ATELI

RÉ F É R E N TI E L
Intégration de la ns le
c y b e r s é cu r i té d a
co n t rô le i n t e r n e
ANIM
ATELIER 2

ANIMÉ PAR
 852634591.xlsx

DIAGNOSTIC DE SECURITE DU SI

AUDITEUR DIAGNOSTIC REALISE POUR

Ismail Boudebbane - Directeur GT

Date de dernière modification 23 avril 2024

Historique du document
Nom du contributeur Direction / Service / Fonction Version Modification Date
Ismail BOUDEBBANE GT 1 4/23/2024

Direction / Service / Fonction Date

RSSI
DSI
Responsable des opérations IT
Direction

Tableau des cotations

Note Libellé Explication
0 Pas du tout couvert La bonne pratique de sécurité n'est pas du tout réalisée
1 Très partiellement Application très sporadique ou sur un périmètre peu significatif de la bonne pratique de sécurit
2 Partiellement Application partielle ou sur un périmètre restreint de la bonne pratique
3 En grande partie Application générale ou sur un périmètre large de la bonne pratique
4 Totalement Application totale et contrôlée de la bonne pratique

Page 3 de 17
 852634591.xlsx

0.00 sur 4
Lien avec
Question Evaluation RESULTAT d'autres Guide de réponse Constats
directive
Objectif : s'assurer que les informations des terminaux finaux sont protégées NIS 2 DORA
Terminaux finaux des utilisateurs
Existe-t-il une politique de sécurité en matière d'appareil mobile ? N/A : Non Applicable 0 X X
La politique a-t-elle été approuvée par la direction ? N/A : Non Applicable 0 X X
Existe-il un inventaire contenant les détails des appareils mobiles
enregistrés ?
N/A : Non Applicable 0 X X
Il y a-t-il des restrictions concernant l'installation de logiciels ? Par
exemple une liste blanche ou un catalogue de logiciels autorisés.
N/A : Non Applicable 0 X X
Les utilisateurs sont-ils sensibilisés aux risques supplémentaires liés à
l'utilisation d'appareils mobiles (vol d'appareils, utilisation de WI-FI N/A : Non Applicable 0 X X
ouverts,…) ?

L'organisation dispose-t-elle d'un contôle d'accès et d'une protection

contre les logiciels malveillants pour les appareils mobiles ?
N/A : Non Applicable 0 X X
N/A

Des contrôles de désactivation, de suppression ou de verrouillage à

distance sont-ils mis en œuvre sur les terminaux des utilisateurs ?
N/A : Non Applicable 0 X X
Des sauvegardes sont-elles régulièrement réalisées sur les appareils
mobiles ?
N/A : Non Applicable 0 X X
Existe-t-il une procédure spécifique concernant les vols ou la perte de
terminaux finaux ? Exemple : Chiffrement ; Mise en quarantaine; N/A : Non Applicable 0 X X
Filtre, virtualisation des postes de travail; cable etc.
Les ports USB sont-ils désactivés sur les terminaux finaux des
utilisateurs ? Exemple : désactivation des USB, interdiction N/A : Non Applicable 0 X X
d'execution des executables.
Gestion des configurations
L'organisation dispose-t-elle d'une politique et d'une procédure pour
documenter les configurations du matériel, des logiciels et des N/A : Non Applicable 0 X X
dispositifs de réseau ?
Les personnes chargées de gérer la configuration des appareils ont-
elles un rôle et une responsabilité appropriés ?
N/A : Non Applicable 0 X X
L'organisation suit-elle un modèle standardisé pour le durcissement du
matériel et des logiciels ?
N/A : Non Applicable 0 X X
L'organisation dispose-t-elle d'un mécanisme approprié pour examiner
le système, les mises à jour du matériel à intervalles réguliers et toute N/A
menace de sécurité actuelle afin de garantir des performances
N/A : Non Applicable 0 X X
optimales ?
Le nombre de comptes possédant des droits d'accès privilégiés et les
comptes non utilisés/sécurisés sont-ils surveillés ?
N/A : Non Applicable 0 X X
Les informations d'authentification par défaut du fournisseur sont-elles
modifiées immédiatement après l'installation ?
N/A : Non Applicable 0 X X
Il y a-t-il bien un enregistrement des configurations ? N/A : Non Applicable 0 X X
Suppression des informations
Votre organisation a-t-elle une politique qui couvre les activités de
maintenance liées à l'effacement et à la destruction des données
et/ou des actifs informatiques, y compris l'utilisation de logiciels N/A : Non Applicable 0 X X
spécialisés et la liaison avec des fournisseurs spécialisés dans
l'effacement des données et des appareils ?
L'organisation identifie-t-elle régulièrement les données qui ne sont
N/A
plus utilisées et qui doivent être supprimées pour éviter tout accès N/A : Non Applicable 0 X X
non autorisé ou toute utilisation abusive ?

Lorsque l'organisation fait appel à un fournisseur spécialisé dans

l'effacement des données, obtient-elle des preuves suffisantes (par le N/A : Non Applicable 0 X X
biais d'une documentation) que l'effacement a été effectué ?

Synchronisation des horloges

L'organisation a-t-elle identifié une source de temps de référence ? N/A : Non Applicable 0 X X
N/A

Page 4 de 17
 852634591.xlsx

Tous les appareils sont-ils synchronisés avec le serveur NTP hébergé

par l'organisation ?
N/A : Non Applicable 0 X X N/A
Existe-t-il un processus permettant d'identifier et de surveiller toutes
les modifications apportées aux systèmes NTP ?
N/A : Non Applicable 0 X X
Bring Your Own Device (BYOD)
L'organisation dispose-t-elle d'une politique autorisant l'utilisation
d'équipements personnels de communication dans l'organisation ?
N/A : Non Applicable 0 X X
Quelles sont les mesures éxigés par cette politique ? Antivirus,
connexion à un réseau protégé, limitation de service et etc.
N/A : Non Applicable 0 X X
N/A
Les collaborateurs sont-ils sensibilisés aux risques d'utilisation
d'equipement personnels au sein de l'organisme ?

Existe-t-il des dérogations pour l'utilisation de BYOD ? N/A : Non Applicable 0 X X

Page 5 de 17
 852634591.xlsx

RESULTAT : ### sur 4

Lien avec
Question Evaluation PoidsRESULTAT d'autres
Guide de réponse Constats
directive
Objectif : s'assurer que seuls les utilisateurs autorisés ont accès aux informations sensibles NIS 2 DORA
Droits d'accès privilégiés
Quels sont les critères sur lesquels sont basés l'attribution de
privilèges d'accès à un utilisateur ?
N/A : Non Applicable 0 0 X X
Les privilèges attribués sont-ils enregistrés et conservés ? N/A : Non Applicable 0 0 X X
Existe-t-il une politique de contrôle d'accès ? N/A : Non Applicable 0 0 X X
L'utilisateur a-t-il un moyen de savoir lorsqu'il est en mode d'accès
privilégié ?
N/A : Non Applicable 0 0 X X
Il y a-t-il une procédure mise en place pour empêcher l'utilisation non-
autorisée d'un identifiant générique ?
N/A : Non Applicable 0 0 X X N/A

Les conditions d'expiration des accès privilégiés sont-elles bien

définies ?
N/A : Non Applicable 0 0 X X
Existe-t-il une procédure de révision des droits d'accès privilégies
attribués aux utilisateurs ?
N/A : Non Applicable 0 0 X X
La liste des droits d'accès sont-ils fréquemment mis à jour ? N/A : Non Applicable 0 0 X X
Restrictions d'accès aux informations
L'organisation veille-t-elle à ce que les informations sensibles restent
confidentielles et qu'aucune personne non-autorisée n'ait accès à ces N/A : Non Applicable 0 0 X X
informations ?

L'organisation a-t-elle défini, tenu à jour et contrôlé les données

auxquelles les personnes concernées peuvent avoir accès ?
N/A : Non Applicable 0 0 X X
N/A
L'organisation contrôle-t-elle l'accès des personnes identifiées
(lecture, écriture, suppression, exécution) ?
N/A : Non Applicable 0 0 X X
L'organisation fournit-elle un contrôle d'accès physique/logique pour
isoler les systèmes, les applications et les donnés sensibles ?
N/A : Non Applicable 0 0 X X
Accès aux codes sources
L'accès au code source du programme et à ses bibliothèques est-il
conforme aux procédures établies ?
N/A : Non Applicable 0 0 X X
L'accès et la révocation de l'accès en lecture/écriture se font-ils en
fonction des besoins ?
N/A : Non Applicable 0 0 X X N/A

Les développeurs ont-ils accès au code source qu'au moyen d'outils

de développement bénéficiant d'une autorisation appropriée ?
N/A : Non Applicable 0 0 X X
Il y a-t-il un journal d'audit contenant tous les accès et toutes les
modifications apportées au code source ?
N/A : Non Applicable 0 0 X X
Authentification sécurisée
La robustesse de l'authentification est-elle adaptée à la classification
des informations ?
N/A : Non Applicable 0 0 X X
L'authentification multi-facteurs est-elle utilisée lors de tentative
d'accès aux systèmes d'information critiques ?
N/A : Non Applicable 0 0 X X
Des informations confidentielles sont-elles affichées avant la fin de la
procédure d'ouverture de session ?
N/A : Non Applicable 0 0 X X
Des avertissements sont-ils affichés indiquant que les systèmes ne
doivent être accessibles qu'aux utilisateurs autorisés ?
N/A : Non Applicable 0 0 X X
Existe-t-il une protection contre les tentatives de connexions par brute
force (limite définie pour les tentatives infructueuses) ?
N/A : Non Applicable 0 0 X X N/A

Page 6 de 17
 852634591.xlsx
N/A

Les tentatives de connexion réussies ou échouées sont-elles

enregistrées dans un journal ?
N/A : Non Applicable 0 0 X X
Les mots de passe sont-ils masqués et chiffrés avant d'être transmis ? N/A : Non Applicable 0 0 X X
Existe-t-il un délai défini pour déconnecter les sessions inactives après
une période d'inactivité ?
N/A : Non Applicable 0 0 X X
Les utilisateurs sont-ils tenus de changer de mot de passe lors de leur
première connexion ?
N/A : Non Applicable 0 0 X X
Masquage des données
L'organisation dispose-t-elle d'une politique et d'une procédure visant
à garantir l'anonymisation ou la pseudonymisation des données pour
la protection des données conformément aux exigences légales et
N/A : Non Applicable 0 0 X X
réglementaires ?
Existe-t-il un processus permettant de savoir comment les données
masquées sont consultées ?
N/A : Non Applicable 0 0 X X
La politique et la procédure de masquage des données comprennent-
elles de mettre en œuvre des techniques de masquage pour n'exposer
que la plus petite quantité possible de données à ceux qui les utilisent
N/A : Non Applicable 0 0 X X
? N/A
La politique et la procédure de masquage des données comprennent-
elles de masquer certaines données à la demande de la personne
concernée et de limiter à certains membres l'accès du personnel aux
N/A : Non Applicable 0 0 X X
sections pertinentes ?

La politique et la procédure de masquage des données sont-elles

contruites conformément aux exigences légales et réglementaires ?
N/A : Non Applicable 0 0 X X
L'algorithme de pseudonymisation utilisé pour démasquer les données
est-il conservé en toute sécurité ?
N/A : Non Applicable 0 0 X X
Utilisation de programmes utilitaires à privilèges
L'organisation a-t-elle défini une liste de programmes utilitaires ? N/A : Non Applicable 0 0 X X
Un nombre minimal acceptable d'utilisateurs de confiance autorisés a-
t-il été défini ?
N/A : Non Applicable 0 0 X X
L'organisation a-t-elle mis en place une procédure d'identification,
d'autorisation et d'authentification des programmes utilitaires ?
N/A : Non Applicable 0 0 X X N/A

Des programmes utilitaires ad hoc sont-ils utilisés et il y a-t-il une

procédure d'approbation de ces programmes ?
N/A : Non Applicable 0 0 X X
Les détails de l'enregistrement des programmes utilitaires sont-ils
journalisés ?
N/A : Non Applicable 0 0 X X
Utilisation de la cryptographie
L'organisation a-t-elle mis en place une politique en matière de
cryptographie ?
N/A : Non Applicable 0 0 X X
Existe-t-il un processus défini pour décider de la puissance de la clé de
chiffrement et de l'algorithme de chiffrement ?
N/A : Non Applicable 0 0 X X
Comment les clés cryptographiques sont-elles accessibles, stockées et
protégées ?
N/A : Non Applicable 0 0 X X
L'inventaire des clés de cryptographie et des certificats utilisés est-il N/A
tenu à jour ?
N/A : Non Applicable 0 0 X X
Les dates d'activation et de désactivation des clés sont-elles définies
pour toutes les clés de chiffrement ?
N/A : Non Applicable 0 0 X X
Il y a-t-il un processus de gestion des clés mis en place ? N/A : Non Applicable 0 0 X X

Page 7 de 17
 852634591.xlsx

RESULTAT : ### sur 4

Lien avec
Question Evaluation PoidsRESULTAT d'autres
Guide de réponse Constats
directive
Objectif : s'assurer que les informations et autres actifs associés sont protégées NIS 2 DORA
Protection contre les programmes malveillants (malware)
Une politique formelle de gestion des logiciels malveillant est-elle
msie en place ?
N/A : Non Applicable 0 0 X X
La solution antimalware est-elle mise en œuvre sur tous les
systeèmes ?
N/A : Non Applicable 0 0 X X
La solution antimalware est-elle configurée pour effectuer des
analyses péridodiques ?
N/A : Non Applicable 0 0 X X
La solution antimalware est-elle configurée pour obtenir régulièrement
des mises à jour de signatures ?
N/A : Non Applicable 0 0 X X
La solution antimalware est-elle configurée pour envoyer des alertes N/A
aux administrateurs du système en cas d'identification de logiciels N/A : Non Applicable 0 0 X X
malveillants ?

Existe-t-il un processus de détection des sites web malveillants ? N/A : Non Applicable 0 0 X X
Il y a-t-il une protection contre l'induction de programmes malveillants
pendant les procédures de maintenance et d'urgence ?
N/A : Non Applicable 0 0 X X
Existe-t-il des plans de continuité d'activités permettant la reprise
après les attaques (sauvegarde, mesures de reprises) ?
N/A : Non Applicable 0 0 X X
Gestion des vulnérabilités techniques
Les rôles et responsabilités relatifs à la surveillance des vulnérabilités,
à l'évaluation des risques de vulnérabilité et à l'application de N/A : Non Applicable 0 0 X X
correctifs sont-ils définis ?

La portée et la fréquence des évaluations des vulnérabilités

techniques sont-elles définies ?
N/A : Non Applicable 0 0 X X
Des tests de pénétration planifiés, documentés et répétés sont-ils
menés ?
N/A : Non Applicable 0 0 X X
Existe-t-il des procédures de déclaration des vulnérabilités et des
programmes de primes de bugs ?
N/A : Non Applicable 0 0 X X
La portée et la fréquence des évaluations des vulnérabilités N/A
techniques sont-elles définies ?
N/A : Non Applicable 0 0 X X
Existe-t-il un processus permettant de classer les vulnérabilités dans
les catégories "critique", "élevé", "moyen" et "faible" ?
N/A : Non Applicable 0 0 X X
Les délais de remédiation sont-ils définis en fonction de l'évaluation
des vulnérabilités ?
N/A : Non Applicable 0 0 X X
Existe-t-il un processus formel d'installation des correctifs pour
remédier aux vulnérabilités ?
N/A : Non Applicable 0 0 X X

Les correctifs sont-ils testés et évalués avant d'être installés ? N/A : Non Applicable 0 0 X X
Prévention de la fuite des données
L'organisation a-t-elle mis en place des mesures appropriées pour
garantir que les données sont organisées conformément aux normes N/A : Non Applicable 0 0 X X
du secteur afin d'attribuer différents niveaux de risque ?

L'organisation a-t-elle défini une procédure pour réduire les risques de

fuite de données à partir de courriers électroniques, de transferts de N/A : Non Applicable 0 0 X X
fichiers vers l'extérieur et de dispositifs USB ?

L'organisation a-t-elle mis en place des méthodes d'autorisation

appropriées ?
N/A : Non Applicable 0 0 X X N/A

Les données sont-elles sauvegardées et toutes les données sensibles

sont-elles chiffrées ?
N/A : Non Applicable 0 0 X X

Page 8 de 17
 N/A
852634591.xlsx

L'organisation a-t-elle mis en œuvre des mesures de sécurité de la

passerelle et de rétention des fuites pour se protéger contre les N/A : Non Applicable 0 0 X X
influences extérieures ?
L'organisation a-t-elle identifié des canaux de surveillance pour
identifier les fuites de données ?
N/A : Non Applicable 0 0 X X
Installation de logiciels sur des systèmes opérationnels
Existe-t-il une politique et une procédure en place pour l'installation
de logiciels et la mise à jour des logiciels existants ?
N/A : Non Applicable 0 0 X X
Il y a-t-il une liste des logiciels approuvés par la direction pour être
utilisés au sein de l'organisation ?
N/A : Non Applicable 0 0 X X N/A
Des journaux d'audit sont-ils tenus à jour pour les changements
effectués ?
N/A : Non Applicable 0 0 X X
Les logiciels fournis par des fournisseurs et utilisés dans des systèmes
opérationnels bénéficient-ils d’une maintenance assurée par le N/A : Non Applicable 0 0 X X
fournisseur ?
Filtrage web
Les règles de filtrage du Web sont-elles mises en œuvre pour
autoriser l'accès à des sites Web spécifiques uniquement ?
N/A : Non Applicable 0 0 X X
Existe-t-il une liste approuvée de sites web à haut risque/de
catégories de contenu ?
N/A : Non Applicable 0 0 X X N/A

Les contrôles sont-ils mis en œuvre pour empêcher le téléchargement

de contenus malveillants (par exemple, proxy Web, passerelle de N/A : Non Applicable 0 0 X X
messagerie, module anti-hameçonnage, EDR) ?

Page 9 de 17
 852634591.xlsx

RESULTAT : ### sur 4

Lien avec
Question Evaluation Poids RESULTAT d'autres
Guide de réponse Constats
directive
Objectif : s'assurer du suivi des données et de sa disponibilité NIS 2 DORA
Sauvegarde des informations
L'organisation dispose-t-elle d'une politique et d'une procédure
approuvées pour la gestion de la sauvegarde des données sur les
appareils, les supports de stockage, l'informatique en nuage, les bases
N/A : Non Applicable 0 0 X X
de données et les serveurs ?
Il y a-t-il des moyens de sauvegarde adéquats pour assurer que tous
les logiciels et les informations essentielles peuvent être récupérés N/A : Non Applicable 0 0 X X
suite à un incident ?
La fréquence à laquelle les serveurs et les données de configuration
sont sauvegardés est-elle adéquate ?
N/A : Non Applicable 0 0 X X
Les sauvegardes sont-elles conservées dans un lieu distant sûr et
sécurisé, à une distance suffisante pour échapper à tout dommage N/A : Non Applicable 0 0 X X
résultant d'un sinistre sur le site principal ? N/A
Les données sauvegardées sont-elles restaurées et vérifiées à
intervalles réguliers ?
N/A : Non Applicable 0 0 X X
Les résultats des restaurations sont-ils enregistrés ? N/A : Non Applicable 0 0 X X
Lorsque les sauvegardes concernent des données sensibles, celles-ci
sont-elles corectement chiffrées ?
N/A : Non Applicable 0 0 X X
Le plan de sauvegarde est-il régulièrement mis à jour ? N/A : Non Applicable 0 0 X X
L'organisation a-t-elle défini la fréquence des tests de restauration des
sauvegardes ?
N/A : Non Applicable 0 0 X X
Redondance des moyens de traitement de l'information
L'organisation dispose-t-elle d'une politique et d'une procédure
garantissant que les données traitées par le biais d'une technologie
TIC, d'une installation physique ou d'un logiciel sont dupliquées afin
N/A : Non Applicable 0 0 X X
d'assurer leur disponibilité en cas d'interruption ?

L'organisation a-t-elle envisagé des sites géographiquement N/A

disparates lors de l'externalisation de services de données (stockage N/A : Non Applicable 0 0 X X
de fichiers/aménagements de centres de données) ?
Une redondance est-elle en place pour tous les systèmes afin de
garantir la disponibilité de l'installation de traitement de N/A : Non Applicable 0 0 X X
l'information ?
Journalisation
Disposez-vous d'un processus permettant d'examiner les journaux
d'audit de sécurité en temps utile et d'agir en cas de menaces ?
N/A : Non Applicable 0 0 X X
Les informations enregistrées dans les journaux sont-elles complètes ? N/A : Non Applicable 0 0 X X
Les journaux d'événements sont-ils tenus à jour et régulièrement
examinés ?
N/A : Non Applicable 0 0 X X
Les installations de journalisation sont-elles protégées contre la
falsification et l'accès non autorisé (hachage/fichier en lecture seule) ?
N/A : Non Applicable 0 0 X X
Les activités de l'administrateur/opérateur du système sont-elles N/A
enregistrées et examinées régulièrement ?
N/A : Non Applicable 0 0 X X
Les services NTP sont-ils correctement déployés et les systèmes
synchronisés avec ?
N/A : Non Applicable 0 0 X X
Les archives des journaux sont-elles conservées ? N/A : Non Applicable 0 0 X X
La collecte et l'agrégation des journaux provenant des différents
systèmes et applications de réseau, de sécurité, de serveurs, de bases N/A : Non Applicable 0 0 X X
de données et d'identité sont-elles correctement gérées ?

Activitées de surveillance

Page 10 de 17
 852634591.xlsx

L'entreprise dispose-t-elle d'une politique et d'une procédure

permettant de suspecter les événements qui doivent être signalés au
personnel concerné afin de préserver l'intégrité du réseau et
N/A : Non Applicable 0 0 X X
d'améliorer la continuité des activités ?
L'organisation a-t-elle établi une base de référence pour les conditions
de travail normales afin d'identifier les anomalies dans le réseau ?
N/A : Non Applicable 0 0 X X N/A
Le logiciel de surveillance automatisée est-il configuré pour générer
des alertes sur la base de seuils prédéfinis ?
N/A : Non Applicable 0 0 X X
Existe-t-il une équipe dédié à la réponse aux alertes qui soit formé
correctement pour interpréter avec précision les éventuels incidents ?
N/A : Non Applicable 0 0 X X

Page 11 de 17
 852634591.xlsx

RESULTAT : ### sur 4

Lien avec
Question Evaluation PoidsRESULTAT d'autres
Guide de réponse Constats
directive
Objectif : s'assurer que les informations dans les réseaux sont sécurisées NIS 2 DORA
Dimensionnement
Existe-t-il un processus permettant de gérer mes besoins en capacité
de tous les systèmes sur la base des processus opérationnels et de N/A : Non Applicable 0 0 X X
leur criticité ?
Existe-t-il un processus permettant d'identifier les besoins en capacité
prévus pour l'avenir ?
N/A : Non Applicable 0 0 X X
N/A
Existe-t-il des contôles de détection mis en œuvre pour signaler les
problèmes et en informer les administrateurs ?
N/A : Non Applicable 0 0 X X
L'organisation suit-elle les pratiques de conservation et supprime-t-
elle les données absolues ?
N/A : Non Applicable 0 0 X X
Sécurité des réseaux
L'organisation dispose-t-elle d'une copie approuvée du diagramme de
réseau ?
N/A : Non Applicable 0 0 X X
L'organisation dispose-t-elle de l'inventaire des actifs du réseau de
l'organisation ?
N/A : Non Applicable 0 0 X X
La journalisation et la surveillance des équipements de réseau sont-
elles en place ?
N/A : Non Applicable 0 0 X X
Les canaux d'administration réseau sont-ils séparés des autres trafics
réseau ?
N/A : Non Applicable 0 0 X X
Il y a-t-il des détails sur le stockage et la sauvegarde des fichiers de N/A
configuration du réseau ?
N/A : Non Applicable 0 0 X X
Des revue des regles Firewalls sont elle réalisées ? N/A : Non Applicable 0 0 X X
Des revue de l'architecture réseau sont elle réalisées ? N/A : Non Applicable 0 0 X X
Existe-t-il une procédure d'authentification des équipements de
réseau ?
N/A : Non Applicable 0 0 X X
Sécurité des services réseau
Existe-t-il une politique et une procédure en place pour la gestion de
la sécurité du réseau ?
N/A : Non Applicable 0 0 X X
Existe-t-il une procédure de mise à jour des correctifs du système
d'exploitation ?
N/A : Non Applicable 0 0 X X
Il y a-t-il une liste avec les détails sur les personnes autorisées à N/A
apporter des modifications au réseau ?
N/A : Non Applicable 0 0 X X
Existe-t-il des contrôles de cryptage pour les données en transit ? N/A : Non Applicable 0 0 X X
Existe-t-il une procédure d'accès aux dispositifs du réseau ? N/A : Non Applicable 0 0 X X
Cloisonnement des réseaux
Si le réseau est grand, est-il divisé en sous domaines distincts séparés
du réseau public ?
N/A : Non Applicable 0 0 X X
Des contrôles de sécurité sont-ils mis en œuvre pour garantir la
séparation des accès aux environnements de production, de test et de N/A : Non Applicable 0 0 X X
développement ? N/A
Le réseau est-il segmenté et l'accès aux différents segments du
réseau est-il contrôlé ?
N/A : Non Applicable 0 0 X X
Le Wi-Fi destiné aux invités est-il soumis aux mêmes restrictions au
moins que le Wi-Fi du personnel ?
N/A : Non Applicable 0 0 X X

Page 12 de 17
 852634591.xlsx

RESULTAT : ### sur 4

Lien avec
Question Evaluation PoidsRESULTAT
d'autres directive Guide de réponse Constats
Objectif : s'assurer que la sécurité de l'information est prise en charge dès la conception NIS 2 DORA
Cycle de vie de développement sécurisé
L'organisation dispose-t-elle d'une politique de développement
d'applications sécurisées ?
N/A : Non Applicable 0 0 X X
Il y a-t-il une séparation des environnements de développement, de
test et de production ?
N/A : Non Applicable 0 0 X X
Les exigences en matière de sécurité sont-elles prises en compte dans
toutes les phases du développement ?
N/A : Non Applicable 0 0 X X
N/A
Existe-t-il des lignes directrices en matière de codage sécurisé pour le
développement ?
N/A : Non Applicable 0 0 X X
L'organisation dispose-t-elle de référentiels de code source sécurisés ? N/A : Non Applicable 0 0 X X
Les répertoires pour les codes source et les configurations sont-ils
sécurisés ?
N/A : Non Applicable 0 0 X X
L'organisation assure-t-elle le contrôle des versions du code source ? N/A : Non Applicable 0 0 X X
Exigences de sécurité des applications
Existe-t-il un processus permettant d'identifier toutes les exigences en
matière de sécurité de l'information lors du développement ou de N/A : Non Applicable 0 0 X X
l'acquisition d'applications ?

Les exigences légales, statutaires et réglementaires sont-elles prises

en compte lors du développement des applications ?
N/A : Non Applicable 0 0 X X
N/A
Les exigences en matière de protection de la vie privée sont-elles
prises en compte lors du développement des applications ?
N/A : Non Applicable 0 0 X X
Les exigences pour la préservation de la confidentialité et de
l'intégrité des applications incluant les commandes et paiements N/A : Non Applicable 0 0 X X
électroniques sont-elles prises en compte ?

Principes d'ingénierie et d'architecture des système sécurisés

Il y a-t-il des normes documentées, preuves de l'ingénierie d'un
système sûr et d'une architecture de système ?
N/A : Non Applicable 0 0 X X
Les lignes directrices en matière d'ingénierie sécurisée comprennent-
elles les méthodes d'authentification des utilisateurs ?
N/A : Non Applicable 0 0 X X
Les lignes directrices en matière d'ingénierie sécurisée comprennent-
elles une procédure d'assainissement et de validation des données ?
N/A : Non Applicable 0 0 X X
Les lignes directrices en matière d'ingénierie sécurisée comprennent-
elles des mesures de sécurité visant à protéger les actifs et les N/A : Non Applicable 0 0 X X N/A
systèmes d'information contre les menaces connues ?

Les lignes directrices en matière d'ingénierie sécurisée comprennent-

elles des mesures de sécurité analysées pour leur capacité à N/A : Non Applicable 0 0 X X
identifier, éliminer et répondre aux menaces de sécurité ?

Les lignes directrices en matière d'ingénierie sécurisée décrivent-elles

où et comment les mesures de sécurité doivent être appliquées ?
N/A : Non Applicable 0 0 X X
Il y a-t-il une procédure mise en place pour valider les pratiques et les
normes des prestataires de services et des tiers afin qu'elles soient N/A : Non Applicable 0 0 X X
conformes aux protocoles d'ingénierie sécurisée ?
Codage sécurisé
Les processus pour s'assurer de la bonne gouvernance du codage
sécurisé sont-ils bien définis ?
N/A : Non Applicable 0 0 X X

Page 13 de 17

N/A
 852634591.xlsx

L'organisation surveille-t-elle les menaces du monde réel et les

conseils actualisés pour orienter les principes de codage de sécurité ?
N/A : Non Applicable 0 0 X X
Les principes de codage sécurisé sont-ils utilisés à la fois pour les
nouveaux développements et pour les cas de réutilisation ?
N/A : Non Applicable 0 0 X X
La planification et les prérequis avant le codage incluent-ils N/A
l’utilisation d'environnements contrôlés ?
N/A : Non Applicable 0 0 X X
Les outils utilisés pour le développement de codes sécurisés sont-ils
vérifiés ?
N/A : Non Applicable 0 0 X X
L'équipe de développement est-elle régulièrement formée aux
menaces réelles ?
N/A : Non Applicable 0 0 X X
Le codage sécurisé tient-il compte des détails de la surface d'attaque
et des principales vulnérabilités de l'OWASP ?
N/A : Non Applicable 0 0 X X
Tests de sécurité dans le développement et l'acceptation
L'authentification des utilisateurs, les restrictions d'accès et
l'utilisation de techniques cryptographiques sont-elles testées ?
N/A : Non Applicable 0 0 X X
L'organisation teste-t-elle les configurations sécurisées du système
d'exploitation, des pare-feu et d'autres composants ?
N/A : Non Applicable 0 0 X X
N/A
L'organisation dispose d'un plan de test défini, documenté et mis en
œuvre ?
N/A : Non Applicable 0 0 X X
Les tests sont-ils réalisés dans un environnement de test ressemblant
le plus possible à l'environnement opérationnel ?
N/A : Non Applicable 0 0 X X
Développement externalisé
Les licences, la propriété du code et les droits de propriété
intellectuelle liés au développement externalisé sont-ils en place ?
N/A : Non Applicable 0 0 X X
L'organisation a-t-elle des exigences contractuelles en matière de
conception, de codage et de pratiques de test sécurisés ?
N/A : Non Applicable 0 0 X X N/A
La modélisation des menaces est-elle envisagée par les développeurs
externes ?
N/A : Non Applicable 0 0 X X
Existe-t-il des informations sur l'organisation chargée d'effectuer un
audit sur les tiers ?
N/A : Non Applicable 0 0 X X
Séparation des environnements de développement, de test et opérationnels
L'organisation dispose-t-elle d'un environnement distinct pour
l'application (développement, test et production) ?
N/A : Non Applicable 0 0 X X
Existe-t-il une liste de contrôle d'accès pour chaque environnement et
sa révision ?
N/A : Non Applicable 0 0 X X
Il y a-t-il un processus de gestion de l'accès des utilisateurs privilégiés
en place ?
N/A : Non Applicable 0 0 X X N/A
Il y a-t-il un processus de gestion des correctifs et des sauvegardes en
place ?
N/A : Non Applicable 0 0 X X
Une personne seule a-t-elle la possibilité d'apporter des changements
au niveau du développement et de la production sans vérification et N/A : Non Applicable 0 0 X X
approbation préalables ?

Gestion des changements

L'organisation dispose-t-elle d'une politique et d'une procédure de
gestion du changement ?
N/A : Non Applicable 0 0 X X
Existe-t-il un processus formel de demande de changement ? N/A : Non Applicable 0 0 X X
L'évaluation de l'impact des changements, les tests et le plan de N/A
reprise sont-ils définis pour tous les changements ?
N/A : Non Applicable 0 0 X X
Les modifications sont-elles approuvées avant d'être mises en œuvre ? N/A : Non Applicable 0 0 X X
Existe-t-il un processus de gestion des changements d'urgence ? N/A : Non Applicable 0 0 X X
Informations de test
L'organisation applique-t-elle les mêmes procédures de contrôle
d'accès aux environnements de test et de production ?
N/A : Non Applicable 0 0 X X

Page 14 de 17 N/A
 852634591.xlsx

Il y a-t-il des détails de la procédure d'approbation si les données de

production sont transférées dans l'environnement de test ?
N/A : Non Applicable 0 0 X X
N/A
Les informations de test sont-elles stockées de manière sécurisée ? N/A : Non Applicable 0 0 X X
L'organisation a-t-elle défini le processus de gestion des données et
les lignes directrices en place ?
N/A : Non Applicable 0 0 X X
Protection des systèmes d'information pendant les tests d'audit
L'organisation dispose-t-elle d'un plan d'audit et d'assurance du
système ?
N/A : Non Applicable 0 0 X X
Existe-t-il les détails du calendrier d'audit et des rapports d'audit
récents ?
N/A : Non Applicable 0 0 X X
L'accès aux données et aux logiciels pendant les tests d'audit sont-ils
limités à un accès en lecture seule ?
N/A : Non Applicable 0 0 X X N/A

Il y a-t-il une procédure en place pour la protection des données DCP ? N/A : Non Applicable 0 0 X X
Les tests d'audit qui peuvent impacter la disponibilité du système
sont-ils exécutés en dehors des heures de travail ?
N/A : Non Applicable 0 0 X X

Page 15 de 17
 Choix1 Valeur
- Formalisation

0 : Inexistant 0
1 : Planifié 1
2 : En cours de rédaction 2
3 : En cours de validation 3
4 : Formalisé 4
N/A : Non Applicable 0

Choix2 Valeur
- Diffusion & Communication
- Champs d'application
0 : Pas du tout 0
1 : Très partiellement 1
2 : Partiellement 2
3 : En grande partie 3
4 : Totalement 4
N/A : Non Applicable 0

Choix3 Valeur
- Fréquence d'une bonne pratique

0 : Jamais 0
1 : De temps en temps 1
2 : Régulièrement 2
3 : Très souvent 3
4 : Systématiquement 4
N/A : Non applicable 0
Criticité
t
tt
ttt

Charges
+
++
+++

Coûts
€
€€
€€€

Décision
A valider
Retenue
Non-retenue