Business Information Security Auditor (BISA)

BISA

Les organisations souhaitent connaître l’état de leur cybersécurité afin de concentrer davantage d’efforts sur ce qui doit être amélioré.

Business Information Security Auditor (BISA) analyse la maturité en matière de cybersécurité des organisations. BISA fournit une analyse détaillée comprenant l'état de chacune des 133 mesures de cybersécurité et des 11 domaines de cybersécurité, ainsi qu'une analyse globale de la cybersécurité de votre organisation via un tableau de bord.

BISA aide également votre organisation à développer des orientations tactiques et stratégiques pour affiner et renforcer davantage les efforts de votre programme de sécurité.

L'utilisation de BISA est simple et à la portée de tous. Il suffit de répondre à quelques questions et votre rapport d’audit BISA est prêt devant vous.

 Avec BISA, vous saurez à quel niveau de maturité votre organisation se situe parmi les cinq.

Niveau 1: Processus exécuté – Le processus exécuté atteint l’objectif.

Niveau 2: Processus géré – Le processus de niveau 1 exécuté est désormais mis en œuvre et bien géré (planifié, surveillé et ajusté). Ses produits sont correctement établis, contrôlés et entretenus.

Niveau 3: Processus établi – Le processus géré de niveau 2 est désormais mis en œuvre selon une procédure définie qui permet d'obtenir les résultats souhaités.

Niveau 4: Processus prévisible – Le processus établi au niveau 3 fonctionne désormais dans des limites définies pour atteindre les résultats souhaités.

Niveau 5: Processus d'optimisation – Le processus prévisible de niveau 4 est continuellement amélioré pour répondre aux objectifs commerciaux pertinents actuels et projetés.

Les domaines et contrôles évalués :

Politique de sécurité

·        Un document de politique de sécurité de l’information est approuvé par la direction, puis publié et diffusé à tous les salariés et tiers concernés.

·        Afin de garantir la pertinence, l’adéquation et l’efficacité de la politique de sécurité de l’information, celle-ci est revue à des fréquences fixées à l’avance ou en cas de changements majeurs.

 Organisation de la sécurité de l'information

·        La haute direction soutient activement la politique de sécurité au sein de l'organisation par le biais de directives claires, d'un engagement franc, d'une attribution explicite des responsabilités et d'une reconnaissance des responsabilités en matière de sécurité de l'information.

·        Les activités de sécurité de l’information sont coordonnées par des parties prenantes dotées de rôles appropriés et représentatifs des différentes parties de l’organisation.

·        Toutes les responsabilités en matière de sécurité de l’information sont clairement définies.

·        Un système de gestion des autorisations est défini et mis en œuvre pour chaque nouveau moyen de traitement de l'information.

·        Les exigences en matière d'engagements de confidentialité ou de non-divulgation sont définies et revues régulièrement, en fonction des besoins de l'organisation.

·        Des relations appropriées avec les autorités compétentes sont mises en place.

·        Des contacts appropriés avec des groupes spécialisés, des forums de sécurité et des associations professionnelles sont maintenus.

·        L'organisation effectue des examens réguliers et indépendants de l'approche qu'elle a adoptée pour gérer et mettre en œuvre sa sécurité (c'est-à-dire surveiller les objectifs de sécurité, les politiques, les procédures et les processus liés à la sécurité des informations) ; de tels examens sont également nécessaires lorsque des changements importants sont survenus dans la mise en œuvre de la sécurité.

Tiers

·        Les risques pour les informations et les ressources de traitement de l'organisation qui résultent d'activités impliquant des tiers sont identifiés et des mesures appropriées sont mises en œuvre avant d'accorder l'accès.

·        Tous les besoins de sécurité sont satisfaits avant d'accorder aux clients l'accès aux informations ou aux actifs de l'organisation.

·        Les accords conclus avec des tiers qui concernent l'accès, le traitement, la communication ou la gestion de l'information, ou des moyens de traitement des informations de l'organisation, ou qui concernent l'ajout de produits ou de services aux moyens de traitement de l'information, couvrent toutes les exigences de sécurité applicables.

Gestion d'actifs

·        Toutes les marchandises sont clairement identifiées ; un inventaire de tous les biens importants est réalisé et géré.

·        La propriété de chaque élément d'information et les moyens de traitement de l'information sont attribués à une partie définie de l'organisation.

·        Les règles permettant l'utilisation correcte des informations et des actifs associés aux moyens de traitement de l'information sont identifiées, documentées et mises en œuvre.

·        Les informations sont classées en termes de valeur, d'exigences légales, de sensibilité et de criticité.

·        Un ensemble approprié de procédures est développé et mis en œuvre pour le marquage et le traitement des informations, conformément au plan de classification adopté par l'organisation.

Sécurité des ressources humaines

·        Les rôles et responsabilités en matière de sécurité des employés, des sous-traitants et des utilisateurs tiers sont définis et documentés conformément à la politique de sécurité de l'information de l'organisation.

·        Qu'il s'agisse de candidats, de sous-traitants ou d'utilisateurs tiers, les vérifications des informations concernant tous les candidats sont effectuées conformément aux lois, réglementations et éthiques et qu'elles sont proportionnées aux exigences commerciales, à la classification des informations accessibles et aux risques identifiés.

·        Dans le cadre de leurs obligations contractuelles, les salariés, sous-traitants et utilisateurs tiers conviennent des termes du contrat de travail qui les lie et le signent. Ce contrat doit définir les responsabilités de l'organisation et de l'autre partie en matière de sécurité de l'information.

·        La direction demande aux employés, aux entrepreneurs et aux utilisateurs tiers d'appliquer les règles de sécurité conformément aux politiques et procédures des établissements établis de l'organisation.

·        Tous les employés de l'organisation et ; le cas échéant ; les sous-traitants et les utilisateurs tiers suivent une formation de sensibilisation appropriée et reçoivent régulièrement des mises à jour des politiques et procédures de l'organisation, pertinentes pour leurs fonctions.

·        Un processus disciplinaire formel pour les employés qui enfreignent les règles de sécurité est élaboré.

·        Les responsabilités en matière d'objectifs ou de modifications des contrats sont clairement définies et attribuées.

·        Tous les employés, entrepreneurs et utilisateurs tiers restituent tous les biens de l'organisation en leur possession à la fin de leur période d'emploi, de contrat ou d'accord.

·        Les droits d'accès de tous les salariés, sous-traitants et utilisateurs tiers aux informations et aux moyens de traitement des informations sont supprimés à la fin de leur période d'emploi, ou modifiés en cas de modification du contrat ou de l'accord.

Sécurité physique et environnementale

·        Les zones contenant des informations et des moyens de traitement de l'information sont protégées par des périmètres de sécurité (obstacles tels que murs, portes avec contrôle d'accès par carte, ou bureaux d'accueil avec personnel d'accueil).

·        Les zones sécurisées sont protégées par des contrôles d'entrée adéquats pour garantir que seul le personnel autorisé est admis.

·        Des mesures de sécurité physique des bureaux, des locaux et des équipements sont conçues et appliquées.

·        Des mesures de protection physique contre les dommages causés par les incendies, les inondations, les tremblements de terre, les explosions, les troubles civils et autres formes de catastrophes naturelles ou d'origine humaine sont conçues et mises en œuvre.

·        Des mesures de protection physique et des directives pour travailler dans une zone sécurisée sont conçues et appliquées.

·        Les points d'accès tels que les zones de livraison/chargement et autres points par lesquels des personnes non autorisées peuvent pénétrer dans les locaux sont contrôlés. Les points d'accès, si possible, aux installations de traitement de l'information, sont isolés pour empêcher tout accès non autorisé.

Sécurité du matériel

·        L'équipement est localisé et protégé de manière à réduire les risques de menaces et de dangers environnementaux ainsi que les possibilités d'accès non autorisé.

·        L'équipement est protégé des coupures de courant et autres perturbations dues à une panne des services généraux.

·        Les câbles électriques ou de télécommunications transportant des données sont protégés contre toute interception ou tout dommage.

·        Les équipements sont entretenus correctement pour garantir leur disponibilité et leur intégrité permanentes.

·        La sécurité est appliquée aux équipements utilisés en dehors des locaux de l'organisation, en tenant compte des différents risques liés au travail hors site.

·        Tout le matériel contenant des supports de stockage est vérifié pour garantir que toutes les données sensibles ont été supprimées et que tout logiciel sous licence a été désinstallé ou écrasé en toute sécurité avant sa mise au rebut.

·        Le matériel, les informations ou les logiciels ne quittent pas les locaux de l'organisation sans autorisation préalable.

Gestion des opérations et des télécommunications

·        Les procédures opérationnelles sont documentées, tenues à jour et accessibles à tous les utilisateurs concernés.

·        Les modifications apportées aux systèmes et moyens de traitement de l'information font l'objet d'un suivi.

·        Les tâches et les domaines de responsabilité sont séparés afin de réduire les possibilités de modification ou d'utilisation abusive non autorisée ou involontaire des actifs de l'organisation.

·        Les équipements de développement, de test et d'exploitation sont séparés pour réduire le risque d'accès non autorisé ou de modifications du système d'exploitation.

·        L'organisation s'assure que les mesures de sécurité, les définitions de service et les niveaux de service prévus dans le contrat de service tiers sont mis en œuvre, appliqués et maintenus par le tiers.

·        Les services, rapports et enregistrements fournis par des tiers sont régulièrement vérifiés et examinés, et des audits sont régulièrement effectués.

·        Les changements dans la prestation de services, y compris le maintien et l'amélioration des politiques, procédures et mesures de sécurité de l'information existantes, sont gérés en tenant compte de la criticité des systèmes et processus de gestion impliqués et de la réévaluation des risques.

·        L'utilisation des ressources est étroitement surveillée et ajustée et des projections du dimensionnement futur sont établies pour garantir les performances requises pour le système.

·        Les critères d'acceptation des nouveaux systèmes d'information, des nouvelles versions et des mises à niveau sont fixés et les tests appropriés du ou des systèmes au moment du développement et préalablement à leur acceptation sont effectués.

·        Des mesures de détection, de prévention et de récupération sont mises en œuvre pour se protéger contre les codes malveillants ainsi que des procédures appropriées de sensibilisation des utilisateurs.

·        Lorsque l'utilisation du code mobile est autorisée, la configuration garantit que le code mobile fonctionne selon une politique de sécurité clairement définie et que tout code mobile non autorisé ne peut pas s'exécuter.

·        Des copies de sauvegarde des informations et des logiciels sont réalisées et régulièrement testées conformément à la politique de sauvegarde convenue.

·        Les réseaux sont gérés et contrôlés de manière adéquate pour être protégés contre les menaces et la sécurité des systèmes et des applications utilisant le réseau, y compris les informations en transit, est maintenue.

·        Pour tous les services réseau, les fonctions réseau, les niveaux de service et les exigences de gestion sont identifiés et intégrés dans tout accord de service réseau, qu'il soit fourni en interne ou en externe.

·        Des procédures de gestion des supports amovibles sont en place.

·        Les supports dont on n’a plus besoin sont éliminés en toute sécurité, selon des procédures formelles.

·        Des procédures de traitement et de stockage des informations sont établies pour protéger ces informations contre toute divulgation non autorisée ou toute utilisation abusive.

·        La documentation du système est protégée contre tout accès non autorisé.

·        Des politiques, procédures et mesures d'échange formelles sont en place pour protéger l'échange d'informations transitant par tous les types d'équipements de télécommunications.

·        Des accords d'échange d'informations et de logiciels sont conclus entre l'organisation et la partie externe.

·        Les supports contenant des informations sont protégés contre tout accès non autorisé, toute utilisation abusive ou toute altération pendant le transport en dehors des limites physiques de l'organisation.

·        Les informations transitant par courrier électronique sont protégées de manière adéquate.

·        Des politiques et des procédures sont élaborées et mises en œuvre pour protéger les informations liées à l'interconnexion des systèmes d'information de l'entreprise.

·        Les informations du commerce électronique transmises sur les réseaux publics sont protégées contre les activités frauduleuses, les litiges contractuels ainsi que la divulgation et la modification non autorisées.

·        Les informations transmises via les transactions en ligne sont protégées pour empêcher une transmission incomplète, un acheminement erroné, une modification non autorisée, une divulgation non autorisée, une duplication ou une retransmission non autorisée de messages.

·        L'intégrité des informations mises à disposition sur un système accessible au public est protégée pour empêcher toute modification non autorisée.

·        Les rapports d'audit, qui enregistrent les activités des utilisateurs, les exceptions et les événements liés à la sécurité, sont produits et conservés pendant une période prédéfinie pour faciliter une enquête plus approfondie et une surveillance du contrôle d'accès.

·        Des procédures de surveillance de l'utilisation des installations de traitement de l'information sont établies et les résultats des activités de surveillance sont périodiquement examinés.

·        L'équipement d'enregistrement et les informations enregistrées sont protégés contre le sabotage et l'accès non autorisé.

·        Les activités de l'administrateur système et de l'opérateur système sont enregistrées.

·        Tous les défauts sont enregistrés et analysés et les mesures appropriées sont prises.

·        Les horloges des différents systèmes informatiques de l'organisation ou d'un domaine de sécurité sont synchronisées à l'aide d'une source horaire précise et prédéfinie.

Contrôle d'accès

·        Une politique de contrôle d'accès est établie, documentée et révisée en fonction des exigences opérationnelles et de sécurité.

·        Une procédure formelle d'enregistrement et de désenregistrement des utilisateurs pour l'octroi et la suppression de l'accès à tous les systèmes et services d'information est définie.

·        L'attribution et l'utilisation des privilèges sont restreintes et contrôlées.

·        Les mots de passe sont attribués dans le cadre d'un processus formel.

·        La direction examine les droits d'accès des utilisateurs à intervalles réguliers via un processus formel.

·        Les utilisateurs sont priés de suivre de bonnes pratiques de sécurité lors de la sélection et de l'utilisation des mots de passe.

·        Les utilisateurs s'assurent que tout équipement laissé sans surveillance dispose d'un dispositif de protection approprié.

·        Une politique de bureau propre pour les documents papier et les supports de stockage amovibles est adoptée, ainsi qu'une politique d'écran vide pour les processeurs d'informations.

·        Les utilisateurs n'ont accès qu'aux services pour lesquels ils ont spécifiquement reçu une autorisation.

·        Des méthodes d'authentification appropriées sont utilisées pour contrôler l'accès des utilisateurs distants.

·        L'identification automatique du matériel est considérée comme un moyen d'authentifier les connexions à partir d'emplacements et de matériaux spécifiques.

·        L'accès physique et logique aux ports de diagnostic et de configuration à distance est contrôlé.

·        Les groupes de services d'information, d'utilisateurs et de systèmes d'information sont séparés sur le réseau.

·        Pour les réseaux partagés, en particulier les réseaux qui s'étendent au-delà des frontières organisationnelles, la capacité de connexion réseau des utilisateurs est limitée, conformément à la politique de contrôle d'accès et aux exigences des applications de gestion. .

·        Des mesures de routage réseau sont mises en œuvre pour empêcher les connexions réseau et les flux d'informations d'affecter la politique de contrôle d'accès des applications de gestion.

·        L'accès aux systèmes d'exploitation est soumis à une procédure de connexion sécurisée.

·        Un identifiant unique et exclusif est attribué à chaque utilisateur et une technique d'authentification pour vérifier l'identité déclarée par l'utilisateur est choisie.

·        Les systèmes qui gèrent les mots de passe sont interactifs et fournissent des mots de passe de qualité.

·        L'utilisation de programmes utilitaires pour contourner les mesures d'un système ou d'une application est limitée et étroitement contrôlée.

·        Les sessions inactives sont déconnectées après une période d'inactivité définie.

·        Les temps de connexion sont limités pour fournir un niveau de sécurité supplémentaire pour les applications à haut risque.

·        Pour les utilisateurs et le personnel du support technique, l'accès aux informations et aux fonctions des applications est restreint conformément à la politique de contrôle d'accès.

·        Les systèmes sensibles disposent d’un environnement informatique dédié (isolé).

·        Une procédure formelle et des mesures de sécurité appropriées sont en place pour se protéger contre les risques associés à l'utilisation d'appareils informatiques et de communication mobiles.

·        Une politique, des procédures et des programmes opérationnels spécifiques au télétravail sont élaborés et mis en œuvre.

·        Acquisition, développement et maintenance de systèmes d'information

·        Les exigences commerciales pour les nouveaux systèmes d'information ou les améliorations des systèmes d'information existants précisent les exigences de sécurité.

·        Les données saisies dans les candidatures sont validées pour vérifier qu'elles sont correctes et appropriées.

·        Des mesures de validation sont incluses dans les applications pour détecter d'éventuelles altérations des informations dues à des erreurs de traitement ou à des actes délibérés.

·        Les exigences en matière d'authentification et de protection de l'intégrité des messages doivent être identifiées. Des mesures appropriées doivent également être identifiées et mises en œuvre.

·        Le résultat d'une application est validé pour vérifier que le traitement des informations stockées est correct et adapté aux circonstances.

·        Une politique d'utilisation de mesures cryptographiques est élaborée et mise en œuvre afin de protéger les informations.

·        Une procédure de gestion des clés prend en charge la politique de chiffrement de l'organisation.

·        Des procédures sont en place pour contrôler l’installation de logiciels sur les systèmes d’exploitation.

·        Les données de test sont soigneusement sélectionnées, protégées et contrôlées.

·        L'accès au code source du programme est restreint.

·        La mise en œuvre des changements est contrôlée par des procédures formelles.

·        Lorsque des modifications sont apportées aux systèmes d'exploitation, les applications de gestion critiques sont examinées et testées pour vérifier qu'elles n'ont aucun effet négatif sur l'activité ou la sécurité.

·        La modification des progiciels n'est pas encouragée et seules les modifications nécessaires sont apportées. Un contrôle strict de ces changements est également exercé.

·        Toute possibilité de fuite d’informations est évitée.

·        L'organisation supervise et contrôle le développement de logiciels externalisés.

·        L'organisation est informée en temps opportun de toute vulnérabilité technique dans les systèmes d'information opérationnels, l'exposition de l'organisation à ces vulnérabilités est évaluée et des mesures appropriées pour faire face au risque associé sont prises.

·        Gestion des incidents de sécurité de l'information

·        Les événements liés à la sécurité des informations sont rapidement signalés via les canaux de reporting appropriés.

·        Il est demandé à tous les salariés, sous-traitants et utilisateurs tiers des systèmes et services d’information de constater et de signaler toute faille de sécurité constatée ou suspectée dans les systèmes ou services.

·        Les responsabilités et les procédures visant à garantir une réponse rapide, efficace et pertinente à un incident de sécurité de l'information sont établies.

·        Des mécanismes sont en place pour quantifier et surveiller les différents types d'incidents de sécurité de l'information, ainsi que leur volume et les coûts associés.

·        Lorsqu'une action judiciaire civile ou pénale est intentée contre une personne physique ou une organisation, à la suite d'un incident lié à la sécurité de l'information, les informations doivent être collectées, conservées et présentées conformément aux dispositions légales relatives à la présentation des preuves régissant la juridiction compétente ( s).

·        Gestion du plan de continuité d'activité

·        Un processus de continuité des activités est développé et géré dans toute l'organisation qui répond aux exigences de sécurité des informations pour la continuité des activités.

·        Les événements susceptibles de provoquer des interruptions des processus métiers sont identifiés, ainsi que la probabilité et l'impact de telles interruptions et leurs conséquences sur la sécurité de l'information.

·        Des plans visant à maintenir ou restaurer les opérations et à garantir la disponibilité des informations au niveau requis et dans les délais requis suite à une interruption ou à une panne affectant les processus opérationnels critiques sont élaborés et mis en œuvre.

·        Un cadre unique des plans de continuité d'activité est géré afin de garantir la cohérence de l'ensemble des plans, de répondre en permanence aux exigences de sécurité de l'information et d'identifier les priorités en termes de tests et de maintenance.

·        Les plans de continuité des activités sont testés et mis à jour régulièrement pour garantir qu'ils sont à jour et efficaces.

Conformité

·        Pour chaque système d'information et pour l'organisation, toutes les exigences légales, réglementaires et contractuelles en vigueur sont définies, documentées et mises à jour de manière explicite, ainsi que la procédure utilisée par l'organisation pour répondre à ces exigences.

·        Des procédures appropriées pour garantir le respect des exigences légales, réglementaires et contractuelles concernant l'utilisation de matériel pouvant être soumis à des droits de propriété intellectuelle et l'utilisation de logiciels propriétaires sont mises en œuvre.

·        Les documents importants sont protégés contre la perte, la destruction et la falsification conformément aux exigences légales, réglementaires et commerciales.

·        La protection et la confidentialité des données sont garanties comme l'exigent les lois ou réglementations applicables, ainsi que les clauses contractuelles le cas échéant.

·        Les utilisateurs sont dissuadés d'utiliser les installations de traitement de l'information à des fins illégales.

·        Les mesures cryptographiques sont prises conformément aux accords, lois et réglementations applicables.

·        Les responsables veillent à la bonne exécution de toutes les procédures de sécurité sous leur responsabilité afin de garantir leur conformité aux politiques et normes de sécurité.

·        La conformité des systèmes d'information aux normes relatives à la mise en œuvre de la sécurité est régulièrement vérifiée.

·        Les exigences d'audit et les activités impliquant des contrôles des systèmes d'exploitation sont planifiées avec précision et sont le résultat d'un accord visant à minimiser le risque de perturbation des processus métier.

·        L’accès aux outils d’audit du système d’information est protégé afin d’éviter toute utilisation abusive ou toute compromission.

BISA est aligné sur les normes de sécurité (NIST, CMMI, ISO 27002) et permet de se conformer à SOC2, FEDRAMP, HIPAA, ISO27001, etc.