GUIDE DAUDIT DES SYSTEMES DINFORMATION
3 juil. 2015 L'audit d'une organisation doit donc désormais nécessairement inclure un audit de sa relation au fait informatique. Comment définit-elle ses ...
FICHE PRATIQUE #23 - Audit matériel et sécurité informatique
Comment ? En faisant appel à des partenaires extérieurs qui maîtrisent à la fois la méthode de l'audit et les sujets numériques et qui puissent vous faire
9 STEPS to I.T. audit readiness
Réaliser avec succès votre audit IT : votre scénario gagnant-gagnant informatique entraîne des dommages importants pour l'entreprise ou l'organisation .
Fiches etapes
La représentation du processus de conduite d'une mission d'audit interne montre un Faire l'inventaire des événements qui pourraient empêcher.
Modèle de Rapport dAudit de la Sécurité des Systèmes dInformation
01 Octobre 2019 fixant le cahier des charges relatif à l'exercice de l'activité d'audit dans le domaine de la sécurité informatique.
AUDIT INFORMATIQUE : TOUS CONCERNÉS !
Un client dont le besoin de sécurité et de conformité ne fait qu'augmenter à mesure qu'il s'équipe de nouveaux outils numériques de gestion et de production et
Guide pour lutilisation des Normes Internationales dAudit dans l
par l'entité permet à l'auditeur de comprendre comment la direction identifie les risques la compétence du cabinet pour réaliser la mission d'audit.
commission audit informatique - guide audit des processus
3 juil. 2020 La Commission Audit Informatique de la CRCC de Paris œuvre ... nement des processus ou pour réaliser des contrôles dits substantifs.
Guide daudit des ressources humaines
informatiques des dossiers vivants de même que l'archivage des dossiers d'audit plus anciens
commission audit informatique - recueil de tests daudit de données
7 juil. 2020 Le choix des tests à réaliser est à faire bien entendu selon les résultats de l'analyse des risques menée par le commissaire aux comptes. Ils ...
Avant-propos
organisé par les décrets applicatifs 2004-1249 et 2004-1250. Les décrets cités identifient les
organismes soumis ă l'obligation de l'audit, les experts auditeurs habilités à mener des missions
de sĠcuritĠ ă ǀĠrifier n'ont pas ĠtĠ identifiĠs au niǀeau de ces dĠcrets.
2004-1250, aux organismes audités de disposer de garanties sur la qualité des résultats des audits
effectuĠs et audž serǀices de suiǀi de l'audit au sein de l'ANSI de mener efficacement l'Ġtude et
Modèle de Rapport
G·$XGLP GH OM 6pŃXULPp GHV
6\VPqPHV G·HQIRUPMPLRQ
(En application à la loi n°5 de 2004)Évolutions du document
Version Date Nature des modifications
1.0 19/12/2014 Version initiale
1.1 03/06/2015 Ajout de recommandations
1.2 03/05/2017
1.3 14/10/2019 ministre des
technologies de la communication et de l'économie numérique et du ministre du développement, de issement et de la coopération internationale du01 Octobre 2019, fixant le cahier des charges relatif à
sécurité informatique.φModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019
фNom du Bureau d'auditх
Rapport d'Audit de la Sécurité du
Systğme d'Information
De
Version du document Date Diffusion
χModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019
1.1 Confidentialité du document
Le présent document est confidentiel et sa confidentialité consiste à : - La non divulgation des dites informations confidentielles auprès de tierce partie, - La non reproduction des informations dites confidentielles, sauf accord de l'organisme auditĠ, - Ne pas profiter ou faire profiter tierce partie du contenu de ces informations en matière de savoir-faire, - Considérer toutes les informations relatives à la production et au système1.2 Historique des modifications
Version Date Auteur Modifications
1.3 Diffusion du document
Diffusion (coté Nom_Bureau_Audit)
Nom Prénom Titre Tél Mail
Diffusion (coté Nom_Organisme_Audité)
Nom Prénom Titre Tél Mail
1 Aǀant propos
ψModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019
- Rappeler le cadre de la mission d'audit (en application ă la loi nΣ5 de 2004 et au décret 2004-
1250),
- Indiquer si la présente mission est un audit exhaustif ou audit de suivi (mission sur 3 années),
- PrĠsenter l'objectif de cette mission d'audit (Etat de conformité par rapport à un standard,
recommandations, plan d'action),- Indiquer, le cas échéant, si la présente mission rentre dans le cadre de la préparation à la
certification ISO 27001 ou dans une autre démarche de conformité,- Indiquer, la cas échéant, le(s) standard(s) métier de référence par rapport auquel est réalisée la
présente mission d'audit, etc).3 Termes et dĠfinitions
- Donner les définitions des termes utilisés dans le présent rapport.4 RĠfĠrences
- Indiquer tous les documents de référence utilisés pour la réalisation de la présente mission
d'audit.5 PrĠsentation de l'organisme auditĠ
missions, services fournis, parties prenantes, clients, etc) conformément au modèle présenté en
Annexe 1,
- Présenter la cartographie des processus de l'organisme auditĠ (aǀec la cartographie des fludž de
données),- Pour chaque processus, indiquer les exigences en disponibilité, intégrité et confidentialité des
données traitées à ce niveau conformément au modèle présenté en Annexe 2, ceci afin
audité.6 Champ d'audit
6.1 Périmètre géographique
- Présenter la liste des structures à auditer :Structure Lieu d'implantation
1 2 32 Cadre de la mission
ωModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019
d'Ġchantillonnage, le cas ĠchĠant.6.2 Description des systğmes d'information
- Décrire les systğmes d'information des différentes structures: Pour chaque structure, présenter
tous les composants du système d'information avec justification des exclusions le cas échéant
selon le modèle " Description du SI de Nom_Organisme_Audité » (voir Annexe 3),- Toute exclusion d'un composant du système d'information (serveur, application, base de
6.3 Schéma synoptique de l'architecture du réseau
Schématiser le réseau de Nom_Organisme_Audité en faisant apparaitre les connexions (LAN, WAN,
etc), la segmentation, l'emplacement des composantes du SI, etcY7 MĠthodologie d'audit
- Décrire en détail la mĠthodologie d'audit adoptĠe,- Identifier les domaines de la sĠcuritĠ des systğmes d'information couǀerts par la mĠthodologie
utilisés).Remarques et Recommandations :
9 L'audit devra prendre comme référentiel de base le rĠfĠrentiel d'audit de la SĠcuritĠ des
9 La maturité des mesures et contrôles de sécurité mis en place doit être établie en rapport
avec les quatorze (14) domaines dudit référentiel :A.5 Politiques de sécuritĠ de l'information
A.6 Organisation de la sĠcuritĠ de l'informationA.7 Sécurité des ressources humaines
A.8 Gestion des actifs
A.10 Cryptographie
A.11 Sécurité physique et environnementale
A.12 SĠcuritĠ liĠe ă l'edžploitationA.13 Sécurité des communications
A.15 Relations avec les fournisseurs
A.16 Gestion des incidents liĠs ă la sĠcuritĠ de l'informationA.17 Aspects de la sĠcuritĠ de l'information dans la gestion de la continuité de
l'actiǀitĠA.18 Conformité
- Présenter les outils d'audit utilisĠsϊModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019
Outils Version utilisée License Fonctionnalités Composantes du SI objet de l'audit - Présenter les checklists utilisésTitre du
document Version Source Description Composantes du SI objet de l'audit - PrĠsenter l'équipe du projet coté Nom_Bureau_Audit : Nom Prénom Qualité Qualification Certifié par l'ANSIChamps d'interǀention
Ex : AOP, Audit serveurs, Audit
BD, Audit équipements réseaux,
Membre
Nom Prénom Qualité Fonction
- Présenter le planning d'edžĠcution réel de la mission d'audit selon le modèle " Planning réel
8 Synthğse des rĠsultats de l'audit
- Rappeler la responsabilitĠ de l'auditeur et les limites de l'audit (Ġchantillonnage, changements
- Rappeler les types et nature de test réalisés pour établir ces résultats,- Donner une évaluation dĠtaillĠe de la rĠalisation du plan d'action issu de la derniğre mission d'audit
selon le modèle " Eǀaluation du dernier plan d'action » (Voir Annexe 5),ϋModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019
- Présenter une synthèse des principales bonne pratiques identifiées et défaillances enregistrées lors
de l'audit,- PrĠsenter un Ġtat de maturitĠ de la sĠcuritĠ du systğme d'information de l'organisme auditĠ selon
le modèle " Etat de maturitĠ de la sĠcuritĠ du systğme d'information de Nom_Organisme_Audité»
(voir Annexe 6).9 PrĠsentation dĠtaillĠe des rĠsultats de l'audit
de: o présenter les bonnes pratiques identifiées. o présenter la liste de vulnérabilités,Domaine Critères
d'audit RĠsultats de l'audit (constats) Description des vérifications effectuées (tests, conditions de test, etc) A.5.1 Orientations de la direction en matiğre de sĠcuritĠ de l'information A.5Politiques de
la sécurité de l'informationA.5.1.1
Politiques de
sécurité de l'informationBonnes pratiques identifiées
Bonne pratique 1
Bonne pratique 2
Vulnérabilités enregistrées
Vulnérabilité 1 - Référence de la
vulnérabilité 1A.5.1.2 Revue
des politiques de sécurité de l'informationBonnes pratiques identifiées
Bonne pratique 1
Bonne pratique 2
Vulnérabilités enregistrées
Vulnérabilité 1 - Référence de la
vulnérabilité 1Critère 3
A.6Critère 1
A.18Critère 1
όModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019
Pour chaque vulnérabilité non acceptable enregistrée :Référence de la vulnérabilité:
Description :
Preuve(s) d'audit ͗ les preuǀes d'audit doiǀent ġtre regroupĠes par domaine, triées par critère
d'audit et placĠes dans une Annexe " Preuǀes d'audit - Libellé du Domaine »Composante(s) du SI impactée(s) :
Recommandation :
Remarques et Recommandations :
9 Les domaines de la sĠcuritĠ des systğmes d'information couǀerts par l'audit peuvent être
classés en 3 niveaux : - Aspects organisationnels de la sĠcuritĠ des systğmes d'information - SĠcuritĠ opĠrationnelle des systğmes d'information L'audit de la sécurité opérationnelle doit couvrir les volets suivants : - Audit de l'architecture rĠseau - Audit de l'infrastructure rĠseau et sĠcuritĠ - Audit de la sécurité des serveurs (couche système et rôle du serveur) - Audit de la sécurité des applications9 Les critğres d'audit doiǀent ġtre vérifiés sur toutes les composantes du champ de l'audit,
toute exclusion du champ de l'audit doit ġtre argumentĠe En cas de recours ă l'Ġchantillonnage, en commun accord aǀec le maitre d'ouǀrage, pour o présenter clairement les critères de choix probants de l'échantillonnage; o dĠcrire edžplicitement l'Ġchantillon (l'Ġchantillon doit ġtre reprĠsentatif); o couǀrir par lΖaudit tout l'Ġchantillon choisi.identifiĠes et les ǀulnĠrabilitĠs identifiĠes en les classant par domaine et par critğre d'audit.
9 Les preuves d'audit peuvent être de nature :
- Physique : c'est ce que l'on voit, constate = observation,- Testimoniale : témoignages. C'est une preuve très fragile qui doit toujours être recoupée et
validée par d'autres preuves, - Documentaire : procédures écrites, comptes rendus, notes, - Analytique : rapprochements, déductions à partir des résultats des tests techniquesLes preuǀes d'audit relatiǀes audž aspects de la sécurité opérationnelle doivent comprendre
diffĠrents outils et moyens d'audit (tests manuels, check-lists de bonnes pratiques, outilsύModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019
Cette étude doit permettre de dresser la liste des scénarii des risques les plus prépondérants triés
par ordre de criticité en identifiant : o La compledžitĠ d'edžploitation des ǀulnĠrabilitĠs associĠes o La probabilité d'occurrence des menaces associées o Une estimation de la gravité du risque (la gravité du risque étant une résultante des facteurs suscités)Scénario du risque :
Description :
Référence(s) de(s) la vulnérabilité(s):Composante(s) du SI impactée(s) :
CompledžitĠ d'edžploitation de(s)s vulnérabilité(s) :Gravité du risque :
Recommandation :
11 Plan d'action
- Organiser par projets les actions/recommandations associées aux différentes vulnérabilités
décelées. perspectives de l'auditĠ déjà établi de l'offre sur la marchĠ tunisien- Organiser par projets les actions/recommandations associées aux différentes vulnérabilités
décelées. - Dresser le plan d'action selon le modèle " Plan d'action proposĠ » (Voir Annexe 7)υτModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019
Annexe 1
Nom de l'organisme
Acronyme
Statut Public, Privé
Secteur d'actiǀitĠ Administration, Finances/Assurances, Catégorie Ministère, Administration, Entreprise, Banque,Site web
Adresse Email
Annexe 2
Désignation du processus exigences des données traitées en (1) Confidentialité Intégrité DisponibilitéProcessus 1
Processus 2
Processus n
(1) Classement en 4 niveaux : faible (1), moyen (2), fort (3) et très fort (4). Annexe 3 : Description du SI de Nom_Organisme_AuditéPour chaque site :
(1) : Veuillez respecter la même nomenclature (2) : Type du serveur : MV (Machine Virtuelle) ou MP (Machine Physique). (3) : Rôle/métier leur de domaine, Proxy, Antivirus, etc. Veuillez indiquer le(s) nom de (la) solutions métier au niveau de chaque serveur. (4) : Nature : Switch, Routeur, Firewall, IDS/IPS, etc (5) Observations e niveau du switch (6) : Oui/Non. .Applications
Nom (1) Modules Description Environnement de
développementDéveloppée par
/AnnéeNoms ou @IP des
Nombre
utilisateursIncluse au périmètre
(6)Infrastructure Réseau et sécurité
Nature (4) Marque Nombre Administré par : Observations (5) (6)Postes de travail
Nombre (6)
Serveurs (par plateforme)
Nom (1) @IP Type (2) Rôle/métier (3) (6)
Annexe 4 : Planni SI de
Nom_Organisme_Audité
Composant
Equipe intervenante
Durée en Hommes/jours
pour chaque intervenantPhase Objet de la sous phase Date(s) de
réalisation Sur Site TotalePhase 1
Phase 2
Phase n
Durée Totale de la mission (en Homme/jour)
Annexe 5 :
Projet Action Criticité Chargé de
l'actionCharge
(H/J)Taux de
réalisationEvaluation
(1)Action 1.2 :
Action 1.3 :
Action 2.2 :
Action 2.3 :
(1) Evaluation des mesures qui ont été adoptées depuis le dernier audit réalisé et aux
insuffisances enregistrĠes dans l'application de ses recommandations, aǀec un report des raisons
insuffisancesυψModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019
Annexe 6 : Etat de maturité de la sécurité du SI de Nom_Organisme_AuditéDomaine Critère
Valeur
attribuéeCommentaires
A.5 Politiques de sécurité de
l'informationA.6 Organisation de la sécurité de
l'informationA.7 Sécurité des ressources
humainesA.8 Gestion des actifs
A.10 Cryptographie
A.11 Sécurité physique et
environnementale A.12 SĠcuritĠ liĠe ă l'edžploitationA.13 Sécurité des communications
A.14 Acquisition, développement
et maintenance des systèmes d'informationA.15 Relations avec les
fournisseursA.16 Gestion des incidents liés à la
sĠcuritĠ de l'informationA.17 Aspects de la sécurité de
l'information dans la gestion de la continuitĠ de l'actiǀitĠA.18 Conformité
Les valeurs à attribuer pour chaque règle de sécurité invoquée seront entre 0 et 5 :N/A - Non applicable
0 - Pratique inexistante
1 - Pratique informelle : Actions isolées
2 - Pratique répétable et suivie : Actions reproductible
3 - Processus définis : Standardisation des pratiques
4 - Processus contrôlés : des mesures quantitatives
5 - Processus continuellement optimisés
υωModğle de Rapport d'Audit de la SĠcuritĠ des Systğmes d'Information ©ANSI 2019
Annexe 7 :
Projet Action Priorité Responsable
de l'actionCharge (H/J) Planification
Projet 1 :
Action 1.1 :
Action 1.2 :
Action 1.3 :
Projet 2 :
Action 2.1 :
Action 2.2 :
Action 2.3 :
Projet n :
Action 2.1 :
Action 2.2 :
Action 2.3 :
quotesdbs_dbs50.pdfusesText_50[PDF] comment faire un bilan comptable association
[PDF] comment faire un bilan de séance eps
[PDF] comment faire un bilan fonctionnel ? partir d'un bilan comptable
[PDF] comment faire un bon recouvrement
[PDF] comment faire un bon texte de rap
[PDF] comment faire un bulletin scolaire sur word
[PDF] comment faire un cas pratique en droit
[PDF] comment faire un changement d'adresse ? la banque postale
[PDF] comment faire un commentaire de texte
[PDF] comment faire un compte rendu de réunion
[PDF] comment faire un compte rendu de tp physique
[PDF] comment faire un compte rendu de visite d'entreprise
[PDF] comment faire un corpus
[PDF] comment faire un corpus stmg