Déclaration d'applicabilité ISO27001:2013 date du document

Auteur : Frédérick GAVOIS 05/10/2015

MODIFIEE PAR :FGAVOIS

VERSION du 2020/06/02
CLASSIFICATION: LIMITEE
DESCRIPTION Documentations et évidences associées

ISO 27001:2013
Documents d'établissement du SMSI
4 Contexte de l'organisation
4.1 Compréhension de l'organisation et son conctexte

4.2 Compréhension des besoins et des attentes des parties intéressés

Périmètre du Système de Management de la sécurité du SaaS (SEPO12) SELI030 - D.D.A
4.3 Détermination du domaine d'application du système de management de la sécurité de l'information

4.4 Système de management de la sécurité de l'information

5 Leadership
5.1 Leadership et engagement Lettre d'engagement de la Direction

5.2 Politique Gestion de la Gouvernance, des rôles et des responsabilités SMSI (SEPS4) CR réunions des structures de la sécurité de l’information

5.3 Rôles, responsabilités et autorités au sein de l'organisation

6 Planification
6.1 Actions liées aux risques et opportunités
Processus d'Évaluation et de Traitement du Risque (SEPS5) Resultat Analyse de risques et PTR
6.2 Objectifs de sécurité de l'information et plans pour les atteindre

7 Support
7.1 Ressources
ISO 27001:2013

7.2 Compétence Sécurité des Ressources Humaines (SEPO9) Processus et document RH

7.3 Sensibilisation

7.4 Communication Processus Communication du SMSI (SEPO11) CR Comite de Sécurité

7.5 Information Documentées Processus de gestion de la documentation (SEPS2) Processus GED

8 Fonctionnement
8.1 Planification et contrôle opérationnels Politique de contrôle, surveillance et Amélioration (SEPO17) CR Comite de Sécurité

8.2 Appreciation des risques de sécurité de l'information

Processus de gestion des risques (SEPS5) Resultat Analyse de risques et PTR
8.3 Traitement des risques de sécurité de l'information

9 Evaluation des performanaces

9.1 Surveillance, mesures, analyse et évaluation Politique de contrôle, surveillance et Amélioration (SEPO17) CR Comite de Sécurité

9.2 Audit interne Gestion de la conformité et des audits (SEPO10) Planification des audits

9.3 Revue de direction Gestion de la Gouvernance, des rôles et des responsabilités SMSI (SEPS4) Revue de direction

10 Amélioration
10.1 Gestion de la conformité et des audits (SEPO10) Planification des audits

Non-conformité et actions correctives CR Comite de Sécurité

10.2 Politique de contrôle, surveillance et amélioration (SEPO17)
CR Revue de Direction
OL = Obligations légales
OC = Obligations contractuelles
EB = Engagement Business
BP= Bonnes Pratiques
AR = Analyse de Risques

ISO 27001 : 2013 - Annexe A

Mesures Retenue OL OC EB BP AR Solution mise en œuvre Documentations et évidences associées
5 Politiques de sécurité de l’information SEPO16 - Politique de sécurité de l'information Cegid Cloud Factory
Établir un cadre de gestion pour engager, puis vérifier la mise en
5.1 Organisation interne œuvre et le fonctionnement de la sécurité de l’information au sein Retenue OL OC EB BP AR
de l’organisation

Il convient de définir un ensemble de politiques en matière de sécurité de

l’information qui soit approuvé par la direction, diffusé et communiqué aux
5.1.1 Politiques de sécurité de l’information OUI X
salariés et aux tiers concernés.
Une politique de sécurité de l'information a été rédigée
Lettre d'engagement de la Direction
Elle est révisée annuellement et approuvée par la Direction des services Cloud

Pour garantir la constance de la pertinence, de l’adéquation et de l’efficacité

5.1.2 Revue des politiques de sécurité de l’information des politiques liées à la sécurité de l’information, il convient de revoir ces OUI X
politiques à intervalles programmés ou en cas de changements majeurs.

6 Organisation de la sécurité de l’information SEPS4 - Gestion de la Gouvernance, des rôles et des responsabilités SMSI
Établir un cadre de gestion pour engager, puis vérifier la mise en
6.1 Organisation interne œuvre et le fonctionnement de la sécurité de l’information au sein Retenue OL OC EB BP AR
de l’organisation

Il convient de définir et d’attribuer toutes les responsabilités en matière de L'Equipe sécurité groupe est organisée de maniére transverse.
6.1.1 Fonctions et responsabilités liées à la sécurité de l’information OUI X Présentation des missions et de l'organisation des équipes dédiées à la sécurité de l'information
sécurité de l’information. Elle est indépendante hiérarchiquement et opérationnellement des activités du SMSI

Il convient de séparer les tâches et les domaines de responsabilité

Organisation de type DevOps des missions et des équipes
6.1.2 Séparation des tâches incompatibles pour limiter les possibilités de modification ou de mauvais OUI X Organisation des équipes AzurDevOps (Teams)
usage, non autorisé(e) ou involontaire, des actifs de l’organisation.

Il convient d’entretenir des relations appropriées avec les autorités L'équipe Sécurité de Cegid entretien des échanges réguliers
6.1.3 Relations avec les autorités OUI X X Echange de Mail/Courrier
compétentes. avec la CNIL et l'ANSSI
Les collaborateurs de l'équipe Sécurité de Cegid sont membre des associations suivantes:
Il convient d’entretenir des relations appropriées avec des groupes d’intérêt,
6.1.4 Relations avec des groupes de travail spécialisés OUI X CLUSIR/CLUSIF/Club ISO27001 Justification des abonnement au Clusir/Clusif/
des forums spécialisés dans la sécurité et des associations professionnelles.
 Organisation des équipes AzurDevOps (Teams)
Il convient de traiter la sécurité de l’information dans la gestion de projet, Organisation des équipes et des processus en mode agile (AzureDevOps) pour la prise en compte de la sécurité Charte de développement sécurisé
6.1.5 La sécurité de l’information dans la gestion de projet OUI X
quel que soit le type de projet concerné. dans les infrastructures et le développement dans tous les projets liés au SMSI Convention de services interne Cloud/Dev
Sécurité des projets infra
Assurer la sécurité du télétravail et de l’utilisation d’appareils
6.2 Appareils mobiles et télétravail
mobiles
Retenue OL OC EB BP AR SEOP7- Politique en matière d’appareils mobiles et télétravail
Il convient d’adopter une politique et des mesures de sécurité
6.2.1 Politique en matière d’appareils mobiles complémentaires pour gérer les risques découlant de l’utilisation des OUI X X
appareils mobiles Chiffrement des disques des laptops des collaborateurs
Filtres de confidentialité
Il convient de mettre en œuvre une politique et des mesures de sécurité
MFA et VPN en situation de mobilité
complémentaires pour protéger les informations consultées, traitées ou
6.2.2 Télétravail OUI X X
stockées sur des sites de télétravail.

7 La sécurité des ressources humaines SEPO9-Sécurité des Ressources Humaines

S’assurer que les salariés et les contractants comprennent leurs

7.1 Avant l’embauche responsabilités et qu’ils sont compétents pour remplir les fonctions Retenue OL OC EB BP AR
que l’organisation envisage de leur confier.

Il convient que des vérifications des informations concernant tous les

candidats à l’embauche soient réalisées conformément aux lois, aux
Un contôle des références (Diplômes, extrait de casier judiciare …)
7.1.1 Sélection des candidats règlements et à l’éthique, et il convient qu’elles soient proportionnelles aux OUI X
est effectué par le service de recrutement du Groupe
exigences métier, à la classification des informations accessibles et aux
risques identifiés

Il convient que les accords contractuels conclus avec les salariés et les
Le contrat de travail signé par les nouveaux salariés comporte Procédures de recrutement RH Groupe
7.1.2 Termes et conditions d’embauche contractants déterminent leurs responsabilités et celles de l’organisation en OUI X
une clause de confidentilaité et une clause de non concurrence Convention de services SaaS/RH
matière de sécurité de l’information

S’assurer que les salariés et les contractants sont conscients de leurs

7.2 Pendant la durée du contrat responsabilités en matière de sécurité de l’information et qu’ils Retenue OL OC EB BP AR
assument ces responsabilités

Il convient que la direction demande à tous les salariés et contractants

Engagement formel de la Direction des services Cloud Lettre d'engagement de la Direction
7.2.1 Responsabilités de la direction d’appliquer les règles de sécurité conformément aux politiques et aux OUI X
au travers des différens comités , réunions et communications autours de la sécurité et du SMSI
procédures en vigueur dans l’organisation.

Il convient que l’ensemble des salariés de l’organisation et, le cas échéant,

Une formation sécurité nouveaux collaborateurs est systématiquement dispensée
les contractants suivent un apprentissage et des formations de Plans de formations et contenus
7.2.2 Sensibilisation, apprentissage et formation à la sécurité de l’information OUI X X Un plan annuel de sensibilisation est élaboré
sensibilisation adaptés et qu’ils reçoivent régulièrement les mises à jour des Contenu des sensibilisations et résultats
politiques et procédures de l’organisation s’appliquant à leurs fonctions.

Il convient qu’il existe un processus disciplinaire formel et connu de tous Règlement Intérieur
Un processus disciplinaire peut être engagé en cas de manquement à la PSSI
7.2.3 Processus disciplinaire pour prendre des mesures à l’encontre des salariés ayant enfreint les règles OUI X X Contrat de travail
ou à la charte d'utilisation des outils et des matériels informatiques
liées à la sécurité de l’information. Clause de confidentilité renforcée

Protéger les intérêts de l’organisation dans le cadre du processus de

7.3 Rupture, terme ou modification du contrat de travail Retenue OL OC EB BP AR
modification, de rupture ou de terme d’un contrat de travail.

Il convient de définir les responsabilités et les missions liées à la sécurité de

l’information qui restent valables à l’issue de la rupture, du terme ou de la Le collaborateur est informé de ses responsabilités en cas de modification
7.3.1 Achèvement ou modification des responsabilités associées au contrat de travail OUI X X Contrat de travail
modification du contrat de travail, d’en informer le salarié ou le contractant de rupture ou de fin de contrat par son correspondant RH
et de veiller à leur application.

8 Gestion des actifs SEPO5-Gestion des actifs

Identifier les actifs de l’organisation et définir les responsabilités
8.1 Responsabilités relatives aux actifs Retenue OL OC EB BP AR
appropriées en matière de protection

Il convient d’identifier les actifs associés à l’information et aux moyens de

8.1.1 Inventaire des actifs traitement de l’information et de dresser et tenir à jour un inventaire de ces OUI X X L'inventaire des actifs est revu et mis à jour dans l'outil d'analyse de risques Liste des actifs
actifs.

8.1.2 Propriété des actifs Il convient que les actifs figurant à l’inventaire aient un propriétaire. OUI X Les actifs sont propriétés de la Direction des services Cloud définir le propriétaire des actifs matériels et le rôle du propriétaire

Il convient d’identifier, de documenter et de mettre en œuvre des règles

8.1.3 Utilisation correcte des actifs d’utilisation correcte de l’information, des actifs associés à l’information et OUI X X Charte d'utilsation des outils infomatique
Une charte d'utilisation des outils informatiques à destination des collaborateurs a été rédigée et communiquée
des moyens de traitement de l’information.

Il convient que tous les salariés et utilisateurs tiers restituent la totalité des
Restitution des actifs suivant l'inventaire
8.1.4 Restitution des actifs actifs de l’organisation qu’ils ont en leur possession au terme de la période OUI X X Fiche de départ Ressources Humaines Groupe Cegid
de la fiche de départ collaborateur sous la responsabilité du manager
d’emploi, du contrat ou de l’accord.

S’assurer que l’information bénéficie d’un niveau de protection

8.2 Classification de l’information Retenue OL OC EB BP AR SEPS2
approprié conforme à son importance pour l’organisation.

Il convient de classer les informations en termes de valeur, d’exigences

8.2.1 Classification des informations légales, de sensibilité ou de leur caractère critique pour l’entreprise. OUI X Les informations sont classifiés suivant 5 critéres

Il convient d’élaborer et de mettre en œuvre un ensemble approprié de

8.2.2 Marquage des informations procédures pour le marquage de l’information, conformément au plan de OUI X RCNT7- Cycle de vie disque client
L'ensemble des actifs (documentaires , actifs clients) est soumis à la politique de
classification de l’information adopté par l’organisation
gestion des actifs.
Cette politique prend en compte le niveau de claissfication des actifs
Il convient d’élaborer et de mettre en œuvre des procédures de traitement
associé à son niveau de diffusion et de chiffrement nécessaire à sa diffusion
8.2.3 Manipulation des actifs des actifs, conformément au plan de classification de l’information adopté OUI X
par l’organisation.

Empêcher la divulgation, la modification, le retrait ou la destruction

8.3 Manipulation des supports non autorisé(e) de l’information de l’organisation stockée sur des Retenue OL OC EB BP AR
supports.
Il convient de mettre en œuvre des procédures de gestion des supports Restriction d'utilsation des médias amovibles (USB) pour les collaborateurs
8.3.1 Gestion des supports amovibles OUI X Charte d'utilisation des outils du SI
amovibles conformément au plan de classification adopté par l’organisation. Procédure fournisseur DC pour les média amovibles de stockage des données clients

Il convient de procéder à une mise au rebut sécurisée des supports qui ne Formatage bas niveau des medias de stockage des postes collaborateurs
8.3.2 Mise au rebut des supports OUI X X X Preuves Destruction des Données par la production SaaS /mise à dsipo de broyeur
servent plus, en suivant des procédures formelles. Destruction physque des médias de stockage données client par les fournisseurs DC
 Il convient de protéger les supports contenant de l’information contre les Chiffrement des médias de stockages amovibles en cas de transfert de données client
8.3.3 Transfert physique des supports OUI X X X RCNT7- Cycle de vie disque client
accès non autorisés, l’utilisation frauduleuse ou l’altération lors du transport. Suivi des réceptions et des expéditions par Chronopost

9 Contrôle d'accès SEPO1-Contôle des accès

Limiter l’accès à l’information et aux moyens de traitement de
9.1 Exigences métier en matière de contrôle d’accès Retenue OL OC EB BP AR
l’information

Il convient d’établir, de documenter et de revoir une politique du contrôle

9.1.1 Politique de contrôle d’accès OUI X X X Politique de contrôle des accès revue annuellement
d’accès sur la base des exigences métier et de sécurité de l’information.

Il convient que les utilisateurs aient uniquement accès au réseau et aux

Une matrice des droits assure la gestion des droits utilisateurs et l'accès aux ressources
9.1.2 Accès aux réseaux et aux services en réseau services en réseau pour lesquels ils ont spécifiquement reçu une OUI X X Matrice des droits
Cette matrice est révisée annuellement à minima
autorisation.

Maîtriser l’accès utilisateur par le biais d’autorisations et empêcher

9.2 Gestion de l’accès utilisateur Retenue OL OC EB BP AR
les accès non autorisés aux systèmes

Il convient de mettre en œuvre une procédure formelle d’enregistrement et

9.2.1 Enregistrement et désinscription des utilisateurs de désinscription des utilisateurs destinée à permettre l’attribution de droits OUI X X X X X
d’accès.
Gestion des inscriptions/désinscriptions des utilisateurs dans notre outil
Il convient de mettre en œuvre un processus formel de maîtrise de la gestion Service Request et Workflow stratus
d'orchestration de la plateforme Cloud Factory
des accès utilisateur pour attribuer ou révoquer des droits d’accès à tous les
9.2.2 Distribution de l'accès aux utilisateurs OUI X X X X X
types d’utilisateurs de tous les systèmes et de tous les services
d’information.
Il convient de restreindre et de contrôler l’attribution et l’utilisation des
9.2.3 Gestion des privilèges d’accès OUI X X X Affectation des droits par groupe d'utilsateurs sur les applications à utiliser Matrice des droits Cegid Cloud Factory
privilèges d’accès.

Il convient que l’attribution des informations secrètes d’authentification soit

9.2.4 Gestion des informations secrètes d’authentification des utilisateurs OUI X X X Les informations d'authentification sont communiquées suivant un processus RH formalisé
réalisée dans le cadre d’un processus de gestion formel.
Elles ne sont communiquées qu'a l'attribution du matricule du collaborateur
Il convient que les propriétaires d’actifs revoient les droits d’accès des
9.2.5 Revue des droits d’accès utilisateur OUI X X X Une revalidation des droits des équipes par les manager est effectuée tous les trimestres Liste de revalidation des droits trimestrielle vlaidée par les manager
utilisateurs à intervalles réguliers

Il convient que les droits d’accès de l’ensemble des salariés et utilisateurs

tiers à l’information et aux moyens de traitement de l’information soient A la réception de la confirmation de nos outils RH de la fin de la période d'emploi ,
9.2.6 Suppression ou adaptation des droits d’accès OUI X X X Service Request et Workflow stratus
supprimés à la fin de leur période d’emploi, ou adaptés en cas de la demande est traitéedans notre outil d'orchestration.
modification du contrat ou de l’accord.

Rendre les utilisateurs responsables de la protection de leurs

9.3 Responsabilités des utilisateurs Retenue OL OC EB BP AR
informations d’authentification.
Il convient d’exiger des utilisateurs des informations secrètes
Des régles d'utilisation des informations secrètes sont clairement définis SENT14- Politique de gestion des mots de passe
9.3.1 Utilisation d’informations secrètes d’authentification d’authentification qu’ils appliquent les pratiques de l’organisation en la OUI X X
dans la charte d'utilisation des outils informatique Charte d'utilisation des outils informatiques
matière

9.4 Contrôle de l’accès au système et aux applications Empêcher les accès non autorisés aux systèmes et aux applications Retenue OL OC EB BP AR

Il convient de restreindre l’accès à l’information et aux fonctions

9.4.1 Restriction d’accès à l’information OUI X X La matrice des droits et des accès définit les accès par groupe de métiers et par application Matrice des droits
d’application système conformément à la politique de contrôle d’accès.

Lorsque la politique de contrôle d’accès l’exige, il convient que l’accès aux La connexion des collaborateurs de Cegid Cloud Factory
9.4.2 Sécuriser les procédures de connexion systèmes et aux applications soit contrôlé par une procédure de connexion OUI X X aux environnements de production est effectué via un P.A.M (Bastion) Manuel d'utilisation du PAM
sécurisée. et par un systéme sécurisé d'accès à distance (RDM)

Une politiques de gestion des mots de passe est définie pour

Il convient que les systèmes qui gèrent les mots de passe soient interactifs et SENT14- Politique de gestion des mots de passe
9.4.3 Système de gestion des mots de passe OUI X les collaborateurs de Cegid Cloud Factory ainsi que
fournissent des mots de passe de qualité.
pour les clients utilsateurs des applications Cegid SaaS

Il convient de limiter et de contrôler étroitement l’utilisation des

Un outil de gestion et de limitation du shadow IT est utilisé pour contôler
9.4.4 Utilisation de programmes utilitaires à privilèges programmes utilitaires permettant de contourner les mesures de sécurité OUI Matrice des droits
l'utilisation de programmes et d'appplications non autorisés
d’un système ou d’une application.

Les scripts sont stockés dans des espaces sécurisés uniquement

9.4.5 Contrôle d’accès au code source des programmes Il convient de restreindre l’accès au code source des programmes OUI X Liste des utilisateurs autorisés
accessibles aux équipes de production

10 Cryptographie SEPO12-Transfert et chifrement de l'information

Garantir l’utilisation correcte et efficace de la cryptographie en vue
10.1 Mesures cryptographiques de protéger la confidentialité, l’authenticité et/ou l’intégrité de Retenue OL OC EB BP AR
l’information.

Il convient d’élaborer et de mettre en oeuvre une politique d’utilisation de Politique édictée sur le chiffrement des flux et des données
10.1.1 Politique d’utilisation des mesures cryptographiques OUI X X X X Cette politique est révisée réguliérement afin d'offrir le meilleur Révision annuelle de cette politique
mesures cryptographiques en vue de protéger l’information.
niveau de sécurité en adéquation avec les bonnes pratiques normalisées
Administration des certificats pour accès HTTPS
Il convient d’élaborer et de mettre en oeuvre tout au long de leur cycle de vie
en accord avec les bonnes pratiques Certificats administrés par Cegid et issus d'une CA reconnue
10.1.2 Gestion des clés une politique sur l’utilisation, la protection et la durée de vie des clés OUI X X
autorité de certifcation reconnue , stockage des clés dans un keyvault Gestion des clés par Cegid (Cloud Privé) ou par le fournisseur (Cloud Publique)
cryptographiques
Gestion des clès de chiffrement de données stockées dans les Datacenter
11 Sécurité physique et environnementale SEPO1 Contôle des accès / SEPO6 Sécurité Physique et environnementale
Empêcher tout accès physique non autorisé, tout dommage ou
11.1 Zones sécurisées intrusion portant sur l’information et les moyens de traitement de Retenue OL OC EB BP AR
l’information de l’organisation.
Il convient de définir des périmètres de sécurité servant à protéger les zones
Les équipes d'exploitation et de production sont dans des locaux isolés
11.1.1 Périmètre de sécurité physique contenant l’information sensible ou critique et les moyens de traitement de OUI X Convention de service avec les services généraux
physiquement
l’information

Il convient de protéger les zones sécurisées par des contrôles adéquats à Accès sécurisés et par badge aux locaux de Production
11.1.2 Contrôles physiques des accès OUI X Liste de contôle mensuel des accès
l’entrée pour s’assurer que seul le personnel autorisé est admis aux seuls collaborateurs autorisés

Il convient de concevoir et d’appliquer des mesures de sécurité physique aux

11.1.3 Sécurisation des bureaux, des salles et des équipements OUI X Portes vérouillées avec alarmes en cas d'ouverture prolongée
bureaux, aux salles et aux équipements

Il convient de concevoir et d’appliquer des mesures de protection physique

11.1.4 Protection contre les menaces extérieures et environnementales OUI X X X X
contre les désastres naturels, les attaques malveillantes ou les accidents Protection du bâtiment hébergeant les équipes de production
Alimentation,climatisation,câblage réseau ..
Il convient de concevoir et d’appliquer des procédures pour le travail en zone
11.1.5 Travail dans les zones sécurisées OUI
sécurisée. Contrat de service fournisseur interne avec les Services Généraux

Il convient de contrôler les points d’accès tels que les zones de livraison et de
Les livraisons sont effectuées au PC sécurité du bâtiment
chargement et les autres points par lesquels des personnes non autorisées
11.1.6 Zones de livraison et de chargement OUI X Le contôle est effectuée par une société de gardiennage privée
peuvent pénétrer dans les locaux et, si possible, de les isoler des moyens de
sous le responsabilité des SG de Cegid
traitement de l’information, de façon à éviter les accès non autorisés
 Empêcher la perte, l’endommagement, le vol ou la compromission
11.2 Matériels Retenue OL OC EB BP AR
des actifs et l’interruption des activités de l’organisation.

Il convient de déterminer l’emplacement du matériel et de le protéger de

11.2.1 Emplacement et protection du matériel manière à réduire les risques liés à des menaces et dangers OUI X Les matériels sensibles sont sockés dans des locaux sécurisés Contrat de service fournisseur interne avec les Services Généraux
environnementaux et les possibilités d’accès non autorisé.

Il convient de protéger le matériel des coupures de courant et autres Systéme d'alimentation électrique indépendant est opérationnel
11.2.2 Services généraux OUI X Contrat de mainteance fournisseur onduleur
perturbations dues à une défaillance des services généraux. en cas de défaillance du systéme général

Il convient de protéger les câbles électriques ou de télécommunication

Le réseau local de la production SaaS est un réseau switché
11.2.3 Sécurité du câblage transportant des données ou supportant les services d’information contre OUI X X Configuration et shéma d'architecture réseau SaaS
physiquement indépendant du reste de l'entreprise
toute interception, interférence ou dommage.

Il convient d’entretenir le matériel correctement pour garantir sa La maintenance des matériels internes et collaborateurs est sous traitée
11.2.4 Maintenance du matériel OUI X X Contrat de service fournisseur interne avec la DSI
disponibilité permanente et son intégrité et contractualisée par la DSI

Il convient de ne pas sortir un matériel, des informations ou des logiciels des

11.2.5 Sortie des actifs OUI Formalisé dans la charte d'utilisation des outils et des moyens informatiques
locaux de l’organisation sans autorisation préalable

Il convient d’appliquer des mesures de sécurité au matériel utilisé hors des

Chiffrement des disques, Anti Virus,
11.2.6 Sécurité du matériel et des actifs hors des locaux locaux de l’organisation en tenant compte des différents risques associés au OUI X X Contrat de service fournisseur interne avec la DSI
connexion à distance sécurisée par passerelle d'accès et/ou VPN
travail hors site.

Il convient de vérifier chacun des éléments du matériel contenant des

supports de stockage pour s’assurer que toute donnée sensible a bien été Destruction des supports contenant des données clients
11.2.7 Mise au rebut ou recyclage sécurisé(e) du matériel OUI X X X X X Preuves Destruction des Données par la production SaaSContrat Cloud
supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé ou en rapport avec ces données (poste des collaborateurs)
de façon sécurisée, avant sa mise au rebut ou sa réutilisation

Il convient que les utilisateurs s’assurent que le matériel non surveillé est Cable antivol sur les postes collaborateurs
11.2.8 Matériel utilisateur laissé sans surveillance OUI X X Vérouillage des écrans au bout de 15mn ( stratégie AD)
doté d’une protection appropriée

Il convient d’adopter une politique du bureau propre pour les documents Stockage des documents sur espace collaboratif privilégié
11.2.9 Politique du bureau propre et de l’écran vérouillé papier et les supports de stockage amovibles, et une politique de l’écran vide OUI X Casier individuel de stockage - Broyeuse pour document à dipsosition
pour les moyens de traitement de l’information Verouillage automatique des sessions en cas d'inactivité prolongée

12 Sécurité liée à l’exploitation SEPO4 Sécurité liée à l'exploitation

S’assurer de l’exploitation correcte et sécurisée des moyens de
12.1 Procédures et responsabilités liées à l’exploitation Retenue OL OC EB BP AR
traitement de l’information

Il convient de documenter les procédures d’exploitation et de les mettre à Toutes les procédures d'explotation sont documentées et
12.1.1 Procédures d’exploitation documentées OUI X Processus de Gestion des documents de la GED
disposition de tous les utilisateurs concernés accessibles à tous les collaborateurs de SaaS dans la GED
Iso 27001 : 2013 - Annexe A

Il convient de contrôler les changements apportés à l’organisation, aux

12.1.2 Gestion des changements processus métier, aux systèmes et moyens de traitement de l’information OUI X Une instance hebdomadaire est planifiée sur la gestion des changements CR et gestion des changes dans Inside
qui influent sur la sécurité de l’information

Il convient de surveiller et d’ajuster au plus près l’utilisation des ressources Console de supervision Centreon
Surveillance permanente de l'allocation des ressources
12.1.3 Dimensionnement et il convient de faire des projections sur les dimensionnements futurs pour OUI X X Compte rendus de réunion de capacity planning
Comité mensuel sur le dimensionnemnt des infrastructures et des ressources
garantir les performances exigées du système Adaptation des RH à l'activité

Il convient de séparer les environnements de développement, de test et

12.1.4 Séparation des environnements de développement, de test et d’exploitation d’exploitation pour réduire les risques d’accès ou de changements non OUI X X Segrégation assurée par le workflow automatisé dans AzureDevOps Architecture Réseaux
autorisés dans l’environnement en exploitation

Garantir que l’information et les moyens de traitement de

12.2 Protection contre les logiciels malveillants Retenue OL OC EB BP AR
l’information sont protégés contre les logiciels malveillants

Il convient de mettre en oeuvre des mesures de détection, de prévention et

12.2.1 Mesures contre les logiciels malveillants de récupération, conjuguées une sensibilisation des utilisateurs adaptée, OUI X X Antivirus / Antimalware centralisé et administré pour toutes les ressources Console antivirale (MAJ du document à voir)
pour se protéger contre les logiciels malveillants

12.3 Sauvegarde Se protéger de la perte de données Retenue OL OB EB BP AR

Il convient de réaliser des copies de sauvegarde de l’information, des logiciels

12.3.1 Sauvegarde des informations et des images systèmes, et de les tester régulièrement conformément à une OUI La politique de sauvegarde prend en compte la spécificité de chaque offre client. Rapports de sauvegarde
politique de sauvegarde convenue Elle prend en compte la disponibilité, l'intégrite et la rétension.

12.4 Journalisation et surveillance Enregistrer les événements et générer des preuves. Retenue OL OC EB BP AR

Il convient de créer, de tenir à jour et de revoir régulièrement les journaux

Les événements relatifs à la sécurité de l'information sont centralisés dans un outil
12.4.1 Journalisation des événements d’événements enregistrant les activités de l’utilisateur, les exceptions, les OUI X X X X Consoles de centralisation des journaux (Splunk)
de concaténation des logs.Cet outil est régit par une politique bien définie
défaillances et les événements liés à la sécurité de l’information

Il convient de protéger les moyens de journalisation et l’information L'outil de gestion de logs est hébergé dans une architecture sécurisée
12.4.2 Protection de l’information journalisée OUI X X Consoles de centralisation des journaux (Splunk)
journalisée contre les risques de falsification ou d’accès non autorisé (redondance,chiffrement des flux et des disques, gestion des accès, sauvegarde)

Il convient de journaliser les activités de l’administrateur système et de

Un rapport l automatique des journaux administrateurs et opérateurs
12.4.3 Journaux administrateur et opérateur l’opérateur système, ainsi que de protéger et de revoir régulièrement les OUI X X Rapport comptes administrateurs (Splunk)
est produit mensuellement
journaux.

Il convient de synchroniser les horloges de l’ensemble des systèmes de

12.4.4 Synchronisation des horloges traitement de l’information concernés d’une organisation ou d’un domaine OUI X X X Une synchronisation NTP est configurée sur tous les actifs Stratégies de groupes et doc NTP
de sécurité sur une source de référence temporelle unique

12.5 Maîtrise des logiciels en exploitation Garantir l’intégrité des systèmes en exploitation Retenue OL OC EB BP AR
Un outil et une Console centralisée permette une gestion d'inventaire des logiciels en exploitation.
Il convient de mettre en oeuvre des procédures pour contrôler l’installation Des Template d'installation sont utilisés pour la configurationdes serveurs virtuels
12.5.1 Installation de logiciels sur des systèmes en exploitation OUI X X Consoles d’inventaire logiciel
de logiciels sur des systèmes en exploitation.

12.6 Gestion des vulnérabilités techniques Empêcher toute exploitation des vulnérabilités techniques Retenue OL OC EB BP AR Sécurité Liée à l’Exploitation (SEPO4)

Il convient d’être informé en temps voulu des vulnérabilités techniques des

La gestion des vulnérabilité se fait par un outil de scan et par les alertes
systèmes d’information en exploitation, d’évaluer l’exposition de
12.6.1 Gestion des vulnérabilités techniques OUI X X remontées par les C.E.R.T. Compte Rendu des réunions de suivi sécurité des SI
l’organisation à ces vulnérabilités et de prendre les mesures appropriées
Politiqe de traitement de ces vulnérabilités par périmétre en mode d'escalade
pour traiter le risque associé

Il convient d’établir et de mettre en oeuvre des règles régissant l’installation Politique de détection de shadowIT
12.6.2 Restrictions liées à l’installation de logiciels OUI X Charte utilisation des outils
de logiciels par les utilisateurs outillage sur les postes collaborateurs
 Réduire au minimum l’incidence des activités d’audit sur les
12.7 Considérations sur l’audit du système d’information Retenue OL OC EB BP AR Sécurité Liée à l’Exploitation (SEPO4)
systèmes en exploitation

Pour réduire au minimum les perturbations subies par les processus métier,
il convient de planifier avec soin et d’arrêter avec les personnes intéressées Les différentes politiques (Scan) et accords (Pentest) prennent en compte les périodes d'activités des métiers
12.7.1 Mesures relatives à l’audit des systèmes d’information OUI X X Modèles concernant les accords d’audit / Pentest
les exigences d’audit et les activités impliquant des contrôles des systèmes afin de minimiser les impacts
en exploitation

13 Sécurité des communications SEPO14-Management de la sécurité des réseaux

Garantir la protection de l’information sur les réseaux et des
13.1 Management de la sécurité des réseaux Retenue OL OC EB BP AR
moyens de traitement de l’information sur lesquels elle s’appuie
Procédure de ségrégation des droits et des équipes.
Il convient de gérer et de contrôler les réseaux pour protéger l’information Les réseaux et les liens sont supervisés par les outils de surveillance. Contrôle et logs des accès sur les équipements.
13.1.1 Contrôle des réseaux OUI X X
contenue dans les systèmes et les applications Les accès sont traçés et contrôlés Redondance des équipes des équipements et des ressources.
Contrat de service Fournisseur Interne - DSI
Pour tous les services de réseau, il convient d’identifier les mécanismes de
sécurité, les niveaux de service et les exigences de gestion, et de les intégrer Une convention de service interne est contractualisée annuellement avec la DSI
13.1.2 Sécurité des services de réseau OUI X Les réseaux et les liens sont supervisés en direct par les outils de surveillance.
dans les accords de services de réseau, que ces services soient fournis en Elle prend en compte la sécurité des réseaux
interne ou externalisés

Il convient que les groupes de services d’information, d’utilisateurs et de

13.1.3 Cloisonnement des réseaux OUI X Cloisonnement des réseaux par la mise en place de DMZ et de VLAN. Documents d’architecture réseau
systèmes d’information soient cloisonnés sur les réseaux

Maintenir la sécurité de l’information transférée au sein de

13.2 Transfert de l’information Retenue OL OC EB BP AR SEPO2- Transfert et chiffrement de l'information
l’organisation et vers une entité extérieure.

Il convient de mettre en place des politiques, des procédures et des mesures Une politique énonçant les régles de chiffrements et de sécurité
13.2.1 Politiques et procédures de transfert de l’information de transfert formelles pour protéger les transferts d’information transitant OUI X des communications est établie.
par tous types d’équipements de communication Elle est révisée périodiquement.

Il convient que les accords traitent du transfert sécurisé de l’information liée Les protocoles sécurisés d'échanges utilisés avec les tiers permetteent
13.2.2 Accords en matière de transfert d’information OUI X X
à l’activité entre l’organisation et les tiers de garantir l'intégrité , la confidentialité et la non répudiation des informations

Il convient de protéger de manière appropriée l’information transitant par la La messagerie électronique n'utilise que
13.2.3 Messagerie électronique OUI X X des processus sécurisé (flux , authentification) Configuration serveur de messagerie
messagerie électronique

Il convient d’identifier, de revoir régulièrement et de documenter les

L’ensemble du personnel Cegid intervenant sur des données confidentielles signe
exigences en matière d’engagements de confidentialité ou de non-
13.2.4 Engagements de confidentialité ou de non-divulgation OUI X X un engagement de confidentialité sans limite de temps, impliquant des mesures disciplinaires ou poursuites en Processus RH
divulgation, conformément aux besoins de l’organisation en matière de
cas de non-respect.
protection de l’information

14 Acquisition, développement et maintenance des systèmes d’information SEPO8-Politique de sécurité de l'information dans la gestion de projet

Veiller à ce que la sécurité de l’information fasse partie intégrante

des systèmes d’information tout au long de leur cycle de vie. Cela
14.1 Exigences de sécurité applicables aux systèmes d’information Retenue OL OC EB BP AR SEPO2- Transfert et chiffrement de l'information
inclut notamment des exigences spécifiques pour les systèmes
d’information fournissant des services sur les réseaux publics.

Il convient que les exigences liées à la sécurité de l’information figurent dans

Des procédures formalisée sur la sécurité sont intégrées dans
14.1.1 Analyse et spécification des exigences de sécurité de l’information les exigences des nouveaux systèmes d’information ou des changements OUI X X Questionnaires d’expression des besoins sécurité du projet
tous les projets et tout au long du cycle de vie du projet
apportés aux systèmes existants

Il convient de protéger l’information liée aux services d’application transmise Protection périmétrique des accès au réseaux publics (Pare Feu , Sonde IDS/IPS )
14.1.2 Sécurisation des services d’application sur les réseaux publics sur les réseaux publics contre les activités frauduleuses, les différends OUI X X X Chiffrement des flux par certificats issus d'une autotité de certification reconnue, les clés sont Politique de transfert et chiffrement de l’information
contractuels, ainsi que la divulgation et la modification non autorisées. stockées dans un coffre fort numérique

Il convient de protéger l’information impliquée dans les transactions liées

Utilisation de protocoles sécurisés garantissant une transmission
aux services d’application pour empêcher une transmission incomplète, des
14.1.3 Protection des transactions liées aux services d’application OUI X X complète sans modification,possible de l'information et interdisant, la modification non autorisée, la divulgation
erreurs d’acheminement, la modification non autorisée, la divulgation non
non autorisée, la duplication non autorisée .
autorisée, la duplication non autorisée du message ou sa réémission.

S’assurer que les questions de sécurité de l’information sont

14.2 Sécurité des processus de développement et d’assistance technique étudiées et mises en oeuvre dans le cadre du cycle de Retenue OL OC EB BP AR SEPO15 - Politique de développement sécurisé
développement des systèmes d’information

Il convient d’établir des règles de développement des logiciels et des

14.2.1 Politique de développement sécurisé OUI X Une politique décrit et cadre la sécurité des processus de développement STRATUS
systèmes, et de les appliquer aux développements de l’organisation

Il convient de contrôler les changements apportés au système dans le cycle

Les changments standards sont opérés via le worflow de l'orchestrateur
14.2.2 Procédures de contrôle des changements apportés au système de développement en utilisant des procédures formelles de contrôle des OUI X
de la plateforme. Les changements non standard sont traités par le processus de change
changements

Lorsque des changements sont apportés aux plateformes d’exploitation, il

Les mises à jour matériel et/ou systéme sont testés sur des groupes pilotes avant
14.2.3 Revue technique des applications après changement apporté à la plateformed’exploitation convient de revoir et de tester les applications critiques métier afin de OUI X X Processus de mises à jour des systèmes
application sur les environnements de production
vérifier l’absence de tout effet indésirable sur l’activité ou sur la sécurité

Il convient de ne pas encourager la modification des progiciels et de se

limiter aux changements
14.2.4 Restrictions relatives aux changements apportés aux progiciels OUI X Tous les changements relatifs aux scrips et automates sont consignés dans un git Pas de modification du code des progiciels utilisés
nécessaires. Il convient également d’exercer un contrôle strict sur ces
changements

Il convient d’établir, de documenter, de tenir à jour et d’appliquer des

14.2.5 Principes d’ingénierie de la sécurité des systèmes principes d’ingénierie de la sécurité des systèmes à tous les travaux de mise X Les scripts et automates sont normalisés et testés avant mise en production Formation/Sensibilisation
en oeuvre de systèmes d’information.

Il convient que les organisations établissent un environnement de

développement sécurisé pour les tâches de développement et d’intégration
14.2.6 Environnement de développement sécurisé OUI X Gérer par le workflow AzureDevOps et les serveurs de développement Architecture Réseaux
du système, qui englobe l’intégralité du cycle de développement du système,
et qu’ils en assurent la protection de manière appropriée

Il convient que l’organisation supervise et contrôle l’activité de Une convention de service interne avec les BU de développement
14.2.7 Développement externalisé OUI X X
développement du système externalisé supervise et contôle les activités et applications externes au SMSI

Il convient de réaliser les tests de fonctionnalité de la sécurité pendant le

14.2.8 Phase de test de la sécurité du système OUI X
développement
Les phases de test et les tests de conformité sont assurés dans
Il convient de déterminer des programmes de test de conformité et des le workflow AzureDevOps
14.2.9 Test de conformité du système critères associés pour les nouveaux systèmes d’information, les mises à jour OUI X Résultat Scan vulnérabilité (I/O Tenable)
et les nouvelles versions
14.3 Données de test Garantir la protection des données utilisées pour les tests Retenue OL OC EB BP AR

Il convient que les données de test soient sélectionnées avec soin, protégées
14.3.1 Protection des données de test OUI X Gérer par le workflow AzureDevOps et les serveurs de développement Journalisation de la copie
et contrôlées

15 Relations avec les fournisseurs SEP013-Relaion avec les fournisseurs

Garantir la protection des actifs de l’organisation accessibles aux
15.1 Sécurité de l’information dans les relations avec les fournisseurs Retenue OL OC EB BP AR
fournisseurs

Il convient de convenir avec le fournisseur les exigences de sécurité de La poltique de sécurité dans les relations fournisseurs prend en compte et décrit
15.1.1 Politique de sécurité de l’information dans les relations avec les fournisseurs l’information pour limiter les risques résultant de l’accès du fournisseur aux OUI X X X X X les besoins et mesures de sécurité nécessaires pour respecter les obligations
actifs de l’organisation et de les documenter. légales, réglementaires et contractuelles de Cegid

Il convient que les exigences applicables liées à la sécurité de l’information

soient établies et convenues avec chaque fournisseur pouvant avoir accès,
15.1.2 La sécurité dans les accords conclus avec les fournisseurs OUI X X X X
traiter, stocker, communiquer ou fournir des composants de l’infrastructure
informatique destinés à l’information de l’organisation
Cegid s'assure de l'implication de ses fournisseurs dans la sécurité du service
délivré au travers de certification et d'engagement contractuel
Il convient que les accords conclus avec les fournisseurs incluent des
15.1.3 Chaine d’approvisionnement informatique exigences sur le traitement des risques de sécurité de l’information associés OUI X X X X
à la chaîne d’approvisionnement des produits et des services informatiques

Maintenir un niveau convenu de sécurité de l’information et de

15.2 Gestion de la prestation du service prestation de services, Retenue OL OC EB BP AR
conformément aux accords conclus avec les fournisseurs

Il convient que les organisations surveillent, revoient et auditent à intervalles

15.2.1 Surveillance et revue des services des fournisseurs réguliers la prestation des OUI X X X
services assurés par les fournisseurs
Des comités de pilotage de la sécurité sont planifiés et organisés
Il convient de gérer les changements effectués dans les prestations de de façon récurrente avec les fournisseurs. Des audits permettent
service des fournisseurs, y compris le maintien et l’amélioration des l'évaluation de l'évolution et des changements dans le cadre contractuel
15.2.2 Gestion des changements apportés dans les services des fournisseurs politiques, procédures et mesures existant en matière de sécurité de OUI X X X CR Comité de sécurité IBM/Microsoft
l’information, en tenant compte du caractère critique de l’information, des
systèmes et des processus concernés et de la réappréciation du risque

16 Gestion des incidents liés à la sécurité de l’information SEPS3-Gestion des incidents de sécurité
Garantir une méthode cohérente et efficace de gestion des
incidents liés à la sécurité de
16.1 Gestion des incidents liés à la sécurité de l’information et améliorations Retenue OL OC EB BP AR
l’information, incluant la communication des événements et des
failles liés à la sécurité

Il convient d’établir des responsabilités et des procédures permettant de

16.1.1 Responsabilités et procédures garantir une réponse rapide, OUI X X X X
efficace et pertinente en cas d’incident lié à la sécurité de l’information

Il convient de signaler, dans les meilleurs délais, les événements liés à la

16.1.2 Signalement des événements liés à la sécurité de l’information sécurité de l’information, par les OUI X X X X
voies hiérarchiques appropriées

Il convient d’enjoindre tous les salariés et contractants utilisant les systèmes Processus de gestion des incidents de sécurité en conformaité avec ISO 27035 comprenant
et services d’information Signalement de l'événement de sécurité
16.1.3 Signalement des failles liées à la sécurité de l’information OUI X X X X
de l’organisation à noter et à signaler toute faille de sécurité observée ou Préqualification de l'événement
soupçonnée dans les systèmes ou services Phase de qualification
Investigation
Il convient d’apprécier les événements liés à la sécurité de l’information et Communication / Déclaration
16.1.4 Appréciation des événements liés à la sécurité de l’information et prise de décision de décider s’ils doivent être OUI X X X X Traitement Stratus
classés comme incidents liés à la sécurité de l’information Retour d'expérience
Clôture de l'incident
Il convient de répondre aux incidents liés à la sécurité de l’information Une matrice de type RACI détermine les rôles et responsabilité pour chaque phase
16.1.5 Réponse aux incidents liés à la sécurité de l’information conformément aux procédures OUI X X X X Une revue hebdomadaire des incidents est effectuée
documentées.
Il convient de tirer parti des connaissances recueillies suite à l’analyse et la
résolution des incidents liés
16.1.6 Tirer des enseignements des incidents liés à la sécurité de l’information OUI X X X X
à la sécurité de l’information pour réduire la probabilité ou les conséquences
d’incidents ultérieurs

Il convient que l’organisation définisse et applique des procédures

16.1.7 Recueil de preuves d’identification, de recueil, OUI X X X X
d’acquisition et de protection de l’information pouvant servir de preuve

17 Aspects de la sécurité de l’information dans la gestion de la continuité de l’activité SEIT25-Gestion de crise SaaS
Il convient que la continuité de la sécurité de l’information fasse
17.1 Continuité de la sécurité de l’information partie intégrante des systèmes Retenue OL OC EB BP AR
de gestion de la continuité de l’activité

Il convient que l’organisation détermine ses exigences en matière de sécurité

de l’information et de Une politique de continuité des affaires encadre l'organisation
17.1.1 Organisation de la continuité de la sécurité de l’information continuité du management de la sécurité de l’information dans des OUI X X et les processus de continuité de la sécurtité de l'information
situations défavorables, comme lors Un processus "code rouge" réglemente la gestion de crise
d’une crise ou d’un sinistre

Il convient que l’organisation établisse, documente, mette en oeuvre et

maintienne à jour des processus, Différents processus permettent la continuité de la sécurité de l'information
17.1.2 Mise en oeuvre de la continuité de la sécurité de l’information des procédures et des mesures permettant de garantir le niveau requis de OUI X X (Sauvegarde des données , résilience des infrastructures et des ressources humaines , administration des outils Gestion des incidents / Code Rouge
continuité de la sécurité de de production sécurisée à distance)
l’information au cours d’une situation défavorable

Il convient que l’organisation vérifie à intervalles réguliers les mesures de

continuité de la sécurité de
17.1.3 Vérifier, revoir et évaluer la continuité de la sécurité de l’information l’information déterminées et mises en oeuvre, afin que s’assurer qu’elles OUI X X La continuité de la sécurité des informations est évaluée de façon récurrente
restent valables et efficaces
dans des situations défavorables

17.2 Redondances Garantir la disponibilité des moyens de traitement de l’information Retenue OL OC EB BP AR

 Il convient de mettre en oeuvre des moyens de traitement de l’information Des mécanismes de redondance et de résilience des architectures
17.2.1 Disponibilité des moyens de traitement de l’information avec suffisamment de OUI X X X et des équipes sont actifs de bout en bout. Documents d’architectures SaaS
redondances pour répondre aux exigences de disponibilité Il y a une supervision constante de ces mécanismes

18 Conformité SEPO10-Gestion de la conformaité et des audits

Éviter toute violation des obligations légales, statutaires,
réglementaires ou contractuelles
18.1 Conformité aux obligations légales et réglementaires Retenue OL OC EB BP AR
relatives à la sécurité de l’information, éviter toute violation des
exigences de sécurité.
Il convient, pour chaque système d’information et pour l’organisation elle-
même, de définir, documenter
et mettre à jour explicitement toutes les exigences légales, réglementaires et Le processus juridique du groupe Cegid définis, documente et met à jours
18.1.1 Identification de la législation et des exigences contractuelles applicables OUI X X X Processus Juridique
contractuelles en vigueur, toutes les exigences légales, réglementaires et contractuelles applicables au SMSI
ainsi que l’approche adoptée par l’organisation pour satisfaire à ces
exigences
Il convient de mettre en oeuvre des procédures appropriées visant à garantir
la conformité avec les Cegid Cloud Factory s'engage à garantir la conformité avec les exigences légales, réglementaire et contractuelles
18.1.2 Droits de propriété intellectuelle exigences légales, réglementaires et contractuelles relatives aux droits de OUI X X X relatives aux droits de la propriété intellectuelle et à l’utilisation des logiciels propriétaires. Registre des licences
propriété intellectuelle et à Les logiciels sont acquis à partir de sources connues et réputées afin de s’assurer du respect des droits d’auteur.
l’utilisation de logiciels propriétaires
Il convient de protéger les enregistrements de la perte, de la destruction, de
Les enregistrements sont protégés de la perte, de la destruction,
18.1.3 Protection des enregistrements la falsification, des accès OUI X X X
de la falsification, des accès non autorisés et des diffusions non autorisés.
non autorisés et des diffusions non autorisées conformément aux exigences
Il convient de garantir la protection de la vie privée et la protection des Le règlement général sur la protection des données personnelles est applicable
données à caractère personnel
18.1.4 Protection de la vie privée et protection des données à caractère personnel OUI X X X sur le périmètre depuis le 25 mai 2018. Dans ce cadre, Cegid a nommé un DPO
telles que l’exigent la législation et les réglementations applicables, le cas
échéant qui est en charge de suivre le sujet de manière transverse au niveau du groupe

Il convient de prendre des mesures cryptographiques conformément aux Cegid Cloud Factory respecte les accords, lois et réglementations applicables
18.1.5 Réglementation relative aux mesures cryptographiques accords, lois et OUI relatives à la cryptographies. Cegid n’importe pas ou n’exporte pas de solution
réglementations applicables de cryptographie.

Garantir que la sécurité de l’information est mise en oeuvre et

18.2 Revue de la sécurité de l’information appliquée conformément aux Retenue OL OC EB BP AR
politiques et procédures organisationnelles

Il convient de procéder à des revues régulières et indépendantes de

l’approche retenue par l’organisation
pour gérer et mettre en oeuvre la sécurité de l’information (à savoir le suivi
18.2.1 Revue indépendante de la sécurité de l’information des objectifs, les mesures, les OUI X
politiques, les procédures et les processus relatifs à la sécurité de
l’information) à intervalles définis ou Cegid Cloud Factory réalise au moins une fois par an un audit interne
lorsque des changements importants sont intervenus du système d’information. Une revue de Direction est planifiée à l'issus

Il convient que les responsables revoient régulièrement la conformité du

traitement de l’information
18.2.2 Conformité avec les politiques et les normes de sécurité et des procédures dont ils sont chargés au regard des politiques, des normes Indicateurs et Objectifs SMSI
de sécurité applicables et
autres exigences de sécurité

Il convient que les systèmes d’information soient régulièrement revus pour

18.2.3 Examen de la conformité technique vérifier leur conformité avec OUI X X Une politique de pentests et d'audit technique permet d'identifier les écatrs Rapport de Scan
les politiques et les normes de sécurité de l’information de l’organisation