ISO 27001

République Algérienne Démocratique et Populaire
Ministère de l’Enseignement Supérieur et de la Recherche Scientifique
Université des Sciences et de la Technologie Houari Boumediene
Faculté d’informatique
Rapport de projet : Audit informatique
Filière: Informatique
Spécialité: M2 SSI
Énoncé:
“Effectuer un audit de conformité à la norme ISO 27001 pour le site web
de la commune de Bab Ezzouar hébergé au niveau de la salle de
conférence de l'USTHB”
Équipe:
All Secure
À remettre avant le : 06/02/2022
Projet Proposé par:
M. A.Berbar
Réalisé par :
● MELLAH Mouloud
● HASBELLAOUI Sara
● HIRECHE Chahrazed
● DJOUADA Mehdi

Table des Matières
Table des Matières 1
1. Objectifs de l’audit 2
1.1 But de audit 2
1.2 Type de l’audit 2
1.3 Résultats attendus 2
2. Guide Opérationnel 3
2.1 Organisation du Document 3
2.2 Critères d’évaluation de la conformité 4
3. Synthèse générale 4
3.1 Points forts 4
3.2 Points faibles 4
3.3 Niveau de conformité global 5
3.4 Conclusion Générale 6
4. Analyse globale 8
4.1 Actifs 8
4.2 Systèmes et service 9
4.1 Schéma de l’architecture du réseau 9
5. Analyse des non-conformités et recommandations 10
5.1 Analyse des non-conformités et Recommandations — Activités du SMSI 10
Phase Plan 10
Phase Do 12
Phase Check 13
Phase Act 13
5.2 Analyse des non-conformités et Recommandations — Contrôles de l’Annexe A14
A.5 Politiques de sécurité 14
A.6 Organisation de la sécurité de l’information 15
A.7 Sécurité des ressources humaines 18
A.8 Gestion des actifs 20
A.9 Contrôle d’accès 24
A.10 Cryptographie 29
A.11 Sécurité physique et environnementale 30
A.12 Sécurité liée à l’exploitation 36
A.13 Sécurité des communications 42
A.14 Acquisition, développement et maintenance des systèmes d’information 45
A.15 Relations avec les fournisseurs 49
A.16 Gestion des incidents liés à la sécurité de l’information 51
A.17 Aspects de la sécurité de l’information dans la gestion de la continuité de
l’activité 54
A.18 Conformité 57
1

1. Objectifs de l’audit
1.1 But de audit
La mission consiste à effectuer un audit de conformité pour le site web de la commune de
Bab Ezzouar hébergé au niveau de la salle de conférence de l’USTHB.
Le principal objectif de cet audit est de déterminer les éventuelles non-conformités par
rapport à la norme ISO 27001 en évaluant l’existence et l’efficacité du système de
management de la sécurité de l’information et en déterminant la maturité des mesures et
contrôles de sécurité mis en place selon les quatorze (14) domaines qui figurent dans l’annexe
A de la norme, notamment :
● A.5 Politiques de sécurité de l’information
● A.6 Organisation de la sécurité de l’information
● A.7 Sécurité des ressources humaines
● A.8 Gestion des actifs
● A.9 Contrôle d’accès
● A.10 Cryptographie
● A.11 Sécurité physique et environnementale
● A.12 Sécurité liée à l’exploitation
● A.13 Sécurité des communications
● A.14 Acquisition, développement et maintenance des systèmes d’information
● A.15 Relations avec les fournisseurs
● A.16 Gestion des incidents liés à la sécurité de l’information
● A.17 Aspects de la sécurité de l’information dans la gestion de la continuité de
l’activité
● A.18 Conformité
1.2 Type de l’audit
Un audit en boîte blanche d’une durée de 8 jours.
1.3 Résultats attendus
A la fin de l' audit, le client pourra déterminer son niveau de conformité par rapport aux
exigences de la norme ISO 27001 et les mesures qui doivent être prises pour se préparer à la
certification.
2

2. Guide Opérationnel
Cette partie du document présente l'organisation du rapport, ainsi que les critères d'évaluation
de la conformité à la norme ISO 27001.
2.1 Organisation du Document
Section Description Destination
Objectifs de l’audit Définition du but et du contexte dans
lesquels est réalisé l’audit.
Les décideurs + les responsables
+ l’équipe technique.
Guide Opérationnel Guide de lecture du rapport expliquant
son plan.
Les décideurs + les responsables
Synthèse générale Résumé du niveau de conformité Les décideurs + les responsables
Analyse globale Évaluation globale de la conformité. L’équipe chargée de la sécurité
informatique.
Analyse des non-conformités
et Recommandations
(Activités du SMSI)
Des recommandations d'améliorations
relatives aux activités du SMSI,
nécessaires à mettre en œuvre pour
atteindre le niveau de conformité
requis par la certification ISO 27001.
L’équipe chargée de la sécurité
informatique.
Analyse des non-conformités
et Recommandations
(Contrôles — Annexe A )
Des recommandations d'améliorations
des contrôles techniques, nécessaires à
mettre en œuvre pour atteindre le
niveau de conformité requis par la
certification ISO 27001.
L’équipe chargée de la sécurité
informatique.
3

2.2 Critères d’évaluation de la conformité
Classement des observations
(Niveau de conformité)
Description
Non-conformité majeure Amélioration significative nécessaire (non-conformités
majeures).
Non-conformité mineure Amélioration mineure à modérée nécessaire (non-conformités
mineures).
Conforme Prêt pour la certification.
Ne peut être évalué Le contrôle ne peut pas être évalué car il n'a pas été ni conçu ni
mis en œuvre et son applicabilité au SMSI n'a pas été définie.
3. Synthèse générale
3.1 Points forts
● Présence d’une solution de secours (serveur de backup).
● Les employés sont sensibilisés et tenus de respecter les politiques et les procédures de
sécurité de l'information.
● Existence d’un suivi régulier de la performance des serveurs et des équipements
réseaux.
● Existence d’une configuration d'alertes lorsque les seuils de performance sont atteints.
● Les droits d’accès sont vérifiés et examinés à intervalles réguliers.
● Les systèmes d'information sont régulièrement examinés pour vérifier leur conformité
technique aux politiques et aux normes.
● Existence des mesures spéciales pour préserver la confidentialité et l’intégrité des
données transmises sur les réseaux publics ou les réseaux sans fil.
3.2 Points faibles
● Absence d’une évaluation de risque, et ainsi que du document de déclaration
d'applicabilité (SOA).
● Aucune procédure de contrôle d’accès physique n’est mise en œuvre.
● Aucune étude sur les menaces physiques et environnementales n’a été menée.
4

● Aucun système de détection automatique d'incendie ainsi que d'extinction n’est mis en
place pour les locaux sensibles.
● Les équipements ne disposent pas d’une alimentation de secours en cas d’arrêt
temporaire de l'alimentation électrique principale et ne sont pas examinés et testés de
manière régulière pour s’assurer de leur fonctionnement correct.
● Absence de procédure de signalement des failles liées à la sécurité de l’information.
● Conformité aux légales, statutaires, réglementaires et contractuelles en vigueur n’est
pas définie explicitement, ni documentée.
● Absence de politique de protection de la vie privée et des données à caractère
personnel.
3.3 Niveau de conformité global
Le graphique en radar ci-dessous fournit un résumé graphique des résultats de l'évaluation.
Le graphique décrit le niveau de conformité actuel de chacun des contrôles de ISO/IEC
27001:2013 Annexe A.
À Chaque niveau de conformité correspond un niveau numérique sur le graphique :
● 1 - Non conformité majeure
● 2 - Non conformité mineure
● 3 - Conforme
5

3.4 Conclusion Générale
La faculté d’informatique de l'USTHB doit attribuer des rôles et des responsabilités, pour
gérer toutes les actions liées à l'analyse des non-conformités, à l'exécution des
améliorations et à la mise en œuvre des contrôles afin d’atteindre un état acceptable pour la
certification.
Le tableau ci-dessous montre les contrôles de l'ISO 27001:2013 classés et hiérarchisés en
fonction des niveaux de conformité.
Le tableau représente un guide pour commencer à exécuter des améliorations sur les
clauses de non-conformité mineure et poursuivre avec les non-conformités majeures. Il est
fortement recommandé de suivre l'ordre des étapes en le mettant en œuvre dans un plan
visant à se préparer pour la certification ISO 27001.
Les contrôles, qui sont marqués comme des non-conformités mineures peuvent être résolus
par des activités ponctuelles, alors que les non-conformités majeures requièrent une
approche itérative, en équipe, afin de mener à bien toutes les activités et de résoudre les
problèmes efficacement et à temps.
# Contrôles Niveau de conformité
Recommandations — Contrôles de l’Annexe A
A.7.2 Pendant la durée du contrat Conforme
1 Étape 1
1.1 A.7.3 Rupture, terme ou modification du contrat de travail Non conformité mineure
1.2 A.13.1 Gestion de la sécurité des réseaux Non conformité mineure
1.3 A.17.2 Redondances Non conformité mineure
1.4 A.18.2 Revue de la sécurité de l’information Non conformité mineure
Étape 2
2.1 A.5.1 Orientation de la direction pour la sécurité de
l’information
Non conformité majeure
2.2 A.6.1 Organisation interne Non conformité majeure
2.3 A.6.2 Appareils mobiles et télétravail Non conformité majeure
2.4 A.7.1 Avant l’embauche Non conformité majeure
2.5 A.8.1 Responsabilités relatives aux actifs Non conformité majeure
6

2.6 A.8.2 Classification de l’information Non conformité majeure
2.7 A.8.3 Manipulation des supports Non conformité majeure
2.8 A.9.1 Exigences métier en matière de contrôle d’accès Non conformité majeure
2.9 A.9.2 Gestion de l’accès utilisateur Non conformité majeure
2.10 A.9.3 Responsabilités des utilisateurs Non conformité majeure
2.11 A.9.4 Contrôle de l’accès au système et à l’information Non conformité majeure
2.12 A.10.1 Mesures cryptographiques Non conformité majeure
2.13 A.11.1 Zones sécurisées Non conformité majeure
2.14 A.11.2 Matériels Non conformité majeure
2.15 A.12.1 Procédures et responsabilités liées à l’exploitation Non conformité majeure
2.16 A.12.2 Protection contre les logiciels malveillants Non conformité majeure
2.17 A.12.3 Sauvegarde Non conformité majeure
2.18 A.12.4 Journalisation et surveillanc Non conformité majeure
2.19 A.12.5 Maîtrise des logiciels en exploitation Non conformité majeure
2.20 A.12.6 Gestion des vulnérabilités techniques Non conformité majeure
2.21 A.12.7 Considérations sur l’audit des systèmes
d’information
2.22 A.13.2 Transfert de l’information Non conformité majeure
2.23 A.14.1 Exigences de sécurité applicables aux systèmes
d’information
2.24 A.14.2 Sécurité des processus de développement et
d’assistance technique
2.25 A.14.3 Données de test Non conformité majeure
2.26 A.15.1 Sécurité dans les relations avec les fournisseurs Non conformité majeure
2.27 A.15.2 Gestion de la prestation du service Non conformité majeure
2.28 A.16.1 Gestion des incidents liés à la sécurité de
l’information et améliorations
2.29 A.17.1 Continuité de la sécurité de l’information Non conformité majeure
2.30 A.18.1 Conformité aux obligations légales et réglementaires Non conformité majeure
7

Recommandations — Activités du SMSI
3 Étape 3
3.1 Définition de la portée Non conformité majeure
3.2 Approche et exécution de l'évaluation des risque Non conformité majeure
3.3 Traitement des risques, y compris déclaration d'applicabilité Non conformité majeure
3.4 Opérationnel Non conformité majeure
3.5 Évaluation de la performance Non conformité majeure
3.6 Amélioration du SMSI Non conformité majeure
4. Analyse globale
4.1 Actifs
Périmètre Actifs
Salle de conférence 2 serveurs
1 switch
Baie de serveurs
4 climatiseurs
Identifiants de connexion des
utilisateurs du site web
e-commune.org
Données personnelles des
citoyens
Documents sensibles: actes
d'état-civil, factures
Salle de TP 122 1 routeur
1 switch
Armoire de brassage
Centre de Calcul 1 switch fédérateur
Rectorat Point de présence
8

Supports de transmission
● Paire torsadée RJ45 cat 5
● Fibre optique
4.2 Systèmes et service
● Microsoft Windows Server 2008, hébergeant un site web qui utilise une ancienne
version de PHP (v5.5.27)
● Cisco IOS
4.1 Schéma de l’architecture du réseau
9

5. Analyse des non-conformités et recommandations
Les tableaux au-dessous présentent une analyse des non-conformités et incluent des
recommandations pour les améliorations nécessaires pour atteindre le niveau de maturité
requis pour la certification ISO 27001.
Les actions sont réparties entre les phases Plan, Do, Check et Act du Système de Management
de la Sécurité de l'Information (SMSI).
Le cycle Plan-Do-Check-Act (PDCA) est un processus itératif et à chaque itération,
l'organisation a l'opportunité d'améliorer ses performances. itération, l'organisation a
l'opportunité de (re)définir la portée de son Système de Gestion de la Sécurité de
l'Information sécurité de l'information, de (re)définir les risques, de (re)sélectionner les
contrôles et d'ajuster ou de créer des procédure, des politiques et des directives.
5.1 Analyse des non-conformités et Recommandations — Activités du SMSI
A. Phase Plan
Définition de la portée
Description Le périmètre du SMSI (système de management de sécurité de l’information) doit être
défini en termes de caractéristiques de l'entreprise, l'organisation, ses emplacements, ses
actifs et ses technologies.
Observations ● La portée contenant la liste des zones, des emplacements, des actifs et des
technologies n’est pas définie et documentée.
● Les exclusions du champ d'application ne sont pas documentées et justifiées.
Classement Non-conformité majeure
Recommendations ● Documenter la portée du SMSI, y compris la liste des zones, emplacements, actifs,
et technologies de l'organisation (Salle de conférence, Salle 122, rectorat et centre
de calcule)
● Documenter toutes les exclusions du champ d'application du SMSI.
● Justifier les exclusions du champ d'application.
● Examiner et approuver le document de portée du SMSI annuellement ou en cas de
changements importants dans l'environnement en dehors du cycle d'examen
annuel (par exemple, modifications réglementaires, inclusion de nouveaux
emplacements, etc.)
Documents
consultés
N/A
10

Approche et exécution de l'évaluation des risques
Description Une approche d'évaluation des risques doit être créée pour l'organisation.
Observations ● Non-existence d’un document qui décrit un cadre de gestion des risques complet, y
compris toutes les étapes et les méthodes pertinentes à mettre en œuvre en termes
de processus d'évaluation des risques, notamment :
- Identification des actifs
- Identification des menaces
- Identification des vulnérabilités
- Analyse de contrôle
- Détermination de la probabilité
- Évaluation de l’impact potentiel des menace
- Classification des risques par ordre de priorité
- Recommandations des contrôles
- Documentation des résultats
Recommendations ● Créer un document de cadre de gestion des risques qui contient une matrice des
niveaux de risque basée sur une échelle à 5 niveaux (très faible à très élevé ), et qui
fournit des instructions pour la détermination du niveau de risque.
● Ajuster le cadre d'évaluation des risques afin qu'il comprenne les critères
d'acceptation des risques et d'identification du niveau acceptable.
● Obtenir l'approbation de la haute direction pour la décision d'accepter les risques
résiduels, et l'autorisation obtenue pour le fonctionnement effectif du SMSI.
● Examinez les documents contenant les listes d'actifs et définissez une seule liste
complète d'actifs avec les propriétaires d'actifs tout en tenant compte de la
recommandation mentionnée ci-dessus.
Documents
consultés
N/A
11

Traitement des risques, y compris déclaration d'applicabilité
Description Sélectionner la méthode de traitement des risques identifiés et obtenir l'approbation de
la direction pour les risques résiduels proposés.
Observations ● Un document de déclaration d'applicabilité (SOA) n'est pas disponible.
Recommendations ● Dériver le document SOA qui est la sortie d’un plan d'évaluation/de traitement
des risques et, si la conformité à la norme ISO 27001 doit être atteinte, relier
directement les contrôles sélectionnés aux risques d'origine qu'ils sont censés
atténuer.
● Pour chaque risque, évaluer les options de traitement (par exemple, appliquer
des contrôles, accepter, éviter ou transférer les risques) et des actions sont
effectuées en fonction de l'option sélectionnée. L'approbation de la direction est
nécessaire pour chaque situation où les risques sont acceptés.
Documents consultés N/A
B. Phase Do
Opération
Description Formuler et mettre en œuvre un plan de traitement des risques qui décrit les mesures de
management, les ressources, les responsabilités et les priorités nécessaires à la
réalisation du plan.
Observations ● Non-existence d’un document qui décrit les exigences relatives à la création
d'un plan de traitement des risques.
Recommendations ● Développer un plan de traitement des risques complet qui comprendrait :
- Des actions de management appropriées. La direction doit être d'accord avec
le plan de traitement des risques et approuver toute acceptation des risques.
- Des ressources. La direction doit affecter des ressources (par exemple, des heures de
travail ou un budget) qui permettent de réaliser le traitement du risque.
- Responsabilités en matière de traitement. Une personne ou une équipe responsable
qui gérera le processus de traitement doivent être identifiées.
- Priorités de traitement. Il convient d'identifier les risques qui seront
traités en premier ; en général, il s'agit des risques les plus élevés qui nécessitent le
moins d'efforts pour les atténuer.
- Date d'échéance : Bien que ce champ ne soit pas obligatoire, nous recommandons de
l'inclure afin d'établir des attentes concernant le moment où les actions doivent être
réalisées.
● Selon le document Plan de traitement des risques (ou Rapport d'évaluation des
risques), documenter les risques identifiés et les décisions sur la manière dont chacun
des risques identifiés doit être traité.
12

● Documenter les exigences détaillées pour le plan de traitement des risques (actions).
● Examiner et approuver à nouveau chaque année le document de traitement des
risques avec la direction en fonction des résultats de l'évaluation des risques.
C. Phase Check
Évaluation de la performance
Description Le SMSI doit faire l'objet d'un suivi afin de détecter les erreurs et les incidents de sécurité
et d'agir en conséquence.
Des examens réguliers de l'efficacité du SMSI, des contrôles pertinents et de l'évaluation
des risques doivent être effectués.
Observations Non-existence d’un document qui décrit les activités qui devraient être prises à chaque
étape de la mise en œuvre du SMSI, y compris la phase "Check".
Recommendations ● Suivre et examiner les procédures qui sont exécutées pour détecter et agir sur les erreurs
et les incidents de sécurité.
● Exécuter une réunion des responsables de la sécurité au cours de laquelle tous les
développements liés à la sécurité sont discutés (par exemple, les erreurs et les incidents de
sécurité).
● Passez en revue la politique et les objectifs du SMSI, mesurer l'efficacité des contrôles. et
le processus d'évaluation des risques.
Documents
consultés
N/A
D. Phase Act
Amélioration du SMSI
Description Après la phase Check (qui comprend plusieurs revues de la direction et l'audit interne),
le SMSI doit être amélioré par des actions correctives et préventives.
Observations Non-existence d’un document qui décrit les activités qui devraient être prises à chaque
étape de la mise en œuvre du SMSI, y compris la phase "Act".
Recommendations ●Documenter la procédure d'action corrective et préventive
qui a pour but de garantir que les problèmes, les non-conformités, et les améliorations
sont traités de manière efficace et efficiente,
en minimisant les risques de récurrence.
13

● Les actions correctives et préventives doivent être documentées dans un référentiel
ou document consolidé après leur identification et doivent inclure :
- Une description de la non-conformité (ou de la non-conformité potentielle).
- une analyse des causes fondamentales de la non-conformité.
- Les actions nécessaires pour empêcher la récurrence.
- L'état d'avancement de l'action.
- Les actions identifiées doivent être
identifiées doivent être mises en œuvre et le plan doit être mis à jour avec le
l'état actuel de l'action.
- La date cible de mise en œuvre.
● Les actions correctives et préventives et toute amélioration entreprises doivent être
communiquées aux parties concernées ou impactées, et la direction doit confirmer que
ces améliorations/actions atteignent les objectifs visés.
● Après l'identification du besoin d'améliorations ou de non-conformités par le biais
des revues de la direction, des audits internes et d’autres examens, le plan d'actions
correctives et préventives doit être mis à jour et régulièrement revu par la direction.
5.2 Analyse des non-conformités et Recommandations — Contrôles de
l’Annexe A
Les tableaux au-dessous présentent une analyse des non-conformités et incluent des
recommandations pour l'amélioration des contrôles de l'annexe A.
A.5 Politiques de sécurité
A.5.1 Orientation de la direction pour la sécurité de l’information
A.5.1.1 Politique de Sécurité
Description Un ensemble de politiques de sécurité de l’information (PSI) doit être défini, approuvé
par la direction, diffusé et communiqué aux salariés et aux tiers concernés.
Observation ● Non existence des documents de politiques de sécurité de l’information
● Non publication et la communication, à tous les utilisateurs du système
d’information (SI) et aux tiers concernés.
Recommandations ● Rédiger et documenter les politiques.
● Diviser la politique de sécurité de l'information en politiques thématiques, pour
mise en œuvre de contrôles de sécurité de l'information qui sont généralement
structurés pour répondre aux besoins de certains groupes ciblés au sein d'une
14

organisation ou pour couvrir certains sujets. (par exemple: contrôles
cryptographiques, contrôles antivirus, gestion des vulnérabilités techniques…)
● Diffuser la politique de sécurité aux parties concernées.
Documents
Consultés
Entretien avec le responsable.
A.5.1.2 Revue des politiques de sécurité de l’information
Description Les politiques de sécurité de l’information doivent être revues à intervalles programmés
ou en cas de changements majeurs pour garantir leur pertinence, leur adéquation et leur
effectivité dans le temps.
Observation ● Les politiques de sécurité établies par la faculté d'informatique ne sont pas
documentées.
● Toutes les politiques de sécurité sont revues annuellement
● Non-existence de procédures pour le réexamen des politiques de sécurité de
l’information.
Recommendations ● Documenter les politiques de sécurité.
● Passer en revue les politiques par un comité de sécurité à intervalles planifiés, ou
si des changements importants se produisent pour s'assurer qu'elles sont toujours
pertinentes, adéquates et efficaces.
● Élaborer, documenter et mettre en œuvre des procédures pour le réexamen des
politiques de sécurité.
Document
Consultés
Entretien avec le responsable.
A.6 Organisation de la sécurité de l’information
A.6.1 Organisation interne
A.6.1.1 Fonctions et responsabilités
Description Toutes les responsabilités en matière de sécurité de l’information doivent être
définies et attribuées.
Observation ● Les rôles et les responsabilités au sein de la faculté d’informatique liés à la
sécurité de l’information sont bien définis et attribués à des individus ayant
les compétences requises.
● La faculté d’informatique n’a aucun document sur l’attribution des rôles et
les responsabilités.
Classement Non-conformité mineure
15

Recommandations ● Documenter les rôles et les responsabilités.
Documents Consultés Entretien avec le responsable.
A.6.1.2 Séparation des tâches
Description Les tâches et les domaines de responsabilité incompatibles doivent être cloisonnés
pour limiter les possibilités de modification ou de mauvais usage, non autorisé(e)
ou involontaire, des actifs de l’organisme.
Observation ● Absence de procédures internes qui identifient les tâches incompatibles.
● Absence de contrôles compensatoires en cas d’attribution des tâches
incompatibles à la même personne.
Recommendations ● Identifier les tâches incompatibles et attribuer les responsabilités en
conséquence.
● Prévoir et réaliser une tâche de vérification régulière, de la définition et de
l'attribution des responsabilités, est prévue et réalisée.
● Mettre en place des contrôles compensatoires en cas d’attribution des
tâches incompatibles à la même personne.
Document Consultés Entretien avec le responsable.
A.6.1.3 Relations avec les autorités
Description Des relations appropriées avec les autorités compétentes doivent être entretenues.
Observation ● Non-identification des autorités compétentes.
Recommendations ● Maintenir à jour une liste de contacts des autorités.
● Mettre en oeuvre une procédure d'échange entre l’organisme et ces
● autorités.
A.6.1.4 Relations avec des groupes de travail spécialisés
Description Des relations appropriées avec des groupes d’intérêt, des forums spécialisés dans la
sécurité et des associations professionnelles doivent être entretenues.
Observation ● Absence de relations avec des groupes d'intérêt, des forums et des
associations.
16

Recommendation ● Identifier des groupes d’intérêt, des forums spécialisés dans la sécurité et
des associations professionnelles et entretenir des relations avec eux.
● Établir des accords de partage d'informations pour améliorer la coopération
et la coordination en matière de sécurité.
A.6.1.5 La sécurité de l’information dans la gestion de projet
Description La sécurité de l’information doit être considérée dans la gestion de projet,
quel que soit le type de projet concerné.
Observation ● Absence d’une analyse des risques.
Recommendations ● Effectuer une analyse des risques liés à la sécurité de l'information à des
stades précoces des projets afin d'identifier les contrôles de sécurité
nécessaires.
● Prendre en considération l'expression des besoins de sécurité
(confidentialité, intégrité, disponibilité) dans la gestion des projets.
● Mettre en place une coordination entre les différents services concernés par
ces projets dès la phase d'expression de ces besoins et la maintenir pendant
toutes les phases des projets pour la planification de l'allocation des
ressources nécessaires.
A.6.2 Appareils mobiles et télétravail
A.6.2.1 Politique en matière d’appareils mobiles
Description Une politique et des mesures de sécurité complémentaires doivent être adoptées
pour gérer les risques découlant de l’utilisation des appareils mobiles.
Observation ● Absence de politique d’utilisation des appareils mobiles.
Recommendations ● Réaliser une analyse des risques d'utilisation des appareils mobiles.
● Élaborer et mettre en œuvre une politique d'utilisation des appareils
mobiles.
Documents consultés Entretien avec le responsable.
A.6.2.2 Télétravail
Description Une politique et des mesures de sécurité complémentaires doivent être mises en
œuvre pour protéger les informations consultées, traitées ou stockées sur des sites
de télétravail.
17

Observation ● L’USTHB n’autorise pas le télétravail.
Classement Ne peut pas être évalué
Recommendations
A.7 Sécurité des ressources humaines
A.7.1 Avant l’embauche
A.7.1.1 Sélection des candidats
Description Des vérifications doivent être effectuées sur tous les candidats à l’embauche
conformément aux lois, aux règlements et à l’éthique et être proportionnées aux
exigences métier, à la classification des informations accessibles et aux risques
identifiés.
Observation ● Procédure de recrutement trop simpliste.
Recommandations ● Réaliser des contrôles de vérification de fond qui comprennent la confirmation
des qualifications académiques et professionnelles prétendues et des contrôles
indépendants d'identité pour tous les candidats à l'emploi.
A.7.1.2 Termes et conditions d’embauche
Description Les accords contractuels entre les salariés et les sous-traitants doivent préciser
leurs responsabilités et celles de l’organisme en matière de sécurité de
l’information.
Observation ● Un simple contrat de travail signé avec les employés contient leurs
informations.
Recommendations ● Les employés et les sous traitants sont invités à signer un engagement de
confidentialité ou de non-divulgation dans le cadre de leurs termes et
conditions initiaux du contrat de travail.
A.7.2 Pendant la durée du contrat
A.7.2.1 Responsabilités de la direction
18

Description La direction doit demander à tous les salariés et sous traitants d’appliquer les
règles de sécurité de l’information
Observation ● Les employés sont tenus de respecter les politiques et procédures de
sécurité de l'information.
Classement Conforme
Recommendations
A.7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l’information
Description L’ensemble des salariés de l’organisme et, quand cela est pertinent, des sous
traitants, doit bénéficier d’une sensibilisation et de formations adaptées et recevoir
régulièrement les mises à jour des politiques et procédures de l’organisme
s’appliquant à leurs fonctions.
Observation ● Les employés sont sensibilisés.
● Absences des programmes de formation et de sessions de sensibilisation
régulières.
Recommendation ● Faire recevoir les nouvelles recrues, et le cas échéant, les nouveaux
sous-traitants systématiquement des sessions de sensibilisation à la sécurité
du système d’information.
● Faire recevoir tous les employés et les sous traitants périodiquement des
sessions de sensibilisation sur les risques liés à l’utilisation des moyens IT
et les tendances en la matière et les informer des mises à jour régulières
appliquées aux politiques et procédures organisationnelles en ce qui
concerne leurs fonctions.
A.7.2.3 Processus disciplinaire
Description Un processus disciplinaire formel et connu de tous doit exister pour prendre des
mesures à l’encontre des salariés ayant enfreint les règles liées à la sécurité de
l’information
Observation ● Existence d’un processus disciplinaire formel pour les utilisateurs du SI qui
ont commis une violation de la politique de sécurité.
● Le processus disciplinaire n’est pas documenté.
19

Recommendations ● Documenter et mettre en œuvre des processus disciplinaires conçus pour
fournir un processus d'action corrective structuré afin d’améliorer et de
prévenir une récurrence du comportement et des performances indésirables
des employés problèmes.
A.7.3 Rupture, terme ou modification du contrat de travail
A.7.3.1 Achèvement ou modification des responsabilités associées au contrat de travail
Description Les responsabilités et les missions liées à la sécurité de l’information qui restent
valables à l’issue de la rupture, du terme ou de la modification du contrat de
travail, doivent être définies, communiquées au salarié ou au sous-traitant, et
appliquées.
Observation ● Les droits d'accès sont régulièrement examinés et supprimés à la cessation
d'emploi.
Classement Conforme
Recommendations
A.8 Gestion des actifs
A.8.1 Responsabilités relatives aux actifs
A.8.1.1 Inventaire des actifs
Description Les actifs associés à l’information et aux moyens de traitement de l’information
doivent être identifiés et un inventaire de ces actifs doit être dressé et tenu à jour.
Observation ● Existence d’un inventaire des actifs matériels.
Recommandations ● Inclure les actifs immatériels dans l’inventaire.
● Maintenir et mettre à jour de l’inventaire des actifs.
A.8.1.2 Propriété des actifs
Description Les actifs figurant à l’inventaire doivent être attribués à un propriétaire.
Observation ● Non-identification des propriétaires des actifs.
20

Recommendations ● Identifier un propriétaire pour chaque actif.
A.8.1.3 Utilisation correcte des actifs
Description Les règles d’utilisation correcte de l’information, les actifs associés à l’information
et les moyens de traitement de l’information doivent être identifiées, documentées
et mises en œuvre.
Observation ● Non-existence des règles d’utilisation acceptable des actifs
Recommendations ● Elaborer et mettre en oeuvre une politique d'utilisation correcte de
l'information, des actifs associés et des moyens de son traitement
● Sensibiliser les employés aux exigences de sécurité comprises dans cette
politique et de leur responsabilité de l’utilisation de ces actifs.
A.8.1.4 Restitution des actifs
Description Tous les salariés et les utilisateurs tiers doivent restituer la totalité des actifs de
l’organisme qu’ils ont en leur possession au terme de la période d’emploi, du
contrat ou de l’accord.
Observation ● Non documentation de la restitution des actifs.
Recommendation ● Documenter la restitution des actifs en possession des utilisateurs tiers au
terme de la période de l’emploi ou de l’accord
● Contrôler la copie non autorisée des informations pertinentes pendant la
période de préavis de fin du contrat.
A.8.2 Classification de l’information
A.8.2.1 Classification des informations
Description Les informations doivent être classifiées en termes d’exigences légales, de valeur,
de caractère critique et de sensibilité au regard d’une divulgation ou modification
non autorisée.
Observation ● Les informations sont classifiées sans qu’une procédure de classification ne
soit élaborée ni documentée.
21

Recommendations ● Développer et maintenir des procédures de classification des actifs.
● Appliquer des mesures de sécurité spécifiques à chaque classe en
concordance avec le système de classification.
A.8.2.2 Marquage des informations
Description Un ensemble approprié de procédures pour le marquage de l’information doit être
élaboré et mis en œuvre conformément au plan de classification adopté par
l’organisme.
Observation ● Absence de procédure de marquage de l'information.
Recommendations ● Élaborer et mettre en œuvre des procédures de marquage de l'information
conformément à la classification.
A.8.2.3 Manipulation des actifs
Description Des procédures de traitement de l’information doivent être élaborées et mises en
œuvre conformément au plan de classification de l’information adopté par
l’organisme
Observation ● Absence de procédure de traitement de l’information.
Recommendations ● Élaborer et mettre en œuvre des procédures pour une utilisation acceptable
de l'information et des actifs associés à un moyen de traitement de
l'information.
● Mettre en place des restrictions d'accès aux informations, conformément
aux exigences de protection pour chaque niveau de classification.
● Faire bénéficier les copies temporaires ou permanentes de l'information le
même niveau de protection de l'information originale.
A.8.3 Manipulation des supports
A.8.3.1 Gestion des supports amovibles
Description Des procédures de gestion des supports amovibles doivent être mises en œuvre
conformément au plan de classification adopté par l’organisme.
Observation ● Des procédures pour le retrait, l'élimination et le transit des médias
contenant des informations sont établies.
● Aucune classification des actifs et de l'information, ce qui implique une
mauvaise gestion des supports.
22

Recommendations ● Élaborer et mettre en œuvre des procédures de gestion des supports
amovibles conformément à la classification établie.
● Rendre irrécupérable le contenu de tout support réutilisable devant être
retiré si ce son contenu n'est plus indispensable.
● Utiliser des techniques cryptographiques pour protéger les données sur les
supports amovibles lorsque le niveau de confidentialité ou d'intégrité de ces
données est élevé.
● Transférer les données stockées sur un support amovible, lorsqu’elles sont
encore nécessaires, vers un nouveau support avant d'être illisibles pour
réduire le risque de dégradation des médias.
● Désactiver les lecteurs de supports amovibles, sauf pour un besoin du
métier.
A.8.3.2 Mise au rebut des supports
Description Les supports qui ne sont plus nécessaires doivent être mis au rebut de manière
sécurisée en suivant des procédures formelles.
Observation ● Les supports qui ne sont plus nécessaires sont formatés.
● La journalisation de la mise au rebut.
Classement Conforme
Recommendations
A.8.3.3 Transfert physique des supports
Description Les supports contenant de l’information doivent être protégés contre les accès non
autorisés, les erreurs d’utilisation et l’altération lors du transport.
Observation ● Aucune liste des transporteurs autorisés n’est convenue avec la direction.
● Absence de procédure permettant de vérifier l'identification des
transporteurs.
● Absence de protection des supports contre tout dommage physique pendant
le transport.
Recommendations ● Élaborer et mettre en œuvre une procédure pour vérifier l'identification des
transporteurs.
● Journaliser et conserver les informations identifiant le contenu du support,
la protection appliquée ainsi que la date et l’heure de son transfert au
transporteur ainsi que la date et l’heure de sa réception au lieu de
destination.
23

A.9 Contrôle d’accès
A.9.1 Exigences métier en matière de contrôle d’accès
A.9.1.1 Politique de contrôle d’accès
Description Une politique de contrôle d’accès doit être établie, documentée et revue sur la base
des exigences métier et de sécurité de l’information.
Observation ● Absence du document qui définit la politique de contrôle d'accès.
Recommendations ● Documenter la politique et les différentes procédures de contrôles d'accès.
● Identifier les données et leurs propriétaires ainsi que les systèmes ou
personnes qui ont besoin des accès à ces données et leurs rôles
● Identifier les risques d’accès non autorisé à ces données.
A.9.1.2 Accès aux réseaux et aux services réseau
Description Les utilisateurs doivent avoir uniquement accès au réseau et aux services réseau
pour lesquels ils ont spécifiquement reçu une autorisation.
Observation ● Absence de procédure de contrôle d'accès au réseau.
Recommendations ● Documenter la procédure de contrôle d'accès au réseau et vérifier sa
conformité avec la politique de contrôle d'accès.
● Identifier les entités pouvant avoir accès et les accès nécessaires pour
chacune d’elle selon le principe du « moindre privilège ».
● Définir les rôles et les responsabilités de chaque service interne dans
l'attribution de ces accès.
A.9.2 Gestion de l’accès utilisateur
A.9.2.1 Enregistrement et désinscription des utilisateurs
Description Un processus formel d’enregistrement et de désinscription des utilisateurs doit être
mis en œuvre pour permettre l’attribution des droits d’accès.
Observation ● Absence du processus d’enregistrement et de désinscription des
utilisateurs.
24

Recommendations ● Documenter le processus d’enregistrement et de désinscription des
utilisateurs, et vérifier les comptes utilisateurs sur les serveurs pour
l’identification de ceux qui sont partagés, redondants ou obsolètes.
A.9.2.2 Distribution des accès aux utilisateurs
Description Un processus formel de distribution des accès aux utilisateurs doit être mis en
œuvre pour attribuer et retirer des droits d’accès à tous types d’utilisateurs sur
l’ensemble des services et des systèmes.
Observation ● Absence de la matrice des droits d’accès et des fiches de postes.
Recommendations ● Mettre à disposition la matrice des droits d'accès et les fiches de postes afin
de vérifier :
○ la conformité des niveaux d’accès avec la politique de contrôle
d’accès.
○ la compatibilité de ces niveaux d’accès avec la séparation des
tâches.
A.9.2.3 Gestion des droits d’accès à privilèges
Description L’allocation et l’utilisation des droits d’accès à privilèges doivent être restreintes et
contrôlées.
Observation ● Absence du processus d’attribution des droits à privilèges.
Recommendations ● Documenter le processus d’attribution des droits à privilèges afin de
vérifier la conformité de sa mise en œuvre avec la politique de contrôle
d’accès.
A.9.2.4 Gestion des informations secrètes d’authentification des utilisateurs
Description L’attribution des informations secrètes d’authentification doit être réalisée dans le
cadre d’un processus de gestion formel.
Observation ● Absence du processus d’attribution des informations secrètes
d’authentification.
Recommendations ● Mettre en œuvre un processus de gestion formel pour l’attribution des
informations secrètes d’authentification.
25

● Fournir les informations secrètes d'authentification temporaire aux
utilisateurs de manière sécurisée (l'utilisation de parties externes ou de
messages électroniques non protégés (en texte clair) doit être évitée)
● Faire signer aux utilisateurs un accusé de réception des informations
secrètes d'authentification.
● Modifier les informations secrètes d'authentification par défaut des
fournisseurs des systèmes ou des logiciels après leur installation.
A.9.2.5 Revue des droits d’accès utilisateurs
Description Les propriétaires d’actifs doivent vérifier les droits d’accès des utilisateurs à
intervalles réguliers.
Observation ● Absence de la matrice des droits d’accès.
● Les droits d’accès sont vérifiés à un intervalle régulier.
Classement Conforme
Recommendations
A.9.2.6 Suppression ou adaptation des droits d’accès
Description Les droits d’accès aux informations et aux moyens de traitement des informations
de l’ensemble des salariés et utilisateurs tiers doivent être supprimés à la fin de
leur période d’emploi, ou adaptés en cas de modification du contrat ou de l’accord.
Observation ● Les droits d'accès de tous les employés, aux informations et aux moyens de
traitement de l'information, sont supprimés à la fin de leur emploi
Recommendations ● Ajouter des procédures qui décriraient le retrait ou l'ajustement de droits
d'accès lors de modification du contrat.
A.9.3 Responsabilités des utilisateurs
A.9.3.1 Utilisation d’informations secrètes d’authentification
Description Les utilisateurs doivent suivre les pratiques de l’organisme pour l’utilisation des
informations secrètes d’authentification.
Observation ● Absence de procédure documentée décrivant l'utilisation des informations
secrètes d’authentification.
Recommendations ● Documenter et mettre en œuvre une procédure et des sessions de
26

sensibilisation qui invitent les utilisateurs à :
- garder confidentielles les informations secrètes d'authentification, en
veillant à ce qu'elles ne soient pas divulguées à d'autres parties, y compris à
leurs supérieurs hiérarchiques.
- éviter de conserver un enregistrement d'informations secrètes
d'authentification (par exemple sur du papier, un fichier logiciel ou un
appareil portatif), sauf si cela peut être stocké de manière sécurisée et si la
méthode de stockage a été approuvée (par exemple, coffre-fort).
- changer les informations secrètes d'authentification chaque fois qu'il y a un
soupçon de sa compromission.
- ne pas partager ses propres informations secrètes d'authentification.
- ne pas utiliser les mêmes informations secrètes d'authentification à des fins
professionnelles et personnelles.
A.9.4 Contrôle de l’accès au système et à l’information
A.9.4.1 Restriction d’accès à l’information
Description L’accès à l’information et aux fonctions d’application système doit être restreint
conformément à la politique de contrôle d’accès.
Observation ● La politique de contrôle d'accès ainsi que la matrice des rôles d’accès ne
sont pas fournis.
● La politique de sécurité empêche l’accès non autorisé aux systèmes et aux
applications.
Recommendations ● Documenter la politique de contrôle d'accès.
● Baser les restrictions d'accès sur des exigences individuelles de
l'application métier et conformément à la politique de contrôle d'accès.
● Fournir des menus pour contrôler l'accès aux fonctions du système
d'application.
● Mettre en place des contrôles d'accès physiques ou logiques pour l'isolation
d'applications sensibles, de données d'application ou de systèmes.
A.9.4.2 Sécuriser les procédures de connexion
Description Lorsque la politique de contrôle d’accès l’exige, l’accès aux systèmes et aux
applications doit être contrôlé par une procédure de connexion sécurisée.
Observation ● La politique de contrôle d'accès existe mais n’est pas documentée.
Recommendations ● Documenter la politique de contrôle d’accès devant exiger l’utilisation
d’une procédure de connexion sécurisée pour l’accès aux systèmes et aux
applications.
27

● S’assurer que les systèmes et les applications prennent en compte :
○ l’affichage du message d’avertissement que l’accès n’est permis
qu’aux utilisateurs autorisés.
○ Le blocage de connexion après un certain nombre de tentatives
échouées, autrement dit, la protection contre les tentatives de
connexion par « brute force ».
○ La journalisation des tentatives d’accès réussies et échouées.
○ Le masquage des mots de passe entrés.
○ La mise en fin automatique à des sessions inactives après une
période d'inactivité définie.
○ La limitation du temps de connexion pour fournir une sécurité
supplémentaire aux applications à haut risque et réduire les
opportunités d'accès non autorisé.
A.9.4.3 Système de gestion des mots de passe
Description Les systèmes qui gèrent les mots de passe doivent être interactifs et doivent
garantir la qualité des mots de passe.
Observation ● Le site web e-commune ne respecte pas les bonnes pratiques de création et
de gestion des mots de passe.
Recommendations ● S’assurer que tous les systèmes et les applications :
- forcent les utilisateurs à changer leurs mots de passe lors de la première
connexion,
- exigent un changement périodique des mots de passe et au besoin,
- tiennent un enregistrement des mots de passe utilisés précédemment et
empêche leur réutilisation,
- masquent les mots de passe sur l'écran lors de la saisie,
- stockent les fichiers de mot de passe séparément des données des
applications,
- stockent et transmet les mots de passe sous une forme protégée
A.9.4.4 Utilisation de programmes utilitaires à privilèges
Description L’utilisation des programmes utilitaires permettant de contourner les mesures de
sécurité d’un système ou d’une application doit être limitée et étroitement
contrôlée.
Observation ● Absence de document définissant les niveaux d’autorisation relatifs aux
programmes utilitaires.
Recommendations ● Élaborer et mettre en œuvre une procédure d’identification,
28

d’authentification et d’autorisation spécifiques aux programmes utilitaires
à privilèges.
● Limiter l’utilisation des programmes utilitaires à privilège à un nombre
minimal acceptable d’utilisateurs de confiance bénéficiant d’une
autorisation.
● Journaliser toutes les utilisations de programmes utilitaires à privilège.
● Définir et documenter les niveaux d’autorisation relatifs aux programmes
utilitaires à privilège.
● Désinstaller et désactiver tous les programmes utilitaires à privilèges
inutiles.
A.9.4.5 Contrôle d’accès au code source des programmes
Description L’accès au code source des programmes doit être restreint.
Observation N/A
Classement Ne peut être évalué
Recommendations N/A
A.10 Cryptographie
A.10.1 Mesures cryptographiques
A.10.1.1 Politique d’utilisation des mesures cryptographiques
Description Une politique d’utilisation des mesures cryptographiques en vue de protéger
l’information doit être élaborée et mise en œuvre.
Observation ● Absence de politique documentée sur l'utilisation des contrôles
cryptographiques.
Recommendations ● Élaborer et mettre en œuvre une politique de contrôle cryptographique
pour établir les exigences et les procédures d'utilisation des techniques de
cryptage pour protéger les données sensibles.
● Protéger les liens permanents et les échanges de données par des solutions
de chiffrement qui sont mises en place au niveau du réseau local et du
réseau étendu.
29

A.10.1.2 Gestion des clés
Description Une politique sur l’utilisation, la protection et la durée de vie des clés
cryptographiques doit être élaborée et mise en œuvre tout au long de leur cycle de
vie.
Observation ● Absence de politique sur l’utilisation, la protection et la durée de vie des
clés cryptographiques.
Recommendations ● Élaborer et mettre en œuvre une politique sur l’utilisation, la protection et
la durée de vie des clés cryptographiques.
● S’assurer que le système de gestion des clés repose sur une série convenue
de normes, de procédures et de méthodes sécurisées pour :
- la génération des clés, l’attribution de ces clés aux utilisateurs
- leur stockage,
- le traitement des clés compromises
- leur révocation,
- la récupération des clés perdues,
- la sauvegarde ou l’archivage,
- la destruction
● Journaliser et auditer les activités liées à la gestion des clés.
A.11 Sécurité physique et environnementale
A.11.1 Zones sécurisées
A.11.1.1 Périmètre de sécurité physique
Description Des périmètres de sécurité doivent être définis et utilisés pour protéger les zones
contenant l’information sensible ou critique et les moyens de traitement de
l’information.
Observation ● Aucun périmètre du site qui abrite les moyens de traitement de
l’information n’est défini. La salle de conférence ainsi que la salle 122
sont accessibles par de nombreux individus tout le temps sans pouvoir
limiter l'accès seulement à des personnes précises.
Recommendations ● Consacrer une salle spéciale destinée seulement aux équipements et qui
sera isolée et verrouillée où aucune personnes non autorisée pourra y
accéder.
30

A.11.1.2 Contrôle d’accès physique
Description Les zones sécurisées doivent être protégées par des contrôles adéquats à l’entrée
pour s’assurer que seul le personnel autorisé est admis.
Observation ● Aucune procédure de contrôle d’accès physique n’est mise en œuvre vu
que les deux salles contenant les matériels sont des salles des
d’enseignement.
Recommendations ● Consacrer une salle isolée destinée seulement aux équipements et qui sera
verrouillée et soumise à des politiques d'accès strictes permettant de limiter
au maximum le nombre de personnes pouvant y accéder. Cette salle pourra
être protégée par un système d’alarme détectant n' importe quelle
intrusion.
A.11.1.3 Sécurisation des bureaux, des salles et des équipements
Description Des mesures de sécurité physique aux bureaux, aux salles et aux équipements
doivent être conçues et appliquées.
Observation ● Les équipements clés sont hébergés dans un emplacement accessible au
public.
● Les locaux ne sont pas discrets et donnent des indications sur leur finalité,
ce qui va permettre d’identifier la présence d’activités de traitement de
d’informations.
Recommendations ● La discrétion est un critère majeur pour la protection des équipements d'où
la nécessité d’une salle isolée et verrouillée comme mentionné
précédemment.
A.11.1.4 Protection contre les menaces extérieures et environnementales
Description Des mesures de protection physique contre les désastres naturels, les attaques
malveillantes ou les accidents doivent être conçues et appliquées.
Observation ● Aucune étude sur les menaces physiques et environnementales possibles
(exemple : incendies, inondations, tremblements de terre ou d'autres
formes de catastrophes naturelles ou d'origine humaine) et leurs impacts
n’a été réalisée.
● Absence d’une analyse systématique et exhaustive de toutes les voies
possibles d'arrivée d'eau (Par exemple, position des locaux par rapport aux
risques d'écoulement naturel en cas d'orage violent, des fuites provenant du
toit de la salle).
31

● Absence d’une analyse systématique et approfondie de tous les risques
d'incendie (Par exemple : court-circuit au niveau du câblage, effet de la
foudre, personnel fumant dans les locaux, appareillages électriques
courants, échauffement d'équipement, propagation depuis l'extérieur,
propagation par les gaines techniques ou la climatisation, etc.)
● Aucun système de détection automatique d'incendie ainsi que d'extinction
n’est mis en place pour les locaux sensibles.
Recommendations ● Des analyses et des études approfondies doivent être faites afin de
connaître plus les menaces et leurs impacts.
● Mettre en place un système de climatisation robuste après avoir déplacé les
serveurs vers une salle plus petite pour que la climatisation puisse être plus
efficace.
● Mettre en place des systèmes d'alarme-incendie et d’extinction.
● Vérifier le toit de la salle abritant les équipements et éliminer toute voie
possible de fuite d'eau.
A.11.1.5 Travail dans les zones sécurisées
Description Des procédures pour le travail dans les zones sécurisées doivent être conçues et
appliquées.
Observation ● Absence de procédure pour le travail dans les zones sécurisées.
Recommendations ● Définir et établir les zones sécurisées, notamment la salle isolée et
verrouillée contenant les actifs localisés dans la salle de conférence ainsi
que le reste du périmètre.
● Élaborer et mettre en œuvre des procédures pour le travail dans les zones
sécurisées.
● Contrôler périodiquement les zones sécurisées
● inoccupées qui sont verrouillées physiquement.
● Interdir tout équipement photographique, vidéo, audio ou autres dispositifs
d’enregistrement, tels que les
● appareils photos intégrés à des appareils mobiles, sauf autorisation.
● Informer le personnel de l’existence de zones sécurisées ou des activités
qui s’y pratiquent, sur la seule base du besoin d’en connaître.
A.11.1.6 Zones de livraison et de chargement
Description Les points d’accès tels que les zones de livraison et de chargement et les autres
points par lesquels des personnes non autorisées peuvent pénétrer dans les locaux
doivent être contrôlés et, si possible, isolés des moyens de traitement de
l’information, de façon à éviter les accès non autorisés.
32

Observation
Recommendations
Documents Consultés
A.11.2 Matériels
A.11.2.1 Emplacement et protection des matériels
Description Les matériels doivent être localisés et protégés de manière à réduire les risques
liés à des menaces et des dangers environnementaux et les possibilités d’accès non
autorisé.
Observation ● Les matériels sont exposés dans des salles accessibles au public
notamment la salle de conférence et la salle 122.
● Absence des mesures qui réduisent au minimum les risques de menaces
physiques et environnementales potentielles, comme le vol, l’incendie, la
fumée, les fuites d’eau, la poussière.
● Les conditions ambiantes, telles que la température et l’humidité, qui
pourraient nuire au fonctionnement des moyens de traitement de
l’information ne sont pas surveillées
Recommendations ● Les matériels doivent être placés dans une salle où l'accès est restreint.
Cette salle doit être conforme à toutes les exigences et les mesures liées à
la sécurité des matériels, notamment :
- La présence des systèmes d'alarme-incendie et d'extinction.
- L’implémentation d’une climatisation qui garantit une température
convenable aux équipements 24h/24.
- Le toit, les murs extérieurs et le sol sont construits de manière solide.
A.11.2.2 Services généraux
Description Les matériels doivent être protégés des coupures de courant et autres perturbations
dues à une défaillance des services généraux.
Observation ● Les services généraux (tels que l’électricité, la ventilation et la
climatisation):
○ Ne sont pas examinés et testés de manière régulière pour s’assurer
de leur fonctionnement correct.
○ Ne sont pas équipés d’alarmes de détection des
dysfonctionnements.
○ Ne disposent pas d’une alimentation de secours en cas d’arrêt
temporaire de l'alimentation électrique principale.
33

Recommendations ● Les services généraux doivent être conformes aux spécifications du
fabricant du matériel et aux exigences légales locales.
● Une alimentation de secours doit être mise en œuvre pour garantir la
continuité des services.
A.11.2.3 Sécurité du câblage
Description Les câbles électriques ou de télécommunication transportant des données ou
supportant les services d’information doivent être protégés contre toute
interception ou tout dommage.
Observation ● Le câble RJ45 reliant le switch de la salle de conférence à la salle 122
n’est ni enterré, ni soumis à toute autre forme de protection adéquate.
Recommendations ● Pour une meilleure protection de votre câble RJ45 et par mesure de
sécurité, il est recommandé que votre câble soit sous une classification
spécifique contre la toxicité et l'inflammabilité. Elle est inscrite "LSZH"
● Mettre le câble dans un isolant rigide tel que le tube IRO.
A.11.2.4 Maintenance des matériels
Description Les matériels doivent être entretenus correctement pour garantir leur disponibilité
permanente et leur intégrité.
Observation ● La maintenance est faite juste en cas de panne.
Recommendations ● Faire une maintenance préventive qui consiste à effectuer des interventions
à des intervalles prédéterminés et selon des critères prescrits afin de
réduire la probabilité de défaillance ou de dégradation du fonctionnement
du matériel.
Documents Consultés Entretien avec le responsable
A.11.2.5 Sortie des actifs
Description Les matériels, les informations ou les logiciels des locaux de l’organisme ne
doivent pas sortir sans autorisation préalable.
Observation ● Absence de règles strictes et de registres concernant la sortie des actifs.
Recommendations ● Établir et documenter des règles concernant la sortie des actifs
(autorisations préalables, personnes autorisées, enregistrement de la sortie
34

et de la rentrée, effacement des données inutiles, etc.)
A.11.2.6 Sécurité des matériels et des actifs hors des locaux
Description Des mesures de sécurité doivent être appliquées aux matériels utilisés hors des
locaux de l’organisme en tenant compte des différents risques associés au travail
hors site.
Observation N/A
Recommendations N/A
A.11.2.7 Mise au rebut ou recyclage sécurisé des matériels
Description Tous les composants des matériels contenant des supports de stockage doivent être
vérifiés pour s’assurer que toute donnée sensible a bien été supprimée et que tout
logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant leur
mise au rebut ou leur réutilisation.
Observation ● Absence de procédure de mise au rebut ou de réutilisation du matériel.
● Absence de rapport d’analyse des risques des appareils endommagés
contenant des supports de stockage.
Recommendations ● Élaborer et mettre en œuvre une procédure de mise au rebut ou de
réutilisation du matériel est élaborée et mise en œuvre.
● Procéder, lorsqu’il est nécessaire, à une appréciation du risque des
appareils endommagés contenant des supports de stockage pour déterminer
s’il convient de les détruire physiquement plutôt que de les faire réparer ou
de les mettre au rebut.
● Détruire physiquement les supports de stockage contenant de l’information
confidentielle ou protégée par le droit d’auteur, ou bien supprimer/écraser
cette information en privilégiant les techniques rendant l’information
d’origine irrécupérable plutôt qu’en utilisant la fonction standard de
suppression ou de formatage.
A.11.2.8 Matériels utilisateur laissés sans surveillance
Description Les utilisateurs doivent s’assurer que les matériels non surveillés sont dotés d’une
protection appropriée.
Observation ● Absence de programmes de sessions de sensibilisation des utilisateurs aux
exigences et aux procédures de sécurité destinées à protéger les matériels
35

laissés sans surveillance.
Recommendations ● Elaborer et mettre en oeuvre des procédures de sécurité destinées à
protéger les matériels laissés sans surveillance qui s’assurent que

les
utilisateurs protègent les ordinateurs ou les appareils mobiles, lorsqu’ils ne
s’en servent pas, contre toute utilisation non autorisée par une clé ou un
dispositif équivalent tel qu’un mot de passe.
A.12 Sécurité liée à l’exploitation
A.12.1 Procédures et responsabilités liées à l’exploitation
A.12.1.1 Procédures d’exploitation documentées
Description Les procédures d’exploitation doivent être documentées et mises à disposition de tous
les utilisateurs concernés
Observations ● Les modifications des procédures d'exploitation (systèmes, applications, BD,
équipements et solutions réseau et sécurité, etc.) sont approuvées par les
responsables concernés.
● Les procédures d'exploitation ne sont pas documentées ou maintenues ou
mises à la disposition de tous les utilisateurs qui en ont besoin.
● Les procédures d'exploitation ne sont pas protégées contre des altérations
illicites.
● Manque de revue des procédures opérationnelles d'exploitation (systèmes,
applications, équipements et solutions réseau et sécurité, etc.)
● Manque d’historique des mise-à-jour des procédures opérationnelles.
Recommendations ● Documenter et mettre les procédures d'exploitation à la disposition de tous les
utilisateurs qui en ont besoin.
● Auditer régulièrement l'authenticité et la pertinence des procédures
opérationnelles.
A.12.1.2 Gestion des changements
Description Les changements apportés à l’organisme, aux processus métier, aux systèmes et
moyens de traitement de l’information ayant une incidence sur la sécurité de
l’information doivent être contrôlés.
36

Observations ● Il n’existe pas une procédure de gestion des changements permettant de
contrôler les décisions de changements à apporter au système d'information
(mise en production de nouveaux systèmes/équipements/logiciels ou
d'évolutions de systèmes existants)
Recommendations ● Implémenter une procédure de gestion des changements qui englobe la
gestion des demandes de changement et leur validation, analyse des risques
potentiels des changements, planification et affectation des rôles et
responsabilités, communication à l'ensemble des personnes concernées test
des changements et mise en production des changements.
● Contrôler les changements apportés à l'organisation, aux processus
commerciaux et aux installations et systèmes de traitement de l'information.
A.12.1.3 Dimensionnement
Description L’utilisation des ressources doit être surveillée et ajustée et des projections sur les
dimensionnements futurs doivent être effectuées pour garantir les performances
exigées du système
Observations ● Les indicateurs/critères de performance des serveurs et des équipements
réseaux sont définis.
● Les décisions de changement s'appuient sur des analyses de la capacité des
nouveaux équipements et systèmes à assurer la charge requise en fonction des
évolutions des demandes prévisibles.
● Il existe un suivi régulier de la performance des serveurs et des équipements
réseaux.
● Il existe une configuration d'alertes lorsque les seuils de performance sont
atteints.
Classement Conforme
Recommendations ● Créer et documenter des projections de capacité qui décrivent le plan d'achat
pour l'année prochaine.
A.12.1.4 Séparation des environnements de développement, de test et d’exploitation
Description Les environnements de développement, de test et d’exploitation doivent être séparés
pour réduire les risques d’accès ou de changements non autorisés dans
l’environnement en exploitation
Observations ● Les serveurs applicatifs (où sont installées les applications) et la base de
donnée sont des serveurs dédiés.
● Les environnements de développement et de test ne sont pas séparés des
environnements opérationnels
37

Recommendations ● Créer et documenter une description complète de la séparation des
environnements de développement, de test et opérationnels.
A.12.2 Protection contre les logiciels malveillants
A.12.2.1 Mesures contre les logiciels malveillants
Description Des mesures de détection, de prévention et de récupération conju
guées à une sensibilisation des utilisateurs adaptée, doivent être mises en œuvre pour
se protéger contre les logiciels malveillants.
Observations ● Il existe une politique définie afin de lutter contre les risques d'attaque par des
codes malveillants (virus, chevaux de Troie, spyware, vers, etc).
● Les contrôles de détection, de prévention et de récupération ne sont pas mis en
œuvre pour protéger contre les logiciels malveillants.
● Il n’y a pas un abonnement à un centre d'alerte permettant d'être prévenu et
d'anticiper certaines attaques massives pour lesquelles les antivirus ne sont
pas encore à jour.
● Manque de revue de la politique de protection contre les logiciels
malveillants.
Recommendations ● Installer et mettre régulièrement à jour le logiciel de détection et de réparation
des logiciels malveillants pour analyser les ordinateurs et les supports à titre
préventif ou de façon routinière.
● L'analyse effectuée doit s’assurer de :
1) Analyser tous les fichiers reçus sur les réseaux ou via toute forme de support de
stockage, à la recherche de logiciels malveillants avant utilisation .
2) Analyser les pièces jointes aux e-mails et les téléchargements à la recherche de
logiciels malveillants avant utilisation , cette analyse doit être effectuée à différents
endroits, par ex. sur les serveurs de messagerie électronique, les ordinateurs de
bureau et lors de l'entrée sur le réseau de l'organisation .
3) Analyser les pages Web à la recherche de logiciels malveillants.
A.12.3 Sauvegarde
A.12.3.1 Sauvegarde des informations
Description Des copies de sauvegarde de l’information, des logiciels et des images systèmes
doivent être réalisées et testées régulièrement conformément à une politique de
sauvegarde convenue.
Observations ● Les copies de sauvegarde des informations, des logiciels et des images
système ne sont ni prises ni testées régulièrement conformément à un accord
politique de sauvegarde.
● Il existe une politique de sauvegarde qui couvre les données applicatives, les
38

programmes (sources et/ou exécutables), les paramètres de configuration des
applications et des logiciels de base (les différents fichiers de paramétrages)
● Manque de revue de la politique de sauvegarde.
Recommendations ● Mettre en œuvre et documenter les procédures décrivant les tests réguliers des
supports de sauvegarde pour s'assurer qu'ils peuvent être utilisés en cas
d'urgence si nécessaire ceci doit être combiné avec un test des procédures de
restauration et vérifié par rapport au temps de restauration obligatoire.
A.12.4 Journalisation et surveillance
A.12.4.1 Journalisation des événements
Description Des journaux d’événements enregistrant les activités de l’utilisateur, les exceptions,
les défaillances et les événements liés à la sécurité de l’information doivent être créés,
tenus à jour et vérifiés régulièrement.
Observations ● Les événements sont enregistrés et journalisés, et les installations de
journalisation sont sécurisées contre les falsifications.
● Il n’existe pas une analyse spécifique des besoins en termes de journalisation.
Recommendations ● Développer, documenter, mettre en œuvre et maintenir des
politiques/procédures efficaces de gestion des journaux dans toute l'entreprise.
Documents consultés ● Entretien avec le responsable
A.12.4.2 Protection de l’information journalisée
Description Les moyens de journalisation et d’information journalisée doivent être protégés
contre les risques de falsification ou d’accès non autorisé.
Observations ● Absence des mécanismes de protection des fichiers journaux.
● Les processus qui assurent la journalisation ne sont pas sous un contrôle strict.
● Les enregistrements sont enregistrés sur les serveurs pour une durée d'une
année.
Recommendations ● Utiliser des mécanismes de protection des fichiers journaux: exemples :
chiffrement, un système de détection de modification, et contrôle d'accès.
● Réaliser un audit au moins annuel du processus d'enregistrement (y compris
des processus visant à détecter les tentatives de modification et les processus
de réaction à ces tentatives de modification).
39

A.12.4.3 Journaux administrateur et opérateur
Description Les activités de l’administrateur système et de l’opérateur système doivent être
journalisées, protégées et vérifiées régulièrement.
Observations ● Analyse occasionnelle des événements sur les systèmes/bases de données/
équipements réseaux/solutions de sécurité.
● Absence d’un système qui détecte toute modification du système
d'enregistrement et déclenche une alerte immédiate auprès d'un responsable
● Absence de rapport d’analyse des événements.
Recommendations ● Configurer les ressources critiques, accès à des informations sensibles,
utilisation d'outils sensibles, téléchargement ou modification d'outils
d'administration, etc
● Installer un système permettant de détecter toute modification du système
d'enregistrement et de déclencher une alerte immédiate auprès d'un
responsable.
A.12.4.4 Synchronisation des horloges
Description Les horloges de l’ensemble des systèmes de traitement de l’information concernés
d’un organisation ou d’un domaine de sécurité doivent être synchronisées sur une
source de référence
Observations ● Absence d’un dispositif de synchronisation des horloges des systèmes et des
équipements réseau et sécurité.
Recommendations ● Installer un dispositif de synchronisation des horloges des systèmes et des
équipements réseau et sécurité avec un référentiel de temps précis (un serveur
NTP).
A.12.5 Maîtrise des logiciels en exploitation
A.12.5.1 Installation de logiciels sur des systèmes en exploitation
Description Des procédures doivent être mises en œuvre pour contrôler l’installation de logiciel
sur des systèmes en exploitation.
Observations N/A
Recommendations N/A
40

A.12.6 Gestion des vulnérabilités techniques
A.12.6.1 Gestion des vulnérabilités techniques
Description Des informations sur les vulnérabilités techniques des systèmes d’information en
exploitation doivent être obtenues en temps opportun, l’exposition de l’organisme à
ces vulnérabilités doit être évaluée et les mesures appropriées doivent être prises pour
traiter le risque associé.
Observations ● Il n’existe pas une procédure de gestion de vulnérabilités techniques
permettant d’identifier, d’évaluer et de répondre aux vulnérabilités
● Il n’existe pas des procédures pour contrôler l'installation des logiciels sur les
systèmes opérationnels
● Il n'existe pas des politiques pour empêcher l'exploitation des vulnérabilités
techniques
Recommendations ● Documenter et mettre en œuvre une politique de gestion des vulnérabilités
distincte.
● Établir des procédures pour identifier et corriger rapidement les vulnérabilités
afin de minimiser les failles de sécurité associées aux vulnérabilités non
corrigées.
A.12.6.2 Restrictions liées à l’installation de logiciels
Description Des règles régissant l’installation de logiciels par les utilisateurs doivent être établies
et mises en œuvre.
Observations N/A
Recommendations N/A
A.12.7 Considérations sur l’audit des systèmes d’information
A.12.7.1 Mesures relatives à l’audit des systèmes d’information
Description Les exigences et activités d’audit impliquant des vérifications sur des systèmes en
exploitation doivent être prévues avec soin et validées afin de réduire au minimum les
perturbations subies par les processus métier.
Observations ● Absence de procédure d’audit des systèmes d’information.
41

Recommendations ● Établir et mettre en œuvre une procédure formelle d’audit des systèmes
d’information, définissant les règles concernant les audits menés sur les
systèmes opérationnels/ réseaux et les responsabilités associées.
A.13 Sécurité des communications
A.13.1 Gestion de la sécurité des réseaux
A.13.1.1 Contrôle des réseaux
Description Les réseaux doivent être gérés et contrôlés pour protéger l’information contenue dans
les systèmes et les applications
Observations ● Les réseaux sont gérés et contrôlés.
● Existence des mesures spéciales pour préserver la confidentialité et l’intégrité
des données transmises sur les réseaux publics ou les réseaux sans fil.
● Existence des mesures spéciales pour maintenir la disponibilité des services
réseau.
● Les actions susceptibles d’affecter la sécurité de l’information sont détectées et
journalisées.
● Les systèmes sont authentifiés sur le réseau.
● Absence de procédure de gestion des équipements réseau.
Recommendations ● Créer une documentation formelle de la configuration des contrôles du réseau.
A.13.1.2 Sécurité des services de réseau
Description Pour tous les services de réseau, les mécanismes de sécurité, les niveaux de service et
les exigences de gestion, doivent être identifiés et intégrés dans les accords de services
de réseau, que ces services soient fournis en interne ou externalisés
Observations ● La capacité du fournisseur des services réseaux n’est pas déterminée ou
surveillée régulièrement.
42

Recommendations ● Identifier et documenter les dispositions de sécurité nécessaires à des services
en particulier, telles que les fonctions de sécurité, les niveaux de sécurité de
service et les exigences de gestion.
A.13.1.3 Cloisonnement des réseaux
Description Les groupes de services d’information, d’utilisateurs et de systèmes d’information
doivent être cloisonnés sur les réseaux.
Observations ● Le réseau est divisé en domaines séparés en faisant recours à des réseaux
physiques différents en plus des réseaux logiques différents (VLANs).
● L’accès entre les différents domaines du réseau est contrôlé au niveau du
périmètre en utilisant une passerelle (pare-feu).
Recommendations ● Définir, documenter et tenir à jour le périmètre de chaque domaine.
A.13.2 Transfert de l’information
A.13.2.1 Politiques et procédures de transfert de l’information
Description Des politiques, des procédures et des mesures de transfert formelles doivent être mises
en place pour protéger les transferts d’information transitant par tous types
d’équipements de communication
Observations ● La sécurité des informations et des logiciels transférés au sein d'une
organisation et avec toute entité externe n’est pas maintenue.
● Absence d’une politique décrivant l’utilisation acceptable des équipements de
communication.
● Absence d’une procédure de protection de l’information transférée contre
l’interception, la reproduction, la modification, les erreurs d’acheminement et
la destruction.
● Absence d'une procédure de détection et de protection contre les logiciels
malveillants.
Recommendations ● Établir, documenter et mettre en œuvre une politique qui énonce les méthodes
qui doivent être appliquées pour entreprendre un transfert d'informations
● Implémenter une procédure de protection et détection contre les logiciels
malveillants.
A.13.2.2 Accords en matière de transfert d’information
Description Des accords doivent traiter du transfert sécurisé de l’information liée à l’activité entre
43

l’organisme et les tiers.
Observations ● Établissement d’accords traitant le transfert sécurisé de l’information.
Recommendations ● Identifier et documenter les responsabilités de gestion, pour contrôler et
informer de la transmission, de la répartition et de la réception de
l’information.
● Élaborer et mettre en œuvre une procédure de gestion de la traçabilité et la
non-répudiation.
A.13.2.3 Messagerie électronique
Description L’information transitant par la messagerie électronique doit être protégée de manière
appropriée.
Observations ● Existence d’une politique de sécurité propre à la messagerie électronique.
● Les messages ne sont pas protégés contre tout accès non autorisé.
Recommendations ● Établir et documenter des lignes directrices pour l'utilisation de la messagerie
électronique qui informent les utilisateurs de ce que le responsable considère
comme une utilisation acceptable et inacceptable de son processus de
messagerie.
A.13.2.4 Engagements de confidentialité ou de non-divulgation
Description Les exigences en matière d’engagements de confidentialité ou de non divulgation,
doivent être identifiées, vérifiées régulièrement et documentées conformément aux
besoins de l’organisme
Observations ● Les salariés et les sous-traitants signent des engagements de confidentialité ou
de non divulgation.
Recommendations ● Vérifier les engagements de confidentialité et de non divulgation à intervalles
réguliers et en cas de changements.
44

A.14 Acquisition, développement et maintenance des systèmes
d’information
A.14.1 Exigences de sécurité applicables aux systèmes d’information
A.14.1.1 Analyse et spécification des exigences de sécurité de l’information
Description Les exigences liées à la sécurité de l’information doivent être intégrées aux exigences
des nouveaux systèmes d’information ou des améliorations de systèmes d’information
existants.
Observations ● Absence d'analyse des risques de sécurité de l’information réalisée dès la phase
de conception des nouveaux systèmes d’information ou leur amélioration.
Recommendations ● Implémenter une analyse des risques de sécurité de l’information.
● Documenter et définir les exigences pour les nouveaux systèmes d'information
dans le cadre de la politique de lancement de projet ou les améliorations
apportées aux systèmes d'information existants dans le cadre de la politique de
gestion du changement.
A.14.1.2 Sécurisation des services d’application sur les réseaux publics
Description Les informations liées aux services d’application transmises sur les réseaux publics
doivent être protégées contre les activités frauduleuses, les différents contractuels, ainsi
que la divulgation et la modification non autorisées
Observations ● Les informations impliquées dans les services d'application passant les réseaux
publics sont protégées contre les activités frauduleuses, les contrats litige et
divulgation et modification non autorisées
● L’identité déclarée des parties qui échangent l’information sur les réseaux
publics est vérifiée
Recommendations ● Définir et documenter des processus d’autorisation liés aux personnes qui
peuvent approuver le contenu, émettre ou signer des documents transactionnels
clés.
A.14.1.3 Protection des transactions liées aux services d’application
Description Les informations impliquées dans les transactions liées aux services d’application
doivent être protégées pour empêcher une transmission incomplète, des erreurs
d’acheminement, la modification non autorisée, la divulgation non autorisée, la
duplication non autorisée du message ou sa réémission
45

Observations ● La signature électronique n’est pas utilisée par les parties impliquées dans les
transactions.
Recommendations ● Documenter l'utilisation de méthodes d'authentification sécurisées pour les
applications accessibles via des réseaux publics, par ex. en utilisant la
cryptographie à clé publique, les signatures numériques et l'authentification
multifactorielle pour réduire les risques.
A.14.2 Sécurité des processus de développement et d’assistance technique
A.14.2.1 Politique de développement sécurisé
Description Des règles de développement des logiciels et des systèmes doivent être établies et
appliquées aux développements de l’organisme.
Observations ● L’organisme audité ne fait pas de développement des logiciels.
Recommendations N/A
A.14.2.2 Procédures de contrôle des changements de système
Description Les changements des systèmes dans le cadre du cycle de développement doivent être
contrôlés par le biais de procédures formelles.
Observations N/A
Recommendations N/A
A.14.2.3 Revue technique des applications après changement apporté à la plateforme d’exploitation
Description Lorsque des changements sont apportés aux plateformes d’exploitation, les
applications critiques métier doivent être vérifiées et testées afin de vérifier l’absence
de tout effet indésirable sur l’activité ou sur la sécurité.
Observations ● La revue et les tests de l'impact des modifications apportées à la plateforme
d’exploitation sur les applications critiques sont réalisés de manière irrégulière.
Recommendations ● Notifier les changements apportés à la plateforme d’exploitation (systèmes
d’exploitation, BD, …) afin que les tests et revues appropriés soient réalisés
46

avant leur mise en œuvre.
● Réaliser une revue et des tests de l'impact des modifications apportées à la
plateforme d’exploitation sur les applications critiques.
A.14.2.4 Restrictions relatives aux changements apportés aux progiciels
Description Les modifications des progiciels ne doivent pas être encouragées, être limitées aux
changements nécessaires et tout changement doit être strictement contrôlé.
Observations N/A
Recommendations N/A
A.14.2.5 Principes d’ingénierie de la sécurité des systèmes
Description Des principes d’ingénierie de la sécurité des systèmes doivent être établis, documentés,
tenus à jour et appliqués à tous les travaux de mise en œuvre des systèmes
d’information.
Observations ● Les procédures d’ingénierie de la sécurité des systèmes d’information ne sont
ni élaborées ni appliquées aux activités internes d’ingénierie des systèmes
d’information.
Recommendations ● Implémenter et appliquer une procédure d’ingénierie de la sécurité des
systèmes d’information.
● Concevoir cette sécurité à tous les niveaux de l’architecture (activité, données,
applications et technologie).
A.14.2.6 Environnement de développement sécurisé
Description Les organismes doivent établir des environnements de développement sécurisés pour
les tâches de développement et d’intégration du système qui englobe l’intégralité du
cycle de vie du développement du système, et en assurer la protection de manière
appropriée.
Observations ● L’organisme audité ne fait pas de développement
Recommendations N/A
47

A.14.2.7 Développement externalisé
Description L’organisme doit superviser et contrôler l’activité de développement du système
externalisée
Recommendations N/A
A.14.2.8 Test de la sécurité du système
Description Les tests de fonctionnalité de la sécurité doivent être réalisés pendant le développement
Recommendations N/A
A.14.2.9 Test de conformité du système
Description Des programmes de test de conformité et des critères associés doivent être déterminés
pour les nouveaux systèmes d’information, les mises à jour et les nouvelles versions
Observations ● Absence de liste des paramètres de sécurité et règles de configuration.
● Absence de rapports des outils d’analyse de code et des scanners de
vulnérabilité.
Recommendations ● Tenir à jour une liste contenant les paramétrages de sécurité et règles de
configuration (suppression de tout compte générique, changement de tout mot
de passe générique, fermeture de tout port non explicitement demandé et
autorisé, paramétrages du contrôle des droits et de l'authentification, contrôles
des tables de routage, etc.).
● Contrôler ces paramétrages de sécurité et règles de configuration en utilisant,
entre autres, des outils d’analyse de code ou des scanneurs de vulnérabilités.
A.14.3 Données de test
A.14.3.1 Protection des données de test
Description Les données de test doivent être sélectionnées avec soin, protégées et Contrôlées
Observations ● Les données de test n’existent pas.
48

Recommendations ● Éviter, dans le cadre d'essais, l’utilisation des bases de données de production
contenant des informations personnelles ou toute autre information sensible.
● Lorsque des données personnelles ou sensibles doivent malgré tout être
utilisées, prendre le soin de supprimer les détails et contenus sensibles avant de
les utiliser (ou de les modifier afin de les rendre anonymes).
● Appliquer une procédure de contrôle d’accès pour les systèmes d’applications
en exploitation et les systèmes d’applications de test.
● Effacer les informations d’exploitation immédiatement d’un environnement de
test après la fin des tests.
● Journaliser toute reproduction et utilisation de l’information d’exploitation afin
de créer un système de traçabilité.
A.15 Relations avec les fournisseurs
A.15.1 Sécurité dans les relations avec les fournisseurs
A.15.1.1 Politique de sécurité de l’information dans les relations avec les fournisseurs
Description Des exigences de sécurité de l’information pour limiter les risques résultant de l’accès
des fournisseurs aux actifs de l’organisme doivent être acceptées par le fournisseur et
documentées
Observations ● Les exigences de sécurité de l'information ne sont pas convenues ni
documentées avec les fournisseurs.
● La politique relative aux relations avec les fournisseurs n’est pas documentée.
Recommendations ● Identifier et documenter les types de fournisseurs, par ex. Services
informatiques, utilités logistiques, services financiers, composants
d'infrastructure informatique, à qui l'USTHB permettra d'accéder à ses
informations.
● Élaborer une politique identifiant et imposant des mesures de sécurité
spécifiques aux accès des fournisseurs aux actifs.
A.15.1.2 La sécurité dans les accords conclus avec les fournisseurs
Description Les exigences applicables liées à la sécurité de l’information doivent être établies et
convenues avec chaque fournisseur pouvant accéder, traiter, stocker, communiquer ou
fournir des composants de l’infrastructure informatique destinés à l’information de
l’organisme.
Observations ● Les exigences pertinentes en matière de sécurité de l'information ne sont pas
établies et convenues avec chaque fournisseur qui peut accéder à l’information.
49

Recommendations ● Identifier les exigences de sécurité de l'information pour chaque type
d'information et type d'accès afin de servir de base aux accords individuels avec
les fournisseurs.
A.15.1.3 Chaîne d’approvisionnement des produits et des services informatiques
Description Les accords conclus avec les fournisseurs doivent inclure des exigences sur le
traitement des risques liés à la sécurité de l’information associé à la chaîne
d’approvisionnement des produits et des services informatiques.
Observations ● Absence d’analyse des risques de sécurité de l’information associés à la chaîne
d’approvisionnement.
Recommendations ● Réaliser une analyse de risque.
● Assurer que les fournisseurs signalent et documentent tout incident de sécurité
touchant les actifs.
A.15.2 Gestion de la prestation du service
A.15.2.1 Surveillance et revue des services des fournisseurs
Description Les organismes doivent surveiller, vérifier et auditer à intervalles réguliers la prestation
des services assurés par les fournisseurs.
Observations ● Absence de rapport de surveillance des niveaux de performance des services
des fournisseurs.
Recommendations ● Vérifier si les niveaux de performance des services sont surveillés et si leur
conformité avec les accords.
● Revoir les aspects liés à la sécurité de l’information dans les relations du
fournisseur.
A.15.2.2 Gestion des changements apportés dans les services des fournisseurs
Description Les changements effectués dans les prestations de service des fournisseurs, comprenant
le maintien et l’amélioration des politiques, procédures et mesures existant en matière
de sécurité de l’information, doivent être gérés en tenant compte du caractère critique
de l’information, des systèmes et des processus concernés et de la dépréciation des
risques.
50

ISO 27001

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à ISO 27001

Similaire à ISO 27001 (20)

ISO 27001