Memoire Online - Rapport d'audit de la sécurité informatique de l'ONT

Notre démarche s'articule autour de la norme ISO 17799 (version 2005). Notre approche méthodologique, basée sur des batteries de questionnaires préétablis et adaptés à la réalité des entités auditées de l'ONT, permettant d'aboutir à une évaluation pragmatique des failles et des risques encourus.

Après la validation du questionnaire auprès de la direction des réalisations et des développements des réseaux, une note sera attribuée à chaque question. La note représentant la maturité des principes de l'organisme est calculée comme suit :

- Un coefficient de pondération est attribué à chaque question posée, ce coefficient porte sur l'efficacité de la règle en matière de réduction du risque.

- Pour chaque principe de la norme, nous calculons une moyenne pondérée des notes obtenues en fonction des réponses choisies et du coefficient d'efficacité.

Nous considérons que le niveau de maturité est satisfaisant en matière de sécurité lorsqu'il atteint le niveau 3.

Le tableau suivant récapitule les notes obtenues pour chaque principe de sécurité :

Réf	Libelle	Niveau 4
Chap.1 : Politique de Sécurité
1.1	Politique de Sécurité de l'information	1,00
Chap.2 : Management de la Sécurité
2.1	Organisation de la Sécurité interne	1,18
2.2	Stratégie de mise en oeuvre	1,20
2.3	Sensibilisation	4
2.2	Sécurité des interventions par des tiers externes	3,14
Chap.3 : Inventaire et Classification des Ressources
3.1	Inventaire des ressources	4,00
3.2	Classification des ressources	2,00
Chap.4 : Sécurité et Ressources humaines
4.1	Sécurité dans la définition des postes et des ressources	0,75
4.2	Formation du personnel à la sécurité de l'information	2,00
4.3	Réactions aux incidents de sécurité et aux défauts de fonctionnement	0,40
Chap.5 : Sécurité physique et Sécurité de l'environnement

Réf	Libelle	Niveau 4
5.1	Etablissement et protection d'un périmètre de sécurité	4,00
5.2	Protection et sécurité du matériel	2,00
Chap.6 : Exploitation informatique et gestion des réseaux
6.1	Procédures d'exploitation et responsabilités	1,45
6.2	"Planification de la Capacité" et recette pour mise en exploitation	4,00
6.3	Protection contre les logiciels pernicieux	3,22
6.4	Sauvegarde et journaux d'exploitation	2,42
6.5	Gestion des réseaux	2,00
6.6	Manipulation et sécurité des supports	1,33
6.7	Echanges d'informations et de logiciels	2,40
Chap.7 : Contrôle d'accès logique
7.1	Expression des exigences de l'établissement en matière de contrôle d'accès logique	3,33
7.2	Gestion des accès des utilisateurs	2,57
7.3	Responsabilité des utilisateurs	2,00
7.4	Contrôle d'accès logique au niveau des réseaux	1,00
7.5	Contrôle d'accès logique au niveau des systèmes d'exploitation	4,00
7.7	Supervision des accès et de l'utilisation des systèmes d'information	4,00

Réf	Libelle	Niveau 4
Chap.8 : Développement et maintenance des applications et systèmes
8.1	Intégration de la sécurité dans les développements	3,00
8.2	Cadre de mise en oeuvre des mécanismes applicatifs et procéduraux de sécurité	1,00
8.3	Cadre de mise en oeuvre des mécanismes cryptographiques de sécurité	0,00
8.4	Sécurité des logiciels en exploitation	2,00
8.5	Sécurité des environnements de développement et d'assistance	3,00
Chap.9 : Gestion de la continuité
9.1	Prise en compte des exigences de disponibilité de l'établissement	1,33
9.2	Mise en oeuvre d'un plan de continuité	2,50
9.3	Maintien en condition opérationnel du plan de continuité de l'établissement	0,00
Chap.10 : Respect de la réglementation externe et interne
10.1	Respect de la réglementation externe	2,38
10.2	Conformité à la réglementation interne	3,50

Dans cette partie, nous allons détailler les insuffisances pour chaque chapitre de la norme.

Rapport d'audit de la sécurité informatique de l'ONT

Chapitre 2