Mini-Rapport d Audit basé sur la méthode d analyse MEHARI



Documents pareils
La politique de sécurité

ANALYSE DE RISQUE AVEC LA MÉTHODE MEHARI Eric Papet Co-Fondateur SSII DEV1.0 Architecte Logiciel & Sécurité Lead Auditor ISO 27001

L analyse de risques avec MEHARI

Panorama général des normes et outils d audit. François VERGEZ AFAI

Etude du cas ASSURAL. Mise en conformité du système d'information avec la norme ISO 17799

PRESENTATION MEHARI: Process Reference Model MEHARI. Version Modification Date Author V00_ CSI

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

État Réalisé En cours Planifié

Guide de bonnes pratiques de sécurisation du système d information des cliniques

Sécurité des Postes Clients

Audits Sécurité. Des architectures complexes

Charte informatique. Ce document n est qu un exemple. Il doit être adapté à chaque entreprise selon ses moyens et ses nécessités.

Gestion des utilisateurs et Entreprise Etendue

La sécurité informatique

CHARTE INFORMATIQUE LGL

FAIRE FACE A UN SINISTRE INFORMATIQUE

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

JOURNÉE THÉMATIQUE SUR LES RISQUES

PROGRAMME DU CONCOURS DE RÉDACTEUR INFORMATICIEN

Montrer que la gestion des risques en sécurité de l information est liée au métier

Prestations d audit et de conseil 2015

Politique de Sécurité des Systèmes d Information

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...2 POLITIQUE DE SÉCURITÉ...3 LES DISPOSITIFS TECHNIQUES DE PROTECTION...

Qu est-ce qu un système d Information? 1

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Projet Sécurité des SI

La gestion des risques en entreprise de nouvelles dimensions

Rapport de certification ANSSI-CSPN-2011/14. Fonctionnalités de pare-feu de StoneGate Firewall/VPN build 8069

THEORIE ET CAS PRATIQUES

Gestion des incidents

Les principes de la sécurité

Cadre commun de la sécurité des systèmes d information et de télécommunications

INDICATEURS DE SECURITE

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

L hygiène informatique en entreprise Quelques recommandations simples

Conditions Particulières de Maintenance. Table des matières. Ref : CPM-1.2 du 08/06/2011


«ASSISTANT SECURITE RESEAU ET HELP DESK»

ISO la norme de la sécurité de l'information

Solutions informatiques (SI) Semestre 1

MODELE DE CONVENTION ERDF / <Fournisseur> relative à la dématérialisation fiscale des factures d acheminement

Politique de sécurité de l information

Comment protéger ses systèmes d'information légalement et à moindre coût?

Quadra Entreprise On Demand

Sécurité des applications Retour d'expérience

Cabinet d Expertise en Sécurité des Systèmes d Information

PRESTATAIRES D AUDIT DE LA SECURITE DES SYSTEMES D INFORMATION

CONDITIONS PARTICULIERES

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

Produits et grille tarifaire. (septembre 2011)

Symantec Control Compliance Suite 8.6

RÈGLES DE CERTIFICATION D ENTREPRISE

Excellence. Technicité. Sagesse

LINUX - Sécurité. Déroulé de l'action. - 3 jours - Contenu de formation

Premier ministre. Agence nationale de la sécurité des systèmes d information. Prestataires d audit de la sécurité des systèmes d information

Adresse 15 avenue du Hoggar Parc Victoria - Le Vancouver ZA de Courtaboeuf LES ULIS. Site web Téléphone

L'AUDIT DES SYSTEMES D'INFORMATION

Notre métier, trouver pour vous des solutions informatiques!

Bibliographie. Gestion des risques

CHARTE WIFI ET INTERNET

Description de l entreprise DG

Comprendre ITIL 2011

La sécurité IT - Une précaution vitale pour votre entreprise

PUISSANCE ET SIMPLICITE. Business Suite

Formation SQL Server 2012 Administration des Instances

Sécurité informatique : règles et pratiques

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

LICENCE : INFORMATIQUE GENERALE

La sécurité des PABX IP. Panorama des risques et introduction des mesures de protection

1. La sécurité applicative

Les modules SI5 et PPE2

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Industrie des cartes de paiement (PCI) Norme de sécurité des données Récapitulatif des modifications de

CONTEXTE GENERAL : CADRE DE REFLEXION ET D ACTION ET DOMAINES D INTERVENTION

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM

Copyright Société PRONETIS Droits d'utilisation ou de reproduction réservés.

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

Malveillances Téléphoniques

Prestataire Informatique

Sécurité des systèmes informatiques Introduction

Gestion des Incidents SSI

s é c u r i t é Conférence animée par Christophe Blanchot

C ) Détail volets A, B, C, D et E. Hypothèses (facteurs externes au projet) Sources de vérification. Actions Objectifs Méthode, résultats

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

Contractualiser la sécurité du cloud computing

Guide de connexion sur les bornes hot-post WIFI de la collectivité de Saint-Pierre

Les risques HERVE SCHAUER HSC

données à caractère personnel (ci-après "la LVP"), en particulier l'article 30 ;

Sécurité et «Cloud computing»

CONDITIONS PARTICULIÈRES HÉBERGEMENT BLUE MIND

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

Transcription:

Projet Réseau Sécurité Mini-Rapport d Audit basé sur la méthode d analyse MEHARI Equipe Analyse 15/12/07

Sommaire II/ Présentation de la méthode MEHARI...4 III/ Définition et classification des éléments du projet...5 IV/ Décomposition du questionnaire...6 V/ Recommandations (norme ISO 17999)...7 a.domaine d Organisation... 7 b.domaine des Locaux... 7 c.domaine du Réseau Local (LAN)... 8 d.domaine de l Exploitation des Réseaux... 8 e.domaine de la sécurité des Systèmes et de leur architecture... 8 f.domaine de la Protection de l Environnement de Travail... 9 VI/ Conclusion...10 VII/ Annexes... 11 Projet Réseau Sécurité 2/14

I/ Préambule Nous avons décidé d appliquer ou du moins, essayé d appliquer, la méthode MEHARI à notre projet. Cette méthode est très complète voir trop pour le cadre de notre projet. C est pourquoi nous nous sommes limités à la définition de l existant, à un questionnaire adapté et à une rapide analyse en fonction des recommandations de la norme ISO 17999:2005, référence sur la gestion de la sécurité informatique. L analyse par une méthode d audit n était pas obligatoire dans le projet. Cependant, il nous apparaissait intéressant d essayer de prendre en main un outil complet d analyse. Ci-dessous, les principales méthodes d audit : Les principales méthodes d'audit de sécurité Nom Signification Origine Caractéristiques Cobit Ebios Feros Marion Mehari Control objectives for information and technology Expression des Besoins et Identification des Objectifs de Sécurité Fiche d'expression Rationnelle des Objectifs de Sécurité Méthodologie d'analyse de Risques Informatiques Orientée par Niveaux Méthode Harmonisée d'analyse de Risques ISACA DCSSI SCSSI CLUSIF CLUSIF Méthode accessible à tous, dans un langage simple. Les outils fournis permettent la mesure des performances mais la méthode est aujourd'hui davantage assimilée à une méthode de gouvernance des SI. Notamment déployée au sein de l'administration française, cette méthode comprend une base de connaissances et un recueil de bonnes pratiques. Elle est téléchargeable sur le site de la DCSSI et s'accompagne d'un logiciel. Pas une méthode à proprement parler mais un document permettant à une autorité donnée (secteur secret défense notamment) de définir le niveau d'engagement de sa responsabilité dans l'application d'une politique de sécurité. Fonctionne par questionnaires débouchant sur 27 indicateurs répartis en 6 catégories. 2 phases (audit des vulnérabilités et analyse des risques) permettent la définition et la mise en œuvre de plans d'actions personnalisés. Succède à la méthode Marion. S'articule autour de 3 plans. Permet désormais d'apprécier les risques au regard des objectifs "business" de l'entreprise. Nous avons choisi la méthode MEHARI car d une part, elle est l évolution de la méthode MARION et d autre part, elle est gratuite. Projet Réseau Sécurité 3/14

II/ Présentation de la méthode MEHARI La méthode MEHARI (Méthode Harmonisée d Analyse des Risques) a été développée par le CLUSIF (Club de la Sécurité des Systèmes d'information Français) pour cerner les risques liés à l information. Cette méthode fournit un cadre, des procédés et des bases de connaissances permettant de se pencher sur plusieurs points tels que: - Les enjeux majeurs de l entreprise et notamment les dysfonctionnements potentiels et la gravité de ces derniers, - Les vulnérabilités, en évaluant la qualité des mesures de sécurités en place, - Les risques de manière à définir les mesures les mieux adaptées à mettre en œuvre. L'entreprise auditée se soumet à un certain nombre de questionnaires débouchant sur différentes notes de 0 à 4 (en tout, 27 indicateurs répartis en 6 catégories) évaluant sa performance à la fois par rapport à un standard - jugé satisfaisant - mais aussi par rapport aux autres entreprises ayant procédé à l'audit. Le schéma ci-dessous résume la démarche MEHARI : Projet Réseau Sécurité 4/14

III/ Définition et classification des éléments du projet La première étape a été de définir avec Mr BOSCARI, Chef de projet de la Défense, et Mr ABOUZEID, Responsable de la Communication, les différents domaines d activités et les processus sensibles (Annexe 1_Processus majeurs). Nous avons ensuite demandé aux responsables quel serait l impact sur «l entreprise» en cas de dysfonctionnements d un des processus. (Annexe 2_Impact) Il a fallu ensuite définir les seuils de gravité pour chaque critère d impact (Annexe 3_Seuils d impacts) sachant que : - Seuil 1 : Sans dommage significatif - Seuil 2 : Dommage important - Seuil 3 : Grave dommage - Seuil 4 : Dommage extrêmement grave Nous avons ensuite recensé et classifier les ressources suivant trois critères : - Disponibilité - Intégrité - Confidentialité Les notes sont comprises entre 1 et 4 sachant que, plus le critère paraissait important, plus la note était élevée. (Annexe 4_Classification des ressources) Projet Réseau Sécurité 5/14

IV/ Décomposition du questionnaire Une fois ces classifications terminées, nous nous sommes appuyés sur les questionnaires de la méthode MEHARI, basé sur 12 scénarii, pour modeler un questionnaire d environ 400 questions, découpé en six domaines et pour donner un léger aperçu de ce que pourrait être un audit. Voici les six domaines identifiés : - Domaine d Organisation - Domaine des Locaux - Domaine du Réseau Local (LAN) - Domaine de l Exploitation des Réseaux - Domaine de la sécurité des Systèmes et de leur architecture - Domaine de la Protection de l Environnement de Travail Pour chaque question, le responsable devait répondre par «oui» ou par «non». A la suite de ça, nous nous sommes penchés sur les réponses négatives pour mettre en lumière les non-conformités par rapport à la norme ISO 17999: 2005 et proposés, quand cela était possible, quelques améliorations. Vous trouverez dans un fichier Excel annexe (Questionnaire-Résultat et Norme ISO 17999.xls) les résultats du questionnaire et les différents paragraphes numérotés de la normes ISO. Projet Réseau Sécurité 6/14

V/ Recommandations (norme ISO 17999) Ces recommandations sont tirées des intitulés des paragraphes de la norme ISO 17999 :2005. Les paragraphes concernés sont indiqués entre parenthèse au début de chaque domaine. a. Domaine d Organisation (Par. 06 ; Par. 07 ; Par. 08 ; Par. 10 ; Par. 11 ; Par. 15) On se place ici dans le cas où le projet aurait comporté des utilisateurs lambda au sein de l entreprise. Une charte informatique plus complète aurait alors été rédigée. Le domaine d organisation mériterait d être remis en concordance avec les exigences légales et notamment en ce qui concerne la protection des enregistrements. Un paragraphe dans la charte informatique pourrait être crée à cet usage. Au niveau du contrôle d'accès et de la gestion de l'accès utilisateur, on relève forcément quelques soucis. Il faudrait clairement définir les responsabilités des utilisateurs, le contrôle d'accès au réseau et l authentification des utilisateurs pour les connexions externes. En ce qui concerne la gestion de l'exploitation et des télécommunications, les échanges des informations pourrait être plus clairement définis. Pour bien faire, il faudrait établir une politique d échange avec les procédures inhérentes à cette politique, autour des manipulations des supports amovibles et de la manipulation des informations. De même, dans un cas réel, on pourrait améliorer la gestion des biens en classifiant les différentes informations. b. Domaine des Locaux (Par. 09) Il s agit là du plus gros point noir de l analyse. En effet, les installations (bâtiments et salles) appartenant à l université, elles sont, par définition, ouvertes à tous. On comprend pourquoi la sécurité physique ne permet pas de définir des zones sécurisées avec un périmètre de sécurité adéquat. De même, la sécurisation et la protection du matériel et du câblage ne peut être correctement réalisé car le choix de l'emplacement n est pas maitrisé. Projet Réseau Sécurité 7/14

c. Domaine du Réseau Local (LAN) (Par. 10 ; Par. 11) Au niveau du contrôle d'accès, il est possible d améliorer la gestion des privilèges en mettant en place un réexamen des droits d'accès utilisateurs sous un contrôle strict. Il faudrait aussi que la matérialisation des profils, attribués aux utilisateurs sous forme de tables, soit strictement sécurisée. Et que, lors de leur transmission et de leur stockage, il existe un contrôle d'accès renforcé pour pouvoir les modifier, et que ces modifications soient journalisées et auditées. Au niveau de la gestion de l'exploitation et des télécommunications, il serait intéressant de mettre en place une surveillance plus accrue avec par exemple des rapports de défaut régulier. De même, en ce qui concerne la sauvegarde des informations, il faudrait réaliser un plan de sauvegarde et un plan de reprise d activité du réseau local. d. Domaine de l Exploitation des Réseaux (Par. 15) Au niveau de la conformité, il faudra auditer le système d'information et la protection des outils système d'information au moins une fois par an et ce, avec un contrôle strict s appuyant sur un logiciel validé et subissant régulièrement un test d'intégrité. e. Domaine de la sécurité des Systèmes et de leur architecture (Par. 10) Pour la gestion de l'exploitation et des télécommunications, la surveillance par filtrage d accès et par règles pourraient spécifier, pour chaque type d'accès (système, SGBD, etc.), les éléments fondamentaux à enregistrer, par exemple l'identifiant, la date et l'heure, etc. La manipulation des supports, et notamment la mise au rebut de ces derniers, pourrait être spécifiée dans un document stipulant clairement l obligation de non divulgation des données jusqu'à leur destruction. Projet Réseau Sécurité 8/14

f. Domaine de la Protection de l Environnement de Travail (Par. 06 ; Par. 10 ; Par. 11) S il existait une charte pour les utilisateurs, le contrôle d'accès devrait être bien spécifié et les utilisateurs averti de ne pas laisser leur poste sans surveillance. Il faudrait aussi tenir compte de la gestion des échanges d informations notamment par messagerie électronique. Et se pencher sur les autorisations concernant le travail distant. Projet Réseau Sécurité 9/14

VI/ Conclusion L analyse pourrait être plus approfondie avec le calcul de différents indicateurs tel que la métrique de risque, de dissuasion, de potentialité, etc. Néanmoins, cela nous paraissait inutile car la base de questionnaire ayant été modifiée, les calculs qui en découlent se trouvent biaisés. De plus, compte tenu du nombre important de projets que nous avions à réaliser, nous n aurions pas eu le temps de rentrer plus amplement dans les détails. Quoiqu il en soit, on a donc pu voir, par ce mini-audit, que le point le plus critique du projet était le domaine des locaux. Il est d autant plus critique qu il a joué un rôle important lors du projet. En effet, avec un contrôle physique des accès et une sécurisation des salles plus accrue, les Attaquants, lors de la confrontation du 04 décembre 2007, n auraient pas pu installer de keyloggers sur des postes de la salle 213. Pour conclure, il était intéressant d essayer de prendre en main une méthode d audit malgré la difficulté inhérente. Les cabinets d audits étant de plus en plus convoités par les entreprises pour obtenir une évaluation de leur système informatique, on sera peut être amené, dans un futur proche, à travailler au sein d un de ces cabinets ou à faire appel à l un d eux. Il devient donc avantageux de connaitre les méthodes et démarches utilisées. Projet Réseau Sécurité 10/14

Projet Réseau Sécurité VII/ Annexes Annexe 1_Processus majeurs Processus majeurs de l'entreprise Domaines Processus Description Sensibilité Management Juridique & commercial Sécurité Direction Technique Prise de décision Respect des délais Assignement des taches Gestion du projet Suivi du projet et diagramme de Gantt * Gestion du contrat et du Cahier des charges Politique de sécurité Techniciens Responsable Communication interne/externe Elaboration du contrat Respect du contrat et des accords Elaboration de la politique Gestion et suivi de la politique Installation réseau Gestion du réseau Exploitation des serveurs Gestions des postes clients Interface techniciens/décisionnaire Elaboration du plan d'adressage ** ** ** **** *** Annexe 2_Impact Equipe Analyse 15/12/07

Impacts Domaines Description de l'impact Management Juridique & commercial Sécurité Retard dans le projet Perte de synchronisation entre les membres de l'équipe Perte de temps si mauvaise transmission des informations Mise en danger des installations si le retard apparaît trop important Possibilité d'intrusion au réseau devient plus importante Vol d'information Mauvais fonctionnement du réseau Direction Technique Arrêt des équipements et des services Intrusion facilité si mauvaise configuration Vols d information Projet Réseau Sécurité 12/14

Annexe 3_Seuils d impacts Seuils d'impacts Domaines Types d'impacts Seuils Management Juridique & commercial Retard du projet Perte de synchronisation de l'équipe Mauvaise transmission des infos Gravité 1 Gravité 2 Gravité 3 Gravité 4 entre 5 jours et 10 entre 10 jours et 20 < 3jours > 20 jours jours jours Absence > 1 semaine > 2 semaines > 1 mois temporaire informations non importantes Causant une interruption de services temporelle Oublis dans le contrat exception avenant important informations relatives à l'organisation de l'équipe et du réseau avenant très important informations importantes comme une intrusion non relégué contrat non conforme indisponibilité du Divulgation Sécurité Faille dans la politique de sécurité laxisme sur le suivi réseau d'informations Arrêt des services 1/2 journée 1 à 2 jours 3 à 4 jours > 5 jours Direction Technique Arrêt du réseau 1 heure 1/2 journée 1 jour > 2 jours compromission des Intrusion vol d'information machines Projet Réseau Sécurité 13/14

Annexe 4_Classification des ressources Classification des ressources Nom Type Disponibilité Intégrité Confidentialité Site de Paul Sabatier Bâtiment 1 1 1 Local réseau U2-213 2 2 2 Réseau Ethernet 3 3 4 Serveur Système 2 3 4 Personnel RH 3 4 2 Projet Réseau Sécurité 14/14

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back