# ============================================================================= # MATRICE DE SCOPE D'AUDIT — Phase 1 # Serveur : test.08.ma (217.160.192.96) # Date : 2026-07-11 # ============================================================================= # # Format : Domaine | Couvert | Non couvert | Limites | Preuve # ============================================================================= DOMAINE : INVENTAIRE RÉSEAU ───────────────────────────────────────────────────────────────────────────── Couvert : • Topologie réseau niveau 2/3 (switches, routeurs, VLANs) • Plages d'adresses IP (publiques/privées) • Points d'entrée/sortie (passerelles, firewalls) • Services exposés (ports ouverts, protocoles) • Cartographie DNS (zones, enregistrements) Non couvert : • Équipements hors périmètre contractualisé • Réseaux tiers (partenaires, sous-traitants non inclus) • Couche physique (câblage, baies de brassage) Limites : Audit limité aux plages IP déclarées par le client. Pas de scan intrusif (nmap -A) sans autorisation écrite. Tests limités aux jours ouvrés, hors heures de production. Preuve : /evidences/network-map.txt (scan nmap -sV) /evidences/captures/passivity-proof.txt DOMAINE : SÉCURITÉ DES SYSTÈMES ───────────────────────────────────────────────────────────────────────────── Couvert : • Analyse des vulnérabilités (CVE connues) • Configuration des firewalls (iptables/nftables/pf) • Politiques de mots de passe (PAM, /etc/shadow) • Accès SSH (clés, authentification 2FA) • Mises à jour de sécurité (unattended-upgrades) • Services obsolètes ou inutiles exposés • Permissions sensibles (SUID, world-writable) Non couvert : • Tests d'intrusion complets (pentest externe) • Social engineering • Sécurité physique des locaux • Audit de code applicatif Limites : Tests non-destructifs uniquement. Pas de bruteforce, pas de DoS. Les résultats CVE sont indicatifs ; se référer à l'éditeur. Preuve : /evidences/benchmarks/security-audit.txt /evidences/captures/lynis-hardening.txt DOMAINE : CONFORMITÉ RGPD ───────────────────────────────────────────────────────────────────────────── Couvert : • Droit d'accès (Art. 15) — inventaire des données • Droit de rectification (Art. 16) — procédure • Droit à l'effacement (Art. 17) — réversibilité • Portabilité des données (Art. 20) — formats export • Minimisation des données (Art. 5.1.c) • Durées de conservation (Art. 5.1.e) • Registre des traitements • Gestion du consentement Non couvert : • Analyse d'impact (AIPD/PIA) complète • Conformité des sous-traitants (Art. 28) • Transferts hors UE (Art. 44-49) • Certification BCR Limites : Audit documentaire et technique. Ne couvre pas l'aspect juridique des contrats. Conformité évaluée sur la base des preuves fournies. Preuve : /evidences/snapshots/reversibility-proof.txt (G.6) /evidences/scope-matrix.txt (ce document) DOMAINE : PERFORMANCE & CAPACITÉ ───────────────────────────────────────────────────────────────────────────── Couvert : • CPU (utilisation, throttling, load average) • Mémoire RAM (usage, swap, fuites potentielles) • Disque (IOPS, latence, espace disponible) • Réseau (bande passante, latence, perte paquets) • Temps de réponse applicatif (HTTP latency) Non couvert : • Tests de charge (JMeter, k6, Locust) • Profiling applicatif approfondi • Optimisation base de données • Capacité planning long-terme Limites : Métriques instantanées et sur 24h max. Pas de test de montée en charge sans coordination. Les benchmarks sont indicatifs ; environnement de production variable. Preuve : /evidences/benchmarks/cpu-bench.txt /evidences/benchmarks/disk-bench.txt /evidences/benchmarks/net-bench.txt DOMAINE : OBSERVABILITÉ & MONITORING ───────────────────────────────────────────────────────────────────────────── Couvert : • Logs système (syslog, journald, dmesg) • Logs applicatifs (Apache/Nginx, PHP, BDD) • Métriques système (collectd, node_exporter) • Alerting (seuils, notifications) • Rétention des logs Non couvert : • Tracing distribué (Jaeger, Zipkin) • APM (Application Performance Monitoring) • Dashboards Grafana (vérification existence seulement) • Agrégation centralisée (ELK, Loki) Limites : Vérification de l'existence des outils, pas de leur configuration fine. Les logs sont consultés en lecture seule. Preuve : /evidences/captures/passivity-proof.txt /evidences/benchmarks/logs-check.txt DOMAINE : OT / ICS (INDUSTRIEL) ───────────────────────────────────────────────────────────────────────────── Couvert : — Non couvert : • SCADA, PLC, DCS, RTU • Protocoles industriels (Modbus, OPC-UA, Profinet) • Segmentation IT/OT (Purdue Model) • Sécurité des automates Limites : Hors périmètre. L'infrastructure auditée est purement IT. Aucun équipement OT/ICS détecté sur le périmètre. Preuve : N/A (hors scope) DOMAINE : CLOUD & HYBRIDE ───────────────────────────────────────────────────────────────────────────── Couvert : • Identification des ressources cloud si présentes • Configuration IAM de base (vérification principes) Non couvert : • Audit complet AWS/Azure/GCP (CIS Benchmarks) • Sécurité des containers (Kubernetes, Docker) • Serverless (Lambda, Functions) • Infrastructure as Code (Terraform, Pulumi) Limites : Périmètre limité à l'infrastructure on-premise déclarée. Le serveur test.08.ma est un serveur bare-metal / VPS. Les ressources cloud ne font pas partie du présent audit. Preuve : /evidences/benchmarks/system-info.txt DOMAINE : LEGACY & DETTE TECHNIQUE ───────────────────────────────────────────────────────────────────────────── Couvert : • Inventaire des versions logicielles • Identification des composants EOL/obsolètes • Services sans maintenance (abandonware) Non couvert : • Analyse de code legacy • Plan de migration • Évaluation de la dette technique Limites : Identification des versions uniquement. Pas d'analyse statique de code. Pas d'estimation de l'effort de modernisation. Preuve : /evidences/benchmarks/system-info.txt /evidences/captures/passivity-proof.txt # ============================================================================= # SYNTHÈSE # ============================================================================= # # Couverture globale : 5/8 domaines couverts partiellement ou totalement # Domaines exclus : OT/ICS, Cloud (complet), Legacy (analyse profonde) # # Prochaine étape (Phase 2) : # - Exécution des benchmarks (CPU, disque, réseau, sécurité) # - Scan réseau passif # - Génération des rapports détaillés par domaine # # ============================================================================= # FIN DE LA MATRICE DE SCOPE # =============================================================================