SlideShare une entreprise Scribd logo
Programmes de travail pour différentes missions d'audit en matière
de sécurité des SI (selon le cadre de référence Cobit4.1)
Type de mission d’audit Description Objectifs de contrôle
Audit du management
de la sécurité des SI
Cette mission consiste à vérifier :
La stratégie de sécurité et l’architecture de l’information, c.-à-d. :
que les données, les services et les transactions critiques (en se basant sur les
exigences et les risques métiers) sont bien identifiés et considérées dans la stratégie
de sécurité de l’entreprise
que les exigences de sécurité (telles que : la confidentialité, l’authenticité, la
disponibilité, la limitation d’accès, la validité, le sauvegarde et la récupération) des
données sont prises en compte dans l’établissement de la stratégie globale de
sécurité des SI
que des investissements de sécurité (matériels et logiciels) sont étudiés et pris en
compte
PO1 : 1.2, 1.4,
1.6
PO2 : 2.2, 2.3
PO3 : 3.4
PO4 : 4.9
DS5 : 5.1, 5.2
L’organisation des SI et les responsabilités en matière de sécurité: c.-à-d. :
que les responsabilités sont assignées, communiquées et bien appréhendées
le niveau de risque d’attribuer plusieurs responsabilités à une seule personne
est-ce que les ressources nécessaires pour exercer les responsabilités sont
disponibles et efficaces
PO4 : 4.8, 4.10,
4.11, 4.15
PO7 : 7.3
La communication des objectifs et les orientations de gestion en matière de sécurité c.-à-d :
que les règles de base répondant aux exigences et aux incidents de sécurité sont
bien communiquées aux employés et que ces derniers adhérent aussi bien aux
politiques de l’entreprise en ce qui concerne la sécurité des SI
que les directives de sécurité sont en ligne avec les objectifs de l'entreprise
PO6 : 6.2, 6.3,
6.4, 6.5
DS5 : 5.2
La sécurité des différents niveaux de service : c.-à-d. :
que des exigences de sécurité et des revus réguliers de la conformité des niveaux
de services internes et les services fournis par des tiers sont établis et respectés
AI5: 5.2
DS1 : 1.3, 1.5,
1.6
DS2 : 2.4
Audit des risques
informatiques
Cette mission consiste à vérifier :
le processus de gestion des risques informatiques de l’entreprise et les mesures
envisagées par la direction de l’entreprise.
l’existence d’un plan d’action afin de répondre aux risques potentiels
le niveau d’implication du personnel dans le processus de gestion des risques des SI
PO2 : 2.3
PO7 : 7.4
PO9 : 9.1, 9.2,
9.3, 9.4, 9.5, 9.6
AI1 : 1.1, 1.2
Audit des risques
associés au personnel en
matière de la sécurité
des SI
Cette mission consiste à vérifier :
le degré d’implication du personnel aux politiques de sécurité établies par la direction
les compétences du personnel en matière de sécurité générale des SI
qu’aucune tache clé de sécurité ne soit attribuée à une seule personne
PO4 : 4.13
PO7 : 7.1, 7.2,
7.5, 7.6, 7.7
que les membres du personnel savent intégrer la sécurité dans les procédures
quotidiennes
qu’une documentation et des formations sont fournies aux membres du personnel en
matière de la sécurité
AI4 : 4.1, 4.2,
4.3, 4.4
AI7 : 7.1
Audit de la sécurité des
applications et
infrastructures
Cette mission a pour but de vérifier :
l’existence des évaluations de sécurité lors de l’acquisition des nouvelles applications AI1: 1.1, 1.2, 1.3
AI5: 5.2, 5.3
que les solutions informatiques acquises sont fonctionnels et que les exigences de
sécurité sont spécifiées et compatibles avec les systèmes
AI1: 1.1, 1.2
AI2: 2.2, 2.4
AI4: 4.1, 4.4
AI5: 5.3, 5.4
que les développeurs et les fournisseurs d’applications ou infrastructures prennent en
compte les exigences de l’entreprise en matière de sécurité, et que l’entreprise à
déployer tous les moyens pour les faire adhérer à ses politiques de sécurité
PO8: 8.3
AI2: 2.3, 2.4, 2.5,
2.6, 2.8
AI3: 3.1, 3.4
l’existence et l’efficacité des patchs de sécurité pour l’infrastructure
que des mesures additionnelles nécessaires pour maintenir la sécurité de
l’infrastructure sont documentées
AI3: 3.2, 3.3
AI6: 6.1
DS5: 5.9
que des mises à jour régulières et des inventaires complets des configurations des
applications et du matériel sont exécutés
que tous les logiciels installés sont légales, autorisés (possèdent des licences
d’utilisation)
DS9: 9.1, 9, 9.3
Audit de la sécurité des
installations et des
changements
Cette mission consiste à vérifier :
les impacts des changements (correctifs inclus) sur l’intégrité des données (perte
des données), la disponibilité des services et la validité des transactions
AI2: 2.8
AI3: 3.4
AI6: 6.1, 6.2
AI7: 7.2, 7.4, 7.6
que tous les changements, y compris les correctifs et les modifications d'urgence
sont documentés et autorisés
AI6: 6.2, 6.3, 6.4,
6.5
que les systèmes nouvellement installés et les différents changements ont été objet
des tests de sécurité
PO8: 8.3
AI3: 3.4
AI7: 7.2, 7.4, 7.6,
7.8
que les résultats des tests faits répondent aux exigences métiers et aux politiques et
procédures de l’entreprise en matière de sécurité des SI
AI7: 7.7, 7.8, 7.9
Audit de la sécurité des
services fournis par des
tiers
Cette mission consiste à vérifier :
que les fournisseurs de services tiers respectent les politiques de sécurité de
l’entreprise et emploient des personnes qualifiés
la dépendance aux fournisseurs des services tiers est bien gérée par les politiques
et les procédures de sécurité de l’entreprise
que les contrats avec les fournisseurs de services tiers permettent d’exécuter des
missions d’audit et des revues (SysTrust, SAS70, ISA402)
AI5 : 5.3
DS2 : 2.3, 2.4
SE2 : 2.6
Audit de la sécurité des
services internes
Cette mission consiste à vérifier :
que des fonctions, des informations et des ressources critiques sont disponible pour
maintenir la continuité des services offerts en cas d’un incident de sécurité
PO2: 2.3
PO9: 9.3, 9.4
DS4: 4.1, 4.3
DS5: 5.6
DS10: 10.1, 10.2,
10.3
DS12: 12.5
l'existence et la fiabilité des mesures d’urgence afin de rétablir le service en échec
et de répondre aux besoins des fournisseurs et clients
DS4: 4.2, 4.4, 4.8
que les éléments de récupération des services (informations, documentation et
ressources critiques) sont bien sauvegarder dans des sites de sauvegarde et sont
bien sécurisés, utilisables et recouvrables
DS4: 4.5, 4.9
DS11: 11.5, 11.6
que les accès et les privilèges d’accès (pour afficher, ajouter, modifier ou supprimer
les informations et les transactions) sont basés sur les besoins particuliers des
utilisateurs
que les droits d'accès des prestataires de services, fournisseurs et clients sont
contrôlés
DS5: 5.3, 5.4
que les responsabilités pour gérer les comptes utilisateurs et les jetons de sécurité
(tel que : mots de passe, cartes d’accès …) et que ces mesures sont bien identifiées,
documentées et révisées périodiquement
DS5: 5.4, 5.7, 5.8
DS13: 13.4
que les violations de sécurité des services (tel que : accès non permis des réseaux
et systèmes, virus, logiciels malveillants ….) sont toujours enregistrées et reportées
immédiatement aux responsables
DS5: 5.5, 5.6, 5.9
DS10: 10.1
que les consignes de sécurité avec les partenaires commerciaux sont adéquates et
conforme aux obligations contractuelles afin de garantir l’authenticité des
transactions électroniques
DS5: 5.11
AC6
que des mesures de protection contre les virus et les logiciels espions sont établis
et efficaces et mises à jour
DS5: 5.9
que les mesures de sécurité des réseaux se conforment aux politiques de
l’entreprise en matière d’échange des informations
que les supports électroniques permettant cet échange sont bien sécurisés et les
incidents sont détectés et suivis
DS5: 5.2, 5.10,
5.11
DS12: 12.3
Audit des données et des
transactions
Cette consiste à vérifier :
que les contrôles mis en place pour assurer l’intégrité des données (exactitude,
l'exhaustivité et la validité) lors des opérations de saisie, de traitement, de
sauvegarde ou de la distribution existent et sont efficaces
que les contrôles mis en place pour assurer l’authenticité et le non rejet des
transactions existent et sont efficaces
DS5: 5.11
DS11: 11.6
AC1, AC2
AC3, AC4
AC5, AC6
que les données sensibles ne sont pas communiquées aux personnes non autorisées DS11: 11.6
AC5
AC6
que les périodes de rétention, les mesures d’archivage et les conditions de stockage
de la documentation, données et applications se conforment aux exigences des
utilisateurs et des réglementations en vigueur
DS11: 11.2, 11.4
que l'intégrité, l'accessibilité et la lisibilité des données sont assurées lors de
l’opération de sauvegarde
DS4: 4.9
DS11: 11.2
Audit de la sécurité
physique
Cette mission consiste à vérifier :
que les installations et des biens informatiques (salles des serveurs ou de stockage
des données) exposés à des risques élevés sont bien sécurisés contres des
dommages physiques
DS12: 12.1, 12.2,
12.3, 12.4, 12.5
que les ordinateurs, équipements informatiques sont bien protégés contre les
dommages physiques et la perte des données
DS12: 12.2,
Audit de la gouvernance
des dispositifs de
sécurité
Cette mission consiste à vérifier :
La performance des dispositifs de sécurité mises en place, c.-à-d. :
à quel point les contrôles de sécurité répondent aux exigences définis et remédient
aux vulnérabilités des SI en matière de sécurité
que les mécanismes de sécurité fonctionnent efficacement et que des mesures de
détection des faiblesses de ces mécanismes sont prévues et exécutées (telles que
la détection d'intrusion, les tests de pénétration et le stress, et l'essai des plans
d'urgence)
que toutes les violations et les exceptions sont documentées et suivies
conformément aux politiques de sécurité de l’entreprise
que contrôles clés de sécurité sont toujours surveillés aux exigences et politiques
SE1: 1.2, 1.4, 1.5,
1.6
SE2: 2.1, 2.4
L’existence d’une assurance indépendante :
que des évaluations indépendantes (de la part des experts en la matière) sont
prévues pour vérifier les mesures de sécurité établies et le niveau de l’adéquation
de ceux-ci avec les lois, règlementations et les obligations contractuelles
SE2: 2.5
SE4: 4.7
La conformité réglementaire des politiques et dispositifs de sécurité avec les normes et lois
en vigueur :
que des tâches et des activités sont établies pour garantir la conformité des
dispositifs de sécurité avec les réglementations en vigueur
que le personnel adhère aux politiques de l’entreprise en matière de la sécurité et
est sensibles aux obligations sécuritaires
PO3: 3.3
SE3: 3.1, 3.2, 3.3,
3.4
Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et
Audit des Systèmes d'Information"
© Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)

Contenu connexe

Tendances

Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche générale
Ammar Sassi
 
Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit ppt
Hajar Idehou
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
FINALIANCE
 
Acquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SIAcquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SI
Arsène Ngato
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
 L’organisation et la formalisation du management des risques selon l’ISO 31000  L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
PECB
 
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risquesConférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Eric CASPERS
 
Conduite d'une mission d'audit interne
Conduite d'une mission d'audit interneConduite d'une mission d'audit interne
Conduite d'une mission d'audit interne
Pasteur_Tunis
 
Projet coso
Projet cosoProjet coso
Projet coso
Fadhel El Fahem
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
Arsène Ngato
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
Yann Riviere CCSK, CISSP, CRISC, CISM
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
hpfumtchum
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'auditBRAHIM MELLOUL
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risques
Rémi Bachelet
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
Fiche technique formation : management processus selon ISO 9001 version 2015
Fiche technique formation : management processus selon ISO 9001 version 2015Fiche technique formation : management processus selon ISO 9001 version 2015
Fiche technique formation : management processus selon ISO 9001 version 2015
Abdelmajid wahbi
 
Qcm iso 9001_v_2015[1]
Qcm iso 9001_v_2015[1]Qcm iso 9001_v_2015[1]
Qcm iso 9001_v_2015[1]
Aziza Wahmani
 
Management des risques
Management des risquesManagement des risques
Management des risques
abdelghani Koura
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER
Hajar EL GUERI
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarche
Rémi Bachelet
 

Tendances (20)

Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche générale
 
Projet audit ppt
Projet audit pptProjet audit ppt
Projet audit ppt
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
Acquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SIAcquisition, Conception et Implantation des SI
Acquisition, Conception et Implantation des SI
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
 L’organisation et la formalisation du management des risques selon l’ISO 31000  L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
 
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risquesConférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
 
Conduite d'une mission d'audit interne
Conduite d'une mission d'audit interneConduite d'une mission d'audit interne
Conduite d'une mission d'audit interne
 
Projet coso
Projet cosoProjet coso
Projet coso
 
Audit des projets informatiques
Audit des projets informatiquesAudit des projets informatiques
Audit des projets informatiques
 
Gouvernance et Gestion des TI
Gouvernance et Gestion des TIGouvernance et Gestion des TI
Gouvernance et Gestion des TI
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risques
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage :  Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
 
Fiche technique formation : management processus selon ISO 9001 version 2015
Fiche technique formation : management processus selon ISO 9001 version 2015Fiche technique formation : management processus selon ISO 9001 version 2015
Fiche technique formation : management processus selon ISO 9001 version 2015
 
Qcm iso 9001_v_2015[1]
Qcm iso 9001_v_2015[1]Qcm iso 9001_v_2015[1]
Qcm iso 9001_v_2015[1]
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER COURS AUDIT COMPTABLE ET FINANCIER
COURS AUDIT COMPTABLE ET FINANCIER
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarche
 

Similaire à Programme de travail de la mission audit de la sécurité des SI

Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
saadbourouis2
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
soumaila Doumbia
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
Walter Michael TACKA
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
Chapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.pptChapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.ppt
Najah Idrissi Moulay Rachid
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SI
Arsène Ngato
 
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdfGhernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
diopsamba2
 
SMSSI ITIL
SMSSI  ITILSMSSI  ITIL
SMSSI ITILchammem
 
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptxPPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
MiliArwa
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
AdemKorani
 
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
Asmae Rabhi
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
ITrust - Cybersecurity as a Service
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
ssuserc72852
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
Sébastien GIORIA
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
NetSecure Day
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesISACA Chapitre de Québec
 
Soirée GDPR / RGPD @TechnofuturTic
Soirée GDPR / RGPD @TechnofuturTicSoirée GDPR / RGPD @TechnofuturTic
Soirée GDPR / RGPD @TechnofuturTic
Jean-Marc ANDRE
 
Quel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdfQuel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdf
Erol GIRAUDY
 

Similaire à Programme de travail de la mission audit de la sécurité des SI (20)

Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Chapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.pptChapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.ppt
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SI
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdfGhernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
 
SMSSI ITIL
SMSSI  ITILSMSSI  ITIL
SMSSI ITIL
 
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptxPPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
 
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
31c7bc12-274d-4a0d-a52a-3f00eedf1e83.pdf
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Soirée GDPR / RGPD @TechnofuturTic
Soirée GDPR / RGPD @TechnofuturTicSoirée GDPR / RGPD @TechnofuturTic
Soirée GDPR / RGPD @TechnofuturTic
 
Quel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdfQuel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdf
 

Plus de Ammar Sassi

CV_AmmarSassi
CV_AmmarSassiCV_AmmarSassi
CV_AmmarSassi
Ammar Sassi
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
Ammar Sassi
 
Boite à outils de l'auditeur
Boite à outils de l'auditeurBoite à outils de l'auditeur
Boite à outils de l'auditeur
Ammar Sassi
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Ammar Sassi
 
Audit of IT Governance (Reference documents to be audited according to Cobit5...
Audit of IT Governance (Reference documents to be audited according to Cobit5...Audit of IT Governance (Reference documents to be audited according to Cobit5...
Audit of IT Governance (Reference documents to be audited according to Cobit5...Ammar Sassi
 
Strategic and Operational Planning for IT
Strategic and Operational Planning for ITStrategic and Operational Planning for IT
Strategic and Operational Planning for ITAmmar Sassi
 
IT audit approach (according to the Cobit methodology)
IT audit approach  (according to the Cobit methodology)IT audit approach  (according to the Cobit methodology)
IT audit approach (according to the Cobit methodology)Ammar Sassi
 

Plus de Ammar Sassi (8)

CV_AmmarSassi
CV_AmmarSassiCV_AmmarSassi
CV_AmmarSassi
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Boite à outils de l'auditeur
Boite à outils de l'auditeurBoite à outils de l'auditeur
Boite à outils de l'auditeur
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
 
Audit of IT Governance (Reference documents to be audited according to Cobit5...
Audit of IT Governance (Reference documents to be audited according to Cobit5...Audit of IT Governance (Reference documents to be audited according to Cobit5...
Audit of IT Governance (Reference documents to be audited according to Cobit5...
 
Strategic and Operational Planning for IT
Strategic and Operational Planning for ITStrategic and Operational Planning for IT
Strategic and Operational Planning for IT
 
IT audit approach (according to the Cobit methodology)
IT audit approach  (according to the Cobit methodology)IT audit approach  (according to the Cobit methodology)
IT audit approach (according to the Cobit methodology)
 
Tutoriel
TutorielTutoriel
Tutoriel
 

Dernier

OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 

Dernier (6)

OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 

Programme de travail de la mission audit de la sécurité des SI

  • 1. Programmes de travail pour différentes missions d'audit en matière de sécurité des SI (selon le cadre de référence Cobit4.1) Type de mission d’audit Description Objectifs de contrôle Audit du management de la sécurité des SI Cette mission consiste à vérifier : La stratégie de sécurité et l’architecture de l’information, c.-à-d. : que les données, les services et les transactions critiques (en se basant sur les exigences et les risques métiers) sont bien identifiés et considérées dans la stratégie de sécurité de l’entreprise que les exigences de sécurité (telles que : la confidentialité, l’authenticité, la disponibilité, la limitation d’accès, la validité, le sauvegarde et la récupération) des données sont prises en compte dans l’établissement de la stratégie globale de sécurité des SI que des investissements de sécurité (matériels et logiciels) sont étudiés et pris en compte PO1 : 1.2, 1.4, 1.6 PO2 : 2.2, 2.3 PO3 : 3.4 PO4 : 4.9 DS5 : 5.1, 5.2 L’organisation des SI et les responsabilités en matière de sécurité: c.-à-d. : que les responsabilités sont assignées, communiquées et bien appréhendées le niveau de risque d’attribuer plusieurs responsabilités à une seule personne est-ce que les ressources nécessaires pour exercer les responsabilités sont disponibles et efficaces PO4 : 4.8, 4.10, 4.11, 4.15 PO7 : 7.3 La communication des objectifs et les orientations de gestion en matière de sécurité c.-à-d : que les règles de base répondant aux exigences et aux incidents de sécurité sont bien communiquées aux employés et que ces derniers adhérent aussi bien aux politiques de l’entreprise en ce qui concerne la sécurité des SI que les directives de sécurité sont en ligne avec les objectifs de l'entreprise PO6 : 6.2, 6.3, 6.4, 6.5 DS5 : 5.2 La sécurité des différents niveaux de service : c.-à-d. : que des exigences de sécurité et des revus réguliers de la conformité des niveaux de services internes et les services fournis par des tiers sont établis et respectés AI5: 5.2 DS1 : 1.3, 1.5, 1.6 DS2 : 2.4 Audit des risques informatiques Cette mission consiste à vérifier : le processus de gestion des risques informatiques de l’entreprise et les mesures envisagées par la direction de l’entreprise. l’existence d’un plan d’action afin de répondre aux risques potentiels le niveau d’implication du personnel dans le processus de gestion des risques des SI PO2 : 2.3 PO7 : 7.4 PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6 AI1 : 1.1, 1.2 Audit des risques associés au personnel en matière de la sécurité des SI Cette mission consiste à vérifier : le degré d’implication du personnel aux politiques de sécurité établies par la direction les compétences du personnel en matière de sécurité générale des SI qu’aucune tache clé de sécurité ne soit attribuée à une seule personne PO4 : 4.13 PO7 : 7.1, 7.2, 7.5, 7.6, 7.7 que les membres du personnel savent intégrer la sécurité dans les procédures quotidiennes qu’une documentation et des formations sont fournies aux membres du personnel en matière de la sécurité AI4 : 4.1, 4.2, 4.3, 4.4 AI7 : 7.1 Audit de la sécurité des applications et infrastructures Cette mission a pour but de vérifier : l’existence des évaluations de sécurité lors de l’acquisition des nouvelles applications AI1: 1.1, 1.2, 1.3 AI5: 5.2, 5.3 que les solutions informatiques acquises sont fonctionnels et que les exigences de sécurité sont spécifiées et compatibles avec les systèmes AI1: 1.1, 1.2 AI2: 2.2, 2.4 AI4: 4.1, 4.4 AI5: 5.3, 5.4 que les développeurs et les fournisseurs d’applications ou infrastructures prennent en compte les exigences de l’entreprise en matière de sécurité, et que l’entreprise à déployer tous les moyens pour les faire adhérer à ses politiques de sécurité PO8: 8.3 AI2: 2.3, 2.4, 2.5, 2.6, 2.8 AI3: 3.1, 3.4 l’existence et l’efficacité des patchs de sécurité pour l’infrastructure que des mesures additionnelles nécessaires pour maintenir la sécurité de l’infrastructure sont documentées AI3: 3.2, 3.3 AI6: 6.1 DS5: 5.9 que des mises à jour régulières et des inventaires complets des configurations des applications et du matériel sont exécutés que tous les logiciels installés sont légales, autorisés (possèdent des licences d’utilisation) DS9: 9.1, 9, 9.3
  • 2. Audit de la sécurité des installations et des changements Cette mission consiste à vérifier : les impacts des changements (correctifs inclus) sur l’intégrité des données (perte des données), la disponibilité des services et la validité des transactions AI2: 2.8 AI3: 3.4 AI6: 6.1, 6.2 AI7: 7.2, 7.4, 7.6 que tous les changements, y compris les correctifs et les modifications d'urgence sont documentés et autorisés AI6: 6.2, 6.3, 6.4, 6.5 que les systèmes nouvellement installés et les différents changements ont été objet des tests de sécurité PO8: 8.3 AI3: 3.4 AI7: 7.2, 7.4, 7.6, 7.8 que les résultats des tests faits répondent aux exigences métiers et aux politiques et procédures de l’entreprise en matière de sécurité des SI AI7: 7.7, 7.8, 7.9 Audit de la sécurité des services fournis par des tiers Cette mission consiste à vérifier : que les fournisseurs de services tiers respectent les politiques de sécurité de l’entreprise et emploient des personnes qualifiés la dépendance aux fournisseurs des services tiers est bien gérée par les politiques et les procédures de sécurité de l’entreprise que les contrats avec les fournisseurs de services tiers permettent d’exécuter des missions d’audit et des revues (SysTrust, SAS70, ISA402) AI5 : 5.3 DS2 : 2.3, 2.4 SE2 : 2.6 Audit de la sécurité des services internes Cette mission consiste à vérifier : que des fonctions, des informations et des ressources critiques sont disponible pour maintenir la continuité des services offerts en cas d’un incident de sécurité PO2: 2.3 PO9: 9.3, 9.4 DS4: 4.1, 4.3 DS5: 5.6 DS10: 10.1, 10.2, 10.3 DS12: 12.5 l'existence et la fiabilité des mesures d’urgence afin de rétablir le service en échec et de répondre aux besoins des fournisseurs et clients DS4: 4.2, 4.4, 4.8 que les éléments de récupération des services (informations, documentation et ressources critiques) sont bien sauvegarder dans des sites de sauvegarde et sont bien sécurisés, utilisables et recouvrables DS4: 4.5, 4.9 DS11: 11.5, 11.6 que les accès et les privilèges d’accès (pour afficher, ajouter, modifier ou supprimer les informations et les transactions) sont basés sur les besoins particuliers des utilisateurs que les droits d'accès des prestataires de services, fournisseurs et clients sont contrôlés DS5: 5.3, 5.4 que les responsabilités pour gérer les comptes utilisateurs et les jetons de sécurité (tel que : mots de passe, cartes d’accès …) et que ces mesures sont bien identifiées, documentées et révisées périodiquement DS5: 5.4, 5.7, 5.8 DS13: 13.4 que les violations de sécurité des services (tel que : accès non permis des réseaux et systèmes, virus, logiciels malveillants ….) sont toujours enregistrées et reportées immédiatement aux responsables DS5: 5.5, 5.6, 5.9 DS10: 10.1 que les consignes de sécurité avec les partenaires commerciaux sont adéquates et conforme aux obligations contractuelles afin de garantir l’authenticité des transactions électroniques DS5: 5.11 AC6 que des mesures de protection contre les virus et les logiciels espions sont établis et efficaces et mises à jour DS5: 5.9 que les mesures de sécurité des réseaux se conforment aux politiques de l’entreprise en matière d’échange des informations que les supports électroniques permettant cet échange sont bien sécurisés et les incidents sont détectés et suivis DS5: 5.2, 5.10, 5.11 DS12: 12.3 Audit des données et des transactions Cette consiste à vérifier : que les contrôles mis en place pour assurer l’intégrité des données (exactitude, l'exhaustivité et la validité) lors des opérations de saisie, de traitement, de sauvegarde ou de la distribution existent et sont efficaces que les contrôles mis en place pour assurer l’authenticité et le non rejet des transactions existent et sont efficaces DS5: 5.11 DS11: 11.6 AC1, AC2 AC3, AC4 AC5, AC6 que les données sensibles ne sont pas communiquées aux personnes non autorisées DS11: 11.6 AC5 AC6 que les périodes de rétention, les mesures d’archivage et les conditions de stockage de la documentation, données et applications se conforment aux exigences des utilisateurs et des réglementations en vigueur DS11: 11.2, 11.4 que l'intégrité, l'accessibilité et la lisibilité des données sont assurées lors de l’opération de sauvegarde DS4: 4.9 DS11: 11.2
  • 3. Audit de la sécurité physique Cette mission consiste à vérifier : que les installations et des biens informatiques (salles des serveurs ou de stockage des données) exposés à des risques élevés sont bien sécurisés contres des dommages physiques DS12: 12.1, 12.2, 12.3, 12.4, 12.5 que les ordinateurs, équipements informatiques sont bien protégés contre les dommages physiques et la perte des données DS12: 12.2, Audit de la gouvernance des dispositifs de sécurité Cette mission consiste à vérifier : La performance des dispositifs de sécurité mises en place, c.-à-d. : à quel point les contrôles de sécurité répondent aux exigences définis et remédient aux vulnérabilités des SI en matière de sécurité que les mécanismes de sécurité fonctionnent efficacement et que des mesures de détection des faiblesses de ces mécanismes sont prévues et exécutées (telles que la détection d'intrusion, les tests de pénétration et le stress, et l'essai des plans d'urgence) que toutes les violations et les exceptions sont documentées et suivies conformément aux politiques de sécurité de l’entreprise que contrôles clés de sécurité sont toujours surveillés aux exigences et politiques SE1: 1.2, 1.4, 1.5, 1.6 SE2: 2.1, 2.4 L’existence d’une assurance indépendante : que des évaluations indépendantes (de la part des experts en la matière) sont prévues pour vérifier les mesures de sécurité établies et le niveau de l’adéquation de ceux-ci avec les lois, règlementations et les obligations contractuelles SE2: 2.5 SE4: 4.7 La conformité réglementaire des politiques et dispositifs de sécurité avec les normes et lois en vigueur : que des tâches et des activités sont établies pour garantir la conformité des dispositifs de sécurité avec les réglementations en vigueur que le personnel adhère aux politiques de l’entreprise en matière de la sécurité et est sensibles aux obligations sécuritaires PO3: 3.3 SE3: 3.1, 3.2, 3.3, 3.4 Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information" © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)