Dernière modification : 19 mars 2025

Politique n° 4204 Procédure d'audit

Télécharger le document de procédure d'audit

Vue d'ensemble

Les audits de sécurité planifiés et aléatoires sont importants pour réduire les risques et évaluer la préparation du PCSD à un incident de sécurité. L'équipe InfoSec effectuera des audits périodiques sur les appareils connectés au réseau du PCSD.

Objectif

L'objectif de cette procédure est de s'assurer que tous les appareils sont configurés conformément à la politique de sécurité de la PCSD. Tous les appareils connectés au réseau de la PCSD peuvent faire l'objet d'un audit à tout moment. Les audits peuvent être menés pour :

Garantir l'intégrité, la confidentialité et la disponibilité des informations et des ressources
Assurer la conformité à la politique de sécurité de la PCSD

Champ d'application

Cette procédure s'applique à tous les appareils détenus ou exploités par le PCSD. Cette procédure couvre également tout appareil présent sur le réseau du PCSD, y compris les appareils qui ne sont pas détenus ou exploités par le PCSD.

Procédure

Le PCSD donne par la présente son accord pour permettre à l'équipe InfoSec ou à un auditeur externe d'accéder à ses dispositifs dans la mesure nécessaire, dans le cadre d'une portée prédéterminée, qui sera écrite et approuvée par l'équipe InfoSec. Cela permettra à l'auditeur d'effectuer des audits programmés et aléatoires de tous les appareils du PCSD.

Préoccupations spécifiques

Les appareils PCSD peuvent prendre en charge des fonctions commerciales essentielles et stocker des informations sensibles.
Une mauvaise configuration des dispositifs peut entraîner une perte de confidentialité, de disponibilité ou d'intégrité de ces systèmes.

Lignes directrices

Des modèles de configuration approuvés et standardisés doivent être utilisés lors du déploiement des dispositifs :

Les agents de sécurité de l'hôte, tels que les antivirus, doivent être installés et mis à jour.
Effectuer des analyses de réseau pour vérifier que seuls les ports et les partages de réseau nécessaires sont utilisés.
Vérifier l'appartenance à un groupe administratif.
Effectuer des analyses de référence lors du déploiement des systèmes et en cas de modifications importantes de ceux-ci.
Les modifications apportées aux modèles de configuration sont coordonnées avec les membres des services informatiques concernés.
Doit suivre toutes les autres procédures applicables aux dispositifs déployés.

Responsabilité

L'équipe InfoSec ou un auditeur externe effectuera des audits de tous les dispositifs détenus ou exploités par le PCSD.
Les propriétaires d'appareils sont encouragés à auditer leurs propres appareils si nécessaire ; cependant, cela ne permet pas à un propriétaire d'appareil d'effectuer un audit sur le réseau du PCSD ou sur tout appareil n'appartenant pas à l'employé.

Constatations pertinentes

Toutes les constatations pertinentes découvertes à la suite d'un audit sont répertoriées dans le système de suivi de la DCPP afin d'assurer une résolution rapide et/ou des contrôles d'atténuation appropriés.

Propriété du rapport d'audit

Tous les résultats et les conclusions de l'équipe InfoSec ou d'un auditeur externe doivent être communiqués à la direction compétente de la DCSP dans un délai d'une semaine après l'achèvement du projet.
Ce rapport deviendra la propriété de la PCSD et sera considéré comme confidentiel.

Dernière mise à jour Statut :

Mise à jour janvier 2015