Master CCA 2nde année

Méthodologie sécurité — P-F. Bonnefoi

Version du 15 octobre 2020
 La notion de norme ISO
P-F. Bonnefoi
 Une affaire de standards 3
l’ISO, Organisation internationale de normalisation, «International organization for standardization»
∘ organisation internationale, créée en 1947 ;
∘ composée de représentants des organismes de normalisation nationaux d’environ 150 pays ;
∘ produit des normes internationales dans les domaines industriels et commerciaux.

Différentes normes, IS, «International Standard» :

⋆ IS 9000 : consacrée à la définition d’un «système de management» :

⊳ établir une politique et fixer des objectifs :

⋆ référentiel écrit ;
⋆ ensemble de mesures organisationnelles et techniques destinées à mettre en place un certain contexte
organisationnel et à en assurer la pérennité et l’amélioration ;

⊳ vérifier que l’on a atteint les objectifs fixés :

⋆ réaliser un audit qui consistera à comparer le référentiel à la réalité pour relever les divergences, nommées
écarts ou non-conformités.
⋆ sans référentiel, l’auditeur en peut réaliser sa mission ;
mais il existe de nombreux référentiels…

⋆ IS 9001 : consacrée aux systèmes de management de la qualité et aux exigences associées ;

⋆ IS 14001 : consacrée aux systèmes de management de l’environnement ;

⋆ IS 27001 : consacrée aux systèmes de management de la sécurité de l’information ;

⋆ IS 19001 : directives à respecter pour la conduite de l’audit d’un système de management.

P-F. Bonnefoi
 La norme ISO 27001 4
Système de management de la sécurité de l’information ou SMSI
∘ s’applique à un SMSI ;
∘ fournie un schéma de certification pouvant être appliqué au SMSI au moyen d’un audit ;
∘ s’appuie sur une approche par processus : exemple du PDCA, «Plan, Do, Check, Act» :
⋄ phase Plan :
⋆ définir le champ du SMSI,
⋆ identifier et évaluer les risques,
⋆ produire le document (Statement of applicability, SOA) qui
énumère les mesures de sécurité à appliquer ;

⋄ phase Do :
⋆ affecter les ressources nécessaires,
⋆ rédiger la documentation,
⋆ former le personnel,
⋆ appliquer les mesures décidées,
⋆ identifier les risques résiduels ;

⋄ phase Check : audit et revue périodiques du SMSI, qui produisent des constats et permettent d’imaginer des
corrections et des améliorations ;

⋄ phase Act :
⋆ prendre les mesures qui permettent de réaliser les corrections et les améliorations dont l’opportunité a été mise
P-F. Bonnefoi

en lumière par la phase Check,

⋆ préparer une nouvelle itération de la phase Plan.
 La norme ISO 27001 5

Le SMSI a pour buts de :

⊳ maintenir et d’améliorer la position de l’organisme qui le met en œuvre du point de vue :

⋄ de la compétitivité,
⋄ de la profitabilité,
⋄ de la conformité aux lois et aux règlements,
⋄ de l’image de marque.
⊳ protéger les actifs «assets» de l’organisme, définis au sens large comme tout ce qui compte pour
lui.

Le vocabulaire du SMSI est fournie dans l’IS 27000.

Les mesures de sécurité énumérées dans la phase Plan peuvent être prises dans le catalogue de
«mesures» et «bonnes pratiques» proposé par l’IS 27002.
P-F. Bonnefoi
 Les méthodes d’analyse des risques 6

IS 27001 impose une analyse des risques, mais ne propose aucune méthode pour la réaliser :
⋆ liberté de choisir une méthode pour le SMSI, à condition que :
⋄ elle soit documentée ;
⋄ elle garantisse que les évaluations réalisées avec son aide produisent des résultats comparables et reproductibles.

Exemples de méthodes d’analyse des risques :

□ IS 27005, méthode d’analyse fournie par l’ISO ;
□ EBIOS®, «Expression des Besoins et Identification des Objectifs de Sécurité» : méthode d’évaluation des risques en informa-
tique, développée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

□ MEHARI, «Méthode harmonisée d’analyse des risques» : méthode visant à la sécurisation informatique d’une entreprise ou d’un
organisme. Elle a été développée et est proposée par le Club de la Sécurité de l’Information Français, CLUSIF.

Pour obtenir une certification IS 27001

⊳ définir le champ du SMSI ;
⊳ en formuler la politique de management ;
⊳ préciser la méthode d’analyse de risques utilisée ;
⊳ identifier, analyser et évaluer les risques ;
⊳ déterminer les traitements qui seront appliqués aux différents risques, ainsi que les moyens d’en vérifier les effets ;
⊳ attester l’engagement de la direction de l’organisme dans la démarche du SMSI ;
P-F. Bonnefoi

⊳ rédiger le Statement of Applicability (SOA) qui sera la charte du SMSI et qui permettra de le soumettre à un audit.
 Les méthodes et l’aspect législatif 7
Les différents IS
∘ IS 27001 : système de management de la sécurité des ∘ IS 27003 : implémentation du SMSI ;
systèmes d’information (SMSI) ; ∘ IS 27004 : indicateurs de suivi du SMSI ;
∘ IS27000 : vocabulaire SSI ; ∘ IS 27005 : évaluation et traitement du risque ;
∘ IS 27002 : catalogue de mesures de sécurité : ∘ IS 27006 : certification du SMSI ;
https://fr.wikipedia.org/wiki/ISO/CEI_27002 ∘ IS 27007 : audit du SMSI.
L’historique et l’évolution de la législation
□ juillet 2002, USA : loi Sarbanes-Oxley, «SOX» : impose aux entreprises qui font appel au capital public (cotées en
bourse) toute une série de règles comptables et administratives destinées à assurer la traçabilité de leurs opérations
financières, pour garantir plus de transparence pour les actionnaires (éviter les comptes truqués comme dans le cas
du scandale «Enron») ;

□ 1er août 2003, France : loi sur la sécurité financière (LSF) qui concerne principalement trois domaines :
⋄ modernisation des autorités de contrôle des marchés financiers ;
⋄ sécurité des épargnants et des assurés ;
⋄ contrôle légal des comptes ainsi que la transparence et le gouvernement d’entreprise. Cette loi française ne
concerne pas seulement les sociétés cotées, mais toutes les sociétés anonymes.

□ 2004, dispositif réglementaire européen «Bâle 2» qui concerne les établissements financiers.
La loi Sarbanes-Oxley concerne la sécurité du système d’information : elle impose aux entreprises des procédures de
contrôle interne, de conservation des informations, et de garantie de leur exactitude :
⊳ la continuité des opérations ;
⊳ la sauvegarde et l’archivage des données ;
P-F. Bonnefoi

⊳ l’externalisation et son contrôle.

 Qu’est-ce qu’un système d’Information ? 8

Une définition du système d’information

« Tout moyen dont le fonctionnement fait appel à l’électricité et qui est
destiné à élaborer, traiter, stocker, acheminer, présenter ou détruire
l’information »
P-F. Bonnefoi
 1. Les enjeux de la sécurité des S.I.

a. Préambule

• Système d’Information (S.I.)

– Ensemble des ressources destinées à collecter, classifier, stocker,

gérer, diffuser les informations au sein d’une organisation

– Mot clé : information, c’est le « nerf de la guerre » pour toutes les

entreprises, administrations, organisations, etc.

Le S.I. doit permettre et faciliter la mission de l’organisation

P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité 5

 1. Les enjeux de la sécurité des S.I.

a. Préambule
• Le système d’information d’une organisation contient un ensemble d’actifs :
actifs primordiaux

processus métiers
et informations

actifs supports

site personne matériel réseau logiciel organisation

ISO/IEC 27005:2008

La sécurité du S.I. consiste donc à assurer

la sécurité de l’ensemble de ces biens
P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité 6

 1. Les enjeux de la sécurité des S.I.

b. Les enjeux

• La sécurité a pour objectif de réduire les risques pesant sur le

système d’information, pour limiter leurs impacts sur le
fonctionnement et les activités métiers des organisations…

• La gestion de la sécurité au sein d’un système d’information n’a pas

pour objectif de faire de l’obstruction. Au contraire :

– Elle contribue à la qualité de service que les utilisateurs sont en

droit d’attendre

– Elle garantit au personnel le niveau de protection qu’ils sont en droit

d’attendre
P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité 7

 1. Les enjeux de la sécurité des S.I.

b. Les enjeux

Impacts financiers Impacts sur l’image

et la réputation
Sécurité
des S.I.
Impacts juridiques Impacts
et réglementaires organisationnels
P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité 8

 1. Les enjeux de la sécurité des S.I.

c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou

au PC d’individus ?
• Les motivations évoluent
– Années 80 et 90 : beaucoup de bidouilleurs enthousiastes
– De nos jours : majoritairement des actions organisées et réfléchies

• Cyber délinquance
– Les individus attirés par l’appât du gain
– Les « hacktivistes »
– Motivation politique, religieuse, etc.
– Les concurrents directs de l’organisation visée
– Les fonctionnaires au service d‘un état
– Les mercenaires agissant pour le compte de commanditaires
– …
P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité 9

 1. Les enjeux de la sécurité des S.I.

c. Pourquoi les pirates s’intéressent-ils aux S.I. des organisations ou

au PC d’individus ?
• Gains financiers (accès à de l’information, puis monétisation et revente)
– Utilisateurs, emails
– Organisation interne de l’entreprise
– Fichiers clients
– Mots de passe, N° de comptes bancaire, cartes bancaires

• Utilisation de ressources (puis revente ou mise à disposition en tant que

« service »)
– Bande passante & espace de stockage (hébergement de musique, films et autres contenus)
– Zombies (botnets)

• Chantage
– Déni de service
– Modifications des données

• Espionnage
– Industriel / concurrentiel
– Étatique

• …
P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité 10

 Qu’est-ce que la sécurité informatique ? 15

D’après Wikipedia
La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisation-
nels, juridiques et humains nécessaire et mis en place pour conserver, rétablir, et garantir la sécurité
du système d’information.

La sécurité informatique a pour objectif de maintenir, à un niveau convenable (défini par la direction
générale), les garanties suivantes :

□ Disponibilité : garantie que les entités autorisées ont accès à tout moment aux éléments considérés.
□ Intégrité : garantie que les ressources sont exactes et complètes (non corrompues).
□ Confidentialité : garantie que les ressources sont accessibles au moment voulu par les entités au-
torisées.

□ Tracabilité : garantie que les accès et tentatives d’accès aux ressources sont tracés et que ces
traces sont conservées et exploitables.

Ces quatre principes combinés, «DICT», permettent d’assurer un niveau de sécurité suffisamment
élevé pour satisfaire au besoin de sécurité des données de l’entreprise concernée.
P-F. Bonnefoi
 2. Les besoins de sécurité

a. Introduction aux critères DIC

• Comment définir le niveau de sécurité d’un bien du S.I. ? Comment évaluer si ce bien
est correctement sécurisé ?

• 3 critères sont retenus pour répondre à cette problématique, connus sous le nom de
D.I.C.
Disponibilité
Propriété d'accessibilité au moment voulu
des biens par les personnes autorisées (i.e. le bien
doit être disponible durant les plages d’utilisation prévues)

Bien à
protéger
Intégrité
Propriété d'exactitude et de complétude des biens
et informations (i.e. une modification illégitime
d’un bien doit pouvoir être détectée et corrigée)

Confidentialité
Propriété des biens de n'être accessibles
qu'aux personnes autorisées
P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité 23

 2. Les besoins de sécurité

b. Besoin de sécurité : « Preuve »

• Comment définir le niveau de sécurité d’un bien du S.I. ? Comment

évaluer si ce bien est correctement sécurisé ?

• 1 critère complémentaire est souvent associé au D.I.C.

Preuve
Propriété d'un bien permettant de retrouver, avec
une confiance suffisante, les circonstances dans
Bien à lesquelles ce bien évolue. Cette propriété englobe
protéger Notamment :
La traçabilité des actions menées
L’authentification des utilisateurs
L’imputabilité du responsable de l’action effectuée
P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité

 2. Les besoins de sécurité

d. Exemple d’évaluation DICP

Ainsi, pour évaluer si un bien est correctement sécurisé, il faut auditer son niveau de
Disponibilité, Intégrité, Confidentialité et de Preuve. L’évaluation de ces critères sur une
échelle permet de déterminer si ce bien est correctement sécurisé.

L’expression du besoin attendu peut-être d’origine :

• Interne : inhérente au métier de l’entreprise
• ou externe : issue des contraintes légales qui pèsent sur les biens de l’entreprise.

Exemple des résultats d’un audit sur un bien sur une échelle (Faible, Moyen, Fort, Très
fort) :

Niveau de Disponibilité du bien Très fort

Niveau d’Intégrité du bien Moyen
Niveau de Confidentialité du bien Très fort
Niveau de Preuve du bien Faible

Le bien bénéficie d’un niveau de sécurité adéquat

P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité

 2. Les besoins de sécurité

d. Exemple d’évaluation DICP

• Tous les biens d’un S.I. n’ont pas nécessairement besoin d’atteindre les mêmes niveaux de DICP.
• Exemple avec un site institutionnel simple (statique) d’une entreprise qui souhaite promouvoir ses
services sur internet :

Disponibilité = Très fort Confidentialité = Faible

Un haut niveau de disponibilité du site Un faible niveau de confidentialité
web est nécessaire, sans quoi suffit. En effet, les informations
l’entreprise ne peut atteindre son contenues dans ce site web sont
objectif de faire connaitre ses services publiques par nature!
au public

Intégrité = Très fort Serveur Preuve = Faible

Un haut niveau d’intégrité des
informations présentées est
web Un faible niveau de preuve suffit.
nécessaire. En effet, l’entreprise ne En effet, ce site web ne permet
souhaiterait pas qu’un concurrent aucune interaction avec les
modifie frauduleusement le contenu du utilisateurs, il fournit simplement
site web pour y insérer des des informations fixes.
informations erronées (ce qui serait
P-F. Bonnefoi

dommageable)
21/09/2015 Sensibilisation et initiation à la cybersécurité
 2. Les besoins de sécurité

c. Différences entre sureté et sécurité

« Sûreté » et « Sécurité » ont des significations différentes en fonction du contexte.
L’interprétation de ces expressions peuvent varier en fonction de la sensibilité de chacun.

Sûreté Sécurité
Protection contre les Protection contre les actions malveillantes
dysfonctionnements et accidents volontaires
involontaires
Exemple de risque : blocage d’un service,
Exemple de risque : saturation d’un modification d’informations, vol
point d’accès, panne d’un disque, d’information
erreur d’exécution, etc.
Non quantifiable statistiquement, mais il
Quantifiable statistiquement (ex. : la est possible d’évaluer en amont le niveau
durée de vie moyenne d’un disque est du risque et les impacts
de X milliers d’heures)
Parades : contrôle d’accès, veille sécurité,
Parades : sauvegarde, correctifs, configuration renforcée,
dimensionnement, redondance des filtrage…*
équipements…
* Certaines de ces parades seront présentées dans ce cours
P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité

 2. Les besoins de sécurité

c. Différences entre sureté et sécurité

Sûreté : ensemble de mécanismes mis en

place pour assurer la continuité de
fonctionnement du système dans les
conditions requises.

Sécurité : ensemble de mécanismes

destinés à protéger l'information des
utilisateurs ou processus n'ayant pas
l'autorisation de la manipuler et d’assurer
les accès autorisés.

Le périmètre de chacune des 2 notions

On constate sur le schéma que
n’est pas si clairement délimité dans la
la notion de sécurité diffère
réalité : dans le cas de la voiture
selon le contexte :
connectée on cherchera la sécurité et la
• sécurité ► innocuité
sûreté.
• sécurité ► immunité
P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité

 RGPD : Règlement Général sur la Protection des Données 22

Donner plus de contrôle aux citoyens européens sur leur données personnelles.

Applicable à partir du 25 mai 2018

□ le droit à l’oubli ;
□ le consentement clair et explicite de la personne concernée quant à l’utilisation de ses données personnelles ;
□ le droit de transférer ses données vers un autre fournisseur de services ;
□ le droit d’être informé en cas de piratage des données ;
□ la garantie que les politiques relatives à la vie privée soient expliquées dans un langage clair et compréhensible ;
□ une mise en œuvre plus stricte et des amendes allant jusqu’à 4% du chiffre d’affaires mondial total d’une entreprise,
dans le but de décourager la violation des règles.
Les contraintes pour l’entreprise
⊳ responsabilité des entités légales qui collectent des données personnelles quand à leur protection contre leur
mauvaise utilisation et leur modification :
⋄ protéger vos serveurs contre des cyber-attaques contre vos ordinateurs et chiffrer les données ;
⋄ utiliser des connexions sécurisées HTTPS et des certificats électroniques ;
⋄ utiliser des outils de protection comme des antivirus ;
⊳ vos clients peuvent déposer plainte et lancer des «class actions» en cas de non respect de ces règles ;
⊳ vous devez communiquer auprès de vos clients en cas de :
⋄ collecte de données et leur permettre de les effacer/refuser ;
⋄ brêche de sécurité ayant conduit au vol de ces données ;
P-F. Bonnefoi

⊳ disposer d’un DPO, «Data Protection Officer» au-delà du traitement de plus de 5000 données utilisateurs sur 1 an.
 La méthode MEHARI «Method for Harmonized Analysis of Risk» 23

⊳ méthode intégrée et complète d’évaluation et de management des risques visant à sécuriser les
systèmes d’information d’une entreprise ou d’une organisation ;

⊳ développée, diffusée et mise à jour par le club professionnel CLUSIF depuis 1996 ;
⊳ mise à jour en 2010 pour respecter les lignes directrices de la norme ISO 27005 : 2009 ;
⊳ utilisable dans le cadre d’un système de gestion de la sécurité de l’information de la norme ISO
27001 : 2005.
Une méthodologie en 3 étapes
I. l’appréciation des risques :
a. identifier les risques du système d’information à partir d’une base de connaissance ;
b. estimer la potentialité et l’impact de ces risques afin d’obtenir leur gravité
c. évaluer l’acceptabilité ou non de ces risques.

II. le traitement des risques : prendre une décision pour chaque risque :
⋄ accepter
⋄ réduire
⋄ transférer
⋄ éviter.
III. la gestion des risques : établir des plans d’action de traitement des risques, des mises en œuvre
P-F. Bonnefoi

de ces plans, mais aussi des contrôles et des pilotages de ces plans.
 − I'(4&#,4'3'/4(0'$(&,$)%'$(
− I'$(.&8*'$$%$(0'(/'$4,8/(0'$(&,$)%'$-(
La0#'/$'352'(
I'( .2#/( méthode MEHARI «Method#$.'*4$(
'4( 2'$( 0,99:&'/4$( for Harmonized Analysis
#58&0:$( $8/4( of Risk»
&'.&:$'/4:$( 24
$*+:3#4,)%'3'/4( *
0'$$8%$-(
Appréciation du risque
Identification Estimation Évaluation
Quels risques ? Quelle gravité ? Acceptabilité ?

Traitement du risque
Acceptation Réduction Transfert Évitement

Gestion des risques

Plans Mise en Contrôle et
d’action œuvre pilotage
(
MÉthode Harmonisée d’Analyse des RIsques
!" 01213.',.4('+3-&/5#.4(
P-F. Bonnefoi

I'$(08*%3'/4$(&:9:&'/*:$(*, 0'$$8%$-($8/4(%4,2'$(.8%&(2##..2,*#4,8/(0'(*'(08*%3'/4(H(
 Appréciation des risques 25

I. identifier tous les risques auxquels l’organisation est exposée ;

II. pour chacun des risques :
Attention
⋄ estimer sa gravité ;
⋄ juger de son acceptabilité. Tout risque ignoré ne sera l’objet d’aucune analyse ni d’aucun
traitement.

Identifier les risques

⋆ l’actif :
⋄ ce qui peut subir un dommage ;
⋄ le fait qu’un actif puisse subir un dommage crée un risque ;
⋄ la gravité associée à la survenance du risque dépend de la nature de cet actif ;
⋄ deux sortes d’actifs :
⋆ primaires : les besoins de l’entreprise ;
⋆ secondaires, ou «de support» : les différentes formes que peuvent prendre les actifs pri-
maires.
⋆ la vulnérabilité : un actif peut posséder une ou plusieurs vulnérabilités intrinsèques qui entraîne des
risques. Ces vulnérabilités dépendent du type d’actif secondaire (matériel, logiciel, etc.)
⋆ le dommage subi : exprimé suivant des critères de conséquences : disponibilité, intégrité et confi-
dentialité.
⋆ la menace : cause d’exploitabilité (l’événement déclencheur) et une probabilité d’occurence d’un
P-F. Bonnefoi

risque.
 3. Notions de vulnérabilité, menace, attaque

a. Notion de « Vulnérabilité »

• Vulnérabilité
• Faiblesse au niveau d’un bien (au niveau de la conception, de la
réalisation, de l’installation, de la configuration ou de l’utilisation du
bien).

Vulnérabilités
P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité

 3. Notions de vulnérabilité, menace, attaque

b. Notion de « Menace »

• Menace
• Cause potentielle d’un incident, qui pourrait entrainer des dommages sur
un bien si cette menace se concrétisait.

Personnes extérieures malveillantes

Stagiaire
malintentionné

Perte de service

Menaces
P-F. Bonnefoi

Code malveillant
21/09/2015 Sensibilisation et initiation à la cybersécurité
 3. Notions de vulnérabilité, menace, attaque

c. Notion d’« Attaque »

• Attaque
• Action malveillante destinée à porter atteinte à la sécurité d’un bien. Une
attaque représente la concrétisation d’une menace, et nécessite
l’exploitation d’une vulnérabilité.

Attaques
P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité

 3. Notions de vulnérabilité, menace, attaque

c. Notion d’« Attaque »

• Attaque
• Une attaque ne peut donc avoir lieu (et réussir)
que si le bien est affecté par une vulnérabilité.

Ainsi, tout le travail des experts sécurité consiste à s’assurer que le

S.I. ne possède aucune vulnérabilité.
Dans la réalité, l’objectif est en fait d’être en mesure de maitriser ces
vulnérabilités plutôt que de viser un objectif 0 inatteignable.
P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité

 Les CERTs, «Computer Emergency Response Team» 30
P-F. Bonnefoi
+#()*'7('27<)'),<((-*'(-')('/393/5-*'1':()'5+*49)'2/4054/()',<')(+,-:54/()A'?<('7#,-')(/5'1'
0(**/(' (-' 3(4:(-+(' :()' +4/+,-)*5-+()' 25/*4+<74C/()' :(' /4)?<(' *(77()' ?<(' :()' 2;5)()' :('
':()'23/4,:()'+57(-:54/()',<':()'23/4,:()':('*(02)A'(,4/(':()')4*<5*4,-)'/3,//52;4?<()'
()-' Processus global d’élaboration des risques 31

+,)-! ⊳ Actifs primaires ⋄ services : informatiques, télécommunication, généraux ;

les besoins de l’entreprise : ⋄ données nécessaires au fonctionnement des services ;
/0! 6)9(,-',0)-0! :!3)00,(&/0!;! 0/*)-+! &,0+5/0! /+<! 3! 6>' 2/! 7),0! 2/! -56/00',*/<!
⋄ processus de gestion.
!3'*!&/0!6,*6)-0+'-6/0!./!02*#/-'-6/!.2!*,0 2/!
⊳ Actifs secondaires ⋄ moyens nécessaires à la réalisation des besoins fonctionnels
)*'+,-9,/0('1'+(**(')23+494+5*4,--!
les diverses formes et contingences décrits par les actifs primaires.
des actifs primaires
)<)'/7,=57'()*'/(2/3)(-*3'+4 :
:()),<)-'
Actif Un risque doit comprendre la descrip-
Actif
Actif primaire
secondaire tion de l’actif en précisant l’actif primaire
et secondaire.
Vulnérabilité
Vulnérabilité Dommage Une menace comporte :
intrinsèque subi
⋆ l’événement déclencheur et son ca-
Menace
ractère volontaire ou accidentel ;
Événement
Acteur
Circonstances ⋆ l’acteur déclenchant cet événement ;
déclencheur de survenance
⋆ les circonstances dans lesquelles
survient cet événement.
Description d’un risque chacun de ces paramètres influe sur la
probabilité d’occurrence de ce risque.
Liste
de
risques
P-F. Bonnefoi

'

65#/&)33/9/-+!.B2-/!('0/!./!6)--',00'-6/0!./!*,0 2/0!+23/0!
 Exemples de risques, de scenarii et de préconisations : à la maison 32
P-F. Bonnefoi
 1. Connaître le Système d’Information

a. Identifier les composants du S.I.

Différents éléments composent le SI

actifs primordiaux
Ordre logique de réalisation de l’inventaire

processus métiers
et données

éléments supports
Système
Applications
d’exploitation

équipements

Commutateur Routeur Serveurs Ordinateur

Smartphone Tablette Box

IMEI : *#06# Adresse MAC

Comprendre son S.I. passe par l’identification de ses composants.

P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité 6

 F""#$#%F&%
%2)*+*,-#%./012-34%)5-60-5#4%.#%+0%704#%.#%1*""0-440"1#4%.#%
Actifs primaires
)&GF;<& Secondaires
%!0&0% 34

Primaires Catégorie d’actifs : Services

Services du réseau étendu
Services du réseau local
Services applicatifs
Services bureautiques communs (serveurs de données, gestionnaires de documents, imprimantes
partagées, etc.)
F""#$#%F!%
Services systèmes communs : messagerie, archivage, impression, édition, etc.
%2)*+*,-#%./012-34%4#1*".0-5#4%.#%+0%604#%.#%1*""0-440"1#4%
Services d'interface et terminaux mis à la disposition des utilisateurs (PC, imprimantes locales,
périphériques, interfaces spécifiques, etc.)
.#%) &GF:;%!0=0%
Services de publication d'informations sur un site web interne ou public
Services
!"# $%&'"%(# généraux
)(*(%,$# de '%#
-.,,"# l’environnement
'*)$"# -"# $20")#de travail)"2.,-%*4")#
-#%2$*9)# du personnel
-"# (bureaux,
'%# &%)"# -"#énergie, climatisation,
2.,,%*))%,2")# -"#
etc.)
%$*+":#:B7B>#0%4#2%$?/.4*"#-#%2$*9#04*A%*4"-#
Services de télécommunication (voix, télécopies, visioconférence, etc.)
#
Secondaires Catégorie d’actifs :SECONDAIRES
TYPES D’ACTIFS Données
Fichiers
Catégorie de données
d’actifs ou bases de données applicatives
: Services
Fichiers bureautiques
Équipements partagés
matériels supports du service
Fichiers bureautiques
Configurations personnels (gérés dans un environnement personnel)
logicielles
Informations écrites
Media support ou imprimées détenues par les utilisateurs, archives personnelles
de logiciel
Comptes
Listings ouetétats
moyens nécessaires
imprimés à l’accès au
des applications service
informatiques
Services échangées,
Données de sécurité associés au servicedonnées individuellement sensibles
écrans applicatifs,
Moyensélectronique
Courrier de servitude nécessaires au service
P-F. Bonnefoi

Locaux postal et télécopies

Courrier
Personnels
Archives et prestataires
patrimoniales nécessaires pour le service (internes et externes)
ou documentaires
Archives informatiques
Catégorie d’actifs : Données
Données et informations publiées sur un site web ou interne
Entités logiques : Fichiers ou bases de données
 Services systèmes communs : messagerie, archivage, impression, édition, etc.
Services d'interface et terminaux mis à la disposition des utilisateurs (PC, imprimantes locales,
périphériques, interfaces spécifiques, etc.)
Services de publication d'informations sur un site web interne ou public
Actifs primaires & Secondaires
F""#$#%F!%
Services généraux de l’environnement de travail du personnel (bureaux, énergie, climatisation, 35
etc.)
%2)*+*,-#%./012-34%4#1*".0-5#4%.#%+0%604#%.#%1*""0-440"1#4%
Services de télécommunication (voix, télécopies, visioconférence, etc.)

Primaires
.#%)&GF:;%!0=0%
Catégorie d’actifs : Données
!"# $%&'"%(#
Fichiers)(*(%,$# -.,,"#
de données ou'%# '*)$"#de
bases -"#données
$20")# -#%2$*9)# )"2.,-%*4")# -"# '%# &%)"# -"# 2.,,%*))%,2")# -"#
applicatives
%$*+": #:B7B>#0%4#2%$?/.4*"#-#%2$*9#04*A%*4"-#
Fichiers bureautiques partagés
# Fichiers bureautiques personnels (gérés dans un environnement personnel)
Informations
TYPES D’ACTIFSécrites ou imprimées détenues par les utilisateurs, archives personnelles
SECONDAIRES
Catégorie d’actifs : Services des applications informatiques
Listings ou états imprimés
Données échangées,
Équipements écrans
matériels applicatifs,
supports données individuellement sensibles
du service
Courrier électronique
Configurations logicielles
Courrier postal et
Media support detélécopies
logiciel
Archives patrimoniales ou documentaires
Comptes et moyens nécessaires à l’accès au service
Archives
Servicesinformatiques
de sécurité associés au service
Données
Moyens deet informations publiées sur
servitude nécessaires un site web ou interne
au service
Locaux
Catégorie d’actifset: Processus
Personnels prestataires de management
nécessaires pour le service (internes et externes)
Conformité à la loi ou aux réglementations relatives à la protection des renseignements personnels
Secondaires Catégorie d’actifs
Conformité à la: Données
loi ou aux réglementations relatives à la communication financière
Entités logiques
Conformité à la loi: Fichiers ou bases de données
ou aux réglementations relatives à la vérification de la comptabilité informatisée
Entités logiques
Conformité à la loi: Messages ou paquets derelatives
ou aux réglementations donnéesàen
la transit
propriété intellectuelle
Entités physiques
Conformité : media à
à la loi relative etlasupports
protection des systèmes informatisés
Moyens d’accès aux données : clés et moyens
à la divers, physiques ou logiques,
et ànécessaires pour
P-F. Bonnefoi

Conformité aux réglementations relatives sécurité des personnes la protection de

accéder aux données
l'environnement
!
Catégorie d’actifs : Processus de management
Procédures et directives internes (dispositifs organisationnels)
 .#%)&GF:;%!0=0%
Informations écrites ou imprimées détenues par les utilisateurs, archives personnelles
!"# $%&'"%(#
Listings)(*(%,$#
ou états-.,,"# '%# '*)$"#
imprimés des -"# $20")# -#%2$*9)#
applications )"2.,-%*4")# -"# '%# &%)"# -"# 2.,,%*))%,2")# -"#
informatiques
%$*+": #:B7B>#0%4#2%$?/.4*"#-#%2$*9#04*A%*4"-#
Données échangées, écrans applicatifs, données individuellement sensibles
Actifs primaires
# & Secondaires
Courrier électronique 36
Courrier
TYPES postal
D’ACTIFS et télécopies
SECONDAIRES
Archives patrimoniales
Catégorie d’actifs : Services ou documentaires
Archives informatiques
Équipements matériels supports du service
Données et informations
Configurations logiciellespubliées sur un site web ou interne

Primaires
Media support de logiciel
Catégorie d’actifs : Processus de management
Comptes et moyens nécessaires à l’accès au service
Conformité à la loi ou aux réglementations relatives à la protection des renseignements personnels
Services de sécurité associés au service
Conformité à la loi ou aux réglementations relatives à la communication financière
Moyens de servitude nécessaires au service
Conformité à la loi ou aux réglementations relatives à la vérification de la comptabilité informatisée
Locaux
Conformité à la loi ou aux réglementations relatives à la propriété intellectuelle
Personnels et prestataires nécessaires pour le service (internes et externes)
Conformité à la loi relative à la protection des systèmes informatisés
Conformité
Catégorie d’actifsaux réglementations relatives à la sécurité des personnes et à la protection de
: Données
l'environnement
Entités logiques : Fichiers ou bases de données
!
Entités logiques : Messages ou paquets de données en transit
Entités physiques : media et supports
Moyens d’accès aux données : clés et moyens divers, physiques ou logiques, nécessaires pour
accéder aux données

Secondaires Catégorie d’actifs : Processus de management

MEHARI Procédures et directives

2010 : Principes internes (dispositifs
fondamentaux organisationnels)
37/62 © CLUSIF 2010
Moyens matériels
et spécifications nécessaires aux processus de management
fonctionnelles
Personnel et prestataires nécessaires aux processus de management

%
#
P-F. Bonnefoi
 Estimation des risques 37

Pour mesurer le risque, on utilise 2 paramètres :

⊳ la probabilité ou la vraisemblance, appelée potentialité.
⊳ la gravité des conséquences, appelé impact.
MEHARI fournit une échelle de potentialité et une échelle d’impact, standards à 4 niveaux.

Pour estimer chaque risque identifié, il faut tenir compte :

∘ du risque intrinsèque (sans tenir compte des mesures de sécurité) ;
∘ du risque résiduel (en tenant compte des mesures de sécurité).
La potentialité intrinsèque d’un risque
C’est la probabilité maximale de survenance du risque en l’absence de toute mesure de sécurité.

Elle dépend :
⋆ de la localisation et de l’environnement de ce risque ;
⋆ de l’enjeu d’un acte volontaire pour son auteur ;
⋆ de la probabilité qu’une action volontaire vise précisément l’organisation.
Exemple : une entreprise de haute technologie est plus explosée au risque d’espionnage alors qu’une
entreprise traitant des flux financiers est plus exposée aux tentatives de fraudes.

L’impact intrinsèque
C’est le niveau maximum des conséquences possibles pour l’organisation en l’absence de toute mesure
P-F. Bonnefoi

de sécurité.
 Les mesures de sécurité 38

Ce sont des facteurs de réduction des risques :

□ Facteurs de réduction de potentialité :
⋄ cumulables : empêcher un événement de se produire, interdire une action humaine, etc.
⋄ deux types : ⋆ Dissuasion : rendre moins probable que l’acteur passe à l’action.
Elle repose sur 3 principes :
⊳ l’imputabilité de l’action à son auteur ;
⊳ l’existence de sanctions ;
⊳ la connaissance par l’auteur des possibilités d’imputation et des sanctions.
⋆ Prévention : rendre moins probable que l’action aboutisse à la réalisation du
risque : mesures techniques et de mécanismes de contrôle.

□ Facteurs de réduction d’impact :

⋄ cumulables : limiter les conséquences directes possibles, prévoir la réparation d’un équipement
suite à un sinistre, etc.

⋄ deux types : ⋆ Confinement : limiter l’ampleur des conséquences directes : fixation de limites
telle que des limites physiques, fixation de points de contrôle intermédiaires, etc.

⋆ Effet palliatif : minimiser les conséquences indirectes du risque par une anti-
cipation de la gestion du risque : plans de maintenance matérielle et logicielle,
P-F. Bonnefoi

plans de sauvegarde et de restauration de données, etc.

 >#$2"1.$9$#(.$31%2"&%-$&+,"&%"&.%($1&$%,1%)-3#"&&,&%+,$%#30)-"12%2$996-"1."&%6.()"&@%#A(#,1"%(2(1.%
2"&%*$(-(4*"&%4$"1%269$1$&%".%#31.-$4,(1.%C%*#6*(43-(.$31%2#,1"%*$&."%2"%&#61(-$3&%2"%-$&+,"%C%6((*,"-@%
($1&$%+,"%031.-6%&#A60(.$+,"0"1.%#$ 2"&&3,&-%
Estimation
%
des risques 39

Analyse des besoins :

• services Typologie et liste
• données d’actifs primaires
• Processus de management

Analyse des actifs primaires :

• formes Typologie et liste
d’actifs secondaires
• contingences

Analyse des actifs secondaires : Liste des vulnérabilités des

• vulnérabilités intrinsèques actifs secondaires
Liste
de
Scénarios
Typologie des dommages
potentiels
de
Risque
à
Analyse des menaces : Typologie et liste
• événements déclencheurs d’événements déclencheurs évaluer

Analyse des acteurs susceptibles Typologie d’acteurs associés

d’initier l’événement aux événements déclencheurs

Analyse des conditions de Typologie des paramètres de

P-F. Bonnefoi

survenance : processus, lieux, etc. conditions à préciser

%

("$ 90,+(1:4(15'-.,+-61+ 8,+-

 − !"#$%&#'("#$&)#(**+%,-./"#0$'(&$1"(%-&"),$9-&%"$/#+.8",$1"$6"#(%"#$1#(%/")8"0$"
1"$,+(,$828/"$.(1/;,-&%"-$
Évaluation des risques dans MEHARI
− !"#$ %&#'("#$ &)-16&##&./"#$ '(&$ 1"(%-&"),$ G,%"$ %;1(&,#$ +($ ;/&6&);#$40>$ ()"$ ;8
1;,"%6&)"%0$1+)8$>$*%")1%"$")$8+6*,"$1-)#$()"$*/-)&9&8-,&+)$C*/-)$1"$#;8(%&,;
MEHARI propose trois types de gravité de risque :
− !"#$%&#'("#$,+/;%;#-$
⋆ les risques insupportables : ils doivent faire l’objet de mesure d’urgence.
!"#$1"(0$*%"6&B%"#$8-,;/+%&"#$8+%%"#*+)1"),$>$8"$'("$)+(#$-(+)#$-**"/;$/"#$%&#'("#$&)-88"
⋆ les risques inadmissibles : ils doivent être éliminés ou réduits à une échéance fixée.
!-$/%&//"$1"$/%-(&,;$#,-)1-%1$1"$%$*+"H$:B7B$"#,$1+));"$8& 1"##+(#-$,-)#$8",$"0"6*/"
⋆ les risques tolérés. /%-(&,;$//+.-/"$;(-/(;"$*-%$/-$/%&//"$")$9+)8,&+)$1"$/#&6*-8,$CHD$",$1"$/-$*+,"),&-/&,;$C!D0$()
Pour savoir dans quel type se range un
1"$risque, on : >$⊳
>$ 8+%%"#*+)1$ ()$ détermine sa gravité
%&#'("$ &)#(**+%,-./"0$ globale
()"$ /%-(&,;$; 1"$ <$ >$ ()$ %&#'("$ &)-16&##&.
/%-(&,;#$&)9;%&"(%"#$>$1"#$%&#'("#$,+/;%;#-$
⊳ consulte la Grille d’acceptabilité des risques.
$
La Gravité globale d’un risque dépend de sa Poten-
tialité et de son Impact : H$U$>$ &$U$:$ &$U$<$ A"B"(" A"B"("

4 risque insupportable H$U$<$ &$U$:$ &$U$<$ &$U$<$ A"B"("

3 risque inadmissible
1& 2 risque toléré. H$U$:$ &$U$7$ &$U$:$ &$U$:$ &$U$<$

H$U$7$ &$U$7$ &$U$7$ &$U$7$ &$U$:$

$ !$U$7$ !$U$:$ !$U$<$ !$U$>$

L’utilisation d’une grille prédéterminée permet de : &%&//"$1#-88"*,-.&/&,;$1"#$%&#'("#$

⊳ déterminer quelle décision prendre$ en terme « d’acceptabilité du risque » ;
P-F. Bonnefoi

⊳ assurer la cohérence des décisions prises.

 − !#&.."0$&$'/)#*-#%'+,-"5#
− !&#%3*-.$'/)#*-#%'+,-"5#
Traitement des risques
− !"#$%&)+9"%$#*-#%'+,-"5# 41
Les options
− principales conformes à la norme IS 27005
!#3('$"(")$#*-#%'+,-"-#
Traitement du risque
Acceptation Réduction Transfert Évitement
#
⊳ accepter : l’entreprise accepte de rien faire vis-à-vis de cette situation :
*"0 #1(22$3&(&)4+%,/%')- /$%
⋄ le risque a été évalué comme acceptable dans la « grille d’acceptabilité des risques » ;
⋄ pour des raisons
!#&.."0$&$'/)# économiques,
*-# %'+,-"# il a été
./)+'+$"5# 4'")# jugé impossible
")$")*-5# 9# &.."0$"%#d’y
1&# remédier ; %'+,-"# *3.%'$"# 0&%# 1"#
+'$-&$'/)# *"#
⋄ le risque est connu et sera surveillé dans le futur.
+.3)&%'/#*"#%'+,-"#$"1#,-#"001'.'$3#01-+#:&-$#*&)+#."#*/.-(")$-#
réduire : sélectionner des services de sécurité dans une « base de connaissance » où chaque
⊳ $)#9&'$5#'1#+"%&'$#01-+#./%%".$#"$#01-+#/3)3%&1#*"#./)+'*3%"%#,-"#1#")$%"0%'+"#/-#1#/%/&)'+("#&.."0$"#
*"#)"#%'")#9&'%"#('+ 9 ('+#*"#."$$"#+'$-&$'/)-#
service est décrit avec
⋄ sa finalité/objectif ;
!"+#%&'+/)+#*"#."$$"#*3.'+'/)#+/)$#*"#*"-0#/%*%"+#M#
⋄ les−mécanismes techniques/organisationnels pour sa mise en œuvre ;
H"1&#./-(%"#$/-+#1"+#.&+#/Q#1"#%'+,-"#&#3$3#3(&1-3#./(("#&.."0$&41"#&-#+")+#*"#1&#/%'11"#
⋄ un niveau de qualité suivant une échelle de niveau permettant de :
*#&.."0$&4'1'$3#*"+#%'+,-"+#0&%."#,-"#1&#./(4')&'+/)#*"#+/)#'(0&.$#"$#*"#+&#0/$")$'&1'$3#
⋆ donner une valeur globale lors de la combinaison de plusieurs services ;
&#3$3#8-/3"#&.."0$&41"5#
⋆ −vérifier
H"1&#que le risque
./-(%"# est ramené
3/&1"(")$# à /Q5#
1"+# .&+# un niveau de$:3/%',-"(")$#
4'")# ,-"# gravité acceptable.
')&.."0$&41"5# '1# &# 3$3# 8-/3#
⊳ : généralement en ayant recours à une assurance mais aussi en transférant la charge sur
transférer'(0/++'41"#*#2#%"(3*'"%#0&%#-)"#&-$%"#(/'"#/-#,-"#$/-$"#+/1-$'/)#&#3$3#3.&%$3"#0/-%#*"+#
un tiers responsable par une action en justice.
%&'+/)+#3./)/(',-"+-#
⊳ 1-/'#
éviter,-#'1# ")# +/'$5#
: réduction par'1# '(0/%$"# *&)+#structurelles
des mesures ."+# .&+5# "$# +-%$/-$#
: *&)+# 1"# +"./)*5# ,-"# ."$$"# &.."0$&$'/)# *-#
%'+,-"#9&++"#1#/48"$#*#-)#./)+")+-+#"$#,-#-)"#./((-)'.&$'/)#+-%#."$$"#&.."0$&$'/)#+/'$#&++-%3"-#
P-F. Bonnefoi

⋄ déménager en cas de risque d’inondation ;

H"0")*&)$5#
⋄ limiter les."$$"#
encours./((-)'.&$'/)# )"#cas
disponibles en %",-'"%$#
de risque%'")#de*"# 01-+# ,-#-)"# *"+.%'0$'/)# 0%3.'+"# *"# 1&#
vol.
+'$-&$'/)# *"# %'+,-"5# ."# ,-'# "+$# *389# &++-%3# 0&%# 1"+# +03.'9'.&$'/)+# *3.%'$"+# *&)+# 1"+# .:&0'$%"+#
0%3.3*")$+-#
 2. Les besoins de sécurité

e. Mécanismes de sécurité pour atteindre les besoins DICP

Un Système d’Information a besoin de mécanismes de sécurité qui ont pour objectif d’assurer de
garantir les propriétés DICP sur les biens de ce S.I. Voici quelques exemples de mécanismes de
sécurité participant à cette garantie :
D I C P
Mécanisme technique permettant de détecter toute attaque
Anti-virus virale qui a déjà été identifiée par la communauté sécurité

Mécanisme permettant d’implémenter du chiffrement et des

Cryptographie signatures électroniques

Équipement permettant d’isoler des zones réseaux entre-elles

Pare-feu et de n’autoriser le passage que de certains flux seulement

Mécanismes permettant de restreindre l’accès en

Contrôles d’accès lecture/écriture/suppression aux ressources aux seules
logiques personnes dument habilitées

Sécurité physique des Mécanismes de protection destinés à protéger l’intégrité

équipements et locaux physique du matériel et des bâtiments/bureaux.
P-F. Bonnefoi

21/09/2015 Sensibilisation et initiation à la cybersécurité

 !"#-.%&'()*#-.(#&%#1)&%#(/(6#/)01'%#'%*.#+%#2#)48%/'(9#+%#/%#+)/.0%*'6#%&'#+%#&"()(,#&(#/%&#1,)/%&&.&#
(*+.(&%*'# +%&# %0(/%*/%&# 1",'(/.2(>,%&# -.#(2# /)*((%*+,"('# +%# &18/(9(%,# 1).,# /","*'(,# 2#%99(/"/('8# +#.*%#
08'?)+%#+%#/%&'()*#+%&#,(&-.%&#2(8&#@#2#(*9),0"'()*-#
$*# 1",'"*'# +.# &/?80"# /2)4"2# 1,8&%*'8# %*# +84.'# +%# +)/.0%*'# %'# ,"11%28# /( +%&&).&6# *).&# "22)*&#
Gestion"*"22&%,#2%&#%0(/%*/%&#1,)1,%&#@#/?"-.%#1?"&%-#
des risques 43
Gestion des risques
Plans Mise en Contrôle et
d’action œuvre pilotage
#
∘ intervient
+"1 après les décisions de traitement de risques ;
#234$5+.$)*+,%-'(%64$,(%-2$7)*+,%
∘ comprend l’ensemble des processus qui vont permettre de :
⋄ mettre en œuvre ces décisions ;
+#2#(&&.%#+%#2"#1?"&%#+#"*"22&%#+%&#,(&-.%&#%'#+%&#1,(&%&#+%#+8/(&()*#/)*/%,*"*'#2%#',"('%0%*'#+%&#
,(&-.%&6# 2#%*',%1,(&%# ).# 2#),/"*(&0%# "# +8/(+8# +.# 1,(*/(1%# +#.*# /%,'"(*# *)04,%# +#"/'()*&# -.(#
⋄ en,%2>(%*'6#&%2)*#2%#'21%#+%#',"('%0%*'#,%'%*.#E#
contrôler les effets ;
⋄ les améliorer si nécessaire ;
− ,%#2"#0(&%#%*#12"/%#+%#&%,((/%&#+%#&8/.,('86#"(%/#1).,#/?"/.*6#.*#)48%/'(9#+%#*((%".#+%#
Élaboration des plans d’action
-."2('8#
– mise en place − de services de sécurité, avec, pour chacun, un objectif de niveau de qualité ;
,%#0%&.,%&#&',./'.,%22%&#((&"*'#@#,8+.(,%#/%,'"(*%&#%01)&('()*&#".#,(&-.%#
– mesures structurelles visant à réduire l’exposition à certains risques ;
− ,%#0%&.,%&#),/"*(&"'()**%22%&#((&"*'#@#8(('%,#/%,'"(*&##,(&-.%&#
– mesures organisationnelles visant à éviter certains risques.
G%/(#8'"*'6#(2#+)('#G',%#/2"(,#-.%#').'%&#/%&#"/'()*&#*%#&%,)*'#&"*&#+).'%#1"&#0%*8%&#&(0.2'"*80%*'#
*(# ').'%&# %*/"/8%&# (008+("'%0%*'6# 1).,# +((%,&%&# ,"(&)*&# '%22%&# -.%# 2"# 2(0('"'()*# +%&# 0)2%*&#
En raison4.+/8'"(,%&6#2%#0"*-.%#+%#+(&1)*(4(2('8#+%&#0)2%*&#?.0"(*&6#%'/-#
de contraintes de budget, de personnels, toutes ces actions ne peuvent être entreprises
immédiatement : /)*+('()*&# 2"# 1?"&%# +#82"4),"'()*# +%&# 12"*&# +#"/'()*# +)('# /)01,%*+,%# 2%&# 8'"1%&#
,"*&# /%&#
⊳ choix &.(("*'%&#E#
des objectif prioritaires en terme de services de sécurité et optimisation de ce choix ;
⊳ transformation de ces choix de services de sécurité en plans d’action concrets ;
− 2%#/?)(0#+%&#)48%/'(9&#1,(),('"(,%&6#%*#'%,0%&#+%#&%,((/%&#+%#&8/.,('8#@#0%'',%#%*#E.(,%#
⊳ choix des mesures structurelles et des mesures d’évitement des risques ;
%'#2#)1'(0(&"'()*#+%#/%#/?)(0#
⊳ validation −des2"#',"*&9),0"'()*#+%&#/?)(0#+%#&%,((/%&##+%#&8/.,('8#%*#12"*&#+#"/'()*#/)*/,%'&##
décisions précédentes.
P-F. Bonnefoi

− 2%#/?)(0#+%&#0%&.,%&#&',./'.,%22%&#8(%*'.%22%&#%'#+%&#0%&.,%&#+#8(('%0%*'#+%&#,(&-.%&#
− 2"#("2(+"'()*#+%&#+8/(&()*&#1,8/8+%*'%&-#

+"1"1 49+*:%-'(%+5;'7)*<(%6.*+.*)$*.'(%')%+6)*=*($)*+,%
 Gestion des risques 44
Choix des objectifs prioritaires et optimisation
Pour définir les priorités, il faut tenir compte de :
– les niveaux de gravité des risques que les mesures prioritaires permettront de réduire : les risques de niveau
le plus élevé doivent être traités en premier ;
– le nombre de risques traités et le nombre de risques dont le traitement sera remis à plus tard ;
– la rapidité avec laquelle les premiers résultats pourront être observés ;
– l’incidence de ces choix sur la sensibilisation du personnel ;
– etc.
Des outils informatiques d’optimisation peuvent aider à déterminer ces choix.
Choix des solutions : mécanismes techniques et organisationnels
Le choix revient au équipes et personnels spécialisés : DSI, «Direction des Systèmes d’Information», respon-
sables réseaux, responsables de la sécurité physique, RSSI etc.

Regroupés dans un «manuel de références des services de sécurité», chaque service de sécurité :
□ l’objectif du service ;
□ les résultats attendus de la mise en œuvre du service ;
□ la description des mécanismes associés à chaque service techniques et organisationnels ;
□ les éléments permettant d’évaluer la qualité de chaque service :
⋄ efficacité ; ⋄ robustesse ; ⋄ mise sous contrôle ;
L’utilisation de ce manuel garantit la concordance entre les fonctionnalités attendues par les gestionnaires de
risques et les estimations des facteurs de réduction de risques utilisées pour les sélectionner.
P-F. Bonnefoi

MEHARI propose un manuel de référence de services de sécurité.

"$ 4'710E3,*,1*<(3'1;C,*+,*3;*C,.1('7*+(0,21,*+,.*0(. /,.*
"#$ %'+,3F-"#$ 6$ "99"%,2"3$ 5'23$ 5(-',"3$ -0$ /"#,('+$ 4(3"%,"$ 4"#$ 3(#92"#$ #'+,$ .2-,(5-"#$ ",$ #'
Contrôle et pilotage4"##'2#-$
531#"+,1#$503$-"$#%&1.0$%( de la gestion directe des risques 45

Traitement Services de sécurité Choix des

à déployer et mécanismes et
des risques
niveaux objectifs solutions

Contrôle de niveau :
solutions vs objectif

Déploiement des
solutions

Contrôle de mise en
œuvre
$
"$53".("3$+(("02$4"$%'+,3F-"$6$"99"%,2"3$"#,$92"$-"#$.1%0+(#."#$",$#'-2,('+#$4"$#1%23(,1$5-0+(9
Contrôle à effectuer :
$41%(41#$%'33"#5'+4"+,$/("+$020$+(("020$4"$920-(,1$4"$#"3((%"$3","+2#$"+$5&0#"$4"$,30(,".
– premier niveau : contrôler que les mécanismes et solutions de sécurité planifiés et décidés corres-
"#$3(#92"#-$ pondent bien aux niveaux de qualité de service retenus en phase de traitement des risques ;
– second niveau : contrôler la mise en œuvre.
"$4"20(8."$%'+,3F-"$"#,$2+$%'+,3F-"$4"$.(#"$"+$E2(3"-$
P-F. Bonnefoi

EHARI 2010 : Principes fondamentaux 35/62 © CLUSIF 2

 procédure,
procédure un contrôle doivent être efficace
s contrôle, les procédures sont inutiles, sans implication du
onnelGestion des risques : ne pas négliger le facteur humain !
non plus ! 46

er le syndrome de la porte blindée sur un coffre en carton

P-F. Bonnefoi

Page 4
009
 La sécurité du système d’information dans l’entreprise 47

RSI ⋆ assure la gestion et l’exploitation du SI dont il a la responsabilité ;

⋆ connait tous les aspects aussi bien techniques, qu’organisationnels
«Responsable du
du SI dont il sert de personne de référence.
Système d’Information»

RSSI ⋆ sécurise le SI afin de garantir :

«Responsable de la
⋄ disponibilité ;
Sécurité du SI»
⋄ intégrité ;
⋄ confidentialité ;
⋆ gère la sécurité au quotidien d’une manière globale, aussi bien tech-
nique qu’organisationnelle.

□ PRA, «plan de retour d’activité» ;

□ PCA, «plan de continuité d’activité» :
⋄ permet d’éviter une interruption de service qui engendrerait un PRA (reprise).
⋄ demande une surveillance pour fournir une continuité de service (outils de métrologie par
exemple).
□ SMSI, «Système de Management de la Sécurité de l’Information»
PSSI, «Politique de Sécurité des Systèmes d’Information» : plan d’actions définies pour maintenir
P-F. Bonnefoi

□
un certain niveau de sécurité.
 PCA et PRA 48
PCA, «Plan de Continuité d’Activité»
But : continuer l’activité en cas d’incident ou de crise :
⋄ sans perte de service ;
⋄ avec une légère dégradation acceptable.
Exemple : télétravail en cas de grêve des transports en commun.

PRA, «Plan de Reprise d’Activité»

But : reconstruire ou basculer sur un système de relève pour une durée déterminée en cas de crise majeure ou
de sinistre :
⋄ fournir les besions informatiques nécessaires à la survie de l’entreprise ;
⋄ s’appui sur :
⋆ RPO, «Recovery Point Objective», c-à-d un risque défini de perte de données ;
⋆ RTO, «Recovery Time Objective», c-à-d une durée acceptable d’interruption.

Exemple : basculement vers un «DataCenter» sur un site de secours en cas d’incendie.

Des obligations légales

□ Réglementation CRBF2004-02 (issue de IASB Bâle II) : obligation d’un plan de secours opérationnel pour les éta-
blissements financiers, banques et assurances.

□ Code du commerce art. L.123-22 : conservation des documents comptables pendant 10 ans.
P-F. Bonnefoi

□ Décret du 24 mars 2006 : conservation des fichiers de journalisation des prestataires d’hébergement (identification
des personnes ayant édité du contenu mis en ligne).
COMPLÉMENT
COMPLÉMENT ??
Mise en œuvre d’un PCA/PRA ou «plan de secours» 49
Exemple d’une structure de formation
□ Lancement :
Lancement
Objectif : déterminer et préciser les risques à couvrir :
Champ de l’étude
⋆ objets à risque : matériels informatiques et téléphoniques,
Etude fonctionnelle
fournisseurs extérieurs, personnels, locaux...
Enjeux, critères d’évaluation des impacts, service minimum
⋆ nature des risques.
Etude de
vulnérabilité Périmètre et risques :
Bilan des sécurités existantes ou prévues
Chaque résultat de ⋆ limiter l’analyse au système informatique : serveurs et
Analyse des risques
phase conditionne la
phase suivante et postes clients
Scénarios de sinistre, priorités
doit faire l’objet
d’une réception
⋆ exclure la situation de perte totale de données (pro-
Orientations
formelle par le
Comité de Pilotage.
ductions et sauvegardes)
Cibles fonctionnelles et techniques
Scénarios de solutions

Figure 1 : Démarche de stratégie de secours

2.2.2 Phase de lancement

Avant de commencerÉtude
□ une étude fonctionnelle
de Plan de Secours Informatique, il est essentiel d’en préciser

Objectif : activités quideexigent uneencontinuité

compte. Il peut:
le champ. Il convient en particulier de faire valider par la Direction de l’entreprise, via un
comité de pilotage, les activités concernées et les types risques à prendre
⋆ enjeux
s’agir de l’ensemble des activités ou au contraire d’un plan de secours limité à un domaine
stratégique. Pour chaque activité concernée, on désignera un correspondant PSI de l’équipe
projet.
⋆ activités essentielles
La difficulté de ce type d’étude réside essentiellement dans la mise en oeuvre d’un PSI adapté
à l'environnement. L’adoption d’une ⋆ méthodologie
conséquences d’une
personnalisée, interruption,
facilitera l’appropriation dégradation : arrêt temporaire ou définitif, perte de données, dégradation
par les responsables concernés.
de service...
Il y a lieu de faire préciser par la Direction les risques qu’elle souhaite couvrir. Selon les
choix exprimés, les « objets à risque » concernés (matériels informatiques, matériels de
téléphonie, fournitures externes, personnel, locaux, ...) et la nature des risques (faut-il par
Activités
exemple traiter le risque et exigences
social ?) seront précisés. :
Étude du fonctionnement de la structure de formation
Selon les risques retenus et le périmètre souhaité, le plan de secours sera un Plan de Secours
P-F. Bonnefoi

Informatique ou s’apparentera à un Plan de Continuité d’Activité.

Les fiches guides d’analyse de risque fournies en annexe de ce document listent par grandes
familles les objets à risques pouvant être pris en compte dans un PSI ainsi que les principaux
risques associés.
COMPLÉMENT
COMPLÉMENT ??
Mise en œuvre d’un PCA/PRA 50
Exemple d’une structure de formation
Quelles sont les activités qui exigent une continuité ?

Définir : ⋆ les enjeux : permettre d’étalonner le niveau d’impact (caractère "non supportable") et de préciser les condi-
tions minimales pour assurer un niveau d’activité et de disponibilité du SI acceptable.
⋆ les activités essentielles : les besoins informatiques en terme de process et de logiciels ;
⋆ les conséquences d’une interruption, dégradation (arrêt temporaire ou définitif, perte de données, dégra-
dation de service..)

Activités
a. un logiciel pour la gestion des personnes inscrites dans les différentes formations dispensées :
⋄ inscription ;
⋄ gestion des évaluations ;
⋄ délivrance d’une attestion de suivi ou de réussite si la formation est diplômante ou fournie un certificat.
b. un logiciel de gestion comptable disposant d’une passerelle vers le logiciel de gestion des inscrits.

Exigences
Pour le logiciel a) : Pour le logiciel b) :
élèves temps d’arrêt max supportable comptabilité temps d’arrêt max supportable
mai à juin 2 jours janvier 1 jour
septembre à octobre 2 jours septembre à avril 2 jours
autres 3 jours autres 4 jours
P-F. Bonnefoi
COMPLÉMENT
COMPLÉMENT ??
Mise en œuvre d’un PCA/PRA 51
Tableau récapitulatif du nombre de jours maximum d’interruption acceptable
mois 01 02 03 04 05 06 07 08 09 10 11 12
logiciel a) élèves 3 3 3 3 2 2 3 3 2 2 3 3
logiciel b) compta 1 2 2 2 3 3 3 3 2 2 2 2
maximum acceptable 1 2 2 2 2 2 3 3 2 2 2 2

Analyse
⊳ Les logiciels d’exploitation se trouvant sur le même serveur, cela ramène la durée maximale d’in-
terruption totale d’activité supportable à deux jours sur toute l’année.

Si ce temps est ramené à une journée cela permet de limiter énormément le stress des personnes
concernées par l’utilisation de ce logiciel et par conséquent, réduit le stress des personnes qui
s’occupent de la remise en activité du système.

⊳ Ces deux jours concernent seulement la perte d’activité due au serveur.

La perte d’une journée de travail est le maximum pour les périodes de forte activité.
S’il y a perte totale de données, le coût devient très élevé car il faut reprendre les données en cours
mais également reconstituer un historique minimum pour répondre à la législation (comptabilité, ap-
prenants...)
P-F. Bonnefoi
COMPLÉMENT
COMPLÉMENT ??
Mise en œuvre d’un PCA/PRA 52

□ Étude de vulnérabilité :
⋄ Couverture assurance des risques informatiques : souscription d’une assurance couvrant les
dégâts matériels et qui prévoit une indemnisation pour la reconstitution des données.
⋄ Sécurité générale : accès protégé aux serveurs, sauvegardes sur bandes.
⋄ Moyens de secours : pas de redondance de serveurs.
⋄ Moyens de protections des informations stockées : la bande magnétique de sauvegarde du ven-
dredi sort du bâtiment.
Elle n’est probablement pas chiffrée.
⋄ Contrats de maintenance : pour le serveur et les postes clients, imprimantes...
⋄ Sécurité du réseau informatique : utilisation d’un parefeu/firewall.

□ Analyse des risques

Les principaux risques pour les structures sont les
⋄ risques externes (force majeure) : électricité, incendie, dégâts des eaux, accès internet du FAI,
vandalisme...
Pour les risques électriques et d’incendie, les écoles accueillant du public sont contrôlées régu-
lièrement avec des normes strictes. Les cas de forces majeures peuvent entraîner un arrêt com-
plet si les serveurs sont tous sur le même site.
⋄ risques internes : le matériel, la mauvaise manipulation...
□ Orientations
P-F. Bonnefoi

Les solutions techniques et organisationnelles.

COMPLÉMENT
COMPLÉMENT D’autres éditions du CLUSIF : [10] et [11]. ??
Mise en œuvre d’un PCA/PRA 53
D PRA - PCA
Synthèse
Serveur
opérationnel Sauvegarde
Incident
100 %
Perte admissible
de données

Service dégradé
50 %
Durée
maximale
admissible Durée maximale admissible
d’interruption de retour à la normale.

0%
1 2 3 4 5 Jours
Ressources disponibles
https://www.clusif.asso.fr/fr/production/ouvrages/pdf/PlanContinuiteActivite.pdf
http://www.economie.gouv.fr/files/hfds-guide-pca-plan-continuite-activite-_sgdsn.pdf
P-F. Bonnefoi
COMPLÉMENT
COMPLÉMENT ??
Mise en œuvre d’un PCA/PRA 54
Orientations : quelques solutions
◯ Utiliser un hébergeur externe pour l’hébergement d’un site Web ;
L’hébergeur doit disposer de son propre PCA/PRA.

◯ Héberger ses applications métiers dans le Cloud : Amazon Elastic Compute Cloud (EC2), etc.
Si l’application métier a été adaptée à ce mode fonctionnement.

◯ Sauvegarder régulièrement en ligne ses données : GoogleDrive, DropBox, WEBdav...

Disponible gratuitement pour les particuliers, à mettre en conformité avec la politique de sécurité de l’entreprise pour
des données professionnelles, ou souscrire à une offre professionnelle.

◯ Virtualiser le poste de travail : VMWare, VirtualBox...

Le matériel est interchangeable, seule compte la «machine virtuelle», qui se réduit à des fichiers représentant son
disque dur. Par contre, bénéficie mal des performances des cartes graphiques.

◯ Stocker ses données sur un serveur dans le réseau : NAS, SAN...

Le serveur n’héberge que des disques durs en mode RAID : survivre à la mort d’un des disques durs.

◯ Disposer d’image complète de son poste de travail : Clonezilla, Symantec Ghost...

Permet de restaurer la totalité du disque dur de la machine, système d’exploitation et application compris.

◯ Utiliser des applications disponible sur le Web : Google Docs, Microsoft Office 365.
Utiliser les solutions proposées par les éditeurs en matière de traitement de texte, de tableur et disposer de moyens
de travail collaboratif.

◯ Télétravail.
Permet de s’affranchir des risques liés aux retards et impossibilités de déplacement professionnels. Cela s’étend à
P-F. Bonnefoi

l’usage de la visio conférence en lieu et place de déplacement de travail.