Audit

Kanzari
Noureddine
2022
Qu’est-ce que l’ISO? 2

- L’ISO (Organisation internationale de normalisation).

- Débute en 1946.
- située à Genève.
- Organisation internationale regroupant 167 pays.
- Organisation internationale non gouvernementale, indépendante.
- l’Organisation réunit des experts qui mettent en commun leurs connaissances pour
élaborer des Normes internationales d’application volontaire, fondées sur le
consensus.
Qu’est-ce que l’ISO? 3

- ISO élabore uniquement des normes pour lesquelles il existe une demande du
marché.
- Tous les pays membres de l'ISO, quelle que soit la taille ou la force de leur
économie, sont sur un pied d'égalité en matière d’influence dans l'élaboration de
normes
ISO/CEI 27000 4

L’ISO/CEI 27000 est un document qui offre une vue d’ensemble des SMSI, ainsi que

des termes et définitions d’usage courant.

Cette norme ISO 27000 fournit :

- une vue d’ensemble de la famille de normes du SMSI (en fait de la famille ISO 2700x)

- une introduction aux systèmes de management de la sécurité de l’information (SMSI)

-une brève description du processus : Planifier-Déployer-Contrôler-Agir

-les principales définitions des termes utilisés dans la famille de normes du SMSI.
ISO/CEI 27000 5

- concepts de base et vocabulaires.

- définit le vocabulaire qui doit être respecté par toute approche liée à la sécurité de
l’information.
- offre une vue d'ensemble des systèmes de management de la sécurité de
l'information (SMSI)
- comprend également les termes et définitions d'usage courant dans la famille de
normes du SMSI
ISO/CEI 27001 6

- Définit les exigences d’un système de management de la sécurité de l'information

(SMSI) et fournit un ensemble de mesures de sécurité de référence dans son
Annexe A.
- La mise en œuvre de cette norme par tout type d’organisation facilite le management
de la sécurité d’actifs sensibles tels que les données.
- La mise en œuvre d'ISO 27001 constitue une réponse idéale aux exigences des
clients et aux exigences légales telles que le GDPR
ISO/CEI 27005 7

- Établissement du context
seuil d’évaluation (probabilité, impact)
seuil d’acceptation

- Appréciation des risques

risques analysés et évalués afin de donner des priorités et les ordonnancer par
rapport à leurs critères d'évaluation

- Traitement du risque
évitement, transfert , reduction, Conservation
ISO/CEI 27006 8

- Exigences pour les organismes qui auditent et certifient les SMSI

- spécifie les exigences et fournit des recommandations pour les organismes
procédant à l'audit et à la certification d'un système de management de la sécurité de
l'information (SMSI)
- Il est nécessaire que tout organisme qui procède à la certification de SMSI démontre
qu'il respecte les exigences stipulées dans la présente Norme internationale en
termes de compétences et de fiabilité
PDCA
 Implémentation des mesures 9

Responsabilisation du personnel

Conformité aux lois nationale et internationale

Processus de certification 12

- Audit à blanc:
° Un audit à blanc est un audit interne qui est réalisé quelques semaines
avant le premier audit de certification
° Il a pour objectif de préparer l’audit de certification
° il se réalise dans les mêmes conditions qu’un audit de certification généralement
avec un auditeur extérieur à l’organisme  : un consultant ou par l’organisme
certificateur lui-même
Processus de certification 13

- Audit initial:
° est un audit tierce partie par un organisme indépendante accrédité
* 1ere étape : Revue documentaire
* 2ème étape : Audit sur site qui permet d’évaluer la mise en
application effective de votre système de management
° Il s’agit du tout première audit qui permettra d’obtenir le certificat initial
° En général, l’audit à blanc précède l’audit initial (répétition de l’audit initial)
° A la fin de l’audit initial, l’auditeur propose la certification de l’entreprise au
comité de certification de l’organisme certificateur
° l’organisme certificateur délivre le certificat pour 3 ans
Processus de certification 14

- Audit de renouvellement:
° C’est l’audit qui intervient 3 ans après l’audit initial et ensuite tous les 3 ans
° Il permet de renouvellement le certificat de l’entreprise pour 3 ans
° l’audit de renouvellement se déroule comme un audit initial
Processus de certification 15

- Audit complémentaire:
° peut être demandé lorsque l’audit de l’organisme certificateur met en avant une
non-conformité majeure
° un audit supplémentaire de la part du certificateur pour vérifier la mise en
place du plan d’action qui permettra de lever la non-conformité
Processus de certification 16

- Pour obtenir la certification ISO 27001, vous devez :

° choisir le périmètre du SMSI et Définir une politique de sécurité SMSI
° réaliser une analyse de risques dans le contexte de l’entreprise
° sélectionner les mesures de protection et effectuer une déclaration
d’applicabilité
° etablir un plan de traitement des risques
° surveiller les mesures mises en place et leur efficacité (audits internes)
° planifier les actions correctrices identifiées
Processus de certification 17

Exigences du chapitre 5 – Leadership

(I) (la direction fait preuve de leadership et démontre son soutien au SMSI)
la direction doit :
•S’assurer qu’une politique et des objectifs sont établis en matière de sécurité de l’information
•S’assurer que les ressources nécessaires pour le SMSI sont disponibles
•Orienter et soutenir les personnes pour qu’elles contribuent à l’efficacité du SMSI
•Promouvoir l’amélioration continue
•Aider les managers à faire preuve de leadership
•Communiquer sur l’importance de disposer d’un SMSI efficace
Processus de certification 18

Exigences du chapitre 5 – Leadership

(I) (La direction doit définir une politique en matière de sécurité de l’information)
Ces responsabilités couvrent :
° le management du SMSI : Responsable du SMSI.
° La sécurité opérationnelle : Responsable de la sécurité du Système d’Information (RSSI).
° Les managers métier qui auront des responsabilités en sécurité liées à leur métier.

Généralement le RSSI est la personne désignée par la direction pour :

° S’assurer que le système de management de la sécurité de l’information est conforme aux exigences de
la Norme internationale.
° Reporter à la direction des performances du SMSI.
Processus de certification 19

Exigences du chapitre 6 – Planification

1.Déterminer les risques
2.Appréciation des risques de sécurité de l’information
° Pour chaque risque identifié il est nécessaire d’apprécier les conséquences et la probabilité
d’apparition, déterminer les niveaux de risque, Ces niveaux de risques sont comparés aux critères
d’acceptation)
3. Traitement des risques
° définir le plan de traitement des risques: il s’agit des mesures de sécurité à mettre en œuvre
° Ces mesures de sécurité doivent être comparées à l’annexe A de la norme
° produire la déclaration d’applicabilité
4. Objectifs de sécurité de l’information
° Pour définir les objectifs de sécurité il faut s’appuyer sur les objectifs de haut niveau définis en 5.2
° pour s’ assurer de l’efficacité des mesures de sécurité.
° pour vérifier l’efficacité du traitement des risques
Processus de certification 20

Exigences du chapitre 7 – Support

° la norme demande à ce que les ressources nécessaires soient bien allouées pour le traitement des risques
1. Compétence
° L’entreprise doit: Déterminer les compétences nécessaires pour les personnes qui ont un impact sur la sécurité.
Cela peut se faire via des fiches de postes (RSSI, Manager, Administrateurs, développeurs …)
° Vérifier que les collaborateurs sont compétents. Les dossiers collaborateurs avec les cv, formations suivies,
diplômes
2. Sensibilisation
° Les collaborateurs doivent être sensibilisés à la politique de sécurité de l’information
3. Communication
° plan de communication doit décrire :
Les sujets de la communication.
La planification.
Les cibles.
Les responsabilités.
Et les moyens.
4. Informations documentées
° La gestion documentaire porte tout d’abord sur les documents exigés par la norme
° documents prescriptifs : politique, procédures, processus, plans
° enregistrements : preuves de la réalisation d’une activité ou d’un résultat (indicateurs, contrats, Pv …)
Leadership et engagement de la direction 21

article 5.1 Leadership et engagement

-La direction doit faire preuve de leadership et affirmer son engagement en faveur du
système de management de la sécurité de l’information en:
° s’assurant qu’une politique et des objectifs sont établis
° s’assurant que les ressources nécessaires pour le système de management
de la sécurité de l’information sont disponibles
° communiquant sur l’importance de disposer d’un management de la sécurité
de l’information
° orientant et soutenant les personnes pour qu’elles contribuent à l’efficacité
du système de management de la sécurité de l’information
° promouvant l’amélioration continue
° aidant les autres managers concernés à faire également preuve de
leadership
Leadership et engagement de la direction 22

article 5.3 Rôles, responsabilités et autorités au sein de l’organisme

-La direction doit s’assurer que les responsabilités et autorités des rôles concernés par
la sécurité de l’information sont attribuées et communiquées au sein de l’organisation

-La direction doit désigner qui a la responsabilité et l’autorité de:

a. s’assurer que le système de management de la sécurité de l’information est conforme
aux exigences de la présente Norme internationale
b. rendre compte à la direction des performances du système de management de la
sécurité de l’information