Beruflich Dokumente
Kultur Dokumente
Espace Méthodes
MEHARI is an Information security risk management method provided as a knowledge base associated with the following documents:
- manuel de référence des services de sécurité,
- manuel de référence des situations de risque.
Redistribution and use of this knowledge base and associated documentation ("MEHARI"), with or without modification,
are permitted provided that the following conditions are met:
1. Redistributions in any form must reproduce applicable copyright statements and notices, this list of conditions,
and the following disclaimer in the documentation and/or other materials provided with the distribution, and
2. Redistributions must contain a verbatim copy of this document.
MEHARI IS PROVIDED BY THE CLUSIF AND ITS CONTRIBUTORS “AS IS” AND ANY EXPRESSED OR IMPLIED WARRANTIES,
INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE
ARE DISCLAIMED.
IN NO EVENT SHALL THE CLUSIF, ITS CONTRIBUTORS, OR THE AUTHOR(S) OR OWNER(S) OF MEHARI BE LIABLE FOR ANY DIRECT,
INDIRECT,
INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF
SUBSTITUTE
GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY
OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
ARISING IN ANY WAY OUT OF THE USE OF MEHARI EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
The names of the authors and copyright holders must not be used in advertising or otherwise to promote the sale, use or other dealing in Mehari
without specific, written prior permission. Title to copyright in MEHARI shall at all times remain with copyright holders.
Note : this is a permissive non-copyleft free software license that is compatible with the GNU GPL. http://www.gnu.org/
01.21 Accident de nature électrique (court- R02 AC01 min(03A01;03A max(05A02;05A 01D01 D A 0
b circuit), mettant hors service un 04) 08;01E02)
équipement du réseau local
01.21c Accident de nature électrique (court- S01 AC01 min(03A01;03A max(07D01;09E 01D01 D A 0
circuit), mettant hors service un système 04) 01;min(08D06;0
informatique central. 9E02);01E02)
01.22 Accidents dus à l'eau ou à des liquides R01 AC04 03C01 max(04A01;04A 01D01 D A 0
a (fuite d'une canalisation, liquides 07;01E02)
renversés accidentellement, etc.), mettant
hors service un équipement du réseau
01.22 Accidents
étendu dus à l'eau ou à des liquides R02 AC04 03C01 max(05A02;05A 01D01 D A 0
b (fuite d'une canalisation, liquides 08;01E02)
renversés accidentellement, etc.), mettant
hors service un équipement du réseau
local
01.22c Accidents dus à l'eau ou à des liquides S01 AC04 03C01 max(07D01;09E 01D01 D A 0
(fuite d'une canalisation, liquides 01;min(08D06;0
renversés accidentellement, etc.), mettant 9E02);01E02)
hors service un système informatique
central.
01.23 Panne rendant indisponible un R01 AC12 04A01 max(04A01;04A 01D01 D A 0
a équipement du réseau étendu 03)
01.23c Panne rendant indisponible un système S01 AC12 09E01 max(07D01;08D 01D01 D A 0
informatique central (serveur, imprimante, 01)
système de sauvegarde, etc.)
01.24 Accident de nature électrique externe à S01 AC08 03A02 min(08D06;09E 01D01 D A 0
a l'entreprise (court-circuit extérieur, coupure 02)
d'un câble, défaillance extérieure, etc.)
empêchant de fonctionner les systèmes
centraux.
01.24 Accident de nature électrique externe à E01 AC08 03A02 11D07 01D01 D A 0
b l'entreprise (court-circuit extérieur, coupure
d'un câble, défaillance extérieure, etc.)
rendant indisponible l'environnement de
travail des utilisateurs.
01.30Bug logiciel
01.31 Arrêt d'une application critique dû à un bug A01 ER05 08A04 08D02 01D02 D E 0
a système ou à un bug de progiciel
01.31 Arrêt d'une application critique dû à un bug A01 ER06 08A04 10A04 01D02 D E 0
b d'un logiciel interne
01.31c Arrêt d'une application critique dû à un bug A04 ER05 11D02 01D02 D E 0
d'un progiciel spécifique utilisateur
01.40Impossibilité de maintenance
01.41 Défaillance matérielle d'un équipement du R01 AC12 max(04A07;04A 01D01 D A 0
a réseau étendu impossible à résoudre par 08)
la maintenance, ou indisponibilité du
prestataire
01.41 Défaillance matérielle d'un équipement du R02 AC12 max(05A08;05A 01D01 D A 0
b réseau local impossible à résoudre par la 09)
maintenance, ou indisponibilité du
prestataire
01.41c Défaillance matérielle d'un système S01 AC13 max(08D08;min 01D01 D A 0
informatique central impossible à résoudre (08D06;09E02))
par la maintenance, ou indisponibilité du
prestataire
01.61 Petit vandalisme sur les équipements du R02 MA02 03B06 min(03B01;03B 03B04 05A04 01D01 D V 1
b réseau local, par des personnes 02;03B03)
autorisées à pénétrer dans l'établissement
(personnel, sous-traitants, etc.).
01.61c Petit vandalisme sur les systèmes S01 MA02 03B06 min(03B01;03B 03B04 08D01 01D01 D V 1
informatiques centraux, par des personnes 02;03B03)
autorisées à pénétrer dans l'établissement
(personnel, sous-traitants, etc.).
01.61 Vandalisme touchant l'ensemble d'une I01 MA02 03B06 min(03B01;03B max(03B02;0 min(04A03;05A 01D01 D V 1
d salle informatique et télécom, par des 02;03B03) 3B04) 04;08D01)
personnes autorisées à pénétrer dans
l'établissement (personnel, sous-traitants,
etc.).
01.62 Petit vandalisme sur le câblage ou des R01 MA02 03B07 01D01 D V 1
a baies de câblage du réseau étendu, par
des personnes autorisées à pénétrer dans
l'établissement (personnel, sous-traitants,
etc.).
01.62 Petit vandalisme sur le câblage ou des R02 MA02 03B07 01D01 D V 1
b baies de câblage du réseau local, par des
personnes autorisées à pénétrer dans
l'établissement (personnel, sous-traitants,
etc.).
02.20Incendie
02.21 Incendie : accident interne (corbeille à R01 AC03 03D01 min(03D02;0 04A07 01D01 D A 1
a papier, cendrier, etc.) endommageant 3D03)
gravement des équipements du réseau
étendu
02.21 Incendie : accident interne (corbeille à R02 AC03 03D01 min(03D02;0 05A08 01D01 D A 1
b papier, cendrier, etc.) endommageant 3D03)
gravement des équipements du réseau
02.21c Incendie : accident interne (corbeille à S01 AC03 03D01 min(03D02;0 min(08D06;09E 01D01 D A 1
papier, cendrier, etc.) endommageant 3D03) 02)
gravement des systèmes centraux
02.21 Incendie : accident interne (corbeille à I01 AC03 03D01 min(03D02;0 min(04A07;05A 01D01 D A 1
d papier, cendrier, etc.) endommageant 3D03) 08;08D06;09E0
gravement l'ensemble d'une salle 2)
informatique et télécom
02.22 Incendie naissant à l'occasion d'un court- R01 AC01 03D01 min(03D02;0 04A07 01D01 D A 1
a circuit et endommageant gravement des 3D03)
équipements du réseau étendu
02.22 Incendie naissant à l'occasion d'un court- R02 AC01 03D01 min(03D02;0 05A08 01D01 D A 1
b circuit et endommageant gravement des 3D03)
équipements du réseau local
05.14 Altération malveillante des fonctionnalités A02 MA07 07C02 max(min(07A01 09B04 01D02 I V 1
prévues d'une application via une bombe ;07A02;07A03;0
logique ou une porte dérobée, par un 7A04);08B02;08
utilisateur B03)
07 Manipulation de données
07.10Données applicatives faussées pendant la transmission
07.11 Données applicatives faussées pendant la D06 MA08 max(04C01;04C 09B04 01D02 I V 1
transmission sur le réseau étendu par un 02;09B02;09C0
pirate agissant de l'extérieur 1)
07.12 Données applicatives faussées pendant la D06 MA08 max(03B04;03B max(min(03B01 09B04 01D02 I V 1
a transmission par un membre du personnel 05;03B06) ;03B02;03B03);
manipulant un équipement de réseau local 05C01;05C02;m
in(06C01;06C02
);09B02;09C01)
07.12 Données applicatives faussées pendant la D06 MA08 max(03B07;05C 09B04 01D02 I V 1
b transmission par un membre du personnel 01;05C02;09B0
branchant un équipement parasite en 2;09C01)
coupure sur le réseau local (man in the
middle)
07.12c Données applicatives faussées pendant la D06 MA08 max(05C03;05C 09B04 01D02 I V 1
transmission entre un utilisateur nomade 04)
et le réseau interne
07.20Rejeu de transaction
07.21 Rejeu de transaction. D06 MA08 max(04C01;09C 09F03 01D02 I V 1
01;09F02)
07.30Saisie faussée de données
07.31 Saisie de fausses données par un agent D01 MA08 09B03 09B03 09B04 01D02 I V 1
autorisé, mais déloyal
07.32 Saisie de fausses données par un D01 MA08 min(08F02;max( 09B04 01D02 I V 1
membre du personnel usurpant l'identité min(07A03;07A
d'un utilisateur autorisé 04);min(09A03;
09A04)))
Infrastructure générale
E01 Environnement de travail des utilisateurs
E02 Équipements de télécommunication orale ou analogique
I01 Ensemble des installations d'une salle informatique et télécom
Équip.
Sous- Fichiers de Librairie de
FONCTION (descriptif) Matérie
Éléments d'architecture classe configuratio programme
Optionnel l
Archi n s systèmes
câblage
D I D I C D I C
Nom de colonne pour formules Classif SCA Deq Ieq Dfc Ifc Cfc Dlp Ilp Clp
Réseaux locaux RL 2 3 3 3 3 1 2 1
Réseau étendu RE 2 2 3 3 2 1 2 1
Réseau téléphonique RT 3 2 2 3 3 1 2 1
Serveurs applicatifs et serveurs de données SV 2 2 3 2 1 1 2 1
Serveurs de services informatiques ou SS 2 2 2 3 1 1 3 1
réseaux (DNS, LDAP, Serveur
d'authentification, etc.)
Périphériques PF 1 1 1 2 1
Passerelles d'accès PA 2 2 1 2 1 1 2 1
Environnement global de travail ET 2 1
Infrastructure générale
Environnement de travail des utilisateurs T1 : colonnes Lignes T1 : toutes 1 et 4
Dfb et Dec Ligne T2 SCA = ET
T2 : colonne
E01 Deq
E02 Équipements de télécommunication orale ou analogique T2 : colonne T2 : colonne Ligne T2 SCA = RT 4
Ensemble des installations d'une salle informatique et Deq
T1 : colonnes Ieq 1
télécom Dap et Dda
I01 T2 : colonne
Deq
Status-Expo
P=1 P=2 P=3 P=4
Status-Expo
P=1 P=2 P=3 P=4
Status-Expo
P=1 P=2 P=3 P=4
01A02-12 Les responsabilités et les procédures sont-elles établies afin de fournir rapidement des solutions 2 13.2.1;
effectives aux incidents de sécurité ? 13.1.1
01A02-13 Existe-t-il une procédure de mise à jour des notes d'organisation relatives à la sécurité des systèmes 2 3 6.1.8
d'information en fonction des évolutions de structures ou à intervalles planifiés ?
01A03 Système général de reporting et de gestion des incidents
01A03-01 Y a-t-il un système de reporting des incidents auprès des correspondants du RSSI avec une synthèse 2 13.1.1
de ces incidents transmise au RSSI ?
01A03-02 Ce système de reporting des incidents inclut-il tous les incidents (exploitation, développement, 4 2 13.1.1
maintenance, utilisation du SI) physiques, logiques ou organisationnels ?
01A03-03 Ce système de reporting des incidents inclut-il les tentatives d'actions malveillantes ou non 4 3 13.1.1
autorisées n'ayant pas abouti ?
01A03-04 Ce système de reporting des incidents s'applique-t-il à l'ensemble des structures et des personnels 4 3 13.1.1
de l'entreprise (y compris les filiales) ?
01A03-05 La typologie et la description des incidents sont-elles enregistrées dans une base permettant un 2 13.2.2
enrichissement progressif ainsi qu'un accès sélectif facile pour effectuer le traitement et le suivi des
divers incidents ?
01A03-06 La collecte de preuves est-elle réalisée chaque fois qu'une action juridique doit être envisagée ? 2 13.2.3
01A03-07 La mise en place et la tenue à jour du système de gestion des incidents font-elles l'objet d'un tableau 2 2
de bord et d'un suivi régulier, se traduisant par des plans d'action ?
01A04 Organisation des audits et du plan d'audit
01A04-01 La fonction sécurité a-t-elle défini et diffusé à l'audit interne (ou à la structure chargée des audits 4 2
internes) un Référentiel d'audit de la SSI décrivant, en particulier, les obligations de chaque catégorie
de personnel, les directives incontournables et les recommandations ?
01A04-02 Existe-t-il une procédure de dérogation aux directives décrites dans ce référentiel d'audit et cette 4
procédure est-elle auditable ?
01A04-03 Existe-t-il une structure de coordination ou une procédure permettant au RSSI de définir le 4
programme d'audit interne annuel ou de participer à sa définition ?
01A04-04 Le responsable sécurité des systèmes d'information est-il informé des résultats des audits sur les 2 3
aspects touchant à la sécurité des systèmes d'information ?
01A04-05 Le responsable sécurité des systèmes d'information est-il informé des résultats synthétiques des 4
audits non spécifiques de la sécurité des systèmes d'information et peut-il avoir accès aux rapports
détaillés correspondants ?
01A04-06 L'organisation d'audits annuels relatifs à la sécurité des systèmes d'information fait-elle l'objet d'un 2 3
tableau de bord et d'un suivi régulier ?
01A05 Gestion de crise liée à la sécurité de l'information
01A05-01 Existe-t-il un plan de crise dans tous les établissements précisant, en fonction de divers symptômes, 4 2
les noms et coordonnées des personnes à prévenir pour qu'elles puissent effectuer un premier
diagnostic et, en fonction de ce diagnostic, les responsables de la cellule de crise à rassembler et les
actions urgentes à mener ?
01A05-02 Existe-t-il au moins une procédure d'alerte, diffusée à l'ensemble du personnel, qui permette, 2
directement ou indirectement (par le personnel de surveillance), de joindre les personnes ad hoc
aptes à déclencher le plan de crise ?
01A05-03 Le plan de crise décrit-il en détail les situations de crise majeure ayant trait aux systèmes 4 2
d'information et inclut-il les aspects spécifiques à ce domaine ?
01A05-04 La définition du plan de crise s'est-elle accompagnée de la mise en place des moyens logistiques 4 2
correspondants (salle équipée, moyens de communication, etc.) ?
01A05-05 Existe-t-il des outils ou des procédures permettant la mise à jour du plan de crise et cette mise à jour 4 3
est-elle auditée ?
01B Référentiel de sécurité
01B01 Devoirs et responsabilités du personnel et du management
Il s'agit de tous les personnels internes comme externes (sous-traitants, stagiaires, etc) associés à
01B01-01 l'activité
Les devoirsde et
l'entreprise
responsabilités du personnel quant à l'utilisation, la conservation et l'archivage des 4
informations et à la protection du secret sont-ils précisés dans une note ou document mis à la
disposition du management ?
01B01-02 Ce document précise-t-il les devoirs et responsabilités du personnel quant à l'utilisation et la 1 11.3.1
protection des moyens d'authentification (mots de passe, clés, tokens, badges, etc.) mis à sa
disposition ?
01B01-03 Les devoirs et responsabilités du personnel précisent-ils la conduite à tenir lorsque le poste est laissé 1 11.3.2
vacant (fermeture de session, logoff, écran de veille, verrouillage, etc.) ?
01B01-04 Les devoirs et responsabilités du personnel quant à l'utilisation et la protection des biens et 4
ressources de l'entreprise sont-ils précisés dans une note ou document mis à la disposition du
management ?
01B01-05 Ces notes précisent-elles ce qui est toléré et les limites à ne pas dépasser (usage des biens de 2 15.1.5
l'entreprise à des fins personnelles, par exemple) ?
01B01-06 Ces notes précisent-elles la conduite à tenir en cas de dépassement ou d'abus ? 2
01B01-07 Le processus disciplinaire en cas de manquement aux règles de sécurité ou de violation de 1 8.2.3
procédure est-il formalisé ?
01B01-08 Les devoirs et responsabilités du management dans le domaine de la protection de l'information et 2
des ressources de l'entreprise sont-ils précisés dans une note ou document communiqué à
l'ensemble des managers ?
01B01-09 Les devoirs et responsabilités du management lors de la cessation ou d'un changement d'activité 1 8.3.1
d'un collaborateur (interne ou sous contrat) sont-ils définis et précisés dans une procédure ou
document communiqué à l'ensemble des managers ?
01B01-10 La procédure précédente (ou le document équivalent) couvre-t-elle la remise en cause et la 2 8.3.3
suppression de tous les droits d'accès aux diverses parties du système d'information ?
01B01-11 L'authenticité des notes publiées (ou de la Charte) relative aux devoirs et responsabilités du 2 3
personnel est-elle contrôlée ?
01B01-12 Les managers s'assurent-ils et doivent-ils rendre compte, de la conformité du comportement de leurs 2 3 15.2.1
collaborateurs aux politiques et standards en vigueur ?
01B01-13 Existe-t-il une revue régulière de la charte des devoirs et responsabilités du personnel (ou des notes 2 3
correspondantes) ?
01B02 Directives générales relatives à la protection de l'information
01B02-01 Existe-t-il un document définissant les règles générales à appliquer en ce qui concerne la protection 2 11.4.2
des sites vis-à-vis de l'extérieur, les conditions requises pour accéder à chaque site depuis l'extérieur
et la protection des locaux sensibles ?
01B02-02 Existe-t-il un document définissant les règles générales à appliquer en ce qui concerne la protection 2 11.4.2;
du réseau interne vis-à-vis de l'extérieur, les conditions requises pour accéder depuis l'extérieur au 11.4.5
réseau interne et réciproquement et les cloisonnements internes entre sous-réseaux ?
01B02-03 Existe-t-il un document définissant les règles générales à appliquer en ce qui concerne la protection 2 10.8.1;
des moyens et supports de stockage, de traitement et de transport de l'information (équipements de 10.7.3
réseau et de travail, systèmes, applications, données, media, etc.) et les conditions requises pour
l'attribution, la gestion et le contrôle des droits d'accès ?
01B02-04 Ces règles sont-elles établies en fonction du niveau de classification des ressources concernées ? 2 10.7.3;
10.8.1;
7.2.2
MEHARI 2007-ed2 ! 01 Org 45 Février 2009
Questionnaire d'audit : Domaine Organisation
N° Question Question Rép P Max Min ISO 17799 Commentaires
01B02-05 Existe-t-il un document définissant les règles à appliquer en ce qui concerne l'exploitation des 2 10.8.1;
ressources informatiques (réseaux, serveurs, etc.), des services de communication électronique et 11.4.1;
des réseaux sans fil ? 10.7.3
01B02-06 Existe-t-il un document définissant les règles générales à appliquer en ce qui concerne les 2 10.7.3
développements informatiques et la prise en compte de la sécurité dans la gestion des projets ?
01B02-07 Existe-t-il un document définissant les règles générales à appliquer au quotidien dans la gestion de 2 10.8.1;
l'environnement de travail (documents, bureau propre, micro-informatique, téléphone, fax, etc.) ? 11.3.3;
10.7.3
01B02-08 Existe-t-il un document définissant les procédures de sécurité additionnelles à appliquer en ce qui 2 10.8.1;
concerne l'informatique mobile et le télétravail ? 11.7.1
01B02-09 Existe-t-il un document précisant les exigences, les responsabilités et les procédures à appliquer afin 2 15.1.3
de protéger les archives importantes pour l'organisation ?
01B02-10 L'ensemble des exigences réglementaires, contractuelles, et légales a-t-il été explicitement identifié 2 15.1.1
et son application par l'organisation figure-t-elle dans un document tenu à jour ?
01B02-11 Les moyens et solutions de sécurité mis à disposition des responsables et des utilisateurs sont-ils 4 2
cohérents avec les directives précédentes ?
01B02-12 Les règles concernant la protection des informations et des ressources sont-elles rendues facilement 4 2
accessibles à l'ensemble du personnel (Intranet, par exemple) et régulièrement mises à jour en
fonction des exigences business ?
01B02-13 Existe-t-il une procédure de contrôle ou d'audit de l'authenticité et de la pertinence des règles de 2 3
protection de l'information et des ressources du système d'information diffusées à l'ensemble du
personnel ?
01B03 Classification des ressources
01B03-01 A-t-on défini un schéma de classification permettant d'attribuer aux informations et ressources un 4
niveau de classification reflétant le besoin de protection de ces informations ou ressources en
fonction du contexte de l'entreprise et prenant en compte les critères Disponibilité, Intégrité,
01B03-02 Ce schéma de classification
Confidentialité ? définit-il le marquage des différents types de ressources en fonction de 1 7.2.2
leur classification ?
01B03-03 A-t-on effectué une classification des informations (documents, données, fichiers, bases de données, 4 1 2 7.2.1
etc.) en fonction de l'impact qu'un sinistre touchant ces informations aurait sur l'entreprise ?
01B03-04 Cette classification a-t-elle été effectuée pour chacun des critères de Disponibilité, Intégrité et 2 2
Confidentialité ?
01B03-05 A-t-on effectué une classification des ressources sensibles (systèmes informatiques, équipements 4
télécoms et divers, locaux, etc.) en fonction de l'impact qu'un sinistre touchant ces ressources aurait
sur l'entreprise ?
01B03-06 Cette classification a-t-elle été effectuée pour chacun des critères de Disponibilité, Intégrité et 2
Confidentialité ?
01B03-07 A-t-on effectué une classification des programmes et traitements sensibles en fonction de l'impact 4
qu'un sinistre touchant ces ressources aurait sur l'entreprise ?
01B03-08 Cette classification a-t-elle été effectuée pour chacun des critères de Disponibilité, Intégrité et 4
Confidentialité ?
01B03-09 Ces diverses classifications sont-elles rendues facilement accessibles au personnel concerné en cas 4 2
de besoin ?
01B03-10 Existe-t-il une procédure de revue périodique des classifications et l'application de cette procédure 4 3 7.2.1
est-elle contrôlée ?
01B04 Gestion des "actifs" (assets)
01B04-01 A-t-on défini les types d'actifs devant être identifiés et inventoriés ? 2 7.1.1
Les actifs peuvent être des informations (bases de données, fichiers, contrats et accords,
documentation, manuels, procédures, plans, archives, etc.), des logiciels (applications, firmware,
middleware, outils et utilitaires, etc.), des équipements matériels (ordinateurs, équipements de
réseau, media, etc.), des services et servitudes (énergie, chauffage, climatisation, etc.), des
personnes ou du savoir-faire, des actifs intangibles tels que la réputation ou l'image.
01B04-02 Tient-on à jour un inventaire des types d'actifs tels qu'identifiés et définis ci-dessus ? 4 7.1.1
01B04-03 A-t-on désigné pour chaque actif identifié et inventorié un "propriétaire" de cet actif ? 2 7.1.2
Un propriétaire est la personne ou l'entité désignée pour assumer la responsabilité du
développement, de la maintenance, de l'exploitation, de l'utilisation et de la sécurité de cet actif. Le
terme de propriétaire ne signifie pas que la personne ou l'entité détient un droit de propriété sur cet
01B04-04 actif.
A-t-on défini et documenté, pour chaque actif, les règles d'utilisation acceptables ? 2 7.1.3
Ceci implique, en particulier, de définir l'usage privé qu'un collaborateur peut faire d'un actif de
01B04-05 l'entreprise.
Les règles concernant le retour à l'entreprise ou à l'organisation des biens confiés au personnel, lors 1 8.3.2
de cessation ou de changement d'activité, sont-elles clairement définies et précisées au
management ?
01B04-06 Existe-t-il des règles concernant la sortie des actifs (autorisations préalables, personnes autorisées, 1 9.2.7
enregistrement de la sortie et de la rentrée, effacement des données inutiles, etc.) ?
01C Gestion des ressources humaines
01C01 Engagements du personnel, clauses contractuelles
01C01-01 Une note précisant les devoirs et responsabilités du personnel, a-t-elle été diffusée à l'ensemble des 4 6.1.5; 8.1.3
collaborateurs (y compris les intérimaires, stagiaires, etc.) de telle sorte qu'ils ne puissent nier en
avoir eu connaissance ?
01C01-02 Existe-t-il, dans les contrats d'embauche ou dans le règlement intérieur, une clause précisant 4 6.1.5; 8.1.3
l'obligation de respecter l'ensemble des règles de sécurité en vigueur ?
01C01-03 Une note précisant les obligations légales, réglementaires ou contractuelles a-t-elle été diffusée à 2 6.1.5
l'ensemble des collaborateurs ?
01C01-04 Les devoirs et responsabilités imposés au personnel sont-ils imposés contractuellement (par le biais 4 6.1.5
de conditions générales ou de clauses spécifiques) à tout prestataire intervenant au profit de
l'entreprise et pouvant, de ce fait, avoir accès ou favoriser l'accès à des informations ou à des
ressources sensibles ?
01C01-05 Impose-t-on contractuellement à toute société prestataire pouvant avoir accès ou favoriser l'accès à 4 6.1.5
des informations ou à des ressources sensibles, que ses collaborateurs signent un engagement
personnel de respect des clauses de sécurité spécifiées ?
01C01-06 Le management a-t-il la responsabilité de s'assurer que le personnel, le personnel sous contrat ou les 1 8.2.1
tiers respectent les politiques et procédures de sécurité de l'organisation ?
01C01-07 Existe-t-il une procédure de contrôle de l'authenticité et de la pertinence des règles de sécurité 4 3
diffusées à l'ensemble du personnel ?
01C02 Gestion du personnel stratégique
01C02-01 Les compétences stratégiques sont-elles régulièrement identifiées ? 4 2
01C02-02 Des solutions de secours existent-elles en cas d'indisponibilité de compétences stratégiques ? 4
01C02-03 Ces solutions de secours permettent-elles de garantir une poursuite de l'activité de l'entreprise sans 4 3
perturbation majeure ?
01C02-04 Le personnel stratégique fait-il l'objet d'une gestion de carrière spécifique ? 2
01C02-05 Existe-t-il une procédure de contrôle de la pertinence et de la mise à jour des mesures précédentes ? 2 3
01C05-05 Tout accès d'un tiers au système d'information ou aux locaux contenant de l'information n'est-il 2 2 15.1.5;
autorisé qu'après la signature d'un accord formel reprenant ces clauses ? 6.2.3
01C06 Enregistrement des personnes
01C06-01 Existe-t-il des procédures formelles d'enregistrement et de révocation des personnes ? 4 11.2.1
01C06-02 Ces procédures impliquent-elles fortement la gestion du personnel et la hiérarchie ? 4 11.2.1
01C06-03 Un identifiant (ID) unique est-il associé à chaque utilisateur (employé, externe, etc.) pouvant avoir 4 11.2.1
accès au système d'information ?
01C06-04 Les droits accordés aux utilisateurs dès leur enregistrement (services communs, messagerie, etc.) 4 11.2.1
ont-ils été approuvés par les propriétaires des ressources concernées ?
01C06-05 Tout utilisateur est-il tenu informé, lors de son enregistrement, des droits acquis de ce fait et des 4 11.2.1
devoirs liés à toute attribution droits (acquise dès son enregistrement ou qu'il pourra recevoir par la
suite) ?
01C06-06 Ces procédures sont-elles contrôlées et les anomalies éventuelles documentées et corrigées en 4 11.2.1
temps réel ?
La réactivité de la chaîne de managers concernés doit supprimer les procédures d'exception pouvant
résulter de retards dans les processus concernés.
01D Assurances
01D01 Assurance des dommages matériels
01D01-01 Les systèmes d'information sont-ils couverts par un contrat d'assurance couvrant les dommages 2
matériels (Dommage incendie, accident et risques divers, Bris de machine, Tous risques
informatiques, "Tous Risques Sauf", Périls dénommés, etc.) ?
01D01-02 Ce contrat couvre-t-il l'ensemble des systèmes informatiques et de télécommunication, leur câblage 4 2
et les installations de servitudes associées ?
01D01-03 Ce contrat couvre-t-il toutes les causes usuelles de ce type de sinistre : accidents (incendie, dégâts 4 2
des eaux, foudre, etc.), erreurs humaines, sabotage et vandalisme (y compris par le personnel de
l'entreprise ou préposé à son opération ou entretien) ?
01D01-04 Ce contrat assure-t-il tous les frais (réels) de réinitialisation des systèmes d'information touchés par 4 2
le sinistre (frais d'installation, de redémarrage et de test des systèmes de remplacement, frais de
reconstitution des données et des supports, etc.) ?
01D01-05 Ce contrat couvre-t-il tous les frais supplémentaires d'exploitation et de fonctionnement (prise en 4 2
charge des frais et dépenses qui continuent à courir, des frais exposés pour éviter ou limiter l'arrêt
de l'activité) ?
01D01-06 Ce contrat couvre-t-il tous les frais supplémentaires engagés par l'entreprise pour rétablir son image 4
auprès de ses clients ou partenaires ?
01D01-07 Ce contrat couvre-t-il globalement la perte d'exploitation engendrée par le sinistre ? 4 3
01D01-08 Le choix des garanties en matière informatique (exclusions, franchises, etc.) est-il le résultat d'une 2
étude spécifique conduite en commun avec la Direction Informatique et remise à jour
régulièrement ?
01D01-09 Les niveaux des garanties et des franchises permettent-ils de garantir la survie de l'entreprise en cas 2 2
de sinistre ?
01D01-10 Les niveaux des garanties et des franchises permettent-ils de garantir qu'un sinistre pourrait être 2 3
supporté sans conséquences graves pour l'entreprise ?
01D02 Assurance des dommages immatériels
01D02-01 Les systèmes d'information sont-ils couverts par un contrat d'assurance couvrant les dommages 2
immatériels (malveillance, utilisation non autorisée des systèmes d'information, pertes accidentelles
de données ou de programmes, déni de service, etc.) ?
01D02-02 Ce contrat couvre-t-il l'ensemble des systèmes informatiques (systèmes internes, intranet, extranet, 4 2
sites Web, etc.) ?
01D02-03 Ce contrat couvre-t-il toutes les causes usuelles de ce type de sinistre : accidents (pannes, bogues, 4 2
etc.), erreurs humaines (erreurs de manipulation, erreurs de programmation, etc.), malveillances
(fraudes, intrusions, déni de service, y compris par le personnel de l'entreprise ou préposé à son
opération ou entretien) ?
01D02-04 Ce contrat assure-t-il tous les frais (réels) d'investigation et de recherche des causes et des 4 2
conséquences du sinistre ?
01D02-05 Ce contrat assure-t-il tous les frais (réels) de réinitialisation des systèmes d'information touchés par 4 2
le sinistre (frais de redémarrage et de test après redémarrage, frais de reconstitution des données,
etc.) ?
01D02-06 Ce contrat couvre-t-il tous les frais supplémentaires d'exploitation et de fonctionnement (prise en 4 2
charge des frais et dépenses qui continuent à courir, des frais exposés pour éviter ou limiter l'arrêt
de l'activité) ?
01D02-07 Ce contrat couvre-t-il tous les frais supplémentaires engagés par l'entreprise pour rétablir son image 4
auprès de ses clients ou partenaires ?
01D02-08 Ce contrat couvre-t-il globalement la perte d'exploitation engendrée par le sinistre ? 4 3
01D02-09 Le choix des garanties en matière informatique (exclusions, franchises, etc.) est-il le résultat d'une 2
étude spécifique conduite en commun avec la Direction Informatique et remise à jour
régulièrement ?
01D02-10 Les niveaux des garanties et des franchises permettent-ils de garantir la survie de l'entreprise en cas 2 2
de sinistre ?
01D02-11 Les niveaux des garanties et des franchises permettent-ils de garantir qu'un sinistre pourrait être 2 3
supporté sans conséquences graves pour l'entreprise ?
01D03 Assurance Responsabilité Civile (RC)
01D03-01 A-t-on souscrit une garantie "Responsabilité Civile" incluant les conséquences de sinistres 4
informatiques (RC professionnelle, RC produit) ?
01D03-02 Ce contrat couvre-t-il toutes les causes possibles de sinistre : accidents touchant du matériel, des 2
programmes ou des données (pannes, bogues, risques divers, etc.), erreurs humaines (erreurs de
manipulation, erreurs de programmation, etc.), malveillances (fraudes, intrusions, déni de service, y
compris par le personnel de l'entreprise ou préposé à son opération ou entretien) ?
01D03-03 Ce contrat couvre-t-il tous les frais supplémentaires engagés par l'entreprise pour rétablir son image 2
auprès de ses clients ou partenaires ?
01D03-04 Le choix des garanties en matière informatique (exclusions, franchises, etc.) est-il le résultat d'une 2
étude spécifique conduite en commun avec la Direction Informatique et remise à jour
régulièrement ?
01D03-05 Les niveaux des garanties et des franchises permettent-ils de garantir la survie de l'entreprise en cas 2 2
de sinistre ?
01D03-06 Les niveaux des garanties et des franchises permettent-ils de garantir qu'un sinistre pourrait être 2 3
01D04 supporté
Assurance sans conséquences
Perte graves pour
de Personnages clés l'entreprise ?
01D04-01 L'entreprise est-elle couverte par un contrat d'assurance couvrant la perte de personnes clés pour 2
l'activité de l'entreprise ?
01D04-02 Ce contrat couvre-t-il toutes les causes possibles de perte de personnes clés : accidents (avion, 4 2
automobile, etc.), maladies, départs volontaires individuels ou groupés ?
01D04-03 Ce contrat couvre-t-il tous les frais supplémentaires de fonctionnement engendrés par cette perte ? 4 2
01D04-04 Ce contrat couvre-t-il tous les frais supplémentaires engagés par l'entreprise pour rétablir son image 4
auprès de ses clients ou partenaires ?
01D04-05 Ce contrat couvre-t-il globalement la perte d'exploitation engendrée par le sinistre ? 4
01D04-06 Le choix des garanties en matière informatique (exclusions, franchises, etc.) est-il le résultat d'une 2
étude spécifique conduite en commun avec la Direction Informatique et remise à jour
régulièrement ?
01D04-07 Les niveaux des garanties et des franchises permettent-ils de garantir la survie de l'entreprise en cas 2 2
de sinistre ?
01D04-08 Les niveaux des garanties et des franchises permettent-ils de garantir qu'un sinistre pourrait être 2 3
supporté sans conséquences graves pour l'entreprise ?
01E Continuité de l'activité
01E01 Prise en compte des besoins de continuité de l'activité
01E01-01 A-t-on analysé la criticité des différentes activités pour mettre en évidence les besoins de continuité 4 2 14.1.2
de service ?
Une analyse approfondie suppose que l'on établisse une liste de scénarios d'incidents et qu'on en
01E01-02 Cette analyse
analyse toutesa-t-elle permis de formaliser
les conséquences les performances minimales à assurer au niveau des
prévisibles. 4 2 14.1.2
systèmes d'information et ces performances minimales ont-elles été acceptées par les utilisateurs
(propriétaires d'information) ?
01E01-03 Existe-t-il des processus, régulièrement mis en oeuvre, d'analyse des risques, liés à l'information, 2 14.1.1
pouvant conduire à une interruption des activités de l'entreprise, débouchant sur une définition des
exigences de sécurité, des responsabilités, des procédures à appliquer et moyens à mettre en
oeuvre afin de permettre l'élaboration des plans de continuité ?
01E02 Plans de Continuité de l'Activité
01E02-01 A-t-on déduit, d'une analyse de criticité, des Plans de Continuité d'Activité (PCA) pour chaque activité 3 14.1.3
critique ?
01E02-02 Ces plans prévoient-ils bien toutes les actions à entreprendre pour assurer la continuité de l'activité 3 2 14.1.3
entre l'alerte et la mise en oeuvre éventuelle des solutions de remplacement prévues par les plans
de secours techniques ?
01E02-03 Ces plans traitent-ils tous les aspects organisationnels liés à la solution de secours "manuel" 3 14.1.3
(personnel, logistique, encadrement, etc.) ?
01E02-04 A-t-on prévu les instructions et la formation à donner aux personnels dans le cas d'une solution de 2 14.1.3
secours "manuel" ?
01E02-05 Les Plans de Continuité d'Activité prévoient-ils les procédures de retour à la normale ? 4 2 14.1.3
01E02-06 Le Plan de déclenchement de crise est-il en phase avec ces plans ? 4
01E02-07 Ces plans permettent-ils de rendre supportable (impact limité à 2) tout dysfonctionnement critique ? 1 2 3
Question destinée à ne pas surévaluer l'efficacité de ce service
01E02-08 Ces plans sont-ils régulièrement testés et remis à jour (au moins une fois par an) ? 3 2 14.1.5
01E02-09 Les mises à jour de ces plans sont-elles régulièrement auditées (au moins une fois par an) ? 3 2
02A02-07 Existe-t-il une procédure permettant de détecter, a posteriori, des anomalies dans la gestion des 4
autorisations (badge ou carte non restitué, utilisation d'un badge perdu, faux badge, etc.) ?
02A03 Contrôle d'accès au site ou à l'immeuble
03A03-05 L'inhibition accidentelle (panne) ou volontaire (arrêt) d'un équipement de climatisation est-elle 2 2
détectée et signalée à une équipe d'intervention à même d'agir rapidement ?
03A03-06 La sécurité de la climatisation (détection de panne ou d'inhibition, procédures d'intervention, etc.) 2 3
fait-elle l'objet d'un audit régulier ?
03A04 Qualité du câblage
03A04-01 Maintient-on un dossier de tous les chemins et baies de câblage (avec une copie de sauvegarde) et 4 9.2.3
des locaux associés avec leurs caractéristiques ?
03B02-05 Peut-on contrôler à tout moment la liste des autorisations d'accès en cours de validité, avec leur 4 2
profil de rattachement ?
03B02-06 Y a-t-il un processus de retrait rapide et systématique des autorisations d'accès (avec dévalidation 2 2
du badge dans les systèmes de contrôle d'accès automatique) et de restitution du badge, de la
carte ou de la clé correspondant lors de départs de personnel interne ou externe à l'entreprise, de
changements de site de rattachement (si les droits dépendent de ce site) ou d'interruption de
03B02-07 Les clés ?et/ou les badges provisoires sont-ils stockés dans un coffre ou armoire résistant à
mission 4 2
l'effraction (par exemple : coffres certifiés) ?
03B02-08 Est-il interdit de pénétrer dans les locaux sensibles avec des moyens d'enregistrement photo, vidéo 1 9.1.5
ou audio ?
03B02-09 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des badges attribués aux diverses 1 2
catégories de personnel et de la pertinence de ces autorisations d'accès ?
03B02-10 Existe-t-il une procédure permettant de détecter, a posteriori, des anomalies dans la gestion des 4
autorisations (badge ou carte non restitué, utilisation d'un badge perdu, faux badge, badge attribué
abusivement, etc.) ?
03B03 Contrôle d'accès aux locaux sensibles
03B03-01 Utilise-t-on un système de contrôle d'accès systématique aux locaux sensibles ? 4 9.1.5; 9.1.2
03B03-02 L'authentification fait-elle appel à des moyens infalsifiables détenus par l'utilisateur (carte à puce 4 3
ou reconnaissance biométrique, par exemple) ?
03B03-03 Le système de contrôle d'accès garantit-il un contrôle exhaustif de toute personne entrant dans les 4 3 3
locaux (sas ne permettant le passage que d'une personne à la fois, processus interdisant
l'utilisation du même badge par plusieurs personnes, etc.) ?
03B03-04 Assure-t-on, en complément du contrôle d'accès par les issues normales, le contrôle des accès par 4 3
les autres issues : contrôle des fenêtres accessibles depuis l'extérieur, contrôle des issues de
secours, contrôle des accès potentiels par les faux planchers et faux plafonds ?
03B03-05 Les systèmes automatiques de contrôle d'accès au site sont-ils placés sous contrôle permanent 2 2
opérationnel 24h/24 permettant de diagnostiquer une panne, une désactivation ou l'utilisation
d'issues de secours en temps réel ?
03B03-06 Y a-t-il une procédure ou des automatismes permettant de déclencher l'intervention immédiate d'un 2 2
personnel spécialisé en cas d'alarme d'arrêt du système de contrôle d'accès automatique (ou
d'utilisation d'issue de secours) ?
03B03-07 Existe-t-il un processus d'audit permettant de détecter, a posteriori, des anomalies dans les 2 3
processus de contrôle d'accès (audit des procédures et du paramétrage des systèmes de contrôle
d'accès, audit des procédures d'exception et d'intervention, etc.) ?
03B04 Détection des intrusions dans les locaux sensibles
03B04-01 A-t-on un système opérationnel de détection des intrusions dans les locaux sensibles relié à un 4 2
poste permanent de surveillance ?
03B04-02 Ce système détecte-t-il tout forçage d'issue (portes et fenêtres), tout fonctionnement d'issue de 4 2
secours et tout maintien en ouverture d'une issue normale ?
03B04-03 Ce système détecte-t-il la présence de personnes en dehors des heures ouvrables ? 4 2
03B04-04 Ce système est-il doublé d'un système de contrôle audio et vidéo permettant à l'équipe de 4 3
surveillance d'établir un premier diagnostic à distance ?
03B04-05 L'équipe de surveillance est-elle dégagée de toute tâche opérationnelle et toute alarme est-elle 4 3
immédiatement détectée et traitée en toute priorité ?
03B04-06 En cas d'alerte du système de détection d'intrusion, l'équipe de surveillance a-t-elle la possibilité 4 2
d'envoyer sans délai une équipe d'intervention pour vérifier l'alerte et agir en conséquence ?
03B07-02 L'intégralité des chemins de câbles est-elle placée sous surveillance vidéo avec alerte en cas de 4 3
présence (pour signaler au personnel de surveillance de rester en veille sur l'écran correspondant) ?
03B07-03 Les locaux dans lesquels il serait possible d'effectuer un branchement parasite d'équipement sur les 2 2
réseaux WAN et LAN sont-ils sécurisés et équipés d'un contrôle d'accès renforcé (badge nominatif,
système biométrique) ?
03B07-04 Les locaux dans lesquels il serait possible d'effectuer un branchement parasite d'équipement sur les 2 3
réseaux WAN et LAN sont-ils en outre placés sous vidéosurveillance dès qu'une personne y pénètre
(avec alerte au personnel de surveillance) ?
03B07-05 Procède-t-on régulièrement à des audits de la sécurité du câblage (utilisation effective des contrôles 2 3
d'accès aux gaines techniques, audit des droits attribués et des procédures d'intervention sur
violation de droits, inspection des locaux dans lesquels des équipements parasites pourraient être
branchés) ?
03B08 Localisation des locaux sensibles
03B08-01 Les locaux sensibles sont-ils situés dans des zones non accessibles par le public ? 1 9.1.3
03B08-02 Les locaux de traitement de l'information sont-ils exempts de toute indication extérieure sur leur 1 9.1.3
contenu ?
03B08-03 L'implantation des locaux sensibles est-elle absente des répertoires téléphoniques ? 1 9.1.3
03C Sécurité contre les dégâts des eaux
03C01 Prévention des risques de dégâts des eaux
03C01-01 A-t-on fait une analyse systématique et exhaustive de toutes les voies possibles d'arrivée d'eau 4 2 9.1.4
(position des locaux par rapport aux risques d'écoulement naturel en cas de crue ou d'orage
violent, d'inondation provenant des étages supérieurs, de rupture ou de fuite de canalisation
apparente ou cachée, de mise en oeuvre de systèmes d'extinction d'incendie, de remontée d'eau
par des voies d'évacuation, de mise en route intempestive d'un système d'humidification
automatique, etc.) ?
03C01-02 A-t-on pu écarter chaque voie possible comme hautement improbable ou pris des mesures pour 4
rendre hautement improbable une arrivée d'eau intempestive (systèmes d'extinction d'incendie à
pré-action, clapets anti-retour sur les évacuations, contrôle d'humidité indépendant assurant une
sécurité, etc.) ?
03C01-03 Les diverses mesures d'évitement de risque de dégât des eaux sont-elles protégées contre une 2 3
mise hors service et placées sous un contrôle permanent ?
03C01-04 Procède-t-on régulièrement à des audits de la mise en oeuvre effective des mesures d'évitement et 2 3
du maintien de leur pertinence (vérification de l'étude des risques) ?
03C02 Détection des dégâts des eaux
03C02-01 Existe-t-il des détecteurs d'humidité à proximité des ressources sensibles (en particulier dans les 4 9.1.4
faux planchers le cas échéant), reliés à un poste permanent de surveillance ?
03C02-02 Existe-t-il des détecteurs d'eau à proximité des ressources sensibles (en particulier dans les faux 4 9.1.4
planchers le cas échéant), reliés à un poste permanent de surveillance ?
03C02-03 Existe-t-il des détecteurs de fuite d'eau à l'étage supérieur à proximité des locaux abritant des 4 9.1.4
ressources sensibles, reliés à un poste permanent de surveillance ?
03C02-04 Le poste de surveillance a-t-il la possibilité de faire intervenir rapidement un équipe d'intervention 2 2
ayant les moyens d'action suffisants pour agir (existence de robinets d'arrêt ou de shunts protégés,
PC disposant de plans à jour des canalisations et des robinets d'arrêt, bâches plastiques pour
protéger les équipements, etc.) ?
03C02-05 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse 4 3
d'alarmes multiples ?
03C02-06 Existe-t-il un cahier de consigne précis détaillant, pour chaque cas d'alerte envisagé, la conduite à 2 3
03C02-07 tenir ? hors service des systèmes de détection est-elle signalée par un renvoi systématique à un
La mise 2 3
poste permanent de surveillance ?
03C02-08 Procède-t-on régulièrement à des tests des installations de détection et à des audits des procédures 2 3
et des capacités d'intervention ?
03C03 Évacuation de l'eau
03C03-01 Existe-t-il des moyens permanents d'évacuation des eaux (pompage, voie naturelle, etc.) et une 2
équipe formée pour les mettre en oeuvre ?
03C03-02 La mise hors service des systèmes d'évacuation de l'eau est-elle signalée par un renvoi 2 2 3
systématique à un poste permanent de surveillance ?
03C03-03 Procède-t-on régulièrement à des tests des installations d'évacuation et à des audits des 2 2 3
procédures et des capacités d'intervention ?
03D Sécurité incendie
03D01 Prévention des risques d'incendie
03D01-01 A-t-on fait une analyse systématique et approfondie de tous les risques d'incendie (court-circuit au 4 2 9.1.4
niveau du câblage, effet de la foudre, personnel fumant dans les locaux, appareillages électriques
courants, échauffement d'équipement, propagation depuis l'extérieur, propagation par les gaines
techniques ou la climatisation, etc.) ?
03D01-02 A-t-on pu écarter chaque risque possible comme hautement improbable ou pris des mesures pour 4
rendre hautement improbable un début d'incendie ou sa propagation (protection des câbles dans
des goulottes adaptées, séparation des câblages de signaux et d'énergie, protection des locaux et
des équipements contre la foudre, interdiction de fumer, poubelles anti-feu, matériaux
incombustibles, protection des circuits électriques par des disjoncteurs différentiels, détection
incendie dans les locaux mitoyens et dans les gaines techniques, etc.) ?
03D01-03 Les diverses mesures d'évitement de risque d'incendie sont-elles protégées contre une mise hors 2 3
service et placées sous un contrôle permanent ?
03D01-04 Procède-t-on régulièrement à des audits de la mise en oeuvre effective des mesures d'évitement et 2 3
du maintien de leur pertinence (vérification de l'étude des risques) ?
03D02 Détection d'incendie
03D02-01 Existe-t-il une installation de détection automatique d'incendie complète pour les locaux sensibles 2 9.1.4
(faux planchers et faux plafonds s'ils existent) ?
03D02-02 L'installation de détection est-elle composée d'au moins deux types de détecteurs (par exemple : 4 2
détecteurs de fumée ioniques et optiques) ?
03D02-03 Les installations de détection automatique sont-elles reliées à un poste permanent de surveillance, 2
équipées d'un système permettant de localiser les détecteurs ayant réagi ?
03D02-04 La mise hors service des installations de détection automatique est-elle signalée par un renvoi 4 2
systématique à un poste permanent de surveillance ?
03D02-05 Procède-t-on régulièrement à des tests des installations de détection et à des audits des procédures 2 3
et des capacités d'intervention ?
04A06-15 L'adéquation des rythmes de sauvegarde aux besoins et l'application des procédures font-elles 4 3
l'objet d'audits réguliers ?
04A06-16 L'ensemble des procédures et plans de sauvegarde de données fait-il l'objet d'un audit régulier ? 2 3
A07 Plan de Reprise d'Activité (PRA) du réseau étendu
04A08-03 A-t-on l'assurance que cette solution palliative pourra être rendue opérationnelle dans des délais 2 2
compatibles avec la poursuite de l'activité et acceptés par les utilisateurs ?
04A08-04 A-t-on prévu des variantes de la solution de base au cas où celle-ci rencontrerait des difficultés 2 3
imprévues ?
04A08-05 Procède-t-on régulièrement à une revue des points pouvant être critiques et des solutions 2 3
palliatives prévues ?
B - Contrôle des connexions sur le réseau étendu
B01 Profils de sécurité des entités connectées au réseau étendu
04B01-01 A-t-on défini un ensemble de règles pour qu'une entité puisse être connectée au réseau étendu 4
considéré comme un espace de confiance ?
04B01-02 Ces règles couvrent-elles l'organisation nécessaire au sein de chaque entité connectée et la 4 2
nomination de responsables de la sécurité de divers domaines (sécurité physique, sécurité des
systèmes d'information, etc.) ?
04B01-03 Ces règles définissent-elles les mesures de sécurité physique devant protéger les équipements de 4 2
réseau et le câblage ?
04B01-04 Ces règles définissent-elles les mesures de sécurité logique devant protéger les équipements de 2 11.4.6
réseau et les équipements de sécurité ?
04B01-05 Ces règles précisent-elles les filtrages à assurer pour les accès entrants aussi bien que pour les 4 2 11.4.6
accès sortants ?
04B02-04 Les procédures de gestion des clés révoquées garantissent-elles que les systèmes de contrôle 4 2
prennent en compte ces révocations en temps réel et testent systématiquement que les clés ne
sont pas révoquées ?
04B02-05 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
l'authentification.
B03 Authentification de l'entité accédée lors des accès sortants vers d'autres entités par le
réseau étendu
04B03-01 Y a-t-il un mécanisme d'authentification et de contrôle d'accès de l'entité appelée avant tout accès 4 1
sortant depuis le réseau interne par le réseau étendu ?
04B03-02 Le processus d'authentification est-il un processus reconnu comme "fort" ? 4 2
Un simple mot de passe sera toujours un point faible notable. Les seuls processus qui soient
reconnus comme forts, c'est-à-dire observables sans divulguer d'information et pratiquement
inviolables sont basés sur des algorithmes cryptologiques.
04C01-01 A-t-on défini les liens permanents et les échanges de données devant être protégés par des 4 12.3.1
solutions de chiffrement et mis en place de telles solutions au niveau du réseau étendu ?
04C01-02 La solution de chiffrement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été 4 2
approuvée par le RSSI ?
Une longueur de clés suffisante est un des paramètres à prendre en compte (en fonction de
l'algorithme) mais bien d'autres paramètres également. La recommandation d'un organisme officiel,
tel que la DCSSI en France, peut être un facteur de confiance.
04C01-03 La procédure et les mécanismes de conservation, de distribution et d'échange de clés, et plus 4 3 12.3.2
généralement de gestion des clés, offrent-ils des garanties de solidité dignes de confiance et ont-ils
été approuvés par le RSSI ?
04C01-04 Les mécanismes de chiffrement sont-ils réalisés par des composants électroniques très solidement 4 3 3
protégés, au niveau physique, contre toute violation ou altération ?
Il s'agit ici de boîtiers de chiffrement protégés physiquement de telle sorte qu'il soit impossible
04C01-05 La mise hors service ou le by-pass de la solution de chiffrement sont-ils immédiatement détectés et 4 2
d'accéder aux mécanismes de chiffrement ou de carte à microprocesseur dont l'algorithme de
signalés à une équipe permanente ou d'astreinte capable d'engendrer une réaction immédiate ?
chiffrement est contenu dans le microprocesseur et protégé physiquement et logiquement
04C01-06 En cas d'inhibition ou de by-pass de la solution de chiffrement ou de mise en œuvre d'une solution 4 2
de secours du réseau par une voie non protégée, existe-t-il une procédure permettant d'en alerter
immédiatement l'ensemble des utilisateurs ?
Par exemple par un avertissement lors de l'utilisation de ce réseau demandant la validation active
de l'utilisateur.
04C01-07 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des systèmes de chiffrement des 4 3
données échangées et des procédures associées ?
C02 Contrôle de l'intégrité des échanges
05A05-02 Les moyens de diagnostic d'une part et de pilotage du réseau local (reconfiguration) d'autre part 2 2
couvrent-ils de manière satisfaisante tous les cas de figures analysés et permettent-ils de mettre en
oeuvre les solutions décidées dans les délais spécifiés ?
05A05-03 A-t-on défini, pour chaque incident réseau, un délai de résolution et une procédure d'escalade en cas 4
d'insuccès ou de retard des mesures prévues ?
05A05-04 Les moyens de diagnostic et de pilotage et de reconfiguration du réseau sont-ils protégés contre toute 4 3
inhibition intempestive ou malveillante ?
05A05-05 Les procédures de reprise sur incident tiennent-elles compte d'une éventuelle perte de données (en 4
particulier perte de messages) ?
05A06-06 Ces copies de sauvegarde de recours sont-elles conservées dans un local sécurisé et protégé des 4 10.5.1
risques accidentels et d'intrusion ?
Un tel local devrait être protégé par un contrôle d'accès renforcé et, en outre, être protégé contre les
05A06-07 risques
Procède-t-on régulièrement
d'incendie à des
et de dégâts tests
des de relecture des sauvegardes et sauvegardes de recours ?
eaux. 2 3 10.5.1
05A06-08 L'ensemble des procédures et plans de sauvegarde des fichiers de configuration fait-il l'objet d'un audit 2 3
régulier ?
05A07 Plan de sauvegarde des données applicatives (applications réseau et télécom, par exemple
journalisation, facturation téléphonique, ...)
05A07-01 A-t-on procédé à une étude préliminaire afin d'identifier les scénarios que les sauvegardes doivent 1
permettre de surmonter ?
05A07-02 A-t-on fait une étude afin de définir pour chaque fichier la durée maximale admissible entre deux 2
sauvegardes ?
05A07-03 En a-t-on déduit pour chaque fichier un cycle de sauvegarde compatible avec cette durée maximale 4
admissible et la capacité de reconstitution des informations ?
Le cycle de sauvegarde doit également prendre en compte la nécessaire synchronisation des
sauvegardes de certains fichiers fonctionnellement liés.
05A07-04 Les différentes procédures issues des études faites sont-elles consignées dans un plan de sauvegardes 4 2
comprenant les configurations à sauvegarder, la fréquence des sauvegardes et les modalités de
constitution ?
05A07-05 Le plan de sauvegarde comprend-il un plan de contrôle indiquant les différents contrôles à effectuer et 4 2
leur fréquence (volumétrie, durée, relecture, etc.) ainsi que la conduite à tenir en cas d'incident ou
d'anomalie ?
05A07-06 Le plan de sauvegarde est-il remis à jour à chaque changement de contexte d'exploitation et 2
particulièrement à chaque création ou modification d'applications ?
05A07-07 Ce plan de sauvegarde est-il traduit en automatismes de production ? 2 2
05A07-08 Contrôle-t-on régulièrement qu'une reprise ou un redémarrage est effectivement possible à partir des 4 2
sauvegardes réalisées (test complet vérifiant le fonctionnement d'ensemble et l'absence de problème
de synchronisme ou de cohérence) ?
05B03-05 A-t-on mis en place une dévalidation automatique de l'utilisateur appelant, en cas de tentatives 4 2
multiples infructueuses, avec nécessité d'intervention de l'administrateur pour revalider le poste ou
l'utilisateur ?
05B03-06 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de 4 2
passe, jeton, etc.) permet-elle d'inhiber instantanément l'ancien authentifiant et permet-elle un
contrôle effectif de l'identité du demandeur ?
05B03-08 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test
d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
l'authentification.
05B04 Authentification de l'accédant lors des accès au réseau local depuis un site distant via le
réseau étendu
05B04-01 Les règles d'appartenance au réseau étendu exigent-elles l'authentification de chaque utilisateur avant 4 1
tout accès sortant empruntant le réseau étendu ?
05B04-02 Les règles d'appartenance au réseau étendu et les contrôles effectués permettent-ils d'accorder la 4 2
même confiance aux utilisateurs du réseau étendu qu'aux utilisateurs locaux ?
05B04-03 La pertinence des règles d'appartenance au réseau étendu est-elle régulièrement auditée ? 4 3
05B04-04 L'application des règles d'appartenance au réseau étendu par l'ensemble des entités autorisées à se 4 3
connecter au réseau étendu est-elle régulièrement auditée ?
05B05 Authentification de l'accédant lors des accès au réseau local depuis l'extérieur
(depuis le Réseau Téléphonique Commuté, X25, RNIS, ADSL, Internet, etc.)
05B05-01 Y a-t-il un mécanisme d'authentification et de contrôle d'accès de chaque utilisateur pour toute 4 2 11.4.2
connexion au réseau local depuis l'extérieur ?
05B05-02 Le processus de définition ou de modification de l'authentifiant support du contrôle d'accès pour les 4 2 11.4.2
accès externes vérifie-t-il le respect d'un ensemble de règles permettant d'avoir confiance dans sa
solidité intrinsèque ?
Dans le cas de mots de passe : longueur suffisante (8 caractères ou +), mélange obligatoire de types
de caractères, changement fréquent (<1 mois), impossibilité de réemployer un mot de passe ancien,
test de non trivialité fait en relation avec un dictionnaire, interdiction des "standards systèmes", des
prénoms, de l'anagramme de l'identifiant, de dates, etc.
Dans le cas d'authentifiants fixes (numéro de l'appelant), procédure de call-back.
Dans le cas de certificats ou d'authentification reposant sur des mécanismes cryptologiques, processus
de génération évalué ou reconnu publiquement, clés de chiffrement de longueur suffisante, etc.
05B05-03 Le processus de présentation par l'utilisateur de son authentifiant garantit-il son inviolabilité ? 4 2 11.4.2
La frappe d'un mot de passe sera toujours un point faible notable. Les seuls processus qui soient
observables sans divulguer d'information consistent soit à introduire un objet contenant un secret
(carte à puce) soit à frapper un code qui change à chaque instant (jeton type SecureId), soit à
présenter un caractère biométrique.
05B05-05 A-t-on mis en place une dévalidation automatique du poste ou de l'utilisateur appelant, en cas de 4 2
tentatives multiples infructueuses, avec nécessité d'intervention de l'administrateur pour revalider le
poste ou l'utilisateur ?
05B05-06 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de 4 2
passe, jeton, etc.) permet-elle d'inhiber instantanément l'ancien authentifiant et permet-elle un
contrôle effectif de l'identité du demandeur ?
05B05-07 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des
authentifiants, les authentifiants eux-mêmes, les règles de surveillance des tentatives de connexion,
etc. soit très limitée, qu'il existe un contrôle d'accès renforcé pour procéder à ces modifications, que
les modifications soient journalisées et auditées et qu'il existe un audit général au moins annuel de
l'ensemble des paramètres de l'authentification.
05B05-08 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test
d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
l'authentification.
05B06 Authentification de l'accédant lors des accès au réseau local depuis un sous-réseau WiFi
05B06-01 Tout sous-réseau WiFi est-il isolé du réseau local par un pare-feu ? 4 2
05B06-02 Y a-t-il un mécanisme d'authentification et de contrôle d'accès de chaque utilisateur pour toute 4 2
connexion au réseau local depuis un sous-réseau WiFi ?
05B06-03 Le processus de définition ou de modification de l'authentifiant support du contrôle d'accès pour les 4 2
accès depuis un sous-réseau WiFi vérifie-t-il le respect d'un ensemble de règles permettant d'avoir
confiance dans sa solidité intrinsèque ?
Dans le cas de mots de passe : longueur suffisante (8 caractères ou +), mélange obligatoire de types
de caractères, changement fréquent (<1 mois), impossibilité de réemployer un mot de passe ancien,
test de non trivialité fait en relation avec un dictionnaire, interdiction des "standards systèmes", des
prénoms, de l'anagramme de l'identifiant, de dates, etc.
Dans le cas d'authentifiants fixes (numéro de l'appelant), procédure de call-back.
Dans le cas de certificats ou d'authentification reposant sur des mécanismes cryptologiques, processus
de génération évalué ou reconnu publiquement, clés de chiffrement de longueur suffisante, etc.
05B06-06 A-t-on mis en place une dévalidation automatique du poste ou de l'utilisateur appelant, en cas de 4 2
tentatives multiples infructueuses, avec nécessité d'intervention de l'administrateur pour revalider le
poste ou l'utilisateur ?
05B06-07 La procédure permettant de redonner un authentifiant à un utilisateur qui a perdu le sien (mot de 4 2
passe, jeton, etc.) permet-elle d'inhiber instantanément l'ancien authentifiant et permet-elle un
contrôle effectif de l'identité du demandeur ?
05B06-08 Les paramètres de l'authentification pour les accès depuis un sous-réseau WiFi sont-ils sous contrôle 4 2
strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des
authentifiants, les authentifiants eux-mêmes, les règles de surveillance des tentatives de connexion,
etc. soit très limitée, qu'il existe un contrôle d'accès renforcé pour procéder à ces modifications, que
les modifications soient journalisées et auditées et qu'il existe un audit général au moins annuel de
l'ensemble des paramètres de l'authentification.
05B06-09 Les processus qui assurent l'authentification pour les accès depuis un sous-réseau WiFi sont-ils sous 4 3
contrôle strict ?
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test
d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
05B07 l'authentification.
Filtrage général des accès au réseau local
05B07-01 Tout accès au réseau local requiert-il la présentation d'un identifiant reconnu par le système ? 2
05B07-02 Tout identifiant reconnu par le système correspond-il à une personne physique unique et identifiable, 4 2
directement ou indirectement ?
05B07-03 Tous les comptes génériques ou par défaut ont-ils été supprimés ? 4 2
05B07-04 L'acceptation de l'identifiant par le contrôle d'accès au réseau local est-elle systématiquement sujette 4 2
à une authentification ?
L'authentification systématique requiert que ce processus soit effectivement mis en oeuvre pour
l'ensemble des voies et ports d'accès (accès interne, tous types d'accès depuis l'extérieur, y compris
05B07-05 les portsun
Y a-t-il réservés tels
contrôle que la télémaintenance
systématique du contexteéventuelle).
du demandeur d'accès (réseau local, réseau étendu, 4 2
liaison externe, nature de la liaison utilisée et protocoles) ?
05B07-06 Y a-t-il un contrôle systématique du profil du demandeur, de son contexte et de l'adéquation de ce 4 2
profil et du contexte avec l'accès demandé ?
05C02-05 La mise hors service ou le by-pass de la solution de scellement sont-ils immédiatement détectés et 4 2
signalés à une équipe permanente ou d'astreinte capable d'engendrer une réaction immédiate ?
05C02-06 En cas d'inhibition ou de by-pass de la solution de scellement ou de mise en oeuvre d'une solution de 4 2
secours du réseau par une voie non protégée, existe-t-il une procédure permettant d'en alerter
immédiatement l'ensemble des utilisateurs ?
Par exemple par un avertissement lors de l'utilisation de ce réseau demandant la validation active de
05C02-07 l'utilisateur.
Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des systèmes de scellement des 4 3
données échangées et des procédures associées ?
05C03 Chiffrement des échanges lors des accès distants au réseau local
05C03-01 A-t-on défini et mis en place des solutions de chiffrement pour les échanges avec des utilisateurs se 4 12.3.1
connectant depuis l'extérieur (nomades, prestataires autorisés à se connecter au réseau, etc.) ?
05C03-02 La solution de chiffrement offre-t-elle des garanties de solidité dignes de confiance et a-t-elle été 4 2
approuvée par le RSSI ?
Une longueur de clés suffisante est un des paramètres à prendre en compte (en fonction de
l'algorithme) mais bien d'autres paramètres également. La recommandation d'un organisme officiel, tel
05C03-03 que la DCSSI en
La procédure France,
et les peut êtrede
mécanismes unconservation,
facteur de confiance.
de distribution et d'échange de clés, et plus 4 3 12.3.2
généralement de gestion des clés, offrent-ils des garanties de solidité dignes de confiance et ont-ils
été approuvés par le RSSI ?
05C03-04 Les mécanismes de chiffrement sont-ils réalisés par des composants électroniques très solidement 4 3 3
protégés, au niveau physique, contre toute violation ou altération ?
Il s'agit ici de boîtiers de chiffrement protégés physiquement de telle sorte qu'il soit impossible
d'accéder aux mécanismes de chiffrement ou de carte à microprocesseur dont l'algorithme de
chiffrement est contenu dans le microprocesseur et protégé physiquement et logiquement
05C04-05 La connexion au réseau depuis l'extérieur est-elle impossible en dehors du contrôle d'intégrité ? 4 2
05D Contrôle, détection et traitement des incidents du réseau local
05D01 Surveillance (en temps réel) du réseau local
05D01-01 A-t-on analysé les événements ou successions d'événements pouvant être révélateurs de 4 10.10.2
comportements anormaux ou d'actions illicites et en a-t-on déduit des points ou indicateurs de
surveillance ?
05D01-02 Le système dispose-t-il d'une fonction automatique de surveillance en temps réel en cas 4 10.10.2
d'accumulation d'événements anormaux (par exemple tentatives infructueuses de connexion sur des
ports non ouverts, etc.) ?
05D01-03 Emploie-t-on un système de détection d'intrusion et d'anomalies ? 4 10.10.2
05D01-04 Existe-t-il une (ou plusieurs) application capable d'analyser les divers diagnostics individuels 4
d'anomalies et de déclencher une alerte à destination du personnel d'exploitation ?
05D01-05 Existe-t-il, parmi le personnel d'exploitation, une équipe permanente ou sous astreinte permanente 4 2
capable de réagir en cas d'alerte de la surveillance réseau ?
05D01-06 A-t-on défini pour chaque cas d'alerte, la réaction attendue de l'équipe d'intervention et sa disponibilité 4 3
est-elle suffisante pour faire face à cette attente ?
05D01-07 Les paramètres définissant les alarmes sont-ils strictement protégés (droits limités et authentification 4
05D01-08 forte)
Toute contre toutduchangement
inhibition illicitedéclenche-t-elle
système d'alerte ? une alarme auprès de l'équipe de surveillance ? 4 3 10.10.2
05D01-09 Existe-t-il un archivage (sur disque, cassette, DON, etc.) de tous les éléments ayant permis de détecter 2 10.10.3
05D01-10 une anomalie oude
Les procédures unsurveillance
incident ? du réseau et de détection d'anomalies et la disponibilité de l'équipe de 2 3
surveillance font-elles l'objet d'un audit régulier ?
05D02 Analyse (en temps différé) des traces, logs et journaux d'événements sur le réseau local
05D02-01 A-t-on fait une analyse approfondie des événements ou succession d'événements pouvant avoir un 2 10.10.1
impact sur la sécurité (connexions refusées, reroutages, reconfigurations, évolutions de performances,
accès à des informations ou des outils sensibles, etc.) ?
05D02-02 Enregistre-t-on ces événements ainsi que tous les paramètres utiles à leur analyse ultérieure ? 4 10.10.1
05D02-03 Existe-t-il une application capable d'analyser ces enregistrements ainsi que les mesures de 4 2 3
performances, d'en déduire des statistiques, un tableau de bord et des diagnostics d'anomalies
examinés par une structure ad hoc ?
06A02-06 Les mesures de sécurité décidées pour remédier aux nouveaux risques mis en évidence font-elles 4 10.3.2
l'objet de contrôles et de tests formels avant mise en exploitation ?
06A02-07 Les paramétrages de sécurité et règles de configuration (suppression de tout compte générique, 4 11.4.4;
changement de tout mot de passe générique, fermeture de tout port non explicitement demandé et 10.3.2
autorisé, paramétrages du contrôle des droits et de l'authentification, contrôles des tables de
routage, etc.) font-ils l'objet d'une liste précise, tenue à jour, et sont-ils contrôlés avant toute mise
06A02-08 en
Lesexploitation
dérogationsd'une nouvelle d'analyse
au processus version ? de risque préalable et aux contrôles des paramètres de 4
sécurité font-elles l'objet de procédures strictes avec signature d'un responsable de niveau élevé ?
06A02-09 La mise en production de nouveaux équipements ou logiciels n'est-elle possible que par le 2 2 12.4.1;
personnel d'exploitation et selon un processus de validation et d'autorisation défini ? 6.1.4
06A02-10 L'ensemble des procédures de contrôle de la mise en production fait-il l'objet d'un audit régulier ? 2 3
06A03 Contrôle des opérations de maintenance
06A03-01 Conserve-t-on une trace de toute opération de maintenance ? 1 9.2.4
06A03-02 Toute opération de maintenance doit-elle être conclue par une vérification systématique des 4 2
paramètres de sécurité (tels que définis lors de la mise en production) ?
06A03-03 Toute opération de maintenance doit-elle être conclue par une vérification systématique des 4 3
paramètres d'enregistrement des événements de sécurité (événements à enregistrer, contextes
des événements à enregistrer, durée de rétention, etc.) ?
06A03-04 Toute opération de maintenance doit-elle être conclue par une vérification systématique des 4 3
paramètres de contrôle de l'administration des équipements (profil nécessaire, type
d'authentification, suppression des login standards, etc.) ?
06A03-05 Les procédures ci-dessus sont-elles obligatoires en toute circonstance et les dérogations 4
éventuelles doivent-elles être signées par un membre de la Direction ?
06A03-06 L'ensemble des procédures de contrôle de la mise en production fait-il l'objet d'un audit régulier ? 2 3
06A04 Contrôle de la télémaintenance
06A04-01 En cas de télémaintenance, y a-t-il une procédure d'authentification forte du centre de 4 2 11.4.4
télémaintenance ?
06A04-02 En cas de télémaintenance, y a-t-il une procédure d'authentification forte de l'agent de 4 2 11.4.4
maintenance ?
06A04-03 Existe-t-il un ensemble de procédures couvrant l'attribution de droits d'utilisation à un nouvel agent, 2 11.4.4
le retrait de droits et l'ouverture de droits pour les situations d'urgence ?
06A04-04 Les procédures et protocoles d'échange de conventions secrètes, de stockage, etc. ont-elles été 4
approuvées par le RSSI ou un organisme spécialisé ?
06A04-05 L'utilisation de la ligne de télémaintenance nécessite-t-elle l'agrément préalable (à chaque 4 11.4.4
utilisation) de l'exploitation (après que le constructeur ou l'éditeur ait envoyé une demande
spécifiant la nature, la date et l'heure de l'intervention) ?
06A04-06 Les équipements ouverts à la télémaintenance sont-ils protégés contre toute inhibition ou 2 2
modification des conditions d'accès à la télémaintenance avec émission d'une alarme en cas de
violation ?
06A04-07 L'ensemble des procédures de contrôle de la télémaintenance fait-il l'objet d'un audit régulier ? 2 3
06A05 Gestion des procédures opérationnelles d'exploitation des réseaux
06A05-01 Les procédures opérationnelles d'exploitation découlent d'une étude de l'ensemble des cas à 4 10.1.1
couvrir par ces procédures (cas normaux de fonctionnement et incidents) ?
06A05-02 Les procédures opérationnelles d'exploitation sont-elles documentées, maintenues à jour et 4 10.1.1
rendues disponibles à toute personne en ayant besoin ?
06A05-03 Les modifications de ces procédures sont-elles approuvées par le management ? 2 10.1.1
06A05-04 Ces procédures sont-elles protégées contre des altérations illicites ? 2
06A05-05 L'authenticité et la pertinence des procédures opérationnelles font-elles l'objet d'un audit régulier ? 2
06A06 Gestion des prestataires de services liés aux réseaux
06A06-01 S'assure-t-on que les services de sécurité mis à charge des prestataires sont effectivement mis en 4 10.2.1
place et maintenus par lesdits prestataires ?
06A06-02 S'assure-t-on que les prestataires ont effectivement prévu les dispositions nécessaires pour être à 2 10.2.1
même d'assurer les prestations convenues ?
06A06-03 Le respect des clauses de sécurité, par les prestataires, est-il sous contrôle et fait-il l'objet de 4 10.2.2
revues régulières ?
06A06-04 S'assure-t-on que les prestataires signalent et documentent tout incident de sécurité touchant 2 10.2.2
l'information ou les réseaux et y a-t-il une revue régulière de ces incidents ou des
dysfonctionnements avec les prestataires concernés?
06A06-05 Tout changement dans les relations contractuelles et les niveaux de service fait-il l'objet d'une 2 10.2.3
analyse de son impact sur l'activité et des risques potentiels ?
06A07 Prise en compte de la confidentialité lors des opérations de maintenance sur les
équipements de réseau
06A07-01 Existe-t-il une procédure décrivant en détail les opérations à mener, avant appel à la maintenance, 4 9.2.6; 9.2.4
pour empêcher que celle-ci ait accès aux données critiques (clés de chiffrement ou de protection de
réseau, configurations des équipements de sécurité, etc.) ?
06A07-02 Existe-t-il une procédure et une clause contractuelle vis-à-vis du personnel de maintenance (interne 4 9.2.4
et externe), spécifiant que tout support ayant contenu des informations sensibles doit être détruit
en cas de mise au rebut ?
06A07-03 Existe-t-il une procédure de vérification de l'intégrité des systèmes après intervention de la 2
maintenance (absence de logiciel espion, absence de cheval de Troie, etc.) ?
06A07-04 Les procédures ci-dessus sont-elles obligatoires en toute circonstance et les dérogations 2 3
éventuelles doivent-elles être signées par un membre de la Direction ?
06A07-05 Les procédures ci-dessus font-elles l'objet d'un audit régulier ? 2 3
06A08 Gestion des contrats de services réseaux
06A08-01 Les dispositifs de sécurité nécessaires, les niveaux de services et obligations du management ont- 4 10.6.2
ils été identifiés pour chaque service réseau et inclus dans un contrat de service (que ces services
soient assurés en interne ou par un prestataire externe) ?
06A08-02 Le management contrôle-t-il l'application des mesures correspondantes ? 2 10.6.2
06B Paramétrage et contrôle des configurations matérielles et logicielles
06B01 Paramétrage des équipements de réseau et contrôle de la conformité des configurations
06B01-01 Existe-t-il un document (ou un ensemble de documents) ou une procédure opérationnelle décrivant 4 2
l'ensemble des versions de système, des paramètres de sécurité des équipements de réseau
découlant de la politique de protection des réseaux et des règles de filtrage décidées ?
06B01-02 Ce (ou ces) document impose-t-il de supprimer l'ensemble des comptes génériques ou par défaut et 4 2
en établit-il la liste ?
06B01-03 Cette procédure impose-t-elle la mise en place d'un dispositif de synchronisation avec un référentiel 4 10.10.6
06B01-04 de
Cestemps précis ? sont-ils régulièrement mis à jour en fonction de l'état des connaissances, en
paramétrages 2 3
relation avec un organisme expert (audits spécialisés, abonnement à un centre de service,
consultation régulière des avis des CERTs, etc.) ?
06B01-05 Ces documents de référence (ou des copies des paramètres installés, considérées comme des 2 3
références) sont-ils protégés contre toute altération indue ou illicite, par des mécanismes forts
(sceau électronique) ?
06B01-06 L'intégrité des configurations par rapport aux configurations théoriquement attendues est-elle 4 2 15.2.2
testée à chaque initialisation du système et/ou très régulièrement (hebdomadairement) ?
06B01-07 Procède-t-on à des audits réguliers de la liste des paramètres de sécurité, du paramétrage 2 10.1.4;
effectivement réalisé et des procédures d'exception et d'escalade en cas de difficulté ? 15.2.2
06B01-08 Les systèmes de développement et de test sont-ils séparés des systèmes opérationnels ? 1 10.1.4
06B02 Contrôle de la conformité des configurations utilisateurs
06B02-01 Existe-t-il un document décrivant l'ensemble des paramètres à contrôler sur les postes utilisateurs 4 2
concernant leurs possibilités de connexion externe (modem, WiFi, ...) ?
06B02-02 Ce document est-il régulièrement mis à jour en fonction de l'état des connaissances, en relation 4 2
avec un organisme expert (audits spécialisés, abonnement à un centre de service, consultation
régulière des avis des CERTs, etc.) ?
06B02-03 Ce document de référence est-il protégé contre toute altération indue ou illicite, par des 4 3
mécanismes forts (sceau électronique) ?
06B02-04 Contrôle-t-on systématiquement et à chaque connexion, la conformité des configurations des 2 2
équipements réseau des postes de travail des utilisateurs par rapport à ce document de référence ?
06B02-05 Y a-t-il des automates analysant systématiquement l'utilisation du réseau phonie pour transmettre 4
des données ?
06B02-06 Y a-t-il des automates analysant la présence de borne non déclarée de réseau sans fil (WiFi) ? 4
06B02-07 La configuration des postes utilisateurs les empêche-t-elle de modifier les configurations et 4
d'installer des logiciels systèmes ?
06B02-08 Procède-t-on à des audits réguliers du document de référence spécifiant les configurations 2 3
utilisateurs, et de l'application régulière des procédures de contrôle des configurations ?
06C Contrôle des droits d'administration
06C01 Gestion des droits privilégiés sur les équipements de réseau
06C01-01 A-t-on établi une politique de gestion des droits privilégiés sur les équipements de réseau 2 11.1.1
s'appuyant sur une analyse préalable des exigences de sécurité, basées sur les enjeux business?
06C01-02 Cette politique est-elle documentée, revue régulièrement et approuvée par les responsables 2
concernés?
06C01-03 A-t-on défini, au sein de l'exploitation des réseaux, des profils correspondant à chaque type 4 10.6.1;
d'activité (administration d'équipements, administration d'équipement de sécurité, pilotage réseau, 11.2.2;
opérations de gestion de supports et sauvegardes, etc.) ? 10.1.3
06C01-04 A-t-on défini, pour chaque profil, les droits privilégiés nécessaires ? 4 2 10.1.3;
10.6.1
06C01-05 La procédure d'attribution de droits privilégiés nécessite-t-elle l'accord formel de la hiérarchie (ou 4 2 10.1.3
du responsable de la prestation pour un prestataire) à un niveau suffisant et n'est-elle attribuée
qu'en fonction du profil du titulaire ?
06C01-06 Le processus d'attribution (ou modification ou retrait) de droits privilégiés à un individu est-il 4 2 3 11.2.2
strictement contrôlé ?
Un contrôle strict requiert une reconnaissance formelle de la signature (électronique ou non) du
demandeur, qu'il existe un contrôle d'accès très renforcé pour pouvoir attribuer ou modifier de tels
droits, et que les modifications d'attributions de droits privilégiés soient journalisées et auditées.
06C01-07 Y a-t-il un processus d'invalidation systématique des droits privilégiés lors de départs ou mutations 2 11.2.4
de personnel ?
06C01-08 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits privilégiés attribués ? 1 2 11.2.4
06C02 Authentification et contrôle des droits d'accès des administrateurs et personnels
d'exploitation
06C02-01 Le protocole d'authentification des administrateurs ou possesseurs de droits privilégiés est-il 4 2
considéré comme "fort" ?
Un protocole d'authentification est considéré comme fort s'il n'est pas susceptible d'être mis en
brèche par une observation ou une écoute de réseau, ni mis en défaut par des outils de spécialistes
(en particulier des outils de craquage de mots de passe). Il s'agit de protocole s'appuyant
06C02-02 A défaut, s'il s'agit
généralement deprocédés
sur des mots de cryptologiques.
passe, les règles imposées peuvent-elles être considérées comme 2
très strictes et ont-elles été approuvées par le RSSI ?
Des règles très strictes supposent des mots de passe non triviaux et testés comme tels avant
acceptation, des mélanges de différents types de caractères avec une longueur importante (10
caractères ou +)
06C02-03 Cette authentification forte est-elle la règle aussi bien pour la connexion des administrateurs au 4 2
système de supervision éventuel qu'entre ce système et les équipements de réseau ?
Si l'administrateur se connecte à un hyperviseur de management (genre HP OpenView, IBM TIVOLI,
Unicenter de CA, Patrol de BMC ou Bull OpenMaster) avec une authentification éventuellement forte
et un contrôle d'accès réel, il faut également que le contrôle soit effectif, avec la même robustesse,
au niveau des différents objets à administrer (en évitant, par ex. en snmp les pswd en clair, les
groupes community et public par défaut, les accès par telnet ou SQL simple) pour éviter des actions
malveillantes directes sur les équipements.
06C02-04 Y a-t-il un contrôle systématique des droits de l'administrateur, de son contexte et de l'adéquation 4
de ces droits et du contexte avec l'accès demandé, en fonction de règles de contrôle d'accès
formalisées ?
06C02-05 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition
des authentifiants, les authentifiants eux-mêmes, les règles de surveillance des tentatives de
connexion, etc. soit très limitée, qu'il existe un contrôle d'accès renforcé pour procéder à ces
modifications, que les modifications soient journalisées et auditées et qu'il existe un audit général
au moins annuel de l'ensemble des paramètres de l'authentification.
06C02-06 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
l'authentification.
06C02-07 Existe-t-il un audit régulier des personnels ayant des profils et des droits privilégiés, des procédures 4 3 11.2.4
d'attribution de profils, des profils effectivement attribués et des paramètres de sécurité de
protection des profils et des droits ?
06C03 Surveillance des actions d'administration des réseaux
06C03-01 A-t-on fait une analyse approfondie des événements ou successions d'événements menés avec des 2 10.10.4;
droits d'administration et pouvant avoir un impact sur la sécurité des réseaux (configuration des 10.6.1
systèmes de sécurité, accès à des informations sensibles, utilisation d'outils sensibles,
téléchargement ou modification d'outils d'administration, etc.) ?
06C03-02 Enregistre-t-on ces événements ainsi que tous les paramètres utiles à leur analyse ultérieure ? 4 10.10.4;
10.6.1
06C03-03 Existe-t-il un système permettant de détecter toute modification ou suppression d'un 4 2 10.10.4
enregistrement passé et de déclencher une alerte immédiate auprès d'un responsable ?
06C03-04 Existe-t-il une synthèse de ces enregistrements permettant à la hiérarchie de détecter des 4 3 10.10.4
comportements anormaux ?
06C03-05 Existe-t-il un système permettant de détecter toute modification des paramètres d'enregistrement 4 2 10.10.4
et de déclencher une alerte immédiate auprès d'un responsable ?
06C03-06 Toute inhibition du système d'enregistrement et de traitement des enregistrements déclenche-t-elle 4 3 10.10.4
une alarme auprès d'un responsable ?
06C03-07 Les enregistrements ou les synthèses sont-ils conservés sur une longue durée et protégés contre 2 10.10.4
toute altération ou destruction ?
06C03-08 Les procédures d'enregistrement des actions privilégiées et de traitement de ces enregistrements 2 3
font-elles l'objet d'un audit régulier ?
06C04 Contrôle des outils et utilitaires de l'exploitation
06C04-01 Les outils ou utilitaires sensibles (administration des privilèges, gestion des configurations, 4
sauvegardes, copies, reprises à chaud, etc.) sont-ils recensés de manière exhaustive pour chaque
type de profil de personnel d'exploitation ?
06C04-02 Les outils ou utilitaires sensibles d'un profil d'exploitation ne sont-ils utilisables que par les titulaires 2 2
du profil correspondant, après authentification individuelle forte (carte à puce, jeton, etc.) ?
06C04-03 Est-il interdit d'ajouter ou de créer des outils ou utilitaires sans autorisation formelle et cette 2 2
interdiction est-elle régulièrement contrôlée par un automatisme avec alerte auprès d'un
responsable ?
06C04-04 La limitation des privilèges accordés aux équipes d'exploitation les empêche-t-elle de modifier les 4 2
outils ou les utilitaires de l'exploitation ou, à défaut, existe-t-il un contrôle de toute modification
avec alerte auprès d'un responsable ?
06C04-05 L'attribution des profils et la mise en oeuvre des mesures de sécurité précédentes font-elles l'objet 2 2
d'un audit régulier ?
06D Procédures d'audit et de contrôle des réseaux
06D01 Fonctionnement des contrôles d'audit
06D01-01 Les exigences et les procédures à respecter pour les audits menés sur les réseaux ont-elles été 15.3.1
édictées par le management ? 4
06D01-02 Les règles concernant les audits menés sur les réseaux, les procédures et responsabilités associées, 15.3.1
sont-elles définies et documentées ?
Les limites à apporter concernent les types d'accès aux équipements, les contrôles et les
traitements admis, l'effacement des données sensibles obtenues, le marquage de certaines 3
opérations, ... ainsi que l'habilitation des personnes réalisant l'audit
07A02-04 Y a-t-il un processus de remise à jour systématique de la table des autorisations d'accès lors de 2 11.2.4
départs de personnel interne ou externe à l'entreprise ou de changements de fonctions ?
07A03-09 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
l'authentification (y compris des processus visant à détecter les tentatives de violation et les
processus de réaction à ces tentatives de violation).
07A04 Filtrage des accès et gestion des associations
07A04-01 Tout accès au système requiert-il la présentation d'un identifiant reconnu par le système ? 1 11.5.2
07A04-02 Tout identifiant reconnu par le système correspond-il à une personne physique unique et 4 2 11.5.2
identifiable, directement ou indirectement ?
Nota : Dans le cas où une application en appelle une autre ou déclenche un appel système, il se
peut que l'application ne transfère pas au système cible l'identifiant ayant initialisé la demande. Le
lien entre cet appel et l'identifiant et la personne d'origine doit cependant rester possible a
posteriori.
07A04-03 Tous les comptes génériques ou par défaut ont-ils été supprimés ? 4 2 11.5.2
07A04-04 L'acceptation de l'identifiant par le système est-elle systématiquement sujette à une 2 2 11.5.2
authentification ?
L'authentification systématique requiert que ce processus soit effectivement mis en oeuvre pour
l'ensemble des sous-systèmes (moniteur de télétraitement, SGBD, traitements par lots, etc.) et pour
toutes les demandes d'accès en provenance des applications ainsi que pour toutes les voies et
ports d'accès, y compris depuis des ports réservés tels que la télémaintenance éventuelle.
07A04-05 Y a-t-il une répétition de la procédure d'authentification en cours de session pour les transactions 4
jugées sensibles ?
07A04-06 Y a-t-il une dévalidation automatique de l'identifiant de l'utilisateur, en cas d'absence d'échange 4 11.5.5
après un délai défini, nécessitant une nouvelle identification - authentification ?
07A04-07 Y a-t-il un contrôle systématique du profil du demandeur, de son contexte et de l'adéquation de ce 4 2
profil et du contexte avec l'accès demandé, en fonction de règles de contrôle d'accès formalisées ?
07A04-08 Les paramètres de définition et de gestion des règles de filtrage des accès sont-ils sous contrôle 4 2
strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de
sécurité du filtrage des accès soit très limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir
les modifier, et que les modifications soient journalisées et auditées.
07C01-06 Existe-t-il un archivage (sur disque, cassette, DON, etc.) de tous ces enregistrements, conservés sur 2 10.10.1;
une longue période et de manière infalsifiable ? 10.10.3
07C01-07 Les paramètres de définition et de gestion des règles d'enregistrement des login et applications 4 2 10.10.3
appelées sont-ils sous contrôle strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de
définition et de gestion des règles d'enregistrement des login et applications appelées soit très
limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir les modifier, et que les modifications
soient journalisées et auditées.
07C01-08 Les processus qui assurent l'enregistrement des login et applications appelées sont-ils sous contrôle 4 3
strict ?
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus
d'enregistrement (y compris des processus visant à détecter les tentatives de modification et les
processus de réaction à ces tentatives de modification).
07C02 Enregistrement des appels aux procédures privilégiées
07C02-01 A-t-on procédé a une analyse spécifique des appels systèmes privilégiés que l'on souhaite 4 10.10.2
journaliser et des paramètres concernant ces appels à conserver ?
07C02-02 Utilise-t-on un outil ou une application de contrôle permettant de journaliser et d'enregistrer les 4 10.10.2
appels systèmes sensibles (utilitaires sensibles nécessitant des droits privilégiés, accès aux fichiers
de sécurité, administration de paramètres de sécurité, etc.) ?
07C02-03 Les règles spécifiant les appels aux procédures privilégiées à journaliser et enregistrer sont-elles 2
formalisées ?
07C02-04 Les règles spécifiant les appels systèmes sensibles à journaliser et enregistrer couvrent-elles les 2 10.10.1
éléments essentiels pour une investigation en cas d'anomalie ?
Ces règles devraient spécifier pour chaque type d'appel (consultation, création, modification,
destruction, etc.) les éléments fondamentaux à enregistrer, par exemple la nature de l'événement,
l'identifiant, le service système demandé, date et heure, etc.
07C02-05 Ces règles ont-elles été validées par la Direction Juridique (en particulier pour les enregistrements 2 2 10.10.1
contenant des données à caractère personnel) ?
07C02-06 Existe-t-il un archivage (sur disque, cassette, DON, etc.) de tous ces enregistrements, conservés sur 2 10.10.3;
une longue période et de manière infalsifiable ? 10.10.1
07C02-07 Les paramètres de définition et de gestion des règles d'enregistrement des appels aux procédures 4 2 10.10.3
privilégiées sont-ils sous contrôle strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres
d'enregistrement soit très limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir les
07C02-08 modifier, et quequi
Les processus lesassurent
modifications soient journalisées
l'enregistrement et auditées.
des appels systèmes sensibles sont-ils sous contrôle 4 3
strict ?
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus
d'enregistrement (y compris des processus visant à détecter les tentatives de modification et les
processus de réaction à ces tentatives de modification).
07D Sécurité de l'architecture
07D01 Sûreté de fonctionnement des éléments d'architecture
07D01-02 Cette analyse a-t-elle permis de formaliser les performances minimales à assurer au niveau de 4 2
chaque système et ces performances minimales ont-elles été acceptées par les utilisateurs
(propriétaires d'information) ?
07D01-03 En a-t-on déduit des architectures de redondance (ex. clusters) ou de réplication (ex. disques 4 2
miroirs) appropriées pour les serveurs ou équipements concernés ?
07D01-04 Cette architecture et sa mise en oeuvre en cas d'incident ou de panne garantissent-ils la 4 2
satisfaction des performances minimales ?
Une telle garantie suppose, soit que les systèmes à tolérance de panne soient entièrement
automatiques, soit que les systèmes de détection et les capacités de réaction du personnel à même
de procéder
07D01-05 S'est-on aux dans
assuré, reconfigurations
ce cas, que manuelles aient été
les équipements spécifiés avec
de servitude cet objectif.
(alimentation en énergie, 2
climatisation, etc.) n'introduisaient pas de vulnérabilité supplémentaire ou ne détruisaient pas les
redondances prévues au niveau des équipements ou de l'architecture ?
07D01-06 La mise hors service ou l'inhibition de tout équipement de redondance ou de tout système de 2
détection nécessaire à une intervention manuelle ou à une reconfiguration automatique sont-elles
détectées et déclenchent-elles une alarme auprès d'un responsable de l'exploitation ?
07D01-07 Procède-t-on régulièrement à des tests visant à démontrer la capacité des éléments de sécurité à 2 3
assurer les performances minimales en cas d'incident ou de panne ?
07D02 Isolement des systèmes sensibles
07D02-01 A-t-on analysé la sensibilité des systèmes généraux (en fonction des applications et des données 3 11.6.2
traitées) y compris systèmes généraux périphériques tels que systèmes ou robots de sauvegarde,
serveurs d'impression ou équipement central d'impression, etc.) pour mettre en évidence leurs
exigences de sécurité ?
Une analyse approfondie suppose que l'on établisse une liste de scénarios d'incidents (D, I, C) et
qu'on en analyse toutes les conséquences prévisibles.
07D02-02 Cette analyse a-t-elle permis de formaliser les exigences minimales à assurer au niveau de chaque 3 11.6.2
système et ces exigences minimales ont-elles été acceptées par les utilisateurs (propriétaires
d'information) ?
07D02-03 En a-t-on déduit des mesures d'isolement (physique et logique) appropriées pour les serveurs ou 3 11.6.2
équipements concernés ?
Ces mesures peuvent couvrir la séparation des centres hébergeant des serveurs sensibles d'autres
serveurs et/ou des applications sur différents serveurs
08A04-09 L'impact éventuel des évolutions de systèmes sur les plans de continuité a-t-il été pris en compte ? 2 10.3.2
08A04-10 Les dérogations au processus d'analyse de risque préalable et aux contrôles des paramètres de sécurité font-elles 4 12.4.1
l'objet de procédures strictes avec signature d'un responsable de niveau élevé ?
08A04-11 La mise en production de nouveaux systèmes ou applications n'est-elle possible que par le personnel 2 2 6.1.4
d'exploitation et selon un processus de validation et d'autorisation défini ?
08A04-12 L'ensemble des procédures de contrôle de la mise en production fait-il l'objet d'un audit régulier ? 2 3
08A05 Contrôle des opérations de maintenance
08A05-01 Conserve-t-on une trace de toute opération de maintenance ? 1 9.2.4
08A05-02 Toute opération de maintenance doit-elle être conclue par un contrôle systématique des paramètres de sécurité 4 2
(tels que définis lors de la mise en production) ?
08A05-03 Toute opération de maintenance doit-elle être conclue par un contrôle systématique des paramètres 4 3
d'enregistrement des événements de sécurité (événements à enregistrer, contextes des événements à
enregistrer, durée de rétention, etc.) ?
08C02-03 Les processus qui assurent la gestion du marquage des supports sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel applicatif éventuellement utilisé ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de gestion du
marquage des supports (y compris de la gestion des anomalies détectées).
Cela suppose également qu'il existe un document rappelant l'ensemble des exigences concernant le marquage
des supports.
08C04 Sécurité physique des supports externalisés (stockés sur un site externe)
08C04-01 Utilise-t-on une société spécialisée dans le stockage des supports d'archives ou de sauvegardes externalisées 4
offrant des garanties contractuelles de sécurité ?
08C04-02 Les clauses contractuelles signées avec la société assurant la prestation de stockage externalisé assurent-elles 4
un haut niveau de sécurité du stockage (authentification forte pour les accès, contrôle des issues annexes et de
secours, détection d'intrusion, télésurveillance, protection contre les risques naturels, équipe d'intervention, etc.) ?
08C04-03 Lors du transfert de données sensibles sur support informatique pour stockage externe, existe-t-il une procédure 4 10.8.3
imposant des conteneurs haute sécurité et des convoyeurs accrédités par l'entreprise ?
08C04-04 Les clauses contractuelles ou une procédure annexe précisent-elles les conditions de rappel ou de restitution des 4
supports stockés garantissant que la personne à laquelle sont restitués les supports en a bien l'autorisation, ceci
même en cas de procédure d'urgence ?
08C04-05 Procède-t-on périodiquement à un audit des mesures de sécurité employées par la société assurant le stockage 2 3
externe des archives et sauvegardes ainsi que des procédures de gestion des supports (transport et restitution) ?
08C04-06 Procède-t-on périodiquement à un audit des clauses contractuelles régissant les rapports avec la société assurant 2 3
le stockage externe des archives et sauvegardes ?
08C06-07 Les mécanismes de sécurité des accès aux données sont-ils très solidement protégés contre toute violation ou 4 3
altération ?
08C06-08 La mise hors service ou le by-pass des dispositifs de sécurité sont-ils immédiatement détectés et signalés à une 4 2
équipe permanente ou d'astreinte capable d'engendrer une réaction immédiate ?
08C06-09 Existe-t-il une procédure précisant la conduite à tenir en cas d'erreur ou d'alerte ? 3
08C07 Sécurité physique des media en transit
08C07-01 Les transferts de media entre sites (internes ou externes) sont-ils strictement contrôlés (procédures spécifiques, 2 10.8.3
accompagnement ou container sécurisé, etc.) ?
08C07-02 Toute anomalie ou perte de media est-elle immédiatement signalée et suivie d'une enquête ? 2 10.8.3
08C07-03 Les procédures de transfert de media sont-elles régulièrement auditées ? 2 3
08D Continuité de fonctionnement
08D01 Organisation de la maintenance du matériel
08D01-01 Tous les matériels sont-ils couverts par un contrat de maintenance ? 2 9.2.4
08D01-02 Existe-t-il des contrats de maintenance particuliers pour tous les matériels demandant une forte disponibilité dont 4
la réparation ou le remplacement ne pourrait s'effectuer dans des délais acceptables ?
08D01-06 Ces contrats prévoient-ils des clauses spécifiques lorsque l'indisponibilité du matériel dépasse la durée fixée au 4 3
contrat (pénalités, remplacement du matériel, etc.) et ce quelles qu'en soient les raisons (difficulté technique,
grève du personnel, etc.) ?
08D01-07 Les contrats de maintenance prévoient-ils le remplacement complet des équipements en cas d'endommagement 4
important non susceptible d'être pris en charge par une maintenance curative ?
08D01-08 Les contrats de maintenance, le choix des prestataires et les procédures de maintenance associées font-ils l'objet 2 3
d'un audit régulier ?
08D02 Organisation de la maintenance du logiciel (système, middleware et progiciel applicatif)
08D02-01 Existe-t-il des contrats de maintenance pour tous les produits logiciels provenant de sources externes installés 2
(logiciels systèmes, middleware, progiciels applicatifs)?
08D02-02 Les fournisseurs disposent-ils d'un centre technique de support logiciel garantissant une assistance téléphonique 2
rapide et compétente ?
08D02-03 Les contrats de maintenance logiciel prévoient-ils la mise à disposition périodique de nouvelles versions prenant 1
en compte toutes les corrections apportées au produit ?
08D02-04 Existe-t-il des contrats de maintenance particuliers pour tous les logiciels (systèmes, middleware et progiciels) 4
demandant une forte disponibilité et dont la maintenance courante ne pourrait s'effectuer dans des délais
acceptables ?
08D02-05 Ces contrats prévoient-ils des engagements d'intervention dont la durée maximale est fixée au contrat et 4 2
compatible avec les impératifs de disponibilité ?
08D02-06 Ces contrats prévoient-ils des horaires et jours d'intervention (24h/24, 7j/7, par exemple ) compatibles avec les 4 2
impératifs de disponibilité ?
08D02-07 Ces contrats prévoient-ils les conditions d'escalade en cas de difficulté d'intervention et les possibilités et 4 3
conditions d'appel aux meilleurs spécialistes ?
08D02-08 Ces contrats prévoient-ils des clauses spécifiques lorsque l'indisponibilité du système dépasse la durée fixée au 4 2
contrat (pénalités) et ce quelles qu'en soient les raisons (difficulté technique, grève du personnel, etc.)?
08D02-09 Les contrats de maintenance, le choix des prestataires et les procédures de maintenance associées font-ils l'objet 2 3
d'un audit régulier ?
08D03 Procédures et plans de reprise des applications sur incidents
08D03-01 A-t-on établi, pour chaque application, une liste des incidents pouvant intervenir en cours d'exploitation et a-t-on 4
analysé, pour chacun d'eux, les conséquences possibles sur la cohérence des données et sur la continuité des
services offerts ?
08D03-02 A-t-on établi, pour chaque incident, les moyens de diagnostic correspondants ? 4
08D03-03 A-t-on établi, pour chaque incident, la solution à mettre en oeuvre pour restaurer la cohérence des données et les 4
conditions de poursuite du service ainsi que les opérations à mener par le personnel d'exploitation (et les outils
éventuellement nécessaires pour cela) ?
08D03-04 A-t-on défini, pour chaque incident d'exploitation, un délai de résolution et une procédure d'escalade en cas 2
d'insuccès ou de retard des mesures prévues ?
08D03-05 Les moyens de diagnostic nécessaires à l'intervention du personnel d'exploitation sont-ils protégés contre toute 2 3
inhibition ou altération non justifiées ?
08D05-10 Les procédures de sauvegarde et de conservation des données offrent-elles des garanties de conformité aux 1 10.5.1
régulations et aux engagements de l'organisation en ce qui concerne la confidentialité et l'intégrité ?
08D05-11 Procède-t-on régulièrement à des tests de relecture des sauvegardes des données applicatives ? 2 3 10.5.1
08D05-12 Dispose-t-on systématiquement de plusieurs générations de fichiers afin de pouvoir s'affranchir d'un manque ou 4 10.5.1
d'un illisible, en organisant par exemple une rotation des supports de sauvegarde ?
08D05-13 L'ensemble des procédures et plans de sauvegarde de données fait-il l'objet d'un audit régulier ? 2 3
08D06 Plans de Reprise d'Activité
08D06-01 A-t-on identifié précisément les scénarios de sinistre pouvant affecter l'infrastructure et les services informatiques, 4 14.1.3
établi des plans de secours correspondants et analysé, pour chaque scénario, ses conséquences en termes de
services non rendus aux utilisateurs ?
08D06-02 A-t-on défini, pour chaque scénario et en accord avec les utilisateurs, un échéancier des services minimum à 4 2 14.1.3
assurer en fonction du temps ?
Les pertes d'information, les moyens de les reconstituer et les procédures opérationnelles intérimaires doivent être
considérées.
08D06-03 A-t-on défini et mis en place, en conséquence et pour faire face à chaque scénario retenu, une solution de 4 2 14.1.3
secours respectant les demandes des utilisateurs ?
08D06-04 Les ressources organisationnelles, techniques et humaines sont-elles suffisantes et éduquées afin d'adresser les 4 14.1.3
exigences pour l'organisation ?
Il faudra veiller à introduire des moyens permettant de pallier à des défaillances en personnel et à former tous les
acteurs concernés.
08D06-05 Les solutions de continuité des services informatiques sont-elles décrites en détail dans des Plans de Reprise 4 14.1.3
d'Activité incluant les règles de déclenchement, les actions à mener, les priorités, les acteurs à mobiliser et leurs
coordonnées ?
08D06-06 Ces plans sont-ils testés au moins une fois par an ? 4 2 14.1.5
08D06-07 Les tests effectués permettent-ils de garantir la capacité des personnels et des systèmes de secours à assurer, en 4 3 14.1.5
pleine charge opérationnelle, les services minimum demandés par les utilisateurs ?
Les tests requis pour obtenir cette garantie reposent généralement sur des essais en vraie grandeur impliquant
l'ensemble des utilisateurs et pour chaque variante de scénario. Les résultats des tests doivent être consignés et
analysés afin d'améliorer les capacités de l'organisation à répondre aux situations envisagées.
08D06-08 Si les solutions de secours incluent des livraisons de matériels, qui ne peuvent être déclenchées lors des tests, 4 2
existe-t-il un contrat d'engagement de livraison des matériels de remplacement dans des délais fixés et prévus au
plan de secours, par le constructeur ou un tiers (leaser, broker, autres) ?
08D06-09 Le cas de défaillance ou d'indisponibilité du moyen de secours est-il prévu une solution de remplacement (back-up 2 3
de deuxième niveau) et cette solution a-t-elle été testée ?
08D06-10 La solution de secours est-elle utilisable pour une durée illimitée ou, à défaut, est-il prévu une deuxième solution 2 3
venant en remplacement de la première après un temps déterminé ?
08D06-11 L'existence, la pertinence et la mise à jour des plans de reprise d'activité font-elles l'objet d'un audit régulier ? 2 3
08F01-05 Y a-t-il un processus d'invalidation systématique des droits privilégiés lors de départs ou mutations de personnel ? 2 11.2.4
08F01-06 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits privilégiés attribués ? 1 2 11.2.4
08F02 Authentification et contrôle des droits d'accès des administrateurs et personnels d'exploitation
08F02-01 Le protocole d'authentification des administrateurs ou possesseurs de droits privilégiés est-il considéré comme 4 4
"fort" ?
Un protocole d'authentification est considéré comme fort s'il n'est pas susceptible d'être mis en brèche par une
observation ou une écoute de réseau, ni mis en défaut par des outils de spécialistes (en particulier des outils de
craquage de mots de passe). Il s'agit de protocole s'appuyant généralement sur des procédés cryptologiques.
08F02-02 A défaut, s'il s'agit de mots de passe, les règles imposées peuvent-elles être considérées comme très strictes et 2
ont-elles été approuvées par le RSSI ?
Des règles très strictes supposent des mots de passe non triviaux et testés comme tels avant acceptation, des
mélanges de différents types de caractères avec une longueur importante (10 car ou +)
08F02-03 Y a-t-il un contrôle systématique des droits de l'administrateur, de son contexte et de l'adéquation de ces droits et 4
du contexte avec l'accès demandé, en fonction de règles de contrôle d'accès formalisées ?
08F02-04 Les paramètres de l'authentification sont-ils sous contrôle strict ? 4 2
Un contrôle strict requiert que la liste des personnes habilitées à changer les règles de définition des
authentifiants, les authentifiants eux-mêmes, les règles de surveillance des tentatives de connexion, etc. soit très
limitée, qu'il existe un contrôle d'accès renforcé pour procéder à ces modifications, que les modifications soient
journalisées et auditées et qu'il existe un audit général au moins annuel de l'ensemble des paramètres de
l'authentification.
08F02-05 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un test d'intégrité
(sceau) et qu'il existe un audit au moins annuel des procédures et processus de l'authentification.
08F02-06 Existe-t-il un audit régulier des personnels ayant des profils et des droits privilégiés, des procédures d'attribution 4 3 11.2.4
de profils, des profils effectivement attribués et des paramètres de sécurité de protection des profils et des droits ?
08F03 Surveillance des actions d'administration des systèmes
08F03-01 A-t-on fait une analyse approfondie des événements ou successions d'événements menés avec des droits 2 10.10.4
d'administration et pouvant avoir un impact sur la sécurité (configuration des systèmes de sécurité, accès à des
informations sensibles, utilisation d'outils sensibles, téléchargement ou modification d'outils d'administration,
08F03-02 Enregistre-t-on ces événements ainsi que tous les paramètres utiles à leur analyse ultérieure ? 4 10.10.4
08F03-03 Existe-t-il un système permettant de détecter toute modification ou suppression d'un enregistrement passé et de 4 2 10.10.4
déclencher une alerte immédiate auprès d'un responsable ?
08F03-04 Existe-t-il une synthèse de ces enregistrements permettant à la hiérarchie de détecter des comportements 4 3 10.10.4
anormaux ?
09A02-04 Y a-t-il un processus de remise à jour systématique de la table des autorisations d'accès lors de 2 11.2.4
départs de personnel interne ou externe à l'entreprise ou de changements de fonctions ?
09A02-05 Y a-t-il un processus strictement contrôlé (voir ci-dessus) permettant de déléguer ses propres 4
autorisations en tout ou en partie, à une personne de son choix, pour une période déterminée (en
cas d'absence) ?
Dans ce cas les droits délégués ne doivent plus être autorisés à la personne qui les a délégués. Cette
dernière doit cependant avoir la possibilité de les reprendre, en annulant ou en suspendant la
délégation.
09A03-03 Le processus de présentation par l'utilisateur de son authentifiant garantit-il son inviolabilité ? 4 2 11.5.3
La frappe d'un mot de passe sera toujours un point faible notable. Les seuls processus qui soient
observables sans divulguer d'information consistent soit à introduire un objet contenant un secret
(clé, carte à puce, etc.) soit à frapper un code qui change à chaque instant (jeton), soit à présenter
un caractère biométrique.
09A03-04 La conservation et l'utilisation par l'utilisateur (ou par des systèmes représentant l'utilisateur) ou par 2 2 3 11.5.3
les systèmes cibles d'éléments de référence supports de l'authentification ainsi que leur transmission
entre l'utilisateur et les systèmes cibles font-elles appel à des mécanismes qui en garantissent
l'inviolabilité et l'authenticité ?
Dans le cas de mots de passe, ils doivent être stockés chiffrés et un contrôle d'accès préliminaire à
l'utilisation de ces éléments par l'utilisateur doit être effectué.
La transmission d'un mot de passe doit être chiffrée ou utiliser un algorithme qui introduise un aléa à
chaque transmission.
Dans le cas d'authentification faisant appel à des procédés cryptologiques, le mécanisme doit
présenter des garanties de solidité validées par un organisme de référence.
09A03-08 Les processus qui assurent l'authentification sont-ils sous contrôle strict ? 4 3
Un contrôle strict requiert que le logiciel correspondant ait été validé et subisse régulièrement un
test d'intégrité (sceau) et qu'il existe un audit au moins annuel des procédures et processus de
l'authentification (y compris des processus visant à détecter les tentatives de violation et les
processus de réaction à ces tentatives de violation).
09A04 Filtrage des accès et gestion des associations
09A04-01 Tout accès aux applications requiert-il la présentation d'un identifiant reconnu par elles ? 1 11.5.2;
11.6.1
09A04-02 Tout identifiant reconnu par les applications correspond-il à une personne physique unique et 4 2 11.6.1;
identifiable, directement ou indirectement ? 11.5.2
Nota : Dans le cas où une application en appelle une autre ou déclenche un appel système, il se peut
que l'application ne transfère pas au système cible l'identifiant ayant initialisé la demande. Le lien
entre cet appel et l'identifiant et la personne d'origine doit cependant rester possible a posteriori.
09A04-03 Tous les comptes génériques ou par défaut ont-ils été supprimés ? 4 2 11.5.2
09A04-04 L'acceptation de l'identifiant par le système est-elle systématiquement sujette à une 2 2 11.5.2
authentification ?
L'authentification systématique requiert que ce processus soit effectivement mis en oeuvre pour
l'ensemble des sous-systèmes (moniteur de télétraitement, SGBD, traitements par lots, etc.) et pour
toutes les demandes d'accès en provenance des applications ainsi que pour toutes les voies et ports
d'accès, y compris depuis des ports réservés tels que la télémaintenance éventuelle.
09A04-05 Y a-t-il une répétition de la procédure d'authentification en cours de session pour les transactions 4 11.5.6
jugées sensibles ?
09A04-06 Y a-t-il une dévalidation automatique de l'identifiant de l'utilisateur, en cas d'absence d'échange 4 11.5.5
pendant un délai défini, nécessitant une nouvelle identification - authentification ?
09A04-07 Utilise-t-on des contrôles d'accès applicatifs permettant de limiter la visibilité et l'accès aux 4 11.6.1
informations les plus sensibles ?
09A04-08 Y a-t-il un contrôle systématique du profil du demandeur, de son contexte et de l'adéquation de ce 4 2
profil et du contexte avec l'accès demandé, en fonction de règles de contrôle d'accès formalisées ?
09A04-09 Les paramètres de définition et de gestion des règles de filtrage des accès sont-ils sous contrôle 4 2
strict ?
Un contrôle strict requiert que la liste des personnes habilitées à changer les paramètres de sécurité
du filtrage des accès soit très limitée, qu'il existe un contrôle d'accès renforcé pour pouvoir les
modifier, et que les modifications soient journalisées et auditées.
09D04-03 Des accords de service sont-ils négociés avec les services informatiques, considérés comme 4 1 15.1.3
dépositaires des données, et les moyens nécessaires sont-ils connus et financés sur le long terme ?
Chaque accord doit édicter ces exigences : contenu des archives, durée de rétention, pérennité,
traçabilité, imputabilité, intégrité, confidentialité, procédures et délai de remise à disposition,
contraintes d'administration, etc.
Une distinction claire doit être établie entre le contenu des archives, sous responsabilité du
propriétaire des données, et le contenant (sur supports informatisés, disques, cartouches, etc.) dont
la direction informatique concernée a la charge.
09D04-04 Les modifications résultant des évolutions technologiques et réglementaires, pouvant affecter le 4 2
contenu comme les supports d'archivage, sont-elles prises en compte, documentées et acceptées
par la Direction ?
Ces évolutions sont inévitables sur le long terme et leur prise en compte doit respecter toutes les
règles externes afin de garantir la conformité des données aux originaux.
09D04-05 Les documents spécifiant les procédures d'administration, d'opérations et de contrôle édictées pour 2
les archivages sont-ils approuvés par le management (dont RSSI et gestionnaire des risques) et sous
contrôle strict ?
Les procédures doivent aussi établir les rôles et les droits des acteurs, les règles de délégation de
09D04-06 Un
cescontrôle des procédures édictées pour les archivages est-il effectué régulièrement et toute
droits, etc. 4 2
déviation est-elle remontée aux propriétaires des données ?
Ces contrôles doivent aussi chercher à éliminer les possibilités de fraudes impliquant des employés
chargés des opérations ou pouvant avoir accès aux supports et aux contenus.
09D04-07 L'ensemble des procédures concernant la politique d'archivage fait-il l'objet d'un audit régulier ? 4 3
09E Continuité de fonctionnement
09E01 Reconfiguration matérielle
09E01-01 A-t-on déduit d'une analyse de criticité une architecture de redondance ou de mirroring au niveau 4 2 14.1.4
des serveurs ou équipements pouvant être critiques ?
09E01-02 Cette architecture et sa mise en oeuvre en cas d'incident ou de panne garantissent-ils la satisfaction 4 2
des performances minimales ?
Une telle garantie suppose, soit que les systèmes à tolérance de panne soient entièrement
automatiques, soit que les systèmes de détection et les capacités de réaction du personnel à même
de procéder aux reconfigurations manuelles aient été spécifiés avec cet objectif.
09E01-03 S'est-on assuré, dans ce cas, que les équipements de servitude (alimentation en énergie, 2
climatisation, etc.) n'introduisaient pas de vulnérabilité supplémentaire ou ne détruisaient pas les
redondances prévues au niveau des équipements ou de l'architecture ?
09E01-04 La mise hors service ou l'inhibition de tout équipement de redondance ou de tout système de 2
détection nécessaire à une intervention manuelle sont-elles détectées et déclenchent-elles une
alarme auprès d'un responsable de l'exploitation ?
09F03-02 Y a-t-il alerte en cas d'absence d'AR pour les messages sensibles ? 4 2
09F03-03 Le système d'accusé de réception est-il protégé contre des interventions malveillantes ? 2 3
09F03-04 Existe-t-il une procédure consignant la conduite à tenir en cas d'alerte ou d'anomalie constatée ? 3 2
09F03-05 Procède-t-on régulièrement à des audits du système d'accusé de réception ? 3 2
09G Détection et gestion des incidents et anomalies applicatifs
09G01 Détection des anomalies applicatives
09G01-01 A-t-on analysé les événements ou successions d'événements pouvant être révélateurs de 4
comportements anormaux ou d'actions illicites et en a-t-on déduit des points ou indicateurs de
surveillance ?
09G01-02 Dans les applications, est-il prévu des capteurs d'événements sensibles et l'enregistrement de ces 4 3
événements (type d'événement, identifiant de l'utilisateur, date et heure, etc.) ?
09G01-03 Existe-t-il un système de pistage intégré dans certains processus sensibles (audit-trail) enregistrant 4 3
les événements pouvant servir à établir des diagnostics d'anomalies ?
09G01-04 Les applications sensibles disposent-elles d'une fonction automatique de surveillance en temps réel 4 3
en cas d'accumulation d'événements anormaux (par exemple tentatives infructueuses de connexion
sur des stations voisines ou tentatives infructueuses de transactions sensibles) ?
09G01-05 Existe-t-il un archivage de tous ces éléments de diagnostic ? 2
09G01-06 Existe-t-il une application capable d'analyser les diagnostics individuels enregistrés et donnant lieu à 4 2
un tableau de bord transmis à une structure ad hoc ?
09G01-07 Le système de diagnostic d'anomalie émet-il une alarme en temps réel à une structure permanente 4 3
ou placée sous astreinte, chargée et capable de réagir sans délai ?
09G01-08 A-t-on défini pour chaque cas d'alerte, la réaction attendue de l'équipe de surveillance et sa 4
disponibilité est-elle suffisante pour faire face à cette attente ?
09G01-09 Les paramètres définissant les éléments à enregistrer et les analyses de diagnostic effectuées sur 4
ces éléments sont-ils strictement protégés (droits limités et authentification forte) contre tout
changement illicite ?
09G01-10 Toute inhibition du système d'enregistrement et de traitement des enregistrements déclenche-t-elle 4
une alarme auprès de l'équipe de surveillance ?
09G01-11 Les procédures d'enregistrement, de traitement des enregistrements et d'analyse des diagnostic 2
ainsi que la disponibilité de l'équipe d'analyse et d'intervention font-elles l'objet d'un audit régulier ?
09H Commerce électronique
09H01 Sécurité des sites de commerce électronique
09H01-01 A-t-on analysé les exigences de sécurité spécifiques au commerce électronique et défini en 2 10.9.1
conséquence les protections nécessaires ?
10A01-06 Existe-t-il une structure support, formée à l'analyse des risques des projets, pouvant assister la 4
maîtrise d'ouvrage dans la démarche d'analyse de risque et ayant la disponibilité suffisante pour
répondre aux demandes des utilisateurs ?
10A01-07 La fonction RSSI est-elle impliquée, directement ou au moins à titre de contrôle, dans les processus 4
de prise en compte de la sécurité dans les projets ?
10A01-08 Dans le cas d'acquisition de produits ou progiciels, les exigences de sécurité en accord avec l'activité 4 2 12.1.1
de l'entreprise ont-elles été prises en compte dans les contrats conclus avec les fournisseurs ?
10B01-03 Les environnements de développement, de test et d'intégration sont-ils distingués et séparés, avec 4 12.4.1
un contrôle d'accès strict en fonction des profils et des projets ?
Un contrôle d'accès strict suppose qu'il soit nécessaire d'avoir le bon profil pour le bon projet pour
10B01-04 Les procédures de développement imposent-elles qu'une personne ne soit jamais seule responsable 2
avoir accès à l'environnement correspondant et qu'il y ait une authentification individuelle renforcée
d'une tâche ?
avant autorisation d'accès.
11A02-06 Y a-t-il un enregistrement de toutes les entrées dans les zones protégées ? 2
11A02-07 Existe-t-il une procédure permettant de détecter, a posteriori, des anomalies dans la gestion des 4
autorisations (badge ou carte non restitué, utilisation d'un badge perdu, faux badge, etc.) ou dans
l'utilisation de ces autorisations ?
11A03 Détection des intrusions dans les zones de bureaux protégées
11A03-01 A-t-on un système opérationnel de détection des intrusions dans les zones de bureaux protégées 4 2
relié à un poste permanent de surveillance ?
Ce système devrait contrôler le forçage d'issue (portes et fenêtres), l'actionnement ou le maintien
ouvert d'une issue de secours, la présence de personnes en dehors des heures normales (détecteur
volumétrique) etc. Il peut également s'agir d'un système de vidéosurveillance relayé jusqu'à un
poste de garde permanent.
11A03-02 Ce système est-il doublé d'un système de contrôle audio et vidéo permettant à l'équipe de 4 3
surveillance d'établir un premier diagnostic à distance ?
11A03-03 En cas d'alerte du système de détection d'intrusion, l'équipe de surveillance a-t-elle la possibilité 4 2
d'envoyer sans délai une équipe d'intervention pour vérifier l'alerte et agir en conséquence ?
11A03-04 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse 4 3
d'alarmes multiples déclenchées volontairement ?
11A03-05 Les locaux contenant les systèmes électroniques de détection et de traitement des alarmes sont-ils 2 2
protégés en permanence par un système de contrôle d'accès et par un système de détection
d'intrusion en dehors des heures d'exploitation ?
11A03-06 Le système de détection d'intrusion est-il lui-même sous contrôle (alarme en cas d'inhibition, auto- 2 3
surveillance des caméras, etc.) ?
11A03-07 Les points de contrôle de la détection d'intrusion et les procédures de réaction aux intrusions font-ils 2 3
l'objet d'audits réguliers ?
11A04 Surveillance des zones de bureaux protégées
11A04-01 Pour les zones de bureaux protégées, utilise-t-on un système complémentaire de vidéosurveillance 4 3
cohérent et complet contrôlant les mouvements de personnes à l'intérieur de ces zones et
permettant de détecter des anomalies dans les comportements ?
11A04-02 En cas d'alerte, l'équipe de surveillance a-t-elle la possibilité d'envoyer sans délai une équipe 2
d'intervention pour vérifier l'alerte ou agir en conséquence ?
11A04-03 L'équipe de surveillance et d'intervention a-t-elle été dimensionnée en envisageant l'hypothèse 4 3
d'alarmes multiples déclenchées volontairement ?
11A04-04 La surveillance des locaux est-elle également en service pendant le nettoyage des locaux sensibles ? 4
2
11A04-05 Existe-t-il un enregistrement de la vidéosurveillance, conservé sur une longue période ? 1
11A04-06 Le système de surveillance des locaux sensibles est-il lui-même sous contrôle (alarme en cas 2 3
d'inhibition, auto-surveillance des caméras, etc.) ?
11A04-07 Les procédures de surveillance et les procédures de réaction aux comportements anormaux font-ils 2 3
l'objet d'audits réguliers ?
11A05 Contrôle de la circulation des visiteurs et des prestataires occasionnels amenés à
intervenir dans les bureaux
11A05-01 Contrôle-t-on de manière globale le mouvement des visiteurs et des prestataires occasionnels (bon 2 9.1.2
horodaté à l'arrivée et au départ, signature de la personne visitée, etc.) ?
11A05-02 Les visiteurs et prestataires occasionnels sont-ils accompagnés en permanence (aller, retour à 2 2 9.1.2
l'accueil, déplacements intermédiaires) ?
11A05-03 Les visiteurs sont-ils accueillis dans une zone spécifiquement délimitée et ne contenant que des 4 3 9.1.2
locaux d'accueil, salles de réunions ou zones accessibles au public ?
11A05-04 A-t-on défini des procédures spécifiques de contrôle pour chaque type de prestataire extérieur au 4 9.1.2
service amené à intervenir dans les bureaux (SSII, sociétés de maintenance, personnel de
nettoyage, etc.) : port d'un badge spécifique, présence d'un accompagnateur, autorisation préalable
indiquant le nom de l'intervenant, etc. ?
11A05-05 Ces procédures permettent-elles de garantir que l'intervention correspond bien à un besoin exprimé 2 2
et que le domaine d'intervention est confiné au seul besoin ?
11A05-06 Y a-t-il un enregistrement des visiteurs et prestataires occasionnels permettant de vérifier a 1 3
posteriori la réalité et l'objet de la visite et a-t-on mis en place une procédure permettant de détecter
des abus éventuels ?
11A05-07 Les procédures de contrôle de la circulation des visiteurs et des prestataires occasionnels font-elles 1 3
régulièrement l'objet d'un audit ?
11B Protection de l'information écrite ou échangée (téléphone, messagerie)
11B01 Conservation et protection des pièces originales et éléments de preuve et des archives
patrimoniales
11B01-01 Existe-t-il un service spécialement chargé de l'archivage et de la protection des pièces devant être 2 13.2.3
conservées en tant que preuves, des éléments pouvant servir de justificatifs ou des archives
patrimoniales ?
11B01-02 Existe-t-il une procédure incitant ou obligeant les utilisateurs à utiliser le service d'archivage pour 2 13.2.3
toute pièce ayant valeur de preuve ou pour tout document représentant une valeur patrimoniale ?
11B01-03 Les délais d'archivage et de restitution en cas de besoins sont-ils conformes aux attentes des 2
utilisateurs ?
A défaut, les utilisateurs conserveront leurs documents à archiver.
11B01-04 Les pièces et documents ayant valeur de preuve ou considérés comme des valeurs patrimoniales 2 3
sont-ils stockés dans des coffres ignifuges, eux-mêmes placés dans des salles équipées de détection
et d'extinction incendie adaptée, de détection de dégâts des eaux et de moyens d'évacuation ?
11B01-05 Les pièces et documents ayant valeur de preuve ou considérés comme des valeurs patrimoniales 2 3
sont-ils dans des salles équipées de contrôle d'accès renforcé et de détection d'intrusion ?
11B01-06 L'arrêt ou l'inhibition des systèmes de sécurité (incendie, dégâts des eaux, contrôle d'accès, 2 2
détection d'intrusion) déclenchent-ils une alarme auprès d'un centre de surveillance pouvant
intervenir rapidement ?
11B01-07 Les conditions de stockage des pièces critiques en valeur de preuve ou considérées comme des 2 3
valeurs patrimoniales et les systèmes de sécurité associés font-ils l'objet d'audits réguliers ?
11B02 Rangement des bureaux et protection des documents et supports amovibles
11B02-01 Les procédures et instructions de sécurité précisent-elles les règles de protection applicables aux 4 2 10.7.1
documents et aux supports d'information situés dans les bureaux (quel que soit la nature du support)
?
11B02-02 Les procédures et instructions de sécurité précisent-elles les règles de protection applicables aux 4 2
micro-ordinateurs portables (rangement, attachement par un câble, etc.) ?
11B02-03 Les procédures et instructions de sécurité précisent-elles également les règles de protection 4 2
applicables aux tablettes ou assistants personnels pouvant contenir des informations sensibles ?
11B02-04 Le personnel peut-il disposer à la demande de possibilités de stockage sécurisé (en armoire forte) à 4
disponibilité immédiate (dans le bureau ou à proximité immédiate du bureau, à toute heure) ?
11B02-05 Le personnel est-il régulièrement sensibilisé à la nécessité de protéger les documents et autres 4 3
11B02-06 supports sensibles
Les services dans contrôlent-ils
de sécurité leur bureau ? très régulièrement (rondes quotidiennes) l'application des 4 3
règles de rangement des documents et supports divers situés dans les bureaux ?
11B03 Ramassage des corbeilles à papier et destruction des documents
11B03-01 L'intégralité du contenu des corbeilles à papier est-il soumis à un circuit de destruction sécurisé ? 4 3
11B03-02 Le personnel dispose-t-il d'une possibilité de destruction sécurisée des documents sensibles à 2
détruire (déchiqueteuse, circuit de ramassage spécial ) ?
11B03-03 Les moyens de destruction offerts au personnel offrent-ils une garantie forte que les documents 2 2
détruits ne peuvent pas être reconstitués ?
Pour cela, une déchiqueteuse doit être à coupe croisée
11B03-04 La capacité des moyens de destruction offerts au personnel est-elle compatible avec le volume 2 2
moyen des documents à détruire ?
11B03-05 A-t-on installé une déchiqueteuse de capacité suffisante à coté de chaque photocopieur ? 2
Nota : La capacité nécessaire devrait prendre en compte l'épaisseur maximale que peuvent
couramment atteindre les documents photocopiés.
11B03-06 L'ensemble des procédures et moyens de destruction fait-il l'objet d'audits réguliers ? 2
11B04 Sécurité du courrier
11B04-01 Le local de tri et de dispatching du courrier (arrivée et départ) est-il fermé à clé en dehors des heures 4
où le personnel y travaille ?
11B04-02 Le circuit de distribution du courrier assure-t-il que seul le service destinataire peut y avoir accès 4
(casiers fermés à clé, distribution directe et remise en main propre, etc.) ?
11B04-03 Dans les services utilisateurs, les courriers arrivés ou en partance ouverts sont-ils tenus à l'abri de 4
toute indiscrétion ?
11B04-04 Les courriers sensibles au départ sont-ils rendus banalisés (double enveloppe, le degré de 4
classification n'étant indiqué que sur l'enveloppe interne) ?
11B04-05 L'application des consignes et procédures de sécurisation du courrier est-elle régulièrement 4 3
auditée ?
11B05 Sécurité des fax
11B05-01 Le local de chaque fax est-il fermé en dehors des heures où le personnel y travaille ? 4
11B05-02 Le circuit de distribution des fax assure-t-il que seul le service destinataire peut y avoir accès (casiers 4
fermés à clé, distribution directe et remise en main propre, etc.) ?
11B05-03 Les possibilités et modalités de relève distante avec mot de passe sont-elles expliquées au personnel 4
et affichées à proximité immédiate des fax ?
11B05-04 Le mode de relève distante avec mot de passe est-il obligatoire pour l'envoi ou la réception de fax 4
sensible ?
11B06 Sécurité des autocommutateurs
11B06-01 Existe-t-il une politique de sécurité propre aux autocommutateurs définissant de manière restrictive 2 2
la configuration standard (pas de substitution de poste, pas de transfert d'appel commandé à
distance, etc.) et mettant en évidence les risques liés à certaines options ?
11B06-09 Le processus d'attribution (et modification ou retrait) de droits privilégiés à une personne ou à une 4 2 3
structure est-il strictement contrôlé ?
Un contrôle strict requiert une reconnaissance formelle de la signature (électronique ou non) du
demandeur, qu'il existe un contrôle d'accès très renforcé pour pouvoir attribuer ou modifier de tels
droits, et que les modifications d'attributions de droits privilégiés soient journalisées et auditées.
11B06-10 Y a-t-il un processus d'invalidation systématique des droits privilégiés lors de départs ou mutations 2
de personnel ?
11B06-11 Y a-t-il un audit régulier, au moins une fois par an, de l'ensemble des droits privilégiés attribués ? 1 2
11B06-12 Le protocole d'authentification des administrateurs d'autocommutateurs est-il considéré comme 4 3
"fort" ?
Un protocole d'authentification est considéré comme fort s'il n'est pas susceptible d'être mis en
brèche par une observation ou une écoute de réseau, ni mis en défaut par des outils de spécialistes
(en particulier des outils de craquage de mots de passe). Il s'agit de protocole s'appuyant
généralement sur des procédés cryptologiques.
11B06-13 A défaut, s'il s'agit de mots de passe, les règles imposées peuvent-elles être considérées comme très 2
strictes et ont-elles été approuvées par le RSSI ?
Des règles très strictes supposent des mots de passe non triviaux et testés comme tels avant
acceptation, des mélanges de différents types de caractères avec une longueur importante (10 car
ou +)
11B07 Sécurité de la messagerie électronique et des échanges électroniques d'information
11B07-01 Existe-t-il une politique de sécurité propre à la messagerie électronique définissant les précautions 2 10.8.4
d'emploi et mesures de sécurité à mettre en oeuvre ?
11B07-02 A-t-on mis en place un service de messagerie chiffrée ? 4 10.8.4
11B07-03 A-t-on mis en place un service de signature électronique ? 4 10.8.4
11B07-04 Existe-t-il une politique de sécurité propre aux autres échanges électroniques d'information 2 10.8.5
(conference call, travail coopératif, partage de documents, etc.) définissant les précautions d'emploi
et mesures de sécurité à mettre en oeuvre ?
11C Protection des postes de travail
11C01 Contrôle d'accès au poste de travail
11C01-01 L'accès au poste de travail en lui-même (hors connexion au réseau) est-il protégé par un mot de 2
passe ou un système d'authentification ?
11C01-02 Le processus de création ou de modification de l'authentifiant vérifie-t-il le respect d'un ensemble de 4 2 11.2.3
règles permettant d'avoir confiance dans sa solidité intrinsèque ?
Dans le cas de mots de passe : longueur suffisante (8 caractères ou +), mélange obligatoire de types
de caractères, changement fréquent (<1 mois), impossibilité de réemployer un mot de passe ancien,
test de non trivialité fait en relation avec un dictionnaire, interdiction des "standards systèmes", des
prénoms, de l'anagramme de l'identifiant, de dates, etc.
Dans le cas de certificats ou d'authentification reposant sur des mécanismes cryptologiques utilisant
des clés de chiffrement : longueur de clé suffisante, processus de génération évalué ou reconnu
publiquement, etc.
11C01-03 Le processus de présentation par l'utilisateur de son authentifiant garantit-il son inviolabilité ? 4 2
La frappe d'un mot de passe sera toujours un point faible notable. Les seuls processus qui soient
observables sans divulguer d'information consistent soit à introduire un objet contenant un secret
(carte à puce), soit à présenter un caractère biométrique.
11C01-04 Le processus d'authentification est-il permanent (carte à puce) ou doit-il être réinitialisé après une 4
courte période d'inactivité ?
11C01-05 Le poste de travail est-il protégé contre toute introduction de logiciel par d'autres personnes que les 4
administrateurs du poste ?
11C01-06 Le poste de travail est-il protégé contre toute utilisation par d'autres personnes que les titulaires du 2 11.3.2
poste (en particulier en cas d'absence momentanée du titulaire, au-delà d'une durée tolérable, 10'
par exemple) ?
11C01-07 L'inhibition du service de contrôle d'accès au poste est-elle détectée dynamiquement lors de la 4
connexion au réseau d'entreprise ou, à défaut, régulièrement auditée ?
11C02 Protection de la confidentialité des données contenues dans le poste de travail ou sur un
serveur de données (disque logique pour le poste de travail)
11C02-01 Les données sensibles contenues éventuellement sur le poste de travail ou sur un disque logique de 4 11.7.1;
données partagées hébergé sur un serveur de données sont-elles chiffrées ? 12.3.1
11C02-02 Les éléments du processus de chiffrement sont-ils fortement protégés contre toute altération, 4 3
modification ou inhibition ?
11C02-03 Les postes de travail sont-ils équipés d'un système d'effacement empêchant effectivement de relire 4
toute donnée effacée sur le disque local ou sur un disque partagé ?
11C02-04 Le poste de travail est-il équipé d'un système d'effacement réel et efficace des fichiers temporaires 4
créés sur le disque local ou sur un disque partagé ?
11C02-05 Le processus ou les directives concernant le chiffrement des fichiers s'étend-il aux messages, aux 4
pièces jointes des messages et aux adresses de messagerie ?
11C02-06 Les utilisateurs ont-ils reçu une formation à l'utilisation des moyens de chiffrement et d'effacement 2 2
des informations à supprimer, leur indiquant, en particulier, les conditions à respecter pour que ce
chiffrement ne puisse être contourné ?
11C02-07 Procède-t-on à des audits réguliers de l'utilisation des moyens de chiffrement et d'effacement par les 2 3
utilisateurs ?
11C03 Prise en compte de la confidentialité lors des opérations de maintenance des postes
utilisateurs
11C03-01 Existe-t-il une procédure décrivant en détail les opérations à mener, avant appel à la maintenance, 4 9.2.6
pour empêcher que celle-ci ait accès aux informations sensibles éventuellement contenues sur le
poste (effacement physique des zones sensibles, effacement des fichiers temporaires, conservation
du disque, etc.) ?
11C03-02 Existe-t-il une procédure et une clause contractuelle vis-à-vis du personnel de maintenance (interne 4
et externe), spécifiant que tout support ayant contenu des informations sensibles doit être détruit en
cas de mise au rebut ?
11C03-03 Existe-t-il une procédure de vérification de l'intégrité des systèmes après intervention de la 4 3
maintenance (absence de logiciel espion, absence de cheval de Troie, etc.) ?
11C03-04 Les procédures ci-dessus sont-elles obligatoires en toute circonstance et les dérogations éventuelles 2 3
doivent-elles être signées par un membre de la Direction ?
11C03-05 Les procédures ci-dessus font-elles l'objet d'un audit régulier ? 2 3
11C04 Protection de l'intégrité des fichiers contenus sur le poste de travail ou sur un serveur de
données (disque logique pour le poste de travail)
11C04-01 Les fichiers sensibles contenus éventuellement sur le poste de travail ou sur un disque logique de 4
fichiers partagés hébergé sur un serveur de données sont-ils protégés par un mécanisme
d'interdiction d'écriture et/ou de contrôle d'intégrité ?
Nota : un tel mécanisme peut autoriser la création de copies de travail modifiables tout en
11C04-02 garantissant
Les élémentsl'intégrité de l'original.
du processus de contrôle d'intégrité sont-ils fortement protégés contre toute altération, 4 3
modification ou inhibition ?
11C04-03 Le processus ou les directives concernant le contrôle d'intégrité s'étend-il aux messages, aux pièces 4
jointes des messages et aux adresses de messagerie ?
11C04-04 Les utilisateurs ont-ils reçu une formation à l'utilisation des moyens de contrôle d'intégrité, leur 2 2
indiquant, en particulier, les conditions à respecter pour que ce contrôle ne puisse être contourné ?
11C04-05 Procède-t-on à des audits réguliers de l'utilisation des moyens de contrôle d'intégrité par les 2 3
utilisateurs ?
11C05 Travail en dehors des locaux de l'entreprise
11C05-01 A-t-on établi une politique de sécurité et des recommandations relatives au travail en dehors des 4 11.7.1;
locaux de l'entreprise ? 11.7.2;
Les recommandations et directives devraient traiter des précautions à prendre aussi bien dans des 9.2.5
situations de travail à domicile, qu'en déplacement ou dans les transports publics et couvrir la
protection des micro-ordinateurs portables, l'utilisation du pare-feux et de l'antivirus à jour, les
connexions à des réseaux publics ou tiers, les précautions à prendre concernant les documents
écrits, les messageries instantanées et les conversations téléphoniques et orales.
11C05-02 A-t-on établi une politique de sécurité et des recommandations relatives au télétravail (avec 4 11.7.2
connexion au réseau de l'entreprise) ?
Les recommandations et directives devraient traiter des précautions et moyens à prendre et couvrir
la sécurité des connexions au réseau d'entreprise (authentification renforcée, VPN, etc.), la
restriction éventuelle des autorisations d'accès, les précautions à prendre concernant l'utilisation du
poste personnel par d'autres personnes que le titulaire du poste (famille, amis, etc.), etc.
11C05-03 Les personnes susceptibles de travailler en dehors des locaux de l'entreprise reçoivent-elles une 2 11.7.1;
sensibilisation et une formation sur les mesures à appliquer pour protéger les documents utilisés, 9.2.5
leurs systèmes et les données qu'ils contiennent ?
Ces protections concernent la sécurité physique et logique contre le vol mais aussi les indiscrétions
ou les accès non autorisés par la famille tout autant qu'en public.
11C05-04 Les moyens informatiques utilisés pour le travail en dehors des locaux de l'entreprise (micro- 4 2 11.7.2
ordinateurs portables) sont-ils exclusivement des moyens de l'entreprise, configurés spécifiquement
(en particulier s'ils permettent la connexion au réseau interne) ?
11C05-05 La configuration des moyens informatiques utilisés pour le travail en dehors des locaux de 2 3
l'entreprise (micro-ordinateurs portables) est-elle régulièrement contrôlée ?
11C06 Utilisation d'équipements personnels
11C06-01 A-t-on établi une politique de sécurité relatives à l'utilisation d'équipements personnels dans le cadre 2 11.7.2;
du travail ? 6.1.4
Les directives devraient traiter de l'introduction et de l'utilisation d'équipements personnels tels que
ordinateurs portables, assistants personnels, disques externes,etc.
11C06-02 A-t-on défini et mis en place des moyens de contrôle relatifs à l'usage d'équipements personnels ? 4 6.1.4
11D07-04 Le cas de défaillance ou d'indisponibilité du moyen de secours a-t-il été envisagé et y a-t-il un back- 2 3
up de deuxième niveau ?
11D07-05 La solution de secours est-elle utilisable pour une durée illimitée ou, à défaut, est-il prévu une 2
deuxième solution venant en remplacement de la première après un temps déterminé ?
11D07-06 L'existence, la pertinence et la mise à jour du PRET font-elles l'objet d'un audit régulier ? 2 3
12E02-03 La documentation est-elle conservée sur le support (papier ou informatique) exigé par la 1
réglementation ?
12E02-04 La documentation est elle mise à jour et suit-elle une règle de suivi des mises à jour 4
précise (versioning) ?
12E02-05 L’accès au code source du programme est-il possible ? 4
12E02-06 L’ensemble des documents, données et traitements soumis au droit de contrôle est-il accessible et 1
consultable sur le territoire national ?
12E02-07 Le plan de conservation des données et informations, dont la documentation, est-il conforme aux 1
règles en vigueur (durée et nature des supports) ?
12E02-08 Les contrats informatiques conclus avec des tiers contiennent-ils une clause juridique spécifique 1
prenant en compte la réglementation sur la VCI, mise à disposition de code source, documentation,
assistance technique en cas de VCI ?
Tiers = fournisseurs de logiciels (système, applications, utilitaires, etc.) concernés par la VCI
12E02-09 Les développements d’applications (et leur mise à jour) inclus dans le périmètre VCI donnent-ils lieu 1
à une documentation conforme aux règles en vigueur ?
12E02-10 Lors d’acquisition de société prévoit-on une clause de garantie sur les obligations en matière de 1
VCI ?
12E02-11 Existe-t-il une procédure de contrôle du plan de sauvegarde des documents techniques 1
d’exploitation, des données et traitements et des versions des différents éléments sauvegardés ?
Questions ou services
5 Politique de sécurité support du scoring
5.1 Politique de sécurité de l'information
5.1.1 Document de politique de sécurité de l'information 01A02-01
5.1.2 Réexamen de la politique de sécurité de l'information 01A02-02
6 Organisation de la sécurité de l'information
6.1 Organisation interne
6.1.1 Engagement de la direction vis-à-vis de la sécurité de l'information 01A02-09
6.1.2 Coordination de la sécurité de l'information 01A02-03:05
6.1.3 Attribution des responsabilités en matière de sécurité de 01A02-06:07
l'information
6.1.4 Système d'autorisation concernant les moyens de traitement de 06A02-09
l'information 08A04-11
11C06-01:02
6.1.5 Engagement de confidentialité 01C01-01:05
6.1.6 Relations avec les autorités 01A02-10
6.1.7 Relations avec des groupes de spécialistes 01A02-11
6.1.8 Revue indépendante de la sécurité de l'information 01A02-13
6.2 Tiers
6.2.1 Identification des risques provenant des tiers 01C05-01
6.2.2 La sécurité et les clients 01C05-02
6.2.3 La sécurité dans les accords conclus avec des tiers 01C05-04:05
7 Gestion des biens
7.1 Responsabilités relatives aux biens
7.1.1 Inventaire des biens 01B04-01:02
7.1.2 Propriété des biens 01B04-03
7.1.3 Utilisation correcte des biens 01B04-04
7.2 Classification des informations
7.2.1 Lignes directrices pour la classification 01B03-03
01B03-10
7.2.2 Marquage et manipulation de l'information 01B02-04
01B03-02
8 Sécurité liée aux ressources humaines
8.1 Avant le recrutement
8.1.1 Rôles et responsabilités 01C03-01
Impact
4 2 3 4 4
3 2 3 3 4
2 1 2 2 3
1 1 1 1 2
1 2 3 4
Potentialité
R 4 3 3 3 3 R 4 3 3 3 3 R 4 3 3 3 3 R 4 3 3 3 4 R 4 3 3 3 3
E 3 2 2 3 3 E 3 2 2 3 3 E 3 2 3 3 3 E 3 3 3 3 4 E 3 2 2 3 3
C 2 1 2 3 3 C 2 1 2 3 3 C 2 1 2 3 3 C 2 2 3 3 4 C 2 1 2 3 3
U 1 1 2 3 3 U 1 1 2 3 3 U 1 1 2 3 3 U 1 2 3 3 4 U 1 1 2 3 3
P 1 2 3 4 P 1 2 3 4 P 1 2 3 4 P 1 2 3 4 P 1 2 3 4
P A L L P A L L P A L L P A L L P A L L
R 4 3 3 3 3 R 4 3 3 3 3 R 4 3 3 3 3 R 4 3 3 3 4 R 4 3 3 3 3
E 3 2 2 2 2 E 3 2 2 2 2 E 3 2 2 2 2 E 3 2 2 3 4 E 3 2 2 2 2
C 2 1 1 1 1 C 2 1 1 1 1 C 2 1 1 2 2 C 2 1 2 3 4 C 2 1 1 1 1
U 1 1 1 1 1 U 1 1 1 1 1 U 1 1 1 2 2 U 1 1 2 3 4 U 1 1 1 1 1
P 1 2 3 4 P 1 2 3 4 P 1 2 3 4 P 1 2 3 4 P 1 2 3 4
P A L L P A L L P A L L P A L L P A L L
Nota : Les grilles de réduction d'impact des scénarios non évolutifs sont remplies par défaut avec les grilles correspondant à STATUS-
PROT = 1
mais sont modifiables pour tenir compte de conditions particulières
D D D D
I I I I
S S S S
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 2 1
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P R E V P R E V P R E V P R E V
D 4 1 1 1 1 D 4 2 1 1 1 D 4 3 2 1 1 D 4 4 3 2 2
I 3 1 1 1 1 I 3 2 2 1 1 I 3 3 2 2 1 I 3 4 3 2 2
S 2 1 1 1 1 S 2 2 2 2 1 S 2 3 3 2 1 S 2 4 4 3 2
S 1 1 1 1 1 S 1 2 2 2 1 S 1 3 3 2 1 S 1 4 4 3 2
1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4
P R E V P R E V P R E V P R E V