Académique Documents
Professionnel Documents
Culture Documents
Introduction :
Dans un contexte où la sécurité de l'information revêt une importance cruciale, ce rapport d'audit se
propose d'évaluer la résilience de notre organisation face aux défis actuels en matière de protection des
informations. Notre objectif principal est de scrutiner en profondeur nos pratiques de sécurité, du
respect des normes sectorielles à la gestion des risques émergents, afin de garantir la confidentialité,
l'intégrité et la disponibilité de nos actifs informationnels. Ce processus d'audit, mené par une équipe
expérimentée, vise à identifier les points forts de notre programme de sécurité tout en mettant en
lumière les domaines où des améliorations sont nécessaires. Au cours de la période définie, nous
examinerons la totalité de nos opérations liées à la sécurité de l'information, en nous appuyant sur des
critères rigoureux et des références normatives. Nous sommes conscients des risques potentiels et des
limitations inhérentes à cet exercice, mais nous sommes convaincus que cette évaluation approfondie
contribuera à renforcer notre posture globale en matière de sécurité, inspirant ainsi confiance à nos
parties prenantes quant à la protection de leurs informations sensibles
L'audit informatique de NETSECURE a été entrepris afin d'évaluer l'efficacité, la sécurité et la conformité
des opérations informatiques au sein de l'entreprise. La mission vise à fournir une évaluation complète
des départements informatiques de la société, en mettant l'accent sur les points suivants :
L'audit se déroulera sur une période de [Durée], couvrant les cinq départements clés de la société, à
savoir :
Direction générale
Direction financière
Direction technique
Achats et logistique
Administration
Service informatique
Étendue de la Mission d'Audit
Analyse de Risque
Une analyse de risque préliminaire a été effectuée pour identifier les principaux domaines de
préoccupation. Les risques potentiels incluent, mais ne sont pas limités à :
L'analyse de risque guidera les efforts d'audit pour garantir une couverture approfondie des aspects les
plus critiques de la sécurité et de la performance informatique de l'entreprise.
Présentation de l’organisme :
Nom : NetSecure
Statut : Privée
Domaine : www.netsecure.org
À propos de NetSecure :
NetSecure est une entreprise dynamique spécialisée dans la sécurité informatique. Forts de notre
engagement envers l'excellence et l'innovation, nous offrons des solutions de pointe pour garantir la
protection des données sensibles et la sécurité des systèmes informatiques.
Notre Engagement :
Chez NetSecure, notre objectif principal est de fournir des solutions de sécurité informatique robustes et
personnalisées pour répondre aux besoins uniques de nos clients. Nous nous efforçons constamment
d'anticiper et de contrer les menaces émergentes dans le cyberespace, tout en assurant la confidentialité
et l'intégrité des données de nos partenaires.
Services Offerts :
Gestion des identités et des accès : Solutions avancées pour une gestion sécurisée des identités et des
accès.
Audit et conformité : Évaluation complète des systèmes pour assurer la conformité aux normes de
sécurité.
Notre Mission :
Nous nous engageons à être un partenaire de confiance pour nos clients en leur offrant des solutions de
sécurité informatique de qualité supérieure, une expertise technique de pointe et un service client
exceptionnel.
Plan d'Audit :
Le plan d'audit détaillé, comprenant les procédures spécifiques et les échéanciers, sera communiqué
dans le rapport final d'audit, une fois la phase d'audit initiale complétée. Ce rapport servira de guide
pour le processus d'audit et sera mis à jour au fur et à mesure de l'avancement de la mission.
Ce tableau ci-dessous récapitule les aspects clés de sécurité et de réseau pour chaque département, y
compris les détails spécifiques des équipements, des plages d'adresses IP et des types de câblage utilisés
Domaine / Objectifs de sécurité Critères Responsable de la Fréquence Nombre de Logiciels Pare-feu Détails
Plage d'adresses Type de câblage
Département réseau d'évaluation sécurité réseau d'audit péripherique utilisés utilisé supplémentaires
Chiffrement des
Protection des 1 PC Windows 10,
Direction données, accès SAP, Pare-feu 192.168.1.1 -
données financières Responsable IT/Sécurité Mensuel 2 Imprimante: HP Ethernet Cat6
financière aux systèmes QuickBooks pfsense 192.168.1.31
et comptables LaserJet et switch
financiers
Sécurité des Contrôles d'accès,
Direction AutoCAD, Pare-feu 6 PC Windows 10, 192.168.4.1 - Fibre optique
processus et flux de détection Responsable IT/Sécurité Trimestriel 8
technique MATLAB pfsense Serveur Mail et switch 192.168.4.20 Multimode 50/125
données techniques d'intrusions
Sécurisation des
Sécurité des communications,
Achats et Windows 10, Pare-feu 3 PC Windows 10 et 192.168.3.32 -
échanges avec les vérification des Responsable IT/Sécurité Mensuel 4 Ethernet Cat6
logistique ERP pfsense switch 192.168.3.75
fournisseurs connexions
externes
Accès restreint
Protection des
aux données Windows 11, Pare-feu 4 PC Windows 11 et 192.168.2.40 -
Administration données RH et Responsable IT/Sécurité Trimestriel 5 Ethernet Cat5e
sensibles, HRIS pfsense switch 192.168.2.63
opérationnelles
contrôles d'accès
Tests de
Infrastructure réseau vulnérabilité, Linux, Pare-feu 1 serveur DHCP, 4 PC 192.168.5.64 - Fibre optique
IT Responsable IT/Sécurité Mensuel 6
sécurisée gestion des VMware pfsense Windows 10 et switch 192.168.5.135 Monomode 9/125
correctifs
Architecture réseaux :
Planning de réalisation (durée 2 mois, diagramme de Gant, commence par réunion d’ouverture, puis
réunions avec les services. Visite locaux, Audit technique, rédaction du rapport, réunion de clôture et
présentation des résultats)
Méthode d’analyse de risque :
Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant de les
mesurer. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. Il
définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs.
Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent
être mises en œuvre. Pour cela, ils élaborent des scénarios de compromission et audite les services du SI.
Sur la base de cet audit, une évaluation de chaque risque (probabilité, impact) est réalisée permettant
par la suite d'exprimer les besoins de sécurité, et par la même les mesures de protections nécessaires.
Enfin, une planification de la mise à niveau de la sécurité du SI est faite.
Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur les
risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir.
O✘
Quelles sont les règles et principes de sécurité qui figurent dans la politique de sécurité : N✘
Charte de sécurité, procédures….
O
Est-ce que cette politique fait référence à des documents qui aident dans la compréhension et N✘
le respect de cette dernière ?
O
Est-ce que cette politique a un propriétaire qui est responsable de sa revue et maintenance
selon un processus prédéfini ?
Est-ce que le processus de revue est déclenché suite à des changements affectent le N✘
recensement du risque tel que :
O
Des incidents de sécurité grave
Nouvelle vulnérabilités
Changement dans l’organigramme
Inefficacité des mesures mises en place
Evolutions technologiques
L’organisation et la gestion de la sécurité sont-elles formalisées dans un document chapeau N✘
couvrant l’ensemble du domaine pour le projet ?
O
Une démarche de certification iso 27002 a-t-elle été prévue pour le projet ? N✘
Logiciels et licences : Systèmes d'exploitation, logiciels de sécurité, licences de logiciels tiers, etc.
Base de données dédiée : Utilisation d'un logiciel de gestion des biens pour enregistrer tous les actifs de
l'entreprise.
Informations détaillées : Enregistrement des détails comme le numéro de série, la date d'acquisition, les
spécifications techniques, et les détails de licence pour les logiciels.
Identification unique :
Étiquetage individuel : Chaque bien est étiqueté avec un numéro d'identification unique ou un code QR
pour un suivi précis.
Historique des changements : Consignation des mouvements ou des modifications de statut pour chaque
bien.
Plan de maintenance : Établissement d'un programme de maintenance préventive pour les équipements
critiques.
Analyse du cycle de vie : Évaluation régulière pour planifier les mises à niveau ou les remplacements des
équipements arrivant en fin de vie.
Audit régulier :
Cette méthode de gestion des biens permet à NetSecure de maintenir un inventaire précis de ses
ressources, d'optimiser l'utilisation de ses équipements, d'assurer leur maintenance appropriée et de
planifier les futurs investissements en fonction des besoins de sécurité et du cycle de vie des actifs.
Ch4 : Sécurité liée aux ressources humaines
Le contrat employeur employé tient il compte des responsabilités de l’employé vis-à-vis oui
de la sécurité de l’organisme ?
Le personnel est-il informé de ces responsabilités vis-à-vis de la sécurité des actifs : non
Avant l’embauche,
Pendant la période de son exercice,
Après remerciement ?
Y a t-il une politique de rotation du personnel occupant des taches clefs ? non
Existe-t-il des sessions d’information du personnel sur la sécurité des systèmes non
d’information de l’organisme ?
Est-ce que le personnel a signé un document de confidentialité des informations lors de non
l’embauche ?
Existe-t-il des procédures disciplinaires pour les employés sources de failles de oui
sécurité ?
Y va-t-il une procédure de revue de ce document, surtout en cas de départ ou une fin oui
de contrat ?
Est-ce que tout le personnel est informé vers qui et comment rendre compte des non
incidents de sécurité ?
Y va-t-il une procédure d’apprentissage des accidents et des failles de sécurité ? oui
A-t-on organisé régulièrement des tests pour vérifier le degré d’assimilation du non
personnel de la politique de sécurité ainsi que sa culture en informatique
Ch5 : Sécurité physique et environnementale
L'établissement a-t-il mis en place un contrôle d'accès physique comprenant plusieurs oui
niveaux d'habilitation selon la sensibilité des zones accédées ? »
Les configurations et les postes informatiques et réseaux oui
Sensibles sont-ils secourus en cas de rupture de l'alimentation électrique normale ?
Les chemins de câbles, armoires de brassage et baies, sont-ils protégés contre les accidents non
physiques, les erreurs et les malveillances internes et externes ?
Les solutions :
Il faut mettre des consignes claires à propos du fait manger, boire ou fumer dans Les
locaux informatiques.
Contrôler de manière globale le mouvement des visiteurs et des prestataires
Occasionnels (signature de la personne visitée, etc.).
Définir des procédures spécifiques de contrôle pour chaque type de prestataire Extérieur
au service amené à intervenir dans les bureaux (sociétés de maintenance, personnel de
nettoyage, etc.) : port d'un badge spécifique, présence D’un accompagnateur, autorisation
préalable indiquant le nom de l’intervenant, …
Faire une analyse systématique et exhaustive de toutes les voies possibles d'arrivée D’eau
et de tous les risques d'incendie et les risques environnementaux envisageables et prendre
des mesures en conséquence.
Mettre en place des détecteurs d'humidité et des détecteurs d'eau à proximité de salle
machine qui doivent être reliés à un poste permanent de surveillance.
Définir des procédures de gestion de crise en cas de long arrêt du système et de permettre
la reprise du fonctionnement au moins partiellement (favoriser quelques machines sur
d’autres).
Ch. 6 : Gestion de l’exploitation et des télécommunications