| |
| ccub:procedure_d_audits [2024/09/02 06:37] – - Imported by DokuWiki Advanced Plugin cardynal | ccub:procedure_d_audits [Date inconnue] (Version actuelle) – supprimée - modification externe (Date inconnue) 127.0.0.1 |
|---|
| ====== Procédure d'audit ====== | |
| ===== Objet ===== | |
| Cette procédure a pour but d'encadrer les activités d'audit essentielles au bon fonctionnement du SMSI puisqu'elles permettent de s'assurer de sa conformité et d'en améliorer continuellement les performances.Les tests d'audits et autres activités d'assurance impliquant l'évaluation des systèmes opérationnels doivent être planifiés et convenus entre le testeur et le niveau approprié de la direction. Encadrer les audits et les activités d'assurance contribue à minimiser l'impact des activités d'audit et autres activités d'assurance. | |
| |
| Il est important d'encadrer le test d'intrusion par une procédure qui mentionne: | |
| * le respect de la confidentialité | |
| * l'interdiction de modifier les données | |
| * un moyen de contact d'urgence pour mettre fin au test en cas de problème inattendu | |
| |
| ===== Responsabilités ===== | |
| |
| Le responsable de Centre de Calcul : il planifie les audits et tenant compte de la charge de travail du service et des priorités du moment. Il commande les prestations d'audit et s'assure de leur bonne exécution budgétaire. Interlocuteur privilégié de l'auditeur, il s'assure que les conditions matérielles et logistiques soient réunies pour le bon déroulement des audits. Il est l'interlocuteur privilégié pour répondre aux questions de l'auditeur en cours d'audit car il dispose de la connaissance de l'environnement et de la compétence technique nécessaire. | |
| |
| Le responsable d'exécution du SMSI : il assiste le responsable du Centre de Calcul dans la préparation et la conduite de l'audit. Son rôle est de veiller à ce que toutes les preuves et enregistrements du SMSI soient consultables et accessibles. IL peut assister le responsable du Centre de Calcul en ce qui concerne des points relatifs au pilotage du SMSI. Il saisit les enregistrements issues des réunions de de préparation, de lancement et de clôture du SMSI et veille à ce que les enregistrements soient disponibles et conservés. Il saisit aussi les actions découlant directement des constatations des audits. | |
| |
| ===== Principes généraux des audits ===== | |
| | |
| Le CCUB se soumet à des audits internes et externes. La section suivante détaille les grandes étapes et principes généraux de la conduite des audits. | |
| |
| ==== Planifications des audits ==== | |
| |
| Le programme annuel d'audit est établi dans le cadre du [[ccub:planning_de_fonctionnement_du_smsi|cycle de vie du SMSI]]. Les dates des audits qu'ils soient de conformité, de certification ou techniques sont convenues entre le responsable du centre de calcul et les auditeurs. Ce programme définit la fréquence, les responsabilités et les exigences à auditer ainsi que les preuves requises. Le programme d'audit est convenu à l'avance avec l'auditeur au cours d'une réunion préparatoire au cours de laquelle les deux parties se mettent d'accord sur les processus à auditer. Ce programme tient compte des résultats des audits précédent. Suite à cette réunion de lancement, le responsable d'exécution du SMSI inscrit dans le Doku Wiki un évènement portant la date de l'audit et renseigne le journal en y joignant les enregistrement issus de cette première réunion préparatoire. | |
| |
| ==== Critères et périmètre d'audit ==== | |
| Les critère et le périmètre d'audit sont convenus entre le responsable du Centre de Calcul et l'audit au cours de la réunion préparatoire à l'audit. L'auditeur y présente le plan d'audit qu'il a conçu pour le SMSI. Après discussion et éventuels ajustements, ce plan est validé par le responsable du Centre de Calcul. | |
| |
| ==== Sélection des auditeurs ==== | |
| Les auditeurs sont choisis en fonction des critères de compétence, d'impartialité et d'indépendance des activités audités pour garantir l'objectivité et l'impartialité du processus d'audit. Une prestation d'audit est commandée au moins trois mois avant l'audit. | |
| |
| ==== Préparation de l'audit ==== | |
| Le plan d'audit est communiqué à l'issue de la réunion préparatoire. Le responsable du Centre de Calcul se charge d'organiser la venue de l'auditeur et son accueil dans les meilleures conditions possibles. | |
| Un [[enregistrements:mode_operatoire_audits|mode opératoire de préparation des audits]] permet au responsable du Centre de Calcul et au responsable d'exécution du SMSI de ne rien oublier dans cette phase de préparation. | |
| |
| Les accès par ip fixe son ouverts sur le Doku WIki à l'auditeur pour lui permettre de commencer la première phase de son audit documentaire. Seuls les pages approuvés sont visibles de l'auditeur. | |
| |
| ==== Réunion d'ouverture ==== | |
| Le jour de l'audit, l'auditeur est accueilli sur le site par le responsable du Centre de Calcul et le responsable d'exécution du SMSI. La réunion de lancement permet aux différents interlocuteurs de se présenter. L'auditeur rappelle les grandes lignes du programme d'audit et fait part de ses éventuelles demandes au responsable du Centre de Calcul. Les visites des zones sensibles (salle machine et chaufferie) sont programmées à ce moment-là. | |
| |
| ==== Conduite de l'audit ==== | |
| Le programme d'audit est ensuite déroulé : l'auditeur questionne le responsable du Centre de calcul en s'appuyant sur la norme ISO 27001 et son annexe A. Pour lui répondre, la responsable du Centre de Calcul peut s'appuyer sur le présent Doku Wiki du SMSI et sur tout autres preuve qu'il juge pertinente. | |
| |
| ==== Debriefing du soir ==== | |
| Au soir de chaque journée d'audit, une réunion est organisée antre l'auditeur, le responsable du centre de calcul et le responsable d’exécution du SMSI. Elle permet à l'auditeur de résumer ses constatations de la journée, de mettre en avant les forces et faiblesses qu'il a pu observer. Cette réunion est un moment d'échange entre l'auditeur, le responsable du Centre de Calcul et le responsable d'exécution du SMSI. Le programme du lendemain est passé en revenue. | |
| |
| ==== Rapport d'audit ==== | |
| Les premières conclusions des audits sont communiqués par l'auditeur au responsable du Centre de Calcul et au responsable d’exécution du SMSI lors de la réunion de clôture de l'audit. | |
| Le rapport d'audit final doit être communiqué par l'auditeur au responsable du Centre de Calcul et au responsable d’exécution du SMSI une à deux semaines après l'audit. | |
| |
| ==== Clôture de l'audit ==== | |
| Au terme du dernier jours de l'audit, la réunion de clôture est organisé entre l'auditeur, le responsable du centre de calcul et le responsable d'exécution du SMSI permet à l'auditeur de dévoiler les conclusions provisoires de l'audit. A l'issue de ce temps d'échange, les conclusions provisoires de l'audit sont remises par l'auditeur au responsable du Centre de Calcul. | |
| |
| A le fin de l'audit, le responsable du Centre de CAlcul referme l'accès de l'auditeur au Doku WWki du SMSI. | |
| |
| |
| ===== Les différents audits ===== | |
| |
| Le planning de fonctionnement du SMSI distingue deux grands types d'audit : les audit de conformité, de certification et de surveillance conduits par des prestataires extérieurs (auditeurs certifiés ISO 27001) et les audits techniques conduits par les équipes du Centre de calcul. | |
| |
| ==== Audits de conformité ==== | |
| |
| === Périodicité === | |
| L'audit de conformité a lieu tous les ans au lois d'octobre, comme défini au chapitre [[ccub:organisation_et_gouvernance|Organisation et gouvernance]]. | |
| |
| === Objectifs === | |
| L'audit de conformité a pour but de vérifier que: | |
| * Le système de management mis en place par le CCUB répond bien aux exigences de l'ISO 27001. | |
| * Les mesures de l'annexe A non retenues le sont à juste titre. | |
| * L'exécution du SMSI est conforme à sa définition. | |
| * Les mesures mises en oeuvre sont efficaces. | |
| * Le SMSI est régulièrement mis à jour à des fins d'amélioration continue. | |
| |
| Il repose sur : | |
| * Un audit documentaire des politiques et procédures, ainsi que des enregistrements servant de preuves d'exécution. | |
| * Une visite sur site et des entretiens avec les participants au fonctionnement du SMSI. | |
| |
| === Choix de l'auditeur === | |
| L'auditeur est sélectionné par le CCUB lors du COPIL SMSI de juin. Les critères de sélection doivent inclure sa compétence, son objectivité et son impartialité. | |
| |
| Il est averti qu'il est retenu par un courriel émis par le Responsable du Centre de Calcul. | |
| |
| A réception de ce courriel, l'auditeur doit soumettre : | |
| * Une proposition commerciale chiffrée assortie de dates prévisionnelles d'audit | |
| * Le périmètre détaillé de l'audit, conforme au [[programme d'audits]] triennal. Ce programme d'audit est élaboré par le COPIL SMSI et peut être révisé au début de chaque année. | |
| |
| === Réunion préparatoire à l'audit === | |
| |
| Le responsable du Centre de Calcul et le responsable de l'exécution du SMSI sont les interlocuteurs privilégié de l'auditeur. Ils répondent à ses demandes au cours d'une réunion préparatoire qui peut être organisée à la demande de l'auditeur. | |
| L'objectif de ce temps d'échange est de préparer la revue documentaire et organiser la visite sur site, en s'assurant de la disponibilité des intervenants requis aux horaires fixés dans le planning détaillé. | |
| |
| A l'issue de cette première réunion, l'auditeur communique son plan d'audit qui est ensuite soumis à l'approbation du responsable du Centre de Calcul et du responsable d’exécution du SMSI. L'accès au présent Wiki lui est alors ouvert à condition qu'il ait communiqué son adresse ip fixe accompagnée d'un document d'identité. Cet accès sera refermé à réception du rapport d'audit. | |
| |
| === L'audit sur site === | |
| En fin d'audit sur site, une première restitution est faite par l'auditeur au responsable du Centre de Calcul et au responsable de l'exécution du SMSI afin de confirmer la compréhension commune des écarts relevés. En cas de désaccord l'avis de l'auditeur est prépondérant. | |
| |
| Les écarts sont qualifiés selon l'échelle suivante: | |
| * **Non-conformité majeure**\\ Il s'agit du non respect d'au moins un critère d'audit (exigence de la norme ISO 27001 ou des procédures internes) faisant courir un risque direct et significatif au SMSI ou à l'activité qu'il protège. | |
| * **Non-conformité mineure**\\ Il s'agit du non-respect ponctuel d'un critère d'audit faisant courir un risque limité au SMSI ou à l'activité qu'il protège. | |
| * **Remarque** | |
| * Un dysfonctionnement potentiel non décelé dans l'analyse des risques et qui fait courir un risque limité au SMSI. | |
| * Une inadéquation entre la situation constatée et les exigences de certification, mais qui n'affecte pas directement le SMSI. | |
| * Un fonctionnement qui permet seulement d'atteindre partiellement les objectifs, et qui nécessite donc une amélioration du SMSI. | |
| |
| A l'issue de l'audit, l'auditeur produit sous un délai de deux semaines un rapport reprenant l'ensemble des points soumis à l'audit, et pour chacun d'entre eux le constat des écarts et les éventuels points de désaccord avec le responsable de l'exécution du SMSI. | |
| |
| Le responsable de l'exécution du SMSI produit en retour un premier plan de traitement des écarts sous la forme d'une liste mettant en regard chaque écart et une ou plusieurs fiches actions enregistrées sur ce site. Ces fiches actions sont rattachées à une fiche événement correspondant à l'audit. | |
| |
| Ces actions sont ensuite suivies conformément à la procédure de [[ccub:gestion_des_actions|gestion des actions]]. | |
| |
| === Enregistrements relatifs aux audits internes === | |
| Les enregistrements relatifs aux audits internes du SMSI sont: | |
| * Les offres d'audit retenues (jointes au CR du COPIL SMSI de juin) | |
| * L'évènement créé pour l'audit (enregistrement du SMSI) | |
| * Le rapport d'audit produit par l'auditeur et accepté par le responsable du Centre der Calcul et le responsable d'exécution du SMSI. | |
| | |
| |
| ==== Audits techniques ==== | |
| |
| === Périodicité === | |
| L'audit technique a lieu tous les ans au mois d'avril, comme défini au chapitre [[ccub:organisation_et_gouvernance|Organisation et gouvernance]]. | |
| |
| === Objectifs === | |
| Les audits techniques visent à contrôler la conformité des systèmes d'information avec les politiques et les normes de sécurité du CCUB. Ils sont exécutés annuellement en avril, avec en alternance: | |
| * des tests d'intrusion, automatiques et manuels. | |
| * des revues de configuration des équipements. | |
| |
| Ils sont exécutés par les personnels du CCUB. | |
| |
| === Tests d'intrusion === | |
| Les tests d'intrusion reposent sur des systèmes automatiques et des recherches manuelles. Outre les tests effectués par les personnels du CCUB au titre de l'audit interne, d'autres tests d'intrusion peuvent être commandités par les usagers des services. | |
| |
| Dans tous les cas, ces tests doivent être planifiés et leur planification précise : | |
| * Les adresses (externes) ou sous-réseaux (internes) depuis lesquels ces tests seront effectués. | |
| * Les plages d'adresses visées. | |
| * Les heures de début et de fin du test, choisies de façon à minimiser l'impact sur la production. | |
| * Les points de contacts permettant de suspendre le test en cas de perturbation. | |
| * L'obligation de confidentialité des auditeurs en cas d'intrusion réussie. | |
| * Les sauvegardes spécifiques à exécuter préalablement au test. | |
| |
| Les tests doivent a minima comporter: | |
| * La vérification des protocoles et suites de chiffrement des connexions TLS. | |
| * La vérification des vulnérabilités OWASP 10. | |
| |
| === Revues de configuration === | |
| Les configurations des équipements du SI (serveurs, équipements réseau) sont examinées au regard des règles applicables et des autorisations accordées. Ces examens peuvent être partiellement automatisés. Ils portent à minima sur : | |
| |
| * Recherche de portes dérobées sur l'ensemble des serveurs (hors appliances) | |
| * Vérification de la bonne application de la matrice de filtrage réseau | |
| * Vérification des mises à jour critiques | |
| |
| === Enregistrements relatifs aux audits techniques === | |
| * Rapports synthétiques d'audits, stockés sur le SMSI. | |
| * Rapports détaillés d'audits. Dans la mesure où ils peuvent contenir des informations critiques en matière de sécurité, ils sont conservés séparément dans un namespace restreint du SMSI. | |
| * Les fiches de l'événement d'audit et des actions rattachées (plan de traitement sous forme d'actions) | |
| |
| ==== Audits de certification ==== | |
| === Périodicité === | |
| L'audit de certification a lieu tous les trois ans au mois de janvier, comme défini au chapitre [[ccub:organisation_et_gouvernance|Organisation et gouvernance]]. A ce cycle, s'ajoutent des audits intermédiaires de surveillance qui ont lieu tous les ans ans. | |
| |
| Les audits externes sont effectués conformément aux procédures requises par l'organisme certificateur et sont conduits sur les mêmes principes que les audits de conformité décrits p^plus haut dans cette procédure. | |
| |
| Les enregistrements du rapport d'audit et du plan de traitement sont similaires à ceux des audits de conformité. | |
| |
| ===== Planning d'exécution ===== | |
| [[ccub:planning_de_fonctionnement_du_smsi|Planning de fonctionnement général du SMSI]] | |
| |
| ^ Nom de l'audit ^ Périodicité ^ Objet ^ Réalisé par ^ | |
| ^ Audit de certification | Tous les trois ans (janvier) | Certifiant.\\ Couvre l'ensemble des exigences de la norme ISO 27001 | Auditeur mandaté par un organisme de certification accrédité. | | |
| ^ Audit de surveillance | Annuel (janvier) entre les audits de certification | Prolongation de la certification.\\ Reprise des écarts constatés lors de l'audit précédent. \\ Audit d'une partie des exigences de la norme ISO 27001 | Auditeur mandaté par un organisme de certification accrédité | | |
| ^ Audit technique | Annuel (avril) | Permet de s'assurer de la conformité des systèmes d'information avec les politiques et normes de sécurité de l'organisation. | Les personnels du CCUB | | |
| ^ Audit de conformité | Annuel (octobre) | Couvre une partie des exigences de la norme ISO 27001 selon le [[ccub:programme_d_audits|programme d'audits]].\\ Sert de répétition générale avant les audits de certification et de surveillance. | Un auditeur compétent et indépendant de l'organisation auditée et de l'organisme de certification | | |
| |
| |