A.

5 Politiques de sécurité de l’information

A.5.1 Orientations de la direction en matière de sécurité de l’information

Politiques de sécurité
A.5.1.1
de l’information

Revue des politiques de

A.5.1.2 sécurité de
l’information

A.6 Organisation de la sécurité de l’information

A.6.1 Organisation interne
Fonctions et responsabilités liées à la
A.6.1.1
sécurité de l’information

A.6.1.2 Séparation des tâches

Relations avec les

A.6.1.3
autorités

Relations avec des

A.6.1.4 groupes de travail
spécialisés

La sécurité de
l’information
A.6.1.5
dans la gestion
de projet
A.6.2 Appareils mobiles et télétravail

A.6.2 Télétravail

A.7 Sécurité des ressources humaines

A.7.1 Avant l’embauche

A.7.1.1 Sélection des candidats

Termes et conditions
A.7.1.2
d’embauche
A.7.2 Pendant la durée du contrat
Responsabilités de la
A.7.2.1
direction

A.7.2.3 Processus disciplinaire

modification du contrat
A.7.3 de travail

A.8 Gestion des actifs

Responsabilités
A.8.1 relatives aux actifs

A.8.1.1 Inventaire des actifs

A.8.1.2 Propriété des actifs

Utilisation correcte des

A.8.1.3
actifs

A.8.1.4 Restitution des actifs

Classification de
A.8.2 l’information

Classification des
A.8.2.1
informations

Marquage des
A.8.2.2
informations

A.8.2.3 Manipulation des actifs

Manipulation des
A.8.3 supports

Gestion des supports

A.8.3.1
amovibles

Mise au rebut des

A.8.3.2
supports

Transfert physique des

A.8.3.3
supports
 Transfert physique des
A.8.3.3
supports

A.9 Contrôleded’accès
matière contrôle
A.9.1 d’accès

Politique de contrôle
A.9.1.1
d’accès

Accès aux réseaux et

A.9.1.2
aux services réseau

Gestion de l’accès
A.9.2 utilisateur

Enregistrement et
A.9.2.1 désinscription des
utilisateurs

Distribution des accès

A.9.2.2
aux utilisateurs

Gestion des droits

A.9.2.3
d’accès à privilèges

Gestion des
informations
A.9.2.4 secrètes
d’authentification des
utilisateurs

Responsabilités des
A.9.3 utilisateurs
 Utilisation
d’informations
A.9.3.1
secrètes
d’authentification
système et à
A.9.4 l’information

A.9.4.1 Restriction d’accès à l’information

Sécuriser les
A.9.4.2 procédures
de connexion

Système de gestion des

A.9.4.3
mots de passe

Utilisation de
programmes
A.9.4.4
utilitaires à
privilèges
n matière de sécurité de l’information
Les politiques de sécurité de l'information ont-elles été approuvées par la direction?
Existe-t-il des processus en place pour garantir que les politiques de sécurité de l'information
sont accessibles et comprises par tous les utilisateurs du SI?
Comment la direction assure-t-elle que les politiques de sécurité de l'information sont
suivies par tous les membres de l'organisation et les tiers ayant accès aux informations?
Les politiques de sécurité de l'information sont-elles régulièrement passées en revue par un
comité de sécurité de haut niveau à intervalles planifiés?
Existe-t-il des procédures établies pour le réexamen des politiques de sécurité de
l'information en cas de changements importants pour garantir leur pertinence, leur
adéquation et leur efficacité?
l’information

Est-ce qu'un Responsable de la Sécurité de l'Information (RSI) est désigné, avec un pouvoir
décisionnel et un reporting direct à la direction?
Est-ce qu'un comité de sécurité est mis en place dans l'organisation?
Les tâches incompatibles sont-elles identifiées et les responsabilités sont-elles attribuées en
conséquence?
Les autorités avec lesquelles l'organisme peut collaborer en matière de sécurité de
l'information sont-elles identifiées?
Est-ce qu'une liste mise à jour de contacts de ces autorités est maintenue?
Des groupes d'intérêt, des forums spécialisés dans la sécurité et des associations
professionnelles ont-ils été identifiés par l'organisme?
Est-ce que des relations sont entretenues avec ces groupes, forums et associations?
Des accords de partage d'informations ont-ils été établis pour améliorer la coopération et la
coordination en matière de sécurité?
Est-ce qu'une analyse des risques liés à la sécurité de l'information est effectuée à un stade
précoce du projet pour identifier les contrôles de sécurité nécessaires?
Est-ce que l'expression des besoins de sécurité (confidentialité, intégrité, disponibilité) est
prise en considération dans la gestion des projets?

Est-ce qu'une politique définissant les conditions et les restrictions à l'utilisation du

télétravail est en place dans l'organisation?
Est-ce qu'une procédure organisant le télétravail est développée et mise en œuvre?
Est-ce que des mesures de sécurité adéquates sont en place pour la protection de
l'information sur les sites de télétravail?

Est-ce que des contrôles de vérification de fond pour tous les candidats à l'emploi ont été
réalisés conformément à la réglementation en vigueur?
Est-ce que la vérification comprend le certificat de moralité, la confirmation des
qualifications académiques et professionnelles prétendues, ainsi que des contrôles
indépendants d'identité?
Est-ce qu'un candidat pour un poste spécifique de sécurité de l'information possède les
compétences nécessaires pour ce poste et est-il digne de confiance, surtout si le poste est
critique pour
contrat de l'organisme?
travail?

Est-ce que cet engagement de confidentialité couvre la responsabilité de l'audité, des

employés et des sous-traitants concernant la sécurité de l'information?
Est-ce que la direction exige explicitement, par le biais d'une note interne signée par le
Directeur Général, que les employés et les sous-traitants appliquent les exigences de
sécurité conformément aux politiques et procédures établies par l'audité?
Est-ce qu'il existe un processus disciplinaire formel pour les utilisateurs du SI qui ont commis
une violation de la politique de sécurité?

Est-ce qu'il existe un processus en place qui garantit que tous les employés et les sous-
traitants restituent à l'audité tous les biens en leur possession à la fin de leur emploi, contrat
ou convention?
Est-ce que les droits d'accès de tous les employés et les sous-traitants, aux informations et
aux moyens de traitement de l'information, sont supprimés à la fin de leur emploi, contrat
ou convention, ou sont ajustés en cas de changement?

Est-ce qu'il existe des règles relatives à l'inventaire des actifs au niveau de la PSI, qui exigent
le maintien d'un inventaire des actifs?
Est-ce que des procédures d'inventaire des actifs sont développées et maintenues dans
l'organisation?

Est-ce que chaque actif identifié a un propriétaire?

Est-ce qu'une politique d'utilisation correcte de l'information, des actifs associés et des
moyens de son traitement est élaborée et mise en œuvre dans l'organisation?

Est-ce que les employés et les sous-traitants ont été sensibilisés aux exigences de sécurité
comprises dans cette politique et à leur responsabilité dans l'utilisation de ces actifs?
Est-ce que la restitution des actifs en possession des salariés et des utilisateurs tiers à la fin
de la période de l'emploi ou de l'accord est documentée?

Est-ce qu'il existe des règles relatives à la classification des actifs selon leurs exigences de
sécurité au niveau de la PSI?
Est-ce que des procédures de classification des actifs sont développées et maintenues dans
l'organisation?
Est-ce que des procédures de marquage de l'information conformément à la classification
établie sontdes
Est-ce que élaborées et mises
procédures pouren œuvre
une dans acceptable
utilisation l'organisation
de ?l'information et des actifs
associés à un moyen de traitement de l'information sont élaborées et mises en œuvre ?
Est-ce que les restrictions d'accès aux informations, conformément aux exigences de
protection pour chaque niveau de classification, sont mises en place ?

Est-ce que des procédures de gestion des supports amovibles sont élaborées et mises en
œuvre conformément à la classification établie ?
Est-ce que le contenu de tout support réutilisable devant être retiré est rendu irrécupérable
si ce contenu n'est plus indispensable ?
Est-ce que des techniques cryptographiques sont utilisées pour protéger les données sur les
supports amovibles lorsque le niveau de confidentialité ou d'intégrité de ces données est
élevé ?
Est-ce qu'une procédure de mise au rebut d'une manière sécurisée des supports, en tenant
compte de la classification adoptée (formatage bas niveau, destruction, etc.), est élaborée et
mise en œuvre ?
Est-ce que cette mise au rebut est journalisée ?
Est-ce qu'une liste des transporteurs autorisés est convenue avec la direction ?
Est-ce qu'une procédure pour vérifier l'identification des transporteurs est élaborée et mise
en œuvre ?

Est-ce que l'emballage utilisé assure la protection adéquate du support contre tout
dommage physique pendant le transport, pouvant réduire l'efficacité de sa restauration en
raison de facteurs environnementaux tels que la chaleur, l'humidité ou les rayons
électromagnétiques ?

Est-ce que les données de l'audité, leurs propriétaires, les systèmes ou personnes qui ont
besoin des accès à ces données, ainsi que leurs rôles selon le principe du "besoin de savoir",
sont identifiés ?
Est-ce que les risques d'accès non autorisé aux données sont identifiés ?
Est-ce qu'une politique de contrôle d'accès, dans le cadre de la politique de sécurité de
l'information de l'audité, est élaborée et mise en œuvre en prenant en compte les points
précédents ?
Est-ce qu'une procédure de contrôle d'accès au réseau de l’audité est élaborée et mise en
œuvre en application de la politique de contrôle d'accès ?
Est-ce que les entités qui peuvent avoir accès aux réseaux de l’audité sont identifiées ?
Est-ce que les accès nécessaires pour chaque entité selon le principe du "moindre privilège"
sont identifiés ?
Est-ce que les rôles et les responsabilités de chaque service interne dans l'attribution de ces
accès sont définis ?

Est-ce qu'un processus d'enregistrement et de désinscription des utilisateurs, définissant les

étapes à suivre pour ajouter un utilisateur et pour supprimer un utilisateur suite à la fin de
son travail, est défini et mis en œuvre ?
Est-ce que des identifiants utilisateur uniques sont utilisés pour tenir les utilisateurs
responsables de leurs actions ?
Est-ce qu'un processus de distribution des accès aux utilisateurs est mis en œuvre ?
Est-ce que l'autorisation du propriétaire du système ou du service d'information, pour
l'utilisation de ce système ou service d'information, est obtenue et est-ce qu'une
approbation distincte des droits d'accès de la part de la direction est nécessaire ?
Est-ce que le niveau d'accès accordé est conforme à la politique de contrôle d'accès et est
compatible avec d'autres exigences telles que la séparation des tâches ?
Est-ce qu'un processus d'attribution des droits d'accès à privilèges est mis en œuvre
conformément à la politique de contrôle d'accès ?
Est-ce que les droits d'accès à privilèges associés à chaque système ou processus (système
d'exploitation, SGBD, etc.) et chaque application, ainsi que les utilisateurs à qui ils doivent
être alloués, ont été identifiés ?
Est-ce qu'un processus de gestion formel est mis en œuvre pour l’attribution des
informations secrètes d’authentification ?
Est-ce que les utilisateurs sont tenus de signer un engagement pour garder confidentielles
les informations secrètes d'authentification, et est-ce que cet engagement signé est inclus
dans les conditions d'emploi ?
Est-ce que les informations secrètes d'authentification temporaire sont fournies aux
utilisateurs de manière sécurisée, et est-ce que l'utilisation de parties externes ou de
messages électroniques non protégés (en texte clair) est évitée ?
Est-ce que tous les utilisateurs sont sensibilisés et invités à :
Garder confidentielles les informations secrètes d'authentification, en veillant à ce qu'elles
ne soient pas divulguées à d'autres parties, y compris à leurs supérieurs hiérarchiques ?

Les restrictions d'accès sont-elles basées sur des exigences individuelles de l'application
métier et conformes à la politique de contrôle d'accès définie ?
Des menus sont-ils fournis pour contrôler l'accès aux fonctions du système d'application ?
Les informations contenues dans les sorties sont-elles limitées ?
La procédure de connexion sécurisée pour l'accès aux systèmes et aux applications est-elle
élaborée et mise en œuvre ?
Le système affiche-t-il un message avertissant les utilisateurs que l'accès n'est permis qu'aux
utilisateurs autorisés ?
Le système est-il protégé contre les tentatives de connexion par "brute force" ?
Le système impose-t-il l'utilisation d'identifiants d'utilisateur et de mots de passe individuels
pour garantir l’imputabilité ?

Le système permet-il aux utilisateurs de sélectionner et de modifier leurs propres mots de

passe avec la possibilité de confirmation pour éviter les erreurs de saisie ?
Le système impose-t-il un choix de mots de passe de qualité (longueur, lettres, chiffres,
caractères spéciaux...) ?
Le système force-t-il les utilisateurs à changer leurs mots de passe lors de la première
connexion ?
Une procédure spécifique d’identification, d’authentification et d’autorisation pour les
programmes utilitaires à privilèges est-elle élaborée et mise en œuvre ?
Les programmes utilitaires à privilège sont-ils séparés des logiciels d’application ?
L'utilisation des programmes utilitaires à privilège est-elle limitée à un nombre minimal
acceptable d’utilisateurs de confiance bénéficiant d’une autorisation ?
Toutes les utilisations de programmes utilitaires à privilège sont-elles journalisées ?
Les niveaux d’autorisation relatifs aux programmes utilitaires à privilège sont-ils définis et
documentés ?
 A.10 Cryptographie
A.10.1 Mesures cryptographiques

Politique d’utilisation
A.10.1.1 des mesures
cryptographiques

A.10.1.2 Gestion des clés

Est-ce qu'une politique d'utilisation des mesures cryptographiques a été élaborée et
mise en œuvre ?

La direction a-t-elle adopté une approche concernant l'utilisation de mesures

cryptographiques pour la protection de l'information liée à l'activité de l'organisme ?
Est-ce que le niveau de protection requis a été identifié en fonction du type, de la
puissance et de la qualité de l'algorithme de chiffrement, sur la base d'une
évaluation des risques ?
Est-ce qu'une politique sur l’utilisation, la protection et la durée de vie des clés
cryptographiques a été élaborée et mise en œuvre ?
Le système de gestion des clés repose-t-il sur une série convenue de normes, de
 Questionnaire d'
A.11.1 Zones sécurisées

Périmètre de sécurité
A.11.1.1
physique

Contrôle d’accès
A.11.1.2
physique

Sécurisation des
A.11.1.3 bureaux, des salles et
des équipements

Travail dans les zones

A.11.1.5
sécurisées

Zones de livraison et
A.11.1.6
de chargement

A.11.2 Matériels

Emplacement et
A.11.2.1 protection
des matériels

A.11.2.2 Services généraux

A.11.2.2 Services généraux

A.11.2.3 Sécurité du câblage

Maintenance des
A.11.2.4
matériels

A.11.2.5 Sortie des actifs

Sécurité des matériels

A.11.2.6 et des actifs hors des
locaux

Mise au rebut ou
recyclage
A.11.2.7
sécurisé(e) des
matériels
 Questionnaire d'audit

Les périmètres de sécurité sont-ils définis et l'emplacement ainsi que le niveau de résistance de
chacun des périmètres sont-ils fonction des exigences relatives à la sécurité des actifs situés à
l’intérieur et des conclusions de l’appréciation du risque ?

Le périmètre d'un bâtiment ou d'un site abritant des moyens de traitement de l’information est-
il physiquement solide, sans aucune faille susceptible de faciliter une intrusion ?
Une procédure de contrôle d’accès physique est-elle élaborée et mise en œuvre ?
Les dates et heures d’arrivée et de départ des visiteurs sont-elles consignées, et tous les visiteurs
sont-ils encadrés, sauf s'ils ont déjà reçu une autorisation d'accès ?
L'accès des visiteurs est-il accordé uniquement à des fins précises ayant fait l’objet d’une
autorisation, et ont-ils reçu des instructions relatives aux exigences de sécurité de la zone ainsi
qu'aux procédures d’urgence associées ?
L'identité des visiteurs est-elle authentifiée à l’aide d’un moyen approprié ?
Les équipements-clés sont-ils hébergés dans un emplacement non accessible au public ?
Les locaux sont-ils discrets et donnent-ils le minimum d’indications sur leur finalité, sans signe
manifeste, extérieur ou intérieur, qui permette d’identifier la présence d’activités de traitement
de l’information ?
Des procédures ont-elles été élaborées et mises en œuvre pour le travail dans les zones
sécurisées ?
Le personnel est-il informé de l’existence des zones sécurisées et des activités qui s’y déroulent
sur la seule base du besoin d’en connaître ?
Le travail non supervisé ou non encadré en zone sécurisée est-il évité pour des raisons de
sécurité personnelle et pour prévenir toute possibilité d’acte malveillant ?
L'accès à la zone de livraison et de chargement depuis l'extérieur du bâtiment est-il limité au
personnel
déchargementidentifié et autorisé ? sans que le personnel ait accès aux autres parties du
des marchandises
bâtiment ?
Les portes extérieures de la zone de livraison et de chargement sont-elles sécurisées lorsque les
portes intérieures sont ouvertes ?
Les matières entrantes sont-elles contrôlées pour vérifier la présence éventuelle de substances
explosives, chimiques ou autres substances dangereuses avant de quitter la zone de livraison et
de chargement ?
Les matières entrantes sont-elles enregistrées conformément aux procédures de gestion des
actifs dès leur arrivée sur le site ?

Les livraisons sont-elles séparées physiquement des expéditions dans la mesure du possible ?
Les matières entrantes sont-elles examinées pour vérifier la présence d'éventuelles altérations
survenues lors de leur acheminement, et le personnel de sécurité est-il immédiatement informé
de toute découverte de ce type ?

Les moyens de traitement de l'information manipulant des données sensibles sont-ils

positionnés avec soin pour réduire le risque que cette information puisse être vue par des
personnes non autorisées ?
Les moyens de stockage sont-ils sécurisés contre tout accès non autorisé ?

Des mesures sont-elles adoptées pour réduire au minimum les risques de menaces physiques et
environnementales potentielles, telles que le vol, l'incendie, les explosions, etc. ?
Les services généraux, tels que l'électricité, les télécommunications, l'alimentation en eau, le gaz,
etc., sont-ils conformes aux spécifications du fabricant du matériel et aux exigences légales
locales ?
Les services généraux font-ils l'objet d'une évaluation régulière pour vérifier leur capacité à
répondre à la croissance de l'organisme et aux interactions avec les autres services généraux ?
Les lignes électriques et les lignes de télécommunication branchées aux moyens de traitement
de l'information sont-elles enterrées, ou sont-elles soumises à toute autre forme de protection
adéquate ?
Les câbles électriques sont-ils séparés des câbles de télécommunication pour éviter toute
interférence ?
Pour les systèmes sensibles ou critiques, quelles mesures supplémentaires sont prises, telles que
l'installation d'un conduit de câbles blindé et de chambres ou de boîtes verrouillées aux points
d'inspection et aux extrémités ?
Le matériel est-il entretenu selon les spécifications et la périodicité recommandées par le
fournisseur ?
Est-ce que seul le personnel de maintenance autorisé assure les réparations et l'entretien du
matériel ?
Un dossier est-il conservé pour toutes les pannes suspectées ou avérées, ainsi que pour toutes
les tâches de maintenance préventives ou correctives ?
Des règles concernant la sortie des actifs sont-elles établies et documentées, incluant des
autorisations préalables, des personnes autorisées, l'enregistrement de la sortie et du retour,
ainsi que l'effacement des données inutiles ?
Les salariés et les tiers qui ont l'autorité pour permettre le retrait des actifs du site sont-ils
clairement identifiés ?
Est-ce que l'utilisation de matériels de traitement et de stockage de l’information hors des
locaux de l’organisme est autorisée par la direction ?

Est-ce qu'une politique de sécurité relative au travail hors site a été élaborée et mise en œuvre ?
Est-ce que le matériel et les supports de données sortis des locaux ne sont pas laissés sans
surveillance dans des lieux publics ?
Est-ce que les instructions du fabricant, visant à protéger le matériel, par exemple celles sur la
protection contre les champs électromagnétiques forts, sont observées à tout instant ?
Des mesures pour les emplacements de travail hors site, comme le travail à domicile, le
télétravail et les sites temporaires, sont-elles déterminées en réalisant une appréciation du
risque ?

Lorsque du matériel circule hors des locaux de l’organisme entre différentes personnes ou entre
des tiers, est-ce qu'un journal détaillant la chaîne de traçabilité du matériel est tenu à jour,
mentionnant au minimum les noms des personnes responsables du matériel, ainsi que les
organismes dont elles relèvent ?
Est-ce qu'une procédure de mise au rebut ou de réutilisation du matériel est élaborée et mise en
œuvre ?
Lorsqu'il est nécessaire, est-ce qu'une appréciation du risque des appareils endommagés
contenant des supports de stockage est réalisée pour déterminer s'il convient de les détruire
physiquement plutôt que de les faire réparer ou de les mettre au rebut ?
Est-ce que les supports de stockage contenant de l’information confidentielle ou protégée par le
droit d’auteur sont détruits physiquement ?
Si les supports de stockage contenant des informations sensibles sont détruits, est-ce que des
techniques sont privilégiées pour rendre l’information d’origine irrécupérable plutôt que
d'utiliser la fonction standard de suppression ou de formatage ?
 A.12 Sécurité liée à l’exploitation
responsabilités liées à
A.12.1 l’exploitation

Procédures
A.12.1.1 d’exploitation
documentées

Gestion des
A.12.1.2
changements

A.12.1.3 Dimensionnement

Protection contre les

A.12.2 logiciels malveillants

Mesures contre les

A.12.2.1
logiciels malveillants

A.12.3 Sauvegarde

Sauvegarde des
A.12.3.1
informations

Journalisation et
A.12.4 surveillance
 Journalisation des
A.12.4.1
événements

Protection de
A.12.4.2 l’information
journalisée

Journaux
A.12.4.3 administrateur
et opérateur

Maîtrise des logiciels

A.12.5 en exploitation

Installation de logiciels
A.12.5.1 sur des systèmes en
exploitation

vulnérabilités
A.12.6 techniques

Gestion des
A.12.6.1 vulnérabilités
techniques

Restrictions liées à
A.12.6.2 l’installation de
logiciels

l’audit des systèmes

A.12.7 d’information

Mesures relatives à
l’audit des systèmes
d’information
Est-ce que les procédures opérationnelles d'exploitation (systèmes, applications, bases de
données, équipements et solutions réseau et sécurité, etc.) sont documentées ?
Est-ce que la documentation des procédures opérationnelles d'exploitation est maintenue
à jour ?
Est-ce que les modifications des procédures d'exploitation sont approuvées par les
responsables concernés ?

Est-ce qu'une procédure de gestion des changements est en place pour contrôler les
décisions de changements au sein du système d'information, y compris la mise en
production de nouveaux systèmes, équipements ou logiciels, ainsi que les évolutions des
systèmes
Est-ce queexistants ?
cette procédure inclut la gestion des demandes de changement et leur
validation ?
Est-ce que l'analyse des risques potentiels associés aux changements est effectuée dans le
cadre de cette procédure ?
Les indicateurs ou critères de performance des serveurs et des équipements réseau sont-
ils clairement définis dans l'organisation ?
Est-ce que les décisions de changement sont prises en se basant sur des analyses de la
capacité des nouveaux équipements et systèmes à répondre aux charges requises, en
tenant compte des évolutions des demandes prévisibles ?

Est-ce qu'une politique est en place pour lutter contre les risques d'attaque par des codes
malveillants, tels que les virus, les chevaux de Troie, les spywares, et les vers, comprenant
des mesures telles que l'interdiction d'utiliser des logiciels non autorisés et des procédures
de protection lors de la récupération de fichiers via des réseaux externes ?
Les actions à mener par le personnel informatique pour prévenir, détecter et corriger les
attaques par des codes malveillants sont-elles définies ?
Est-ce qu'il y a un abonnement à un centre d'alerte pour être prévenu et anticiper
certaines attaques
Les produits massives
antivirus sont-ilspour lesquelles les
régulièrement antivirus ne sont pas
et automatiquement misencore
à jour,ànotamment
jour ?
sur les serveurs de production ?
Les serveurs, en particulier ceux de production, sont-ils équipés de dispositifs de
protection contre les codes malveillants ?

Est-ce qu'une politique de sauvegarde est élaborée et mise en œuvre, définissant les
objets à sauvegarder, la fréquence des sauvegardes, la nature de sauvegarde, les
emplacements de sauvegarde, les mesures de protection, la procédure de restauration, les
synchronismes nécessaires entre différentes sauvegardes, les tests périodiques des
supports de sauvegarde, les tests périodiques de restauration, et la définition des rôles et
des responsabilités ?

Est-ce que cette politique de sauvegarde couvre les données applicatives, les programmes
(sources et/ou exécutables), les paramètres de configuration des applications et des
logiciels de base, le clonage OS des Serveurs métiers ou la mise en place d'une
infrastructure virtuelle avec acquisition des sauvegardes des machines virtuelles,
l'ensemble des configurations des équipements réseau et sécurité, les données
utilisateurs, et l'ensemble des paramètres de configuration des postes utilisateurs ?
Est-ce qu'une analyse spécifique des besoins en termes de journalisation est réalisée,
incluant les types de journaux à activer, les paramètres/éléments fondamentaux
concernant chaque type de journal à conserver, la localisation des fichiers journaux, la
durée de rétention des fichiers journaux, les mécanismes de protection, et les mécanismes
d'analyse et de corrélation ?
Les règles résultantes de cette analyse font-elles l'objet d'une politique formalisée ?
Est-ce qu'il y a utilisation de mécanismes de protection des fichiers journaux, tels que le
chiffrement, un système de détection de modification, et le contrôle d'accès ?
Les processus qui assurent la journalisation sont-ils sous contrôle strict, avec des droits
limités et une authentification forte pour la solution utilisée, afin de prévenir tout
changement illicite des paramètres définis ?

Est-ce qu'il y a une analyse des événements menés avec des droits d'administration sur les
systèmes, bases de données, équipements réseaux, solutions de sécurité, et le parc de
postes utilisateurs, pouvant avoir un impact sur la sécurité, tels que la configuration des
ressources critiques, l'accès à des informations sensibles, ou l'utilisation d'outils sensibles ?
Est-ce que ces événements, ainsi que tous les paramètres utiles à leur analyse ultérieure,
sont enregistrés (journalisés) ?

Est-ce qu'une procédure d'installation sur l'environnement de production de nouvelles

versions de systèmes/logiciels/applications est élaborée et mise en œuvre selon un
processus de validation et d'autorisation bien défini ?
Les nouvelles fonctionnalités ou changements de fonctionnalités liées à un nouveau
système ou à une nouvelle version sont-elles systématiquement décrites dans une
documentation obligatoire avant tout passage en production ?
Est-ce qu'une revue formelle des nouvelles fonctionnalités (ou des changements de
fonctionnalités) liées à un changement majeur de logiciel/système est systématiquement
réalisée ?

Existe-t-il une procédure de gestion des vulnérabilités techniques permettant d’identifier,

d’évaluer et de répondre aux vulnérabilités des systèmes, réseaux, bases de données et
applications ?
Des audits techniques réguliers sont-ils menés pour évaluer la sécurité des systèmes et des
réseaux ?
L'installation des correctifs de sécurité se fait-elle suite à une étude d'impact, des tests et
une approbation préalable ?
Les droits d'accès sont-ils distinctement définis pour chaque système, en fonction des
profils et des projets, afin de limiter l'accès aux ressources sensibles ?
Les types de logiciels dont l’installation est autorisée, tels que les mises à jour ou les
correctifs, sont-ils spécifiés et documentés ?

Les types d’installations interdites, comme l’installation de logiciels à des fins personnelles,
sont-ils clairement définis pour éviter les risques de sécurité et de non-conformité ?

Existe-t-il une procédure formelle pour l'audit des systèmes d'information, détaillant les
règles et les responsabilités pour les audits des systèmes opérationnels et des réseaux ?
Cette procédure spécifie-t-elle les objectifs des audits, les méthodes d'évaluation et les
critères de performance des systèmes d'information ?
 relations avec les
A.15.1 fournisseurs

Politique de sécurité
de l’information dans
A.15.1.1
les relations avec les
fournisseurs

La sécurité dans les

A.15.1.2 accords conclus avec
les fournisseurs
Gestion de la
A.15.2 prestation du service

Surveillance et revue
A.15.2.1 des services des
fournisseurs
Gestion des
changements
A.15.2.2 apportés dans
les services des
fournisseurs
Existe-t-il une politique identifiant et imposant des mesures de sécurité spécifiques
aux accès des fournisseurs aux actifs de l’organisme ?
Les types de fournisseurs auxquels l’organisme accorde un accès à son information
sont-ils identifiés et documentés ?
Les fournisseurs ayant accès ou favorisant l'accès à des informations sensibles
doivent-ils contractuellement exiger que leurs collaborateurs signent un engagement
personnel
Une analysededes
respect desliés
risques clauses de sécurité
aux accès spécifiées
du personnel ?
du fournisseur au système
d'information ou aux locaux contenant de l'information est-elle réalisée, et les
mesures de sécurité nécessaires sont-elles définies en conséquence ?
Les clauses de sécurité que tout accord signé avec un tiers impliquant un accès au
système d'information ou aux locaux contenant de l'information sont-elles définies et
documentées ?
l'information n'est-il autorisé qu'après la signature d'un accord formel reprenant ces
clauses de sécurité ?

Les niveaux de performance des services sont-ils surveillés, et leur conformité avec
les accords est-elle vérifiée ?
Les rapports de service produits par le fournisseur sont-ils régulièrement examinés,
et des réunions sur l'avancement sont-elles organisées conformément aux exigences
des accords ?
Les changements apportés aux accords passés avec les fournisseurs sont-ils gérés
efficacement ? ou des mises à jour des politiques et des procédures de
des changements
l'organisme, sont-ils gérés de manière adéquate ?
 A.16 Gestion des incidents
l’information et liés à la sécurité de l’information
A.16.1 améliorations

Responsabilités et
A.16.1.1
procédures

Signalement des
événements
A.16.1.2
liés à la sécurité
de l’information

Signalement des failles

A.16.1.3 liées à la sécurité de
l’information

Appréciation des
événements
A.16.1.4 liés à la sécurité
de l’information et
prise de décision

Réponse aux incidents

A.16.1.5 liés à la sécurité de
l’information

Tirer des
enseignements
A.16.1.6 des incidents
liés à la sécurité de
l’information
s à la sécurité de l’information

Les responsabilités pour garantir une gestion efficace des incidents sont-elles clairement
définies et documentées ?

Les procédures de surveillance, de détection, d’analyse et de signalement des événements et

des incidents liés à la sécurité de l’information sont-elles élaborées et mises en œuvre ?
Les salariés et contractants sont-ils informés de leur obligation de signaler les événements
liés à la sécurité de l’information dans les meilleurs délais ?

Les salariés et contractants sont-ils informés de l’existence d’une procédure de signalement

des événements liés à la sécurité de l’information et d’un responsable désigné pour cela ?
Les salariés et les contractants sont-ils encouragés à noter et à signaler toute faille de
sécurité observée ou soupçonnée dans les systèmes ou services de l'audité ?

Est-il recommandé aux salariés et contractants de ne pas tenter de démontrer l’existence des
failles de sécurité soupçonnées, mais plutôt de les signaler aux responsables appropriés ?
Les événements ou séquences d'événements révélateurs de comportements anormaux ou
d'actions illicites sont-ils régulièrement analysés ?
Les applications et les systèmes sensibles disposent-ils d'une fonction automatique de
surveillance en temps réel en cas d'accumulation d'événements anormaux, tels que des
tentatives infructueuses de connexion ou des transactions suspectes ?
Est-ce qu'un système de détection d'intrusion et d'anomalies est mis en place pour surveiller
les activités suspectes sur les systèmes et les réseaux ?
Est-ce qu'une équipe dédiée à la réponse aux incidents est en place ?

Cette équipe est-elle disponible en permanence pour répondre rapidement aux incidents ?
Est-ce qu'un système de gestion des incidents est mis en place pour soutenir les activités de
l'équipe de réponse aux incidents ?
Ce système permet-il de centraliser et de traiter à la fois les incidents détectés par
l'exploitation et ceux signalés par les utilisateurs ?
Est-ce que ce système offre la possibilité de suivre et de relancer automatiquement les
actions nécessaires pour résoudre les incidents ?

Est-ce que les incidents liés à la sécurité de l'information sont régulièrement examinés pour
évaluer le volume et la nature des incidents, ainsi que les coûts associés et les impacts ?
Les données obtenues à partir de l'analyse des incidents passés sont-elles utilisées pour
identifier les incidents récurrents ou à fort impact ?

Des mesures sont-elles prises pour réduire la fréquence des futurs incidents et minimiser les
dommages et les coûts associés à ces incidents récurrents ou à fort impact ?
 A.17 Aspects de
sécurité de la sécurité de l’information dans la gestion de la continuité de l’activité
A.17.1 l’information

Organisation de la
continuité de la
A.17.1.1
sécurité de
l’information

Mise en œuvre de la
continuité de la
A.17.1.2
sécurité
de l’information

Vérifier, revoir et
évaluer la continuité de
A.17.1.3
la sécurité de
l’information
A.17.2 Redondances

Disponibilité des
A.17.2.1 moyens de traitement
de l’information
nformation dans la gestion de la continuité de l’activité

Est-ce qu'une analyse de l'impact sur l'activité des aspects liés à la sécurité de l'information est
effectuée ?
Les exigences de sécurité de l'information applicables aux situations défavorables sont-elles
déterminées et documentées en fonction des résultats de l'analyse d'impact ?

Les objectifs de continuité de la sécurité de l'information sont-ils approuvés par la direction ?

La continuité de la sécurité de l'information est-elle intégrée au processus de gestion de la
continuité de l'activité ou au processus de gestion de la récupération après sinistre ?
Existe-t-il une structure de gestion adéquate pour se préparer, atténuer et réagir à un
événement perturbant en mobilisant du personnel possédant l’autorité, l’expérience et les
compétences nécessaires ?
Les membres du personnel chargés de la réponse aux incidents, et qui possèdent les
responsabilités, l’autorité et les compétences nécessaires pour gérer les incidents et maintenir la
sécurité de l’information,
Des processus, sont-ils
des procédures et nommés ? permettant de fournir le niveau requis de
des mesures
continuité de la sécurité de l’information au cours d’une crise sont-ils élaborés et mis en œuvre ?

Les fonctionnalités des processus, des procédures et des mesures de continuité de la sécurité de
l’information sont-elles testées à intervalles réguliers pour s’assurer qu’elles sont cohérentes
avec les objectifs de continuité de la sécurité de l’information ?

Une solution de secours (systèmes redondants) est-elle mise en place pour pallier
l'indisponibilité de tout équipement ou de toute liaison critique ?
Cette solution de secours est-elle parfaitement opérationnelle ?
La capacité de cette solution de secours assure-t-elle une charge opérationnelle suffisante et est-
elle approuvée par les utilisateurs ?
 A.18 Conformitélégales et
obligations
A.18.1 réglementaires
Identification de la
législation et des
A.18.1.1 exigences
contractuelles
applicables

Droits de propriété
A.18.1.2
intellectuelle

Protection des
A.18.1.3
enregistrements

Protection de la vie
privée et protection
A.18.1.4
des données à
caractère personnel

Réglementation
A.18.1.5 relative aux mesures
cryptographiques

Revue de la sécurité de
A.18.2 l’information

Revue indépendante
A.18.2.1 de la sécurité de
l’information

Conformité avec
A.18.2.2 les politiques et les
normes de sécurité

Vérification de la
A.18.2.3
conformité technique
Toutes les exigences réglementaires, contractuelles et légales applicables à l'audité sont-
elles explicitement identifiées, documentées et tenues à jour ?

Les mesures spécifiques et les responsabilités individuelles mises en place sont-elles définies
et documentées pour répondre à ces exigences ?
Une procédure est-elle élaborée et mise en œuvre pour garantir la conformité avec les
exigences légales, réglementaires et contractuelles relatives à la propriété intellectuelle et à
l’usage des licences de logiciels propriétaires ?
Des contrôles fréquents sont-ils effectués pour vérifier que les logiciels installés sont
conformes aux logiciels déclarés ou qu'ils possèdent une licence en règle ?

Une sensibilisation en matière de protection des droits de propriété intellectuelle est-elle

réalisée, et le personnel est-il informé de l’intention de prendre des mesures disciplinaires
en cas d'infraction à la réglementation relative à la propriété intellectuelle ?
Des contrôles sont-ils mis en œuvre pour s’assurer que le nombre maximal d’utilisateurs
autorisé par la licence
Une procédure n’est
formelle pas dépassé
de stockage ? manipulation des enregistrements est-elle
et de
élaborée et mise en œuvre ?
Des mesures de protection des enregistrements sont-elles mises en place conformément à
leur classification définie par le plan de classification de l’audité ?
Le système de stockage et de manipulation des enregistrements garantit-il l’identification
des enregistrements et leur durée de conservation conformément à la législation nationale
ou aux réglementations en vigueur ?
L'audité a-t-elle obtenu les déclarations/autorisations nécessaires auprès de l'INPDP
(Instance Nationale de Protection des Données Personnelles) ?
Une politique de protection de la vie privée et des données à caractère personnel a-t-elle
été élaborée et mise en œuvre ?
Cette politique a-t-elle été approuvée par la direction et communiquée à toutes les
personnes impliquées dans le traitement des données à caractère personnel ?
Une politique d'utilisation de moyens cryptographiques a-t-elle été élaborée et mise en
œuvre ?
Cette politique a-t-elle été approuvée par la direction ?
Un recueil regroupant l'ensemble des dispositions légales ou réglementaires relatives à
l'utilisation de moyens cryptologiques a-t-il été élaboré ?
Un programme de sensibilisation et de formation en matière d'utilisation de moyens
cryptographiques a-t-il été élaboré et mis en œuvre ?

Une procédure de mise à jour des notes d'organisation relatives à la sécurité des systèmes
d'information en fonction des évolutions de structures ou à intervalles planifiés a-t-elle été
élaborée et mise en œuvre ?
Des audits indépendants sont-ils réalisés pour veiller à la pérennité de l’applicabilité, de
l’adéquation et de l’efficacité de l’approche de l’organisme en matière de management de la
sécurité de l’information ?

Les responsables déterminent-ils la manière de vérifier que les exigences de sécurité de

l’information définies dans les politiques, les normes et autres réglementations applicables
sont respectées ?
Une procédure de vérification du respect des politiques et des normes de sécurité de
l'information est-elle mise en place ?
Des tests périodiques de pénétration du réseau et des audits techniques spécialisés
approfondis sont-ils réalisés ?
L'intégrité des configurations par rapport aux configurations théoriquement attendues est-
elle testée régulièrement ?
Des audits réguliers des paramètres de sécurité spécifiés sont-ils réalisés ?