Académique Documents
Professionnel Documents
Culture Documents
Faculté d’informatique
Filière: Informatique
Spécialité: M2 SSI
Énoncé:
Équipe:
All Secure
À remettre avant le : 06/02/2022
1. Objectifs de l’audit 2
1.1 But de audit 2
1.2 Type de l’audit 2
1.3 Résultats attendus 2
2. Guide Opérationnel 3
2.1 Organisation du Document 3
2.2 Critères d’évaluation de la conformité 4
3. Synthèse générale 4
3.1 Points forts 4
3.2 Points faibles 4
3.3 Niveau de conformité global 5
3.4 Conclusion Générale 6
4. Analyse globale 8
4.1 Actifs 8
4.2 Systèmes et service 9
4.1 Schéma de l’architecture du réseau 9
1
1. Objectifs de l’audit
1.1 But de audit
La mission consiste à effectuer un audit de conformité pour le site web de la commune de
Bab Ezzouar hébergé au niveau de la salle de conférence de l’USTHB.
Le principal objectif de cet audit est de déterminer les éventuelles non-conformités par
rapport à la norme ISO 27001 en évaluant l’existence et l’efficacité du système de
management de la sécurité de l’information et en déterminant la maturité des mesures et
contrôles de sécurité mis en place selon les quatorze (14) domaines qui figurent dans l’annexe
A de la norme, notamment :
● A.5 Politiques de sécurité de l’information
● A.6 Organisation de la sécurité de l’information
● A.7 Sécurité des ressources humaines
● A.8 Gestion des actifs
● A.9 Contrôle d’accès
● A.10 Cryptographie
● A.11 Sécurité physique et environnementale
● A.12 Sécurité liée à l’exploitation
● A.13 Sécurité des communications
● A.14 Acquisition, développement et maintenance des systèmes d’information
● A.15 Relations avec les fournisseurs
● A.16 Gestion des incidents liés à la sécurité de l’information
● A.17 Aspects de la sécurité de l’information dans la gestion de la continuité de
l’activité
● A.18 Conformité
2
2. Guide Opérationnel
Cette partie du document présente l'organisation du rapport, ainsi que les critères d'évaluation
de la conformité à la norme ISO 27001.
Guide Opérationnel Guide de lecture du rapport expliquant Les décideurs + les responsables
son plan. + l’équipe technique.
3
2.2 Critères d’évaluation de la conformité
Ne peut être évalué Le contrôle ne peut pas être évalué car il n'a pas été ni conçu ni
mis en œuvre et son applicabilité au SMSI n'a pas été définie.
3. Synthèse générale
3.1 Points forts
● Présence d’une solution de secours (serveur de backup).
● Les employés sont sensibilisés et tenus de respecter les politiques et les procédures de
sécurité de l'information.
● Existence d’un suivi régulier de la performance des serveurs et des équipements
réseaux.
● Existence d’une configuration d'alertes lorsque les seuils de performance sont atteints.
● Les droits d’accès sont vérifiés et examinés à intervalles réguliers.
● Les systèmes d'information sont régulièrement examinés pour vérifier leur conformité
technique aux politiques et aux normes.
● Existence des mesures spéciales pour préserver la confidentialité et l’intégrité des
données transmises sur les réseaux publics ou les réseaux sans fil.
4
● Aucun système de détection automatique d'incendie ainsi que d'extinction n’est mis en
place pour les locaux sensibles.
● Les équipements ne disposent pas d’une alimentation de secours en cas d’arrêt
temporaire de l'alimentation électrique principale et ne sont pas examinés et testés de
manière régulière pour s’assurer de leur fonctionnement correct.
● Absence de procédure de signalement des failles liées à la sécurité de l’information.
● Conformité aux légales, statutaires, réglementaires et contractuelles en vigueur n’est
pas définie explicitement, ni documentée.
● Absence de politique de protection de la vie privée et des données à caractère
personnel.
5
3.4 Conclusion Générale
La faculté d’informatique de l'USTHB doit attribuer des rôles et des responsabilités, pour
gérer toutes les actions liées à l'analyse des non-conformités, à l'exécution des
améliorations et à la mise en œuvre des contrôles afin d’atteindre un état acceptable pour la
certification.
1 Étape 1
1.1 A.7.3 Rupture, terme ou modification du contrat de travail Non conformité mineure
Étape 2
6
2.6 A.8.2 Classification de l’information Non conformité majeure
2.8 A.9.1 Exigences métier en matière de contrôle d’accès Non conformité majeure
2.16 A.12.2 Protection contre les logiciels malveillants Non conformité majeure
2.21 A.12.7 Considérations sur l’audit des systèmes Non conformité majeure
d’information
2.23 A.14.1 Exigences de sécurité applicables aux systèmes Non conformité majeure
d’information
2.26 A.15.1 Sécurité dans les relations avec les fournisseurs Non conformité majeure
2.28 A.16.1 Gestion des incidents liés à la sécurité de Non conformité majeure
l’information et améliorations
2.30 A.18.1 Conformité aux obligations légales et réglementaires Non conformité majeure
7
Recommandations — Activités du SMSI
3 Étape 3
3.3 Traitement des risques, y compris déclaration d'applicabilité Non conformité majeure
4. Analyse globale
4.1 Actifs
Périmètre Actifs
1 switch
Baie de serveurs
4 climatiseurs
1 switch
Armoire de brassage
8
Supports de transmission
● Paire torsadée RJ45 cat 5
● Fibre optique
9
5. Analyse des non-conformités et recommandations
Les tableaux au-dessous présentent une analyse des non-conformités et incluent des
recommandations pour les améliorations nécessaires pour atteindre le niveau de maturité
requis pour la certification ISO 27001.
Les actions sont réparties entre les phases Plan, Do, Check et Act du Système de Management
de la Sécurité de l'Information (SMSI).
Le cycle Plan-Do-Check-Act (PDCA) est un processus itératif et à chaque itération,
l'organisation a l'opportunité d'améliorer ses performances. itération, l'organisation a
l'opportunité de (re)définir la portée de son Système de Gestion de la Sécurité de
l'Information sécurité de l'information, de (re)définir les risques, de (re)sélectionner les
contrôles et d'ajuster ou de créer des procédure, des politiques et des directives.
A. Phase Plan
Définition de la portée
Observations ● La portée contenant la liste des zones, des emplacements, des actifs et des
technologies n’est pas définie et documentée.
● Les exclusions du champ d'application ne sont pas documentées et justifiées.
Recommendations ● Documenter la portée du SMSI, y compris la liste des zones, emplacements, actifs,
et technologies de l'organisation (Salle de conférence, Salle 122, rectorat et centre
de calcule)
● Documenter toutes les exclusions du champ d'application du SMSI.
● Justifier les exclusions du champ d'application.
● Examiner et approuver le document de portée du SMSI annuellement ou en cas de
changements importants dans l'environnement en dehors du cycle d'examen
annuel (par exemple, modifications réglementaires, inclusion de nouveaux
emplacements, etc.)
Documents N/A
consultés
10
Approche et exécution de l'évaluation des risques
Description Une approche d'évaluation des risques doit être créée pour l'organisation.
Observations ● Non-existence d’un document qui décrit un cadre de gestion des risques complet, y
compris toutes les étapes et les méthodes pertinentes à mettre en œuvre en termes
de processus d'évaluation des risques, notamment :
- Identification des actifs
- Identification des menaces
- Identification des vulnérabilités
- Analyse de contrôle
- Détermination de la probabilité
- Évaluation de l’impact potentiel des menace
- Classification des risques par ordre de priorité
- Recommandations des contrôles
- Documentation des résultats
Recommendations ● Créer un document de cadre de gestion des risques qui contient une matrice des
niveaux de risque basée sur une échelle à 5 niveaux (très faible à très élevé ), et qui
fournit des instructions pour la détermination du niveau de risque.
● Ajuster le cadre d'évaluation des risques afin qu'il comprenne les critères
d'acceptation des risques et d'identification du niveau acceptable.
● Obtenir l'approbation de la haute direction pour la décision d'accepter les risques
résiduels, et l'autorisation obtenue pour le fonctionnement effectif du SMSI.
● Examinez les documents contenant les listes d'actifs et définissez une seule liste
complète d'actifs avec les propriétaires d'actifs tout en tenant compte de la
recommandation mentionnée ci-dessus.
Documents N/A
consultés
11
Traitement des risques, y compris déclaration d'applicabilité
Recommendations ● Dériver le document SOA qui est la sortie d’un plan d'évaluation/de traitement
des risques et, si la conformité à la norme ISO 27001 doit être atteinte, relier
directement les contrôles sélectionnés aux risques d'origine qu'ils sont censés
atténuer.
● Pour chaque risque, évaluer les options de traitement (par exemple, appliquer
des contrôles, accepter, éviter ou transférer les risques) et des actions sont
effectuées en fonction de l'option sélectionnée. L'approbation de la direction est
nécessaire pour chaque situation où les risques sont acceptés.
B. Phase Do
Opération
Description Formuler et mettre en œuvre un plan de traitement des risques qui décrit les mesures de
management, les ressources, les responsabilités et les priorités nécessaires à la
réalisation du plan.
Observations ● Non-existence d’un document qui décrit les exigences relatives à la création
d'un plan de traitement des risques.
12
● Documenter les exigences détaillées pour le plan de traitement des risques (actions).
● Examiner et approuver à nouveau chaque année le document de traitement des
risques avec la direction en fonction des résultats de l'évaluation des risques.
C. Phase Check
Évaluation de la performance
Description Le SMSI doit faire l'objet d'un suivi afin de détecter les erreurs et les incidents de sécurité
et d'agir en conséquence.
Des examens réguliers de l'efficacité du SMSI, des contrôles pertinents et de l'évaluation
des risques doivent être effectués.
Observations Non-existence d’un document qui décrit les activités qui devraient être prises à chaque
étape de la mise en œuvre du SMSI, y compris la phase "Check".
Recommendations ● Suivre et examiner les procédures qui sont exécutées pour détecter et agir sur les erreurs
et les incidents de sécurité.
● Exécuter une réunion des responsables de la sécurité au cours de laquelle tous les
développements liés à la sécurité sont discutés (par exemple, les erreurs et les incidents de
sécurité).
● Passez en revue la politique et les objectifs du SMSI, mesurer l'efficacité des contrôles. et
le processus d'évaluation des risques.
Documents N/A
consultés
D. Phase Act
Amélioration du SMSI
Description Après la phase Check (qui comprend plusieurs revues de la direction et l'audit interne),
le SMSI doit être amélioré par des actions correctives et préventives.
Observations Non-existence d’un document qui décrit les activités qui devraient être prises à chaque
étape de la mise en œuvre du SMSI, y compris la phase "Act".
13
● Les actions correctives et préventives doivent être documentées dans un référentiel
ou document consolidé après leur identification et doivent inclure :
- Une description de la non-conformité (ou de la non-conformité potentielle).
- une analyse des causes fondamentales de la non-conformité.
- Les actions nécessaires pour empêcher la récurrence.
- L'état d'avancement de l'action.
- Les actions identifiées doivent être
identifiées doivent être mises en œuvre et le plan doit être mis à jour avec le
l'état actuel de l'action.
- La date cible de mise en œuvre.
● Les actions correctives et préventives et toute amélioration entreprises doivent être
communiquées aux parties concernées ou impactées, et la direction doit confirmer que
ces améliorations/actions atteignent les objectifs visés.
● Après l'identification du besoin d'améliorations ou de non-conformités par le biais
des revues de la direction, des audits internes et d’autres examens, le plan d'actions
correctives et préventives doit être mis à jour et régulièrement revu par la direction.
Les tableaux au-dessous présentent une analyse des non-conformités et incluent des
recommandations pour l'amélioration des contrôles de l'annexe A.
Description Un ensemble de politiques de sécurité de l’information (PSI) doit être défini, approuvé
par la direction, diffusé et communiqué aux salariés et aux tiers concernés.
14
organisation ou pour couvrir certains sujets. (par exemple: contrôles
cryptographiques, contrôles antivirus, gestion des vulnérabilités techniques…)
● Diffuser la politique de sécurité aux parties concernées.
Description Les politiques de sécurité de l’information doivent être revues à intervalles programmés
ou en cas de changements majeurs pour garantir leur pertinence, leur adéquation et leur
effectivité dans le temps.
Observation ● Les politiques de sécurité établies par la faculté d'informatique ne sont pas
documentées.
● Toutes les politiques de sécurité sont revues annuellement
● Non-existence de procédures pour le réexamen des politiques de sécurité de
l’information.
15
Recommandations ● Documenter les rôles et les responsabilités.
Description Les tâches et les domaines de responsabilité incompatibles doivent être cloisonnés
pour limiter les possibilités de modification ou de mauvais usage, non autorisé(e)
ou involontaire, des actifs de l’organisme.
Description Des relations appropriées avec les autorités compétentes doivent être entretenues.
Description Des relations appropriées avec des groupes d’intérêt, des forums spécialisés dans la
sécurité et des associations professionnelles doivent être entretenues.
Observation ● Absence de relations avec des groupes d'intérêt, des forums et des
associations.
16
Recommendation ● Identifier des groupes d’intérêt, des forums spécialisés dans la sécurité et
des associations professionnelles et entretenir des relations avec eux.
● Établir des accords de partage d'informations pour améliorer la coopération
et la coordination en matière de sécurité.
Recommendations ● Effectuer une analyse des risques liés à la sécurité de l'information à des
stades précoces des projets afin d'identifier les contrôles de sécurité
nécessaires.
● Prendre en considération l'expression des besoins de sécurité
(confidentialité, intégrité, disponibilité) dans la gestion des projets.
● Mettre en place une coordination entre les différents services concernés par
ces projets dès la phase d'expression de ces besoins et la maintenir pendant
toutes les phases des projets pour la planification de l'allocation des
ressources nécessaires.
Recommendations ● Réaliser une analyse des risques d'utilisation des appareils mobiles.
● Élaborer et mettre en œuvre une politique d'utilisation des appareils
mobiles.
A.6.2.2 Télétravail
Description Une politique et des mesures de sécurité complémentaires doivent être mises en
œuvre pour protéger les informations consultées, traitées ou stockées sur des sites
de télétravail.
17
Observation ● L’USTHB n’autorise pas le télétravail.
Recommendations
Description Des vérifications doivent être effectuées sur tous les candidats à l’embauche
conformément aux lois, aux règlements et à l’éthique et être proportionnées aux
exigences métier, à la classification des informations accessibles et aux risques
identifiés.
Description Les accords contractuels entre les salariés et les sous-traitants doivent préciser
leurs responsabilités et celles de l’organisme en matière de sécurité de
l’information.
Observation ● Un simple contrat de travail signé avec les employés contient leurs
informations.
Recommendations ● Les employés et les sous traitants sont invités à signer un engagement de
confidentialité ou de non-divulgation dans le cadre de leurs termes et
conditions initiaux du contrat de travail.
18
Description La direction doit demander à tous les salariés et sous traitants d’appliquer les
règles de sécurité de l’information
Classement Conforme
Recommendations
Description L’ensemble des salariés de l’organisme et, quand cela est pertinent, des sous
traitants, doit bénéficier d’une sensibilisation et de formations adaptées et recevoir
régulièrement les mises à jour des politiques et procédures de l’organisme
s’appliquant à leurs fonctions.
Recommendation ● Faire recevoir les nouvelles recrues, et le cas échéant, les nouveaux
sous-traitants systématiquement des sessions de sensibilisation à la sécurité
du système d’information.
● Faire recevoir tous les employés et les sous traitants périodiquement des
sessions de sensibilisation sur les risques liés à l’utilisation des moyens IT
et les tendances en la matière et les informer des mises à jour régulières
appliquées aux politiques et procédures organisationnelles en ce qui
concerne leurs fonctions.
Description Un processus disciplinaire formel et connu de tous doit exister pour prendre des
mesures à l’encontre des salariés ayant enfreint les règles liées à la sécurité de
l’information
Observation ● Existence d’un processus disciplinaire formel pour les utilisateurs du SI qui
ont commis une violation de la politique de sécurité.
● Le processus disciplinaire n’est pas documenté.
19
Recommendations ● Documenter et mettre en œuvre des processus disciplinaires conçus pour
fournir un processus d'action corrective structuré afin d’améliorer et de
prévenir une récurrence du comportement et des performances indésirables
des employés problèmes.
Classement Conforme
Recommendations
20
Classement Non-conformité majeure
Description Les règles d’utilisation correcte de l’information, les actifs associés à l’information
et les moyens de traitement de l’information doivent être identifiées, documentées
et mises en œuvre.
Description Tous les salariés et les utilisateurs tiers doivent restituer la totalité des actifs de
l’organisme qu’ils ont en leur possession au terme de la période d’emploi, du
contrat ou de l’accord.
Description Les informations doivent être classifiées en termes d’exigences légales, de valeur,
de caractère critique et de sensibilité au regard d’une divulgation ou modification
non autorisée.
21
Recommendations ● Développer et maintenir des procédures de classification des actifs.
● Appliquer des mesures de sécurité spécifiques à chaque classe en
concordance avec le système de classification.
Recommendations ● Élaborer et mettre en œuvre des procédures pour une utilisation acceptable
de l'information et des actifs associés à un moyen de traitement de
l'information.
● Mettre en place des restrictions d'accès aux informations, conformément
aux exigences de protection pour chaque niveau de classification.
● Faire bénéficier les copies temporaires ou permanentes de l'information le
même niveau de protection de l'information originale.
Description Des procédures de gestion des supports amovibles doivent être mises en œuvre
conformément au plan de classification adopté par l’organisme.
22
Classement Non-conformité majeure
Description Les supports qui ne sont plus nécessaires doivent être mis au rebut de manière
sécurisée en suivant des procédures formelles.
Classement Conforme
Recommendations
Description Les supports contenant de l’information doivent être protégés contre les accès non
autorisés, les erreurs d’utilisation et l’altération lors du transport.
Observation ● Aucune liste des transporteurs autorisés n’est convenue avec la direction.
● Absence de procédure permettant de vérifier l'identification des
transporteurs.
● Absence de protection des supports contre tout dommage physique pendant
le transport.
Recommendations ● Élaborer et mettre en œuvre une procédure pour vérifier l'identification des
transporteurs.
● Journaliser et conserver les informations identifiant le contenu du support,
la protection appliquée ainsi que la date et l’heure de son transfert au
transporteur ainsi que la date et l’heure de sa réception au lieu de
destination.
23
A.9 Contrôle d’accès
Description Une politique de contrôle d’accès doit être établie, documentée et revue sur la base
des exigences métier et de sécurité de l’information.
Description Les utilisateurs doivent avoir uniquement accès au réseau et aux services réseau
pour lesquels ils ont spécifiquement reçu une autorisation.
24
Recommendations ● Documenter le processus d’enregistrement et de désinscription des
utilisateurs, et vérifier les comptes utilisateurs sur les serveurs pour
l’identification de ceux qui sont partagés, redondants ou obsolètes.
Description Un processus formel de distribution des accès aux utilisateurs doit être mis en
œuvre pour attribuer et retirer des droits d’accès à tous types d’utilisateurs sur
l’ensemble des services et des systèmes.
Recommendations ● Mettre à disposition la matrice des droits d'accès et les fiches de postes afin
de vérifier :
○ la conformité des niveaux d’accès avec la politique de contrôle
d’accès.
○ la compatibilité de ces niveaux d’accès avec la séparation des
tâches.
Description L’allocation et l’utilisation des droits d’accès à privilèges doivent être restreintes et
contrôlées.
Description L’attribution des informations secrètes d’authentification doit être réalisée dans le
cadre d’un processus de gestion formel.
25
● Fournir les informations secrètes d'authentification temporaire aux
utilisateurs de manière sécurisée (l'utilisation de parties externes ou de
messages électroniques non protégés (en texte clair) doit être évitée)
● Faire signer aux utilisateurs un accusé de réception des informations
secrètes d'authentification.
● Modifier les informations secrètes d'authentification par défaut des
fournisseurs des systèmes ou des logiciels après leur installation.
Description Les propriétaires d’actifs doivent vérifier les droits d’accès des utilisateurs à
intervalles réguliers.
Classement Conforme
Recommendations
Description Les droits d’accès aux informations et aux moyens de traitement des informations
de l’ensemble des salariés et utilisateurs tiers doivent être supprimés à la fin de
leur période d’emploi, ou adaptés en cas de modification du contrat ou de l’accord.
Observation ● Les droits d'accès de tous les employés, aux informations et aux moyens de
traitement de l'information, sont supprimés à la fin de leur emploi
Description Les utilisateurs doivent suivre les pratiques de l’organisme pour l’utilisation des
informations secrètes d’authentification.
26
sensibilisation qui invitent les utilisateurs à :
- garder confidentielles les informations secrètes d'authentification, en
veillant à ce qu'elles ne soient pas divulguées à d'autres parties, y compris à
leurs supérieurs hiérarchiques.
- éviter de conserver un enregistrement d'informations secrètes
d'authentification (par exemple sur du papier, un fichier logiciel ou un
appareil portatif), sauf si cela peut être stocké de manière sécurisée et si la
méthode de stockage a été approuvée (par exemple, coffre-fort).
- changer les informations secrètes d'authentification chaque fois qu'il y a un
soupçon de sa compromission.
- ne pas partager ses propres informations secrètes d'authentification.
- ne pas utiliser les mêmes informations secrètes d'authentification à des fins
professionnelles et personnelles.
Description L’accès à l’information et aux fonctions d’application système doit être restreint
conformément à la politique de contrôle d’accès.
Observation ● La politique de contrôle d'accès ainsi que la matrice des rôles d’accès ne
sont pas fournis.
● La politique de sécurité empêche l’accès non autorisé aux systèmes et aux
applications.
Description Lorsque la politique de contrôle d’accès l’exige, l’accès aux systèmes et aux
applications doit être contrôlé par une procédure de connexion sécurisée.
27
● S’assurer que les systèmes et les applications prennent en compte :
○ l’affichage du message d’avertissement que l’accès n’est permis
qu’aux utilisateurs autorisés.
○ Le blocage de connexion après un certain nombre de tentatives
échouées, autrement dit, la protection contre les tentatives de
connexion par « brute force ».
○ La journalisation des tentatives d’accès réussies et échouées.
○ Le masquage des mots de passe entrés.
○ La mise en fin automatique à des sessions inactives après une
période d'inactivité définie.
○ La limitation du temps de connexion pour fournir une sécurité
supplémentaire aux applications à haut risque et réduire les
opportunités d'accès non autorisé.
Description Les systèmes qui gèrent les mots de passe doivent être interactifs et doivent
garantir la qualité des mots de passe.
Observation ● Le site web e-commune ne respecte pas les bonnes pratiques de création et
de gestion des mots de passe.
28
d’authentification et d’autorisation spécifiques aux programmes utilitaires
à privilèges.
● Limiter l’utilisation des programmes utilitaires à privilège à un nombre
minimal acceptable d’utilisateurs de confiance bénéficiant d’une
autorisation.
● Journaliser toutes les utilisations de programmes utilitaires à privilège.
● Définir et documenter les niveaux d’autorisation relatifs aux programmes
utilitaires à privilège.
● Désinstaller et désactiver tous les programmes utilitaires à privilèges
inutiles.
Observation N/A
Recommendations N/A
A.10 Cryptographie
29
A.10.1.2 Gestion des clés
Description Une politique sur l’utilisation, la protection et la durée de vie des clés
cryptographiques doit être élaborée et mise en œuvre tout au long de leur cycle de
vie.
Description Des périmètres de sécurité doivent être définis et utilisés pour protéger les zones
contenant l’information sensible ou critique et les moyens de traitement de
l’information.
Recommendations ● Consacrer une salle spéciale destinée seulement aux équipements et qui
sera isolée et verrouillée où aucune personnes non autorisée pourra y
accéder.
30
A.11.1.2 Contrôle d’accès physique
Description Les zones sécurisées doivent être protégées par des contrôles adéquats à l’entrée
pour s’assurer que seul le personnel autorisé est admis.
Recommendations ● Consacrer une salle isolée destinée seulement aux équipements et qui sera
verrouillée et soumise à des politiques d'accès strictes permettant de limiter
au maximum le nombre de personnes pouvant y accéder. Cette salle pourra
être protégée par un système d’alarme détectant n' importe quelle
intrusion.
Description Des mesures de sécurité physique aux bureaux, aux salles et aux équipements
doivent être conçues et appliquées.
Recommendations ● La discrétion est un critère majeur pour la protection des équipements d'où
la nécessité d’une salle isolée et verrouillée comme mentionné
précédemment.
Description Des mesures de protection physique contre les désastres naturels, les attaques
malveillantes ou les accidents doivent être conçues et appliquées.
31
● Absence d’une analyse systématique et approfondie de tous les risques
d'incendie (Par exemple : court-circuit au niveau du câblage, effet de la
foudre, personnel fumant dans les locaux, appareillages électriques
courants, échauffement d'équipement, propagation depuis l'extérieur,
propagation par les gaines techniques ou la climatisation, etc.)
● Aucun système de détection automatique d'incendie ainsi que d'extinction
n’est mis en place pour les locaux sensibles.
Recommendations ● Des analyses et des études approfondies doivent être faites afin de
connaître plus les menaces et leurs impacts.
● Mettre en place un système de climatisation robuste après avoir déplacé les
serveurs vers une salle plus petite pour que la climatisation puisse être plus
efficace.
● Mettre en place des systèmes d'alarme-incendie et d’extinction.
● Vérifier le toit de la salle abritant les équipements et éliminer toute voie
possible de fuite d'eau.
Description Des procédures pour le travail dans les zones sécurisées doivent être conçues et
appliquées.
Description Les points d’accès tels que les zones de livraison et de chargement et les autres
points par lesquels des personnes non autorisées peuvent pénétrer dans les locaux
doivent être contrôlés et, si possible, isolés des moyens de traitement de
l’information, de façon à éviter les accès non autorisés.
32
Observation
Recommendations
Documents Consultés
A.11.2 Matériels
Description Les matériels doivent être localisés et protégés de manière à réduire les risques
liés à des menaces et des dangers environnementaux et les possibilités d’accès non
autorisé.
Observation ● Les matériels sont exposés dans des salles accessibles au public
notamment la salle de conférence et la salle 122.
● Absence des mesures qui réduisent au minimum les risques de menaces
physiques et environnementales potentielles, comme le vol, l’incendie, la
fumée, les fuites d’eau, la poussière.
● Les conditions ambiantes, telles que la température et l’humidité, qui
pourraient nuire au fonctionnement des moyens de traitement de
l’information ne sont pas surveillées
Recommendations ● Les matériels doivent être placés dans une salle où l'accès est restreint.
Cette salle doit être conforme à toutes les exigences et les mesures liées à
la sécurité des matériels, notamment :
- La présence des systèmes d'alarme-incendie et d'extinction.
- L’implémentation d’une climatisation qui garantit une température
convenable aux équipements 24h/24.
- Le toit, les murs extérieurs et le sol sont construits de manière solide.
Description Les matériels doivent être protégés des coupures de courant et autres perturbations
dues à une défaillance des services généraux.
33
Recommendations ● Les services généraux doivent être conformes aux spécifications du
fabricant du matériel et aux exigences légales locales.
● Une alimentation de secours doit être mise en œuvre pour garantir la
continuité des services.
Recommendations ● Pour une meilleure protection de votre câble RJ45 et par mesure de
sécurité, il est recommandé que votre câble soit sous une classification
spécifique contre la toxicité et l'inflammabilité. Elle est inscrite "LSZH"
● Mettre le câble dans un isolant rigide tel que le tube IRO.
Description Les matériels doivent être entretenus correctement pour garantir leur disponibilité
permanente et leur intégrité.
Recommendations ● Faire une maintenance préventive qui consiste à effectuer des interventions
à des intervalles prédéterminés et selon des critères prescrits afin de
réduire la probabilité de défaillance ou de dégradation du fonctionnement
du matériel.
Description Les matériels, les informations ou les logiciels des locaux de l’organisme ne
doivent pas sortir sans autorisation préalable.
34
et de la rentrée, effacement des données inutiles, etc.)
Description Des mesures de sécurité doivent être appliquées aux matériels utilisés hors des
locaux de l’organisme en tenant compte des différents risques associés au travail
hors site.
Observation N/A
Recommendations N/A
Description Tous les composants des matériels contenant des supports de stockage doivent être
vérifiés pour s’assurer que toute donnée sensible a bien été supprimée et que tout
logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant leur
mise au rebut ou leur réutilisation.
Description Les utilisateurs doivent s’assurer que les matériels non surveillés sont dotés d’une
protection appropriée.
35
laissés sans surveillance.
Description Les procédures d’exploitation doivent être documentées et mises à disposition de tous
les utilisateurs concernés
Description Les changements apportés à l’organisme, aux processus métier, aux systèmes et
moyens de traitement de l’information ayant une incidence sur la sécurité de
l’information doivent être contrôlés.
36
Observations ● Il n’existe pas une procédure de gestion des changements permettant de
contrôler les décisions de changements à apporter au système d'information
(mise en production de nouveaux systèmes/équipements/logiciels ou
d'évolutions de systèmes existants)
A.12.1.3 Dimensionnement
Description L’utilisation des ressources doit être surveillée et ajustée et des projections sur les
dimensionnements futurs doivent être effectuées pour garantir les performances
exigées du système
Classement Conforme
Recommendations ● Créer et documenter des projections de capacité qui décrivent le plan d'achat
pour l'année prochaine.
Observations ● Les serveurs applicatifs (où sont installées les applications) et la base de
donnée sont des serveurs dédiés.
● Les environnements de développement et de test ne sont pas séparés des
environnements opérationnels
37
Recommendations ● Créer et documenter une description complète de la séparation des
environnements de développement, de test et opérationnels.
Observations ● Il existe une politique définie afin de lutter contre les risques d'attaque par des
codes malveillants (virus, chevaux de Troie, spyware, vers, etc).
● Les contrôles de détection, de prévention et de récupération ne sont pas mis en
œuvre pour protéger contre les logiciels malveillants.
● Il n’y a pas un abonnement à un centre d'alerte permettant d'être prévenu et
d'anticiper certaines attaques massives pour lesquelles les antivirus ne sont
pas encore à jour.
● Manque de revue de la politique de protection contre les logiciels
malveillants.
A.12.3 Sauvegarde
Description Des copies de sauvegarde de l’information, des logiciels et des images systèmes
doivent être réalisées et testées régulièrement conformément à une politique de
sauvegarde convenue.
Observations ● Les copies de sauvegarde des informations, des logiciels et des images
système ne sont ni prises ni testées régulièrement conformément à un accord
politique de sauvegarde.
● Il existe une politique de sauvegarde qui couvre les données applicatives, les
38
programmes (sources et/ou exécutables), les paramètres de configuration des
applications et des logiciels de base (les différents fichiers de paramétrages)
● Manque de revue de la politique de sauvegarde.
Recommendations ● Mettre en œuvre et documenter les procédures décrivant les tests réguliers des
supports de sauvegarde pour s'assurer qu'ils peuvent être utilisés en cas
d'urgence si nécessaire ceci doit être combiné avec un test des procédures de
restauration et vérifié par rapport au temps de restauration obligatoire.
Description Des journaux d’événements enregistrant les activités de l’utilisateur, les exceptions,
les défaillances et les événements liés à la sécurité de l’information doivent être créés,
tenus à jour et vérifiés régulièrement.
39
A.12.4.3 Journaux administrateur et opérateur
Observations ● Absence d’un dispositif de synchronisation des horloges des systèmes et des
équipements réseau et sécurité.
Description Des procédures doivent être mises en œuvre pour contrôler l’installation de logiciel
sur des systèmes en exploitation.
Observations N/A
Recommendations N/A
40
A.12.6 Gestion des vulnérabilités techniques
Description Des informations sur les vulnérabilités techniques des systèmes d’information en
exploitation doivent être obtenues en temps opportun, l’exposition de l’organisme à
ces vulnérabilités doit être évaluée et les mesures appropriées doivent être prises pour
traiter le risque associé.
Description Des règles régissant l’installation de logiciels par les utilisateurs doivent être établies
et mises en œuvre.
Observations N/A
Recommendations N/A
Description Les exigences et activités d’audit impliquant des vérifications sur des systèmes en
exploitation doivent être prévues avec soin et validées afin de réduire au minimum les
perturbations subies par les processus métier.
41
Classement Non-conformité majeure
Recommendations ● Établir et mettre en œuvre une procédure formelle d’audit des systèmes
d’information, définissant les règles concernant les audits menés sur les
systèmes opérationnels/ réseaux et les responsabilités associées.
Description Les réseaux doivent être gérés et contrôlés pour protéger l’information contenue dans
les systèmes et les applications
Description Pour tous les services de réseau, les mécanismes de sécurité, les niveaux de service et
les exigences de gestion, doivent être identifiés et intégrés dans les accords de services
de réseau, que ces services soient fournis en interne ou externalisés
42
Recommendations ● Identifier et documenter les dispositions de sécurité nécessaires à des services
en particulier, telles que les fonctions de sécurité, les niveaux de sécurité de
service et les exigences de gestion.
Observations ● Le réseau est divisé en domaines séparés en faisant recours à des réseaux
physiques différents en plus des réseaux logiques différents (VLANs).
● L’accès entre les différents domaines du réseau est contrôlé au niveau du
périmètre en utilisant une passerelle (pare-feu).
Description Des politiques, des procédures et des mesures de transfert formelles doivent être mises
en place pour protéger les transferts d’information transitant par tous types
d’équipements de communication
Recommendations ● Établir, documenter et mettre en œuvre une politique qui énonce les méthodes
qui doivent être appliquées pour entreprendre un transfert d'informations
● Implémenter une procédure de protection et détection contre les logiciels
malveillants.
Description Des accords doivent traiter du transfert sécurisé de l’information liée à l’activité entre
43
l’organisme et les tiers.
Description L’information transitant par la messagerie électronique doit être protégée de manière
appropriée.
44
A.14 Acquisition, développement et maintenance des systèmes
d’information
Description Les exigences liées à la sécurité de l’information doivent être intégrées aux exigences
des nouveaux systèmes d’information ou des améliorations de systèmes d’information
existants.
Observations ● Absence d'analyse des risques de sécurité de l’information réalisée dès la phase
de conception des nouveaux systèmes d’information ou leur amélioration.
Description Les informations liées aux services d’application transmises sur les réseaux publics
doivent être protégées contre les activités frauduleuses, les différents contractuels, ainsi
que la divulgation et la modification non autorisées
Observations ● Les informations impliquées dans les services d'application passant les réseaux
publics sont protégées contre les activités frauduleuses, les contrats litige et
divulgation et modification non autorisées
● L’identité déclarée des parties qui échangent l’information sur les réseaux
publics est vérifiée
Recommendations ● Définir et documenter des processus d’autorisation liés aux personnes qui
peuvent approuver le contenu, émettre ou signer des documents transactionnels
clés.
Description Les informations impliquées dans les transactions liées aux services d’application
doivent être protégées pour empêcher une transmission incomplète, des erreurs
d’acheminement, la modification non autorisée, la divulgation non autorisée, la
duplication non autorisée du message ou sa réémission
45
Observations ● La signature électronique n’est pas utilisée par les parties impliquées dans les
transactions.
Description Des règles de développement des logiciels et des systèmes doivent être établies et
appliquées aux développements de l’organisme.
Recommendations N/A
Description Les changements des systèmes dans le cadre du cycle de développement doivent être
contrôlés par le biais de procédures formelles.
Observations N/A
Recommendations N/A
A.14.2.3 Revue technique des applications après changement apporté à la plateforme d’exploitation
Description Lorsque des changements sont apportés aux plateformes d’exploitation, les
applications critiques métier doivent être vérifiées et testées afin de vérifier l’absence
de tout effet indésirable sur l’activité ou sur la sécurité.
46
avant leur mise en œuvre.
● Réaliser une revue et des tests de l'impact des modifications apportées à la
plateforme d’exploitation sur les applications critiques.
Description Les modifications des progiciels ne doivent pas être encouragées, être limitées aux
changements nécessaires et tout changement doit être strictement contrôlé.
Observations N/A
Recommendations N/A
Description Des principes d’ingénierie de la sécurité des systèmes doivent être établis, documentés,
tenus à jour et appliqués à tous les travaux de mise en œuvre des systèmes
d’information.
Description Les organismes doivent établir des environnements de développement sécurisés pour
les tâches de développement et d’intégration du système qui englobe l’intégralité du
cycle de vie du développement du système, et en assurer la protection de manière
appropriée.
Recommendations N/A
47
A.14.2.7 Développement externalisé
Recommendations N/A
Description Les tests de fonctionnalité de la sécurité doivent être réalisés pendant le développement
Recommendations N/A
Description Des programmes de test de conformité et des critères associés doivent être déterminés
pour les nouveaux systèmes d’information, les mises à jour et les nouvelles versions
Recommendations ● Tenir à jour une liste contenant les paramétrages de sécurité et règles de
configuration (suppression de tout compte générique, changement de tout mot
de passe générique, fermeture de tout port non explicitement demandé et
autorisé, paramétrages du contrôle des droits et de l'authentification, contrôles
des tables de routage, etc.).
● Contrôler ces paramétrages de sécurité et règles de configuration en utilisant,
entre autres, des outils d’analyse de code ou des scanneurs de vulnérabilités.
Description Les données de test doivent être sélectionnées avec soin, protégées et Contrôlées
48
Classement Non-conformité majeure
Recommendations ● Éviter, dans le cadre d'essais, l’utilisation des bases de données de production
contenant des informations personnelles ou toute autre information sensible.
● Lorsque des données personnelles ou sensibles doivent malgré tout être
utilisées, prendre le soin de supprimer les détails et contenus sensibles avant de
les utiliser (ou de les modifier afin de les rendre anonymes).
● Appliquer une procédure de contrôle d’accès pour les systèmes d’applications
en exploitation et les systèmes d’applications de test.
● Effacer les informations d’exploitation immédiatement d’un environnement de
test après la fin des tests.
● Journaliser toute reproduction et utilisation de l’information d’exploitation afin
de créer un système de traçabilité.
A.15.1.1 Politique de sécurité de l’information dans les relations avec les fournisseurs
Description Des exigences de sécurité de l’information pour limiter les risques résultant de l’accès
des fournisseurs aux actifs de l’organisme doivent être acceptées par le fournisseur et
documentées
Description Les exigences applicables liées à la sécurité de l’information doivent être établies et
convenues avec chaque fournisseur pouvant accéder, traiter, stocker, communiquer ou
fournir des composants de l’infrastructure informatique destinés à l’information de
l’organisme.
49
Classement Non-conformité majeure
Description Les accords conclus avec les fournisseurs doivent inclure des exigences sur le
traitement des risques liés à la sécurité de l’information associé à la chaîne
d’approvisionnement des produits et des services informatiques.
Description Les organismes doivent surveiller, vérifier et auditer à intervalles réguliers la prestation
des services assurés par les fournisseurs.
Recommendations ● Vérifier si les niveaux de performance des services sont surveillés et si leur
conformité avec les accords.
● Revoir les aspects liés à la sécurité de l’information dans les relations du
fournisseur.
A.15.2.2 Gestion des changements apportés dans les services des fournisseurs
Description Les changements effectués dans les prestations de service des fournisseurs, comprenant
le maintien et l’amélioration des politiques, procédures et mesures existant en matière
de sécurité de l’information, doivent être gérés en tenant compte du caractère critique
de l’information, des systèmes et des processus concernés et de la dépréciation des
risques.
50
Observations ● Absence de rapport des changements apportés aux accords passés avec les
fournisseurs
Recommendations ● Gérer les changements apportés aux accords passés avec les fournisseurs.
● Inclure des exigences traitant les risques de sécurité de l'information associés
aux services des technologies de l'information et des communications et à la
chaîne d'approvisionnement des produits dans les accords avec les fournisseurs.
Description Des responsabilités et des procédures permettant de garantir une réponse rapide,
efficace et pertinente doivent être établies en cas d’incident lié à la sécurité de
l’information.
Description Les événements liés à la sécurité de l’information doivent être signalés dans les
meilleurs délais par les voies hiérarchiques appropriées.
51
Classement Non-conformité majeure
Recommendations ● Informer tous les salariés et contractants de leur obligation de signaler les
événements liés à la sécurité de l’information dans les meilleurs délais, de
l’existence d’une procédure de signalement des événements liés à la
sécurité de l’information et d’un responsable servant de point de contact
auprès duquel effectuer le signalement.
● Le système de déclaration et de gestion des incidents doit inclure tous les
incidents (exploitation, développement, maintenance, utilisation du SI)
physiques, logiques ou organisationnels et les tentatives d'actions
malveillantes ou non autorisées n'ayant pas abouti.
● Le système de déclaration et de gestion des incidents doit s'appliquer à
l'ensemble des structures et des personnels de l'organisme (y compris les
filiales).
Description Les salariés et les soustraitants utilisant les systèmes et services d’information de
l’organisme doivent noter et signaler toute faille de sécurité observée ou
soupçonnée dans les systèmes ou services.
Description Les événements liés à la sécurité de l’information doivent être appréciés et il doit
être décidé s’il faut les classer comme incidents liés à la sécurité de
l’information.
52
● Utiliser un système de détection d'intrusion et d'anomalies, et archiver
tous ces éléments de diagnostic.
● Enregistrer les conclusions de l’analyse des événements et les décisions
prises de manière détaillée en vue de contrôles ou de références
ultérieurs.
Description Les incidents liés à la sécurité de l’information doivent être traités conformément
aux procédures documentées.
Recommendations ● Mettre en place une équipe de réponse aux incidents qui doit être
accessible en permanence.
● Mettre en place un système supportant la gestion des incidents qui
centralise et prend en compte aussi bien les incidents détectés par
l'exploitation que ceux signalés par les utilisateurs, permettant aussi un
suivi et une relance automatiques des actions nécessaires et incorporant
une typologie des incidents avec élaboration de statistiques et de tableau
de bord des incidents.
● Recueillir les preuves aussitôt que possible après l’incident.
● Traiter les failles constatées dans la sécurité de l’information causant ou
contribuant à l’incident.
● Clôturer formellement et enregistrer l’incident une fois qu’il a été résolu
avec succès.
53
● Exploiter les informations obtenues par l’analyse des incidents de
sécurité passés afin d'identifier les incidents récurrents ou ayant un fort
impact avec les mesures nécessaires pour limiter la fréquence des futurs
incidents ainsi que les dommages et les coûts associés.
Observation ● Absence de rapport d’analyse de l’impact sur l’activité des aspects liés à la
sécurité de l’information.
● Absence de document des exigences de sécurité de l’information applicables
aux situations défavorables.
● Absence de processus de gestion de la continuité de l’activité et de gestion de
la récupération après sinistre.
54
Classement Non-conformité majeure
Recommendations ● Réaliser une analyse de l’impact sur l’activité des aspects liés à la sécurité de
l’information, et garder le rapport d’analyse.
● Déterminer et documenter les exigences de sécurité de l’information
applicables aux situations défavorables, à la lumière des résultats de l’analyse
de l’impact.
● Déterminer les objectifs de continuité de la sécurité de l’information qui
doivent être approuvées par la direction.
● Intégrer la continuité de la sécurité de l’information au processus de gestion
de la continuité de l’activité ou au processus de gestion de la récupération
après sinistre.
● Formuler, de manière explicite, les exigences de continuité de la sécurité de
l’information dans les processus de gestion de la continuité de l’activité et de
gestion de la récupération après sinistre.
Description L’organisme doit établir, documenter, mettre en œuvre et tenir à jour des processus,
des procédures et des mesures permettant de fournir le niveau requis de continuité de
sécurité de l’information au cours d’une situation défavorable.
Recommendations ● Etablir une structure de gestion adéquate pour se préparer, atténuer et réagir à
un événement perturbant en mobilisant du personnel possédant l’autorité,
l’expérience et les compétences nécessaires.
● Nommer via une note les membres du personnel chargés de la réponse à
apporter aux incidents, et qui possèdent les responsabilités, l’autorité et les
compétences nécessaires pour gérer les incidents et maintenir la sécurité de
l’information.
● Elaborer et mettre en oeuvre des processus, des procédures et des mesures
permettant de fournir le niveau requis de continuité de la sécurité de
l’information au cours d’une crise.
● Elaborer des Plans de Continuité d'Activité (PCA) pour chaque activité
critique, et former le personnel à les mettre en oeuvre.
● Mettre à jour et tester régulièrement ces plans.
● Analyser les résultats des tests avec la direction et les parties prenantes
concernées.
55
A.17.1.3 Vérifier, revoir et évaluer la continuité de la sécurité de l’information
Recommendations ● Tester à intervalles réguliers les fonctionnalités des processus, des procédures
et des mesures de continuité de la sécurité de l’information pour s’assurer
qu’elles sont cohérentes avec les objectifs de continuité de la sécurité de
l’information.
● Revoir à intervalle régulier la validité et l’efficacité des mesures de continuité
de la sécurité de l’information lorsque les systèmes d’information, les
processus, les procédures et les mesures de sécurité de l’information ou les
solutions et les processus de gestion de la continuité de l’activité/gestion de la
récupération après sinistre connaissent des changements.
A.17.2 Redondances
Description Des moyens de traitement de l’information doivent être mis en œuvre avec
suffisamment de redondances pour répondre aux exigences de disponibilité.
56
A.18 Conformité
A.18.1 Conformité aux obligations légales et réglementaires
Description Des procédures appropriées doivent être mises en œuvre pour garantir la conformité
avec les exigences légales, réglementaires et contractuelles relatives à la propriété
intellectuelle et à l’usage des licences de logiciels propriétaires.
Observation ● Présence d’un inventaire des logiciels officiellement installés et déclarés sur
chaque équipement informatique (serveurs, postes de travail, équipement
réseau et de sécurité, …) démontrant l’usage des licences de logiciels
propriétaires.
Recommendations ● Elaborer et mettre en œuvre une procédure pour garantir la conformité avec
les exigences légales, réglementaires et contractuelles relatives à la propriété
intellectuelle et à l’usage des licences de logiciels propriétaires.
● Procéder à des contrôles fréquents visant à vérifier que les logiciels installés
sont conformes aux logiciels déclarés ou qu'ils possèdent une licence en règle.
57
A.18.1.3 Protection des enregistrements
Recommendations ● Elaborer et mettre en oeuvre une politique de protection de la vie privée et des
données à caractère personnel, approuvée par la direction et communiquée à
toutes les personnes impliquées dans le traitement des données à caractère
personnel.
● Elaborer un recueil regroupant l'ensemble des dispositions légales ou
réglementaires relatives à la protection des données à caractère personnel.
● Elaborer et mettre en oeuvre un programme de sensibilisation et de formation,
en matière de protection des données à caractère personnel.
Description Des mesures cryptographiques doivent être prises conformément aux accords,
législation et réglementations applicables.
58
● Absence de recueil regroupant l'ensemble des dispositions légales ou
réglementaires relatives à l'utilisation de moyens cryptologiques.
● Absence de programme de sensibilisation et de formation en matière
d'utilisation de moyens cryptographiques.
● Présence d’une liste des sanctions en cas de non application de mesures.
Description Des revues régulières et indépendantes de l’approche retenue par l’organisme pour gérer et
mettre en œuvre la sécurité de l’information (à savoir le suivi des objectifs de sécurité, les
mesures, les politiques, les procédures et les processus relatifs à la sécurité de
l’information)
doivent être effectuées à intervalles définis ou lorsque des changements importants sont
intervenus.
59
Recommendations ● Les responsables doivent vérifier régulièrement la conformité du traitement de
l’information et des procédures dont ils sont chargés au regard des politiques, des
normes de sécurité applicables et autres exigences de sécurité.
● Les responsables doivent déterminer la manière de vérifier que les exigences de
sécurité de l’information définies dans les politiques, les normes et autres
règlementations applicables.
● Les responsables, lorsque la revue détecte une non-conformité, doivent :
- déterminer les causes de la non-conformité - évaluent la nécessité d’engager des
actions pour établir la conformité
- mettre en œuvre l’action corrective appropriée,
- revoir l’action corrective entreprise pour vérifier son efficacité et identifier toute
insuffisance ou faille.
Description Les systèmes d’information doivent être examinés régulièrement quant à leur conformité
avec les politiques et les normes de sécurité de l’information de l’organisme.
Observation ● Les systèmes d'information sont régulièrement examinés pour vérifier leur
conformité technique aux politiques et aux normes.
Classement Conforme
Recommendations ● Réaliser des tests périodiques de pénétration du réseau et des audits techniques
spécialisés approfondis.
● Réaliser des audits réguliers des paramètres de sécurité spécifiés.
● Contrôler régulièrement la conformité des configurations logicielles des postes de
travail des utilisateurs par rapport à la liste des options autorisées.
60