SlideShare ist ein Scribd-Unternehmen logo

Programme de travail de la mission audit de la sécurité des SI

Ammar Sassi
Ammar Sassi

Programme de travail de la mission audit de la sécurité des SI

Technologie
1 von 3
Downloaden Sie, um offline zu lesen
Programmes de travail pour différentes missions d'audit en matière de sécurité des SI (selon le cadre de référence Cobit4.1) Type de mission d’audit Description Objectifs de contrôle Audit du management de la sécurité des SI Cette mission consiste à vérifier : La stratégie de sécurité et l’architecture de l’information, c.-à-d. : que les données, les services et les transactions critiques (en se basant sur les exigences et les risques métiers) sont bien identifiés et considérées dans la stratégie de sécurité de l’entreprise que les exigences de sécurité (telles que : la confidentialité, l’authenticité, la disponibilité, la limitation d’accès, la validité, le sauvegarde et la récupération) des données sont prises en compte dans l’établissement de la stratégie globale de sécurité des SI que des investissements de sécurité (matériels et logiciels) sont étudiés et pris en compte PO1 : 1.2, 1.4, 1.6 PO2 : 2.2, 2.3 PO3 : 3.4 PO4 : 4.9 DS5 : 5.1, 5.2 L’organisation des SI et les responsabilités en matière de sécurité: c.-à-d. : que les responsabilités sont assignées, communiquées et bien appréhendées le niveau de risque d’attribuer plusieurs responsabilités à une seule personne est-ce que les ressources nécessaires pour exercer les responsabilités sont disponibles et efficaces PO4 : 4.8, 4.10, 4.11, 4.15 PO7 : 7.3 La communication des objectifs et les orientations de gestion en matière de sécurité c.-à-d : que les règles de base répondant aux exigences et aux incidents de sécurité sont bien communiquées aux employés et que ces derniers adhérent aussi bien aux politiques de l’entreprise en ce qui concerne la sécurité des SI que les directives de sécurité sont en ligne avec les objectifs de l'entreprise PO6 : 6.2, 6.3, 6.4, 6.5 DS5 : 5.2 La sécurité des différents niveaux de service : c.-à-d. : que des exigences de sécurité et des revus réguliers de la conformité des niveaux de services internes et les services fournis par des tiers sont établis et respectés AI5: 5.2 DS1 : 1.3, 1.5, 1.6 DS2 : 2.4 Audit des risques informatiques Cette mission consiste à vérifier : le processus de gestion des risques informatiques de l’entreprise et les mesures envisagées par la direction de l’entreprise. l’existence d’un plan d’action afin de répondre aux risques potentiels le niveau d’implication du personnel dans le processus de gestion des risques des SI PO2 : 2.3 PO7 : 7.4 PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6 AI1 : 1.1, 1.2 Audit des risques associés au personnel en matière de la sécurité des SI Cette mission consiste à vérifier : le degré d’implication du personnel aux politiques de sécurité établies par la direction les compétences du personnel en matière de sécurité générale des SI qu’aucune tache clé de sécurité ne soit attribuée à une seule personne PO4 : 4.13 PO7 : 7.1, 7.2, 7.5, 7.6, 7.7 que les membres du personnel savent intégrer la sécurité dans les procédures quotidiennes qu’une documentation et des formations sont fournies aux membres du personnel en matière de la sécurité AI4 : 4.1, 4.2, 4.3, 4.4 AI7 : 7.1 Audit de la sécurité des applications et infrastructures Cette mission a pour but de vérifier : l’existence des évaluations de sécurité lors de l’acquisition des nouvelles applications AI1: 1.1, 1.2, 1.3 AI5: 5.2, 5.3 que les solutions informatiques acquises sont fonctionnels et que les exigences de sécurité sont spécifiées et compatibles avec les systèmes AI1: 1.1, 1.2 AI2: 2.2, 2.4 AI4: 4.1, 4.4 AI5: 5.3, 5.4 que les développeurs et les fournisseurs d’applications ou infrastructures prennent en compte les exigences de l’entreprise en matière de sécurité, et que l’entreprise à déployer tous les moyens pour les faire adhérer à ses politiques de sécurité PO8: 8.3 AI2: 2.3, 2.4, 2.5, 2.6, 2.8 AI3: 3.1, 3.4 l’existence et l’efficacité des patchs de sécurité pour l’infrastructure que des mesures additionnelles nécessaires pour maintenir la sécurité de l’infrastructure sont documentées AI3: 3.2, 3.3 AI6: 6.1 DS5: 5.9 que des mises à jour régulières et des inventaires complets des configurations des applications et du matériel sont exécutés que tous les logiciels installés sont légales, autorisés (possèdent des licences d’utilisation) DS9: 9.1, 9, 9.3
Audit de la sécurité des installations et des changements Cette mission consiste à vérifier : les impacts des changements (correctifs inclus) sur l’intégrité des données (perte des données), la disponibilité des services et la validité des transactions AI2: 2.8 AI3: 3.4 AI6: 6.1, 6.2 AI7: 7.2, 7.4, 7.6 que tous les changements, y compris les correctifs et les modifications d'urgence sont documentés et autorisés AI6: 6.2, 6.3, 6.4, 6.5 que les systèmes nouvellement installés et les différents changements ont été objet des tests de sécurité PO8: 8.3 AI3: 3.4 AI7: 7.2, 7.4, 7.6, 7.8 que les résultats des tests faits répondent aux exigences métiers et aux politiques et procédures de l’entreprise en matière de sécurité des SI AI7: 7.7, 7.8, 7.9 Audit de la sécurité des services fournis par des tiers Cette mission consiste à vérifier : que les fournisseurs de services tiers respectent les politiques de sécurité de l’entreprise et emploient des personnes qualifiés la dépendance aux fournisseurs des services tiers est bien gérée par les politiques et les procédures de sécurité de l’entreprise que les contrats avec les fournisseurs de services tiers permettent d’exécuter des missions d’audit et des revues (SysTrust, SAS70, ISA402) AI5 : 5.3 DS2 : 2.3, 2.4 SE2 : 2.6 Audit de la sécurité des services internes Cette mission consiste à vérifier : que des fonctions, des informations et des ressources critiques sont disponible pour maintenir la continuité des services offerts en cas d’un incident de sécurité PO2: 2.3 PO9: 9.3, 9.4 DS4: 4.1, 4.3 DS5: 5.6 DS10: 10.1, 10.2, 10.3 DS12: 12.5 l'existence et la fiabilité des mesures d’urgence afin de rétablir le service en échec et de répondre aux besoins des fournisseurs et clients DS4: 4.2, 4.4, 4.8 que les éléments de récupération des services (informations, documentation et ressources critiques) sont bien sauvegarder dans des sites de sauvegarde et sont bien sécurisés, utilisables et recouvrables DS4: 4.5, 4.9 DS11: 11.5, 11.6 que les accès et les privilèges d’accès (pour afficher, ajouter, modifier ou supprimer les informations et les transactions) sont basés sur les besoins particuliers des utilisateurs que les droits d'accès des prestataires de services, fournisseurs et clients sont contrôlés DS5: 5.3, 5.4 que les responsabilités pour gérer les comptes utilisateurs et les jetons de sécurité (tel que : mots de passe, cartes d’accès …) et que ces mesures sont bien identifiées, documentées et révisées périodiquement DS5: 5.4, 5.7, 5.8 DS13: 13.4 que les violations de sécurité des services (tel que : accès non permis des réseaux et systèmes, virus, logiciels malveillants ….) sont toujours enregistrées et reportées immédiatement aux responsables DS5: 5.5, 5.6, 5.9 DS10: 10.1 que les consignes de sécurité avec les partenaires commerciaux sont adéquates et conforme aux obligations contractuelles afin de garantir l’authenticité des transactions électroniques DS5: 5.11 AC6 que des mesures de protection contre les virus et les logiciels espions sont établis et efficaces et mises à jour DS5: 5.9 que les mesures de sécurité des réseaux se conforment aux politiques de l’entreprise en matière d’échange des informations que les supports électroniques permettant cet échange sont bien sécurisés et les incidents sont détectés et suivis DS5: 5.2, 5.10, 5.11 DS12: 12.3 Audit des données et des transactions Cette consiste à vérifier : que les contrôles mis en place pour assurer l’intégrité des données (exactitude, l'exhaustivité et la validité) lors des opérations de saisie, de traitement, de sauvegarde ou de la distribution existent et sont efficaces que les contrôles mis en place pour assurer l’authenticité et le non rejet des transactions existent et sont efficaces DS5: 5.11 DS11: 11.6 AC1, AC2 AC3, AC4 AC5, AC6 que les données sensibles ne sont pas communiquées aux personnes non autorisées DS11: 11.6 AC5 AC6 que les périodes de rétention, les mesures d’archivage et les conditions de stockage de la documentation, données et applications se conforment aux exigences des utilisateurs et des réglementations en vigueur DS11: 11.2, 11.4 que l'intégrité, l'accessibilité et la lisibilité des données sont assurées lors de l’opération de sauvegarde DS4: 4.9 DS11: 11.2
Audit de la sécurité physique Cette mission consiste à vérifier : que les installations et des biens informatiques (salles des serveurs ou de stockage des données) exposés à des risques élevés sont bien sécurisés contres des dommages physiques DS12: 12.1, 12.2, 12.3, 12.4, 12.5 que les ordinateurs, équipements informatiques sont bien protégés contre les dommages physiques et la perte des données DS12: 12.2, Audit de la gouvernance des dispositifs de sécurité Cette mission consiste à vérifier : La performance des dispositifs de sécurité mises en place, c.-à-d. : à quel point les contrôles de sécurité répondent aux exigences définis et remédient aux vulnérabilités des SI en matière de sécurité que les mécanismes de sécurité fonctionnent efficacement et que des mesures de détection des faiblesses de ces mécanismes sont prévues et exécutées (telles que la détection d'intrusion, les tests de pénétration et le stress, et l'essai des plans d'urgence) que toutes les violations et les exceptions sont documentées et suivies conformément aux politiques de sécurité de l’entreprise que contrôles clés de sécurité sont toujours surveillés aux exigences et politiques SE1: 1.2, 1.4, 1.5, 1.6 SE2: 2.1, 2.4 L’existence d’une assurance indépendante : que des évaluations indépendantes (de la part des experts en la matière) sont prévues pour vérifier les mesures de sécurité établies et le niveau de l’adéquation de ceux-ci avec les lois, règlementations et les obligations contractuelles SE2: 2.5 SE4: 4.7 La conformité réglementaire des politiques et dispositifs de sécurité avec les normes et lois en vigueur : que des tâches et des activités sont établies pour garantir la conformité des dispositifs de sécurité avec les réglementations en vigueur que le personnel adhère aux politiques de l’entreprise en matière de la sécurité et est sensibles aux obligations sécuritaires PO3: 3.3 SE3: 3.1, 3.2, 3.3, 3.4 Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information" © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)

Empfohlen

Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
Annick Franck Monyie Fouda
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
FINALIANCE
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
saqrjareh
 

Empfohlen

Mission d'audit des Systéme d'information
Mission d'audit des Systéme d'informationMission d'audit des Systéme d'information
Mission d'audit des Systéme d'information
Aymen Foudhaili
 
Audit des systemes d'information
Audit des systemes d'informationAudit des systemes d'information
Audit des systemes d'information
Annick Franck Monyie Fouda
 
Présentation audits de sécurité
Présentation audits de sécuritéPrésentation audits de sécurité
Présentation audits de sécurité
Harvey Francois
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
Philippe CELLIER
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
FINALIANCE
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
Ammar Sassi
 
Audit Informatique
Audit InformatiqueAudit Informatique
Audit Informatique
etienne
 
Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1Etude de cas audit cobit 4.1
Etude de cas audit cobit 4.1
saqrjareh
 
Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
Abbes Rharrab
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
BRAHIM MELLOUL
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
Alghajati
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
Mohamed Ali Hadhri
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
Youssef Bensafi
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
Ismail EL Makrouz
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
Alghajati
 
audit des immobilisations
audit des immobilisationsaudit des immobilisations
audit des immobilisations
Soukaina Lbl
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interne
Youssef Bensafi
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
hpfumtchum
 
rapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFErapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFE
Donia Hammami
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 ppt
jeehane
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’information
Roland Kouakou
 
audit des stocks
audit des stocks audit des stocks
audit des stocks
Mirafitia
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
Arsène Ngato
 
Les exigences de la norme iso 9001 version 2015
Les exigences de la norme iso 9001 version 2015Les exigences de la norme iso 9001 version 2015
Les exigences de la norme iso 9001 version 2015
Rajaeben3
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
DjibyMbaye1
 
EBIOS
EBIOSEBIOS
EBIOS
Houda Elmoutaoukil
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
ISACA Chapitre de Québec
 
Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
saadbourouis2
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
soumaila Doumbia
 

Weitere ähnliche Inhalte

Was ist angesagt?

Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
BRAHIM MELLOUL
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
Alghajati
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 ppt
jeehane
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’information
Roland Kouakou
 
audit des stocks
audit des stocks audit des stocks
audit des stocks
Mirafitia
 

Was ist angesagt? (20)

Audit sécurité des systèmes d’information
Audit sécurité des systèmes d’informationAudit sécurité des systèmes d’information
Audit sécurité des systèmes d’information
 
Déroulement d'une mission d'audit
Déroulement d'une mission d'auditDéroulement d'une mission d'audit
Déroulement d'une mission d'audit
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SIRéférentiels et Normes pour l'Audit de la Sécurité des SI
Référentiels et Normes pour l'Audit de la Sécurité des SI
 
Audit de sécurité informatique
Audit de sécurité informatiqueAudit de sécurité informatique
Audit de sécurité informatique
 
Le modèle cobit
Le modèle cobitLe modèle cobit
Le modèle cobit
 
Audit informatique
Audit informatiqueAudit informatique
Audit informatique
 
La protection de données, La classification un premier pas
La protection de données, La classification un premier pasLa protection de données, La classification un premier pas
La protection de données, La classification un premier pas
 
audit des immobilisations
audit des immobilisationsaudit des immobilisations
audit des immobilisations
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
les Fondamentaux de l'audit interne
les Fondamentaux de l'audit interneles Fondamentaux de l'audit interne
les Fondamentaux de l'audit interne
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGEDEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
 
rapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFErapport de projet de fin d'étude_PFE
rapport de projet de fin d'étude_PFE
 
Supervision V2 ppt
Supervision V2 pptSupervision V2 ppt
Supervision V2 ppt
 
Auditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’informationAuditer l'organisation informatique des systèmes d’information
Auditer l'organisation informatique des systèmes d’information
 
audit des stocks
audit des stocks audit des stocks
audit des stocks
 
Processus Audit SI
Processus Audit SIProcessus Audit SI
Processus Audit SI
 
Les exigences de la norme iso 9001 version 2015
Les exigences de la norme iso 9001 version 2015Les exigences de la norme iso 9001 version 2015
Les exigences de la norme iso 9001 version 2015
 
Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.Principes fondamentaux de la sécurité du réseau.
Principes fondamentaux de la sécurité du réseau.
 
EBIOS
EBIOSEBIOS
EBIOS
 
Les guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACALes guides d'audit TI de l'ISACA
Les guides d'audit TI de l'ISACA
 

Ähnlich wie Programme de travail de la mission audit de la sécurité des SI

DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
Walter Michael TACKA
 
SMSSI ITIL
SMSSI ITILSMSSI ITIL
SMSSI ITIL
chammem
 
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptxPPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
MiliArwa
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
ssuserc72852
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 
Sifaris architecture
Sifaris architectureSifaris architecture
Sifaris architecture
SIFARIS
 
Wm852 g formation-cics-v5-mise-en-oeuvre-et-administration
Wm852 g formation-cics-v5-mise-en-oeuvre-et-administrationWm852 g formation-cics-v5-mise-en-oeuvre-et-administration
Wm852 g formation-cics-v5-mise-en-oeuvre-et-administration
CERTyou Formation
 

Ähnlich wie Programme de travail de la mission audit de la sécurité des SI (20)

Mission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdfMission-d-Audit-Des-SI.pdf
Mission-d-Audit-Des-SI.pdf
 
Presentation iso27002
Presentation iso27002Presentation iso27002
Presentation iso27002
 
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
DevFest Abidjan 2022 - Les développeurs & IT au cœur de la sécurité de l'info...
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
Chapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.pptChapitre 4 Exploitation Entretien Soutien SI.ppt
Chapitre 4 Exploitation Entretien Soutien SI.ppt
 
Exploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SIExploitation Entretien et Soutien des SI
Exploitation Entretien et Soutien des SI
 
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdfGhernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
Ghernaouti, Solange - Cybersécurité (2019, Dunod) - libgen.li (1).pdf
 
SMSSI ITIL
SMSSI ITILSMSSI ITIL
SMSSI ITIL
 
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptxPPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
PPnknknkTnjbjbjbjbjbjbjbjbjbjbjbjbjbpart2.pptx
 
présentation-PFE.pptx
présentation-PFE.pptxprésentation-PFE.pptx
présentation-PFE.pptx
 
ITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FRITrust Cybersecurity Services - Datasheet FR
ITrust Cybersecurity Services - Datasheet FR
 
Cours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdfCours Préparation à l’ISO 27001 version 2022.pdf
Cours Préparation à l’ISO 27001 version 2022.pdf
 
2014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.22014 09-25-club-27001 iso 27034-presentation-v2.2
2014 09-25-club-27001 iso 27034-presentation-v2.2
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
 
Soirée GDPR / RGPD @TechnofuturTic
Soirée GDPR / RGPD @TechnofuturTicSoirée GDPR / RGPD @TechnofuturTic
Soirée GDPR / RGPD @TechnofuturTic
 
Quel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdfQuel denominateur commun a Microsoft 365.pdf
Quel denominateur commun a Microsoft 365.pdf
 
Sifaris architecture
Sifaris architectureSifaris architecture
Sifaris architecture
 
Wm852 g formation-cics-v5-mise-en-oeuvre-et-administration
Wm852 g formation-cics-v5-mise-en-oeuvre-et-administrationWm852 g formation-cics-v5-mise-en-oeuvre-et-administration
Wm852 g formation-cics-v5-mise-en-oeuvre-et-administration
 
E4 sp1 AD
E4 sp1 ADE4 sp1 AD
E4 sp1 AD
 

Mehr von Ammar Sassi

Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
Ammar Sassi
 
Audit of IT Governance (Reference documents to be audited according to Cobit5...
Audit of IT Governance (Reference documents to be audited according to Cobit5...Audit of IT Governance (Reference documents to be audited according to Cobit5...
Audit of IT Governance (Reference documents to be audited according to Cobit5...
Ammar Sassi
 
Strategic and Operational Planning for IT
Strategic and Operational Planning for ITStrategic and Operational Planning for IT
Strategic and Operational Planning for IT
Ammar Sassi
 
IT audit approach (according to the Cobit methodology)
IT audit approach (according to the Cobit methodology)IT audit approach (according to the Cobit methodology)
IT audit approach (according to the Cobit methodology)
Ammar Sassi
 

Mehr von Ammar Sassi (9)

CV_AmmarSassi
CV_AmmarSassiCV_AmmarSassi
CV_AmmarSassi
 
Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)Générateur de guides d’audit informatique (based on cobit methodology)
Générateur de guides d’audit informatique (based on cobit methodology)
 
Boite à outils de l'auditeur
Boite à outils de l'auditeurBoite à outils de l'auditeur
Boite à outils de l'auditeur
 
Conduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche généraleConduite d’une mission d’audit - démarche générale
Conduite d’une mission d’audit - démarche générale
 
Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)Audit of IT Governance (Reference documents to be audited)
Audit of IT Governance (Reference documents to be audited)
 
Audit of IT Governance (Reference documents to be audited according to Cobit5...
Audit of IT Governance (Reference documents to be audited according to Cobit5...Audit of IT Governance (Reference documents to be audited according to Cobit5...
Audit of IT Governance (Reference documents to be audited according to Cobit5...
 
Strategic and Operational Planning for IT
Strategic and Operational Planning for ITStrategic and Operational Planning for IT
Strategic and Operational Planning for IT
 
IT audit approach (according to the Cobit methodology)
IT audit approach (according to the Cobit methodology)IT audit approach (according to the Cobit methodology)
IT audit approach (according to the Cobit methodology)
 
Tutoriel
TutorielTutoriel
Tutoriel
 

Programme de travail de la mission audit de la sécurité des SI

  • 1. Programmes de travail pour différentes missions d'audit en matière de sécurité des SI (selon le cadre de référence Cobit4.1) Type de mission d’audit Description Objectifs de contrôle Audit du management de la sécurité des SI Cette mission consiste à vérifier : La stratégie de sécurité et l’architecture de l’information, c.-à-d. : que les données, les services et les transactions critiques (en se basant sur les exigences et les risques métiers) sont bien identifiés et considérées dans la stratégie de sécurité de l’entreprise que les exigences de sécurité (telles que : la confidentialité, l’authenticité, la disponibilité, la limitation d’accès, la validité, le sauvegarde et la récupération) des données sont prises en compte dans l’établissement de la stratégie globale de sécurité des SI que des investissements de sécurité (matériels et logiciels) sont étudiés et pris en compte PO1 : 1.2, 1.4, 1.6 PO2 : 2.2, 2.3 PO3 : 3.4 PO4 : 4.9 DS5 : 5.1, 5.2 L’organisation des SI et les responsabilités en matière de sécurité: c.-à-d. : que les responsabilités sont assignées, communiquées et bien appréhendées le niveau de risque d’attribuer plusieurs responsabilités à une seule personne est-ce que les ressources nécessaires pour exercer les responsabilités sont disponibles et efficaces PO4 : 4.8, 4.10, 4.11, 4.15 PO7 : 7.3 La communication des objectifs et les orientations de gestion en matière de sécurité c.-à-d : que les règles de base répondant aux exigences et aux incidents de sécurité sont bien communiquées aux employés et que ces derniers adhérent aussi bien aux politiques de l’entreprise en ce qui concerne la sécurité des SI que les directives de sécurité sont en ligne avec les objectifs de l'entreprise PO6 : 6.2, 6.3, 6.4, 6.5 DS5 : 5.2 La sécurité des différents niveaux de service : c.-à-d. : que des exigences de sécurité et des revus réguliers de la conformité des niveaux de services internes et les services fournis par des tiers sont établis et respectés AI5: 5.2 DS1 : 1.3, 1.5, 1.6 DS2 : 2.4 Audit des risques informatiques Cette mission consiste à vérifier : le processus de gestion des risques informatiques de l’entreprise et les mesures envisagées par la direction de l’entreprise. l’existence d’un plan d’action afin de répondre aux risques potentiels le niveau d’implication du personnel dans le processus de gestion des risques des SI PO2 : 2.3 PO7 : 7.4 PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6 AI1 : 1.1, 1.2 Audit des risques associés au personnel en matière de la sécurité des SI Cette mission consiste à vérifier : le degré d’implication du personnel aux politiques de sécurité établies par la direction les compétences du personnel en matière de sécurité générale des SI qu’aucune tache clé de sécurité ne soit attribuée à une seule personne PO4 : 4.13 PO7 : 7.1, 7.2, 7.5, 7.6, 7.7 que les membres du personnel savent intégrer la sécurité dans les procédures quotidiennes qu’une documentation et des formations sont fournies aux membres du personnel en matière de la sécurité AI4 : 4.1, 4.2, 4.3, 4.4 AI7 : 7.1 Audit de la sécurité des applications et infrastructures Cette mission a pour but de vérifier : l’existence des évaluations de sécurité lors de l’acquisition des nouvelles applications AI1: 1.1, 1.2, 1.3 AI5: 5.2, 5.3 que les solutions informatiques acquises sont fonctionnels et que les exigences de sécurité sont spécifiées et compatibles avec les systèmes AI1: 1.1, 1.2 AI2: 2.2, 2.4 AI4: 4.1, 4.4 AI5: 5.3, 5.4 que les développeurs et les fournisseurs d’applications ou infrastructures prennent en compte les exigences de l’entreprise en matière de sécurité, et que l’entreprise à déployer tous les moyens pour les faire adhérer à ses politiques de sécurité PO8: 8.3 AI2: 2.3, 2.4, 2.5, 2.6, 2.8 AI3: 3.1, 3.4 l’existence et l’efficacité des patchs de sécurité pour l’infrastructure que des mesures additionnelles nécessaires pour maintenir la sécurité de l’infrastructure sont documentées AI3: 3.2, 3.3 AI6: 6.1 DS5: 5.9 que des mises à jour régulières et des inventaires complets des configurations des applications et du matériel sont exécutés que tous les logiciels installés sont légales, autorisés (possèdent des licences d’utilisation) DS9: 9.1, 9, 9.3
  • 2. Audit de la sécurité des installations et des changements Cette mission consiste à vérifier : les impacts des changements (correctifs inclus) sur l’intégrité des données (perte des données), la disponibilité des services et la validité des transactions AI2: 2.8 AI3: 3.4 AI6: 6.1, 6.2 AI7: 7.2, 7.4, 7.6 que tous les changements, y compris les correctifs et les modifications d'urgence sont documentés et autorisés AI6: 6.2, 6.3, 6.4, 6.5 que les systèmes nouvellement installés et les différents changements ont été objet des tests de sécurité PO8: 8.3 AI3: 3.4 AI7: 7.2, 7.4, 7.6, 7.8 que les résultats des tests faits répondent aux exigences métiers et aux politiques et procédures de l’entreprise en matière de sécurité des SI AI7: 7.7, 7.8, 7.9 Audit de la sécurité des services fournis par des tiers Cette mission consiste à vérifier : que les fournisseurs de services tiers respectent les politiques de sécurité de l’entreprise et emploient des personnes qualifiés la dépendance aux fournisseurs des services tiers est bien gérée par les politiques et les procédures de sécurité de l’entreprise que les contrats avec les fournisseurs de services tiers permettent d’exécuter des missions d’audit et des revues (SysTrust, SAS70, ISA402) AI5 : 5.3 DS2 : 2.3, 2.4 SE2 : 2.6 Audit de la sécurité des services internes Cette mission consiste à vérifier : que des fonctions, des informations et des ressources critiques sont disponible pour maintenir la continuité des services offerts en cas d’un incident de sécurité PO2: 2.3 PO9: 9.3, 9.4 DS4: 4.1, 4.3 DS5: 5.6 DS10: 10.1, 10.2, 10.3 DS12: 12.5 l'existence et la fiabilité des mesures d’urgence afin de rétablir le service en échec et de répondre aux besoins des fournisseurs et clients DS4: 4.2, 4.4, 4.8 que les éléments de récupération des services (informations, documentation et ressources critiques) sont bien sauvegarder dans des sites de sauvegarde et sont bien sécurisés, utilisables et recouvrables DS4: 4.5, 4.9 DS11: 11.5, 11.6 que les accès et les privilèges d’accès (pour afficher, ajouter, modifier ou supprimer les informations et les transactions) sont basés sur les besoins particuliers des utilisateurs que les droits d'accès des prestataires de services, fournisseurs et clients sont contrôlés DS5: 5.3, 5.4 que les responsabilités pour gérer les comptes utilisateurs et les jetons de sécurité (tel que : mots de passe, cartes d’accès …) et que ces mesures sont bien identifiées, documentées et révisées périodiquement DS5: 5.4, 5.7, 5.8 DS13: 13.4 que les violations de sécurité des services (tel que : accès non permis des réseaux et systèmes, virus, logiciels malveillants ….) sont toujours enregistrées et reportées immédiatement aux responsables DS5: 5.5, 5.6, 5.9 DS10: 10.1 que les consignes de sécurité avec les partenaires commerciaux sont adéquates et conforme aux obligations contractuelles afin de garantir l’authenticité des transactions électroniques DS5: 5.11 AC6 que des mesures de protection contre les virus et les logiciels espions sont établis et efficaces et mises à jour DS5: 5.9 que les mesures de sécurité des réseaux se conforment aux politiques de l’entreprise en matière d’échange des informations que les supports électroniques permettant cet échange sont bien sécurisés et les incidents sont détectés et suivis DS5: 5.2, 5.10, 5.11 DS12: 12.3 Audit des données et des transactions Cette consiste à vérifier : que les contrôles mis en place pour assurer l’intégrité des données (exactitude, l'exhaustivité et la validité) lors des opérations de saisie, de traitement, de sauvegarde ou de la distribution existent et sont efficaces que les contrôles mis en place pour assurer l’authenticité et le non rejet des transactions existent et sont efficaces DS5: 5.11 DS11: 11.6 AC1, AC2 AC3, AC4 AC5, AC6 que les données sensibles ne sont pas communiquées aux personnes non autorisées DS11: 11.6 AC5 AC6 que les périodes de rétention, les mesures d’archivage et les conditions de stockage de la documentation, données et applications se conforment aux exigences des utilisateurs et des réglementations en vigueur DS11: 11.2, 11.4 que l'intégrité, l'accessibilité et la lisibilité des données sont assurées lors de l’opération de sauvegarde DS4: 4.9 DS11: 11.2
  • 3. Audit de la sécurité physique Cette mission consiste à vérifier : que les installations et des biens informatiques (salles des serveurs ou de stockage des données) exposés à des risques élevés sont bien sécurisés contres des dommages physiques DS12: 12.1, 12.2, 12.3, 12.4, 12.5 que les ordinateurs, équipements informatiques sont bien protégés contre les dommages physiques et la perte des données DS12: 12.2, Audit de la gouvernance des dispositifs de sécurité Cette mission consiste à vérifier : La performance des dispositifs de sécurité mises en place, c.-à-d. : à quel point les contrôles de sécurité répondent aux exigences définis et remédient aux vulnérabilités des SI en matière de sécurité que les mécanismes de sécurité fonctionnent efficacement et que des mesures de détection des faiblesses de ces mécanismes sont prévues et exécutées (telles que la détection d'intrusion, les tests de pénétration et le stress, et l'essai des plans d'urgence) que toutes les violations et les exceptions sont documentées et suivies conformément aux politiques de sécurité de l’entreprise que contrôles clés de sécurité sont toujours surveillés aux exigences et politiques SE1: 1.2, 1.4, 1.5, 1.6 SE2: 2.1, 2.4 L’existence d’une assurance indépendante : que des évaluations indépendantes (de la part des experts en la matière) sont prévues pour vérifier les mesures de sécurité établies et le niveau de l’adéquation de ceux-ci avec les lois, règlementations et les obligations contractuelles SE2: 2.5 SE4: 4.7 La conformité réglementaire des politiques et dispositifs de sécurité avec les normes et lois en vigueur : que des tâches et des activités sont établies pour garantir la conformité des dispositifs de sécurité avec les réglementations en vigueur que le personnel adhère aux politiques de l’entreprise en matière de la sécurité et est sensibles aux obligations sécuritaires PO3: 3.3 SE3: 3.1, 3.2, 3.3, 3.4 Cet article est un extrait de mon travail de recherche réalisé dans le cadre de mes études de master "Audit Interne et Audit des Systèmes d'Information" © Ammar Sassi (http://tn.linkedin.com/pub/ammar-sassi/)