Embed Size (px)
Citation preview
www.IT6.ma
Sécurité des systèmes d’information au Maroc
Etat des lieux
www.IT6.ma
www.IT6.ma
Enjeux de l’Audit
Le Maroc a adopté un plan national de cyber
sécurité en Mars 2009
La DGSSI a été crée en Août 2011
Une stratégie Nationale de la cyber sécurité a
été adoptée en 2013
Les Directives Générales de la SSI ont été
publiées en Mars 2014
Des session de sensibilisation ont démarré en
Mai 2014
Contexte du projet
Rappel des objectifs et des enjeux de l’audit de la sécurité SI
Rappel Enjeux de la sécurité SI
2
L’information ne doit pas être divulguée à toute personne, entité ou processus non autorisé.
L’information doit être rendue accessible et utilisable sur demande
par une entité autorisée.
Tous les éléments liés à l'auditabilité et à la preuve des
transactions.
Le caractère correct et complet des actifs doit
être préservé. L’information ne peut être modifiée que par
ceux qui ont en le droit.
Confidentialité
Intégrité
Disponibilité
Traçabilité
www.IT6.ma
Sécurité des systèmes d’information au Maroc
Etat des lieux
Ce document est exclusivement destiné à la direction générale et aux membres du comité de direction du Ministère de l’Education Nationale. Toute distribution, citation ou reproduction – même partielle – pour transmission à des tiers nécessite l'autorisation préalable écrite d’IT6
Etendu de notre travail: 30 organisations publiques et privées
www.IT6.ma
4
Remerciement
Déroulement Remerciement
Pour la réalisation de ce travail, nous avons effectué les actions suivantes :
Une prise de connaissance des métiers des différentes organisations auditées
Une analyse du système d’information mise en place
Une prise de connaissance des dispositifs (opérationnel et en cours de mise en place) relatifs à la sécurité du système d’information
Une prise de connaissance des exigences en termes de sécurité Des entretiens auprès des acteurs clés en se basant sur la norme
ISO 27002 Une analyse de l’architecture Des tests d’intrusion internes et externes du SI Une prise de connaissance de l’environnement de la salle
machine/parc informatique.
IT6 tient à remercier à remercier
l’ensemble de ces clients qui ont
exprimé une réelle volonté d’améliorer
la sécurité des SI.
www.IT6.ma
5
Se référant à la norme ISO 27002, l'audit de la sécurité du SI du Ministère d’Education Nationale
consiste à faire, en quelques sortes, un état des lieux de l’organisation auditée, tout en se basant sur les
différents domaines (les onze chapitres) préconisés dans la norme.
La norme ISO 27002 offre un bon cadre de gouvernance et de management du système d’information.
En effet, elle aborde la problématique de la sécurité avec une approche équilibrée entre les facteurs
techniques, managériaux, humains et procéduraux. La norme traite les axes suivants :
Approche d’audit de la sécurité SI
www.IT6.ma
6
Sécurité du Système d’information au Maroc
Niveau de moyen maturité des organisations marocaines par rapport à la norme ISO 27002
Politique de sécurité
Organisation de la sécurité
Classification des actifs
Sécurité liée aux RHs
Sécurité Phyisique
Sécurité de développementSécurité réseaux
Sécurité des accées
Gestion des incidents
Plan de continuité
Conformité
0
2
4
Moyenne = 7,61 / 20 Meilleure Note= 15,27 / 20 Note la plus basse = 4,36 / 20
www.IT6.ma
7
Constat
Absence d’un document de Politique de Sécurité des Systèmes d’Information (PSSI) qui reflète les
orientations stratégiques en matière de la sécurité des systèmes d’informations. Cependant,
l’objectif de cette mission est d’accompagner la DSI à élaborer cette PSSI.
Absence d’une charte d’utilisation des ressources informatique.
Po
litiq
ue
de
sécu
rité
Sécurité du Système d’information au Maroc
www.IT6.ma
8
Constat
Abscence de nomination formelle du RSS
Rattachement du RSSI n’est pas approprié
Nécessité d’impliquer le Responsable de Sécurité des Systèmes d’Information (RSSI) dans tous les grands projets SI notamment:
Les projets de développement informatique.
Attributions des droits d’accès
Processus de sauvegarde et de restauration de données
Gestion des incidents relatifs à la sécurité.
Tableau de bord de sécurité SI.
Gestion des accès à distance des prestataires
Accompagnement du métier dans son expression des besoins en terme de sécurité ;
Analyse des risques, menaces, impacts, vulnérabilités et mesures de contrôles ;
Contrôle, suivi et audit de la bonne application des mesures de sécurité ;
Veille sécurité;
Sensibilisation permanentes à la problématique sécuritaire auprès des différents intervenants dans le système d’information.
Org
anis
atio
n d
e la
séc
uri
té d
e l’i
nfo
rmat
ion
Sécurité du Système d’information au Maroc
www.IT6.ma
9
Constat
Les incidents relatifs à la sécurité SI ne sont supervisés par le RSSI.
La sécurité des postes de travail est très faible vu l’existence de comptes administrateurs (Selon les
personnes de la DSI, approximativement 50% des postes de travails sont industrialisés. Les autres
contiennent des comptes administrateurs et des licences de logiciels piratés .
Ges
tio
n d
es a
ctif
sSécurité du Système d’information au Maroc
www.IT6.ma
10
Constat
Absence d’une classification formelle des actifs informationnels
Ges
tio
n d
es a
ctif
sSécurité du Système d’information au Maroc
www.IT6.ma
11
Constat
Absence d’un plan de communication et de sensibilisation sur la sécurité du SI
Aucun processus formel de sensibilisation, de qualification et de formation à la sécurité de l’information
n’est actuellement prévu pour l’ensemble des collaborateurs qui accèdent à son SI. Cette absence de
sensibilisation et de formation est due à l’absence de la politique de sécurité, ce qui entraine une
dilution des responsabilités de la sécurité entre les diverses entités assurant le maintien en conditions
opérationnelles du Système d’Information et la gestion du contrôle d’accès physique et logique aux
ressources et données hébergées.
Séc
uri
té li
éeau
per
son
nel
Audit organisationnel du Ministère
www.IT6.ma
12
Constat
Le partage de mots de passe est une pratique courante Séc
uri
té li
éeau
per
son
nel
Audit organisationnel du Ministère
www.IT6.ma
13
Constat
Manque des procédures d’exploitation permettant de couvrir les éléments suivants :Restriction sur l'utilisation des systèmesInstruction pour gérer les erreurs ou autres conditions exceptionnelles susceptibles d'apparaître lors de l'exécution de la tâche.Le redémarrage et la récupération du système à appliquer en cas de panneLa gestion des informations contenues/à contenir dans les journaux d'enregistrement.Gestion de la prestation de service par un tiers afin de s’assurer que les tiers assurent le service pour lequel ils sont mandatés et qu’ils respectent les exigences de sécurité édictées dans cette politiqueSurveillance de l’exploitation du système.La mise en rebut du matériel après utilisationLa politique antivirale incluant la composition de la cellule de crise en cas de pandémie virale ainsi que le plan de traitement
Séc
uri
té d
e l’E
xplo
itat
ion
et
Rés
eau
xAudit organisationnel du Ministère
www.IT6.ma
14
Constat
Absence de gestion et de consolidation des fichiers logs (pour la traçabilité).
Absence des procédure de sauvegarde
Absence de procédures de mise en rebus des matériels informatiques
Séc
uri
té d
e l’E
xplo
itat
ion
et
Rés
eau
xAudit organisationnel du Ministère
www.IT6.ma
15
Séc
uri
té
des
acc
ès
log
iqu
es
Constat
Pour les droits des accès, nous avons constaté :
Absence d’une politique de Gestion des mots de passe.
Absence d’une procédure de gestion des droits d’accès pour le SI de la DSI
Absence des contrôles réguliers des accès
Une politique de gestion des droits privilégiés sur les équipements réseaux, systèmes et applicatifs s’appuyant sur une analyse préalable des exigences de sécurité, basées sur les besoins métiers doit être appliquée.L’ensemble des processus relatifs aux différents contrôles d’accès, (création, modification et suspension des comptes) doit être renseigné dans une procédure spécifique.Aussi, les mesures de sécurité à prendre lors de l’accès distant au SI de la DSI doivent être mentionnées dans une procédure dédiée.
Sécurité du Système d’information au Maroc
www.IT6.maAudit organisationnel du MinistèreS
écu
rité
d
es a
ccès
lo
giq
ues
Dév
elo
pp
emen
t et
mai
nte
nan
ce
Absence d’une séparation des tâches entre les équipes de développement et d’exploitation (Les développeurs accèdent à l’environnement de Production)
Durant notre étude, nous avons relevé que les développeurs accèdent à certains environnements de production. En effet, les activités liées au développement et aux tests peuvent causer de graves problèmes, tels qu’une modification indésirable des fichiers ou de l’environnement système, ou une panne du système. Ce constat est dû à des contraintes techniques au sein de la DSI et au fait que plusieurs chantier sont en cours.Il est également recommandé d’empêcher tout accès inapproprié des développeurs. Lorsque le personnel de développement et de test ont accès au système en exploitation et aux informations qu’il renferme, ils risquent d’y introduire du code non autorisé ou non soumis à essai ou de modifier les données d’exploitation.
Absence de documentation des interventions .
Absence d’une formalisation de la gestion des incidents des BDD
La non implication du RSSI dans le processus de développement
Pla
n d
e co
nti
nu
ité
www.IT6.maAudit organisationnel du MinistèreS
écu
rité
d
es a
ccès
lo
giq
ues
Dév
elo
pp
emen
t et
mai
nte
nan
ceP
lan
de
con
tin
uit
é
Absence de spécifications en matière de sécurité des prestations de services, les projets de développement externalisés sont gérés comme toute autre prestation. Dans ce sens, nous recommandons de formaliser une procédure pour les spécifications techniques des applications incluant les axes suivants :
Validation des données d’entrée Mesures relatives au traitement interneValidation des données de sortie
www.IT6.ma
18
Séc
uri
té
des
acc
ès
log
iqu
es
Dév
elo
pp
emen
t et
mai
nte
nan
ce
Absence d’un site de secours informatique.
Absence des procédures de reprise d’activité incluant les activités informatiques
Absence de PVs de tests de restauration formalisés
Les cartouches de sauvegardes ne sont pas externalisées.
Pla
n d
e co
nti
nu
ité
Lors de notre audit, nous avons constaté:
Aucun processus de gestion de la continuité d’activité n’est formalisé au sein du MEN pour pallier aux risques d’arrêt des services informatiques.Il convient la mise en place d’un processus de gestion du plan de continuité de service visant à réduire le plus possible l’impact sur la société de tout arrêt brutal et à récupérer les actifs informationnels perdus (notamment à la suite de catastrophes naturelles, d’accidents, de pannes de matériel et d’actes délibérés).
Sécurité du Système d’information au Maroc
www.IT6.ma
19
Co
nfo
rmit
é
Constat Absence d’une sensibilisation des utilisateurs sur la loi 09-08.
Existence des logiciels piratés qui sont installées au niveau des PCs des utilisateurs
Absence de conformité par rapport à la nouvelle loi marocaine (09-08) relative à la protection des
données personnelles.
Pour plus de détail: http://www.cndp.ma/
Sécurité du Système d’information au Maroc
www.IT6.ma
Conclusion
un long chemin à faire … mais avec vous
Ce document est exclusivement destiné à la direction générale et aux membres du comité de direction du Ministère de l’Education Nationale. Toute distribution, citation ou reproduction – même partielle – pour transmission à des tiers nécessite l'autorisation préalable écrite d’IT6
www.IT6.ma
