13

Partie II
Cahier des Clauses Techniques Particulières
ARTICLE 1 - OBJET DE LA CONSULTATION/APPEL D’OFFRES
Le Maître d’ouvrage se propose de lancer une consultation pour l’audit sécurité
des systèmes d’information.
L’objet de cet audit devra se conformer, au minimum, aux dispositions énoncées
dans le décret N°2004-1250 du 25 mai 2004 et être piloté par, au moins, un chef de
projet certifié par l’ANSI, conformément au décret N° 2004-1249 du 25 mai 2004.
Cet audit devra prendre comme référentiel de base la norme ISO/IEC 27002 et
suivre une approche méthodologique aussi proche que possible de ce référentiel.
La mission d’audit objet de cette consultation devra ainsi concerner les aspects
organisationnels, physiques et techniques, relatifs à la sécurité de l’ensemble des entités
et moyens (structures, personnel, procédures, outils logiciels, équipements de
traitement, équipements réseaux, équipements de sécurité, bâtiments, ..) en relation
avec les fonctions de traitement de l'information et inclus dans le cadre de cet audit.
Le périmètre d’audit se présente comme suit :
 Les équipements et les applications installés dans son siège social ;
 Les équipements et les installations installés dans les différents sites
distants ;
 Le matériel et les applications utilisés par l’instance pour le traitement et
la diffusion des informations.
ARTICLE 2 – CONDUITE ET DEROULEMENT DE LA MISSION
Cette mission sera décomposée en quatre phases :
I- Phase de préparation de la mission :
Au lancement de la mission, le titulaire devra solliciter auprès des structures à
auditer tout détail, information ou document nécessaire pour l’exercice de sa mission.
Une réunion préparatoire de la mission sera organisée au début de la mission,
dont l’objet sera de finaliser, sur la base des besoins et documents préparés par le
titulaire, les détails de mise en œuvre de la mission.
Elle concernera, sans s’y limiter, la finalisation des détails suivants :
 Désignation des chefs de projets et des interlocuteurs, côté maître d’ouvrage
et le titulaire.
 Fourniture des détails complémentaires, relatifs au domaine de l’audit,
 Fourniture des documents requis pour l’audit (Manuels d’exploitation,
schémas d’architectures, …)
 Examen des problèmes éventuels, relatifs à la mise à jour de la
documentation,
 Examen des détails des listes des interviews à réaliser par le titulaire et
fourniture par le maître d’ouvrage de la liste nominative des personnes à
interviewer.
 Affinement des plannings d’exécution (planning des actions/site, plannings
des réunions de coordination et de synthèse, ….).

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 14

 Examen des détails logistiques nécessaires au déroulement de la mission

(octroi des autorisations d’accès aux lieux où l’audit devra être élaboré sur la
base d’études de terrain, octroi de locaux de travail au titulaire,. …).
Ainsi tous les détails de mise en œuvre seront examinés et validés. Cette réunion
débouchera, entre autre, sur la synthèse des plannings précis et détaillés de mise en
œuvre de la mission.
Les résultats de cette réunion seront consignés dans un PV, qui sera annexé au
rapport final d’audit.
En cas de difficultés notoires rencontrées lors de cette phase de démarrage, le
titulaire devra faire recours au Maître d’Ouvrage par écrit, pour permettre à celui-ci
d’intervenir efficacement et dans les délais.
II- Phase de sensibilisation
Des sessions de sensibilisation préliminaires, et post-audit, destinées aux
responsables et acteurs du SI, devront être proposées.
1- Les sessions préliminaires auront pour premier objectif une sensibilisation
générale sur les dangers cybernétiques et sur les risques cachés encourus, incluant entre
autres la présentation pratique d’attaques cybernétiques. Elles devront aussi rappeler
les objectifs de l’audit, l’urgence et bienfaits attendus, ainsi que l’assurance sur la
confidentialité des données reçues.
2- Les sessions post audit, incluant les responsables et acteurs du SI, auront pour
objectif une sensibilisation aux failles décelées et aux risques cachés encourus et
l’octroi de la collaboration des utilisateurs, pour ce qui concerne la mise en œuvre de la
politique de sécurité proposée en spécifiant l’objectif de cette politique et les bienfaits
attendus.
Le soumissionnaire devrait inclure dans son offre, la réalisation de 2 session(s)
de sensibilisation préliminaire et de 2 session(s) de sensibilisation post-audit.
Il devra inclure dans son offre, la référence aux acteurs de cette opération, ainsi
qu’une description de la matière de sensibilisation (documents/maquettes, etc.) qui sera
utilisée.
III- Phase d’audit
C’est la phase d’audit proprement dite.
Ainsi, cette phase couvrira principalement trois 03 volets :
 Un volet d’audit organisationnel et physique,
 Un volet d’audit technique,
 Un volet d’analyse et d’évaluation du risque.
A- volet Audit organisationnel et physique :

Il s’agit, pour ce volet d’évaluer les aspects organisationnels de gestion de la

sécurité de la structure objet de l’audit, d’estimer les risques et de proposer les
recommandations adéquates pour la mise en place des mesures organisationnelles et
d’une politique sécuritaire adéquate. On s’intéressera aux aspects de gestion et
d’organisation de la sécurité, sur les plans organisationnels, humains et physiques.

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 15

Au cours de cette étape, le titulaire devra emprunter une approche

méthodologique, basée sur des batteries de questionnaires pré-établis et adaptés à la
réalité des entités auditées, permettant d’aboutir à une évaluation pragmatique des
failles et des risques encourus et ceci pour déduire les recommandations adéquates pour
la mise en place des mesures organisationnelles et d’une politique sécuritaire adéquate.
Cet audit devra prendre comme référentiel tous les chapitres de la dernière version
de la norme ISO/IEC 27002.
B- Audit technique

Ce volet concerne l’audit technique de l’architecture de sécurité. Il s’agit de

procéder à une analyse très fine de l’infrastructure sécuritaire des systèmes
d’information et particulièrement du réseau. Cette analyse devra faire apparaître les
failles et les risques conséquents, d’intrusions actives (tentatives de fraude, accès et
manipulation illicites de données, interception de données critiques…), ainsi que celles
virales ou automatisées, et ce suite à divers tests de vulnérabilité conduites dans le cadre
de cette mission, qui doivent englober des opérations de simulation d’intrusions et tous
autres tests permettant d’apprécier la robustesse de la sécurité des systèmes
d’information et leur capacité à préserver les aspects de confidentialité, d’intégrité, de
disponibilité et d’autorisation.
Au cours de cette étape, le soumissionnaire devra, en réalisant des audits
techniques de vulnérabilités, des tests et simulations d’attaques réelles :
 dégager les écarts entre l’architecture réelle et celle décrites lors des
entretiens ou dans la documentation, ainsi qu’entre les procédures
techniques de sécurité supposées être appliquées (interviews) et celles
réellement mise en œuvre.
 évaluer, la vulnérabilité et solidité des composantes matérielles et
logicielles du système d’information ( réseau, systèmes, mécanismes
d’administration et de gestion, plates-formes matérielles...), contre toutes
les formes de fraude et d’attaques connues par les spécialistes du domaine
au moment où l’audit est conduit, et touchant les aspects de
confidentialité, intégrité et disponibilité des informations (et le cas
échéant, celles des mécanismes d’autorisation (authentification,
certification, ...) et de non répudiation).
 évaluer l’herméticité des frontières du réseau, contre les tentatives de son
exploitation par des attaquants externes (sites d’amplification d’attaques,
relais de spam, exploitation du PABX pour le détournement (« vol ») des
lignes de communication, ….).
Elle devra aussi inclure une évaluation des mécanismes et outils de sécurité
présentement implémentés et diagnostiquer et tester toutes leurs failles architecturales
et techniques, ainsi que les lacunes en matière d’administration et d’usage de leurs
corposantes logicielles et matérielles.
Les tests réalisés ne devront pas mettre en cause la continuité du service du
système audité. Les tests critiques, pouvant provoquer des effets de bord, devront être
notifiés au chef de projet (coté maître d’ouvrage) et devront, si nécessaire, être réalisés
sous sa supervision, conformément à un planning préalablement établi et validé, et qui
pourra concerner des horaires de pause et éventuellement de chôme.

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 16

C- Analyse et évaluation du risque

Dans cette phase et après avoir identifié les failles de sécurité organisationnelles,
physiques et techniques, il s’agit de suivre une approche méthodologique pour évaluer
les risques encourus et leurs impacts sur la sécurité de la structure auditée.
La phase d’analyse et d’évaluation du risque se déroulera en deux étapes :

Etape 1 : la phase d’analyse

Dans cette phase le titulaire est mener à :

1. Identifier les ressources critiques : les informations, les actifs matériels,
les actifs logiciels, les personnels,…
2. Identifier les menaces auxquels sont confrontés ces actifs (intentionnelle
ou non intentionnelle),
3. Identifier les vulnérabilités (au niveau organisationnel, au niveau
physique et au niveau technique) qui pourraient être exploitées par les
menaces,
4. Identifier les impacts que les pertes de confidentialité, d'intégrité et de
disponibilité peuvent avoir sur les actifs,
5. Evaluer la probabilité réaliste d'une défaillance de sécurité au vu des
mesures actuellement mises en œuvre,

Etape 2 : la phase d’évaluation

Dans cette étape le titulaire est mener à :

1. Etablir une classification des risques par niveaux, et déterminer le niveau
du risque acceptable,
2. Evaluer les risques, en fonction des facteurs identifiés dans la phase
d’analyse, et les classifier par niveaux,
3. Identifier les mesures préventives et les mesures correctives de sécurité à
implémenter pour éliminer ou réduire les risques identifiés.
D- Outils d’audit

Lors des audits, l’utilisation d’outils commerciaux devra être accompagnée de la

présentation d’une copie de la licence originale et nominative, permettant leur usage
correct pour de telles missions (inexistence de restrictions quant à leur usage pour les
audits : plages d’adresses ouvertes, ...).
De plus, étant donné qu'aucun produit commercial ne saurait prétendre à lui seul,
à une complétude totale, les outils disponibles dans le domaine du logiciel libre devront
être savamment déployés pour assurer une complétude correcte de cette phase, en
s’appuyant, quand cela est possible, sur des scripts riches de mise en œuvre savante et
combinée de ces outils.
Les outils proposés devront inclure, sans s’y limiter, les catégories d’outils
suivants :
 Outils de sondage et de reconnaissance du réseau ;
 Outils de test automatique de vulnérabilités du réseau ;

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 17

 Outils spécialisés dans l’audit des équipements réseau (routeurs,

switchs,…) ;
 Outils spécialisés dans l’audit de chaque type de plate-formes système (OS,
..) présente dans l’infrastructure.
 Outils spécialisés dans l’audit des SGBD existants.
 Outils de test de la solidité des objets d’authentification (fichiers de mots
clés, …).
 Outils d’analyse et d’interception de flux réseaux :
 Outils de test de la solidité des outils de sécurité réseau (firewalls, IDS,
outils d’authentification,….).
 Outils de scan d’existence de connexions dial-up dangereuses (war-dialing).
Et tout autre type d’outil, recensé nécessaire, relativement aux spécificités du SI
audité (test d’infrastructure de PKI, ….).
Le soumissionnaire devra donner la référence et une description concise (résumé
de la liste des fonctionnalités offertes) des outils et scripts qu’il compte utiliser, en
spécifiant l’objectif, lieu (phase de l’audit) et types de fonctionnalités de l’outil ou script
qui seront mises en œuvre (Voir modèle en annexe 6)
IV- Synthèse des Recommandations :
Le titulaire est invité, à la fin de la phase d’audit sur terrain de réaliser une
synthèse, permettant l’établissement de la liste des failles (classées par ordre de gravité
et d’impact), ainsi qu’une évaluation de leurs risques et une synthèse des
recommandations conséquentes.
Les recommandations devront inclure au minimum :
o Les actions détaillées (organisationnelles et techniques) urgentes à mettre en
œuvre dans l’immédiat, pour parer aux défaillances les plus graves, ainsi que
la proposition de la mise à jour ou de l’élaboration de la politique de sécurité
à instaurer.
o Les actions organisationnelles, physiques et techniques à mettre en œuvre sur
le court terme (jusqu’à la date du prochain audit), englobant entre autres :
- Les premières actions et mesures à entreprendre en vue d’assurer la
sécurisation de l’ensemble du système d’information audité, aussi
bien sur le plan physique que sur le plan organisationnel (structures
et postes à créer, opérations de sensibilisation et de formation à
intenter, procédures d’exploitation sécurisées à instaurer, …) et
technique (outils et mécanismes de sécurité à mettre en œuvre), ainsi
qu’éventuellement des aménagements architecturaux de la solution
de sécurité existante.
- Une estimation des formations requises et des ressources humaines et
financières supplémentaires nécessitées.
o La proposition d’un plan d’action cadre s’étalant sur trois années et présentant
les mesures stratégiques en matière de sécurité à entreprendre, qui soit
horodaté et qui enveloppe d’une manière indicative les moyens humains et
financières à allouer pour réaliser cette stratégie.

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 18

ARTICLE 3 – Méthodologie(s) Adoptée(s)

Pour la réalisation de la mission, le soumissionnaire devra emprunter une
approche méthodologique, en indiquant les références de la (ou les) méthodologie(s)
adoptées, tout en gardant comme référentiel normatif la norme ISO/IEC 27002 dernière
version.
La (ou les) méthodologie(s) adoptée(s) devra(ient) être adaptée(s), dans leur mise
en œuvre, à la réalité, métier et taille des entités auditées et devra permettre d’aboutir à
l’élaboration de bilans et de recommandations et solutions pragmatiques et pertinentes,
qui tiennent compte, pour les plus urgentes, de la réalité humaine et matérielle de
l’entité, et en la corrélant à la gravité des failles décelées et à l’efficacité, urgence et
faisabilité des actions à mener.
Ainsi, le soumissionnaire est appelé à indiquer, clairement dans son offre, la (ou
les) méthodologie(s) d’audit qu’il envisage de mettre en œuvre, tout en fournissant des
références sur son adéquation avec le référentiel ISO/IEC 27002. Le Maître d’Ouvrage
tiendra compte dans son évaluation de la consistance de la (ou les) méthodologie(s)
proposée(s), ou parties de ces méthodologies et ce à chaque phase ainsi que de son
adéquation à la réalité de l’entreprise et du temps imparti.
Il devra aussi indiquer dans son offre la qualité des moyens techniques et humains
qui seront déployés lors de la mise en œuvre de ces méthodologies (expérience dans la
mise en œuvre de la (les) méthodologie(s) consignée(s), outils logiciels accompagnant
la mise en œuvre de cette méthodologie).
Le soumissionnaire devra spécifier dans la rubrique Démarche d’audit proposée,
au minimum, et pour chaque composant du SI :
- Le Type de méthodologies à mettre en œuvre pour le volet physique et
organisationnel et les structures recensées utiles à interviewer, ainsi que
le(s) outil(s) logiciel(s) accompagnant la mise en œuvre de cette
méthodologie (traitement automatisé des interviews et calcul des risques
associés, …).
- Méthode de mise en œuvre du volet technique, en spécifiant les types de
tests techniques à effectuer et leur objectif, ainsi que les outils utilisés
- La Séquences des actions à mener (interviews, tests techniques, synthèse,
rédaction de rapports, …) et une estimation de la volumétrie homme/jour
de chaque action, incluant un résumé des Corrections de volumétrie
proposées par rapport à l’estimation préliminaire proposée dans le cahier
des charges (annexe 3).
- La liste nominative des équipes qui interviendront pour chaque composant
(site, structure) avec référence de l’expérience dans la mise en œuvre de
la (les) méthodologie(s) et outils consignés.
Il est à noter que toute modification des personnes initialement proposées est une
cause de rupture du contrat ou de disqualification, sauf cas exceptionnel, via l’octroi de
l’accord préalable et écrite du maître d’ouvrage (avec insertion de ces écrits dans le
rapport final). De plus, le personnel en charge de l’audit devra être du personnel
permanent du soumissionnaire. Pour autant, le soumissionnaire pourrait éventuellement
faire intervenir du personnel consultant, sur la foi de présentation du contrat de
consultation y afférant, qui devrait inclure une clause sur la confidentialité, tout en

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 19

assumant totalement la responsabilité envers tout risque de divulgation par ce personnel

de tout type de renseignements concernant cet audit.
Le soumissionnaire devra inclure dans son offre une présentation des CVs des
intervenants (en prenant comme base, le modèle fourni dans l’annexe 5 du présent
cahier de charges).
ARTICLE 4 - LIVRABLES
Le rapport d’audit devra couvrir, au minimum, les aspects mentionnés dans le
décret N°2004-1250 notamment :
- Une description et une évaluation complète de la sécurité du système
informatique, comprenant les mesures qui ont été adoptées depuis le
dernier audit réalisé et les insuffisances enregistrées dans l’application des
recommandations ;
- Une analyse précise des insuffisances organisationnelles et techniques
relatives aux procédures et outils de sécurité adoptés, comportant une
évaluation des risques qui pourraient résulter de l’exploitation des failles
découvertes ;
- La proposition des procédures et des solutions organisationnelles et
techniques de sécurité qui devront être adoptées pour dépasser les
insuffisances découvertes."
Le document final devra inclure les chapitres ou rapports suivants :
1. Un rapport détaillé d’audit couvrant les différents aspects spécifiés dans le
Cahier des clauses techniques et qui devra comprendre au minimum les
sections suivantes :
a) Une section relative à l’évaluation des mesures qui ont été adoptées depuis
le dernier audit réalisé et des insuffisances enregistrées dans l’application
de ses recommandations, avec un report des raisons invoquées par les
responsables du SI et celles constatées, expliquant ces insuffisances.
b) Une section relative à l’audit organisationnel et physique, fournissant
l’ensemble des failles d’ordre organisationnel et physique et incluant la liste
des recommandations à appliquer dans l'immédiat, en tenant compte des
spécificités de l’entité, de la classification des systèmes (criticité) et de la
réalité actuelle des moyens humains et financiers.
c) Une section relative à l’audit technique, indiquant les vulnérabilités
existantes, leur impact sur la pérennité des systèmes d’information et de
communication de la structure, en incluant des recommandations
techniques à appliquer dans l'immédiat, concernant les moyens (réalistes)
de correction des failles graves décelées. Tous les travaux de test et
d’analyse effectués devront être consignés dans une annexe, en les
ordonnant selon leur sévérité, en incluant au niveau du rapport un relevé
des plus importantes failles et des moyens de les combler dans l’immédiat.
d) Une section relative à la partie analyse des risques fournissant une
évaluation des risques résultant des menaces identifiées et des failles
découvertes lors des phases d’audit organisationnel, physique et technique.
e) Une section relative au plan d’action et stratégie de sécurité à appliquer
sur le court terme (jusqu'au prochain audit), comprenant des
recommandations précises quant aux mesures à prendre dans le court
terme, afin de pallier aux failles et insuffisances décelées, incluant tous
les nécessaires organisationnels et techniques en tenant compte pour ce

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 20

qui concerne le déploiements d’outils et d’architectures de sécurité de

l’option d’usage d’outils open-source et de la réalité financière et humaine
de l’entité.
2. Un rapport présentant le plan d’action cadre s’étalant sur trois années,
permettant de mettre en œuvre une stratégie de sécurité cohérente et ciblée.
Ce rapport sera mis à jour lors des audits de la seconde et de la troisième
année tenant compte du taux de réalisation des mesures qui ont été adoptées
depuis le dernier audit réalisé et des insuffisances enregistrées dans
l’application de ses recommandations, ainsi que des résultats de l’audit de
l’année en cours.
3. Un rapport de synthèse, destiné à la direction générale, qui inclura d’une
manière claire (destiné décideurs) les importants résultats de l’estimation
des risques, un résumé succinct des importantes mesures organisationnelles,
physiques et techniques préconisées dans l’immédiat et sur le moyen terme
(jusqu’au prochain audit), ainsi que les grandes lignes du plan d’action cadre
proposé.

Procédure de validation des rapports de la mission :

Le maître d’ouvrage, donnera son approbation ou refus du contenu des rapports
dans les délais spécifiés dans le cahier des clauses administratives, conformément au
planning pré-établi lors de la séance préparatoire. Les réserves formulées par le maître
d’ouvrage seront consignés par écrit au titulaire.
ARTICLE 5 – TABLEAU DE CONFORMITE TECHNIQUE
Critères de conformité pour la société et l’équipe intervenante :

Exigence Pièces à fournir

L’entreprise de services et d’ingénierie informatique

- Spécialisation de l’entreprise dans l’activité de Références attestées : PV de
conseil en système d’information réception ou attestation du client

- Quatre missions d’audit sécurité, conformes au Références attestées : PV de

décret N° 2004-1250, de plus de 30 Jours, réception ou attestation du
effectuées durant les deux dernières années. client.

- employant à temps plein un auditeur certifié par Justificatif : attestation CNSS

l’ANSI

- CV suivant annexe 5
Le Chef du projet proposé devra :
- Diplôme copie certifié
-emploi à plein temps par le soumissionnaire conforme
- avoir une expérience de 05 ans dans le domaine de la - Copie certifiée conforme du
sécurité informatique. certificat.
- Avoir un diplôme d’ingénieur ou équivalent en -Copie certifiée conforme du
informatique ou télécommunication certificat en cours de validité

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 21

- être certifié par l’ANSI conformément aux procédures - copie certifiée conforme du
de certifications du décret 2004-1249 certificat en cours de validité.
- être certifié ISO 27001 - deux références attestées (Pv
de réception ou attestation du
client)
- Deux missions d’audit en tant que Chef de
Pour les membres de l’équipe :
projet (conformes au décret no 2004-1250) durant les
deux dernières années.
CV en annexe
Pour l’équipe intervenante en plus du chef de projet : -Références attestées :
attestations du client : au moins
deux références.
- L’équipe proposée :
-copie certifiée conforme du
Au moins deux membres : diplôme.
-d’un ingénieur ou équivalent :
-expérience en matière de sécurité : 3 ans
-deux missions d’audit de plus de 15 jours -copie certifiée conforme du
conduites les deux dernières années, certificat.
-un certificat obtenu dans le domaine de la
sécurité,
- Formation et pratique :
-formation suivies sur les produits proposés. attestations de formation sur les
produits proposés

-d’un analyste ou technicien :

-expérience en matière de sécurité : 3 ans
-deux missions d’audit de plus de 10 jours
conduites les deux dernières années,
-un certificat obtenu dans le domaine de la
sécurité

- expérience des membres de l’équipe sur les

méthodologie et outils proposés
- Présenter un engagement de réaliser la mission dans
un délai global ne dépassant pas les deux mois à partir - Engagement signé légalisé
de la notification de l’ordre de service.

ARTICLE 3 – LE CHOIX DEFINITIF

Le choix définitif sera fait sur la base de l’appréciation des critères définis ci haut
par la commission de dépouillement
L’Instance Vérité et Dignité se réserve le droit du choix définitif de l’offre sans
justification, le titulaire n’a pas le droit de protester ce choix.

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 22

Partie III
ANNEXES

Annexe 1-Références du Soumissionnaire

Ordre Sous-critère Exigences Minimales Réponse

1 Spécialisation de 3 missions
l’entreprise dans
l’activité de conseil en
système d’information

2 Quatre missions d’audit 4 références

sécurité, conformes au
décret N° 2004-1250, de
plus de 30 Jours,
effectuées durant les
deux dernières années.
.

Seules les missions justifiées par des P.V. de réception ou attestations du client
seront considérées dans l’évaluation.

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 23

Annexe 2- Qualité des Moyens humains mis à la disposition de la mission

2.1-Présentation du Chef du Projet :

2.2-Présentation des membres de l’équipe :

Nom et Diplôme Date Certificats les missions Les activités

Prénom d’obtention obtenues d’audit ou principales ou
ou missions de spécialités dans
formation sécurité la mission
(Année/ (Année/nombre
Titre/Orga de
nisme) jours/Organisme)
[1]

[1] Seules les missions justifiées par des P.V. de réception ou attestations du
client seront considérées dans l’évaluation.

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 24

Annexe 3 - Méthodologie et conduite du projet

Méthodologie suivie pour l’audit Organisationnel (Tableau 3.1)

1 Décrire la (les) méthodologie(s) proposée(s) et indiquer les raisons de leur

choix, ainsi que les références de leur adéquation avec la norme ISO 27002
dernière version

…………………………………………………………………………………………………………………..
……………………………

2 Décrire les interviews à effectuer et en fournir des prototypes (électroniques

le cas échéant)
…………………………………………………………………………………………………………………..
……………………………

3 Décrire le type des inspections à réaliser et leur objet

…………………………………………………………………………………………………………………..
……………………………

4 Préciser les outils d’accompagnement utilisés (traitement automatisé des

interviews, …)
…………………………………………………………………………………………………………………..
……………………………
…………………………………………………………………………………………………………………..
……………………………
5 Décrire la méthodologie de calcul de risques et ses références
6 Spécifier l’expérience de l’équipe dans la mise en œuvre de cette
méthodologie (Formations, pratique de la méthodologie)
…………………………………………………………………………………………………………………..
……………………………

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 25

Méthodologie suivie pour l’audit Technique (tableau 3.2)

1 Décrire la méthodologie proposée, relativement à la nature de

l’infrastructure. (Décrire l’approche méthodologique d’audit technique que
le soumissionnaire entend appliquer)

…………………………………………………………………………………………………………………..
……………………………

2 Spécifier les types de tests à effectuer et leurs objectifs (en fournir une
description)

…………………………………………………………………………………………………………………..
……………………………

3 Spécifier les types d’inspections à réaliser (inspection topologique physique,

autre)
…………………………………………………………………………………………………………………..
……………………………

4 Spécifier les types d’outils et scripts utilisés (fournir leurs références

d’origine et une description et les résumer dans l’annexe 6)
…………………………………………………………………………………………………………………..
……………………………

5 Spécifier la méthodologie d’analyse et de report des failles, selon leur gravité

…………………………………………………………………………………………………………………..
……………………………

6 Expérience de l’équipe dans la mise en œuvre de cette méthodologie (pratique

de la méthodologie, Formations sur les outils,..)

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 26
Annexe 4
Planning prévisionnel de la mission

Durée en
Composant Homme/jour pour Logistique utilisée
Equipe intervenante chaque intervenant Livrable
(Outils,…)
Phase Objet de la sous phase Sur Site Totale
1: …………………... Nom:………………………
Audit
2: …………………… Nom:………………………
Organisationnel
…. Nom:……………………
et physique
n: …………………… Nom:……………………
1: ……………………... Nom:……………………
2: ……………………… Nom:……………………
Audit Technique
…. Nom:……………………
n: …………………… Nom:……………………
1: ……………………... Nom:……………………
2: ……………………… Nom:……………………
Volet … Nom:……………………
Sensibilisation n: …………………… Nom:……………………
Durée Totale de la mission (en Homme/jour)

Signature et cachet du
soumissionnaire

Noms et signatures de(s) auditeur(s) certifié(s)

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 27

Annexe 5
CVs Individuels

Nom : Prénom :

Date de naissance : Nationalité :

Formation :

Etablissement
Date : de (mois/année) à (mois/année)
Diplômes obtenus :

Formation professionnelle spécifique et certification dans les trois 3 ans :

Organisme Date Description

Expérience professionnelle :

Date :
Pays ou ville
Société
Poste
Description

Date :
Pays ou ville
Société
Poste
Description

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 28

Annexe 6 : Présentation des Outils techniques utilisés

 Outils de sondage et de reconnaissance du réseau :

Outils Référence liste des Utilité pour Lieu Référence de la

fonctionnalités la mission d’utilisation documentation
offertes ou à dans le dossier
(Planning,
mettre en de l’offre
phase)
œuvre dans la
(éventuellement
mission
sous forme
électronique :
CD, ..)

Scripts Outils liste des Utilité pour Lieu Référence de

combinés fonctionnalités la mission d’utilisation la
offertes ou à (Planning, documentation
mettre en phase) dans le dossier
œuvre dans la de l’offre
mission

 Outils de test automatique de vulnérabilités du réseau.

Outils Référence liste des Utilité pour Lieu Référence de

fonctionnalités la mission d’utilisation la
offertes ou à documentation
(Planning,
mettre en dans le dossier
phase)
œuvre dans la de l’offre
mission

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 29

Scripts Outils liste des Utilité pour Lieu Référence de

combinés fonctionnalités la mission d’utilisation la
offertes ou à (Planning, documentation
mettre en phase) dans le dossier
œuvre dans la de l’offre
mission

 Outils spécialisés dans l’audit des équipements réseau (routeurs, switchs, …).
Outils Référence liste des Utilité Lieu Référence de
fonctionnalités pour la d’utilisation la
offertes ou à mission (Planning, documentation
mettre en phase) dans le dossier
œuvre dans la de l’offre
mission

Scripts Outils liste des Utilité pour Lieu Référence de

combinés fonctionnalités la mission d’utilisation la
offertes ou à (Planning, documentation
mettre en phase) dans le dossier
œuvre dans la de l’offre
mission

 Outils spécialisés dans l’audit de chaque type de plateformes système (OS, ..)
présente dans l’infrastructure.
Outils Référence liste des Utilité pour Lieu Référence de
fonctionnalités la mission d’utilisation la
offertes ou à (Planning, documentation
mettre en phase) dans le dossier
œuvre dans la de l’offre
mission

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 30

Scripts Outils liste des Utilité pour Lieu Référence de

combinés fonctionnalités la mission d’utilisation la
offertes ou à (Planning, documentation
mettre en phase) dans le dossier
œuvre dans la de l’offre
mission

 Outils spécialisés dans l’audit des SGBD existants.

Outils Référence liste des Utilité pour Lieu Référence de la

fonctionnalités la mission d’utilisation documentation
offertes ou à (Planning, dans le dossier
mettre en phase) de l’offre
œuvre dans la
mission

Scripts Outils liste des Utilité pour Lieu Référence de la

combinés fonctionnalités la mission d’utilisation documentation
offertes ou à (Planning, dans le dossier
mettre en phase) de l’offre
œuvre dans la
mission

 Outils de test de la solidité des objets d’authentification (fichiers de mots clés,

…)..

Outils Référence liste des Utilité pour Lieu Référence de

fonctionnalités la mission d’utilisation la
offertes ou à (Planning, documentation
mettre en phase) dans le dossier
œuvre dans la de l’offre
mission

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 31

Scripts Outils liste des Utilité pour Lieu Référence de

combinés fonctionnalités la mission d’utilisation la
offertes ou à (Planning, documentation
mettre en phase) dans le dossier
œuvre dans la de l’offre
mission

 Outils d’analyse et d’interception de flux réseaux :

Outils Référence liste des Utilité pour Lieu Référence de la

fonctionnalités la mission d’utilisation documentation
offertes ou à (Planning, dans le dossier
mettre en phase) de l’offre
œuvre dans la
mission

Scripts Outils liste des Utilité pour Lieu Référence de

combinés fonctionnalités la mission d’utilisation la
offertes ou à (Planning, documentation
mettre en phase) dans le dossier
œuvre dans la de l’offre
mission

 Outils de test de la solidité des outils de sécurité réseau : firewalls, IDS, outils
d’authentification,….
Outils Référence liste des Utilité pour Lieu Référence de
fonctionnalités la mission d’utilisation la
offertes ou à (Planning, documentation
mettre en phase) dans le dossier
œuvre dans la de l’offre
mission

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 32

Scripts Outils liste des Utilité pour Lieu Référence de

combinés fonctionnalités la mission d’utilisation la
offertes ou à (Planning, documentation
mettre en phase) dans le dossier
œuvre dans la de l’offre
mission

 Outils de scan de connexions dial-up.

Outils Référence liste des Utilité pour Lieu Référence de

fonctionnalités la mission d’utilisation la
offertes ou à (Planning, documentation
mettre en phase) dans le dossier
œuvre dans la de l’offre
mission

Scripts Outils liste des Utilité pour Lieu Référence de

combinés fonctionnalités la mission d’utilisation la
offertes ou à (Planning, documentation
mettre en phase) dans le dossier
œuvre dans la de l’offre
mission

Autres (autre type d’outil, recensé nécessaire, relativement aux spécificités du SI audité
(test de l’infrastructure de PKI, ….).
- Type d’Outils :
Outils Référence liste des Utilité pour Lieu Référence de
fonctionnalités la mission d’utilisation la
offertes ou à (Planning, documentation
mettre en œuvre phase) dans le dossier
dans la mission de l’offre

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 33

Scripts Outils liste des Utilité pour Lieu Référence de

combinés fonctionnalités la mission d’utilisation la
offertes ou à (Planning, documentation
mettre en phase) dans le dossier
œuvre dans la de l’offre
mission

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE

 39

ANNEXE 9 : MODELE DE BORDEREAU DES PRIX

(A remplir et à insérer obligatoirement dans l’enveloppe de l’offre Financière)

Soumissionnaire :……………………………………………..

Prix HT Prix TTC

Désignation TVA
En En En
En Lettres
Chiffres Chiffres Lettres

Mission d’audit de
sécurité du système
d’information de
l’Instance Vérité et
Dignité

Total

TERMES DE REFERENCE POUR L’AUDIT SECURITE INFORMATIQUE