Ce thème a pour objectif d’assurer l’exploitation correcte et sécurisée des moyens de traitement de l’information, de garantir un niveau de sécurité de l’information et de service conforme aux accords de prestation conclus avec un tiers, réduire autant que possible le risque de pannes du système, protéger l’intégrité de l’information et des logiciels, de maintenir la disponibilité des informations et moyens de traitements de l’information, et la confidentialité des informations sur les réseaux.
10.1 Procédures et responsabilités liées à l’exploitation
10.1.1 Procédures d’exploitation documentées
On cherche à savoir :
Si les procédures opérationnelles sont documentées, si ces documentations sont maintenues à jour, et si elles sont à disposition des personnels concernés.
Si ces procédures, lorsqu’elles existent, sont formalisées et si elles font l’objet d’un suivi du changement avec un processus de validation.
10.1.2 Gestion des modifications
On cherche à savoir :
Si des contrôles portant sur les modifications des systèmes et des moyens de traitements de l’information existent.
10.1.3 Séparation des tâches
On cherche à savoir :
Si les postes et les domaines de responsabilités sont correctement segmentés afin de réduire les possibilités de modification non autorisé ou d’utilisation incorrectes des informations ou services.
10.1.4 Séparation des équipements de dev, test et exploitation
On cherche à savoir :
S’il existe des environnements différents pour les phases de développement, de test et d’exploitation, et également si ces environnements sont bien isolés les uns des autres. Cela concerne les équipements systèmes comme les équipements réseaux.
10.2 Gestion de la prestation de service par un tiers
10.2.1 Prestation de service
On cherche à savoir :
Si des mesures sont prises pour s’assurer que les contrôles de sécurité, les définitions de service, et les engagements de service, qui sont inclus dans les accords de prestation sont correctement implémentés, effectués et maintenus par le prestataire.
10.2.2 Surveillance et réexamen des services tiers
On cherche à savoir :
Si les services, rapports, et journaux, fournis par le prestataire sont régulièrement surveillés et analysés.
Si ces mêmes éléments font l’objet d’audits réguliers.
10.2.3 Gestion des modifications dans les services tiers
On cherche à savoir :
S’il existe un processus de gestion des changements sur les services fournis, incluant les mises à jour et améliorations des politiques de sécurité, procédures, et contrôles.
Les processus impliqués, la réévaluation du risque, et la criticité « business » des systèmes sont-ils pris en compte.
10.3 Planification et acceptation du système
10.3.1 Dimensionnement
On cherche à savoir :
Si les ressources systèmes sont surveillées (RAM, CPU, espace disque…), et si des projections sur les besoins futurs sont réalisées afin de garantir l’avenir les capacités de traitement de l’information.
10.3.2 Acceptation du système
On cherche à savoir :
Si des critères de capacité d’augmentation de charge sont établis pour les systèmes lors de l’ajout de nouveaux services, de mise à jour, et de changement de version.
Si des tests sont menés avant d’effectuer ces opérations.
10.4 Protection contre les codes malveillants et mobiles
10.4.1 Mesures contre les codes malveillants
On cherche à savoir :
Si des moyens de détections, de protections, et de récupérations contre les codes malveillants sont mis en place. Et si les utilisateurs sont formés à réagir en cas d’attaques.
10.4.2 Mesures contre le code mobiles
On cherche à savoir :
Si seul les codes mobiles autorisés sont utilisés.
Si les configurations garantissent que les codes mobiles sont exécutés en accord avec la politique de sécurité.
Si l’exécution de codes mobiles non autorisés est empêchée.
Un code mobile est un code logiciel qui est transféré d’un ordinateur à un autre et qui s’exécute automatiquement. Il assure certaines fonctions spécifiques avec peu ou pas d’intervention utilisateur. Les ActiveX et codes Java en sont un exemples.
10.5 Sauvegarde
10.5.1 Sauvegarde des informations
On cherche à savoir :
Si des sauvegardes sont effectuées et testées régulièrement en accord avec la politique de sauvegarde.
Si toutes les informations et logiciels critique peuvent être restaurés après un désastre ou une panne des systèmes de stockage.
10.6 Gestion de la sécurité des réseaux
10.6.1 Mesures sur les réseaux
On cherche à savoir :
Si le réseau est bien géré et contrôlé pour le protéger des menaces et maintenir la sécurité des systèmes et application l’utilisant, y compris les données transitant à travers.
Si les contrôles en place permettent d’en maîtriser l’accès.
10.6.2 Sécurité des services réseau
On cherche à savoir :
Si les fonctions de sécurité, les niveaux de services et les pré-requis de gestion de l’ensemble des services réseaux sont identifiés et inclus dans des engagements de services réseaux.
Si les capacités des fournisseurs d’accès à gérer les services fournis de manières sécurisés sont définies et régulièrement surveillées.
10.7 Manipulation des supports
10.7.1 Gestion des supports amovibles
On cherche à savoir :
S’il existe des procédures quant à la gestion des supports amovibles (cartouches de sauvegardes, disques externes, etc…) et si ces manipulations font l’objet de rapports.
Si toutes ces procédures, et niveaux d’autorisation sont clairement définis et documentés.
10.7.2 Mise au rebut des supports
On cherche à savoir :
Si les supports de stockage obsolètes sont détruits de façon sécurisées.
Si la destruction de ces supports s’appuie sur des procédures formalisées.
10.7.3 Procédures de manipulation des informations
On cherche à savoir :
S’il existe des procédures portant sur l’exploitation des moyens de stockage de l’information.
Si ces procédures traitent des questions de la protection de l’information contre des divulgations non autorisé ou d’utilisation incorrecte.
10.7.4 Sécurité de la documentation système
On cherche à savoir :
Si la documentation des systèmes est protégée contre les accès non-autorisés.
10.8 Echange des informations
10.8.1 Politiques et procédures d’échange des informations
On cherche à savoir :
S’il existe des politiques formalisées, des procédures, et contrôles concernant l’échange d’information.
Si ces éléments couvrent les échanges par l’intermédiaire de moyens électroniques.
10.8.2 Accords d’échange
On cherche à savoir :
Si des accords sont établis entre l’entreprise et ses partenaires concernant les échanges d’information.
Si la partie sécurité de ces accords reflète la sensibilité des informations échangées.
10.8.3 Supports physiques en transit
On cherche à savoir :
Si les supports de stockage sont protégés contre des accès non-autorisés, des utilisations incorrectes, et des altérations lors de leur transport hors des locaux de l’entreprise.
10.8.4 Messagerie électronique
On cherche à savoir :
Si les informations impliquées dans les échanges par messageries électronique sont correctement protégées.
Les services de messagerie électronique ne se limitent pas qu’aux e-mail, il s’agit de prendre en compte les messageries instantanées et autres moyens assimilés.
10.8.5 Systèmes d’information d’entreprise
On cherche à savoir :
Si des politiques et des procédures sont établies et appliquées pour protéger l’information à travers les interconnexions extérieures du SI.
10.9 Services de commerces électroniques
10.9.1 Commerce électronique
On cherche à savoir :
Si les informations impliquées dans le commerce électronique et passant par des réseaux publics sont protégées contre les activités frauduleuses et autres accès ou modification non-autorisés.
Si des moyens de chiffrement sont employés.
Si les contrats entre partenaires commerciaux détaillent les aspects sécurité.
10.9.2 Transaction en ligne
On cherche à savoir :
Si les informations impliquées dans des transactions en ligne sont protégées contre les transmissions incomplètes, les erreurs de routages, les modification non-autorisées, les divulgations non-autorisées, les copies ou réutilisations non-autorisées.
10.9.3 Informations à disposition du public
On cherche à savoir :
Si l’intégrité des informations à disposition du public est garantie.
10.10 Surveillance
10.10.1 Journaux d’audits
On cherche à savoir :
Si des journaux d’audits enregistrant l’activité des utilisateurs, les alertes, les évènements de sécurité, sont produits et conservés suffisamment longtemps pour permettre d’investiguer en cas d’incident.
Si des mesures appropriées de protection de la vie privée sont appliquées quant aux contenus des journaux d’audits.
10.10.2 Surveillance de l’exploitation du système
On cherche à savoir :
Si des procédures de supervision des systèmes utilisés dans le traitement d’information sont établies et appliquées.
Si les rapports de supervision sont examinés régulièrement.
Si le niveau de supervision requis par chaque moyen de traitement d’information est déterminé par une analyse de risque.
10.10.3 Protection des informations journalisées
On cherche à savoir :
Si les moyens de journalisation et les journaux sont bien protégés contre les tentatives de falsification et les accès non-autorisés.
10.10.4 Journal administrateur et journal des opérations
On cherche à savoir :
Si l’activité des administrateurs et opérateurs systèmes est journalisée.
Si les activités journalisées sont régulièrement examinées.
10.10.5 Rapports de défaut
On cherche à savoir :
Si les alertes de pannes sont journalisées, analysées, et que les actions appropriées sont engagées.
Si le niveau de journalisation de chaque système est déterminé
10.10.6 Synchronisation des horloges
On cherche à savoir :
Si l’ensemble des systèmes synchronisent leur horloge interne sur une source de temps fiable, précise et commune.