Une affaire de standards La norme ISO 27001

l’ISO, Organisation internationale de normalisation, «International organization for standardization»

∘ organisation internationale, créée en 1947 ;
▷ maintenir et d’améliorer la position de l’organisme qui le met en œuvre du point de vue :
Le SMSI a pour buts de :
∘ composée de représentants des organismes de normalisation nationaux d’environ 150 pays ;
∘ produit des normes internationales dans les domaines industriels et commerciaux. ⋄ de la compétitivité,
⋄ de la profitabilité,
⋄ de la conformité aux lois et aux règlements,
⋆ IS 9000 : consacrée à la définition d’un «système de management» :
Différentes normes, IS, «International Standard» :

⋄ établir une politique et fixer des objectifs : ⋄ de l’image de marque.

⋆ référentiel écrit ; ▷ protéger les actifs «assets» de l’organisme, définis au sens large comme tout ce qui compte pour
⋆ ensemble de mesures organisationnelles et techniques destinées à mettre en place un certain contexte
lui.
⋄ vérifier que l’on a atteint les objectifs fixés :
organisationnel et à en assurer la pérennité et l’amélioration ;

⋆ réaliser un audit qui consistera à comparer le référentiel à la réalité pour relever les divergences, nommées
Le vocabulaire du SMSI est fournie dans l’IS 27000.
Les mesures de sécurité énumérées dans la phase Plan peuvent être prises dans le catalogue de
⋆ sans référentiel, l’auditeur en peut réaliser sa mission ;
écarts ou non-conformités.
«mesures» et «bonnes pratiques» proposé par l’IS 27002.
mais il existe de nombreux référentiels…
⋆ IS 9001 : consacrée aux systèmes de management de la qualité et aux exigences associées ;
⋆ IS 14001 : consacrée aux systèmes de management de l’environnement ;
⋆ IS 27001 : consacrée aux systèmes de management de la sécurité de l’information ;
⋆ IS 19001 : directives à respecter pour la conduite de l’audit d’un système de management.

La norme ISO 27001 Les méthodes d’analyse des risques

Système de management de la sécurité de l’information ou SMSI
⋆ liberté de choisir une méthode pour le SMSI, à condition que :
IS 27001 impose une analyse des risques, mais ne propose aucune méthode pour la réaliser :
∘ s’applique à un SMSI ;
⋄ elle soit documentée ;
∘ fournie un schéma de certification pouvant être appliqué au SMSI au moyen d’un audit ; ⋄ elle garantisse que les évaluations réalisées avec son aide produisent des résultats comparables et reproductibles.
∘ s’appuie sur une approche par processus : exemple du PDCA, «Plan, Do, Check, Act» : ⋆ Un risque identifié peut être :
⋄ phase Plan : ⋄ accepté,
⋆ définir lechamp du SMSI, ⋄ transféré à un tiers (assurance, prestataire),
⋆ identifier et évaluer les risques, ⋄ réduit à un niveau accepté.
⋆ produire le document (Statement of applicability,
□ IS 27005, méthode d’analyse fournie par l’ISO ;
Exemples de méthodes d’analyse des risques :
SOA) qui énumère les mesures de sécurité à appliquer ;
⋄ phase Do : □ EBIOS®, «Expression des Besoins et Identification des Objectifs de Sécurité» : méthode d’évaluation des risques en infor-
⋆ affecter les ressources nécessaires, matique, développée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
⋆ rédiger la documentation, □ MEHARI, «Méthode harmonisée d’analyse des risques» : méthode visant à la sécurisation informatique d’une entreprise
⋆ former le personnel,
⋆ appliquer les mesures décidées,
ou d’un organisme. Elle a été développée et est proposée par le Club de la Sécurité de l’Information Français, CLUSIF.

⋆ identifier les risques résiduels ;

Pour obtenir une certification IS 27001
▷
▷
définir le champ du SMSI ;

▷
en formuler la politique de management ;

⋄ phase Check : audit et revue périodiques du SMSI, qui produisent des constats et permettent d’imaginer des ▷
préciser la méthode d’analyse de risques utilisée ;

▷
identifier, analyser et évaluer les risques ;

▷
corrections et des améliorations ; déterminer les traitements qui seront appliqués aux différents risques, ainsi que les moyens d’en vérifier les effets ;
⋄ phase Act :
▷
attester l’engagement de la direction de l’organisme dans la démarche du SMSI ;

⋆ prendre les mesures qui permettent de réaliser les corrections et les améliorations dont l’opportunité a
rédiger le Statement of Applicability (SOA) qui sera la charte du SMSI et qui permettra de le soumettre à un audit.

⋆ préparer une nouvelle itération de la phase Plan.

été mise en lumière par la phase Check,

Cours «Méthodologie & Sécurité» – P-F. Bonnefoi – [Link] — 5 avril 2016 — 1

 Les méthodes et l’aspect législatif
Les différents IS 1. Les enjeux de la sécurité des S.I.
∘ IS 27001 : système de management de la sécurité des ∘
∘
IS 27003 : implémentation du SMSI ;

∘ IS27000 : vocabulaire SSI ; ∘

systèmes d’information (SMSI) ; IS 27004 : indicateurs de suivi du SMSI ;
a. Préambule
∘ IS 27002 (ex-17799) : catalogue de mesures de sé- ∘
IS 27005 : évaluation et traitement du risque ;

∘
IS 27006 : certification du SMSI ;
curité ; IS 27007 : audit du SMSI. • Système d’Information (S.I.)
L’historique et l’évolution de la législation
− juillet 2002, USA : loi Sarbanes-Oxley, «SOX» : impose aux entreprises qui font appel au capital public (cotées – Ensemble des ressources destinées à collecter, classifier, stocker,
en bourse) toute une série de règles comptables et administratives destinées à assurer la traçabilité de leurs opé- gérer, diffuser les informations au sein d’une organisation
rations financières, pour garantir plus de transparence pour les actionnaires (éviter les comptes truqués comme
dans le cas du scandale «Enron») ;
− 1er août 2003, France : loi du sur la sécurité financière (LSF) qui concerne principalement trois domaines :
– Mot clé : information, c’est le « nerf de la guerre » pour toutes les
⋄ modernisation des autorités de contrôle des marchés financiers ;
entreprises, administrations, organisations, etc.
⋄ sécurité des épargnants et des assurés ;
⋄ contrôle légal des comptes ainsi que la transparence et le gouvernement d’entreprise. Cette loi française ne
concerne pas seulement les sociétés cotées, mais toutes les sociétés anonymes.
− 2004, dispositif réglementaire européen «Bâle 2» qui concerne les établissements financiers.
Le S.I. doit permettre et faciliter la mission de l’organisation

La loi Sarbanes-Oxley concerne la sécurité du système d’information : elle impose aux entreprises des procédures

▷ la continuité des opérations ;

de contrôle interne, de conservation des informations, et de garantie de leur exactitude :

▷ la sauvegarde et l’archivage des données ;

▷ l’externalisation et son contrôle.
21/09/2015 Sensibilisation et initiation à la cybersécurité 5

Qu’est-ce qu’un système d’Information ?

1. Les enjeux de la sécurité des S.I.

a. Préambule
• Le système d’information d’une organisation contient un ensemble d’actifs :
actifs primordiaux

Une définition du système d’information processus métiers

et informations

« Tout moyen dont le fonctionnement fait appel à l’électricité et

qui est destiné à élaborer, traiter, stocker, acheminer, présenter ou
détruire l’information »
actifs supports

site personne matériel réseau logiciel organisation

ISO/IEC 27005:2008

La sécurité du S.I. consiste donc à assurer

la sécurité de l’ensemble de ces biens

21/09/2015 Sensibilisation et initiation à la cybersécurité 6

Cours «Méthodologie & Sécurité» – P-F. Bonnefoi – [Link] — 5 avril 2016 — 2

 1. Les enjeux de la sécurité des S.I. 1. Les enjeux de la sécurité des S.I.

b. Les enjeux c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou
au PC d’individus ?
• La sécurité a pour objectif de réduire les risques pesant sur le • Les motivations évoluent
système d’information, pour limiter leurs impacts sur le – Années 80 et 90 : beaucoup de bidouilleurs enthousiastes
fonctionnement et les activités métiers des organisations… – De nos jours : majoritairement des actions organisées et réfléchies

• La gestion de la sécurité au sein d’un système d’information n’a pas • Cyber délinquance
pour objectif de faire de l’obstruction. Au contraire : – Les individus attirés par l’appât du gain
– Les « hacktivistes »
– Elle contribue à la qualité de service que les utilisateurs sont en – Motivation politique, religieuse, etc.
droit d’attendre
– Les concurrents directs de l’organisation visée
– Les fonctionnaires au service d‘un état
– Elle garantit au personnel le niveau de protection qu’ils sont en droit
– Les mercenaires agissant pour le compte de commanditaires
d’attendre
– …

21/09/2015 Sensibilisation et initiation à la cybersécurité 7 21/09/2015 Sensibilisation et initiation à la cybersécurité 9

1. Les enjeux de la sécurité des S.I. 1. Les enjeux de la sécurité des S.I.

b. Les enjeux c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou
au PC d’individus ?
• Gains financiers (accès à de l’information, puis monétisation et revente)
– Utilisateurs, emails
– Organisation interne de l’entreprise
– Fichiers clients
– Mots de passe, N° de comptes bancaire, cartes bancaires

Impacts financiers Impacts sur l’image • Utilisation de ressources (puis revente ou mise à disposition en tant que
et la réputation « service »)
– Bande passante & espace de stockage (hébergement de musique, films et autres contenus)
Sécurité
– Zombies (botnets)
des S.I.
Impacts juridiques Impacts • Chantage
et réglementaires organisationnels – Déni de service
– Modifications des données

• Espionnage
– Industriel / concurrentiel
– Étatique

• …

21/09/2015 Sensibilisation et initiation à la cybersécurité 8 21/09/2015 Sensibilisation et initiation à la cybersécurité 10

Cours «Méthodologie & Sécurité» – P-F. Bonnefoi – [Link] — 5 avril 2016 — 3

 Qu’est-ce que la sécurité informatique ?
D’après Wikipedia
2. Les besoins de sécurité
La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisa-
tionnels, juridiques et humains nécessaire et mis en place pour conserver, rétablir, et garantir b. Besoin de sécurité : « Preuve »
la sécurité du système d’information.
• Comment définir le niveau de sécurité d’un bien du S.I. ? Comment
évaluer si ce bien est correctement sécurisé ?
La sécurité informatique a pour objectif de maintenir, à un niveau convenable (défini par la di-
rection générale), les garanties suivantes :
□ Disponibilité : garantie que les entités autorisées ont accès à tout moment aux éléments consi-
• 1 critère complémentaire est souvent associé au D.I.C.
dérés.
□ Intégrité : garantie que les ressources sont exactes et complètes (non corrompues).
Preuve
□ Confidentialité : garantie que les ressources sont accessibles au moment voulu par les entités
Propriété d'un bien permettant de retrouver, avec
une confiance suffisante, les circonstances dans
Bien à lesquelles ce bien évolue. Cette propriété englobe
autorisées. protéger
□ Traçabilité : garantie que les accès et tentatives d’accès aux ressources sont tracés et que ces
Notamment :
La traçabilité des actions menées
L’authentification des utilisateurs
traces sont conservées et exploitables. L’imputabilité du responsable de l’action effectuée

Ces quatre principes combinés, «DICT», permettent d’assurer un niveau de sécurité suffisamment
élevé pour satisfaire au besoin de sécurité des données de l’entreprise concernée.

21/09/2015 Sensibilisation et initiation à la cybersécurité

2. Les besoins de sécurité 2. Les besoins de sécurité

a. Introduction aux critères DIC d. Exemple d’évaluation DICP

• Comment définir le niveau de sécurité d’un bien du S.I. ? Comment évaluer si ce bien Ainsi, pour évaluer si un bien est correctement sécurisé, il faut auditer son niveau de
est correctement sécurisé ? Disponibilité, Intégrité, Confidentialité et de Preuve. L’évaluation de ces critères sur une
échelle permet de déterminer si ce bien est correctement sécurisé.
• 3 critères sont retenus pour répondre à cette problématique, connus sous le nom de
D.I.C. L’expression du besoin attendu peut-être d’origine :
Disponibilité • Interne : inhérente au métier de l’entreprise
Propriété d'accessibilité au moment voulu
des biens par les personnes autorisées (i.e. le bien • ou externe : issue des contraintes légales qui pèsent sur les biens de l’entreprise.
doit être disponible durant les plages d’utilisation prévues)
Exemple des résultats d’un audit sur un bien sur une échelle (Faible, Moyen, Fort, Très
Bien à fort) :
protéger
Intégrité
Propriété d'exactitude et de complétude des biens Niveau de Disponibilité du bien Très fort
et informations (i.e. une modification illégitime
d’un bien doit pouvoir être détectée et corrigée) Niveau d’Intégrité du bien Moyen
Niveau de Confidentialité du bien Très fort
Confidentialité Niveau de Preuve du bien Faible
Propriété des biens de n'être accessibles
qu'aux personnes autorisées Le bien bénéficie d’un niveau de sécurité adéquat
21/09/2015 Sensibilisation et initiation à la cybersécurité 23 21/09/2015 Sensibilisation et initiation à la cybersécurité

Cours «Méthodologie & Sécurité» – P-F. Bonnefoi – [Link] — 5 avril 2016 — 4

 2. Les besoins de sécurité 2. Les besoins de sécurité

d. Exemple d’évaluation DICP c. Différences entre sureté et sécurité

• Tous les biens d’un S.I. n’ont pas nécessairement besoin d’atteindre les mêmes niveaux de DICP. Sûreté : ensemble de mécanismes mis en
• Exemple avec un site institutionnel simple (statique) d’une entreprise qui souhaite promouvoir ses place pour assurer la continuité de
services sur internet :
fonctionnement du système dans les
conditions requises.
Disponibilité = Très fort Confidentialité = Faible
Un haut niveau de disponibilité du site Un faible niveau de confidentialité Sécurité : ensemble de mécanismes
web est nécessaire, sans quoi suffit. En effet, les informations destinés à protéger l'information des
l’entreprise ne peut atteindre son contenues dans ce site web sont
objectif de faire connaitre ses services publiques par nature!
utilisateurs ou processus n'ayant pas
au public l'autorisation de la manipuler et d’assurer
les accès autorisés.
Intégrité = Très fort Serveur Preuve = Faible
Un haut niveau d’intégrité des Le périmètre de chacune des 2 notions
web Un faible niveau de preuve suffit. On constate sur le schéma que
informations présentées est
En effet, ce site web ne permet
n’est pas si clairement délimité dans la
nécessaire. En effet, l’entreprise ne la notion de sécurité diffère
souhaiterait pas qu’un concurrent aucune interaction avec les réalité : dans le cas de la voiture
selon le contexte :
modifie frauduleusement le contenu du utilisateurs, il fournit simplement connectée on cherchera la sécurité et la
des informations fixes. • sécurité ► innocuité
site web pour y insérer des sûreté.
informations erronées (ce qui serait • sécurité ► immunité
dommageable)
21/09/2015 Sensibilisation et initiation à la cybersécurité 21/09/2015 Sensibilisation et initiation à la cybersécurité

La méthode MEHARI «Method for Harmonized Analysis of Risk»

2. Les besoins de sécurité ▷ méthode intégrée et complète d’évaluation et de management des risques visant à sécuriser les
systèmes d’information d’une entreprise ou d’une organisation ;
▷ développée, diffusée et mise à jour par le club professionnel CLUSIF depuis 1996 ;
c. Différences entre sureté et sécurité

▷ mise à jour en 2010 pour respecter les lignes directrices de la norme ISO 27005 : 2009 ;
« Sûreté » et « Sécurité » ont des significations différentes en fonction du contexte.

▷ utilisable dans le cadre d’un système de gestion de la sécurité de l’information de la norme ISO
L’interprétation de ces expressions peuvent varier en fonction de la sensibilité de chacun.

Sûreté Sécurité 27001 : 2005.

Protection contre les
dysfonctionnements et accidents
Protection contre les actions malveillantes
Une méthodologie en 3 étapes
volontaires
involontaires I. l’appréciation des risques :
Exemple de risque : blocage d’un service,
Exemple de risque : saturation d’un modification d’informations, vol a. identifier les risques du système d’information à partir d’une base de connaissance ;
point d’accès, panne d’un disque, d’information b. estimer la potentialité et l’impact de ces risques afin d’obtenir leur gravité
erreur d’exécution, etc. c. évaluer l’acceptabilité ou non de ces risques.
Non quantifiable statistiquement, mais il

⋄ accepter
Quantifiable statistiquement (ex. : la est possible d’évaluer en amont le niveau II. le traitement des risques : prendre une décision pour chaque risque :
durée de vie moyenne d’un disque est

⋄ réduire
du risque et les impacts
de X milliers d’heures)

⋄ transférer
Parades : contrôle d’accès, veille sécurité,

⋄ éviter.
Parades : sauvegarde, correctifs, configuration renforcée,
dimensionnement, redondance des filtrage…*
équipements…
* Certaines de ces parades seront présentées dans ce cours III. la gestion des risques : établir des plans d’action de traitement des risques, des mises en œuvre
21/09/2015 Sensibilisation et initiation à la cybersécurité de ces plans, mais aussi des contrôles et des pilotages de ces plans.

Cours «Méthodologie & Sécurité» – P-F. Bonnefoi – [Link] — 5 avril 2016 — 5

 − I'(4&#,4'3'/4(0'$(&,$)%'$(
− I'$(.&8*'$$%$(0'(/'$4,8/(0'$(&,$)%'$-(
La0#'/$'352'(
I'( .2#/( méthode MEHARI «Method
'4( 2'$( 0,99:&'/4$( for Harmonized
#$.'*4$( Analysis of$*+:3#4,)%'3'/4(
#58&0:$( $8/4( &'.&:$'/4:$( Risk» *,
0'$$8%$-( 3. Notions de vulnérabilité, menace, attaque
Appréciation du risque
a. Notion de « Vulnérabilité »
Identification Estimation Évaluation
Quels risques ? Quelle gravité ? Acceptabilité ? • Vulnérabilité
• Faiblesse au niveau d’un bien (au niveau de la conception, de la
réalisation, de l’installation, de la configuration ou de l’utilisation du
Traitement du risque bien).

Acceptation Réduction Transfert Évitement

Gestion des risques

Plans Mise en Contrôle et
d’action œuvre pilotage
( Vulnérabilités

MÉthode Harmonisée d’Analyse des RIsques

!" 01213.',.4('+3-&/5#.4( 21/09/2015 Sensibilisation et initiation à la cybersécurité

I'$(08*%3'/4$(&:9:&'/*:$(*, 0'$$8%$-($8/4(%4,2'$(.8%&(2##..2,*#4,8/(0'(*'(08*%3'/4(H(
Appréciation des risques
=!.H=$@(
I. :6BB7(H:BB?-(
identifier tous les=/98&3#4,8/( 4'*+/828/2(
risques auxquels M(est
l’organisation !'*%&,42(
exposée ;4'*+/,)%'$( M( =/98&3#4,8/( $'*%&,42( 3. Notions de vulnérabilité, menace, attaque
3#/#/'3'/4($2$4'3$( ("')%,&'3'/4$(
⋄ estimer sa gravité ;
II. pour chacun des risques :
Attention
⋄ juger de son acceptabilité.
=!.H=$@(:6BB?(H:BB;-(=/98&3#4,8/(4'*+/828/2(M(!'*%&,42(4'*+/,)%'$(M(=/98&3#4,8/($'*%&,42(&,$N( b. Notion de « Menace »
Tout risque ignoré ne sera l’objet d’aucune analyse ni
3#/#/'3'/4( d’aucun traitement.
• Menace
• Cause potentielle d’un incident, qui pourrait entrainer des dommages sur
Identifier les risques
⋆ l’actif :
un bien si cette menace se concrétisait.

⋄ ce qui peut subir un dommage ;

⋄ le fait qu’un actif puisse subir un dommage crée un risque ;
⋄ la gravité associée à la survenance du risque dépend de la nature de cet actif ;
Personnes extérieures malveillantes
Stagiaire

⋄ deux sortes d’actifs :

malintentionné

⋆ primaires : les besoins de l’entreprise ;

⋆ secondaires, ou «de support» : les différentes formes que peuvent prendre les actifs pri- Perte de service

MEHARI⋆2010
maires.
la vulnérabilité : un actif peut posséder une8/62
: Principes fondamentaux ou plusieurs vulnérabilités intrinsèques qui entraîne
© CLUSIF 2010

⋆ le dommage subi : exprimé suivant des critères de conséquences : disponibilité, intégrité et

risques. Ces vulnérabilités dépendent du type d’actif secondaire (matériel, logiciel, etc.)
des fonctionnelles
et spécifications
Menaces
⋆ la menace : cause d’exploitabilité (l’événement déclencheur) et une probabilité d’occurence
confidentialité.
Code malveillant

d’un risque. 21/09/2015 Sensibilisation et initiation à la cybersécurité

Cours «Méthodologie & Sécurité» – P-F. Bonnefoi – [Link] — 5 avril 2016 — 6

 $-'(99(*A'+#()*'7('27<)'),<((-*'(-')('/393/5-*'1':()'5+*49)'2/4054/()',<')(+,-:54/()A'?<('7#,-')(/5'1'
0G0(' :(' 0(**/(' (-' 3(4:(-+(' :()' +4/+,-)*5-+()' 25/*4+<74C/()' :(' /4)?<(' *(77()' ?<(' :()' 2;5)()' :('
2/,+())<)A':()'23/4,:()'+57(-:54/()',<':()'23/4,:()':('*(02)A'(,4/(':()')4*<5*4,-)'/3,//52;4?<()'
25/*4+<74C/()-' Processus global d’élaboration des risques
3. Notions de vulnérabilité, menace, attaque ▷ Actifs primaires ⋄ services : informatiques, télécommunication, généraux ;
⋄ /+<!
4356,7,6'+,)-!

⋄
les besoins de l’entreprise :
%)2+/0! &/0! 6)9(,-',0)-0! :!3)00,(&/0!;! 0/*)-+! &,0+5/0! données
3! 6>'nécessaires
2/! 7),0! au2/!fonctionnement
-56/00',*/<! des services ;

▷ Actifs secondaires ⋄ moyens nécessaires à la réalisation des besoins fonction-

c. Notion d’« Attaque » 3*56,05/0!3'*!&/0!6,*6)-0+'-6/0!./!02*#/-'-6/!.2!*,0 2/! processus de gestion.

%$*+"&'()*'+,-9,/0('1'+(**(')23+494+5*4,--!
les diverses formes et contin- nels décrits par les actifs primaires.
• Attaque
• Action malveillante destinée à porter atteinte à la sécurité d’un bien. Une gences des actifs
D('2/,+())<)'/7,=57'()*'/(2/3)(-*3'+4 primaires :
:()),<)-'
attaque représente la concrétisation d’une menace, et nécessite Actif Un risque doit comprendre la descrip-
Actif
l’exploitation d’une vulnérabilité. Actif primaire
secondaire tion de l’actif en précisant l’actif pri-
maire et secondaire.

⋆ l’événement déclencheur et son

Une menace comporte :
Vulnérabilité
Vulnérabilité Dommage
intrinsèque subi

Menace
caractère volontaire ou acciden-

⋆ l’acteur déclenchant cet événe-

Événement
Acteur
Circonstances tel ;
déclencheur de survenance

⋆ les circonstances dans lesquelles

ment ;
Description d’un risque
survient cet événement.
Liste chacun de ces paramètres influe sur la
Attaques de
probabilité d’occurrence de ce risque.
risques

21/09/2015 Sensibilisation et initiation à la cybersécurité

'

(#!#!#$ 65#/&)33/9/-+!.B2-/!('0/!./!6)--',00'-6/0!./!*,0 2/0!+23/0!

Exemples de risques, de scenarii et de préconisations : à la maison
D5' 27<)' //5-:(' 25/*4(A' )4' +(' -#()*' 7#4-*3//574*3A' :<' 2/,+())<)' +4 :())<)' ()*' */C)' /3-3/57(' (*' 2(<*'
3. Notions de vulnérabilité, menace, attaque :,--(/' 7(' 0G0(' /3)<7*5*' 2,</' :(' -,0=/(<)()' (-*4*3)-' &7' ()*A' :C)' 7,/)A' -5*</(7' :(' :3/,<7(/' +('
2/,+())<)' :(' 05-4C/(' /3-3/4?<(' 594-' :(' :3((7,22(/' <-(' =5)(' :('+,--54))5-+()' :(' /4)?<()' *22()'
c. Notion d’« Attaque » ?<4')(/5'<*474)5=7('25/':('-,0=/(<)()'(-*4*3)A'),4*'4-*3//57(0(-*A'),4*'5((+'?<(7?<()'5:52*5*4,-)-'
D()'5(5-*5/()'2/,+</3)'25/'<-('*(77('=5)(':('+,--54))5-+()'),-*'75'0<*<574)5*4,-':()'0,2(-)':('
• Attaque :3((7,22(0(-*'(*'7#(-/4+;4))(0(-*':('75'=5)('25/'<-('+,00<-5<*3':#<*474)5*(</)-'
• Une attaque ne peut donc avoir lieu (et réussir) %$*+"&'4-+7<*'54-)4'<-('=5)(':('/4)?<()'*22()'522(73)'=5)(':('J')+3-5/4,)':('/4)?<('K-''
que si le bien est affecté par une vulnérabilité.
(#!#!#( 45&/6+,)-!./0!*,0 2/0!3!3*/-.*/!/-!6)93+/!
I-(':(/-4C/('3*52(A':5-)'7('2/,+())<)':#4:(-*494+5*4,-':()'/4)?<()A'+,-)4)*('1'37404-(/':('75'74)*('+4
:())<)A'7()'/4)?<()'402,))4=7()':5-)'7('+,-*(0*('2/3+4)':('7#,//5-4)5*4,-'+,-+(/-3(',<'),/*5-*':<'
+5:/(':('75'/()*4,-':()'/4)?<()''+,-+(/-3(-'

Ainsi, tout le travail des experts sécurité consiste à s’assurer que le

S.I. ne possède aucune vulnérabilité. MEHARI 2010 : Principes fondamentaux 16/62 © CLUSIF 2010
Dans la réalité, l’objectif est en fait d’être en mesure de maitriser ces et spécifications fonctionnelles
vulnérabilités plutôt que de viser un objectif 0 inatteignable.

21/09/2015 Sensibilisation et initiation à la cybersécurité

Cours «Méthodologie & Sécurité» – P-F. Bonnefoi – [Link] — 5 avril 2016 — 7

 Services systèmes communs : messagerie, archivage, impression, édition, etc.
Services d'interface et terminaux mis à la disposition des utilisateurs (PC, imprimantes locales,
périphériques, interfaces spécifiques, etc.)

Actifs primaires & Secondaires

Services de publication d'informations sur un site web interne ou public

F""#$#%F!%
Services généraux de l’environnement de travail du personnel (bureaux, énergie, climatisation,
1. Connaître le Système d’Information etc.)
%2)*+*,-#%./012-34%4#1*".0-5#4%.#%+0%604#%.#%1*""0-440"1#4%
Services de télécommunication (voix, télécopies, visioconférence, etc.)

Primaires
.#%)&GF:;%!0=0%
a. Identifier les composants du S.I. F""#$#%F&%
Catégorie d’actifs : Données
!"#%2)*+*,-#%./012-34%)5-60-5#4%.#%+0%704#%.#%1*""0-440"1#4%.#%
$%&'"%(#
Fichiers)(*(%,$# -.,,"#
de données ou'%# '*)$"#de
bases -"#données
$20")# -#%2$*9)# )"2.,-%*4")# -"# '%# &%)"# -"# 2.,,%*))%,2")# -"#
applicatives
%$*+": #:B7B>#0%4#2%$?/.4*"#-#%2$*9#04*A%*4"-#
Différents éléments composent le SI )&GF;<%!0&0%
Fichiers bureautiques partagés
# Fichiers bureautiques personnels (gérés dans un environnement personnel)
actifs primordiaux
Ordre logique de réalisation de l’inventaire

Catégorie
TYPES d’actifs
Informations
D’ACTIFS : Services
écrites ou imprimées détenues par les utilisateurs, archives personnelles
SECONDAIRES
processus métiers Services
Listings du réseau
ou états étendu
imprimés des applications informatiques
Catégorie d’actifs : Services
et données Services
Données du réseau écrans
échangées, local applicatifs, données individuellement sensibles
Équipements matériels supports du service
Services applicatifs
Courrier électronique
Configurations logicielles
Services bureautiques communs (serveurs de données, gestionnaires de documents, imprimantes
éléments supports Courrier
Media postaletc.)
support
partagées, et
detélécopies
logiciel
Système Archives patrimoniales ou documentaires
Applications Comptes
Servicesetsystèmes
moyens nécessaires
communs à l’accès au
: messagerie, service impression, édition, etc.
archivage,
d’exploitation
Archives
Servicesinformatiques
Servicesde d'interface
sécurité associés au service
et terminaux mis à la disposition des utilisateurs (PC, imprimantes locales,
périphériques,
Données interfaces
et informations spécifiques,
publiées sur etc.)
un site web ou interne
Moyens de servitude nécessaires au service
Services de publication d'informations sur un site web interne ou public
Locaux
CatégorieServices
d’actifsgénéraux de l’environnement de travail du personnel (bureaux, énergie, climatisation,
équipements Personnels
etc.) et: Processus
prestataires de management
nécessaires pour le service (internes et externes)
Conformité à la loi ou aux réglementations relatives à la protection des renseignements personnels
Secondaires Catégorie
Services de télécommunication (voix, télécopies, visioconférence, etc.)
d’actifs
Conformité à la: Données
loi ou aux réglementations relatives à la communication financière
Commutateur Routeur Serveurs Ordinateur
Smartphone Tablette Box Entités logiques
Conformité
Catégorie d’actifs : :Données
à la loi Fichiers ou bases de données
ou aux réglementations relatives à la vérification de la comptabilité informatisée
F""#$#%F!%
Entités logiques
Conformité
Fichiers loi: Messages
à ladonnées
de ou aux ou de
paquets
réglementations
ou bases donnéesderelatives
donnéesàen
applicativesla transit
propriété intellectuelle
IMEI : *#06# Adresse MAC %2)*+*,-#%./012-34%4#1*".0-5#4%.#%+0%604#%.#%1*""0-440"1#4%
Fichiers
Entités bureautiques
physiques
Conformité partagés
: media
à la loi relative etlasupports
à protection des systèmes informatisés
Comprendre son S.I. passe par l’identification de ses composants. .#%)
Moyens&GF:;
Fichiers
Conformité aux %!0=0%
bureautiques
d’accès personnels
aux données
réglementations (gérés
: clés dans
à un
et moyens
relatives environnement
la divers,
sécurité personnel)
physiques ou logiques,
des personnes et ànécessaires pour
la protection de
F""#$#%F&% 21/09/2015 Sensibilisation et initiation à la cybersécurité 6
accéder aux données
l'environnement
Informations écrites ou imprimées détenues par les utilisateurs, archives personnelles
! !"# $%&'"%(#
Listings)(*(%,$#
ou états-.,,"# '%# '*)$"#
imprimés des -"# $20")# -#%2$*9)#
applications )"2.,-%*4")# -"# '%# &%)"# -"# 2.,,%*))%,2")# -"#
informatiques
%2)*+*,-#%./012-34%)5-60-5#4%.#%+0%704#%.#%1*""0-440"1#4%.#% %$*+":
Catégorie #:B7B>#0%4#2%$?/.4*"#-#%2$*9#04*A%*4"-#
d’actifs
Données : Processus
échangées, de management
écrans applicatifs, données individuellement sensibles
Actifs primaires
)&GF;<& %!0&0%
Secondaires Actifs primaires & Secondaires
# Procédures
Courrier et directives internes (dispositifs organisationnels)
électronique
Moyens matériels
Courrier postal etnécessaires
télécopies aux processus de management
TYPES D’ACTIFS SECONDAIRES
Primaires Catégorie d’actifs : Services Personnel
Archives
Catégorie etpatrimoniales
prestataires
d’actifs : Services nécessaires
ou aux processus de management
documentaires
Services du réseau étendu Archives informatiques
% Équipements matériels supports du service
Services du réseau local Données et informations
Configurations logiciellespubliées sur un site web ou interne
#
MEHARI 2010 : Principes fondamentaux 37/62 © CLUSIF 2010
Services applicatifs
Primaires Media support de logiciel
et spécifications fonctionnelles
Catégorie d’actifs : Processus de management
Services bureautiques communs (serveurs de données, gestionnaires de documents, imprimantes Comptes et moyens nécessaires à l’accès au service
partagées, etc.) Conformité à la loi ou aux réglementations relatives à la protection des renseignements personnels
Services de sécurité associés au service
F""#$#%F!%
Services systèmes communs : messagerie, archivage, impression, édition, etc.
Conformité à la loi ou aux réglementations relatives à la communication financière
Moyens de servitude nécessaires au service
Conformité à la loi ou aux réglementations relatives à la vérification de la comptabilité informatisée
%2)*+*,-#%./012-34%4#1*".0-5#4%.#%+0%604#%.#%1*""0-440"1#4%
Services d'interface et terminaux mis à la disposition des utilisateurs (PC, imprimantes locales, Locaux
Conformité à la loi ou aux réglementations relatives à la propriété intellectuelle
périphériques, interfaces spécifiques, etc.)
.#%) &GF:;%!0=0%
Services de publication d'informations sur un site web interne ou public
Personnels et prestataires nécessaires pour le service (internes et externes)
Conformité à la loi relative à la protection des systèmes informatisés
Conformité
Catégorie d’actifsaux réglementations relatives à la sécurité des personnes et à la protection de
: Données
Services
!"# $%&'"%(# généraux
)(*(%,$# de '%#
-.,,"# l’environnement
'*)$"# -"# $20")#de travail)"2.,-%*4")#
-#%2$*9)# du personnel
-"# (bureaux,
'%# &%)"# -"#énergie, climatisation,
2.,,%*))%,2")# -"# l'environnement
etc.) Entités logiques : Fichiers ou bases de données
%$*+": #:B7B>#0%4#2%$?/.4*"#-#%2$*9#04*A%*4"-# !
Services de télécommunication (voix, télécopies, visioconférence, etc.) Entités logiques : Messages ou paquets de données en transit
# Entités physiques : media et supports
Secondaires Catégorie d’actifs :SECONDAIRES
TYPES D’ACTIFS Données Moyens d’accès aux données : clés et moyens divers, physiques ou logiques, nécessaires pour
accéder aux données
Fichiers
Catégorie de données
d’actifs ou bases de données applicatives
: Services
Fichiers bureautiques
Équipements partagés
matériels supports du service Secondaires Catégorie d’actifs : Processus de management
Configurations
Fichiers logicielles
bureautiques personnels (gérés dans un environnement personnel) MEHARI Procédures
2010 : Principes fondamentaux
et directives
38/62
internes (dispositifs organisationnels)
© CLUSIF 2010
MEHARI 2010
et spécifications : Principes
fonctionnellesfondamentaux 37/62 © CLUSIF 2010
Media support
Informations de logiciel
écrites ou imprimées détenues par les utilisateurs, archives personnelles Moyens matériels
et spécifications nécessaires aux processus de management
fonctionnelles
Comptes
Listings ouetétats
moyens nécessaires
imprimés à l’accès au
des applications service
informatiques Personnel et prestataires nécessaires aux processus de management
Services échangées,
Données de sécurité associés au servicedonnées individuellement sensibles
écrans applicatifs, %
Moyensélectronique
Courrier de servitude nécessaires au service
#
Locaux postal et télécopies
Courrier
Personnels
Archives et prestataires
patrimoniales nécessaires pour le service (internes et externes)
ou documentaires
Archives informatiques
Cours «Méthodologie
Données&et Sécurité» – P-F. Bonnefoi – [Link] — 5 avril 2016 — 8
Catégorie d’actifs : Données
informations publiées sur un site web ou interne
Entités logiques : Fichiers ou bases de données
Entités
Catégorie logiques
d’actifs : Messages
: Processus deou paquets de données en transit
management
Entités physiques : media et supports
Conformité à la loi ou aux réglementations relatives à la protection des renseignements personnels
 >#$2"1.$9$#(.$31%2"&%-$&+,"&%"&.%($1&$%,1%)-3#"&&,&%+,$%#30)-"12%2$996-"1."&%6.()"&@%#A(#,1"%(2(1.%
2"&%*$(-(4*"&%4$"1%269$1$&%".%#31.-$4,(1.%C%*#6*(43-(.$31%2#,1"%*$&."%2"%&#61(-$3&%2"%-$&+,"%C%6((*,"-@%
($1&$%+,"%031.-6%&#A60(.$+,"0"1.%#$ 2"&&3,&-%
Estimation des risques Estimation
%
des risques

− la gravité de risque intrinsèque (sans tenir compte des mesures de sécurité) ;

Pour estimer la gravité de chaque risque identifié, il faut tenir compte de : Analyse des besoins :

− la gravité de risque résiduelle (en tenant compte des mesures de sécurité).

• services Typologie et liste
• données d’actifs primaires
• Processus de management

− la probabilité ou la vraisemblance, appelée potentialité.

Pour mesurer le risque, on utilise 2 paramètres :

− la gravité des conséquences, appelé impact.

Analyse des actifs primaires :
• formes Typologie et liste
d’actifs secondaires
• contingences

MEHARI fournit une échelle de potentialité et une échelle d’impact, standards à 4 niveaux.
Analyse des actifs secondaires : Liste des vulnérabilités des
Liste
La potentialité intrinsèque d’un risque • vulnérabilités intrinsèques actifs secondaires
de
C’est la probabilité maximale de survenance du risque en l’absence de toute mesure de sécurité. Scénarios

⋆ de la localisation et de l’environnement de ce risque ;

Elle dépend : Typologie des dommages
potentiels
de

⋆ de l’enjeu d’un acte volontaire pour son auteur ;

Risque

⋆ de la probabilité qu’une action volontaire vise précisément l’organisation.

à
Analyse des menaces : Typologie et liste
• événements déclencheurs d’événements déclencheurs évaluer

Exemple : une entreprise de haute technologie est plus explosée au risque d’espionnage alors qu’une
entreprise traitant des flux financiers est plus exposée aux tentatives de fraudes. Analyse des acteurs susceptibles Typologie d’acteurs associés
d’initier l’événement aux événements déclencheurs
L’impact intrinsèque
C’est le niveau maximum des conséquences possibles pour l’organisation en l’absence de toute
mesure de sécurité. Analyse des conditions de
survenance : processus, lieux, etc.
Typologie des paramètres de
conditions à préciser
%

("$ 90,+(1:4(15'-.,+-61+ 8,+-− 1"$,+(,$828/"$.(1/;,-&%"-$

!"#$%&#'("#$&)#(**+%,-./"#0$'(&$1"(%-&"),$9-&%"$/#+.8",$1"$6"#(%"#$1#(%/")8"0$")$1"9+%#$
Les mesures de sécurité Évaluation des risques dans MEHARI
− !"#$ %&#'("#$ &)-16&##&./"#$ '(&$ 1"(%-&"),$ G,%"$ %;1(&,#$ +($ ;/&6&);#$ >$ ()"$ ;89;-)8"$ >$
Appréciation des risques

□ Facteurs de réduction de potentialité : ⋆ les risques insupportables : ils doivent faire

Ce sont des facteurs de réduction des risques : MEHARI propose trois types deIdentification
gravité de risque :
1;,"%6&)"%0$1+)8$>$*%")1%"$")$8+6*,"$1-)#$()"$*/-)&9&8-,&+)$C*/-)$1"$#;8(%&,;D-$
Estimation Évaluation

⋄ cumulables : empêcher totalement un événement de se produire, interdire une action hu- ⋆ les risques inadmissibles : ils doivent être éliminés ou réduits à une échéance fixée.
Quels risques ?−
l’objet
gravité de mesure
!"#$%&#'("#$,+/;%;#-$
Quelle ? d’urgence.
Acceptabilité ?
%
⋆ les risques tolérés.
!"#$1"(0$*%"6&B%"#$8-,;/+%&"#$8+%%"#*+)1"),$>$8"$'("$)+(#$-(+)#$-**"/;$/"#$%&#'("#$&)-88"*,-./"#-$
>"%4,.%2"%#".."%6.()"%"&.%2#"&.$0"-%*(%/-(($.6%2"%#A(+,"%-$&+,"%)-6#62"00"1.%$2"1.$9$6@%".%#"#$%"1%
⋄ deux types : ⋆ Dissuasion : rendre moins probable que l’acteur passe à l’action.
maine, etc. !-$/%&//"$1"$/%-(&,;$#,-)1-%1$1"$%$*+"H$:B7B$"#,$1+));"$8& 1"##+(#-$,-)#$8",$"0"6*/"0$&$"#,$/-$

on : >$ ▷
."1(1.%#30)."%2"&%0"&,-"&%2"%&6#,-$.6%0$&"&%"1%)*(#"-%
/%-(&,;$//+.-/"$;(-/(;"$*-%$/-$/%&//"$")$9+)8,&+)$1"$/#&6*-8,$CHD$",$1"$/-$*+,"),&-/&,;$C!D0$()"$/%-(&,;$

▷
Pour savoir dans quel type se range un 1"$risque,
>$ 8+%%"#*+)1$ détermine
()$ %&#'("$ sa gravité
&)#(**+%,-./"0$ ()"$globale ; <$ >$ ()$ %&#'("$ &)-16&##&./"$ ",$ /"#$
/%-(&,;$ 1"$

▷ l’imputabilité de l’action à son auteur ;

Elle repose sur 3 principes : !"#$%6.(1.@%$*%&"%)",.%+,"%*(%*$&."%2"&%&#61(-$3&%2"%-$&+,"&%&3$.%$0)3-.(1."%".%+,#$*%&3$.%&3,A($.6%2"%
/%-(&,;#$&)9;%&"(%"#$>$1"#$%&#'("#$,+/;%;#-$
consulte la Grille d’acceptabilité des risques.
9($-"% ,1"% )-"0$/-"% &6*"#.$31% )3,-% *$0$."-% *(% /"&.$31% 2"&% -$&+,"&% C% ,1"% *$&."% -62,$."% 2"% -$&+,"&@%
▷ l’existence de sanctions ;
$
La Gravité globale d’un risque dépend de sa Pro-
13.(00"1.%*"&%-$&+,"&%"&.$06&%(%)-$3-$%#300"%J%0(8",-&%K-%
▷ la connaissance par l’auteur des possibilités d’imputation et des sanc- babilité et de$*%son
!(-% ($**",-&@% Impact
)",.% :
6/(*"0"1.% G.-"% &3,A($.(4*"% 2"% &6*"#.$311"-% H$U$>$ *"&%&$U$:$-$&+,"&% +,$% A"B"("
&$U$<$ &"-31.% A"B"("
0($1."1,&%

⋆ Prévention : rendre moins probable que l’action aboutisse à la réalisation

tions. &3,&%#31.-F*"%".%J%/6-6&%K@%&(1&%."1$-%#30)."%2"&%0"&,-"&%2"%&6#,-$.6@%)3,-%6($."-@%"1%)(-.$#,*$"-@%
4 risque insupportable
2"%)"-2-"%*"%#31.-F*"%2#,1"%&$.,(.$31%2"%-$&+,"%(#.,"**"0"1.%-62,$."%C%,1%1$("(,%(##").(4*"%0($&%
H$U$<$ &$U$:$ &$U$<$ &$U$<$ A"B"("

□ Facteurs de réduction d’impact :

du risque : mesures techniques et de mécanismes de contrôle. +,$%)3,--($.@%)(-%*#6(3*,.$31%2,%#31."0."%3,%2"%*(%."#A13*3/$"@%-"2"("1$-%#-$.$+,"-%
3 risque inadmissible

⋄ cumulables : limiter les conséquences directes possibles, prévoir la réparation d’un équipe-
<*%"&.%231#%16#"&&($-"%2"%269$1$-%".%2"%)3,(3$-%"&.$0"-%M%
1& 2 risque toléré. H$U$:$ &$U$7$ &$U$:$ &$U$:$ &$U$<$

⋄ deux types : ⋆ Confinement : limiter l’ampleur des conséquences directes : fixation de li-
ment suite à un sinistre, etc.
H$U$7$ &$U$7$ &$U$7$ &$U$7$ &$U$:$
mites telle que des limites physiques, fixation de points de contrôle inter- MEHARI 2010 : Principes fondamentaux 17/62 © CLUSIF 2010

⋆ Effet palliatif : minimiser les conséquences indirectes du risque par une

médiaires, etc. et spécifications fonctionnelles $ !$U$7$ !$U$:$ !$U$<$ !$U$>$

− déterminer quelle décision prendre

anticipation de la gestion du risque : plans de maintenance matérielle et lo- L’utilisation d’une grille prédéterminée permet de : &%&//"$1#-88"*,-.&/&,;$1"#$%&#'("#$

− assurer la cohérence des décisions prises.

gicielle, plans de sauvegarde et de restauration de données, etc. $ en terme « d’acceptabilité du risque » ;

Cours «Méthodologie & Sécurité» – P-F. Bonnefoi – [Link] — 5 avril 2016 — 9

 !"#-.%&'()*#-.(#&%#1)&%#(/(6#/)01'%#'%*.#+%#2#)48%/'(9#+%#/%#+)/.0%*'6#%&'#+%#&"()(,#&(#/%&#1,)/%&&.&#
− !#&.."0$&$'/)#*-#%'+,-"5# (*+.(&%*'# +%&# %0(/%*/%&# 1",'(/.2(>,%&# -.#(2# /)*((%*+,"('# +%# &18/(9(%,# 1).,# /","*'(,# 2#%99(/"/('8# +#.*%#
08'?)+%#+%#/%&'()*#+%&#,(&-.%&#2(8&#@#2#(*9),0"'()*-#
− !&#%3*-.$'/)#*-#%'+,-"5#
$*# 1",'"*'# +.# &/?80"# /2)4"2# 1,8&%*'8# %*# +84.'# +%# +)/.0%*'# %'# ,"11%28# /( +%&&).&6# *).&# "22)*&#
Traitement des risques
− !"#$%&)+9"%$#*-#%'+,-"5# Gestion"*"22&%,#2%&#%0(/%*/%&#1,)1,%&#@#/?"-.%#1?"&%-#
des risques
Les options
− principales conformes à la norme IS 27005
!#3('$"(")$#*-#%'+,-"-# Gestion des risques
Plans Mise en Contrôle et
Traitement du risque
d’action œuvre pilotage

∘ intervient
Acceptation Réduction Transfert Évitement #

∘ comprend l’ensemble des processus qui vont permettre de :

après les décisions de traitement de risques ;
▷ accepter : l’entreprise accepte de rien faire vis-à-vis de cette situation :
#
+"1 #234$5+.$)*+,%-'(%64$,(%-2$7)*+,%
⋄ le risque a été évalué comme acceptable dans la « grille d’acceptabilité des risques » ;
*"0 #1(22$3&(&)4+%,/%')- /$% ⋄ mettre
⋄ en
en œuvre ces décisions ;
⋄ pour des raisons
+#2#(&&.%#+%#2"#1?"&%#+#"*"22&%#+%&#,(&-.%&#%'#+%&#1,(&%&#+%#+8/(&()*#/)*/%,*"*'#2%#',"('%0%*'#+%&#
,(&-.%&6# 2#%*',%1,(&%# ).# ;2#),/"*(&0%# "# +8/(+8# +.# 1,(*/(1%# +#.*# /%,'"(*# *)04,%# +#"/'()*&# -.(#
⋄ les améliorer si nécessaire ;
contrôler les effets
⋄ le risque est connu et sera surveillé dans le futur.
!#&.."0$&$'/)# économiques,
*-# %'+,-"# il a")$")*-5#
./)+'+$"5# 4'")# été jugé9#impossible
&.."0$"%# 1&#d’y remédier
+'$-&$'/)# ;
*"# %'+,-"# *3.%'$"# 0&%# 1"# ,%2>(%*'6#&%2)*#2%#'21%#+%#',"('%0%*'#,%'%*.#E#
+.3)&%'/#*"#%'+,-"#$"1#,-#"001'.'$3#01-+#:&-$#*&)+#."#*/.-(")$-#
▷ $)#9&'$5#'1#+"%&'$#01-+#./%%".$#"$#01-+#/3)3%&1#*"#./)+'*3%"%#,-"#1#")$%"0%'+"#/-#1#/%/&)'+("#&.."0$"#
− ,%#2"#0(&%#%*#12"/%#+%#&%,((/%&#+%#&8/.,('86#"(%/#1).,#/?"/.*6#.*#)48%/'(9#+%#*((%".#+%#
Élaboration des plans d’action
− mise en place
réduire : sélectionner des services de sécurité dans une « base de connaissance » où chaque -."2('8#

− mesures structurelles
de services de sécurité, avec, pour chacun, un objectif de niveau de qualité ;
⋄ sa finalité/objectif ;
service est décrit 9avec
*"#)"#%'")#9&'%"#('+ ('+#*"#."$$"#+'$-&$'/)-# − ,%#0%&.,%&#&',./'.,%22%&#((&"*'#@#,8+.(,%#/%,'"(*%&#%01)&('()*&#".#,(&-.%#

− mesures
visant à réduire l’exposition à certains risques ;
⋄ les mécanismes techniques/organisationnels pour sa mise en œuvre ;
!"+#%&'+/)+#*"#."$$"#*3.'+'/)#+/)$#*"#*"-0#/%*%"+#M# − ,%#0%&.,%&#),/"*(&"'()**%22%&#((&"*'#@#8(('%,#/%,'"(*&##,(&-.%&#
organisationnelles visant à éviter certains risques.
⋄ un niveau
− H"1&#./-(%"#$/-+#1"+#.&+#/Q#1"#%'+,-"#&#3$3#3(&1-3#./(("#&.."0$&41"#&-#+")+#*"#1&#/%'11"# G%/(#8'"*'6#(2#+)('#G',%#/2"(,#-.%#').'%&#/%&#"/'()*&#*%#&%,)*'#&"*&#+).'%#1"&#0%*8%&#&(0.2'"*80%*'#

⋆ donner
de qualité suivant une échelle de niveau permettant de : *(# ').'%&# %*/"/8%&# (008+("'%0%*'6# 1).,# +((%,&%&# ,"(&)*&# '%22%&# -.%# 2"# 2(0('"'()*# +%&# 0)2%*&#
*#&.."0$&4'1'$3#*"+#%'+,-"+#0&%."#,-"#1&#./(4')&'+/)#*"#+/)#'(0&.$#"$#*"#+&#0/$")$'&1'$3# En raison de contraintes de budget, de personnels, toutes ces actions ne peuvent être entreprises

⋆ vérifier que le risque est ramené à un niveau de gravité acceptable.

une valeur globale lors de la combinaison de plusieurs services ; 4.+/8'"(,%&6#2%#0"*-.%#+%#+(&1)*(4(2('8#+%&#0)2%*&#?.0"(*&6#%'/-#

▷ choix&.(("*'%&#E#
&#3$3#8-/3"#&.."0$&41"5# immédiatement :

▷ transférer'(0/++'41"#*#2#%"(3*'"%#0&%#-)"#&-$%"#(/'"#/-#,-"#$/-$"#+/1-$'/)#&#3$3#3.&%$3"#0/-%#*"+#
,"*&# /%&# /)*+('()*&# 2"# 1?"&%# +#82"4),"'()*# +%&# 12"*&# +#"/'()*# +)('# /)01,%*+,%# 2%&# 8'"1%&#

▷ transformation
− H"1&# ./-(%"# 3/&1"(")$# 1"+# .&+# /Q5# 4'")# ,-"# $:3/%',-"(")$# ')&.."0$&41"5# '1# &# 3$3# 8-/3# des objectif prioritaires en terme de services de sécurité et optimisation de ce choix ;
: généralement en ayant recours à une assurance mais aussi en transférant la charge
▷ choix des mesures
de ces choix de services de sécurité en plans d’action concrets ;
sur un tiers responsable par une action en justice. − 2%#/?)(0#+%&#)48%/'(9&#1,(),('"(,%&6#%*#'%,0%&#+%#&%,((/%&#+%#&8/.,('8#@#0%'',%#%*#E.(,%#

▷ 1-/'# ▷ validation− des2"#',"*&9),0"'()*#+%&#/?)(0#+%#&%,((/%&##+%#&8/.,('8#%*#12"*&#+#"/'()*#/)*/,%'&##

%&'+/)+#3./)/(',-"+-# structurelles et des mesures d’évitement des risques ;
%'#2#)1'(0(&"'()*#+%#/%#/?)(0#

⋄ déménager en cas de risque d’inondation ;

éviter,-#'1#
: réduction
")# +/'$5# par des mesures
'1# '(0/%$"# structurelles
*&)+# ."+# :
.&+5# "$# +-%$/-$# *&)+# 1"# +"./)*5# ,-"# ."$$"# &.."0$&$'/)# *-# décisions précédentes.

⋄ limiter les
%'+,-"#9&++"#1#/48"$#*#-)#./)+")+-+#"$#,-#-)"#./((-)'.&$'/)#+-%#."$$"#&.."0$&$'/)#+/'$#&++-%3"-#
− 2%#/?)(0#+%&#0%&.,%&#&',./'.,%22%&#8(%*'.%22%&#%'#+%&#0%&.,%&#+#8(('%0%*'#+%&#,(&-.%&#
H"0")*&)$5# encours
."$$"# disponibles)"#
./((-)'.&$'/)# en%",-'"%$#
cas de risque de01-+#
%'")# *"# vol. ,-#-)"# *"+.%'0$'/)# 0%3.'+"# *"# 1&#
− 2"#("2(+"'()*#+%&#+8/(&()*&#1,8/8+%*'%&-#
+'$-&$'/)# *"# %'+,-"5# ."# ,-'# "+$# *389# &++-%3# 0&%# 1"+# +03.'9'.&$'/)+# *3.%'$"+# *&)+# 1"+# .:&0'$%"+#
0%3.3*")$+-# Gestion+"1"1
des risques
49+*:%-'(%+5;'7)*<(%6.*+.*)$*.'(%')%+6)*=*($)*+,%
2.@1# Les besoins
)#2# &# */).# de sécurité
0&+# *#"0'/")."+# +-0013(")$&'%"+# &-# $'$%"# *"# 1#&.."0$&$'/)# *-# %'+,-"# +&-95# Choix des objectifs prioritaires et optimisation
I(#').'%&#2%&#"/'()*&#*%#1%.(%*'#G',%#%*/"/8%&#&(0.2'"*80%*'6#1).,#+%&#,"(&)*&#8/)*)0(-.%&6#+%#
0%/4&41"(")$5# 9# ("$$%"# ")# 01&."# *"+# ')*'.&$"-%+# *"# +-'('# 0/-%# +#&++-%"%# ,-"# 1"+# ./)*'$'/)+# 0)2%*&# +(&1)*(42%&# ).# 1).,#
tenir').'%# ".',%#
de,"(&)*6# (2# 2# "# .*# /?)(0# @# 9"(,%# # %*# /%# -.(# /)*/%,*%# 2%&#
− les niveaux de gravité des risques que les mesures prioritaires permettront de réduire : les risques de
Pour définir les priorités, il faut compte :
3(")$-"11"+#*"#."$$"#&.."0$&$'/)#*"("-%")$#(&1&41"+#*&)+#1"#$"(0+-# 0%&.,%&#@#%*/"/%,#1,(),('"(,%0%*'-#
e. Mécanismes de sécurité pour atteindre les besoins DICP
niveau!%&#8280%*'&#@#1,%*+,%#%*#/)01'%#1).,#%99%/'.%,#/%&#/?)(0#&)*'#E#
− le nombre de
le plus élevé doivent être traités en premier ;

− la rapidité avecC2%&#,(&-.%&#+%#*((%".#2%#12.&#82%(8#+%("*'#G',%#',"('8&#%*#1,%0(%,D#
− risques traités et le nombre de risques dont le traitement sera remis à plus tard ;
!%&#*((%".0#+%#/,"(('8#+%&#,(&-.%&#-.%#2%&#0%&.,%&#1,(),('"(,%&#1%,0%'',)*'#+%#,8+.(,%#
Un Système d’Information a besoin de mécanismes de sécurité qui ont pour objectif d’assurer de

− l’incidence de ces choix sur la sensibilisation du personnel ;

garantir les propriétés DICP sur les biens de ce S.I. Voici quelques exemples de mécanismes de laquelle les premiers résultats pourront être observés ;

− etc.
MEHARI 2010 : Principes
sécurité participant à cettefondamentaux
garantie : 29/62 © CLUSIF 2010
et spécifications fonctionnelles D I C P
MEHARI 2010 : Principes fondamentaux 33/62 © CLUSIF 2010
Mécanisme technique permettant de détecter toute attaque
Des outilset informatiques d’optimisation peuvent aider à déterminer ces choix.
Anti-virus virale qui a déjà été identifiée par la communauté sécurité    spécifications fonctionnelles
Choix des solutions : mécanismes techniques et organisationnels
Le choix revient au équipes et personnels spécialisés : DSI, «Direction des Systèmes d’Information», res-
Mécanisme permettant d’implémenter du chiffrement et des
Cryptographie signatures électroniques    ponsables réseaux, responsables de la sécurité physique, RSSI etc.

□ l’objectif du service ;
Équipement permettant d’isoler des zones réseaux entre-elles Regroupés dans un «manuel de références des services de sécurité», chaque service de sécurité :

□ les résultats attendus de la mise en œuvre du service ;

Pare-feu et de n’autoriser le passage que de certains flux seulement  

□ la description des mécanismes associés à chaque service techniques et organisationnels ;

□ les éléments permettant d’évaluer la qualité de chaque service :
l’accès en
Contrôles d’accès Mécanismes permettant de restreindre
  
⋄ efficacité ; ⋄ robustesse ; ⋄ mise sous contrôle ;
lecture/écriture/suppression aux ressources aux seules
logiques personnes dument habilitées

Sécurité physique des Mécanismes de protection destinés à protéger l’intégrité L’utilisation de ce manuel garantit la concordance entre les fonctionnalités attendues par les gestionnaires
physique du matériel et des bâtiments/bureaux.
  
équipements et locaux de risques et les estimations des facteurs de réduction de risques utilisées pour les sélectionner.
21/09/2015 Sensibilisation et initiation à la cybersécurité MEHARI propose un manuel de référence de services de sécurité.

Cours «Méthodologie & Sécurité» – P-F. Bonnefoi – [Link] — 5 avril 2016 — 10

+"$ 4'710E3,*,1*<(3'1;C,*+,*3;*C,.1('7*+(0,21,*+,.*0(. /,.*
B"#$ %'+,3F-"#$ 6$ "99"%,2"3$ 5'23$ 5(-',"3$ -0$ /"#,('+$ 4(3"%,"$ 4"#$ 3(#92"#$ #'+,$ .2-,(5-"#$ ",$ #'+,$
Contrôle et pilotage
"531#"+,1#$503$-"$#%&1.0$%( de la gestion directe des risques
4"##'2#-$ La sécurité du système d’information dans l’entreprise

⋆ assure la gestion et l’exploitation du SI dont il a la responsabilité ;

Traitement Services de sécurité Choix des

⋆ connait tous les aspects aussi bien techniques, qu’organisationnels

à déployer et mécanismes et RSI
des risques
niveaux objectifs solutions «Responsable du
Système d’Information» du SI dont il sert de personne de référence.

⋆ sécurise le SI afin de garantir :

Contrôle de niveau :
solutions vs objectif

⋄ disponibilité ;
RSSI

⋄ intégrité ;
«Responsable de la

⋄ confidentialité ;
Déploiement des Sécurité du SI»

⋆ gère la sécurité au quotidien d’une manière globale, aussi bien tech-

solutions

nique qu’organisationnelle.
sques
□ PRA, «plan de retour d’activité» ;
Contrôle de mise en

□ PCA, «plan de continuité d’activité» :

œuvre
$
ez p
pas l’espace
p des facteurs humains
B"$53".("3$+(("02$4"$%'+,3F-"$6$"99"%,2"3$"#,$92"$-"#$.1%0+(#."#$",$#'-2,('+#$4"$#1%23(,1$5-0+(9(1#$ ⋄ permet d’éviter une interruption de service qui engendrerait un PRA (reprise).
− premier niveau : contrôler que les mécanismes et solutions de sécurité planifiés et décidés cor-
Contrôle à effectuer :
,$41%(41#$%'33"#5'+4"+,$/("+$020$+(("020$4"$920-(,1$4"$#"3((%"$3","+2#$"+$5&0#"$4"$,30(,"."+,$ ⋄ demande une surveillance pour fournir une continuité de service (outils de métrologie par
4"#$3(#92"#-$ respondent bien aux niveaux de qualité de service retenus en phase de traitement des risques ;
□ SMSI, «Système de Management de la Sécurité de l’Information»
exemple).
− second niveau : contrôler la mise en œuvre.
B"$4"20(8."$%'+,3F-"$"#,$2+$%'+,3F-"$4"$.(#"$"+$E2(3"-$
procédure,
procédure un contrôle doivent être efficace □ PSSI, «Politique de Sécurité des Systèmes d’Information» : plan d’actions définies pour main-
tenir un certain niveau de sécurité.
s contrôle, les procédures sont inutiles, sans implication du
sonnelGestion
MEHARI 2010 des risques
non: Principes
plus : ne pas négliger
! fondamentaux le facteur humain !
35/62 © CLUSIF 2010 PCA et PRA
PCA, «Plan de Continuité d’Activité»
t spécifications fonctionnelles
er le syndrome de la porte blindée sur un coffre en carton But :
⋄ sans perte de service ;
continuer l’activité en cas d’incident ou de crise :

⋄ avec une légère dégradation acceptable.

Exemple : télétravail en cas de grêve des transports en commun.

PRA, «Plan de Reprise d’Activité»

But : reconstruire ou basculer sur un système de relève pour une durée déterminée en cas de crise majeure

⋄ fournir les besions informatiques nécessaires à la survie de l’entreprise ;

ou de sinistre :

⋄ s’appui sur :
⋆ RPO, «Recovery Point Objective», c-à-d un risque défini de perte de données ;
⋆ RTO, «Recovery Time Objective», c-à-d une durée acceptable d’interruption.
Exemple : basculement vers un «DataCenter» sur un site de secours en cas d’incendie.
Des obligations
□ Réglementation CRBF2004-02 (issue de IASB Bâle II) : obligation d’un plan de secours opérationnel pour les
établissements financiers, banques et assurances.
□ Code du commerce art. L.123-22 : conservation des documents comptables pendant 10 ans.
□ Décret du 24 mars 2006 : conservation des fichiers de journalisation des prestataires d’hébergement (identifica-
tion des personnes ayant édité du contenu mis en ligne).

Page 4
2009

Cours «Méthodologie & Sécurité» – P-F. Bonnefoi – [Link] — 5 avril 2016 — 11

 Mise en œuvre d’un PCA/PRA ou «plan de secours»
Exemple d’une structure de formation
□ Lancement :
?? Mise en œuvre d’un PCA/PRA
Tableau récapitulatif du nombre de jours maximum d’interruption acceptable
??
mois 01 02 03 04 05 06 07 08 09 10 11 12
⋆ objets à risque : matériels informatiques et té-
Lancement
Objectif : déterminer et préciser les risques à couvrir :
Champ de l’étude
logiciel a) élèves 3 3 3 3 2 2 3 3 2 2 3 3
Etude fonctionnelle
léphoniques, fournisseurs extérieurs, personnels, logiciel b) compta 1 2 2 2 3 3 3 3 2 2 2 2
⋆ nature des risques.
Enjeux, critères d’évaluation des impacts, service minimum
locaux...
Etude de maximum acceptable 1 2 2 2 2 2 3 3 2 2 2 2
vulnérabilité
Analyse
⋆ limiter l’analyse au système informatique : ser-
Périmètre et risques :
▷ Les logiciels d’exploitation se trouvant sur le même serveur, cela ramène la durée maximale
Bilan des sécurités existantes ou prévues
Chaque résultat de

COMPLÉMENT

COMPLÉMENT
phase conditionne la
Analyse des risques phase suivante et

COMPLÉMENT

COMPLÉMENT
⋆ exclure la situation de perte totale de données
doit faire l’objet veurs et postes clients
d’interruption totale d’activité supportable à deux jours sur toute l’année.
Scénarios de sinistre, priorités d’une réception
formelle par le
Orientations Comité de Pilotage.
(productions et sauvegardes)
Cibles fonctionnelles et techniques Si ce temps est ramené à une journée cela permet de limiter énormément le stress des personnes
Scénarios de solutions
concernées par l’utilisation de ce logiciel et par conséquent, réduit le stress des personnes qui
□ Étude fonctionnelle
Figure 1 : Démarche de stratégie de secours

s’occupent de la remise en activité du système.

▷ Ces deux jours concernent seulement la perte d’activité due au serveur.
2.2.2 Phase de lancement
Avant de commencer une étude de Plan de Secours Informatique, il est essentiel d’en préciser

⋆ enjeux
Objectif : activités qui exigent une continuité :
le champ. Il convient en particulier de faire valider par la Direction de l’entreprise, via un
comité de pilotage, les activités concernées et les types de risques à prendre en compte. Il peut

⋆ activités essentielles
s’agir de l’ensemble des activités ou au contraire d’un plan de secours limité à un domaine

La perte d’une journée de travail est le maximum pour les périodes de forte activité.
stratégique. Pour chaque activité concernée, on désignera un correspondant PSI de l’équipe

⋆ conséquences d’une interruption, dégradation : arrêt temporaire ou définitif, perte de données, dé-
projet.

S’il y a perte totale de données, le coût devient très élevé car il faut reprendre les données
La difficulté de ce type d’étude réside essentiellement dans la mise en oeuvre d’un PSI adapté
à l'environnement. L’adoption d’une méthodologie personnalisée, facilitera l’appropriation
par les responsables concernés.
gradation de service...
Il y a lieu de faire préciser par la Direction les risques qu’elle souhaite couvrir. Selon les en cours mais également reconstituer un historique minimum pour répondre à la législation
choix exprimés, les « objets à risque » concernés (matériels informatiques, matériels de
Activités et exigences :
téléphonie, fournitures externes, personnel, locaux, ...) et la nature des risques (faut-il par
exemple traiter le risque social ?) seront précisés.
(comptabilité, apprenants...)
Étude du fonctionnement de la structure de formation
Selon les risques retenus et le périmètre souhaité, le plan de secours sera un Plan de Secours
Informatique ou s’apparentera à un Plan de Continuité d’Activité.
Les fiches guides d’analyse de risque fournies en annexe de ce document listent par grandes
familles les objets à risques pouvant être pris en compte dans un PSI ainsi que les principaux
risques associés.

Mise en œuvre d’un PCA/PRA

Exemple d’une structure de formation© CLUSIF 2003 ?? Mise en œuvre d’un PCA/PRA
□ Étude de vulnérabilité :
??
⋄ Couverture assurance des risques informatiques : souscription d’une assurance couvrant les
Plan de Continuité d’Activité 4
Stratégie et solutions de secours du S.I.
Quelles sont les activités qui exigent une continuité ?
⋆ les enjeux : permettre d’étalonner le niveau d’impact (caractère "non supportable") et de préciser
⋄ Sécurité générale : accès protégé aux serveurs, sauvegardes sur bandes.
Définir : dégâts matériels et qui prévoit une indemnisation pour la reconstitution des données.

⋆ les activités essentielles : les besoins informatiques en terme de process et de logiciels ;

les conditions minimales pour assurer un niveau d’activité et de disponibilité du SI acceptable.
⋄ Moyens de secours : pas de redondance de serveurs.
⋆ les conséquences d’une interruption, dégradation (arrêt temporaire ou définitif, perte de données,
dégradation de service..) ⋄ Moyens de protections des informations stockées : la bande magnétique de sauvegarde du
vendredi sort du bâtiment.
Activités

⋄ Contrats de maintenance : pour le serveur et les postes clients, imprimantes...

Elle n’est probablement pas chiffrée.
COMPLÉMENT

COMPLÉMENT
⋄ inscription ;
a. un logiciel pour la gestion des personnes inscrites dans les différentes formations dispensées :
⋄ Sécurité du réseau informatique : utilisation d’un parefeu/firewall.
COMPLÉMENT

COMPLÉMENT
⋄ gestion des évaluations ;
⋄ délivrance d’une attestion de suivi ou de réussite si la formation est diplômante ou fournie un certificat. □ Analyse des risques

⋄ risques externes (force majeure) : électricité, incendie, dégâts des eaux, accès internet du
b. un logiciel de gestion comptable disposant d’une passerelle vers le logiciel de gestion des inscrits. Les principaux risques pour les structures sont les
Exigences
FAI, vandalisme...
Pour le logiciel a) : Pour le logiciel b) :
Pour les risques électriques et d’incendie, les écoles accueillant du public sont contrôlées
élèves temps d’arrêt max supportable comptabilité temps d’arrêt max supportable
régulièrement avec des normes strictes. Les cas de forces majeures peuvent entraîner un
mai à juin 2 jours janvier 1 jour
⋄ risques internes : le matériel, la mauvaise manipulation...
arrêt complet si les serveurs sont tous sur le même site.
septembre à octobre 2 jours septembre à avril 2 jours

□ Orientations
autres 3 jours autres 4 jours

Les solutions techniques et organisationnelles.

Cours «Méthodologie & Sécurité» – P-F. Bonnefoi – [Link] — 5 avril 2016 — 12

 D’autres éditions du CLUSIF : [10] et [11].

Mise en œuvre d’un PCA/PRA

D PRA - PCA
Synthèse
??
Serveur
opérationnel Sauvegarde
Incident
100 %
Perte admissible
de données

COMPLÉMENT
Service dégradé
50 %

COMPLÉMENT
Durée
maximale
admissible Durée maximale admissible
d’interruption de retour à la normale.

0%
1 2 3 4 5 Jours
Ressources disponibles
[Link]
[Link]

Mise en œuvre d’un PCA/PRA

Orientations : quelques solutions
◯ Utiliser un hébergeur externe pour l’hébergement d’un site Web ;
??
L’hébergeur doit disposer de son propre PCA/PRA.
◯ Héberger ses applications métiers dans le Cloud : Amazon Elastic Compute Cloud (EC2), etc.
Si l’application métier a été adaptée à ce mode fonctionnement.
◯ Sauvegarder régulièrement en ligne ses données : GoogleDrive, DropBox, WEBdav...
Disponible gratuitement pour les particuliers, à mettre en conformité avec la politique de sécurité de l’entreprise
pour des données professionnelles, ou souscrire à une offre professionnelle. COMPLÉMENT
◯ Virtualiser le poste de travail : VMWare, VirtualBox...
COMPLÉMENT
Le matériel est interchangeable, seule compte la «machine virtuelle», qui se réduit à des fichiers représentant
son disque dur. Par contre, bénéficie mal des performances des cartes graphiques.
◯ Stocker ses données sur un serveur dans le réseau : NAS, SAN...
Le serveur n’héberge que des disques durs en mode RAID : survivre à la mort d’un des disques durs.
◯ Disposer d’image complète de son poste de travail : Clonezilla, Symantec Ghost...
Permet de restaurer la totalité du disque dur de la machine, système d’exploitation et application compris.
◯ Utiliser des applications disponible sur le Web : Google Docs, Microsoft Office 365.
Utiliser les solutions proposées par les éditeurs en matière de traitement de texte, de tableur et disposer de
moyens de travail collaboratif.
◯ Télétravail.
Permet de s’affranchir des risques liés aux retards et impossibilités de déplacement professionnels. Cela s’étend
à l’usage de la visio conférence en lieu et place de déplacement de travail.

Cours «Méthodologie & Sécurité» – P-F. Bonnefoi – [Link] — 5 avril 2016 — 13