Documente Academic
Documente Profesional
Documente Cultură
Feuil1
Feuil2
Sheet 1: Feuil1
Ref.
Etendue/Objectif
A
A1
Gouvernance et stratgie du SI
Cadre de gouvernance
A2
A3
B1
B2
B3
C1
C2
C3
C4
D1
Mesure de la performance
D2
E1
Politiques gnrales
E2
E3
E4
E5
Sheet 2: Feuil2
Ref. Etendue/Objectif
Tests
Risque
Gouvernance et Stratgie du
SI
A1 Cadre de gouvernance
1- Vrifier si un cadre de gouvernance du SI existe, qu'il est mis Absence du cadre de
Dtails
A3 Planification stratgique et
oprationnelle
simplifications de l'architecture...
- Plan d'architecture : il dfinit la totalit des
processus, des applications/systmes, des services,
l'infrastructure technique (quipements matriels
et serveurs) et les outils dploys pour supporter
la stratgie informatique labore et les objectifs
des mtiers.
B2 Identification et valuation
des risques informatiques
Documents demander :
-) Base de donnes des incidents dtects
-) Les plans daction dattnuation des risques
consistent en la mise en place des contrles
complmentaires ou ajustement des contrles
existants.
projets
C1 Alignement stratgique,
laboration et optimisation
du portefeuille des projets
informatiques
dernier.
7.1- Vrifier que les budgets tablis sont bien respects, que les
projets sont crateurs de valeur et que le ROI est ractualis
pour chaque tape de cycle de vie d'un projet.
7.2- Vrifier que les carts budgtaires sont mesurs et analyss,
que leurs causes sont identifies et que de enseignements
sont tirs afin d'alimenter la base de connaissance en matire de
gestion des projets.
7.3- Vrifier qu'un suivi continuel des tats d'avancement des
projets en cours est maintenu, que les jalons (rgles de passage
d'une phase une autre) sont respects.
7.4- Vrifier que les plans d'action correctifs sont suivis par le
management (en cas de drapage fonctionnel, technique, du
planning ou du budget) et que des mesures de rorganisation
des ressources et/ou d'ajustement du planning et du budget
sont prises. (suite)
8- Vrifier si une mthode d'valuation globale du portefeuille
des projets existe afin d'alimenter la base de connaissance en
matire de gestion des projets informatiques.
1- Vrifier que d'valuations des fournisseurs et des contrats de
services sont tablies sur la base des critres suivants :
importance, criticit et performance attendue. (Benchmarking)
2- Vrifier que les fournisseurs et les contrats sont enregistrs et
classs dans une base de donnes, et qu'un registre dtaill
des fournisseurs les plus privilgis (des fournisseurs fiables et
comptitifs grer avec soin) est maintenu jour.
3- Vrifier que les conditions des contrats dfinissent en dtaille
les droits et les obligations de toutes les parties.
4- Vrifier que les contrats font objet d'un examen juridique
spcifique, qu'ils sont conformes aux normes et exigences
rglementaires et juridiques de l'entreprise..
5- Vrifier que les risques associs aux services (faisant objet de
contrats de service) sont identifis, et grs au niveau des
conditions des contrats (contraintes de confidentialit, de
scurit, rglementaires, conventions d'entretien et de
maintenance,
des clauses de ddommagement ...), ou que des solutions
alternatives (fournisseurs alternatifs) sont prvues.
6- Vrifier que des examens priodiques de la qualit, la
scurit, la performance des services offerts pars des fournisseurs
sont
tablis, et que des mises au point en rsultent si ncessaire.
Contrats de service :
- contrats de maintenance
- outsourcing
Mesure de la performance,
Reporting et Tableau de bord
D1 Mesure de la performance
D2 Reporting et Tableau de bord 1- Vrifier que des mesures des rsultats et de la performance du Absence de Help Desk et de
Exemples de rapports :
- Rapport de la performance du SI (applications
et services)
- Rapport de la performance du personnel de la
DSI
- Rapport des pannes et problmes enregistrs
(matriels et logiciels)
- Rapport de la satisfaction des utilisateurs du SI
(service Help Desk)
Non vrification de l'unicit des une seule fonction dans une application/ un
identifiants des utilisateurs
service (qui grent les ressources) ou directement
- redondance d'identifiant
aux ressource).
- conflits d'accs
Exemples de "rles applicatifs" :
- administrateur - administrateur dlgu utilisateur standard - ...
un "rle applicatif" est associ les lments
suivants :
- les modes d'authentification autoriss
- les primtres d'accs autoriss
- la cardinalit (nombre d'occupants maximum
autoriss)
- la sparation statique des pouvoirs (rles interdis
de cohabitation)
Diffrents modles existent pour attribuer des
rles un utilisateur :
- Modle RBAC (Roule Based Access Control)
- Modle RBAC Hirarchique
- Modle RBAC avec contraintes
Le profil utilisateur : permet d'identifier
l'ensemble des "rles applicatifs" associs un
utilisateur pour l'utilisation d'une application/
d'un service, d'une ressource ou de
l'environnement (visibilit mtier des utilisateurs).
Un profil fonctionnel regroupe l'ensemble des
"rles applicatifs" ncessaires l'excution d'une
fonction mtier, c'est un package des rles
attribus un seul utilisateur.
Remarque : un utilisateur peut avoir plusieurs
profils fonctionnels
Les primtres d'accs autoriss peuvent tre
temporels, gographiques ou fonctionnels.
La sparation des pouvoirs permet de s'assurer
que l'utilisateur ne dispose pas des droits associs
des rles incompatibles. (Exclusion mutuelle de
certains rles).
E3 Politiques de modification
des droits d'accs
1- Vrifier que les profils, les rles et les droits d'accs d'un
employ sont mis jour en cas de changement de fonction.
2- Vrifier que les comptes utilisateurs et les droits d'accs sont
rviss priodiquement en fonction d'un inventaire rgulier des
donnes et des documents sensibles.
3- Vrifier que les mots de passe utilisateurs sont modifis selon
une cadence bien dtermine (3 mois pour les privilges
sensibles et 6 mois pour les privilges ordinaires).
1- Vrifier qu'aucune donne n'est associe au compte
utilisateur supprimer (impossibilit de supprimer
automatiquement un
compte utilisateur une fois qu'il a saisi des donnes que suite
une procdure formelle approuve par la DG.
2- Vrifier que les administrateurs (seuls) ont tous les droits pour
bloquer l'accs un utilisateur et/ou dsactiver un compte.
3- Vrifier que la suppression du compte utilisateur et des droits
d'accs s'effectue manuellement et que des rgles de
contrle et de confirmation existent pour chaque tape.
4- Vrifier que tous les droits d'accs d'un employ partant sont
bien supprims.
5- Vrifier qu'un inventaire priodique des profils et des comptes
utilisateurs est effectu afin d'identifier et d'liminer ceux qui
sont
obsoltes ou qui ne correspondent plus un employ ou son
titre et sa fonction actuels.
1- Vrifier que les exigences de scurit associes aux accs
(l'authentification, l'autorisation, la traabilit, l'audibilit, la
confidentialit, l'intgrit et la disponibilit) sont communiques
et bien respectes par les utilisateurs du SI.
2- Vrifier que les utilisateurs sont invits personnaliser les
paramtres d'authentification (qui leurs sont envoys par les
administrateurs) lors du premier accs.
3- Vrifier si une dclaration de confidentialit de mot de passe
est signe par les utilisateurs.
4- Vrifier qu'un service pour le changement / la rinitialisation
de mot de passe (self-service) est accessible depuis le rseau
pour
les ressources non critiques (tout en s'assurant d'abord de
l'identit de l'utilisateur en demandant son ancien mot de
passe).
Vrifier que ce service est contrl par l'administrateur.
5- Vrifier qu'une procdure formelle est suivie pour le
changement des mots de passe pour toute ressource sensible.
6- Vrifier que des lignes directrices sont tablies et
communiques aux utilisateurs afin de les aider choisir et
maintenir des mots
de passe scurises (qui rpondent la politique de scurit
dveloppe).
7- Vrifier que les systmes et les rseaux sensibles sont protger
par des environnements informatiques isols.
8- Vrifier que les accs aux ressources sensibles ne sont
possibles que suite une authentification scuris et que les
donnes
critiques sont sauvegardes en mode cryptage.
9- Vrifier si des outils (centraliss) de contrle et de limitation
des accs ainsi que de filtrage du trafic sont dploys au niveau
des quipements et rseaux informatiques, tels que : proxy, parefeu, anti-spyware, anti-malware, antivirus ...
10- Vrifier si des automates (contrles automatiss) de scurit
sont dvelopps pour scuriser les accs. (Exemples :
identification automatique des utilisateurs, dconnexion
automatique des sessions, forcer le chemin aux services autoriss
par
utilisateur, masquer les mots de passe lors de saisie, bloquer
l'accs simultan avec un seul compte utilisateur...)
11- Vrifier si les bonnes pratiques de scurit d'utilisation des
ressources et des accs aux rseaux de l'entreprise sont bien
communiques aux utilisateurs. (Exemples : fermeture de session
en fin de session, charte d'utilisation des rseaux, des
services, des ressources partages et de l'internet, ...)
12- Vrifier que la scurit des accs externes et des transferts
des donnes sensibles est renforce par des moyens tels que :
la cryptographie, les certificats numriques, ...
13- Vrifier que les politiques de scurit prennent en
considration les risques engendres par l'utilisation des
quipements tels
que : les ordinateurs portables, les tablettes et tout autre
quipement mobile, que des formations de sensibilisation des
utilisateurs sont planifies et que des mesures d'attnuation des
risques sont mis en uvre (limitation des accs).
14- Vrifier que des procdures de dtection des vnements
suspects (Exemple : dpassement d'un nombre d'essai limite de
ressaisie de mot de passe erron, ...) sont mise en place et que
des signaux d'alarme seront mis instantanment.
15- Vrifier que des fichiers "log" traant les activits des
administrateurs, les accs aux donnes de haute sensibilit, les
exceptions, les anomalies et tout vnement suspect signal par
les utilisateurs, sont enregistrs pour une priode (suite)
convenue afin d'tre un support pour des ventuels contrles et
audits des accs.
16- Vrifier que les serveurs de sauvegarde des fichiers "log" sont
synchroniss sur une horloge atomique de rfrence (par le
biais d'un protocole NTP (Network Time Protocol)).
17- Vrifier que les accs aux sites sensibles (salles des serveurs
ou emplacements critiques) sont bien scuriss par des
moyens tels que : portes verrouilles par des mots de passe,
cartes magntiques, badges, ... en fonction des rles et
responsabilits des employs.