1.

Politique de sécurité de l’information

1. Y a-t-il une politique de sécurité écrite et disponible pour tout le personnel ?

2. La politique de sécurité spécifie t-elle clairement les objectifs de sécurité de l’organisme,

ainsi que des mesures de révision ?

3. Cette politique de sécurité est-elle revue à intervalles réguliers ou lors du changement

significatifs, afin d’assurer le maintien de sa pertinence et de son efficacité ?

4. Quelles sont les règles et principes de sécurité qui figurent dans la politique de sécurité :
Charte de sécurité, procédures……….

5. Est-ce que la politique de sécurité a été élaborée en tenant compte du principe

avantages/coûts ?

6. Est-ce que cette politique fait référence à des documents qui aident dans la
compréhension et le respect de cette dernière ?

7. La politique de sécurité de l’organisme définie-t-elle :

 Une structure en charge de la définition de la politique de sécurité des systèmes
d’information ainsi que de sa mise en place ?
 Un plan de continuité d’exercice, une éducation aux exigences de sécurité et aux
risques de sécurité, les conséquences d’une violation des règles de sécurité ainsi
que les responsabilités des incidents de sécurité ?
 Une structure chargée de l’évaluation des risques et de leurs gestions ?
 Des principes de sécurité de l'information tel qu’ils soient conformés à la stratégie
d'affaires et aux objectifs de l’organisme ?

8. Etablit-on annuellement un plan de sécurité des systèmes d’information regroupant

l’ensemble des plans d’action, moyens à mettre en œuvre, planning, budget ?

9. La politique de sécurité bénéficie-t-elle de l’appui de la direction générale ?

10. Est-ce que cette politique a un propriétaire qui est responsable de sa revue et
maintenance selon un processus prédéfini ?

11. Est-ce que le processus de revue est déclenché suite à des changements affectent le
recensement du risque tel que :
 Des incidents de sécurité grave
 Nouvelle vulnérabilité
 Changement dans l’organigramme
 Inefficacité des mesures mises en place
 Evolutions technologiques

12. L’organisation et la gestion de la sécurité sont-elles formalisées dans un document

chapeau couvrant l’ensemble du domaine pour le projet ?

13. Une démarche de certification iso 27002 a-t-elle été prévue pour le projet ?

2. Organisation de la sécurité de l’information

Quelles sont les fonctions définies dans la politique de sécurité ?

Directeur responsable de la sécurité générale
 Responsable spécialiste de la sécurité physique
Responsable spécialiste de la sécurité fonctionnelle et informatique
Les objectifs de sécurité sont ils identifiés, intégrés à la politique globale de
l’organisme, et sont ils en concordance avec les objectifs de l’organisme ?

Les règles de sécurité précisent t-elles une définition claire des tâches, rôles
spécifiques affectation des responsables de sécurité de l’information ?

Existe t-il une coordination de l’exécution des tâches de sécurité des différentes entités
en charge de la sécurité de l’information au sein l’organisme ?
Les informations confidentielles à protéger sont elles identifiées ?
Existe t-il une politique de révision et de documentation de la politique
d’organisation de la sécurité en vue de la mettre à jour ou à niveau ?
Existe-il un comité de sécurité du SI ?
Existe-il un RSSI dans le site, avec une fiche de poste, ainsi qu’une délégation formelle
mentionnant ses attributions et ses moyens d’actions ?
L’entreprise entretien t elle des relations en cas de besoin avec :
Des spécialistes indépendants
Des partenaires
Des autorités publiques
Aucune relation
L’entreprise entretien t elle des relations en cas de besoin avec :
Audit externe
Audit interne
Aucun
L’entreprise dispose t elle d’un mécanisme qui permet :
D’identifier les accès
De classer les accès
De savoir les raisons d’accès
Aucun
Y a-t-il un contrat qui stipule les conditions d’accès et les recours en cas de panne lors
des accès par des tiers ou des sous traitants ?
Les risques dus aux effets externes sont ils identifiés ?
En cas d’externalisation l’entreprise précise t elle dans un contrat les clauses relatives à:
La sécurité des valeurs de l’organisation
La sécurité physique
L’existence d’un plan de secours
Aucun
L’organisation de la sécurité est-elle formalisée dans un document ?
Une politique de confidentialité a-t-elle été élaborée dans le cadre de ce projet ?
Des révisions périodiques de la mise en oeuvre de la gestion de la sécurité sont-elles
prévues ?
3. Gestion des biens

Existe-t-il un inventaire des biens du projet ?

Existe-t-il une classification des biens par rapport à leurs critères de sensibilité (en
termes de disponibilité, d’intégrité et de confidentialité) ?
Les actifs de l’organisme sont ils identifiés répertoriés ?
Est-ce qu’on a prévu une classification des informations selon leur importance ?
A chaque actif est-il associé un propriétaire qui doit en assurer également la
responsabilité ?
Quelles sont les valeurs critiques de l’entreprise ?
Les personnes
Le matériel
Les logiciels
Les données
Les services
Les sous réseaux
L’image de marque et réputation
L’entreprise procède t elle régulièrement à un inventaire de ces avoirs ?
Existe-il des fiches concernant les mouvements ?
(date d’entrée, date de sortie, date de mouvement, destination, provenance)
Les informations sensibles bénéficient elles des procédures définissant leurs
conservations ou destruction ?
Le matériel informatique est-il inventorié par un élément identifiable et unique ? (ex :
n° de série ?
Le matériel en prêt est-il clairement identifié sur l’inventaire ? (nom de la personne
ayant fait l’emprunt)
Existe-t-il un stock inventorié d’équipements et de pièces détachées de secours ?
Les logiciels installés ont-ils tous une licence d’acquisition ?
Contrôlez-vous si des logiciels autres que ceux de votre inventaire sont installés ?
(logiciels pirates)
Est-ce qu’il y a un responsable de la bonne tenue des inventaires ?
Existe-il des règles d’utilisation des biens et des services d’information ?
Existe-il une procédure pour la dé-classification des biens d’information ?
Existe-il des procédures de manipulation des biens d’infirmation par des personnes
externes à l’organisation ?
4. Sécurité liée aux ressources humaines
Le contrat employeur employé tient il compte des responsabilités de l’employé vis-à-
vis de la sécurité de l’organisme ?
L’organisme s’accorde t-il les moyens de vérifier l’authenticité et la véracité des
diplômes et documents fournis par les potentiels futurs employés ?
Le personnel est il informé de ces responsabilités vis-à-vis de la sécurité des
actifs :
Avant l’embauche,
Pendant la période de son exercice,
Après remerciement ?
Y a t il une politique de rotation du personnel occupant des taches clefs ?
Existe-t-il des sessions d’information du personnel sur la sécurité des systèmes
d’information de l’organisme ?
Le responsable de sécurité est il formé aux nouvelles technologies ?
Est-ce que le personnel a signé un document de confidentialité des informations lors de
l’embauche ?
Existe-t-il des procédures disciplinaires pour les employés sources de failles de sécurité
?
Y a-t-il une procédure de revue de ce document, surtout en cas de départ ou une fin de
contrat ?
Est-ce que les sous traitants ou le personnel contractuel a signé un document pareil ?
Est-ce que tout le personnel est informé vers qui et comment rendre compte des
incidents de sécurité ?
Y a-t-il une procédure d’apprentissage des accidents et des failles de sécurité ?
A-t-on organisé régulièrement des tests pour vérifier le degré d’assimilation du
personnel de la politique de sécurité ainsi que sa culture en informatique.
5. Sécurité physique et environnementale
La situation géographique de l’organisme tient elle compte des risques
naturels ou industriels ?
Le câblage électrique est il conforme aux règles de sécurité ?
Est-ce qu’une analyse de risque a été effectuée pour évaluer la sécurité physique de la
société ?
Parmi ces procédures quels sont ceux qui figurent dans la protection physique des
locaux :
Contrôles des portes d’entrée
Clôtures hautes
Attribution des badges
Contrôle à la sortie
Caméra de surveillance
Limitation d’accès
Est-ce que des mesures de sécurité particulière ont été instaurées pour le centre
informatique ? (si oui commenter...)
Par badge………………………………………………………………………………
Y a-t-il une réglementation spéciale contre le fait de fumer, boire, et manger dans les
locaux informatiques ?
Existe-il une protection de câblage informatique et de télécommunication à l’égard des
risques électrique ? (variation de tension…)
Les équipements acquis suivent ils une politique de maintenance ?
Existe-t-il un système de protection contre les coupures et les micros coupures ?
Si oui lesquels ?.............................................Onduleurs…………………………………
Existe-t-il un système de climatisation conforme aux recommandations du constructeur
?
Y a-t-il une procédure de crise en cas de long arrêt ? (favoriser quelques machines sur
d’autres…)
Quelles mesures de sécurité contre l’incendie figurent parmi ces mesures :
Existence d’un système de détection automatique d’incendie pour l’ensemble de
bâtiment
Existence d’un système d’extinction automatique pour les salles d’ordinateur
Existence d’extincteurs mobiles
Existence des meubles réfractaires pour le stockage des documents et des supports
informatique vitaux
Formation et information du personnel
Visite des pompiers pour prendre connaissance de la configuration des locaux
A-t-on prévu des systèmes d’évacuation en cas d’incendie ?
Est-ce que vous êtes assuré que l’eau ne peut envahir les locaux ?
Est-ce qu’un système de détection d’eau est instauré ?
Est-ce qu’un système d’évacuation d’eau est instauré ?
Existe-t-il une documentation liée à la sécurité physique et environnementale ?
6. Gestion des communications et de l’exploitation
Est-ce qu’il y a des procédures formelles pour les opérations d’exploitation : backup,
maintenance et utilisation des équipements et des logiciels ?
Existe-t-il une distinction entre les phases de développement, de test et
d’intégration d‘applications ?
Existe-t-il une protection contre les codes malicieux (malveillants) (virus, vers, cheval
de Troie,….) ainsi qu’une mise à jour périodique et constante de ces derniers ?
Est-ce qu’il y a des procédures formelles pour la prévention contre la détection et la
prévention contre les logiciels malicieux ?
Y a-t-il une procédure définie pour la gestion des incidents ?
Est-ce que le backup est périodiquement effectué ?
Est-ce qu’il y a des recommandations écrites interdisant : l’utilisation des logiciels sans
licence et le non respect des droits d’auteur ?
Y a-t-il des procédures écrites pour la gestion des supports détachables ?
Y a-t-il une politique précise pour se débarrasser des documents ?
Y a-t-il une politique de sécurité pour email ?
Existe-t-il un système antiviral contre les virus et les vers ?
Est-ce que l’antivirus est régulièrement mis à jour ?
L’échange d’infirmations sur le réseau ainsi que les transactions en ligne sont elles
sécurisée ?
Avec quel mécanisme de sécurité ?
Droit d’accès - Certificat Numérique
- Protocole SSL

Existe-t-il une DMZ qui se distingue parfaitement du réseau interne de l’organisme ?

7. Contrôle d’accès
A-t-on prévu de protection logique pour les ressources informationnelles vitales ?
Les accès aux locaux (sensibles ou pas) sont ils contrôlés, enregistrés et analysés à
travers des logs ?
Existe-t-il une politique qui hiérarchise les autorisations d’accès ?
Un ancien employé perd t-il ces droits d’accès aux locaux et aux informations
sensibles de l’organisme ?
L’accès distant (logique) au réseau informatique est-il protégé ? Par quel
équipement ou outil ou mécanisme ?
L’accès au système est il contrôlé par un dispositif d’identification et d’authentification
?
Existe-t-il un dispositif de revue des droits d’accès à des intervalles réguliers ?
Est-ce que les terminaux sensibles sont équipés d’un économiseur d’écran avec mot de
passe ?
Est-ce que les utilisateurs verrouillent leur session de travail avant de quitter leur poste
de travail même pour quelques instants ?
Les mots de passe sont-ils affectés individuellement ?
Y a-t-il des conditions à respecter lors du choix des mots de passe (ex : min 6
caractères…) ?
Un ancien employé perd t-il ces droits d’accès aux informations et locaux ?
Y a-t-il une suite aux tentatives d’accès infructueuses ?
A- t-on prévu des limitations contre :
L’utilisation des applications
Le téléchargement d’application
L’utilisation des disquettes, CD…
8. Développement et maintenance des systèmes
Existe-t-il des procédures de validation des changements réalisés sur les programmes ?
La garantie de la confidentialité, l’authenticité et l’intégrité de l’information
s’effectue-t-elle au moyen de signature électronique ou de cryptographie ?
La sécurité de la documentation du système d’information est elle assurée ?
Est-ce que les programmes sont contrôles contre les portes dérobés et chevaux de trois
?
Est-ce que les programmes sont contrôles contre les portes dérobés et chevaux de trois
?
S’assure-t-on que l’équipement à acquérir répondra aux besoins exprimés ?
S’assure-t-on de la non régression de service lors du développement ou de l’intégration
des nouveaux services ?
Existe-t-il une politique de maintenance périodique et assidue des équipements ?
9. Gestion des incidents
Existe-t-il une politique de gestion des incidents ?
Les potentielles faiblesses descellées font elles objet de rapport complet et détaillé ?
La résolution des incidents se fait elle de façon cohérente ?
Existe-t-il un rapport détaillé des incidents qui surviennent ?
Existe-t-il une politique de réparation des responsabilités en cas d’incident ?
Les actions à entreprendre pour la résolution des incidents sont elles définies ?
10. Gestion de la continuité d’activité
Est-ce que l’organisme a développé un plan de secours ?
Existe-t-il un plan stratégique basé sur une analyse du risque détaillant le plan
d’urgence ?
Les données sauvegardées sont-elles mise à jour périodiquement ?
Est il défini des critères spécifiant les ayant accès à ces données ?
Existe-t-il une politique de sauvegarde d’autres actifs de l’organisme ?
Existe t-il une (des) alarme(s) pour l’avertissement lors d’accès aux actifs
sensibles en dehors des heures de travail ou en cas d’accès non autorisés?
Y a-t-il des plans écrits et implémentés pour restaurer les activités et services en cas de
problèmes ?
Existe-t-il des mesures de sauvegarde des actifs (données sensibles), ainsi que de leur
protection ?
Si oui sur quel support ?
Disque, CD
En cas de changement d’équipe de travail, la continuité de service est elle assurée ?
Est-ce que les plans sont testés et maintenus par des revues régulières ?
11. Conformité
Est-ce que chaque système d’information les exigences légales, réglementaires et
contractuelles sont explicitement définies et documentés ?
Existe-t-il un contrôle de la conformité technique ?
Les règles de sécurité appliquées restent elles conforment à une norme
particulière ?
Existe-t-il une procédure définissant une bonne utilisation des technologies de
l’information par le personnel ?
Est-ce que des procédures sont mises en place pour s’assurer du respect de la propriété
intellectuelle ?
Est-ce que les enregistrements importants de l’organisme sont protégés de la perte, la
destruction et falsification ?