Projet ISO 27001

Établissement d’un Guide de bonnes pratiques

(10 étapes) pour auditer un Système
d’information

Réalisé par

Malék FERCHICHI
Nour SALEM

Groupe
CII-3-SSIR-A

Année académique

2023-2024
 Table des matières

Introduction générale ............................................................................................4

I. Introduction .................................................................................................5

1. Objectifs .....................................................................................................5

2. Audit de sécurité de système d’information en Tunisie.............................6

II. Audit ISO 27001 ..........................................................................................7

1. Présentation ................................................................................................7

2. Types ..........................................................................................................7

III. Guide de bonnes pratiques (10 étapes) pour auditer ............................8

Conclusion ..........................................................................................................14

2
 Table des illustrations

Figure 1: Audit interne ..........................................................................................7

Figure 2: Collection et analyse de données ..........................................................9
Figure 3: FRAP ...................................................................................................11
Figure 4: Feuille de Révélation et d’Analyse de Problème (F.R.A.P) ...............12
Figure 5: Famille iso 270XX ..............................................................................14
Tableau 1: Tableau pour l’évaluation des risques 9

3
 Introduction générale

Dans le contexte actuel où les entreprises sont de plus en plus dépendantes

des technologies de l'information, la sécurité des systèmes d'information est
devenue une préoccupation majeure. Un Système d'Information (SI) efficace est non
seulement essentiel pour soutenir les opérations commerciales, mais il est également
vital pour protéger les données sensibles et assurer la continuité des activités. Dans
ce contexte, l'adoption de normes telles que l'ISO 27001 s'est révélée cruciale pour
garantir une gestion appropriée de la sécurité de l'information.

Cependant, la simple adhésion à une norme ne suffit pas pour garantir la

robustesse d'un Système d'Information. Un processus d'audit régulier et rigoureux
est essentiel pour évaluer la conformité aux normes, identifier les vulnérabilités
potentielles et garantir une amélioration continue de la sécurité de l'information.
C'est dans ce contexte que le présent rapport vise à établir un Guide de bonnes
pratiques en 10 étapes pour auditer un Système d'Information.

Ce guide se propose de fournir un cadre méthodologique complet, basé sur

les principes de l'ISO 27001, pour la réalisation d'audits de sécurité de l'information.
Chacune des dix étapes abordera des aspects spécifiques du processus d'audit, visant
à assurer une évaluation approfondie du SI tout en facilitant la mise en place
d'actions correctives pertinentes.

4
 I. Introduction

L’organisation internationale de normalisation (ISO) a réservé la série ISO/IEC 27000

pour une plage de normes dédiée au pilotage de la sécurité de l’information, tout en
s’accordant avec les normes de gestion de la qualité et de gestion des questions relatives à
l’environnement qui sont, respectivement, les normes ISO 9000 et ISO 14 000.

1. Objectifs
Une mission d’audit vise différents objectifs. Nous pouvons énumérer à ce titre :

Évaluation de la Conformité
Vérifier que le système d'information est en conformité avec les normes de sécurité, les
réglementations et les politiques internes.

Identification des Vulnérabilités

Identifier les vulnérabilités potentielles du système d'information qui pourraient être

exploitées par des menaces internes ou externes.

Évaluation des Risques

Évaluer les risques liés à la sécurité de l'information et recommander des mesures

appropriées pour les atténuer.

Amélioration Continue

Fournir des recommandations en vue d'une amélioration continue de la sécurité du

système d'information.

Également, une mission d’audit de sécurité d’un système d’information se présente comme
un moyen d'évaluation de la conformité par rapport à une politique de sécurité ou à défaut par
rapport à un ensemble de règles de sécurité.

5
 2. Audit de sécurité de système d’information en Tunisie

Dans le contexte spécifique de la Tunisie, l'importance de l'audit de sécurité des systèmes

d'information ne peut être surestimée.

Avec l'évolution rapide de la technologie et la numérisation croissante des processus, les

entreprises et les organisations tunisiennes sont confrontées à des défis uniques en matière de
cybersécurité :

Cadre Légal et Réglementaire

La Tunisie a mis en place un cadre légal et réglementaire visant à garantir la sécurité des
systèmes d'information. L'audit de sécurité s'inscrit dans cette dynamique en assurant la
conformité aux normes nationales et internationales.

Protection des Données

Avec la sensibilisation croissante à la protection des données, l'audit de sécurité des systèmes
d'information en Tunisie vise également à garantir la confidentialité, l'intégrité et la disponibilité
des informations sensibles.

Cybermenaces Spécifiques

Les spécificités géopolitiques et économiques de la Tunisie peuvent influencer le paysage des

menaces. L'audit de sécurité doit être adapté pour répondre aux risques particuliers rencontrés
dans ce contexte.

De ce point de vue, l’audit de sécurité se présente comme une nécessité, pour répondre à une
obligation règlementaire.

Cependant, l’audit de sécurité peut présenter un aspect préventif. C'est-à-dire qu’il est effectué de
façon périodique afin que l’organisme puisse prévenir les failles de sécurité.

6
 II. Audit ISO 27001
1. Présentation
Un audit interne ISO 27001 assure une évaluation détaillée du SMSI de votre organisation
pour s’assurer qu’il est conforme aux critères de la norme. Chaque exigence de la norme devra
être vérifiée, preuve à l’appui.

Contrairement à une évaluation de certification, l’audit interne peut être réalisé par vos
propres employés ou par une société externe. Il faudra veiller à l’indépendance du ou des
auditeurs.

L’audit interne ISO 27001 vous permettra d’identifier d’éventuelles non-conformités qui
nécessiteront votre attention et va vous aider à améliorer votre SMSI.

2. Types
Ils existent deux types d’audit ISO 27001 :

Audit interne

Les audits internes, sont les audits réalisés par l'organisation sur leur SMSI. Si l'organisation ne
dispose pas d'auditeurs compétents et objectifs, ces audits peuvent être réalisés par un sous-
traitant.

Figure 1: Audit interne

7
 Audit externe

Audits réalisés par un organisme de certification dans le but d'obtenir ou de maintenir la

certification, et dans d’autre cas par des partenaires ou des clients, qui souhaitent obtenir leur
propre assurance sur le SMSI de l'organisation. Ceci est particulièrement vrai lorsqu'une telle
partie à des exigences qui vont au-delà de celles de la norme.

III. Guide de bonnes pratiques (10 étapes) pour auditer

1. Définir la portée de l'audit

Il s'agit de l'identification précise des limites et des objectifs de l'audit, notamment les
processus, les domaines, et les emplacements spécifiques du système d'information qui feront
l'objet de l'évaluation.

2. Planifier l'audit

Ce plan inclut les objectifs spécifiques de l'audit, les ressources nécessaires, les
responsabilités des auditeurs, la période d'audit, ainsi que la méthodologie à suivre. La définition
claire de la portée garantit que l'audit se concentre sur les domaines critiques du système
d'information.

La planification inclut également l'identification des membres de l'équipe d'audit et la

communication avec les parties prenantes pour assurer leur soutien et compréhension. Une
planification rigoureuse crée les bases essentielles pour un audit efficace, aligné sur les objectifs
de sécurité de l'organisation.

3. Collecter et analyser des informations

Après la planification, La collecte d'informations, une phase clé de l'audit de sécurité de

l'information, vise à rassembler de manière exhaustive des données pertinentes sur le système
d'information. Cela inclut l'identification des sources d'information telles que documents officiels,
politiques et procédures.

8
 La phase englobe la collecte de documents pertinents, l'analyse des politiques en vigueur,
l'évaluation des enregistrements passés, et l'engagement d'entretiens pour obtenir des informations
qualitatives.

Ces informations servent de base pour évaluer la conformité aux normes de sécurité,
identifier des tendances ou des vulnérabilités, et guider les étapes suivantes de l'audit.

Figure 2: Collection et analyse de données

4. Évaluation des risques

L'évaluation des risques dans le cadre de l'audit de sécurité de l'information vise à

identifier, évaluer et classer les risques liés à la sécurité de l'information.

Cette étape assure une compréhension approfondie des menaces potentielles, des
vulnérabilités et des erreurs humaines qui pourraient compromettre la sécurité du système
d'information.

Les résultats de cette évaluation, classés par ordre de priorité, permettent d'élaborer
des plans d'action spécifiques visant à atténuer ces risques comme dans le tableau ci-
dessous.

Tableau 1: Tableau pour l’évaluation des risques

La communication transparente des conclusions aux parties prenantes, notamment la

direction et les responsables de la sécurité de l'information, garantit une prise de décision
éclairée pour renforcer la posture de sécurité globale de l'organisation.

9
 5. Réaliser l'audit

Effectuer des interviews, des examens documentaires, des observations et des tests pour évaluer
la conformité aux politiques et aux procédures de sécurité de l'information.

a) Planification de l'audit

Avant de commencer l'audit, il est essentiel de planifier soigneusement. Cela implique de définir
les objectifs de l'audit, d'identifier les domaines spécifiques à évaluer, de déterminer les ressources
nécessaires et d'établir un calendrier.

b) Entrevues

L'une des méthodes les plus importantes pour recueillir des informations est de mener des
entrevues avec les parties prenantes concernées.

Cela peut inclure des entretiens avec le personnel de l'organisation, les responsables de la sécurité
de l'information, les utilisateurs finaux et d'autres parties prenantes pertinentes. Les questions
posées pendant ces entretiens devraient se concentrer sur les processus, les politiques et les
pratiques de sécurité en place.

c) Examens documentaires

Les audits nécessitent l'examen approfondi de documents tels que les politiques de sécurité, les
procédures opérationnelles standard, les rapports d'incidents de sécurité passés, et d'autres
documents pertinents. Cela permet de vérifier si les politiques sont correctement définies, mises
en œuvre et suivies.

d) Observations

L'observation directe des opérations en cours peut fournir des informations cruciales. Les
auditeurs peuvent observer comment les employés interagissent avec les systèmes, comment les
politiques sont appliquées dans la pratique, et identifier tout écart par rapport aux procédures
établies.

10
e) Tests

Les tests techniques sont souvent nécessaires pour évaluer la sécurité des systèmes informatiques.
Cela peut inclure des tests de pénétration, des analyses de vulnérabilités, des évaluations de
configuration, etc. Ces tests visent à identifier les faiblesses potentielles dans les défenses de
sécurité.

6. Élaborer des constats

Documenter les constats de l'audit, en mettant en évidence les non-conformités et les points
forts du système d'information comme montre la figure ci-dessous.

Figure 3: FRAP
La FRAP permet d’analyser et de documenter un dysfonctionnement, en évitant,
autant que faire se peut, de confondre les différentes composantes du problème (les causes
des conséquences, par exemple).

Une FRAP en carte, ce sera 5 branches (et des sous-branches) pour :

L’énoncé du problème résumant le dysfonctionnement.

Les faits qui montrent qu’il y a dysfonctionnement (des constats objectifs) .
Les causes qui expliquent le problème.
Les conséquences qui en découlent.
Les recommandations pour solutionner les causes et le problème.

11
 Figure 4: Feuille de Révélation et d’Analyse de Problème (F.R.A.P)

7. Élaborer un rapport d'audit

Ce rapport détaillé résume les observations, les constats et les résultats obtenus tout au long de
l'audit.

Il comprend des recommandations pratiques pour remédier aux lacunes identifiées et des
observations pertinentes sur les processus de sécurité. Le résumé exécutif offre une vue
d'ensemble rapide pour les parties prenantes de haut niveau, tandis que la documentation détaillée
et les annexes fournissent une base solide pour une compréhension approfondie des résultats.

Ce rapport devient un outil crucial pour la prise de décision, la planification des actions
correctives et l'amélioration continue de la sécurité de l'information au sein de
l'organisation.

8. Présentation des résultats

Il s’agit de la communication claire et transparente des conclusions de l'audit aux parties

prenantes concernées, notamment la direction et d'autres parties intéressées.

12
 Cette communication comprend généralement les résultats des évaluations, les lacunes
identifiées, les points forts relevés et, le cas échéant, les recommandations pour améliorer la
sécurité du système d'information.

9. Suivi des actions correctives

Elle consiste à surveiller attentivement la mise en œuvre des actions correctives

recommandées pour remédier aux non-conformités identifiées au cours de l'audit initial.

L'objectif principal est de garantir que les mesures correctives sont effectivement
appliquées, contribuant ainsi à renforcer la sécurité du système d'information. Cette étape de
suivi assure une gestion proactive des vulnérabilités et favorise une amélioration continue de
la posture de sécurité de l'organisation.

Cette phase est réalisée soit par :

L’auditeur
Une structure indépendante
Une structure relevant de l’entité auditée

10. Réévaluation

Elle implique la vérification minutieuse de la mise en œuvre des actions correctives

recommandées dans le rapport initial d'audit. L'objectif est d'évaluer avec précision si le système
d'information est désormais conforme aux exigences strictes de la norme ISO 27001, qui définit
les normes pour les systèmes de gestion de la sécurité de l'information.

13
 Conclusion

Appelée à devenir une référence internationale reconnue, la famille des normes ISO 27000
donne aux responsables de la sécurité des systèmes d’information, l’opportunité de mettre en
œuvre un véritable système de management de la sécurité de l’information basé sur un guide
d’audit.

L'objectif ultime de ce guide est de doter les auditeurs, les responsables de la sécurité de
l'information et les parties prenantes d'un outil robuste et efficace pour évaluer, maintenir et
améliorer continuellement la sécurité des systèmes d'information au sein de notre organisation.

En suivant ces étapes, nous aspirons à renforcer la résilience de notre SI face aux menaces
émergentes et à garantir la protection des actifs informationnels essentiel.

Figure 5: Famille iso 270XX

14