[PDF] Modèle de Rapport dAudit de la Sécurité des Systèmes dInformation

χModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019

1.1 Confidentialité du document

1.2 Historique des modifications

Version Date Auteur Modifications

1.3 Diffusion du document

Diffusion (coté Nom_Bureau_Audit)

Nom Prénom Titre Tél Mail

Diffusion (coté Nom_Organisme_Audité)

Nom Prénom Titre Tél Mail

1 Aǀant propos

ψModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019

- Rappeler le cadre de la mission d'audit (en application ă la loi nΣ5 de 2004 et au décret 2004-

1250),

- Indiquer si la présente mission est un audit exhaustif ou audit de suivi (mission sur 3 années),

- PrĠsenter l'objectif de cette mission d'audit (Etat de conformité par rapport à un standard,

- Indiquer, le cas échéant, si la présente mission rentre dans le cadre de la préparation à la

- Indiquer, la cas échéant, le(s) standard(s) métier de référence par rapport auquel est réalisée la

3 Termes et dĠfinitions

4 RĠfĠrences

- Indiquer tous les documents de référence utilisés pour la réalisation de la présente mission

5 PrĠsentation de l'organisme auditĠ

missions, services fournis, parties prenantes, clients, etc) conformément au modèle présenté en

Annexe 1,

- Présenter la cartographie des processus de l'organisme auditĠ (aǀec la cartographie des fludž de

- Pour chaque processus, indiquer les exigences en disponibilité, intégrité et confidentialité des

données traitées à ce niveau conformément au modèle présenté en Annexe 2, ceci afin

6 Champ d'audit

6.1 Périmètre géographique

Structure Lieu d'implantation

2 Cadre de la mission

ωModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019

6.2 Description des systğmes d'information

- Décrire les systğmes d'information des différentes structures: Pour chaque structure, présenter

tous les composants du système d'information avec justification des exclusions le cas échéant

- Toute exclusion d'un composant du système d'information (serveur, application, base de

6.3 Schéma synoptique de l'architecture du réseau

Schématiser le réseau de Nom_Organisme_Audité en faisant apparaitre les connexions (LAN, WAN,

7 MĠthodologie d'audit

- Identifier les domaines de la sĠcuritĠ des systğmes d'information couǀerts par la mĠthodologie

Remarques et Recommandations :

9 L'audit devra prendre comme référentiel de base le rĠfĠrentiel d'audit de la SĠcuritĠ des

9 La maturité des mesures et contrôles de sécurité mis en place doit être établie en rapport

A.5 Politiques de sécuritĠ de l'information

A.7 Sécurité des ressources humaines

A.8 Gestion des actifs

A.10 Cryptographie

A.11 Sécurité physique et environnementale

A.13 Sécurité des communications

A.15 Relations avec les fournisseurs

A.17 Aspects de la sĠcuritĠ de l'information dans la gestion de la continuité de

A.18 Conformité

ϊModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019

Titre du

Champs d'interǀention

Ex : AOP, Audit serveurs, Audit

BD, Audit équipements réseaux,

Membre

Nom Prénom Qualité Fonction

- Présenter le planning d'edžĠcution réel de la mission d'audit selon le modèle " Planning réel

8 Synthğse des rĠsultats de l'audit

- Rappeler la responsabilitĠ de l'auditeur et les limites de l'audit (Ġchantillonnage, changements

- Donner une évaluation dĠtaillĠe de la rĠalisation du plan d'action issu de la derniğre mission d'audit

ϋModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019

- Présenter une synthèse des principales bonne pratiques identifiées et défaillances enregistrées lors

- PrĠsenter un Ġtat de maturitĠ de la sĠcuritĠ du systğme d'information de l'organisme auditĠ selon

le modèle " Etat de maturitĠ de la sĠcuritĠ du systğme d'information de Nom_Organisme_Audité»

9 PrĠsentation dĠtaillĠe des rĠsultats de l'audit

Domaine Critères

Politiques de

A.5.1.1

Politiques de

Bonnes pratiques identifiées

Bonne pratique 1

Bonne pratique 2

Vulnérabilités enregistrées

Vulnérabilité 1 - Référence de la

A.5.1.2 Revue

Bonnes pratiques identifiées

Bonne pratique 1

Bonne pratique 2

Vulnérabilités enregistrées

Vulnérabilité 1 - Référence de la

Critère 3

Critère 1

Critère 1

όModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019

Référence de la vulnérabilité:

Description :

Preuve(s) d'audit ͗ les preuǀes d'audit doiǀent ġtre regroupĠes par domaine, triées par critère

Composante(s) du SI impactée(s) :

Recommandation :

Remarques et Recommandations :

9 Les domaines de la sĠcuritĠ des systğmes d'information couǀerts par l'audit peuvent être

9 Les critğres d'audit doiǀent ġtre vérifiés sur toutes les composantes du champ de l'audit,

identifiĠes et les ǀulnĠrabilitĠs identifiĠes en les classant par domaine et par critğre d'audit.

9 Les preuves d'audit peuvent être de nature :

- Testimoniale : témoignages. C'est une preuve très fragile qui doit toujours être recoupée et

Les preuǀes d'audit relatiǀes audž aspects de la sécurité opérationnelle doivent comprendre

ύModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019

Cette étude doit permettre de dresser la liste des scénarii des risques les plus prépondérants triés

Scénario du risque :

Description :

Composante(s) du SI impactée(s) :

Gravité du risque :

Recommandation :

11 Plan d'action

- Organiser par projets les actions/recommandations associées aux différentes vulnérabilités

- Organiser par projets les actions/recommandations associées aux différentes vulnérabilités

υτModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019

Annexe 1

Nom de l'organisme

Acronyme

Statut Public, Privé

Site web

Adresse Email

Annexe 2

Processus 1

Processus 2

Processus n

Pour chaque site :

Applications

Nom (1) Modules Description Environnement de

Développée par

Noms ou @IP des

Nombre

Incluse au périmètre

Infrastructure Réseau et sécurité

Postes de travail

Nombre (6)

Serveurs (par plateforme)

Nom (1) @IP Type (2) Rôle/métier (3) (6)

Annexe 4 : Planni SI de

Nom_Organisme_Audité

Composant

Equipe intervenante

Durée en Hommes/jours

Phase Objet de la sous phase Date(s) de

Phase 1

Phase 2

Phase n

Durée Totale de la mission (en Homme/jour)

Annexe 5 :

Projet Action Criticité Chargé de

Charge

Taux de

Evaluation

Action 1.2 :

Action 1.3 :

Action 2.2 :

Action 2.3 :

(1) Evaluation des mesures qui ont été adoptées depuis le dernier audit réalisé et aux

insuffisances enregistrĠes dans l'application de ses recommandations, aǀec un report des raisons

υψModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019

Domaine Critère

Valeur

Commentaires

A.5 Politiques de sécurité de

A.6 Organisation de la sécurité de

A.7 Sécurité des ressources

A.8 Gestion des actifs

A.10 Cryptographie

A.11 Sécurité physique et

A.13 Sécurité des communications

A.14 Acquisition, développement

A.15 Relations avec les

A.16 Gestion des incidents liés à la

A.17 Aspects de la sécurité de

A.18 Conformité

N/A - Non applicable

0 - Pratique inexistante

1 - Pratique informelle : Actions isolées

2 - Pratique répétable et suivie : Actions reproductible

3 - Processus définis : Standardisation des pratiques

4 - Processus contrôlés : des mesures quantitatives

5 - Processus continuellement optimisés

υωModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019

Annexe 7 :

Projet Action Priorité Responsable

Charge (H/J) Planification

Projet 1 :

Action 1.1 :

Action 1.2 :

Action 1.3 :

Projet 2 :

Action 2.1 :

Action 2.2 :

Action 2.3 :

Projet n :

Action 2.1 :

Action 2.2 :

Action 2.3 :