Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Centre Africain d’Études Supérieures en Gestion

CESAG EXECUTIVE Master Business Administration

(CEE) En Audit Et Contrôle de Gestion

(MBA ACG)

Promotion 29
C

(2017-2018)
ES
AG

Mémoire de fin d’études

-B

THEME :
IB

ELABORATION D’UNE POLITIQUE DE

LI
O

SECURITE D’UN SYSTÈME D’INFORMATION :

TH

CAS DU RESEAU INFORMATIQUE DU CESAG

EQ
U
E

Présenté par : Dirigé par :

Sylvère Gaël ALLOU M. Baïdy T. SY

Directeur Général SAYTU SA,
Professeur associé au CESAG

OCTOBRE 2019
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

DEDICACE

Nous dédions ce mémoire à :

✓ L’Éternel tout puissant pour son amour et sa grâce toujours renouvelée ;

✓ Notre mère BLY Cécile épouse ALLOU et notre père Yapi Hubert ALLOU pour leur
soutien affectif, spirituel et financier inestimable ;
✓ Nos frères et sœurs, pour leurs prières et toute la confiance placée en moi ;
C

✓ Nos amis pour leurs conseils avisés.

ES
AG
-B
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page ii
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

REMERCIEMENTS

«Ceux qui donnent ne doivent pas se rappeler, mais ceux qui reçoivent ne doivent jamais
l’oublier.” – Proverbe Africain à l’endroit de Monsieur Abdoul Karim TAHIROU»

Nous remercions :
➢ Pr Serge BAYALA, Directeur Général du CESAG d’avoir accepté que j’écrive sur son
établissement;

➢ M Baidy SY, notre Directeur de mémoire pour son expertise apporté à notre
travail mais aussi pour nous avoir donné une première expérience dans le domaine de
C

l’audit;
ES

➢ Abdoul Karim TAHIROU, Responsable du Service Informatique, mon Maître de stage,

AG

pour son dévouement, ses explications et sa disponibilité sans faille tout au long de mon
stage et de ce travail.;
-B

➢ L’ensemble du personnel du Service Informatique ;

IB
LI

➢ Et tous ceux, qui de près ou de loin, ont contribué à la réalisation de ce travail.

O
TH

Qu'ils trouvent ici le fruit de la contribution qu'ils m'ont apporté.

EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page iii
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

LISTE DES SIGLES ET ABREVIATIONS

ANSSI Agence nationale de la sécurité des systèmes d'information

ARS Administrateur Réseaux et Systèmes
BCEAO Banque Centrale des Etats de l’Afrique de l’Ouest
CAMES Conseil Africain et Malgache pour l’Enseignement Supérieur
CEAO Communauté Economique de l’Afrique de l’Ouest
CESAG Centre Africain d’Etudes Supérieures en Gestion
C

COBIT Control Objectives for Information and related Technology

ES

DESS Diplôme d’Etudes Supérieures Spécialisées

AG

EBIOS Expression des Besoins et Identification des Objectifs de Sécurité

GSI Gestion du Système d’Information
-B

IFACI Institut Français de l'Audit et du Contrôle Internes

ISACA Information Systems Audit and Control Association
IB
LI

ISO/IEC International Organization for Standardization / International Electrotechnical

Commission
O
TH

IT Information Technology
ITG Information Technology Gouvernance Institute
EQ

ITIL Information Technology Infrastructure Library

U

ITSEC Information Technology Security Evaluation Criteria

E

LMD Licence Master Doctorat

MEHARI Méthode Harmonisée d’Analyse de Risques
MSSI Management de la Sécurité des Systèmes d’Informations
OCTAVE Operationally Critical Threat, Asset, and Vulnerability Evaluation
PCA Plans de Continuité d’Activité
PME/PMI Petites et Moyennes Entreprises/Petites et Moyennes Industries
PS Politique de Sécurité
PSSI Politique de Sécurité des Systèmes d’Informations
RSI Responsable du Service Informatique

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page iv
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

RT Technicien Réseau
SEI Software Engineering Institute
SI Système d’Information
SMSI Système de Management de la Sécurité Informatique
SSI Sécurité des Systèmes d'Information
UEMOA Union Economique et Monétaire Ouest Africaine
USA United States of America
C
ES
AG
-B
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page v
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

LISTE DES FIGURES ET TABLEAUX

Figure 1 : Critères de sécurité .................................................................................................................. 14

Figure 2 : Schéma de pilotage de la sécurité des SI ................................................................................ 17
Figure 3 : De la politique d’entreprise à la politique de sécurité ............................................................. 19
Figure 4 : Les 37 processus de COBIT 5................................................................................................. 22
Figure 5 : Démarche de la méthode MEHARI ........................................................................................ 23
Figure 6 : Démarche globale de EBIOS .................................................................................................. 24
Figure 7 : Schéma de la démarche OCTAVE.......................................................................................... 25
C

Figure 8 : Démarche de l’élaboration de la PS ........................................................................................ 30

ES

Figure 9 : Objectifs d’une PS .................................................................................................................. 32

Figure 10 : Modèle d’analyse .................................................................................................................. 38
AG

Figure 12 : Architecture LAN du réseau ................................................................................................. 51

-B
IB

Tableau 1 : Rôle du Système d’Information ............................................................................................ 11

LI

Tableau 2 : Risques généraux liés au SI .................................................................................................. 53

O

Tableau 3 : Risques liés au réseau ........................................................................................................... 54

TH

Tableau 4 : Résultat du diagnostique ....................................................................................................... 57

EQ

Tableau 5 : Identification des acteurs avec leurs rôles et responsabilité ................................................. 61

Tableau 6: Règles de sécurité .................................................................................................................. 64
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page vi
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

LISTE DES ANNEXES

Annexe 1 : Inventaire du matériel informatique ...................................................................... 77

Annexe 2 : Inventaire des logiciels .......................................................................................... 78
Annexe 3: Identification des acteurs basé sur COBIT 5 .......................................................... 78
Annexe 4: Organigramme fonctionnel du CESAG .................................................................. 79
Annexe 5 : Guide d’entretien ................................................................................................... 80
Annexe 6: Questionnaire d’entretien des rôles et responsabilités dans le MSSI ..................... 82
Annexe 7: Questionnaire d’entretien du contrôle interne des SI ............................................. 83
C
ES
AG
-B
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page vi
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

SOMMAIRE
DEDICACE……………………………………………………………………………………ii
REMERCIEMENTS ................................................................................................................. iii
LISTE DES SIGLES ET ABREVIATIONS ............................................................................ iv
LISTE DES FIGURES ET TABLEAUX ................................................................................. vi
LISTE DES ANNEXES ............................................................................................................ vi
SOMMAIRE ............................................................................................................................ vii
INTRODUCTION GENERALE................................................................................................ 1
PREMIERE PARTIE : ............................................................................................................... 6
REVUE DE LITTERATURE ET METHODLOGIE DE L’ETUDE ........................................ 6
CHAPITRE 1 : POLITIQUE DE SECURITE D’UN SYSTEME D’INFORMATION ....... 8
C

1.1. Enjeux de la sécurité du système d'information au sein d'une entreprise ................ 9

ES

1.2. Politique de sécurité ............................................................................................... 18

AG

1.3. Normes, méthodes et bonnes pratiques ..................................................................... 19

CHAPITRE 2 : METHODOLOGIE ET CADRE DE L’ETUDE ........................................ 26
-B

2.1. Méthodologie de l’élaboration d’une PS ................................................................... 27

2.2. Présentation du CESAG ............................................................................................ 39
IB

DEUXIEME PARTIE : ............................................................................................................ 45

LI

CADRE PRATIQUE DE L’ELABORATION DE LA POLITIQUE DE SECURITE ........... 45

O

CHAPITRE 3 : DESCRIPTION DE L’EXISTANT ................................................................ 47

TH

3.1. Description du réseau informatique .......................................................................... 48

3.2. Administration du réseau informatique ..................................................................... 52
EQ

3.3. Menaces liées à la sécurité ........................................................................................ 53

3.4. Gestion de la sécurité du réseau informatique........................................................... 55
U
E

CHAPITRE 4 : ELABORATION DE LA PS .......................................................................... 59

4.1. Objectif ...................................................................................................................... 60
4.2. Périmètre ................................................................................................................... 60
4.3. Rôles et responsabilité ............................................................................................... 61
4.4. Règles générales de sécurité ...................................................................................... 62
4.5. Règles de sécurité ...................................................................................................... 64
4.6. Revue de la politique ................................................................................................. 72
CONCLUSION GENERALE .................................................................................................. 74
ANNEXE ................................................................................................................................. 76
BIBLIOGRAPHIE ................................................................................................................... 84
TABLE DES MATIERES ....................................................................................................... 86

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page vii
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

C
ES
AG
-B
IB

INTRODUCTION GENERALE
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 1
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

L'informatique est devenue pour l'entreprise un outil incontournable de gestion, d'organisation,

de production et de communication. L’alignement du système d’information à la stratégie de
l’organisation, l’obsolescence frénétique des systèmes d’information, la dépendance à
l’informatique, la cybersécurité, plus spécifiquement la sécurité du réseau locale d’entreprise
sont des sujets de plus en plus complexes à appréhender. Et posent donc de vrais problèmes
pour les entreprises qui ne peuvent mobiliser que peu de ressources internes pour maintenir et
protéger leur système d’information. Le vol ou la destruction de données, le déni de service,
l'espionnage industriel, les dommages volontaires et involontaires causés par les acteurs
internes à l’entreprise sont autant d’attaques et de dangers dont les entités sont victimes et dont
les conséquences peuvent être dramatiques. Les attaques de ransomware paralysant une
quarantaine d’hôpitaux britanniques en Mai 2017, suivi d’une vague d’attaque dans plusieurs
C

pays du monde et plus récemment en Mars 2018 celles de la mairie d’Atlanta, du service des
ES

urgences de la ville de Baltimore et du géant Boeing de l’aéronautique aux USA en sont des
AG

exemples palpables. Il est donc impératif que les dirigeants ainsi que les utilisateurs
comprennent les enjeux liés à la vulnérabilité de leur système informatique afin que les mesures
-B

de mitigations de ces risques soient beaucoup plus efficaces.

Ainsi, toutes les entreprises internationales comme nationale ne sont pas à l’abri de ce genre de
IB

menaces. Les entreprises africaines de façon générale et celles de l’espace UEMOA sont encore
LI

plus exposées du fait que, pour le commun du mortel, ces menaces ne concernent que les grands
O
TH

groupes. Aussi, force est de constater que, seules quelques entreprises disposent de procédures
formelles et adaptées à la sécurité de leur système d’information.
EQ

Le CESAG comme beaucoup d’autres entreprises, qui se veut une institution aux standards
internationaux se doit de disposer d’un système d’information performant. Celui-ci doit
U
E

répondre aux normes de sécurité préconisées par les référentiels mondialement reconnus à
l’image de COBIT 5ou encore la série des normes ISO/IEC 27000. Ainsi, selon ces standards,
le management des risques lié au système informatique commence par la mise en place d’une
politique de sécurité du système d’information. C’est pourquoi, dans la plupart des missions
d’audit informatique basées sur la sécurité réseau informatique, la politique de sécurité ou la
charte informatique fait partie des documents demandés par les auditeurs IT. Or, Il se trouve
que ce document n’est pas encore disponible pour les acteurs du système d’information du
CESAG.
Plusieurs causes peuvent être à la base de cette insuffisance dans la formalisation des processus
de management des risques informatiques du CESAG, à savoir :

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 2
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

- la non-implication des différents acteurs dans la gestion leur système d’information ;

- la non-implication des dirigeants dans la gouvernance du système d’information ;

- l’absence de la culture de sécurité informatique ;

- l’absence d’audit IT pour révéler les risques auxquels est exposé le SI ;

- l’absence de cartographie des risques informatiques pour mesurer la criticité des risques
encourus ;

- le sentiment de ne pas être concerné par les menaces liées à la cybersécurité.

De ces causes, nous pouvons avoir les conséquences suivantes :

la perte ou divulgation des données pédagogique et administratives ;
C

-
ES

- la perte financière ;
AG

- la perte de crédibilité ;

l’indisponibilité du réseau ;
-B

l’atteinte à l’image.
IB

-
LI

Pour pallier ces conséquences, nous proposons les solutions suivantes :

O

- recruter un IT manager au sein du service informatique ;

TH

- former l’auditeur interne à l’audit des SI

EQ

- élaborer une cartographie des risques du SI ;

U

- diligenter des missions d’audit informatique axées sur la sécurité du réseau

E

informatique ;

- rédiger une politique de sécurité pour piloter le management de la sécurité du SI

Bien que nous ayons une panoplie de solutions, il convient de retenir la solution la plus adaptée
au contexte. Mieux encore, trouver la solution la plus urgente est essentiel pour l’atteinte des
objectifs. En nous appuyant sur cette argumentation, il en ressort que la dernière solution, à
savoir, rédiger une politique de la sécurité du SI est la solution que nous retenons. Pour nous,
la rédaction d’une politique de la sécurité informatique permettra de mettre en œuvre des
mécanismes de surveillance des accès. Cela permettra également de sensibiliser les utilisateurs
du réseau aux bonnes pratiques de l’informatique. Ensuite les responsabiliser quant à

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 3
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

l’utilisation qu’ils font des outils mis à leur disposition ainsi que le partage d’éventuelles
données sensibles sur des réseaux externes à celui du CESAG.
La politique de sécurité étant un document fondamental dans la gestion de la sécurité d’un
réseau informatique, la question suivante retient notre attention : « quel contenu pouvons-nous
donner à la politique de sécurité du SI du CESAG pouvant garantir raisonnablement la maitrise
des risques auxquels son réseau informatique est exposé ? ». Cela nous emmène à répondre aux
questions spécifiques suivantes :
- Comment est menée jusque-là, la politique de sécurité du réseau informatique ?

- Cette politique est-elle pilotée par la Direction Générale ?

- En quoi la mise en place d’une politique de sécurité du réseau informatique est-elle

C

importante pour le service informatique ?

ES

- Quelle est la structure d’une politique de sécurité ?

AG

- Sur quel référentiel sera basée la politique de sécurité ?

-B

« Elaboration d’une politique de sécurité d’un système d’information : cas du réseau

informatique du CESAG » se justifie comme thème d’autant plus qu’il constituera le premier
IB

rideau de sécurité. Ainsi, la réponse à ces différentes questions permettra d’élaborer un manuel
LI

qui à son tour assurera une maitrise raisonnable des risques de sécurité.
O
TH

Notre objectif principal est de doter le Service Informatique du CESAG d’un outil dont le
contenu lui permettra d’assurer une maitrise raisonnable des risques auxquels son réseau
EQ

informatique est exposé.

Outre cet objectif, nous avions des objectifs sous-jacents suivants :
U
E

- renforcer la formalisation des processus du Service Informatique ;

- faciliter la sensibilisation de l’ensemble des utilisateurs aux risques liés à la sécurité du

réseau ;

- se conformer aux normes et réglementations en termes de sécurité du réseau ;

- mieux maitriser les risques de sécurité à travers l’implication de tous les acteurs ;

- proposer des axes d’amélioration du dispositif de gestion des risques de sécurité.

La rédaction de ce manuel se limitera principalement au réseau local du CESAG. Il s’agira ici

d’élaborer un référentiel portant sur la politique de sécurité devant être adopté pour l’ensemble

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 4
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

des utilisateurs, des applications, les ordinateurs, des données et des interactions pilotées par le
serveur central en :
- identifiant les besoins en termes de sécurité et les risques informatiques ;

- élaborant des règles et des démarches à mettre en œuvre par l’ensemble des usagers ;

- définissant des processus à déclencher et des personnes à contacter en cas de menace.

Cette étude revêt des intérêts à plusieurs niveaux. Pour le Service Informatique du CESAG, elle
lui permettra de disposer d’un outil visant à formaliser son management des risques IT
conformément aux normes applicables. Sur le plan académique, il constituera une base
documentaire pour les étudiants qui travailleront sur les bonnes pratiques pour la sécurité d’un
système informatique plus précisément celui d’un réseau informatique. Outre ces intérêts, cette
C

étude permettra également de mettre en application les connaissances théoriques acquises en

ES

classe et de mettre ainsi en lumière notre savoir-être et notre savoir-faire.

AG

Ce travail comporte deux parties. La première partie sera axée sur la revue de la littérature et la
méthodologie de l’étude. La deuxième partie quant à elle sera consacrée au cadre pratique. Il
-B

sera question de faire la description de l’existant et de concevoir la politique de sécurité du

IB

réseau informatique du CESAG.

LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 5
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

C
ES
AG
-B

PREMIERE PARTIE :
IB

REVUE DE LITTERATURE ET METHODLOGIE

LI

DE L’ETUDE
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 6
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Introduction de la première partie

L’adoption de bonnes pratiques dans le domaine de la sécurité des systèmes d’informations (SI)
passe par un système de management de la sécurité des systèmes d’informations (SMSSI) qui
inclut une politique de sécurité du système d’information (PSSI). La mise en œuvre de ces
bonnes pratiques augmente la fiabilité du SI et la confiance essentielle des parties prenantes de
l’organisation. Pour se faire, une gestion quotidienne de la sécurité du SI s’impose.
L’administration de la sécurité au quotidien est la traduction de la politique de sécurité du SI en
politiques opérationnelles spécifiques aux différents composants du SI (Vidal et al., 2009). Pour
mieux cerner la notion de politique de sécurité (PS), nous jugeons essentiel d’aborder les
différents aspects auxquels la PS fait appel.
Ainsi, dans cette première partie constituée de deux chapitres, nous aborderons dans le chapitre
C

1 les enjeux de la sécurité des SI, les objectifs d’une politique de sécurité et les normes,
ES

méthodes et bonnes pratiques. Dans le deuxième chapitre, nous nous consacrerons à la

AG

méthodologie et au cadre de l’étude. Il s’agira ici de nous appesantir sur la démarche de

l’élaboration d’une PSSI en général. De façon spécifique, nous aborderons également la
-B

démarche de l’élaboration une politique de sécurité d’un réseau informatique. Outre cela, nous
présenterons l’entité dans laquelle nous avions effectué notre stage, objet de cette étude.
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 7
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

C
ES
AG
-B

CHAPITRE 1 : POLITIQUE DE SECURITE D’UN SYSTEME

IB

D’INFORMATION
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 8
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Aujourd’hui, la sécurité est un enjeu majeur pour les entreprises ainsi que pour l’ensemble des
acteurs qui l’entourent. Elle n'est plus confinée uniquement au rôle de l’informaticien. La
politique de sécurité est de facto le premier élément du management de la sécurité des systèmes
d’information (MSSI) au sein d’une organisation. Elle garantit une approche globale, homogène
et hiérarchisée de la sécurité du SI. L’idée dans ce chapitre est de nous interroger sur les enjeux
de la sécurité du SI au sein d’une entreprise. Pour ce faire, nous procéderons dans un premier
temps à la définition du SI, puis à celle de la sécurité informatique. Nous répondrons ensuite
aux questions ci-dessous :
- pourquoi la sécurité des SI ?
- comment doit être mené le management de la sécurité des SI ?
Nous poursuivrons avec les objectifs d’une politique de sécurité d’un SI et finirons par les
C

normes, les méthodes et bonnes pratiques.

ES

1.1. Enjeux de la sécurité du système d'information au sein d'une

AG

entreprise
-B

Le système d’information d’une entreprise est un patrimoine essentiel qu’il convient de

IB

protéger. La sécurité ne doit pas être perçue comme une contrainte car elle donne de la
LI

cohérence à la gestion et permet d’adopter vis-à-vis des risques et des menaces une attitude
O

préventive et proactive, et pas seulement réactive.

TH

1.1.1. Définition du système d’information

EQ

R. REIX (Systèmes d’information et management des organisations, 1998, p409) définit un

U

système d’information comme étant « un ensemble organisé de ressources : matériel, logiciel,

E

personnel, données, procédures permettant d’acquérir, de traiter, stocker, communiquer des

informations (sous forme de données, textes, images, sons, etc.) dans des organisations ». Cette
définition nous permet de considérer qu’un système d’information est un ensemble finalisé,
construit à partir de différentes ressources et susceptibles d’être défini à différents niveaux.
R. REIX & F. ROWE (Faire la recherche en système d’information : de l’histoire au concept,
2002, p366) affirment qu’ « un système d’information est un système d’acteurs sociaux qui
mémorise et transforme des représentations via des technologies de l’information et des modes
opératoires ». Dans cette définition, le système d’information aide l’acteur à former des
représentations et qu’en fait le système ne peut le faire sans l’acteur, le système interface-acteur
est le véritable générateur de l’information.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 9
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Jacques THEVENOT (Master Systèmes d’Informations, 2011, p536) : un système

d’information est un « Ensemble des moyens, des modèles et des méthodes, destinés à assurer
dans une organisation, le stockage, le traitement et la circulation des données, informations et
connaissances dans le but d’aider à prendre des décisions ». Il ressort de cette définition que le
SI un est outil de pilotage des activités de l’entreprise et d’aide à la prise de décisions.

Marc BIDAN (Le système d’information de gestion en question, 2013, p144) affirme qu’un SI
est un réseau complexe de relations structurées où interviennent hommes, machines et
procédures qui a pour but d’engendrer des flux ordonnés d’informations pertinentes provenant
de différentes sources et destinées à servir de base aux décisions.
C

Jacques SORNET, Hengoat OONA, Nathalie LE GALLO (DCG 8, Systèmes d'information de

ES

gestion - Manuel et applications, 2016, p456) : Le système d’information peut se définir par
AG

son objectif, qui est d’assurer la saisie, la conservation, le traitement et la circulation des
informations, de façon que chacun, dans l’organisation, puisse disposer au bon moment des
-B

données dont il a besoin pour remplir sa tâche. Pour eux, le système d’information répond aux
besoins courants, aide aux prises de décision et à la préparation de l’avenir (veille
IB

informationnelle, gestion des connaissances).

LI
O

De toutes ces définitions, nous retenons que le SI est un ensemble complexe de relations
TH

structurées où interviennent hommes (personnel), machines (ordinateurs), logiciels et

EQ

procédures dans le but de faciliter les activités de l’entreprises et de fournir des informations
pertinentes d’aide à la prise de décisions.
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 10
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

1.1.2. Rôle du système d’information

Le tableau ci-dessous résume l’importance du SI au sein d’une organisation :
Tableau 1 : Rôle du Système d’Information

Rôle du Système d'Information Exemple d'application

Collecter, mémoriser, traiter les Achats, stocks, logistique Gestion de
données nécessaires à la conduite de production, gestion des données techniques
l'activité
Automatiser, fluidifier et optimiser les Comptabilité générale et analytique
Système processus Trésorerie, suivi des investissements Gestion
d'information des commandes, suivi des ventes Paie et
opérationnel gestion des ressources humaines Service
après-vente, maintenance Workflow
C
ES

Fournir des indicateurs pertinents sur Budget, tableau de bord des activités
AG

l'activité reporting, simulation

Système Connaître les clients, offrir des outils Analyse du profil client ; datamining logiciels
-B

d'information d'analyse et de simulation experts (scoring) et statistiques

d'aide à la (segmentation)
IB

décision
Gérer la connaissance Bases de données de connaissance
LI

communautés virtuelles
O
TH

Communiquer les informations en Messagerie, réseau d'échange interne

interne (workflow, intranet, groupware, portails
EQ

d'entreprises, gestion de la connaissance).

Echanger avec les partenaires (clients, Echanges normalisés (EDI) : réseaux

U

fournisseurs etc.) d’échanges avec les clients et les fournisseurs

E

Système (supply chain, extranet. plateformes de

d'information commerce électronique). sites Web
de
communication Gérer des Systèmes d'informations à Systèmes opérationnels distribués,
l'échelle mondiale disponibles 7j/7, 24 h/24
Pratique de l’offshore développements et
maintenance délocalisée
Business Process Outsourcing

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 11
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

1.1.3. Sécurité des systèmes des systèmes d'information : qu'est-ce que

c'est ?
MENTHONNEX (1995 :74) la sécurité d’un SI est l’ensemble des moyens techniques ou non,
de protection permettant à un système d’information de résister à des évènements susceptibles
de compromettre la disponibilité, l’intégrité ou la confidentialité des équipements et /ou des
données traitées ou transmises et des services connexes offerts ou rendus accessibles par le
système. : L’on déduit de cette définition qu’il s’agit d’un ensemble de facteurs, qui assurent
pour le système d’information, une assurance de Disponibilité, d’Intégrité et de Confidentialité.

Pour Rodolphe ORTALO dans sa Thèse (Évaluation quantitative de la sécurité des systèmes
d’information, 1988, p193) : Assurer la sécurité d’un système consiste à garantir le maintien
C

d’un certain nombre de propriétés de sécurité définissant les caractéristiques de confidentialité,

ES

d’intégrité et de disponibilité qui doivent être maintenues dans le système. Ceci implique
AG

d’empêcher la réalisation d’opérations illégitimes contribuant à mettre à défaut ces propriétés,

mais aussi de garantir la possibilité de réaliser des opérations légitimes dans le système.
-B

ISO 27002 (2005 : 14) : la sécurité de l’information est l’état de protection face aux risques
IB

identifiés et résultant de l’ensemble des mesures de sécurité prises par une entreprises pour
LI

préserver : la confidentialité, l’intégrité et la disponibilité de l’information que détient

O

l’entreprise quel que soit le support (papiers, électronique etc…). Il ressort de cette définition
TH

que la sécurité de l’information est l’ensemble des mesures prises pour faire face aux risques
EQ

auxquels le système est confronté.

U

Jacques THEVENOT (Master Systèmes d’Informations, 2011, p536) : la sécurité d’un système
E

d’information peut être définie comme l’ensemble des moyens techniques, organisationnels,
juridiques et humains à mettre en œuvre pour protéger le SI contre les menaces auxquelles il
est soumis. Pour l’auteur, la sécurité du SI doit-être abordée selon une approche globale sur la
maitrise des risques, l’implication du personnel et des partenaires sur le périmètre des activités
de l’organisation.

Solange GHERNAOUTI (Cybersécurité, Sécurité informatique et réseaux, 2016, p384) : La

notion de sécurité fait référence à la propriété d’un système, qui s’exprime généralement en
termes de disponibilité (D), d’intégrité (I) et de confidentialité (C). Ces critères de base (dits
critères DIC) sont des objectifs de sécurité que la mise en œuvre de fonctions de sécurité permet
d’atteindre.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 12
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

De l’ensemble de ces définitions, nous pouvons ajouter que la sécurité du SI est l’ensemble de
mesures (techniques, procédures, juridiques et humains) prises pour garantir la Disponibilité,
l’Intégrité et la Confidentialité du SI.
Ainsi, la sécurité d’un SI peut être vue comme sa non-vulnérabilité aux menaces auxquelles il
est soumis, c’est-à-dire l’impossibilité que des attaques induisent des conséquences graves sur
l’état du SI ou sur son fonctionnement. Pour ce faire, trois principaux critères ont été définis
qui sont aussi, depuis plus de vingt ans les piliers de la sécurité de l’information (McLeod et
Schell, 2008) : il s’agit de la confidentialité, l’intégrité et la disponibilité. Ces critères connus
sous l’acronyme anglais de CIA pour Confidentiality Integrity Availability (en français DIC
pour Disponibilité Intégrité et Confidentialité) sont d’ailleurs formellement définis par la norme
ISO/IEC 13335-1.
C

Nous définissons ces critères de base comme suit :

ES

- Confidentialité (confidentiality) : l’information ne doit être divulguée à toute personne,

AG

entité ou processus non autorisé. En d'autres termes, la confidentialité garantit qu’une

donnée n'est accessible qu'aux seuls utilisateurs autorisés ;
-B

- Intégrité (integrity) : le caractère correct et complet des actifs doit être préservé. En
IB

d'autres termes, l’intégrité garantit qu'une donnée n'a subi aucune altération ou
LI

destruction, volontaire ou accidentelle, depuis sa création et conserve un format

O

permettant son utilisation. L’intégrité des données comprend généralement quatre

TH

aspects l'intégralité, la précision, l'exactitude, l’authenticité et la validité.

EQ

- Disponibilité (availability) : l'information doit être rendue accessible et utilisable sur

demande par une entité autorisée. En d'autres termes, la disponibilité garantit qu'une
U

ressource du SI est accessible aux utilisateurs autorisés au moment voulu.

E

A ces trois critères de sécurité de base, nous pouvons ajouter les objectifs ou critères
complémentaires suivants :
- Authentification (authentification) : elle consiste à vérifier l'identité d'une entité
(utilisateur ou machine) afin d'autoriser son accès à une ressource (système, réseau,
application) ;

- Non-répudiation (non repudiation) : elle assure qu'un échange électronique ne peut être
remis en cause par l'une des parties, notamment par l'utilisation du certificat numérique
;

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 13
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

- Imputabilité (accountability) conjuguant authentification et non-répudiation, elle

permet de faire porter la responsabilité d'une action à un utilisateur. Ce critère prend une
place grandissante avec l'expansion du commerce électronique, notamment avec la
signature électronique ;

- Traçabilité (traceability) : elle garantit que les accès et tentatives d'accès aux ressources
du SI sont tracés, que ces traces sont conservées et exploitables.

Figure 1 : Critères de sécurité

C
ES
AG
-B
IB
LI

Source : GHERNAOUTI (2013 : 2)

O

1.1.4. Pourquoi la sécurité des SI ?

TH

Intrusions, vols d’informations, déni de service, attaque virale, chantage au cryptage de

EQ

données… la liste des cybermenaces semble s’allonger sans fin ces dernières années. Ainsi,
U

pour une entreprise connectée à internet, le problème n’est pas de savoir si on va se faire
E

attaquer mais quand cela va arriver.

En plus de ces raisons, d’autres raisons peuvent inciter une gestion accrue de la sécurité du SI
telles que :

1.1.4.1. Enjeux stratégiques

On dit le plus souvent que l’information c'est le pouvoir. On ne peut décider sans avoir
l'information à temps. Pour une entreprise, les dirigeants doivent s'appuyer sur un certain
nombre d'indicateurs issus du système d’information pour les analyser (la finesse et la
pertinence de ces indicateurs est primordiale), examiner les solutions possibles aux problèmes
identifiés, choisir en envisageant les conséquences de chaque solution, et enfin décider d'une

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 14
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

solution. Pour se faire, le SI doit répondre aux critères de sécurité évoqués plus haut. Pour une
meilleure gouvernance des risques, il est essentiel que la sécurité du SI s’aligne sur la stratégie
générale de l’entreprise, au même titre que le marketing, la finance ou encore la R&D. Outre
cela, ce qui a toujours permis aux entreprises les plus compétitives de nos jours d’atteindre leurs
objectifs et ainsi de l’emporter sur leurs rivales (avantage concurrentiel) est bien leur SI qui
devient dès lors un outil précieux, irremplaçable, en un mot vital.
Ainsi, la direction générale et le conseil d’administration doivent s’imprégner puis
accompagner le pilotage des risques informatiques, la mise en place de la politique sécurité du
système d’information et les plans d’actions associés, du management de la sécurité de leur SI
dans sa globalité.
C

1.1.4.2. Enjeux organisationnels

ES

Pour une entreprise comme Air France, le système de réservation Amadeus est considéré
AG

comme l’actif le plus crucial de l’organisation, bien plus que les avions. C’est ce qu’explique
Michel Volle dans son livre e-commerce paru en 2000 aux éditions Economica. A travers cet
-B

exemple, l’on comprend combien de fois le système est incontournable pour l’animation des
activités. Par conséquent, pour la compétitivité et la survie d’une entreprise.
IB
LI

1.1.5. Le management de la sécurité d'un SI

O

Le management de la sécurité s’intègre généralement dans un dispositif de gouvernance de la

TH

sécurité. Piloté par l’organe en charge de la sécurité. Ce facteur rend obligatoire une
EQ

pluridisciplinarité de cet organe :

- la formalisation et le suivi de la mise en application de la Politique de Sécurité
U
E

- les relations avec les acteurs métiers, l’analyse de leurs risques et l’assistance sécurité
pour leurs projets de SI

- la gestion du PCA (Plan de Continuité d’Activité)

- les opérations de sensibilisation et de communication

- le pilotages stratégique et budgétaire des plans d’actions sécurité

- la mise en conformité avec les exigences légales

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 15
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Mettre en place une organisation de gestion de la sécurité permet de structurer une démarche
méthodologique de maintien du niveau de sécurité souvent laissée jusqu’alors à l’état
d’ébauche.
Le management de la sécurité s’organise autour de quatre missions majeures :
Etudes et standards de sécurité

L’objectif principal ici, consiste à rédiger la politique de sécurité ou le Plan de

Continuité d’Activité (PCA), puis à les décliner dans les processus opérationnels. Cela permet
de transformer les concepts et les directives en réalisations concrètes sur le système
d’information. Cette fonction couvre à la fois les impératifs de prévention et défense.
Contrôle de la sécurité
C

Il regroupe l’ensemble des actions permettant de mesurer le niveau de sécurité de tout ou partie
ES

du système d’information : identifications objective et exhaustive des menaces, évaluation de

l’efficacité des mesures de protection, suivi des procédures correctrices (mise en conformité).
AG

Il répond ainsi à l’objectif de maitrise des risques.

-B

Administration de la sécurité
IB

Cette fonction englobe des actions qui visent la mise en œuvre, la surveillance et l’application
des règles de sécurité aux systèmes d’information. Elle couvre les aspects techniques des
LI
O

objectifs de prévention, de défense et de détection. Ainsi les actions de configuration permettent

TH

de maintenir les composants du système d’information à un niveau optimal de sécurité. Les

actions de supervision permettent quant à elles de détecter tout événement anormal identifié et
EQ

d’initier les actions correctrices.

U

Pilotage de la sécurité
E

Cette fonction couvre tous les objectifs de sécurité et joue un rôle central dans le dispositif de
management de la sécurité. Elle représente la tour de contrôle en termes de coordination et
d’homogénéité des actions de sécurité au quotidien, de manière proactive et réactive (veille de
sécurité, solutions réactives). Elle permet de suivre le niveau de sécurité interne et externe
(reporting, tableaux de bords) et d’apporter des réponses efficaces aux nouvelles menaces
(gestion de crises).

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 16
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Figure 2 : Schéma de pilotage de la sécurité des SI

C
ES
AG
-B
IB
LI
O

Source : Orange Business Services, 2007

TH
EQ

Ces différentes fonctions s’exercent sur l’ensemble des composantes du SI et chacune d’elle a
un rôle crucial dans la gestion de la sécurité du SI. Cependant, nous analyserons de plus près la
U

première fonction qui consiste à définir une politique de sécurité.

E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 17
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

1.2. Politique de sécurité

On ne peut concevoir de sécurité durable sans s’être doté d’un guide de gouvernance et de
gestion efficace de la sécurité de son SI.

1.2.1. Définitions
La première étape de sécurisation des systèmes d’information consiste à définir une politique
de sécurité comme illustrée ci-dessus. Celle-ci est constituée de règles permettant de s’assurer
que des propriétés de sécurité s’appliquent sur les données du système étudié.
Dans les Critères d’évaluation de la sécurité des systèmes informatiques (ITSEC, 1991, p166),
la politique de sécurité “est l’ensemble des lois, règles et pratiques qui régissent la façon dont
l’information sensible et les autres ressources sont gérées, protégées et distribuées à l’intérieur
C

d’un système spécifique”.

ES

Jacques SORNET, Hengoat OONA, Nathalie LE GALLO (DCG 8, Systèmes d'information de

AG

gestion - Manuel et applications, 2016, p456) : Une politique de sécurité exprime la volonté
-B

managériale de protéger les valeurs informationnelles et les ressources technologiques de

l’organisation. Une politique de sécurité concrétise une stratégie sécuritaire et est un outil
IB

indispensable à la gouvernance de la sécurité. Elle spécifie les moyens (ressources, procédures,

LI

outils, etc.) qui répondent de façon complète et cohérente aux objectifs stratégiques de sécurité.
O

La politique de sécurité fait le lien entre la stratégie de sécurité de l’entreprise et la réalisation

TH

opérationnelle de la sécurité. L’on déduit qu’une politique de sécurité est une vision stratégique
EQ

de la maitrise des risques.

La politique de sécurité des systèmes d'information (PSSI) est un plan d'actions définies pour
U

maintenir un certain niveau de sécurité. Elle reflète la vision stratégique de la direction de

E

l'organisme (PME/PMI, industrie, administration, État, unions d'États…) en matière de sécurité

des systèmes d'information (SSI).
Au regard de ces définitions, il ressort qu’une politique de sécurité est le premier maillon de
sécurisation du SI. C’est pourquoi, la direction doit s’approprier et s’impliquer dans
l’élaboration de ce manuel.

1.2.2. Objectifs
La Politique de Sécurité exprime la stratégie de l’entreprise en matière de sécurité de
l’information. Elle constitue la référence en matière de protection des Systèmes d’Information
et traduit les exigences de sécurité en règles pragmatiques. Celles-ci permettront de choisir les

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 18
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

dispositifs de protection adaptés. Ainsi, la mise en œuvre d’une politique de sécurité permettra
principalement de :
- adopter une politique de gestion de risques et de sécurité ;

- créer une structure en charge d’organiser et de piloter la gestion de la sécurité des SI

- installer un cadre organisationnel et juridique nécessaire à la responsabilisation

collective et individuelle des utilisateurs du SI

- inventorier et classifier les ressources. Cette démarche doit permettre d’optimiser les
processus de sécurisation en insistant sur ses composants les plus critiques

Ces objectifs sont en corrélation avec les autres fonctions du management de la sécurité.
C

Figure 3 : De la politique d’entreprise à la politique de sécurité

ES
AG
-B
IB
LI
O
TH
EQ
U
E

Source : Nous même

1.3. Normes, méthodes et bonnes pratiques

Il existe plusieurs normes et référentiels de bonnes pratiques qui permettent aux organisations
de disposer d’un ensemble de procédures et de règles afin d’assurer une meilleure sécurité de
leur actif informationnel. Ils constituent donc, des guides méthodologiques, des moyens pour

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 19
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

la gestion efficace de la sécurité. Ils servent également d’arsenal pour les professionnels de la
sécurité des SI.

1.3.1. ISO/IEC 27001

La norme ISO/IEC 27001 publié en novembre 2005, puis révisée en 2013 décrit la politique du
management de la sécurité du système d’information au sein d’une organisation. Elle comprend
quatre domaines de processus dont :
- définir une politique de la sécurité des informations ;

- gérer les risques identifiés ;

- choisir et mettre en œuvre les contrôles ;

C

- préparer un SOA (Statement Of Applicability).

ES

Elle spécifie les exigences relatives à l’établissement, à la mise en œuvre, à la mise à jour et à
AG

l’amélioration continue d’un système de management de la sécurité de l’information dans le

contexte propre d’une organisation. Elle comporte également des exigences sur l’appréciation
-B

et le traitement des risques de sécurité de l’information, adaptées aux besoins de l’organisation.

IB

1.3.2. ISO/IEC 27002

LI
O

La norme ISO/CEI 27002 est composée de onze sections principales, qui couvrent le
TH

management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects
opérationnels. Chaque section constitue un chapitre de la norme :
EQ

- Chapitre 1 : Politique de sécurité ;

U

Chapitre 2 : Organisation de la sécurité de l'information ;

E

- Chapitre 3 : Gestion des biens ;

- Chapitre 4 : Sécurité liée aux ressources humaines ;

- Chapitre 5 : Sécurité physique et environnementale ;

- Chapitre 6 : Gestion des communications et de l'exploitation ;

- Chapitre 7 : Contrôle d'accès ;

- Chapitre 8 : Acquisition, développement et maintenance des systèmes d'information ;

- Chapitre 9 : Gestion des incidents liés à la sécurité de l'information ;

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 20
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

- Chapitre 10 : Gestion de la continuité d'activité

- Chapitre 11 : Conformité légale et réglementaire.

De façon schématique, la démarche de sécurisation du système d’information selon la norme

ISO/CEI 27002 passe par quatre étapes à savoir :
- la définition du périmètre à protéger (liste des biens sensibles) ;

- l’identification de la nature des menaces ;

- l’évaluation de leur impact sur le système d’information ;

- la détection de mesures de protection à mettre en place pour réduire les impacts.

Elle comporte ainsi 39 catégories de contrôle et 133 points de vérification répartis en 11

C
ES

domaines.
AG

1.3.3. COBIT
Le référentiel COBIT (Control Objectives for Information and relatead Technology ou
-B

Objectifs de contrôle de l’information et des technologies associées) publié en avril 1996, il a

IB

été développé par l’ISACA dont l’AFAI est le correspondant en France. Il couvre 37 processus
LI

pour sa version 5 (COBIT 5) dont cinq processus de gouvernance des TI intitulés EDS (évaluer
O

diriger et surveiller) et 32 processus de gestion répartis en quatre grands domaines qui sont :
TH

APO (Aligner, Planifier et Organiser; BAI (Bâtir, acquérir et implanter) LSS (Livrer, servir et
soutenir) et SEM (Surveiller, évaluer et mesurer).
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 21
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Figure 4 : Les 37 processus de COBIT 5

C
ES
AG
-B
IB
LI

COBIT est un ensemble complet de ressources contenant toutes les informations dont les
O

entreprises ont besoin pour adopter un cadre de contrôle et de gouvernance des systèmes
TH

d’information. COBIT propose de bonnes pratiques à travers un cadre de référence par domaine
EQ

et par processus, dans une structure logique facile à appréhender.

U

1.3.4. MEHARI
E

MEHARI (Méthode Harmonisée d’Analyse de Risques) est issue de la fusion de deux méthodes
que sont MELISA (Méthode d'évaluation de la vulnérabilité résiduelle des SI) et MARION
(Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux)
(MENTHONNEX, 1995 : 361).
Elle est la propriété de CLUSIF. Cette méthode apporte des conseils, fait référence à un cadre
méthodologique cohérent et fournit un ensemble d’outils et de bases de connaissance sur des
domaines spécifiques tels que l’analyses des enjeux, l’étude des vulnérabilités, les scénarii de
risques, le pilotage de la sécurité de l’information (CLUSIF, 2010).

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 22
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Figure 5 : Démarche de la méthode MEHARI

C
ES
AG
-B

Source : CLUSIF
IB

1.3.5. EBIOS
LI

EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité), est également l’une
O

des méthodes d’analyse des risques SI. Elle est d’origine française. L’agence nationale de la
TH

sécurité des systèmes d’information (ANSSI) qui en est l’auteur, la présente sous forme de
EQ

document et de logiciel gratuit. Pour reprendre BLOCH & al. (2011 : 23), EBIOS permet
d’apprécier et de traiter les risques relatifs à la SSI et de communiquer à leur sujet au sein de
U

l’organisme et vis-à-vis de ses partenaires afin de contribuer au processus de gestion des risques
E

de SSI.
Cette méthode apporte toute l’aide nécessaire et indispensable pour juger des mesures de
sécurité fonctionnelles et techniques qu’il faudra mettre en place autour du système
d’information dans sa démarche de gestion des risques en cinq étapes. Elle est aussi un recueil
de bonnes pratiques pour élaboration du schéma directeur de la SSI.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 23
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Figure 6 : Démarche globale de EBIOS

C
ES
AG
-B
IB

Source : ANSSI (2010 : 13)

LI

La phase principale concerne la méthode d’analyse de l’existant (contexte). Après avoir mené
O

ces différentes analyses, des actions appropriées doivent être mises en œuvre afin de réduire les
TH

risques à un niveau acceptable.

EQ

1.3.6. OCTAVE
U

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) est une méthode
E

d’évaluation publiée par le SEI (Software Engineering Institute) de la Carnegie Mellon

University de Pittsburgh aux États-Unis, université très reconnue dans le domaine de la sécurité.
En se basant sur les travaux du CERT11 Américain, l’équipe du SEM (Survivable Enterprise
Management) a développé cette méthode d’évaluation des vulnérabilités, des menaces, et des
actifs opérationnels critiques. L’ensemble de la méthode est public et maintenu par l’université.
La méthode OCTAVE se compose en trois phases :
- vue organisationnelle ;

- vue technique ;

- développement de la stratégie de sécurité.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 24
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Elle est centrée sur la protection des actifs de l'entreprise et le management du personnel. Elle
couvre l'ensemble des processus métiers de l'entreprise aux niveaux organisationnel et
technique. Cette méthode suppose la constitution d'une équipe pluridisciplinaire comprenant
des membres de tous les services de l'entreprise. Elle leur permettra d'améliorer leur
connaissance de leur entreprise et de mutualiser les bonnes pratiques de sécurité.

Figure 7 : Schéma de la démarche OCTAVE

C

Source : Nous même à partir de AMAN VLADIMIR GNUAN (Concevoir la sécurité

ES

Informatique en entreprise, 43)

AG

Conclusion du premier chapitre

-B

L’étude des notions liées au SI, à leur sécurité et à la PS a permis de comprendre les concepts
clés de notre étude. Aussi, elle a approfondi notre connaissance de l’environnement normatif
IB

en ce qui concerne la sécurité des systèmes d’information. Le chapitre suivant nous permettra
LI

de présenter une méthodologie accompagnée des outils qui serviront de guide lors de l’étude de
O

notre deuxième partie.

TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 25
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

C
ES
AG
-B
IB

CHAPITRE 2 : METHODOLOGIE ET CADRE DE L’ETUDE

LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 26
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Dans la plupart des projets de mise en place d’une PS, il n’y a pas de démarche standard à
appliquer ou encore de formule magique. Il revient cependant à chaque professionnel ou à
l’équipe de professionnels de tenir compte du contexte de l’entité pour formuler une démarche.
Afin de proposer une PS appropriée, répondant aux besoins des parties prenantes et à la hauteur
des enjeux évoqués dans le chapitre 1, une démarche méthodique et adaptée s’impose dans
l’élaboration de notre PS.
C’est pourquoi dans ce chapitre, nous commencerons dans un premier temps par définir le
contexte dans lequel notre PSSI sera élaborée. Nous procéderons ensuite au recensement des
moyens du SI. Il s’agira ici de faire un inventaire des différentes composantes du réseau
informatique. Plus loin, nous qualifierons des principaux risques liés à la sécurité du réseau en
les identifiant et en proposant une stratégie de traitement pour chacun des risques identifiés.
C

Nous finirons par le choix des mesures de sécurité qui constitueront les règles de base du
ES

management de la sécurité de notre réseau informatique.

AG

En second lieu, nous présenterons l’entité qui fait l’objet de notre étude en évoquant notamment
son historique, sa mission et sa vocation. Nous présenterons un aperçu des activités qu’elle
-B

propose à ses clients et nous montrerons comment est régie son organisation interne. Nous
finirons par la présentation du Service Informatique, service au sein duquel nous avions effectué
IB

notre stage.
LI
O

2.1. Méthodologie de l’élaboration d’une PS

TH

La méthodologie est la partie de l’étude qui fait suite à la propédeutique et qui rend possible la
EQ

systématisation des méthodes, des techniques et outils nécessaires pour mener à bien cette
étude.
U
E

2.1.1. Les outils de collecte et d’analyse de données

Pour une analyse pertinente, nous disposons d’un ensemble d’outils et de moyens de collecte
de données.

2.1.1.1. L’observation physique

L’observation physique est une expérience de sélection et de recueil d’informations sur un
phénomène, un objet d’étude en vue de dégager des hypothèses ou de vérifier celles découlant
d’observations antérieures. Elle est l’action de suivi attentif des phénomènes, sans volonté de
les modifier, à l’aide de moyens d’enquêtes et d’études appropriées.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 27
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Il existe plusieurs types d’observation mais nous opterons, dans le cadre de notre étude, pour
l’observation participative. En effet, c’est une technique de collecte de données qui consiste à
aller vivre avec les personnes concernées afin de pouvoir observer et partager les multiples
aspects de leur quotidien.

2.1.1.2. L’entretien
L’entretien sera mené auprès des employés sur la base d’un canevas de questions préalablement
construit. Il se déroule en face à face dans un lieu choisi d’un commun accord. Les données
recueillies sont essentiellement des opinions, des motivations c’est-à-dire des informations
qualitatives.
Nous rechercherons auprès des entretenus des explications et ce qu’ils pensent du système du
C

management de la sécurité réseau ou du SI dans son ensemble.

ES

Plusieurs types d’entretiens existent mais nous nous intéresserons à l’entretien semi directif.
AG

C’est l’entretien qui est le plus utilisé sur le terrain car, contrairement à l’entretien non directif
où l’on pose comme principe l’acceptation de l’autre donc de ce qu’il dit ou ne dit pas, on va
-B

chercher à obtenir des informations sur des thèmes préalablement définis.

L’entretien semi directif est une technique qualitative fréquemment utilisée. Il permet de cerner
IB

le discours des personnes interrogées autour de différents thèmes définis au préalable par les
LI

enquêteurs et consignés dans un guide d’entretien. Il peut venir compléter et approfondir des
O

domaines de connaissances spécifiques liés à l’entretien non directif qui se déroule très
TH

librement à partir d’une question.

EQ

Les entretiens seront ensuite retranscrits et feront dans un second temps l’objet d’une analyse
qualitative qui examinera le contenu des propos recueillis.
U
E

2.1.1.3. L’analyse documentaire

L’analyse des documents nous permettra de connaitre d’avantage l’entité à travers ses objectifs,
ses missions et ses différents organes. Ces documents seront essentiellement : l’organigramme
de l’entité, les fiches de postes, l’architecture réseau, le manuel de procédure du Service
Informatique, etc.
L’analyse documentaire sera essentiellement basée sur une recherche quantitative et qualitative.

2.1.1.4. La cartographie des risques

La cartographie des risques se définit comme la démarche d’identification, d’évaluation, de
hiérarchisation et de gestion des risques inhérents aux activités d’une organisation. La

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 28
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

cartographie des risques est un levier indispensable au pilotage des risques et constitue le socle
de la stratégie de gestion des risques.
La cartographie des risques permet d’appréhender l’ensemble des facteurs susceptibles
d’affecter les activités et leur performance. L’objectif est de mettre alors en place les actions
nécessaires afin de se prémunir au maximum des conséquences juridiques, humaines,
économiques et financières que représentent les risques identifiés.
La cartographie des risques implique d’investiguer de façon approfondie sur l’ensemble des
processus managériaux, opérationnels et supports que les activités nécessitent de mettre en
œuvre. Elle nécessite également d’identifier les rôles et responsabilités de chaque acteur, à
chaque étape des processus.
Pour être efficace, la cartographie des risques doit respecter trois conditions :
C

- être exhaustive et précise ;

ES

- être formalisée et accessible ;

AG

- être évolutive.
-B

Dans le cadre de notre étude, nous utiliserons la cartographie des risques pour identifier les
IB

risques auxquels fait face notre réseau afin d’apporter une réponse adéquate en ce qui concerne
LI

les mesures de sécurité à mettre en place dans la PS.

O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 29
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

2.1.2. Démarche de l’élaboration d’une PSSI

Notre démarche se présente comme suit :

Figure 8 : Démarche de l’élaboration de la PS

1 Définir le contexte Objectif

1.1. Définir les enjeux de la sécurité

1.2. Définir les textes applicables
1.3. Fixer les objectifs Les moyens du réseau &
Périmètre le champ d’application 2
les risques
2.1. Moyens matériels
C

2.2. Logiciels
ES

2.3. Autres infrastructures

2.4. Définir le champ d’application
AG

Rôle &
3 Identifier & qualifier responsabilité
-B

3.1. Identifier les acteurs

3.2. Cartographier des risques
IB

3.3. Définir la stratégie de

traitement
LI

PG de sécurité
des risques & Choisir les mesures de sécurité
O

Règle sécurité 4
TH

4.1. Organiser les exigences & des règles

EQ

4.2. Fixer les exigences de sécurité applicables

4.3. Décliner les exigences de sécurité en règles
Revue de la
U

PS
E

POLITIQUE
DE SECURITE

Source : nous-même

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 30
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

2.1.2.1. Le Contexte
La première étape dans notre démarche a pour objet de fixer le périmètre du SI auquel doit
s’appliquer la PSSI, d’expliciter les enjeux associés à ce périmètre, et de vérifier que les
conditions requises pour la définition et la mise en œuvre d’une PSSI sur ce périmètre sont
réunies.
Les différentes activités à mener au cours de cette étape sont :
- préciser les enjeux de sécurité ;

- identifier les textes applicables.

- Fixer les objectifs

2.1.2.1.1. Préciser les enjeux de sécurité

C
ES

L’objet de cette activité est d’expliciter en quoi la sécurité du SI est importante pour la bonne
AG

réalisation des activités retenues pour le périmètre de la PSSI.

L’expression de ces enjeux fait typiquement ressortir l’importance du SI dans la réalisation des
-B

missions du CESAG et, de fait, les exigences qui pèsent sur le SI pour que ces activités puissent
être réalisées conformément aux attentes. Les contraintes liées au contexte, aux obligations, à
IB

l’environnement, peuvent également être mentionnées ici si elles sont susceptibles de

LI

conditionner les attentes en termes de SSI.

O

Le périmètre métier et support retenu conditionne notamment les enjeux de sécurité, les moyens
TH

du SI pris en compte et les risques liés au SI.

EQ

2.1.2.1.2. Identifier les textes applicables

U
E

Il s’agira ici d’identifier les principaux textes qui imposent des contraintes quant à l’usage du
SI. Il ne s’agira pas pour nous de lister ces contraintes, mais d’identifier les textes de bonnes
pratiques qui fixent ces contraintes, afin que la Direction, les Responsables d’applications, le
Responsable du Service Informatique puissent les prendre en compte et s’y reporter quand
nécessaire.

2.1.2.1.3. Fixer les objectifs de la PSSI

La PSSI a pour objectif de permettre à une entité de se doter d'un ensemble de règles
organisationnelles, techniques, de codes de conduite et de bonnes pratiques visant à protéger
ses biens (infrastructures et actifs critiques). Elle se veut être un document dans lequel la

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 31
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Direction Générale et toute l’entité manifestent leur engagement clair et ferme en matière de
gestion de la sécurité. En d’autres termes, elle permettra de :
- définir la cible en termes de gestion de la sécurité des systèmes d’information

- organiser la sécurité

- fédérer tous les organes de l’entité autour du thème ‘sécurité’

- savoir mesurer la sécurité

- améliorer la sécurité au quotidien

Figure 9 : Objectifs d’une PS

C
ES
AG
-B
IB
LI
O
TH
EQ
U
E

Source : nous-même

2.1.2.2. Définir les moyens du réseau et le champ d’application

La définition des moyens du réseau et le champ d’application permettront de définir le
périmètre de la PS.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 32
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

2.1.2.2.1. Recenser les moyens du réseau

Les moyens sur lesquels s’appuie le SI, également appelés « biens supports » dans le cadre
d’une analyse de risques, constituent le patrimoine matériel et organisationnel que les règles de
la PSSI vont contribuer à protéger pour permettre le bon déroulement des activités.
Pour que ces règles soient définies de manière pertinente, il est nécessaire de connaître d’une
part la nature de l’ensemble des éléments auxquels elles vont s’appliquer et d’autre part, qui
aura en charge de mettre ces règles en application. A cette fin, un inventaire des catégories de
biens supports du SI doit être réalisé.
Il ne s’agira pas ici de dresser un inventaire détaillé qui recenserait chaque composant du SI
comme on le ferait pour une gestion de parc par exemple, mais d’identifier des groupes de biens
supports homogènes.
C
ES

A cette fin, nous procéderons par l’observation physique dans le but de nous assurer de
l’exhaustivité de l’ensemble des moyens existants.
AG

2.1.2.2.2. Champ d’application de la PSSI

-B

Le champ d’application de la PSSI se définit :

IB

du point de vue des activités métiers et des activités support d’une part ;
LI

-
O

- du point de vue des moyens du SI d’autre part.

TH

Cette activité a pour objet de traiter le premier aspect, à savoir le périmètre auquel doit
EQ

s’appliquer la PSSI du point de vue des activités. Le second aspect est traité au cours de l’étape
«recenser les moyens du SI ».
U

Il s’agit ici de dresser une brève description des activités qu’on souhaite inclure dans le
E

périmètre et de préciser celles qu’on souhaite exclure du périmètre le cas échéant (par exemple,
de façon temporaire, pour une première mise en œuvre de la PSSI uniquement).
Les activités supports qui sont nécessaires aux activités métiers doivent également être
indiquées. La description nécessite le niveau de détail juste suffisant à garantir que le périmètre
pris en compte est clair pour l’ensemble des utilisateurs.
Pour ce faire, nous procéderons à l’observation physique. Selon IFACI (2013), c’est le moyen
le plus fiable pour obtenir une preuve directe d’une situation.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 33
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

2.1.2.3. Identifier les acteurs et qualifier les principaux risques du SI

L’identification des acteurs et qualification des principaux risques aboutiront à l’établissement
des rôles et des responsabilités.

2.1.2.3.1. Identification des acteurs

Dans le projet d’élaboration de la PSSI ou de sa mise en œuvre, différents acteurs sont

susceptibles d’être mobilisés. Outre les travaux opérationnels autour de la PSSI, il est essentiel
que les acteurs qui participent à l’animation de la SSI soient concernés par la PSSI.
Afin de répondre à cette exigence, différents acteurs peuvent être identifiés. Il s’agira pour nous
d’identifier l’ensemble des acteurs pouvant être impliqués dans l’élaboration et la mise en
œuvre de la PSSI. Il sera question également de situer brièvement les responsabilités de chacun
C

des acteurs identifiés. Pour ce faire, nous allons nous appuyer sur le tableau RACI (Responsable
ES

Approuve Consulté et Informé) de COBIT 5. C’est un tableau permettant de situer un niveau

AG

de responsabilité à chaque acteur en fonction des activités de GSSI.

( Tableau d’identification des acteurs basé sur COBIT 5 : voir annexe)
-B
IB

2.1.2.3.2. Identifier les principaux risques liés au SI

LI

Il est important de comprendre les principaux risques auquel est exposé le SI afin de nous
O

assurer que les exigences et les règles de sécurité proposées sont adaptées au contexte.
TH

Il s’agira pour nous d’établir ou de mettre à jour la cartographie des risques. La finalité de cette
EQ

cartographie est de lister les principaux risques qui pèsent sur le SI, les hiérarchiser par niveau
de risque, afin de pouvoir définir les priorités de mise en œuvre des règles de sécurité. L’analyse
U

de risque doit-être minutieusement menée en vue de déterminer si des exigences de sécurité

E

supplémentaires sont nécessaires, et de définir dans ce cas les règles de sécurité qui permettent
d’y répondre.

2.1.2.3.3. Préciser la stratégie de traitement des risques

Une fois les principaux risques identifiés, il reste à confirmer la manière dont ils doivent être
traités. C’est l’objet de cette étape.
Pour chaque risque, il s’offre quatre options de traitement. Les deux premières sont le plus
souvent adoptées :

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 34
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

- réduire le risque : mettre en œuvre des mesures de sécurité pour diminuer la

vraisemblance du risque ou son impact (ou les deux), pour que le risque se limite à un
niveau acceptable ;

- transférer ou partager le risque : partager les pertes avec d’autres acteurs en cas de
sinistre (par exemple avec une compagnie d’assurance), faire assumer la responsabilité
par un tiers…

Les deux dernières peuvent être retenues vis-à-vis de certains risques, dans des situations
particulières :
- éviter (ou refuser) le risque : modifier des éléments du contexte du SI afin qu’il n’existe
plus d’exposition à ce risque. Par exemple, pour une application, l’autoriser qu’au
C

personnel interne authentifié au lieu de la laisser en libre accès à toute personne interne
ES

comme initialement souhaité, ou encore renoncer complètement à une application car

AG

le coût des mesures nécessaires pour la sécuriser n’est pas acceptable au regard des
services attendus de cette application ;
-B

- prendre (ou « maintenir ») le risque : accepter le risque tel quel et assumer ses
IB

conséquences sans prendre de mesure de sécurité supplémentaire ;

LI

Il est possible de choisir plusieurs options pour un même risque, par exemple réduire
O

partiellement le risque par des mesures de sécurité et recourir à une assurance pour couvrir les
TH

frais en cas de réalisation du risque résiduel.

EQ

Bon nombre de méthodes de management des risques existent et nous seront forts utiles dans
notre démarche.
U
E

2.1.2.4. Choisir les mesures de sécurité

A ce stade de la démarche, les éléments constitutifs du SI ont été identifiés, les risques qui
peuvent y être associés ont été cartographiés et la stratégie de traitement de chaque risque a été
fixée.
L’activité suivante consistera, pour chaque risque qu’il a été décidé de réduire à un niveau
acceptable, à déterminer les exigences de sécurité qui doivent être imposées au SI pour atteindre
cet objectif.
Ces exigences de sécurité peuvent être de nature à éviter la survenance du risque (il s’agit alors
de prévention) ou à en limiter les impacts lorsqu’ils donnent lieu à des incidents (il s’agit alors
de réaction à l’incident). Elles sont généralement exprimées sous une forme fonctionnelle,

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 35
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

générique et peu technique. C’est sur la base de ces exigences que seront élaborées, les mesures
opérationnelles concrètes qui répondront à ces exigences.
Le choix des mesures de sécurité permettra de définir la politique générale de sécurité et les
règles de sécurité.
2.1.2.4.1. Organisation des exigences et des règles

Les exigences et les règles sont organisées en 7 thématiques :

Thématique 1 : Répondre aux obligations légales

Thématique 2 : Promouvoir et organiser la sécurité

Thématique 3 : Assurer la sécurité physique des équipements informatiques du SI

C

Thématique 4 : Protéger les infrastructures informatiques

ES

Thématique 5 : Maîtriser les accès aux informations

AG

Thématique 6 : Acquérir des équipements, logiciels et services

Thématique 7 : Limiter la survenue et les conséquences d’incidents de sécurité

-B

Cette structuration en 7 thématiques s’est appuyée sur les thèmes utilisés par l’ISO 27002.
IB

Certains de ces thèmes ont cependant été regroupés pour être adaptés à notre cas. Cet
LI

aménagement a pour finalité de nous permettre d’identifier plus aisément les contextes sur
O
TH

lesquels portent les exigences afin d’en apporter une déclinaison adaptée aux personnes qui
doivent les mettre en œuvre.
EQ

2.1.2.4.2. Fixer les exigences de sécurité applicables

U

Il s’agira ici de proposer des mesures conformément au cadre légal et à la stratégie de traitement
E

des risques adoptée, afin de :

- réduire les risques génériques identifiés dans le tableau de la cartographie des risques ;

- répondre aux principales obligations légales en matière de sécurité des SI.

Ces mesures sont issues de l’ensemble des référentiels techniques et des bonnes pratiques en
sécurité des SI (norme ISO/ IEC 27001 — Technologies de l’information — Techniques de
sécurité — Systèmes de management de la sécurité de l’information — Exigences, norme
ISO/IEC 27002 – Technologies de l’information – Techniques de sécurité – Systèmes de
gestion de sécurité de l’information – Exigences, guides ANSSI).

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 36
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

2.1.2.4.3. Décliner les exigences de sécurité en règles

Une fois les exigences de sécurité établies, il convient de déterminer les mesures de sécurité qui
permettront de satisfaire chacune d’elles.
Ces mesures sont présentées sous forme de règles, de consignes à mettre en œuvre par les
utilisateurs du SI. La norme ISO/ IEC 27001 propose un ensemble de mesures qui permettront
de répondre aux exigences que nous aurons prédéfinies.
A cette fin, les opérations à mener au cours de cette tâche sont, pour chaque mesure proposée :
- vérifier que la mesure s’applique à des catégories de composants de SI effectivement
présentes dans le SI ;

- si la mesure est applicable à au moins un composant du SI, la contextualiser pour notre

C

SI ;
ES

2.1.2.5. Revue de la politique de sécurité

AG

La revue de la politique de sécurité constitue un support à la mise en place d’un cycle

-B

d’amélioration continue. Ce cycle permettra d’améliorer continuellement la sécurité afin

d’atteindre un objectif de sécurisation conforme à la PSSI et adapté aux enjeux.
IB

Pour ce fait, il est proposé une liste des mesures essentielles propres à constituer cette première
LI

marche.
O
TH

2.1.3. Modèle d’analyse

EQ

Le modèle d'analyse nous permettra de fournir une approche conceptuelle de notre

méthodologie. Le but de ce modèle est de définir une structure robuste et extensible qui nous
U

servira de base pour la construction de notre PS.

E

Ainsi, après avoir exposé nos outils de collecte et d’analyse de données et présenté notre
démarche, nous pouvons résumer notre méthodologie à travers le modèle d’analyse schématisé
ci-dessous :

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 37
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Figure 10 : Modèle d’analyse

PHASES Etapes Outils / Méthodes

DEFINITION DU CONTEXTE Entretien / les acteurs de la SSI

OBJECTIF Définir les enjeux de la sécurité Entretien / la DG + acteurs SSI
Identifier les acteurs Grille de fonction
Définir les textes applicables Normes ISO/IEC 27001

RECENSEMENT DES
MOYENS DU RESEAU
PERIMETRE Définir le champ d’application Observation physique
Recenser l’ensemble des Tableau des équipements
C

composantes du réseau
ES
AG
-B

IDENTIFIER & QUALIFIER

LES RISQUES
ROLES ET Cartographier des risques Cartographie des risques
IB

RESPONSABILITE Définir la stratégie de

LI

traitement des risques

O
TH
EQ

POLITIQUE GENERALE CHOISIR LES MESURES DE SÉCURITÉ Modèle ISO/IEC 27001

DE SECURITE Organiser les exigences & les règles Entretien / le RSI
U

& Fixer les exigences de sécurité applicable

E

REGLE DE SECURITE Décliner les exigences de sécurité en règles Entretien / les acteurs SSI

REVUE DE LA
POLITIQUE POLITIQUE DE SECURITE

Sources : nous-même

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 38
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

2.2. Présentation du CESAG

Nous avons effectué un stage de sept (07) mois au Centre Africain d’Etudes Supérieures en
Gestion (CESAG). Le CESAG est une institution sous régionale spécialisée en matière de
formation, de recherche et de consultation dans le domaine du management.

2.2.1. Historique, Mission et Vocation

Bien plus qu’une école, le CESAG est un patrimoine sous régional.

2.2.1.1. Historique
Entré en activité en 1985, le CESAG s’est rapidement établi un rayonnement régional en
s’imposant comme la principale grande école de formation au management en Afrique
C
ES

francophone au Sud du Sahara. Les principaux diplômes qu’il délivre sont reconnus par le
Conseil Africain et Malgache pour l’Enseignement Supérieur (CAMES).
AG

A la suite de la liquidation de la Communauté Economique de l’Afrique de l’Ouest (CEAO),

organisme de tutelle du CESAG jusqu’en 1995, la Banque Centrale des Etats de l’Afrique de
-B

l’Ouest (BCEAO), sollicitée par les Etats membres de l’Union Economique et Monétaire Ouest
IB

Africaine (UEMOA), soucieux de conserver les acquis de la CEAO en matière d’intégration

LI

régionale, a repris le CESAG et l’a doté d’une large autonomie de gestion pour lui permettre de
O

poursuivre sa mission avec plus d’efficacité.

TH

2.2.1.2. Mission
EQ

Le CESAG a pour mission de contribuer, par la formation, la recherche et le conseil, au

U

renforcement des capacités de gestion dans la sous-région.

E

A cet effet, un objectif important du CESAG est d’accompagner le processus d’intégration

régionale en Afrique de l’Ouest par le renforcement des capacités humaines et institutionnelles
en vue d’assurer le succès des importants projets sectoriels d’intégration (le Système Comptable
Ouest Africain (SYSCOA), l’Organisation pour l’Harmonisation du Droit des Affaires en
Afrique (OHADA), la Centrale des Bilans, le Marché Financier Régional, l’Union Douanière).
Ainsi, en partenariat avec les entreprises, les Administrations et organisations de la région, le
CESAG met au point et conduit des programmes et des actions de formation qui contribuent de
manière déterminante à renforcer l’efficacité des hommes et des structures et donc à accroître
la productivité.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 39
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

2.2.1.3. Vocation
Les participants aux programmes du CESAG proviennent de l’ensemble du continent africain :
pays de l’UEMOA, Burundi, Cameroun, Congo, Gabon, Ghana, Guinée, Madagascar,
Mauritanie, Tchad et Djibouti.
Des ressortissants de la République Centrafricaine, du Cap-Vert, du Rwanda, d’Algérie,
d’Haïti, des Philippines, de Tunisie, du Maroc, et de France ont également eu à s’inscrire aux
programmes longs et courts du Centre par le passé

2.2.2. Portefeuille d’activités

Le portefeuille d’activités du CESAG comporte des activités de formation, de consultation et
de recherche.
C

La formation
ES

Elle comprend la formation diplômante (DESS, Master et Licence), fortement marquée par une
restructuration intervenue en 2001-2002, puis par la réforme Licence, Master, Doctorat (LMD)
AG

en cours, et la formation qualifiante (séminaires) l’évolution des effectifs est la suivante depuis
-B

1998.
La formation diplômante
IB

Les programmes de MBA et de Master

LI

Une dizaine de MBA ouverts aux candidats titulaires d’un diplôme de niveau Bac + 4, trois
O

Masters en Sciences de Gestion, en Audit et Contrôle de Gestion et en Techniques Comptables

TH

et Financières, créés dans le cadre de la réforme LMD.

EQ

Les programmes de Licence

Deux programmes de Licence en Sciences de Gestion et en Techniques Comptables et
U

Financières créés dans le cadre de la réforme LMD.

E

Formation qualifiante
En plus des programmes diplômants, le CESAG offre, chaque année, un grand nombre de
séminaires de recyclage et de perfectionnement de courte durée (quelques jours à quelques
semaines). Certains de ces séminaires sont coorganisés avec des partenaires internationaux tels
que la Banque Mondiale, l’Organisation Mondiale de la Santé, l’USAID, l’UNFPA, etc.
Ils peuvent être offerts sous forme intra-entreprise ou inter-entreprises. Le CESAG peut
également répondre à des besoins spécifiques par des formations sur mesure.
La recherche et la consultation
Parallèlement aux activités d’enseignement, les enseignants permanents mènent des activités
de recherche et de consultation.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 40
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Le plan stratégique en cours a inscrit, parmi ses objectifs principaux, de donner une nouvelle
impulsion à la recherche par la mobilisation et la mise à la disposition des chercheurs des
ressources nécessaires et par diverses mesures incitatives.

2.2.3. Gouvernance et Organisation

Comme toute entité de grande taille, le CESAG dispose en son sein d’un système de
gouvernance et d’organisation bien articulé.

2.2.3.1. Gouvernance
Le CESAG est un Établissement Public International régi par un ensemble de textes
réglementaires et statutaires :
- le Statut du Centre ;
C
ES

- le Statut du personnel ;
AG

- le Protocole d’accord du 6 septembre 1995 entre la CEAO et la BCEAO concernant les

modalités et conditions de transfert du patrimoine du CESAG à la BCEAO ;
-B

- l’avenant à l’accord de siège entre la BCEAO et le CESAG et le Gouvernement du

IB

Sénégal relatif à l’extension au CESAG des immunités diplomatiques et juridiques dont

LI

jouit la Banque, signé le 6 mai 2009.

O

Le fonctionnement du Centre est assuré par trois organes :

TH

- un Conseil d’Administration de 12 membres, présidé par le Gouverneur de la BCEAO,

EQ

définit les grandes orientations du Centre ; il se réunit deux fois par an, en session
ordinaire, en juin et en décembre, pour examiner respectivement le rapport de gestion
U

et le budget du Centre ;
E

- un Conseil Scientifique et Pédagogique consultatif chargé de la supervision des

programmes de formation et de recherche. Cet organe, composé de professeurs des
Universités régionales, européennes et américaines, n’est pas encore fonctionnel ;

- une Direction Générale qui met en œuvre les décisions du Conseil d’Administration,
organise et dirige les activités du Centre.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 41
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

2.2.3.2. Organisation
Le CESAG est géré par un Directeur Général nommé par le Conseil d’Administration. Il est
assisté dans ses fonctions par un Secrétaire Général et deux (02) Conseillers.
Pour mener à bien ses activités, le Centre s’est doté d’un organigramme entré en vigueur au
mois de novembre 2014 dont la dernière mise jour date de 2017.
(Organigramme fonctionnel du CESAG : voir annexe)

2.2.4. Présentation du service informatique

Le Service Informatique du CESAG est l’organe au sein duquel nous avions effectué notre
stage. Dans l’intérêt de notre étude, la connaissance de celui-ci s’avère plus que nécessaire.

2.2.4.1. Composition
C

Le service informatique est composé à ce jour de deux (02) agents permanents en CDI, un (1)
ES

agent en CDD et de deux (02) collaborateurs extérieures, chargés de mettre à la disposition des
AG

utilisateurs, des ressources et services informatiques. Il offre une assistance aux utilisateurs et
garantit la sécurité du système d'information de l'établissement.
-B

2.2.4.2. Missions
IB

La mission du service informatique est organisée autour des activités suivantes :

LI

Préparer les cahiers de charges pour les appels d’offres ou consultations ;

O

-
TH

- Etudier les offres issues d’appel d’offres ou de consultation ;

EQ

- administrer et exploiter les serveurs administratifs et communs ;

U

- maintenir le parc informatique, planifier les interventions d'installation, de

E

configuration et de dépannage de matériels mis à la disposition de l'administration et

des enseignants (hors laboratoires), et gérer les priorités ;

- établir l'inventaire du parc informatique et des logiciels en service dans tout

l'établissement,

- gérer le réseau informatique filaire et WIFI et faire évoluer l'infrastructure matérielle

dans tous les bâtiments,

- établir les schémas du réseau informatique ;

- gérer les serveurs d'annuaires et fournir des services numériques aux usagers
(messagerie électronique, réseau sans fil, ...) ;

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 42
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

- gérer le site internet institutionnel et mettre à jour les informations qui s'y trouvent,

- mettre en place les mécanismes concernant la sécurité informatique, et assurer la veille

sur l'évolution des risques ;

- mettre en place une politique de sauvegarde et d'archivage des données ;

- conseiller et informer les utilisateurs dans tout ce qui touche à l'informatique au sens
large ;

- Assistance aux étudiants et aux séminaristes ;

- Faire évoluer le système dans son intégralité

Conclusion du deuxième chapitre

C
ES

La connaissance de l’environnement d’une entité ou d’une organisation faisant objet d’une

étude ou d’une mission est toujours capitale pour l’atteinte des objectifs.
AG

Ce chapitre sur la présentation du CESAG nous a permis de le découvrir à travers son historique,
mission, et vocation, son portefeuille d’activités, sa gouvernance et son organisation. De plus,
-B

il nous a aidé à mieux cerner le positionnement du support informatique (Service Informatique)

IB

dans l’organisation du CESAG.

LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 43
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Conclusion de la première partie

Cette première partie nous a permis d’appréhender la notion des systèmes d’information (SI),
de sécurité des SI et de politique de sécurité du SI (PSSI). Elle nous a permis également d’étaler
notre démarche quant à la conception d’une PSSI dans un premier temps. Secondairement, nous
avions présenté l’entité qui fait l’objet de notre étude.
A travers cette étude théorique, nous avons mis en exergue les différents aspects de notre
méthodologie. De même, nous avons passé en revue les outils et techniques qui vont nous
permettre de recueillir, d’analyser et d’évaluer les informations nécessaires à la conception de
notre PSSI. La suite de notre travail se poursuivra dans la deuxième partie dans laquelle nous
procéderons à la réalisation pratique de notre étude.
C
ES
AG
-B
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 44
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

C
ES

DEUXIEME PARTIE :
AG

CADRE PRATIQUE DE L’ELABORATION DE LA

-B

POLITIQUE DE SECURITE
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 45
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Introduction de la deuxième partie

Cette deuxième partie a pour objectif de comprendre d’abord l’écosystème du réseau
informatique de notre structure d’accueil en l’occurrence le CESAG et ce qui est effectué pour
garantir la sécurité. C’est alors ensuite que nous aurions de meilleures orientations pour
formuler notre politique de sécurité.
C’est pourquoi notre seconde partie est structurée en deux chapitres tout comme la première
partie. Nous avons le chapitre 3 dans lequel nous procéderons à la description de l’existant et
dans le chapitre 4 il s’agira de l’élaboration de la politique de sécurité.
C
ES
AG
-B
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 46
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

C
ES
AG
-B
IB

CHAPITRE 3 : DESCRIPTION DE L’EXISTANT

LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 47
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

L’étude de l’existant permet de décrire la (les) solution(s) existante(s), décrire l’organisation

de l’entreprise et le fonctionnement de l’organe qui fait l’objet de notre étude, décrire
l’environnement technique de l’étude.
C’est pourquoi dans ce chapitre nous allons, décrire le réseau informatique en présentant
l’architecture du réseau l’ensemble des éléments qui le compose. Ensuite nous décrirons
comment le système réseau est administré et comment sa sécurité et sa disponibilité sont
maintenues.

3.1. Description du réseau informatique

Le réseau informatique du CESAG est un ensemble d'équipements et de logiciels reliés entre
eux pour échanger des informations. Il est constitué de matériels informatiques tels que les
C

ordinateurs portables, les ordinateurs bureautiques, les imprimantes, les onduleurs, les scanners,
ES

les serveurs et les switchs. Le parc logiciel est constitué des produits Microsoft Office, de
AG

Windows Serveur 2008, de logiciels comptable, d’analyse de données, de gestion budgétaire,

logiciel de gestion de la sécurité du réseau et bien d’autres logiciels.
-B

Il couvre l’ensemble du site de l’école et dessert toutes les structures organisationnelles de

l’établissement à savoir :
IB

- l’administration ;
LI
O

- l’agora ;
TH

- l’auditorium ;
EQ

- le bâtiment Yali ;
U

- la direction générale ;
E

- la résidence ;

- les salles informatiques ;

- les salles de cours ;

Le réseau se présente sous l’architecture de type LAN (Local Area Network), constitué de liens
FTP et de fibres optiques. Des liens de doublures ont été mise en place afin de palier à
l’indisponibilité des principaux liens. Des switchs ont été installés dans chacun des bâtiments
du site afin de servir de hub pour l’ensemble des utilisateurs.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 48
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Le réseau est piloté par le firewall FortiGate 300 C. C’est un boîtier conçu pour les grandes
entreprises. Il supporte la haute disponibilité, qui comprend une réplication automatique sans
coupure de réseau. Ces caractéristiques font de lui, le meilleur choix pour les applications les
plus critiques. Il fonctionne 24 h / 24, 7 j / 7 et permet de :
- faire des mises à niveau des micro-logiciels et des logiciels en général ;

- mettre au point un VPN ;

- assurer la gestion du trafic et l’ensemble des services réseau de l’entreprise (programme

de contrôle des applications, IPS, AV, AV / Botnet, logiciel malveillant mobile) Service,
filtrage Web, antispam, Cloud, y compris épidémie de virus et service de désarmement
et de reconstitution du contenu, service d'évaluation de la sécurité, service de sécurité
C

industrielle et service CASB).

ES

Afin d’effectuer une description holistique du réseau informatique du CESAG, deux (02)
AG

architectures seront présentées dans les pages suivantes.

-B
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 49
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Figure 11 : Architecture LAN cible du réseau

C
ES
AG
-B
IB
LI
O
TH
EQ
U
E
Source : Documentation CESAG

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 50
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Figure 11 : Architecture LAN du réseau

C
ES
AG
-B
IB
LI
O
TH
EQ
U
E
Source : Manuel d’administration du réseau, Service Informatique CESAG

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 51
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

3.2. Administration du réseau informatique

Le premier responsable de la sécurité du réseau informatique du CESAG est le Responsable de
Service Informatique (RSI). Dans l’exercice de ses fonctions et en ce qui concerne
l’administration du réseau, il réalise les activités suivantes :
- l’élaboration des procédures et règles relatives à la gestion du système d’information
(GSI) relatif au réseau;

- la gestion la formation des utilisateurs ;

- la supervision de la gestion des serveurs ;

- le contrôle la disponibilité de la ligne Internet ;

C
ES

- l’administration du firewall (ajout de nouvelles règles en cas de besoin, contrôle des

journaux pour prévenir les attaques de pirates) ;
AG

- la gestion des entrées et sorties du matériel informatique;

-B

Il est assisté dans cette tâche par un Administrateur Réseaux et Systèmes (ARS) et un
IB

Technicien Réseau (TR) comme signifié dans le manuel de procédure. L’ARS a pour activité :
LI

- contrôler le câblage réseau ;

O

- définir clairement les mesures de sécurité du câblage réseau ;

TH

- contrôler l’accès aux panneaux de raccordement et aux salles des câbles ;

EQ

- identifier nominativement chaque personne ayant accès au système ;

U
E

- définir les règles de choix et de dimensionnement des mots de passe ;

- mettre en place des moyens techniques permettant de faire respecter les règles relatives
aux mots de passe ;

- ne pas conserver les mots de passe sur les systèmes informatiques ;

- supprimer ou modifier systématiquement les éléments d’authentification par défaut sur

les équipements ;

Et le TR a pour tâche :
- protéger le câblage réseau ;

- utiliser un marquage clairement identifiable sur les câbles ;

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 52
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

- utiliser une liste documentée des raccordements à effectuer ;

- utiliser câble fibre optique ;

- utiliser un blindage ;

3.3. Menaces liées à la sécurité

Nous présenterons les menaces de sécurité l’ensemble du SI avant de les restreindre au
système réseau.

3.3.2. Cartographie des risques du SI

Ci-dessous, se trouve les menaces liées à la sécurité du SI :
Tableau 2 : Risques généraux liés au SI
Niveau de
C

Niveau de risque brut risque

ES

résiduel
AG

Probabilité Criticité du Criticité du

Gravité (G)
(P) risque risque
N° Libellé du Risque du risque
du risque (P x G = (P x G =
(1 à 6)
-B

(1 à 6) C/36) C/36)
IB

Risque lié à la gouvernance et à la

gestion du processus décisionnel en
LI

1 matière informatique (décisions 5 5 25 25

O

d'investissements, projets, choix

technologique, etc.).
TH

Risque lié à la dégradation du

EQ

patrimoine informationnel du CESAG

en raison d'une non-formalisation de la
U

2 cartographie du système d'information 4 5 20 20

et une connaissance insuffisante des
E

différents flux informationnels et

modalités de stockage.

Déficit de soutien opérationnel des

utilisateurs au lancement des nouvelles
applications en raison d'un sous
3 5 4 20 20
dimensionnement de l'équipe projet et
de l'équipe de support (problème de
conduite du changement).

Source : rapport d’élaboration de la Cartographie des risques des

processus du CESAG

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 53
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Ci-dessous, se trouve les menaces liées à la sécurité du réseau :

Tableau 3 : Risques liés au réseau

Niveau de
Niveau de risque brut risque
résiduel
Probabilité Criticité du Criticité du
Gravité (G)
(P) risque risque
N° Libellé du Risque du risque
du risque (P x G = (P x G =
(1 à 6)
(1 à 6) C/36) C/36)

Risques d'intrusion dans le réseau, de

1 4 6 24 24
disponibilité des ressources.

Risques liés au changement et à la

2 prise en des évolutions futures 3 5 15 15
C

(Politiques statiques)
ES

Cumul de fonctions entrainant des

3 risques d'erreur, des lourdeurs dans de 3 3 9 9
AG

l'exécution des tâches.

non visibilité des activités liées à la
sécurité réseau par la Direction
-B

4 3 3 9 9
entrainant des risques de négligences
et de démotivations
IB

Risques d'interférence dans la mise en

LI

5 œuvre des projets avec la politique 2 3 6 6

globale de sécurité.
O
TH

Risques liés aux accès non autorisés

6 3 6 18 18
aux ressources du réseau
EQ
U

7 Risques liés à l'intégrité des données 5 6 30 30

E

Risques liés à la répudiation, la

8 traçabilité des actions sur les 2 6 10 12
ressources du réseau

Source : nous-même avec approbation du RSI

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 54
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

3.3.2. Matrice des risques résiduels du SI

Les risques identifiés ont été qualifiés comme l’indique la figure ci-dessous :
Figure 13 : Matrice des risques

C
ES
AG
-B
IB
LI
O
TH
EQ

Source : rapport d’élaboration de la Cartographie des risques des

U

processus du CESAG
E

3.4. Gestion de la sécurité du réseau informatique

La gestion de la sécurité du réseau informatique est organisée autour des activités suivantes :
- la maintenance informatique préventive permettant d'assurer un contrôle des
équipements informatiques afin de prévenir toute dégradation ou panne inattendue et le
bon fonctionnement du matériel informatique présent sur le réseau ;

- les câbles électriques ou de télécommunications transportant des données sont protégés

contre toute interception ou dommage ;

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 55
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

- tout matériel équipé des supports de stockage est contrôlé en cas de mise au rebut afin
que toutes les données à caractère personnel soient supprimées de manière sécurisée. Si
ce matériel contient des données à caractère personnel sensibles, des mesures
spécifiques sont prises pour détruire physiquement ce matériel ou supprimer les
informations au moyen de techniques qui rendent impossible toute récupération.

- le firewall FORTIGATE 300 C a été installé afin de se protéger contre tout incident ou
plusieurs évènements qui concourent à menacer la sécurité du réseau ;

- former l'utilisateur sur les étapes à suivre afin d'atténuer la propagation d'une infection
(virus informatique) dans le réseau ;

- la sauvegarde est l'opération qui consiste à dupliquer et à mettre en sécurité les données
C

contenues dans un système informatique ;

ES

- des copies de sauvegarde des informations et logiciels sont réalisées et soumises

AG

régulièrement à essai conformément à la politique de sauvegarde convenue ;

-B

- empêcher les accès non autorisés aux services disponibles sur le réseau. Une politique
relative à l’utilisation du réseau devrait être conçue à cet effet ;
IB
LI

- Il est attribué à chaque utilisateur un identifiant unique et exclusif. Il est exigé que le
O

mot de passe soit tenu secret pour éviter qu'un tiers non autorisé puisse accéder à la
TH

ressource ou au service réseau ;

EQ

- contrôler et de protéger physiquement les supports afin d'empêcher la divulgation, la

modification, le retrait ou la destruction non autorisé(e) des biens et l'interruption des
U

activités de l'organisme ;
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 56
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Dans le tableau qui suit, se résume le résultat de l’étude de la gestion de la sécurité du réseau.
Tableau 4 : Résultat du diagnostique

Opérationnel Fonctionnel Organisationnel

Inventaire des biens Personnel compétent Sortie des actifs du SI
Maintenance informatique préventive Mise au rebut des actifs SI

C
Satisfaisant Contrôle d'accès réseau Gestion de projet SI

ES
Authentification et identification

AG
Sécurité du câblage Gestion du système d’information Investissement SI
Atténuation des menaces Politique de sauvegarde Choix technologique

-B
Atténuation des incidents Soutien opérationnel aux utilisateurs Place du SI au sein de l'organisation
A améliorer Prise en compte des recommandations des missions

IB
Réalisation de sauvegarde Elaboration des stratégies informatiques d'audit
Conception et réalisation des études

LI
Manipulation des supports évolutives de l’informatique

O
Réaction en cas d'infection Effectif adéquat Formalisation de la cartographie du SI

TH
Cumul de poste Fréquence des missions d'audit SI
Critique

EQ
U
Source : nous-même avec approbation du RSI

E
ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 57
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Conclusion du troisième chapitre

La description du réseau informatique du CESAG, a permis de comprendre le fonctionnement
de ce dernier et les différents dispositifs mis en place pour assurer sa sécurité. Au regard de
cette description, il ressort que, bien que le Service Informatique dans son organisation arrive
à gérer la sécurité du réseau, il n’en demeure pas moins de souligner que cette pratique n’est
pas formellement soutenue par une documentation écrite dédiée à la gestion de la sécurité
réseau. Il convient de remarquer également que la Direction Générale devrait s’impliquer
davantage dans de système de management de la sécurité du SI et de production de documents
pouvant l’orienter dans sa stratégie de sécurité.
Toutes ces raisons nous amènent à doter la Direction Générale d’une PSSI qui traduirait sa
C

vision stratégique en matière de sécurité.

ES
AG
-B
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 58
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

C
ES
AG

CHAPITRE 4 : ELABORATION DE LA PS
-B
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 59
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Le chapitre précédent nous a permis de prendre connaissance de la description du réseau

informatique, de la façon dont celui-ci est administré et le dispositif mis en œuvre pour assurer
sa sécurité. Dans ce dernier chapitre, il est question de dérouler notre démarche d’élaboration
de la PSSI. Il s’agira ici de définir l’objectif et le périmètre de la PS, à la suite desquels nous
définiront également puis de de recenser l’ensemble des éléments qui compose le réseau,
d’identification et qualification des risques associés au réseau et de choisir les mesures de
sécurité adéquates au management de la sécurité du réseau.

4.1. Objectif
Cette politique couvre tout le système réseau, équipements de communications, applications et
logiciels et dispositifs de sécurité. Tous les événements liés à la sécurité du réseau doivent être
C

signalés, dans les meilleurs délais, par les voies hiérarchiques appropriées.
ES

Tous les rapports de failles de sécurité ou évènements relatifs aux biens informationnels du
AG

CESAG sont concernés par la présente politique. En plus, les faiblesses et les anomalies
détectées au niveau du système réseau doivent être traitées conformément à la présente
-B

politique.
Tous les utilisateurs doivent adopter l'utilisation de cette politique et sont responsables d'assurer
IB

la sécurité et la sûreté de l’infrastructure réseau qu'ils utilisent ou manipulent.

LI
O

4.2. Périmètre
TH

Cette politique s'applique à tous les employés de la société CESAG ainsi qu’à toute
EQ

l’infrastructure.
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 60
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

4.3. Rôles et responsabilité

Le tableau ci-dessous présente les différents acteurs concernés par cette politique.
Tableau 5 : Identification des acteurs avec leurs rôles et responsabilité

Directeur des Ressources Pédagogiques

Responsable du Service Informatique

Administrateur Réseaux et Systèmes

Direction de la formation
Pratique de gestion clé

Direction Générale

Technicien Réseau
C
ES

Utilisateur
AG

Définir, diffuser la stratégie, les politiques

-B

au sein de l’organisation et aligner la

A C C R I I I
structure du SI avec les objectifs de
IB

l’organisation.
LI

Établir des normes, des politiques et un

O

A C C R I I I
cadre de management de la sécurité
TH

Évaluer les risques, les atténuer

EQ

efficacement, et les rendre transparents pour C C C R I I I

les parties prenantes.
U

Veiller à la gestion et à la vérification au

E

quotidien des processus d'administration I I I A R C I

réseau.
Veiller à la gestion et à la maintenance au
I I I A C R I
quotidien des moyens du réseau.

R : personne Responsable
A : personne qui Approuve
C : personne Consultée
I : personne Informée

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 61
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

4.4. Règles générales de sécurité

Les règles suivantes s 'appliquent à l’ensemble du réseau du CESAG et à ses composants
Schéma réseau
Le CESAG doit maintenir son schéma de réseau actuel, illustrant les flux des données, celui-ci
doit indiquer toutes les connexions aux données.
Ce schéma doit être tenu à jour : il doit être modifié suite à tout changement du réseau et être
contrôlé une fois par trimestre.
Configuration des équipements
Les configurations des équipements réseau doivent être sécurisées telle que décrite dans les
documents correspondants :
Standard de configuration des switchs et routeurs
C

-
ES

- Standard de configuration des firewalls

L'application de ces règles de durcissement de configuration doit faire l’objet d'un compte-
AG

rendu conformément à la procédure de gestion du changement

Architecture des Firewalls
-B

Il est obligatoire d’installer un pare-feu au niveau de chaque connexion internet et entre toute
IB

zone démilitarisée (DMZ) et la zone de réseau interne.

LI

Règles de filtrage
O

Les règles de filtrage sont les suivantes :

TH

- Restreindre le trafic entrant et sortant au trafic strictement nécessaire ;

Certains protocoles sont réputés non- fiables pour des échanges sur internet. A l’inverse,
EQ

-
certains protocoles sont jugés acceptables pour une communication vers l’externe ;
U

- Déployer une zone démilitarisée pour limiter le trafic entrant et sortant aux seuls
E

protocoles nécessaires ;
- Limiter le trafic internet entrant aux adresses IP dans la zone démilitarisée ;
- N'autoriser aucun acheminement direct entrant ou sortant du trafic entre internet et le
LAN ;
- Appliquer des masques IP pour empêcher la conversion des adresses internes et leur
divulgation sur internet.
Modification réseau
Toute modification sur le réseau doit être réalisée conformément aux règles de gestion du
changement dans la procédure correspondante.
Réseau sans fil

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 62
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Tout réseau sans fil (Wi-Fi, radio, GSM…) fait l’objet d’un contrôle d’accès dans les
infrastructures du CESAG. Des tests semestriels doivent être effectues pour contrôler
qu’aucune borne d' accès Wi-Fi n'a été installée
Revue périodique des règles de filtrage
Il est obligatoire d'examiner les règles des pares-feux et des routeurs au moins tous les six mois
C
ES
AG
-B
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 63
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

4.5. Règles de sécurité

La déclinaison des exigences de sécurité se présentent comme suit :
Tableau 6: Règles de sécurité

Mesures / Règles de sécurité 1/8

Thématiques Id Objectif / Mesures & Règles de sécurité

Orientations de la direction en matière de sécurité du SI
1,1 Apporter à la sécurité de l’information une orientation et un soutien de la
part de la direction, conformément aux exigences métier et aux lois et
règlements en vigueur.
Veiller à la mise en œuvre de la présente politique de sécurité du réseau
1 Gouvernance informatique
C

du SI à mettre 1.1.1 Un ensemble de politiques de sécurité du SI et spécifiquement celui du

réseau doit être défini, approuvé par la direction, diffusé et communiqué
ES

en évidence
aux salariés et aux tiers concernés.
Revue des politiques de sécurité
AG

1.1.2 La politique de sécurité doit être revue à intervalles programmés ou en cas

de changements majeurs pour garantir sa pertinence, son adéquation et son
-B

effectivité dans le temps.

Organisation interne
IB

2,1 Établir un cadre de management pour lancer et vérifier la mise en place et

le fonctionnement opérationnel de la sécurité du réseau au sein de
LI

l’établissement.
O

Fonctions et responsabilités liées à la sécurité de l'information

TH

2.1.1 Toutes les responsabilités en matière de sécurité du réseau doivent être

définies et attribuées.
EQ

2 Organisation Séparation des tâches

de la sécurité 2.1.2 Les tâches et les domaines de responsabilité incompatibles doivent être
U

réseau cloisonnés pour limiter les possibilités de modification ou de mauvais usage,

E

non autorisé(e) ou involontaire, des actifs de l’établissement.

Relations avec les autorités
2.1.3 Des relations appropriées avec les autorités compétentes doivent être
entretenues.
La sécurité du réseau dans la gestion de projet
2.1.5 La sécurité du réseau doit être considérée dans la gestion de projet
(intégration ou amélioration du SI), quel que soit le type de projet concerné.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 64
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Mesures / Règles de sécurité 2/8

Thématiques Id Objectif / Mesures & Règles de sécurité

Exigences métier en matière de contrôle d'accès
3,1 Limiter l’accès au réseau, à l’information et aux moyens de traitement de
l’information.
Politique de contrôle d’accès au réseau
Une politique de contrôle d’accès doit être établie, documentée et revue sur la
3.1.1 base des exigences métier et de sécurité.
Les utilisateurs doivent avoir uniquement accès au réseau et aux services
réseau pour lesquels ils ont spécifiquement reçu une autorisation.

Gestion de l’accès utilisateur

3,2 Maîtriser l’accès utilisateur par le biais d’autorisations et empêcher les accès
C

non autorisés au réseau

ES

Enregistrement et désinscription des utilisateurs

AG

3.2.1 Un processus formel d’enregistrement et de désinscription des utilisateurs doit

être mis en œuvre pour permettre l’attribution des droits d’accès.
Distribution des accès utilisateurs
-B

3.2.2 Un processus formel de distribution des accès aux utilisateurs doit être mis en
œuvre pour attribuer et retirer des droits d’accès à tous types d’utilisateurs sur
IB

l’ensemble du réseau.
3 Contrôle
LI

Gestion des droits d'accès à privilèges

d'accès 3.2.3 L’allocation et l’utilisation des droits d’accès à privilèges doivent être
O

restreintes et contrôlées.
TH

Gestion des informations secrètes d'authentification des utilisateurs

3.2.4 L’attribution des informations secrètes d’authentification doit être réalisée dans
EQ

le cadre d’un processus de gestion formel.

Revue des droits d’accès utilisateurs
U

3.2.5 Les propriétaires d’actifs (ordinateur, serveurs, réseau) doivent vérifier les
E

droits d’accès des utilisateurs à intervalles réguliers.

Suppression ou adaptation des droits d'accès

3.2.6 Les droits d’accès aux informations et au réseau de l’ensemble des salariés et
utilisateurs tiers doivent être supprimés à la fin de leur période d’emploi, ou
adaptés en cas de modification du contrat ou de l’accord.
Responsabilités des utilisateurs
3,3 Rendre les utilisateurs responsables de la protection de leurs informations
d’authentification.
Utilisation d'informations secrètes d'authentification
3.3.1 Les utilisateurs doivent suivre les pratiques établies pour l’utilisation des
informations secrètes d’authentification.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 65
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Mesures / Règles de sécurité 3/8

Thématiques Id Objectif / Mesures & Règles de sécurité

Sécuriser les procédures de connexion
3.4.2 Lorsque la politique de contrôle d’accès l’exige, l’accès aux systèmes et aux
applications doit être contrôlé par une procédure de connexion sécurisée.
Système de gestion des mots de passe
3 Contrôle d'accès 3.4.3 Le système qui gère les mots de passe doit être interactif et doit garantir la
qualité des mots de passe.
Utilisation de programmes utilitaires à privilèges
3.4.4 L’utilisation des programmes utilitaires permettant de contourner les
mesures de sécurité d’un système ou d’une application doit être limitée et
étroitement contrôlée.
C

Zones sécurisées
ES

4,1 Empêcher tout accès physique non autorisé, tout dommage ou intrusion
portant sur l’ensemble de l'installation réseau.
AG

Périmètre de sécurité physique

4.1.1 Des périmètres de sécurité doivent être définis et respectés pour protéger les
zones contenant l’information sensible ou critique et les moyens de
-B

traitement de l’information.
IB

Contrôle d'accès physique

4.1.2 Les zones sécurisées doivent être protégées par des contrôles adéquats à
LI

l’entrée pour s’assurer que seul le personnel autorisé est admis.

O

Sécurisation des bureaux, des salles et des équipements

TH

4.1.3 Des mesures de sécurité physique aux bureaux, aux salles et aux
4 Sécurité
équipements doivent être conçues et appliquées.
physique et
EQ

environnementale Protection contre les menaces extérieures et environnementales

4.1.4 Des mesures de protection physique contre les désastres naturels, les
U

attaques malveillantes ou les accidents doivent être conçues et appliquées.

E

Matériels
4,2 Empêcher la perte, l’endommagement, le vol ou la compromission des
actifs et l’interruption des activités de l'établissement.
Emplacement et protection du matériel
4.2.1 Les matériels doivent être localisés et protégés de manière à réduire les
risques liés à des menaces et des dangers environnementaux et les
possibilités d’accès non autorisé.
Services généraux
4.2.2 Les matériels doivent être protégés des coupures de courant et autres
perturbations dues à une défaillance des services généraux.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 66
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Mesures / Règles de sécurité 4/8

Thématiques Id Objectif / Mesures & Règles de sécurité

Sécurité du câblage
4.2.3 Les câbles électriques et du réseau filaire doivent être protégés contre
4 Sécurité physique toute interception ou tout dommage.
et
environnementale Maintenance du matériel
4.2.4 Les matériels doivent être entretenus correctement pour garantir leur
disponibilité permanente et leur intégrité.
Protection contre les logiciels malveillants
5,1 S’assurer que le réseau et les données sont protégés contre les logiciels
malveillants.
Mesures contre les logiciels malveillants
C

5.1.1 Des mesures de détection, de prévention et de récupération conjuguées à

ES

une sensibilisation des utilisateurs adaptée, doivent être mises en œuvre

pour se protéger contre les logiciels malveillants.
AG

5,2
Sauvegarde
Se protéger de la perte de données.
-B

Sauvegarde des informations

5.2.1 Des copies de sauvegarde de l’information, des logiciels et d'autres
IB

données doivent être réalisés et testés régulièrement conformément à une

politique de sauvegarde convenue.
LI

Journalisation et surveillance
O

5,3
5 Sécurité logique et Enregistrer les événements et générer des preuves.
TH

des données
Journalisation des événements
5.3.1 Des journaux d’événements enregistrant les activités de l’utilisateur, les
EQ

exceptions, les défaillances et les événements liés à la sécurité de

l’information doivent être créés, tenus à jour et vérifiés régulièrement.
U

Protection de l’information journalisée

E

5.3.2 Les moyens de journalisation et d’information journalisée doivent être

protégés contre les risques de falsification ou d’accès non autorisé.
Journaux administrateur et opérateur
5.3.3 Les activités de l’administrateur système et de l’opérateur système
doivent être journalisées, protégées et vérifiées régulièrement.
Synchronisation des horloges
5.3.4 Les horloges de l’ensemble des systèmes de traitement de l’information
concernés de l'établissement ou d’un domaine de sécurité doivent être
synchronisées sur une source de référence temporelle unique.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 67
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Mesures / Règles de sécurité 5/8

Thématiques Id Objectif / Mesures & Règles de sécurité

5,4
Maîtrise des logiciels en exploitation
Garantir l’intégrité des systèmes en exploitation.
Installation de logiciels sur le réseau
5.4.1 Des procédures doivent être mises en œuvre pour contrôler l’installation de
logiciel sur le réseau.

5,5
Gestion des vulnérabilités techniques
Empêcher toute exploitation des vulnérabilités techniques.
Gestion des vulnérabilités techniques
Des informations sur les vulnérabilités techniques des systèmes
5.5.1 d’information en exploitation doivent être obtenues en temps opportun,
C

l’exposition de l’organisation à ces vulnérabilités doit être évaluée et les

5 Sécurité logique
ES

mesures appropriées doivent être prises pour traiter le risque associé.

et des données
Restrictions liées à l'installation de logiciels
AG

5.5.2 Des règles régissant l’installation de logiciels par les utilisateurs doivent
être établies et mises en œuvre.
Considérations sur l’audit des systèmes d’information
-B

5,6 spécifiquement l'audit du réseau informatique

IB

Réduire au minimum l’impact des activités d’audit sur le réseau

LI

Mesures relatives à l’audit du réseau

5.6.1 Les exigences et activités d’audit impliquant des vérifications sur des
O

systèmes en exploitation doivent être prévues avec soin et validées afin de

TH

réduire au minimum les perturbations subies par les processus métier.

Gestion de la sécurité du réseau
EQ

6,1 Garantir la protection de l’information sur le réseau et des moyens de

traitement de l’information sur lesquels elle s’appuie.
U

Contrôle du réseau
E

6.1.1 Les réseaux doivent être gérés et contrôlés pour protéger l’information
contenue dans les systèmes et les applications.
6 Sécurité des Sécurité des services de réseau
communications Pour tous les services de réseau, les mécanismes de sécurité, les niveaux de
6.1.2 service et les exigences de gestion, doivent être identifiés et intégrés dans
les accords de services de réseau, que ces services soient fournis en interne
ou externalisés.
Cloisonnement des réseaux
6.1.3 Les groupes de services d’information, d’utilisateurs et de systèmes
d’information doivent être cloisonnés sur les réseaux.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 68
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Mesures / Règles de sécurité 6/8

Thématiques Id Objectif / Mesures & Règles de sécurité

Transfert de l'information
6,2 Maintenir la sécurité de l’information transférée au sein de l’organisme
et vers une entité extérieure.

Politiques et procédures de transfert de l'information

6.2.1 Des politiques, des procédures et des mesures de transfert formelles
doivent être mises en place pour protéger les transferts d’information
transitant par tous types d’équipements de communication.

6 Sécurité des Accords en matière de transfert d'information

communications 6.2.2 Des accords doivent traiter du transfert sécurisé de l’information liée à
l’activité entre l’organisation et les tiers.
C
ES

Messagerie électronique
6.2.3 L’information transitant par la messagerie électronique doit être protégée
AG

de manière appropriée.
Engagements de confidentialité ou de non-divulgation
6.2.4 Les exigences en matière d’engagements de confidentialité ou de non-
-B

divulgation, doivent être identifiées, vérifiées régulièrement et

documentées conformément aux besoins de l’organisation.
IB

Gestion des incidents liés à la sécurité de l’information et

LI

améliorations
7,1 Garantir une méthode cohérente et efficace de gestion des incidents liés
O

à la sécurité de l’information, incluant la communication des

TH

événements et des failles liés à la sécurité du réseau.

Responsabilités et procédures
EQ

7.1.1 Des responsabilités et des procédures permettant de garantir une réponse

rapide, efficace et pertinente doivent être établies en cas d’incident lié à la
U

sécurité de l’information.
7 Gestion des
E

incidents liés à la Signalement des événements liés à la sécurité du réseau

sécurité de 7.1.2 Les événements liés à la sécurité de l’information doivent être signalés
l’information dans les meilleurs délais par les voies hiérarchiques appropriées.
Signalement des failles liées à la sécurité du réseau
7.1.3 Les utilisateurs doivent noter et signaler toute faille de sécurité observée
ou soupçonnée sur le réseau.
Appréciation des événements liés à la sécurité du réseau et prise
de décision
7.1.4 Les événements liés à la sécurité du réseau doivent être appréciés et il doit
être décidé s’il faut les classer comme incidents liés à la sécurité du
réseau.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 69
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Mesures / Règles de sécurité 7/8

Thématiques Id Objectif / Mesures & Règles de sécurité

Réponse aux incidents liés à la sécurité du réseau

7.1.5 Les incidents liés à la sécurité du réseau doivent être traités conformément
aux procédures documentées.
7 Gestion des
incidents liés à
Tirer des enseignements des incidents liés à la sécurité du réseau
Les connaissances recueillies à la suite de l’analyse et de la résolution
la sécurité de 7.1.6
d’incidents doivent être utilisées pour réduire la probabilité ou l’impact
l’information
d’incidents ultérieurs.
Collecte de preuves
7.1.7 Il doit-être défini et appliqué des procédures d’identification, d'analyse et de
C

de gestion des risques visant protéger le réseau en cas de contrôle.

ES

Continuité de la sécurité de l'information

8,1 La continuité de la sécurité de l’information doit faire partie intégrante de
AG

la gestion de la continuité de l’activité.

Organisation de la continuité de la sécurité du réseau

-B

8.1.1 Le CESAG doit déterminer ses exigences en matière de sécurité du réseau et

8 Aspects de la de continuité d'exploitation du réseau dans des situations défavorables,
IB

sécurité du comme lors d’une crise ou d’un sinistre.

réseau dans la Mise en œuvre de la continuité de la sécurité du réseau
LI

gestion de la
Le Service doit établir, documenter, mettre en œuvre et tenir à jour des
O

continuité de 8.1.2
processus, des procédures et des mesures permettant de fournir le niveau
l’activité
TH

requis de continuité de sécurité du réseau au cours d’une situation

défavorable.
EQ

Vérifier, revoir et évaluer la continuité de la sécurité du réseau

8.1.3 Le Service doit vérifier les mesures de continuité de la sécurité du réseau
U

mises en œuvre à intervalles réguliers afin de s’assurer qu’elles sont valables

E

et efficaces dans des situations défavorables.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 70
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Mesures / Règles de sécurité 8/8

Thématiques Id Objectif / Mesures & Règles de sécurité

Conformité aux obligations légales et réglementaires
9,1 Éviter toute violation des obligations légales, statutaires, réglementaires ou
contractuelles relatives à la sécurité du réseau, éviter toute violation des
exigences de sécurité.
Identification de la législation et des exigences contractuelles
applicables
9.1.1 Toutes les exigences légales, statutaires, réglementaires et contractuelles en
vigueur, ainsi que l’approche adoptée par le CESAG pour satisfaire à ces
exigences, doivent être explicitement définies, documentées et mises à jour.
Droits de propriété intellectuelle (DPI)
Des procédures appropriées doivent être mises en œuvre pour garantir la
C

9.1.2 conformité avec les exigences légales, réglementaires et contractuelles

ES

relatives à la propriété intellectuelle et à l’usage des licences de logiciels

propriétaires.
Protection des enregistrements
AG

Les enregistrements doivent être protégés de la perte, de la destruction, de la

9.1.3 falsification, des accès non autorisés et des diffusions non autorisées,
-B

conformément aux exigences légales, réglementaires, contractuelles et aux

exigences métier.
IB

Protection de la vie privée et protection des données à caractère

personnel
LI

9 Conformité
9.1.4 La protection de la vie privée et la protection des données à caractère
O

personnel doivent être garanties telles que l’exigent la législation ou les

TH

réglementations applicables, et les clauses contractuelles le cas échéant.

Revue de la sécurité réseau
EQ

9,2 Garantir que la sécurité de l’information est mise en œuvre et appliquée

conformément aux politiques et procédures organisationnelles.
U

Revue indépendante de la sécurité du réseau

E

Des revues régulières et indépendantes de l’approche retenue pour gérer et

9.2.1 mettre en œuvre la sécurité du réseau (à savoir le suivi des objectifs de
sécurité, les mesures, les politiques, les procédures et les processus relatifs à
la sécurité du réseau) doivent être effectuées à intervalles définis ou lorsque
des changements importants sont intervenus.
Conformité avec les politiques et les normes de sécurité
9.2.2 Les responsables doivent régulièrement vérifier la conformité aux procédures
de management de la sécurité dont ils sont chargés au regard des politiques,
des normes de sécurité applicables et autres exigences de sécurité.

Vérification de la conformité technique

9.2.3 Le système d’information (réseau) doit être examiné régulièrement quant à sa
conformité avec les politiques et les normes de sécurité définies.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 71
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

4.6. Revue de la politique

La présente politique de sécurité doit être maintenue à jour, il peut être révisé autant de fois
que nécessaire mais au moins une fois par an.

Conclusion du quatrième chapitre

Ce dernier chapitre a été consacré à la formulation de la PS du réseau informatique du CESAG
suivant la méthodologie de travail décrite au chapitre 2.
À travers le diagnostic de l’existant, nous avions pu identifier les menaces auxquels est exposé
le réseau. La PS vient donc en réponse comme dispositif de sécurité.
C
ES
AG
-B
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 72
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Conclusion de la deuxième partie

La description du réseau informatique du CESAG présentée dans le chapitre 3 a permis de
comprendre son fonctionnement et de prendre conscience des menaces encourues. Cette
description a été le socle des exigences de sécurité mises en place dans le chapitre 4.
Cette partie de notre étude nous a permis de conforter notre compréhension de la gestion de la
sécurité du réseau et d’approfondir nos connaissances des mesures de sécurité des SI en
générale et des réseaux informatiques en particulier.
Ainsi, à travers notre approche par les risques, nous avions formulé une politique de sécurité
répondant aux attentes de sécurités du réseau et adaptée au contexte du CESAG.
C
ES
AG
-B
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 73
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

C
ES
AG
-B
IB

CONCLUSION GENERALE
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 74
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

La PS donne des orientations sur la stratégie de gestion de la sécurité. C’est un référentiel par
lequel les dirigeants s'assurent que la stratégie de la sécurité de leur SI s’aligne avec la stratégie
générale de l’organisation.
Au démarrage de cette étude, l’objectif principal était de doter du CESAG un manuel de
gouvernance et de gestion de la sécurité de son réseau informatique. La conception de ce manuel
s’est appuyée sur le processus de gestion de la sécurité mis en œuvre par le Service
Informatique. Et ce, afin de fournir un outil en adéquation avec les besoins et les enjeux de la
sécurité du SI.
En réponse à cet objectif, nous avions mené une étude préalable portant sur la revue de la
littérature relative à notre thématique. Ce qui nous a permis de mieux cerner les notions et la
méthodologie à adopter afin de concevoir notre PS. Dans la deuxième partie de notre étude,
C

nous avions mis en application les éléments évoqués dans la première partie à travers la
ES

description de l’existant du réseau informatique du CESAG et le déroulement de notre

AG

démarche. Cette dernière partie a favorisé la compréhension du processus de gestion de la

sécurité réseau et surtout d’évaluer les risques qui pèsent sur le réseau informatique et plus
-B

largement sur le SI. Grâce à des outils de méthodologie, une analyse des risques portant sur
l’ensemble du SI de façon générale et sur le réseau informatique en particulier, nous avions pu
IB

formuler une politique de sécurité qui permettra aux dirigeants d’avoir une meilleure vue quant
LI

à la gouvernance de leur SI et au Service Informatique une boussole pour la gestion de la

O
TH

sécurité.
Les professionnels de la sécurité affirment qu’on ne peut piloter efficacement la sécurité d’un
EQ

SI sans une PS. A ce jour, nous pouvons dire que notre établissement dispose désormais d’un
instrument formel du pilotage de la sécurité de son SI, en l’occurrence de son réseau
U
E

informatique.
Cependant, cette étude représente une infirme partie de la PS de l’ensemble du SI. Des PS des
autres composantes du SI de notre établissement devraient être conçues afin d’avoir une PS
générale. Aussi, c’est un travail qui demande à être corrigé, amélioré, enrichi et développé par
d’autres études dans l’optique d’une amélioration continue.

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 75
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

C
ES
AG
-B

ANNEXES
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 76
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Annexe 1 : Inventaire du matériel informatique

Catégorie Désignation Emplacement Nombre
ORDINATEURS DE BUREAU
Bureaux
POUR LE PERSONNEL 71
ORDINATEUR ORDINATEURS POUR LES
Laboratoires informatiques
BESOINS DE LA FORMATION 98
ORDINATEURS POUR LES COURS Salles de cours 22
ONDULEUR Bâtiment C 1
ONDULEUR MERLIN GUERIN Salle des serveurs 305 1
ONDULEUR MGE GALAXY 300 MBF pour la salle des marchés 1
ONDULEUR ONDULEUR Salle E1 incubateur 1
ONDULEUR APC Salle des serveurs 1
SYSTEME D’AUTONOMIE DE
Salle de Serveurs 1
BATTERIE ETANCHE
HP SCANJET 5700 Bureau 304 1
C

HP SCANJET Bureau Scolarité (Lamine) 1

ES

SCAN JET PROFESSIONNEL Bureau Scolarité (Joël DIEHIOU) 1

SCAN JET PROFESSIONNEL Chantal OUEDRAOGO 1
AG

SCAN JET PROFESSIONNEL Salle Numérisation 1

SCAN JET PROFESSIONNEL Salle Numérisation 1
SCANNER SCAN JET PRODUCTION Salle Numérisation 1
-B

SCANNER EPSON GT55N/DS-560 CESAG exécutive ( Mously SEYE) 1

SCANNER EPSON GT55N/DS-560 CESAG grande école (Agnès SARR) 1
IB

SCANNER EPSON GT55N/DS-560 CESAG langues (Emma SOKOBA) 1

LI

SCANNER EPSON GT55N/DS-560 DRC (Aby SANE) 1

O

SCANNER EPSON GT55N/DS-560 CESAG -PRO 1

Lionnel DASILVEIRA
TH

SCANNER EPSON GT55N/DS-560 1

SERVEUR PHYSIQUE Salle des serveurs 8
SERVEUR SERVEUR VIRTUEL 16
EQ

BAIE DE STOCKAGE 2
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 77
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Annexe 2 : Inventaire des logiciels

Catégorie Désignation Nombre de licence

Licences Windows 7 225
Logiciels Microsoft Licences Windows 2008 Serveur 5
Windows Licences Microsoft office 365 2016 100
Licences Microsoft Office 365 pour les étudiants 2000
COMPTABILITÉ 10
Logiciels Sage Sari i7 sous IMMOBILISATION 10
SQL GESCOM 10
PAIE 2
SPSS 15
Logiciels d’analyse de SPHINX 24
Données
C

EPI INFO illimité

R illimité
ES

Logiciels de Gestion PHEB 10

budgétaire Gestion budgétaire sous Access illimité
AG

Pare feu FortiGate 300 C. 1

-B

Annexe 3: Identification des acteurs basé sur COBIT 5

Tableau RACI (Responsable Approbateur Consulté et Informé)

IB
LI
Acteur 1

Acteur 2

Acteur 3

Acteur 4

Acteur 5

Acteur 6

Acteur 7
Pratique de gestion clé
O
TH

Activité 1 A C C R I I I
EQ
U

Activité 2 A C C R I I I
E

Activité 3 C C C R I I I

Activité 4 I I I A R C I

Activité 5 I I I A C R I

R : personne Responsable
A : personne qui Approuve
C : personne Consultée
I : personne Informée

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 78
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Annexe 4: Organigramme fonctionnel du CESAG

C
ES
AG
-B
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 79
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Annexe 5 : Guide d’entretien

Les enjeux de la sécurité

1. Quelles peuvent-être les conséquences liées à la sécurité du réseau ?
2. Quel sont les points faibles du réseau ? quelle analyse faites-vous de ces risques ?
3. Contre quels risques allez-vous vous protéger exactement ? Où se situent la plupart des
risques ?
4. Quel est le rôle de la direction par rapport à la sécurité du SI ?
5. Comment la direction s’assure-t-elle qu’elle possède les compétences, les connaissances et
le savoir-faire appropriés pour la sécurité du SI ?
6.Quelle est la place de la sécurité du SI dans la stratégie d’entreprise actuelle ?
7. Comment la Direction envisage-t-elle la structure d’un de sécurité ?
C

8. Comment la valeur et la contribution du SI de l’organisation sont-elles définies et évaluées

ES

?
9. Comment surveille-t-on et évalue-t-on les risques et tendances, ainsi que leur influence
AG

potentielle sur l’organisation ?

-B

10. En quoi une politique de sécurité est-elle un facteur indispensable ?

Fixer les objectifs de la PS
IB

1. Qui sera responsable de la sécurité du réseau ?

LI

2. De quoi doit-on tenir compte pour que la politique de sécurité soit parfaitement harmonisée
O

aux processus de l’entreprise ?

TH

3. A quelle fréquence évaluez-vous les risques liés à la sécurité ?

EQ

4. A quel niveau de vulnérabilité se situez-vous le réseau sur une échelle de 1 à 4 ?

5. Quel niveau de sécurité souhaitez avoir ?
U

6. Qu’attendez-vous de la politique de sécurité ?

E

Fixer les exigences de sécurité applicable

1. Quelles méthodes d'authentification des utilisateurs employez-vous ?
Comment les mots de passe sont-ils attribués ? Existe-t-il un risque pour que les mots de
passe soient transmis oralement, soient empruntés, voire volés ?
La gestion des mots de passe est-elle rigoureuse (Chaque utilisateur dispose-t-il d'un mot de
passe ? Le mot de passe comporte-t-il au minimum 8 caractères dont un numérique, un alpha
numérique, une majuscule et minuscule ? Est-il changé tous les 30 ou 60 jours?
2. Comment jugez-vous l’efficacité de la méthode d'authentification ?
3. Certaines ressources sont-elles interdites d’accès à certains employés ou enseignants et
prestataires ? Si oui, lesquelles ?

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 80
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

4. Faut-il surveiller ou restreindre l'accès à certaines ressources ou périphériques sensibles, ou

bien faut-il identifier les utilisateurs ayant accédé à certaines ressources pendant une période
donnée ?
5. Le réseau est-il ouvert à des intervenants extérieurs ?
6. Certaines données pourraient-elles être utilisées contre la société si elles tombaient entre
des mains hostiles ?
7. Possède-t-on une licence pour chacun des logiciels utilisés sur le réseau ?
8. En cas de connexions externes, les ports sont-ils protégés par un système de rappel
automatique ?
Sécurité physique
9. L'ensemble des composants réseaux sont-ils correctement répertoriés dans un outil de
C

gestion de parc ?
ES

10. Les ordinateurs sont-ils actuellement protégés contre les virus ?

AG

11. Comment contrôler en permanence les anomalies survenant sur votre réseau et comment
réagir immédiatement et de façon adéquate ?
-B

12. Un plan de secours a-t-il en cours d’élaboration ? Ce plan couvrira-t-il tous les systèmes
du réseau ?
IB

13.L’emplacement des serveurs sont-ils dotés d'un système de régulation thermique et d'une
LI

alimentation de secours ?
O
TH

14. Comment comptiez-vous organiser une supervision régulière et efficace des mesures de
sécurité prises ?
EQ

15. Le système d'exploitation réseau dispose-t-il d'outils de surveillance intégrés ?

16. Qui sera responsable de la surveillance du comportement du réseau ?
U
E

Sécurité logique
17. Quelles sont les contraintes du pare-feu ?
18. Un pare-feu est-il suffisant ou vous faut-il davantage ?
19. Où se situent les problèmes de sécurité dans l'usage de la messagerie électronique ?
20. Comment sécurisez-vous les transactions Web ?
Gestion des données
21. Les données sont-elles régulièrement sauvegardées ?
22. Les données du serveur sont-elles rigoureusement répliquées ?
23. Les fichiers obsolètes sont-ils régulièrement purgés ?
24. Le système de sauvegarde est-il régulièrement testé pour vérifier sa qualité ?

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 81
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Annexe 6: Questionnaire d’entretien des rôles et responsabilités dans le MSSI

Interlocuteur Réponse Réponse

Question Enjeu / Risque associé
cible attendue fournie
A. ORGANISATION ET PILOTAGE
Connaissance des parties prenantes afin
d’apprécier la maîtrise de :
Un organigramme de la fonction informatique est-il
• Rôles et responsabilités des actions et des Chef de service OUI OUI
formalisé et actualisé de manière régulière ?
contrôles
• Séparation des tâches
• Centralisation des décisions en lien avec la
Le management de la fonction informatique est attribué stratégie de l’entreprise
Chef de service OUI OUI
à une personne dédiée ? • Mise en place de points de contrôle et de
reporting par la direction
C

Si oui, à qui est rattachée hiérarchiquement cette

Identification du niveau de contrôle Chef de service DG DG
personne ?
ES

Maîtrise et coordination des actions

Un responsable de la sécurité informatique est nommé Comité d’audit ;
AG

de sensibilisation et de surveillance de la sécurité DG RSI

au sein de l’organisation ? audit interne ; DG
de l’information
Le directeur financier a défini des points de contrôle
-B

Apprécier le niveau de maîtrise du système

permettant de superviser la production de l’information DFC OUI NON
d’information par le directeur financier
comptable et financière ?
IB

B. MANAGEMENT ET RESPONSABILITÉ
LI

Les fiches de poste des collaborateurs en charge de la Maîtrise des RACI

DRH OUI OUI
O

fonction informatique sont-elles formalisées ? Principe de non-répudiation renforcée

TH

Les fiches de postes des managers précisent-elles leur Maîtrise des RACI
DRH OUI OUI
responsabilité relative au système d’information ? Principe de non-répudiation renforcée
EQ

DFC, RSI, DG,

Pour chaque application, un responsable d’application Maîtrise du fonctionnement des applications et de
U

Direction OUI NON

est-il nommé ? leur évolution
métier
E

DAF, RSI, DG,

Pour chaque donnée critique, un propriétaire de Maîtrise des inventaires, des flux et des
Direction OUI NON
données est-il nommé ? traitements de données
métier

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 82
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Annexe 7: Questionnaire d’entretien du contrôle interne des SI

Interlocuteur Réponse Réponse

Question Enjeu / Risque associé
cible attendue fournie
Existe-t-il une matrice de définition des rôles utilisateurs dans
Séparation des fonctions RSI OUI OUI
l’entreprise ?
Les autorisations d’accès font-elles l’objet de revues Analyse des comportements des utilisateurs dans le cadre de la
RSI OUI NON
qualitative et quantitative ? prévention des fraudes
Les demandes d’évolution sur le SI financier sont-elles tracées Vérification des autorisations accordées en lien avec chaque
RSI OUI NON
? Si oui, comment ? modification pour prévenir l’introduction de biais dans les applications

Revue des rôles et responsabilités en lien avec la surveillance du

Qui met en oeuvre les évolutions ? Suivant quelle procédure ? RSI RSI RSI
respect de la séparation des fonctions
C

Les procédures de sauvegarde sont-elles formalisées ? Si

cloud, les clauses contractuelles sont-elles conformes aux Garantie de reprise et de continuité d’activité RSI et DFC OUI OUI
ES

besoins de l’entreprise (RPO, RTO) ?

AG

Des tests de restauration sont-ils menés ? Sur quel périmètre,

Garantie de reprise et de continuité d’activité RSI et DFC OUI NON
avec quelles parties prenantes et avec quelle fréquence ?
-B

Une cartographie du système d’information est formalisée et • Connaissance des applications sources et des traitements
RSI et/ou DFC OUI OUI
IB

maintenue à jour de manière régulière ? • Maitrise des risques liés aux évolutions du SI
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 83
Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

C
ES
AG

BIBLIOGRAPHIE
-B
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 84
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

Ouvrages
1. REIX R. (1998), Systèmes d’information et management des organisations,
2. GHERNAOUTI Solange (2016), Cybersécurité, Sécurité informatique et réseaux,
Dunod, 384 pages
3. DELMOND Marie-Hélène & al. (2008), Dunod,
4. LAFITTE Michel (2003), Sécurité des systèmes d’information et maîtrise des risques,
RB édition, 128 pages
5. FORAY Bernard (2011), La fonction RSSI, Guide des pratiques et retours
d'expérience, Dunod, 350 pages
6. SORNET Jacques, HENGOAT Oona, LE GALLO Nathalie (2016), Systèmes
d’information de gestion, Dunod, 457 pages
7. FERNANDEZ-TORO Alexandre (2016), Sécurité opérationnelle, Eyrolles, 442
C

8. GHERNAOUTI Solange (2016), Cybersécurité, Sécurité informatique et réseaux,

ES

Dunod, 384 pages

AG

9. SOUILLE Arnaud, KOKOS Ary, BILLOIS Gérôme (2016), Sécurité informatique

Pour les DSI, RSSI et administrateurs, Eyrolles, 645 pages
-B

10. LLORENS Cédric, LEVIER Laurent, VALOIS Denis (2010), Tableaux de bord de la
sécurité réseau, Eyrolles, 581 pages
IB

11. PILLOU, Jean-François, BAY, Jean-Philippe (2013), Tout sur la sécurité

LI

informatique, Dunod, 272 pages

O

12. DELMOND Marie-Hélène, PETIT Yves, GAUTIER Jean-Michel (2010),

TH

Management des systèmes d'information, Dunod, 269 pages

13. NF ISO/CEI 27001 version 2013
EQ

14. PUJOLLE Guy (2018), Les réseaux : L'ère des réseaux cloud et de la 5G - Edition
U

2018-2020, Eyrolles, 805 pages

E

15. Claude SERVIN (2013), Réseaux et Télécoms Ed. 4, Dunod, 736 pages
16. Guide de l’ANSSI version 2004
17. ISACA (2012), Cobit 5 : Un référentiel orienté affaires pour la gouvernance et la
gestion des TI de l’entreprise, 98 pages
18. ORANGE BUSINESS SERVICES (2007), mémo :politique et gestion de la sécurité
du système d’information, 19 pages
19. DESWARTE Y. & MÉ L. (2002), Sécurité des réseaux et systèmes répartis, Hermès
Lavoisier, 380 pages
20. Rodolphe ORTALO (1998), Thèse : Évaluation quantitative de la sécurité des
systèmes d’information, 193 pages
21. Jacques THEVENOT (2011), Master Systèmes d’Informations, Eska, 536 pages

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 84
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

22. Michel Volle (2000), e-commerce, Economica, 366 pages

Webographie
1. https://fr.wikipedia.org/wiki/Politique_de_s%C3%A9curit%C3%A9_du_syst%C3%A
8me_d%27information
2. https://www.ivision.fr/mettre-en-place-une-politique-de-securite-informatique-les-
bonnes-pratiques/
3. https://www.tresor.gouv.qc.ca/fileadmin/PDF/ressources_informationnelles/securite_i
nformation/elaboration_politique_securite_information.pdf
C
ES
AG
-B
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 85
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

TABLE DES MATIERES

DEDICACE……………………………………………………………………………………ii
REMERCIEMENTS ................................................................................................................. iii
LISTE DES SIGLES ET ABREVIATIONS ............................................................................ iv
LISTE DES FIGURES ET TABLEAUX ................................................................................. vi
LISTE DES ANNEXES ............................................................................................................ vi
SOMMAIRE ............................................................................................................................ vii
INTRODUCTION GENERALE................................................................................................ 1
PREMIERE PARTIE : ............................................................................................................... 6
REVUE DE LITTERATURE ET METHODLOGIE DE L’ETUDE ........................................ 6
C

CHAPITRE 1 : POLITIQUE DE SECURITE D’UN SYSTEME D’INFORMATION ....... 8

ES

1.1. Enjeux de la sécurité du système d'information au sein d'une entreprise ................ 9

1.1.1. Définition du système d’information ................................................................... 9
AG

1.1.2. Rôle du système d’information .......................................................................... 11

1.1.3. Sécurité des systèmes des systèmes d'information : qu'est-ce que c'est ? .......... 12
-B

1.1.4. Pourquoi la sécurité des SI ? .............................................................................. 14

IB

1.1.4.1. Enjeux stratégiques ..................................................................................... 14

1.1.4.2. Enjeux organisationnels .............................................................................. 15
LI

1.1.5. Le management de la sécurité d'un SI ................................................................ 15

O

1.2. Politique de sécurité ............................................................................................... 18

TH

1.2.1. Définitions .......................................................................................................... 18

EQ

1.2.2. Objectifs ............................................................................................................. 18

1.3. Normes, méthodes et bonnes pratiques ..................................................................... 19
U

1.3.1. ISO/IEC 27001 ................................................................................................... 20

E

1.3.2. ISO/IEC 27002 ................................................................................................... 20

1.3.3. COBIT ................................................................................................................ 21
1.3.4. MEHARI ............................................................................................................ 22
1.3.5. EBIOS ................................................................................................................ 23
1.3.6. OCTAVE ............................................................................................................ 24
CHAPITRE 2 : METHODOLOGIE ET CADRE DE L’ETUDE ........................................ 26
2.1. Méthodologie de l’élaboration d’une PS ................................................................... 27
2.1.1. Les outils de collecte et d’analyse de données ................................................... 27
2.1.1.1. L’observation physique ............................................................................... 27
2.1.1.2. L’entretien ................................................................................................... 28
2.1.1.3. L’analyse documentaire .............................................................................. 28

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 86
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

2.1.1.4. La cartographie des risques ......................................................................... 28

2.1.2. Démarche de l’élaboration d’une PSSI .............................................................. 30
...................................................................................................................................... 30
2.1.2.1. Le Contexte ................................................................................................. 31
2.1.2.1.1. Préciser les enjeux de sécurité .......................................................... 31
2.1.2.1.2. Identifier les textes applicables ........................................................ 31
2.1.2.1.3. Fixer les objectifs de la PSSI............................................................ 31
2.1.2.2. Définir les moyens du réseau et le champ d’application ............................. 32
2.1.2.2.1. Recenser les moyens du réseau ........................................................ 33
2.1.2.2.2. Champ d’application de la PSSI....................................................... 33
2.1.2.3. Identifier les acteurs et qualifier les principaux risques du SI .................... 34
2.1.2.3.1. Identification des acteurs .................................................................. 34
C

2.1.2.3.2. Identifier les principaux risques liés au SI ....................................... 34

ES

2.1.2.3.3. Préciser la stratégie de traitement des risques .................................. 34

2.1.2.4. Choisir les mesures de sécurité ................................................................... 35
AG

2.1.2.4.1. Organisation des exigences et des règles ......................................... 36

2.1.2.4.2. Fixer les exigences de sécurité applicables ...................................... 36
-B

2.1.2.4.3. Décliner les exigences de sécurité en règles .................................... 37

IB

2.1.2.5. Revue de la politique de sécurité ................................................................. 37

LI

2.1.3. Modèle d’analyse ............................................................................................... 37

O

2.2. Présentation du CESAG ............................................................................................ 39

TH

2.2.1. Historique, Mission et Vocation......................................................................... 39

2.2.1.1. Historique .................................................................................................... 39
EQ

2.2.1.2. Mission ........................................................................................................ 39

2.2.1.3. Vocation ...................................................................................................... 40
U

2.2.2. Portefeuille d’activités........................................................................................ 40

E

2.2.3. Gouvernance et Organisation ............................................................................. 41

2.2.3.1. Gouvernance................................................................................................ 41
2.2.3.2. Organisation ................................................................................................ 42
2.2.4. Présentation du service informatique ................................................................. 42
2.2.4.1. Composition ................................................................................................ 42
2.2.4.2. Missions ...................................................................................................... 42
DEUXIEME PARTIE : ............................................................................................................ 45
CADRE PRATIQUE DE L’ELABORATION DE LA POLITIQUE DE SECURITE ........... 45
CHAPITRE 3 : DESCRIPTION DE L’EXISTANT ................................................................ 47
3.1. Description du réseau informatique .......................................................................... 48
3.2. Administration du réseau informatique ..................................................................... 52

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 87
 Elaboration d’une politique de sécurité d’un SI : cas du réseau informatique du CESAG

3.3. Menaces liées à la sécurité ........................................................................................ 53

3.3.2. Cartographie des risques du SI ........................................................................... 53
3.3.2. Matrice des risques résiduels du SI .................................................................... 55
3.4. Gestion de la sécurité du réseau informatique........................................................... 55
CHAPITRE 4 : ELABORATION DE LA PS .......................................................................... 59
4.1. Objectif ...................................................................................................................... 60
4.2. Périmètre ................................................................................................................... 60
4.3. Rôles et responsabilité ............................................................................................... 61
4.4. Règles générales de sécurité ...................................................................................... 62
4.5. Règles de sécurité ...................................................................................................... 64
4.6. Revue de la politique ................................................................................................. 72
CONCLUSION GENERALE .................................................................................................. 74
C

ANNEXE ................................................................................................................................. 76
ES

BIBLIOGRAPHIE ................................................................................................................... 84
TABLE DES MATIERES ....................................................................................................... 86
AG
-B
IB
LI
O
TH
EQ
U
E

ALLOU Sylvère Gaël CESAG EXECUTIVE / MBAAG 2017-2018 / 29ème PROMOTION Page 88