Revue de la liste des types de actifs de l’audité,
dans les relations
5.19 produits ou services du traiter les risques de sécurité associés à fournisseurs (par exemple services  Liste des types de
avec les
fournisseur doivent être l'utilisation des produits et services des informatiques, services logistiques, fournisseurs (par exemple
fournisseurs
définis et mis en œuvre. fournisseurs sont identifiés et mis en œuvre, services financiers, composants de services informatiques,
 Si ces processus et ces procédures prennent l’infrastructure informatique), services logistiques,
en considération les relations avec les  Revue des engagements personnels services financiers,
fournisseurs de services en nuage, de respect des clauses de sécurité composants de
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
 Si les types de fournisseurs, (par exemple signés par les collaborateurs du l’infrastructure
services informatiques, services logistiques, fournisseur, informatique),
services financiers, composants de  Revue du rapport d’analyse des  Engagements personnels
l’infrastructure informatique), auxquels risques liés aux accès du personnel de respect des clauses de
l’organisme accordera un accès à son du fournisseur, sécurité signés par les
information sont identifiés et documentés,  Revue de la définition des types collaborateurs du
 Si les critères d'évaluation et de sélection des d’accès à l’information accordés aux fournisseur,
fournisseurs sont définis et documentés, différents types de fournisseurs,  Rapport d’analyse des
 Si on impose contractuellement à tout  Revue du rapport de traitement des risques liés aux accès du
fournisseur pouvant avoir accès ou favoriser incidents et des impondérables personnel du fournisseur,
l'accès à des informations ou à des ressources associés aux accès fournisseurs.  Liste des types d’accès à
sensibles, que ses collaborateurs signent un l’information accordés aux
engagement personnel de respect des clauses différents types de
de sécurité spécifiées, fournisseurs,
 Si une analyse des risques liés aux accès du  Rapport de traitement des
personnel du fournisseur au système incidents et des
d'information ou aux locaux contenant de impondérables associés
l'information est réalisée et si les mesures de aux accès fournisseurs.
sécurité nécessaires sont définies en
conséquence,
 Si les types d’accès à l’information que les
différents types de fournisseurs se verront
accorder sont définis et si ces accès sont
surveillés et contrôlés,
 Si les incidents et les impondérables associés
aux accès fournisseurs, incluant les
responsabilités de l’organisme et celles des
fournisseurs sont identifiés et traités,
 Si la sécurité de l'information est préservée
pendant la durée du transfert d’informations
et autres actifs associés,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
 Si les exigences pour assurer une rupture
sécurisée de la relation avec le fournisseur
sont définies et documentées,
 Si les procédures pour la continuité du
traitement des informations dans le cas où le
fournisseur ne serait plus en mesure de
fournir ses produits ou ses services sont
définies et documentées.
Les exigences de sécurité  Si l'ensemble des clauses de sécurité que  Revue du document de définition de  Document de définition de
de l'information devrait comprendre tout accord signé avec un l'ensemble des clauses de sécurité l'ensemble des clauses de
appropriées doivent être tiers impliquant un accès au système que devrait comprendre tout accord sécurité que devrait
mises en place et d'information ou aux locaux contenant de signé avec un tiers, comprendre tout accord
convenues avec chaque l'information est défini et documenté,  Revue d’un échantillon d’accords signé avec un tiers,
fournisseur, selon le type  Si les accords avec les fournisseurs formels ou de contrats avec les tiers  Echantillon d’accords
de relation avec le contiennent le respect de toutes les contenant ces clauses, formels ou de contrats
fournisseur. exigences de sécurité de l'information (y  Interview du DAF, du responsable avec les tiers contenant
compris la description et la classification des juridique et du RSSI. ces clauses.
La sécurité de
informations, les méthodes d'accès aux
l'information
informations et les règles d'utilisation
dans les accords
5.20 acceptable des informations et autres actifs
conclus avec les
associés),
fournisseurs
 Si les accords avec les fournisseurs
contiennent les exigences légales, statutaires,
réglementaires et contractuelles, y compris la
protection des données, le traitement des
données à caractère personnel (DCP), les
droits de propriété intellectuelle et les droits
d'auteur et la description de la manière
d’assurer que ces exigences sont respectées,
contiennent les exigences de gestion des
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
incidents (en particulier la notification et la
collaboration lors de l'action corrective),
contiennent les mesures de sécurité pour le
transfert des informations,
 Si tout accès d'un tiers au système
d'information ou aux locaux contenant de
l'information n'est autorisé qu'après la
signature d'un accord formel reprenant ces
clauses.
Des processus et  Si une analyse des risques de la sécurité de  Revue du rapport d’analyse des  Rapport d’analyse des
procédures pour gérer les l’information associés à la chaine risques de la sécurité de risques de la sécurité de
risques de sécurité de d’approvisionnement est réalisée, l’information associés à la chaine l’information associés à la
l'information associés à la  Si les exigences sur le traitement de ces d’approvisionnement, chaine
chaîne risques sont incluses dans les accords ou  Revue d’un échantillon d’accords ou d’approvisionnement,
d'approvisionnement des contrats conclus avec les fournisseurs, de contrats avec les fournisseurs,  Echantillon d’accords ou
produits et services TIC  Si les contrats avec les fournisseurs exigent  Revue de processus de surveillance de contrats avec les
Gestion de la doivent être définis et mis que les fournisseurs de produits TIC pour valider la conformité des fournisseurs,
sécurité de en œuvre. propagent des pratiques de sécurité produits et services TIC fournis,  Le processus de
l'information appropriées à travers toute la chaîne  Interview du DAF et du RSSI. surveillance pour valider la
5.21 dans la chaîne d'approvisionnement si ces produits conformité des produits et
d'approvisionnem contiennent des composants achetés ou services TIC fournis.
ent TIC obtenus auprès d'autres fournisseurs ou
d'autres entités (par exemple, sous-traitants
en développement de logiciels et fournisseurs
de composants matériels),
 S'il existe un processus de surveillance pour
valider la conformité des produits et services
TIC fournis avec les exigences de sécurité
spécifiées (exemple : des tests de pénétration
et la preuve ou la validation des attestations
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
de tierce partie portant sur les opérations de
sécurité de l'information des fournisseurs).
L’organisme doit procéder  Si les niveaux de performance des services  Revue du rapport de surveillance  Rapport de surveillance
régulièrement à la sont surveillés et si leur conformité avec les des niveaux de performance des des niveaux de
surveillance, à la révision, à accords est vérifiée, services des fournisseurs, performance des services
l’évaluation et à la gestion  Si les rapports de service produits par le  Revue des PVs de réunion avec les des fournisseurs,
des changements des fournisseur sont revus et si des réunions fournisseurs,  PVs de réunion avec les
pratiques de sécurité de régulières sur l’avancement sont organisées  Revue des aspects liés à la sécurité fournisseurs,
l’information du comme l’exigent les accords, de l’information dans les relations  Rapport des changements
fournisseur et de  Si les aspects liés à la sécurité de du fournisseur avec ses propres apportés aux accords
prestation de services. l’information dans les relations du fournisseur fournisseurs, passés avec les
Surveillance,
avec ses propres fournisseurs sont revus,  Interview du DSI et du RSI, fournisseurs,
révision et
 Si les changements apportés aux accords  Interview d’un échantillon de  Rapports des changements
gestion des
passés avec les fournisseurs sont gérés, fournisseurs, effectués par l’audité,
5.22 changements des
 Si les changements effectués par l’audité  Revue du rapport des changements  Rapports des changements
services
pour mettre en œuvre: apportés aux accords passés avec dans les services assurés
fournisseurs
- des améliorations aux services offerts, les fournisseurs, par les fournisseurs.
- le développement d’applications et de  Revue des rapports des
systèmes nouveaux, changements effectués par l’audité,
- des changements ou des mises à jour des  Revue des rapports des
politiques et des procédures de l’organisme changements dans les services
sont gérés, assurés par les fournisseurs.
 Si les changements dans les services assurés
par les fournisseurs pour mettre en œuvre :
- des changements et des améliorations
apportées aux réseaux,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
- l’utilisation de nouvelles technologies,
- l’adoption de nouveaux produits ou des
versions/des éditions plus récentes,
- des outils et des environnements de
développement nouveaux,
- des changements apportés à l’emplacement
physique des équipements de dépannage,
- des changements de fournisseurs,
- la sous-traitance à un autre fournisseur
sont gérés.
Les processus  Si une politique spécifique à l'utilisation de  Revue de la politique spécifique à  Politique spécifique à
d'acquisition, d'utilisation, services en nuage est établie et l'utilisation de services en nuage, l'utilisation de services en
de gestion et de cessation communiquée à toutes les parties  Revue de processus de gestion des nuage,
des services en nuage intéressées, risques de sécurité de l'information  Document de gestion des
doivent être établis  Si un processus de gestion des risques de associés à l'utilisation de services en risques de sécurité de
conformément aux sécurité de l'information associés à nuage, l'information associés à
exigences de sécurité de l'utilisation de services en nuage est définit et  Revue des fonctions et l'utilisation de services en
l'information de communiqué, responsabilités relatives à nuage,
Sécurité de l'organisme.  Si les responsabilités qui incombent au l'utilisation et à la gestion des  Liste des fonctions et
l'information
fournisseur de services en nuage et à services en nuage, responsabilités relatives à
dans l'utilisation
5.23 l'organisme, en sa qualité de client des  Revue de la procédure de gestion l'utilisation et à la gestion
de services en
services en nuage, sont définies et mises en des incidents de sécurité de des services en nuage,
nuage
œuvre de manière appropriée, l'information,  Procédure de gestion des
 Si toutes les exigences de sécurité de  Revue des contrats et des garanties incidents de sécurité de
l'information associées à l'utilisation des signés avec les fournisseurs de l'information,
services en nuage sont définies, services en nuage.  Contrats et garanties
 Si les fonctions et responsabilités relatives à signés avec les
l'utilisation et à la gestion des services en fournisseurs de services en
nuage sont définies, nuage.
 Si une garantie sur les mesures de sécurité de
l'information mises en œuvre par le
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
fournisseur de services en nuage est obtenue,
 Si une procédure de gestion des incidents de
sécurité de l'information qui se produisent en
lien avec l'utilisation des services en nuage
est définie,
 Si la façon de changer ou d’arrêter l’utilisation
des services en nuage, y compris les
stratégies de sortie des services en nuage est
définie,
 Si un contrat avec le fournisseur de services
en nuage garantissant la protection des
données de l'organisme et assurant la
disponibilité des services est signé.
L'organisme doit planifier  Si des responsabilités pour garantir une  Revue du document de définition  Document de définition
et préparer la gestion des gestion efficace des incidents sont définies et des responsabilités relatives à la des responsabilités
incidents de sécurité de documentées, gestion des incidents, relatives à la gestion des
l'information en procédant  Si les procédures suivantes sont élaborées et  Revue des fiches de postes du incidents,
à la définition, à mises en œuvre : personnel affecté à la gestion des  Fiches de postes du
Planification et l'établissement et à la - Procédure de surveillance, de détection, incidents, personnel affecté à la
préparation de la communication des d’analyse et de signalement des  Revue des différentes procédures de gestion des incidents,
gestion des processus, fonctions et événements et des incidents liés à la gestion des incidents,  Procédures de gestion des
5.24 incidents de responsabilités liés à la sécurité de l’information,  Revue d’un échantillon de fiches incidents,
sécurité de gestion des incidents de - Procédure de journalisation des activités de d’incidents,  Echantillon de fiches
l'information sécurité de l'information. gestion des incidents,  Interview du DSI et du RSSI. d’incidents.
- Procédure de traitement des incidents,
- Procédure de réponse, incluant les
procédures de remontée d’information, de
récupération contrôlée de l’incident et de
communication aux parties intéressées
internes et externes.
5.25 Évaluation des Les événements de  S’il existe un schéma de catégorisation et de  Revue du schéma de catégorisation  Schéma de catégorisation
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
événements de sécurité de l’information priorisation des incidents de sécurité de et de priorisation des incidents de et de priorisation des
sécurité de doivent être évalués et l'information pour l'identification des sécurité de l'information, incidents de sécurité de
l'information et il doit être décidé s’il faut conséquences et de la priorité d’un incident,  Revue du rapport d’analyse des l'information,
prise de décision les catégoriser comme des  Si le schéma inclue les critères pour événements liés à la sécurité de  Rapport d’analyse des
incidents de sécurité de catégoriser les événements en tant l’information, événements liés à la
l’information. qu’incidents de sécurité de l'information,  Revue des enregistrements de sécurité de l’information,
 Si le point de contact évalue chaque l’évaluation des événements et des  Enregistrements de
événement de sécurité de l'information en décisions prises, l’évaluation des
utilisant le schéma,  Interview du DSI et du RSI, événements et des
 Si le personnel responsable de la coordination  Revue des registres des résultats de décisions prises,
et de la réponse aux incidents de sécurité de traitement des événements liés à la  Registres des résultats de
l'information procède à l’évaluation et prend sécurité. traitement des
une décision sur les événements de sécurité événements liés à la
de l'information, sécurité.
 Si les résultats de l’évaluation des
événements et les décisions prises sont
enregistrés de manière détaillée en vue de
vérifications ou de références ultérieures.
Les incidents liés à la  Si une équipe de réponse aux incidents est  Revue de la note de constitution de  Note de constitution de
sécurité de l’information mise en place, l’équipe de réponse aux incidents, l’équipe de réponse aux
doivent être traités  Si cette équipe est accessible en permanence,  Revue du registre des incidents, incidents,
conformément aux  Si un système supportant la gestion des  Revue du plan de traitement des  Registre des incidents,
Réponse aux procédures documentées. incidents est mis en place, incidents,  Plan de traitement des
incidents de  Si ce système centralise et prend en compte  Revue de la BD des incidents, incidents,
5.26 sécurité de aussi bien les incidents détectés par  Revue du tableau de bord des  BD des incidents,
l'information l'exploitation que ceux signalés par les incidents,  Tableau de bord des
utilisateurs,  Interview des membres de l’équipe incidents.
 Si ce système permet un suivi et une relance de réponse aux incidents et du RSI.
automatiques des actions nécessaires,
 Si ce système incorpore une typologie des
incidents avec élaboration de statistiques et
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
de tableau de bord des incidents à
destination du RSI,
 Si les preuves sont recueillies aussitôt que
possible après l’incident,
 Si les failles constatées dans la sécurité de
l’information causant ou contribuant à
l’incident sont traitées,
 Si, une fois que l’incident a été résolu avec
succès, il est clôturé formellement et
enregistré.
Les connaissances  Si les incidents sont revus régulièrement pour  Revue des rapports de synthèse des  Rapports de synthèse des
recueillies suite à l’analyse quantifier et surveiller les différents types incidents, incidents,
et la résolution d’incidents d'incidents liés à la sécurité de l'information,  Revue des leçons tirées de l’analyse  Document des leçons
Tirer des doivent être utilisées pour leur volume, les coûts associés et leurs des incidents, tirées de l’analyse des
enseignements réduire la probabilité ou impacts,  Revue de la liste des mesures incidents,
des incidents de l’impact d’incidents  Si les informations obtenues par l’analyse des nécessaires pour limiter la  Liste des mesures.
5.27
sécurité de ultérieurs. incidents de sécurité passés sont exploitées fréquence des futurs incidents ainsi
l'information afin d'identifier les incidents récurrents ou que les dommages et les coûts
ayant un fort impact avec les mesures associés.
nécessaires pour limiter la fréquence des
futurs incidents ainsi que les dommages et les
coûts associés.
L’organisme doit définir et  Si une procédure d’identification, de collecte  Revue de la procédure  Procédure d’identification,
appliquer des procédures et de protection de l’information pouvant d’identification, de collecte et de de collecte et de
d’identification, de servir de preuve est élaborée et mise en protection de l’information pouvant protection de l’information
Collecte des collecte, d’acquisition et œuvre, servir de preuve, pouvant servir de preuve,
5.28 preuves de protection de  Si la collecte de preuves est réalisée chaque  Revue d’un échantillon de preuves,  Echantillon de preuves.
l’information pouvant fois qu'une action juridique doit être  Interview du DSI, du RSI et du DRH.
servir de preuve. envisagée,
 Si lors d’incidents de sécurité suivis d’action
en justice contre des personnes physiques ou
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
morales, les éléments de preuve sont
collectés, conservés, et présentés
conformément aux juridictions concernées,
 Si des procédures sont prévues et suivies
pour la collecte d’éléments de preuve en cas
d’incidents de sécurité impliquant des
procédures disciplinaires internes à
l’organisme.
L’organisme doit planifier  Si une analyse de l’impact sur l’activité des  Revue du rapport d’analyse de  Rapport d’analyse de
comment maintenir la aspects liés à la sécurité de l’information est l’impact sur l’activité des aspects liés l’impact sur l’activité des
sécurité de l’information réalisée, à la sécurité de l’information, aspects liés à la sécurité de
au niveau approprié  Si les exigences de sécurité de l’information  Revue du document des exigences l’information,
pendant une perturbation. applicables aux situations défavorables sont de sécurité de l’information  Document des exigences
déterminées, à la lumière des résultats de applicables aux situations de sécurité de
l’analyse de l’impact, et documentées, défavorables, l’information applicables
 Si les mesures de sécurité de l'information, et  Revue du processus qui maintient le aux situations
les systèmes et outils supports dans les plans fonctionnement des mesures de défavorables,
de continuité d'activité et de continuité TIC sécurité de l'information existantes  Processus qui maintient le
Sécurité de
ont été mises en œuvre et maintenues, pendant une perturbation, fonctionnement des
l'information
5.29  Si les objectifs de continuité de la sécurité de  Interview du DSI et du RSI. mesures de sécurité de
pendant une
l’information sont approuvés par la direction,  Revue de la note de désignation de l'information existantes
perturbation
 si la continuité de la sécurité de l’information la structure de gestion et pendant une perturbation.
est intégrée au processus de gestion de la nomination de ces membres,  Note de désignation de la
continuité de l’activité ou au processus de  Revue des processus, des structure de gestion et
gestion de la récupération après sinistre, procédures et des mesures nomination de ces
 Si les exigences de continuité de la sécurité permettant de fournir le niveau membres,
de l’information sont formulées de manière requis de continuité de la sécurité  Processus, procédures et
explicite dans les processus de gestion de la de l’information au cours d’une mesures permettant de
continuité de l’activité et de gestion de la crise, fournir le niveau requis de
récupération après sinistre,  Revue des PCA, continuité de la sécurité de
 S’il existe une structure de gestion adéquate  Revue des rapports de test des PCA, l’information au cours
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
pour se préparer, atténuer et réagir à un  Revue du rapport d’analyse des d’une crise,
événement perturbant en mobilisant du résultats des tests des PCS,  PCAs et dates de leur MAJ,
personnel possédant l’autorité, l’expérience  Interview du DSI et des membres de  Rapports de test des PCAs,
et les compétences nécessaires, la structure de gestion,  Rapport d’analyse des
 Si les membres du personnel chargés de la  Interview d’un échantillon du résultats des tests des
réponse à apporter aux incidents, et qui personnel, PCAs,
possèdent les responsabilités, l’autorité et les  Revue du rapport de test  Rapport de test
compétences nécessaires pour gérer les fonctionnalités des processus, des fonctionnalités des
incidents et maintenir la sécurité de procédures et des mesures de processus, des procédures
l’information, sont nommées, continuité de la sécurité de et des mesures de
 Si des processus, des procédures et des l’information, continuité de la sécurité de
mesures permettant de fournir le niveau  Revue du rapport d’audit de la l’information,
requis de continuité de la sécurité de validité et l’efficacité des mesures  Rapport d’audit de la
l’information au cours d’une crise sont de continuité de la sécurité de validité et l’efficacité des
élaborés et mis en œuvre, l’information après changement mesures de continuité de
 Si des Plans de Continuité d'Activité (PCA) dans systèmes d’information, les la sécurité de l’information
pour chaque activité critique sont élaborée, processus, les procédures et les après changement dans
 Si le personnel est formé à la mise en œuvre mesures de sécurité de systèmes d’information,
de ces plans, l’information, les processus, les
 Si ces plans sont mis à jour régulièrement,  Interview du RSI. procédures et les mesures
 Si ces plans sont testés régulièrement, de sécurité de
 Si les résultats des tests sont analysés avec l’information.
direction et les parties prenantes concernées.
 Si les fonctionnalités des processus, des
procédures et des mesures de continuité de
la sécurité de l’information sont testés à
intervalles réguliers pour s’assurer qu’elles
sont cohérentes avec les objectifs de
continuité de la sécurité de l’information,
 Si la validité et l’efficacité des mesures de
continuité de la sécurité de l’information sont
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
revues à intervalle régulier lorsque les
systèmes d’information, les processus, les
procédures et les mesures de sécurité de
l’information ou les solutions et les processus
de gestion de la continuité de
l’activité/gestion de la récupération après
sinistre connaissent des changements.
La préparation des TIC  Si une structure organisationnelle adéquate  Revue des fiches de poste,  Fiches de poste,
doit être planifiée, mise en est en place pour se préparer, atténuer et  Revue du plan de continuité des  Plan de continuité des
œuvre, maintenue et répondre à une perturbation prise en charge TIC, TIC,
testée en se basant sur les par du personnel détenant la responsabilité,  Revue des procédures de réponse  Procédures de réponse
objectifs de continuité l'autorité et les compétences nécessaires, et de reprise. et de reprise.
d'activité et des exigences  Si les plans de continuité des TIC, y compris
de continuité des TIC. des procédures de réponse et de reprise
détaillant la façon dont l'organisme prévoit
de gérer une perturbation des services TIC,
sont:
Préparation des - régulièrement évalués par le biais
TIC pour la d'exercices et de tests,
5.30
continuité - approuvés par la direction,
d'activité  Si les plans de continuité des TIC incluent les
informations de continuité des TIC suivantes:
- les spécifications de performances et de
capacité pour respecter les exigences et
les objectifs de continuité d'activité tels
que spécifiés dans l’analyse d’impact sur
l’activité (AIA),
- le délai de reprise (DR) de chaque service
TIC priorisé et les procédures de
restauration de ces composants,
- les objectifs de point de reprise (OPR)
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
des ressources TIC priorisées définies en
tant qu'informations et les procédures
de restauration des informations.
Les exigences légales,  Si les exigences externes, y compris les  Revue des documents relatifs aux  Documents relatifs aux
statutaires, réglementaires exigences légales, statutaires, réglementaires exigences réglementaires, exigences
et contractuelles ou contractuelles, sont prises en compte lors contractuelles et légales, réglementaires,
pertinentes pour la de:  Revue du document des mesures contractuelles et légales,
sécurité de l’information, - l’élaboration des politiques et des spécifiques et des responsabilités  Historique des MAJ de
ainsi que l'approche de procédures de sécurité de l'information, individuelles mises en place pour document,
l'organisme pour respecter - la conception, la mise en œuvre ou le répondre à ces exigences,  Document des mesures
ces exigences, doivent être changement des mesures de sécurité de  Interview du DSI, du RSI, du spécifiques et des
identifiées, documentées l'information, responsable juridique et du DRH, responsabilités
Exigences légales, et tenues à jour. - la classification des informations et  Revue de la procédure de individuelles mises en
statutaires, autres actifs associés dans le cadre du vérification de la conformité avec place pour répondre à
réglementaires et processus d’établissement des exigences les exigences légales, ces exigences.
5.31
contractuelles de sécurité de l'information pour les réglementaires et contractuelles
besoins internes ou pour les accords relatives à la propriété
avec les fournisseurs, intellectuelle et à l’usage des
- la réalisation d'appréciations des risques licences de logiciels propriétaires.
de sécurité de l'information et la
détermination des activités de
traitement des risques de sécurité de
l'information,
- la détermination des processus et des
fonctions et responsabilités relatives à la
sécurité de l'information associées,
- la détermination des exigences
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
contractuelles des fournisseurs
pertinentes pour l'organisme et du
périmètre de fourniture des produits et
des services,
 Si l'organisme :
- identifie toutes les législations et
réglementations pertinentes pour la
sécurité de l’information afin de prendre
connaissance des exigences concernant
son type d'activité,
- révise régulièrement les législations et
les réglementations identifiées afin de se
tenir informée des changements et
d’identifier les nouvelles législations,
- définit et documente les processus
spécifiques et les responsabilités
individuelles pour respecter ces
exigences.
Des procédures  Si une procédure est élaborée et mise en  Revue de la procédure de  Procédure de vérification
appropriées doivent être œuvre pour garantir la conformité avec les vérification de la conformité avec les de la conformité avec les
mises en œuvre pour exigences légales, réglementaires et exigences légales, réglementaires et exigences légales,
garantir la conformité avec contractuelles relatives à la propriété contractuelles relatives à la réglementaires et
Droits de les exigences légales, intellectuelle et à l’usage des licences de propriété intellectuelle et à l’usage contractuelles relatives à la
propriété réglementaires et logiciels propriétaires, des licences de logiciels propriété intellectuelle et à
5.32 Intellectuelle contractuelles relatives à la  Si un inventaire des logiciels officiellement propriétaires, l’usage des licences de
propriété intellectuelle et à installés et déclarés sur chaque équipement  Revue de l’inventaire des logiciels logiciels propriétaires,
l’usage des licences de informatique (serveurs, postes de travail, officiellement installés et déclarés  Inventaire des logiciels
logiciels propriétaires. équipement réseau et de sécurité, …) est sur chaque équipement officiellement installés et
tenu à jour en permanence, informatique (serveurs, postes de déclarés sur chaque
 S’il est procédé à des contrôles fréquents travail, équipement réseau et de équipement informatique
visant à vérifier que les logiciels installés sont sécurité, …), (serveurs, postes de
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
conformes aux logiciels déclarés ou qu'ils  Revue du rapport d’audit de la travail, équipement réseau
possèdent une licence en règle, conformité des logiciels installés aux et de sécurité, …),
 Si une sensibilisation en matière de logiciels déclarés,  Rapport d’audit de la
protection des droits de propriété  Revue du programme de conformité des logiciels
intellectuelle est réalisée et si le personnel est sensibilisation réalisé et liste de installés aux logiciels
prévenu de l’intention de prendre des bénéficiaires, déclarés,
mesures disciplinaires à l’encontre des  Interview du DSI et du RSI et d’un  Programme de
personnes enfreignant la réglementation échantillon d’utilisateurs, sensibilisation réalisé et
relative à la propriété intellectuelle,  Vérification sur un échantillon de liste de bénéficiaires,
 Si les preuves tangibles de la propriété des serveurs du nombre d’utilisateurs  Echantillon de licences de
licences, des disques maîtres, des manuels, réels et comparaison avec le logiciels.
etc. sont conservés, nombre d’utilisateurs autorisés par
 Si des contrôles, permettant de s’assurer que la licence,
le nombre maximal d’utilisateurs autorisé par  Vérification sur un échantillon
la licence n’est pas dépassé, sont mis en d’équipements informatiques des
œuvre. licences de logiciels installés.
Les enregistrements  Si une procédure de stockage et de  Revue de la procédure de stockage  Procédure de stockage et
doivent être protégés de la manipulation des enregistrements est et de manipulation des de manipulation des
perte, de la destruction, de élaborée et mise en œuvre, enregistrements, enregistrements,
la falsification, des accès  Si des mesures de protection des  Interview du DAF, DRH DSI et RSI,  Rapport d’audit des droits
non autorisés et des enregistrements sont mises en place  Audit des droits d’accès aux d’accès aux
diffusions non autorisées, conformément à leur classification telle que enregistrements au niveau des enregistrements.
Protection des
conformément aux définie par le plan de classification de bases de données.
5.33 enregistrements
exigences légales, l’audité,
réglementaires,  Si le système de stockage et de manipulation
contractuelles et aux des enregistrements garantit l’identification
exigences métier. des enregistrements et de leur durée de
conservation telles que définies par la
législation nationale ou par les
réglementations en vigueur.
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
les exigences relatives à la  Si l'audité a procédé à octroyer les  Revue de la politique et des  Déclaration ou demande
protection de la vie privée déclarations/autorisations nécessaires auprès procédures spécifiques à la d'autorisation de
et des DCP doivent être de l'INPDP, protection de la vie privée et des traitement des DCP
identifiées et respectées  Si une politique spécifique à la protection de DCP, déposée auprès de
conformément à la la vie privée et des DCP ainsi que des  Revue du recueil regroupant l'INPDP,
législation, aux procédures associées sont élaborées et mises l'ensemble des dispositions légales  Politique et des
réglementations et aux en œuvre, et réglementaires, procédures spécifiques à la
clauses contractuelles  Si cette politique et ces procédures sont  Revue du programme de protection de la vie privée
applicables. communiquées à toutes les parties sensibilisation et de formation en et des DCP approuvée par
intéressées impliquées dans le traitement matière de protection des DCP et le niveau de direction
des données à caractère personnel, liste des bénéficiaires, approprié,
 Si un délégué à la protection des données  Interview du DPO, du DSI, du RSI et  Décision de nomination du
(DPO) est désigné, d’un échantillon des personnes DPO,
Protection de la  Si un recueil regroupant l'ensemble des impliquées dans le traitement des  Echantillon de décharges
vie privée et des dispositions légales et réglementaires données à caractère personnel, (ou courriers
5.34
DCP relatives à la protection des données à  Vérification des mesures techniques électroniques) attestant
caractère personnel est élaboré, et organisationnelles mises en place que toutes les personnes
 Si le DPO fournit des recommandations au pour protéger les DCP. impliquées dans le
personnel, aux fournisseurs de services et à traitement des DCP ont
d’autres parties intéressées sur leurs reçu une copie de cette
responsabilités individuelles et les procédures politique et des
spécifiques qu'il convient de suivre, procédures associées,
 Si un programme de sensibilisation et de  Recueil regroupant
formation, en matière de protection des l'ensemble des dispositions
données à caractère personnel, est élaboré et légales ou réglementaires,
mis en œuvre,  Programme de
 Si des mesures techniques et sensibilisation et de
organisationnelles appropriées sont mises en formation en matière de
œuvre pour protéger les DCP. protection des DCP et liste
des bénéficiaires.
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
Des revues régulières et  Si une procédure de mise à jour des notes  Revue de la procédure de mise à  Procédure de mise à jour
indépendantes de d'organisation relatives à la sécurité des jour des notes d'organisation des notes d'organisation
l’approche retenue par systèmes d'information en fonction des relatives à la sécurité de relatives à la sécurité de
l’organisme pour gérer et évolutions de structures ou à intervalles l'information, l'information,
mettre en œuvre la planifiés est élaborée et mise en œuvre,  Revue des rapports d’audit.  Rapports d’audit.
sécurité de l’information (à  Si des audits indépendants sont réalisés pour
savoir le suivi des objectifs veiller à la pérennité de l’applicabilité, de
Révision
de sécurité, les mesures, l’adéquation et de l’efficacité de l’approche
indépendante de
5.35 les politiques, les de l’organisme en matière de management
la sécurité de
procédures et les de la sécurité de l’information.
l'information
processus relatifs à la
sécurité de l’information)
doivent être effectuées à
intervalles définis ou
lorsque des changements
importants sont
intervenus.
La conformité à la  Si les managers et les propriétaires de  Revue des rapports d’audit de  Rapports d’audit de
politique de sécurité de produits, de services ou d'informations conformité, conformité.
l'information, aux identifient la manière de vérifier que les  Interview du DSI et du RSI.
politiques spécifiques, aux exigences de sécurité de l'information
Conformité aux règles et aux normes de définies dans la politique de sécurité de
politiques, règles l'organisme doit être l'information, les politiques spécifiques, les
et normes de régulièrement vérifiée. règles, les normes et autres réglementations
5.36
sécurité de applicables, sont respectées,
l'information  Si des outils automatisés de mesure et de
génération de rapports sont envisagés pour
réaliser des révisions régulières efficaces,
 Si, au cas où une non-conformité est détectée
à l’issue de la révision, les responsables:
- identifient les causes de la non-
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
conformité,
- évaluent le besoin d’actions correctives
pour établir la conformité,
- mettent en œuvre les actions correctives
appropriées,
- analysent les actions correctives choisies
pour vérifier leur efficacité et identifier
toutes les défaillances ou faiblesses.
Les procédures  Si les procédures opérationnelles  Revue des procédures  Procédures
d’exploitation doivent être d'exploitation (systèmes, applications, BD, opérationnelles d'exploitation opérationnelles
documentées et mises à équipements et solutions réseau et sécurité, (systèmes, applications, d'exploitation,
disposition de tous les etc.) sont documentées, équipements et solutions réseau et  Historique des MAJ des
utilisateurs concernés.  Si la documentation des procédures sécurité, etc.), procédures
opérationnelles d'exploitation est maintenue  Interview du DSI, du RSI et des opérationnelles,
à jour, différents administrateurs (système,  Rapports d’audit de
Procédures  Si les modifications des procédures réseau, BD, …), l'authenticité et la
d’exploitation d'exploitation sont approuvées par les  Interview d’un échantillon pertinence des procédures
5.37
Documentées responsables concernés, d’utilisateurs supposés utiliser ces opérationnelles.
 Si les procédures opérationnelles procédures,
d'exploitation sont rendues disponibles à  Vérification du rapport d’audit de
toute personne en ayant besoin, l'authenticité et la pertinence des
 Si ces procédures sont protégées contre des procédures opérationnelles.
altérations illicites,
 Si l'authenticité et la pertinence des
procédures opérationnelles font l'objet d'un
audit régulier.
6 Contrôles de sécurité applicables aux personnes
Sélection des Des vérifications doivent  Si un processus de sélection du personnel à  Revue du processus de sélection du  Les accords contractuels
6.1 candidats être effectuées sur tous les plein temps, à temps partiel et temporaire est personnel, entre l’organisme et les
candidats à l’embauche établi,  Revue d’un échantillon des accords fournisseurs,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
conformément aux lois, aux  Si des exigences de sélection pour les contractuels entre l’organisme et les  Statut et règlement
règlements et à l’éthique et personnes embauchées par l'intermédiaire de fournisseurs, intérieur,
être proportionnées aux fournisseurs de services sont précisées dans  Revue du statut et du règlement  Fiches de postes des
exigences métier, à la les accords contractuels entre l'organisme et intérieur, personnes impliquées
classification des les fournisseurs,  Revue de la procédure de directement dans la
informations accessibles et  Si des contrôles de vérification de fond pour recrutement, sécurité de l’information,
aux risques identifiés. tous les candidats à l'emploi ont été réalisés  Revue du dossier du RSI et d'un  Procédure de recrutement,
conformément à la réglementation en échantillon de personnes impliqués  Dossier du RSI et des
vigueur, dans la sécurité, personnes impliquées dans
 Si la vérification comprend le certificat de  Interview du DRH. la sécurité de
moralité, la confirmation des qualifications l'information.
académiques et professionnelles prétendues
et des contrôles indépendants d'identité,
 Si un candidat pour un poste spécifique de
sécurité de l'information possède les
compétences nécessaires pour ce poste et s’il
est digne de confiance surtout si le poste est
critique pour l’organisme.
Les contrats de travail  Si le personnel est invité à signer un accord de  Revue d’un échantillon des accords  Echantillon des accords de
doivent préciser les confidentialité ou de non-divulgation avant de confidentialité, confidentialité signés par
Termes et
responsabilités du personnel d'obtenir l'accès aux informations  Interview du DRH et du DAF. le personnel.
conditions du
et celles de l’organisme en confidentielles et autres actifs associés,
6.2 contrat de
matière de sécurité de  Si cet accord de confidentialité couvre la
travail
l’information. responsabilité de l'audité et des employés et
des contractants concernant la sécurité de
l’information.
Sensibilisation, L’ensemble des salariés de  Si les nouvelles recrues de l'audité reçoivent  Revue des programmes de  Programme de formation
enseignement l’organisme et les parties systématiquement des sessions de formation et de sessions de des années précédentes et
6.3 et formation en intéressées doit bénéficier sensibilisation, d’enseignement et de sensibilisation, de l’année en cours,
sécurité de d’une sensibilisation, d’un formation à la sécurité de l’information,  Interview du DRH pour  Programme de sessions de
l'information enseignement et des  Si tous les employés et les sous-traitants l’identification des sujets des sensibilisation réalisées et
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
formations en sécurité de reçoivent périodiquement des sessions de sessions de sensibilisation et de planifiées et bénéficiaires,
l’information appropriés et sensibilisation sur les risques liés à l’utilisation formation,  Listes des participants aux
recevoir régulièrement les des moyens IT et les tendances en la matière  Interview d’un échantillon sessions de formation et
mises à jour des politiques et et sont informés des mises à jour régulières d’employés ayant participé à ces de sensibilisation.
procédures de l’organisme appliquées aux politiques et procédures sessions.
s’appliquant à leurs organisationnelles en ce qui concerne leurs
fonctions. fonctions,
 Si les employés dont les missions sont liées
directement à la sécurité du SI (RSI, DSI,
Administrateurs, développeurs) ont reçus les
formations spécialisées sur la sécurité des
produits utilisés et sur la gestion de la
sécurité de manière générale pendant les 3
dernières années.
Un processus disciplinaire  S’il existe un processus disciplinaire formel  Revue du statut et du règlement  Statut et règlement
formel et communiqué doit pour les utilisateurs du SI qui ont commis une intérieur, intérieur.
exister pour prendre des violation de la politique de sécurité,  Interview du DRH.
mesures à l’encontre du  Si le processus disciplinaire formel apporte
personnel et d’autres parties une réponse graduée qui tienne compte de
intéressées qui ont commis facteurs tels que:
Processus une violation de la - la nature (qui, quoi, quand, comment) et la
6.4 disciplinaire politique de sécurité de gravité de la violation et ses conséquences,
l'information. - si la violation était intentionnelle
(malveillante) ou non intentionnelle
(accidentelle),
- s’il s'agit d'une première infraction ou
d'une récidive,
- si le contrevenant a reçu une formation
adéquate.
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
Les responsabilités et les  Si les responsabilités et les obligations  Revue du processus de fin ou de  Etat sur les actifs et droits
obligations liées à la sécurité relatives à la sécurité de l’information à changement d’emploi, d’accès restitués suite à la
de l’information qui restent maintenir après la fin ou le changement de  Revue du processus de restitution fin ou à la modification du
valables après la fin ou le l’emploi ou du contrat sont définies et des biens par les employés ou sous- contrat d’un employé ou
changement d’un emploi figurent dans les termes et conditions traitants suite à une fin de leur d’un sous-traitant,
doivent être définies, d'embauche du contrat ou de l'accord de la emploi ou contrat,  Rapport d’audit sur les
appliquées et personne,  Interview du DRH pour comptes utilisateurs des
communiquées au  Si les changements de responsabilités ou l’identification des responsabilités employés ou sous-traitants
personnel et autres parties d’emploi sont gérés comme la fin d’un emploi en fin ou changement d’emploi ou après leurs départs.
intéressées pertinents. ou de responsabilités actuels, associée à de contrat,
l’instauration de nouvelles responsabilités ou  Vérification de la suppression ou
d’un nouvel emploi, d’ajustement des droits d’accès
 Si les fonctions et responsabilités relatives à la d’un échantillon d’employés et de
Responsabilités sécurité de l'information détenues par toute sous-traitants en fin ou changement
après la fin ou personne qui quitte ou change de poste sont d’emploi ou de contrat.
6.5 le changement identifiées et transférées à une autre
d’un emploi personne,
 Si un processus est établi pour communiquer
les changements et les procédures
opérationnelles au personnel, aux autres
parties intéressées et aux contacts pertinents
tels que les clients et les fournisseurs,
 Si le processus de fin ou de changement
d’emploi est également appliqué au
personnel externe des fournisseurs,
 S'il existe un processus en place qui garantit
que tous les employés et les sous-traitants
restituent à l'audité tous les biens en leur
possession à la fin de leur emploi, contrat ou
convention,
 Si les droits d'accès de tous les employés et
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
les sous-traitants, aux informations et aux
moyens de traitement de l'information, sont
supprimés à la fin de leur emploi, contrat ou
convention, ou sont ajustés en cas de
changement.
Les exigences en matière  Si le personnel et les parties intéressées  Revue d’un échantillon d’accords de  Echantillon d’engagements
d’accords de confidentialité signent des accords de confidentialité ou de confidentialité ou de non- de confidentialité ou de
ou de non-divulgation, non-divulgation, divulgation, non-divulgation,
doivent être identifiées,  Si les modalités de ces accords spécifient des  Interview du DAF, du DRH et du  Historique des mises à jour
documentées vérifiées exigences de protection de l’information responsable juridique. de ces engagements.
régulièrement et signées par confidentielle en des termes juridiquement
le personnel et les autres exécutoires,
parties intéressées  S’il est tenu compte des éléments suivants
pertinentes conformément pour identifier les exigences en matière de
aux besoins de l’organisme. confidentialité et de non-divulgation :
Accords de - une définition de l’information à protéger
confidentialité (par exemple information confidentielle),
6.6 ou de non- - la durée prévue de l’accord, y compris les
divulgation cas où il peut s’avérer nécessaire de
poursuivre cette durée indéfiniment,
- les actions à entreprendre lorsqu’un accord
arrive à expiration,
- les responsabilités et les actions des
signataires visant à éviter une divulgation
non autorisée de l’information,
- la propriété de l’information, des secrets
commerciaux et la propriété intellectuelle,
ainsi que leurs liens avec la protection de
l’information confidentielle,
- l’utilisation autorisée des informations
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
confidentielles et les droits du signataire
relatifs à l’utilisation de ces informations,
- le droit d’auditer et de contrôler des
activités impliquant l’utilisation de
l’information confidentielle,
- le processus de notification et de
signalement d’une divulgation non autorisée
ou d’une fuite de l’information
confidentielle,
- les modalités de retour ou de destruction de
l’information à l’expiration d’un accord,
- les actions à entreprendre en cas de
violation d’un accord,
 Si les accords de confidentialité et de non-
divulgation sont revus à intervalles réguliers
et en cas de changements ayant une
incidence sur ces exigences.
Des mesures de sécurité Pour les organismes autorisant les activités de  Revue de la politique spécifique au  Politique spécifique au
doivent être mises en œuvre travail à distance: travail à distance, travail à distance,
lorsque le personnel travaille  Si une politique spécifique au travail à  Revue du rapport d’analyse des  Rapport d’analyse des
à distance, pour distance définissant les conditions et les risques relatifs au domicile des risques relatifs au domicile
protéger les informations restrictions appropriées st développée et utilisateurs et/ou des sites distants, des utilisateurs et/ou des
Travail à accessibles, traitées ou mise en œuvre,  Interview du RSI et des responsables sites distants,
distance stockées en dehors des  Si des mesures de sécurité adéquates sont en métier,  Document des mesures
6.7 locaux de l'audité. place pour la protection de l’information sur  Vérification des mesures de sécurité déployées pour la
des sites de travail à distance. mises en place pour la protection de protection de l’information
l’information, (Type de connectivité
 Vérification des droits d’accès sur sécurisé déployé pour le
les systèmes qui hébergent ou télétravail (VPN, SSL, etc),
traitent les services concernés par le fichier de configuration de
travail à distance, l'accès à distance),
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
 Test d'accès d'un site distant et  Liste des droits d’accès sur
vérification des logs sur les solutions les systèmes qui hébergent
de contrôle d'accès sur le réseau. ou traitent les services
concernés par le travail à
distance,
 Logs des solutions de
contrôle d'accès sur le
réseau suite à un accès
distant.
L'organisme doit fournir un  Si l’ensemble du personnel et des  Revue de la procédure de  Procédure de déclaration
mécanisme au personnel utilisateurs sont informés de leur déclaration des événements de des événements de
pour déclarer rapidement les responsabilité de déclarer le plus sécurité de l’information, sécurité de l’information,
événements de sécurité de rapidement possible les événements de  Revue d’un échantillon de fiches  Echantillon de fiches de
l'information observés ou sécurité de l'information afin de prévenir ou de déclaration des événements de déclaration des
suspectés, à travers des de minimiser les conséquences des sécurité de l’information, événements de sécurité
canaux appropriés. incidents de sécurité de l'information,  Interview du DSI, du RSI et d’un de l’information.
Déclaration des
 Si ce personnel est également informé de la échantillon d’utilisateurs.
événements de
procédure pour la déclaration des
sécurité de
6.8 événements de sécurité de l'information et
l'information
du point de contact auprès duquel il
convient de déclarer les événements,
 Si le mécanisme de déclaration est aussi
simple, accessible et disponible que
possible,
 Si le personnel et les utilisateurs sont
prévenus de ne pas tenter de prouver
l'existence des vulnérabilités de sécurité de
l'information suspectées.
7 Contrôles de sécurité physique
7.1 Périmètres de Des périmètres de sécurité  Si les périmètres de sécurité sont définis et si  Revue du plan d’architecture du  Plan d’architecture du
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
sécurité physique doivent être définis et l’emplacement et le niveau de résistance de bâtiment de l’audité et bâtiment de l’audité,
utilisés pour protéger les chacun des périmètres sont fonction des identification des périmètres de  Rapport de test des
zones contenant les exigences de sécurité de l’information sécurité physique, mécanismes de sécurité,
informations et autres relatives aux actifs situés dans le périmètre,  Revue du rapport de test des  Photos.
actifs associés.  Si le périmètre d’un bâtiment ou d’un site mécanismes de sécurité contre les
abritant des moyens de traitement de dommages d’intrusion physiques,
l’information est physiquement solide (le d’incendies, d’inondations, de
périmètre ou les zones ne présentent aucune perturbation des services généraux,
faille susceptible de faciliter une intrusion),  Interview du DAF, du responsable
 Si les toits extérieurs, les murs, les plafonds et de la sécurité physique et du RSI,
le sol du site sont construits de manière solide  Inspection visuelle des périmètres
et si les portes extérieures sont de sécurité.
convenablement protégées contre les accès
non autorisés par des mécanismes de
contrôle, par exemple des barres, des
alarmes, des verrous,
 Si les portes et les fenêtres sont verrouillées
lorsque les lieux sont sans surveillance, si une
protection extérieure pour les fenêtres,
particulièrement celles du rez-de-chaussée,
est en place, et si des points d’aération sont
envisagés,
 Si les toutes les portes coupe-feu dans un
périmètre de sécurité sont équipées d’une
alarme, surveillées et testées en même temps
que les murs pour établir le niveau de
résistance requis, et si elles fonctionnent de
manière infaillible.
Les entrées Les zones sécurisées  Si les points d'accès tels que les zones de  Revue de la procédure de contrôle  Procédure de contrôle
7.2 physiques doivent être protégées par livraison et de chargement et d’autres points d’accès physique, d’accès physique,
des mesures de sécurité par lesquels des personnes non autorisées  Revue d’un échantillon  Echantillon
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
des accès et des points peuvent pénétrer dans les locaux sont d’autorisations d’accès aux zones d’autorisations d’accès
d'accès appropriées. surveillés et, si possible, isolés des moyens de sécurisées, aux zones sécurisées,
traitement de l'information, afin d’éviter les  Interview du DAF, du responsable  Logs du système de
accès non autorisés, de la sécurité physique et du RSI, contrôle d’accès
 Si l'accès aux sites et aux bâtiments est limité  Vérification du registre des physique,
au personnel autorisé seulement, visiteurs,  Rapport de test du
 Si le processus de gestion des droits d'accès  Vérification des contrôles d’accès système de contrôle
aux zones physiques inclue la fourniture, la physiques aux périmètres d’accès,
révision périodique, la mise à jour et la sécurisés,  Photos.
révocation des autorisations,  Test du système de contrôle
 Si un journal physique ou un journal d’audit d’accès physique aux salles
électronique de tous les accès est conservé de contenant les moyens de
manière sécurisée et contrôlé régulièrement, traitement de l’information,
et si l'ensemble des journaux et des  Vérification de la synchronisation
informations d'authentification sensibles sont des horloges des serveurs
protégés, hébergeant ces systèmes,
 Si un processus et des mécanismes  Vérification des logs de ces
techniques pour la gestion des accès aux systèmes,
zones où les informations sont traitées ou  Vérification sur un échantillon des
stockées sont établis et mis en œuvre, salariés et des sous-traitant du
 Si une zone de réception surveillée par du port d’un moyen d’identification
personnel, ou d'autres moyens pour contrôler visible (ex : badges).
l'accès physique au site ou au bâtiment est
mise en place,
 S’il est exigé de l'ensemble du personnel et
des parties intéressées le port d'un moyen
d'identification visible, et si le personnel de
sécurité est notifié immédiatement s'ils
rencontrent des visiteurs non accompagnés
ou quiconque ne portant pas d'identification
visible,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
 S’Il est envisagé le port de badges faciles à
distinguer pour mieux identifier les employés
permanents, les fournisseurs et les visiteurs,
 Si un accès limité aux zones sécurisées ou aux
moyens de traitement de l'information est
attribué au personnel des fournisseurs
seulement si c’est nécessaire,
 Si cet accès est autorisé et surveillé,
 Si un processus de gestion des clés est mis en
place pour assurer la gestion des clés
physiques ou des informations
d'authentification (par exemple, codes de
verrouillage, serrures à combinaison des
bureaux, salles et équipements tels que des
armoires verrouillables),
 Si l'identité des visiteurs est authentifiée par
un moyen approprié,
 Si la date et l'heure d'arrivée et de départ des
visiteurs est consignée,
 Si l'accès aux visiteurs est attribué
uniquement à des fins spécifiques ayant fait
l'objet d'une autorisation, accompagné des
instructions sur les exigences de sécurité de la
zone et sur les procédures d'urgence,
 Si tous les visiteurs sont surveillés, sauf si une
exception explicite leur a été accordée,
 Si l'accès aux zones de livraison et de
chargement depuis l'extérieur du bâtiment
est limité au personnel identifié et autorisé,
 Si les portes extérieures des zones de livraison
et de chargement sont sécurisées lorsque les
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
portes menant aux zones restreintes sont
ouvertes,
 Si les livraisons entrantes sont enregistrées
conformément aux procédures de gestion des
actifs et dès leur arrivée sur le site,
 Si les expéditions entrantes et sortantes sont
séparées physiquement, si possible.
Des mesures de sécurité  Si les installations critiques sont implantées  Revue du plan d’architecture du  plan d’architecture du
physique pour les bureaux, de manière à éviter l’accès au public, bâtiment de l’audité, bâtiment de l’audité.
les salles et les installations  Si, dans la mesure du possible, les bâtiments  Interview du DSI,
doivent être conçues et sont discrets et donnent le minimum  Inspection visuelle.
mises en œuvre. d’indications sur leur finalité, sans signe
manifeste, extérieur ou intérieur du bâtiment,
qui permette d’identifier la présence
Sécurisation des
d’activités de traitement de l’information,
bureaux, des
 Si les installations sont configurées de
7.3 salles et des
manière à empêcher que les informations ou
installations
les activités confidentielles soient visibles et
audibles depuis l’extérieur,
 Si les répertoires et annuaires téléphoniques
internes et les plans accessibles en ligne
identifiant l’emplacement des moyens de
traitement des informations confidentielles
ne sont pas facilement accessibles à toute
personne non autorisée.
Les locaux doivent être  Si les locaux physiques sont contrôlés à l'aide  Vérification des emplacements  Photos.
continuellement surveillés de systèmes de surveillance, qui peuvent des caméras de surveillances et
Surveillance de la pour empêcher l'accès inclure des vigiles, des alarmes anti-intrusion des alarmes,
7.4
sécurité physique physique non autorisé. ou des systèmes de vidéosurveillance,  Vérification du système de
 Si l'accès aux bâtiments qui hébergent des vidéosurveillance,
systèmes critiques sont continuellement  Vérification des différents
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
surveillés afin de détecter les accès non détecteurs et des alarmes.
autorisés ou les comportements suspects au
moyen de:
- l’installation de systèmes de
vidéosurveillance tels que des télévisions
en circuit fermé permettant de visionner
et d'enregistrer l'accès aux zones
sensibles à l'intérieur et à l'extérieur des
locaux de l'organisme,
- l’installation, conformément aux normes
applicables pertinentes, et le test
périodique de détecteurs de contact, de
son ou de mouvement permettant de
déclencher une alarme anti-intrusion,
- l’utilisation de ces alarmes pour couvrir
toutes les portes extérieures et les
fenêtres accessibles,
 Si les zones inoccupées sont équipées
d’alarmes activées en permanence,
 Si d’autres zones (par exemple, les salles
informatiques ou de télécommunications)
sont couvertes par ces alarmes,
 Si les systèmes de surveillance sont protégés
des accès non autorisés afin d'empêcher que
des personnes non autorisées aient accès aux
informations de surveillance, telles que les
enregistrements vidéo, ou que les systèmes
sont désactivés à distance.
Protection contre Une protection contre les  Si des appréciations du risque sont réalisées à  Revue des rapports d’appréciation  Rapports d’appréciation du
7.5 les menaces menaces physiques et intervalles réguliers pour d'identifier les du risque, risque,
physiques et environnementales telles conséquences potentielles des menaces  Revue de l’étude sur les menaces  Document de l’étude sur
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
environnemental que les catastrophes physiques et environnementales avant de physiques et environnementales les menaces physiques et
es naturelles et autres commencer des opérations critiques sur un possibles, environnementales
menaces physiques, site physique, et ce à intervalles réguliers.  Revue du schéma des voies possibles,
intentionnelles ou non  Si les protections nécessaires sont mises en possibles d’arrivée d’eau,  Schéma des voies possibles
intentionnelles, impactant œuvre et les changements des menaces sont  Revue des rapports de test des d’arrivée d’eau,
l’infrastructure doit être surveillés. systèmes de détection et  Rapports de test des
conçue et mise en œuvre.  Si les conseils de spécialistes sont sollicités d’extinction d’incendie, systèmes de détection et
concernant la manière de gérer les risques  Interview du DAF, du responsable d’extinction d’incendie.
provenant des menaces physiques et de la sécurité physique et du DSI,
environnementales, telles que les incendies,  Vérification de l’emplacement des
les inondations, les tremblements de terre, détecteurs d’humidité, de fuite
les explosions, les troubles sociaux, les d’eau et de fumée.
déchets toxiques, les émissions polluantes et
autres formes de catastrophes naturelles ou
de désastres d'origine humaine.
 Si l’emplacement et la construction des
locaux physiques tiennent compte de :
- la topographie locale, telle que
l'élévation appropriée, les plans d'eau et
les failles tectoniques,
- les menaces urbaines, telles que les lieux
ayant une forte probabilité d'attirer de
l'agitation politique, des activités
criminelles ou des attaques terroristes.
 Si des détecteurs d'humidité ont été installés
à proximité des ressources sensibles (en
particulier dans les faux planchers le cas
échéant), reliés à un poste permanent de
surveillance,
 Si des détecteurs de fuite d'eau ont été
installés à l'étage supérieur à proximité des
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
locaux abritant des ressources sensibles,
reliés à un poste permanent de surveillance,
 S’il a été procédé à une analyse systématique
et approfondie de tous les risques d'incendie
(Par exemple : court-circuit au niveau du
câblage, effet de la foudre, personnel fumant
dans les locaux, appareillages électriques
courants, échauffement d'équipement,
propagation depuis l'extérieur, propagation
par les gaines techniques ou la climatisation,
etc.),
 Si un système de détection automatique
d'incendie est mise en place pour les locaux
sensibles,
 Si Les locaux sensibles sont-protégés par une
installation d'extinction automatique
d’incendie.
Des procédures pour le  Si des procédures pour le travail dans les  Revue des procédures pour le  Procédures pour le travail
travail dans les zones zones sécurisées sont élaborées et mises en travail dans les zones sécurisées, dans les zones sécurisées.
sécurisées doivent être œuvre,  Interview du responsable de
conçues et appliquées.  Si le personnel est informé de l’existence de sécurité physique,
zones sécurisées ou des activités qui s’y  Interview d’un échantillon du
Travail dans les pratiquent, sur la seule base du besoin d’en personnel,
zones connaître,  Inspection des zones sécurisées
7.6
Sécurisées  Si le travail non supervisé/encadré en zone inoccupées.
sécurisée, tant pour des raisons de sécurité
personnelle que pour prévenir toute
possibilité d’acte malveillant, est évité,
 Si les zones sécurisées inoccupées sont
verrouillées physiquement et contrôlées
périodiquement,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
 Si tout équipement photographique, vidéo,
audio ou autres dispositifs d’enregistrement,
tels que les appareils photos intégrés à des
appareils mobiles sont interdits, sauf
autorisation.
Les règles du bureau vide,  Si une politique du bureau vide et de l’écran  Revue de la politique du bureau  Politique du bureau vide et
dégagé des documents vide est élaborée, mise en œuvre et vide et de l’écran vide, de l’écran vide,
papier et des supports de communiquée à toutes les parties  Interview du DSI et du DAF,  Captures d’écrans,
stockage amovibles, et les intéressées,  Inspection d’un échantillon de  Rapport d’audit des
règles de l'écran vide pour  Si les informations métier sensibles ou bureaux occupés par des personnes paramètres de
les moyens de traitement critiques qu’elles soient sous format papier ou traitant des dossiers sensibles configuration des
de l'information doivent sur un support de stockage électronique sont (utilisation d’armoires fermant à imprimantes.
être définies et appliquées mises sous clé (de préférence dans un coffre- clés, bureau propres, …),
de manière appropriée. fort, une armoire ou une autre forme de  Vérification de l’écran vide sur un
mobilier de sécurité), lorsqu’elles ne sont pas échantillon de postes de travail de
utilisées, et en particulier lorsque les locaux ces personnes,
sont vides,  Audit des paramètres de
Bureau vide et
 Si les terminaux finaux des utilisateurs sont configuration sur un échantillon
7.7 écran vide
protégés par des serrures à clé ou d’autres d’imprimantes utilisées par ces
moyens de sûreté lorsqu'ils ne sont pas personnes.
utilisés ou sont laissés sans surveillance,
 Si tous les ordinateurs et systèmes sont
configurés avec une fonction de
temporisation ou de déconnexion
automatique,
 Si des imprimantes dotées d’une fonction
d'authentification sont utilisées, afin que
seuls les initiateurs puissent récupérer leurs
impressions, et uniquement lorsqu'ils se
trouvent devant l'imprimante,
 Si les documents et les supports de stockage
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
amovibles contenant des informations
sensibles sont stockés de façon sécurisée et,
lorsqu'ils ne sont plus requis, sont éliminés à
l'aide de mécanismes de destruction
sécurisés,
 Si les règles et les recommandations pour la
configuration des fenêtres contextuelles (pop-
ups) sur les écrans (par exemple, désactiver
les fenêtres contextuelles de notification de
réception d’un nouveau courrier électronique
et de messagerie, si possible, pendant les
présentations, le partage d'écran ou dans un
lieu public) sont établies et communiquées,
 Si les informations sensibles ou critiques sur
les tableaux blancs et autres types d'affichage
sont effacées, lorsqu'elles ne sont plus
nécessaires,
 Si l'organisme dispose de procédures en place
lorsque le personnel quitte les locaux et,
notamment la réalisation d'une dernière
inspection avant de partir pour s'assurer de
ne pas laisser d’actifs de l'organisme (par
exemple, des documents tombés derrière des
tiroirs ou un meuble).
Un emplacement sécurisé  Si un emplacement pour le matériel  Revue du rapport d’inspection de  Rapport d’inspection de
pour le matériel doit être permettant de minimiser les accès inutiles l’emplacement du matériel, l’emplacement du
Emplacement et
choisi et protégé. aux zones de travail et d'empêcher les accès  Revue du rapport de surveillance matériel,
protection
7.8 non autorisés est choisi, des conditions ambiantes  Rapport de surveillance
du matériel
 Si les moyens de traitement de l’information (température, humidité), des conditions ambiantes,
manipulant des données sensibles sont  Revue des directives sur le fait de  Directives sur le fait de
positionnés avec soin, en vue de réduire le manger, boire et fumer à proximité manger, boire et fumer à
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
risque que cette information puisse être vue des moyens de traitement de proximité des moyens de
par des personnes non autorisées, l’information, traitement de
 Si les moyens de stockage sont sécurisés  Interview du DSI, l’information.
contre tout accès non autorisé,  Vérification des moyens de
 Si des mesures sont adoptées pour réduire au protection du matériel,
minimum les risques de menaces physiques  Vérification des conditions
et environnementales potentielles, comme le ambiantes (température, humidité),
vol, l’incendie, les explosions, la fumée, les  Inspection du paratonnerre des
fuites d’eau (ou une rupture de l’alimentation parafoudres.
en eau), la poussière, les vibrations, les effets
engendrés par les produits chimiques, les
interférences sur le secteur électrique, les
interférences sur les lignes de
télécommunication, les rayonnements
électromagnétiques et le vandalisme,
 Si des directives, sur le fait de manger, boire
et fumer à proximité des moyens de
traitement de l’information, sont fixées,
 Si les conditions ambiantes, telles que la
température et l’humidité, qui pourraient
nuire au fonctionnement des moyens de
traitement de l’information sont surveillées,
 Si l’ensemble des bâtiments est équipé d’un
paratonnerre et si toutes les lignes
électriques et de télécommunication
entrantes sont équipées de parafoudres.
Des mesures de sécurité  Si une politique de sécurité relative au travail  Revue de la politique de sécurité  Politique de sécurité
Sécurité des doivent être appliquées hors site est élaborée et mise en œuvre, relative au travail hors site, relative au travail hors site,
7.9 actifs hors des aux actifs hors  Si des mesures pour l’utilisation protégée, en  Revue d’un échantillon  Echantillon d’autorisations
locaux des locaux de l’organisme dehors des locaux de l'organisme, des d’autorisations de la direction de de la direction de
pour les protéger. terminaux (appartenant à l'organisme ou des l’utilisation du matériel hors site, l’utilisation du matériel
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
terminaux privés utilisés pour le compte de  Revue du rapport d’analyse des hors site,
l'organisme) qui stockent ou traitent des risques issus du travail hors site,  Rapport d’analyse des
informations (par exemple, terminal mobile),  Revue des registres de circulation risques issus du travail hors
sont déterminées et mises en œuvre, du matériel hors site entre site,
 Si l’utilisation de ces terminaux est autorisée différentes personne ou tiers,  Registres de circulation du
par la direction,  Interview du DSI. matériel hors site entre
 Si le matériel et les supports de stockage différentes personne ou
sortis des locaux ne sont pas laissés sans tiers.
surveillance dans des lieux publics,
 Si les instructions du fabricant, visant à
protéger le matériel, par exemple celles sur la
protection contre l’exposition aux champs
électromagnétiques forts, l’eau, la chaleur,
l’humidité, la poussière sont respectées,
 Si les informations qu'il n'est pas nécessaire
de transférer avec l'actif soient supprimées de
façon sécurisée avant le transfert,
 Si, lorsque du matériel circule hors des locaux
de l’organisme entre différentes personnes
ou entre des tiers, un journal détaillant la
chaîne de traçabilité du matériel est tenu à
jour, mentionnant au minimum les noms des
personnes responsables du matériel, ainsi
que les organismes dont elles relèvent,
 Si un système de traçabilité est maintenu à
jour en demandant lorsque nécessaire et
possible, une autorisation pour le matériel et
les supports à sortir des locaux de l'organisme
et en gardant un enregistrement concernant
ces retraits afin de maintenir un système de
traçabilité,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
 Si les terminaux (par exemple, mobile ou
ordinateur portable) sont protégés contre la
consultation d'informations dans les
transports publics, et contre les risques
associés à la «lecture par-dessus l'épaule»,
 Si la géolocalisation et la fonction
d'effacement à distance des données des
terminaux est mise en œuvre,
 Si des mesures pour l'installation des
équipements en dehors des locaux de
l'organisme sont déterminées en réalisant
une appréciation du risque.
Les supports de stockage  Si une politique spécifique à la gestion des  Revue de la politique de gestion  Politique de gestion des
doivent être gérés tout au supports de stockage amovibles est établie des supports de stockage supports de stockage
long de leur cycle de vie et communiquée à toute personne qui amovibles, amovibles,
d'acquisition, d'utilisation, utilise ou manipule des supports de  Revue des enregistrements de  Enregistrements de
de transport et de mise au stockage amovibles, retrait des supports de stockage, retrait des supports de
rebut conformément au  Si, lorsque nécessaire et possible, une  Inspection des lieux de stockage stockage,
schéma de classification et autorisation pour les supports de stockage à des supports de stockage,  Registre des supports de
aux exigences de sortir de l'organisme est demandé et un  Revue du registre des supports de stockage amovibles,
Supports de traitement de l'organisme. enregistrement concernant ces retraits est stockage amovibles,  Procédures de
stockage
7.10 gardé afin de maintenir un système de  Revues des procédures de réutilisation ou
traçabilité, réutilisation ou d'élimination d'élimination sécurisées
 Si tous les supports de stockage sont stockés sécurisées des supports de des supports de
dans un environnement sûr et sécurisé stockage, stockage,
selon la classification de leurs informations,  Revues des procédures  Procédures
et protégés des menaces d’identification des éléments qui d’identification des
environnementales (telles que la chaleur, peuvent nécessiter une éléments qui peuvent
l’humidité, les champs électromagnétiques élimination sécurisée, nécessiter une
ou le vieillissement) conformément aux  Revue du rapport d’appréciation élimination sécurisée,
spécifications du fabricant, du risque sur les terminaux  Rapport d’appréciation
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
 Si des techniques cryptographiques sont endommagés contenant des du risque sur les
utilisées pour protéger les informations qui données sensibles afin de terminaux endommagés
se trouvent dans les supports de stockage déterminer s'il convient que les contenant des données
amovibles, éléments soient détruits sensibles.
 Si, pour atténuer les risques de dégradation physiquement plutôt qu’envoyés
des supports de stockage lorsque les en réparation ou mis au rebut.
informations stockées sont toujours
utilisées, ces informations sont transférées
sur un support de stockage neuf, avant
qu'elles ne deviennent illisibles,
 Si plusieurs copies des informations
importantes sont stockées sur des supports
de stockage séparés pour réduire
davantage les risques d'endommagement
ou de perte fortuits des informations,
 Si un registre des supports de stockage
amovibles est établi pour limiter les risques
de perte d'informations,
 Si les ports de supports de stockage
amovibles (par exemple, les emplacements
pour cartes SD ou les ports bus USB) sont
activés seulement si l'organisme a une
raison de les utiliser,
 Si, lorsqu'il y a un besoin d'utiliser des
supports de stockage amovibles, le transfert
des informations sur ces supports de
stockage est contrôlé,
 Si des procédures de réutilisation ou
d'élimination sécurisées des supports de
stockage sont définies pour minimiser le
risque de fuite d'informations
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
confidentielles à des personnes non
autorisées,
 Si les données sont effacées de manière
sécurisée ou si le support de stockage est
formaté avant la réutilisation des supports
de stockage contenant des informations
confidentielles,
 Si les supports de stockage contenant des
informations confidentielles sont éliminés
de manière sécurisée lorsqu'ils ne sont plus
nécessaires (par exemple, par destruction,
broyage ou suppression sécurisés du
contenu),
 Si des procédures sont mises en place pour
identifier les éléments qui peuvent
nécessiter une élimination sécurisée,
 Si l'élimination des éléments sensibles est
journalisée afin de maintenir un système de
traçabilité,
 Si une appréciation du risque sur les
terminaux endommagés contenant des
données sensibles est réalisée afin de
déterminer s'il convient que les éléments
soient détruits physiquement plutôt
qu’envoyés en réparation ou mis au rebut.
Les moyens de traitement Si les services supports (tels que l’électricité, les  Revue des rapports d’évaluation des  Rapports d’évaluation des
de l’information doivent télécommunications, l’approvisionnement en services généraux, services généraux,
Services supports être protégés contre eau, le gaz, l’assinissement, la ventilation et la  Revue des rapports de test de ses  Rapports de test de ses
7.11
coupures de courant et climatisation): services, services.
autres perturbations  sont conformes aux spécifications du  Interview du DSI,
causées par des fabricant du matériel et aux exigences légales  Vérification de la conformité de ses
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
défaillances des services locales, services aux spécifications du
supports.  font l’objet d’une évaluation régulière pour fabricant du matériel et aux
vérifier leur capacité à répondre à exigences légales,
l’augmentation des activités de l’organisme  Vérification de l’existence
et aux interactions avec les autres services d’alimentation redondante,
supports, d’onduleur, d’un groupe
 sont examinés et testés de manière régulière électrogène.
pour s’assurer de leur fonctionnement
correct,
 sont équipés, si nécessaire, d’alarmes de
détection des dysfonctionnements,
 disposent, si nécessaire, d’alimentations
multiples sur les réseaux physiques
d’acheminement.
Les câbles électriques  Si, dans la mesure du possible, les lignes  Revue du schéma de câblage du  Schéma de câblage du
transportant des données électriques et les lignes de réseau électrique et informatique, réseau électrique et
ou supportant les services télécommunication branchées aux moyens de  Balayages techniques et informatique,
d’information doivent être traitement de l’information sont enterrées, d’inspections physiques pour  Rapport de balayages
protégés contre des ou soumises à toute autre forme de détecter le branchement d’appareils techniques et d’inspections
interceptions, protection adéquate, non autorisés sur les câbles, physiques pour détecter le
interférences ou  Si les câbles électriques sont séparés des  Interview du DSI, branchement d’appareils
Sécurité du dommages. câbles de télécommunication pour éviter  Inspection des conduits de câbles et non autorisés sur les
7.12 câblage toute interférence, des panneaux de répartition et des câbles.
 Si, pour les systèmes sensibles ou critiques, chambres de câblage.
les mesures supplémentaires comprennent:
- l’installation d’un conduit de câbles blindé
et de chambres ou de boîtes verrouillées
aux points d’inspection et aux extrémités,
- l’utilisation d’un blindage
électromagnétique pour assurer la
protection des câbles,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
- le déclenchement de balayages techniques
et d’inspections physiques pour détecter le
branchement d’appareils non autorisés sur
les câbles,
- un accès contrôlé aux panneaux de
répartition et aux chambres de câblage,
- l’utilisation de câbles à fibre optique.
Le matériel doivt être  Si le matériel est entretenu selon les  Revue des contrats de  Contrats de maintenances
entretenu correctement spécifications et la périodicité recommandées maintenances des matériels, des matériels,
pour assurer la par le fournisseur,  Revue du dossier de toutes les  Dossier de toutes les
disponibilité, l’intégrité et  Si un programme de maintenance est mis en pannes suspectées ou avérées, pannes suspectées ou
la confidentialité de œuvre etsi sa supervision par l’organisme est  Revue des rapports d’intervention avérées,
l’information. assurée, de maintenance préventive et  Rapports d’intervention de
 Si seul un personnel de maintenance autorisé curative, maintenance préventive et
assure les réparations et l’entretien du  Revue des contrats d’assurance des curative,
matériel, matériels,  Contrats d’assurance des
 Si un dossier de toutes les pannes suspectées  Revue des rapports d’inspection du matériels,
ou avérées et de toutes les tâches de matériel avant de le remettre en  Rapports d’inspection du
Maintenance du
maintenance préventives ou correctives est service à l’issue de sa maintenance, matériel avant de le
7.13 matériel
conservé,  Interview du DSI, remettre en service à
 Si des mesures appropriées sont mises en  Vérification des mesures mises en l’issue de sa maintenance,
œuvre lorsque la maintenance d’un matériel œuvre avant la maintenance du  Liste des mesures mises en
est planifiée en prenant en compte le fait matériel. œuvre avant la
qu’elle soit effectuée par du personnel sur maintenance du matériel.
site ou extérieur à l’organisme; et si, lorsque
cela est nécessaire, l’information
confidentielle contenue dans le matériel est
effacée ou le personnel de maintenance a
reçu les autorisations suffisantes,
 Si toutes les exigences de maintenance
qu’imposent les polices d’assurance sont
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
respectées,
 Si le matériel est inspecté avant de le
remettre en service à l’issue de sa
maintenance, pour s’assurer qu’il n’a pas subi
d’altérations et qu’il fonctionne
correctement.
 Si le personnel de maintenance est surveillé
lors de la réalisation de la maintenance sur
site,
 Si les accès à la maintenance à distances sont
autorisés et contrôlés.
Tous les composants des  Si une procédure de mise au rebut ou de  Revue de la procédure de mise au  Procédure de mise au
matériels contenant des réutilisation du matériel est élaborée et mise rebut ou de réutilisation du matériel rebut ou de réutilisation du
supports de stockage en œuvre,  Revue du rapport d’analyse des matériel
doivent être vérifiés pour  S’il est procédé, lorsqu’il est nécessaire, à une risques des appareils endommagés  Rapport d’analyse des
s’assurer que toute donnée appréciation du risque des appareils contenant des supports de risques des appareils
sensible a bien été endommagés contenant des supports de stockage, endommagés contenant
Élimination ou supprimée et que tout stockage pour déterminer s’il convient de les  Revue de l’inventaire du matériel des supports de stockage,
recyclage logiciel sous licence a bien détruire physiquement plutôt que de les faire mis au rebut ou réutilisé,  Inventaire du matériel mis
7.14 sécurisé(e) du été désinstallé ou écrasé réparer ou de les mettre au rebut,  Revue des rapports de mise au au rebut ou réutilisé,
matériel de façon sécurisée, avant  Si les supports de stockage contenant de rebut ou de réutilisation du  Rapports de mise au rebut
leur mise au rebut ou leur l’information confidentielle ou protégée par matériel, ou de réutilisation du
réutilisation. le droit d’auteur sont détruits physiquement,  Interview du DSI. matériel.
ou bien si cette information est détruite,
supprimée ou écrasée en privilégiant les
techniques rendant l’information d’origine
irrécupérable plutôt qu’en utilisant la fonction
standard de suppression ou de formatage.
8 Contrôles de sécurité technologiques
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
Les informations stockées,  Si une analyse des risques d'utilisation des  Revue de la politique d’utilisation  Document de l’analyse des
traitées ou accessibles via les terminaux finaux des utilisateurs est réalisée, des terminaux finaux des risques d’utilisation des
terminaux finaux des  Si une politique spécifique à la configuration utilisateurs, terminaux finaux des
utilisateurs, doivent être et à la manipulation sécurisées des terminaux  Interview du RSI et du DSI, utilisateurs,
protégées. finaux des utilisateurs est élaborée,  Interview du responsable réseau,  Politique d’utilisation de
communiquée et mise en œuvre,  Test d'accès d'un terminal final et ces terminaux,
 Si des systèmes de protection techniques sont vérification des logs des solutions de  Inventaire des terminaux
déployés pour s’assurer que les informations contrôle d'accès sur le réseau, finaux des utilisateurs,
sensibles peuvent uniquement être  Vérification de la configuration des  Inventaire des outils de
consultées via les terminaux finaux des solutions de contrôle d'accès sur le détection et de contrôle de
utilisateurs, mais ne pas être stockées sur ces réseau et revue des ACLs, ces terminaux,
terminaux,  Revue des programmes de sessions  Logs des solutions de
 Si tous les utilisateurs sont sensibilisés aux de sensibilisation réalisées et contrôle d'accès sur le
Terminaux exigences et aux procédures de sécurité réseau,
bénéficiaires,
finaux des destinées à la protection des terminaux finaux  Programmes de sessions
8.1 utilisateurs  Audit, sur un échantillon de postes
des utilisateurs, ainsi qu’aux responsabilités de sensibilisation réalisées
qui leur incombent pour assurer la mise en de travail, des paramètres de et bénéficiaires,
œuvre de ces mesures de sécurité, configuration,  Rapport d’audit des
 Si les utilisateurs ferment les sessions actives  Interview d’un échantillon paramètres de
et arrêtent les services lorsqu’ils n’en ont plus d’utilisateurs. configuration.
besoin,
 Si les terminaux finaux des utilisateurs sont
dotés d’une protection appropriée contre les
utilisations non autorisées à l’aide des
mesures de sécurité physique (par exemple,
verrouillage par clé ou verrous spéciaux) et
des mesures de sécurité logique (par
exemple, accès par mot de passe),
 Si les terminaux contenant des informations
métier importantes, sensibles ou critiques
sont surveillés,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
 Si les utilisateurs se déconnectent des
applications ou des services en réseau
lorsqu’ils n’en ont plus besoin,
 Si une procédure spécifique prenant en
compte les exigences légales, statutaires,
réglementaires, contractuelles (y compris les
exigences d'assurance) et autres exigences de
sécurité de l'organisme est établie, pour les
cas de vol ou de perte de terminaux finaux
des utilisateurs,
 Si la séparation de l'utilisation personnelle et
l'utilisation professionnelle des terminaux est
assurée, notamment avec l’utilisation d'un
logiciel permettant cette séparation et la
protection des données métier sur un
appareil privé,
 Si l'accès aux informations métier n’est
autorisé que lorsque les utilisateurs ont
reconnu leurs obligations (protection
physique, mise à jour des logiciels, etc.),
renoncer à la propriété des données métier et
permettre l’effacement à distance des
données par l'organisme en cas de vol ou de
perte du terminal, ou lorsque l'utilisation du
service n'est plus autorisée,
 Si des procédures de configuration des
connexions sans fil sur les terminaux (par
exemple, désactivation des protocoles
vulnérables) sont établies et mises en œuvre.
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
L’attribution et l’utilisation  Si un processus d’autorisation des droits  Revue du processus d’attribution  Politique de contrôle
des droits d’accès privilégiés d'accès privilégiés est mis en œuvre des droits privilégiés et la d’accès,
doivent être limitées et conformément à la politique de contrôle conformité de sa mise en œuvre  Procédure de gestion des
gérées. d'accès, avec la politique de contrôle accès (règles d’attribution
 Si les utilisateurs qui ont besoin de droits d’accès, des droits d’accès à
d’accès privilégiés pour chaque système ou  Revue des comptes d’accès privilèges),
processus (par exemple, les systèmes privilégiés,  Liste des comptes d’accès
d'exploitation, les systèmes de gestion de  Revue des logs des accès, à privilèges sur les
bases de données et les applications) sont  Interview des administrateurs applications, les BD, les
identifiés, systèmes, réseaux, BD et serveurs et les
 Si les droits d'accès privilégiés sont attribués applications et des responsables équipements réseau et de
aux utilisateurs au besoin et au cas par cas, métier pour l’identification des sécurité,
conformément à la politique de contrôle droits d’accès privilégiés et des  Paramètres des comptes
d'accès et en respectant le principe du conditions de leur expiration. d’accès privilégiés (droits
Droits d'accès « moindre privilège », accordés, délai
8.2 privilégiés  Si les exigences d'expiration des droits d'accès d’expiration).
privilégiés ont été définies et mises en œuvre,
 Si des mesures sont mises en place pour
s'assurer que les utilisateurs ont conscience
de leurs droits d’accès privilégiés et savent
quand ils sont en mode d'accès privilégié (par
exemple l'utilisation d’identités utilisateur
spécifiques, de paramètres d'interface
utilisateur ou même d’un matériel
spécifique),
 Si les exigences d'authentification relatives
aux droits d’accès privilégiés sont plus
élevées que les exigences relatives aux droits
d'accès normaux,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
 Si, après tout changement organisationnel, la
liste des utilisateurs travaillant avec des droits
d’accès privilégiés est revue afin de vérifier si
leurs obligations, fonctions, responsabilités et
compétences justifient encore qu'ils
travaillent avec des droits d’accès privilégiés,
 Si des règles spécifiques sont établies afin
d’éviter l'utilisation d'identifiants utilisateurs
d'administration génériques,
 Si les droits d’accès privilégiés temporaires
sont accordés seulement pour la durée
nécessaire pour mettre en œuvre les
changements ou les activités approuvés,
 Si tous les accès privilégiés aux systèmes sont
journalisés à des fins d'audit,
 Si les identités dotées de droits d’accès
privilégiés ne sont ni partager ni lier entre
plusieurs personnes,
 Si les identités dotées de droits d’accès
privilégiés sont utilisées seulement pour
réaliser des tâches d'administration et non
dans le cadre des tâches générales
quotidiennes.
L’accès à l’information et aux  Si les restrictions d'accès sont basées sur des  Revue de la politique de contrôle  Politique de contrôle
Restrictions fonctions d’application exigences individuelles de l'application métier d'accès, d’accès,
d'accès aux système doit être restreint et conformément à la politique de contrôle  Revue des identités des utilisateurs,  Liste des identités des
8.3
informations conformément à la politique d'accès définie,  Revue de la matrice des rôles utilisateurs,
de contrôle d’accès.  Si des mécanismes de configuration pour d’accès,  Matrice des rôles d’accès,
contrôler l'accès aux informations dans les  Interview des administrateurs  Echantillon de sorties,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
systèmes, applications et services sont systèmes, réseaux BD et  Logs des accès,
fournis, applications,  ACL des équipements
 Si les informations contenues dans les sorties  Vérification des contrôles d’accès réseau et de sécurité.
sont limitées, par rapport à la matrice,
 Si des contrôles d'accès physiques ou logiques  vérification d’un échantillon de
pour l'isolation d'applications sensibles, de sorties,
données d'application ou de systèmes sont  Vérification des ACL sur les
mis en place, équipements réseaux et de sécurité,
 Si des identités sont accordées aux  Vérification des techniques de
utilisateurs, gestion dynamique des accès.
 Si l'accès aux informations sensibles est
interdit aux utilisateurs inconnus ou
anonymes,
 Si l'accès des utilisateurs aux données est
contrôlé,
 Si les droits d'accès aux données (tel qu'en
lecture, en écriture, en suppression et en
exécution) est défini et contrôlé,
 Si des techniques et processus de gestion
dynamique des accès permettant de protéger
les informations sensibles qui ont une valeur
importante pour l'organisme sont prises en
considération,
 Si ces techniques de gestion dynamique des
accès protègent les informations tout au long
de leur cycle de vie (c’est-à-dire création,
traitement, stockage, transmission et
élimination), y compris:
- définition de règles relatives à la gestion
dynamique des accès basées sur des cas
d'utilisation spécifiques,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
- la mise en place de processus opérationnels,
de surveillance et de notification, et d’une
infrastructure technique support,
 Si les systèmes de gestion dynamique des
accès protègent les informations en:
- Exigeant une authentification, des
identifiants appropriés ou un certificat pour
accéder aux informations,
- Limitant l'accès, par exemple à une période
de temps déterminée (par exemple, après
une date donnée ou jusqu'à une date
donnée),
- Utilisant le chiffrement pour protéger les
informations,
- Définissant les autorisations d'impression
pour les informations,
- Enregistrant qui accède aux informations et
comment les informations sont utilisées,
- Générant des alertes si des tentatives
d’utilisation abusive des informations sont
détectées.
L'accès en lecture et en  Si des procédures pour gérer l'accès aux  Revue de la procédure de gestion  procédure de gestion des
écriture au code source, aux codes source des programmes et aux des changements pour la changements,
outils de développement et bibliothèques des codes source de vérification de la prise en charge de  liste des droits d’accès aux
Accès aux aux bibliothèques de logiciels programmes sont établies et mises en œuvre, la maintenance et de copie des bibliothèques de
codes source doit être géré de manière  Si l'accès en lecture et en écriture aux codes bibliothèques de programmes programmes sources,
8.4
appropriée. source est attribué en fonction des besoins sources,  Echantillon d’autorisation
métier et géré pour traiter les risques  revue d’un échantillon de mise à jour et de
d'altération ou d’utilisation abusive d’autorisation de mise à jour et de délivrance des
conformément aux procédures établies, délivrance des programmes sources programmes sources aux
 Si l’accès au répertoire de code source n’est aux programmeurs, programmeurs,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
pas accordé de façon direct aux développeurs  Interview du DSI, des programmeurs  paramètres de
mais à travers des outils de développement et du personnel chargé de configuration de
qui contrôlent les activités et les autorisations l’assistance, l’environnement de
sur le code source,  Vérification de l’absence des stockage des listings de
 Si les listings de programmes sont stockés bibliothèques de programmes programmes,
dans un environnement sécurisé, sources sur les systèmes en  logs des accès aux
 Si tous les accès et toutes les modifications exploitation, bibliothèques de
apportées au code source sont journalisés,  Vérification des droits d’accès aux programmes sources.
 Si l’accès aux bibliothèques de codes source bibliothèques de programmes
des programmes est restreint, sources,
 Si les bibliothèques de codes sources ne sont  Vérification de l’environnement de
pas stockées sur les systèmes en exploitation stockage des listings de
lorsque cela est possible, programmes,
 Si le personnel chargé de l’assistance  vérification des logs des accès aux
technique ne dispose pas d’un accès illimité bibliothèques de programmes
aux bibliothèques de programmes sources, sources.
 Si la mise à jour des codes source et les
éléments associés, ainsi que l’attribution de
l’accès au code source conformément aux
procédures de contrôle des changements ne
sont réalisées qu’après attribution d’une
autorisation appropriée.
Des technologies et  Si une procédure de connexion sécurisée aux  Revu de la procédure de connexion  Procédure de connexion
procédures d'authentification systèmes et aux applications est élaborée et sécurisée, sécurisée,
sécurisée sur la base des mise en œuvre,  Revue de la politique de contrôle  Politique de contrôle
Authentificati restrictions d'accès aux  Si les informations sensibles du système ou de d’accès, d’accès,
on sécurisée informations et de la politique
8.5 l'application ne sont pas affichées tant que le  Interview des responsables métiers  Log des accès,
de contrôle d'accès doivent processus de connexion n'est pas terminé et des administrateurs systèmes,  Captures d’écran,
être mises en œuvre. avec succès, réseaux, et BD,  Rapport d’audit des
 Si le système affiche un message avertissant  Vérification sur les systèmes des paramètres de
les utilisateurs l’accès n’est permis qu’aux paramètres relatifs : configuration système.
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
utilisateurs autorisés, - A l’affichage du message
 Si le système est protéger contre les d’avertissement,
tentatives de connexion par « brute force », - Au blocage de connexion après un
 Si les tentatives d’accès réussies ou échouées certain nombre de tentatives
sont journalisées, échouées,
 Si les mots de passes entrés sont masqués, - Aux tentatives d’accès réussies et
 Si les mots de passe sont transmis en mode échouées journalisées,
crypté, - Au masquage des mots de passe
 Si les sessions inactives après une période entrés,
d'inactivité définie sont fermées - A la mise en fin automatique à des
automatiquement, en particulier dans des sessions inactives après une
zones à haut risque telles que des zones période d'inactivité définie,
publiques ou externes en dehors du - A la limitation du temps de
périmètre de gestion de la sécurité de connexion.
l'organisme, ou sur les terminaux finaux des
utilisateurs,
 Si les durées de connexion sont limitées pour
fournir une sécurité supplémentaire aux
applications à haut risque et réduire les
possibilités d'accès non autorisé.
L'utilisation des ressources  Si le dimensionnement des moyens de  Revue des indicateurs/critères de  Indicateurs/critères de
doit être surveillée et ajustée traitement de l'information, des ressources performance des serveurs et des performance des serveurs
selon les besoins de humaines, des bureaux et autres installations équipements réseaux, et des équipements
dimensionnement actuels et a été effectué en tenant compte du niveau de  Revue de la procédure de gestion réseaux,
Dimensionne prévus. criticité métier des systèmes et processus des changements,  Procédure de gestion des
8.6 ment concernés,  Interview du RSI et des changements,
 Si les systèmes sont surveillés pour assurer administrateurs système, BD et  Résultats des tests de
leur disponibilité, leur efficacité et leur réseau, résistance,
amélioration,  Revue des résultats des tests de  Moyens de détection et de
 Si les systèmes et les services sont soumis à résistance, signalement,
des tests de résistance afin de s’assurer que  Vérification des moyens de  Plans de gestion du
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
les systèmes ont un dimensionnement détection et de signalement mis en dimensionnement.
suffisant pour répondre aux exigences de place,
performance pendant les pics d’utilisation,  Revue des plans de gestion du
 Si des moyens de détection pour signaler les dimensionnement.
problèmes en temps optimal sont mis en
place,
 Si les projections des besoins de
dimensionnement futurs tiennent compte des
nouveaux besoins métier et systèmes, et des
tendances actuelles et prévues en termes de
capacités de traitement de l'information de
l'organisme,
 Si des plans pour éviter les limitations de
ressources et la dépendance à l’égard du
personnel clé sont mis en place ( qui
contiennent des solutions pour
l'augmentation de la capacité ou la réduction
de la demande sur les ressources),
 Si un plan de gestion du dimensionnement
pour les systèmes critiques est documenté.
une protection contre les  Si des règles et des mesures de sécurité, qui  Revue des règles et des mesures  Liste des règles et des
programmes malveillants doit empêchent ou détectent l'utilisation de de sécurité pour la détection et le mesures de sécurité pour
être mise en œuvre et logiciels non autorisés, sont mises en blocage de l'utilisation de logiciels la détection et le blocage
Protection
renforcée par œuvre, non autorisés, de l'utilisation de
contre les
une sensibilisation appropriée  Si des mesures de sécurité, qui empêchent  Revue des mesures de protection logiciels non autorisés,
programmes
8.7 des utilisateurs. ou détectent l'utilisation de sites web contre les risques associés à  Liste des mesures et des
malveillants
connus ou suspectés pour leur caractère l’obtention de fichiers et de moyens de protection
(malware)
malveillant, sont mises en œuvre (par logiciels malveillants via des contre l’obtention de
exemple, blocklisting), réseaux externes ou tout autre fichiers et de logiciels
 Si un processus de gestion des support, malveillants,
vulnérabilités est mis œuvre pour réduire  Vérification de l’installation des  Processus d'autorisation
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
les vulnérabilités qui peuvent être logiciels de détection des de la désactivation
exploitées, programmes malveillants et de temporaire ou
 S’il est procédé régulièrement à une réparation, permanente des
validation automatique des logiciels et du  Revue du processus d'autorisation mesures de protection
contenu des données des systèmes, en de la désactivation temporaire ou contre les programmes
particulier pour les systèmes qui gèrent des permanente des mesures de malveillants,
processus métier critiques, protection contre les programmes  Plans de continuité
 Si des mesures de protection contre les malveillants, d'activité permettant la
risques associés à l’obtention de fichiers et  Revue des plans de continuité reprise après des
de logiciels soit depuis ou via des réseaux d'activité permettant la reprise attaques par
externes, soit sur tout autre support, sont après des attaques par programmes
mises en place, programmes malveillants, malveillants,
 Si des logiciels de détection des  Revue des procédures et des  Procédures et
programmes malveillants et de réparation, responsabilités pour gérer la responsabilités pour
pour analyser les ordinateurs et les protection des systèmes contre gérer la protection des
supports de stockage électroniques, sont les programmes malveillants, systèmes contre les
installés et mis à jour régulièrement,  Revue des procédures de collecte programmes
 Si des analyses régulières sont réalisées régulière des informations sur les malveillants,
pour s'assurer de l'absence de programmes nouveaux programmes  Procédures de collecte
malveillants avant et incluent: malveillants. régulière des
- l’analyse de toute donnée reçue sur les informations sur les
réseaux ou via toute forme de support de nouveaux programmes
stockage électronique, malveillants.
- l’analyse des pièces jointes aux courriers
électroniques et aux messages
instantanés, et des fichiers téléchargés
- l’analyse des pages web au moment d’y
accéder,
 Si l’emplacement et la configuration des
outils de détection des programmes
malveillants et de réparation sont
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
déterminés en fonction des résultats de
l'appréciation du risque et en prenant en
considération les techniques de
contournement des attaquants,
 Si la protection contre l'introduction de
programmes malveillants pendant les
procédures de maintenance et d'urgence,
qui peuvent contourner les mesures de
sécurité habituelles contre les programmes
malveillants, est assurée,
 Si un processus permettant d'autoriser la
désactivation temporaire ou permanente
de certaines ou de toutes les mesures de
protection contre les programmes
malveillants, y compris des autorités
d’approbation des exceptions, des
justifications documentées et les dates de
révision, est mis en œuvre,
 Si des plans de continuité d'activité
appropriés permettant la reprise après des
attaques par programmes malveillants sont
élaborés,
 Si des procédures et des responsabilités
pour gérer la protection des systèmes
contre les programmes malveillants, y
compris la formation à leur utilisation, la
déclaration et la reprise après des attaques
par programmes malveillants, sont définies,
 Si la sensibilisation ou la formation de tous
les utilisateurs sur la manière d'identifier et,
éventuellement, d'atténuer la réception,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
l'envoi ou l'installation de courriers
électroniques, fichiers ou programmes
infectés par des programmes malveillants,
est assurée,
 Si des procédures pour collecter
régulièrement des informations sur les
nouveaux programmes malveillants, telles
que l’abonnement à des listes de diffusion,
les bulletins d’alerte des fournisseurs de
logiciels ou la consultation de sites web
pertinents, sont mises en œuvre.
Des informations sur les  S’il existe des procédures de gestion de  Revue de la procédure de gestion de  Procédure de gestion de
vulnérabilités techniques des vulnérabilités techniques permettant vulnérabilités techniques, vulnérabilités techniques,
systèmes d’information d’identifier, d’évaluer et de répondre aux  Revue des rapports des audits  Rapports des audits
utilisés doivent être obtenues, vulnérabilités des systèmes, réseaux, base de techniques, techniques,
l’exposition données et applications,  Vérification de l’inventaire des  Documentation de
de l’organisme à ces  Si l'organisme dispose d’un inventaire précis actifs, l’installation des correctifs,
vulnérabilités doit être des actifs pour une gestion efficace des  Revue des documents résultants de  Cellule de veille,
évaluée et des mesures vulnérabilités techniques, l’installation des correctifs,  Abonnement au CERT
Gestion des appropriées doivent être  Si cet inventaire inclue les fournisseurs de  Interview du RSI et des national,
vulnérabilités prises. logiciels, les noms de logiciels, les numéros de administrateurs système et réseau,  Historique des installations
8.8
techniques versions, l'état d’utilisation en cours et la ou  Vérification du processus de veille des nouvelles versions et
les personnes au sein de l'organisme qui sont sur les vulnérabilités techniques, des correctifs,
responsables des logiciels,  Revue de l’historique des  Accords de services en
 Si les ressources d'information qui seront installations des nouvelles versions nuage.
utilisées pour identifier les vulnérabilités et des correctifs,
techniques importantes sont déterminées et  Interview des administrateurs
la liste de ces ressources est mise à jour, système et réseau,
 Si les contrats avec les fournisseurs des  Vérification des versions installées
systèmes d'information exigent la déclaration sur les serveurs, les équipements
des vulnérabilités, leur traitement et leur réseau et sécurité et les postes de
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
publication, travail,
 Si des outils d'analyse des vulnérabilités  Vérification des accords de services
adaptés aux technologies utilisées afin en nuage.
d’identifier les vulnérabilités et de vérifier si
l'application de correctifs visant à résoudre
les vulnérabilités a été efficace sont utilisés,
 Si des tests périodiques de pénétration du
réseau et des audits techniques spécialisés
approfondis sont réalisés,
 Si des audits techniques réguliers sont menés,
 Si l’installation des correctifs de sécurité se
fait suite à une étude d'impact, des tests et
une approbation préalable,
 Si un processus de veille sur les vulnérabilités
techniques est mis en œuvre :
- Si une cellule de veille est mise en place,
- Si l’organisme dispose de son propre centre
de réponse aux urgences ou adhéré à un
centre de réponse aux urgences
cybernétiques public ou sectoriel ou privé
pour s'informer aux vulnérabilités liées aux
produits et systèmes utilisés,
 Si les correctifs de sécurité sont
régulièrement appliqués,
 Si les installations des nouvelles versions et
des correctifs sont tracées,
 Si les étapes entreprises lors de la gestion des
vulnérabilités techniques sont journalisés,
 Si, lorsque l'organisme utilise un service en
nuage fourni par un fournisseur de services
en nuage tiers, la gestion des vulnérabilités
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
techniques des ressources du fournisseur de
services en nuage doit être assurée par ce
dernier.
Les configurations, y compris  Si des modèles standards pour la  Revue de la politique de sécurité de  La politique de sécurité de
les configurations de sécurité, configuration sécurisée du matériel, des l'information de l’organisme, ses l'information de
du matériel, des logiciels, des logiciels, des services et des réseaux sont politiques spécifiques, les normes et l'organisme, ses politiques
services et des réseaux définis, autres exigences de sécurité, spécifiques, les normes et
Gestion des
doivent être définies,  Si un journal de tous les changements de  Vérification des documentations des autres exigences de
configurations
8.9 documentées, mises en configuration du matériel, des logiciels, des systèmes, du journal de tous les sécurité,
œuvre, surveillées et révisées. services et des réseaux est défini, établi et changements de configuration et  Le journal de tous les
tenu à jour. des enregistrements de changements de
configuration. configuration.
Les informations stockées  Si une méthode de suppression (par exemple,  Interview du RSI,  La politique spécifique de
dans les systèmes écrasement électronique ou effacement  Interview du responsable réseau et la conservation des
d’information, les terminaux cryptographique) conformément aux des responsables métier, données de l'organisme,
ou tout autre support de exigences métier et en tenant compte des lois  Vérification des méthodes et des  Liste des logiciels de
stockage, doivent être et réglementations pertinentes est prise en logiciels de suppression. suppression sécurisée
supprimées lorsqu’elles ne compte, approuvés.
sont plus nécessaires.  Si des logiciels de suppression sécurisée
approuvés pour supprimer définitivement les
Suppression
informations afin de contribuer à assurer que
8.10 des
les informations ne peuvent pas être
informations
récupérées à l'aide d'outils de récupération
spécialisés ou d'outils informatiques
judiciaires,
 Si des mécanismes d'élimination adaptés au
type de support de stockage à éliminer (par
exemple, démagnétisation des disques durs
et autres supports de stockage magnétiques)
sont utilisés.
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
Le masquage des données doit  Si des procédures de masquage des données  Revue de la politique de contrôle  Politique de contrôle
être utilisé conformément à la sont mises en place conformément à la d’accès, d’accès,
politique de contrôle d'accès politique de contrôle d'accès et aux exigences  Revue des procédures de masquage  Les procédures de
de l'organisme et d’autres métier, tout en prenant en compte les des données, masquage des données,
politiques spécifiques exigences d'ordre légal,  Interview du DSI et du responsable  Log des accès.
associées, ainsi qu'aux  Si ces procédures sont mises en œuvre et métier,
exigences métier, tout en permettent de limiter l'exposition de données  Revue des comptes d’accès
Masquage des
8.11 prenant en compte la sensibles, notamment les données à caractère privilégiés,
données
législation applicable. personnel, et de se conformer aux exigences  Revue des logs des accès.
légales, statutaires, réglementaires et
contractuelles,
 Si l’accès aux outils de masquage des données
n’est possible qu’aux utilisateurs autorisés,
 Si les restrictions d'accès ou l’utilisation des
données traitées sont mises en place.
Des mesures de prévention de  Si des procédures de classification des  Revue de la PSI,  PSI,
la fuite de données doivent informations à protéger contre les fuites sont  Revue des procédures de  Procédures de
être appliquées aux systèmes, développées et maintenues, classification à protéger contre la classification des données
aux réseaux et à tous les  S’il existe des mesures de prévention de la fuite, à protéger contre la fuite,
autres terminaux qui traitent, fuite de données aux systèmes, réseaux et  Interview des responsables métier,  Etat sur les mesures de
stockent ou transmettent des terminaux qui traitent, stockent ou  Vérification des mesures de sécurité sécurité appliquées,
informations sensibles. transmettent de l'information sensible sont sur un échantillon de données à  Logs des actions sur ces
Prévention de
défini et mis en œuvre, protéger contre la fuite. données.
la fuite de
 Si ces mesures permettent de détecter et
8.12 données
d'empêcher la divulgation et l'extraction non
autorisées d'information par des personnes
ou des systèmes,
 S’il existe des règles relatives à la
classification des informations à protéger
contre les fuites selon leurs exigences de
sécurité au niveau de la PSI,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
 Si les restrictions d'accès aux données,
conformément aux exigences de protection
pour chaque niveau de classification, sont
mises en place,
 Si des outils de prévention de la fuite de
données sont mis en place et qui permettent
d’identifier les données, surveiller l'usage et
le déplacement des données, et prendre des
mesures pour empêcher la fuite de données.
Des copies de sauvegarde de  Si une politique de sauvegarde, définissant :  Revue de la politique de  Politique de sauvegarde,
l’information, des logiciels et - les objets à sauvegarder, sauvegarde,  Liste des responsables de
des systèmes doivent être - la fréquence des sauvegardes,  Revue des rapports d’audit du sauvegardes,
réalisées et testées - la nature de sauvegarde (totale, processus de sauvegarde,  Rapports d’audit du
régulièrement conformément différentielle),  Interview des responsables métier, processus de sauvegarde,
à une politique de sauvegarde - les emplacements,  Interview du RSI et des  Plan de sauvegarde,
convenue. - les mesures de protection, administrateurs système, BD et  Registre de sauvegarde.
- la procédure de restauration, réseau,
- les synchronismes nécessaires entre  Revue du plan de sauvegarde,
Sauvegarde différentes sauvegardes,  Revue du registre de sauvegarde.
des - les tests périodiques des supports de
8.13
informations sauvegarde,
- les tests périodiques de restauration,
- la définition des rôles et des responsabilités,
période/cycle de conservation, etc.,
est élaborée et mise en œuvre,
 Si cette politique couvre:
-les données applicatives,
- les programmes (sources et/ou
exécutables),
-les paramètres de configuration des
applications et des logiciels de base (les
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
différents fichiers de paramétrages),
-clonage OS des Serveurs métiers ou mise en
place d'une infrastructure virtuelle avec
acquisition des sauvegardes des machines
virtuelles,
-l'ensemble des configurations des
équipements réseau et sécurité,
-les données utilisateurs,
-l'ensemble des paramètres de configuration
des postes utilisateurs,
 Si la politique de sauvegarde est mise à jour à
chaque changement de contexte
d'exploitation,
 Si les responsabilités de sauvegarde sont
définies,
 Si le processus de sauvegarde fait l'objet d'un
audit régulier,
 Si un plan de sauvegarde est élaboré et mis
en œuvre,
 Si les exigences de sauvegarde des
informations sont définies dans le cas
d'utilisation du service en nuage,
 Si les copies de sauvegarde sont conservées
dans un local sécurisé et protégé des risques
accidentels et d'intrusion. Si un tel local est
protégé par un contrôle d'accès renforcé et,
en outre, être protégé contre les risques
d'incendie et de dégâts des eaux,
 Si la politique de sauvegarde est appliquée,
 Si l'ensemble des sauvegardes permettant de
reconstituer l'environnement de production
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
est également sauvegardé en dehors du site
de production (sauvegardes de recours),
 Si les sauvegardes sont protégées par des
mécanismes de haute sécurité contre toute
modification illicite ou indue,
 S’il y-a des tests périodiques de restauration:
Tests réguliers pour s'assurer que les
sauvegardes réalisées, leur documentation et
leur paramétrage permettent effectivement
de reconstituer à tout moment
l'environnement de production,
 S’il y a des tests réguliers des supports de
sauvegardes.
Des moyens de traitement de  Si les exigences relatives à la disponibilité  Revue du document d’analyse des  document d’analyse des
l'information doivent être mis des services métier et des systèmes exigences en continuité d’activité, exigences en continuité
en œuvre avec suffisamment d'information sont identifiées,  Revue de l’architecture réseau, d’activité,
de redondances pour  Si une architecture de systèmes avec une  Revue de l’inventaire du matériel,  L’architecture réseau
répondre aux exigences de redondance appropriée est conçue et mise  Revue des rapports de tests de la  Inventaire du matériel,
disponibilité. en œuvre pour satisfaire à ces exigences, solution de secours,  Rapports de tests de la
Redondance  Si des procédures sont élaborées et mise  Interview du DSI et du RSI. solution de secours.
des moyens en œuvre pour l’activation des composants
de traitement et moyens de traitement redondants,
8.14
de  Si ces composants et moyens de traitement
l'information de l'information redondants assurent le
même niveau de sécurité que les
composants et moyens de traitement
principaux,
 Si des mécanismes pour alerter l’organisme
de toute défaillance des moyens de
traitement de l’information sont mis en
place,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
 Si un contrat est conclu avec deux ou
plusieurs fournisseurs de réseaux et de
moyens de traitement de l'information
critiques, tels que les fournisseurs de
services Internet,
 Si des réseaux redondants sont utilisés,
 Si deux centres de données séparés
géographiquement, avec des systèmes en
miroir, sont utilisés,
 Si des sources d'alimentation physiquement
redondantes sont utilisées,
 Si plusieurs instances parallèles des
composants logiciels, avec équilibrage de
charge automatique entre eux (entre les
instances d'un même centre de données ou
de plusieurs centres de données), sont
utilisées.
Les journaux qui enregistrent  Si une analyse spécifique des besoins en  Revue du rapport d’analyse des  Rapport d’analyse des
les activités, les exceptions, les termes de journalisation est réalisée: quelles besoins en termes de journalisation, besoins en termes de
pannes et autres événements données sont collectées et journalisées et  Revue de la politique de journalisation,
pertinents doivent être toute exigence spécifique aux journaux pour journalisation,  Politique de journalisation,
générés, conservés, protégés la protection et le traitement des données de  Interview des responsables métier,  Mécanismes de protection
et analysés. journalisation,  Interview du RSI et des du processus de
Journalisation  Si les règles résultantes de cette analyse fait administrateurs système, BD et journalisation,
8.15
l'objet d'une politique de journalisation réseau,  Rapports d’audit du
formalisée,  Revue des rapports d’audit du processus
 Si cette politique couvre les applications, les processus d’enregistrement, d’enregistrement,
bases de données, les systèmes et les  Interview de l’administrateur  Rapport d’analyse des
équipements, système, événements menés avec
 Si le répertoire de stockage des fichiers  Vérification des mécanismes de des droits
journaux se trouve dans une partition non protection du processus de d’administration,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
système, journalisation,  Mécanismes de protection
 Si les fichiers de journalisation sont déplacés  Vérification de l’archivage des des journaux
dans un serveur de journalisation dédié, enregistrements, administrateur.
 S’il y a application d’une stratégie de  Revue du rapport d’analyse des
rétention (puisque taille max config du fichier événements menés avec des droits
journal), d’administration,
 S’il y a utilisation des mécanismes d'analyse et  Revue des rapports d’audit du
de corrélation des fichiers journaux, processus d’enregistrement des
 S’il y a utilisation des outils ou une application actions privilégiées,
de contrôle permettant de journaliser et  Vérification des mécanismes de
d'enregistrer les appels systèmes sensibles et protection des journaux
les accès aux ressources sensibles administrateur.
(applications, fichiers applicatifs, bases de
données, systèmes, etc.),
 S’il y a utilisation des mécanismes de
protection des fichiers journaux: exemples :
chiffrement, un système de détection de
modification, contrôle d'accès,
 Si les processus qui assurent la journalisation
sont sous contrôle strict (droits limités et
authentification forte pour la solution utilisée
contre tout changement illicite des
paramètres définis),
 S’il existe un archivage (sur disque, cassette,
etc.) des enregistrements, conservés sur une
période bien définie et de manière
infalsifiable,
 Si un audit au moins annuel du processus
d'enregistrement est réalisé (y compris des
processus visant à détecter les tentatives de
modification et les processus de réaction à
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
ces tentatives de modification),
 S’il y a une analyse des événements menés
avec des droits d'administration sur les
systèmes/bases de données/ équipements
réseaux/solutions de sécurité/le parc de
postes utilisateurs et pouvant avoir un impact
sur la sécurité : configuration des ressources
critiques, accès à des informations sensibles,
utilisation d'outils sensibles, téléchargement
ou modification d'outils d'administration, etc.
 Si ces événements ainsi que tous les
paramètres utiles à leur analyse ultérieure
sont enregistrés (journalisés),
 Si une analyse de ces enregistrements,
permettant de détecter des comportements
anormaux, est réalisée,
 S’il existe un système permettant de détecter
toute modification du système
d'enregistrement et de déclencher une alerte
immédiate auprès d'un responsable,
 Si les enregistrements sont protégés contre
toute altération ou destruction,
 Si les enregistrements ou les synthèses sont
conservés sur une durée bien étudiée,
 Si le processus d'enregistrement des actions
privilégiées et de traitement de ces
enregistrements fait l'objet d'un audit
régulier.
les réseaux, systèmes et  Si le périmètre et le niveau de surveillance est  Interview du DSI et du RSI,  Document de présentation
Activités de
8.16 applications doivent être déterminé conformément aux exigences  Audit de la composition et de la du système de
surveillance
surveillés pour détecter les métier, légales, réglementaires et de sécurité couverture du système de surveillance,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
comportements de l'information, surveillance,  Configuration de l’outil de
anormaux et des mesures  Si le système de surveillance inclut les  Audit de la configuration de l’outil surveillance,
appropriées doivent être éléments suivants : de surveillance,  Rapport d’audit de la
prises pour évaluer les - La surveillance des réseaux, systèmes et  Audit de la configuration des configuration des serveurs,
éventuels incidents de applications critiques à savoir : trafic entrant serveurs, des BD et des des BD et des équipements
sécurité de et sortant, les accès, fichiers de équipements réseau et de sécurité, réseau et de sécurité,
l'information. configuration et journaux d'événements  Audit de la configuration du  Configuration du système
relatifs aux activités système ou réseau, système de détection d’intrusion, de détection d’intrusion,
- les journaux générés par les solutions de  Revue des enregistrements de  Enregistrements de
sécurité (antivirus, firewall, IPS/IDS, etc.), surveillance, surveillance,
- la surveillance de la performance des  Revue des registres des résultats de  registres des résultats de
ressources (CPU, disques durs, mémoire, traitement des événements liés à la traitement des
bande passante, etc.), sécurité, événements liés à la
- la vérification que seulement les codes  Revue des outils de déclaration des sécurité,
autorisés sont en cours d'exécution dans le événements anormaux.  Liste des événements
système, déclarés.
 Si le système de surveillance est configuré par
rapport à une base de référence des
comportements normaux établie par
l’organisme afin d’identifier les
comportements anormaux,
 Si un système de détection d'intrusion est
utilisé,
 Si la surveillance est effectuée, selon les
besoins et moyens de l'organisme, en temps
réel ou à intervalles réguliers à travers un
outil de surveillance automatisée configuré
par un système d'alerte paramétré selon la
base de référence établie ainsi qu’un système
de notification en temps réel,
 Si les enregistrements de surveillance sont
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
conservés pendant des durées de
conservation définies,
 S’il existe du personnel dédié à la réponse aux
alertes et correctement formé pour traiter
les éventuels incidents,
 Si les événements anormaux sont
communiqués aux parties concernées,
 Si des procédures pour identifier et traiter les
faux positifs, notamment le réglage du logiciel
de surveillance pour réduire le nombre de
faux positifs futurs, sont définies.
Les horloges des systèmes de  Si les exigences externes et internes pour la  Interview des administrateurs  horloges des serveurs et
traitement de l'information représentation du temps, la synchronisation système et réseau, des équipements réseau et
utilisés par l'organisme fiable et la précision sont documentées et  Vérification de la synchronisation sécurité synchronisées
doivent être synchronisées mises en œuvre, des horloges des serveurs et des avec un serveur NTP
avec des sources de temps  Si, dans le cas d’utilisation de plusieurs équipements réseau et sécurité unique,
approuvées. services en nuage ou lors de l’utilisation avec un serveur NTP unique,  Enregistrements des
Synchronisati
conjointe de services en nuage et de services  Vérification des enregistrements décalages des horloges.
on des
8.17 sur site, les horloges sont gérés et les des décalages des horloges.
Horloges
décalages sont enregistrés afin d'atténuer les
risques découlant de ces décalages,
 Si un dispositif de synchronisation des
horloges des systèmes et des équipements
réseau et sécurité avec un référentiel de
temps précis (un serveur NTP) est mis en
place.
Utilisation de L'utilisation des programmes  Si une procédure d’identification,  Revue de la procédure  Procédure d’identification,
programmes utilitaires ayant la capacité de d’authentification et d’autorisation d’identification, d’authentification d’authentification et
8.18 utilitaires à contourner les mesures de spécifiques aux programmes utilitaires à et d’autorisation spécifiques aux d’autorisation spécifiques
privilèges sécurité des systèmes ou des privilèges est élaborée et mise en œuvre, programmes utilitaires à privilège, aux programmes
applications doit être limitée  Si les programmes utilitaires à privilège sont  Revue du document définissant les utilitaires,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
et contrôlée étroitement. séparés des logiciels d’application, et que les niveaux d’autorisation relatifs aux  Document définissant les
communications réseau de ces programmes programmes utilitaires à privilège, niveaux d’autorisation
sont séparées du trafic des applications,  Interview du DSI, relatifs aux programmes
 Si l’utilisation des programmes utilitaires à  Vérification sur les serveurs et sur utilitaires à privilège,
privilège est limitée à un nombre minimal un échantillon de postes de travail  logs d’utilisation des
acceptable d’utilisateurs de confiance de l’existence de programmes programmes utilitaires à
bénéficiant d’une autorisation, utilitaires à privilège et de leur privilège.
 Si toutes les utilisations de programmes utilité,
utilitaires à privilège sont journalisées,  Vérification sur un échantillon de
 Si les niveaux d’autorisation relatifs aux postes de travail des utilisateurs
programmes utilitaires à privilège sont définis ayant accès à des applications
et documentés, relatives à des systèmes pour
 Si tous les programmes utilitaires à privilège lesquels la séparation des tâches est
inutiles sont désinstallés ou désactivés, requise, de l’existence de
 Si les programmes utilitaires ne sont pas mis à programmes utilitaires à privilège,
la disposition des utilisateurs ayant accès à  vérification des logs d’utilisation des
des applications relatives à des systèmes pour programmes utilitaires à privilège.
lesquels la séparation des tâches est requise.
Des procédures et des  Si une procédure d'installation sur les  Revue de la procédure du contrôle  Procédure du contrôle de
mesures doivent être mises en systèmes opérationnels de nouvelles versions de l’installation de logiciels sur des l’installation de logiciels
œuvre pour gérer de manière de systèmes/logiciels/ applications est systèmes opérationnels, sur des systèmes
sécurisée l'installation de élaborée et mise en œuvre selon un  Interview de l’administrateur opérationnels,
Installation de logiciels sur les systèmes processus de validation et d'autorisation bien système,  Historique des installations
logiciels sur opérationnels. défini,  Vérification sur un échantillon sur des systèmes
8.19 des systèmes  Si les nouvelles fonctionnalités ou d’installations sur des systèmes opérationnels,
opérationnels changements de fonctionnalités liées à un opérationnels, des documents  Documentation des
nouveau système ou à une nouvelle version résultants, changements sur des
sont systématiquement décrites dans une  Interview de l’administrateur systèmes opérationnels,
documentation obligatoire avant tout passage système,  Outil ou document de
en production,  Vérification sur un échantillon des gestion des versions de
 Si une revue formelle des nouvelles postes utilisateurs, références pour les
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
fonctionnalités (ou des changements de  Revue de la liste des types de produits installés sur les
fonctionnalités) liées à un changement logiciels dont l’installation est postes utilisateurs,
majeur de logiciel/système est autorisée et des types d’installation  Politique de contrôle
systématiquement réalisée, qui sont interdits. d’accès,
 Si cette revue comprend une analyse des  Matrice des droits d’accès,
risques éventuels pouvant naître à cette  Fiches de postes d’un
occasion, échantillon d’utilisateurs,
 Si l'équipe d’exploitation a reçu une  liste des types de logiciels
formation spécifique à l'analyse des risques dont l’installation est
ou fait appel à une ressource spécialisée pour autorisée et des types
de telle analyse de risques, d’installation qui sont
 Si la mise en production de nouvelles versions interdits.
de systèmes/logiciels/ applications n'est
possible que par le personnel d'exploitation,
 Si la production informatique gère une
version de référence pour chaque produit
installé sur les postes utilisateurs,
 Si les droits d'accès distincts sont définis,
pour chaque système, en fonction des profils
et des projets,
 Si les types de logiciels dont l’installation est
autorisée (par exemple l’installation des
mises à jour ou de correctifs à des logiciels
existants) et les types d’installation qui sont
interdits (par exemple, l’installation de
logiciels destinés uniquement à un usage
personnel) sont déterminés.
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
Les réseaux et les terminaux  Si des mesures de sécurité sont mise en  Revue de la procédure de gestion  Procédure de gestion des
réseau doivent être sécurisés, œuvre pour assurer la sécurité des des équipements et des équipements et des
gérés et contrôlés pour informations dans les réseaux et pour terminaux réseau, terminaux réseau,
protéger les informations des protéger les services connectés contre les  Revue du schéma synoptique de  Schéma synoptique de
systèmes et des applications. accès non autorisés, en prenant en l’architecture du réseau, l’architecture du réseau,
considération les le type et le niveau de  Revue du diagramme des flux  Diagramme des flux
classification des informations que le réseau réseau, réseau,
peut prendre en charge,  Revue des fiches de postes des  Fiches de postes des
 Si les responsabilités et les procédures de administrateurs réseau administrateurs réseau,
gestion des équipements et des terminaux  Revue de l’inventaire des  Inventaire des
réseau sont définies, équipements réseau et de équipements réseau et
 Si la documentation, y compris les sécurité, de sécurité,
diagrammes de réseau et les fichiers de  Interview des administrateurs  Rapport d’audit des
configuration des équipements (par réseau, comptes
Sécurité des
exemple, les routeurs, les commutateurs)  Audit des comptes d’administration des
réseaux
8.20 est tenue à jour, d’administration des équipements équipements réseaux et
 Si la responsabilité opérationnelle des réseaux et de sécurité (compte de sécurité,
réseaux et les activités sur les systèmes TIC partagé par tous les admins ou  Fichiers de configuration
est séparée, comptes nominatifs), et ACL des équipements
 Si des mesures de sécurité sont définies  Audit des configurations de ces réseau et de sécurité,
pour préserver la confidentialité et équipements,  Logs de ces
l'intégrité des données transitant sur des  Revue des ACLs sur ces équipements.
réseaux publics, des réseaux de parties équipements,
tierces ou sur des réseaux sans fil et pour  Revue des logs de ces
protéger les systèmes et applications équipements et identification des
connectés, actions éventuelles pouvant avoir
 Si une journalisation et une surveillance un impact sur la sécurité des
appropriées sont assurées pour permettre réseaux (ex : accès par des outils
l'enregistrement et la détection d'actions non sécurisé tel que Telnet).
qui peuvent affecter, ou qui sont
pertinentes pour, la sécurité de
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
l'information,
 Si les systèmes sont authentifiés sur le
réseau,
 Si la connexion des systèmes au réseau est
restreinte et filtrée (par exemple, en
utilisant des pare-feu),
 Si la connexion d'équipements et de
terminaux au réseau est détectée,
restreinte et authentifiée;
 Si les terminaux réseau sont durcis,
 Si les canaux d'administration réseau sont
séparés des autres trafics réseau,
 Si les protocoles réseau vulnérables sont
désactivés,
 Si les mesures de sécurité appropriées sont
appliquées pour l'utilisation de réseaux
virtuels.
Les mécanismes de sécurité,  Si la capacité du fournisseur de services de  Revue des accords de niveau de  Accords de niveau de
les niveaux de service et les réseau à gérer ses services de façon sécurisée service (SLA) conclus avec les service (SLA) conclus avec
exigences de services des est déterminée et surveillée régulièrement, fournisseurs de service internes ou les fournisseurs de service
services réseau doivent être  Si un accord sur le droit à auditer est conclu externes, internes ou externes,
identifiés, mis en œuvre et avec le fournisseur,  Revue de l’accord sur le droit à  Accord sur le droit à
Sécurité des surveillés.  Si les dispositions de sécurité nécessaires à auditer, auditer,
services des services en particulier, telles que les  Revue des rapports de surveillance  Rapports de surveillance
8.21
Réseau fonctions de sécurité, les niveaux de service de la capacité des connexions et des de la capacité des
et les exigences de gestion sont identifiées et équipements (bande passante connexions et des
documentées, contracté vs bande passante équipements (bande
 Si l’audité s’assure que les fournisseurs de réelle,…), passante contracté vs
services de réseau mettent ces mesures en  Revue des rapports d’audit de la bande passante réelle,…),
œuvre. capacité des fournisseurs à  Rapports d’audit de la
respecter l’accord de niveau de capacité des fournisseurs à
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
service, respecter l’accord de
 Interview des administrateurs niveau de service.
réseau et des responsables métier.
Les groupes de services  Si le réseau est divisé en domaines réseau  Revue du schéma synoptique de  Schéma synoptique de
d'information, d'utilisateurs et distincts et en le séparant du réseau public, l’architecture du réseau, l’architecture du réseau,
de systèmes d'information  Si le périmètre de chaque domaine est bien  Revue du diagramme des flux  Diagramme des flux
doivent être cloisonnés dans défini, réseau, réseau,
les réseaux de l'organisme.  Si les critères de cloisonnement des réseaux  Revue de l’inventaire des  Inventaire des
en domaines et les accès autorisés à travers équipements réseau et de équipements réseau et
les passerelles sont basés sur une sécurité, de sécurité,
évaluation des exigences de sécurité de  Interview des administrateurs  Rapport d’audit de
chaque domaine, réseau, configuration et ACLs des
8.22
Cloisonnemen  Si cette évaluation est conforme à la  Audit des configurations et des équipements réseau et
t des réseaux politique spécifique au contrôle d'accès, aux ACLs des équipements réseau et de sécurité.
exigences d'accès, à la valeur et à la de sécurité.
classification des informations traitées,
 Si les réseaux d'accès sans fil destinés aux
invités sont séparés de ceux destinés au
personnel,
 Si le Wi-Fi destiné aux invités est soumis aux
mêmes restrictions au moins que le Wi-Fi
du personnel, afin de dissuader le personnel
d'utiliser le Wi-Fi pour invités.
L'accès aux sites web externes  S’il existe un mécanisme pour empêcher  Revue de l’inventaire des  Inventaire des
doit être géré pour réduire l’accès aux sites web contenant des équipements réseau et de sécurité, équipements réseau et de
l'exposition aux contenus informations illégales ou des contenus  Interview des administrateurs sécurité,
malveillants. malveillants (exemple : blocage des adresses réseau et système,  Rapport d’audit de
Filtrage web
IP ou les domaines des sites web concernés),  Audit de configuration du configuration du
8.23
 Si les types de sites web interdits sont mécanisme de filtrage web, mécanisme de filtrage
identifiés et bloqués par l’organisme, à  Vérification de la liste des IPs et des web,
savoir : sites web bloqués,  Liste de formations de
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
- sites web comportant une fonction de  Revue de la liste de formations de personnel.
téléchargement d'informations, sauf si cela personnel.
est autorisé pour des raisons
professionnelles,
- sites web connus pour être malveillants ou
suspectés de l'être (par exemple, ceux qui
diffusent des programmes malveillants ou
du contenu de hameçonnage),
- serveurs de commande et de contrôle,
- sites web malveillant provenant des
renseignements sur les menaces,
- sites web partageant du contenu illégal,
 Si des formations au personnel sur l'utilisation
sécurisée et appropriée des ressources en
ligne sont effectuées.
Des règles pour l'utilisation  Si une politique d’utilisation de la  Revue de la politique d’utilisation  Politique d’utilisation des
efficace de la cryptographie, cryptographie est élaborée et mise en œuvre, des mesures cryptographiques, mesures cryptographiques,
notamment la gestion des clés  Si la direction adopte une approche en ce qui  Revue de rapport d’analyse des  Rapport d’analyse des
cryptographiques, doivent concerne l’utilisation de mesures risques, risques,
être définies et mises en cryptographiques pour la protection de  Entrevue avec le DG,  Rapports de test des
œuvre. l’information liée à l’activité de l’organisme,  Interview des administrateurs solutions de chiffrement.
Utilisation de  Si le niveau de protection requis et la systèmes, réseaux, BD et  Politique sur l’utilisation, la
la classification des informations, en tenant applications, protection et la durée de
8.24
cryptographie compte du type, de la puissance et de la  Test des solutions de chiffrement vie des clés
qualité de l’algorithme de chiffrement requis, mises en place au niveau des cryptographiques,
est identifié sur la base d’une appréciation du serveurs, des équipements réseaux  Normes de gestion des
risque, et de sécurité et des applications. cycles de vie des clés
 Si les liens permanents et les échanges de  Revue de la politique sur cryptographiques,
données devant être protégés par des l’utilisation, la protection et la durée  Logs des activités liées à la
solutions de chiffrement sont définis et si ces de vie des clés cryptographiques, gestion des clés,
solutions sont mises en place au niveau du  Interview des responsables métiers,  Rapport d’audit des
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
réseau local et du réseau étendu,  Vérification de la conformité du activités liées à la gestion
 Si les transactions sensibles devant être système de gestion du cycle de vie des clés.
protégés par des solutions de chiffrement des clés cryptographiques avec les
sont définies et si ces solutions sont mises en normes en vigueurs,
place au niveau applicatif,  vérification des logs et du rapport
 Si une politique sur l’utilisation, la protection d’audit des activités liées à la
et la durée de vie des clés cryptographiques gestion des clés.
est élaborée et mise en œuvre,
 Si le système de gestion des clés repose sur
une série convenue de normes, de
procédures et de méthodes sécurisées pour :
- La génération des clés, l’attribution de ces
clés aux utilisateurs,
- leur stockage,
- le traitement des clés compromises,
- leur révocation,
- la récupération des clés perdues,
- la sauvegarde ou l’archivage,
- la destruction,
 Si les activités liées à la gestion des clés sont
journalisées et auditées,
 Si les équipements utilisés pour générer,
stocker et archiver les clés sont protégées
physiquement,
 Si toutes les clés cryptographiques sont
protégées contre les modifications ou la
perte.
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
Des règles pour le  Si une politique de développement sécurisé  Revue de la politique de  Politique de
développement sécurisé des est élaborée et mise en œuvre, développement sécurisé, développement sécurisé,
logiciels et des systèmes  Si une procédure de développement est  Revue de la procédure de  Procédure de
doivent être élaborée et mise en œuvre, développement, développement,
établies et appliquées.  Si les exigences de sécurité auprès de toutes  Revue du document d’identification  Document d’identification
les parties prenantes dès le début de la des exigences de sécurité des des exigences de sécurité
conception sont identifiées (en considérant parties prenantes, des parties prenantes,
les conséquences des menaces, des  Revue du document d’analyse de la  Document d’analyse de la
vulnérabilités et de la non-conformité aux lois confidentialité des applications confidentialité des
et règlements tant sur le métier et l'image de développées pour la classification applications développées
l’audité que sur les parties prenantes des objets mis en œuvre au cours pour la classification des
externes), des développements, objets mis en œuvre au
 Si une analyse de la confidentialité des  Revue des rapports d’audit de la cours des
Cycle de vie applications développées, permettant capacité des équipes de développements,
de d'obtenir une classification des objets mis en développement lors des points de  Rapports d’audit de la
8.25 développeme œuvre au cours des développements contrôle établis au long des travaux capacité des équipes de
nt sécurisé (documentation, code source, code objet, de développement, développement lors des
notes d'étude, etc.), est réalisée,  Revue des contrats avec les sous- points de contrôle établis
 Si la capacité des équipes de développement traitants dans le cas de au long des travaux de
à respecter les exigences de sécurité l’externalisation du développement, développement,
suivantes est vérifiée lors de points de  Interview du DSI, du RSSI, des  Contrats avec les sous-
contrôle établis tout au long des travaux : développeurs et d’un échantillon traitants dans le cas de
- une personne ne doit jamais être seule d’utilisateurs. l’externalisation du
responsable d'une tâche, pour les fonctions développement,
sensibles,  Plan de formation.
- une vérification du code doit être réalisée
par une équipe indépendante,
- une validation de la couverture des tests
fonctionnels formelle doit être réalisée par
les utilisateurs,
- une validation formelle, de la couverture
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
des tests relatifs aux fonctions ou dispositifs
de sécurité, doit être réalisée par la fonction
sécurité,
 Si, en cas de développements confiés à des
sociétés de services informatiques ou de
progiciels, les conditions ci-dessus sont
imposées contractuellement à l'éditeur, au
partenaire ou au sous-traitant,
 Si les équipes concernées par le
développement sont bien formées,
 Si les exigences d'octroi de licence et autres
alternatives ont été pris en considération
pour bénéficier de solutions rentables tout en
évitant de futurs problèmes liés aux licences.
Les exigences de sécurité de  Si une analyse des risques de sécurité de  Revue du document d’analyse des  Document d’analyse des
l'information doivent être l’information est réalisée lors du risques, risques,
identifiées, spécifiées et développement ou de l’acquisition  Revue des documents de projets de  Documents de projets de
approuvées d'applications, développement de nouvelles développement de
lors du développement ou de  Si le niveau de confiance dans l’identité des applications, nouvelles applications,
l’acquisition d'applications entités est identifié en utilisant  Revue des cahiers des charges pour  Cahiers des charges pour
l’authentification par exemple, l’acquisition de nouvelles l’acquisition de nouvelles
Exigences de
 Si le type et les niveaux de classification applications, applications,
sécurité des
8.26 d’informations à traiter par l’application sont  Revue des contrats avec les  Contrats avec les
applications
identifiés, fournisseurs, fournisseurs,
 Si l’accès et les niveaux d’accès aux données  Revue des critères d’acceptation  Critères d’acceptation des
et aux fonctions de l’application sont des applications, applications,
séparés),  Revue des rapports d’évaluation des  Rapports d’évaluation des
 S’il y a une résilience contre les attaques applications avant l’achat, applications avant l’achat,
malveillantes ou les perturbations  Interview des responsables métier,  Processus d’autorisation
involontaires, du DSI et du RSSI, des personnes pouvant
 Si les exigences légales, statutaires et  Revue du processus d’autorisation traiter des documents
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
réglementaires dans la juridiction où la des personnes pouvant traiter des transactionnels,
transaction est générée, traitée, terminée ou documents transactionnels,  Rapport d’audit des
stockée sont respectées,  Audit des mécanismes mécanismes
 La protection de la vie privée est prise en d’authentification aux applications d’authentification, des
considération avec toutes les parties et de gestion des accès, droits d'accès et de
impliquées,  Vérification des mécanismes de contrôle des données
 Si toutes les informations confidentielles sont contrôle des données d'entrée et de d'entrée sortie des
protégées, sortie des applications, applications,
 Si les données pendant leur traitement,  Vérification des logs des  Logs des serveurs
lorsqu’elles sont transit et au repos sont applications, hébergeant des
protégées,  Vérification de l’utilisation de applications utilisées sur
 Si les communications entre toutes les parties protocoles sécurisés (ex : certificats les réseaux publics,
impliquées sont chiffrées de manière SSL),  Moyens de stockage des
sécurisée,  Vérification des moyens de stockage détails des transactions,
 Si les contrôles des données d’entrée, y des détails des transactions,  Document du processus de
compris les contrôles d'intégrité et la  Vérification du processus de gestion gestion du cycle de vie des
validation des données d’entrée ont lieu, du cycle de vie des certificats certificats électroniques.
 Si les contrôles des données de sortie ont lieu, électroniques.
 Si la journalisation et la supervision des
transactions sont mis en oeuvre,
 Si le niveau de confiance des identités
déclarées pour les services transactionnels est
identifié et documenté,
 Si le niveau de confiance requis envers
l'intégrité des informations échangées ou
traitées, et les mécanismes d'identification du
manque d'intégrité (par exemple, contrôle de
redondance cyclique, hachage, signatures
numériques/électroniques) pour les services
transactionnels sont identifiés et
documentés,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
 Si les processus d’autorisation liés aux
personnes qui peuvent approuver le contenu,
émettre ou signer des documents
transactionnels importants sont définis et
documentés,
 Si la protection et la vérification des
transactions sont gérées de façon appropriée
(Incluant la confidentialité, l'intégrité, la
preuve d'envoi et de réception des
documents importants, la non-répudiation et
la durée pendant laquelle la transaction est
gardée confidentielle),
 Si des moyens pour la préservation de la
confidentialité et de l'intégrité, la prévention
contre la perte ou la duplication des
informations pour les applications de
commande et de paiement électroniques sont
mises en place,
 Si le stockage des détails de la transaction est
situé hors de tout environnement accessible
au public, à l’instar d’une plateforme de
stockage en place sur l’intranet de
l’organisme, et s’il n’est pas conservé ou
exposé sur un support de stockage
directement accessible depuis Internet,
 Si, lorsqu’une autorité de confiance est
utilisée (par exemple dans le but d’émettre et
de tenir à jour des signatures ou des
certificats électroniques), la sécurité est
intégrée et imbriquée tout au long du
processus de gestion de bout en bout des
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
certificats ou des signatures.
Des principes d’ingénierie de  Si des procédures d’ingénierie de la sécurité  Revue des procédures d’ingénierie  Procédures d’ingénierie de
la sécurité des systèmes des systèmes d’information, reposant sur les de la sécurité des systèmes, la sécurité des systèmes,
doivent être établis, principes d’ingénierie de la sécurité, sont  Revue du rapport de conception de  Rapport de conception de
documentés, tenus à jour et élaborées et appliquées aux activités internes la sécurité, la sécurité,
appliqués à toutes les activités d’ingénierie des systèmes d’information,  Revue du rapport d’analyse des  Rapport d’analyse des
de développement de  Si cette sécurité est conçue dès le début à nouvelles technologies au regard nouvelles technologies au
systèmes d’information. tous les niveaux de l’architecture (activité, des risques de sécurité, regard des risques de
données, applications et technologie)  Revue des contrats et accords sécurité,
«sécurité dès la conception», «défense en exécutoires passés entre l’audité et  Contrats et accords
profondeur», «sécurité par défaut», «refus le prestataire, exécutoires passés entre
Principes par défaut», «gestion sécurisée des erreurs»,  Interview du DSI et du RSI. l’audité et le prestataire.
d'ingénierie et «se méfier des données provenant
d'architecture d’applications externes», «sécurité du
8.27
des systèmes déploiement», «présumer la compromission»,
sécurisés «moindre privilège», «facilité d'utilisation et
de gestion» et «moindre fonctionnalité»,
 Si les nouvelles technologies sont analysées
au regard des risques de sécurité et si la
conception est revue par rapport aux modèles
d’attaques connus,
 Si ces principes d’ingénierie de la sécurité
sont appliqués aux systèmes d’information
externalisés par le biais de contrats et autres
accords exécutoires passés entre l’audité et le
prestataire auprès duquel ces systèmes sont
externalisés.
Des principes de codage  Si des processus sont définis pour s'assurer de  Revue des processus mis en œuvre  Processus de la
Codage sécurisé doivent être la bonne gouvernance du codage sécurisé, liés à la gouvernance du codage gouvernance du codage
8.28 sécurisé, sécurisé,
sécurisé appliqués au développement  Si une base de référence de sécurité
de logiciels. minimale, détaillant les principes et les lignes  Revue de la base de référence de  Base de référence de
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
directrices sur le codage sécurisé, est établie sécurité minimale, sécurité minimale,
et appliquée pour tous les composants  Revue des rapports d’audit  Inventaire des
logiciels, applicatif, applications,
 Si les principes de codage sécurisé suivent  Interview des administrateurs BD et  Rapports d’audit applicatif,
l'amélioration et l'apprentissage continus à applications,  Rapports de tests
travers la surveillance de l’évolution des  Interview d’un échantillon de effectués.
menaces du monde réel et des conseils développeurs et testeurs,
actualisés, ainsi que les informations sur les  Revue des rapports de tests de la
vulnérabilités logicielles, sécurité des applications pendant et
 Si les principes de codage sécurisé sont après le développement,
appliqués à toute activité de développement  Audit des applications.
aussi bien au sein de l'organisme que pour les
produits et services fournis par l'organisme à
des tiers ou provenant de parties tierces et de
logiciels open source,
 Si les principes de codage sécurisé couvre les
différentes phases de codage à savoir :
planification et prérequis avant le codage,
pendant le codage et révision & maintenance,
 Si les principes de codage sécurisé sont
utilisés à la fois pour les nouveaux
développements ainsi que pour les cas de
réutilisation,
 Si des tests de la sécurité des applications
sont effectués pendant et après le
développement.
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
Des processus pour les tests  Si des tests des fonctions de sécurité (par  Revue du plan des tests,  Plan des tests,
de sécurité doivent être exemple, l'authentification des utilisateurs,  Revue du programme des tests,  Programme des tests,
définis et mis en œuvre au les restrictions d'accès et l'utilisation de la  Revue des rapports des tests,  Rapports des tests,
cours du cycle de vie de cryptographie) sont effectués,  Interview des responsables de test,  Liste des paramètres de
développement.  Si le codage est sécurisé, du DSI et du RSSI, sécurité et règles de
 Si les paramétrages de sécurité et règles de  Revue de la liste des paramètres de configuration,
configuration (suppression de tout compte sécurité et règles de configuration,  Rapport d’audit de ces
générique, changement de tout mot de passe  Audit de ces paramètres et règles paramètres et règles de
générique, fermeture de tout port non de configuration, configuration,
explicitement demandé et autorisé) font  Revue des rapports des outils  Rapports des outils
l'objet d'une liste précise tenue à jour, d’analyse de code et des scanners d’analyse de code et des
 Si un plan de test détaillé (comprenant un de vulnérabilité, scanners de vulnérabilité,
Tests de
programme détaillé des activités et des tests,  Revue des contrats avec les  Les contrats avec les
sécurité dans
les données d'entrée et les données de fournisseurs, fournisseurs,
le
sorties attendues sous un ensemble de  Revue de rapport d'évaluation de  Rapport d'évaluation de
développeme
8.29 conditions et les critères pour évaluer les produit lors de l'acquisition. produit à acheter.
nt et
résultats) est élaboré et mise en œuvre,
l'acceptation
 Si les tests de sécurité sont intégrés au cycle
de vie de développement,
 Si des outils automatiques, tels que des outils
d’analyse de code ou des scanneurs de
vulnérabilités sont utilisés,
 Si des tests d'acceptation indépendants sont
réalisés dans le cas des développements
réalisés en interne,
 Si un processus d’acquisition est élaboré est
mis en œuvre,
 Si les contrats conclus avec le fournisseur
traitent les exigences de sécurité identifiées,
 Si les produits et les services sont évalués par
rapport aux exigences de sécurité avant
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
l’acquisition,
 Si les tests sont réalisés dans un
environnement de test indépendant et
ressemblant le plus possible à
l'environnement opérationnel cible,
 Si les tests et la surveillance des
environnements, outils et technologies de
test sont effectués.
les activités relatives au  Si les questions d'accord de licence et de  Revue des licences des systèmes  Licences des systèmes
développement externalisé propriété intellectuelle du code développé développés par les sous-traitants, développés par les sous-
des systèmes doivent être sont réglées,  Revue des contrats de traitants,
dirigées, contrôlées et  Si les exigences contractuelles relatives à la développement des systèmes,  Contrats de
vérifiées. sécurité du code sont formalisées,  Revue des rapports des tests développement des
 Si des tests d'acceptation pour assurer la communiqués par les sous-traitants, systèmes,
qualité et l'exactitude des livrables sont  Revue des accords de séquestre des  Rapports des tests
effectués, codes source conclus le cas communiqués par les sous-
 Si des moyens de protection de la vie privée échéant, traitants,
sont mis en place,  Interview du DSI,  Accords de séquestre des
Développeme
 Si des preuves montrant qu’il a été procédé à  Revue des rapports des tests codes source conclus,
nt externalisé
8.30 suffisamment de tests pour garantir l’absence d’acceptation.  Rapports des tests
de vulnérabilités connues sont d’acceptation.
communiquées,
 Si des accords de séquestre (par exemple si le
code source n’est plus disponible) sont
conclus,
 Si le contrat avec le sous-traitant prévoit le
droit de l’audité de procéder à un audit des
processus et des contrôles de
développement,
 Si la législation applicable (par exemple, sur la
protection des données à caractère
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
personnel) est prise considération lors du
développement des systèmes.
Les environnements de  Si des procédures de développement, de test  Revue des procédures de  Procédures de
développement, de test et et d'intégration sont élaborées et mises en développement, développement
opérationnels doivent être œuvre,  Interview de l’administrateur  Inventaire des serveurs des
séparés et sécurisés pour  Si les niveaux de séparation entre les système, du DSI et d’un échantillon environnements de
réduire les risques d’accès ou environnements de développement, de test de développeurs et testeurs, développement, de test et
de changements non autorisés et opérationnels sont définis, documentés et  Revue des fiches de postes, opérationnels,
dans l’environnement mis en œuvre,  Revue du schéma de l’architecture  Fiches de postes,
opérationnel.  Si les règles et les autorisations pour le réseau,  Schéma de l’architecture
déploiement de logiciels depuis le  Vérification sur les serveurs, réseau,
Séparation
développement jusqu'à l'état de production  Audit des comptes d’accès aux  Rapport d’audit des
des
sont définies, documentées et mises en environnements de développement. comptes d’accès aux
environnemen
œuvre, environnements de
ts de
 Si les environnements de développement et développement.
8.31 développeme
de test sont protégés (l’application de
nt, de test et
correctifs et de mises à jour sur tous les outils
opérationnels
de développement, d'intégration et de test, la
configuration sécurisée des systèmes et des
logiciels, le contrôle de l'accès aux
environnements),
 Si un processus de séparation des tâches, de
vérification et d'approbation des
changements est défini, documenté et mis en
œuvre,
 Si des mesures de surveillance et de détection
des changements non autorisés (exemple : la
journalisation) sont mises en œuvre.
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
Les changements apportés aux  S’il existe une procédure de gestion des  Revue de la procédure de gestion  Procédure de gestion des
moyens de traitement de changements permettant de contrôler les des changements, changements,
l'information et aux systèmes changements à apporter aux moyens de  Revue par échantillonnage, du  Enregistrements liés au
d'information doivent être traitement de l'information et aux systèmes processus de gestion des processus de gestion des
soumis à des procédures de d'information (mise en production de changements : gestion des changements,
gestion des changements. nouveaux systèmes/équipements/logiciels ou demandes de changement et leur  Registre des niveaux
d'évolutions de systèmes existants), validation, analyse des risques d’autorisation accordés,
 Si cette procédure englobe la gestion des potentiels des changements,  Liste des logiciels,
demandes de changement et leur validation, planification et affectation des rôles informations, éléments de
analyse des risques potentiels des et responsabilités, communication à BD et matériel nécessitant
changements, planification et affectation des l'ensemble des personnes un changement,
rôles et responsabilités, communication à concernées, test des changements  Accords pour les
l'ensemble des personnes concernées, test et mise en production des propositions détaillées,
des changements et mise en production des changements,  Liste des demandes de
Gestion des changements,  Interview du RSSI, DSI et des changements,
changements
8.32  Si une procédure de contrôle des administrateurs système, BD et  Rapports des changements
changements pendant le cycle de vie de réseau, effectués,
développement de tout le système, depuis les  Revue du registre des niveaux  Documentation système,
étapes de conception initiales jusqu'aux d’autorisation accordés,  Rapport d’analyse des
activités de maintenance ultérieures est  Revue de la liste des logiciels, risques des changements,
élaborée et mise en œuvre, informations, éléments de BD et  Plans de continuité de
 Si les niveaux d’autorisation accordés pour les matériel nécessitant un l’activité.
changements sont définis et tenus à jour, changement,
 Si les propositions de changements émanent  Revue des accords pour les
d’utilisateurs autorisés, propositions détaillées,
 Si tout logiciel, information, élément de base  Revue des demandes de
de données et matériel nécessitant un changements,
changement sont identifiés,  Revue des rapports des
 Si un accord formel pour les propositions changements effectués,
détaillées est obtenu avant le lancement des  Revue de la documentation
travaux, système,
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
 Si les utilisateurs autorisés acceptent les  Vérification du système de contrôle
changements avant leur mise en œuvre, des versions des logiciels,
 Si la documentation système est mise à jour  Vérification des mises à jour des
après chaque changement et si l’ancienne systèmes critiques,
documentation est archivée ou mise au rebut,  Revue des plans de continuité de
 Si un système de traçabilité de toutes les l’activité.
demandes de changement est tenu à jour,
 Si une revue et des tests de l'impact des
modifications apportées à la plateforme
d’exploitation sur les applications critiques
sont réalisés,
 Si les plans de continuité de l’activité et les
procédures de réponse et de reprise sont
modifiés en conséquence.
Les informations de test  Si les mêmes procédures de contrôle d'accès  Revue de la procédure de contrôle  Procédure de contrôle
doivent être sélectionnées aux environnements opérationnels sont d’accès, d’accès,
avec soin, protégées et gérées applicables aux environnements de test,  Revue des autorisations de copie  Liste des autorisations de
de manière appropriée.  Si, lorsque des données personnelles ou des informations d’exploitation sur copie des informations
sensibles doivent malgré tout être utilisées, un environnement de test, d’exploitation sur un
on prend le soin de supprimer les détails et  Interview du DSI, des responsables environnement de test,
contenus sensibles avant de les utiliser (ou de de développement et de test,  Logs des accès sur les
Informations les modifier afin de les rendre anonymes),  Revue des informations de test pour systèmes de test,
8.33 de test  Si une nouvelle autorisation est obtenue l’identification des informations  Registres de reproduction
chaque fois qu’une information d’exploitation d’exploitation. et d’utilisation de
est copiée dans un environnement de test, l’information
 Si les informations d’exploitation sont d’exploitation,
effacées immédiatement d’un environnement  Echantillon des
de test après la fin des tests, informations d’exploitation
 Si toute reproduction et utilisation de trouvées dans les données
l’information d’exploitation est journalisée, de test.
afin de créer un système de traçabilité.
Version : 3.1
Date : 18/09/2023
Réf
/Contrôle limiter)
27002
Les tests d'audit et les autres  Si les demandes d'audit pour l'accès aux  Revue de la procédure d’audit des  Procédure d’audit des
activités d'assurance systèmes et aux données avec le niveau systèmes d’information, systèmes d’information.
impliquant l’évaluation des approprié du management ont été  Interview du RSI.
systèmes opérationnels convenues,
devraient être planifiés et  Si une procédure formelle d’audit des
Protection des convenus entre le testeur et le systèmes d’information, définissant les règles
systèmes niveau approprié du concernant les audits menés sur les systèmes
d'information management.
8.34 opérationnels/ réseaux et les responsabilités
pendant les
associées, est élaborée et mise en œuvre,
tests d'audit
 Si le périmètre des tests d'audit techniques
est bien identifié et contrôlé,
 Si les tests d'audit sont limités à un accès en
lecture seule aux logiciels et aux données,
 Si tous les accès à des fins d'audit et de test
sont bien surveillés et journalisés.

Referentiel Audit 3.1 0

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Referentiel Audit 3.1 0

Transféré par

Droits d'auteur :

Formats disponibles

Référentiel d’Audit de la Sécurité des Systèmes

Date Version Nature de modification

Le présent document est un document de référence pour :

- Décret-loi 2023-17 du 11 mars 2023, relatif à la cybersécurité et portant sur la

6. Documents requis pour la revue

Les documents requis pour la revue sont, sans s’y limiter :

7. Domaines couverts par l’audit de la sécurité des systèmes d’information

L’audit de la sécurité des systèmes d’information est un jalon de l’amélioration de la maturité de la

Vous aimerez peut-être aussi