Programme de travail de la mission audit de la sécurité des SI
1. Programmes de travail pour différentes missions d'audit en matière
de sécurité des SI (selon le cadre de référence Cobit4.1)
Type de mission d’audit Description Objectifs de contrôle
Audit du management
de la sécurité des SI
Cette mission consiste à vérifier :
La stratégie de sécurité et l’architecture de l’information, c.-à-d. :
que les données, les services et les transactions critiques (en se basant sur les
exigences et les risques métiers) sont bien identifiés et considérées dans la stratégie
de sécurité de l’entreprise
que les exigences de sécurité (telles que : la confidentialité, l’authenticité, la
disponibilité, la limitation d’accès, la validité, le sauvegarde et la récupération) des
données sont prises en compte dans l’établissement de la stratégie globale de
sécurité des SI
que des investissements de sécurité (matériels et logiciels) sont étudiés et pris en
compte
PO1 : 1.2, 1.4,
1.6
PO2 : 2.2, 2.3
PO3 : 3.4
PO4 : 4.9
DS5 : 5.1, 5.2
L’organisation des SI et les responsabilités en matière de sécurité: c.-à-d. :
que les responsabilités sont assignées, communiquées et bien appréhendées
le niveau de risque d’attribuer plusieurs responsabilités à une seule personne
est-ce que les ressources nécessaires pour exercer les responsabilités sont
disponibles et efficaces
PO4 : 4.8, 4.10,
4.11, 4.15
PO7 : 7.3
La communication des objectifs et les orientations de gestion en matière de sécurité c.-à-d :
que les règles de base répondant aux exigences et aux incidents de sécurité sont
bien communiquées aux employés et que ces derniers adhérent aussi bien aux
politiques de l’entreprise en ce qui concerne la sécurité des SI
que les directives de sécurité sont en ligne avec les objectifs de l'entreprise
PO6 : 6.2, 6.3,
6.4, 6.5
DS5 : 5.2
La sécurité des différents niveaux de service : c.-à-d. :
que des exigences de sécurité et des revus réguliers de la conformité des niveaux
de services internes et les services fournis par des tiers sont établis et respectés
AI5: 5.2
DS1 : 1.3, 1.5,
1.6
DS2 : 2.4
Audit des risques
informatiques
Cette mission consiste à vérifier :
le processus de gestion des risques informatiques de l’entreprise et les mesures
envisagées par la direction de l’entreprise.
l’existence d’un plan d’action afin de répondre aux risques potentiels
le niveau d’implication du personnel dans le processus de gestion des risques des SI
PO2 : 2.3
PO7 : 7.4
PO9 : 9.1, 9.2,
9.3, 9.4, 9.5, 9.6
AI1 : 1.1, 1.2
Audit des risques
associés au personnel en
matière de la sécurité
des SI
Cette mission consiste à vérifier :
le degré d’implication du personnel aux politiques de sécurité établies par la direction
les compétences du personnel en matière de sécurité générale des SI
qu’aucune tache clé de sécurité ne soit attribuée à une seule personne
PO4 : 4.13
PO7 : 7.1, 7.2,
7.5, 7.6, 7.7
que les membres du personnel savent intégrer la sécurité dans les procédures
quotidiennes
qu’une documentation et des formations sont fournies aux membres du personnel en
matière de la sécurité
AI4 : 4.1, 4.2,
4.3, 4.4
AI7 : 7.1
Audit de la sécurité des
applications et
infrastructures
Cette mission a pour but de vérifier :
l’existence des évaluations de sécurité lors de l’acquisition des nouvelles applications AI1: 1.1, 1.2, 1.3
AI5: 5.2, 5.3
que les solutions informatiques acquises sont fonctionnels et que les exigences de
sécurité sont spécifiées et compatibles avec les systèmes
AI1: 1.1, 1.2
AI2: 2.2, 2.4
AI4: 4.1, 4.4
AI5: 5.3, 5.4
que les développeurs et les fournisseurs d’applications ou infrastructures prennent en
compte les exigences de l’entreprise en matière de sécurité, et que l’entreprise à
déployer tous les moyens pour les faire adhérer à ses politiques de sécurité
PO8: 8.3
AI2: 2.3, 2.4, 2.5,
2.6, 2.8
AI3: 3.1, 3.4
l’existence et l’efficacité des patchs de sécurité pour l’infrastructure
que des mesures additionnelles nécessaires pour maintenir la sécurité de
l’infrastructure sont documentées
AI3: 3.2, 3.3
AI6: 6.1
DS5: 5.9
que des mises à jour régulières et des inventaires complets des configurations des
applications et du matériel sont exécutés
que tous les logiciels installés sont légales, autorisés (possèdent des licences
d’utilisation)
DS9: 9.1, 9, 9.3
2. Audit de la sécurité des
installations et des
changements
Cette mission consiste à vérifier :
les impacts des changements (correctifs inclus) sur l’intégrité des données (perte
des données), la disponibilité des services et la validité des transactions
AI2: 2.8
AI3: 3.4
AI6: 6.1, 6.2
AI7: 7.2, 7.4, 7.6
que tous les changements, y compris les correctifs et les modifications d'urgence
sont documentés et autorisés
AI6: 6.2, 6.3, 6.4,
6.5
que les systèmes nouvellement installés et les différents changements ont été objet
des tests de sécurité
PO8: 8.3
AI3: 3.4
AI7: 7.2, 7.4, 7.6,
7.8
que les résultats des tests faits répondent aux exigences métiers et aux politiques et
procédures de l’entreprise en matière de sécurité des SI
AI7: 7.7, 7.8, 7.9
Audit de la sécurité des
services fournis par des
tiers
Cette mission consiste à vérifier :
que les fournisseurs de services tiers respectent les politiques de sécurité de
l’entreprise et emploient des personnes qualifiés
la dépendance aux fournisseurs des services tiers est bien gérée par les politiques
et les procédures de sécurité de l’entreprise
que les contrats avec les fournisseurs de services tiers permettent d’exécuter des
missions d’audit et des revues (SysTrust, SAS70, ISA402)
AI5 : 5.3
DS2 : 2.3, 2.4
SE2 : 2.6
Audit de la sécurité des
services internes
Cette mission consiste à vérifier :
que des fonctions, des informations et des ressources critiques sont disponible pour
maintenir la continuité des services offerts en cas d’un incident de sécurité
PO2: 2.3
PO9: 9.3, 9.4
DS4: 4.1, 4.3
DS5: 5.6
DS10: 10.1, 10.2,
10.3
DS12: 12.5
l'existence et la fiabilité des mesures d’urgence afin de rétablir le service en échec
et de répondre aux besoins des fournisseurs et clients
DS4: 4.2, 4.4, 4.8
que les éléments de récupération des services (informations, documentation et
ressources critiques) sont bien sauvegarder dans des sites de sauvegarde et sont
bien sécurisés, utilisables et recouvrables
DS4: 4.5, 4.9
DS11: 11.5, 11.6
que les accès et les privilèges d’accès (pour afficher, ajouter, modifier ou supprimer
les informations et les transactions) sont basés sur les besoins particuliers des
utilisateurs
que les droits d'accès des prestataires de services, fournisseurs et clients sont
contrôlés
DS5: 5.3, 5.4
que les responsabilités pour gérer les comptes utilisateurs et les jetons de sécurité
(tel que : mots de passe, cartes d’accès …) et que ces mesures sont bien identifiées,
documentées et révisées périodiquement
DS5: 5.4, 5.7, 5.8
DS13: 13.4
que les violations de sécurité des services (tel que : accès non permis des réseaux
et systèmes, virus, logiciels malveillants ….) sont toujours enregistrées et reportées
immédiatement aux responsables
DS5: 5.5, 5.6, 5.9
DS10: 10.1
que les consignes de sécurité avec les partenaires commerciaux sont adéquates et
conforme aux obligations contractuelles afin de garantir l’authenticité des
transactions électroniques
DS5: 5.11
AC6
que des mesures de protection contre les virus et les logiciels espions sont établis
et efficaces et mises à jour
DS5: 5.9
que les mesures de sécurité des réseaux se conforment aux politiques de
l’entreprise en matière d’échange des informations
que les supports électroniques permettant cet échange sont bien sécurisés et les
incidents sont détectés et suivis
DS5: 5.2, 5.10,
5.11
DS12: 12.3
Audit des données et des
transactions
Cette consiste à vérifier :
que les contrôles mis en place pour assurer l’intégrité des données (exactitude,
l'exhaustivité et la validité) lors des opérations de saisie, de traitement, de
sauvegarde ou de la distribution existent et sont efficaces
que les contrôles mis en place pour assurer l’authenticité et le non rejet des
transactions existent et sont efficaces
DS5: 5.11
DS11: 11.6
AC1, AC2
AC3, AC4
AC5, AC6
que les données sensibles ne sont pas communiquées aux personnes non autorisées DS11: 11.6
AC5
AC6
que les périodes de rétention, les mesures d’archivage et les conditions de stockage
de la documentation, données et applications se conforment aux exigences des
utilisateurs et des réglementations en vigueur
DS11: 11.2, 11.4
que l'intégrité, l'accessibilité et la lisibilité des données sont assurées lors de
l’opération de sauvegarde
DS4: 4.9
DS11: 11.2