Fournisseur de solutions de digitalisation

1
REVUE DE DIRECTION
• Norme ISO 27001 v 2022

• Date: 30 Mai 2023

2
Objectifs de la revue de
Direction

Définition (Cf ISO 27001 : 2022 § 9.3)

La revue de direction consiste à revoir
« le système de management de la
sécurité de l’information mis en place
par l'organisme, afin de s'assurer qu'il
est toujours approprié, adapté et
efficace ».

3
PLAN
• Introduction
• 1. Etat d’avancement des actions décidées lors des revues précédentes
• 2. Modifications pertinentes du SMSI relatives aux enjeux internes et
externes
• 3. Modifications pertinentes du SMSI relatives aux besoins et attentes
des parties intéressées
• 4. Performances du SMSI
• 5. Retours d’informations des parties intéressées
• 6. Etat d’avancement du plan de traitement des risques
• 7. Opportunités d’amélioration continue
4
Introduction
• La présente revue de direction a pour objectif de présenter les résultats du
Système de Management de la Sécurité de I ’information de AROLITEC.

• Il s’agit de façon pratique de :

 Évaluer la performance

 Rendre compte des résultats obtenus

 Proposer des opportunités d’amélioration

5
1- Etat d’avancement des actions aux revues de direction précédentes

 Du fait de la nouveauté du système aucune revue ne fut

précédemment réalisée.

2- Modifications des enjeux externes et internes pertinents pour le SMSI

 Le SMSI étant nouveau, il n’a été soumis donc à aucune

modification.
En attente de la revue 2023, si modification nécessaire.
 3. Besoins et attentes des parties intéressées
PARTIES
EXIGENCES DES PARTIES INTÉRESSÉES Effets du non respect des exigences SUIVI ET EVALUATION
INTÉRESSÉES
1. Garantir un service disponible et fiable
2. Protection des données personnelles des clients 1. Pertes financières & Coûts
Les clients finaux annexes supplémentaires 1. Sondage
3. Mise à disposition de solutions sécurisées dès 2. Perte de l’image de l’entreprise
leur conception

Etat de Côte 1. Respect des dispositions légales et 1. Poursuites judiciaires

d'ivoire / règlementaires 2. Perte d'Autorisations
Veille règlementaire
Organismes de 2. Respect des Normes 3. Pertes financières (Taxes et
Audit de conformité
réglementation 3. Permis, licences et autorisations liées à pénalités)
(Ministères;...) l'activité 4. fermeture de l'Entreprise

1. Constitution de dossiers du
[Link] de leurs données à caractère 1. Fuite de données
Collaborateurs personnel
personnel 2. Perte de confiance
2. Gestion du SMSI

7
4. Performances du SMSI
• Il s’agit des tendances relatives à:
 Les non-conformités et actions correctives;

 Les résultats de la surveillance et de la mesure;

 Les résultats des audits;

 La réalisation des objectifs en matière de sécurité de l’information.

8
 Résultats de la surveillance et de la mesure
Indicateur Objectif de sécurité Risque de sécurité Seuil d'acceptation YTD
Taux de machines disposant S'assurer que le parc Infection (Intrusion) du SI via 95% NB: Implémentation en cours EDR
de l'agent (Endpoint informatique est couvert par un équipement non protégé. Bitdefender Gravity Zone Security
Detection & Response) les solutions de sécurité du
Groupe
Taux de machines disposant S'assurer que le parc Infection (Intrusion) du SI via 95% 76%
de l'antivirus informatique est couvert par un équipement non protégé.
les solutions de sécurité du
Groupe
Obsolecence serveurs (mise à S'assurer que le parc Les équipements en phase 98% 100%
jour version logiciel) informatique est mis à jour d’obsolescence peuvent
contenir de nombreuses
vulnérabilités qui ne seront
jamais corrigées.
Obsolecence postes de travail S'assurer que le parc Les équipements en phase 98% 0%
(mise à jour version logiciel) informatique est mis à jour d’obsolescence peuvent
contenir de nombreuses
vulnérabilités qui ne seront
jamais corrigées.
Nombre de sites webs non S'assurer que le transfert de Données clients peuvent être L'ensemble de nos sites (2) 100%
sécurisés (http) données est sécurisé interceptées, propagation de
logiciels malveillants,
mauvaise image
Nombre de sites scannés S'assurer que l'ensemble de Que des certains sites L'ensemble de nos sites (2) N/A
nos sites webs sont scannés présentent des risques élevés
afin d'identifier d'éventuels et majeurs et qu'aucunes
failles de sécurité remédiations ne soient
effectuées 9
Nombre de sites vulnérables S'assurer que nos sites webs Que certains des sites soient L'ensemble de nos sites (2) N/A
à l'un des points top OWASP sont protégés des attaqués par l'une de ces
(feuil2) vulnérabilités du top OWASP principales vulnérabilités
les plus fréquente

Taux de nouveaux S'assurer que chaque L'utilisateur étant le premier 100% 100%
collaborateurs sensibilisés personne dans l'entreprise a point d'entrée possible pour
au sein du groupe participé à une session de une attaque, il est donc un
sensibilisation à la sécurité point sensible pour une
des SI éventuelle attaque

Taux de projets avec security S'assurer que la sécurité est Découverte tardive d'un 100% 100%
by design (sécurité intégrée intégrée dès le début d'un manque de sécurité d'un
dès la naissance du projet) projet afin d'éviter projet
d'éventuelles complications
par la suite

Temps moyen pour corriger S'assurer que les Que les risques identifiés Pas de seuil N/A
une faille identifiée vulnérabilités identifiées lors restent non corrigés, laissant
(critique/élevée) lors d'un de l'audit soient corrigées une éventuelle faille de
audit sécurité

Niveau de sécurité de nos S'assurer que nos actifs Qu'un de nos actifs critiques Pas de seuil (l'idéal étant N/A
actifs critiques critiques sont bien subissent une attaque une sécurité maximale)
conformes en terme de entraînant des
sécurité conséquences
potentiellement sur
l'ensemble de l'entreprise

10
Résultat des audits
• Sur 3 audits internes prévus, 2 ont été réalisés selon le résultat suivant:
Audit interne 2023
Prévus Réalisés Nombre de non- Nombre de points Nombre d‘observations
conformité sensibles
3 2 7 0 9

COMMENTAIRES ACTIONS D’AMELIORATION

- S’assurer du respect des informations documentées mises en place
Beaucoup de non
conformités  - Assurer un bon suivi de l’activité au travers des KPI définis
- S’assurer de réaliser les actions de mise en conformité énumérées au cours des
audits
- Mettre régulièrement à jour tous les documents du processus en fonction de
l’évolution de l’activité

11
 Réalisation des objectifs en matière de
sécurité de l’information
• Documentation
• Totalité des documents rédigés

• Implémentation
• Effectuer une revue trimestrielle ou semestrielle des logiciels installés sur les
serveurs et les postes de travail du périmètre de certification
• Implémenter une solution VPN pour l'accès à distance au réseau
• Implémenter un logiciel proxy web (ou fonctionnalité équivalente fournie par
un EPP(End Point Protection Platform) ou NextGen Antivirus) implémenter
aussi un pare-feu (FW)

12
5. Retour d’information des parties
intéressées
• Echec de livraison
• Retard de livraison
• Soucis de Fake Dlrs
• Déconnexion de la plateforme
• Soucis d’accès aux comptes
• Soucis d’affichage des caractères accentués et spéciaux
• Soucis d’implémentation de l’API

13
[Link] d’avancement du plan de traitement
des risques
• Cyberattaque ciblant la disponibilité et l’intégrité des solutions informatiques
• Divulgation de données à caractère personnel à des tiers non autorisés
• Fuite d’informations confidentielles
• Interruption ou altération des systèmes de production

• Fraude interne ou externe, extorsion de données

• Exfiltration des données à des fins de concurrence déloyale, de revente ou de diffusion médiatique pour nuire à l’image de
la société

• Corruption intentionnelle ou non intentionnelle des données

• Corruption massive des machines (exemple : chiffrement par un ransomware)

• Déni de service contre le site permettant la simulation de devis

• Défiguration du site web

14
[Link]és d’amélioration continue
Eléments d’amélioration Propositions d’amélioration
Enjeux externes et internes Elaborer et mettre en œuvre une revue semestrielle
des enjeux internes et externes de l’entreprise
Améliorer le suivi de la performance des activités
Sensibiliser périodiquement les employés sur les
risques et les bonnes pratiques de sécurité de
Performance et efficacité du système l’information
Améliorer le suivi des objectifs en matière de sécurité
de l’information
Actions mises en œuvre face aux risques et Améliorer le suivi et le pilotage des risques et
opportunités opportunités
Résultats de l’appréciation des risques Mettre en œuvre une revue annuelle des risques

15