SlideShare une entreprise Scribd logo
République Algérienne Démocratique et Populaire
Ministère de l’Enseignement Supérieur et de la Recherche Scientifique
Université des Sciences et de la Technologie Houari Boumediene
Faculté d’informatique
Rapport de projet : Audit informatique
Filière: Informatique
Spécialité: M2 SSI
Énoncé:
“Effectuer un audit de conformité à la norme ISO 27001 pour le site web
de la commune de Bab Ezzouar hébergé au niveau de la salle de
conférence de l'USTHB”
Équipe:
All Secure
À remettre avant le : 06/02/2022
Projet Proposé par:
M. A.Berbar
Réalisé par :
● MELLAH Mouloud
● HASBELLAOUI Sara
● HIRECHE Chahrazed
● DJOUADA Mehdi
Table des Matières
Table des Matières 1
1. Objectifs de l’audit 2
1.1 But de audit 2
1.2 Type de l’audit 2
1.3 Résultats attendus 2
2. Guide Opérationnel 3
2.1 Organisation du Document 3
2.2 Critères d’évaluation de la conformité 4
3. Synthèse générale 4
3.1 Points forts 4
3.2 Points faibles 4
3.3 Niveau de conformité global 5
3.4 Conclusion Générale 6
4. Analyse globale 8
4.1 Actifs 8
4.2 Systèmes et service 9
4.1 Schéma de l’architecture du réseau 9
5. Analyse des non-conformités et recommandations 10
5.1 Analyse des non-conformités et Recommandations — Activités du SMSI 10
Phase Plan 10
Phase Do 12
Phase Check 13
Phase Act 13
5.2 Analyse des non-conformités et Recommandations — Contrôles de l’Annexe A14
A.5 Politiques de sécurité 14
A.6 Organisation de la sécurité de l’information 15
A.7 Sécurité des ressources humaines 18
A.8 Gestion des actifs 20
A.9 Contrôle d’accès 24
A.10 Cryptographie 29
A.11 Sécurité physique et environnementale 30
A.12 Sécurité liée à l’exploitation 36
A.13 Sécurité des communications 42
A.14 Acquisition, développement et maintenance des systèmes d’information 45
A.15 Relations avec les fournisseurs 49
A.16 Gestion des incidents liés à la sécurité de l’information 51
A.17 Aspects de la sécurité de l’information dans la gestion de la continuité de
l’activité 54
A.18 Conformité 57
1
1. Objectifs de l’audit
1.1 But de audit
La mission consiste à effectuer un audit de conformité pour le site web de la commune de
Bab Ezzouar hébergé au niveau de la salle de conférence de l’USTHB.
Le principal objectif de cet audit est de déterminer les éventuelles non-conformités par
rapport à la norme ISO 27001 en évaluant l’existence et l’efficacité du système de
management de la sécurité de l’information et en déterminant la maturité des mesures et
contrôles de sécurité mis en place selon les quatorze (14) domaines qui figurent dans l’annexe
A de la norme, notamment :
● A.5 Politiques de sécurité de l’information
● A.6 Organisation de la sécurité de l’information
● A.7 Sécurité des ressources humaines
● A.8 Gestion des actifs
● A.9 Contrôle d’accès
● A.10 Cryptographie
● A.11 Sécurité physique et environnementale
● A.12 Sécurité liée à l’exploitation
● A.13 Sécurité des communications
● A.14 Acquisition, développement et maintenance des systèmes d’information
● A.15 Relations avec les fournisseurs
● A.16 Gestion des incidents liés à la sécurité de l’information
● A.17 Aspects de la sécurité de l’information dans la gestion de la continuité de
l’activité
● A.18 Conformité
1.2 Type de l’audit
Un audit en boîte blanche d’une durée de 8 jours.
1.3 Résultats attendus
A la fin de l' audit, le client pourra déterminer son niveau de conformité par rapport aux
exigences de la norme ISO 27001 et les mesures qui doivent être prises pour se préparer à la
certification.
2
2. Guide Opérationnel
Cette partie du document présente l'organisation du rapport, ainsi que les critères d'évaluation
de la conformité à la norme ISO 27001.
2.1 Organisation du Document
Section Description Destination
Objectifs de l’audit Définition du but et du contexte dans
lesquels est réalisé l’audit.
Les décideurs + les responsables
+ l’équipe technique.
Guide Opérationnel Guide de lecture du rapport expliquant
son plan.
Les décideurs + les responsables
+ l’équipe technique.
Synthèse générale Résumé du niveau de conformité Les décideurs + les responsables
+ l’équipe technique.
Analyse globale Évaluation globale de la conformité. L’équipe chargée de la sécurité
informatique.
Analyse des non-conformités
et Recommandations
(Activités du SMSI)
Des recommandations d'améliorations
relatives aux activités du SMSI,
nécessaires à mettre en œuvre pour
atteindre le niveau de conformité
requis par la certification ISO 27001.
L’équipe chargée de la sécurité
informatique.
Analyse des non-conformités
et Recommandations
(Contrôles — Annexe A )
Des recommandations d'améliorations
des contrôles techniques, nécessaires à
mettre en œuvre pour atteindre le
niveau de conformité requis par la
certification ISO 27001.
L’équipe chargée de la sécurité
informatique.
3
2.2 Critères d’évaluation de la conformité
Classement des observations
(Niveau de conformité)
Description
Non-conformité majeure Amélioration significative nécessaire (non-conformités
majeures).
Non-conformité mineure Amélioration mineure à modérée nécessaire (non-conformités
mineures).
Conforme Prêt pour la certification.
Ne peut être évalué Le contrôle ne peut pas être évalué car il n'a pas été ni conçu ni
mis en œuvre et son applicabilité au SMSI n'a pas été définie.
3. Synthèse générale
3.1 Points forts
● Présence d’une solution de secours (serveur de backup).
● Les employés sont sensibilisés et tenus de respecter les politiques et les procédures de
sécurité de l'information.
● Existence d’un suivi régulier de la performance des serveurs et des équipements
réseaux.
● Existence d’une configuration d'alertes lorsque les seuils de performance sont atteints.
● Les droits d’accès sont vérifiés et examinés à intervalles réguliers.
● Les systèmes d'information sont régulièrement examinés pour vérifier leur conformité
technique aux politiques et aux normes.
● Existence des mesures spéciales pour préserver la confidentialité et l’intégrité des
données transmises sur les réseaux publics ou les réseaux sans fil.
3.2 Points faibles
● Absence d’une évaluation de risque, et ainsi que du document de déclaration
d'applicabilité (SOA).
● Aucune procédure de contrôle d’accès physique n’est mise en œuvre.
● Aucune étude sur les menaces physiques et environnementales n’a été menée.
4
● Aucun système de détection automatique d'incendie ainsi que d'extinction n’est mis en
place pour les locaux sensibles.
● Les équipements ne disposent pas d’une alimentation de secours en cas d’arrêt
temporaire de l'alimentation électrique principale et ne sont pas examinés et testés de
manière régulière pour s’assurer de leur fonctionnement correct.
● Absence de procédure de signalement des failles liées à la sécurité de l’information.
● Conformité aux légales, statutaires, réglementaires et contractuelles en vigueur n’est
pas définie explicitement, ni documentée.
● Absence de politique de protection de la vie privée et des données à caractère
personnel.
3.3 Niveau de conformité global
Le graphique en radar ci-dessous fournit un résumé graphique des résultats de l'évaluation.
Le graphique décrit le niveau de conformité actuel de chacun des contrôles de ISO/IEC
27001:2013 Annexe A.
À Chaque niveau de conformité correspond un niveau numérique sur le graphique :
● 1 - Non conformité majeure
● 2 - Non conformité mineure
● 3 - Conforme
5
3.4 Conclusion Générale
La faculté d’informatique de l'USTHB doit attribuer des rôles et des responsabilités, pour
gérer toutes les actions liées à l'analyse des non-conformités, à l'exécution des
améliorations et à la mise en œuvre des contrôles afin d’atteindre un état acceptable pour la
certification.
Le tableau ci-dessous montre les contrôles de l'ISO 27001:2013 classés et hiérarchisés en
fonction des niveaux de conformité.
Le tableau représente un guide pour commencer à exécuter des améliorations sur les
clauses de non-conformité mineure et poursuivre avec les non-conformités majeures. Il est
fortement recommandé de suivre l'ordre des étapes en le mettant en œuvre dans un plan
visant à se préparer pour la certification ISO 27001.
Les contrôles, qui sont marqués comme des non-conformités mineures peuvent être résolus
par des activités ponctuelles, alors que les non-conformités majeures requièrent une
approche itérative, en équipe, afin de mener à bien toutes les activités et de résoudre les
problèmes efficacement et à temps.
# Contrôles Niveau de conformité
Recommandations — Contrôles de l’Annexe A
A.7.2 Pendant la durée du contrat Conforme
1 Étape 1
1.1 A.7.3 Rupture, terme ou modification du contrat de travail Non conformité mineure
1.2 A.13.1 Gestion de la sécurité des réseaux Non conformité mineure
1.3 A.17.2 Redondances Non conformité mineure
1.4 A.18.2 Revue de la sécurité de l’information Non conformité mineure
Étape 2
2.1 A.5.1 Orientation de la direction pour la sécurité de
l’information
Non conformité majeure
2.2 A.6.1 Organisation interne Non conformité majeure
2.3 A.6.2 Appareils mobiles et télétravail Non conformité majeure
2.4 A.7.1 Avant l’embauche Non conformité majeure
2.5 A.8.1 Responsabilités relatives aux actifs Non conformité majeure
6
2.6 A.8.2 Classification de l’information Non conformité majeure
2.7 A.8.3 Manipulation des supports Non conformité majeure
2.8 A.9.1 Exigences métier en matière de contrôle d’accès Non conformité majeure
2.9 A.9.2 Gestion de l’accès utilisateur Non conformité majeure
2.10 A.9.3 Responsabilités des utilisateurs Non conformité majeure
2.11 A.9.4 Contrôle de l’accès au système et à l’information Non conformité majeure
2.12 A.10.1 Mesures cryptographiques Non conformité majeure
2.13 A.11.1 Zones sécurisées Non conformité majeure
2.14 A.11.2 Matériels Non conformité majeure
2.15 A.12.1 Procédures et responsabilités liées à l’exploitation Non conformité majeure
2.16 A.12.2 Protection contre les logiciels malveillants Non conformité majeure
2.17 A.12.3 Sauvegarde Non conformité majeure
2.18 A.12.4 Journalisation et surveillanc Non conformité majeure
2.19 A.12.5 Maîtrise des logiciels en exploitation Non conformité majeure
2.20 A.12.6 Gestion des vulnérabilités techniques Non conformité majeure
2.21 A.12.7 Considérations sur l’audit des systèmes
d’information
Non conformité majeure
2.22 A.13.2 Transfert de l’information Non conformité majeure
2.23 A.14.1 Exigences de sécurité applicables aux systèmes
d’information
Non conformité majeure
2.24 A.14.2 Sécurité des processus de développement et
d’assistance technique
Non conformité majeure
2.25 A.14.3 Données de test Non conformité majeure
2.26 A.15.1 Sécurité dans les relations avec les fournisseurs Non conformité majeure
2.27 A.15.2 Gestion de la prestation du service Non conformité majeure
2.28 A.16.1 Gestion des incidents liés à la sécurité de
l’information et améliorations
Non conformité majeure
2.29 A.17.1 Continuité de la sécurité de l’information Non conformité majeure
2.30 A.18.1 Conformité aux obligations légales et réglementaires Non conformité majeure
7
Recommandations — Activités du SMSI
3 Étape 3
3.1 Définition de la portée Non conformité majeure
3.2 Approche et exécution de l'évaluation des risque Non conformité majeure
3.3 Traitement des risques, y compris déclaration d'applicabilité Non conformité majeure
3.4 Opérationnel Non conformité majeure
3.5 Évaluation de la performance Non conformité majeure
3.6 Amélioration du SMSI Non conformité majeure
4. Analyse globale
4.1 Actifs
Périmètre Actifs
Salle de conférence 2 serveurs
1 switch
Baie de serveurs
4 climatiseurs
Identifiants de connexion des
utilisateurs du site web
e-commune.org
Données personnelles des
citoyens
Documents sensibles: actes
d'état-civil, factures
Salle de TP 122 1 routeur
1 switch
Armoire de brassage
Centre de Calcul 1 switch fédérateur
Rectorat Point de présence
8
Supports de transmission
● Paire torsadée RJ45 cat 5
● Fibre optique
4.2 Systèmes et service
● Microsoft Windows Server 2008, hébergeant un site web qui utilise une ancienne
version de PHP (v5.5.27)
● Cisco IOS
4.1 Schéma de l’architecture du réseau
9
5. Analyse des non-conformités et recommandations
Les tableaux au-dessous présentent une analyse des non-conformités et incluent des
recommandations pour les améliorations nécessaires pour atteindre le niveau de maturité
requis pour la certification ISO 27001.
Les actions sont réparties entre les phases Plan, Do, Check et Act du Système de Management
de la Sécurité de l'Information (SMSI).
Le cycle Plan-Do-Check-Act (PDCA) est un processus itératif et à chaque itération,
l'organisation a l'opportunité d'améliorer ses performances. itération, l'organisation a
l'opportunité de (re)définir la portée de son Système de Gestion de la Sécurité de
l'Information sécurité de l'information, de (re)définir les risques, de (re)sélectionner les
contrôles et d'ajuster ou de créer des procédure, des politiques et des directives.
5.1 Analyse des non-conformités et Recommandations — Activités du SMSI
A. Phase Plan
Définition de la portée
Description Le périmètre du SMSI (système de management de sécurité de l’information) doit être
défini en termes de caractéristiques de l'entreprise, l'organisation, ses emplacements, ses
actifs et ses technologies.
Observations ● La portée contenant la liste des zones, des emplacements, des actifs et des
technologies n’est pas définie et documentée.
● Les exclusions du champ d'application ne sont pas documentées et justifiées.
Classement Non-conformité majeure
Recommendations ● Documenter la portée du SMSI, y compris la liste des zones, emplacements, actifs,
et technologies de l'organisation (Salle de conférence, Salle 122, rectorat et centre
de calcule)
● Documenter toutes les exclusions du champ d'application du SMSI.
● Justifier les exclusions du champ d'application.
● Examiner et approuver le document de portée du SMSI annuellement ou en cas de
changements importants dans l'environnement en dehors du cycle d'examen
annuel (par exemple, modifications réglementaires, inclusion de nouveaux
emplacements, etc.)
Documents
consultés
N/A
10
Approche et exécution de l'évaluation des risques
Description Une approche d'évaluation des risques doit être créée pour l'organisation.
Observations ● Non-existence d’un document qui décrit un cadre de gestion des risques complet, y
compris toutes les étapes et les méthodes pertinentes à mettre en œuvre en termes
de processus d'évaluation des risques, notamment :
- Identification des actifs
- Identification des menaces
- Identification des vulnérabilités
- Analyse de contrôle
- Détermination de la probabilité
- Évaluation de l’impact potentiel des menace
- Classification des risques par ordre de priorité
- Recommandations des contrôles
- Documentation des résultats
Classement Non-conformité majeure
Recommendations ● Créer un document de cadre de gestion des risques qui contient une matrice des
niveaux de risque basée sur une échelle à 5 niveaux (très faible à très élevé ), et qui
fournit des instructions pour la détermination du niveau de risque.
● Ajuster le cadre d'évaluation des risques afin qu'il comprenne les critères
d'acceptation des risques et d'identification du niveau acceptable.
● Obtenir l'approbation de la haute direction pour la décision d'accepter les risques
résiduels, et l'autorisation obtenue pour le fonctionnement effectif du SMSI.
● Examinez les documents contenant les listes d'actifs et définissez une seule liste
complète d'actifs avec les propriétaires d'actifs tout en tenant compte de la
recommandation mentionnée ci-dessus.
Documents
consultés
N/A
11
Traitement des risques, y compris déclaration d'applicabilité
Description Sélectionner la méthode de traitement des risques identifiés et obtenir l'approbation de
la direction pour les risques résiduels proposés.
Observations ● Un document de déclaration d'applicabilité (SOA) n'est pas disponible.
Classement Non-conformité majeure
Recommendations ● Dériver le document SOA qui est la sortie d’un plan d'évaluation/de traitement
des risques et, si la conformité à la norme ISO 27001 doit être atteinte, relier
directement les contrôles sélectionnés aux risques d'origine qu'ils sont censés
atténuer.
● Pour chaque risque, évaluer les options de traitement (par exemple, appliquer
des contrôles, accepter, éviter ou transférer les risques) et des actions sont
effectuées en fonction de l'option sélectionnée. L'approbation de la direction est
nécessaire pour chaque situation où les risques sont acceptés.
Documents consultés N/A
B. Phase Do
Opération
Description Formuler et mettre en œuvre un plan de traitement des risques qui décrit les mesures de
management, les ressources, les responsabilités et les priorités nécessaires à la
réalisation du plan.
Observations ● Non-existence d’un document qui décrit les exigences relatives à la création
d'un plan de traitement des risques.
Classement Non-conformité majeure
Recommendations ● Développer un plan de traitement des risques complet qui comprendrait :
- Des actions de management appropriées. La direction doit être d'accord avec
le plan de traitement des risques et approuver toute acceptation des risques.
- Des ressources. La direction doit affecter des ressources (par exemple, des heures de
travail ou un budget) qui permettent de réaliser le traitement du risque.
- Responsabilités en matière de traitement. Une personne ou une équipe responsable
qui gérera le processus de traitement doivent être identifiées.
- Priorités de traitement. Il convient d'identifier les risques qui seront
traités en premier ; en général, il s'agit des risques les plus élevés qui nécessitent le
moins d'efforts pour les atténuer.
- Date d'échéance : Bien que ce champ ne soit pas obligatoire, nous recommandons de
l'inclure afin d'établir des attentes concernant le moment où les actions doivent être
réalisées.
● Selon le document Plan de traitement des risques (ou Rapport d'évaluation des
risques), documenter les risques identifiés et les décisions sur la manière dont chacun
des risques identifiés doit être traité.
12
● Documenter les exigences détaillées pour le plan de traitement des risques (actions).
● Examiner et approuver à nouveau chaque année le document de traitement des
risques avec la direction en fonction des résultats de l'évaluation des risques.
Documents consultés N/A
C. Phase Check
Évaluation de la performance
Description Le SMSI doit faire l'objet d'un suivi afin de détecter les erreurs et les incidents de sécurité
et d'agir en conséquence.
Des examens réguliers de l'efficacité du SMSI, des contrôles pertinents et de l'évaluation
des risques doivent être effectués.
Observations Non-existence d’un document qui décrit les activités qui devraient être prises à chaque
étape de la mise en œuvre du SMSI, y compris la phase "Check".
Classement Non-conformité majeure
Recommendations ● Suivre et examiner les procédures qui sont exécutées pour détecter et agir sur les erreurs
et les incidents de sécurité.
● Exécuter une réunion des responsables de la sécurité au cours de laquelle tous les
développements liés à la sécurité sont discutés (par exemple, les erreurs et les incidents de
sécurité).
● Passez en revue la politique et les objectifs du SMSI, mesurer l'efficacité des contrôles. et
le processus d'évaluation des risques.
Documents
consultés
N/A
D. Phase Act
Amélioration du SMSI
Description Après la phase Check (qui comprend plusieurs revues de la direction et l'audit interne),
le SMSI doit être amélioré par des actions correctives et préventives.
Observations Non-existence d’un document qui décrit les activités qui devraient être prises à chaque
étape de la mise en œuvre du SMSI, y compris la phase "Act".
Classement Non-conformité majeure
Recommendations ●Documenter la procédure d'action corrective et préventive
qui a pour but de garantir que les problèmes, les non-conformités, et les améliorations
sont traités de manière efficace et efficiente,
en minimisant les risques de récurrence.
13
● Les actions correctives et préventives doivent être documentées dans un référentiel
ou document consolidé après leur identification et doivent inclure :
- Une description de la non-conformité (ou de la non-conformité potentielle).
- une analyse des causes fondamentales de la non-conformité.
- Les actions nécessaires pour empêcher la récurrence.
- L'état d'avancement de l'action.
- Les actions identifiées doivent être
identifiées doivent être mises en œuvre et le plan doit être mis à jour avec le
l'état actuel de l'action.
- La date cible de mise en œuvre.
● Les actions correctives et préventives et toute amélioration entreprises doivent être
communiquées aux parties concernées ou impactées, et la direction doit confirmer que
ces améliorations/actions atteignent les objectifs visés.
● Après l'identification du besoin d'améliorations ou de non-conformités par le biais
des revues de la direction, des audits internes et d’autres examens, le plan d'actions
correctives et préventives doit être mis à jour et régulièrement revu par la direction.
Documents consultés N/A
5.2 Analyse des non-conformités et Recommandations — Contrôles de
l’Annexe A
Les tableaux au-dessous présentent une analyse des non-conformités et incluent des
recommandations pour l'amélioration des contrôles de l'annexe A.
A.5 Politiques de sécurité
A.5.1 Orientation de la direction pour la sécurité de l’information
A.5.1.1 Politique de Sécurité
Description Un ensemble de politiques de sécurité de l’information (PSI) doit être défini, approuvé
par la direction, diffusé et communiqué aux salariés et aux tiers concernés.
Observation ● Non existence des documents de politiques de sécurité de l’information
● Non publication et la communication, à tous les utilisateurs du système
d’information (SI) et aux tiers concernés.
Classement Non-conformité majeure
Recommandations ● Rédiger et documenter les politiques.
● Diviser la politique de sécurité de l'information en politiques thématiques, pour
mise en œuvre de contrôles de sécurité de l'information qui sont généralement
structurés pour répondre aux besoins de certains groupes ciblés au sein d'une
14
organisation ou pour couvrir certains sujets. (par exemple: contrôles
cryptographiques, contrôles antivirus, gestion des vulnérabilités techniques…)
● Diffuser la politique de sécurité aux parties concernées.
Documents
Consultés
Entretien avec le responsable.
A.5.1.2 Revue des politiques de sécurité de l’information
Description Les politiques de sécurité de l’information doivent être revues à intervalles programmés
ou en cas de changements majeurs pour garantir leur pertinence, leur adéquation et leur
effectivité dans le temps.
Observation ● Les politiques de sécurité établies par la faculté d'informatique ne sont pas
documentées.
● Toutes les politiques de sécurité sont revues annuellement
● Non-existence de procédures pour le réexamen des politiques de sécurité de
l’information.
Classement Non-conformité majeure
Recommendations ● Documenter les politiques de sécurité.
● Passer en revue les politiques par un comité de sécurité à intervalles planifiés, ou
si des changements importants se produisent pour s'assurer qu'elles sont toujours
pertinentes, adéquates et efficaces.
● Élaborer, documenter et mettre en œuvre des procédures pour le réexamen des
politiques de sécurité.
Document
Consultés
Entretien avec le responsable.
A.6 Organisation de la sécurité de l’information
A.6.1 Organisation interne
A.6.1.1 Fonctions et responsabilités
Description Toutes les responsabilités en matière de sécurité de l’information doivent être
définies et attribuées.
Observation ● Les rôles et les responsabilités au sein de la faculté d’informatique liés à la
sécurité de l’information sont bien définis et attribués à des individus ayant
les compétences requises.
● La faculté d’informatique n’a aucun document sur l’attribution des rôles et
les responsabilités.
Classement Non-conformité mineure
15
Recommandations ● Documenter les rôles et les responsabilités.
Documents Consultés Entretien avec le responsable.
A.6.1.2 Séparation des tâches
Description Les tâches et les domaines de responsabilité incompatibles doivent être cloisonnés
pour limiter les possibilités de modification ou de mauvais usage, non autorisé(e)
ou involontaire, des actifs de l’organisme.
Observation ● Absence de procédures internes qui identifient les tâches incompatibles.
● Absence de contrôles compensatoires en cas d’attribution des tâches
incompatibles à la même personne.
Classement Non-conformité majeure
Recommendations ● Identifier les tâches incompatibles et attribuer les responsabilités en
conséquence.
● Prévoir et réaliser une tâche de vérification régulière, de la définition et de
l'attribution des responsabilités, est prévue et réalisée.
● Mettre en place des contrôles compensatoires en cas d’attribution des
tâches incompatibles à la même personne.
Document Consultés Entretien avec le responsable.
A.6.1.3 Relations avec les autorités
Description Des relations appropriées avec les autorités compétentes doivent être entretenues.
Observation ● Non-identification des autorités compétentes.
Classement Non-conformité mineure
Recommendations ● Maintenir à jour une liste de contacts des autorités.
● Mettre en oeuvre une procédure d'échange entre l’organisme et ces
● autorités.
Documents Consultés Entretien avec le responsable.
A.6.1.4 Relations avec des groupes de travail spécialisés
Description Des relations appropriées avec des groupes d’intérêt, des forums spécialisés dans la
sécurité et des associations professionnelles doivent être entretenues.
Observation ● Absence de relations avec des groupes d'intérêt, des forums et des
associations.
Classement Non-conformité majeure
16
Recommendation ● Identifier des groupes d’intérêt, des forums spécialisés dans la sécurité et
des associations professionnelles et entretenir des relations avec eux.
● Établir des accords de partage d'informations pour améliorer la coopération
et la coordination en matière de sécurité.
Documents Consultés Entretien avec le responsable.
A.6.1.5 La sécurité de l’information dans la gestion de projet
Description La sécurité de l’information doit être considérée dans la gestion de projet,
quel que soit le type de projet concerné.
Observation ● Absence d’une analyse des risques.
Classement Non-conformité majeure
Recommendations ● Effectuer une analyse des risques liés à la sécurité de l'information à des
stades précoces des projets afin d'identifier les contrôles de sécurité
nécessaires.
● Prendre en considération l'expression des besoins de sécurité
(confidentialité, intégrité, disponibilité) dans la gestion des projets.
● Mettre en place une coordination entre les différents services concernés par
ces projets dès la phase d'expression de ces besoins et la maintenir pendant
toutes les phases des projets pour la planification de l'allocation des
ressources nécessaires.
Documents Consultés Entretien avec le responsable.
A.6.2 Appareils mobiles et télétravail
A.6.2.1 Politique en matière d’appareils mobiles
Description Une politique et des mesures de sécurité complémentaires doivent être adoptées
pour gérer les risques découlant de l’utilisation des appareils mobiles.
Observation ● Absence de politique d’utilisation des appareils mobiles.
Classement Non-conformité majeure
Recommendations ● Réaliser une analyse des risques d'utilisation des appareils mobiles.
● Élaborer et mettre en œuvre une politique d'utilisation des appareils
mobiles.
Documents consultés Entretien avec le responsable.
A.6.2.2 Télétravail
Description Une politique et des mesures de sécurité complémentaires doivent être mises en
œuvre pour protéger les informations consultées, traitées ou stockées sur des sites
de télétravail.
17
Observation ● L’USTHB n’autorise pas le télétravail.
Classement Ne peut pas être évalué
Recommendations
Documents Consultés Entretien avec le responsable.
A.7 Sécurité des ressources humaines
A.7.1 Avant l’embauche
A.7.1.1 Sélection des candidats
Description Des vérifications doivent être effectuées sur tous les candidats à l’embauche
conformément aux lois, aux règlements et à l’éthique et être proportionnées aux
exigences métier, à la classification des informations accessibles et aux risques
identifiés.
Observation ● Procédure de recrutement trop simpliste.
Classement Non-conformité majeure
Recommandations ● Réaliser des contrôles de vérification de fond qui comprennent la confirmation
des qualifications académiques et professionnelles prétendues et des contrôles
indépendants d'identité pour tous les candidats à l'emploi.
Documents Consultés Entretien avec le responsable.
A.7.1.2 Termes et conditions d’embauche
Description Les accords contractuels entre les salariés et les sous-traitants doivent préciser
leurs responsabilités et celles de l’organisme en matière de sécurité de
l’information.
Observation ● Un simple contrat de travail signé avec les employés contient leurs
informations.
Classement Non-conformité majeure
Recommendations ● Les employés et les sous traitants sont invités à signer un engagement de
confidentialité ou de non-divulgation dans le cadre de leurs termes et
conditions initiaux du contrat de travail.
Document Consultés Entretien avec le responsable.
A.7.2 Pendant la durée du contrat
A.7.2.1 Responsabilités de la direction
18
Description La direction doit demander à tous les salariés et sous traitants d’appliquer les
règles de sécurité de l’information
Observation ● Les employés sont tenus de respecter les politiques et procédures de
sécurité de l'information.
Classement Conforme
Recommendations
Documents Consultés Entretien avec le responsable.
A.7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l’information
Description L’ensemble des salariés de l’organisme et, quand cela est pertinent, des sous
traitants, doit bénéficier d’une sensibilisation et de formations adaptées et recevoir
régulièrement les mises à jour des politiques et procédures de l’organisme
s’appliquant à leurs fonctions.
Observation ● Les employés sont sensibilisés.
● Absences des programmes de formation et de sessions de sensibilisation
régulières.
Classement Non-conformité mineure
Recommendation ● Faire recevoir les nouvelles recrues, et le cas échéant, les nouveaux
sous-traitants systématiquement des sessions de sensibilisation à la sécurité
du système d’information.
● Faire recevoir tous les employés et les sous traitants périodiquement des
sessions de sensibilisation sur les risques liés à l’utilisation des moyens IT
et les tendances en la matière et les informer des mises à jour régulières
appliquées aux politiques et procédures organisationnelles en ce qui
concerne leurs fonctions.
Documents Consultés Entretien avec le responsable.
A.7.2.3 Processus disciplinaire
Description Un processus disciplinaire formel et connu de tous doit exister pour prendre des
mesures à l’encontre des salariés ayant enfreint les règles liées à la sécurité de
l’information
Observation ● Existence d’un processus disciplinaire formel pour les utilisateurs du SI qui
ont commis une violation de la politique de sécurité.
● Le processus disciplinaire n’est pas documenté.
Classement Non-conformité mineure
19
Recommendations ● Documenter et mettre en œuvre des processus disciplinaires conçus pour
fournir un processus d'action corrective structuré afin d’améliorer et de
prévenir une récurrence du comportement et des performances indésirables
des employés problèmes.
Documents Consultés Entretien avec le responsable.
A.7.3 Rupture, terme ou modification du contrat de travail
A.7.3.1 Achèvement ou modification des responsabilités associées au contrat de travail
Description Les responsabilités et les missions liées à la sécurité de l’information qui restent
valables à l’issue de la rupture, du terme ou de la modification du contrat de
travail, doivent être définies, communiquées au salarié ou au sous-traitant, et
appliquées.
Observation ● Les droits d'accès sont régulièrement examinés et supprimés à la cessation
d'emploi.
Classement Conforme
Recommendations
Documents consultés Entretien avec le responsable.
A.8 Gestion des actifs
A.8.1 Responsabilités relatives aux actifs
A.8.1.1 Inventaire des actifs
Description Les actifs associés à l’information et aux moyens de traitement de l’information
doivent être identifiés et un inventaire de ces actifs doit être dressé et tenu à jour.
Observation ● Existence d’un inventaire des actifs matériels.
Classement Non-conformité majeure
Recommandations ● Inclure les actifs immatériels dans l’inventaire.
● Maintenir et mettre à jour de l’inventaire des actifs.
Documents Consultés Entretien avec le responsable.
A.8.1.2 Propriété des actifs
Description Les actifs figurant à l’inventaire doivent être attribués à un propriétaire.
Observation ● Non-identification des propriétaires des actifs.
20
Classement Non-conformité majeure
Recommendations ● Identifier un propriétaire pour chaque actif.
Document Consultés Entretien avec le responsable.
A.8.1.3 Utilisation correcte des actifs
Description Les règles d’utilisation correcte de l’information, les actifs associés à l’information
et les moyens de traitement de l’information doivent être identifiées, documentées
et mises en œuvre.
Observation ● Non-existence des règles d’utilisation acceptable des actifs
Classement Non-conformité majeure
Recommendations ● Elaborer et mettre en oeuvre une politique d'utilisation correcte de
l'information, des actifs associés et des moyens de son traitement
● Sensibiliser les employés aux exigences de sécurité comprises dans cette
politique et de leur responsabilité de l’utilisation de ces actifs.
Documents Consultés Entretien avec le responsable.
A.8.1.4 Restitution des actifs
Description Tous les salariés et les utilisateurs tiers doivent restituer la totalité des actifs de
l’organisme qu’ils ont en leur possession au terme de la période d’emploi, du
contrat ou de l’accord.
Observation ● Non documentation de la restitution des actifs.
Classement Non-conformité majeure
Recommendation ● Documenter la restitution des actifs en possession des utilisateurs tiers au
terme de la période de l’emploi ou de l’accord
● Contrôler la copie non autorisée des informations pertinentes pendant la
période de préavis de fin du contrat.
Documents consultés Entretien avec le responsable.
A.8.2 Classification de l’information
A.8.2.1 Classification des informations
Description Les informations doivent être classifiées en termes d’exigences légales, de valeur,
de caractère critique et de sensibilité au regard d’une divulgation ou modification
non autorisée.
Observation ● Les informations sont classifiées sans qu’une procédure de classification ne
soit élaborée ni documentée.
Classement Non-conformité mineure
21
Recommendations ● Développer et maintenir des procédures de classification des actifs.
● Appliquer des mesures de sécurité spécifiques à chaque classe en
concordance avec le système de classification.
Documents Consultés Entretien avec le responsable.
A.8.2.2 Marquage des informations
Description Un ensemble approprié de procédures pour le marquage de l’information doit être
élaboré et mis en œuvre conformément au plan de classification adopté par
l’organisme.
Observation ● Absence de procédure de marquage de l'information.
Classement Non-conformité majeure
Recommendations ● Élaborer et mettre en œuvre des procédures de marquage de l'information
conformément à la classification.
Documents consultés Entretien avec le responsable.
A.8.2.3 Manipulation des actifs
Description Des procédures de traitement de l’information doivent être élaborées et mises en
œuvre conformément au plan de classification de l’information adopté par
l’organisme
Observation ● Absence de procédure de traitement de l’information.
Classement Non-conformité majeure
Recommendations ● Élaborer et mettre en œuvre des procédures pour une utilisation acceptable
de l'information et des actifs associés à un moyen de traitement de
l'information.
● Mettre en place des restrictions d'accès aux informations, conformément
aux exigences de protection pour chaque niveau de classification.
● Faire bénéficier les copies temporaires ou permanentes de l'information le
même niveau de protection de l'information originale.
Documents Consultés Entretien avec le responsable.
A.8.3 Manipulation des supports
A.8.3.1 Gestion des supports amovibles
Description Des procédures de gestion des supports amovibles doivent être mises en œuvre
conformément au plan de classification adopté par l’organisme.
Observation ● Des procédures pour le retrait, l'élimination et le transit des médias
contenant des informations sont établies.
● Aucune classification des actifs et de l'information, ce qui implique une
mauvaise gestion des supports.
22
Classement Non-conformité majeure
Recommendations ● Élaborer et mettre en œuvre des procédures de gestion des supports
amovibles conformément à la classification établie.
● Rendre irrécupérable le contenu de tout support réutilisable devant être
retiré si ce son contenu n'est plus indispensable.
● Utiliser des techniques cryptographiques pour protéger les données sur les
supports amovibles lorsque le niveau de confidentialité ou d'intégrité de ces
données est élevé.
● Transférer les données stockées sur un support amovible, lorsqu’elles sont
encore nécessaires, vers un nouveau support avant d'être illisibles pour
réduire le risque de dégradation des médias.
● Désactiver les lecteurs de supports amovibles, sauf pour un besoin du
métier.
Documents Consultés Entretien avec le responsable.
A.8.3.2 Mise au rebut des supports
Description Les supports qui ne sont plus nécessaires doivent être mis au rebut de manière
sécurisée en suivant des procédures formelles.
Observation ● Les supports qui ne sont plus nécessaires sont formatés.
● La journalisation de la mise au rebut.
Classement Conforme
Recommendations
Documents Consultés Entretien avec le responsable.
A.8.3.3 Transfert physique des supports
Description Les supports contenant de l’information doivent être protégés contre les accès non
autorisés, les erreurs d’utilisation et l’altération lors du transport.
Observation ● Aucune liste des transporteurs autorisés n’est convenue avec la direction.
● Absence de procédure permettant de vérifier l'identification des
transporteurs.
● Absence de protection des supports contre tout dommage physique pendant
le transport.
Classement Non-conformité majeure
Recommendations ● Élaborer et mettre en œuvre une procédure pour vérifier l'identification des
transporteurs.
● Journaliser et conserver les informations identifiant le contenu du support,
la protection appliquée ainsi que la date et l’heure de son transfert au
transporteur ainsi que la date et l’heure de sa réception au lieu de
destination.
Documents Consultés Entretien avec le responsable.
23
A.9 Contrôle d’accès
A.9.1 Exigences métier en matière de contrôle d’accès
A.9.1.1 Politique de contrôle d’accès
Description Une politique de contrôle d’accès doit être établie, documentée et revue sur la base
des exigences métier et de sécurité de l’information.
Observation ● Absence du document qui définit la politique de contrôle d'accès.
Classement Non-conformité majeure
Recommendations ● Documenter la politique et les différentes procédures de contrôles d'accès.
● Identifier les données et leurs propriétaires ainsi que les systèmes ou
personnes qui ont besoin des accès à ces données et leurs rôles
● Identifier les risques d’accès non autorisé à ces données.
Documents Consultés Entretien avec le responsable.
A.9.1.2 Accès aux réseaux et aux services réseau
Description Les utilisateurs doivent avoir uniquement accès au réseau et aux services réseau
pour lesquels ils ont spécifiquement reçu une autorisation.
Observation ● Absence de procédure de contrôle d'accès au réseau.
Classement Non-conformité majeure
Recommendations ● Documenter la procédure de contrôle d'accès au réseau et vérifier sa
conformité avec la politique de contrôle d'accès.
● Identifier les entités pouvant avoir accès et les accès nécessaires pour
chacune d’elle selon le principe du « moindre privilège ».
● Définir les rôles et les responsabilités de chaque service interne dans
l'attribution de ces accès.
Documents Consultés Entretien avec le responsable.
A.9.2 Gestion de l’accès utilisateur
A.9.2.1 Enregistrement et désinscription des utilisateurs
Description Un processus formel d’enregistrement et de désinscription des utilisateurs doit être
mis en œuvre pour permettre l’attribution des droits d’accès.
Observation ● Absence du processus d’enregistrement et de désinscription des
utilisateurs.
Classement Non-conformité majeure
24
Recommendations ● Documenter le processus d’enregistrement et de désinscription des
utilisateurs, et vérifier les comptes utilisateurs sur les serveurs pour
l’identification de ceux qui sont partagés, redondants ou obsolètes.
Documents Consultés Entretien avec le responsable.
A.9.2.2 Distribution des accès aux utilisateurs
Description Un processus formel de distribution des accès aux utilisateurs doit être mis en
œuvre pour attribuer et retirer des droits d’accès à tous types d’utilisateurs sur
l’ensemble des services et des systèmes.
Observation ● Absence de la matrice des droits d’accès et des fiches de postes.
Classement Non-conformité majeure
Recommendations ● Mettre à disposition la matrice des droits d'accès et les fiches de postes afin
de vérifier :
○ la conformité des niveaux d’accès avec la politique de contrôle
d’accès.
○ la compatibilité de ces niveaux d’accès avec la séparation des
tâches.
Documents Consultés Entretien avec le responsable.
A.9.2.3 Gestion des droits d’accès à privilèges
Description L’allocation et l’utilisation des droits d’accès à privilèges doivent être restreintes et
contrôlées.
Observation ● Absence du processus d’attribution des droits à privilèges.
Classement Non-conformité majeure
Recommendations ● Documenter le processus d’attribution des droits à privilèges afin de
vérifier la conformité de sa mise en œuvre avec la politique de contrôle
d’accès.
Documents Consultés Entretien avec le responsable.
A.9.2.4 Gestion des informations secrètes d’authentification des utilisateurs
Description L’attribution des informations secrètes d’authentification doit être réalisée dans le
cadre d’un processus de gestion formel.
Observation ● Absence du processus d’attribution des informations secrètes
d’authentification.
Classement Non-conformité majeure
Recommendations ● Mettre en œuvre un processus de gestion formel pour l’attribution des
informations secrètes d’authentification.
25
● Fournir les informations secrètes d'authentification temporaire aux
utilisateurs de manière sécurisée (l'utilisation de parties externes ou de
messages électroniques non protégés (en texte clair) doit être évitée)
● Faire signer aux utilisateurs un accusé de réception des informations
secrètes d'authentification.
● Modifier les informations secrètes d'authentification par défaut des
fournisseurs des systèmes ou des logiciels après leur installation.
Documents Consultés Entretien avec le responsable.
A.9.2.5 Revue des droits d’accès utilisateurs
Description Les propriétaires d’actifs doivent vérifier les droits d’accès des utilisateurs à
intervalles réguliers.
Observation ● Absence de la matrice des droits d’accès.
● Les droits d’accès sont vérifiés à un intervalle régulier.
Classement Conforme
Recommendations
Documents Consultés Entretien avec le responsable.
A.9.2.6 Suppression ou adaptation des droits d’accès
Description Les droits d’accès aux informations et aux moyens de traitement des informations
de l’ensemble des salariés et utilisateurs tiers doivent être supprimés à la fin de
leur période d’emploi, ou adaptés en cas de modification du contrat ou de l’accord.
Observation ● Les droits d'accès de tous les employés, aux informations et aux moyens de
traitement de l'information, sont supprimés à la fin de leur emploi
Classement Non-conformité mineure
Recommendations ● Ajouter des procédures qui décriraient le retrait ou l'ajustement de droits
d'accès lors de modification du contrat.
Documents Consultés Entretien avec le responsable.
A.9.3 Responsabilités des utilisateurs
A.9.3.1 Utilisation d’informations secrètes d’authentification
Description Les utilisateurs doivent suivre les pratiques de l’organisme pour l’utilisation des
informations secrètes d’authentification.
Observation ● Absence de procédure documentée décrivant l'utilisation des informations
secrètes d’authentification.
Classement Non-conformité majeure
Recommendations ● Documenter et mettre en œuvre une procédure et des sessions de
26
sensibilisation qui invitent les utilisateurs à :
- garder confidentielles les informations secrètes d'authentification, en
veillant à ce qu'elles ne soient pas divulguées à d'autres parties, y compris à
leurs supérieurs hiérarchiques.
- éviter de conserver un enregistrement d'informations secrètes
d'authentification (par exemple sur du papier, un fichier logiciel ou un
appareil portatif), sauf si cela peut être stocké de manière sécurisée et si la
méthode de stockage a été approuvée (par exemple, coffre-fort).
- changer les informations secrètes d'authentification chaque fois qu'il y a un
soupçon de sa compromission.
- ne pas partager ses propres informations secrètes d'authentification.
- ne pas utiliser les mêmes informations secrètes d'authentification à des fins
professionnelles et personnelles.
Documents Consultés Entretien avec le responsable.
A.9.4 Contrôle de l’accès au système et à l’information
A.9.4.1 Restriction d’accès à l’information
Description L’accès à l’information et aux fonctions d’application système doit être restreint
conformément à la politique de contrôle d’accès.
Observation ● La politique de contrôle d'accès ainsi que la matrice des rôles d’accès ne
sont pas fournis.
● La politique de sécurité empêche l’accès non autorisé aux systèmes et aux
applications.
Classement Non-conformité mineure
Recommendations ● Documenter la politique de contrôle d'accès.
● Baser les restrictions d'accès sur des exigences individuelles de
l'application métier et conformément à la politique de contrôle d'accès.
● Fournir des menus pour contrôler l'accès aux fonctions du système
d'application.
● Mettre en place des contrôles d'accès physiques ou logiques pour l'isolation
d'applications sensibles, de données d'application ou de systèmes.
Documents Consultés Entretien avec le responsable.
A.9.4.2 Sécuriser les procédures de connexion
Description Lorsque la politique de contrôle d’accès l’exige, l’accès aux systèmes et aux
applications doit être contrôlé par une procédure de connexion sécurisée.
Observation ● La politique de contrôle d'accès existe mais n’est pas documentée.
Classement Non-conformité mineure
Recommendations ● Documenter la politique de contrôle d’accès devant exiger l’utilisation
d’une procédure de connexion sécurisée pour l’accès aux systèmes et aux
applications.
27
● S’assurer que les systèmes et les applications prennent en compte :
○ l’affichage du message d’avertissement que l’accès n’est permis
qu’aux utilisateurs autorisés.
○ Le blocage de connexion après un certain nombre de tentatives
échouées, autrement dit, la protection contre les tentatives de
connexion par « brute force ».
○ La journalisation des tentatives d’accès réussies et échouées.
○ Le masquage des mots de passe entrés.
○ La mise en fin automatique à des sessions inactives après une
période d'inactivité définie.
○ La limitation du temps de connexion pour fournir une sécurité
supplémentaire aux applications à haut risque et réduire les
opportunités d'accès non autorisé.
Documents Consultés Entretien avec le responsable.
A.9.4.3 Système de gestion des mots de passe
Description Les systèmes qui gèrent les mots de passe doivent être interactifs et doivent
garantir la qualité des mots de passe.
Observation ● Le site web e-commune ne respecte pas les bonnes pratiques de création et
de gestion des mots de passe.
Classement Non-conformité majeure
Recommendations ● S’assurer que tous les systèmes et les applications :
- forcent les utilisateurs à changer leurs mots de passe lors de la première
connexion,
- exigent un changement périodique des mots de passe et au besoin,
- tiennent un enregistrement des mots de passe utilisés précédemment et
empêche leur réutilisation,
- masquent les mots de passe sur l'écran lors de la saisie,
- stockent les fichiers de mot de passe séparément des données des
applications,
- stockent et transmet les mots de passe sous une forme protégée
Documents Consultés Entretien avec le responsable.
A.9.4.4 Utilisation de programmes utilitaires à privilèges
Description L’utilisation des programmes utilitaires permettant de contourner les mesures de
sécurité d’un système ou d’une application doit être limitée et étroitement
contrôlée.
Observation ● Absence de document définissant les niveaux d’autorisation relatifs aux
programmes utilitaires.
Classement Non-conformité majeure
Recommendations ● Élaborer et mettre en œuvre une procédure d’identification,
28
d’authentification et d’autorisation spécifiques aux programmes utilitaires
à privilèges.
● Limiter l’utilisation des programmes utilitaires à privilège à un nombre
minimal acceptable d’utilisateurs de confiance bénéficiant d’une
autorisation.
● Journaliser toutes les utilisations de programmes utilitaires à privilège.
● Définir et documenter les niveaux d’autorisation relatifs aux programmes
utilitaires à privilège.
● Désinstaller et désactiver tous les programmes utilitaires à privilèges
inutiles.
Documents Consultés Entretien avec le responsable.
A.9.4.5 Contrôle d’accès au code source des programmes
Description L’accès au code source des programmes doit être restreint.
Observation N/A
Classement Ne peut être évalué
Recommendations N/A
Documents Consultés Entretien avec le responsable.
A.10 Cryptographie
A.10.1 Mesures cryptographiques
A.10.1.1 Politique d’utilisation des mesures cryptographiques
Description Une politique d’utilisation des mesures cryptographiques en vue de protéger
l’information doit être élaborée et mise en œuvre.
Observation ● Absence de politique documentée sur l'utilisation des contrôles
cryptographiques.
Classement Non-conformité majeure
Recommendations ● Élaborer et mettre en œuvre une politique de contrôle cryptographique
pour établir les exigences et les procédures d'utilisation des techniques de
cryptage pour protéger les données sensibles.
● Protéger les liens permanents et les échanges de données par des solutions
de chiffrement qui sont mises en place au niveau du réseau local et du
réseau étendu.
Documents Consultés Entretien avec le responsable.
29
A.10.1.2 Gestion des clés
Description Une politique sur l’utilisation, la protection et la durée de vie des clés
cryptographiques doit être élaborée et mise en œuvre tout au long de leur cycle de
vie.
Observation ● Absence de politique sur l’utilisation, la protection et la durée de vie des
clés cryptographiques.
Classement Non-conformité majeure
Recommendations ● Élaborer et mettre en œuvre une politique sur l’utilisation, la protection et
la durée de vie des clés cryptographiques.
● S’assurer que le système de gestion des clés repose sur une série convenue
de normes, de procédures et de méthodes sécurisées pour :
- la génération des clés, l’attribution de ces clés aux utilisateurs
- leur stockage,
- le traitement des clés compromises
- leur révocation,
- la récupération des clés perdues,
- la sauvegarde ou l’archivage,
- la destruction
● Journaliser et auditer les activités liées à la gestion des clés.
Documents Consultés Entretien avec le responsable.
A.11 Sécurité physique et environnementale
A.11.1 Zones sécurisées
A.11.1.1 Périmètre de sécurité physique
Description Des périmètres de sécurité doivent être définis et utilisés pour protéger les zones
contenant l’information sensible ou critique et les moyens de traitement de
l’information.
Observation ● Aucun périmètre du site qui abrite les moyens de traitement de
l’information n’est défini. La salle de conférence ainsi que la salle 122
sont accessibles par de nombreux individus tout le temps sans pouvoir
limiter l'accès seulement à des personnes précises.
Classement Non-conformité majeure
Recommendations ● Consacrer une salle spéciale destinée seulement aux équipements et qui
sera isolée et verrouillée où aucune personnes non autorisée pourra y
accéder.
Documents Consultés Entretien avec le responsable.
30
A.11.1.2 Contrôle d’accès physique
Description Les zones sécurisées doivent être protégées par des contrôles adéquats à l’entrée
pour s’assurer que seul le personnel autorisé est admis.
Observation ● Aucune procédure de contrôle d’accès physique n’est mise en œuvre vu
que les deux salles contenant les matériels sont des salles des
d’enseignement.
Classement Non-conformité majeure
Recommendations ● Consacrer une salle isolée destinée seulement aux équipements et qui sera
verrouillée et soumise à des politiques d'accès strictes permettant de limiter
au maximum le nombre de personnes pouvant y accéder. Cette salle pourra
être protégée par un système d’alarme détectant n' importe quelle
intrusion.
Documents Consultés Entretien avec le responsable.
A.11.1.3 Sécurisation des bureaux, des salles et des équipements
Description Des mesures de sécurité physique aux bureaux, aux salles et aux équipements
doivent être conçues et appliquées.
Observation ● Les équipements clés sont hébergés dans un emplacement accessible au
public.
● Les locaux ne sont pas discrets et donnent des indications sur leur finalité,
ce qui va permettre d’identifier la présence d’activités de traitement de
d’informations.
Classement Non-conformité majeure
Recommendations ● La discrétion est un critère majeur pour la protection des équipements d'où
la nécessité d’une salle isolée et verrouillée comme mentionné
précédemment.
Documents Consultés Entretien avec le responsable.
A.11.1.4 Protection contre les menaces extérieures et environnementales
Description Des mesures de protection physique contre les désastres naturels, les attaques
malveillantes ou les accidents doivent être conçues et appliquées.
Observation ● Aucune étude sur les menaces physiques et environnementales possibles
(exemple : incendies, inondations, tremblements de terre ou d'autres
formes de catastrophes naturelles ou d'origine humaine) et leurs impacts
n’a été réalisée.
● Absence d’une analyse systématique et exhaustive de toutes les voies
possibles d'arrivée d'eau (Par exemple, position des locaux par rapport aux
risques d'écoulement naturel en cas d'orage violent, des fuites provenant du
toit de la salle).
31
● Absence d’une analyse systématique et approfondie de tous les risques
d'incendie (Par exemple : court-circuit au niveau du câblage, effet de la
foudre, personnel fumant dans les locaux, appareillages électriques
courants, échauffement d'équipement, propagation depuis l'extérieur,
propagation par les gaines techniques ou la climatisation, etc.)
● Aucun système de détection automatique d'incendie ainsi que d'extinction
n’est mis en place pour les locaux sensibles.
Classement Non-conformité majeure
Recommendations ● Des analyses et des études approfondies doivent être faites afin de
connaître plus les menaces et leurs impacts.
● Mettre en place un système de climatisation robuste après avoir déplacé les
serveurs vers une salle plus petite pour que la climatisation puisse être plus
efficace.
● Mettre en place des systèmes d'alarme-incendie et d’extinction.
● Vérifier le toit de la salle abritant les équipements et éliminer toute voie
possible de fuite d'eau.
Documents Consultés Entretien avec le responsable.
A.11.1.5 Travail dans les zones sécurisées
Description Des procédures pour le travail dans les zones sécurisées doivent être conçues et
appliquées.
Observation ● Absence de procédure pour le travail dans les zones sécurisées.
Classement Non-conformité majeure
Recommendations ● Définir et établir les zones sécurisées, notamment la salle isolée et
verrouillée contenant les actifs localisés dans la salle de conférence ainsi
que le reste du périmètre.
● Élaborer et mettre en œuvre des procédures pour le travail dans les zones
sécurisées.
● Contrôler périodiquement les zones sécurisées
● inoccupées qui sont verrouillées physiquement.
● Interdir tout équipement photographique, vidéo, audio ou autres dispositifs
d’enregistrement, tels que les
● appareils photos intégrés à des appareils mobiles, sauf autorisation.
● Informer le personnel de l’existence de zones sécurisées ou des activités
qui s’y pratiquent, sur la seule base du besoin d’en connaître.
Documents Consultés Entretien avec le responsable.
A.11.1.6 Zones de livraison et de chargement
Description Les points d’accès tels que les zones de livraison et de chargement et les autres
points par lesquels des personnes non autorisées peuvent pénétrer dans les locaux
doivent être contrôlés et, si possible, isolés des moyens de traitement de
l’information, de façon à éviter les accès non autorisés.
32
Observation
Classement Ne peut être évalué
Recommendations
Documents Consultés
A.11.2 Matériels
A.11.2.1 Emplacement et protection des matériels
Description Les matériels doivent être localisés et protégés de manière à réduire les risques
liés à des menaces et des dangers environnementaux et les possibilités d’accès non
autorisé.
Observation ● Les matériels sont exposés dans des salles accessibles au public
notamment la salle de conférence et la salle 122.
● Absence des mesures qui réduisent au minimum les risques de menaces
physiques et environnementales potentielles, comme le vol, l’incendie, la
fumée, les fuites d’eau, la poussière.
● Les conditions ambiantes, telles que la température et l’humidité, qui
pourraient nuire au fonctionnement des moyens de traitement de
l’information ne sont pas surveillées
Classement Non-conformité majeure
Recommendations ● Les matériels doivent être placés dans une salle où l'accès est restreint.
Cette salle doit être conforme à toutes les exigences et les mesures liées à
la sécurité des matériels, notamment :
- La présence des systèmes d'alarme-incendie et d'extinction.
- L’implémentation d’une climatisation qui garantit une température
convenable aux équipements 24h/24.
- Le toit, les murs extérieurs et le sol sont construits de manière solide.
Documents Consultés Entretien avec le responsable.
A.11.2.2 Services généraux
Description Les matériels doivent être protégés des coupures de courant et autres perturbations
dues à une défaillance des services généraux.
Observation ● Les services généraux (tels que l’électricité, la ventilation et la
climatisation):
○ Ne sont pas examinés et testés de manière régulière pour s’assurer
de leur fonctionnement correct.
○ Ne sont pas équipés d’alarmes de détection des
dysfonctionnements.
○ Ne disposent pas d’une alimentation de secours en cas d’arrêt
temporaire de l'alimentation électrique principale.
Classement Non-conformité majeure
33
Recommendations ● Les services généraux doivent être conformes aux spécifications du
fabricant du matériel et aux exigences légales locales.
● Une alimentation de secours doit être mise en œuvre pour garantir la
continuité des services.
Documents Consultés Entretien avec le responsable.
A.11.2.3 Sécurité du câblage
Description Les câbles électriques ou de télécommunication transportant des données ou
supportant les services d’information doivent être protégés contre toute
interception ou tout dommage.
Observation ● Le câble RJ45 reliant le switch de la salle de conférence à la salle 122
n’est ni enterré, ni soumis à toute autre forme de protection adéquate.
Classement Non-conformité majeure
Recommendations ● Pour une meilleure protection de votre câble RJ45 et par mesure de
sécurité, il est recommandé que votre câble soit sous une classification
spécifique contre la toxicité et l'inflammabilité. Elle est inscrite "LSZH"
● Mettre le câble dans un isolant rigide tel que le tube IRO.
Documents Consultés Entretien avec le responsable.
A.11.2.4 Maintenance des matériels
Description Les matériels doivent être entretenus correctement pour garantir leur disponibilité
permanente et leur intégrité.
Observation ● La maintenance est faite juste en cas de panne.
Classement Non-conformité mineure
Recommendations ● Faire une maintenance préventive qui consiste à effectuer des interventions
à des intervalles prédéterminés et selon des critères prescrits afin de
réduire la probabilité de défaillance ou de dégradation du fonctionnement
du matériel.
Documents Consultés Entretien avec le responsable
A.11.2.5 Sortie des actifs
Description Les matériels, les informations ou les logiciels des locaux de l’organisme ne
doivent pas sortir sans autorisation préalable.
Observation ● Absence de règles strictes et de registres concernant la sortie des actifs.
Classement Non-conformité majeure
Recommendations ● Établir et documenter des règles concernant la sortie des actifs
(autorisations préalables, personnes autorisées, enregistrement de la sortie
34
et de la rentrée, effacement des données inutiles, etc.)
Documents Consultés Entretien avec le responsable
A.11.2.6 Sécurité des matériels et des actifs hors des locaux
Description Des mesures de sécurité doivent être appliquées aux matériels utilisés hors des
locaux de l’organisme en tenant compte des différents risques associés au travail
hors site.
Observation N/A
Classement Ne peut être évalué
Recommendations N/A
Documents Consultés Entretien avec le responsable.
A.11.2.7 Mise au rebut ou recyclage sécurisé des matériels
Description Tous les composants des matériels contenant des supports de stockage doivent être
vérifiés pour s’assurer que toute donnée sensible a bien été supprimée et que tout
logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant leur
mise au rebut ou leur réutilisation.
Observation ● Absence de procédure de mise au rebut ou de réutilisation du matériel.
● Absence de rapport d’analyse des risques des appareils endommagés
contenant des supports de stockage.
Classement Non-conformité majeure
Recommendations ● Élaborer et mettre en œuvre une procédure de mise au rebut ou de
réutilisation du matériel est élaborée et mise en œuvre.
● Procéder, lorsqu’il est nécessaire, à une appréciation du risque des
appareils endommagés contenant des supports de stockage pour déterminer
s’il convient de les détruire physiquement plutôt que de les faire réparer ou
de les mettre au rebut.
● Détruire physiquement les supports de stockage contenant de l’information
confidentielle ou protégée par le droit d’auteur, ou bien supprimer/écraser
cette information en privilégiant les techniques rendant l’information
d’origine irrécupérable plutôt qu’en utilisant la fonction standard de
suppression ou de formatage.
Documents Consultés Entretien avec le responsable.
A.11.2.8 Matériels utilisateur laissés sans surveillance
Description Les utilisateurs doivent s’assurer que les matériels non surveillés sont dotés d’une
protection appropriée.
Observation ● Absence de programmes de sessions de sensibilisation des utilisateurs aux
exigences et aux procédures de sécurité destinées à protéger les matériels
35
laissés sans surveillance.
Classement Non-conformité majeure
Recommendations ● Elaborer et mettre en oeuvre des procédures de sécurité destinées à
protéger les matériels laissés sans surveillance qui s’assurent que ​
​
les
utilisateurs protègent les ordinateurs ou les appareils mobiles, lorsqu’ils ne
s’en servent pas, contre toute utilisation non autorisée par une clé ou un
dispositif équivalent tel qu’un mot de passe.
Documents Consultés Entretien avec le responsable.
A.12 Sécurité liée à l’exploitation
A.12.1 Procédures et responsabilités liées à l’exploitation
A.12.1.1 Procédures d’exploitation documentées
Description Les procédures d’exploitation doivent être documentées et mises à disposition de tous
les utilisateurs concernés
Observations ● Les modifications des procédures d'exploitation (systèmes, applications, BD,
équipements et solutions réseau et sécurité, etc.) sont approuvées par les
responsables concernés.
● Les procédures d'exploitation ne sont pas documentées ou maintenues ou
mises à la disposition de tous les utilisateurs qui en ont besoin.
● Les procédures d'exploitation ne sont pas protégées contre des altérations
illicites.
● Manque de revue des procédures opérationnelles d'exploitation (systèmes,
applications, équipements et solutions réseau et sécurité, etc.)
● Manque d’historique des mise-à-jour des procédures opérationnelles.
Classement Non-conformité majeure
Recommendations ● Documenter et mettre les procédures d'exploitation à la disposition de tous les
utilisateurs qui en ont besoin.
● Auditer régulièrement l'authenticité et la pertinence des procédures
opérationnelles.
Documents Consultés Entretien avec le responsable
A.12.1.2 Gestion des changements
Description Les changements apportés à l’organisme, aux processus métier, aux systèmes et
moyens de traitement de l’information ayant une incidence sur la sécurité de
l’information doivent être contrôlés.
36
Observations ● Il n’existe pas une procédure de gestion des changements permettant de
contrôler les décisions de changements à apporter au système d'information
(mise en production de nouveaux systèmes/équipements/logiciels ou
d'évolutions de systèmes existants)
Classement Non-conformité majeure
Recommendations ● Implémenter une procédure de gestion des changements qui englobe la
gestion des demandes de changement et leur validation, analyse des risques
potentiels des changements, planification et affectation des rôles et
responsabilités, communication à l'ensemble des personnes concernées test
des changements et mise en production des changements.
● Contrôler les changements apportés à l'organisation, aux processus
commerciaux et aux installations et systèmes de traitement de l'information.
Documents Consultés Entretien avec le responsable.
A.12.1.3 Dimensionnement
Description L’utilisation des ressources doit être surveillée et ajustée et des projections sur les
dimensionnements futurs doivent être effectuées pour garantir les performances
exigées du système
Observations ● Les indicateurs/critères de performance des serveurs et des équipements
réseaux sont définis.
● Les décisions de changement s'appuient sur des analyses de la capacité des
nouveaux équipements et systèmes à assurer la charge requise en fonction des
évolutions des demandes prévisibles.
● Il existe un suivi régulier de la performance des serveurs et des équipements
réseaux.
● Il existe une configuration d'alertes lorsque les seuils de performance sont
atteints.
Classement Conforme
Recommendations ● Créer et documenter des projections de capacité qui décrivent le plan d'achat
pour l'année prochaine.
Documents Consultés Entretien avec le responsable.
A.12.1.4 Séparation des environnements de développement, de test et d’exploitation
Description Les environnements de développement, de test et d’exploitation doivent être séparés
pour réduire les risques d’accès ou de changements non autorisés dans
l’environnement en exploitation
Observations ● Les serveurs applicatifs (où sont installées les applications) et la base de
donnée sont des serveurs dédiés.
● Les environnements de développement et de test ne sont pas séparés des
environnements opérationnels
Classement Non-conformité majeure
37
Recommendations ● Créer et documenter une description complète de la séparation des
environnements de développement, de test et opérationnels.
Documents Consultés Entretien avec le responsable.
A.12.2 Protection contre les logiciels malveillants
A.12.2.1 Mesures contre les logiciels malveillants
Description Des mesures de détection, de prévention et de récupération conju
guées à une sensibilisation des utilisateurs adaptée, doivent être mises en œuvre pour
se protéger contre les logiciels malveillants.
Observations ● Il existe une politique définie afin de lutter contre les risques d'attaque par des
codes malveillants (virus, chevaux de Troie, spyware, vers, etc).
● Les contrôles de détection, de prévention et de récupération ne sont pas mis en
œuvre pour protéger contre les logiciels malveillants.
● Il n’y a pas un abonnement à un centre d'alerte permettant d'être prévenu et
d'anticiper certaines attaques massives pour lesquelles les antivirus ne sont
pas encore à jour.
● Manque de revue de la politique de protection contre les logiciels
malveillants.
Classement Non-conformité majeure
Recommendations ● Installer et mettre régulièrement à jour le logiciel de détection et de réparation
des logiciels malveillants pour analyser les ordinateurs et les supports à titre
préventif ou de façon routinière.
● L'analyse effectuée doit s’assurer de :
1) Analyser tous les fichiers reçus sur les réseaux ou via toute forme de support de
stockage, à la recherche de logiciels malveillants avant utilisation .
2) Analyser les pièces jointes aux e-mails et les téléchargements à la recherche de
logiciels malveillants avant utilisation , cette analyse doit être effectuée à différents
endroits, par ex. sur les serveurs de messagerie électronique, les ordinateurs de
bureau et lors de l'entrée sur le réseau de l'organisation .
3) Analyser les pages Web à la recherche de logiciels malveillants.
Documents consultés Entretien avec le responsable.
A.12.3 Sauvegarde
A.12.3.1 Sauvegarde des informations
Description Des copies de sauvegarde de l’information, des logiciels et des images systèmes
doivent être réalisées et testées régulièrement conformément à une politique de
sauvegarde convenue.
Observations ● Les copies de sauvegarde des informations, des logiciels et des images
système ne sont ni prises ni testées régulièrement conformément à un accord
politique de sauvegarde.
● Il existe une politique de sauvegarde qui couvre les données applicatives, les
38
programmes (sources et/ou exécutables), les paramètres de configuration des
applications et des logiciels de base (les différents fichiers de paramétrages)
● Manque de revue de la politique de sauvegarde.
Classement Non-conformité majeure
Recommendations ● Mettre en œuvre et documenter les procédures décrivant les tests réguliers des
supports de sauvegarde pour s'assurer qu'ils peuvent être utilisés en cas
d'urgence si nécessaire ceci doit être combiné avec un test des procédures de
restauration et vérifié par rapport au temps de restauration obligatoire.
Documents consultés Entretien avec le responsable.
A.12.4 Journalisation et surveillance
A.12.4.1 Journalisation des événements
Description Des journaux d’événements enregistrant les activités de l’utilisateur, les exceptions,
les défaillances et les événements liés à la sécurité de l’information doivent être créés,
tenus à jour et vérifiés régulièrement.
Observations ● Les événements sont enregistrés et journalisés, et les installations de
journalisation sont sécurisées contre les falsifications.
● Il n’existe pas une analyse spécifique des besoins en termes de journalisation.
Classement Non-conformité mineure
Recommendations ● Développer, documenter, mettre en œuvre et maintenir des
politiques/procédures efficaces de gestion des journaux dans toute l'entreprise.
Documents consultés ● Entretien avec le responsable
A.12.4.2 Protection de l’information journalisée
Description Les moyens de journalisation et d’information journalisée doivent être protégés
contre les risques de falsification ou d’accès non autorisé.
Observations ● Absence des mécanismes de protection des fichiers journaux.
● Les processus qui assurent la journalisation ne sont pas sous un contrôle strict.
● Les enregistrements sont enregistrés sur les serveurs pour une durée d'une
année.
Classement Non-conformité majeure
Recommendations ● Utiliser des mécanismes de protection des fichiers journaux: exemples :
chiffrement, un système de détection de modification, et contrôle d'accès.
● Réaliser un audit au moins annuel du processus d'enregistrement (y compris
des processus visant à détecter les tentatives de modification et les processus
de réaction à ces tentatives de modification).
Documents consultés Entretien avec le responsable.
39
A.12.4.3 Journaux administrateur et opérateur
Description Les activités de l’administrateur système et de l’opérateur système doivent être
journalisées, protégées et vérifiées régulièrement.
Observations ● Analyse occasionnelle des événements sur les systèmes/bases de données/
équipements réseaux/solutions de sécurité.
● Absence d’un système qui détecte toute modification du système
d'enregistrement et déclenche une alerte immédiate auprès d'un responsable
● Absence de rapport d’analyse des événements.
Classement Non-conformité mineure
Recommendations ● Configurer les ressources critiques, accès à des informations sensibles,
utilisation d'outils sensibles, téléchargement ou modification d'outils
d'administration, etc
● Installer un système permettant de détecter toute modification du système
d'enregistrement et de déclencher une alerte immédiate auprès d'un
responsable.
Documents consultés Entretien avec le responsable.
A.12.4.4 Synchronisation des horloges
Description Les horloges de l’ensemble des systèmes de traitement de l’information concernés
d’un organisation ou d’un domaine de sécurité doivent être synchronisées sur une
source de référence
Observations ● Absence d’un dispositif de synchronisation des horloges des systèmes et des
équipements réseau et sécurité.
Classement Non-conformité majeure
Recommendations ● Installer un dispositif de synchronisation des horloges des systèmes et des
équipements réseau et sécurité avec un référentiel de temps précis (un serveur
NTP).
Documents consultés Entretien avec le responsable.
A.12.5 Maîtrise des logiciels en exploitation
A.12.5.1 Installation de logiciels sur des systèmes en exploitation
Description Des procédures doivent être mises en œuvre pour contrôler l’installation de logiciel
sur des systèmes en exploitation.
Observations N/A
Classement Ne peut être évalué
Recommendations N/A
Documents consultés Entretien avec le responsable.
40
A.12.6 Gestion des vulnérabilités techniques
A.12.6.1 Gestion des vulnérabilités techniques
Description Des informations sur les vulnérabilités techniques des systèmes d’information en
exploitation doivent être obtenues en temps opportun, l’exposition de l’organisme à
ces vulnérabilités doit être évaluée et les mesures appropriées doivent être prises pour
traiter le risque associé.
Observations ● Il n’existe pas une procédure de gestion de vulnérabilités techniques
permettant d’identifier, d’évaluer et de répondre aux vulnérabilités
● Il n’existe pas des procédures pour contrôler l'installation des logiciels sur les
systèmes opérationnels
● Il n'existe pas des politiques pour empêcher l'exploitation des vulnérabilités
techniques
Classement Non-conformité majeure
Recommendations ● Documenter et mettre en œuvre une politique de gestion des vulnérabilités
distincte.
● Établir des procédures pour identifier et corriger rapidement les vulnérabilités
afin de minimiser les failles de sécurité associées aux vulnérabilités non
corrigées.
Documents consultés Entretien avec le responsable.
A.12.6.2 Restrictions liées à l’installation de logiciels
Description Des règles régissant l’installation de logiciels par les utilisateurs doivent être établies
et mises en œuvre.
Observations N/A
Classement Ne peut être évalué
Recommendations N/A
Documents consultés Entretien avec le responsable.
A.12.7 Considérations sur l’audit des systèmes d’information
A.12.7.1 Mesures relatives à l’audit des systèmes d’information
Description Les exigences et activités d’audit impliquant des vérifications sur des systèmes en
exploitation doivent être prévues avec soin et validées afin de réduire au minimum les
perturbations subies par les processus métier.
Observations ● Absence de procédure d’audit des systèmes d’information.
41
Classement Non-conformité majeure
Recommendations ● Établir et mettre en œuvre une procédure formelle d’audit des systèmes
d’information, définissant les règles concernant les audits menés sur les
systèmes opérationnels/ réseaux et les responsabilités associées.
Documents consultés Entretien avec le responsable.
A.13 Sécurité des communications
A.13.1 Gestion de la sécurité des réseaux
A.13.1.1 Contrôle des réseaux
Description Les réseaux doivent être gérés et contrôlés pour protéger l’information contenue dans
les systèmes et les applications
Observations ● Les réseaux sont gérés et contrôlés.
● Existence des mesures spéciales pour préserver la confidentialité et l’intégrité
des données transmises sur les réseaux publics ou les réseaux sans fil.
● Existence des mesures spéciales pour maintenir la disponibilité des services
réseau.
● Les actions susceptibles d’affecter la sécurité de l’information sont détectées et
journalisées.
● Les systèmes sont authentifiés sur le réseau.
● Absence de procédure de gestion des équipements réseau.
Classement Non-conformité mineure
Recommendations ● Créer une documentation formelle de la configuration des contrôles du réseau.
Documents consultés Entretien avec le responsable.
A.13.1.2 Sécurité des services de réseau
Description Pour tous les services de réseau, les mécanismes de sécurité, les niveaux de service et
les exigences de gestion, doivent être identifiés et intégrés dans les accords de services
de réseau, que ces services soient fournis en interne ou externalisés
Observations ● La capacité du fournisseur des services réseaux n’est pas déterminée ou
surveillée régulièrement.
Classement Non-conformité majeure
42
Recommendations ● Identifier et documenter les dispositions de sécurité nécessaires à des services
en particulier, telles que les fonctions de sécurité, les niveaux de sécurité de
service et les exigences de gestion.
Documents consultés Entretien avec le responsable.
A.13.1.3 Cloisonnement des réseaux
Description Les groupes de services d’information, d’utilisateurs et de systèmes d’information
doivent être cloisonnés sur les réseaux.
Observations ● Le réseau est divisé en domaines séparés en faisant recours à des réseaux
physiques différents en plus des réseaux logiques différents (VLANs).
● L’accès entre les différents domaines du réseau est contrôlé au niveau du
périmètre en utilisant une passerelle (pare-feu).
Classement Non-conformité mineure
Recommendations ● Définir, documenter et tenir à jour le périmètre de chaque domaine.
Documents consultés Entretien avec le responsable.
A.13.2 Transfert de l’information
A.13.2.1 Politiques et procédures de transfert de l’information
Description Des politiques, des procédures et des mesures de transfert formelles doivent être mises
en place pour protéger les transferts d’information transitant par tous types
d’équipements de communication
Observations ● La sécurité des informations et des logiciels transférés au sein d'une
organisation et avec toute entité externe n’est pas maintenue.
● Absence d’une politique décrivant l’utilisation acceptable des équipements de
communication.
● Absence d’une procédure de protection de l’information transférée contre
l’interception, la reproduction, la modification, les erreurs d’acheminement et
la destruction.
● Absence d'une procédure de détection et de protection contre les logiciels
malveillants.
Classement Non-conformité majeure
Recommendations ● Établir, documenter et mettre en œuvre une politique qui énonce les méthodes
qui doivent être appliquées pour entreprendre un transfert d'informations
● Implémenter une procédure de protection et détection contre les logiciels
malveillants.
Documents consultés Entretien avec le responsable.
A.13.2.2 Accords en matière de transfert d’information
Description Des accords doivent traiter du transfert sécurisé de l’information liée à l’activité entre
43
l’organisme et les tiers.
Observations ● Établissement d’accords traitant le transfert sécurisé de l’information.
Classement Non-conformité mineure
Recommendations ● Identifier et documenter les responsabilités de gestion, pour contrôler et
informer de la transmission, de la répartition et de la réception de
l’information.
● Élaborer et mettre en œuvre une procédure de gestion de la traçabilité et la
non-répudiation.
Documents consultés Entretien avec le responsable.
A.13.2.3 Messagerie électronique
Description L’information transitant par la messagerie électronique doit être protégée de manière
appropriée.
Observations ● Existence d’une politique de sécurité propre à la messagerie électronique.
● Les messages ne sont pas protégés contre tout accès non autorisé.
Classement Non-conformité majeure
Recommendations ● Établir et documenter des lignes directrices pour l'utilisation de la messagerie
électronique qui informent les utilisateurs de ce que le responsable considère
comme une utilisation acceptable et inacceptable de son processus de
messagerie.
Documents consultés Entretien avec le responsable.
A.13.2.4 Engagements de confidentialité ou de non-divulgation
Description Les exigences en matière d’engagements de confidentialité ou de non divulgation,
doivent être identifiées, vérifiées régulièrement et documentées conformément aux
besoins de l’organisme
Observations ● Les salariés et les sous-traitants signent des engagements de confidentialité ou
de non divulgation.
Classement Non-conformité mineure
Recommendations ● Vérifier les engagements de confidentialité et de non divulgation à intervalles
réguliers et en cas de changements.
Documents consultés Entretien avec le responsable.
44
A.14 Acquisition, développement et maintenance des systèmes
d’information
A.14.1 Exigences de sécurité applicables aux systèmes d’information
A.14.1.1 Analyse et spécification des exigences de sécurité de l’information
Description Les exigences liées à la sécurité de l’information doivent être intégrées aux exigences
des nouveaux systèmes d’information ou des améliorations de systèmes d’information
existants.
Observations ● Absence d'analyse des risques de sécurité de l’information réalisée dès la phase
de conception des nouveaux systèmes d’information ou leur amélioration.
Classement Non-conformité majeure
Recommendations ● Implémenter une analyse des risques de sécurité de l’information.
● Documenter et définir les exigences pour les nouveaux systèmes d'information
dans le cadre de la politique de lancement de projet ou les améliorations
apportées aux systèmes d'information existants dans le cadre de la politique de
gestion du changement.
Documents consultés Entretien avec le responsable.
A.14.1.2 Sécurisation des services d’application sur les réseaux publics
Description Les informations liées aux services d’application transmises sur les réseaux publics
doivent être protégées contre les activités frauduleuses, les différents contractuels, ainsi
que la divulgation et la modification non autorisées
Observations ● Les informations impliquées dans les services d'application passant les réseaux
publics sont protégées contre les activités frauduleuses, les contrats litige et
divulgation et modification non autorisées
● L’identité déclarée des parties qui échangent l’information sur les réseaux
publics est vérifiée
Classement Non-conformité mineure
Recommendations ● Définir et documenter des processus d’autorisation liés aux personnes qui
peuvent approuver le contenu, émettre ou signer des documents transactionnels
clés.
Documents consultés Entretien avec le responsable.
A.14.1.3 Protection des transactions liées aux services d’application
Description Les informations impliquées dans les transactions liées aux services d’application
doivent être protégées pour empêcher une transmission incomplète, des erreurs
d’acheminement, la modification non autorisée, la divulgation non autorisée, la
duplication non autorisée du message ou sa réémission
45
Observations ● La signature électronique n’est pas utilisée par les parties impliquées dans les
transactions.
Classement Non-conformité majeure
Recommendations ● Documenter l'utilisation de méthodes d'authentification sécurisées pour les
applications accessibles via des réseaux publics, par ex. en utilisant la
cryptographie à clé publique, les signatures numériques et l'authentification
multifactorielle pour réduire les risques.
Documents consultés Entretien avec le responsable.
A.14.2 Sécurité des processus de développement et d’assistance technique
A.14.2.1 Politique de développement sécurisé
Description Des règles de développement des logiciels et des systèmes doivent être établies et
appliquées aux développements de l’organisme.
Observations ● L’organisme audité ne fait pas de développement des logiciels.
Classement Ne peut être évalué
Recommendations N/A
Documents consultés Entretien avec le responsable.
A.14.2.2 Procédures de contrôle des changements de système
Description Les changements des systèmes dans le cadre du cycle de développement doivent être
contrôlés par le biais de procédures formelles.
Observations N/A
Classement Ne peut être évalué
Recommendations N/A
Documents consultés Entretien avec le responsable.
A.14.2.3 Revue technique des applications après changement apporté à la plateforme d’exploitation
Description Lorsque des changements sont apportés aux plateformes d’exploitation, les
applications critiques métier doivent être vérifiées et testées afin de vérifier l’absence
de tout effet indésirable sur l’activité ou sur la sécurité.
Observations ● La revue et les tests de l'impact des modifications apportées à la plateforme
d’exploitation sur les applications critiques sont réalisés de manière irrégulière.
Classement Non-conformité mineure
Recommendations ● Notifier les changements apportés à la plateforme d’exploitation (systèmes
d’exploitation, BD, …) afin que les tests et revues appropriés soient réalisés
46
avant leur mise en œuvre.
● Réaliser une revue et des tests de l'impact des modifications apportées à la
plateforme d’exploitation sur les applications critiques.
Documents consultés Entretien avec le responsable.
A.14.2.4 Restrictions relatives aux changements apportés aux progiciels
Description Les modifications des progiciels ne doivent pas être encouragées, être limitées aux
changements nécessaires et tout changement doit être strictement contrôlé.
Observations N/A
Classement Ne peut être évalué
Recommendations N/A
Documents consultés Entretien avec le responsable.
A.14.2.5 Principes d’ingénierie de la sécurité des systèmes
Description Des principes d’ingénierie de la sécurité des systèmes doivent être établis, documentés,
tenus à jour et appliqués à tous les travaux de mise en œuvre des systèmes
d’information.
Observations ● Les procédures d’ingénierie de la sécurité des systèmes d’information ne sont
ni élaborées ni appliquées aux activités internes d’ingénierie des systèmes
d’information.
Classement Non-conformité majeure
Recommendations ● Implémenter et appliquer une procédure d’ingénierie de la sécurité des
systèmes d’information.
● Concevoir cette sécurité à tous les niveaux de l’architecture (activité, données,
applications et technologie).
Documents consultés Entretien avec le responsable.
A.14.2.6 Environnement de développement sécurisé
Description Les organismes doivent établir des environnements de développement sécurisés pour
les tâches de développement et d’intégration du système qui englobe l’intégralité du
cycle de vie du développement du système, et en assurer la protection de manière
appropriée.
Observations ● L’organisme audité ne fait pas de développement
Classement Ne peut être évalué
Recommendations N/A
Documents consultés Entretien avec le responsable.
47
A.14.2.7 Développement externalisé
Description L’organisme doit superviser et contrôler l’activité de développement du système
externalisée
Observations ● L’organisme audité ne fait pas de développement
Classement Ne peut être évalué
Recommendations N/A
Documents consultés Entretien avec le responsable.
A.14.2.8 Test de la sécurité du système
Description Les tests de fonctionnalité de la sécurité doivent être réalisés pendant le développement
Observations ● L’organisme audité ne fait pas de développement
Classement Ne peut être évalué
Recommendations N/A
Documents consultés Entretien avec le responsable.
A.14.2.9 Test de conformité du système
Description Des programmes de test de conformité et des critères associés doivent être déterminés
pour les nouveaux systèmes d’information, les mises à jour et les nouvelles versions
Observations ● Absence de liste des paramètres de sécurité et règles de configuration.
● Absence de rapports des outils d’analyse de code et des scanners de
vulnérabilité.
Classement Non-conformité majeure
Recommendations ● Tenir à jour une liste contenant les paramétrages de sécurité et règles de
configuration (suppression de tout compte générique, changement de tout mot
de passe générique, fermeture de tout port non explicitement demandé et
autorisé, paramétrages du contrôle des droits et de l'authentification, contrôles
des tables de routage, etc.).
● Contrôler ces paramétrages de sécurité et règles de configuration en utilisant,
entre autres, des outils d’analyse de code ou des scanneurs de vulnérabilités.
Documents consultés Entretien avec le responsable.
A.14.3 Données de test
A.14.3.1 Protection des données de test
Description Les données de test doivent être sélectionnées avec soin, protégées et Contrôlées
Observations ● Les données de test n’existent pas.
48
Classement Non-conformité majeure
Recommendations ● Éviter, dans le cadre d'essais, l’utilisation des bases de données de production
contenant des informations personnelles ou toute autre information sensible.
● Lorsque des données personnelles ou sensibles doivent malgré tout être
utilisées, prendre le soin de supprimer les détails et contenus sensibles avant de
les utiliser (ou de les modifier afin de les rendre anonymes).
● Appliquer une procédure de contrôle d’accès pour les systèmes d’applications
en exploitation et les systèmes d’applications de test.
● Effacer les informations d’exploitation immédiatement d’un environnement de
test après la fin des tests.
● Journaliser toute reproduction et utilisation de l’information d’exploitation afin
de créer un système de traçabilité.
Documents consultés Entretien avec le responsable.
A.15 Relations avec les fournisseurs
A.15.1 Sécurité dans les relations avec les fournisseurs
A.15.1.1 Politique de sécurité de l’information dans les relations avec les fournisseurs
Description Des exigences de sécurité de l’information pour limiter les risques résultant de l’accès
des fournisseurs aux actifs de l’organisme doivent être acceptées par le fournisseur et
documentées
Observations ● Les exigences de sécurité de l'information ne sont pas convenues ni
documentées avec les fournisseurs.
● La politique relative aux relations avec les fournisseurs n’est pas documentée.
Classement Non-conformité majeure
Recommendations ● Identifier et documenter les types de fournisseurs, par ex. Services
informatiques, utilités logistiques, services financiers, composants
d'infrastructure informatique, à qui l'USTHB permettra d'accéder à ses
informations.
● Élaborer une politique identifiant et imposant des mesures de sécurité
spécifiques aux accès des fournisseurs aux actifs.
Documents consultés Entretien avec le responsable.
A.15.1.2 La sécurité dans les accords conclus avec les fournisseurs
Description Les exigences applicables liées à la sécurité de l’information doivent être établies et
convenues avec chaque fournisseur pouvant accéder, traiter, stocker, communiquer ou
fournir des composants de l’infrastructure informatique destinés à l’information de
l’organisme.
Observations ● Les exigences pertinentes en matière de sécurité de l'information ne sont pas
établies et convenues avec chaque fournisseur qui peut accéder à l’information.
49
Classement Non-conformité majeure
Recommendations ● Identifier les exigences de sécurité de l'information pour chaque type
d'information et type d'accès afin de servir de base aux accords individuels avec
les fournisseurs.
Documents consultés Entretien avec le responsable.
A.15.1.3 Chaîne d’approvisionnement des produits et des services informatiques
Description Les accords conclus avec les fournisseurs doivent inclure des exigences sur le
traitement des risques liés à la sécurité de l’information associé à la chaîne
d’approvisionnement des produits et des services informatiques.
Observations ● Absence d’analyse des risques de sécurité de l’information associés à la chaîne
d’approvisionnement.
Classement Non-conformité majeure
Recommendations ● Réaliser une analyse de risque.
● Assurer que les fournisseurs signalent et documentent tout incident de sécurité
touchant les actifs.
Documents consultés Entretien avec le responsable.
A.15.2 Gestion de la prestation du service
A.15.2.1 Surveillance et revue des services des fournisseurs
Description Les organismes doivent surveiller, vérifier et auditer à intervalles réguliers la prestation
des services assurés par les fournisseurs.
Observations ● Absence de rapport de surveillance des niveaux de performance des services
des fournisseurs.
Classement Non-conformité majeure
Recommendations ● Vérifier si les niveaux de performance des services sont surveillés et si leur
conformité avec les accords.
● Revoir les aspects liés à la sécurité de l’information dans les relations du
fournisseur.
Documents consultés Entretien avec le responsable.
A.15.2.2 Gestion des changements apportés dans les services des fournisseurs
Description Les changements effectués dans les prestations de service des fournisseurs, comprenant
le maintien et l’amélioration des politiques, procédures et mesures existant en matière
de sécurité de l’information, doivent être gérés en tenant compte du caractère critique
de l’information, des systèmes et des processus concernés et de la dépréciation des
risques.
50
ISO 27001
ISO 27001
ISO 27001
ISO 27001
ISO 27001
ISO 27001
ISO 27001
ISO 27001
ISO 27001
ISO 27001

Contenu connexe

Tendances

ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
PECB
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
Diane de Haan
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
Ammar Sassi
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
PECB
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatiqueetienne
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
Comsoce
 
EBIOS
EBIOSEBIOS
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Ebios
EbiosEbios
Ebios
kilojolid
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
Emna Tfifha
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
FINALIANCE
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
Iso27001
Iso27001 Iso27001
Iso27001
Arsene Allogo
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 

Tendances (20)

ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)la sécurité de l'information (extrait de presentation)
la sécurité de l'information (extrait de presentation)
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
EBIOS
EBIOSEBIOS
EBIOS
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Ebios
EbiosEbios
Ebios
 
Ebios
EbiosEbios
Ebios
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
Sécurité des systèmes d'informations
Sécurité des systèmes d'informations Sécurité des systèmes d'informations
Sécurité des systèmes d'informations
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Présentation audits de sécurité
Présentation   audits de sécuritéPrésentation   audits de sécurité
Présentation audits de sécurité
 
Iso27001
Iso27001 Iso27001
Iso27001
 
Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
 
Mehari
MehariMehari
Mehari
 

Similaire à ISO 27001

Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
AdemKorani
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
Tech4nulls
 
Conduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Conduite d'un projet informatique - Assurance Qualité et Aspects JuridiquesConduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Conduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Mohamed Sabra
 
2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques
PMI Lévis-Québec
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
穆罕 默德穆罕
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
穆罕 默德穆罕
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorCERTyou Formation
 
Optimisation de la performance des SI et des services
Optimisation de la performance des SI et des servicesOptimisation de la performance des SI et des services
Optimisation de la performance des SI et des services
Antoine Vigneron
 
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
ssuserc72852
 
Présentation_MIAGE_CAMTEL_PMCN
Présentation_MIAGE_CAMTEL_PMCNPrésentation_MIAGE_CAMTEL_PMCN
Présentation_MIAGE_CAMTEL_PMCN
Hermann NGUIMO
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
Khouloud Errachedi
 
COBIT
COBIT COBIT
Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...
Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...
Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...Yvon Gervaise
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
Yann Riviere CCSK, CISSP, CRISC, CISM
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
ISACA Chapitre de Québec
 
Iso QSE 2016
Iso QSE 2016Iso QSE 2016
Iso QSE 2016
Yassine Gharbi
 
Présentation événement dette technologique micropole
Présentation événement dette technologique micropolePrésentation événement dette technologique micropole
Présentation événement dette technologique micropoleMicropole Group
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
saqrjareh
 

Similaire à ISO 27001 (20)

Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
 
Guide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptxGuide de mise en œuvre complet en 10 étapes.pptx
Guide de mise en œuvre complet en 10 étapes.pptx
 
Conduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Conduite d'un projet informatique - Assurance Qualité et Aspects JuridiquesConduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
Conduite d'un projet informatique - Assurance Qualité et Aspects Juridiques
 
2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques2015-04-28 Bruno Guay Sécurité des projets informatiques
2015-04-28 Bruno Guay Sécurité des projets informatiques
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
 
Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02Cgaudit2009 111017194600-phpapp02
Cgaudit2009 111017194600-phpapp02
 
audit 2009
 audit 2009 audit 2009
audit 2009
 
Is27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditorIs27001 la formation-iso-iec-27001-lead-auditor
Is27001 la formation-iso-iec-27001-lead-auditor
 
Optimisation de la performance des SI et des services
Optimisation de la performance des SI et des servicesOptimisation de la performance des SI et des services
Optimisation de la performance des SI et des services
 
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
1.3_Intr_ISO_27001_pr_voca_fr.ppt EXERCICE x
 
Présentation_MIAGE_CAMTEL_PMCN
Présentation_MIAGE_CAMTEL_PMCNPrésentation_MIAGE_CAMTEL_PMCN
Présentation_MIAGE_CAMTEL_PMCN
 
Etude comparative iso 9001 vs iso 27001.ppt
Etude comparative  iso 9001 vs iso 27001.pptEtude comparative  iso 9001 vs iso 27001.ppt
Etude comparative iso 9001 vs iso 27001.ppt
 
COBIT
COBIT COBIT
COBIT
 
Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...
Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...
Qu'est ce que le pilotage de la performance dans un laboratoire d'analyse et ...
 
GTAG Documents de référence
GTAG Documents de référenceGTAG Documents de référence
GTAG Documents de référence
 
GTAG: Documents de référence
GTAG: Documents de référenceGTAG: Documents de référence
GTAG: Documents de référence
 
Iso QSE 2016
Iso QSE 2016Iso QSE 2016
Iso QSE 2016
 
Présentation événement dette technologique micropole
Présentation événement dette technologique micropolePrésentation événement dette technologique micropole
Présentation événement dette technologique micropole
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
 

ISO 27001

  • 1. République Algérienne Démocratique et Populaire Ministère de l’Enseignement Supérieur et de la Recherche Scientifique Université des Sciences et de la Technologie Houari Boumediene Faculté d’informatique Rapport de projet : Audit informatique Filière: Informatique Spécialité: M2 SSI Énoncé: “Effectuer un audit de conformité à la norme ISO 27001 pour le site web de la commune de Bab Ezzouar hébergé au niveau de la salle de conférence de l'USTHB” Équipe: All Secure À remettre avant le : 06/02/2022 Projet Proposé par: M. A.Berbar Réalisé par : ● MELLAH Mouloud ● HASBELLAOUI Sara ● HIRECHE Chahrazed ● DJOUADA Mehdi
  • 2. Table des Matières Table des Matières 1 1. Objectifs de l’audit 2 1.1 But de audit 2 1.2 Type de l’audit 2 1.3 Résultats attendus 2 2. Guide Opérationnel 3 2.1 Organisation du Document 3 2.2 Critères d’évaluation de la conformité 4 3. Synthèse générale 4 3.1 Points forts 4 3.2 Points faibles 4 3.3 Niveau de conformité global 5 3.4 Conclusion Générale 6 4. Analyse globale 8 4.1 Actifs 8 4.2 Systèmes et service 9 4.1 Schéma de l’architecture du réseau 9 5. Analyse des non-conformités et recommandations 10 5.1 Analyse des non-conformités et Recommandations — Activités du SMSI 10 Phase Plan 10 Phase Do 12 Phase Check 13 Phase Act 13 5.2 Analyse des non-conformités et Recommandations — Contrôles de l’Annexe A14 A.5 Politiques de sécurité 14 A.6 Organisation de la sécurité de l’information 15 A.7 Sécurité des ressources humaines 18 A.8 Gestion des actifs 20 A.9 Contrôle d’accès 24 A.10 Cryptographie 29 A.11 Sécurité physique et environnementale 30 A.12 Sécurité liée à l’exploitation 36 A.13 Sécurité des communications 42 A.14 Acquisition, développement et maintenance des systèmes d’information 45 A.15 Relations avec les fournisseurs 49 A.16 Gestion des incidents liés à la sécurité de l’information 51 A.17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité 54 A.18 Conformité 57 1
  • 3. 1. Objectifs de l’audit 1.1 But de audit La mission consiste à effectuer un audit de conformité pour le site web de la commune de Bab Ezzouar hébergé au niveau de la salle de conférence de l’USTHB. Le principal objectif de cet audit est de déterminer les éventuelles non-conformités par rapport à la norme ISO 27001 en évaluant l’existence et l’efficacité du système de management de la sécurité de l’information et en déterminant la maturité des mesures et contrôles de sécurité mis en place selon les quatorze (14) domaines qui figurent dans l’annexe A de la norme, notamment : ● A.5 Politiques de sécurité de l’information ● A.6 Organisation de la sécurité de l’information ● A.7 Sécurité des ressources humaines ● A.8 Gestion des actifs ● A.9 Contrôle d’accès ● A.10 Cryptographie ● A.11 Sécurité physique et environnementale ● A.12 Sécurité liée à l’exploitation ● A.13 Sécurité des communications ● A.14 Acquisition, développement et maintenance des systèmes d’information ● A.15 Relations avec les fournisseurs ● A.16 Gestion des incidents liés à la sécurité de l’information ● A.17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité ● A.18 Conformité 1.2 Type de l’audit Un audit en boîte blanche d’une durée de 8 jours. 1.3 Résultats attendus A la fin de l' audit, le client pourra déterminer son niveau de conformité par rapport aux exigences de la norme ISO 27001 et les mesures qui doivent être prises pour se préparer à la certification. 2
  • 4. 2. Guide Opérationnel Cette partie du document présente l'organisation du rapport, ainsi que les critères d'évaluation de la conformité à la norme ISO 27001. 2.1 Organisation du Document Section Description Destination Objectifs de l’audit Définition du but et du contexte dans lesquels est réalisé l’audit. Les décideurs + les responsables + l’équipe technique. Guide Opérationnel Guide de lecture du rapport expliquant son plan. Les décideurs + les responsables + l’équipe technique. Synthèse générale Résumé du niveau de conformité Les décideurs + les responsables + l’équipe technique. Analyse globale Évaluation globale de la conformité. L’équipe chargée de la sécurité informatique. Analyse des non-conformités et Recommandations (Activités du SMSI) Des recommandations d'améliorations relatives aux activités du SMSI, nécessaires à mettre en œuvre pour atteindre le niveau de conformité requis par la certification ISO 27001. L’équipe chargée de la sécurité informatique. Analyse des non-conformités et Recommandations (Contrôles — Annexe A ) Des recommandations d'améliorations des contrôles techniques, nécessaires à mettre en œuvre pour atteindre le niveau de conformité requis par la certification ISO 27001. L’équipe chargée de la sécurité informatique. 3
  • 5. 2.2 Critères d’évaluation de la conformité Classement des observations (Niveau de conformité) Description Non-conformité majeure Amélioration significative nécessaire (non-conformités majeures). Non-conformité mineure Amélioration mineure à modérée nécessaire (non-conformités mineures). Conforme Prêt pour la certification. Ne peut être évalué Le contrôle ne peut pas être évalué car il n'a pas été ni conçu ni mis en œuvre et son applicabilité au SMSI n'a pas été définie. 3. Synthèse générale 3.1 Points forts ● Présence d’une solution de secours (serveur de backup). ● Les employés sont sensibilisés et tenus de respecter les politiques et les procédures de sécurité de l'information. ● Existence d’un suivi régulier de la performance des serveurs et des équipements réseaux. ● Existence d’une configuration d'alertes lorsque les seuils de performance sont atteints. ● Les droits d’accès sont vérifiés et examinés à intervalles réguliers. ● Les systèmes d'information sont régulièrement examinés pour vérifier leur conformité technique aux politiques et aux normes. ● Existence des mesures spéciales pour préserver la confidentialité et l’intégrité des données transmises sur les réseaux publics ou les réseaux sans fil. 3.2 Points faibles ● Absence d’une évaluation de risque, et ainsi que du document de déclaration d'applicabilité (SOA). ● Aucune procédure de contrôle d’accès physique n’est mise en œuvre. ● Aucune étude sur les menaces physiques et environnementales n’a été menée. 4
  • 6. ● Aucun système de détection automatique d'incendie ainsi que d'extinction n’est mis en place pour les locaux sensibles. ● Les équipements ne disposent pas d’une alimentation de secours en cas d’arrêt temporaire de l'alimentation électrique principale et ne sont pas examinés et testés de manière régulière pour s’assurer de leur fonctionnement correct. ● Absence de procédure de signalement des failles liées à la sécurité de l’information. ● Conformité aux légales, statutaires, réglementaires et contractuelles en vigueur n’est pas définie explicitement, ni documentée. ● Absence de politique de protection de la vie privée et des données à caractère personnel. 3.3 Niveau de conformité global Le graphique en radar ci-dessous fournit un résumé graphique des résultats de l'évaluation. Le graphique décrit le niveau de conformité actuel de chacun des contrôles de ISO/IEC 27001:2013 Annexe A. À Chaque niveau de conformité correspond un niveau numérique sur le graphique : ● 1 - Non conformité majeure ● 2 - Non conformité mineure ● 3 - Conforme 5
  • 7. 3.4 Conclusion Générale La faculté d’informatique de l'USTHB doit attribuer des rôles et des responsabilités, pour gérer toutes les actions liées à l'analyse des non-conformités, à l'exécution des améliorations et à la mise en œuvre des contrôles afin d’atteindre un état acceptable pour la certification. Le tableau ci-dessous montre les contrôles de l'ISO 27001:2013 classés et hiérarchisés en fonction des niveaux de conformité. Le tableau représente un guide pour commencer à exécuter des améliorations sur les clauses de non-conformité mineure et poursuivre avec les non-conformités majeures. Il est fortement recommandé de suivre l'ordre des étapes en le mettant en œuvre dans un plan visant à se préparer pour la certification ISO 27001. Les contrôles, qui sont marqués comme des non-conformités mineures peuvent être résolus par des activités ponctuelles, alors que les non-conformités majeures requièrent une approche itérative, en équipe, afin de mener à bien toutes les activités et de résoudre les problèmes efficacement et à temps. # Contrôles Niveau de conformité Recommandations — Contrôles de l’Annexe A A.7.2 Pendant la durée du contrat Conforme 1 Étape 1 1.1 A.7.3 Rupture, terme ou modification du contrat de travail Non conformité mineure 1.2 A.13.1 Gestion de la sécurité des réseaux Non conformité mineure 1.3 A.17.2 Redondances Non conformité mineure 1.4 A.18.2 Revue de la sécurité de l’information Non conformité mineure Étape 2 2.1 A.5.1 Orientation de la direction pour la sécurité de l’information Non conformité majeure 2.2 A.6.1 Organisation interne Non conformité majeure 2.3 A.6.2 Appareils mobiles et télétravail Non conformité majeure 2.4 A.7.1 Avant l’embauche Non conformité majeure 2.5 A.8.1 Responsabilités relatives aux actifs Non conformité majeure 6
  • 8. 2.6 A.8.2 Classification de l’information Non conformité majeure 2.7 A.8.3 Manipulation des supports Non conformité majeure 2.8 A.9.1 Exigences métier en matière de contrôle d’accès Non conformité majeure 2.9 A.9.2 Gestion de l’accès utilisateur Non conformité majeure 2.10 A.9.3 Responsabilités des utilisateurs Non conformité majeure 2.11 A.9.4 Contrôle de l’accès au système et à l’information Non conformité majeure 2.12 A.10.1 Mesures cryptographiques Non conformité majeure 2.13 A.11.1 Zones sécurisées Non conformité majeure 2.14 A.11.2 Matériels Non conformité majeure 2.15 A.12.1 Procédures et responsabilités liées à l’exploitation Non conformité majeure 2.16 A.12.2 Protection contre les logiciels malveillants Non conformité majeure 2.17 A.12.3 Sauvegarde Non conformité majeure 2.18 A.12.4 Journalisation et surveillanc Non conformité majeure 2.19 A.12.5 Maîtrise des logiciels en exploitation Non conformité majeure 2.20 A.12.6 Gestion des vulnérabilités techniques Non conformité majeure 2.21 A.12.7 Considérations sur l’audit des systèmes d’information Non conformité majeure 2.22 A.13.2 Transfert de l’information Non conformité majeure 2.23 A.14.1 Exigences de sécurité applicables aux systèmes d’information Non conformité majeure 2.24 A.14.2 Sécurité des processus de développement et d’assistance technique Non conformité majeure 2.25 A.14.3 Données de test Non conformité majeure 2.26 A.15.1 Sécurité dans les relations avec les fournisseurs Non conformité majeure 2.27 A.15.2 Gestion de la prestation du service Non conformité majeure 2.28 A.16.1 Gestion des incidents liés à la sécurité de l’information et améliorations Non conformité majeure 2.29 A.17.1 Continuité de la sécurité de l’information Non conformité majeure 2.30 A.18.1 Conformité aux obligations légales et réglementaires Non conformité majeure 7
  • 9. Recommandations — Activités du SMSI 3 Étape 3 3.1 Définition de la portée Non conformité majeure 3.2 Approche et exécution de l'évaluation des risque Non conformité majeure 3.3 Traitement des risques, y compris déclaration d'applicabilité Non conformité majeure 3.4 Opérationnel Non conformité majeure 3.5 Évaluation de la performance Non conformité majeure 3.6 Amélioration du SMSI Non conformité majeure 4. Analyse globale 4.1 Actifs Périmètre Actifs Salle de conférence 2 serveurs 1 switch Baie de serveurs 4 climatiseurs Identifiants de connexion des utilisateurs du site web e-commune.org Données personnelles des citoyens Documents sensibles: actes d'état-civil, factures Salle de TP 122 1 routeur 1 switch Armoire de brassage Centre de Calcul 1 switch fédérateur Rectorat Point de présence 8
  • 10. Supports de transmission ● Paire torsadée RJ45 cat 5 ● Fibre optique 4.2 Systèmes et service ● Microsoft Windows Server 2008, hébergeant un site web qui utilise une ancienne version de PHP (v5.5.27) ● Cisco IOS 4.1 Schéma de l’architecture du réseau 9
  • 11. 5. Analyse des non-conformités et recommandations Les tableaux au-dessous présentent une analyse des non-conformités et incluent des recommandations pour les améliorations nécessaires pour atteindre le niveau de maturité requis pour la certification ISO 27001. Les actions sont réparties entre les phases Plan, Do, Check et Act du Système de Management de la Sécurité de l'Information (SMSI). Le cycle Plan-Do-Check-Act (PDCA) est un processus itératif et à chaque itération, l'organisation a l'opportunité d'améliorer ses performances. itération, l'organisation a l'opportunité de (re)définir la portée de son Système de Gestion de la Sécurité de l'Information sécurité de l'information, de (re)définir les risques, de (re)sélectionner les contrôles et d'ajuster ou de créer des procédure, des politiques et des directives. 5.1 Analyse des non-conformités et Recommandations — Activités du SMSI A. Phase Plan Définition de la portée Description Le périmètre du SMSI (système de management de sécurité de l’information) doit être défini en termes de caractéristiques de l'entreprise, l'organisation, ses emplacements, ses actifs et ses technologies. Observations ● La portée contenant la liste des zones, des emplacements, des actifs et des technologies n’est pas définie et documentée. ● Les exclusions du champ d'application ne sont pas documentées et justifiées. Classement Non-conformité majeure Recommendations ● Documenter la portée du SMSI, y compris la liste des zones, emplacements, actifs, et technologies de l'organisation (Salle de conférence, Salle 122, rectorat et centre de calcule) ● Documenter toutes les exclusions du champ d'application du SMSI. ● Justifier les exclusions du champ d'application. ● Examiner et approuver le document de portée du SMSI annuellement ou en cas de changements importants dans l'environnement en dehors du cycle d'examen annuel (par exemple, modifications réglementaires, inclusion de nouveaux emplacements, etc.) Documents consultés N/A 10
  • 12. Approche et exécution de l'évaluation des risques Description Une approche d'évaluation des risques doit être créée pour l'organisation. Observations ● Non-existence d’un document qui décrit un cadre de gestion des risques complet, y compris toutes les étapes et les méthodes pertinentes à mettre en œuvre en termes de processus d'évaluation des risques, notamment : - Identification des actifs - Identification des menaces - Identification des vulnérabilités - Analyse de contrôle - Détermination de la probabilité - Évaluation de l’impact potentiel des menace - Classification des risques par ordre de priorité - Recommandations des contrôles - Documentation des résultats Classement Non-conformité majeure Recommendations ● Créer un document de cadre de gestion des risques qui contient une matrice des niveaux de risque basée sur une échelle à 5 niveaux (très faible à très élevé ), et qui fournit des instructions pour la détermination du niveau de risque. ● Ajuster le cadre d'évaluation des risques afin qu'il comprenne les critères d'acceptation des risques et d'identification du niveau acceptable. ● Obtenir l'approbation de la haute direction pour la décision d'accepter les risques résiduels, et l'autorisation obtenue pour le fonctionnement effectif du SMSI. ● Examinez les documents contenant les listes d'actifs et définissez une seule liste complète d'actifs avec les propriétaires d'actifs tout en tenant compte de la recommandation mentionnée ci-dessus. Documents consultés N/A 11
  • 13. Traitement des risques, y compris déclaration d'applicabilité Description Sélectionner la méthode de traitement des risques identifiés et obtenir l'approbation de la direction pour les risques résiduels proposés. Observations ● Un document de déclaration d'applicabilité (SOA) n'est pas disponible. Classement Non-conformité majeure Recommendations ● Dériver le document SOA qui est la sortie d’un plan d'évaluation/de traitement des risques et, si la conformité à la norme ISO 27001 doit être atteinte, relier directement les contrôles sélectionnés aux risques d'origine qu'ils sont censés atténuer. ● Pour chaque risque, évaluer les options de traitement (par exemple, appliquer des contrôles, accepter, éviter ou transférer les risques) et des actions sont effectuées en fonction de l'option sélectionnée. L'approbation de la direction est nécessaire pour chaque situation où les risques sont acceptés. Documents consultés N/A B. Phase Do Opération Description Formuler et mettre en œuvre un plan de traitement des risques qui décrit les mesures de management, les ressources, les responsabilités et les priorités nécessaires à la réalisation du plan. Observations ● Non-existence d’un document qui décrit les exigences relatives à la création d'un plan de traitement des risques. Classement Non-conformité majeure Recommendations ● Développer un plan de traitement des risques complet qui comprendrait : - Des actions de management appropriées. La direction doit être d'accord avec le plan de traitement des risques et approuver toute acceptation des risques. - Des ressources. La direction doit affecter des ressources (par exemple, des heures de travail ou un budget) qui permettent de réaliser le traitement du risque. - Responsabilités en matière de traitement. Une personne ou une équipe responsable qui gérera le processus de traitement doivent être identifiées. - Priorités de traitement. Il convient d'identifier les risques qui seront traités en premier ; en général, il s'agit des risques les plus élevés qui nécessitent le moins d'efforts pour les atténuer. - Date d'échéance : Bien que ce champ ne soit pas obligatoire, nous recommandons de l'inclure afin d'établir des attentes concernant le moment où les actions doivent être réalisées. ● Selon le document Plan de traitement des risques (ou Rapport d'évaluation des risques), documenter les risques identifiés et les décisions sur la manière dont chacun des risques identifiés doit être traité. 12
  • 14. ● Documenter les exigences détaillées pour le plan de traitement des risques (actions). ● Examiner et approuver à nouveau chaque année le document de traitement des risques avec la direction en fonction des résultats de l'évaluation des risques. Documents consultés N/A C. Phase Check Évaluation de la performance Description Le SMSI doit faire l'objet d'un suivi afin de détecter les erreurs et les incidents de sécurité et d'agir en conséquence. Des examens réguliers de l'efficacité du SMSI, des contrôles pertinents et de l'évaluation des risques doivent être effectués. Observations Non-existence d’un document qui décrit les activités qui devraient être prises à chaque étape de la mise en œuvre du SMSI, y compris la phase "Check". Classement Non-conformité majeure Recommendations ● Suivre et examiner les procédures qui sont exécutées pour détecter et agir sur les erreurs et les incidents de sécurité. ● Exécuter une réunion des responsables de la sécurité au cours de laquelle tous les développements liés à la sécurité sont discutés (par exemple, les erreurs et les incidents de sécurité). ● Passez en revue la politique et les objectifs du SMSI, mesurer l'efficacité des contrôles. et le processus d'évaluation des risques. Documents consultés N/A D. Phase Act Amélioration du SMSI Description Après la phase Check (qui comprend plusieurs revues de la direction et l'audit interne), le SMSI doit être amélioré par des actions correctives et préventives. Observations Non-existence d’un document qui décrit les activités qui devraient être prises à chaque étape de la mise en œuvre du SMSI, y compris la phase "Act". Classement Non-conformité majeure Recommendations ●Documenter la procédure d'action corrective et préventive qui a pour but de garantir que les problèmes, les non-conformités, et les améliorations sont traités de manière efficace et efficiente, en minimisant les risques de récurrence. 13
  • 15. ● Les actions correctives et préventives doivent être documentées dans un référentiel ou document consolidé après leur identification et doivent inclure : - Une description de la non-conformité (ou de la non-conformité potentielle). - une analyse des causes fondamentales de la non-conformité. - Les actions nécessaires pour empêcher la récurrence. - L'état d'avancement de l'action. - Les actions identifiées doivent être identifiées doivent être mises en œuvre et le plan doit être mis à jour avec le l'état actuel de l'action. - La date cible de mise en œuvre. ● Les actions correctives et préventives et toute amélioration entreprises doivent être communiquées aux parties concernées ou impactées, et la direction doit confirmer que ces améliorations/actions atteignent les objectifs visés. ● Après l'identification du besoin d'améliorations ou de non-conformités par le biais des revues de la direction, des audits internes et d’autres examens, le plan d'actions correctives et préventives doit être mis à jour et régulièrement revu par la direction. Documents consultés N/A 5.2 Analyse des non-conformités et Recommandations — Contrôles de l’Annexe A Les tableaux au-dessous présentent une analyse des non-conformités et incluent des recommandations pour l'amélioration des contrôles de l'annexe A. A.5 Politiques de sécurité A.5.1 Orientation de la direction pour la sécurité de l’information A.5.1.1 Politique de Sécurité Description Un ensemble de politiques de sécurité de l’information (PSI) doit être défini, approuvé par la direction, diffusé et communiqué aux salariés et aux tiers concernés. Observation ● Non existence des documents de politiques de sécurité de l’information ● Non publication et la communication, à tous les utilisateurs du système d’information (SI) et aux tiers concernés. Classement Non-conformité majeure Recommandations ● Rédiger et documenter les politiques. ● Diviser la politique de sécurité de l'information en politiques thématiques, pour mise en œuvre de contrôles de sécurité de l'information qui sont généralement structurés pour répondre aux besoins de certains groupes ciblés au sein d'une 14
  • 16. organisation ou pour couvrir certains sujets. (par exemple: contrôles cryptographiques, contrôles antivirus, gestion des vulnérabilités techniques…) ● Diffuser la politique de sécurité aux parties concernées. Documents Consultés Entretien avec le responsable. A.5.1.2 Revue des politiques de sécurité de l’information Description Les politiques de sécurité de l’information doivent être revues à intervalles programmés ou en cas de changements majeurs pour garantir leur pertinence, leur adéquation et leur effectivité dans le temps. Observation ● Les politiques de sécurité établies par la faculté d'informatique ne sont pas documentées. ● Toutes les politiques de sécurité sont revues annuellement ● Non-existence de procédures pour le réexamen des politiques de sécurité de l’information. Classement Non-conformité majeure Recommendations ● Documenter les politiques de sécurité. ● Passer en revue les politiques par un comité de sécurité à intervalles planifiés, ou si des changements importants se produisent pour s'assurer qu'elles sont toujours pertinentes, adéquates et efficaces. ● Élaborer, documenter et mettre en œuvre des procédures pour le réexamen des politiques de sécurité. Document Consultés Entretien avec le responsable. A.6 Organisation de la sécurité de l’information A.6.1 Organisation interne A.6.1.1 Fonctions et responsabilités Description Toutes les responsabilités en matière de sécurité de l’information doivent être définies et attribuées. Observation ● Les rôles et les responsabilités au sein de la faculté d’informatique liés à la sécurité de l’information sont bien définis et attribués à des individus ayant les compétences requises. ● La faculté d’informatique n’a aucun document sur l’attribution des rôles et les responsabilités. Classement Non-conformité mineure 15
  • 17. Recommandations ● Documenter les rôles et les responsabilités. Documents Consultés Entretien avec le responsable. A.6.1.2 Séparation des tâches Description Les tâches et les domaines de responsabilité incompatibles doivent être cloisonnés pour limiter les possibilités de modification ou de mauvais usage, non autorisé(e) ou involontaire, des actifs de l’organisme. Observation ● Absence de procédures internes qui identifient les tâches incompatibles. ● Absence de contrôles compensatoires en cas d’attribution des tâches incompatibles à la même personne. Classement Non-conformité majeure Recommendations ● Identifier les tâches incompatibles et attribuer les responsabilités en conséquence. ● Prévoir et réaliser une tâche de vérification régulière, de la définition et de l'attribution des responsabilités, est prévue et réalisée. ● Mettre en place des contrôles compensatoires en cas d’attribution des tâches incompatibles à la même personne. Document Consultés Entretien avec le responsable. A.6.1.3 Relations avec les autorités Description Des relations appropriées avec les autorités compétentes doivent être entretenues. Observation ● Non-identification des autorités compétentes. Classement Non-conformité mineure Recommendations ● Maintenir à jour une liste de contacts des autorités. ● Mettre en oeuvre une procédure d'échange entre l’organisme et ces ● autorités. Documents Consultés Entretien avec le responsable. A.6.1.4 Relations avec des groupes de travail spécialisés Description Des relations appropriées avec des groupes d’intérêt, des forums spécialisés dans la sécurité et des associations professionnelles doivent être entretenues. Observation ● Absence de relations avec des groupes d'intérêt, des forums et des associations. Classement Non-conformité majeure 16
  • 18. Recommendation ● Identifier des groupes d’intérêt, des forums spécialisés dans la sécurité et des associations professionnelles et entretenir des relations avec eux. ● Établir des accords de partage d'informations pour améliorer la coopération et la coordination en matière de sécurité. Documents Consultés Entretien avec le responsable. A.6.1.5 La sécurité de l’information dans la gestion de projet Description La sécurité de l’information doit être considérée dans la gestion de projet, quel que soit le type de projet concerné. Observation ● Absence d’une analyse des risques. Classement Non-conformité majeure Recommendations ● Effectuer une analyse des risques liés à la sécurité de l'information à des stades précoces des projets afin d'identifier les contrôles de sécurité nécessaires. ● Prendre en considération l'expression des besoins de sécurité (confidentialité, intégrité, disponibilité) dans la gestion des projets. ● Mettre en place une coordination entre les différents services concernés par ces projets dès la phase d'expression de ces besoins et la maintenir pendant toutes les phases des projets pour la planification de l'allocation des ressources nécessaires. Documents Consultés Entretien avec le responsable. A.6.2 Appareils mobiles et télétravail A.6.2.1 Politique en matière d’appareils mobiles Description Une politique et des mesures de sécurité complémentaires doivent être adoptées pour gérer les risques découlant de l’utilisation des appareils mobiles. Observation ● Absence de politique d’utilisation des appareils mobiles. Classement Non-conformité majeure Recommendations ● Réaliser une analyse des risques d'utilisation des appareils mobiles. ● Élaborer et mettre en œuvre une politique d'utilisation des appareils mobiles. Documents consultés Entretien avec le responsable. A.6.2.2 Télétravail Description Une politique et des mesures de sécurité complémentaires doivent être mises en œuvre pour protéger les informations consultées, traitées ou stockées sur des sites de télétravail. 17
  • 19. Observation ● L’USTHB n’autorise pas le télétravail. Classement Ne peut pas être évalué Recommendations Documents Consultés Entretien avec le responsable. A.7 Sécurité des ressources humaines A.7.1 Avant l’embauche A.7.1.1 Sélection des candidats Description Des vérifications doivent être effectuées sur tous les candidats à l’embauche conformément aux lois, aux règlements et à l’éthique et être proportionnées aux exigences métier, à la classification des informations accessibles et aux risques identifiés. Observation ● Procédure de recrutement trop simpliste. Classement Non-conformité majeure Recommandations ● Réaliser des contrôles de vérification de fond qui comprennent la confirmation des qualifications académiques et professionnelles prétendues et des contrôles indépendants d'identité pour tous les candidats à l'emploi. Documents Consultés Entretien avec le responsable. A.7.1.2 Termes et conditions d’embauche Description Les accords contractuels entre les salariés et les sous-traitants doivent préciser leurs responsabilités et celles de l’organisme en matière de sécurité de l’information. Observation ● Un simple contrat de travail signé avec les employés contient leurs informations. Classement Non-conformité majeure Recommendations ● Les employés et les sous traitants sont invités à signer un engagement de confidentialité ou de non-divulgation dans le cadre de leurs termes et conditions initiaux du contrat de travail. Document Consultés Entretien avec le responsable. A.7.2 Pendant la durée du contrat A.7.2.1 Responsabilités de la direction 18
  • 20. Description La direction doit demander à tous les salariés et sous traitants d’appliquer les règles de sécurité de l’information Observation ● Les employés sont tenus de respecter les politiques et procédures de sécurité de l'information. Classement Conforme Recommendations Documents Consultés Entretien avec le responsable. A.7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l’information Description L’ensemble des salariés de l’organisme et, quand cela est pertinent, des sous traitants, doit bénéficier d’une sensibilisation et de formations adaptées et recevoir régulièrement les mises à jour des politiques et procédures de l’organisme s’appliquant à leurs fonctions. Observation ● Les employés sont sensibilisés. ● Absences des programmes de formation et de sessions de sensibilisation régulières. Classement Non-conformité mineure Recommendation ● Faire recevoir les nouvelles recrues, et le cas échéant, les nouveaux sous-traitants systématiquement des sessions de sensibilisation à la sécurité du système d’information. ● Faire recevoir tous les employés et les sous traitants périodiquement des sessions de sensibilisation sur les risques liés à l’utilisation des moyens IT et les tendances en la matière et les informer des mises à jour régulières appliquées aux politiques et procédures organisationnelles en ce qui concerne leurs fonctions. Documents Consultés Entretien avec le responsable. A.7.2.3 Processus disciplinaire Description Un processus disciplinaire formel et connu de tous doit exister pour prendre des mesures à l’encontre des salariés ayant enfreint les règles liées à la sécurité de l’information Observation ● Existence d’un processus disciplinaire formel pour les utilisateurs du SI qui ont commis une violation de la politique de sécurité. ● Le processus disciplinaire n’est pas documenté. Classement Non-conformité mineure 19
  • 21. Recommendations ● Documenter et mettre en œuvre des processus disciplinaires conçus pour fournir un processus d'action corrective structuré afin d’améliorer et de prévenir une récurrence du comportement et des performances indésirables des employés problèmes. Documents Consultés Entretien avec le responsable. A.7.3 Rupture, terme ou modification du contrat de travail A.7.3.1 Achèvement ou modification des responsabilités associées au contrat de travail Description Les responsabilités et les missions liées à la sécurité de l’information qui restent valables à l’issue de la rupture, du terme ou de la modification du contrat de travail, doivent être définies, communiquées au salarié ou au sous-traitant, et appliquées. Observation ● Les droits d'accès sont régulièrement examinés et supprimés à la cessation d'emploi. Classement Conforme Recommendations Documents consultés Entretien avec le responsable. A.8 Gestion des actifs A.8.1 Responsabilités relatives aux actifs A.8.1.1 Inventaire des actifs Description Les actifs associés à l’information et aux moyens de traitement de l’information doivent être identifiés et un inventaire de ces actifs doit être dressé et tenu à jour. Observation ● Existence d’un inventaire des actifs matériels. Classement Non-conformité majeure Recommandations ● Inclure les actifs immatériels dans l’inventaire. ● Maintenir et mettre à jour de l’inventaire des actifs. Documents Consultés Entretien avec le responsable. A.8.1.2 Propriété des actifs Description Les actifs figurant à l’inventaire doivent être attribués à un propriétaire. Observation ● Non-identification des propriétaires des actifs. 20
  • 22. Classement Non-conformité majeure Recommendations ● Identifier un propriétaire pour chaque actif. Document Consultés Entretien avec le responsable. A.8.1.3 Utilisation correcte des actifs Description Les règles d’utilisation correcte de l’information, les actifs associés à l’information et les moyens de traitement de l’information doivent être identifiées, documentées et mises en œuvre. Observation ● Non-existence des règles d’utilisation acceptable des actifs Classement Non-conformité majeure Recommendations ● Elaborer et mettre en oeuvre une politique d'utilisation correcte de l'information, des actifs associés et des moyens de son traitement ● Sensibiliser les employés aux exigences de sécurité comprises dans cette politique et de leur responsabilité de l’utilisation de ces actifs. Documents Consultés Entretien avec le responsable. A.8.1.4 Restitution des actifs Description Tous les salariés et les utilisateurs tiers doivent restituer la totalité des actifs de l’organisme qu’ils ont en leur possession au terme de la période d’emploi, du contrat ou de l’accord. Observation ● Non documentation de la restitution des actifs. Classement Non-conformité majeure Recommendation ● Documenter la restitution des actifs en possession des utilisateurs tiers au terme de la période de l’emploi ou de l’accord ● Contrôler la copie non autorisée des informations pertinentes pendant la période de préavis de fin du contrat. Documents consultés Entretien avec le responsable. A.8.2 Classification de l’information A.8.2.1 Classification des informations Description Les informations doivent être classifiées en termes d’exigences légales, de valeur, de caractère critique et de sensibilité au regard d’une divulgation ou modification non autorisée. Observation ● Les informations sont classifiées sans qu’une procédure de classification ne soit élaborée ni documentée. Classement Non-conformité mineure 21
  • 23. Recommendations ● Développer et maintenir des procédures de classification des actifs. ● Appliquer des mesures de sécurité spécifiques à chaque classe en concordance avec le système de classification. Documents Consultés Entretien avec le responsable. A.8.2.2 Marquage des informations Description Un ensemble approprié de procédures pour le marquage de l’information doit être élaboré et mis en œuvre conformément au plan de classification adopté par l’organisme. Observation ● Absence de procédure de marquage de l'information. Classement Non-conformité majeure Recommendations ● Élaborer et mettre en œuvre des procédures de marquage de l'information conformément à la classification. Documents consultés Entretien avec le responsable. A.8.2.3 Manipulation des actifs Description Des procédures de traitement de l’information doivent être élaborées et mises en œuvre conformément au plan de classification de l’information adopté par l’organisme Observation ● Absence de procédure de traitement de l’information. Classement Non-conformité majeure Recommendations ● Élaborer et mettre en œuvre des procédures pour une utilisation acceptable de l'information et des actifs associés à un moyen de traitement de l'information. ● Mettre en place des restrictions d'accès aux informations, conformément aux exigences de protection pour chaque niveau de classification. ● Faire bénéficier les copies temporaires ou permanentes de l'information le même niveau de protection de l'information originale. Documents Consultés Entretien avec le responsable. A.8.3 Manipulation des supports A.8.3.1 Gestion des supports amovibles Description Des procédures de gestion des supports amovibles doivent être mises en œuvre conformément au plan de classification adopté par l’organisme. Observation ● Des procédures pour le retrait, l'élimination et le transit des médias contenant des informations sont établies. ● Aucune classification des actifs et de l'information, ce qui implique une mauvaise gestion des supports. 22
  • 24. Classement Non-conformité majeure Recommendations ● Élaborer et mettre en œuvre des procédures de gestion des supports amovibles conformément à la classification établie. ● Rendre irrécupérable le contenu de tout support réutilisable devant être retiré si ce son contenu n'est plus indispensable. ● Utiliser des techniques cryptographiques pour protéger les données sur les supports amovibles lorsque le niveau de confidentialité ou d'intégrité de ces données est élevé. ● Transférer les données stockées sur un support amovible, lorsqu’elles sont encore nécessaires, vers un nouveau support avant d'être illisibles pour réduire le risque de dégradation des médias. ● Désactiver les lecteurs de supports amovibles, sauf pour un besoin du métier. Documents Consultés Entretien avec le responsable. A.8.3.2 Mise au rebut des supports Description Les supports qui ne sont plus nécessaires doivent être mis au rebut de manière sécurisée en suivant des procédures formelles. Observation ● Les supports qui ne sont plus nécessaires sont formatés. ● La journalisation de la mise au rebut. Classement Conforme Recommendations Documents Consultés Entretien avec le responsable. A.8.3.3 Transfert physique des supports Description Les supports contenant de l’information doivent être protégés contre les accès non autorisés, les erreurs d’utilisation et l’altération lors du transport. Observation ● Aucune liste des transporteurs autorisés n’est convenue avec la direction. ● Absence de procédure permettant de vérifier l'identification des transporteurs. ● Absence de protection des supports contre tout dommage physique pendant le transport. Classement Non-conformité majeure Recommendations ● Élaborer et mettre en œuvre une procédure pour vérifier l'identification des transporteurs. ● Journaliser et conserver les informations identifiant le contenu du support, la protection appliquée ainsi que la date et l’heure de son transfert au transporteur ainsi que la date et l’heure de sa réception au lieu de destination. Documents Consultés Entretien avec le responsable. 23
  • 25. A.9 Contrôle d’accès A.9.1 Exigences métier en matière de contrôle d’accès A.9.1.1 Politique de contrôle d’accès Description Une politique de contrôle d’accès doit être établie, documentée et revue sur la base des exigences métier et de sécurité de l’information. Observation ● Absence du document qui définit la politique de contrôle d'accès. Classement Non-conformité majeure Recommendations ● Documenter la politique et les différentes procédures de contrôles d'accès. ● Identifier les données et leurs propriétaires ainsi que les systèmes ou personnes qui ont besoin des accès à ces données et leurs rôles ● Identifier les risques d’accès non autorisé à ces données. Documents Consultés Entretien avec le responsable. A.9.1.2 Accès aux réseaux et aux services réseau Description Les utilisateurs doivent avoir uniquement accès au réseau et aux services réseau pour lesquels ils ont spécifiquement reçu une autorisation. Observation ● Absence de procédure de contrôle d'accès au réseau. Classement Non-conformité majeure Recommendations ● Documenter la procédure de contrôle d'accès au réseau et vérifier sa conformité avec la politique de contrôle d'accès. ● Identifier les entités pouvant avoir accès et les accès nécessaires pour chacune d’elle selon le principe du « moindre privilège ». ● Définir les rôles et les responsabilités de chaque service interne dans l'attribution de ces accès. Documents Consultés Entretien avec le responsable. A.9.2 Gestion de l’accès utilisateur A.9.2.1 Enregistrement et désinscription des utilisateurs Description Un processus formel d’enregistrement et de désinscription des utilisateurs doit être mis en œuvre pour permettre l’attribution des droits d’accès. Observation ● Absence du processus d’enregistrement et de désinscription des utilisateurs. Classement Non-conformité majeure 24
  • 26. Recommendations ● Documenter le processus d’enregistrement et de désinscription des utilisateurs, et vérifier les comptes utilisateurs sur les serveurs pour l’identification de ceux qui sont partagés, redondants ou obsolètes. Documents Consultés Entretien avec le responsable. A.9.2.2 Distribution des accès aux utilisateurs Description Un processus formel de distribution des accès aux utilisateurs doit être mis en œuvre pour attribuer et retirer des droits d’accès à tous types d’utilisateurs sur l’ensemble des services et des systèmes. Observation ● Absence de la matrice des droits d’accès et des fiches de postes. Classement Non-conformité majeure Recommendations ● Mettre à disposition la matrice des droits d'accès et les fiches de postes afin de vérifier : ○ la conformité des niveaux d’accès avec la politique de contrôle d’accès. ○ la compatibilité de ces niveaux d’accès avec la séparation des tâches. Documents Consultés Entretien avec le responsable. A.9.2.3 Gestion des droits d’accès à privilèges Description L’allocation et l’utilisation des droits d’accès à privilèges doivent être restreintes et contrôlées. Observation ● Absence du processus d’attribution des droits à privilèges. Classement Non-conformité majeure Recommendations ● Documenter le processus d’attribution des droits à privilèges afin de vérifier la conformité de sa mise en œuvre avec la politique de contrôle d’accès. Documents Consultés Entretien avec le responsable. A.9.2.4 Gestion des informations secrètes d’authentification des utilisateurs Description L’attribution des informations secrètes d’authentification doit être réalisée dans le cadre d’un processus de gestion formel. Observation ● Absence du processus d’attribution des informations secrètes d’authentification. Classement Non-conformité majeure Recommendations ● Mettre en œuvre un processus de gestion formel pour l’attribution des informations secrètes d’authentification. 25
  • 27. ● Fournir les informations secrètes d'authentification temporaire aux utilisateurs de manière sécurisée (l'utilisation de parties externes ou de messages électroniques non protégés (en texte clair) doit être évitée) ● Faire signer aux utilisateurs un accusé de réception des informations secrètes d'authentification. ● Modifier les informations secrètes d'authentification par défaut des fournisseurs des systèmes ou des logiciels après leur installation. Documents Consultés Entretien avec le responsable. A.9.2.5 Revue des droits d’accès utilisateurs Description Les propriétaires d’actifs doivent vérifier les droits d’accès des utilisateurs à intervalles réguliers. Observation ● Absence de la matrice des droits d’accès. ● Les droits d’accès sont vérifiés à un intervalle régulier. Classement Conforme Recommendations Documents Consultés Entretien avec le responsable. A.9.2.6 Suppression ou adaptation des droits d’accès Description Les droits d’accès aux informations et aux moyens de traitement des informations de l’ensemble des salariés et utilisateurs tiers doivent être supprimés à la fin de leur période d’emploi, ou adaptés en cas de modification du contrat ou de l’accord. Observation ● Les droits d'accès de tous les employés, aux informations et aux moyens de traitement de l'information, sont supprimés à la fin de leur emploi Classement Non-conformité mineure Recommendations ● Ajouter des procédures qui décriraient le retrait ou l'ajustement de droits d'accès lors de modification du contrat. Documents Consultés Entretien avec le responsable. A.9.3 Responsabilités des utilisateurs A.9.3.1 Utilisation d’informations secrètes d’authentification Description Les utilisateurs doivent suivre les pratiques de l’organisme pour l’utilisation des informations secrètes d’authentification. Observation ● Absence de procédure documentée décrivant l'utilisation des informations secrètes d’authentification. Classement Non-conformité majeure Recommendations ● Documenter et mettre en œuvre une procédure et des sessions de 26
  • 28. sensibilisation qui invitent les utilisateurs à : - garder confidentielles les informations secrètes d'authentification, en veillant à ce qu'elles ne soient pas divulguées à d'autres parties, y compris à leurs supérieurs hiérarchiques. - éviter de conserver un enregistrement d'informations secrètes d'authentification (par exemple sur du papier, un fichier logiciel ou un appareil portatif), sauf si cela peut être stocké de manière sécurisée et si la méthode de stockage a été approuvée (par exemple, coffre-fort). - changer les informations secrètes d'authentification chaque fois qu'il y a un soupçon de sa compromission. - ne pas partager ses propres informations secrètes d'authentification. - ne pas utiliser les mêmes informations secrètes d'authentification à des fins professionnelles et personnelles. Documents Consultés Entretien avec le responsable. A.9.4 Contrôle de l’accès au système et à l’information A.9.4.1 Restriction d’accès à l’information Description L’accès à l’information et aux fonctions d’application système doit être restreint conformément à la politique de contrôle d’accès. Observation ● La politique de contrôle d'accès ainsi que la matrice des rôles d’accès ne sont pas fournis. ● La politique de sécurité empêche l’accès non autorisé aux systèmes et aux applications. Classement Non-conformité mineure Recommendations ● Documenter la politique de contrôle d'accès. ● Baser les restrictions d'accès sur des exigences individuelles de l'application métier et conformément à la politique de contrôle d'accès. ● Fournir des menus pour contrôler l'accès aux fonctions du système d'application. ● Mettre en place des contrôles d'accès physiques ou logiques pour l'isolation d'applications sensibles, de données d'application ou de systèmes. Documents Consultés Entretien avec le responsable. A.9.4.2 Sécuriser les procédures de connexion Description Lorsque la politique de contrôle d’accès l’exige, l’accès aux systèmes et aux applications doit être contrôlé par une procédure de connexion sécurisée. Observation ● La politique de contrôle d'accès existe mais n’est pas documentée. Classement Non-conformité mineure Recommendations ● Documenter la politique de contrôle d’accès devant exiger l’utilisation d’une procédure de connexion sécurisée pour l’accès aux systèmes et aux applications. 27
  • 29. ● S’assurer que les systèmes et les applications prennent en compte : ○ l’affichage du message d’avertissement que l’accès n’est permis qu’aux utilisateurs autorisés. ○ Le blocage de connexion après un certain nombre de tentatives échouées, autrement dit, la protection contre les tentatives de connexion par « brute force ». ○ La journalisation des tentatives d’accès réussies et échouées. ○ Le masquage des mots de passe entrés. ○ La mise en fin automatique à des sessions inactives après une période d'inactivité définie. ○ La limitation du temps de connexion pour fournir une sécurité supplémentaire aux applications à haut risque et réduire les opportunités d'accès non autorisé. Documents Consultés Entretien avec le responsable. A.9.4.3 Système de gestion des mots de passe Description Les systèmes qui gèrent les mots de passe doivent être interactifs et doivent garantir la qualité des mots de passe. Observation ● Le site web e-commune ne respecte pas les bonnes pratiques de création et de gestion des mots de passe. Classement Non-conformité majeure Recommendations ● S’assurer que tous les systèmes et les applications : - forcent les utilisateurs à changer leurs mots de passe lors de la première connexion, - exigent un changement périodique des mots de passe et au besoin, - tiennent un enregistrement des mots de passe utilisés précédemment et empêche leur réutilisation, - masquent les mots de passe sur l'écran lors de la saisie, - stockent les fichiers de mot de passe séparément des données des applications, - stockent et transmet les mots de passe sous une forme protégée Documents Consultés Entretien avec le responsable. A.9.4.4 Utilisation de programmes utilitaires à privilèges Description L’utilisation des programmes utilitaires permettant de contourner les mesures de sécurité d’un système ou d’une application doit être limitée et étroitement contrôlée. Observation ● Absence de document définissant les niveaux d’autorisation relatifs aux programmes utilitaires. Classement Non-conformité majeure Recommendations ● Élaborer et mettre en œuvre une procédure d’identification, 28
  • 30. d’authentification et d’autorisation spécifiques aux programmes utilitaires à privilèges. ● Limiter l’utilisation des programmes utilitaires à privilège à un nombre minimal acceptable d’utilisateurs de confiance bénéficiant d’une autorisation. ● Journaliser toutes les utilisations de programmes utilitaires à privilège. ● Définir et documenter les niveaux d’autorisation relatifs aux programmes utilitaires à privilège. ● Désinstaller et désactiver tous les programmes utilitaires à privilèges inutiles. Documents Consultés Entretien avec le responsable. A.9.4.5 Contrôle d’accès au code source des programmes Description L’accès au code source des programmes doit être restreint. Observation N/A Classement Ne peut être évalué Recommendations N/A Documents Consultés Entretien avec le responsable. A.10 Cryptographie A.10.1 Mesures cryptographiques A.10.1.1 Politique d’utilisation des mesures cryptographiques Description Une politique d’utilisation des mesures cryptographiques en vue de protéger l’information doit être élaborée et mise en œuvre. Observation ● Absence de politique documentée sur l'utilisation des contrôles cryptographiques. Classement Non-conformité majeure Recommendations ● Élaborer et mettre en œuvre une politique de contrôle cryptographique pour établir les exigences et les procédures d'utilisation des techniques de cryptage pour protéger les données sensibles. ● Protéger les liens permanents et les échanges de données par des solutions de chiffrement qui sont mises en place au niveau du réseau local et du réseau étendu. Documents Consultés Entretien avec le responsable. 29
  • 31. A.10.1.2 Gestion des clés Description Une politique sur l’utilisation, la protection et la durée de vie des clés cryptographiques doit être élaborée et mise en œuvre tout au long de leur cycle de vie. Observation ● Absence de politique sur l’utilisation, la protection et la durée de vie des clés cryptographiques. Classement Non-conformité majeure Recommendations ● Élaborer et mettre en œuvre une politique sur l’utilisation, la protection et la durée de vie des clés cryptographiques. ● S’assurer que le système de gestion des clés repose sur une série convenue de normes, de procédures et de méthodes sécurisées pour : - la génération des clés, l’attribution de ces clés aux utilisateurs - leur stockage, - le traitement des clés compromises - leur révocation, - la récupération des clés perdues, - la sauvegarde ou l’archivage, - la destruction ● Journaliser et auditer les activités liées à la gestion des clés. Documents Consultés Entretien avec le responsable. A.11 Sécurité physique et environnementale A.11.1 Zones sécurisées A.11.1.1 Périmètre de sécurité physique Description Des périmètres de sécurité doivent être définis et utilisés pour protéger les zones contenant l’information sensible ou critique et les moyens de traitement de l’information. Observation ● Aucun périmètre du site qui abrite les moyens de traitement de l’information n’est défini. La salle de conférence ainsi que la salle 122 sont accessibles par de nombreux individus tout le temps sans pouvoir limiter l'accès seulement à des personnes précises. Classement Non-conformité majeure Recommendations ● Consacrer une salle spéciale destinée seulement aux équipements et qui sera isolée et verrouillée où aucune personnes non autorisée pourra y accéder. Documents Consultés Entretien avec le responsable. 30
  • 32. A.11.1.2 Contrôle d’accès physique Description Les zones sécurisées doivent être protégées par des contrôles adéquats à l’entrée pour s’assurer que seul le personnel autorisé est admis. Observation ● Aucune procédure de contrôle d’accès physique n’est mise en œuvre vu que les deux salles contenant les matériels sont des salles des d’enseignement. Classement Non-conformité majeure Recommendations ● Consacrer une salle isolée destinée seulement aux équipements et qui sera verrouillée et soumise à des politiques d'accès strictes permettant de limiter au maximum le nombre de personnes pouvant y accéder. Cette salle pourra être protégée par un système d’alarme détectant n' importe quelle intrusion. Documents Consultés Entretien avec le responsable. A.11.1.3 Sécurisation des bureaux, des salles et des équipements Description Des mesures de sécurité physique aux bureaux, aux salles et aux équipements doivent être conçues et appliquées. Observation ● Les équipements clés sont hébergés dans un emplacement accessible au public. ● Les locaux ne sont pas discrets et donnent des indications sur leur finalité, ce qui va permettre d’identifier la présence d’activités de traitement de d’informations. Classement Non-conformité majeure Recommendations ● La discrétion est un critère majeur pour la protection des équipements d'où la nécessité d’une salle isolée et verrouillée comme mentionné précédemment. Documents Consultés Entretien avec le responsable. A.11.1.4 Protection contre les menaces extérieures et environnementales Description Des mesures de protection physique contre les désastres naturels, les attaques malveillantes ou les accidents doivent être conçues et appliquées. Observation ● Aucune étude sur les menaces physiques et environnementales possibles (exemple : incendies, inondations, tremblements de terre ou d'autres formes de catastrophes naturelles ou d'origine humaine) et leurs impacts n’a été réalisée. ● Absence d’une analyse systématique et exhaustive de toutes les voies possibles d'arrivée d'eau (Par exemple, position des locaux par rapport aux risques d'écoulement naturel en cas d'orage violent, des fuites provenant du toit de la salle). 31
  • 33. ● Absence d’une analyse systématique et approfondie de tous les risques d'incendie (Par exemple : court-circuit au niveau du câblage, effet de la foudre, personnel fumant dans les locaux, appareillages électriques courants, échauffement d'équipement, propagation depuis l'extérieur, propagation par les gaines techniques ou la climatisation, etc.) ● Aucun système de détection automatique d'incendie ainsi que d'extinction n’est mis en place pour les locaux sensibles. Classement Non-conformité majeure Recommendations ● Des analyses et des études approfondies doivent être faites afin de connaître plus les menaces et leurs impacts. ● Mettre en place un système de climatisation robuste après avoir déplacé les serveurs vers une salle plus petite pour que la climatisation puisse être plus efficace. ● Mettre en place des systèmes d'alarme-incendie et d’extinction. ● Vérifier le toit de la salle abritant les équipements et éliminer toute voie possible de fuite d'eau. Documents Consultés Entretien avec le responsable. A.11.1.5 Travail dans les zones sécurisées Description Des procédures pour le travail dans les zones sécurisées doivent être conçues et appliquées. Observation ● Absence de procédure pour le travail dans les zones sécurisées. Classement Non-conformité majeure Recommendations ● Définir et établir les zones sécurisées, notamment la salle isolée et verrouillée contenant les actifs localisés dans la salle de conférence ainsi que le reste du périmètre. ● Élaborer et mettre en œuvre des procédures pour le travail dans les zones sécurisées. ● Contrôler périodiquement les zones sécurisées ● inoccupées qui sont verrouillées physiquement. ● Interdir tout équipement photographique, vidéo, audio ou autres dispositifs d’enregistrement, tels que les ● appareils photos intégrés à des appareils mobiles, sauf autorisation. ● Informer le personnel de l’existence de zones sécurisées ou des activités qui s’y pratiquent, sur la seule base du besoin d’en connaître. Documents Consultés Entretien avec le responsable. A.11.1.6 Zones de livraison et de chargement Description Les points d’accès tels que les zones de livraison et de chargement et les autres points par lesquels des personnes non autorisées peuvent pénétrer dans les locaux doivent être contrôlés et, si possible, isolés des moyens de traitement de l’information, de façon à éviter les accès non autorisés. 32
  • 34. Observation Classement Ne peut être évalué Recommendations Documents Consultés A.11.2 Matériels A.11.2.1 Emplacement et protection des matériels Description Les matériels doivent être localisés et protégés de manière à réduire les risques liés à des menaces et des dangers environnementaux et les possibilités d’accès non autorisé. Observation ● Les matériels sont exposés dans des salles accessibles au public notamment la salle de conférence et la salle 122. ● Absence des mesures qui réduisent au minimum les risques de menaces physiques et environnementales potentielles, comme le vol, l’incendie, la fumée, les fuites d’eau, la poussière. ● Les conditions ambiantes, telles que la température et l’humidité, qui pourraient nuire au fonctionnement des moyens de traitement de l’information ne sont pas surveillées Classement Non-conformité majeure Recommendations ● Les matériels doivent être placés dans une salle où l'accès est restreint. Cette salle doit être conforme à toutes les exigences et les mesures liées à la sécurité des matériels, notamment : - La présence des systèmes d'alarme-incendie et d'extinction. - L’implémentation d’une climatisation qui garantit une température convenable aux équipements 24h/24. - Le toit, les murs extérieurs et le sol sont construits de manière solide. Documents Consultés Entretien avec le responsable. A.11.2.2 Services généraux Description Les matériels doivent être protégés des coupures de courant et autres perturbations dues à une défaillance des services généraux. Observation ● Les services généraux (tels que l’électricité, la ventilation et la climatisation): ○ Ne sont pas examinés et testés de manière régulière pour s’assurer de leur fonctionnement correct. ○ Ne sont pas équipés d’alarmes de détection des dysfonctionnements. ○ Ne disposent pas d’une alimentation de secours en cas d’arrêt temporaire de l'alimentation électrique principale. Classement Non-conformité majeure 33
  • 35. Recommendations ● Les services généraux doivent être conformes aux spécifications du fabricant du matériel et aux exigences légales locales. ● Une alimentation de secours doit être mise en œuvre pour garantir la continuité des services. Documents Consultés Entretien avec le responsable. A.11.2.3 Sécurité du câblage Description Les câbles électriques ou de télécommunication transportant des données ou supportant les services d’information doivent être protégés contre toute interception ou tout dommage. Observation ● Le câble RJ45 reliant le switch de la salle de conférence à la salle 122 n’est ni enterré, ni soumis à toute autre forme de protection adéquate. Classement Non-conformité majeure Recommendations ● Pour une meilleure protection de votre câble RJ45 et par mesure de sécurité, il est recommandé que votre câble soit sous une classification spécifique contre la toxicité et l'inflammabilité. Elle est inscrite "LSZH" ● Mettre le câble dans un isolant rigide tel que le tube IRO. Documents Consultés Entretien avec le responsable. A.11.2.4 Maintenance des matériels Description Les matériels doivent être entretenus correctement pour garantir leur disponibilité permanente et leur intégrité. Observation ● La maintenance est faite juste en cas de panne. Classement Non-conformité mineure Recommendations ● Faire une maintenance préventive qui consiste à effectuer des interventions à des intervalles prédéterminés et selon des critères prescrits afin de réduire la probabilité de défaillance ou de dégradation du fonctionnement du matériel. Documents Consultés Entretien avec le responsable A.11.2.5 Sortie des actifs Description Les matériels, les informations ou les logiciels des locaux de l’organisme ne doivent pas sortir sans autorisation préalable. Observation ● Absence de règles strictes et de registres concernant la sortie des actifs. Classement Non-conformité majeure Recommendations ● Établir et documenter des règles concernant la sortie des actifs (autorisations préalables, personnes autorisées, enregistrement de la sortie 34
  • 36. et de la rentrée, effacement des données inutiles, etc.) Documents Consultés Entretien avec le responsable A.11.2.6 Sécurité des matériels et des actifs hors des locaux Description Des mesures de sécurité doivent être appliquées aux matériels utilisés hors des locaux de l’organisme en tenant compte des différents risques associés au travail hors site. Observation N/A Classement Ne peut être évalué Recommendations N/A Documents Consultés Entretien avec le responsable. A.11.2.7 Mise au rebut ou recyclage sécurisé des matériels Description Tous les composants des matériels contenant des supports de stockage doivent être vérifiés pour s’assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant leur mise au rebut ou leur réutilisation. Observation ● Absence de procédure de mise au rebut ou de réutilisation du matériel. ● Absence de rapport d’analyse des risques des appareils endommagés contenant des supports de stockage. Classement Non-conformité majeure Recommendations ● Élaborer et mettre en œuvre une procédure de mise au rebut ou de réutilisation du matériel est élaborée et mise en œuvre. ● Procéder, lorsqu’il est nécessaire, à une appréciation du risque des appareils endommagés contenant des supports de stockage pour déterminer s’il convient de les détruire physiquement plutôt que de les faire réparer ou de les mettre au rebut. ● Détruire physiquement les supports de stockage contenant de l’information confidentielle ou protégée par le droit d’auteur, ou bien supprimer/écraser cette information en privilégiant les techniques rendant l’information d’origine irrécupérable plutôt qu’en utilisant la fonction standard de suppression ou de formatage. Documents Consultés Entretien avec le responsable. A.11.2.8 Matériels utilisateur laissés sans surveillance Description Les utilisateurs doivent s’assurer que les matériels non surveillés sont dotés d’une protection appropriée. Observation ● Absence de programmes de sessions de sensibilisation des utilisateurs aux exigences et aux procédures de sécurité destinées à protéger les matériels 35
  • 37. laissés sans surveillance. Classement Non-conformité majeure Recommendations ● Elaborer et mettre en oeuvre des procédures de sécurité destinées à protéger les matériels laissés sans surveillance qui s’assurent que ​ ​ les utilisateurs protègent les ordinateurs ou les appareils mobiles, lorsqu’ils ne s’en servent pas, contre toute utilisation non autorisée par une clé ou un dispositif équivalent tel qu’un mot de passe. Documents Consultés Entretien avec le responsable. A.12 Sécurité liée à l’exploitation A.12.1 Procédures et responsabilités liées à l’exploitation A.12.1.1 Procédures d’exploitation documentées Description Les procédures d’exploitation doivent être documentées et mises à disposition de tous les utilisateurs concernés Observations ● Les modifications des procédures d'exploitation (systèmes, applications, BD, équipements et solutions réseau et sécurité, etc.) sont approuvées par les responsables concernés. ● Les procédures d'exploitation ne sont pas documentées ou maintenues ou mises à la disposition de tous les utilisateurs qui en ont besoin. ● Les procédures d'exploitation ne sont pas protégées contre des altérations illicites. ● Manque de revue des procédures opérationnelles d'exploitation (systèmes, applications, équipements et solutions réseau et sécurité, etc.) ● Manque d’historique des mise-à-jour des procédures opérationnelles. Classement Non-conformité majeure Recommendations ● Documenter et mettre les procédures d'exploitation à la disposition de tous les utilisateurs qui en ont besoin. ● Auditer régulièrement l'authenticité et la pertinence des procédures opérationnelles. Documents Consultés Entretien avec le responsable A.12.1.2 Gestion des changements Description Les changements apportés à l’organisme, aux processus métier, aux systèmes et moyens de traitement de l’information ayant une incidence sur la sécurité de l’information doivent être contrôlés. 36
  • 38. Observations ● Il n’existe pas une procédure de gestion des changements permettant de contrôler les décisions de changements à apporter au système d'information (mise en production de nouveaux systèmes/équipements/logiciels ou d'évolutions de systèmes existants) Classement Non-conformité majeure Recommendations ● Implémenter une procédure de gestion des changements qui englobe la gestion des demandes de changement et leur validation, analyse des risques potentiels des changements, planification et affectation des rôles et responsabilités, communication à l'ensemble des personnes concernées test des changements et mise en production des changements. ● Contrôler les changements apportés à l'organisation, aux processus commerciaux et aux installations et systèmes de traitement de l'information. Documents Consultés Entretien avec le responsable. A.12.1.3 Dimensionnement Description L’utilisation des ressources doit être surveillée et ajustée et des projections sur les dimensionnements futurs doivent être effectuées pour garantir les performances exigées du système Observations ● Les indicateurs/critères de performance des serveurs et des équipements réseaux sont définis. ● Les décisions de changement s'appuient sur des analyses de la capacité des nouveaux équipements et systèmes à assurer la charge requise en fonction des évolutions des demandes prévisibles. ● Il existe un suivi régulier de la performance des serveurs et des équipements réseaux. ● Il existe une configuration d'alertes lorsque les seuils de performance sont atteints. Classement Conforme Recommendations ● Créer et documenter des projections de capacité qui décrivent le plan d'achat pour l'année prochaine. Documents Consultés Entretien avec le responsable. A.12.1.4 Séparation des environnements de développement, de test et d’exploitation Description Les environnements de développement, de test et d’exploitation doivent être séparés pour réduire les risques d’accès ou de changements non autorisés dans l’environnement en exploitation Observations ● Les serveurs applicatifs (où sont installées les applications) et la base de donnée sont des serveurs dédiés. ● Les environnements de développement et de test ne sont pas séparés des environnements opérationnels Classement Non-conformité majeure 37
  • 39. Recommendations ● Créer et documenter une description complète de la séparation des environnements de développement, de test et opérationnels. Documents Consultés Entretien avec le responsable. A.12.2 Protection contre les logiciels malveillants A.12.2.1 Mesures contre les logiciels malveillants Description Des mesures de détection, de prévention et de récupération conju guées à une sensibilisation des utilisateurs adaptée, doivent être mises en œuvre pour se protéger contre les logiciels malveillants. Observations ● Il existe une politique définie afin de lutter contre les risques d'attaque par des codes malveillants (virus, chevaux de Troie, spyware, vers, etc). ● Les contrôles de détection, de prévention et de récupération ne sont pas mis en œuvre pour protéger contre les logiciels malveillants. ● Il n’y a pas un abonnement à un centre d'alerte permettant d'être prévenu et d'anticiper certaines attaques massives pour lesquelles les antivirus ne sont pas encore à jour. ● Manque de revue de la politique de protection contre les logiciels malveillants. Classement Non-conformité majeure Recommendations ● Installer et mettre régulièrement à jour le logiciel de détection et de réparation des logiciels malveillants pour analyser les ordinateurs et les supports à titre préventif ou de façon routinière. ● L'analyse effectuée doit s’assurer de : 1) Analyser tous les fichiers reçus sur les réseaux ou via toute forme de support de stockage, à la recherche de logiciels malveillants avant utilisation . 2) Analyser les pièces jointes aux e-mails et les téléchargements à la recherche de logiciels malveillants avant utilisation , cette analyse doit être effectuée à différents endroits, par ex. sur les serveurs de messagerie électronique, les ordinateurs de bureau et lors de l'entrée sur le réseau de l'organisation . 3) Analyser les pages Web à la recherche de logiciels malveillants. Documents consultés Entretien avec le responsable. A.12.3 Sauvegarde A.12.3.1 Sauvegarde des informations Description Des copies de sauvegarde de l’information, des logiciels et des images systèmes doivent être réalisées et testées régulièrement conformément à une politique de sauvegarde convenue. Observations ● Les copies de sauvegarde des informations, des logiciels et des images système ne sont ni prises ni testées régulièrement conformément à un accord politique de sauvegarde. ● Il existe une politique de sauvegarde qui couvre les données applicatives, les 38
  • 40. programmes (sources et/ou exécutables), les paramètres de configuration des applications et des logiciels de base (les différents fichiers de paramétrages) ● Manque de revue de la politique de sauvegarde. Classement Non-conformité majeure Recommendations ● Mettre en œuvre et documenter les procédures décrivant les tests réguliers des supports de sauvegarde pour s'assurer qu'ils peuvent être utilisés en cas d'urgence si nécessaire ceci doit être combiné avec un test des procédures de restauration et vérifié par rapport au temps de restauration obligatoire. Documents consultés Entretien avec le responsable. A.12.4 Journalisation et surveillance A.12.4.1 Journalisation des événements Description Des journaux d’événements enregistrant les activités de l’utilisateur, les exceptions, les défaillances et les événements liés à la sécurité de l’information doivent être créés, tenus à jour et vérifiés régulièrement. Observations ● Les événements sont enregistrés et journalisés, et les installations de journalisation sont sécurisées contre les falsifications. ● Il n’existe pas une analyse spécifique des besoins en termes de journalisation. Classement Non-conformité mineure Recommendations ● Développer, documenter, mettre en œuvre et maintenir des politiques/procédures efficaces de gestion des journaux dans toute l'entreprise. Documents consultés ● Entretien avec le responsable A.12.4.2 Protection de l’information journalisée Description Les moyens de journalisation et d’information journalisée doivent être protégés contre les risques de falsification ou d’accès non autorisé. Observations ● Absence des mécanismes de protection des fichiers journaux. ● Les processus qui assurent la journalisation ne sont pas sous un contrôle strict. ● Les enregistrements sont enregistrés sur les serveurs pour une durée d'une année. Classement Non-conformité majeure Recommendations ● Utiliser des mécanismes de protection des fichiers journaux: exemples : chiffrement, un système de détection de modification, et contrôle d'accès. ● Réaliser un audit au moins annuel du processus d'enregistrement (y compris des processus visant à détecter les tentatives de modification et les processus de réaction à ces tentatives de modification). Documents consultés Entretien avec le responsable. 39
  • 41. A.12.4.3 Journaux administrateur et opérateur Description Les activités de l’administrateur système et de l’opérateur système doivent être journalisées, protégées et vérifiées régulièrement. Observations ● Analyse occasionnelle des événements sur les systèmes/bases de données/ équipements réseaux/solutions de sécurité. ● Absence d’un système qui détecte toute modification du système d'enregistrement et déclenche une alerte immédiate auprès d'un responsable ● Absence de rapport d’analyse des événements. Classement Non-conformité mineure Recommendations ● Configurer les ressources critiques, accès à des informations sensibles, utilisation d'outils sensibles, téléchargement ou modification d'outils d'administration, etc ● Installer un système permettant de détecter toute modification du système d'enregistrement et de déclencher une alerte immédiate auprès d'un responsable. Documents consultés Entretien avec le responsable. A.12.4.4 Synchronisation des horloges Description Les horloges de l’ensemble des systèmes de traitement de l’information concernés d’un organisation ou d’un domaine de sécurité doivent être synchronisées sur une source de référence Observations ● Absence d’un dispositif de synchronisation des horloges des systèmes et des équipements réseau et sécurité. Classement Non-conformité majeure Recommendations ● Installer un dispositif de synchronisation des horloges des systèmes et des équipements réseau et sécurité avec un référentiel de temps précis (un serveur NTP). Documents consultés Entretien avec le responsable. A.12.5 Maîtrise des logiciels en exploitation A.12.5.1 Installation de logiciels sur des systèmes en exploitation Description Des procédures doivent être mises en œuvre pour contrôler l’installation de logiciel sur des systèmes en exploitation. Observations N/A Classement Ne peut être évalué Recommendations N/A Documents consultés Entretien avec le responsable. 40
  • 42. A.12.6 Gestion des vulnérabilités techniques A.12.6.1 Gestion des vulnérabilités techniques Description Des informations sur les vulnérabilités techniques des systèmes d’information en exploitation doivent être obtenues en temps opportun, l’exposition de l’organisme à ces vulnérabilités doit être évaluée et les mesures appropriées doivent être prises pour traiter le risque associé. Observations ● Il n’existe pas une procédure de gestion de vulnérabilités techniques permettant d’identifier, d’évaluer et de répondre aux vulnérabilités ● Il n’existe pas des procédures pour contrôler l'installation des logiciels sur les systèmes opérationnels ● Il n'existe pas des politiques pour empêcher l'exploitation des vulnérabilités techniques Classement Non-conformité majeure Recommendations ● Documenter et mettre en œuvre une politique de gestion des vulnérabilités distincte. ● Établir des procédures pour identifier et corriger rapidement les vulnérabilités afin de minimiser les failles de sécurité associées aux vulnérabilités non corrigées. Documents consultés Entretien avec le responsable. A.12.6.2 Restrictions liées à l’installation de logiciels Description Des règles régissant l’installation de logiciels par les utilisateurs doivent être établies et mises en œuvre. Observations N/A Classement Ne peut être évalué Recommendations N/A Documents consultés Entretien avec le responsable. A.12.7 Considérations sur l’audit des systèmes d’information A.12.7.1 Mesures relatives à l’audit des systèmes d’information Description Les exigences et activités d’audit impliquant des vérifications sur des systèmes en exploitation doivent être prévues avec soin et validées afin de réduire au minimum les perturbations subies par les processus métier. Observations ● Absence de procédure d’audit des systèmes d’information. 41
  • 43. Classement Non-conformité majeure Recommendations ● Établir et mettre en œuvre une procédure formelle d’audit des systèmes d’information, définissant les règles concernant les audits menés sur les systèmes opérationnels/ réseaux et les responsabilités associées. Documents consultés Entretien avec le responsable. A.13 Sécurité des communications A.13.1 Gestion de la sécurité des réseaux A.13.1.1 Contrôle des réseaux Description Les réseaux doivent être gérés et contrôlés pour protéger l’information contenue dans les systèmes et les applications Observations ● Les réseaux sont gérés et contrôlés. ● Existence des mesures spéciales pour préserver la confidentialité et l’intégrité des données transmises sur les réseaux publics ou les réseaux sans fil. ● Existence des mesures spéciales pour maintenir la disponibilité des services réseau. ● Les actions susceptibles d’affecter la sécurité de l’information sont détectées et journalisées. ● Les systèmes sont authentifiés sur le réseau. ● Absence de procédure de gestion des équipements réseau. Classement Non-conformité mineure Recommendations ● Créer une documentation formelle de la configuration des contrôles du réseau. Documents consultés Entretien avec le responsable. A.13.1.2 Sécurité des services de réseau Description Pour tous les services de réseau, les mécanismes de sécurité, les niveaux de service et les exigences de gestion, doivent être identifiés et intégrés dans les accords de services de réseau, que ces services soient fournis en interne ou externalisés Observations ● La capacité du fournisseur des services réseaux n’est pas déterminée ou surveillée régulièrement. Classement Non-conformité majeure 42
  • 44. Recommendations ● Identifier et documenter les dispositions de sécurité nécessaires à des services en particulier, telles que les fonctions de sécurité, les niveaux de sécurité de service et les exigences de gestion. Documents consultés Entretien avec le responsable. A.13.1.3 Cloisonnement des réseaux Description Les groupes de services d’information, d’utilisateurs et de systèmes d’information doivent être cloisonnés sur les réseaux. Observations ● Le réseau est divisé en domaines séparés en faisant recours à des réseaux physiques différents en plus des réseaux logiques différents (VLANs). ● L’accès entre les différents domaines du réseau est contrôlé au niveau du périmètre en utilisant une passerelle (pare-feu). Classement Non-conformité mineure Recommendations ● Définir, documenter et tenir à jour le périmètre de chaque domaine. Documents consultés Entretien avec le responsable. A.13.2 Transfert de l’information A.13.2.1 Politiques et procédures de transfert de l’information Description Des politiques, des procédures et des mesures de transfert formelles doivent être mises en place pour protéger les transferts d’information transitant par tous types d’équipements de communication Observations ● La sécurité des informations et des logiciels transférés au sein d'une organisation et avec toute entité externe n’est pas maintenue. ● Absence d’une politique décrivant l’utilisation acceptable des équipements de communication. ● Absence d’une procédure de protection de l’information transférée contre l’interception, la reproduction, la modification, les erreurs d’acheminement et la destruction. ● Absence d'une procédure de détection et de protection contre les logiciels malveillants. Classement Non-conformité majeure Recommendations ● Établir, documenter et mettre en œuvre une politique qui énonce les méthodes qui doivent être appliquées pour entreprendre un transfert d'informations ● Implémenter une procédure de protection et détection contre les logiciels malveillants. Documents consultés Entretien avec le responsable. A.13.2.2 Accords en matière de transfert d’information Description Des accords doivent traiter du transfert sécurisé de l’information liée à l’activité entre 43
  • 45. l’organisme et les tiers. Observations ● Établissement d’accords traitant le transfert sécurisé de l’information. Classement Non-conformité mineure Recommendations ● Identifier et documenter les responsabilités de gestion, pour contrôler et informer de la transmission, de la répartition et de la réception de l’information. ● Élaborer et mettre en œuvre une procédure de gestion de la traçabilité et la non-répudiation. Documents consultés Entretien avec le responsable. A.13.2.3 Messagerie électronique Description L’information transitant par la messagerie électronique doit être protégée de manière appropriée. Observations ● Existence d’une politique de sécurité propre à la messagerie électronique. ● Les messages ne sont pas protégés contre tout accès non autorisé. Classement Non-conformité majeure Recommendations ● Établir et documenter des lignes directrices pour l'utilisation de la messagerie électronique qui informent les utilisateurs de ce que le responsable considère comme une utilisation acceptable et inacceptable de son processus de messagerie. Documents consultés Entretien avec le responsable. A.13.2.4 Engagements de confidentialité ou de non-divulgation Description Les exigences en matière d’engagements de confidentialité ou de non divulgation, doivent être identifiées, vérifiées régulièrement et documentées conformément aux besoins de l’organisme Observations ● Les salariés et les sous-traitants signent des engagements de confidentialité ou de non divulgation. Classement Non-conformité mineure Recommendations ● Vérifier les engagements de confidentialité et de non divulgation à intervalles réguliers et en cas de changements. Documents consultés Entretien avec le responsable. 44
  • 46. A.14 Acquisition, développement et maintenance des systèmes d’information A.14.1 Exigences de sécurité applicables aux systèmes d’information A.14.1.1 Analyse et spécification des exigences de sécurité de l’information Description Les exigences liées à la sécurité de l’information doivent être intégrées aux exigences des nouveaux systèmes d’information ou des améliorations de systèmes d’information existants. Observations ● Absence d'analyse des risques de sécurité de l’information réalisée dès la phase de conception des nouveaux systèmes d’information ou leur amélioration. Classement Non-conformité majeure Recommendations ● Implémenter une analyse des risques de sécurité de l’information. ● Documenter et définir les exigences pour les nouveaux systèmes d'information dans le cadre de la politique de lancement de projet ou les améliorations apportées aux systèmes d'information existants dans le cadre de la politique de gestion du changement. Documents consultés Entretien avec le responsable. A.14.1.2 Sécurisation des services d’application sur les réseaux publics Description Les informations liées aux services d’application transmises sur les réseaux publics doivent être protégées contre les activités frauduleuses, les différents contractuels, ainsi que la divulgation et la modification non autorisées Observations ● Les informations impliquées dans les services d'application passant les réseaux publics sont protégées contre les activités frauduleuses, les contrats litige et divulgation et modification non autorisées ● L’identité déclarée des parties qui échangent l’information sur les réseaux publics est vérifiée Classement Non-conformité mineure Recommendations ● Définir et documenter des processus d’autorisation liés aux personnes qui peuvent approuver le contenu, émettre ou signer des documents transactionnels clés. Documents consultés Entretien avec le responsable. A.14.1.3 Protection des transactions liées aux services d’application Description Les informations impliquées dans les transactions liées aux services d’application doivent être protégées pour empêcher une transmission incomplète, des erreurs d’acheminement, la modification non autorisée, la divulgation non autorisée, la duplication non autorisée du message ou sa réémission 45
  • 47. Observations ● La signature électronique n’est pas utilisée par les parties impliquées dans les transactions. Classement Non-conformité majeure Recommendations ● Documenter l'utilisation de méthodes d'authentification sécurisées pour les applications accessibles via des réseaux publics, par ex. en utilisant la cryptographie à clé publique, les signatures numériques et l'authentification multifactorielle pour réduire les risques. Documents consultés Entretien avec le responsable. A.14.2 Sécurité des processus de développement et d’assistance technique A.14.2.1 Politique de développement sécurisé Description Des règles de développement des logiciels et des systèmes doivent être établies et appliquées aux développements de l’organisme. Observations ● L’organisme audité ne fait pas de développement des logiciels. Classement Ne peut être évalué Recommendations N/A Documents consultés Entretien avec le responsable. A.14.2.2 Procédures de contrôle des changements de système Description Les changements des systèmes dans le cadre du cycle de développement doivent être contrôlés par le biais de procédures formelles. Observations N/A Classement Ne peut être évalué Recommendations N/A Documents consultés Entretien avec le responsable. A.14.2.3 Revue technique des applications après changement apporté à la plateforme d’exploitation Description Lorsque des changements sont apportés aux plateformes d’exploitation, les applications critiques métier doivent être vérifiées et testées afin de vérifier l’absence de tout effet indésirable sur l’activité ou sur la sécurité. Observations ● La revue et les tests de l'impact des modifications apportées à la plateforme d’exploitation sur les applications critiques sont réalisés de manière irrégulière. Classement Non-conformité mineure Recommendations ● Notifier les changements apportés à la plateforme d’exploitation (systèmes d’exploitation, BD, …) afin que les tests et revues appropriés soient réalisés 46
  • 48. avant leur mise en œuvre. ● Réaliser une revue et des tests de l'impact des modifications apportées à la plateforme d’exploitation sur les applications critiques. Documents consultés Entretien avec le responsable. A.14.2.4 Restrictions relatives aux changements apportés aux progiciels Description Les modifications des progiciels ne doivent pas être encouragées, être limitées aux changements nécessaires et tout changement doit être strictement contrôlé. Observations N/A Classement Ne peut être évalué Recommendations N/A Documents consultés Entretien avec le responsable. A.14.2.5 Principes d’ingénierie de la sécurité des systèmes Description Des principes d’ingénierie de la sécurité des systèmes doivent être établis, documentés, tenus à jour et appliqués à tous les travaux de mise en œuvre des systèmes d’information. Observations ● Les procédures d’ingénierie de la sécurité des systèmes d’information ne sont ni élaborées ni appliquées aux activités internes d’ingénierie des systèmes d’information. Classement Non-conformité majeure Recommendations ● Implémenter et appliquer une procédure d’ingénierie de la sécurité des systèmes d’information. ● Concevoir cette sécurité à tous les niveaux de l’architecture (activité, données, applications et technologie). Documents consultés Entretien avec le responsable. A.14.2.6 Environnement de développement sécurisé Description Les organismes doivent établir des environnements de développement sécurisés pour les tâches de développement et d’intégration du système qui englobe l’intégralité du cycle de vie du développement du système, et en assurer la protection de manière appropriée. Observations ● L’organisme audité ne fait pas de développement Classement Ne peut être évalué Recommendations N/A Documents consultés Entretien avec le responsable. 47
  • 49. A.14.2.7 Développement externalisé Description L’organisme doit superviser et contrôler l’activité de développement du système externalisée Observations ● L’organisme audité ne fait pas de développement Classement Ne peut être évalué Recommendations N/A Documents consultés Entretien avec le responsable. A.14.2.8 Test de la sécurité du système Description Les tests de fonctionnalité de la sécurité doivent être réalisés pendant le développement Observations ● L’organisme audité ne fait pas de développement Classement Ne peut être évalué Recommendations N/A Documents consultés Entretien avec le responsable. A.14.2.9 Test de conformité du système Description Des programmes de test de conformité et des critères associés doivent être déterminés pour les nouveaux systèmes d’information, les mises à jour et les nouvelles versions Observations ● Absence de liste des paramètres de sécurité et règles de configuration. ● Absence de rapports des outils d’analyse de code et des scanners de vulnérabilité. Classement Non-conformité majeure Recommendations ● Tenir à jour une liste contenant les paramétrages de sécurité et règles de configuration (suppression de tout compte générique, changement de tout mot de passe générique, fermeture de tout port non explicitement demandé et autorisé, paramétrages du contrôle des droits et de l'authentification, contrôles des tables de routage, etc.). ● Contrôler ces paramétrages de sécurité et règles de configuration en utilisant, entre autres, des outils d’analyse de code ou des scanneurs de vulnérabilités. Documents consultés Entretien avec le responsable. A.14.3 Données de test A.14.3.1 Protection des données de test Description Les données de test doivent être sélectionnées avec soin, protégées et Contrôlées Observations ● Les données de test n’existent pas. 48
  • 50. Classement Non-conformité majeure Recommendations ● Éviter, dans le cadre d'essais, l’utilisation des bases de données de production contenant des informations personnelles ou toute autre information sensible. ● Lorsque des données personnelles ou sensibles doivent malgré tout être utilisées, prendre le soin de supprimer les détails et contenus sensibles avant de les utiliser (ou de les modifier afin de les rendre anonymes). ● Appliquer une procédure de contrôle d’accès pour les systèmes d’applications en exploitation et les systèmes d’applications de test. ● Effacer les informations d’exploitation immédiatement d’un environnement de test après la fin des tests. ● Journaliser toute reproduction et utilisation de l’information d’exploitation afin de créer un système de traçabilité. Documents consultés Entretien avec le responsable. A.15 Relations avec les fournisseurs A.15.1 Sécurité dans les relations avec les fournisseurs A.15.1.1 Politique de sécurité de l’information dans les relations avec les fournisseurs Description Des exigences de sécurité de l’information pour limiter les risques résultant de l’accès des fournisseurs aux actifs de l’organisme doivent être acceptées par le fournisseur et documentées Observations ● Les exigences de sécurité de l'information ne sont pas convenues ni documentées avec les fournisseurs. ● La politique relative aux relations avec les fournisseurs n’est pas documentée. Classement Non-conformité majeure Recommendations ● Identifier et documenter les types de fournisseurs, par ex. Services informatiques, utilités logistiques, services financiers, composants d'infrastructure informatique, à qui l'USTHB permettra d'accéder à ses informations. ● Élaborer une politique identifiant et imposant des mesures de sécurité spécifiques aux accès des fournisseurs aux actifs. Documents consultés Entretien avec le responsable. A.15.1.2 La sécurité dans les accords conclus avec les fournisseurs Description Les exigences applicables liées à la sécurité de l’information doivent être établies et convenues avec chaque fournisseur pouvant accéder, traiter, stocker, communiquer ou fournir des composants de l’infrastructure informatique destinés à l’information de l’organisme. Observations ● Les exigences pertinentes en matière de sécurité de l'information ne sont pas établies et convenues avec chaque fournisseur qui peut accéder à l’information. 49
  • 51. Classement Non-conformité majeure Recommendations ● Identifier les exigences de sécurité de l'information pour chaque type d'information et type d'accès afin de servir de base aux accords individuels avec les fournisseurs. Documents consultés Entretien avec le responsable. A.15.1.3 Chaîne d’approvisionnement des produits et des services informatiques Description Les accords conclus avec les fournisseurs doivent inclure des exigences sur le traitement des risques liés à la sécurité de l’information associé à la chaîne d’approvisionnement des produits et des services informatiques. Observations ● Absence d’analyse des risques de sécurité de l’information associés à la chaîne d’approvisionnement. Classement Non-conformité majeure Recommendations ● Réaliser une analyse de risque. ● Assurer que les fournisseurs signalent et documentent tout incident de sécurité touchant les actifs. Documents consultés Entretien avec le responsable. A.15.2 Gestion de la prestation du service A.15.2.1 Surveillance et revue des services des fournisseurs Description Les organismes doivent surveiller, vérifier et auditer à intervalles réguliers la prestation des services assurés par les fournisseurs. Observations ● Absence de rapport de surveillance des niveaux de performance des services des fournisseurs. Classement Non-conformité majeure Recommendations ● Vérifier si les niveaux de performance des services sont surveillés et si leur conformité avec les accords. ● Revoir les aspects liés à la sécurité de l’information dans les relations du fournisseur. Documents consultés Entretien avec le responsable. A.15.2.2 Gestion des changements apportés dans les services des fournisseurs Description Les changements effectués dans les prestations de service des fournisseurs, comprenant le maintien et l’amélioration des politiques, procédures et mesures existant en matière de sécurité de l’information, doivent être gérés en tenant compte du caractère critique de l’information, des systèmes et des processus concernés et de la dépréciation des risques. 50