Rapport d’audit

Introduction :

Dans un contexte où la sécurité de l'information revêt une importance cruciale, ce rapport d'audit se
propose d'évaluer la résilience de notre organisation face aux défis actuels en matière de protection des
informations. Notre objectif principal est de scrutiner en profondeur nos pratiques de sécurité, du
respect des normes sectorielles à la gestion des risques émergents, afin de garantir la confidentialité,
l'intégrité et la disponibilité de nos actifs informationnels. Ce processus d'audit, mené par une équipe
expérimentée, vise à identifier les points forts de notre programme de sécurité tout en mettant en
lumière les domaines où des améliorations sont nécessaires. Au cours de la période définie, nous
examinerons la totalité de nos opérations liées à la sécurité de l'information, en nous appuyant sur des
critères rigoureux et des références normatives. Nous sommes conscients des risques potentiels et des
limitations inhérentes à cet exercice, mais nous sommes convaincus que cette évaluation approfondie
contribuera à renforcer notre posture globale en matière de sécurité, inspirant ainsi confiance à nos
parties prenantes quant à la protection de leurs informations sensibles

Présentation de la mission : (Présentation du programme, étendu de la mission d’audit, il faut inclure

l’Analyse de risque)

L'audit informatique de NETSECURE a été entrepris afin d'évaluer l'efficacité, la sécurité et la conformité
des opérations informatiques au sein de l'entreprise. La mission vise à fournir une évaluation complète
des départements informatiques de la société, en mettant l'accent sur les points suivants :

Présentation du Programme d'Audit

L'audit se déroulera sur une période de [Durée], couvrant les cinq départements clés de la société, à
savoir :

 Direction générale
 Direction financière
 Direction technique
 Achats et logistique
 Administration
 Service informatique
Étendue de la Mission d'Audit

L'audit englobera les aspects suivants dans chaque département :

Évaluation de la conformité aux normes et réglementations applicables.

Analyse de la sécurité des systèmes d'information.

Revue des politiques et procédures informatiques en place.

Évaluation des processus de gestion des incidents et des problèmes.

Examen de la gestion des changements et des versions.

Analyse de la disponibilité, de l'intégrité et de la confidentialité des données.

Évaluation des processus de sauvegarde et de reprise après sinistre.

Audit des autorisations d'accès aux systèmes et données sensibles.

Analyse de Risque

Une analyse de risque préliminaire a été effectuée pour identifier les principaux domaines de
préoccupation. Les risques potentiels incluent, mais ne sont pas limités à :

Failles de sécurité pouvant conduire à des accès non autorisés.

Non-conformité aux réglementations en vigueur.

Vulnérabilités dans les infrastructures réseau.

Lacunes dans la gestion des incidents et des problèmes.

Risques liés à la gestion des changements non maîtrisée.

Menaces pesant sur la confidentialité des données.

L'analyse de risque guidera les efforts d'audit pour garantir une couverture approfondie des aspects les
plus critiques de la sécurité et de la performance informatique de l'entreprise.

Présentation de l’organisme :

Nom : NetSecure

Statut : Privée

Email : contact@netsecure.com (proposition)

Site Web : www.netsecure.com

Domaine : www.netsecure.org

À propos de NetSecure :

NetSecure est une entreprise dynamique spécialisée dans la sécurité informatique. Forts de notre
engagement envers l'excellence et l'innovation, nous offrons des solutions de pointe pour garantir la
protection des données sensibles et la sécurité des systèmes informatiques.
Notre Engagement :

Chez NetSecure, notre objectif principal est de fournir des solutions de sécurité informatique robustes et
personnalisées pour répondre aux besoins uniques de nos clients. Nous nous efforçons constamment
d'anticiper et de contrer les menaces émergentes dans le cyberespace, tout en assurant la confidentialité
et l'intégrité des données de nos partenaires.

Services Offerts :

Sécurité des réseaux : Analyse, configuration et protection des réseaux d'entreprise.

Gestion des identités et des accès : Solutions avancées pour une gestion sécurisée des identités et des
accès.

Audit et conformité : Évaluation complète des systèmes pour assurer la conformité aux normes de
sécurité.

Formation en sécurité : Programme de sensibilisation et de formation pour renforcer la cybersécurité au

sein des organisations.

Notre Mission :

Nous nous engageons à être un partenaire de confiance pour nos clients en leur offrant des solutions de
sécurité informatique de qualité supérieure, une expertise technique de pointe et un service client
exceptionnel.

Voici l’organigramme de notre entreprise :

Figure 1:l'organigramme de NetSecure

Plan d'Audit :
 Le plan d'audit détaillé, comprenant les procédures spécifiques et les échéanciers, sera communiqué
dans le rapport final d'audit, une fois la phase d'audit initiale complétée. Ce rapport servira de guide
pour le processus d'audit et sera mis à jour au fur et à mesure de l'avancement de la mission.

Ce tableau ci-dessous récapitule les aspects clés de sécurité et de réseau pour chaque département, y
compris les détails spécifiques des équipements, des plages d'adresses IP et des types de câblage utilisés

PLAN D'AUDIT POUR L'ENTREPRISE NETSECURE

Domaine / Objectifs de sécurité Critères Responsable de la Fréquence Nombre de Logiciels Pare-feu Détails
Plage d'adresses Type de câblage
Département réseau d'évaluation sécurité réseau d'audit péripherique utilisés utilisé supplémentaires

Chiffrement des
Protection des 1 PC Windows 10,
Direction données, accès SAP, Pare-feu 192.168.1.1 -
données financières Responsable IT/Sécurité Mensuel 2 Imprimante: HP Ethernet Cat6
financière aux systèmes QuickBooks pfsense 192.168.1.31
et comptables LaserJet et switch
financiers
Sécurité des Contrôles d'accès,
Direction AutoCAD, Pare-feu 6 PC Windows 10, 192.168.4.1 - Fibre optique
processus et flux de détection Responsable IT/Sécurité Trimestriel 8
technique MATLAB pfsense Serveur Mail et switch 192.168.4.20 Multimode 50/125
données techniques d'intrusions
Sécurisation des
Sécurité des communications,
Achats et Windows 10, Pare-feu 3 PC Windows 10 et 192.168.3.32 -
échanges avec les vérification des Responsable IT/Sécurité Mensuel 4 Ethernet Cat6
logistique ERP pfsense switch 192.168.3.75
fournisseurs connexions
externes
Accès restreint
Protection des
aux données Windows 11, Pare-feu 4 PC Windows 11 et 192.168.2.40 -
Administration données RH et Responsable IT/Sécurité Trimestriel 5 Ethernet Cat5e
sensibles, HRIS pfsense switch 192.168.2.63
opérationnelles
contrôles d'accès
Tests de
Infrastructure réseau vulnérabilité, Linux, Pare-feu 1 serveur DHCP, 4 PC 192.168.5.64 - Fibre optique
IT Responsable IT/Sécurité Mensuel 6
sécurisée gestion des VMware pfsense Windows 10 et switch 192.168.5.135 Monomode 9/125
correctifs

Architecture réseaux :

Planning de réalisation (durée 2 mois, diagramme de Gant, commence par réunion d’ouverture, puis
réunions avec les services. Visite locaux, Audit technique, rédaction du rapport, réunion de clôture et
présentation des résultats)
Méthode d’analyse de risque :

Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant de les
mesurer. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. Il
définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs.

Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent
être mises en œuvre. Pour cela, ils élaborent des scénarios de compromission et audite les services du SI.
Sur la base de cet audit, une évaluation de chaque risque (probabilité, impact) est réalisée permettant
par la suite d'exprimer les besoins de sécurité, et par la même les mesures de protections nécessaires.
Enfin, une planification de la mise à niveau de la sécurité du SI est faite.

Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur les
risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir.

Partie 1 : Audit Organisationnelle et physique (ISO 27002)

Ch 1 : Politique de sécurité
Questionnaire conforme aux exigences de la Norme 27002

1. Politique de sécurité de l’information

Y a-t-il une politique de sécurité écrite et disponible pour tout le personnel ? N

O✘

La politique de sécurité spécifie-t-elle clairement les objectifs de sécurité de l’organisme, ainsi N✘

que des mesures de révision ?
O

Cette politique de sécurité est-elle revue à intervalles réguliers ou lors du changement N✘

significatifs, afin d’assurer le maintien de sa pertinence et de son efficacité ?
O

Quelles sont les règles et principes de sécurité qui figurent dans la politique de sécurité : N✘
Charte de sécurité, procédures….
O

est-ce que la politique de sécurité a été élaborée en tenant compte du principe N✘

avantages/coûts ?
O

Est-ce que cette politique fait référence à des documents qui aident dans la compréhension et N✘
le respect de cette dernière ?
O

La politique de sécurité de l’organisme définie-t-elle : N✘

 une structure en charge de la définition de la politique de sécurité des O
systèmes d’information ainsi que de sa mise en place ?
 un plan de continuité d’exercice, une éducation aux exigences de sécurité et aux
risques de sécurité, les conséquences d’une violation des règles de sécurité ainsi que
les responsabilités des incidents de sécurité ?
 une structure chargée de l’évaluation des risques et de leurs gestions ?
 des principes de sécurité de l'information tel qu’ils soient conforment à la
  stratégie d'affaires et aux objectifs de l’organisme ?

Etablit-on annuellement un plan de sécurité des systèmes d’information regroupant N✘

l’ensemble des plans d’action, moyens à mettre en œuvre, planning, budget ?
O

La politique de sécurité bénéficie-t-elle de l’appui de la direction générale ? N

Est-ce que cette politique est publiée et communiquée : N✘

 Aux employés O
 Aux tiers

Est-ce que cette politique a un propriétaire qui est responsable de sa revue et maintenance
selon un processus prédéfini ?
Est-ce que le processus de revue est déclenché suite à des changements affectent le N✘
recensement du risque tel que :
O
 Des incidents de sécurité grave
 Nouvelle vulnérabilités
 Changement dans l’organigramme
 Inefficacité des mesures mises en place
 Evolutions technologiques
L’organisation et la gestion de la sécurité sont-elles formalisées dans un document chapeau N✘
couvrant l’ensemble du domaine pour le projet ?
O

Une démarche de certification iso 27002 a-t-elle été prévue pour le projet ? N✘

Ch2 : Organisation de la sécurité de l’information :

Existe-t-il un Comité de sécurité du système d'information oui

 Existe-t-il un RSSI dans l'établissement, avec une fiche de poste, ainsi qu'une oui
délégation formelle mentionnant ses attributions et ses moyens d'action
Existe-t-il un Comité opérationnel de sécurité du système d'information, chargé oui
d'assister le RSSI dans le pilotage et la coordination des actions de sécurité, ou
dans les petites structures, la direction a-t-elle indiqué que l'action du RSSI doit
être appuyée et réalisée avec le concours des responsables opérationnels ?
le RSSI, son correspondant sécurité, ou le Comité opérationnel de sécurité du non
système d'information, est-il saisi d'une demande d'avis lors de l'introduction de
nouvelles configurations ou applications dans le système d'information ?
L'établissement va-t-il déjà fait procéder à un examen de la qualité de oui
l'application de la politique de sécurité, mené par un expert indépendant
l'établissement va-t-il procédé à l'auto-évaluation de son niveau de sécurité non
L'établissement a-t-il sensibilisé le personnel aux enjeux de la sécurité oui
(confidentialité des données informatisées, lutte antivirale, Internet et
messagerie,...) et l'va-t-il informé de sa responsabilité en matière de respect des
consignes de sécurité
L'établissement va-t-il identifié les risques liés aux types d'accès possibles pour oui
les tiers externes (physique, logique depuis l'extérieur, logique depuis
l'intérieur) ?
L'établissement va-t-il intégré aux contrats de tiers externes (sous-traitance) ses non
exigences en matière de sécurité de l'information
L'établissement va-t-il procédé à la mise en place des mesures de contrôle oui
d'accès adaptées avant d'ouvrir l'accès au SI à des tiers externes
Existe-t-il une coordination de l’exécution des tâches de sécurité des différentes oui
entités en charge de la sécurité de l’information au sein l’organisme ?

Ch3 : gestion des biens

Catégorisation des biens :

Équipements informatiques : Ordinateurs portables, serveurs, routeurs, switches, équipements de

sécurité, etc.

Logiciels et licences : Systèmes d'exploitation, logiciels de sécurité, licences de logiciels tiers, etc.

Matériel de bureau : Mobilier, imprimantes, scanners, etc.

Documentation et ressources : Manuels, documents de référence, abonnements à des revues

spécialisées, etc.

Suivi des biens :

Base de données dédiée : Utilisation d'un logiciel de gestion des biens pour enregistrer tous les actifs de
l'entreprise.
Informations détaillées : Enregistrement des détails comme le numéro de série, la date d'acquisition, les
spécifications techniques, et les détails de licence pour les logiciels.

Localisation et responsabilité : Suivi de l'emplacement actuel de chaque équipement et attribution à un

employé spécifique.

Identification unique :

Étiquetage individuel : Chaque bien est étiqueté avec un numéro d'identification unique ou un code QR
pour un suivi précis.

Suivi des mouvements :

Processus d'attribution : Enregistrement lorsqu'un équipement est attribué à un nouvel employé ou

lorsqu'il est déplacé dans une autre zone de l'entreprise.

Historique des changements : Consignation des mouvements ou des modifications de statut pour chaque
bien.

Maintenance et suivi des cycles de vie :

Plan de maintenance : Établissement d'un programme de maintenance préventive pour les équipements
critiques.

Analyse du cycle de vie : Évaluation régulière pour planifier les mises à niveau ou les remplacements des
équipements arrivant en fin de vie.

Audit régulier :

Vérifications périodiques : Réalisation d'audits réguliers pour s'assurer de l'exactitude de l'inventaire et

du bon fonctionnement des équipements.

Cette méthode de gestion des biens permet à NetSecure de maintenir un inventaire précis de ses
ressources, d'optimiser l'utilisation de ses équipements, d'assurer leur maintenance appropriée et de
planifier les futurs investissements en fonction des besoins de sécurité et du cycle de vie des actifs.
Ch4 : Sécurité liée aux ressources humaines
Le contrat employeur employé tient il compte des responsabilités de l’employé vis-à-vis oui
de la sécurité de l’organisme ?

L’organisme s’accorde-t-il les moyens de vérifier l’authenticité et la véracité des oui

diplômes et documents fournis par les potentiels futurs employés

Le personnel est-il informé de ces responsabilités vis-à-vis de la sécurité des actifs : non
 Avant l’embauche,
 Pendant la période de son exercice,
 Après remerciement ?
Y a t-il une politique de rotation du personnel occupant des taches clefs ? non

Existe-t-il des sessions d’information du personnel sur la sécurité des systèmes non
d’information de l’organisme ?

Le responsable de sécurité est-il formé aux nouvelles technologies ? oui

Est-ce que le personnel a signé un document de confidentialité des informations lors de non
l’embauche ?

Existe-t-il des procédures disciplinaires pour les employés sources de failles de oui
sécurité ?
Y va-t-il une procédure de revue de ce document, surtout en cas de départ ou une fin oui
de contrat ?
Est-ce que tout le personnel est informé vers qui et comment rendre compte des non
incidents de sécurité ?

Y va-t-il une procédure d’apprentissage des accidents et des failles de sécurité ? oui

A-t-on organisé régulièrement des tests pour vérifier le degré d’assimilation du non
personnel de la politique de sécurité ainsi que sa culture en informatique
Ch5 : Sécurité physique et environnementale

L'établissement a-t-il mis en place un contrôle d'accès physique comprenant plusieurs oui
niveaux d'habilitation selon la sensibilité des zones accédées ? »
Les configurations et les postes informatiques et réseaux oui
Sensibles sont-ils secourus en cas de rupture de l'alimentation électrique normale ?

Les chemins de câbles, armoires de brassage et baies, sont-ils protégés contre les accidents non
physiques, les erreurs et les malveillances internes et externes ?

Les solutions :
 Il faut mettre des consignes claires à propos du fait manger, boire ou fumer dans Les
locaux informatiques.
 Contrôler de manière globale le mouvement des visiteurs et des prestataires
Occasionnels (signature de la personne visitée, etc.).
 Définir des procédures spécifiques de contrôle pour chaque type de prestataire Extérieur
au service amené à intervenir dans les bureaux (sociétés de maintenance, personnel de
nettoyage, etc.) : port d'un badge spécifique, présence D’un accompagnateur, autorisation
préalable indiquant le nom de l’intervenant, …
 Faire une analyse systématique et exhaustive de toutes les voies possibles d'arrivée D’eau
et de tous les risques d'incendie et les risques environnementaux envisageables et prendre
des mesures en conséquence.
 Mettre en place des détecteurs d'humidité et des détecteurs d'eau à proximité de salle
machine qui doivent être reliés à un poste permanent de surveillance.
 Définir des procédures de gestion de crise en cas de long arrêt du système et de permettre
la reprise du fonctionnement au moins partiellement (favoriser quelques machines sur
d’autres).
Ch. 6 : Gestion de l’exploitation et des télécommunications

L'établissement a-t-il défini et publié une politique d'autorisation précisant : oui

Les exigences de sécurité de l'établissement
Les droits d'accès par catégorie de personnel
les règles de contrôle d'accès logique à appliquer ?
Existe-t-il des identifiants et mots de passe communs à plusieurs personnes d'un Non
service ou d'une équipe ?
Chaque utilisateur possède-t-il un identifiant unique et un authentifiant unique oui
(mot de passe) pour l'accès au système d’information
L'établissement tient-il à jour un annuaire des utilisateurs de ses systèmes non
d'information permettant la vérification des droits accordés à chacun, ainsi que
l'ensemble des droits accordés?
Les autorisations accordées aux utilisateurs font-elles l'objet d'un audit interne non
Les règles à respecter en matière de contrôle d'accès sont-elles contractualisées oui
?
L'authentification de l'utilisateur est-elle obligatoire pour toute connexion à un oui
terminal ou à un PC de l'établissement ?
Les sessions inactives pendant un certain temps sont-elles fermées, ou un écran oui
de veille verrouille-t-il le poste avec un mot de passe ?
Le réseau informatique de l'établissement est-il protégé vis-à- vis de l'extérieur non
(création d'une DMZ)
Une charte d'utilisation des réseaux est-elle diffusée aux utilisateurs (document oui
indépendant ou partie d'un document plus complet) ? »