TC_3_QUIZZ

Question 1

Quel est le lien entre le référentiel PASSI et le RGS ?

Answer 1

Le référentiel PASSI (Prestataires d’Audit de la Sécurité des Systèmes d’Information) et le RGS (Référentiel Général de Sécurité) sont deux cadres réglementaires français visant à renforcer la sécurité des systèmes d’information, mais ils ont des objectifs et des domaines d’application différents qui se complètent.

Le lien entre le référentiel PASSI et le RGS réside dans leur objectif commun d’améliorer la sécurité des systèmes d’information, en particulier ceux des administrations publiques et des entreprises traitant des informations sensibles. Le RGS impose des exigences de sécurité aux administrations, et pour vérifier la conformité à ces exigences, les administrations peuvent faire appel à des prestataires d’audit qualifiés selon le référentiel PASSI.

Question 2

Quelles sont les annexes du RGS et leur rôles ?

Answer 2

Le Référentiel Général de Sécurité (RGS) est un ensemble de règles et de recommandations destinées à garantir la sécurité des systèmes d’information des administrations publiques françaises.

Annexe 1 : Glossaire
Annexe 2 : Référentiel de mesures de sécurité
Annexe 3 : Référentiel de qualification des prestataires de services de confiance
Annexe 4 : Cadre de certification
Annexe 5 : Profil de protection
Annexe 6 : Guide d’accompagnement pour la mise en œuvre

Question 3

Citer un référentiel européen traitant la gestion des certificats

Answer 3

Un référentiel européen traitant de la gestion des certificats est le eIDAS (electronic IDentification, Authentication and trust Services).

eIDAS est le principal cadre européen régissant la gestion des certificats et des services de confiance électronique, assurant une base commune pour la sécurité et l’interopérabilité des transactions électroniques dans l’UE.

Question 4

Quels sont les documents à produire pour un audit PASSI ?

Answer 4

1. Plan d’Audit (PA)
2. Rapport d’Audit Initial (RAI)
3. Rapport de Tests (RT)
4. Rapport Final d’Audit (RFA)
5. Fiches d’Anomalies et de Recommandations (FAR)
6. Documents de Conformité et Certifications
7. Journal des Activités d’Audit (JAA)
8. Preuves et Évidences

Question 5

A quoi sert une fiche d’autorisation d’audit ?

Answer 5

Une fiche d’autorisation d’audit est un document essentiel dans le cadre de la réalisation d’un audit de sécurité des systèmes d’information

1. Formalisation de l’Accord pour l’Audit
2. Définition de la Portée de l’Audit
3. Identification des Parties Prenantes
4. Autorisation d’Accès
5. Conformité Légale et Réglementaire
6. Description des Méthodes et Techniques d’Audit
7. Gestion des Risques et Mesures de Sécurité
8. Conditions de Confidentialité
9. Validation et Signatures

Question 6

A quoi sert la convention d’audit ?

Answer 6

La convention d’audit est un document contractuel essentiel dans le cadre de la réalisation d’un audit de sécurité des systèmes d’information. Elle établit les termes et les conditions de l’audit, et sert à formaliser les attentes et les responsabilités des parties impliquées.

Same as fiche d’autorisation audit

Question 7

Un test d’intrusion seul peut il permettre de réaliser une prestation PASSI ?

Answer 7

Non, un test d’intrusion seul ne suffit pas pour réaliser une prestation PASSI complète

Question 8

Combien de temps peut on conserver à minima la convention d’audit ?

Answer 8

Synthèse
Minimum légal et réglementaire (France) : 10 ans pour les documents commerciaux.

Prescriptions spécifiques au contrat : Vérifier les termes de la convention d’audit.

Bonnes pratiques : Conserver au moins pendant la période de prescription légale des actions civiles, souvent 5 ans, mais 10 ans offre une couverture plus sécuritaire.

En conclusion, conserver la convention d’audit pendant au moins 10 ans est une pratique courante et prudente, assurant le respect des obligations légales et la protection contre d’éventuels litiges futurs

Question 9

Quelles solutions peut on utiliser pour transférer des données DR ? (Diffusion Restreinte)

Answer 9

a. FTP sécurisé (SFTP/FTPS)
b. Plateformes de partage de fichiers sécurisées
7. Authentification Forte
a. Authentification multi-facteurs (MFA)
b. Certificats numériques et tokens

Transférer des données classifiées “Diffusion Restreinte” nécessite une combinaison de technologies de chiffrement, de réseaux sécurisés, de supports de stockage robustes, et de politiques de sécurité strictes.

Question 10

Comment faire si le client n’a aucune de ces solutions ?

Answer 10

Si le client ne dispose d’aucune des solutions de sécurité mentionnées, il est crucial d’établir rapidement des moyens de transfert sécurisés pour les données classifiées “Diffusion Restreinte” (DR). Voici les étapes à suivre pour mettre en place des solutions de sécurité efficaces, même en partant de zéro.

En l’absence de solutions de sécurité existantes, il est impératif de commencer par des mesures immédiates, même simples, pour protéger les données classifiées “Diffusion Restreinte”. Par la suite, des investissements progressifs dans des solutions plus robustes et une formation continue permettront de renforcer la sécurité de manière durable.

Question 11

A quoi correspond l’annexe C du RGS ?

Answer 11

L’annexe C du Référentiel Général de Sécurité (RGS) est une composante spécifique de ce référentiel qui fournit des éléments techniques et des recommandations visant à garantir la sécurité des systèmes d’information des entités publiques françaises

L’annexe C du RGS est centrée sur les exigences relatives à la gestion des certificats électroniques et des infrastructures à clés publiques (PKI).

L’annexe C du RGS est essentielle pour encadrer et sécuriser la gestion des certificats électroniques dans les administrations publiques françaises. Elle fournit un ensemble de directives et de standards qui garantissent la fiabilité, la sécurité, et l’interopérabilité des certificats électroniques, contribuant ainsi à la confiance et à la sécurité des transactions électroniques.

Question 12

Quelle version du référentiel PASSI est actuellement applicable ?

Answer 12

La version actuellement applicable du référentiel PASSI est la version 2.0.

Question 13

Quel est le lien entre un programme d’audit et un plan d’audit ?

Answer 13

Le lien entre un programme d’audit et un plan d’audit réside dans leur fonction complémentaire dans le cadre des processus d’audit

En résumé, le programme d’audit définit le “quoi” et le “pourquoi” des activités d’audit sur une période, tandis que le plan d’audit détaille le “comment”, “quand”, et “qui” pour chaque audit spécifique.

Question 14

Le Français est-elle la langue obligatoire pour les livrables

Answer 14

Oui. Livrables PASSI.

Question 15

Vous êtes responsable d’audit d’une presta ou il y a toutes les portées et le champ d’audit est le réseau Ethernet. Durant le TI les auditeurs voient un Wi-Fi vulnérable, cassent la clé, se connectent et trouve des Tomcat avec des comptes administrateurs du domaine dans la mémoire vive.

Que-faites vous ?

Answer 15

1. Documenter les Observations
2. Évaluer l’Impact
3. Informer les Parties Prenantes
4. Réévaluer la Portée de l’Audit
5. Recommandations et Actions Correctives
6. Documentation et Suivi

Question 16

Quelles sont les réunions obligatoires lors de l’exécution d’un audit PASSI?

Answer 16

1. Réunion de lancement (Kick-off meeting)
2. Réunions intermédiaires de suivi
3. Réunion de clôture (Close-out meeting)
4. Réunion de suivi post-audit

Question 17

Que doit contenir un rapport d’audit PASSI ?

Answer 17

1. Résumé Exécutif
2. Introduction
3. Description des Tests et Analyses
4. Résultats Détailés
5. Recommandations
6. Conclusion
7. Annexes

Question 18

A la suite d’un audit, vous présentez les vulnérabilités durant la restitution (avant le rapport donc), l’audité n’est pas d’accord avec une vulnérabilité, que faites-vous ?

Answer 18

1. Écoute et Compréhension
2. Réévaluation Technique
3. Discussion Technique
4. Documentation
5. Consensus et Suivi

Question 19

Quelle est la différence entre un audit PASSI et non PASSI ?

Answer 19

La principale différence entre un audit PASSI et un audit non-PASSI réside dans les exigences de qualification et les méthodologies spécifiques appliquées

En résumé, un audit PASSI est plus rigoureux et formel, nécessitant une qualification spécifique et le respect de méthodologies détaillées, tandis qu’un audit non-PASSI est plus flexible mais potentiellement moins structuré.

Question 20

Le client ne souhaite pas faire de réunion de clotûre, est-ce possible ?

Answer 20

Il est fortement recommandé d’organiser une réunion de clôture lors d’un audit PASSI, car elle permet de présenter les résultats, discuter des observations, et s’assurer que toutes les parties sont alignées sur les conclusions et les actions à entreprendre. Cependant, si le client insiste pour ne pas tenir cette réunion, voici quelques étapes alternatives à suivre :

Question 21

Que doit contenir une convention d’audit ?

Answer 21

1. Introduction
2. Portée et Périmètre de l’Audit
3. Méthodologie
4. Calendrier et Planning
5. Rôles et Responsabilités
6. Confidentialité et Sécurité
7. Livrables
8. Conditions Financières
9. Clauses de Révision et de Terminaison
10. Signatures

Ce document assure que toutes les parties sont alignées sur les objectifs, méthodes et résultats attendus de l’audit.

Question 22

Que doit on faire à la fin d’un audit ?

Answer 22

1. Préparation du Rapport Final
2. Présentation des Résultats
3. Documentation et Archivage
4. Suivi et Plan d’Action
5. Retour d’Expérience
6. Clôture Administrative

Question 23

Que puis-je ou dois-je supprimer après la prestation ?

Answer 23

1. Données Sensibles et Personnelles
2. Résultats des Tests de Sécurité
3. Copies de Travail
4. Outils Utilisés
5. Accès et Autorisations

Ces actions garantissent la confidentialité et la sécurité des informations après la prestation d’audit.