GUIDE DAUDIT DE LA SÉCURITÉ DES SYSTÈMES DINFORMATION
1 oct. 2015 de la Sécurité des Systèmes d'information (DNSSI) ce guide élaboré par la DGSSI traite la démarche à mener afin de réaliser un audit de la ...
Guide dhomologation des systèmes dinformation sensibles des
8 nov. 2021 dans ce guide sont livrées en l'état et adaptées aux menaces au jour de leur ... Audit de la sécurité du système d'information sensible .
REFERENTIEL DEXIGENCES RELATIF A LA QUALIFICATION DES
1 oct. 2021 des prestataires d'audit qualifiés par la direction générale de la sécurité des systèmes d'information (DGSSI). L'objectif de ce document est de ...
GUIDE RELATIF A LA SECURITE DES SYSTEMES D
Pour faire face aux enjeux et aux risques croissants qui entourent les systèmes d'informations industriels la DGSSI a élaboré le présent guide qui a pour.
Document confidential DGSSI
renforcement de la sécurité de leurs systèmes d'information ; Les critères de qualification des prestataires d'audit et les modalités de.
GUIDE DE GESTION DES RISQUES DE LA SÉCURITÉ DES
12 déc. 2014 de la Sécurité des Systèmes d'information (DNSSI) ce guide élaboré par la DGSSI traite la démarche d'analyse de risques de la sécurité des ...
GUIDE RÉGISSANT LA SÉCURITÉ RELATIVE À L
12 déc. 2014 de la Sécurité des Systèmes d'information (DNSSI) ce guide élaboré par la DGSSI traite les bonnes pratiques relatives à l'externalisation ...
DIRECTIVE NATIONALE DE LA SECURITE DES SYSTEMES D
PRISES EN COMPTE DE L'AUDIT DU SYSTEME D'INFORMATION l'application de la DNSSI ainsi que les guides techniques d'implémentation des différentes.
Loi 05-20 relative à la cybersécurité
25 juil. 2020 la sécurité d'un système d'information en altérant la ... exploitation faire l'objet d'un audit de sa sécurité.
Document confidential DGSSI
renforcement de la sécurité de leurs systèmes d'information ; Les critères de qualification des prestataires d'audit et les modalités de.
Guide pratique du CHAI - economiegouvfr
de la Sécurité des Systèmes d’information (DNSSI) ce guide élaboré par la DGSSI traite la démarche à mener a?n de réaliser un audit de la sécu-rité des systèmes d’information Il est destiné à évoluer avec les usages mais aussi avec vos contributions et retours d’expérience Les recomman-
Searches related to guide d audit de la sécurité des systèmes d information dgssi
présent guide sert de référence aux organismes publics lors de la mise en œuvre d’un audit de la sécurité de l’information À cet effet il propose une approche par étapes qui peut être adaptée aux besoins particuliers de chaque organisme
ROYAUME DU MAROC
ADMINISTRATION DE LA DÉFENSE NATIONALE
DIRECTION GÉNÉRALE DE LA SÉCURITÉ DES SYSTÈMES DNFORMATIONGuide homologation
vitale 1Informations
AVERTISSEMENT
05.20 relative à la cybersécu
tions citées reprises sans adaptation sur les systè tème concerné. PERSONNES AYANT CONTRIBUÉ À LA RÉDACTION DE CE DOCUMENT :Rédigé par Version Date
DGSSI 1.0 08/11/2021
ÉVOLUTION DU DOCUMENT :
Version Date Nature des modifications
1.0 08/11/2021 Version initiale
PUBLIC CONCERNÉ PAR CE DOCUMENT :
POUR TOUTE REMARQUE :
Contact Email
DGSSI contact@dgssi.gov.ma
2Sommaire
I. Introduction et contexte .................................................................................................................... 3
II. Acteurs de la dé ........................................................................................... 3
III. ............................................................................................................. 3
IV. ................................................................................................................ 4
1. Phase 1 .................................................................................... 4
1.1. Planning .............................................................................................................................. 4
1.2. Document de planification de ...................................................................... 4
1.3. ....................................................................................................... 4
2. Phase 2 : Maîtrise des risques ...................................................................................................... 5
2.1. Gestion des risques .............................................................................................................. 5
2.2. ......................................................... 6
2.3. Définition du répertoire des risques résiduels ....................................................................... 6
3. Phase 3 .............................................................................................. 6
3.1. ................................................................................................ 7
3.2. ............................................................................ 7
3.3. ..................................................................................................... 7
3.4. C .................................................... 7
4. Phase 4 .............................................................................. 7
4.1. ....................................................................................................... 7
4.2. Maintien en conditions de sécurité ....................................................................................... 8
.......................................................... 9 Annexe 2 : Liste des documents pouvant être contenus dans le dossier ..............10Annexe 3 : Liste des menaces .....................................................................................................12
Annexe 4 : Identification des actifs informationnels ....................................................................14
Annexe 5 ......................................................................16 3I. Introduction et contexte
La loi n° 05-20 relative à la cybersécurité dispose dans son article 19 sensible (SIS) sécurité avant sa mise en exploitation.Cette homologation est destinée à faire connaître aux responsables des IIV les risques liés à
e leurs systèmes sensibles. e démarche qIIV. Cette décision constitue un acte formel par lequel il :Le présent guide détaille
II. plusieurs acteurs auxquels sont associés différents rôles et niveaux de responsabilité. qui atteste de sa connaissance du SIS et des mesures de sécurité vre, accepte les risques résiduels .Cette équipe peut regrouper des acteurs internes et externes . Elle est constituée notamment des
personnes suivantes :Le responsable du ormation ;
l'intégration, de la modification et de la maintenance du système d'information ;Le responsable de l ;
Les prestataires, en fonction de leur statut (interne ou externe), peuvent être intégrés à
oduire des livrables qui seront versés au dossierIII. P
La délimitation du périmètre permet de déterminer et de caractériser précisément le SIS à homologuer.
Ce périmètre comprend notamment :
- La situation géographique et physique : Localisation géographique et caractéristiques des locaux. produits de sécurité, gestion des droits, dispositifs de détection et de gestion des incidents ; - Les éléments techniques : 4 tamment lorsque ces opérations sont effectuées par des prestataires externes. rapidement à une délimitation stable de celui-ci.En cas de systèmes interconn
IV. Démarche
Lhomologation est le processus permettant de vérifier que la sécurité a été prise en compte avant la mise en service dun sensible en appliquant les mesures de sécurité nécessaires et appropriées. Elle permet de un système, dans le contexte de son utilisation, sont connus et maîtrisés de manière active, préventive et continue. La démarche, de quatre phases, présentée dans ce guide, permet l de préparer le de1. Phase 1 : Planification de l
1.1. Planning
SIS. La
démarche d à la , de conception . Le planning doit contenir les échéances prévues pour les différentes phase,à savoir :
- La date de lancement de la démarche ; - La date de début et de - Les dates de remise des différents documents constituant le ; - Les dates des réunions des différents acteurs de l - Les dates des éventuels audits du système ; - La domologation du système ; - La date de mise en service du système. 1.2. la démarche d document qui, notamment : - décrit le système en se référant annexe 1 ci-jointe ; - d ; - délimite le périmètre de l ; - fixe le planning de l - fournit une estimation du coût de l.1.3. Dossier dhomologation
, , est constitué de documents permettant à ce dernier de prendre la décision . Il estalimenté pendant toutes les phases de homologation, essentiellement avec des pièces et justificatifs
5nécessaires à la conception, à la réalisation, à la validation du projet ou à la maintenance du SIS après sa
mise en service.annexe 2 du présent guide présente la liste non exhaustive des documents pouvant être contenus dans
le marqué, protégé et conservé de manière appropriée.2. Phase 2 : Maîtrise des risques
Le but de cette deuxième phase
sensible visant à être homologué, de les hiérarchiser et de déterminer des objectifs qui
Cette phase consiste en :
1. La gestion des risques simplifié selon " le guide de gestion des risques de la sécurité des systèmes
n » élaboré par la DGSSI ou détaillée selon une méthodologie reconnue (EBIOS,OCTAVE, MEHARI, etc.) ;
2. le ;
3. La définition du répertoire des risques résiduels.
2.1. Gestion des risques
La gestion du risque est le processus
permettant de déterminer les mesures de sécurité permettant de couvrir ces risques identifiés.
Le guide de gestion des risques précité détaille la méthodologie permettant deffectuer le processus
précité. Les étapes suivantes permettent de réaliser une analyse des risques simplifiée :
1. Utiliser la liste des menaces courantes présentée à annexe 3 de ce guide
accidentel, délibéré ou environnemental ;2. Ecarter les menaces qui ne sont pas pertinentes dans le contexte du système ;
3. Déterminer les actifs informationnels primordiaux qui pourraient être affectés pour chaque menace
conservée. annexe 4, ci-joint, présente les informationnels ;4. Det la confidentialité de cet actif et cela pour
chaque lien identifié entre une menace et un actif informationnel. Il en découlera un scénario de
risque.5. Hiérarchiser
est le plus pénalisant.ces 5 étapes, si un scénario aboutit à un impact très fort, il est recommandé denvisager
dentreprendre une démarche danalyse de risque plus approfondie (EBIOS, MEGHARI, OCTAVE, etc.).Une fois le de risque achevée, il convient de définir, implémenter et contrôler les mesures de
sécurité permettant de couvrir les risques identifiés. de lest appelée à se prononcer afin de les amener àun niveau acceptable. Pour le traitement de ces risques, il convient de choisir parmi les options suivantes :
- Eviter le risque : en le contournant à travers des actions spécifiques (changer le contexte de telle
, supprimer ; - Réduire le risque : en prenant des mesures de sécurité supplémentaire la vraisemblance ;- Maintenir le risque : en supportant les conséquences éventuelles sans prendre de mesure de sécurité
supplémentaire ; 6- Transférer le risque : en le partageant avec un tiers (assureur, sous-traitant, etc.) capable de le gérer
assumer. Il est à rappeler que plusieurs options peuvent être choisies pour chaque risque. -après, et de - Le rapport ; - La liste des . 2.2.A ce stade, ldes risques est effectuée, les objectifs de sécurités sont établis et les mesures de
sécurité sont appliquées. Il est préconisé de la gestion des risques et la réalité, en réalisant un audit de la sécurité du système . Selon les fonctions et les caractéristiques du système information - Audit organisationnel et physique ; - Audit de configuration ; - Audit de code ; - Tests ; - Audit des systèmes industriels.Cet audit peut intervenir à tout moment du cycle de vie du système : en amont, avant la mise en service
voir au cours de la conception, mais également en aval, si le système est déjà opérationnel.
Les résultats
annexe 2 de ce guide.2.3. Définition du répertoire des risques résiduels
Les risques qui demeurent non couverts après la gestion des risques et sont considérés comme des risques résiduels. Ils sont identifiéset inscrits dans un répertoire des risques résiduels qui précise les raisons justifiant leurs acceptations. Ce
répertoire recense lesdits risques en indiquant leurs degrés de criticité, leurs impacts ainsi que les actions potentielles pouvant les corriger.3. Phase 3 :
Durant la troisième phaseée et signée par le responsable du point de vue de la sécurité : - autorise formellement l'exploitation du système d'information, ou ;- autorise provisoirement l'exploitation du système d'information sous réserve de respecter des
s visant à maintenir et à améliorer le niveau de sécurité du système dans le temps), ou ; - r au minimum les éléments référencés ci-dessous :1. Le périmètre de l ;
2. Les c ;
3. La d ;
4. Le cas échéant, les c.
Le modèle de annexe 5, ci-jointe.
73.1. Périmètre de l
Il doit au moins tenir compte des éléments suivants : - Périmètre géographique et physique (localisations géographiques, locaux, etc.) ; produits de sécurité, etc.) ;- Périmètre technique (cartographie, architecture détaillée du système, prestataires, etc.).
3.2. L s visant à maintenir et à améliorer le niveau de sécurité du système dans le temps.3.3. Dn
re réexaminée aumoins à la fin de cette échéance ou lors de chaque événement ou évolution de nature à modifier le contexte
décrit dans le dossier d'homologation. Cette durée doit prendre en compte la sensibilité des risques
résiduels, sensible aux nouvelles menaces, ainsi que les enjeux de sécurité du système .Lorsque l'urgence le requiert, une homologation provisoire peut être établie pour une durée de six (06)
s risques. 3.4. Durant la durée de l reste valide tant que le systèmeLes changements, décrits ci-après, doivent impliquer un réexamen du dossier, pouvant conduire à une
- sensible ; - ure ; - Succession de modifications mineures ; - Non-- Changement du niveau de sensibilité des informations traitées et, plus généralement, du niveau du
risque ; sécurité.4. Phase 4 : Suivi et maintien dhomologation
Durant cette dernière phase, il est nécessaire de périodique répertoire des risques résiduels. e réunisse régulièrement.4.1. Suivi de l
8 À la suite de la décision , l doit veiller au maintien du niveaude sécurité du système et à la réalisation annuelle du suivi de suivi doit rester simple et
se limiter à une mise à jour du dossier et à une analyse succincte des évolutions et des incidents intervenus
au est régulièrementcomplété par les éventuelles analyses de vulnérabilités, les comptes rendus de contrôle et les rapports
4.2. Maintien en conditions de sécurité
respectées dans le temps. À ce titre, de l également assurer une veille technologique. Celle- vulnérabilités qui apparaîtraient sur le système et notamment les plus sérieuses. 9Annexe 1 :
dernier : - Inventaire des actifs informationnels qui composent le SIS ; - Interconnexion du SIS ; - Architecture et cartographie réseau du SIS : o La cartographie physique. qui correspond à la répartition géographique des équipements o La cartographie logique. entre ceux-ci, principaux équipements actifs informationnels, etc.). Elle fait notamment ternet ; o La cartographie des applications. Le point de vue applicatif correspond aux applications o . Elle représente lepérimètre et le niveau de privilèges des administrateurs sur les ressources du parc
c potentiellement impactée. 10 Annexe 2 : Liste des documents pouvant être contenus dans le dossier 1. Le la démarche d - Une présentation générale du système ; - Le périmètre de l - Le planning de l 2.La PSSI constitue le est un plan d'actions
qui vise à maintenir un certain niveau de sécurité et qui définit les objectifs à atteindre et les moyens
accordés pour y parvenir. 3. n - adapter le processus aux évolutions du projet, notamment pour le planning ; e la démarche ages éventuels).4. Le risques et les objectifs de sécurité
Ce rapport de la gestion des risques de la phase 2 et présente les caractéristiques suivantes : - Il décrit les besoins et objectifs de confidentialité par rapport aux menaces identifiées ;- Il indique la nature et la sensibilité des informations traitées par le système et précise les contraintes
qui restreignent la conceptio- Sa rédaction nécessite la participation des acteurs clés du système à homologuer, qui sont interrogés
positivement ou négativement le système. 5.quotesdbs_dbs22.pdfusesText_28[PDF] la lutte contre les collusions dans les marchés publics
[PDF] Sommaire Audit des stocks - cloudfrontnet
[PDF] Fiche n° II1 : Entretien des locaux Fiche n° II2 - CCLIN Est
[PDF] Master Comptabilité, Contrôle et Audit - ESSCG
[PDF] Audit interne et contrôle de gestion
[PDF] Chapitre 3 : Le contrôle des comptes - cloudfrontnet
[PDF] Le contrôle des comptes ou audit - CREG
[PDF] l 'audit externe / fi5 - Plateforme Elsa
[PDF] Cours d Audit Général (S6) Plan du cours Axe 1 : Les concepts
[PDF] Audit de la procédure de gestion du stock emballage - Institut
[PDF] L 'audit interne dans les banques et les relations des autorités de
[PDF] Audit interne et audit externe : renforcer la - Ifaci certification
[PDF] Concept de l audit interne et du développement de celui ci au Maroc
[PDF] Manuel d audit interne