Ammar Sassi, profile picture
Téléchargé parAmmar Sassi
4,902 vues

Programme de travail de la mission audit de la sécurité des SI

Le document présente des programmes de travail pour diverses missions d'audit en matière de sécurité des systèmes d'information, en se basant sur le cadre de référence Cobit 4.1. Chaque type de mission d'audit vise à évaluer différents aspects de la sécurité, tels que la gestion des risques, les compétences du personnel, la sécurité des applications, et la conformité des services fournis par des tiers. Des recommandations et des objectifs de contrôle spécifiques sont également mentionnés pour assurer la sécurité des systèmes d'information.

Intégrer la présentation

Téléchargé 78 fois
Programmes de travail pour différentes missions d'audit en matière de sécurité des SI (selon le cadre de référence Cobit4.1) Type de mission d’audit Description Objectifs de contrôle Audit du management de la sécurité des SI Cette mission consiste à vérifier : La stratégie de sécurité et l’architecture de l’information, c.-à-d. : que les données, les services et les transactions critiques (en se basant sur les exigences et les risques métiers) sont bien identifiés et considérées dans la stratégie de sécurité de l’entreprise que les exigences de sécurité (telles que : la confidentialité, l’authenticité, la disponibilité, la limitation d’accès, la validité, le sauvegarde et la récupération) des données sont prises en compte dans l’établissement de la stratégie globale de sécurité des SI que des investissements de sécurité (matériels et logiciels) sont étudiés et pris en compte PO1 : 1.2, 1.4, 1.6 PO2 : 2.2, 2.3 PO3 : 3.4 PO4 : 4.9 DS5 : 5.1, 5.2 L’organisation des SI et les responsabilités en matière de sécurité: c.-à-d. : que les responsabilités sont assignées, communiquées et bien appréhendées le niveau de risque d’attribuer plusieurs responsabilités à une seule personne est-ce que les ressources nécessaires pour exercer les responsabilités sont disponibles et efficaces PO4 : 4.8, 4.10, 4.11, 4.15 PO7 : 7.3 La communication des objectifs et les orientations de gestion en matière de sécurité c.-à-d : que les règles de base répondant aux exigences et aux incidents de sécurité sont bien communiquées aux employés et que ces derniers adhérent aussi bien aux politiques de l’entreprise en ce qui concerne la sécurité des SI que les directives de sécurité sont en ligne avec les objectifs de l'entreprise PO6 : 6.2, 6.3, 6.4, 6.5 DS5 : 5.2 La sécurité des différents niveaux de service : c.-à-d. : que des exigences de sécurité et des revus réguliers de la conformité des niveaux de services internes et les services fournis par des tiers sont établis et respectés AI5: 5.2 DS1 : 1.3, 1.5, 1.6 DS2 : 2.4 Audit des risques informatiques Cette mission consiste à vérifier : le processus de gestion des risques informatiques de l’entreprise et les mesures envisagées par la direction de l’entreprise. l’existence d’un plan d’action afin de répondre aux risques potentiels le niveau d’implication du personnel dans le processus de gestion des risques des SI PO2 : 2.3 PO7 : 7.4 PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6 AI1 : 1.1, 1.2 Audit des risques associés au personnel en matière de la sécurité des SI Cette mission consiste à vérifier : le degré d’implication du personnel aux politiques de sécurité établies par la direction les compétences du personnel en matière de sécurité générale des SI qu’aucune tache clé de sécurité ne soit attribuée à une seule personne PO4 : 4.13 PO7 : 7.1, 7.2, 7.5, 7.6, 7.7 que les membres du personnel savent intégrer la sécurité dans les procédures quotidiennes qu’une documentation et des formations sont fournies aux membres du personnel en matière de la sécurité AI4 : 4.1, 4.2, 4.3, 4.4 AI7 : 7.1 Audit de la sécurité des applications et infrastructures Cette mission a pour but de vérifier : l’existence des évaluations de sécurité lors de l’acquisition des nouvelles applications AI1: 1.1, 1.2, 1.3 AI5: 5.2, 5.3 que les solutions informatiques acquises sont fonctionnels et que les exigences de sécurité sont spécifiées et compatibles avec les systèmes AI1: 1.1, 1.2 AI2: 2.2, 2.4 AI4: 4.1, 4.4 AI5: 5.3, 5.4 que les développeurs et les fournisseurs d’applications ou infrastructures prennent en compte les exigences de l’entreprise en matière de sécurité, et que l’entreprise à déployer tous les moyens pour les faire adhérer à ses politiques de sécurité PO8: 8.3 AI2: 2.3, 2.4, 2.5, 2.6, 2.8 AI3: 3.1, 3.4 l’existence et l’efficacité des patchs de sécurité pour l’infrastructure que des mesures additionnelles nécessaires pour maintenir la sécurité de l’infrastructure sont documentées AI3: 3.2, 3.3 AI6: 6.1 DS5: 5.9 que des mises à jour régulières et des inventaires complets des configurations des applications et du matériel sont exécutés que tous les logiciels installés sont légales, autorisés (possèdent des licences d’utilisation) DS9: 9.1, 9, 9.3
Audit de la sécurité des installations et des changements Cette mission consiste à vérifier : les impacts des changements (correctifs inclus) sur l’intégrité des données (perte des données), la disponibilité des services et la validité des transactions AI2: 2.8 AI3: 3.4 AI6: 6.1, 6.2 AI7: 7.2, 7.4, 7.6 que tous les changements, y compris les correctifs et les modifications d'urgence sont documentés et autorisés AI6: 6.2, 6.3, 6.4, 6.5 que les systèmes nouvellement installés et les différents changements ont été objet des tests de sécurité PO8: 8.3 AI3: 3.4 AI7: 7.2, 7.4, 7.6, 7.8 que les résultats des tests faits répondent aux exigences métiers et aux politiques et procédures de l’entreprise en matière de sécurité des SI AI7: 7.7, 7.8, 7.9 Audit de la sécurité des services fournis par des tiers Cette mission consiste à vérifier : que les fournisseurs de services tiers respectent les politiques de sécurité de l’entreprise et emploient des personnes qualifiés la dépendance aux fournisseurs des services tiers est bien gérée par les politiques et les procédures de sécurité de l’entreprise que les contrats avec les fournisseurs de services tiers permettent d’exécuter des missions d’audit et des revues (SysTrust, SAS70, ISA402) AI5 : 5.3 DS2 : 2.3, 2.4 SE2 : 2.6 Audit de la sécurité des services internes Cette mission consiste à vérifier : que des fonctions, des informations et des ressources critiques sont disponible pour maintenir la continuité des services offerts en cas d’un incident de sécurité PO2: 2.3 PO9: 9.3, 9.4 DS4: 4.1, 4.3 DS5: 5.6 DS10: 10.1, 10.2, 10.3 DS12: 12.5 l'existence et la fiabilité des mesures d’urgence afin de rétablir le service en échec et de répondre aux besoins des fournisseurs et clients DS4: 4.2, 4.4, 4.8 que les éléments de récupération des services (informations, documentation et ressources critiques) sont bien sauvegarder dans des sites de sauvegarde et sont bien sécurisés, utilisables et recouvrables DS4: 4.5, 4.9 DS11: 11.5, 11.6 que les accès et les privilèges d’accès (pour afficher, ajouter, modifier ou supprimer les informations et les transactions) sont basés sur les besoins particuliers des utilisateurs que les droits d'accès des prestataires de services, fournisseurs et clients sont contrôlés DS5: 5.3, 5.4 que les responsabilités pour gérer les comptes utilisateurs et les jetons de sécurité (tel que : mots de passe, cartes d’accès …) et que ces mesures sont bien identifiées, documentées et révisées périodiquement DS5: 5.4, 5.7, 5.8 DS13: 13.4 que les violations de sécurité des services (tel que : accès non permis des réseaux et systèmes, virus, logiciels malveillants ….) sont toujours enregistrées et reportées immédiatement aux responsables DS5: 5.5, 5.6, 5.9 DS10: 10.1 que les consignes de sécurité avec les partenaires commerciaux sont adéquates et conforme aux obligations contractuelles afin de garantir l’authenticité des transactions électroniques DS5: 5.11 AC6 que des mesures de protection contre les virus et les logiciels espions sont établis et efficaces et mises à jour DS5: 5.9 que les mesures de sécurité des réseaux se conforment aux politiques de l’entreprise en matière d’échange des informations que les supports électroniques permettant cet échange sont bien sécurisés et les incidents sont détectés et suivis DS5: 5.2, 5.10, 5.11 DS12: 12.3 Audit des données et des transactions Cette consiste à vérifier : que les contrôles mis en place pour assurer l’intégrité des données (exactitude, l'exhaustivité et la validité) lors des opérations de saisie, de traitement, de sauvegarde ou de la distribution existent et sont efficaces que les contrôles mis en place pour assurer l’authenticité et le non rejet des transactions existent et sont efficaces DS5: 5.11 DS11: 11.6 AC1, AC2 AC3, AC4 AC5, AC6 que les données sensibles ne sont pas communiquées aux personnes non autorisées DS11: 11.6 AC5 AC6 que les périodes de rétention, les mesures d’archivage et les conditions de stockage de la documentation, données et applications se conforment aux exigences des utilisateurs et des réglementations en vigueur DS11: 11.2, 11.4 que l'intégrité, l'accessibilité et la lisibilité des données sont assurées lors de l’opération de sauvegarde DS4: 4.9 DS11: 11.2
Audit de la sécurité physique Cette mission consiste à vérifier : que les installations et des biens informatiques (salles des serveurs ou de stockage des données) exposés à des risques élevés sont bien sécurisés contres des dommages physiques DS12: 12.1, 12.2, 12.3, 12.4, 12.5 que les ordinateurs, équipements informatiques sont bien protégés contre les dommages physiques et la perte des données DS12: 12.2, Audit de la gouvernance des dispositifs de sécurité Cette mission consiste à vérifier : La performance des dispositifs de sécurité mises en place, c.-à-d. : à quel point les contrôles de sécurité répondent aux exigences définis et remédient aux vulnérabilités des SI en matière de sécurité que les mécanismes de sécurité fonctionnent efficacement et que des mesures de détection des faiblesses de ces mécanismes sont prévues et exécutées (telles que la détection d'intrusion, les tests de pénétration et le stress, et l'essai des plans d'urgence) que toutes les violations et les exceptions sont documentées et suivies conformément aux politiques de sécurité de l’entreprise que contrôles clés de sécurité sont toujours surveillés aux exigences et politiques SE1: 1.2, 1.4, 1.5, 1.6 SE2: 2.1, 2.4 L’existence d’une assurance indépendante : que des évaluations indépendantes (de la part des experts en la matière) sont prévues pour vérifier les mesures de sécurité établies et le niveau de l’adéquation de ceux-ci avec les lois, règlementations et les obligations contractuelles SE2: 2.5 SE4: 4.7 La conformité réglementaire des politiques et dispositifs de sécurité avec les normes et lois en vigueur : que des tâches et des activités sont établies pour garantir la conformité des dispositifs de sécurité avec les réglementations en vigueur que le personnel adhère aux politiques de l’entreprise en matière de la sécurité et est sensibles aux obligations sécuritaires PO3: 3.3 SE3: 3.1, 3.2, 3.3, 3.4 Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information" © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)

Contenu connexe

PPTX
Audit de sécurité informatique
parMohamed Ali Hadhri
 
PPS
Audit Informatique
paretienne
 
PDF
Référentiels et Normes pour l'Audit de la Sécurité des SI
parAlghajati
 
PDF
Audit informatique
parFINALIANCE
 
PDF
Audit des systemes d'information
parAnnick Franck Monyie Fouda
 
PPTX
Sécurité des Systèmes d'Information et de l'Information
parShema Labidi
 
PPTX
Implémenter et gérer un projet iso 27001
parIntellectus services and consulting
 
PDF
Etude de cas audit cobit 4.1
parsaqrjareh
 
Audit de sécurité informatique
parMohamed Ali Hadhri
 
Audit Informatique
paretienne
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
parAlghajati
 
Audit informatique
parFINALIANCE
 
Audit des systemes d'information
parAnnick Franck Monyie Fouda
 
Sécurité des Systèmes d'Information et de l'Information
parShema Labidi
 
Implémenter et gérer un projet iso 27001
parIntellectus services and consulting
 
Etude de cas audit cobit 4.1
parsaqrjareh
 

Tendances

PPTX
Audit comptable et_financieer
pargirelle
 
PPTX
Processus Audit SI
parArsène Ngato
 
PPT
Mission d'audit des Systéme d'information
parAymen Foudhaili
 
PDF
Conduite d’une mission d’audit - démarche générale
parAmmar Sassi
 
PPTX
Exposé audit interne et controle interne
parPasteur_Tunis
 
PDF
Audit interne
par9291409309
 
PDF
COURS AUDIT COMPTABLE ET FINANCIER
parHajar EL GUERI
 
PDF
Audit-audit-interne
parWidad Naciri
 
PDF
Les guides d'audit TI de l'ISACA
parYann Riviere CCSK, CISSP, CRISC, CISM
 
PDF
Fiche 4 management des risques
parHalim ARROUDJ
 
PPT
cours audit s6 gestion -mazzine ppt.ppt
parMehdiESSRAIMA
 
PDF
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
parhpfumtchum
 
PPTX
Projet audit ppt
parHajar Idehou
 
PDF
ANALYSE DE RISQUES
parndelannoy
 
PPTX
Présentation stage AUDIT Qualité
parFatima ezzahra MOURID
 
PDF
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
parBachir Benyammi
 
PDF
Formation ISO14001:2015
parNiimate DEGOUN
 
PDF
Codification et documentation
parHamza MERIOUT
 
PDF
Audit du stock
parIkram Zouitene
 
DOC
Carte d'identité du processus Gestion des ressources humaines.doc
parAyoub ELBAKIRI
 
Audit comptable et_financieer
pargirelle
 
Processus Audit SI
parArsène Ngato
 
Mission d'audit des Systéme d'information
parAymen Foudhaili
 
Conduite d’une mission d’audit - démarche générale
parAmmar Sassi
 
Exposé audit interne et controle interne
parPasteur_Tunis
 
Audit interne
par9291409309
 
COURS AUDIT COMPTABLE ET FINANCIER
parHajar EL GUERI
 
Audit-audit-interne
parWidad Naciri
 
Les guides d'audit TI de l'ISACA
parYann Riviere CCSK, CISSP, CRISC, CISM
 
Fiche 4 management des risques
parHalim ARROUDJ
 
cours audit s6 gestion -mazzine ppt.ppt
parMehdiESSRAIMA
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
parhpfumtchum
 
Projet audit ppt
parHajar Idehou
 
ANALYSE DE RISQUES
parndelannoy
 
Présentation stage AUDIT Qualité
parFatima ezzahra MOURID
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
parBachir Benyammi
 
Formation ISO14001:2015
parNiimate DEGOUN
 
Codification et documentation
parHamza MERIOUT
 
Audit du stock
parIkram Zouitene
 
Carte d'identité du processus Gestion des ressources humaines.doc
parAyoub ELBAKIRI
 

Similaire à Programme de travail de la mission audit de la sécurité des SI

PPTX
présentation-PFE.pptx
parAdemKorani
 
PDF
Ansi - Tuncert : Référentiel d'audit de la sécurité des SI
parANSItunCERT
 
PDF
Déclaration d'applicabilité (DdA) - ISO27002:2013
parBachir Benyammi
 
PPTX
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
parAfrican Cyber Security Summit
 
PPTX
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
parHanen Bensaad
 
PPT
Exploitation Entretien et Soutien des SI
parArsène Ngato
 
PDF
SELI030_FR 2023cc2222222222222222222203.pdf
parSalsa897659
 
PDF
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
parASIP Santé
 
PDF
Audit sécurité des systèmes d’information
parAbbes Rharrab
 
PPTX
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
parWalter Michael TACKA
 
PPTX
PFE audit de securite informatique .pptx
parhwasira77
 
PDF
TUNDA OLEMBE DJAMBA , NOTES DU COURS DE SECURITE INFORMATIQUE AVANCEE .pdf
parTUNDA-OLEMBE DJAMBA
 
PDF
CH1_IntroductionSecurité.pdfcgood course
paryanguirania
 
PDF
Mission-d-Audit-Des-SI.pdf
parsaadbourouis2
 
PDF
Comment appliquer le principe du Privacy By Design
parThierry RAMARD
 
PDF
Sécurité des systèmes d'information
parFranck Franchin
 
PDF
ISO 27001
parMELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
PPT
Audit et sécurité des systèmes d'information
parManuel Cédric EBODE MBALLA
 
PDF
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
parpolenumerique33
 
PPTX
Présentation audits de sécurité
parHarvey Francois
 
présentation-PFE.pptx
parAdemKorani
 
Ansi - Tuncert : Référentiel d'audit de la sécurité des SI
parANSItunCERT
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
parBachir Benyammi
 
Conférence - Le métier du RSSI en pleine évolution - #ACSS2019
parAfrican Cyber Security Summit
 
Aspets juridiques des sécurité des systèmes d'information selon le code pénal...
parHanen Bensaad
 
Exploitation Entretien et Soutien des SI
parArsène Ngato
 
SELI030_FR 2023cc2222222222222222222203.pdf
parSalsa897659
 
2015-10-07 Colloque SIS "Les risques liés à la sécurité des SI" - Diaporama
parASIP Santé
 
Audit sécurité des systèmes d’information
parAbbes Rharrab
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
parWalter Michael TACKA
 
PFE audit de securite informatique .pptx
parhwasira77
 
TUNDA OLEMBE DJAMBA , NOTES DU COURS DE SECURITE INFORMATIQUE AVANCEE .pdf
parTUNDA-OLEMBE DJAMBA
 
CH1_IntroductionSecurité.pdfcgood course
paryanguirania
 
Mission-d-Audit-Des-SI.pdf
parsaadbourouis2
 
Comment appliquer le principe du Privacy By Design
parThierry RAMARD
 
Sécurité des systèmes d'information
parFranck Franchin
 
ISO 27001
parMELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
Audit et sécurité des systèmes d'information
parManuel Cédric EBODE MBALLA
 
Note technique ANSSI 2015 - Recommandations relatives à l’administration sécu...
parpolenumerique33
 
Présentation audits de sécurité
parHarvey Francois
 

Plus de Ammar Sassi

PDF
CV_AmmarSassi
parAmmar Sassi
 
PDF
Générateur de guides d’audit informatique (based on cobit methodology)
parAmmar Sassi
 
PDF
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
parAmmar Sassi
 
PDF
Boite à outils de l'auditeur
parAmmar Sassi
 
PDF
Audit of IT Governance (Reference documents to be audited)
parAmmar Sassi
 
PDF
Audit of IT Governance (Reference documents to be audited according to Cobit5...
parAmmar Sassi
 
PDF
Strategic and Operational Planning for IT
parAmmar Sassi
 
PDF
IT audit approach (according to the Cobit methodology)
parAmmar Sassi
 
PDF
Tutoriel
parAmmar Sassi
 
CV_AmmarSassi
parAmmar Sassi
 
Générateur de guides d’audit informatique (based on cobit methodology)
parAmmar Sassi
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
parAmmar Sassi
 
Boite à outils de l'auditeur
parAmmar Sassi
 
Audit of IT Governance (Reference documents to be audited)
parAmmar Sassi
 
Audit of IT Governance (Reference documents to be audited according to Cobit5...
parAmmar Sassi
 
Strategic and Operational Planning for IT
parAmmar Sassi
 
IT audit approach (according to the Cobit methodology)
parAmmar Sassi
 
Tutoriel
parAmmar Sassi
 

Programme de travail de la mission audit de la sécurité des SI

  • 1.
    Programmes de travailpour différentes missions d'audit en matière de sécurité des SI (selon le cadre de référence Cobit4.1) Type de mission d’audit Description Objectifs de contrôle Audit du management de la sécurité des SI Cette mission consiste à vérifier : La stratégie de sécurité et l’architecture de l’information, c.-à-d. : que les données, les services et les transactions critiques (en se basant sur les exigences et les risques métiers) sont bien identifiés et considérées dans la stratégie de sécurité de l’entreprise que les exigences de sécurité (telles que : la confidentialité, l’authenticité, la disponibilité, la limitation d’accès, la validité, le sauvegarde et la récupération) des données sont prises en compte dans l’établissement de la stratégie globale de sécurité des SI que des investissements de sécurité (matériels et logiciels) sont étudiés et pris en compte PO1 : 1.2, 1.4, 1.6 PO2 : 2.2, 2.3 PO3 : 3.4 PO4 : 4.9 DS5 : 5.1, 5.2 L’organisation des SI et les responsabilités en matière de sécurité: c.-à-d. : que les responsabilités sont assignées, communiquées et bien appréhendées le niveau de risque d’attribuer plusieurs responsabilités à une seule personne est-ce que les ressources nécessaires pour exercer les responsabilités sont disponibles et efficaces PO4 : 4.8, 4.10, 4.11, 4.15 PO7 : 7.3 La communication des objectifs et les orientations de gestion en matière de sécurité c.-à-d : que les règles de base répondant aux exigences et aux incidents de sécurité sont bien communiquées aux employés et que ces derniers adhérent aussi bien aux politiques de l’entreprise en ce qui concerne la sécurité des SI que les directives de sécurité sont en ligne avec les objectifs de l'entreprise PO6 : 6.2, 6.3, 6.4, 6.5 DS5 : 5.2 La sécurité des différents niveaux de service : c.-à-d. : que des exigences de sécurité et des revus réguliers de la conformité des niveaux de services internes et les services fournis par des tiers sont établis et respectés AI5: 5.2 DS1 : 1.3, 1.5, 1.6 DS2 : 2.4 Audit des risques informatiques Cette mission consiste à vérifier : le processus de gestion des risques informatiques de l’entreprise et les mesures envisagées par la direction de l’entreprise. l’existence d’un plan d’action afin de répondre aux risques potentiels le niveau d’implication du personnel dans le processus de gestion des risques des SI PO2 : 2.3 PO7 : 7.4 PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6 AI1 : 1.1, 1.2 Audit des risques associés au personnel en matière de la sécurité des SI Cette mission consiste à vérifier : le degré d’implication du personnel aux politiques de sécurité établies par la direction les compétences du personnel en matière de sécurité générale des SI qu’aucune tache clé de sécurité ne soit attribuée à une seule personne PO4 : 4.13 PO7 : 7.1, 7.2, 7.5, 7.6, 7.7 que les membres du personnel savent intégrer la sécurité dans les procédures quotidiennes qu’une documentation et des formations sont fournies aux membres du personnel en matière de la sécurité AI4 : 4.1, 4.2, 4.3, 4.4 AI7 : 7.1 Audit de la sécurité des applications et infrastructures Cette mission a pour but de vérifier : l’existence des évaluations de sécurité lors de l’acquisition des nouvelles applications AI1: 1.1, 1.2, 1.3 AI5: 5.2, 5.3 que les solutions informatiques acquises sont fonctionnels et que les exigences de sécurité sont spécifiées et compatibles avec les systèmes AI1: 1.1, 1.2 AI2: 2.2, 2.4 AI4: 4.1, 4.4 AI5: 5.3, 5.4 que les développeurs et les fournisseurs d’applications ou infrastructures prennent en compte les exigences de l’entreprise en matière de sécurité, et que l’entreprise à déployer tous les moyens pour les faire adhérer à ses politiques de sécurité PO8: 8.3 AI2: 2.3, 2.4, 2.5, 2.6, 2.8 AI3: 3.1, 3.4 l’existence et l’efficacité des patchs de sécurité pour l’infrastructure que des mesures additionnelles nécessaires pour maintenir la sécurité de l’infrastructure sont documentées AI3: 3.2, 3.3 AI6: 6.1 DS5: 5.9 que des mises à jour régulières et des inventaires complets des configurations des applications et du matériel sont exécutés que tous les logiciels installés sont légales, autorisés (possèdent des licences d’utilisation) DS9: 9.1, 9, 9.3
  • 2.
    Audit de lasécurité des installations et des changements Cette mission consiste à vérifier : les impacts des changements (correctifs inclus) sur l’intégrité des données (perte des données), la disponibilité des services et la validité des transactions AI2: 2.8 AI3: 3.4 AI6: 6.1, 6.2 AI7: 7.2, 7.4, 7.6 que tous les changements, y compris les correctifs et les modifications d'urgence sont documentés et autorisés AI6: 6.2, 6.3, 6.4, 6.5 que les systèmes nouvellement installés et les différents changements ont été objet des tests de sécurité PO8: 8.3 AI3: 3.4 AI7: 7.2, 7.4, 7.6, 7.8 que les résultats des tests faits répondent aux exigences métiers et aux politiques et procédures de l’entreprise en matière de sécurité des SI AI7: 7.7, 7.8, 7.9 Audit de la sécurité des services fournis par des tiers Cette mission consiste à vérifier : que les fournisseurs de services tiers respectent les politiques de sécurité de l’entreprise et emploient des personnes qualifiés la dépendance aux fournisseurs des services tiers est bien gérée par les politiques et les procédures de sécurité de l’entreprise que les contrats avec les fournisseurs de services tiers permettent d’exécuter des missions d’audit et des revues (SysTrust, SAS70, ISA402) AI5 : 5.3 DS2 : 2.3, 2.4 SE2 : 2.6 Audit de la sécurité des services internes Cette mission consiste à vérifier : que des fonctions, des informations et des ressources critiques sont disponible pour maintenir la continuité des services offerts en cas d’un incident de sécurité PO2: 2.3 PO9: 9.3, 9.4 DS4: 4.1, 4.3 DS5: 5.6 DS10: 10.1, 10.2, 10.3 DS12: 12.5 l'existence et la fiabilité des mesures d’urgence afin de rétablir le service en échec et de répondre aux besoins des fournisseurs et clients DS4: 4.2, 4.4, 4.8 que les éléments de récupération des services (informations, documentation et ressources critiques) sont bien sauvegarder dans des sites de sauvegarde et sont bien sécurisés, utilisables et recouvrables DS4: 4.5, 4.9 DS11: 11.5, 11.6 que les accès et les privilèges d’accès (pour afficher, ajouter, modifier ou supprimer les informations et les transactions) sont basés sur les besoins particuliers des utilisateurs que les droits d'accès des prestataires de services, fournisseurs et clients sont contrôlés DS5: 5.3, 5.4 que les responsabilités pour gérer les comptes utilisateurs et les jetons de sécurité (tel que : mots de passe, cartes d’accès …) et que ces mesures sont bien identifiées, documentées et révisées périodiquement DS5: 5.4, 5.7, 5.8 DS13: 13.4 que les violations de sécurité des services (tel que : accès non permis des réseaux et systèmes, virus, logiciels malveillants ….) sont toujours enregistrées et reportées immédiatement aux responsables DS5: 5.5, 5.6, 5.9 DS10: 10.1 que les consignes de sécurité avec les partenaires commerciaux sont adéquates et conforme aux obligations contractuelles afin de garantir l’authenticité des transactions électroniques DS5: 5.11 AC6 que des mesures de protection contre les virus et les logiciels espions sont établis et efficaces et mises à jour DS5: 5.9 que les mesures de sécurité des réseaux se conforment aux politiques de l’entreprise en matière d’échange des informations que les supports électroniques permettant cet échange sont bien sécurisés et les incidents sont détectés et suivis DS5: 5.2, 5.10, 5.11 DS12: 12.3 Audit des données et des transactions Cette consiste à vérifier : que les contrôles mis en place pour assurer l’intégrité des données (exactitude, l'exhaustivité et la validité) lors des opérations de saisie, de traitement, de sauvegarde ou de la distribution existent et sont efficaces que les contrôles mis en place pour assurer l’authenticité et le non rejet des transactions existent et sont efficaces DS5: 5.11 DS11: 11.6 AC1, AC2 AC3, AC4 AC5, AC6 que les données sensibles ne sont pas communiquées aux personnes non autorisées DS11: 11.6 AC5 AC6 que les périodes de rétention, les mesures d’archivage et les conditions de stockage de la documentation, données et applications se conforment aux exigences des utilisateurs et des réglementations en vigueur DS11: 11.2, 11.4 que l'intégrité, l'accessibilité et la lisibilité des données sont assurées lors de l’opération de sauvegarde DS4: 4.9 DS11: 11.2
  • 3.
    Audit de lasécurité physique Cette mission consiste à vérifier : que les installations et des biens informatiques (salles des serveurs ou de stockage des données) exposés à des risques élevés sont bien sécurisés contres des dommages physiques DS12: 12.1, 12.2, 12.3, 12.4, 12.5 que les ordinateurs, équipements informatiques sont bien protégés contre les dommages physiques et la perte des données DS12: 12.2, Audit de la gouvernance des dispositifs de sécurité Cette mission consiste à vérifier : La performance des dispositifs de sécurité mises en place, c.-à-d. : à quel point les contrôles de sécurité répondent aux exigences définis et remédient aux vulnérabilités des SI en matière de sécurité que les mécanismes de sécurité fonctionnent efficacement et que des mesures de détection des faiblesses de ces mécanismes sont prévues et exécutées (telles que la détection d'intrusion, les tests de pénétration et le stress, et l'essai des plans d'urgence) que toutes les violations et les exceptions sont documentées et suivies conformément aux politiques de sécurité de l’entreprise que contrôles clés de sécurité sont toujours surveillés aux exigences et politiques SE1: 1.2, 1.4, 1.5, 1.6 SE2: 2.1, 2.4 L’existence d’une assurance indépendante : que des évaluations indépendantes (de la part des experts en la matière) sont prévues pour vérifier les mesures de sécurité établies et le niveau de l’adéquation de ceux-ci avec les lois, règlementations et les obligations contractuelles SE2: 2.5 SE4: 4.7 La conformité réglementaire des politiques et dispositifs de sécurité avec les normes et lois en vigueur : que des tâches et des activités sont établies pour garantir la conformité des dispositifs de sécurité avec les réglementations en vigueur que le personnel adhère aux politiques de l’entreprise en matière de la sécurité et est sensibles aux obligations sécuritaires PO3: 3.3 SE3: 3.1, 3.2, 3.3, 3.4 Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information" © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)