B. INFORMATIONS
|
AMR
|
Sensibilité (3-3-1)
|
|
Risques
|
Sévérité
|
Impact final
|
|
D
|
I
|
C
|
D
|
I
|
C
|
|
R1-1
|
4
|
0
|
0
|
3
|
0
|
0
|
|
R15-2
|
0
|
0
|
2
|
0
|
0
|
1
|
|
R17-2
|
0
|
0
|
3
|
0
|
0
|
1
|
|
R18-5
|
0
|
0
|
2
|
0
|
0
|
1
|
|
R23-1
|
1
|
2
|
3
|
1
|
2
|
1
|
50 | P a g e
|
R23-6
|
3
|
3
|
3
|
0
|
3
|
1
|
|
R23-9
|
0
|
0
|
1
|
0
|
0
|
1
|
|
R23-14
|
0
|
0
|
1
|
0
|
0
|
1
|
|
R23-16
|
2
|
0
|
3
|
2
|
0
|
1
|
|
R41-3
|
0
|
3
|
2
|
0
|
3
|
1
|
|
R41-5
|
0
|
3
|
3
|
0
|
3
|
1
|
|
R42-2
|
3
|
3
|
4
|
3
|
3
|
1
|
|
R42-8
|
3
|
3
|
4
|
3
|
3
|
1
|
|
R43-1
|
2
|
3
|
3
|
2
|
3
|
1
|
|
R43-3
|
2
|
2
|
2
|
2
|
2
|
1
|
|
R43-4
|
3
|
4
|
2
|
3
|
3
|
1
|
|
R43-6
|
2
|
3
|
3
|
2
|
3
|
1
|
|
QUITTANCES
|
Sensibilité (4-3-2)
|
|
Risques
|
Sévérité
|
Impact final
|
|
D
|
I
|
C
|
D
|
I
|
C
|
|
R1-1
|
4
|
0
|
0
|
4
|
0
|
0
|
|
R15-2
|
0
|
0
|
2
|
0
|
0
|
2
|
|
R17-2
|
0
|
0
|
3
|
0
|
0
|
2
|
|
R18-5
|
0
|
0
|
2
|
0
|
0
|
2
|
|
R23-1
|
1
|
2
|
3
|
1
|
2
|
2
|
|
R23-6
|
3
|
3
|
3
|
4
|
3
|
2
|
|
R23-9
|
0
|
0
|
1
|
0
|
0
|
1
|
|
R23-14
|
0
|
0
|
1
|
0
|
0
|
1
|
|
R23-16
|
2
|
0
|
3
|
2
|
0
|
2
|
|
R41-3
|
0
|
3
|
2
|
2
|
3
|
0
|
|
R41-5
|
0
|
3
|
1
|
0
|
3
|
1
|
|
R42-2
|
3
|
3
|
4
|
3
|
3
|
2
|
51 | P a g e
|
R42-8
|
3
|
4
|
3
|
3
|
3
|
2
|
|
R43-1
|
2
|
3
|
3
|
2
|
3
|
2
|
|
R43-3
|
2
|
2
|
2
|
2
|
2
|
2
|
|
R43-4
|
3
|
4
|
2
|
3
|
3
|
2
|
|
R43-6
|
2
|
3
|
3
|
3
|
3
|
2
|
|
RECEPISSE
|
Sensibilité (4-3-3)
|
|
Risques
|
Sévérité
|
Impact final
|
|
D
|
I
|
C
|
D
|
I
|
C
|
|
R1-1
|
4
|
0
|
0
|
4
|
0
|
0
|
|
R15-2
|
0
|
0
|
2
|
0
|
0
|
2
|
|
R17-2
|
0
|
0
|
3
|
0
|
0
|
3
|
|
R18-5
|
0
|
0
|
2
|
0
|
0
|
2
|
|
R23-1
|
1
|
2
|
3
|
1
|
2
|
3
|
|
R23-6
|
3
|
3
|
3
|
4
|
3
|
3
|
|
R23-9
|
0
|
0
|
1
|
0
|
0
|
1
|
|
R23-14
|
0
|
0
|
1
|
0
|
0
|
1
|
|
R23-16
|
2
|
0
|
3
|
2
|
0
|
3
|
|
R41-3
|
0
|
3
|
2
|
0
|
3
|
2
|
|
R41-5
|
0
|
3
|
1
|
0
|
3
|
1
|
|
R42-2
|
3
|
3
|
4
|
4
|
3
|
3
|
|
R42-8
|
3
|
4
|
3
|
3
|
3
|
3
|
|
R43-1
|
2
|
3
|
3
|
2
|
3
|
3
|
|
R43-3
|
2
|
2
|
2
|
2
|
2
|
2
|
|
R43-4
|
3
|
4
|
2
|
3
|
3
|
2
|
|
R43-6
|
2
|
3
|
3
|
2
|
3
|
3
|
52 | P a g e
53 | P a g e
III.2.5. ETUDE DES MESURES DE SECURITE
Cette dernière étape a pour objectif de
déterminer les moyens de traiter les risques et de suivre leur mise en
oeuvre, en cohérence avec le contexte de l'étude. Nous allons
exprimer ce que doit réaliser la cible de l'étude pour que le
système-cible fonctionne de manière sécurisé.
Elle permet de décider de la manière dont chaque
risque identifié devra être traité. Les risques pourront
être refusés, optimisés, transférés ou pris
et le risque résiduel devra être clairement identifié et
accepté.
Tableau 10. Les mesures de sécurité
retenues
|
R1 : Protection contre l'incendie
|
|
Description
|
R1-1
|
Le site doit être équipé d'un système
de détection d'incendie muni d'une remontée d'alarme vers une
supervision qui pourrait être externalisée. Il est
nécessaire de tester ces mesures (au moins une fois par an).
|
|
Solution
|
Possession des extincteurs et un système d'alarme incendie
Disposition de numéro d'appel d'urgence
|
|
R15 : Protection contre l'espionnage à distance
|
|
Description
|
R15-2
|
Les échanges de courriers électroniques ou de
n'importe quelle transaction doivent être protégés en
confidentialité par des solutions de chiffrement disponible sur le
marché.
|
|
Solution
|
Filtrage des paquets par des logiciels spécialisés
; Installation d'un pare-feu ;
Utilisation de VPN sécurisé, SSH ou OpenSSH
|
|
R17 : Protection contre le vol de support ou document
|
|
Description
|
R17-2
R17-3
|
Toutes les entrées et sorties dans des bureaux doivent
être contrôlé ; les locaux doivent être
protégés par des serrures de sécurité dont les
clés ne sont détenues que par des responsables. Les personnels
doivent être vigilants, ils doivent être éveillés sur
tous les biens de l'entreprise.
|
|
Solution
|
Fermeture du bureau lors d'absence de responsable celui-ci ;
Contrôle des entrées/sorties. Interdiction d'entre
avec des ordinateurs privés sans l'identification de ce dernier et pas
d'utilisation de support amovible privé. Faire l'inventaire des biens de
l'entreprise à une période bien déterminée.
|
|
R19 : Lutte contre la divulgation interne
|
|
Description
|
R19-1 R19-2 R19-3 R19-5
|
Les personnels doivent reconnaitre avec précision, les
informations,
documents confidentiels et leurs engagements envers
l'entreprise. Le
responsable doit organiser des formations sur la
sécurité pour ses personnels.
Les personnels doivent agir tout en respectant les conditions
préétablis.
|
54 | P a g e
Solution
|
Aucun personnel ne peut utiliser un outil de l'entreprise sans
être formé, informé ainsi que sensibilisé sur les
documents confidentiels.
|
|
R22 : Lutte contre le piégeage du matériel
|
|
Description
|
R22-1 R22-5 R22-6 R22-8
|
l'entreprise doit penser à mettre en place un
système de sauvegarde de ses données afin de prévenir un
incident, faire l'inventaire à une période bien
déterminée de ses équipements, et enfin,
implémenter un système
d'authentification fort.
Interdiction d'accès avec des ordinateurs qui ne sont pas
de l'Organisation.
|
|
Solution
|
Ajout d'un site de repli hors site ;
Renforcer l'authentification de personnels. Installer un par
feu.
|
|
R23 : Précaution à prendre contre le
piégeage du logiciel
|
|
Description
|
R23-2 R23-4 R23-5 R23-6 R23-7 R23-10 R23-12 R23-13
R23-16
|
L'administrateur doit être tenu au courant avant
l'installation d'un logiciel, l'antivirus doit être mise à jour
régulièrement, sans oublier une authentification forte pour les
utilisateurs qui se connectent à partir d'Internet.
Le système doit identifier et authentifier de
façon unique les utilisateurs. L'identification et l'authentification
doivent avoir lieu avant toute interaction entre le système et
l'utilisateur. A un niveau donné, d'autres interactions doivent
être possibles qu'après une identification et une authentification
réussies.
|
|
Solution
|
Stricte vérification de logiciel, authentification
forte des utilisateurs en ligne, et vérification de la validité
du format de fichier ainsi que l'identification de tous les utilisateurs
utilisant les services de l'entreprise.
|
|
R28 : Des pannes matérielles
|
|
Description
|
R28-2
R28-3
R28-5
|
L'entreprise doit songer à ajouter un site de
sauvegarde et doubler les matériels incontournables de SI. A l'aide des
outils spécifiques, l'administrateur réseau de l'entreprise peut
prendre en main l'état de tous les matériels utilisés dans
son parc. Et aussi s'abonner à une entreprise de maintenance,
climatisation des locaux et salle serveur en particulier ; enfin, utiliser des
onduleurs pour pallier au problème du courant.
|
|
Solution
|
Utilisation des onduleurs, ajout ou abonnement à un
site de réplication qui fera office de sauvegarde de données
sensibles de l'entreprise ; doubler les matériels délicats du SI,
et enfin, utiliser les outils de supervision de réseau.
|
|
R41 : Protection d'intégrité de données
|
|
Description
|
R41-1 R41-2 R41-5 R41-6
|
L'administrateur doit mettre en place des systèmes de
surveillance de l'ensemble du système à l'aide de logiciels,
éliminer les failles d'écoute de la ligne de transmission et
surveiller les opérations internes comme externes
|
55 | P a g e
Solution
|
Installation d'un pare-feu, utilisation de système de
détection d'intrusion, chiffrement de transmission par des algorithmes
spécifiques, bien gérer les droits et autorisations, enfin,
contrôle d'accès aux données.
|
|
R42 : Reniement d'action
|
|
|
Le système donne l'accès même aux
utilisateurs qui sont en dehors du réseau
|
|
R42-1
|
ce qui revient à dire que l'authentification des
utilisateurs pareils doit être très
|
|
Description
|
R42-3
|
forte ; Les services réseau sont aussi accessibles depuis
l'extérieur, d'où il y a
|
|
R42-
|
nécessité de tracer les accès et
d'enregistrer chaque session.
|
|
Enregistrer les sessions des utilisateurs et implémenter
la supervision logicielle
|
|
Solution
|
pour chaque service.
|
|
R43 : Usurpation de droits
|
|
|
L'administrateur doit mettre en place un système
d'autorisation sans
|
|
R43-1
|
ambiguïté, et veiller sur les actions de chaque
utilisateur.
|
|
R43-3
|
Le système doit pouvoir distinguer et administrer les
droits d'accès des
|
|
Description
|
R43-4
|
utilisateurs, des rôles et des processus aux objectifs
désignés explicitement. Il
|
|
R43-5
|
doit restreindre l'accès des utilisateurs à ces
objets d'une façon telle que cet
|
|
R43-6
|
accès ne soit possible que par l'intermédiaire de
processus établis
spécialement.
|
|
Utilisation de logiciels sûrs, mettre en place un plan de
gestion des droits
|
|
Solution
|
d'accès et restriction des utilisateurs.
|
Conclusion partielle
Pour assurer sa continuité, l'entreprise doit savoir
à quelles menaces d'interruption de ses activités elle est
exposée. L'analyse des risques lui permettra de chiffrer les
évaluations des pertes et les probabilités d'occurrence des
sinistres. Ainsi, connaissant mieux le champ des risques encourus, l'entreprise
pourra étudier les options permettant d'en réduire les effets. Ce
n'est qu'alors qu'elle sera en situation de décider quelles actions
réaliser pour maîtriser le risque.
Pour analyser les risques nous avons fait recours à la
méthode EBIOS (Expression de Besoins et Identification des Objectifs de
Sécurité), cette méthode permet d'analyser les risques en
passant par cinq étapes. L'analyse de risques dans la régie de
finance CDI est rendue possible grâce aux informations fournies par un
manuel préétabli de ladite entreprise qui nous a
été remis par un personnel.
56 | P a g e
| 
