Guide dutilisation de loutil daudit de scurit

AUDITSec
Version 3.0

Mai 2011

Historique du document
Version

Date

Auteur

Description

1.0

6 novembre 2010

ric Clairvoyant
http://ca.linkedin.com/pub/ericclairvoyant/7/ba/227

Cration du document

1.5

9 novembre 2010

ric Clairvoyant
http://ca.linkedin.com/pub/ericclairvoyant/7/ba/227

Ajout explication de la couleur rouge

lorsquun contrle est manquant

1.6

mai 2011

ric Clairvoyant
http://ca.linkedin.com/pub/ericclairvoyant/7/ba/227

Ajout dun exemple concret la fin

du document

Table des matires

Avis de responsabilit .....................................2
Objectif de loutil de scurit AUDITSec...........2
Mise en garde.................................................3
Mode dopration...........................................3
Instructions ....................................................3
Important.......................................................5
Tableau de bord Domaine 1 Global...............5
Les rosaces .....................................................6

Avis de responsabilit
Cet outil de scurit a t conu lintention dune personne soucieuse de la scurit
des Technologies de linformation dans son organisation et est denvergure limite.
Les informations contenues dans ce document refltent une orientation stratgique
sur les questions de scurit abordes la date de publication. En raison de
l'volution constante des conditions du march auxquelles on doit s'adapter, elles ne
reprsentent cependant pas un engagement et ne peut garantir l'exactitude de ces
informations pass la date de publication.
Ce document est fourni des fins d'information uniquement.

Objectif de loutil de scurit AUDITSec

En utilisant loutil de scurit AUDITSec pour chacun des 11 domaines de scurit
dISO 270021, le management peut mettre en vidence:
v
v
1

l'tat actuel de l'entreprise : o elle se situe aujourd'hui ;

l'tat actuel du march : la comparaison ;

http://www.27000.org/iso-27002.htm

Version 1.5

2/8

l'ambition de l'entreprise : o elle veut se situer ;

la trajectoire de croissance requise entre les situations en cours et les
situations cibles.

v
v

L'audit rpertorie les points forts, et surtout les points faibles (vulnrabilits) de
tout ou partie du domaine vis.
Pour exploiter facilement ces rsultats dans les runions de direction o ils seront
prsents comme une aide la dcision pour des plans futurs, loutil AUDITSec
donne des prsentations graphiques, une sous la forme dune rosace, pour chacun
des domaines.

Mise en garde
Cet outil ne remplace pas une analyse de risque. Il utilise les 11 domaines et les 133
mesures de contrle dISO 27002.

Mode dopration
AUDITSec utilise un fichier Excel avec sans aucune macro, et de simples calculs
dans des champs protgs. Lutilisateur entre des valeurs uniquement dans les
champs permis.
Le fichier Excel contient 12 onglets reprsentant les 11 domaines de scurit dISO
27002. Notez que les domaines portent les chiffres de 5 15 et que les onglets
suivent lordre des domaines. Le 1er onglet est une sorte de tableau de bord
regroupant les valeurs entres dans chaque onglet.

Instructions

tape 1

Une fois entr dans le fichier, vous tes invit entrer ses des valeurs dans la
colonne C en rponse au contrle de chacun des domaines, en commenant
longlet DOMAINE 5 (bas de page). Il fait de mme pour chaque onglet suivant. Il y
en a 11 onglets en tout, reprsentant chacun des domaines
Lutilisateur doit entrer une valeur de 0 5 en se basant sur un des lments de
rponse ci-dessous. Il est noter que ces valeurs proviennent du Capability
Maturity Model2 (CMM), en franais un modle de rfrence de maturit.
0 Inexistant : Absence totale de processus identifiables. Lentreprise na
mme pas pris conscience quil sagissait dun problme tudier.

http://www.sei.cmu.edu/cmmi/

Version 1.5

3/8

1 Initial On constate que lentreprise a pris conscience de lexistence du

problme et de la ncessit de ltudier. Il nexiste toutefois aucun processus
standardis, mais des dmarches dans ce sens tendent tre entreprises
individuellement ou cas par cas. Lapproche globale du management nest pas
organise.
2 Reproductible: Des processus se sont dvelopps jusquau stade o des
personnes diffrentes excutant la mme tche utilisent des procdures
similaires. Il ny a pas de formation organise ni de communication des
procdures standard et la responsabilit et laisse lindividu. On se repose
beaucoup sur les connaissances individuelles, do un risque derreurs.
3 Dfini : On a standardis, document et communiqu des processus via des
sances de formation. Ces processus doivent imprativement tre suivis ;
toutefois, des carts seront probablement constats. Concernant les
procdures elles-mmes, elles ne sont pas sophistiques mais formalisent des
pratiques existantes.
4 Gr : La direction contrle et mesure la conformit aux procdures et agit
lorsque certains processus semblent ne pas fonctionner correctement. Les
processus sont en constante amlioration et correspondent une bonne
pratique. Lautomatisation et les outils sont utiliss dune manire limite ou
partielle.
5 Optimal : Les processus ont atteint le niveau des bonnes pratiques, suite
une amlioration constante et la comparaison avec dautres entreprises
(Modles de Maturit). Linformatique est utilise comme moyen intgr
dautomatiser le flux des tches, offrant des outils qui permettent damliorer
la qualit et lefficacit et de rendre lentreprise rapidement adaptable.
Afin, daider lutilisateur, il y a une dfinition dtaille pour chaque mesure qui
permettra davoir plus de dtails afin de donner la meilleure rponse possible.
Les bonnes pratiques laissent croire quune valeur globale pour chacun des 11
domaines situe entre 2 et 4 est acceptable

Version 1.5

4/8

Important
Note (a) :

Si le contrle dun domaine nest pas pertinent dans votre contexte, le

champ doit tre vide, cest--dire, il faut utiliser la touche Suppr ou
Del du clavier. De cette faon, le contrle ne sera pas comptabilis
dans le calcul final.

Note (b) :

Dans le tableau de bord, le domaine sera en couleur rouge inverse

indiquant que ce domaine na pas de contrle applicable. Par
exemple, le domaine 6 un total de neuf (9) contrles applicables. On
peut y voir que deux (2) contrles sont inapplicables.

Au fur et mesure que les valeurs sont entres, une rosace se cre, donnant une
photographie de l tat actuel du point de vue de la scurit pour le domaine vis.
En parallle, une rosace se met jour dans longlet principal (Domaine 1 (Global))
qui reprsente le tableau de bord de tous les domaines.

tape 2

Une fois tous les onglets complts, vous devez aller longlet principal.

Tableau de bord Domaine 1 Global

Quelques dfinitions :

La colonne A indique le nombre de contrles applicables pour chaque domaine vis

en lien avec ISO 27002.
La colonne B indique le nombre de contrles qui ne s'appliquent pas dans un
domaine en particulier. (Reprsente la valeur vide Suppr ou Del).
La colonne C nomme indique les titres pour les 11 domaines de scurit selon la
norme ISO 27002.
La colonne D donne la valeur globale pour ce chaque domaine. Ce calcul se fait
automatiquement selon les valeurs entres de 0 5. Si jamais le symbole suivant
apparat : #DIV/0, cela signifie que le calcul ne peut se faire parce quil ny a aucun
contrle slectionn, donc aucune valeur 0 5 dans le domaine applicable. En
consquence, ce code d'erreur est tout fait pertinent.

Version 1.5

5/8

La colonne F reprsente le pourcentage de conformit par rapport lISO 27002.

Dans la colonne G, l'utilisateur est invit entrer quelle cote dsire comme objectif
pour une certaine priode. Cette note doit tre un chiffre entier entre 1 et 5.
Exemple : Si la colonne D possde une valeur de 2 alors la colonne G la valeur
maximale suggre serait de 3 et non suprieure 3. Il faut en effet tre raliste car
plus la valeur dans la colonne G est leve, plus les cots dimplantations des
mesures de scurit seront levs par la mme occasion.
La colonne H convertit en pourcentage la valeur entre dans la colonne G et indique
en % la valeur que dsire obtenir lorganisation pour une priode.
La colonne I donne le pourcentage de ltat actuel de la scurit en conformit avec
ISO 27002.
La colonne J donne le pourcentage cible vis pour la priode.

Les rosaces
Les rosaces permettront de donnes des courbes pour chaque domaine vis.
Portrait actuel : indique ltat de la scurit au moment de la compilation des
donnes.
Portrait cible : indique en rouge ltat actuel de la scurit plus, en vert la cible que
dsire atteindre lorganisation.

Version 1.5

6/8

Exemple scnario
Voici un exemple type de lutilisation dAUDITSec.
tape 1
Vous choisissez le domaine pour votre audit. On choisit pour cet exemple le
domaine 8 (Scurit lie aux ressources humaines), onglet no 8.
Pour le contrle 8.1.1 - Rles et responsabilits, la validation ou mesure est la
suivante :
Dfinir et de documenter les rles et responsabilits en matire de scurit des
salaris, contractants et utilisateurs tiers, conformment la politique de
scurit de linformation de lorganisme. (source : ISO 27002)
Est-ce que la valeur pour la colonne C est 0, 1, 2, 3, 4 ou 5? Pour cet exemple
nous allons insrer la valeur 3 (Processus dfini).
Pour le contrle 8.1.2- Slection, la validation est la suivante:
On insre la valeur de 2 (Reproductible mais intuitif)
Pour le contrle 8.1.3-Conditions dembauche, la validation est la suivante :
On insre la valeur de 3 (Processus dfini).
Vous procdez, ainsi de suite pour chaque contrle subsquent.
Voyez ci-dessous le rsultat.

Dans cet exemple la cote finale pour le domaine 8 est 0,9. Il y a Une rosace apparat
pour chaque domaine.

Version 1.5

7/8

tape 2
Une fois que vous avez entr toutes les valeurs pour chaque contrle, de chaque
domaine, le tableau de bord (onglet domaine 1 global) se met jour. Le voici :

Comme on peut le constater la colonne D, la valeur globale 0,9 y est reprsente

ainsi que le pourcentage 17,78. Dans cet exemple, pour ce domaine, la cote de
conformit ISO 27002 est de 1,62 %.
Lutilisateur doit maintenant inscrire la colonne G, la note cible qui quil dsire
atteindre pour une priode.
Dans notre exemple, la valeur 2 est note cible.

Cette cible atteindre permettra datteindre une note cible ISO 27002 3,64%.
Et les rosaces ci-dessous traduisent automatiquement les deux situations
(portraits).

Version 1.5

8/8