Audit-et-gestion-de-risque-selon-les-normes-ISO.docx

8/16/2019 Audit-et-gestion-de-risque-selon-les-normes-ISO.docx

1/103

Université Cadi Ayyad

Ecole Nationale des Sciences Appliquées de Safi

Département : Informatique, Matématiques, !éseau" et #élécommunications $IM!#%

&ili're : 5ème Année Génie des télécommunications et réseaux

Audit et gestion des risquesselon les normes ISO

Réalisé Par :E()*USSAINI AsmaE!!AI)AN+ NailaM*U-I# Caimaa

Encadré par :M.)EDA/*U


2/103

Année universitaire : 2015/2017

Introductiongénérale

Nous admettons qu0il n0y aura pas une entité appelé entreprise sans prise de risque. Et nous ne pouvons surtout pas nier le développement vaste et rapide de topolo1ies de réseau" couvrant le monde etl0immense utilisation de nouveau" tecnolo1ies informatique comme l0Internet moile, Internet deso2ets, Cloud, et l0usa1e important des smartpones, talettes... 3ui constituent une source pertinente

pour de nomreuses menaces au sein des or1anisations.

(0e"istence des risques, tant internes qu4e"ternes 5 l4or1anisme, contriuent considéralement 5au1menter les attaques profitant des traitements et stoc6a1e des données et le transfert de ces derniers.(es attaques évoluent pro1ressivement et se montrent tr's comple"es 5 déterminer de fa7on prédictive.

Ces circonstances nous imposent de déterminer une politique de sécurité, de faire un suivi ré1ulier pour vérifier son efficacité et sa fructuosité : la mise en place d0un audit de sécurité informatique est unenécessité fondamentale pour identifier les points de vulnérailité possile du syst'me informatique, sur le

plan tecnique et or1anisationnel, avant qu4ils n0aient une intrusion menée par des parties avec l0intentionde nuire au on fonctionnement de l4or1anisation.

8lusieurs métodes ont était adapté afin de proté1er les or1anismes de toutes les menaces prédétecté selon des normes universelle qui définit plusieurs straté1ies a fin de faciliter la 1estion des risqueet l0audit de ces derniers pour notre cas nous avons coisit la métode E/I*S vu sa simplicité de mise en9uvre et son aptitude de répondre a plusieurs questions : 3uel est le ut de l0étude Comment nousallons 1érer ces risques 3uels sont les événements qui ne doivent pas se produire 3uels sont les plus1rave 3uels sont les scénarios prédits 3uelle est la carto1rapie des risques Comment pouvons;nousles traiter 3uelles mesures nous devons prendre


3/103


4/103

SOMMAIRE


5/103

SommaireIntroduction générale............................................................................................................. 2

Sommaire............................................................................................................................... 4

Chaitre 1 : Conte!te du ro"et..............................................................................................5

2. #ro$lémati%ue...............................................................................................................5

&. '$"ecti(s........................................................................................................................5

4. Cahier des charges........................................................................................................5

5. )taes de réalisation.....................................................................................................5

*. Conclusion :...................................................................................................................5

Chaitre 2: )tude théori%ue................................................................................................. 15

1.1. +,organisme............................................................................................................. 15Présentation de l'organisme..................................................................................................1*

Contraintes de l'organisme...................................................................................................1*

Références réglementaires générales......................................................................................17

Architecture du S.............................................................................................................. 1-

!"#" $e s%stème&cile...........................................................................................................20

Présentation du s%stème&cile............................................................................................... 20

En(eux............................................................................................................................. 20

Sélection du s%stème&cile....................................................................................................21

)léments essentiels............................................................................................................. 21

*%pothèses........................................................................................................................27

+ode d'exploitation de sécurité.............................................................................................27

Règles de sécurité...............................................................................................................27

1.&. +a ci$le de l,étude....................................................................................................2-

Entités............................................................................................................................. 2-

Relations entités , éléments...................................................................................................21.4. Sélection des éléments essentiels...........................................................................&2

2. )tae 2 : +es $esoins de sécurité...................................................................................&&

2.1. éalisation des ches de $esoins.............................................................................&4

Critères de sécurité.............................................................................................................&4

)chelle de esoins...............................................................................................................&5

Sinistres........................................................................................................................... &5

mpacts............................................................................................................................&*

2.2. Snthse des $esoins de sécurité............................................................................&*


6/103

Attri$ution des $esoins de sécurité................................................................................&*

S%nthèse des esoins........................................................................................................... &*

-" Etape trois : étude des menaces.............................................................................................45

-"! +éthodes d'atta.ue non retenues.........................................................................................45

-"# Ris.ues...........................................................................................................................4-

4. '$"ecti(s de sécurité......................................................................................................5&

-"/ 0i1eaux de résistance........................................................................................................ 57

/ & 2éfinition des en1ironnements de sécurité.................................................................................5-

5 & 2éfinition des mesures de sécurité........................................................................................... 5

3 & Administration de la sécurité.................................................................................................. **

Références réglementaires générales......................................................................................*7

/"!" $e s%stème&cile...........................................................................................................*7Présentation du s%stème&cile............................................................................................... *7

En(eux............................................................................................................................. *7

Sélection du s%stème&cile....................................................................................................*7

)léments essentiels............................................................................................................. *7

*%pothèses........................................................................................................................*7

+ode d'exploitation de sécurité.............................................................................................*7

Règles de sécurité...............................................................................................................*7

+a ci$le de l,étude.......................................................................................................... *-

Entités............................................................................................................................. *-

Relations entités , éléments...................................................................................................*

4.2. Sélection des éléments essentiels...........................................................................71

5. )tae 2 : +es $esoins de sécurité...................................................................................7&

5.1. éalisation des ches de $esoins.............................................................................74

Critères de sécurité.............................................................................................................74

)chelle de esoins...............................................................................................................75Sinistres........................................................................................................................... 75

mpacts............................................................................................................................7*

5.2. Snthse des $esoins de sécurité............................................................................7*

Attri$ution des $esoins de sécurité................................................................................7*

S%nthèse des esoins........................................................................................................... 7*

3" Etape trois : étude des menaces.............................................................................................-5

-"! +éthodes d'atta.ue non retenues.........................................................................................-5

-"# Ris.ues...........................................................................................................................--


7/103

7. '$"ecti(s de sécurité......................................................................................................&

-"/ 0i1eaux de résistance........................................................................................................ 7

/ & 2éfinition des en1ironnements de sécurité.................................................................................-

5 & 2éfinition des mesures de sécurité...........................................................................................

3 & Administration de la sécurité................................................................................................ 10*

Chapitre 1 : Contexte du projet


8/103

1 Introduction

Dans ce qui suit on va vous présenter les o2ectifs, les étapes du pro2et.

! "ro#lématique

(a protection du réseau interne et e"terne des or1anisations, les oli1e 5 opter pour des outils de protectionles plus performants dans le domaine comme les &ireetc. Afin de pouvoir tester le niveau

de sécurisation de ces derniers, les or1anisations cercent 5 évaluer leurs réseau" avec un outil ou ien une

tecnolo1ie permettant de détecter, 1érer, auditer les vulnérailités e"istantes dans leurs arcitectures. D0o? vient

le su2et de notre pro2et qui vise 5 faire une étude de marcé ayant comme o2ectif de coisir un outil qui répondau" esoins de sécurité de l0entreprise.

$ O#jecti%s

(0o2ectif du pro2et de ce pro2et est de faire une étude de marcé pour le coi" et la mise en place d0une

métode d0audit et de 1estion de vulnérailités et des risques e"istants dans l0infrastructure d4une or1anisation.

& Cahier des charges

Nous sommes sensés aoutir 5 la validation des o2ectifs suivants :

♦ &aire un coi" des métodes selon des normes IS* iens définies.

♦ &aire une étude de l0installation et mise en place de la métode coisie $E/I*S%.

' Etapes ( sui)re

Etape! : !ecerce des différents outils et métodes dans le domaine de 1estion et audit des risques.Etape# : Coi" d4une métode des recommandations sur l0outil coisi ainsi que les raisons du coi".Etape - : Etude du déploiement de la métode E/I*S dans une anque.

* Conclusion

Dans ce capitre nous avons présenté les o2ectifs, le caier des car1es et les étapes de réalisation de

notre pro2et.

Chapitre !: Etude théorique


9/103

1 Introduction

! +énéralités sur la gestion des risques

!1 ,é-nition des risquesSelon le référentiel IS* @uide B qui a été revu au cours du développement de la norme IS* B

$Mana1ement du risque%, le risque est déterminé comme étant le résultat de l0incertitude sur les o2ectifs et qu0ilest caractérisé en référence 5 des faits et des contrecoups potentiels ou 5 une cominaison des deu".

(e risque est lié au" facteurs suivants : le dan1er, la possiilité d4occurrence, la perspicacité etl0acceptailité du risque. (e dan1er étant un incident refusé par lui;mme et par ses résultats né1atifs ne doit pasdonc se confondre avec le risque qui résulte de ce que ce dan1er a de proailité de se manifester et encored0entraFner des conséquences d4une certaine perspicacité.

(a 1ravité d4un risque se montre plus par les deu" facteurs qui sont l4impact et la possiilité d0occurrencedu risque. En informatique un risque est défini 5 l0aide de l0équation de ce dernier qui est décortiqué comme suit:

RS4E 6 +E0ACE 7 8$0)RA9$) 7 +PAC

(a 1estion des risques se fait moyennant cette équation e"primée en aut. Elle 2oue un rGle primordial pour déterminer et évaluer l0e"istence d0un risque.

8our avoir une vision claire sur la notion de risque on aorde les définitions suivantes:

; la menace est une source de risque, c0est une attaque de possiilité d0occurrence tr's élevé d0un élément définitdan1ereu" pour les assets, C0est un facteur responsale du risque.

; la vulnérailité est un aspect des assets qui traduit une failesse et encore une faille sur le plan de sécurité del0or1anisme.

; l0impact refl'te les mal faits résultantes du risque sur l0or1anisation et ses straté1ies.

!emarque :

Nous pouvons définir les assets comme les iens, ressources possédant de la valeur pour l0or1anisme et1arantissant son fonctionnement correctement.

!! ./pologies des risques in%ormatiques


10/103

Cette répartition montre les principales caté1ories de risques suivant les trois crit'res de la sécurité l0inté1rité, laconfidentialité et la disponiilité des syst'mes d0information. Ces risques sont donc or1anisés comme suit:

; (es risques menant 5 des domma1es matériels.

; (es risques menant 5 des domma1es immatériels.

(es domma1es matériels

Ce sont les risques créant des domma1es tan1iles ou pysiques au" différentes entités de l0or1anisme. Cesatteintes ne représentent qu0un pourcenta1e peu élevé des caucemars informatiques. Hoil5 les principau" prol'mes:

Phénomènes accidentels: déterminent les événements résultants des circonstances de l0environnement tecnique

des syst'mes d0information. Ca peut tre sous forme d0incendie, panne accidentelle, tremlement, désastre, pannede courant>

$e 1andalisme : précise les positions et les circonstances d0o? des personnes essayent de détruire par intentionou encore déroent un syst'me d0information. A titre d0e"emple le Hol, cyer terrorisme...

(es domma1es immatériels

8our les domma1es immatériels, le dan1er se pence sur les entités impalpales.

$;erreur : c0est l0acte d0un memre de l0or1anisation $sans une mauvaise intention% résultant d0une incorrecteintervention.il peut entraFner des domma1es intan1iles comme la destruction d0un ficier la non compilation d0un pro1ramme ou encore perte de données ces erreurs peuvent couter tr's c're 5 l0or1anisation. Hoil5 des e"emplesd0erreurs : erreur de manipulation, erreur de pro1rammation>

$a fraude économi.ue : c0est un vrai caucemar informatique qui peut tre soit un vol de ase de donnéesconfidentiels contenants des numéros de cartes crédits ou parfois un virement illé1al frauduleu". Ces actes peuventsur1ir de l0intérieur de l0or1anisation comme un memre de cette derni're comme il se peut que ca soit del0e"térieur de l0or1anisme. Comme e"emples on a : Hirement frauduleu", Erreur volontaire de pro1rammation,

Erreur volontaire dans l0entrée des données...

C%er crimes : représente les contrefa7ons informatiques effectuées 5 l0aide des syst'mes d0informations ou deréseau" et de télécommunications. C0est l0irruption illé1ale d0un élément malveillant 5 l0intérieur d0un syst'med0information, d0un ficier afin de manipuler, falsifier ou auser. E"emples : Hirus, ceval de #roie...

$ s/st0me in%ormation

(e syst'me d4information est l4ensemle des événements or1anisé de recerce, de traitement, de distriution et desécurisation des informations importantes. A l0ori1ine de ces décisions, il utilise les tecnolo1ies informatiques etles réseau" pour répondre 5 un esoin informationnel e"primé.

& n s/st0me de management de sécurité de l2in%ormation :


11/103

Un Syst'me de Mana1ement de la Sécurité de l0Information est un ensemle d4éléments coordonnés et or1aniséd0une fa7on 5 servir une or1anisation afin d4étalir une straté1ie ou encore politique accompa1née d0o2ectifs surle plan sécurité de l4information. Cette politique est étalie par l0administration directive.

(e Syst'me de Mana1ement de la Sécurité de l0Information est le contrGle, le suivi de la sécurité de l0Information.C0est un moyen de pilota1e d0un Syst'me d0information, d0autre part c0est un intermédiaire liant les entitésopérationnels et les outils de contrGle, de ré1ulation, de ré1lementation, d0audit...

(a norme IS*=CEI définit des e"i1ences pour travailler sur un Syst'me de Mana1ement de la Sécurité del0Information pour 1arder en sauveta1e et en toute sécurité le contenu informationnel de l0or1anisation de toutedémolition, détérioration ou vol, cette norme vérifie ré1uli'rement l0efficacité et l0évolution du Syst'me deMana1ement de la Sécurité de l0Information.

A l0aide des audits ré1uliers de l0entreprise nous pouvons procéder 5 une certification du Syst'me deMana1ement de la Sécurité de l0Information de cette derni're.

' 34audit des risques :

(4informatique est l4un des éléments primordiau" ayant un impact sur l0évolution de l0entreprise. C4est pour cetteraison ainsi que caque or1anisme doit posséder un parc optimisé et conforme 5 la raison, c0est;5;dire réaliser unaudit qui permet au" or1anisations de mieu" connaitre leurs forces, ainsi que leurs failesses afin de mettre en9uvre des mesures de protection adaptées au" risques e"istants.

'1 ,é-nition

(0audit sécurité est un e"amen de validité de conformité des conditions et des r'1les par rapport 5 une politique de

sécurité d0un or1anisme. (0audit est con7u pour une amélioration persistante dans le temps 5 l0intért de

l0entreprise pour répondre 5 des normes de sécurité.

'! O#jecti%

(0o2ectif principal d0un e"amen d0audit sécurité c0est de répondre au" prolématiques concr'tes e"primé par

l0entreprise, ses attentes en sécuritéJ en identifiant les déviations en fonction des onnes pratiques et en proposant

des actions de raffinement du niveau de sécurité de l0infrastructure informatique.


12/103

" r pa r a t i

o n

d el 4 a u di t

A u d i tr g a n i s

a t i o n n

e l e tp h / s i qu e

A ud i t

t e c

h n iq u

e

A ud i ti n t

r us i %

R a p p o r td 4 a u d i t

5 s / n t h 0 s e

e tr e c o m m a

n d a t i o n s

'$ ,émarche de réalisation d2une mission d2audit desécurité des s/st0mes d2in%ormation

Nous scématisons l0ensemle du processus d0audit 5 travers la fi1ure suivante :

(0audit de sécurité informatique se présente essentiellement suivant cinq parties comme le présente le scéma :

"réparation de l2audit : Cette pase est aussi appelée pase de pré audit. Cette étape permet de Définir un

référentiel de sécurité, Elaorer un questionnaire d0audit sécurité 5 partir du référentiel et des o2ectifs de la

mission, et enfin de planifier des entretiens et informations de personnes impliquées.

32audit organisationnel et ph/sique : Dans cette étape, il s0a1it de s0intéresser 5 l0aspect pysique et

or1anisationnel de l0or1anisme cile 5 auditer. Son o2ectif est d0avoir une vue 1loale de lKétat de sécurité du

syst'me dKinformation et d0identifier les risques potentiels sur le plan or1anisationnel.

Afin de réaliser cette étape, on étalie un questionnaire adapté au" réalités de l0or1anisme 5 auditer afin d0évaluer les failles et d0apprécier le niveau de maturité en termes de sécurité de l0or1anisme

32audit technique : (0audit tecnique est réalisé suivant une approce métodique allant de la découverte et

la reconnaissance du réseau audité 2usqu0au sonda1e des services réseau" actifs et vulnérales. Cette analyse devra

faire apparaFtre les failles et les risques, les conséquences d0intrusions ou de manipulations illicites de données.

(0audit tecnique permet la détection des types de vulnérailités suivante:• (es erreurs de pro1rammation et erreurs d0arcitecture.•

(es erreurs de confi1urations des composants lo1iques installés tels que les services $ports% ouverts sur lesmacines.• (a présence de ficiers de confi1uration installés par défaut.


13/103

• (0utilisation des comptes utilisateurs par défaut.• (es prol'mes au niveau de trafic réseau $flu" ou trafic non répertorié, écoute réseau,...%.• (es prol'mes de confi1uration des équipements d0interconne"ion et de contrGle d0acc's réseau.

Cette étape sera réalisée selon une succession de pases respectant une approce métodique. (es

principales pases sont:

"hase 1 : Audit de l2architecture du s/st0me

• !econnaissance du réseau et de plan d0adressa1e• Sonda1e des syst'mes• Sonda1e réseau• Audit des applications

"hase ! : Anal/se des )ulnéra#ilités

• Analyse des vulnérailités des serveurs en e"ploitation• Analyse des vulnérailités des postes de travail

"hase $ : Audit de l2architecture de sécurité existante

• Audit des fire


14/103

* +estion des risques

*1 ,é-nition

(a 1estion des risques est un ensemle de démarces qui tende 5 identifier, évaluer et prioriser

les ris%ues relatifs au" événements lié 5 un or1anisme, quelles que soient la cause de ces risques, dans le ut de

les traiter afin de réduire et contrGler la proailité d0occurrences des événements redoutés, et réduire l4impact

prédit de ces événements.

*! 7ormes ISO !899'

(a norme IS* L est venue comler un manque en détail de la norme iso , car l0IS* L s0applique

non seulement au" SMSI mais 5 tout type de situation, de mani're autonome, tel un syst'me emarqué, par

e"emple. (a norme IS* L décrit une métode de 1estion des risques en sécurité de l0information. C0est une

norme non directive qui e"plicite les différentes étapes pour conduire une appréciation et le traiter les risques de

sécurité de l0information

.

*$ ,émarche de gestion de risque sui)ant la normeiso !899'

(e processus de 1estion des risques définit par cette norme comprend les étapes suivantes :• Etalissement du conte"te• Identification du risque• Estimation du risque• Evaluation du risque• #raitement du risque

https://fr.wikipedia.org/wiki/Risquehttps://fr.wikipedia.org/wiki/Risque


15/103

• Acceptation du risque• Communication du risque

*& Structure des normes !8991 et !899' :

(4IS* et L définissent un processus de 1estion de risque articulé 8lan;Do;Cec6;Act qui s4appliqueouvertement 5 tout sous;ensemle du SMSI comme le montre la fi1ure ci;dessous :

• 8lan : Identifier, quantifier et analyser les risques, coisir les actions appropriées pour réduire lesrisques.

• Do : Implémenter les actions pour réduire les risques. Eduquer la direction et le personnel sur lesrisques.

• Cec6 : Surveiller et rée"aminer les résultats, l4efficacité et l4efficience du processus de 1estion derisque.

• Act : !ectifier le traitement du risque. Améliorer le processus de 1estion du risque.

Exemples de méthodes pour aorder l;audit et la gestion des ris.ues

Afin d0effectuer et d0e"périmenter l0efficience de la démarce de 1estion de risques, nous su11éronsvivement de travailler avec des métodes efficace en faveur d0un on résultat.

Il e"iste plus de métodes de 1estion=analyse des risques se déclinent actuellement 5 travers le monde comme :*C#AHE, ME)A!I, C!AMM>.

Au2ourd0ui, c0est la métode E/I*S, qui constitue une réponse pertinente au" e"i1ences de la 1estion desrisques.

7. Présentation de la méthode EBIOS

81 ,é-nition


16/103

M

o

d

u

l

e

1

:

M

od

u

l

e

1

:

M

o

d

u

l

e

'

M

od

u

l

e

'

M

o

d

u

l

e

!

M

od

u

l

e

!

E/I*S qui est l0E"pression des /esoins et l0Identification des *2ectifs de Sécurité. Il s4a1it non seulementd4une métode d4appréciation des risques SSI, mais aussi d4un véritale outil d4assistance 5 la maFtrise d4ouvra1edéfinition d4un ensemle de crit'res d4étude, e"pression de esoins, responsailisation des a1ents.

Associée au" Crit'res Communs et au" avancées dans le domaine de la 1estion de la sécurité de l0information

$par e"emple la norme IS* %, d0autre part E/I*S devient aussi une métode de traitement des risques.

8! ,émarche(a métode formalise une démarce d4appréciation et de traitement des risques dans le domaine de la sécurité

des syst'mes d4information. Elle est découpée en cinq étapes représentées dans la fi1ure suivante :

3igure 1 : émarche )I'S glo$ale

l4issue de la premi're étape, l4environnement, le ut et le fonctionnement du syst'me;cile sont parfaitement connus, les éléments essentiels et les entités sur lesquelles ils reposent sont identifiés.

(a seconde étape contriue 5 l4appréciation des risques $estimation des risques et définition des crit'res derisques%. Elle permet de formaliser les impacts et d0évaluer les esoins de sécurité des éléments essentiels en termesde disponiilité, d4inté1rité, de confidentialité>


17/103

(a troisi'me étape s4inscrit aussi dans le cadre de l4appréciation des risques $analyse des risques%. Elleconsiste 5 recenser et décrire les menaces pesant sur le syst'me. 8our ce faire, on étudie les métodes d4attaque etles éléments mena7ants susceptiles de les utiliser, les vulnérailités e"ploitales des entités et leurs opportunités.

(a quatri'me étape contriue 5 l4évaluation et au traitement des risques. Elle permet de formaliser les

risques réels pesant sur le syst'me en confrontant les menaces $événements né1atifs% au" esoins de sécurité$conséquences%. Ils sont couverts par des o2ectifs de sécurité, en coérence avec les ypot'ses, r'1les de sécurité,références ré1lementaires, mode d4e"ploitation et contraintes identifiés, qui constituent le caier des car1es desécurité.

(a cinqui'me et derni're étape s4inscrit dans le cadre du traitement des risques. Elle e"plique commentdéterminer les e"i1ences fonctionnelles permettant de réaliser les o2ectifs de sécurité et les e"i1ences d4assurance permettant d4au1menter la confiance envers leur réalisation.

8$ 3e logiciel EIOS

(e lo1iciel E/I*SO est l4outil d4assistance 5 la réalisation de la métode. (e lo1iciel respecte la pilosopie 1énérale de la métode. Ainsi, l4or1anisation des ases de connaissances et des études suit e"actementle plan des 1uides.

8ar ailleurs, les évolutions de la métode, notamment la conver1ence vers les normes internationales tellesque l4IS* LPQ, sont inté1rées 5 l4outil.


18/103


19/103

C;A"I.RE !: E.,E .;


20/103

Organisme#résentation ;om de l,organisme: Crédit #oulaire du =aroc

an%ue #oulaire d,)l >adidaSaSuccursale Sa8 éseau! des Agences

#résentation:+e Crédit #oulaire du =aroc ?C#=@ est un grouement de$an%ues constitué ar la an%ue Centrale #oulaire et lesan%ues #oulaires égionales.+e C#= emloi lus de 7000 colla$orateurs+a résente étude concerne le réseau agences de la #d,)l >adida Sa

=étiers:

an%ue de détail

=ission: érer des comtes clients Commercialiser des roduit $ancaire érer un ou lusieurs uichet Automati%ue ancaire

Baleurs rores: #ro(essionnalisme ualité

Condentialité Dransarence

Structure de l,organisme: 3onctionnelle

A!es Stratégi%ues: #er(ormance commerciale ualité de service Sécurité

Contraintes de l'organisme

CC3IE7.S Dhme Contraintes relatives au ersonnelescrition +a recetion des clients se (ait lors des horaires

d,ouverture ? -h15 15h45@CCO7CRRE7CE

Dhme Contraintes con"oncturellesescrition Secteur concurrence (orte.CCRISE

Dhme Contraintes con"oncturellesescrition Ene crise nanciére nationale ou internationale eut


21/103

comromettre la érénité de la $an%ueC7E..O>A+E

Dhme Contraintes relatives au ersonnelescrition +e ersonnel de nettoage intervient de 1*h 1*h&0C.I3ISA.ERS

Dhme Contraintes relatives au ersonnelescrition +e ersonnel est utilisateur de l,in(ormati%ue8 as

sécialiste.

Références réglementaires générales

A3E?II+i$ellé étendu ;orme A+) IIescrition +es normes Fle II ?le ;ouvel Accord de Fle@ constituent

un disositi( rudentiel destiné mieu! aréhender les

ris%ues $ancaires et rincialement le ris%ue de crédit oude contreartie et les e!igences en (onds rores. Cesdirectives ont été réarées deuis 1-- ar le Comité deFle8 sous l,égide de la G $an%ue centrale des $an%uescentrales H : la an%ue des glements Internationau! etont a$outi la u$lication de la irective C.

+es normes de Fle II devraient remlacer les normesmises en lace ar Fle I en 1-- et visent notamment la mise en lace du ratio =conough destiné remlacer

le ratio Cooe.

Suivant le mJme canevas8 de nouvelles normes Solva$ilitéII sont8 en 200-8 en cours de discussion our les sociétésd,assurances et de réassurance.

C?AM+i$ellé étendu Circulaires an Al =aghri$escrition Circulaires réglementant le secteur $ancaire au =arocISO?+A+i$ellé étendu Certication IS' 001escrition +,activité monéti%ue de la $an%ue est certié IS' 001.

Architecture du S

omainesd,activité

+estion Administrati)eénition estion administrative de l,agence:

érer les oérations comta$le érer les (ournitures et de la maintenance érer les déences estion des suort de sauvegarde

+iaisons 4S


22/103

Clientestion des A

+estion commercialeénition estion commerciale:

gestion des dossiers clients gestion des stocs de carte monéti%ues et deché%uiers gestion des valeurs

+iaisons Clientestion des A

+estion des +Aénition estion des A:

alimentation maintenance suivi

+iaisons K =A'CClientestion des (ondsestion commercialeestion Administrative

+estion des %ondsénition estion des (onds:

ael et recetion des (onds Alimentation des A estion des caisses

+iaisons K =A'Cestion des A

Acteurse!ternes

Client;om Client

Ditre Clientescrition Cha%ue agence eut comter des milliers de client:

articuliers locau!8étrangers résidents et non résidentsmarocains résidents l,étrangerentrrises ersonne hsi%ue ou moral

+iaisons estion commercialeestion Administrativeestion des A

@ MAROC;om K =A'C

Ditre Convoeur de (ondsescrition +e convoage de (onds est sous traité ar K

=A'C+iaisons estion des (onds

estion des A

+&S;om 4S


23/103

Ditre =essagerieescrition +e courrier est sous traité ar 4S+iaisons estion AdministrativeAI7SI MAROC;om AI;SI =A'C

Ditre Soustraitantescrition Soustraitant sécurité et nétoage+iaisonsA""I .EC;7I=E;om A##EI D)CL;IE)

Ditre 3onctions suortescrition 3onctions succursales8 siéges et C# de suort et

d,aui au! agences+iaisons7I,ORB

;om ;IM'3 Ditre Sous traitant Aescrition =aintenance des A+iaisons,IERS;om IB)S

Ditre ivers restatairesescrition+iaisons

Schém

a

!"#" $e s%stème&cile

Présentation du s%stème&cile


24/103

S/st0meDci#le

En(eux

;EC;A7+ESescrition +,organisation doit améliorer les échanges avec les autres

organismes ?(ournisseurs8 architectes@.;I7BORMA.I=Eescrition +,organisation disose de cométences dans le domaine

in(ormati%ue8 ceendant8 comte tenu de son ouverturevers l,e!térieur et des en"eu! (onctionnels et de sécuritéconcomitants8 il sera nécessaire de couler les réNe!ionssur l,organisation du travail et des services avec celles surl,in(ormati%ue.

;ME.IERSescrition +e sstme d,in(ormation doit contri$uer au! évolutions

des structures et des métiers.

Sélection du s%stème&cile

,omaines d4acti)ité du s/st0meDci#leestion des(onds

Gestion des fonds:

- appel et reception des fonds

- Alimentation des GAB

- Gestion des caissesestion desA

Gestion des GAB:

- alimentation

- maintenance

- suivi

estioncommerciale

Gestion commerciale:

- gestion des dossiers clients

- gestion des stocks de carte monétiques et de chéquiers

- gestion des valeurs

estion

Administrative

Gestion administrative de l'agence:

- Gérer les opérations comptable- Gérer les fournitures et de la maintenance

- Gérer les dépences

- Gestion des support de sauvegarde

)léments essentiels

Bonction : B?CAISSEescrition estion des caisses)ntrées IODA;SC

IOS+ C'=#DIO3S


25/103

Sorties IOSID CAIIO);CAISS)IO)C C'=#DIO)CAISS)IOA CAI

Bonction : B?C3ASSescrition Classement et organisation)ntrées IO'SS SKI#

IO'SS CDIO'SS C+DIO'C >

Sorties IO;E= ')IO;E= CL';'

Bonction : B?COM".escrition estion comta$le

)ntrées IO#C >ESDI3IO#C C'=#DIO= > C'=#DIOA > C'=#D

Sorties IO> C'=#DBonction : B?CORRescrition estion du courrier)ntrées IOC'E ASorties IOC'E )#Bonction : B?CR,.

escrition estion des engagements)ntrées IOAA;DI

IOC#DIOC';DADIOCI; C+DIOASSIOACC C=D

Sorties IODA=IO3ICL SEIIO)C C'=#D

IO'SS CDBonction : B?+ES C;=escrition estion de ché%uiers)ntrées IOC';DADSorties IO)CL CL

IOCLBonction : B?+ES CMescrition estion des cartes monéti%ue)ntrées IOC';DADSorties IO'## C=

IO)CL C=IOC=


26/103

IOA;; C=Bonction : B?+ES B,Sescrition estion des (onds)ntrées IO);CAISS)

IO)CAISS)

Sorties IO);B 3SIOA## 3S

Bonction : B?+ES +A)ntrées IO3S

IOA ASorties IOSID CAI

IO)C C'=#DIO)CAISS)

Bonction : B?O C".escrition 'uverture de comte clients

)ntrées IOBII+IOSI;DIOSI;A+IOC';DADIOCI; C+D

Sorties IO'SS C+DIOC#D

Bonction : B?SAescrition Sauvegarde des donnée)ntrées IO)C C'=#D

Sorties IOSAEBBonction : B?S@I"escrition estion des incidents de aiement)ntrées IOS+ C'=#D

IOC#DIOCL

Sorties IO+)DD I;>IO'SS SKI#IO)C SKI#IOC#

Bonction : B?.RAI.escrition Draitement des oérations comta$le)ntrées IOBA+)E

IODA;SCIO#C C'=#D

Sorties IO)C C'=#DIn%ormation : I?ACC CM.escrition Accord du comité de créditIn%ormation : I?A77 CMescrition Annulation de carte monéti%ue

In%ormation : I?A"" B,Sescrition Ael de (onds


27/103

In%ormation : I?AR CAIescrition arrété des caissesIn%ormation : I?AR +Aescrition Arrété %uotidien des ASIn%ormation : I?AR R COM".

escrition Arrété de la "ournée comta$leIn%ormation : I?ASSRescrition #olice d,assuranceIn%ormation : I?C;=escrition Che%uiersIn%ormation : I?CI7 C3.escrition Carte d,identité nationale du clientIn%ormation : I?CMescrition Carte monéti%ueIn%ormation : I?CO7.RA.

escrition emande de réalisationIn%ormation : I?COR ARRescrition Courier arrivéIn%ormation : I?COR ,E"escrition Courrier déartIn%ormation : I?C".escrition ComteIn%ormation : I?CR"escrition Certicat de re(us de aiementIn%ormation : I?,EC S@I"escrition éclaration d,incident de aiement an Almaghri$In%ormation : I?,ECAISSEescrition ecaisse de (ondsIn%ormation : I?,EC; C;=escrition écharge de délivrance de ché%uierIn%ormation : I?,EC; CMescrition écharge de délirance de carte monéti%ueIn%ormation : I?,M R COM".escrition émmarage de la "ournée comta$leIn%ormation : I?,OC R,escrition ocuments "uridi%ues: rocurations8 oositions8

annulations...In%ormation : I?,OSS C3.escrition dossier clientIn%ormation : I?,OSS CR,.escrition ossier de créditIn%ormation : I?,OSS S@I"escrition ossier d,incident de aiementIn%ormation : I?ECR COM".escrition )criture comta$leIn%ormation : I?E7CAISSE

escrition )ncaisse de (ondsIn%ormation : I?E7 B,S


28/103

escrition )nvoi de (ondsIn%ormation : I?B,Sescrition 3onds réels e!istant en caisseIn%ormation : I?BIC; SIescrition 3iche suiveuse

In%ormation : I?+ARA7.Iescrition arantie associée un engagementIn%ormation : I?R COM".escrition >ournée comta$le agenceIn%ormation : I?3E.. I7escrition +ettre d,in"onctionIn%ormation : I?7M C;RO7Oescrition ;uméro de chrono de classementIn%ormation : I?7M OR,REescrition ;uméro d,ordre de classement

In%ormation : I?O"" C;=escrition 'osition au réglement de ché%ues suite la erte8 le volou conNit

In%ormation : I?O"" CMescrition 'osition suite la erte ou vol de carte monéti%ueIn%ormation : I?"C COM".escrition #iéces traPant des écitures comta$lesIn%ormation : I?"C S.IBescrition #iéces "usticativesIn%ormation : I?RC" B,Sescrition écetion de (ondsIn%ormation : I?REB SACescrition é(érence de sac de convoage de (ondsIn%ormation : I?SA+escrition Sauvegarde de la "ournée comta$leIn%ormation : I?SI+7A3escrition onnées signaléti%ue clientIn%ormation : I?SI+7.escrition Signature du client matérialisée ar le sécimen de

signatureIn%ormation : I?SI. CAI

escrition Situation de caisseIn%ormation : I?S3, COM".escrition Soldes comta$lesIn%ormation : I?.AMescrition Da$leau d,amortissementIn%ormation : I?.RA7SCescrition 'ération a


29/103

*%pothèses

;3OIescrition Chacun au sein de l,organisation connaQt ses

resonsa$ilités en cas de di


30/103

ar le resonsa$le administrati( et une sauvegarde totaleest e


31/103

escrition estion des cartes monéti%ues

E.E3 De #LOSB.1 : Communicationescrition +igne téléhoni%ue

EF7SR De +'O'S : Sstme d,e!loitationescrition UindoVs Server ?'S machine serveur@

EF7" De +'O'S : Sstme d,e!loitationescrition UindoVs M# ?'S macchines clientes@

Relations entités , éléments

E.MNS

R

E.NACO

M

E.P

W

CRD

E.WNSR

V

E.WNX

P

E.MES

S

E.OF

FI

E.PD

F

E.MAG

N

E.PA

P

E.ORG

A

E.FA

I

E.TE

L

E.ET

H

3OCAISS)

M M M M M M M M M M M M

3OC+ASS

M M M M M M

3OC'=# D


3OC'E

M M M M M M

3OCD M M M M M M M M M M M

3O)SCL

M M M M M M M M M M M

3O)SC=


3O)S3S


3O)SA

M M M M M M M M M M M M M

3O'EBC#D


3OSAEB M M M M M M M M M M

3OSKI# M M M M M M M M M M M M

3ODAID M M M M M M M M M M M M

IOACCC=D

M M M M M M

IOA;;C=


IOA##3S


IOA CAI M M M M M M M M M M M


32/103

IOAA

M M M M M M M M M

IOA >C'=#D


IOASS M M M M M M M M M M M

IOCL M M M M M M M M M M MIOCI;C+D


IOC= M M M M M M M M M

IOC';DAD

M M M M M M M M M M M M M M

IOC'EA

M M M M M M

IOC'E)#

M M M M M M

IOC#D M M M M M M M M M M M M M M

IOC# M M M M M M M M M M M

IO)CSKI#


IO)CAISS)


IO)CLCL


IO)CLC=


IO= >C'=#D

M M M M M M M M M M

IO'C >

M M M M M M

IO'SSC+D

M M M M M M

IO'SSCD

M M M M M M

IO'SSSKI#

M M M M M M

IO)CC'=#D


IO);CAISS)


IO);B3S


IO3S M M M M M M

IO3ICLSEI


IOAA;DI

M M M M M M M

IO>C'=#D

M M M M M M M M

IO+)DDI;> M M M M M M M M M M M


33/103

IO;E=CL';'

M M M M M M

IO;E=')

M M M M M M

IO'##CL


IO'##C=


IO#CC'=#D


IO#C >ESDI3


IOC#3S

M M M M M M M

IO)3

SAC

M M M M M M

IOSAEB

M M M M M M M M M

IOSI;A+


IOSI;D M M M M M M M M M M M

IOSIDCAI

M M M M M M

IOS+C'=#D


IODA= M M M M M M M M M M

IODA;SC


IOBA+)E

M M M M M M M M M M

IOBII+ M M M M M M M M M M M M

1.4.Sélection des éléments essentiels


34/103

IOA## 3S Ael de (ondsIOA CAI arrété des caissesIOA A Arrété %uotidien des ASIOA > C'=#D Arrété de la "ournée comta$leIOASS #olice d,assurance

IOCL Che%uiersIOCI; C+D Carte d,identité nationale du clientIOC= Carte monéti%ueIOC';DAD emande de réalisationIOC'E A Courier arrivéIOC'E )# Courrier déartIOC#D ComteIOC# Certicat de re(us de aiementIO)C SKI# éclaration d,incident de aiement an Almaghri$IO)CAISS) ecaisse de (onds

IO)CL CL écharge de délivrance de ché%uierIO)CL C= écharge de délirance de carte monéti%ueIO= > C'=#D émmarage de la "ournée comta$leIO'C > ocuments "uridi%ues: rocurations8 oositions8

annulations...IO'SS C+D dossier clientIO'SS CD ossier de créditIO'SS SKI# ossier d,incident de aiementIO)C C'=#D )criture comta$leIO);CAISS) )ncaisse de (ondsIO);B 3S )nvoi de (ondsIO3S 3onds réels e!istant en caisseIO3ICL SEI 3iche suiveuseIOAA;DI arantie associée un engagementIO> C'=#D >ournée comta$le agenceIO+)DD I;> +ettre d,in"onctionIO;E= CL';' ;uméro de chrono de classementIO;E= ') ;uméro d,ordre de classementIO'## CL 'osition au réglement de ché%ues suite la erte8 le

vol ou conNitIO'## C= 'osition suite la erte ou vol de carte monéti%ue

IO#C C'=#D #iéces traPant des écitures comta$lesIO#C >ESDI3 #iéces "usticativesIOC# 3S écetion de (ondsIO)3 SAC é(érence de sac de convoage de (ondsIOSAEB Sauvegarde de la "ournée comta$leIOSI;A+ onnées signaléti%ue clientIOSI;D Signature du client matérialisée ar le sécimen de

signatureIOSID CAI Situation de caisseIOS+ C'=#D Soldes comta$les

IODA= Da$leau d,amortissementIODA;SC 'ération a


35/103

IOBA+)E Baleurs comta$les: ché%ue8 +C;8 '...IOBII+ 3iche de vigilence client

! Etape ! : 3es #esoins de sécurité

La cible de l’étude étant identifiée, nous allons maintenant exprimer les besoins de sécuritéde chacundes éléments essentiels, ainsi que le mode d'exploitation de sécurité du système.

2.1.éalisation des ches de $esoins

Critères de sécurité

Con-dentialitéescrition #roriété des éléments essentiels de n,Jtre accessi$les

%u,au! utilisateurs autorisés.

#our une (onction : rotection des algorithmes décrivantles rgles de gestion et les résultats dont la divulgation

un tiers non autorisé orterait ré"udice W a$sence dedivulgation d,un traitement ou mécanisme caractrecondentiel.

#our une in(ormation : rotection des données dont l,accsou l,usage ar des tiers non autorisés orterait ré"udice Wa$sence de divulgation de données caractrecondentiel.

,isponi#ilitéescrition #roriété d,accessi$ilité au moment voulu des éléments

essentiels ar les utilisateurs autorisés.


36/103

#our une (onction : garantie de la continuité des servicesde traitement W a$sence de ro$lmes liés des tems deréonse au sens large.

#our une in(ormation : garantie de la disoni$ilité révue

our l,accs au! données ?délais et horaires@ W il n, a asde erte totale de l,in(ormation W tant %u,il e!iste uneversion archivée de l,in(ormation8 l,in(ormation estconsidérée comme disoni$le W our étudier la disoni$ilitéd,une in(ormation8 on suose l,e!istence d,une versionarchivée8 et on évalue la disoni$ilité %ui corresond la(onction d,archivage de cette in(ormation.

Intégritéescrition #roriété d,e!actitude et de comlétude des éléments

essentiels.

#our une (onction : assurance de con(ormité del,algorithme ou de la mise en Xuvre des traitementsautomatisés ou non ar raort au! sécications Wa$sence de résultats incorrects ou incomlets de la(onction.

#our une in(ormation : garantie d,e!actitude etd,e!haustivité des données visvis d,erreurs demaniulation ou d,usages non autorisés W nonaltération de

l,in(ormation.

)chelle de esoins

Condentialité isoni$ilité Intégrité

0 #u$lic Aucun $esoin dedisoni$ilité

Aucun $esoind,intégrité

1 estreint +ong terme ? réciser@

2 Condentiel?artenaires@

=oen terme ?réciser@

esoin moend,intégrité

& Condentiel?interne@

Court terme ?réciser@

4 Secret Drs court terme ?

réciser@

#ar(aitement

intgre


37/103

Sinistres

Sinistre génériqueCritre desécurité

Condentialité

,égradation des per%ormancesCritre desécurité

isoni$ilité

Sinistre génériqueCritre desécurité

Intégrité

mpacts7on con%ormité légaleG in%ractionescrition )!emle:

non resect du secret ro


38/103

AgentComme

rcial

Caissier

Chargé de

#roduits

Che( d,agen

ce

Che( de

Caisse

esoin de

sécurité

Commentaires

3OCAISS) Condentialité 0 0 0

isoni$ilité

4 4 4

Intégrité 4 4 4

3OC+ASS Condentialité

0 1 2 2

isoni$ilité

2 4 & 4

Intégrité 4 4 4 4 3OC'=#D Conden

tialité0 2 0 1 2

isoni$ilité

2 2 2 & &

Intégrité 4 4 4 4 4

3OC'E Condentialité

0 0

isoni$ilité

2 2

Intégrité 4 4

3OCD Condentialité

2 2

isoni$ilité

& &

Intégrité 4 4

3O)SCL

Condentialité

0 0 0

isoni$ilité 2 2 2

Intégrité 4 4 4

3O)S C= Condentialité

0 0

isoni$ilité

2 2

Intégrité 4 4

3O)S3S

Condentialité

0 0 0


39/103

isoni$ilité

2 4 4

Intégrité 4 4 4

3O)S

A

Conden

tialité

0 0 0

isoni$ilité

& 2 2

Intégrité 4 4 4

3O'EBC#D

Condentialité

0 0 0

isoni$ilité

4 4 4

Intégrité 4 4 4

3OSAEB Condentialité

0 0

isoni$ilité

2 2

Intégrité 4 4

3OSKI# Condentialité

0 0

isoni$ilité

4 4

Intégrité 4 4 3ODAID Conden

tialité0 0 0

isoni$ilité

2 2 2

Intégrité 4 4 4

IOACCC=D

Condentialité

0 0

isoni$i

lité

0 0

Intégrité 4 4

IOA;; C= Condentialité

0 0

isoni$ilité

0 0

Intégrité 4 4

IOA## 3S Condentialité

0 0

isoni$ilité

2 2


40/103

Intégrité 4 4

IOA CAI Condentialité

0 0

isoni$i

lité

0 0

Intégrité 2 2

IOA A Condentialité

0 0

isoni$ilité

0 0

Intégrité 4 4

IOA >C'=#D

Condentialité

0 0

isoni$ilité

2 2

Intégrité 4 4

IOASS Condentialité

0 0

isoni$ilité

0 0

Intégrité 4 4

IOCL Conden

tialité

0 0 0

isoni$ilité

4 4 4

Intégrité 4 4 4

IOCI; C+D Condentialité

0 0 0 0

isoni$ilité

4 4 4 4

Intégrité 4 4 4 4

IOC= Condentialité

0 0

isoni$ilité

2 2

Intégrité 4 4

IOC';DA D

Condentialité

0 2 2 0 2

isoni$ilité

2 4 4 2 4



41/103

IOC'EA

Condentialité

0 0

isoni$ilité

2 2

Intégrité 4 4 IOC'E)#

Condentialité

0 0

isoni$ilité

2 2

Intégrité 4 4

IOC#D Condentialité

2 & 2 4 4 4

isoni$i

lité

4 4 4 4 4 4

Intégrité 4 4 4 4 4 4

IOC# Condentialité

0 0

isoni$ilité

& &

Intégrité 4 4

IO)CSKI#

Condentialité

0 0

isoni$ilité

2 2

Intégrité 4 4

IO)CAISS)

Condentialité

0 0

isoni$ilité

0 0

Intégrité 4 4

IO)CL

CL

Conden

tialité

0 0 0

isoni$ilité

2 & &

Intégrité 4 4 4

IO)CLC=

Condentialité

0 0

isoni$ilité

0 0

Intégrité 4 4

IO= >C'=#D

Condentialité

0 0


42/103

isoni$ilité

0 0

Intégrité 2 2

IO'C

>

Conden

tialité

2 2 2

isoni$ilité

4 4 4

Intégrité 4 4 4

IO'SSC+D

Condentialité

0 0

isoni$ilité

& &

Intégrité 4 4

IO'SSCD

Condentialité

0 0

isoni$ilité

4 4

Intégrité 4 4

IO'SSSKI#

Condentialité

0 0

isoni$ilité

2 2

Intégrité 4 4 IO)CC'=#D

Condentialité

0 0 0 0 0

isoni$ilité

2 2 0 2 2


IO);CAISS)

Condentialité

0 0

isoni$i

lité

0 0

Intégrité 4 4

IO);B3S

Condentialité

0 0 0

isoni$ilité

0 0 0

Intégrité 2 2 2

IO3S Condentialité

0 0

isoni$ilité

0 0


43/103

Intégrité 4 4

IO3ICLSEI

Condentialité

0 0

isoni$i

lité

0 0

Intégrité 2 2

IOAA;DI

Condentialité

0 0

isoni$ilité

4 4

Intégrité 4 4

IO>C'=#D

Condentialité

0 0

isoni$ilité

0 0

Intégrité 4 4

IO+)DD I;> Condentialité

0 0

isoni$ilité

4 4

Intégrité 4 4

IO;E=

CL';'

Conden

tialité

0 0

isoni$ilité

2 2

Intégrité 2 2

IO;E=')

Condentialité

0 0

isoni$ilité

2 2

Intégrité 2 2

IO'##CL

Condentialité

0 0

isoni$ilité

2 2

Intégrité 4 4

IO'## C= Condentialité

0 0

isoni$ilité

2 2

Intégrité 4 4


44/103

IO#CC'=#D

Condentialité

0 0 0 0

isoni$ilité

4 2 4 4

Intégrité 4 4 4 4 IO#C

>ESDI3Condentialité

0 0

isoni$ilité

0 0

Intégrité 4 4

IOC# 3S Condentialité

0 0 0

isoni$i

lité

0 & &

Intégrité 2 4 4

IO)3 SAC Condentialité

0 0 0

isoni$ilité

2 0 2

Intégrité 2 0 2

IOSAEB Condentialité

0 0

isoni$ilité

2 2

Intégrité 4 4

IOSI;A+ Condentialité

4 4

isoni$ilité

4 4

Intégrité 4 4

IOSI;D Conden

tialité

0 0

isoni$ilité

4 4

Intégrité 4 4

IOSID CAI Condentialité

0 0

isoni$ilité

0 0

Intégrité 4 4

IOS+C'=#D

Condentialité

0 0


45/103

isoni$ilité

4 4

Intégrité 4 4

IODA= Conden

tialité

0 0

isoni$ilité

& &

Intégrité 4 4

IODA;SC Condentialité

0 0 0 0 0

isoni$ilité

2 2 & 2 &


IOBA+)E Condentialité

0 0 0 0 0

isoni$ilité

& 2 2 2 &


IOBII+ Condentialité

4 4

isoni$ilité

4 4

Intégrité 4 4

-" Etape trois : étude des menaces


46/103

;ous allons nous intéresser au! menaces ouvant austication is%ue écarté ar le comité de ilotage9& D SI7IS.RE MAER

>ustication is%ue écarté ar le comité de ilotage9' D ,ES.RC.IO7 ,E MA.ustication is%ue écarté ar le comité de ilotage9* D ";ustication is%ue écarté ar le comité de ilotage98 D ";ustication is%ue écarté ar le comité de ilotage9J D ";ustication is%ue écarté ar le comité de ilotage9K D ";ustication is%ue écarté ar le comité de ilotage!9 D O3 ,E S""OR.S O ,E ,OCME7.S

>ustication is%ue écarté ar le comité de ilotage!1 D O3 ,E MA.ustication is%ue écarté ar le comité de ilotage!! D R


47/103

!& D I7BORMA.IO7S SA7S +ARA7.IE ,E 34ORI+I7E >ustication is%ue écarté ar le comité de ilotage!' D "Iustication is%ue écarté ar le comité de ilotage$' D .I3ISA.IO7 ,E 3O+ICIE3S CO7.REBAI.S O CO"Iustication is%ue écarté ar le comité de ilotage$* D A3.ustication is%ue écarté ar le comité de ilotage$K D AS ,E ,ROI.

>ustication is%ue écarté ar le comité de ilotage&9 D SR"A.IO7 ,E ,ROI.

>ustication is%ue écarté ar le comité de ilotage&1 D RE7IEME7. ,4AC.IO7S

>ustication is%ue écarté ar le comité de ilotage&! D A..EI7.E L 3A ,IS"O7II3I.< , "ERSO77E3

>ustication is%ue écarté ar le comité de ilotage

-"# Ris.ues

RECO.ED3O++i$ellé .)C'ED)+'=éthoded,atta%ue

1 6C'ED) #ASSIB)

escrition En atta%uant utilisant les é%uiements ou suorts decommunication e!loite les caractéristi%ues logicielsuivantes our (aire de l,écoute assive : a$sence de disositi( de contrRle accs en cas


48/103

d,inactivité8 a$sence de rotection des "ournau! récoltant la trace desactivités8 a$sence de rotection contre l,usage de rivilgesavancés8

as de changement de mot de asse d,accs8 ossi$ilité d,a"out d,un logiciel d,écoute de te cheval de

Droie.'ortunité 3ai$lement ro$a$le ou nécessite des moens trs

imortants et/ou des connaissances trs élevées dans ledomaine considéré

RECO.EDOR+A+i$ellé .)C'ED)'A=éthode

d,atta%ue

1 6C'ED) #ASSIB)

escrition En atta%uant connecté au réseau e!erce une écouteassive en rotant : de l,a$sence d,identication des $iens sensi$les8 de l,a$sence de contrRle de l,alication de la oliti%ue desécurité8 de la oliti%ue de sécurité n,est as ali%uée8 du (ait %ue les resonsa$ilités de sécurité concernant lagestion des ha$ilitations ne sont as (ormalisées.

'ortunité 3ai$lement ro$a$le ou nécessite des moens trs

imortants et/ou des connaissances trs élevées dans ledomaine considéré

RECO.ED"ER+i$ellé .)C'ED)#)=éthoded,atta%ue

1 6C'ED) #ASSIB)

escrition Ene ersonne malveillante directement connectée auréseau e!loite la (ai$le sensi$ilisation la rotection encondentialité des échanges d,in(ormation8 l,a$sence de

soutien de la direction l,alication de la oliti%ue desécurité ou le man%ue de (ormation du ersonnel au!mesures et outils de rotection des échanges e!terne etinterne8 our e!ercer une écoute assive.

'ortunité =oennement ro$a$le ou nécessite un certain niveaud,e!ertise et/ou du matériel séci%ue

RECO.EDRES+i$ellé .)C'ED))S=éthoded,atta%ue

1 6C'ED) #ASSIB)

escrition En concurrent8 un intervenant e!térieur ou une ersonnemalveillante8 utilise un médium ?Déléhone8 AS+8 cF$le


49/103

)thernet@ ermettant la ose de matériel d,écoute oure!ercer une écoute assive.


RECO.EDSI.E+i$ellé .)C'ED)SID)=éthoded,atta%ue

1 6C'ED) #ASSIB)

escrition En concurrent8 un intervenant e!térieur ou une ersonneinterne malveillante rote de l,a$sence de contrRled,accs au site our entrer dans les locau! an d,e!ercerune écoute assive.


RICE7,IEDMA.DBIE+i$ellé .IC);I)=AD3IM)=éthoded,atta%ue

01 I;C);I)

escrition En incendie accidentel ?dZ la (oudre ou un courtcircuitsur un roduit inNamma$le@ est aggravé ar l,a$sence dematériels !es de remlacement et du stocage dematériau! inNamma$les.

En concurrent utilise des matériau! inNamma$les résentsau sein de l,entrerise our déclencher un incendie.'ortunité =oennement ro$a$le ou nécessite un certain niveau

d,e!ertise et/ou du matériel séci%ue

RI7CE7,IEDOR+A+i$ellé .I;C);I)'A=éthoded,atta%ue

01 I;C);I)

escrition En incendie déclenché de (aPon volontaire ?un terroriste ouun concurrent@ ou ar accident ?(oudre8 courtcircuit@ estaggravé ar l,a$sence : de rocédures de sauvegarde des donnés contenues surles suorts8 d,organisation de lutte contre l,incendie8 d,aTchage des in(ormations "our our l,ael desservices d,urgence.

'ortunité Certain ou réalisa$le ar tout u$lic

RI7CE7,IED"ER+i$ellé .I;C);I)#)

=éthoded,atta%ue

01 I;C);I)


50/103

escrition En incendie dZ un évnement intentionnel ?un terroriste8un concurrent@ ou accidentel ?la (oudre8 un courtcircuit@est aggravé comte tenu de l,a$sence de test desrocédures de réaction et d,in(ormation8 ainsi %ue ar laméconnaissance des mesures de sécurité de la art du

ersonnel.'ortunité 3ortement ro$a$le ou réalisa$le avec des moens

standards et/ou avec des connaissances de $ase

RI7CE7,IED";> +i$ellé .I;C);I)#L=éthoded,atta%ue

01 I;C);I)

escrition Aggravation des consé%uences d,un incendie accidentel oudéli$éré8 cause de l,a$sence de rise en comte des

ris%ues d,incendie dans la hase d,installation du centraltéléhoni%ue et du réseau électri%ue.

'ortunité 3ortement ro$a$le ou réalisa$le avec des moensstandards et/ou avec des connaissances de $ase

RI7CE7,IEDS""OR.+i$ellé .I;C);I)SE##'D=éthoded,atta%ue

01 I;C);I)

escrition En incendie causé de (aPon accidentelle ?la (oudre8 un

courtcircuit@ ou intentionnelle ?un terroriste ou unconcurrent@ est aggravé ar l,a$sence de sauvegarde desdonnées stocée dans un esace sécurisé.


R"IE+ED3O++i$ellé .#I))+'=éthoded,atta%ue

2* #I6)A) E +'ICI)+

escrition Ene ersonne introduit de (aPon involontaire ?uneersonne interne e!écutant son insu un virus@ un logicielou des commandes de manire modier lecomortement d,un logiciel grFce l,a$sence de rotectioncontre l,usage de rivilges avancés ou de mise en oeuvrede rgles de sécurité de $ase alica$les au sstmed,e!loitation et au! logiciels.


R"IE+EDMA.+i$ellé .#I))=AD

=éthoded,atta%ue

2* #I6)A) E +'ICI)+


51/103

escrition En utilisateur légitime du sstme d,in(ormation amorceinvolontairement un matériel artir d,un érihéri%ue.

'ortunité 3ai$lement ro$a$le ou nécessite des moens trsimortants et/ou des connaissances trs élevées dans ledomaine considéré

R"IE+EDOR+A+i$ellé .#I))'A=éthoded,atta%ue

2* #I6)A) E +'ICI)+

escrition En utilisateur ige involontairement un logiciel du (ait de : l,a$sence d,identication des $iens sensi$les8 l,a$sence de contrRle des $iens sensi$les8 l,a$sence de conservation et d,analse des traces desactivités8

l,a$sence de oliti%ue de rotection des ostes de travail8 l,a$sence de oliti%ue glo$ale de lutte contre le codemalveillant.


R"IE+ED"ER+i$ellé .#I))#)=éthoded,atta%ue

2* #I6)A) E +'ICI)+

escrition En utilisateur ige involontairement un logiciel du (ait : du man%ue de sensi$ilisation la menace des codesmalveillant8 de la méconnaissance des rocédures d,intervention etde réactions réNe!es en cas de détection d,anomalie8 du nonresect des rgles de mises "our des logicielsantivirus8 visvis du ersonnel.


R"IE+EDS"+i$ellé .#I))SE#=éthoded,atta%ue

2* #I6)A) E +'ICI)+

escrition En utilisateur ige un logiciel du (ait de l,a$sence demoens ermettant le contrRle d,innocuité des suortsmagnéti%ues ?clé ES8 dis%uette@ lors de leurs entréesdans l,organisme.


R.E3ECOMDOR+A+i$ellé .D)+)C'='A

=éthoded,atta%ue

1& #)D) )S =');S ) D6+6C'==E;ICADI';


52/103

escrition +,a$sence de maintenance des terminau! téléhoni%ues etInternet de la art de l,organisation aggrave la erte desmoens de télécommunication.


R.E3ECOMD"ER+i$ellé .D)+)C'=#)=éthoded,atta%ue

1& #)D) )S =');S ) D6+6C'==E;ICADI';

escrition En atta%uant accédant au! disositi(s detélécommunication rote de la méconnaissance duersonnel concernant les mesures de sécurité ourentraQner une erte des moens de télécommunication.


R.E3ECOMD";> +i$ellé .D)+)C'=#L=éthoded,atta%ue

1& #)D) )S =');S ) D6+6C'==E;ICADI';

escrition +a ertur$ation8 l,arrJt ou le mauvais dimensionnementdes services de télécommunication entraQne une erte desmoens de télécommunications de manire accidentelle cause : d,un ds(onctionnement des réseau! e!ternes8

d,un dé(aut d,e!loitation du réseau téléhoni%ue interne8 de l,a$sence de la maintenance des é%uiements detélécommunication8 de l,a$sence de clauses contractuelles traitant du délaid,arrJt ma!imum admis our la (ourniture d,un serviced,accs Internet ou téléhoni%ue.

En concurrent e!loite le (ait %ue l,accs hsi%ue deslocau! hé$ergeant les moens de télécommunication nesoit as rotégé our atta%uer les moens de

télécommunication.'ortunité Certain ou réalisa$le ar tout u$lic

& O#jecti%s de sécurité


53/103

Ce chaitre récaitule la totalité des o$"ecti(s de sécurité ermettant detraiter les ris%ues identiés lors de l,analse des ris%ues. Ils résultent de ladécision de l,utilisateur %ui considre %ue leur réalisation est nécessaireour couvrir les $esoins de sécurité %u,il a e!rimés et %ui nécessitent leurvalidation ar son autorité.

+,e!ression des o$"ecti(s de sécurité s,e


54/103

O3O+DA.;Contenu Dout accs au! sstmes doit Jtre rotégé ar un disositi(

d,identication et d,authenticationO3O+DCO7BDS>SContenu +a conguration des sstmes et alications doit Jtre

con(orme au! e!igences de la oliti%ue de sécuritéO3O+D;AI3Contenu Il doit e!ister une gestion active des ha$ilitations au sein

des sstmes our le traitement des in(ormations en(onction des $esoins d,en connaQtre et d,en modier

OMA.DAMORContenu En utilisateur légitime du sstme d,in(ormation ne doit

as ouvoir amorcer involontairement un matériel artir

d,un érihéri%ue.OMA.DA.;D,OCContenu +es documents rodui ar les agences doivent ouvoir Jtre

authentiésOMA.D"RO.Contenu +es é%uiements in(ormati%ues et les suorts ?cartouches

de sauvegarde8 dis%ues durs8 microordinateurs orta$les@doivent Jtre rotégés contre les vols

OMA.DREM"Contenu +e matériel doit Jtre remlacé ou remis en état dans les

délais corresondant au! $esoins e!rimés.OOR+DCO7BContenu +,organisation doit s,assurer de l,identication du caractre

condentiel de toute in(ormation et s,assurer del,alication des rgles de rotection adé%uates

OOR+DCO7SI+7Contenu +,organisation doit s,assurer %ue les consignes de sécurité

seront resectées en cas d,incident ou de malveillanceOOR+DCO7.DOContenu +,organisation doit garantir le contrRle des mesures de

sécurité et leur adé%uation ar raort au! o$"ecti(s desécuritéOOR+DCRISEContenu +,organisation doit garantir une réaction raide et eTcace

en cas de crise assurant une réduction des imactsotentiels et la continuité des activités essentielles :anne8 sinistre8 intrusion ma"eure8 autre malveillance.Il n, e!istera ceendant as de lan (ormalisantl,organisation et la communication relative la crise8 ce %uieut conduire une mauvaise gestion de cette crise?communication inadatée8 imact aggravé...@.

OOR+DEI+


55/103

Contenu +,organisation doit garantir %ue les e!igences minimales desécurité des sstmes d,in(ormation sont resectées detous

OOR+DMAI7.IE7Contenu +,organisation doit s,assurer %ue tout matériel ou logiciel

est maintenuOOR+D"O3DS>SContenu +,organisation doit garantir le resect de la oliti%ue de

sécurité lors de la mise en lace de tout sstme sensi$le?matériel ou logiciel@

OOR+D"O3DS>SDSE7SContenu +,organisation doit (aire resecter les e!igences de la

oliti%ue de sécurité dans le déveloement8 l,usage etl,e!loitation des sstmes ?matériels et logiciels@

OOR+D"RE

Contenu +,organisation doit s,assurer %ue les traces et les élémentsde reuves sont e!loités et rotégés en accord avec laoliti%ue de sécurité

OOR+D"SSIContenu la $an%ue doit disoser d,une oliti%ue de sécurité des

sstmes d,in(ormation ?#[email protected]+DRE+3EME7.Contenu +,organisation doit s,assurer %ue l,ensem$le des lois et

rglements alica$les sont ris en comte dans laoliti%ue de sécurité

OOR+DRO3ESContenu Cha%ue rRle lié la sécurité du sstme d,in(ormation doittou"ours ?mJme en cas d,a$sence du titulaire@ Jtre lacésous la resonsa$ilité d,au moins une ersonne aant lescométences re%uises ou la ossi$ilité de se ré(érer unedocumentation adé%uate

OOR+DSAContenu +,organisation doit s,assurer %ue toutes les données sont

sauvegardées selon une (ré%uence adé%uate ? comrisdes données non centralisées@

OOR+DSS.RAI.Contenu +,organisation doit s,assurer %ue ses sous

traitants/restataires/(ournisseurs/industriels/organisationslles/sites resectent la oliti%ue de sécurité lors de leursinterventions ?travau!8 déveloement8 maintenance...@

OOR+DIRSContenu +a oliti%ue antivirus doit emJcher l,introduction et la

di


56/103

rRles et resonsa$ilités doivent Jtre clairs et connusO"ERDIM"Contenu +,imlication de la direction dans la démarche sécurité doit

Jtre réelle et visi$leO"ERDI7CI,

Contenu +e ersonnel doit montrer des réactions réNe!es en casd,incident ?devoir d,in(ormation8 moens de remontée del,in(ormation...@

O"ERD"O3Contenu +es nouveau! ersonnels ou remlaPants doivent ouvoir

assurer leurs tFches en resect de la oliti%ue de sécuritéO"ERDSECContenu +e ersonnel doit Jtre sensi$ilisé au resect du secret

ro(essionnel et de la discrétionO"ERDSE7SI

Contenu +es ersonnels aant accs des in(ormations sensi$lesdoivent Jtre sensi$ilisés et identiés

O"ERDSA+EContenu +es ersonnels doivent resecter les $ons usages de l,outil

in(ormati%ue8 des moens de communication et de lamaniulation des suorts ainsi %ue les disositions desécurité associées la classication des in(ormations

O";>DACCESContenu +,accs au! locau! des agences doit Jtre contrRlé an

d,emJcher %u,un concurrent8 un intervenant e!térieur ou

une ersonne interne e!erce une écoute assive ou vol dessuorts8 documents ou matériels.O";>DI7CE7,Contenu +es locau! doivent Jtre rotégés contre le déclenchement

et la roagation d,incendiesO";>DMA.D,A7+Contenu +e stocage et la maniulation de matires ou de matériel

otentiellement dangereu! ne doivent as induire deris%ues sur le sstme d,in(ormation

O";>D7ORMEContenu +e site doit Jtre en con(ormité avec les normes de sécurité

de l,organismeORESDI7.Contenu +es accs au! inter(aces de communication doivent Jtre

rotégés contre une utilisation malveillante ou a$usiveO";>DSERICESContenu +a (ourniture des services essentiels au (onctionnement

des matériels ?i.e. électricité8 communication8climatisation...@ doit Jtre assurée8 de $onne %ualité et siossi$le maQtrisée ar l,organisme.

ORESD.RA7S

Contenu +es inter(aces de communication doivent rotéger lestransmissions en condentialité8 intégrité et disoni$ilité


57/103

-"/ 0i1eaux de résistance

;iveau de résistance >ustication

'.+'AEDL 2

'.+'C';3SS 2

'.+'LAI+ 2

'.=ADA=' 2

'.=ADAEDL'C 2

'.=AD#'D 2

'.=AD)=# 2

'.'C';3 2

'.'C';SI; 2

'.'C';D'> 2

'.'CIS) 2

'.')MI 2

'.'=AI;DI); 2

'.'#'+SS 2

'.'#'+SSS);S 2

'.'#)EB 2

'.'#SSI 2

'.')+)=);D 2

'.''+)S 2

'.'SAEB 2

'.'SSDAID 2

'.'BIES 2

'.'B'+ 2

'.#)AL)S 2

'.#)I=# 2

'.#)I;CI 2

'.#)#'+ 2

'.#)S)C 2

'.#)S);SI 2

'.#)ESA) 2

'.#LACC)S 2

'.#LI;C); 2

'.#L=ADA; 2

'.#L;'=) 2


58/103

'.)SI;D 2

'.#LS)BIC)S 2

'.)SDA;S 2

/ & 2éfinition des en1ironnements desécurité

R(es termes utilisés pour distin1uer les différentes ones de responsailité et mati'rede sécurité d4un syst'me ou d4un réseau informatique sont les suivants :TR$a% environnement de sécurité 1loal $@SE%: environnement pysique 1énéral desécurité dans lequel se trouve le syst'me ou le réseau informatiqueJ Dans certaines

confi1urations en réseau, il peut tre constitué de plusieurs environnements 1loau"dis2oints. Il peut y avoir mati're 5 interprétation, et la question doit tre traitée cas parcas JTR$% environnement de sécurité local $(SE%: environnement de sécurité $sécurité

pysique, sécurité du personnel, sécurité des documents, sécurité des procédures%relevant de l4autorité d4e"ploitation du syst'me informatique $1estionnaire de syst'me%JTR$c% environnement de sécurité électronique $ESE%: environnement de sécurité dusyst'me ou du réseau informatique lui;mme $par e"emple, interface omme;macine, interfaces internes et e"ternes, ponts;levis, 1ardes de sécurité et

passerelles%.T

R#outes les mesures de sécurité identifiées doivent tre applicales 5 cesenvironnements. Dans certains cas, et pour certains impératifs, il peut tre appropriéd4adopter un découpa1e plus fin, par e"emple en divisant le (SE en ones de classe I,one de classe II et ones administratives ou en divisant l4ESE en domaines dedifférent niveau d4assurance.T

R(es o2ectifs de sécurité suivantes doivent tre réparties selon les environnements ci;

dessus.T

5 & 2éfinition des mesures de sécurité

RUn principe clé de la sécurité est que les différents aspects de sécurité $sécurité pysique, sécurité du personnel, sécurité des documents, sécurité des procédures,sécurité informatique et sécurité des télécommunications%, de la confidentialité, del4inté1rité et de la disponiilité doivent tre mis en uvre comme une entité unique,afin d4assurer un niveau de protection coérent des informations et des syst'mes et

moyens de communication.T


59/103

R(4énoncé des impératifs de sécurité présente une approce inté1rée de la sécurité,indiquant les impératifs de sécurité de aut niveau du syst'me ou du réseauinformatique avant d4e"poser les mesures particuli'res 5 prendre pour satisfaire 5 ces

impératifs.T

R(a présentation des mesures de sécurité détaillées doit tre structurée.TEB3O+DACCESescrition es mécanismes de contrRle d,accs sont mettre en

oeuvre via les (onctionnalités du sstme d,e!loitation.EB3O+DA.;escrition +a $an%ue doit mettre en oeuvre un mécanisme

d,authentication (orte our l,accs au sstme sur la $asede l,utilisation de certicats.

EB3O+DESOI7Sescrition +es utilisateurs doivent Jtre ha$ilités consulter et/oumodier les données ou les éléments du sstmed,in(ormation en (onction de leur $esoin d,en connaQtre oud,en modier et non en (onction de leur ositionhiérarchi%ue.

EB3O+DCO7BI+escrition +es congurations matérielles ?I'S@ et logicielles

?sstme d,e!loitation@ ne doivent as ermettre ledémarrage des ostes artir d,un érihéri%ue amovi$le?clé ES8 dis%uette8 cédérom...@.

EB3O+DCO7.Rescrition +a $an%ue doit mettre en lace un contrRle ériodi%ue de

la conguration des sstmes et alications an des,assurer de la con(ormité la oliti%ue de sécurité.

EB3O+D,OCescrition +,ensem$le des documents électroni%ues doit Jtre ris en

comte dans la oliti%ue de sauvegarde.EB3O+DBI3.REescrition +es conne!ions doivent Jtre ltrées de manire ne as

ermettre le trac non révu ?e!loitation de

(onctionnement asnchrone8 accs sur des orts nonautorisés8 sam...@.

EB3O+DMESSA+ERIEescrition +a conguration de la messagerie électroni%ue doit

ermettre de maQtriser les Nu! réseau! générés ?réductiondes émissions automati%ues8 listes de di


60/103

rotection des ostes de travail !es et nomades?intégrité8 contrRle d,accs8 lutte contre les codesmalveillants...@.

EB3O+D"RII3escrition +,attri$ution et l,utilisation de rivilges doivent Jtre

restreintes et maQtrisées.EB3O+DSAescrition es coies de sauvegarde des logiciels essentiels8 des

traces ?"ournau! d,événements@8 des congurations dessstmes d,e!loitation et des alications doivent Jtre(aites et testées intervalles réguliers.

EB3O+DSERICESescrition +es utilisateurs ne doivent ouvoir accéder directement

%u,au! services séci%ues %u,ils ont été autorisés utiliser.

EB3O+DSI+7A.REescrition +es ersonnels doivent ouvoir signer électroni%uement

leurs échanges et leurs documents l,aide d,un certicatélectroni%ue.

EB3O+D.RACESD,E.ECescrition es rgles doivent ermettre d,analser les événements

audités our détecter des violations otentielles de lasécurité.

EB3O+D.RACESDE"3escrition +a $an%ue doit disoser d,outils d,e!loitation des traces.

+es rocédures d,e!loitation du sstme d,in(ormationdoivent (aire ré(érenceEB3O+D.RACESD+E7escrition +e sstme doit ouvoir générer un enregistrement d,audit

des événements audita$les suivants : [ dénir\.EB3O+D.RACESDS.OC@ escrition +es enregistrements d,audit stocés doivent Jtre rotégés

contre une suression non autoriséeEB3O+DSA+Eescrition +es logiciels utilisés doivent Jtre communément emloés

ou avoir été audité.EB3O+DIRSD,E.ECescrition es mesures de maQtrise de détection et de révention

doivent Jtre mises en Xuvre an de (ournir une rotectioncontre les logiciels malveillants ?deu! antivirus mis "ourrégulirement@ ainsi %ue des rocédures aroriées desensi$ilisation des utilisateurs doivent Jtre mises enXuvre.

EBMA.DA7.IO3escrition es mesures techni%ues de te antivol doivent Jtre mis

en oeuvre our rotéger les matériels.

EBMA.DREAescrition +es matériels et les suorts doivent Jtre rangés sous clé.


61/103

EBMA.DI7S.A33escrition +es éventuels ris%ues séci%ues au! éléments hé$ergés

dans l,organisme ?matériel e!losi(8 roduits inNamma$les8sources de raonnement électromagnéti%ue outhermi%ue...@ doivent Jtre étudiés et ris en comte lors de

l,installation des sites.EBMA.DI7E7.escrition En inventaire glo$al des $iens et ressources ? comris les

licences associées@ ermettant au moins d,identier leséléments sensi$les et vitau!8 ainsi %ue leur localisation8doit Jtre dressé et tenu "our.

EBMA.DMAI7.escrition +es installations8 les matériels et les logiciels du sstme

d,in(ormation ainsi %ue ceu! %ui assurent la rotection dusstme d,in(ormation et la (ourniture des services

essentiels doivent Jtre maintenus et testés régulirement.EBMA.D"OR.Sescrition +,accs au! orts de diagnostic doit Jtre maQtrisé.EBOR+DACCESDREEescrition En rocessus de revue des droits d,accs des utilisateurs

doit Jtre e!écuté des intervalles réguliers.EBOR+DACCESDR;escrition es rocédures doivent Jtre (ormalisées et mises en

oeuvre an d,homogénéiser la gestion des ressourceshumaines et la $ase des ha$ilitations et rivilges en

tenant comte en (onction des $esoins d,en connaQtre etd,en modier.EBOR+DAC;A.Sescrition +,achat8 l,utilisation et la modication des matériels8

suorts et logiciels doivent Jtre maQtrisés et contrRlés ande les rotéger contre la ossi$ilité d,introduction de voiessecrtes et de code de Droie.Ils doivent sstémati%uement (aire l,o$"et d,un contratrenant en comte l,ergonomie et la maintenance.

EBOR+DC;AR+Eescrition +es ersonnels doivent sstémati%uement rendre en

charge les matériels et logiciels %ui lui sont conés ar le$iais d,un (ormulaire signé.

EBOR+DCO7SI+7DIM"Rescrition +es consignes de sécurité en cas de sinistre doivent Jtre

imrimées sur un suort %ui attire l,oeil.EBOR+DCO7SI+7D"escrition +es consignes de sécurité en cas de sinistre doivent Jtre

aTchées hauteur d,homme dans des endroits dégagésen resectant les normes et standards en usage

EBOR+DCO7SI+7D"DSI.E

escrition +es consignes de sécurité en cas de sinistre doivent JtreaTchées en lusieurs endroits du site et notamment dans


62/103

les endroits de assage et les endroits concernés ar lesconsignes ?ascenseur8 installation susceti$le derovo%uer un dégFt des eau!...@

EBOR+DCO7SI+7DRE,ACescrition +es consignes de sécurité en cas de sinistre doivent Jtre

rédigées de (aPon claire et lisi$le en resectant les normeset standards en usage

EBOR+DCO7.I7I.Eescrition +a $an%ue doit (ormaliser un lan de continuité %ui devra

Jtre régulirement testéEBOR+DCO7.RA.Sescrition +es contrats de services e!ternalisés doivent dénir les

resonsa$ilités des contractants et les recours ossi$les encas de dé(aillances cet accord.

EBOR+DCO7.RO3E

escrition +a $an%ue doit régulirement e


63/103

analse des ris%ues SSI ?utilisation des méthodes )I'S et#SSI@ et assurer une communication adatée aurs detous les acteurs internes et e!ternes.Cette #SSI doit Jtre validée an d,e!rimer la volontéstratégi%ue de sécuriser le sstme d,in(ormation.

EBOR+DSAD3ICescrition +es contrats de licence doivent Jtre conservés l,a$ris du

(eu et des autres sinistres susceti$les de les rendreinutilisa$les.

EBOR+D.I3DE7RE+escrition Il doit avoir une rocédure oTcielle d,enregistrement et

de désenregistrement des utilisateurs our l,octroi del,accs tous les sstmes et les services in(ormati%uesmultiutilisateurs.

EB"ERDCO7BI,

escrition +es emloés doivent signer un accord de condentialitécomme (aisant artie de leurs conditions initiales d,emloi.

EB"ERD,E"AR.escrition ans la mesure du ossi$le8 le déart du titulaire d,une

(onction doit Jtre révu et réaré le lus tRt ossi$le.EB"ERD,OCSDACCESescrition +es manuels de maintenance8 d,e!loitation et d,utilisation

des alications ainsi %ue les éventuelles documentationsinternes comlémentaires sur le su"et doivent Jtreaccessi$les au! acteurs concernés.

EB"ERDBORMDO.I3Sescrition Dous les emloés de l,organisme et8 le cas échéant8 lesutilisateurs e!térieurs l,organisme8 doivent recevoir une(ormation aroriée sur l,utilisation des outils?notamment la mise en roduction de nouveau! outils@.

EB"ERDBORMD"SSIescrition Dous les ersonnels doivent recevoir une (ormation

Documents

Audit-et-gestion-de-risque-selon-les-normes-ISO.docx