Audit sécurité

Plan d'Audit
Objectif de l'Audit :

L'objectif de cet audit est d'évaluer la conformité de FutureTech Innovations à la norme ISO/CEI
27001, en mettant l'accent sur la sécurité de l'information et la gestion des risques.

Étendue de l'Audit :

L'audit couvrira l'ensemble des opérations informatiques de FutureTech Innovations, y compris le

siège social, les centres de données, le studio de production, la boutique de vente au détail, ainsi que
les relations avec les parties prenantes.

Critères d'audit :

La norme ISO/CEI 27001 sera utilisée comme critère principal pour l'audit.

Équipe d'audit :

L'équipe d'audit sera composée de HMIDI Karim, CANTAT Erwan, MOUGAMADOUSSOULTANE Said et
SUTRAT Cedric

Rapport d'audit :

Un rapport d'audit sera préparé à la fin de l'audit, résumant les constatations de l'audit, y compris les
domaines de non-conformité et les recommandations pour l'amélioration. Le rapport sera présenté à
la direction de TechFirm Inc. pour examen et action.

Phases de l'Audit :

1. Préparation :

• Révision des documents existants liés à la sécurité de l'information.

• Identification des parties prenantes clés.

• Planification des ressources nécessaires.

2. Exécution :

• Entrevues avec le personnel clé.

• Inspections physiques des sites.

• Évaluation des politiques et procédures.

3. Analyse des Résultats :

• Identification des vulnérabilités et des non-conformités.

• Évaluation des risques associés.

• Préparation de recommandations.
4. Rapport Final :

• Rédaction du rapport d'audit.

• Présentation des conclusions et recommandations à la direction.

• Élaboration d'un plan d'action pour la correction des non-conformités.

Questionnaire d'Audit - Sécurité de
l'Information chez FutureTech Innovations

1. Politiques de Sécurité de l'Information :

a. L'entreprise a-t-elle des politiques de sécurité de l'information documentées ?

b. Comment ces politiques sont-elles régulièrement révisées et mises à jour ?

c. Comment l'information sur ces politiques est-elle communiquée à tous les employés ?

2. Gestion des Accès :

a. Comment les droits d'accès aux systèmes d'information sont-ils gérés ?

b. Existe-t-il des procédures pour révoquer l'accès lors de départs d'employés ou de changements
de rôle ?

c. Comment les mots de passe sont-ils gérés et protégés ?

3. Gestion des Incidents de Sécurité :

a. Existe-t-il une procédure documentée pour répondre aux incidents de sécurité de l'information ?

b. Comment ces incidents sont-ils documentés, analysés, et quelles mesures sont prises en réponse
?

c. Quelles actions sont entreprises pour prévenir des incidents similaires à l'avenir ?

4. Formation à la Sécurité de l'Information :

a. L'entreprise offre-t-elle une formation à la sécurité de l'information à tous les employés ?

b. Comment l'efficacité de cette formation est-elle évaluée ?

c. Comment les employés sont-ils tenus informés des menaces et des risques de sécurité actuels ?

5. Gestion des Fournisseurs :

a. Comment l'entreprise gère-t-elle la sécurité de l'information dans ses relations avec les
fournisseurs ?

b. Les fournisseurs sont-ils tenus de respecter des normes ou exigences de sécurité de l'information
?

c. Comment la conformité des fournisseurs à ces exigences est-elle évaluée et surveillée ?

6. Contrôles d'Accès Physique :

a. Comment les contrôles d'accès physique sont-ils assurés au siège social et dans les centres de
données ?

b. Quelles mesures sont en place pour protéger physiquement les équipements critiques ?

c. Comment est gérée la sécurité des accès physiques dans le studio de production et la boutique de
vente au détail ?

7. Mesures de Protection des Données Clients :

a. Comment les données clients sont-elles sécurisées dans la boutique de vente au détail ?

b. Quelles sont les procédures de protection des données dans le processus de vente ?

c. Comment est gérée la confidentialité des données clients dans l'ensemble de l'entreprise ?

8. Évaluation des Équipements de Sécurité :

a. Comment sont évalués et mis à jour les équipements de sécurité au siège social ?

b. Quels protocoles sont en place pour garantir la sécurité des serveurs au centre de données de
Lyon ?

c. Comment est assurée la sauvegarde à distance des données critiques à Lille ?

9. Contrôles d'Accès aux Studios de Production :

a. Comment les accès au studio de production à Bordeaux sont-ils contrôlés ?

b. Quelles mesures de sécurité sont mises en œuvre pour protéger les œuvres numériques ?

c. Comment est assurée la sécurité des outils de production de haute technologie ?

10. Gestion des Stocks et des Produits :

a. Comment sont gérés les stocks dans la boutique de vente au détail ?

b. Quels systèmes de point de vente sont en place pour assurer la sécurité des transactions ?

c. Comment les produits en stock sont-ils protégés contre les vols et les intrusions ?
11. Rôles, responsabilités et autorités au sein de l'organisation

a. Comment sont répartie les rôles et responsabilité au sein de l’organisation

b. existe-t-il un plan d’organisation

12. Planification

a. Quelle sont les politiques de PRA/PCA mise en place sur chaque site ? sont-elles testées? A
quelle occurrence

b. Comment son gérer et traiter les risque su l’information, un Ebios est-il utilise

13. Support

a. Quelle sont les politiques de sensibilisation et de communication?

b. quelle sont les dispositifs de formation et de monté en compétence

c. des Documentation sont elle présente et mise a jour

14. ÉVALUATION DES PERFORMANCES

a. Y a-t-il des mesures d’audit interne ainsi que des analyses du système ? A qu’elle fréquence
 Planning d’audit

Jour 1 Audit : Siege à Paris

Horaires Sujet Personnes Auditeurs

auditées
10h00 – Présentation PDG Erwan
11h00 • 5.1 Leadership et engagement CANTAT
• 5.2 Politique
• 5.3 Rôles, responsabilités et autorités au
sein de l'organisation
• 9.3 Revue de direction
• A5.4 Responsabilités de la direction
11h00 – Présentation RH DRH - RHs Erwan
12h00 • 6.1.2 Appréciation des risques de sécurité CANTAT
de l'information
• 7.1 Ressources
• 7.3 Sensibilisation
• 7.4 Communication
• A5.12 Classification des informations
14h00 – Présentation DEVs Equipe Devs Erwan
15h00 CANTAT
15h15 – Présentations R&D Equipe R&D Erwan
16h00 CANTAT
16h00 - Présentation Design Equipe Erwan
16h30 Design CANTAT

Jour 2 Audit : Siege à Paris

Horaires Sujet Personnes Auditeurs

auditées
9h30 – Vérification Sys & Rés général DSI / RSSI Erwan
12h30 • 5.2 Politique CANTAT
• 5.3 Rôles, responsabilités et autorités au sein
de l'organisation
• 6.1 Actions à mettre en œuvre face aux risques
et opportunités
• 6.2 Objectifs de sécurité de l'information et
plans pour les atteindre
• 7.1 Ressources
• 7.2 Compétences
• 7.3 Sensibilisation
• 7.4 Communication
• 7.5 Informations documentées
Jour 2 Audit : Centre de données de Lille

Horaires Sujet Personnes Auditeurs

auditées
15h30 – Présentation site Responsable Erwan
16h00 site CANTAT
16h00 – Gestion des données – Gestions PRA/PCA RPRA Erwan
17h30 CANTAT

Jour 1 Audit : Centre de données de Lyon

Horaires Sujet Personnes Auditeurs

auditées
10h00 – Présentation site Responsable Karim
10h30 site HMIDI
10h45 – Gestion des droits, accès et sécurité des données Equipe data Karim
13h00 HMIDI

Jour 1 Audit : Boutique de vente de Nice

Horaires Sujet Personnes Auditeurs

auditées
10h00 - Présentation site Responsable Said
10h15 magasin MOUGAMADOUS
SOULTANE
10h30 – Sécurité données client, sécurité payement Responsable Said
11h15 magasin MOUGAMADOUS
SOULTANE
11h15- Gestion des stocks Responsable Said
11h35 stock MOUGAMADOUS
SOULTANE
Jour 1 Audit : Studio de production de Bordeaux

Horaires Sujet Personnes Auditeurs

auditées
10h00 - 5.2 Politique Responsable Cédric
10h30 (5.3) Rôle et responsabilité site SUTRAT
10h45 - Sujet œuvre numérique Responsable Cédric
12h30 • 6.1.2 Appréciation des risques de sécurité de sécurité – SUTRAT
l'information Responsable
• A5.18 Droits d'accès œuvre
• 7.1 Ressources numérique
• 7.3 Sensibilisation
• 7.4 Communication
14h00 – Sujet équipe de production Responsable Cédric
16h00 • A5.15 Contrôle d'accès sécurité – SUTRAT
• A5.18 Droits d'accès Responsable
• 6.1 Actions à mettre en œuvre face aux production
risques et opportunités
• 7.5.2 Création et mise à jour
• 7.5.3 Contrôle des informations documentées
 Support de la Réunion d'Ouverture

Réunion d'Ouverture - Agenda :

1. Introduction :

• Présentation des participants.

• Objectifs et importance de l'audit.

2. Contexte de l'Audit :

• Vue d'ensemble de la norme ISO/CEI 27001.

• Rappel des responsabilités des parties prenantes.

3. Présentation du Plan d'Audit :

• Phases de l'audit et échéancier.

• Rôles et responsabilités de l'équipe d'audit.

4. Explication du Questionnaire d'Audit :

• Présentation des principaux domaines d'évaluation.

• Clarification des attentes concernant les réponses.

5. Coordination Logistique :

• Horaires des entrevues et des inspections physiques.

• Besoins en termes de documentation et d'accès aux sites.

6. Questions et Clarifications :

• Ouverture de la session aux questions des participants.

• Clarification des attentes et des objectifs individuels.

7. Conclusion :

• Rappel de l'importance de la coopération.

• Expression de la disponibilité de l'équipe d'audit pour toute question

supplémentaire.

La réunion d'ouverture vise à établir une compréhension claire des objectifs, des attentes et des
processus liés à l'audit, tout en favorisant une collaboration ouverte entre l'équipe d'audit et les
parties prenantes de FutureTech Innovations.
 Rapport d'Audit
Cet audit de sécurité de l'information visait à évaluer la conformité de FutureTech Innovations à la
norme ISO/CEI 27001, en mettant l'accent sur la sécurité de l'information et la gestion des risques.
L'audit a couvert le siège social, les centres de données, le studio de production, la boutique de vente
au détail et les relations avec les parties prenantes.

Principales Conclusions :

1. Direction et Gouvernance :

• Points Forts : Engagement fort de la direction envers la sécurité de l'information.

• Recommandations : Renforcer la formation continue pour maintenir une culture de

sécurité.

2. Parties Prenantes et Relations Clients :

• Points Forts : Relations bien gérées avec les actionnaires et les clients.

• Recommandations : Améliorer la personnalisation des protocoles de sécurité pour

répondre aux besoins spécifiques des clients.

3. Infrastructure Informatique :

• Points Forts : Sécurité physique bien mise en œuvre au siège social.

• Recommandations : Optimiser les politiques de sauvegarde et de reprise après

sinistre.

4. Systèmes et Sécurité :

• Points Forts : Applications de RA et de RV robustes.

• Recommandations : Intégrer des mécanismes d'authentification à plusieurs facteurs.

5. Gestion des Identités et des Accès :

• Points Forts : Gestion des accès répond aux normes.

• Recommandations : Renforcer l'application du principe de moindre privilège.

 Réunion de Clôture - Support :
Agenda :

1. Présentation des Constats :

• Récapitulation des principaux constats identifiés pendant l'audit.

• Explication des impacts potentiels sur la sécurité de l'information.

2. Discussion des Recommandations :

• Présentation des recommandations spécifiques pour atténuer les vulnérabilités

identifiées.

• Clarification sur la mise en œuvre et les avantages attendus.

3. Plan d'Action :

• Proposition d'un plan d'action pour corriger les non-conformités.

• Assignation de responsabilités et définition des échéances.

4. Questions et Réponses :

• Ouverture de la session aux questions des parties prenantes.

• Clarification des doutes et préoccupations.

5. Accords et Engagements :

• Confirmation des engagements de l'entreprise à mettre en œuvre les

recommandations.

• Établissement d'un suivi régulier pour assurer la conformité continue.

6. Conclusion et Remerciements :

• Résumé des discussions.

• Remerciements à toutes les parties prenantes pour leur coopération.

La réunion de clôture vise à fournir un résumé des constats, des recommandations, et à établir un
plan d'action concret pour corriger les non-conformités. La participation active des parties prenantes
est encouragée pour assurer une mise en œuvre réussie des mesures correctives.
 Analyse des Vulnérabilités et Menaces par
Site :
1. Siège social à Paris :

• Vulnérabilités :

• Absence de contrôles d'accès physique stricts dans la salle technique.

• Serveurs dédiés à la bureautique sans redondance.

• Menaces :

• Risque d'accès non autorisé à la salle technique.

• Risque de perte de données en cas de panne des serveurs sans redondance.

2. Centres de données à Lyon, Lille :

• Vulnérabilités :

• Manque de détails sur les protocoles de sécurité physique.

• Besoin d'une évaluation continue des politiques de sauvegarde et de reprise après

sinistre.

• Menaces :

• Risque de compromission physique des centres de données en l'absence de détails

sur la sécurité physique.

• Risque de temps d'arrêt prolongé en cas de défaillance des politiques de sauvegarde

et de reprise après sinistre.

3. Studio de Production à Bordeaux :

• Vulnérabilités :

• Manque de détails sur les contrôles d'accès aux équipements de production.

• Absence de protocoles détaillés de gestion des droits d'auteur numériques.

• Menaces :

• Risque de perte ou de vol d'équipements de production en l'absence de contrôles

d'accès adéquats.

• Risque de violation des droits d'auteur numériques sans protocoles de gestion

appropriés.

4. Boutique de Vente au Détail à Nice :

• Vulnérabilités :
 • Absence d'informations détaillées sur les mesures de sécurité des données des
clients.

• Besoin de détails sur les procédures de gestion des stocks.

• Menaces :

• Risque de violation de la confidentialité des données clients en l'absence de mesures

de sécurité détaillées.

• Risque de pertes financières dues à une mauvaise gestion des stocks.