Outil d’Auto-évaluation du niveau de maturité de la

sécurité des systèmes d'informations nationaux

Awatef HOMRI
Agence Nationale de la Sécurité Informatique
[Link]@[Link]

1
Pourquoi utiliser ce service?

• On vous pose souvent la question « Est-ce que votre système

d’information dispose du niveau adéquat de sécurité? »

• Vous avez besoin de justifier /optimiser des investissements

dans les projets de sécurité des systèmes d’information ?

• Vous avez besoin d’évaluer le niveau de sécurité du système

d’information actuel avant d’amorcer un projet de conformité
par rapport aux standards e aux normes de bonnes pratiques ?

2
Utilisateurs du service

• ANSI: Administration et exploitation des résultats

 Maintien du tableau de bord national
 Publication de rapports nationaux

• Représentant d’un établissement (RSSI)*: mener une évaluation et

exploitation des résultats.

* Le RSSI peut faire appel aux structures spécialisées de son organisme pour répondre à des questions spécifiques du

questionnaire (exemple : RH sur les questions qui concernent le recrutement, le responsable de sécurité physique sur les

contrôles de sécurité sur le bâtiment et le data-center, le responsable juridique sur le cadre réglementaire applicable sur

l’organisme en relation avec la sécurité de l’information, etc).

3
Comment utiliser ce service ?
• Le représentant de l’organisme désirant faire une auto-évaluation de la sécurité de son
système d’information envoie une demande par email à audit@[Link] en fournissant les
informations relatives à son organisme.

• Les services de l’ANSI répondent à la requête par la création d’un compte utilisateur et
envoient les paramètres d’accès par mail au concerné.

• Le représentant de l’organisme se connecte à travers son compte utilisateur, et crée un

nouveau projet d’évaluation.

• Le représentant de l’organisme répond aux questions répertoriées par domaine (Chapitres de

la norme ISO 27002).

• Une fois le représentant de l’organisme répond à l’ensemble des questions du questionnaire, il

valide ses réponses. Il est toutefois possible de réaliser l’évaluation sur plusieurs fois.

4
Modules

• Domaines • Choix du référentiel • Situation actuelle

• Catégories • Réponses aux questions • Plan d’action
• Mesures • Comparaison avec d’autres
• Questions organismes
• Actions
• Recommandations

Définition du Mesure du Exploitation et

référentiel niveau de génération des
d’évaluation maturité résultats

5
M1 Définition du référentiel d’évaluation

– Permettre de définir une base des actions de sécurité organisée selon la structure suivante:

• un ensemble de domaines de sécurité.

• un ensemble de catégories de sécurité par domaine.

• un ensemble de mesures par catégorie.

• un ensemble de questions de diagnostic par mesure.

Chaque question porte sur une action de sécurité.

– A chaque question est associée une réponse qui représente une action de sécurité/
recommandation pour la mesure de sécurité.

– L’action objet de la question est caractérisée par son type (exemple : organisationnel,
physique, technique).

6
M1 Définition du référentiel d’évaluation

7
M1 Définition du référentiel d’évaluation

8
M2 Mesure du niveau de maturité

Un système de notation appliqué aux actions de sécurité selon le barème suivant :

• 4 (couverture complète de l’action de sécurité): action mise en œuvre.

• 3 (couverture assez complète de l’action de sécurité): action en cours de mise en œuvre.

• 2 (couverture moyenne de l’action de sécurité): action Planifiée à court terme -dans une année :
engagement clair et répartition des ressources nécessaires pour la mise en œuvre de l’action de sécurité.

• 1 (couverture faible de l’action de sécurité): action Planifiée à moyen/long terme (plus qu’une année) :
niveau initial/Déclenchement, l’entreprise a pris conscience de l’existence du problème et de la nécessité
de l’étudier.

• 0 (aucune couverture de l’action de sécurité): action non encore planifiée: inexistence/absence totale
de l’action, l’entreprise n’a même pas pris conscience qu’il s’agissait d’un problème à étudier.

• NA : l’action/la mesure/la catégorie de sécurité invoquée ne s'applique pas pour l’établissement.

9
M2 Mesure du niveau de maturité

10
M2 Mesure du niveau de maturité

– Un système de pondération des réponses aux questions

 pour mettre en évidence le degré d’importance/indispensabilité de l’action de

sécurité sur laquelle porte chaque question.

 Certaines actions contribuent à la qualité de mesure sans que leur mise en œuvre
soit indispensable.

Exemple: Système de pondération par secteur d’activité/ catégorie/ classe de criticité.

 Chaque question a un poids de 0 à 4.

 Possibilité d’associer à certaines questions un seuil maximal (notion d’actions

indispensables).

 Possibilité d’associer à certaines questions un seuil minimal (notion d’actions

suffisantes).
11
M2 Mesure du niveau de maturité
Tableau d’appréciation des niveaux de maturité paramétrable

12
M3 Exploitation et génération des résultats
Profil Etablissement
– Mener et gérer un projet d’évaluation

13
M3 Exploitation et génération des résultats
Profil Etablissement
– Mener et gérer un projet d’évaluation

14
M3 Exploitation et génération des résultats
Profil Etablissement
– Dashboard:

15
M3 Exploitation et génération des résultats
Profil Etablissement
Dashboard:
• Présentation du portrait global de la situation actuelle ainsi que pour
chacun(e) des domaines ou des catégories de sécurité avec les détails
nécessaires.

• Comparaison entre le niveau de maturité de l’établissement par rapport au

niveau de maturité:
 global
 de son secteur d’activité
 de sa catégorie d’établissements
 de sa classe de criticité

• Mettre en évidence la situation à court/moyen terme de l’établissement.

• Mettre en évidence le progrès effectué par l’établissement dans le cas

16
d’évaluations successives.
M3 Exploitation et génération des résultats
Profil Etablissement
– Dashboard:
• Répertorier, pour chaque situation, les bonnes pratiques et les
insuffisances répartis par type d’action de sécurité.

• Proposer des recommandations de tout ou d’un domaine ou d’une

catégorie visé(e) réparties par type d’action de sécurité: assister
l’établissement à élaborer son plan d’action de sécurité tout en mettant en
relief celles ayant des pondérations importantes.

17
M3 Exploitation et génération des résultats
Profil Etablissement
– Dashboard: Situation actuelle:

18
M3 Exploitation et génération des résultats
Profil Etablissement
– Dashboard: Situation actuelle: Exemple:

19
M3 Exploitation et génération des résultats
Profil Etablissement
M3 Exploitation et génération des résultats
Profil Etablissement
M3 Exploitation et génération des résultats
Profil Etablissement

22
M3 Exploitation et génération des résultats
Profil Etablissement

23
M3 Exploitation et génération des résultats
Profil Etablissement
M3 Exploitation et génération des résultats
Profil Etablissement
M3 Exploitation et génération des résultats
Profil Etablissement

26
M3 Exploitation et génération des résultats
Profil Etablissement

27
M3 Exploitation et génération des résultats
Profil ANSI
– Administration

• Gestion du référentiel
• Gestion des systèmes de pondération
• Gestion des évaluations
• Autres:
 Gestion des établissements
 Gestion des utilisateurs
 Gestion des paramètres:
• Echelle d’appréciation des niveaux de maturité
• Paramètres de questions (types des questions, profils
répondants)
• Délai d'expiration des projets d’évaluation
• Délai d'expiration des codes d'accès, etc.

28
M3 Exploitation et génération des résultats

Profil ANSI

Dashboard:
• Situation actuelle/à court terme/ à moyen terme
• du niveau de maturité global
• par secteur d’activité
• par catégorie d’établissements
• par classe d’établissement
• Répertorier les bonnes pratiques et les vulnérabilités les plus répandues,
• de tout ou d’un domaine
• d’une catégorie
• répartis par type d’action de sécurité
Highlight des pondérations importantes
• Comparer le niveau moyen de maturité d’une classe, d’un secteur d’activité
ou d’une catégorie d’établissements par rapport au niveau de maturité
global.
29
M3 Exploitation et génération des résultats
Profil ANSI
Dashboard: Exemple: Situation à moyen terme
–

30
Questions
?