Sécurité

Informatique -
ISO 27001
Chapitre 1. Introduction aux normes ISO
27001 et principes de sécurité informatique
Objectifs

+ Comprendre en profondeur la norme ISO 27001 et son

importance dans la sécurité informatique.
+ Acquérir des connaissances approfondies sur les principes
fondamentaux de la sécurité informatique.
+ Appréhender l'intégration pratique de la norme ISO 27001
dans les processus de sécurité d'une entreprise.
2
Sommaire

+ Introduction à la sécurité informatique

+ Norme ISO 27001 – Structure et exigence
+ Principes fondamentaux de la gestion de la Sécurité de
l’information
+ Processus de certification ISO 27001
+ Intégration pratique de la Norme

3
Part 1 : Introduction à la sécurité
informatique
+ Définitions et concepts clés de la sécurité
informatique.
+ Types de menaces informatiques : malware, attaques
de phishing, ingénierie sociale, etc.
+ Rôle crucial de la sécurité de l'information dans les
environnements professionnels.
4
Définitions et concepts clés de la sécurité informatique.

+ Sécurité de
l'information
+ Confidentialité
+ Intégrité
+ Disponibilité
+ Authentification
+ Autorisation

5
Types de menaces informatiques
+ 1. Malwares (Logiciels malveillants) : Les malwares comprennent des virus, des vers, des chevaux de Troie et d'autres logiciels conçus pour endommager,
perturber ou voler des informations. Ils peuvent être propagés via des fichiers téléchargés, des e-mails, des sites Web infectés et d'autres vecteurs.
+ 2. Attaques de phishing : Les attaques de phishing impliquent la création de faux sites Web ou de courriels qui semblent provenir de sources légitimes pour inciter
les utilisateurs à divulguer des informations personnelles telles que des mots de passe ou des informations de carte de crédit.
+ 3. Ingénierie sociale : L'ingénierie sociale consiste à manipuler les personnes pour qu'elles révèlent des informations confidentielles. Cela peut inclure l'utilisation
de ruses psychologiques pour tromper les individus et obtenir des informations sensibles.
+ 4. Attaques DDoS (Distributed Denial of Service) : Les attaques DDoS inondent un système ou un site Web ciblé avec un trafic réseau excessif, entraînant une
surcharge et rendant le service indisponible pour les utilisateurs légitimes.

6
Types de menaces informatiques
+ 5. Attaques de force brute : Les attaques de force brute consistent à essayer toutes les combinaisons possibles de mots de passe ou de clés de chiffrement jusqu'à ce
que la bonne soit trouvée. Cela peut être utilisé pour accéder à des comptes en ligne, des fichiers cryptés, etc.
+ 6. Exploits de vulnérabilités : Les exploits exploitent les faiblesses dans les logiciels ou les systèmes d'exploitation pour accéder à des systèmes. Les vulnérabilités
non patchées sont souvent exploitées, d'où l'importance des mises à jour régulières.
+ 7. Sniffing de réseau : Le sniffing de réseau consiste à intercepter et à analyser le trafic réseau, permettant aux attaquants de capturer des données sensibles telles
que les identifiants de connexion, les informations de carte de crédit ou d'autres données confidentielles.
+ 8. Malvertising : Le malvertising implique l'injection de logiciels malveillants dans des publicités en ligne. Les utilisateurs peuvent être infectés simplement en
visitant un site Web contenant des publicités malveillantes.
+ 9. Ransomware : Le ransomware est un type de malware qui chiffre les fichiers sur un système, puis demande une rançon en échange de la clé de déchiffrement.
Les victimes doivent payer pour récupérer l'accès à leurs propres données.
+ 10. Attaques Zero-Day : Les attaques Zero-Day exploitent les vulnérabilités non encore découvertes ou non corrigées dans les logiciels, ce qui signifie que les
développeurs n'ont pas encore eu le temps de créer un correctif.

7
Data Security

8
Rôle crucial de la sécurité de l’information dans les
environnements professionnels.

+ La sécurité informatique joue un rôle essentiel en assurant la

protection, l'intégrité, la disponibilité et l'authenticité des données
et des systèmes d'une entreprise, tout en minimisant les risques, les
pertes financières et les atteintes à la réputation. Elle est un pilier
fondamental de la continuité et de la prospérité des activités
commerciales dans le monde numérique d'aujourd'hui.
+ Tout est gouvernance !

9
Part 2 : Norme ISO 27001 : structure
et exigences
+ Présentation détaillée de la structure de la norme ISO
27001 : clauses principales, processus PDCA (Plan-Do-
Check-Act).
+ Exploration des exigences clés de la norme : politique
de sécurité, gestion des actifs, gestion des risques, etc.
+ Comparaison avec d’autres normes de sécurité
informatique : ISO 27002, NIST, etc.
10
Présentation détaillée de la structure de la norme ISO 27001
+ 1. Introduction
+ Clause 1 : Champ d'application : Détermine la portée du SMSI et établit les limites et les
exclusions éventuelles.
+ Clause 2 : Références normatives : Liste toutes les références normatives utilisées dans la
norme.
+ Clause 3 : Termes et définitions : Fournit les termes et les définitions clés utilisées dans
la norme.
+ 2. Système de management de la sécurité de l’information (SMSI)
+ Clause 4 : Contexte de l’organisation : Exige que l'organisation comprenne son contexte
externe et interne, ainsi que les parties prenantes et leurs exigences pertinentes.
+ Clause 5 : Leadership : Décrit les responsabilités de la direction, y compris l'engagement,
la politique de sécurité de l'information et la planification.
+ Clause 6 : Planification : Englobe l'identification des risques, les opportunités et
l'établissement d'objectifs et de processus pour atteindre les résultats attendus.
+ Clause 7 : Support : Couvre les ressources nécessaires, la compétence, la sensibilisation
et la communication, ainsi que la documentation du SMSI.
+ Clause 8 : Opération : Détaille la planification et le contrôle des opérations, y compris
l'évaluation des risques, la mise en œuvre des contrôles et la gestion des changements.
+ Clause 9 : Évaluation des performances : Traite de la surveillance, de la
mesure, de l'analyse et de l'évaluation de la performance du SMSI.
+ Clause 10 : Amélioration : Énonce les exigences pour l'amélioration
continue, y compris l'utilisation du cycle PDCA (Plan-Do-Check-Act) pour
optimiser le SMSI.
+ 3. Annexes A et B (Informatives)
+ Annexe A : Lignes directrices pour l’implémentation de l'ISO 27001 :
Fournit des conseils pratiques pour mettre en œuvre les exigences de la
norme.
+ Annexe B : Autres Références : Contient une liste d'autres normes et
documents de référence pertinents.
+ En résumé, la norme ISO 27001 suit une structure logique basée sur le cycle
PDCA et couvre tous les aspects nécessaires à la mise en place d'un SMSI
robuste et efficace dans une organisation.
11
Exploration des éxigences clés de la norme
+ Clause 4 : Contexte de l’organisation + Clause 8 : Opération
4.1 Comprendre l'organisme et son contexte
8.1 Planification et contrôle opérationnels
4.2 Comprendre les besoins et attentes des parties prenantes
8.2 Sécurité des systèmes d'information
4.3 Déterminer le champ d'application du Système de Management
de la Sécurité de l'Information (SMSI) 8.3 Maîtrise des accès
+ Clause 5 : Leadership 8.4 Acquisition, développement et maintenance des
5.1 Leadership et engagement
systèmes d'information

5.2 Politique de sécurité de l'information 8.5 Gestion des incidents de sécurité de l'information
5.3 Rôles, responsabilités et autorités dans l'organisme 8.6 Gestion des vulnérabilités
+ Clause 6 : Planification 8.7 Conformité
6.1 Actions pour faire face aux risques et opportunités + Clause 9 : Évaluation de la performance
6.2 Objectifs de sécurité de l'information et planification pour les 9.1 Surveillance, mesure, analyse et évaluation
atteindre
9.2 Audit interne
+ Clause 7 : Support
9.3 Revue de direction
7.1 Ressources
7.2 Sensibilisation à la sécurité de l'information + Clause 10 : Amélioration
7.3 Communication 10.1 Non-conformité et action corrective
7.4 Informations documentées 10.2 Amélioration continue

12
Comparaison avec d’autres normes de sécurité informatique :
ISO 27002, NIST, etc.

+ Comparaison avec d’autres normes de sécurité informatique

+ La norme ISO 27001 peut être comparée avec d'autres normes
de sécurité informatique telles que l'ISO 27002 et le NIST pour
identifier les similitudes, les différences et les complémentarités
entre elles. Cette comparaison permet aux organisations de
choisir la norme ou le cadre qui convient le mieux à leurs
besoins spécifiques en matière de sécurité de l'information.
13
ISO 27001 vs ISO 27002
+ Portée et Certification :
ISO 27001 : Elle définit les exigences pour établir, mettre en œuvre, maintenir et
améliorer un Système de Management de la Sécurité de l'Information (SMSI). La
certification ISO 27001 est basée sur ces exigences.
ISO 27002 : Elle fournit des lignes directrices détaillées et des bonnes pratiques pour la
mise en œuvre des contrôles de sécurité. C'est un complément à la norme ISO 27001.
+ Approche :
ISO 27001 : Elle adopte une approche basée sur le processus en utilisant le cycle
PDCA (Plan-Do-Check-Act) pour assurer la gestion continue de la sécurité de
l'information.
ISO 27002 : Elle est plus descriptive et offre des suggestions spécifiques sur les
contrôles et les mesures de sécurité.
14
ISO 27001 vs NIST (SP 800-53) :
+ Origine :
ISO 27001 : Norme internationale développée par l'Organisation Internationale de Normalisation (ISO).
NIST : États-Unis, émis par le National Institute of Standards and Technology.

+ Approche :
ISO 27001 : Elle se concentre sur le SMSI et l'approche basée sur les risques.
NIST (SP 800-53) : Il offre un ensemble complet de contrôles de sécurité classés par familles, couvrant
divers aspects de la sécurité.

+ Complexité :
ISO 27001 : Est plus générique et peut être adaptée à divers secteurs et tailles d'organisations.
NIST (SP 800-53) : Est plus détaillé et peut être perçu comme plus technique, souvent utilisé dans les
organisations gouvernementales et les entreprises ayant des exigences de sécurité élevées.

+ Cadre :
ISO 27001 : Il fournit un cadre pour établir, mettre en œuvre, maintenir et améliorer un SMSI.
NIST (SP 800-53) : Il fournit un ensemble de contrôles de sécurité qui peuvent être utilisés pour élaborer
des politiques et des procédures de sécurité.

15
Part 3 : Principes fondamentaux de la
gestion de la sécurité de l’information
+ Gestion des risques : identifier, évaluer, traiter les
risques de sécurité informatique.
+ Rôles et responsabilités dans la gestion de la Sécurité
de l’information au niveau organisationnel.
+ Intégration de la sécurité informatique dans la culture
organisationnelle : sensibilisation, formation continue.

16
Gestion des risques

+ Le risque est théoriquement l’expression d’une probabilité sur la

survenance d’événements, qui produisent un impact sur
l’environnement étudié.
+ D’après la norme ISO 31000:2018, un risque est « un effet de l’incertitude
sur les objectifs ». Cette définition est complétée, notamment, des deux
notes suivantes :
-> un effet est un écart par rapport à un attendu. Il peut être positif, négatif ou les deux à la fois, et
traiter, créer ou entraîner des opportunités et des menaces.
-> un risque est généralement exprimé en termes de sources de risque, événements potentiels avec
leurs conséquences et leur vraisemblance.
+ Principe d’incertitude de l’événement
+ Impact sur le contexte concerné.

17
Gestion des risques
+ Identification des risques : L'identification des risques implique l'identification des menaces potentielles, des
vulnérabilités et des actifs de l'organisation qui pourraient être affectés par ces menaces.
Méthodes : Des techniques telles que l'analyse des journaux, les évaluations de sécurité, les audits de systèmes, les enquêtes sur les incidents antérieurs et
les revues documentaires peuvent être utilisées pour identifier les risques.
+ Évaluation des risques : L'évaluation des risques consiste à évaluer l'impact potentiel des risques identifiés et la
probabilité de leur réalisation.
Méthodes : Des matrices de risques, des évaluations qualitatives et quantitatives, des simulations et des modèles mathématiques peuvent être utilisés pour
évaluer les risques.
+ Traitement des risques : Le traitement des risques implique le développement et la mise en œuvre de mesures pour
réduire les risques à un niveau acceptable.
Méthodes : Les options de traitement des risques comprennent l'acceptation du risque, la mise en place de contrôles de sécurité, le transfert du risque (par
exemple, par le biais d'une assurance) et l'évitement du risque en arrêtant une activité potentiellement dangereuse.
+ Cycle continu : La gestion des risques est un processus continu. Les risques doivent être régulièrement réévalués à
mesure que l'environnement informatique évolue, de nouveaux risques émergent et que les mesures de sécurité sont
mises en place ou modifiées.
+ Implémentation de contrôles : Suite à l'évaluation des risques, des contrôles de sécurité appropriés doivent être mis
en œuvre pour atténuer les risques identifiés. Cela peut inclure l'installation de pare-feu, l'application de politiques de
sécurité strictes, la mise en œuvre de contrôles d'accès, etc.
+ Suivi et réévaluation : Une fois les contrôles mis en place, il est essentiel de surveiller leur efficacité. Les incidents de
sécurité, les changements dans l'environnement informatique et les nouvelles menaces peuvent nécessiter une
réévaluation régulière des risques et des contrôles associés.

18
Echelle de criticité
+ Confidentialité
Public (C1) / restreint (C2) / confidentiel (C3)
+ Intégrité
Modification possible / restreinte / interdite
+ Disponibilité
Sous 24 heures / 48 heures / 1 semaine

Une bonne définition de l’échelle de criticité est centrale pour toute l’étude qui va être menée.
Cette définition peut prendre du temps et une certaine pratique du contexte dans lequel elle
s’inscrit est une des clés de sa pertinence.

19
 Calcul du risque
+ Risque = (Probabilité d'occurrence) * (Impact)

+ Sur la base d'une échelle, pour les deux valeurs, exprimée sur
l'intervalle de 0 à 1, voici la liste des résultats possibles et leur
signification :
- 0, signifie que le risque n'est pas à retenir
- 0,001 à 0,999, permet de hiérarchiser les risques entre eux
= 1, signifie que le risque est maximal.

20
Exemples
+ Exemple 1 : + Exemple 2 :
+ Besoin de sécurité : Données comptables (I3)
+ Besoin de sécurité : Données utilisateurs
+ Menaces identifiées sur les données comptables (I3) :
confidentielles (C3)
-> Altération de données comptables
+ Menaces identifiées sur les données -> Fraude sur des données comptables (saisie erronée)
utilisateurs de niveau (C3) : -> Corruption des traitements informatiques réalisés sur les données
comptables
-> Vol des données
+ Risque identifié :
-> Divulgation des données
-> Perte d'intégrité des données comptables de niveau I3
-> Désactivation de la fonction de chiffrement de données
-> Occurrence : 0,35 (contrôles réguliers sur les opérations comptables)
+ Risque identifié : -> Impact : 0,95 (impact juridique)

-> Perte de confidentialité sur des données d'utilisateurs + Cotation du risque stratégique : 0.35 * 0.95 = 0.3325 ->
confidentielles, de niveau (C3) 0.332
-> Occurrence : 0,85 (fonction de chiffrement instable) Niveau de risque : (de 0.001 à 0.35 : Faible)

-> Impact : 0,95 (données hautement stratégiques)

+ Priorité et hiérarchie des risques :
+ Cotation du risque stratégique : 0.85 * 0.95 = (Priorité - Niveau de risque - Cotation - Intitulé du risque)
0.8075 -> 0.807 1 - Élevé - 0.807 - Perte de confidentialité sur des données d'utilisateurs
Niveau de risque : (de 0.65 à 0.85 : Élevé) confidentielles, de niveau (C3)
2 - Faible - 0.332 - Perte d'intégrité des données comptables de niveau (I3)

21
Rôles et responsabilités dans la gestion de la sécurité de
l’information au niveau organisationnel.
+ Responsabilités des parties prenantes :
Direction générale a la responsabilité globale de la sécurité de l'information dans l'organisation. Elle doit établir une culture de sécurité, allouer des ressources et approuver les
politiques de sécurité.

Collaborateurs ont la responsabilité de suivre les politiques de sécurité, de signaler les incidents de sécurité et de participer à la sensibilisation à la sécurité.

+ Rôles du RSSI (Responsable de la Sécurité des Systèmes d'Information) :

Élaboration de la politique de sécurité : Le RSSI est responsable de l'élaboration, de la mise en œuvre et de la gestion des politiques de sécurité de l'information.

Évaluation des risques : Le RSSI évalue régulièrement les risques liés à la sécurité de l'information et recommande des mesures pour les atténuer.

Gestion des incidents : En cas d'incident de sécurité, le RSSI coordonne la réponse, l'enquête et la restauration des services.

+ Équipe de sécurité :
Administrateurs système et réseau : Ils sont responsables de la configuration et de la maintenance sécurisée des systèmes et réseaux de l'organisation.

Analystes en sécurité : Ils surveillent les activités réseau, analysent les journaux d'événements et répondent aux alertes de sécurité.

Ingénieurs en sécurité : Ils développent et mettent en œuvre des solutions de sécurité, telles que les pares-feux, les systèmes de détection d'intrusion, etc.

Spécialistes de la sensibilisation à la sécurité : Ils organisent des formations et des programmes de sensibilisation à la sécurité pour les employés.

+ Autres parties prenantes :

Auditeurs internes et externes : Ils évaluent la conformité aux politiques de sécurité et aux normes.

Fournisseurs et partenaires : Ils doivent respecter les politiques de sécurité de l'organisation lorsqu'ils traitent des informations sensibles.

22
Intégration de la sécurité informatique dans la culture
organisationnelle : sensibilisation, formation continue.

+ Campagne
+ Sensibilisation
+ E-learning
+ Formations régulières
+ Certifications
+ Exercice de simu
+ Récompense
+ Révision des performances
23
Part 4 : Processus de certification
ISO 27001
+ Étapes de la certification ISO 27001 : préparation,
audit interne, audit externe, certification.
+ Rôles des auditeurs et des parties prenantes dans
le processus de certification.
+ Maintien de la certification : surveillance et
renouvellement.
24
Étapes de la certification ISO 27001 : préparation, audit interne, audit externe,
certification.
+ Préparation (Étape préliminaire) :
Sensibilisation et formation : L'organisation sensibilise les parties prenantes aux exigences de la norme ISO 27001 et fournit une formation aux employés pour
comprendre les principes et les pratiques de sécurité.
Évaluation initiale : L'organisation effectue une évaluation initiale de sa situation par rapport aux exigences de la norme ISO 27001. Cette évaluation identifie les
lacunes existantes dans le système de gestion de la sécurité de l'information (SMSI) par rapport aux exigences de la norme.
Planification : Un plan formel est élaboré pour guider l'organisation tout au long du processus de mise en conformité. Il comprend un calendrier, des ressources
nécessaires et une répartition des tâches.
+ Mise en conformité et audit interne :
Développement du SMSI : L'organisation met en place et documente un système de gestion de la sécurité de l'information conforme aux exigences de la norme ISO
27001. Cela inclut la mise en place de politiques, de procédures et de processus de sécurité.
Audit interne : L'organisation effectue un audit interne de son SMSI pour évaluer sa conformité aux exigences de la norme ISO 27001. Cet audit est effectué par des
auditeurs internes qualifiés et impartiaux.
+ Audit externe (Audit de certification) :
Sélection d’un organisme de certification : L'organisation choisit un organisme de certification accrédité ISO 27001 pour effectuer l'audit de certification.
Audit externe : L'organisme de certification effectue un audit approfondi du SMSI de l'organisation pour vérifier sa conformité aux exigences de la norme ISO 27001.
Cet audit est mené par des auditeurs externes qualifiés et impartiaux.
Rapport d’audit et décision de certification : Sur la base des résultats de l'audit externe, l'organisme de certification rédige un rapport d'audit. Si l'organisation est
conforme aux exigences de la norme, l'organisme de certification délivre la certification ISO 27001 à l'organisation.
+ Certification :
Obtention de la certification : Une fois que l'organisation a réussi l'audit externe et que toutes les non-conformités ont été résolues, l'organisme de certification délivre
officiellement la certification ISO 27001 à l'organisation.
Maintien de la certification : L'organisation doit maintenir en permanence son SMSI conforme aux exigences de la norme ISO 27001 pour conserver sa certification.
Des audits de surveillance périodiques sont effectués par l'organisme de certification pour s'assurer du maintien de la conformité

25
Rôles des auditeurs et des parties prenantes dans le processus de certification.
+ Rôles des auditeurs :
+ Auditeurs internes : Les auditeurs internes sont des employés de l'organisation qui sont formés pour effectuer des audits internes du système de gestion de la
sécurité de l'information (SMSI) par rapport aux exigences de la norme ISO 27001. Ils mènent des audits internes réguliers pour évaluer la conformité du
SMSI aux exigences de la norme, identifient les lacunes et les domaines d'amélioration, et contribuent à la préparation de l'organisation pour l'audit de
certification externe.
+ Auditeurs externes (de l'Organisme de Certification) : Les auditeurs externes sont des professionnels indépendants mandatés par l'organisme de
certification accrédité ISO 27001.Ils effectuent des audits externes approfondis du SMSI de l'organisation pour vérifier sa conformité aux exigences de la
norme ISO 27001. Ils rédigent un rapport d'audit détaillé, basé sur leurs constatations et conclusions, qui servira de base à la décision de certification.
+ Rôles des parties prenantes :
+ Direction et responsables de l’organisation : La direction et les responsables de l'organisation sont responsables de la mise en place et de l'entretien du
SMSI conforme aux exigences de la norme ISO 27001. Ils assurent l'engagement de l'organisation envers l'amélioration continue de la sécurité de
l'information et soutiennent activement le processus de certification.
+ Employés et utilisateurs : Les employés et utilisateurs de l'organisation sont tenus de suivre les politiques et procédures de sécurité de l'information établies
dans le cadre du SMSI. Ils doivent coopérer avec les auditeurs internes et externes en fournissant des informations précises et en démontrant leur conformité
aux pratiques de sécurité établies.
+ Responsable de la sécurité de l’information (RSSI) : Le RSSI est responsable de la supervision du SMSI, de la coordination des audits internes, et de la
préparation de l'organisation pour l'audit de certification externe. Il travaille en étroite collaboration avec les auditeurs internes et externes pour s'assurer que le
SMSI est en conformité avec les exigences de la norme.
+ Partenaires et clients : Les partenaires et clients peuvent être des parties prenantes importantes, car ils peuvent exiger que l'organisation soit certifiée ISO
27001 pour établir des partenariats commerciaux ou pour garantir la sécurité de leurs données.
+ Organisme de certification : L'organisme de certification est chargé de vérifier la conformité de l'organisation aux exigences de la norme ISO 27001.Il joue
un rôle neutre et impartial en assignant des auditeurs externes qualifiés pour évaluer le SMSI de l'organisation et prendre une décision objective concernant la
certification.
+ La collaboration efficace entre les auditeurs, les parties prenantes internes et externes est essentielle pour garantir le succès du processus de certification ISO
27001.

26
Maintien de la certification : surveillance et renouvellement.

+ Surveillance continue
+ Révision de direction
+ Gestion des non-conformités et action correctives
+ Formation et sensibilisation continue
+ Amélioration continue
+ Audits de suivi

27
Part 5 : Intégration pratique de la
norme ISO 27001
+ Stratégies pour intégrer la norme ISO
27001 dans les politiques et les
procédures de sécurité.
+ Utilisation d’outils de gestion de la
sécurité de l’information.
28
Stratégies pour intégrer la norme ISO 27001 dans les politiques et
les procédures de sécurité.

+ Imaginez des politiques de sécurité conformes à ISO 27001 et la

manière de les adapter à la norme

29
Utilisation d’outils de gestion de la sécurité de l’information.

+ Gestion de risque : Riskconnect

+ Gestion des actifs : Ninja One / GLPI
+ Gestion des incidents : Zendesk
+ Gestion Doc : SharePoint
+ Sensibilisation : knowbe4

30
Exercice
+ La société Léogildas vend des chocolats, fabriqués dans une petite usine située
en Belgique. Elle ne dispose plus de magasins et toutes les ventes se font
exclusivement en ligne. Les commandes sont directement expédiées depuis
l’usine. Pour ce faire, un employé de la société est détaché au sein de l’usine
pour gérer les expéditions et leur suivi (commandes auprès de l’usine,
vérification du colis, prise en compte du colis, expédition du colis, prise en
charge des retours).
+ Au sein de son siège situé à Bruxelles, l’équipe est composée de trois
personnes : un dirigeant, un commercial, spécialisé en marketing digital et une
personne administrative qui assure les tâches administratives et comptables
courantes.
+ La société Léogildas ne possède en propre que quatre tablettes électroniques et
quatre smartphones, destinés à chaque membre de l’équipe. Toutes les
données de l’entreprise sont stockées sur un espace cloud, inclus dans l’offre
SaaS souscrite. Cette offre s’entend en termes de site institutionnel et
commercial, proposant une description de l’entreprise, des conditions de vente,
des produits vendus. À cette offre SaaS est également associée une fonction de
gestion des commandes (du panier sélectionné par le visiteur, en passant par le
paiement en ligne jusqu’au suivi des commandes et de la gestion du compte
client). Enfin, dans cette offre est intégré un module de gestion administrative
et comptable de l’entreprise. Les services souscrits sont associés à un contrat de
service.
+ Il vous est demandé de reprendre la démarche présentée et d’identifier les
actifs, les événements redoutés, les critères de sécurité et l’échelle de criticité.

31
Questions

32
En résumé
+ Gouvernance
+ Maîtrise des risques
+ Connaissance des actifs
+ Rigueur !

33
Chapitre2. Planification et préparation
de l’audit de sécurité informatique

34
Objectifs

+ Comprendre le processus de planification d'un

audit de sécurité informatique.
+ Apprendre à définir les objectifs et la portée de
l'audit selon les exigences de la norme ISO 27001.
+ Familiarisation avec l'utilisation d'outils de gestion
de projet pour organiser l'audit efficacement.
35
Sommaire

+ Planification détaillée de l’Audit

+ Sélection des domaines à auditer
+ Utilisation des outils de gestion de projet
+ Planification des ressources humaines
+ Planification des ressources technologiques
+ Planification des ressources documentaires
+ Planification de la communication
+ Gestion des risques et des incidents
+ Evaluation de la planification et des ressources

36
Part 1 : Planification détaillée de
l’audit
+ Définition des objectifs de l’audit : Conformité à la
norme ISO 27001, identification des vulnérabilités, etc.
+ Détermination de la portée de l’audit : départements,
systèmes, processus spécifiques à auditer.
+ Élaboration du plan d’audit : calendrier, ressources
nécessaires, allocation des tâches.

37
Définition des objectifs de l’audit

+ Conformité à la norme ISO 27001 : L'objectif principal de nombreux audits de sécurité informatique est de vérifier la
conformité aux normes, en particulier à la norme ISO 27001. Cela implique de s'assurer que les politiques, procédures et
pratiques de sécurité informatique de l'organisation respectent les exigences énoncées dans la norme ISO 27001.
+ Identification des vulnérabilités : Un autre objectif crucial de l'audit est d'identifier les vulnérabilités dans le système
informatique de l'organisation. Cela inclut l'évaluation des failles de sécurité potentielles, des configurations incorrectes et
des points faibles susceptibles d'être exploités par des attaquants.
+ Évaluation de l’efficacité des contrôles de sécurité : L'audit peut également viser à évaluer l'efficacité des contrôles de
sécurité déjà en place dans l'organisation. Cela implique de déterminer si les contrôles mis en œuvre sont adéquats pour
protéger les actifs de l'entreprise contre les menaces et les attaques potentielles.
+ Évaluation de la maturité de la sécurité : Certains audits ont pour objectif d'évaluer la maturité globale de la sécurité au
sein de l'organisation. Cela englobe non seulement la conformité aux normes, mais aussi la culture de sécurité, la
sensibilisation des employés et la capacité de réaction aux incidents.
+ Identification des points forts et des faiblesses : L'audit peut être axé sur l'identification des points forts de la sécurité
informatique de l'organisation, ainsi que sur les faiblesses qui nécessitent des améliorations. Cette analyse approfondie
permet de recommander des mesures correctives appropriées.

38
Détermination de la portée de l’audit
+ Identifier les actifs critiques : Il est essentiel de commencer par identifier les actifs critiques de l'organisation,
tels que les données sensibles, les systèmes clés, les applications stratégiques, et les processus métier essentiels.
Ces actifs constituent le cœur de la portée de l'audit, car leur sécurité est primordiale pour l'entreprise.
+ Impliquer les parties prenantes : Il est crucial d'impliquer les parties prenantes pertinentes dans le processus
de détermination de la portée. Cela peut inclure les propriétaires de systèmes, les responsables de départements,
et d'autres parties prenantes clés. Leurs perspectives et connaissances sont essentielles pour définir la portée de
manière exhaustive.
+ Évaluer les risques et les priorités : En évaluant les risques associés à différents départements, systèmes ou
processus, l'équipe d'audit peut établir des priorités. Les domaines à haut risque peuvent nécessiter une
attention accrue, tandis que d'autres peuvent être inclus dans la portée à des fins de vérification complète.
+ Considérer les interconnexions : Il est important de comprendre les interconnexions entre les différents
départements, systèmes et processus. Un changement ou une vulnérabilité dans un domaine peut avoir un
impact sur d'autres domaines. La portée de l'audit doit prendre en compte ces interrelations pour assurer une
évaluation holistique de la sécurité.
+ Prendre en compte les exigences légales et réglementaires : Les exigences légales et réglementaires peuvent
dicter la portée de l'audit dans certains cas. Les lois spécifiques à l'industrie ou à la localisation géographique
peuvent exiger des audits sur des aspects particuliers de la sécurité informatique.

39
Élaboration du plan d’audit

+ Calendrier d’audit
+ Ressources nécessaires
+ Allocation des tâches
+ Communication et coordination
+ Plans de contingence

40
Part 2 : Sélection des domaines à
auditer
+ Identification des domaines clés de la norme ISO 27001 à
évaluer : Politiques de sécurité, gestion des accès,
cryptographie, etc.
+ Techniques pour évaluer la conformité aux exigences
spécifiques de chaque domaine.
+ Stratégies pour intégrer les aspects légaux et
réglementaires liés à la sécurité informatique dans l'Audit.
41
Identification des domaines liés de la norme ISO 27001 à évaluer
+ Politique de sécurité : Définition des règles et directives pour la sécurité de l'information dans l'entreprise.
+ Organisation de la sécurité de l’information : Assignation des responsabilités pour la sécurité de l'information au sein de
l'organisation.
+ Gestion des actifs : Inventaire des actifs, classification de l'information, et gestion des actifs sensibles.
+ Contrôle d’accès : Régulation de l'accès aux systèmes, aux réseaux et aux données.
+ Cryptographie : Protection des informations sensibles par le chiffrement.
+ Sécurité physique et de l’environnement : Protection des installations, équipements et informations contre les menaces
physiques et environnementales.
+ Gestion des opérations et communications : Assurer l'exploitation sécurisée des systèmes d'information et des réseaux, ainsi
que la gestion des communications.
+ Acquisition, développement et maintenance des SI : Sécuriser les applications, les systèmes et le développement des
logiciels.
+ Relations avec les fournisseurs : Assurer la sécurité de l'information dans les relations avec les fournisseurs et les partenaires.
+ Gestion des Incidents de sécurité de l’information : Préparation et réponse aux incidents de sécurité de l'information.
+ Aspects de la sécurité de l'Information liés aux RH : Sécurisation des employés, des contractants et des tiers.
+ Conformité : Conformité aux exigences légales, réglementaires et contractuelles en matière de sécurité de l'information.
+ Gestion des risques : Identification, évaluation et traitement des risques de sécurité de l'information.
+ Amélioration : Amélioration continue du système de management de la sécurité de l'information.

42
Techniques pour évaluer la conformité aux exigences spécifiques
de chaque domaine.

+ Revue documentaire / Entretiens / Observations sur site / Tests

techniques / Analyse des conf / Simulation d’attaques / Analyse
des journaux / Evaluation des équipes / Etudes de cas ou
scénario / Analyse des documents de gouvernances existants

43
Stratégies pour intégrer les aspects légaux et réglementaires liés à
la sécurité informatique dans l’audit.

+ Analyse des exigences légales et réglementaires

+ Impliquer des experts juridiques
+ Inclure des critères juridiques dans le plan d’audit
+ Évaluation des politiques et procédures
+ Examiner les contrats et accords
+ Vérification des pratiques de conservation des données
+ Formation des employés
+ Évaluation des sanctions et amendes
+ Rapports et documentation
+ Suivi et MAJ

44
Part 3 : Utilisation d’outils de
gestion de projet
+ Introduction aux outils de gestion de projet : Trello,
Microsoft Project, Asana, etc.
+ Pratique : Création d’un plan d’audit sur un outil de
gestion de projet.
+ Avantages de l’utilisation d’outils numériques pour
suivre l’avancement de l’audit et collaborer
efficacement au sein de l’équipe d’audit.
45
Introduction aux outils de gestion de projet

+ Trello
+ Project
+ Asana
+ SharePoint
+ Teams

46
Pratique : Création d’un plan d’audit sur un outil de gestion de
projet.

+ Imaginez devoir auditer les vulnérabilités du site liés aux

examens de l’école
+ Propose un plan d’audit avec l’outil de votre choix

47
Avantages de l’utilisation d’outils numériques pour suivre
l’avancement de l’audit et collaborer efficacement au sein de
l’équipe d’audit.

+ Quels sont selon vous les bénéfices de ces outils ?

48
Part 4 : Planification des
ressources humaines
+ Allocation des tâches aux membres de
l’équipe d’audit.
+ Gestion des calendriers des participants et
des audités.
+ Planification des entretiens et des réunions.
49
Allocation des tâches aux membres de l’équipe d’audit.

+ Identifier les compétences et les forces de chacun

+ Définir les responsabilités
+ Un énoncé clair et précis des actions attendues

50
Gestion des calendriers des participants et des audités.

+ Entretiens pré planifiés

+ Travail en équipé rotative
+ Horaires non perturbateurs
+ Communication transparente
+ Planification des tests techniques
+ Réunion préliminaire
+ Flexibilité
+ Communication continue

51
Planification des entretiens et des réunions.

+ Établissez un objectif clair pour chaque entretien ou réunion.

+ Préparez une liste de questions spécifiques en fonction de l'objectif de l'entretien.
+ Révisez les documents pertinents et les politiques de sécurité liées au sujet de
l'entretien.
+ Contactez les parties prenantes pour fixer des horaires appropriés, en tenant
compte de leur disponibilité.
+ Évitez les conflits d'horaires en coordonnant avec d'autres événements internes
ou réunions importantes.

52
Part 5 : Planification des
ressources technologiques
+ Évaluation des outils technologiques
nécessaires pour l’audit.
+ Tests de fonctionnalité des outils choisis.
+ Préparation des environnements de test.

53
Évaluation des outils technologiques nécessaires pour l’audit.

+ Selon les domaines sélectionnés, choisissez les outils qui vous

conviennent. Ce sont VOS outils !
+ Identifiez vos besoins / recherchez / comparez
+ Vérifiez les compatibilités ou l’intégration avec vos autres outils
+ Coût et budget

54
Tests de fonctionnalité des outils choisis.

+ Vérifiez que les outils fonctionnent correctement avant l'audit.

+ N’improvisez pas !

55
Préparation des environnements de test .

+ Mise en place d'environnements de test pour les évaluations de

sécurité.
+ Identifiez les systèmes, applications et/ou données
+ Clonage ou Copy Conf
+ Intégration de données test
+ Création de scénarios
+ Procédures de test
+ Pas d’environnement de test
56
Part 6 : Planification des
ressources documentaires
+ Identification des documents requis pour
l’audit.
+ Vérification de la disponibilité des
documents.
+ Organisation et indexation des documents.
57
Identification des documents requis pour l’audit.
+ Politiques de sécurité du SI (PSSI) : Les PSSI définissent
les orientations générales en matière de sécurité de
l'information dans l'organisation.
Les PSI devraient couvrir les domaines tels que l'accès aux informations, la
confidentialité, la gestion des actifs, les responsabilités des employés, etc.
+ Procédures opérationnelles : Les procédures opérationnelles
détaillent les étapes spécifiques à suivre pour mettre en œuvre
les politiques de sécurité.
Cela peut inclure des procédures pour la gestion des comptes utilisateurs, la
gestion des incidents, la sauvegarde des données, etc.
+ Inventaire des actifs : L'inventaire des actifs répertorie tous
les actifs informatiques et non informatiques de
l'organisation.
Il devrait inclure les serveurs, les applications, les bases de données, les
équipements réseau, les documents physiques, etc.
+ Évaluations des risques : Les évaluations des risques
identifient et évaluent les menaces potentielles pour la
sécurité de l'information.
Cela inclut les résultats des évaluations des risques, les vulnérabilités identifiées
et les mesures de traitement des risques.
+ Plans de traitement des risques : Ces plans détaillent les
mesures spécifiques prises pour traiter les risques identifiés.
Ils devraient inclure les actions correctives, les actions préventives, les
responsabilités et les échéances.
+ Enregistrements de sécurité : Les enregistrements de
sécurité comprennent des journaux, des rapports d'audit, des
rapports d'incidents, etc.
Ils offrent une preuve de la mise en œuvre des politiques et des procédures de
sécurité.
+ Contrats et accords de confidentialité : Les contrats et
accords de confidentialité régissent la sécurité de
l'information dans les relations avec les tiers.
Ils doivent être examinés pour s'assurer qu'ils incluent des exigences de
sécurité appropriées.
+ Documents de formation : Ces documents détaillent les
programmes de formation en sécurité de l'information pour
les employés.
Ils peuvent inclure des modules de formation, des manuels, des quiz, etc.
+ Rapports d’audit interne : Les rapports d'audit interne
détaillent les résultats des audits de sécurité internes
précédents.
Ils peuvent inclure des observations, des recommandations et les actions prises
pour résoudre les problèmes identifiés.
+ Politiques de gestion des fournisseurs : Ces politiques
énoncent les exigences de sécurité pour les fournisseurs et
partenaires de l'organisation.
Ils spécifient les exigences en matière de sécurité, de confidentialité et
d'évaluation des risques pour les tiers.
58
Vérification de la disponibilité des documents.
+ Inventaire des documents : Établissez une liste complète des documents requis pour l'audit, y compris les politiques, procédures,
rapports d'évaluation des risques, etc.
Assurez-vous que tous les documents nécessaires sont identifiés et répertoriés pour référence pendant l'audit.

+ Emplacement physique et électronique : Identifiez où chaque document est stocké, que ce soit sous forme physique ou électronique.
Vérifiez que les documents physiques sont accessibles dans les classeurs appropriés, et que les versions électroniques sont stockées dans des dossiers sécurisés sur les serveurs
ou dans des systèmes de gestion documentaire.

+ Contrôle d’accès : Assurez-vous que seules les personnes autorisées ont accès aux documents sensibles.
Vérifiez les autorisations d'accès aux fichiers électroniques et les protocoles de sécurité physiques pour s'assurer que seuls les membres de l'équipe d'audit et les personnes
autorisées peuvent consulter ces documents.

+ MAJ et versionning : Assurez-vous que les documents sont à jour et reflètent les politiques et procédures actuelles de l'organisation.
Vérifiez les dates de dernière modification des documents et assurez-vous qu'ils sont alignés sur les versions approuvées et mises à jour régulièrement.

+ Accessibilité pendant l’audit : Planifiez l'accès aux documents pendant l'audit pour permettre à l'équipe d'audit de les examiner en
détail.
Assurez-vous que les documents sont facilement accessibles pendant la période d'audit, que ce soit en format électronique pour un accès en ligne ou en format physique dans
une salle de référence sécurisée.

+ Procédure de restauration en cas d’indisponibilité : Établissez une procédure pour restaurer les documents en cas d'indisponibilité
imprévue.
Prévoyez des mesures de secours pour restaurer les documents en cas de perte, de dommages ou d'autres événements imprévus.

59
Organisation et indexation des documents.

+ Classification des docs

+ Création d’une structure de dossiers
+ Indexation méticuleuse
+ Numéros de versions
+ Gestion des accès et des permissions
+ Documentation des procédures
+ Outils de gestion documentaire

60
Part 7 : Planification de la
communication
+ Communication interne au sein de
l’équipe d’audit.
+ Communication avec les audités.
+ Préparation des rapports et des
documents de présentation.
61
Communication interne au sein de l’équipe d’audit.
+ Réunions régulières : Organisez des réunions régulières pour discuter de l'avancement de l'audit, des défis rencontrés et des
prochaines étapes.
Planifiez des réunions hebdomadaires ou bihebdomadaires où les membres de l'équipe peuvent mettre à jour les autres sur leur travail, poser des questions et
résoudre les problèmes ensemble.
+ Plateforme de communication collaborative : Utilisez une plateforme de communication collaborative (comme Slack,
Microsoft Teams) pour faciliter les échanges en temps réel.
Créez des canaux dédiés à des sujets spécifiques, des questions urgentes ou des mises à jour importantes. Encouragez les membres de l'équipe à partager des
ressources utiles et à poser des questions au besoin.
+ Partage d’informations : Établissez un système pour le partage rapide d'informations pertinentes.
Utilisez des outils de gestion documentaire pour partager des documents pertinents, des rapports d'avancement et des procédures importantes. Assurez-vous que
tous les membres ont accès à ces ressources.
+ Clarification des rôles et des responsabilités : Assurez-vous que chaque membre de l'équipe comprend clairement son rôle
et ses responsabilités.
Documentez les responsabilités de chaque membre de l'équipe et assurez-vous qu'ils ont accès à ces informations. Clarifiez les attentes envers chaque rôle pour
éviter toute confusion.
+ Répartition des tâches : Répartissez les tâches en fonction des compétences et des spécialités de chaque membre de
l'équipe.
Assignez des tâches spécifiques à chaque membre en fonction de ses compétences et de son expertise. Assurez-vous que les membres sont conscients de leurs
responsabilités individuelles.
+ Communication transparente : Encouragez une communication ouverte et transparente au sein de l'équipe.
Créez un environnement où les membres de l'équipe se sentent à l'aise de poser des questions, de partager des préoccupations et de discuter des défis. Favorisez un
dialogue ouvert pour résoudre rapidement les problèmes.
62
Communication avec les audités.
+ Préparation de la réunion d’audit : Préparez soigneusement la réunion d'audit avec les audités pour définir les attentes et les objectifs.
Informez-les audités à l'avance sur la date, l'heure et le lieu de la réunion d'audit. Fournissez-leur également une liste des documents et des informations qu'ils devraient préparer pour l'audit.

+ Présentation de l’équipe d’audit : Présentez l'équipe d'audit aux audités pour établir la confiance.
Chaque membre de l'équipe d'audit devrait se présenter, expliquer son rôle et son expertise. Cela permet aux audités de savoir à qui ils s'adressent en cas de questions ou de préoccupations.

+ Explication du processus d’audit : Expliquez le déroulement de l'audit et les différentes étapes du processus.
Présentez le calendrier prévu, les domaines spécifiques qui seront évalués et les attentes envers les audités. Clarifiez également le processus de collecte d'informations et d'entretiens.

+ Réunions d’entretiens structurés :Organisez des entretiens structurés avec les audités pour recueillir des informations pertinentes.
Préparez des questions spécifiques sur les domaines à évaluer. Encouragez-les audités à fournir des détails concrets sur les politiques, les procédures et les pratiques en vigueur.

+ Communication transparente : Favorisez une communication transparente et ouverte avec les audités.
Encouragez-les audités à poser des questions et à partager leurs préoccupations. Soyez transparent sur les objectifs de l'audit et les raisons de l'évaluation de certaines politiques ou procédures.

+ Prise en compte des préoccupations : Écoutez attentivement les préoccupations des audités et assurez-vous de les prendre en compte.
Prenez des notes des préoccupations soulevées par les audités et assurez-vous d'y répondre de manière appropriée. Si certaines préoccupations ne peuvent pas être résolues immédiatement, assurez-vous de communiquer un plan d'action
pour les traiter.

+ Récapitulatif et feedback : Faites un récapitulatif de la réunion d'audit avec les audités et recueillez leurs feedbacks.
Résumez les points discutés lors de la réunion, clarifiez les prochaines étapes et assurez-vous que les audités comprennent ce qui est attendu d'eux. Demandez également leur feedback sur le processus d'audit pour améliorer les futures
évaluations.

+ Rapports d’audit préliminaires : Partagez les rapports d'audit préliminaires avec les audités pour validation.
Avant de finaliser le rapport d'audit, partagez les conclusions préliminaires avec les audités. Donnez-leur l'opportunité de vérifier les informations fournies et de corriger toute inexactitude.

+ Suivi post-audit : Assurez un suivi post-audit pour résoudre les problèmes identifiés.
Après la remise du rapport d'audit final, suivez les progrès réalisés par les audités pour remédier aux non-conformités. Fournissez un support continu si nécessaire.

63
Préparation des rapports et des documents de présentation.
+ Analyse des résultats de l’audit : Analysez les données collectées, les réponses des audités et les observations de l'équipe d'audit.
Examinez les preuves recueillies lors de l'audit, évaluez la conformité aux normes et aux politiques, et identifiez les non-conformités et les points forts. Utilisez des outils d'analyse pour
évaluer les risques associés à chaque non-conformité.
+ Rédaction du rapport d’audit : Rédigez un rapport d'audit complet et détaillé.
Structurez le rapport en sections claires : introduction, méthodologie de l'audit, résultats, non-conformités identifiées, recommandations, mesures correctives suggérées et conclusion.
Chaque non-conformité doit être décrite en détail, y compris les preuves et les références aux normes.
+ Formulation des recommandations : Formulez des recommandations spécifiques et réalisables pour chaque non-conformité identifiée.
Proposez des solutions pratiques et adaptées à l'organisation auditée. Chaque recommandation doit être accompagnée d'une justification et d'une explication claire de la manière dont elle
remédie à la non-conformité.
+ Mise en forme et présentation visuelle : Assurez-vous que le rapport est professionnellement mis en forme et visuellement attrayant.
Utilisez un modèle de rapport professionnel avec des en-têtes, des numéros de page, des tableaux et des graphiques si nécessaire. Assurez-vous que le rapport est lisible et facile à
comprendre.
+ Révision et validation : Faites réviser le rapport par des pairs et validez les informations.
Faites relire le rapport par d'autres membres de l'équipe d'audit pour détecter les erreurs ou les oublis. Validez les conclusions et les recommandations avec des experts internes ou externes
si nécessaire.
+ Présentation aux parties prenantes : Préparez une présentation claire et concise pour les parties prenantes.
Créez des diapositives de présentation reprenant les points clés du rapport. Utilisez des graphiques pour illustrer les données importantes. Préparez des réponses aux questions potentielles
des parties prenantes.
+ Remise du rapport et des documents de présentation : Remettez le rapport et les documents de présentation aux parties prenantes
concernées.
Organisez une réunion formelle pour remettre le rapport aux parties prenantes. Présentez les conclusions, les recommandations et les mesures correctives de manière claire et répondez aux
questions.
+ Suivi Post-Présentation :Assurez un suivi post-présentation pour répondre aux questions et aux préoccupations.
Soyez disponible pour fournir des clarifications supplémentaires si nécessaire. Assurez-vous que les parties prenantes comprennent les implications des conclusions de l'audit et des
recommandations formulées.

64
Part 8 : Gestion des risques et des
incidents
+ Évaluation des risques potentiels liés à l’audit.
+ Développement d’un plan de gestion des
incidents.
+ Formation de l’équipe sur la gestion des
incidents.

65
Évaluation des risques potentiels liés à l’audit.
+ Votre audit est un risque !
+ Identification des risques potentiels (divulgations, interruptions de
services, conflits, problème techniques …)
+ Analysez ces risques
+ Elaborez un plan d’atténuation
+ Mettez en place des mécanismes de contrôles
+ Communiquez avec les parties prenantes

66
Développement d’un plan de gestion des incidents.

+ Se préparer pour réagir rapidement en cas de découverte d'une

vulnérabilité majeure.
+ Communication avec les équipes
+ Définir des procédures d’investigations

67
Formation de l’équipe sur la gestion des incidents.

+ S'assurer que l'équipe d'audit sait comment réagir en cas d'incident.

+ Familiarisation avec les procédures du plan d’incident
+ Sensibilisation aux menaces et aux scénarios

68
Part 9 : Évaluation de la
planification et des ressources
+ Révision de l’ensemble de la planification
d’audit.
+ Évaluation des ressources allouées : humaines,
technologiques, documentaires.
+ Ajustements de dernière minute si nécessaire.

69
Révision de l’ensemble de la planification d’audit.
+ Examen des objectifs de l’audit : Vérification de l'alignement des objectifs de l'audit avec les exigences de la norme ISO
27001. S'assurer que les objectifs couvrent à la fois la conformité à la norme et l'identification des vulnérabilités potentielles.
+ Validation de la portée de l’audit : Confirmer que la portée de l'audit couvre tous les départements, systèmes et processus
spécifiques à auditer. Assurer que la portée englobe tous les domaines clés de la norme ISO 27001.
+ Évaluation des ressources et de l’allocation des tâches : Vérification de la disponibilité des ressources nécessaires, y compris
les membres de l'équipe d'audit, les outils, et les documents requis. S'assurer que les tâches sont clairement définies et réparties
entre les membres de l'équipe.
+ Confirmation des méthodologies et des outils : Validation des méthodologies d'audit à utiliser, y compris les techniques
d'entretiens, les analyses documentaires, les tests techniques, etc. Vérification de la disponibilité et de la fonctionnalité des
outils technologiques nécessaires pour l'audit.
+ Vérification des plans d’entretiens et des réunions : 'assurer que les plans d'entretiens avec les parties prenantes et les
réunions internes sont établis. Confirmation des sujets à discuter lors des réunions et des objectifs spécifiques à atteindre.
+ Re vérification des procédures de communication : Vérification des procédures de communication internes au sein de
l'équipe d'audit. Confirmation des méthodes de communication avec les audités et les parties prenantes.
+ Évaluation de l’organisation des documents : Vérification de l'organisation et de l'indexation des documents nécessaires à
l'audit. S'assurer que les documents sont facilement accessibles et compréhensibles pour l'équipe d'audit.
+ Validation des plans de gestion des incidents : Confirmation que les plans de gestion des incidents sont complets et prêts à
être mis en œuvre en cas de besoin. Vérification des compétences de l'équipe en matière de gestion des incidents.
+ Révision des rapports et documents de présentation : Vérification des modèles de rapports et de présentations à utiliser pour
documenter les résultats de l'audit. Confirmation que les rapports seront complets, précis et adaptés à leur public cible.

70
Évaluation des ressources allouées
+ Ressources humaines :
Équipe d’audit : Vérification de la disponibilité des membres de l'équipe d'audit, de leurs compétences et de leur expérience en matière de sécurité informatique.
Formation et compétences : Évaluation des besoins en formation supplémentaire pour l'équipe d'audit afin de garantir qu'ils sont au fait des dernières méthodologies d'audit
et des normes de sécurité.
Coordination et communication : Évaluation des mécanismes de coordination et de communication au sein de l'équipe, assurant une collaboration efficace et une
transmission fluide de l'information.
+ Ressources technologiques :
Outils d’audit : Vérification de l'accessibilité et de l'efficacité des outils d'audit tels que les scanners de vulnérabilités, les analyseurs de flux réseau et les logiciels de gestion
des incidents.
Infrastructure : Évaluation de l'infrastructure technologique disponible pour l'audit, y compris les serveurs, les systèmes de stockage et les équipements de réseau.
+ Ressources documentaires :
Documents requis : Vérification de la disponibilité et de la pertinence des documents nécessaires pour l'audit, y compris les politiques de sécurité, les plans de gestion des
incidents et les procédures opérationnelles standard.
Indexation et accessibilité : Évaluation de l'organisation et de l'accessibilité des documents, s'assurant qu'ils sont facilement consultables par l'équipe d'audit.
+ Ressources financières :
Budget : Vérification de l'allocation budgétaire pour l'ensemble du processus d'audit, y compris les coûts liés à la formation, aux outils et aux éventuels consultants externes.
Réserve financière : Évaluation de la disponibilité d'une réserve financière pour faire face à d'éventuels imprévus ou à des besoins supplémentaires non prévus initialement.
+ Évaluation des capacités de gestion des incidents :
Équipe de gestion des incidents : Vérification de l'existence et de la disponibilité d'une équipe dédiée à la gestion des incidents, capable de réagir rapidement en cas de
découverte de vulnérabilités ou de failles de sécurité.
Procédures d’intervention : Évaluation des procédures d'intervention d'urgence, y compris les contacts d'urgence et les étapes à suivre en cas de détection d'une menace
sérieuse.

71
Ajustements de dernière minute si nécessaire.

+ N’oubliez pas d’apporter des modifications à la planification en

fonction des évaluations et des besoins.
+ Pensez aussi aux retours d’expériences pour améliorer votre
planification et vos documents.
+ Pensez amélioration continue !

72
Exercice
+ En prenant en considération l’entreprise Leogildas :
+ Utilisez les connaissances acquises dans les différents chapitres
précédemment étudiés pour élaborer un plan d'audit détaillé. Assurez-
vous de couvrir tous les aspects tels que la définition des objectifs, la
détermination de la portée, l'élaboration du plan d'audit,
l'identification des domaines clés à évaluer, les techniques
d'évaluation de la conformité, les aspects juridiques et réglementaires,
l'allocation des tâches, la communication interne et externe, ainsi que
la préparation des rapports et des documents de présentation.
+ Soyez innovant et tentez de rendre l’audit plus pratique.

73
Questions

74
En résumé

Nous pouvons enfin démarrer

notre audit !

75