SlideShare une entreprise Scribd logo
1  sur  20
Télécharger pour lire hors ligne
Référentiel d’audit
de la sécurité des systèmes d’information
26/10/2018
Cadre de référence de l’audit
• Loi n° 2004-5 du 3 février 2004, relative à la sécurité informatique et
portant sur l'organisation du domaine de la sécurité informatique et
fixant les règles générales de protection des systèmes informatiques
et des réseaux,
• Décret n° 2004-1250 du 25 mai 2004, fixant les systèmes
informatiques et les réseaux des organismes soumis à l'audit
obligatoire périodique de la sécurité informatique et les critères
relatifs à la nature de l'audit et à sa périodicité et aux procédures de
suivi de l'application des recommandations contenues dans le
rapport d'audit,
• Décret n° 2004-1249 du 25 mai 2004, fixant les conditions et les
procédures de certification des experts auditeurs dans le domaine de
la sécurité informatique.
Cadre de référence de l’audit
Les décrets sus-cités n’identifient pas les contrôles de sécurité à vérifier
l’ANSI estime qu’il est nécessaire d’identifier les critères d’audit
à travers un document de référentiel qui permettra:
• d’accompagner les experts auditeurs dans la réalisation des
missions d’audit de sécurité des systèmes d’information,
• aux organismes audités de disposer de garanties sur la qualité des
audits effectués
• et aux services de suivi de l’audit au sein de l’ANSI de mener
efficacement l’étude et l’évaluation des rapports d’audit.
Références
• La norme ISO 19011 :2011, Lignes directrices pour l’audit des
systèmes de management,
• La norme ISO 27001 :2013, Systèmes de management de la
sécurité de l’information,
• La norme ISO 27002 :2013, Code de bonnes pratiques pour le
management de la sécurité de l'information.
Documents requis pour la revue
• L’ensemble des politiques de sécurité de l’information de l’audité, approuvées
par la direction,
• Le manuel de procédures relatif à la sécurité de l’information:
• La procédure de mise à jour des documents de politiques de sécurité et
des procédures,
• La procédure d’attribution des responsabilités,
• La procédure de classification des actifs,
• procédure de gestion des incidents,
• Les procédures de gestion de la continuité des activités,
• Etc …
• Les fiches de poste du RSSI et des autres employés en relation avec la
sécurité du système d’Information,
• La matrice de flux des données,
• Les schémas d’architecture du système d’information,
• L’inventaire du matériel et logiciel informatique,
• Etc …
Echantillonnage
Les critères d’échantillonnage pour chaque type de composante du système
d’information à auditer doivent être bien définis et justifiés.
Les vérifications à effectuer tout au long de la mission d’audit sont de
type organisationnel, physique ou technique présentés par la légende
suivante :
Types de vérification
Contenu
Contenu
Contenu
Contenu
Contenu
Contenu
Contenu
Contenu
Contenu
Contenu
Contenu
Contenu
Contenu
Contenu

Contenu connexe

Similaire à Ansi - Tuncert : Référentiel d'audit de la sécurité des SI

présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptxAdemKorani
 
Chapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.pptChapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.pptNajah Idrissi Moulay Rachid
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerCERTyou Formation
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfsaadbourouis2
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdfHajar958801
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIArsène Ngato
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationAymen Foudhaili
 
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0ben3a
 
Expérience de labellisation de l’Huile d’Olive Tyout Chiadma, le plan de cont...
Expérience de labellisation de l’Huile d’Olive Tyout Chiadma, le plan de cont...Expérience de labellisation de l’Huile d’Olive Tyout Chiadma, le plan de cont...
Expérience de labellisation de l’Huile d’Olive Tyout Chiadma, le plan de cont...ExternalEvents
 
controle interne master.ppt
controle interne  master.pptcontrole interne  master.ppt
controle interne master.pptJabirArif
 
QMC VDA_6.3 Qualification _fr Auditeur Interne - Audit Process VDA 6.3 -
QMC VDA_6.3  Qualification _fr Auditeur Interne - Audit Process VDA 6.3 -QMC VDA_6.3  Qualification _fr Auditeur Interne - Audit Process VDA 6.3 -
QMC VDA_6.3 Qualification _fr Auditeur Interne - Audit Process VDA 6.3 -Mourad Ousfia
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Ammar Sassi
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxJean-Michel Razafindrabe
 

Similaire à Ansi - Tuncert : Référentiel d'audit de la sécurité des SI (20)

ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Comptabilite bancaire
Comptabilite bancaireComptabilite bancaire
Comptabilite bancaire
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
 
Chapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.pptChapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.ppt
 
Is27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementerIs27001 li formation-iso-iec-27001-lead-implementer
Is27001 li formation-iso-iec-27001-lead-implementer
 
Cisa domaine 4 operations maintenance et support des systèmes d’information
Cisa domaine 4   operations maintenance et support des systèmes d’informationCisa domaine 4   operations maintenance et support des systèmes d’information
Cisa domaine 4 operations maintenance et support des systèmes d’information
 
L Audit Process
L Audit ProcessL Audit Process
L Audit Process
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SI
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Optimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TIOptimisation de l’audit des contrôles TI
Optimisation de l’audit des contrôles TI
 
F02 plan detaille_v1.0
F02 plan detaille_v1.0F02 plan detaille_v1.0
F02 plan detaille_v1.0
 
Expérience de labellisation de l’Huile d’Olive Tyout Chiadma, le plan de cont...
Expérience de labellisation de l’Huile d’Olive Tyout Chiadma, le plan de cont...Expérience de labellisation de l’Huile d’Olive Tyout Chiadma, le plan de cont...
Expérience de labellisation de l’Huile d’Olive Tyout Chiadma, le plan de cont...
 
controle interne master.ppt
controle interne  master.pptcontrole interne  master.ppt
controle interne master.ppt
 
QMC VDA_6.3 Qualification _fr Auditeur Interne - Audit Process VDA 6.3 -
QMC VDA_6.3  Qualification _fr Auditeur Interne - Audit Process VDA 6.3 -QMC VDA_6.3  Qualification _fr Auditeur Interne - Audit Process VDA 6.3 -
QMC VDA_6.3 Qualification _fr Auditeur Interne - Audit Process VDA 6.3 -
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 

Plus de ANSItunCERT

Protection des enfants sur Internet et les appareils sous Android.pdf
Protection des enfants sur Internet et les appareils sous Android.pdfProtection des enfants sur Internet et les appareils sous Android.pdf
Protection des enfants sur Internet et les appareils sous Android.pdfANSItunCERT
 
SAHER Magazine - Juin 2020
SAHER Magazine - Juin 2020SAHER Magazine - Juin 2020
SAHER Magazine - Juin 2020ANSItunCERT
 
Phishing : Display name impersonation
Phishing : Display name impersonationPhishing : Display name impersonation
Phishing : Display name impersonationANSItunCERT
 
SAHER Magazine - Mars 2020
SAHER Magazine - Mars 2020SAHER Magazine - Mars 2020
SAHER Magazine - Mars 2020ANSItunCERT
 
Modèle de déclaration des failles
Modèle de déclaration des faillesModèle de déclaration des failles
Modèle de déclaration des faillesANSItunCERT
 
NextCloud - télétravail
NextCloud - télétravailNextCloud - télétravail
NextCloud - télétravailANSItunCERT
 
Safer Internet Day 2020
Safer Internet Day 2020 Safer Internet Day 2020
Safer Internet Day 2020 ANSItunCERT
 
SAHER Magazine - Octobre 2019
SAHER Magazine - Octobre 2019SAHER Magazine - Octobre 2019
SAHER Magazine - Octobre 2019ANSItunCERT
 
SAHER Magazine - août 2019
SAHER Magazine - août 2019SAHER Magazine - août 2019
SAHER Magazine - août 2019ANSItunCERT
 
SAHER Magazine - Juillet 2019
SAHER Magazine - Juillet 2019SAHER Magazine - Juillet 2019
SAHER Magazine - Juillet 2019ANSItunCERT
 
SAHER Magazine - Juin 2019
SAHER Magazine - Juin 2019SAHER Magazine - Juin 2019
SAHER Magazine - Juin 2019ANSItunCERT
 
SAHER Magazine - Mai 2019
SAHER Magazine - Mai 2019SAHER Magazine - Mai 2019
SAHER Magazine - Mai 2019ANSItunCERT
 
SAHER Magazine - Avril 2019
SAHER Magazine - Avril 2019SAHER Magazine - Avril 2019
SAHER Magazine - Avril 2019ANSItunCERT
 
SAHER Magazine - Mars 2019
SAHER Magazine - Mars 2019SAHER Magazine - Mars 2019
SAHER Magazine - Mars 2019ANSItunCERT
 
Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020 Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020 ANSItunCERT
 
Access now : Data Protection: What you should know about it?
Access now : Data Protection: What you should know about it?Access now : Data Protection: What you should know about it?
Access now : Data Protection: What you should know about it?ANSItunCERT
 
Enginov - Alpha Engineering : Modèles et plateforme de coordination avec le C...
Enginov - Alpha Engineering : Modèles et plateforme de coordination avec le C...Enginov - Alpha Engineering : Modèles et plateforme de coordination avec le C...
Enginov - Alpha Engineering : Modèles et plateforme de coordination avec le C...ANSItunCERT
 
Excellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsExcellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsANSItunCERT
 

Plus de ANSItunCERT (20)

Protection des enfants sur Internet et les appareils sous Android.pdf
Protection des enfants sur Internet et les appareils sous Android.pdfProtection des enfants sur Internet et les appareils sous Android.pdf
Protection des enfants sur Internet et les appareils sous Android.pdf
 
Fiche de suivi
Fiche de suiviFiche de suivi
Fiche de suivi
 
Fiche de suivi
Fiche de suivi Fiche de suivi
Fiche de suivi
 
SAHER Magazine - Juin 2020
SAHER Magazine - Juin 2020SAHER Magazine - Juin 2020
SAHER Magazine - Juin 2020
 
Phishing : Display name impersonation
Phishing : Display name impersonationPhishing : Display name impersonation
Phishing : Display name impersonation
 
SAHER Magazine - Mars 2020
SAHER Magazine - Mars 2020SAHER Magazine - Mars 2020
SAHER Magazine - Mars 2020
 
Modèle de déclaration des failles
Modèle de déclaration des faillesModèle de déclaration des failles
Modèle de déclaration des failles
 
NextCloud - télétravail
NextCloud - télétravailNextCloud - télétravail
NextCloud - télétravail
 
Safer Internet Day 2020
Safer Internet Day 2020 Safer Internet Day 2020
Safer Internet Day 2020
 
SAHER Magazine - Octobre 2019
SAHER Magazine - Octobre 2019SAHER Magazine - Octobre 2019
SAHER Magazine - Octobre 2019
 
SAHER Magazine - août 2019
SAHER Magazine - août 2019SAHER Magazine - août 2019
SAHER Magazine - août 2019
 
SAHER Magazine - Juillet 2019
SAHER Magazine - Juillet 2019SAHER Magazine - Juillet 2019
SAHER Magazine - Juillet 2019
 
SAHER Magazine - Juin 2019
SAHER Magazine - Juin 2019SAHER Magazine - Juin 2019
SAHER Magazine - Juin 2019
 
SAHER Magazine - Mai 2019
SAHER Magazine - Mai 2019SAHER Magazine - Mai 2019
SAHER Magazine - Mai 2019
 
SAHER Magazine - Avril 2019
SAHER Magazine - Avril 2019SAHER Magazine - Avril 2019
SAHER Magazine - Avril 2019
 
SAHER Magazine - Mars 2019
SAHER Magazine - Mars 2019SAHER Magazine - Mars 2019
SAHER Magazine - Mars 2019
 
Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020 Stratégie Tunisie Digitale 2020
Stratégie Tunisie Digitale 2020
 
Access now : Data Protection: What you should know about it?
Access now : Data Protection: What you should know about it?Access now : Data Protection: What you should know about it?
Access now : Data Protection: What you should know about it?
 
Enginov - Alpha Engineering : Modèles et plateforme de coordination avec le C...
Enginov - Alpha Engineering : Modèles et plateforme de coordination avec le C...Enginov - Alpha Engineering : Modèles et plateforme de coordination avec le C...
Enginov - Alpha Engineering : Modèles et plateforme de coordination avec le C...
 
Excellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignementsExcellium : Réponses aux incidents - approches et enseignements
Excellium : Réponses aux incidents - approches et enseignements
 

Ansi - Tuncert : Référentiel d'audit de la sécurité des SI

  • 1. Référentiel d’audit de la sécurité des systèmes d’information 26/10/2018
  • 2. Cadre de référence de l’audit • Loi n° 2004-5 du 3 février 2004, relative à la sécurité informatique et portant sur l'organisation du domaine de la sécurité informatique et fixant les règles générales de protection des systèmes informatiques et des réseaux, • Décret n° 2004-1250 du 25 mai 2004, fixant les systèmes informatiques et les réseaux des organismes soumis à l'audit obligatoire périodique de la sécurité informatique et les critères relatifs à la nature de l'audit et à sa périodicité et aux procédures de suivi de l'application des recommandations contenues dans le rapport d'audit, • Décret n° 2004-1249 du 25 mai 2004, fixant les conditions et les procédures de certification des experts auditeurs dans le domaine de la sécurité informatique.
  • 3. Cadre de référence de l’audit Les décrets sus-cités n’identifient pas les contrôles de sécurité à vérifier l’ANSI estime qu’il est nécessaire d’identifier les critères d’audit à travers un document de référentiel qui permettra: • d’accompagner les experts auditeurs dans la réalisation des missions d’audit de sécurité des systèmes d’information, • aux organismes audités de disposer de garanties sur la qualité des audits effectués • et aux services de suivi de l’audit au sein de l’ANSI de mener efficacement l’étude et l’évaluation des rapports d’audit.
  • 4. Références • La norme ISO 19011 :2011, Lignes directrices pour l’audit des systèmes de management, • La norme ISO 27001 :2013, Systèmes de management de la sécurité de l’information, • La norme ISO 27002 :2013, Code de bonnes pratiques pour le management de la sécurité de l'information.
  • 5. Documents requis pour la revue • L’ensemble des politiques de sécurité de l’information de l’audité, approuvées par la direction, • Le manuel de procédures relatif à la sécurité de l’information: • La procédure de mise à jour des documents de politiques de sécurité et des procédures, • La procédure d’attribution des responsabilités, • La procédure de classification des actifs, • procédure de gestion des incidents, • Les procédures de gestion de la continuité des activités, • Etc … • Les fiches de poste du RSSI et des autres employés en relation avec la sécurité du système d’Information, • La matrice de flux des données, • Les schémas d’architecture du système d’information, • L’inventaire du matériel et logiciel informatique, • Etc …
  • 6. Echantillonnage Les critères d’échantillonnage pour chaque type de composante du système d’information à auditer doivent être bien définis et justifiés. Les vérifications à effectuer tout au long de la mission d’audit sont de type organisationnel, physique ou technique présentés par la légende suivante : Types de vérification