Professional Documents
Culture Documents
AUDITSec
Version 3.0
Mai 2011
Historique du document
Version
Date
Auteur
Description
1.0
6 novembre 2010
ric Clairvoyant
http://ca.linkedin.com/pub/ericclairvoyant/7/ba/227
Cration du document
1.5
9 novembre 2010
ric Clairvoyant
http://ca.linkedin.com/pub/ericclairvoyant/7/ba/227
1.6
mai 2011
ric Clairvoyant
http://ca.linkedin.com/pub/ericclairvoyant/7/ba/227
Avis de responsabilit
Cet outil de scurit a t conu lintention dune personne soucieuse de la scurit
des Technologies de linformation dans son organisation et est denvergure limite.
Les informations contenues dans ce document refltent une orientation stratgique
sur les questions de scurit abordes la date de publication. En raison de
l'volution constante des conditions du march auxquelles on doit s'adapter, elles ne
reprsentent cependant pas un engagement et ne peut garantir l'exactitude de ces
informations pass la date de publication.
Ce document est fourni des fins d'information uniquement.
http://www.27000.org/iso-27002.htm
Version 1.5
2/8
v
v
L'audit rpertorie les points forts, et surtout les points faibles (vulnrabilits) de
tout ou partie du domaine vis.
Pour exploiter facilement ces rsultats dans les runions de direction o ils seront
prsents comme une aide la dcision pour des plans futurs, loutil AUDITSec
donne des prsentations graphiques, une sous la forme dune rosace, pour chacun
des domaines.
Mise en garde
Cet outil ne remplace pas une analyse de risque. Il utilise les 11 domaines et les 133
mesures de contrle dISO 27002.
Mode dopration
AUDITSec utilise un fichier Excel avec sans aucune macro, et de simples calculs
dans des champs protgs. Lutilisateur entre des valeurs uniquement dans les
champs permis.
Le fichier Excel contient 12 onglets reprsentant les 11 domaines de scurit dISO
27002. Notez que les domaines portent les chiffres de 5 15 et que les onglets
suivent lordre des domaines. Le 1er onglet est une sorte de tableau de bord
regroupant les valeurs entres dans chaque onglet.
Instructions
tape 1
Une fois entr dans le fichier, vous tes invit entrer ses des valeurs dans la
colonne C en rponse au contrle de chacun des domaines, en commenant
longlet DOMAINE 5 (bas de page). Il fait de mme pour chaque onglet suivant. Il y
en a 11 onglets en tout, reprsentant chacun des domaines
Lutilisateur doit entrer une valeur de 0 5 en se basant sur un des lments de
rponse ci-dessous. Il est noter que ces valeurs proviennent du Capability
Maturity Model2 (CMM), en franais un modle de rfrence de maturit.
0 Inexistant : Absence totale de processus identifiables. Lentreprise na
mme pas pris conscience quil sagissait dun problme tudier.
http://www.sei.cmu.edu/cmmi/
Version 1.5
3/8
Version 1.5
4/8
Important
Note (a) :
Note (b) :
Au fur et mesure que les valeurs sont entres, une rosace se cre, donnant une
photographie de l tat actuel du point de vue de la scurit pour le domaine vis.
En parallle, une rosace se met jour dans longlet principal (Domaine 1 (Global))
qui reprsente le tableau de bord de tous les domaines.
tape 2
Une fois tous les onglets complts, vous devez aller longlet principal.
Version 1.5
5/8
Les rosaces
Les rosaces permettront de donnes des courbes pour chaque domaine vis.
Portrait actuel : indique ltat de la scurit au moment de la compilation des
donnes.
Portrait cible : indique en rouge ltat actuel de la scurit plus, en vert la cible que
dsire atteindre lorganisation.
Version 1.5
6/8
Exemple scnario
Voici un exemple type de lutilisation dAUDITSec.
tape 1
Vous choisissez le domaine pour votre audit. On choisit pour cet exemple le
domaine 8 (Scurit lie aux ressources humaines), onglet no 8.
Pour le contrle 8.1.1 - Rles et responsabilits, la validation ou mesure est la
suivante :
Dfinir et de documenter les rles et responsabilits en matire de scurit des
salaris, contractants et utilisateurs tiers, conformment la politique de
scurit de linformation de lorganisme. (source : ISO 27002)
Est-ce que la valeur pour la colonne C est 0, 1, 2, 3, 4 ou 5? Pour cet exemple
nous allons insrer la valeur 3 (Processus dfini).
Pour le contrle 8.1.2- Slection, la validation est la suivante:
On insre la valeur de 2 (Reproductible mais intuitif)
Pour le contrle 8.1.3-Conditions dembauche, la validation est la suivante :
On insre la valeur de 3 (Processus dfini).
Vous procdez, ainsi de suite pour chaque contrle subsquent.
Voyez ci-dessous le rsultat.
Dans cet exemple la cote finale pour le domaine 8 est 0,9. Il y a Une rosace apparat
pour chaque domaine.
Version 1.5
7/8
tape 2
Une fois que vous avez entr toutes les valeurs pour chaque contrle, de chaque
domaine, le tableau de bord (onglet domaine 1 global) se met jour. Le voici :
Cette cible atteindre permettra datteindre une note cible ISO 27002 3,64%.
Et les rosaces ci-dessous traduisent automatiquement les deux situations
(portraits).
Version 1.5
8/8