ETUDE DE CAS : SECURITE D UN

PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité systèmes d information Sous-direction assistance, conseil et epertise Bureau assistance et conseil EBIOS 2010 ETUDE DE CAS : SECURITE D UN SERVICE DU CLOUD Version du 20 juillet 2011

Les commentaires et suggestions sont encouragés et peuvent être adressés à l'adresse suivante (voir formulaire de recueil de commentaires en fin de guide) : Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité systèmes d'information Sous-direction assistance, conseil et epertise Bureau assistance et conseil 51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP ebios@ssi.gouv.fr Page 2 sur 61

Historique modifications Date Objet de la modification Statut 20/07/2011 Création du document Validé Table matières 1 MODULE 1 ETUDE DU CONTEXTE... 4 1.1 ACTIVITE 1.1 DEFINIR LE CADRE DE LA GESTION DES RISQUES... 4 1.1.1 Identifier les sources de menaces... 5 1.2 ACTIVITE 1.2 PREPARER LES METRIQUES... 6 1.2.1 Activité 1.2.1 Définir les critères de sécurité et élaborer les échelles de besoins... 6 1.2.2 Activité 1.2.2 Elaborer une échelle de niveau de gravité... 7 1.2.3 Activité 1.2.3 Elaborer une échelle de niveau de vraisemblance... 7 1.2.4 Echelle de niveau de risque... 7 1.2.5 Critères de gestion risques... 7 1.3 ACTIVITE 1.3 IDENTIFIER LES BIENS... 8 1.3.1 Biens essentiels... 8 1.3.2 Biens supports... 8 1.3.3 Liens entre biens supports et biens essentiels... 8 1.3.4 Mesures de sécurité eistantes... 9 2 MODULE 2 ÉTUDE DES EVENEMENTS REDOUTES... 11 3 MODULE 3 ÉTUDE DES SCENARIOS DE MENACES... 13 3.1 SYSTEME D ACCES (SYS_AIN)... 13 3.2 SYSTEME DU PRESTATAIRE (SYS_EXT)... 15 3.3 SYSTEME D ACCES DU PRESTATAIRE (SYS_APR)... 18 3.4 ORGANISATION INTERNE (ORG_INT)... 20 3.5 ORGANISATION DU PRESTATAIRE (ORG_PRE)... 22 4 MODULE 4 ÉTUDE DES RISQUES... 24 4.1 ANALYSE ET EVALUATION DES RISQUES... 24 4.1.1 Divulgation données de déclaration de sinistre... 24 4.1.2 Altération données de déclaration de sinistre... 26 4.1.3 Indisponibilité données de déclaration de sinistre... 26 4.1.4 Divulgation données de sécurité... 26 4.1.5 Altération données de sécurité... 26 4.1.6 Indisponibilité données de sécurité... 26 4.1.7 Divulgation de la fonction de traitement données de déclaration de sinistre... 26 4.1.8 Dysfonctionnement de la fonction de traitement données de déclaration de sinistre26 4.1.9 Arrêt de la fonction de traitement données de déclaration de sinistre... 26 4.2 IDENTIFICATION DES OBJECTIFS DE SECURITE... 26 4.3 IDENTIFICATION DES RISQUES RESIDUELS... 26 5 MODULE 5 - ÉTUDE DES MESURES DE SECURITE... 26 5.1 DEFINITION DES MESURES DE SECURITE... 26 5.2 ANALYSE DES RISQUE RESIDUELS... 26 5.3 DECLARATION D APPLICABILITE... 26 5.4 MISE EN ŒUVRE DES MESURES DE SECURITE... 26 Page 3 sur 61

1 Module 1 Etude du contete Les risques évoqués dans ce document sont décrit dans le document de référence publié par l ENISA («Cloud computing : Benefits, risks and recommendations for information security», http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-riskassessment/at_download/fullreport) et dans celui publié par l ANSSI «Eternalisation systèmes d information». Un assureur s attend à un pic de déclaration en cas d évènements catastrophiques. Il fait appel à un service de type IAAS pour héberger et traiter les données de déclaration de sinistre. Ces données sont rapatriées dans son SI une fois instruites par les eperts d assurance. Personnel Opérateur en charge de la saisie Personnel eterne Opérateur en charge de l instruction Auditeur Administrateur technique Postes utilisateurs Portail Serveurs s Internet Référentiel d identité Cloud 1.1 Activité 1.1 Définir le cadre de la gestion risques La définition détaillée du cadre de la gestion risques sera faite avec le logiciel. Page 4 sur 61

1.1.1 Identifier les sources de menaces Types de sources de menaces Source humaine, malveillante, avec de faibles capacités Source humaine, malveillante, avec capacités importantes Source humaine, malveillante, avec capacités illimitées Source humaine eterne, malveillante, avec de faibles capacités Source humaine eterne, malveillante, avec capacités importantes Source humaine eterne, malveillante, avec capacités illimitées Source humaine, sans intention de nuire, avec de faibles capacités Source humaine, sans intention de nuire, avec capacités importantes Source humaine, sans intention de nuire, avec capacités illimitées Source humaine eterne, sans intention de nuire, avec de faibles capacités Source humaine eterne, sans intention de nuire, avec capacités importantes Source humaine eterne, sans intention de nuire, avec capacités illimitées Code malveillant d origine inconnue Phénomène naturel Catastrophe naturelle ou sanitaire Activité animale Retenu ou non Oui Oui Oui Non Oui Non Oui Oui Oui Non Non Non Non Oui Oui Non Eemple Employé malveillant Employé du malveillant Administrateur malveillant Administrateur du malveillant Pirate Concurrent Employé peu sérieu Employé du peu sérieu Administrateur peu sérieu Administrateur du peu sérieu Panne de matériel Panne de réseau Inondation Tempête Tremblement de terre Evènement Oui Faille dans l application Evènement eterne Oui Décision du cloud provider Mauvaise gestion du Décision de justice Changement de juridiction Page 5 sur 61

1.2 Activité 1.2 Préparer les métriques 1.2.1 Activité 1.2.1 Définir les critères de sécurité et élaborer les échelles de besoins Afin d eprimer les besoins de sécurité, les critères de sécurité retenus sont les suivants : Critères de sécurité Disponibilité Intégrité Confidentialité Définitions Propriété d accessibilité au moment voulu biens essentiels Propriété d eactitude et de complétude biens essentiels Propriété biens essentiels de n être accessibles que par utilisateurs autorisés L échelle suivante sera utilisée pour eprimer les besoins de sécurité en termes de disponibilité : Niveau de l échelle Plus de 48h Entre 24 et 48h Entre 4 et 24h Moins de 4h Description détaillée de l échelle Le bien essentiel peut être indisponible plus de 48 heures Le bien essentiel doit être disponible dans les 48 heures Le bien essentiel doit être disponible dans les 24 heures Le bien essentiel doit être disponible dans les 4 heures L échelle suivante sera utilisée pour eprimer les besoins de sécurité en termes d intégrité : Niveau de l échelle Détectable Maîtrisé Intègre Description détaillée de l échelle Le bien essentiel peut ne pas être intègre si l altération est identifiée Le bien essentiel peut ne pas être intègre, si l altération est identifiée et l intégrité du bien essentiel retrouvée Le bien essentiel doit être rigoureusement intègre L échelle suivante sera utilisée pour eprimer les besoins de sécurité en termes de confidentialité : Niveau de l échelle Public Limité Réservé Privé Description détaillée de l échelle Le bien essentiel est public Le bien essentiel ne doit être accessible qu au personnel et au partenaires Le bien essentiel ne doit être accessible qu au personnel impliqué Le bien essentiel ne doit être accessible qu à personnes identifiées et ayant le besoin d en connaître Page 6 sur 61

1.2.2 Activité 1.2.2 Elaborer une échelle de niveau de gravité L échelle suivante sera utilisée pour estimer la gravité évènements redoutés et risques. Niveau de l échelle Description détaillée de l échelle 0. Insignifiant L évènement redouté n est pas retenu dans le contete de cette étude 1. Négligeable La société surmontera les impacts sans aucune difficulté 2. Limitée La société surmontera les impacts malgré quelques difficultés 3. Importante La société surmontera les impacts avec de sérieuses difficultés 4. Critique La société surmontera les impacts avec de très sérieuses difficultés et sur une très longue période 1.2.3 Activité 1.2.3 Elaborer une échelle de niveau de vraisemblance L échelle suivante sera utilisée pour estimer la vraisemblance scénarios de menaces et risques. Niveau de l échelle Description détaillée de l échelle 1. Minime Cela ne devrait pas se (re)produire dans les 3 ans / Besoin privilèges d administrateur 2. Significative Cela pourrait se (re)produire dans les 3 ans / Besoin de connaissances et d un accès au utilisateurs Cela devrait se (re)produire dans l année / Sans besoin de connaissances et avec un besoin au utilisateurs 4. Maimale Cela va certainement se (re)produire plusieurs fois dans l année / Sans besoin de connaissances ni au utilisateurs 1.2.4 Echelle de niveau de risque 4 4. Intolérable Gravite 3 Significatif 2 2. Limité 1 1. Négligeable 2. Limité 1 2 3 4 Vraisemblance 1.2.5 Critères de gestion risques Ce point sera à complété avec le logiciel. Page 7 sur 61

1.3 Activité 1.3 Identifier les biens 1.3.1 Biens essentiels d information eternalisé Fonctions eternalisées Données de déclaration de sinistre Données de sécurité (Clés de chiffrement, logs, référentiel d identité et droits) Traitement données 1.3.2 Biens supports (SYS_AIN) eternalisé (SYS_EXT) (SYS_APR) (ORG_INT) du (ORG_PRE) Réseau de l organisme Réseau t Serveurs du Postes de travail du Logiciel d administration du Portail Réseau du Utilisateurs (opérateurs en charge de la saisie, opérateurs en charge de l instruction, auditeurs) Administrateurs fonctionnels Administrateurs techniques Administrateurs du cloud Sous-traitants du Cloud Provider 1.3.3 Liens entre biens supports et biens essentiels Biens supports Biens essentiels Données de déclaration de sinistre Données de sécurité Traitement données (SYS_AIN) eternalisé (SYS_EXT) (SYS_APR) (ORG_INT) du (ORG_PRE) Page 8 sur 61

1.3.4 Mesures de sécurité eistantes N Thème ISO 27002 Mesure de sécurité Description Prévention Récupération Bien support 1 9.1 Zones sécurisée Périmètre de sécurité physique 2 9.1 Zones sécurisée Contrôle physique accès 3 9.1 Zones sécurisée 4 9.2 Sécurité du matériel Services générau 5 9.2 Sécurité du matériel Sécurité du câblage 6 7 8 9 10.7 Manipulation supports 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur Protéger les zones contenant informations et moyens de traitement de l information par périmètres de sécurité. Les serveurs doivent être inaccessibles par personnes non autorisées et donc dans salles hautement sécurisées. Protéger les zones sécurisées pas contrôles à l entrée adéquats pour s assurer que seul le personnel habilité soit admis. Le doit donc surveiller et contrôler les accès au datacenters et doit s assurer que le personnel de maintenance ou de support ne peut menacer la sécurité données, matériels ou logiciels. Concevoir et appliquer mesures de protection physiques contre les dommages causés par les incendies, les inondations, les tremblements contre les menaces de terre, les eplosions, les troubles civils et autres formes de etérieures et catastrophes naturelles ou de sinistre provoqués par l homme. Les environnementales datacenters du devront satisfaire les eigences de sécurité liées à la protection physique serveurs. Sécurité de la documentation système Gestion privilèges Enregistrement utilisateurs Gestion du mot de passe utilisateur Protéger le matériel coupures de courant et autres perturbations dues à une défaillance de services générau. Protéger les câbles électriques ou de télécommunications transportant données contre toute interception ou dommage. La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). Restreindre et contrôler l attribution et l utilisation privilèges (gestion habilitations). Définir une procédure formelle d enregistrement et de désinscription utilisateurs tinée à accorder et à supprimer l accès au cloud ou à son administration. L attribution de mots de passe doit être réalisée dans le cadre d un processus formel. X X du / du / Page 9 sur 61

10 11 12 13 11.3 Responsabilités utilisateurs 11.4 Contrôle au réseau 11.4 Contrôle au réseau Utilisation du mot de passe Authentification administrateurs Authentification utilisateurs Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de la sélection et de l utilisation de mots de passe. Afin d accéder au fonctions d administration, les administrateurs doivent être authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage mots de passe, authentification à deu facteurs). L'authentification utilisateurs doit se faire de manière sécurisée par un cryptage mots de passe et une authentification à deu facteurs. Le doit fournir les garanties de continuité de l activité au travers d un plan de continuité de l activité. Ce PCA doit prendre en 14.1 Aspects de la sécurité compte les eigences en matière de sécurité de l information, les Plan de continuité de l activité de l information en matière de évènements pouvant être à l origine d interruption processus du gestion de l activité métier, les mesures de restauration et de maintien de la disponibilité du système d information, ainsi que la mise à l essai dudit plan de continuité de l activité. / Page 10 sur 61

2 Module 2 Étude évènements redoutés N Evènement Redouté Besoin Sources de menaces Impacts Gravité Données de déclaration de sinistre ER1 Divulgation données Privé ER2 Altération données Intègre ER3 Indisponibilité données 24h Données de sécurité ER4 ER5 Divulgation données de sécurité Altération données de sécurité Indisponibilité données ER6 de sécurité Traitement données ER7 ER8 ER9 Divulgation de la fonction de traitement Altération de la fonction de traitement Indisponibilité de la fonction de traitement Privé Intègre 48h Réservé Intègre 24h Employé du peu sérieu Employé du malveillant Bogue logiciel Hébergeur/Faille dans l application Employé peu sérieu Employé du peu sérieu Employé peu sérieu Hébergeur/Faille dans l application Employé du peu sérieu Employé du malveillant Hébergeur/Faille dans l application Entreprise tierce Changement de juridiction Panne de serveur Bogue logiciel Catastrophe naturelle Employé peu sérieu Employé malveillant Employé malveillant Employé malveillant Employé du malveillant Employé malveillant Employé du malveillant Mauvaise gestion du Concurrent Employé malveillant Panne de réseau Perte de notoriété Perte de confiance vis-à-vis clients Impossibilité de remplir obligations légales Action en justice à l encontre de la société Non-conformité au labels de sécurité Chute de valeur en bourse Impossibilité de remplir les obligations légales Impossibilité d assurer le traitement Perte de confiance vis-à-vis clients Non-conformité au labels de sécurité Impossibilité d assurer le traitement Perte de confiance vis-à-vis clients Mise en péril du système d information eternalisé Impossibilité de remplir les obligations légales Non-conformité au labels de sécurité Perte de notoriété Perte de confiance vis-à-vis clients Chute de valeur en bourse Perte de contrôle sur le système d information eternalisé Impossibilité d assurer le traitement Perte de contrôle sur le système d information eternalisé Perte d un avantage concurrentiel Traitement données non valide Perte de confiance vis-à-vis clients Perte de notoriété Perte de crédibilité Impossibilité d assurer le traitement Perte de confiance vis-à-vis clients Perte de notoriété 4. Critique 3. Importante 2. Limitée 4. Critique 3. Importante 2. Limitée 0. Insignifiant 0. Insignifiant 3. Importante Page 11 sur 61

L importance relative évènements redoutés précédemment analysés est évaluée à l aide du tableau suivant : Gravité 4. Critique 3. Importante 2. Limitée Evénements redoutés ER1 Divulgation données ER4 Divulgation données de sécurité ER2 Altération données ER5 Altération données de sécurité ER9 Indisponibilité de la fonction de traitement ER3 Indisponibilité données ER6 Indisponibilité données de sécurité 1. Négligeable 0. Insignifiant ER7 Divulgation de la fonction de traitement ER8 Altération de la fonction de traitement Page 12 sur 61

3 Module 3 Étude scénarios de menaces 3.1 (SYS_AIN) Bien Support Scénario de menace (SYS_AIN) Menace sur le réseau t causant une indisponibilité Menace sur le réseau t causant une altération Menace sur le réseau t causant une compromission Critèr e D I C Sources de menaces Types de menace Menaces Vraisemblance Entreprise tierce Concurrent Employé malveillant Panne de réseau Concurrent Employé malveillant Concurrent Employé malveillant M15 RSX-DEP Saturation du canal informatique M16 RSX-DET Dégradation d un canal informatique M13 RSX-USG Attaque du milieu sur un canal informatique M14 RSX-ESP Ecoute passive d un canal informatique Blocage d un lot d adresses IP Occupation de la bande passante (déni de service) Rupture du canal au cloud Attaque de type Man in the Middle Acquisition de données par écoute passive 4. Maimale Menace Vulnérabilités Pré-requis Vraisemblance Blocage d un lot d adresses IP Occupation de la bande passante (déni de service) Rupture du canal au cloud Acquisition de données par écoute passive Attaque de type Man in the Middle Possibilité d être impliqué dans les activités frauduleuses d une entreprise tierce sur le cloud Réseau au cloud unique Dimensionnement insuffisant de la bande passante Réseau au cloud unique Dimensionnement insuffisant de la bande passante Réseau perméable Données transmises interprétables Possibilité de falsification du service appelé Routage altérable Serveurs partagés (cloud public) Accès à la table de routage Accès au utilisateurs Contrôle insuffisant du matériel Accès physique au réseau Accès à la table de routage Accès au utilisateurs Accès à la table de routage Accès au utilisateurs 2. Significative 4. Maimale Mesures de sécurité eistantes N 9 10 Thème ISO 27002 11.2 Gestion de l accès utilisateur Mesures de sécurité eistantes Gestion du mot de passe utilisateur Description L attribution de mots de passe doit être réalisée dans le cadre d un processus formel. 11.3 Utilisation du mot Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de Responsabilités de passe la sélection et de l utilisation de mots de passe. utilisateurs Prévention Récupération Bien support / / Mesures de sécurité complémentaires N 9 11 Thème ISO 27002 Mesures de sécurité 10.3 Planification et Dimensionnement acceptation du système informations journalisées Description Les ressources doivent correspondre au besoins. Il est nécessaire de faire projections et tests de performance pour connaître les limites du système et pouvoir anticiper toute surcharge. Ainsi, le doit s assurer que les ressources allouées au différents utilisateurs du service sont suffisantes pour couvrir les besoins. équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. Prévention Récupération Bien support / / / / Page 13 sur 61

12 Journal administrateur journal opérations et La journalisation opérations administrateurs permet de garder une trace actions administrateurs. / / 13 Rapports de défaut Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. / / 14 17 20 21 11.4 Contrôle Contrôle au routage réseau 12.3 Mesures cryptographiqu es 12.3 Mesures cryptographiqu es Audit de la La passerelle au cloud doit être soumise à un audit régulier (annuel) passerelle pour vérifier que les mesures de sécurité sont effectives et en adéquation avec au cloud les objectifs de sécurité. Chiffrement flu Gestion clés du S assurer que l organisation mette en œuvre mesures de routage réseau réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. Les flu contenant informations sensibles ou à caractère personnel doivent être chiffrées. Une procédure de gestion clés doit venir à l appui de la politique de l organisme en matière de chiffrement. / Page 14 sur 61

3.2 (SYS_EXT) Bien Support Scénario de menace (SYS_EXT) Menace sur le système du causant une indisponibilité Menace sur le système du causant une altération Menace sur le système du causant une compromission Critèr e D I C Sources de menaces Types de menace Menaces Vraisemblance Employé du peu sérieu Employé du malveillant Décision du cloud provider Concurrent Hébergeur/Faille dans l application Décision de justice Panne de matériel Bogue logiciel Catastrophe naturelle Employé du peu sérieu Employé du malveillant Hébergeur/Faille dans l application Décision du cloud provider Concurrent Employé peu sérieu Employé du peu sérieu Employé du malveillant Hébergeur/Faille dans l application Bogue logiciel Panne de matériel Décision de justice M9 LOG-DEP Dépassement limites d un logiciel M12 LOG-PTE Disparition d un logiciel M6 MAT-PTE Perte d un matériel M7 LOG-USG Détournement de l usage prévu d un logiciel M4 MAT-PTE Détérioration d un matériel M11 LOG-MOD Modification d un logiciel M7 LOG-USG Détournement de l usage prévu d un logiciel M11 LOG-MOD Modification d un logiciel M8 LOG-ESP Analyse d un logiciel M6 MAT-PTE Perte d un matériel M7 LOG-USG Détournement de l usage prévu d un logiciel Sureploitation du système du Cessation d activité du Serveurs du saisis par la justice Perte ou effacement données Changement données du portail au cloud Données rendues accessibles à d autres utilisateurs du cloud Collecte de données au SI eternalisé Prestataire racheté par une société investissant moins dans la sécurité Serveurs du saisis par la justice Vol de serveurs Données non effacées serveurs du et rendues accessibles Données rendues accessibles à d autres utilisateurs du cloud Changement données du portail au cloud 4. Maimale Menace Vulnérabilités Pré-requis Vraisemblance Sureploitation du système du Manque de compétence du personnel du Négligence du personnel du Ressources allouées par le insuffisantes Cessation d activité du Portabilité données non assurée Fébrilité économique du 1. Minime 2. Significative Serveurs du saisis par la justice Perte ou effacement données Juridiction liée à la position géographique données Données accessibles avec les droits adéquats Matériel peu fiable Matériel inapproprié au conditions d utilisation Datacenter mal protégé contre les catastrophes naturelles Mauvaise compartimentation du logiciel Changement de juridiction dans le pays où sont situés les serveurs Ou Une entreprise tierce mène activités frauduleuses sur le cloud Ou Juridiction relative au stockage données personnelles Privilèges élevés sur l application Ou Contrôle insuffisant du matériel Ou Bogue dans le logiciel utilisé Ou Datacenter dans une zone à risque de catastrophes naturelles Ou Serveurs partagés (cloud public) 2. Significative Page 15 sur 61

Collecte de données au SI eternalisé Changement données du portail au cloud Prestataire racheté par une société investissant moins dans la sécurité Données non effacées serveurs du et rendues accessibles Données rendues accessibles à d autres utilisateurs du cloud Vol de serveurs SI du sous-traitant mal sécurisé Faille dans l application Faille dans le portail au cloud Négligence du personnel du Manque de compétence du personnel du Négligence du personnel du Mauvais effacement données par le Mauvaise compartimentation du logiciel Manque de sécurisation datacenters Négligence du personnel du Négligence du personnel de sécurité du datacenter Accès physique ou logique au SI du sous-traitant Connaissance de l eistence du logiciel Connaissance de l eistence du portail Accès physique ou logique au portail Connaissance de l eistence du portail Fébrilité économique du Serveurs partagés ou réutilisés Serveurs partagés ou réutilisés Accès physique au serveurs Connaissance de l eistence et de la localisation serveurs Possibilité de déplacer un serveur 4. Maimale 2. Significative Mesures de sécurité eistantes N 1 2 3 4 11 12 13 Thème ISO 27002 9.1 Zones sécurisée 9.1 Zones sécurisée 9.1 Zones sécurisée 9.2 Sécurité du matériel Mesures de sécurité eistantes Périmètre de sécurité physique Contrôle physique accès contre les menaces etérieures et environnementales Services générau 11.4 Contrôle Authentification au réseau administrateurs 11.4 Contrôle Authentification au utilisateurs réseau 14.1 Aspects de la sécurité de l information en matière de gestion l activité de Plan de continuité de l activité du Description Protéger les zones contenant informations et moyens de traitement de l information par périmètres de sécurité. Les serveurs doivent être inaccessibles par personnes non autorisées et donc dans salles hautement sécurisées. Protéger les zones sécurisées pas contrôles à l entrée adéquats pour s assurer que seul le personnel habilité soit admis. Le doit donc surveiller et contrôler les accès au datacenters et doit s assurer que le personnel de maintenance ou de support ne peut menacer la sécurité données, matériels ou logiciels. Concevoir et appliquer mesures de protection physiques contre les dommages causés par les incendies, les inondations, les tremblements de terre, les eplosions, les troubles civils et autres formes de catastrophes naturelles ou de sinistre provoqués par l homme. Les datacenters du devront satisfaire les eigences de sécurité liées à la protection physique serveurs. Protéger le matériel coupures de courant et autres perturbations dues à une défaillance de services générau. Afin d accéder au fonctions d administration, les administrateurs doivent être authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage mots de passe, authentification à deu facteurs). L'authentification utilisateurs doit se faire de manière sécurisée par un cryptage mots de passe et une authentification à deu facteurs. Le doit fournir les garanties de continuité de l activité au travers d un plan de continuité de l activité. Ce PCA doit prendre en compte les eigences en matière de sécurité de l information, les évènements pouvant être à l origine d interruption processus métier, les mesures de restauration et de maintien de la disponibilité du système d information, ainsi que la mise à l essai dudit plan de continuité de l activité. Prévention X X Récupération Bien support Mesures de sécurité complémentaires N 5 6 Thème ISO 27002 9.2 Sécurité du matériel 10.2 Gestion de la prestation de service par un tiers Mesures de sécurité Mise au rebut ou recyclage sécurisé du matériel Prestation de service et contrat Description Vérifier tout le matériel contenant supports de stockage pour s assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant sa mise au rebut. Le devra préciser les mesures mises en œuvre pour assurer la mise au rebut de ses matériels. S assurer que les mesures de sécurité, les définitions du service et les niveau de prestation prévus dans l accord de prestation de service tiers sont mis en œuvre, appliqués et tenus à jour par le tiers. Notamment, le contrat de prestation de service doit inclure les éléments liés à la journalisation d évènements, au suivi du service hébergé (mise à jour, maintenances, sauvegar ), au modalités de prévention d une attaque et à la réaction suite à un incident. Prévention Récupération Bien support Page 16 sur 61

7 8 9 10 11 12 13 15 19 21 22 23 24 25 10.2 Gestion de Clause la prestation de contractuelle service par un restitution tiers données 10.2 Gestion de la prestation de service par un tiers Gestion modifications dans les services tiers 10.3 Planification et Dimensionnement acceptation du système 10.5 Sauvegarde Le contrat de prestation de service doit préciser les conditions de restitution de données (conditions, délais, formats) pour permettre le rapatriement données ou le changement de sans interruption de service. Gérer les changements effectués dans la prestation de service, comprenant le maintien et l amélioration politiques, procédures et mesures eistantes. Notamment, le contrat doit permettre la validation choi du lors de la mise en œuvre de nouvelles solutions logicielles ou matérielles (pour éviter la perte de sécurité). Les ressources doivent correspondre au besoins. Il est nécessaire de faire projections et tests de performance pour connaître les limites du système et pouvoir anticiper toute surcharge. Ainsi, le doit s assurer que les ressources allouées au différents utilisateurs du service sont suffisantes pour couvrir les besoins. Le doit prendre toutes les mesures qui s imposent en termes de Sauvegarde sauvegarde et de restauration pour se conformer au niveau de service eigé. Il informations - doit notamment effectuer un double eemplaire sauvegar et doit les backups conserver dans locau physiquement séparés. informations journalisées Journal administrateur journal opérations et Rapports de défaut 11.4 Contrôle au réseau 12.3 Mesures cryptographiqu es 12.3 Mesures cryptographiqu es 12.6 Gestion vulnérabilités techniques 15.1 Conformité avec eigences légales 15.1 Conformité avec eigences légales les ports de diagnostic et de configuration à distance Politique d utilisation mesures cryptographiques Gestion clés Mesures relatives au vulnérabilités techniques équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. La journalisation opérations administrateurs permet de garder une trace actions administrateurs. Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. Le doit contrôler l accès physique et logique au ports de diagnostic et de configuration à distance. Elaboration et mise en œuvre d une politique d utilisation mesures cryptographiques en vue de protéger l information. Par eemple, employer un logiciel de chiffrement données eternalisées. Une procédure de gestion clés doit venir à l appui de la politique de l organisme en matière de chiffrement. Le doit tenir informé l organisation (assureur) en temps voulu de toute vulnérabilité technique systèmes d information en eploitation, évaluer l eposition de l organisation audites vulnérabilités et entreprendre les actions appropriées pour traiter le risque associé. Cette démarche doit être formalisée dans le contrat de service. Le doit satisfaire les eigences de protection et de confidentialité données à caractère personnel telles que l eigent la législation ou les données et réglementations applicables. confidentialité Le transfert données à caractère personnel en dehors frontières de informations l Union européenne est réglementé par la directive européenne 95/46/CE et la loi relatives à la vie n 78-17 du 6 janvier 1978 modifiée relative à l inf ormatique, au fichiers et au privée libertés. Hébergement non mutualisé Localisation les données L hébergement doit être réalisé sur une ou plusieurs machines spécifiques (non mutualisé). Ainsi, les données de l organisation (assureur) ne risquent pas de subir les conséquences d une activité frauduleuse d un autre client du cloud. Les problèmes de compartimentation sont de plus écartés. Le doit être en mesure d indiquer la localisation données pour informer l organisation / / / / / / / / / / Page 17 sur 61

3.3 (SYS_APR) Bien Support Scénario de menace Menace sur le réseau du (SYS_APR) causant une indisponibilité Menace sur le réseau du causant une altération Menace sur le réseau du causant une compromission Critèr e D I C Sources de menaces Types de menace Menaces Vraisemblance Employé du malveillant Panne de réseau Employé du malveillant Employé du malveillant M15 RSX-DEP Saturation du canal informatique M16 RSX-DET Dégradation d un canal informatique M13 RSX-USG Attaque du milieu sur un canal informatique M11 LOG-MOD Modification d un logiciel M14 RSX-ESP Ecoute passive d un canal informatique Perte de liaison entre les serveurs du Attaque de type Man in the Middle Changement données du portail au cloud Acquisition de données par écoute passive entre les serveurs du Menace Vulnérabilités Pré-requis Vraisemblance Perte de liaison entre les serveurs du Attaque de type Man in the Middle Acquisition de données par écoute passive entre les serveurs du Changement données du portail au cloud Réseau au cloud unique Dimensionnement insuffisant de la bande passante Possibilité de falsification du service appelé Routage altérable Perméabilité du réseau Données observables lors du transfert Données du portail modifiables Données du portail accessibles avec les droits adéquats Accès à la table de routage Accès au utilisateurs Accès à la table de routage Accès au utilisateurs Accès à la table de routage Accès au utilisateurs Accès physique ou logique au portail Connaissance de l eistence du portail Mesures de sécurité eistantes N 5 Thème ISO 27002 9.2 Sécurité du matériel Mesures de sécurité eistantes Sécurité câblage du Description Protéger les câbles électriques ou de télécommunications transportant données contre toute interception ou dommage. Prévention Récupération Bien support Mesures de sécurité complémentaires N 9 11 12 Thème ISO 27002 Mesures de sécurité 10.3 Planification et Dimensionnement acceptation du système informations journalisées Journal administrateur journal opérations et Description Les ressources doivent correspondre au besoins. Il est nécessaire de faire projections et tests de performance pour connaître les limites du système et pouvoir anticiper toute surcharge. Ainsi, le doit s assurer que les ressources allouées au différents utilisateurs du service sont suffisantes pour couvrir les besoins. équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. La journalisation opérations administrateurs permet de garder une trace actions administrateurs. Prévention Récupération Bien support / / / / / / Page 18 sur 61

13 Rapports de défaut Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. / / 15 16 18 11.4 Contrôle au réseau ports de diagnostic et de configuration à distance Le doit contrôler l accès physique et logique au ports de diagnostic et de configuration à distance. Pour les réseau partagés, en particulier les réseau qui s étendent au-delà 11.4 Contrôle Mesure relative à limites de l organisme du, il convient de vérifier que le au la conneion restreigne la capacité de conneion réseau utilisateurs, conformément à la réseau réseau politique de contrôle et les eigences relatives au applications de gestion. 11.4 Contrôle Contrôle au réseau du routage réseau du S assurer que le mette en œuvre mesures de routage réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. / Page 19 sur 61

3.4 (ORG_INT) Bien Support Scénario de menace (ORG_INT) Menace sur l organisation causant une indisponibilité Menace sur l organisation causant une altération Menace sur l organisation causant une compromission Critèr e D I C Sources de menaces Types de menace Menaces Vraisemblance Employé peu sérieu Employé peu sérieu Employé malveillant M23 PER-MOD Influence sur une personne M21 PER-DEP Surcharge capacités d une personne M23 PER-MOD Influence sur une personne Collecte de données au SI eternalisé Suppression données par le personnel sous influence d un pirate Mauvaise répartition rôles entre le personnel et le personnel du L employé se venge 2. Significative 1. Minime Menace Vulnérabilités Pré-requis Vraisemblance Mauvaise répartition rôles entre le personnel et le personnel du Collecte de données au SI eternalisé Manque de compétence du personnel Négligence du personnel Personne influençable ou manipulable Partage de l administration entre le personnel et le personnel du Etablissement d une relation avec la personne 1. Minime 2. Significative Suppression données par le personnel sous influence d un pirate Personne influençable ou manipulable Etablissement d une relation avec la personne L employé se venge Personne influençable ou manipulable Privilèges élevés sur l application Motivation de la vengeance 2. Significative Mesures de sécurité eistantes N 6 7 8 9 10 Thème ISO 27002 10.7 Manipulation supports 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur Mesures de sécurité eistantes Sécurité de la documentation système Gestion privilèges Enregistrement utilisateurs Gestion du mot de passe utilisateur Description La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). Restreindre et contrôler l attribution et l utilisation privilèges (gestion habilitations). Définir une procédure formelle d enregistrement et de désinscription utilisateurs tinée à accorder et à supprimer l accès au cloud ou à son administration. L attribution de mots de passe doit être réalisée dans le cadre d un processus formel. 11.3 Utilisation du mot Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de Responsabilités de passe la sélection et de l utilisation de mots de passe. utilisateurs Prévention Récupération Bien support / du / / Mesures de sécurité complémentaires N Thème ISO 27002 Mesures de sécurité Description Prévention Récupération Bien support 1 6.1 Attribution Il convient de définir clairement toutes les responsabilités en matière de sécurité responsabilités en de l information. La répartition responsabilités entre le personnel et le matière de sécurité personnel du doit être formalisée et respectée. de l information / eterne Page 20 sur 61

2 3 4 Sensibilisation, 8.2 Pendant la qualification et Le personnel doit être formé au bonnes pratiques de sécurité. Il doit durée du formations en avoir un niveau de sensibilisation pertinent pour ses fonctions. Cela passe par contrat matière de sécurité sessions de formation et missives d information concernant la sécurité. de l information 8.2 Pendant la Procédures durée du disciplinaires contrat Mettre en place un processus disciplinaire clair pour toute ayant enfreint les règles de sécurité pour réduire les risques d influence et de corruption. Par eemple, les sanctions peuvent être précisées dans une charte définissant les engagements de responsabilités. 8.3 Fin ou Les droits d'accès de tout utilisateur ou administrateur au données et au Retrait droits modification de logiciels doivent être supprimés en fin de contrat ou doivent être modifiés en cas contrat de changement de contrat ou de responsabilités. Page 21 sur 61

3.5 du (ORG_PRE) Bien Support Scénario de menace du (ORG_PRE) Menace sur l organisation du causant une indisponibilité Menace sur l organisation du causant une altération Menace sur l organisation du causant une compromission Critèr e D I C Sources de menaces Types de menace Menaces Vraisemblance Employé du peu sérieu Employé peu sérieu Employé malveillant M23 PER-MOD Influence sur une personne M21 PER-DEP Surcharge capacités d une personne M23 PER-MOD Influence sur une personne Collecte de données au SI eternalisé Suppression données par le personnel sous influence d un pirate Mauvaise répartition rôles entre le personnel et le personnel du L employé se venge 2. Significative 1. Minime Menace Vulnérabilités Pré-requis Vraisemblance Mauvaise répartition rôles entre le personnel et le personnel du Collecte de données au SI eternalisé Manque de compétence du personnel Négligence du personnel Personne influençable ou manipulable Partage de l administration entre le personnel et le personnel du Etablissement d une relation avec la personne 1. Minime 2. Significative Suppression données par le personnel sous influence d un pirate Personne influençable ou manipulable Etablissement d une relation avec la personne L employé se venge Personne influençable ou manipulable Privilèges élevés sur l application Motivation de la vengeance 2. Significative Mesures de sécurité eistantes N Thème ISO 27002 Mesures de sécurité eistantes Description Prévention Récupération Bien support 6 10.7 Manipulation supports Sécurité de la documentation système La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). / du Mesures de sécurité complémentaires N Thème ISO 27002 Mesures de sécurité Description Prévention Récupération Bien support 1 6.1 Attribution Il convient de définir clairement toutes les responsabilités en matière de sécurité responsabilités en de l information. La répartition responsabilités entre le personnel et le matière de sécurité personnel du doit être formalisée et respectée. de l information / eterne Page 22 sur 61

L importance relative scénarios de menaces précédemment analysés est évaluée de la façon suivante : Vraisemblance 4. Maimale 2. Significative 1. Minime Scénarios de menaces Menace sur le réseau t causant une indisponibilité Menace sur le système du causant une compromission Menace sur le réseau t causant une altération Menace sur le réseau t causant une compromission Menace sur le système du causant une indisponibilité Menace sur le système du causant une altération Menace sur le réseau du causant une indisponibilité Menace sur le réseau du causant une altération Menace sur le réseau du causant une compromission Menace sur l organisation causant une compromission Menace sur l organisation du causant une compromission Menace sur l organisation causant une indisponibilité Menace sur l organisation du causant une indisponibilité Menace sur l organisation causant une altération Menace sur l organisation du causant une altération Page 23 sur 61

4 Module 4 Étude risques 4.1 Analyse et évaluation risques 4.1.1 Divulgation données de déclaration de sinistre Scénarios décrits dans les documents (ANSSI et ENISA) Bien(s) support(s) Scénario(s) de menace Logiciel d administration du Logiciel d administration du Serveurs du Logiciel d administration du Logiciel d administration du Logiciel d administration du Logiciel d administration du Logiciel d administration du Logiciel d administration du Personnel ou personnel du Personnel du Internet Réseau du - Serveurs du - Serveurs du Le Cloud Provider fait appel à un offrant de plus faibles garanties de sécurité : un pirate accède au données via le SI de ce. Le Cloud Provider est racheté par une société investissant moins dans la sécurité : une faille permet à un pirate de s introduire dans le système. Les données confidentielles et soumises à réglementations sont stockées à l étranger. La réglementation du pays où sont stockées les données permet une divulgation de ces données. Les données peuvent être saisies par la justice. Les données confidentielles soumises à réglementations sont stockées dans le cloud. Cette eternalisation rend possible l accès au données par un pirate. L administrateur du cloud n efface délibérément pas les données stockées sur les serveurs. L administrateur du cloud oublie d effacer tout ou partie données stockées sur le serveur. Un bogue logiciel laisse traces de données sur les serveurs. Les données de plusieurs sociétés sont stockées sur un même support : leur mauvaise séparation entraîne une divulgation non-intentionnelle données. Le piratage droits d un administrateur du cloud permet l accès à tout le système. Un pirate utilise les techniques de «social engineering» pour obtenir l accès au données. Un employé du souhaitant se venger divulgue données. Un pirate intercepte sur Internet les données transitant entre le système et le cloud. Un pirate ou un employé du Cloud Provider intercepte les données transitant entre les serveurs du cloud. Un pirate ou un employé du Cloud Provider obtient de manière frauduleuse l accès au serveurs de données Un pirate ou un employé du Cloud Provider dérobe les serveurs de backup données N Evènement Redouté Besoin Sources de menaces Impacts Gravité Données de déclaration de sinistre ER1 Divulgation données Privé Employé du peu sérieu Employé du malveillant Bogue logiciel Hébergeur/Faille dans l application Employé peu sérieu Perte de notoriété Perte de confiance vis-à-vis clients Impossibilité de remplir obligations légales Action en justice à l encontre de la société Non-conformité au labels de sécurité Chute de valeur en bourse 4. Critique Résultat obtenu par le logiciel Bien support Scénarios de Critèr menace e Sources de menaces Types de menace Menaces Vraisembla nce Page 24 sur 61

(SYS_AIN) (SYS_EXT) (SYS_APR) (ORG_INT) du (ORG_PRE) Menace sur le réseau t causant une compromission Menace sur le système du causant une compromission Menace sur le réseau du causant une compromission Menace sur l organisation causant une compromission Menace sur l organisation du causant une compromission C C C C C Concurrent Employé malveillant Décision du cloud provider Employé peu sérieu Employé du peu sérieu Employé du malveillant Hébergeur/Faille dans l application Bogue logiciel Panne de matériel Décision de justice Employé du malveillant Employé malveillant Employé malveillant M14 RSX-ESP Ecoute passive d un canal informatique M8 LOG-ESP Analyse d un logiciel M6 MAT-PTE Perte d un matériel M7 LOG-USG Détournement de l usage prévu d un logiciel M14 RSX-ESP Ecoute passive d un canal informatique M23 PER-MOD Influence sur une personne M23 PER-MOD Influence sur une personne Acquisition de données par écoute passive Collecte de données au SI eternalisé Prestataire racheté par une société investissant moins dans la sécurité Serveurs du saisis par la justice Accès physique au serveurs Vol de serveur Données non effacées serveurs du et rendues accessibles Données rendues accessibles à d autres utilisateurs du cloud Changement données du portail au cloud Acquisition de données par écoute passive entre les serveurs du L employé se venge L employé se venge 4. Maimale Menace Vulnérabilités Pré-requis Vraisemblance Acquisition de données par écoute passive Serveurs du saisis par la justice Données rendues accessibles à d autres utilisateurs du cloud Collecte de données au SI eternalisé Changement données du portail au cloud Prestataire racheté par une société investissant moins dans la sécurité Données non effacées serveurs du et rendues accessibles Accès physique au serveurs Vol de serveurs Acquisition de données par écoute passive entre les serveurs du Réseau perméable Données transmises interprétables Juridiction liée à la position géographique données Mauvaise compartimentation du logiciel SI du sous-traitant mal sécurisé Faille dans l application Faille dans le portail au cloud Négligence du personnel du Manque de compétence du personnel du Négligence du personnel du Mauvais effacement données par le Manque de sécurisation datacenters Négligence du personnel du Manque de sécurisation datacenters Négligence du personnel du Négligence du personnel de sécurité du datacenter Perméabilité du réseau Données observables lors du transfert Accès à la table de routage Accès au utilisateurs Changement de juridiction dans le pays où sont situés les serveurs Ou Une entreprise tierce mène activités frauduleuses sur le cloud Ou Juridiction relative au stockage données personnelles Serveurs partagés (cloud public) ou réutilisés Accès physique ou logique au SI du sous-traitant Connaissance de l eistence du logiciel Connaissance de l eistence du portail Accès physique ou logique au portail Connaissance de l eistence du portail Fébrilité économique du Serveurs partagés ou réutilisés Accès physique au serveurs Connaissance de l eistence et de la localisation serveurs Accès physique au serveurs Connaissance de l eistence et de la localisation serveurs Possibilité de déplacer un serveur Accès à la table de routage Accès au utilisateurs L employé se venge Personne influençable ou manipulable Privilèges élevés sur l application Motivation de la vengeance 2. Significative 2. Significative 4. Maimale 2. Significative Niveau de risque avant application mesures Page 25 sur 61

Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité eistantes N 1 2 5 6 7 8 9 10 11 12 13 Thème ISO 27002 9.1 Zones sécurisée 9.1 Zones sécurisée 9.2 Sécurité du matériel 10.7 Manipulation supports 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur Mesures de sécurité eistantes Périmètre de sécurité physique Contrôle physique accès Sécurité câblage du Sécurité de la documentation système Gestion privilèges Enregistrement utilisateurs Gestion du mot de passe utilisateur Description Protéger les zones contenant informations et moyens de traitement de l information par périmètres de sécurité. Les serveurs doivent être inaccessibles par personnes non autorisées et donc dans salles hautement sécurisées. Protéger les zones sécurisées pas contrôles à l entrée adéquats pour s assurer que seul le personnel habilité soit admis. Le doit donc surveiller et contrôler les accès au datacenters et doit s assurer que le personnel de maintenance ou de support ne peut menacer la sécurité données, matériels ou logiciels. Protéger les câbles électriques ou de télécommunications transportant données contre toute interception ou dommage. La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). Restreindre et contrôler l attribution et l utilisation privilèges (gestion habilitations). Définir une procédure formelle d enregistrement et de désinscription utilisateurs tinée à accorder et à supprimer l accès au cloud ou à son administration. L attribution de mots de passe doit être réalisée dans le cadre d un processus formel. 11.3 Utilisation du mot Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de Responsabilités de passe la sélection et de l utilisation de mots de passe. utilisateurs 11.4 Contrôle Authentification au réseau administrateurs 11.4 Contrôle Authentification au utilisateurs réseau 14.1 Aspects de la sécurité de l information en matière de gestion l activité de Plan de continuité de l activité du Afin d accéder au fonctions d administration, les administrateurs doivent être authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage mots de passe, authentification à deu facteurs). L'authentification utilisateurs doit se faire de manière sécurisée par un cryptage mots de passe et une authentification à deu facteurs. Le doit fournir les garanties de continuité de l activité au travers d un plan de continuité de l activité. Ce PCA doit prendre en compte les eigences en matière de sécurité de l information, les évènements pouvant être à l origine d interruption processus métier, les mesures de restauration et de maintien de la disponibilité du système d information, ainsi que la mise à l essai dudit plan de continuité de l activité. Prévention X Récupération Bien support / du / / Niveau de risque après application mesures de sécurité eistantes Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité complémentaires N 2 Thème ISO 27002 Mesures de sécurité Description Sensibilisation, 8.2 Pendant la qualification et Le personnel doit être formé au bonnes pratiques de sécurité. Il doit durée du formations en avoir un niveau de sensibilisation pertinent pour ses fonctions. Cela passe par contrat matière de sécurité sessions de formation et missives d information concernant la sécurité. de l information Prévention Récupération Bien support Page 26 sur 61

3 4 5 6 8 10 11 12 13 14 15 16 17 18 19 20 21 22 8.2 Pendant la Procédures durée du disciplinaires contrat Mettre en place un processus disciplinaire clair pour toute ayant enfreint les règles de sécurité pour réduire les risques d influence et de corruption. Par eemple, les sanctions peuvent être précisées dans une charte définissant les engagements de responsabilités. 8.3 Fin ou Les droits d'accès de tout utilisateur ou administrateur au données et au Retrait droits modification de logiciels doivent être supprimés en fin de contrat ou doivent être modifiés en cas contrat de changement de contrat ou de responsabilités. 9.2 Sécurité du matériel 10.2 Gestion de la prestation de service par un tiers 10.2 Gestion de la prestation de service par un tiers 10.5 Sauvegarde Mise au rebut ou recyclage sécurisé du matériel Prestation de service et contrat Gestion modifications dans les services tiers Sauvegarde informations - backups informations journalisées Journal administrateur journal opérations et Rapports de défaut 11.4 Contrôle au réseau Vérifier tout le matériel contenant supports de stockage pour s assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant sa mise au rebut. Le devra préciser les mesures mises en œuvre pour assurer la mise au rebut de ses matériels. S assurer que les mesures de sécurité, les définitions du service et les niveau de prestation prévus dans l accord de prestation de service tiers sont mis en œuvre, appliqués et tenus à jour par le tiers. Notamment, le contrat de prestation de service doit inclure les éléments liés à la journalisation d évènements, au suivi du service hébergé (mise à jour, maintenances, sauvegar ), au modalités de prévention d une attaque et à la réaction suite à un incident. Gérer les changements effectués dans la prestation de service, comprenant le maintien et l amélioration politiques, procédures et mesures eistantes. Notamment, le contrat doit permettre la validation choi du lors de la mise en œuvre de nouvelles solutions logicielles ou matérielles (pour éviter la perte de sécurité). Le doit prendre toutes les mesures qui s imposent en termes de sauvegarde et de restauration pour se conformer au niveau de service eigé. Il doit notamment effectuer un double eemplaire sauvegar et doit les conserver dans locau physiquement séparés. équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. La journalisation opérations administrateurs permet de garder une trace actions administrateurs. Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. Audit de la La passerelle au cloud doit être soumise à un audit régulier (annuel) passerelle pour vérifier que les mesures de sécurité sont effectives et en adéquation avec au cloud les objectifs de sécurité. ports de diagnostic et de configuration à distance Le doit contrôler l accès physique et logique au ports de diagnostic et de configuration à distance. Pour les réseau partagés, en particulier les réseau qui s étendent au-delà 11.4 Contrôle Mesure relative à limites de l organisme du, il convient de vérifier que le au la conneion restreigne la capacité de conneion réseau utilisateurs, conformément à la réseau réseau politique de contrôle et les eigences relatives au applications de gestion. 11.4 Contrôle Contrôle au routage réseau 11.4 Contrôle Contrôle au réseau 12.3 Mesures cryptographiqu es 12.3 Mesures cryptographiqu es 12.3 Mesures cryptographiqu es 12.6 Gestion vulnérabilités techniques du routage réseau du Politique d utilisation mesures cryptographiques Chiffrement flu Gestion clés du S assurer que l organisation mette en œuvre mesures de routage réseau réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. Mesures relatives au vulnérabilités techniques S assurer que le mette en œuvre mesures de routage réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. Elaboration et mise en œuvre d une politique d utilisation mesures cryptographiques en vue de protéger l information. Par eemple, employer un logiciel de chiffrement données eternalisées. Les flu contenant informations sensibles ou à caractère personnel doivent être chiffrées. Une procédure de gestion clés doit venir à l appui de la politique de l organisme en matière de chiffrement. Le doit tenir informé l organisation (assureur) en temps voulu de toute vulnérabilité technique systèmes d information en eploitation, évaluer l eposition de l organisation audites vulnérabilités et entreprendre les actions appropriées pour traiter le risque associé. Cette démarche doit être formalisée / / / / / / / / Page 27 sur 61

23 24 25 15.1 Conformité avec eigences légales 15.1 Conformité avec eigences légales les dans le contrat de service. Le doit satisfaire les eigences de protection et de confidentialité données à caractère personnel telles que l eigent la législation ou les données et réglementations applicables. confidentialité Le transfert données à caractère personnel en dehors frontières de informations l Union européenne est réglementé par la directive européenne 95/46/CE et la loi relatives à la vie n 78-17 du 6 janvier 1978 modifiée relative à l inf ormatique, au fichiers et au privée libertés. Hébergement non mutualisé Localisation les données L hébergement doit être réalisé sur une ou plusieurs machines spécifiques (non mutualisé). Ainsi, les données de l organisation (assureur) ne risquent pas de subir les conséquences d une activité frauduleuse d un autre client du cloud. Les problèmes de compartimentation sont de plus écartés. Le doit être en mesure d indiquer la localisation données pour informer l organisation Niveau de risque après application mesures de sécurité complémentaires Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale 4.1.2 Altération données de déclaration de sinistre Scénarios décrits dans les documents (ANSSI et ENISA) Bien(s) support(s) Scénario(s) de menace Personnel et La répartition rôles entre le personnel et celui du Cloud Provider n est pas personnel du claire et provoque conflits pouvant compromettre l intégrité données. Un pirate ou un employé malveillant réalise une attaque de type Man in the Middle et Réseau du altère les données circulant sur le réseau du. Logiciel d administration du Les données de plusieurs sociétés sont stockées sur un même support : leur mauvaise séparation entraîne une altération non-intentionnelle données par un utilisateur d une autre société. N Evènement Redouté Besoin Sources de menaces Impacts Gravité Données de déclaration de sinistre ER2 Altération données Intègre Employé du peu sérieu Employé peu sérieu Hébergeur/Faille dans l application Impossibilité de remplir les obligations légales Impossibilité d assurer le traitement Perte de confiance vis-à-vis clients Non-conformité au labels de sécurité 3. Importante Résultat obtenu par le logiciel Bien support Scénarios de (SYS_AIN) (SYS_EXT) (SYS_APR) (ORG_INT) du (ORG_PRE) menace Menace sur le réseau t causant une altération Menace sur le système du causant une altération Menace sur le réseau du causant une altération Menace sur l organisation causant une altération Menace sur l organisation du causant une Critèr e I I I I I Sources de menaces Types de menace Menaces Concurrent Employé malveillant Employé du peu sérieu Employé du malveillant Hébergeur/Faille dans l application Employé du malveillant Employé peu sérieu Employé peu sérieu M13 RSX-USG Attaque du milieu sur un canal informatique M7 LOG-USG Détournement de l usage prévu d un logiciel M11 LOG-MOD Modification d un logiciel M13 RSX-USG Attaque du milieu sur un canal informatique M11 LOG-MOD Modification d un logiciel M21 PER-DEP Surcharge capacités d une personne M21 PER-DEP Surcharge capacités d une personne Attaque de type Man in the Middle Données rendues accessibles à d autres utilisateurs du cloud Attaque de type Man in the Middle Changement données du portail au cloud Mauvaise répartition rôles entre le personnel et le personnel du Mauvaise répartition rôles entre le personnel et le personnel du Vraisembla nce 1. Minime 1. Minime Page 28 sur 61

altération Menace Vulnérabilités Pré-requis Vraisemblance Attaque de type Man in the Middle Données rendues accessibles à d autres utilisateurs du cloud Changement données du portail au cloud Mauvaise répartition rôles entre le personnel et le personnel du Possibilité de falsification du service appelé Routage altérable Mauvaise compartimentation du logiciel Données du portail modifiables Données du portail accessibles avec les droits adéquats Manque de compétence du personnel Négligence du personnel Accès à la table de routage Accès au utilisateurs Serveurs partagés (cloud public) ou réutilisés Accès physique ou logique au portail Connaissance de l eistence du portail Partage de l administration entre le personnel et le personnel du 2. Significative 1. Minime Niveau de risque avant application mesures Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité eistantes N 1 2 5 6 7 8 9 10 11 12 13 Thème ISO 27002 9.1 Zones sécurisée 9.1 Zones sécurisée 9.2 Sécurité du matériel 10.7 Manipulation supports 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur Mesures de sécurité eistantes Périmètre de sécurité physique Contrôle physique accès Sécurité câblage du Sécurité de la documentation système Gestion privilèges Enregistrement utilisateurs Gestion du mot de passe utilisateur Description Protéger les zones contenant informations et moyens de traitement de l information par périmètres de sécurité. Les serveurs doivent être inaccessibles par personnes non autorisées et donc dans salles hautement sécurisées. Protéger les zones sécurisées pas contrôles à l entrée adéquats pour s assurer que seul le personnel habilité soit admis. Le doit donc surveiller et contrôler les accès au datacenters et doit s assurer que le personnel de maintenance ou de support ne peut menacer la sécurité données, matériels ou logiciels. Protéger les câbles électriques ou de télécommunications transportant données contre toute interception ou dommage. La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). Restreindre et contrôler l attribution et l utilisation privilèges (gestion habilitations). Définir une procédure formelle d enregistrement et de désinscription utilisateurs tinée à accorder et à supprimer l accès au cloud ou à son administration. L attribution de mots de passe doit être réalisée dans le cadre d un processus formel. 11.3 Utilisation du mot Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de Responsabilités de passe la sélection et de l utilisation de mots de passe. utilisateurs 11.4 Contrôle Authentification au réseau administrateurs 11.4 Contrôle Authentification au utilisateurs réseau 14.1 Aspects de la sécurité de l information en matière de gestion l activité de Plan de continuité de l activité du Afin d accéder au fonctions d administration, les administrateurs doivent être authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage mots de passe, authentification à deu facteurs). L'authentification utilisateurs doit se faire de manière sécurisée par un cryptage mots de passe et une authentification à deu facteurs. Le doit fournir les garanties de continuité de l activité au travers d un plan de continuité de l activité. Ce PCA doit prendre en compte les eigences en matière de sécurité de l information, les évènements pouvant être à l origine d interruption processus métier, les mesures de restauration et de maintien de la disponibilité du système d information, ainsi que la mise à l essai dudit plan de continuité de l activité. Prévention X Récupération Bien support / du / / Niveau de risque après application mesures de sécurité eistantes Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Page 29 sur 61

Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité complémentaires N 1 2 3 4 6 10 11 12 13 14 15 16 17 18 19 Thème ISO 27002 6.1 Mesures de sécurité Description Attribution Il convient de définir clairement toutes les responsabilités en matière de sécurité responsabilités en de l information. La répartition responsabilités entre le personnel et le matière de sécurité personnel du doit être formalisée et respectée. de l information Sensibilisation, 8.2 Pendant la qualification et Le personnel doit être formé au bonnes pratiques de sécurité. Il doit durée du formations en avoir un niveau de sensibilisation pertinent pour ses fonctions. Cela passe par contrat matière de sécurité sessions de formation et missives d information concernant la sécurité. de l information 8.2 Pendant la Procédures durée du disciplinaires contrat Mettre en place un processus disciplinaire clair pour toute ayant enfreint les règles de sécurité pour réduire les risques d influence et de corruption. Par eemple, les sanctions peuvent être précisées dans une charte définissant les engagements de responsabilités. 8.3 Fin ou Les droits d'accès de tout utilisateur ou administrateur au données et au Retrait droits modification de logiciels doivent être supprimés en fin de contrat ou doivent être modifiés en cas contrat de changement de contrat ou de responsabilités. 10.2 Gestion de la prestation de service par un tiers 10.5 Sauvegarde Prestation de service et contrat S assurer que les mesures de sécurité, les définitions du service et les niveau de prestation prévus dans l accord de prestation de service tiers sont mis en œuvre, appliqués et tenus à jour par le tiers. Notamment, le contrat de prestation de service doit inclure les éléments liés à la journalisation d évènements, au suivi du service hébergé (mise à jour, maintenances, sauvegar ), au modalités de prévention d une attaque et à la réaction suite à un incident. Le doit prendre toutes les mesures qui s imposent en termes de Sauvegarde sauvegarde et de restauration pour se conformer au niveau de service eigé. Il informations - doit notamment effectuer un double eemplaire sauvegar et doit les backups conserver dans locau physiquement séparés. informations journalisées Journal administrateur journal opérations et Rapports de défaut 11.4 Contrôle au réseau équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. La journalisation opérations administrateurs permet de garder une trace actions administrateurs. Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. Audit de la La passerelle au cloud doit être soumise à un audit régulier (annuel) passerelle pour vérifier que les mesures de sécurité sont effectives et en adéquation avec au cloud les objectifs de sécurité. ports de diagnostic et de configuration à distance Le doit contrôler l accès physique et logique au ports de diagnostic et de configuration à distance. Pour les réseau partagés, en particulier les réseau qui s étendent au-delà 11.4 Contrôle Mesure relative à limites de l organisme du, il convient de vérifier que le au la conneion restreigne la capacité de conneion réseau utilisateurs, conformément à la réseau réseau politique de contrôle et les eigences relatives au applications de gestion. 11.4 Contrôle Contrôle au routage réseau 11.4 Contrôle Contrôle au réseau 12.3 Mesures cryptographiqu du routage réseau du Politique d utilisation du S assurer que l organisation mette en œuvre mesures de routage réseau réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. S assurer que le mette en œuvre mesures de routage réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. Elaboration et mise en œuvre d une politique d utilisation mesures cryptographiques en vue de protéger l information. Par eemple, employer un Prévention Récupération Bien support / eterne / / / / / / / Page 30 sur 61

20 21 22 23 24 es 12.3 Mesures cryptographiqu es 12.3 Mesures cryptographiqu es 12.6 Gestion vulnérabilités techniques 15.1 Conformité avec eigences légales les mesures cryptographiques Chiffrement flu Gestion clés Mesures relatives au vulnérabilités techniques logiciel de chiffrement données eternalisées. Les flu contenant informations sensibles ou à caractère personnel doivent être chiffrées. Une procédure de gestion clés doit venir à l appui de la politique de l organisme en matière de chiffrement. Le doit tenir informé l organisation (assureur) en temps voulu de toute vulnérabilité technique systèmes d information en eploitation, évaluer l eposition de l organisation audites vulnérabilités et entreprendre les actions appropriées pour traiter le risque associé. Cette démarche doit être formalisée dans le contrat de service. Le doit satisfaire les eigences de protection et de confidentialité données à caractère personnel telles que l eigent la législation ou les données et réglementations applicables. confidentialité Le transfert données à caractère personnel en dehors frontières de informations l Union européenne est réglementé par la directive européenne 95/46/CE et la loi relatives à la vie n 78-17 du 6 janvier 1978 modifiée relative à l inf ormatique, au fichiers et au privée libertés. Hébergement non mutualisé L hébergement doit être réalisé sur une ou plusieurs machines spécifiques (non mutualisé). Ainsi, les données de l organisation (assureur) ne risquent pas de subir les conséquences d une activité frauduleuse d un autre client du cloud. Les problèmes de compartimentation sont de plus écartés. / Niveau de risque après application mesures de sécurité complémentaires Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Page 31 sur 61

4.1.3 Indisponibilité données de déclaration de sinistre Scénarios décrits dans les documents (ANSSI et ENISA) Bien(s) support(s) Scénario(s) de menace Réseau Une entreprise tierce mène activités frauduleuses au sein du même cloud et conduit t au blocage d un lot d adresses IP incluant celles d entreprises innocentes. Une entreprise tierce mène activités frauduleuses au sein du même cloud et conduit Serveurs du à la confiscation serveurs par la Justice. Les données étant localisées dans différents pays, un changement de juridiction dans Serveurs du l un de ces pays peut entrainer la confiscation serveurs par la Justice. L administrateur du cloud efface de manière non délibérée tout ou partie données Logiciel d administration du stockées sur les serveurs. Logiciel d administration du Serveurs du Logiciel d administration du Logiciel d administration du Personnel et personnel du Logiciel d administration du Serveurs du L administrateur du cloud efface de manière délibérée tout ou partie données stockées sur les serveurs. Crash d un serveur du cloud. Un bogue logiciel entraîne la perte de tout ou partie données. Une personne non autorisée accède au fonctionnalités d administration du cloud et efface délibérément tout ou partie données. Un pirate utilise les techniques de «social engineering» pour effacer données. Les données de plusieurs sociétés sont stockées sur un même support : leur mauvaise séparation entraîne une perte de données lors de l effacement d autres données. Une catastrophe naturelle détruit tout ou partie données. N Evènement Redouté Besoin Sources de menaces Impacts Gravité Données de déclaration de sinistre ER3 Indisponibilité données 24h Employé du peu sérieu Employé du malveillant Hébergeur/Faille dans l application Entreprise tierce Changement de juridiction Panne de serveur Bogue logiciel Catastrophe naturelle Impossibilité d assurer le traitement Perte de confiance vis-à-vis clients 2. Limitée Résultat obtenu par le logiciel Bien support Scénarios de menace (SYS_AIN) Menace sur le réseau t causant une indisponibilité (SYS_EXT) Menace sur le système du causant une indisponibilité Critèr e D D Sources de menaces Types de menace Menaces Entreprise tierce Concurrent Employé malveillant Panne de réseau Employé du peu sérieu Employé du malveillant Décision du cloud provider Concurrent Hébergeur/Faille dans l application Décision de justice Panne de matériel Bogue logiciel M15 RSX-DEP Saturation du canal informatique M16 RSX-DET Dégradation d un canal informatique M9 LOG-DEP Dépassement limites d un logiciel M12 LOG-PTE Disparition d un logiciel M6 MAT-PTE Perte d un matériel M7 LOG-USG Détournement de l usage prévu d un logiciel M4 MAT-PTE Blocage d un lot d adresses IP Occupation de la bande passante (déni de service) Rupture du canal au cloud Sureploitation du système du Cessation d activité du Serveurs du saisis par la justice Perte ou effacement données Changement données du portail au cloud Vraisembla nce 4. Maimale Page 32 sur 61

(SYS_APR) (ORG_INT) du (ORG_PRE) Menace sur le réseau du causant une indisponibilité Menace sur l organisation causant une indisponibilité Menace sur l organisation du causant une indisponibilité D D D Catastrophe naturelle Employé du malveillant Panne de réseau Employé peu sérieu Employé du peu sérieu Détérioration d un matériel M11 LOG-MOD Modification d un logiciel M15 RSX-DEP Saturation du canal informatique M16 RSX-DET Dégradation d un canal informatique M23 PER-MOD Influence sur une personne M23 PER-MOD Influence sur une personne Perte de liaison entre les serveurs du Collecte de données au SI eternalisé Suppression données par le personnel sous influence d un pirate Collecte de données au SI eternalisé Suppression données par le personnel sous influence d un pirate 2. Significativ e 2. Significativ e Menace Vulnérabilités Pré-requis Vraisemblance Blocage d un lot d adresses IP Occupation de la bande passante (déni de service) Rupture du canal au cloud Sureploitation du système du Possibilité d être impliqué dans les activités frauduleuses d une entreprise tierce sur le cloud Réseau au cloud unique Dimensionnement insuffisant de la bande passante Réseau au cloud unique Dimensionnement insuffisant de la bande passante Manque de compétence du personnel du Négligence du personnel du Serveurs partagés (cloud public) Accès à la table de routage Accès au utilisateurs Contrôle insuffisant du matériel Accès physique au réseau Ressources allouées par le insuffisantes Cessation d activité du Portabilité données non assurée Fébrilité économique du Serveurs du saisis par la justice Perte ou effacement données Changement données du portail au cloud Perte de liaison entre les serveurs du Collecte de données au SI eternalisé Juridiction liée à la position géographique données Données accessibles avec les droits adéquats Matériel peu fiable Matériel inapproprié au conditions d utilisation Datacenter mal protégé contre les catastrophes naturelles Mauvaise compartimentation du logiciel Données du portail modifiables Données du portail accessibles avec les droits adéquats Réseau au cloud unique Dimensionnement insuffisant de la bande passante Personne influençable ou manipulable Changement de juridiction dans le pays où sont situés les serveurs Ou Une entreprise tierce mène activités frauduleuses sur le cloud Ou Juridiction relative au stockage données personnelles Privilèges élevés sur l application Ou Contrôle insuffisant du matériel Ou Bogue dans le logiciel utilisé Ou Datacenter dans une zone à risque de catastrophes naturelles Ou Serveurs partagés (cloud public) Accès physique ou logique au portail Connaissance de l eistence du portail Accès à la table de routage Accès au utilisateurs Etablissement d une relation avec la personne 2. Significative 4. Maimale 1. Minime 2. Significative 2. Significative 2. Significative Suppression données par le personnel sous influence d un pirate Personne influençable ou manipulable Etablissement d une relation avec la personne 2. Significative Niveau de risque avant application mesures Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité eistantes Page 33 sur 61

N 1 2 3 4 5 6 7 8 9 10 11 12 13 Thème ISO 27002 9.1 Zones sécurisée 9.1 Zones sécurisée 9.1 Zones sécurisée 9.2 Sécurité du matériel 9.2 Sécurité du matériel 10.7 Manipulation supports 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur Mesures de sécurité eistantes Périmètre de sécurité physique Contrôle physique accès contre les menaces etérieures et environnementales Services générau Sécurité câblage du Sécurité de la documentation système Gestion privilèges Enregistrement utilisateurs Gestion du mot de passe utilisateur Description Protéger les zones contenant informations et moyens de traitement de l information par périmètres de sécurité. Les serveurs doivent être inaccessibles par personnes non autorisées et donc dans salles hautement sécurisées. Protéger les zones sécurisées pas contrôles à l entrée adéquats pour s assurer que seul le personnel habilité soit admis. Le doit donc surveiller et contrôler les accès au datacenters et doit s assurer que le personnel de maintenance ou de support ne peut menacer la sécurité données, matériels ou logiciels. Concevoir et appliquer mesures de protection physiques contre les dommages causés par les incendies, les inondations, les tremblements de terre, les eplosions, les troubles civils et autres formes de catastrophes naturelles ou de sinistre provoqués par l homme. Les datacenters du devront satisfaire les eigences de sécurité liées à la protection physique serveurs. Protéger le matériel coupures de courant et autres perturbations dues à une défaillance de services générau. Protéger les câbles électriques ou de télécommunications transportant données contre toute interception ou dommage. La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). Restreindre et contrôler l attribution et l utilisation privilèges (gestion habilitations). Définir une procédure formelle d enregistrement et de désinscription utilisateurs tinée à accorder et à supprimer l accès au cloud ou à son administration. L attribution de mots de passe doit être réalisée dans le cadre d un processus formel. 11.3 Utilisation du mot Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de Responsabilités de passe la sélection et de l utilisation de mots de passe. utilisateurs 11.4 Contrôle Authentification au réseau administrateurs 11.4 Contrôle Authentification au utilisateurs réseau 14.1 Aspects de la sécurité de l information en matière de gestion l activité de Plan de continuité de l activité du Afin d accéder au fonctions d administration, les administrateurs doivent être authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage mots de passe, authentification à deu facteurs). L'authentification utilisateurs doit se faire de manière sécurisée par un cryptage mots de passe et une authentification à deu facteurs. Le doit fournir les garanties de continuité de l activité au travers d un plan de continuité de l activité. Ce PCA doit prendre en compte les eigences en matière de sécurité de l information, les évènements pouvant être à l origine d interruption processus métier, les mesures de restauration et de maintien de la disponibilité du système d information, ainsi que la mise à l essai dudit plan de continuité de l activité. Prévention X X Récupération Bien support / du / / Niveau de risque après application mesures de sécurité eistantes Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité complémentaires N 2 Thème ISO 27002 Mesures de sécurité Description Sensibilisation, 8.2 Pendant la qualification et Le personnel doit être formé au bonnes pratiques de sécurité. Il doit durée du formations en avoir un niveau de sensibilisation pertinent pour ses fonctions. Cela passe par contrat matière de sécurité sessions de formation et missives d information concernant la sécurité. de l information Prévention Récupération Bien support 3 8.2 Pendant la Procédures Mettre en place un processus disciplinaire clair pour toute ayant enfreint les Page 34 sur 61

4 6 7 8 9 10 11 12 13 14 15 16 17 18 22 24 durée contrat du disciplinaires règles de sécurité pour réduire les risques d influence et de corruption. Par eemple, les sanctions peuvent être précisées dans une charte définissant les engagements de responsabilités. 8.3 Fin ou Les droits d'accès de tout utilisateur ou administrateur au données et au Retrait droits modification de logiciels doivent être supprimés en fin de contrat ou doivent être modifiés en cas contrat de changement de contrat ou de responsabilités. 10.2 Gestion de la prestation de service par un tiers Prestation de service et contrat 10.2 Gestion de Clause la prestation de contractuelle service par un restitution tiers données 10.2 Gestion de la prestation de service par un tiers Gestion modifications dans les services tiers 10.3 Planification et Dimensionnement acceptation du système 10.5 Sauvegarde S assurer que les mesures de sécurité, les définitions du service et les niveau de prestation prévus dans l accord de prestation de service tiers sont mis en œuvre, appliqués et tenus à jour par le tiers. Notamment, le contrat de prestation de service doit inclure les éléments liés à la journalisation d évènements, au suivi du service hébergé (mise à jour, maintenances, sauvegar ), au modalités de prévention d une attaque et à la réaction suite à un incident. Le contrat de prestation de service doit préciser les conditions de restitution de données (conditions, délais, formats) pour permettre le rapatriement données ou le changement de sans interruption de service. Gérer les changements effectués dans la prestation de service, comprenant le maintien et l amélioration politiques, procédures et mesures eistantes. Notamment, le contrat doit permettre la validation choi du lors de la mise en œuvre de nouvelles solutions logicielles ou matérielles (pour éviter la perte de sécurité). Les ressources doivent correspondre au besoins. Il est nécessaire de faire projections et tests de performance pour connaître les limites du système et pouvoir anticiper toute surcharge. Ainsi, le doit s assurer que les ressources allouées au différents utilisateurs du service sont suffisantes pour couvrir les besoins. Le doit prendre toutes les mesures qui s imposent en termes de Sauvegarde sauvegarde et de restauration pour se conformer au niveau de service eigé. Il informations - doit notamment effectuer un double eemplaire sauvegar et doit les backups conserver dans locau physiquement séparés. informations journalisées Journal administrateur journal opérations et Rapports de défaut 11.4 Contrôle au réseau équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. La journalisation opérations administrateurs permet de garder une trace actions administrateurs. Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. Audit de la La passerelle au cloud doit être soumise à un audit régulier (annuel) passerelle pour vérifier que les mesures de sécurité sont effectives et en adéquation avec au cloud les objectifs de sécurité. ports de diagnostic et de configuration à distance Le doit contrôler l accès physique et logique au ports de diagnostic et de configuration à distance. Pour les réseau partagés, en particulier les réseau qui s étendent au-delà 11.4 Contrôle Mesure relative à limites de l organisme du, il convient de vérifier que le au la conneion restreigne la capacité de conneion réseau utilisateurs, conformément à la réseau réseau politique de contrôle et les eigences relatives au applications de gestion. 11.4 Contrôle Contrôle au routage réseau 11.4 Contrôle Contrôle au réseau 12.6 Gestion vulnérabilités techniques du routage réseau du Mesures relatives au vulnérabilités techniques Hébergement non mutualisé du S assurer que l organisation mette en œuvre mesures de routage réseau réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. S assurer que le mette en œuvre mesures de routage réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. Le doit tenir informé l organisation (assureur) en temps voulu de toute vulnérabilité technique systèmes d information en eploitation, évaluer l eposition de l organisation audites vulnérabilités et entreprendre les actions appropriées pour traiter le risque associé. Cette démarche doit être formalisée dans le contrat de service. L hébergement doit être réalisé sur une ou plusieurs machines spécifiques (non mutualisé). Ainsi, les données de l organisation (assureur) ne risquent pas de subir les conséquences d une activité frauduleuse d un autre client du cloud. Les problèmes de compartimentation sont de plus écartés. / / / / / / / / / Page 35 sur 61

25 15.1 Conformité avec eigences légales Localisation les données Le doit être en mesure d indiquer la localisation données pour informer l organisation Niveau de risque après application mesures de sécurité complémentaires Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Page 36 sur 61

4.1.4 Divulgation données de sécurité Scénarios décrits dans les documents (ANSSI et ENISA) Bien(s) support(s) Scénario(s) de menace Un pirate récupère les données du portail permettant un accès à tout le Portail système N Evènement Redouté Besoin Sources de menaces Impacts Gravité Données de sécurité ER4 Divulgation données de sécurité Privé Mise en péril du système d information eternalisé Impossibilité de remplir les obligations légales Non-conformité au labels de sécurité Perte de notoriété Perte de confiance vis-à-vis clients Chute de valeur en bourse 4. Critique Résultat obtenu par le logiciel Bien support Scénarios de (SYS_AIN) (SYS_APR) (ORG_INT) du (ORG_PRE) menace Menace sur le réseau t causant une compromission Menace sur le réseau du causant une compromission Menace sur l organisation causant une compromission Menace sur l organisation du causant une compromission Critèr e C C C C Sources de menaces Types de menace Menaces Concurrent Employé malveillant Employé du malveillant Employé malveillant Employé malveillant M14 RSX-ESP Ecoute passive d un canal informatique M14 RSX-ESP Ecoute passive d un canal informatique M23 PER-MOD Influence sur une personne M23 PER-MOD Influence sur une personne Acquisition de données par écoute passive Acquisition de données par écoute passive entre les serveurs du L employé se venge L employé se venge Vraisembla nce Menace Vulnérabilités Pré-requis Vraisemblance Acquisition de données par écoute passive Réseau perméable Données transmises interprétables Accès à la table de routage Accès au utilisateurs Acquisition de données par écoute Perméabilité du réseau Accès à la table de routage passive entre les serveurs du Données observables lors du transfert Accès au utilisateurs L employé se venge Personne influençable ou manipulable Privilèges élevés sur l application Motivation de la vengeance Niveau de risque avant application mesures Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité eistantes N 1 2 Thème ISO 27002 9.1 Zones sécurisée 9.1 Zones sécurisée Mesures de sécurité eistantes Périmètre de sécurité physique Contrôle physique accès Description Protéger les zones contenant informations et moyens de traitement de l information par périmètres de sécurité. Les serveurs doivent être inaccessibles par personnes non autorisées et donc dans salles hautement sécurisées. Protéger les zones sécurisées pas contrôles à l entrée adéquats pour s assurer que seul le personnel habilité soit admis. Le doit donc Prévention X Récupération Bien support Page 37 sur 61

surveiller et contrôler les accès au datacenters et doit s assurer que le personnel de maintenance ou de support ne peut menacer la sécurité données, matériels ou logiciels. 5 6 7 8 9 10 11 12 9.2 Sécurité du matériel 10.7 Manipulation supports 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur Sécurité câblage du Sécurité de la documentation système Gestion privilèges Enregistrement utilisateurs Gestion du mot de passe utilisateur Protéger les câbles électriques ou de télécommunications transportant données contre toute interception ou dommage. La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). Restreindre et contrôler l attribution et l utilisation privilèges (gestion habilitations). Définir une procédure formelle d enregistrement et de désinscription utilisateurs tinée à accorder et à supprimer l accès au cloud ou à son administration. L attribution de mots de passe doit être réalisée dans le cadre d un processus formel. 11.3 Utilisation du mot Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de Responsabilités de passe la sélection et de l utilisation de mots de passe. utilisateurs 11.4 Contrôle Authentification au réseau administrateurs 11.4 Contrôle Authentification au utilisateurs réseau Afin d accéder au fonctions d administration, les administrateurs doivent être authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage mots de passe, authentification à deu facteurs). L'authentification utilisateurs doit se faire de manière sécurisée par un cryptage mots de passe et une authentification à deu facteurs. / du / / Niveau de risque après application mesures de sécurité eistantes Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité complémentaires N 2 3 4 8 10 11 12 Thème ISO 27002 Mesures de sécurité Description Sensibilisation, 8.2 Pendant la qualification et Le personnel doit être formé au bonnes pratiques de sécurité. Il doit durée du formations en avoir un niveau de sensibilisation pertinent pour ses fonctions. Cela passe par contrat matière de sécurité sessions de formation et missives d information concernant la sécurité. de l information 8.2 Pendant la Procédures durée du disciplinaires contrat Mettre en place un processus disciplinaire clair pour toute ayant enfreint les règles de sécurité pour réduire les risques d influence et de corruption. Par eemple, les sanctions peuvent être précisées dans une charte définissant les engagements de responsabilités. 8.3 Fin ou Les droits d'accès de tout utilisateur ou administrateur au données et au Retrait droits modification de logiciels doivent être supprimés en fin de contrat ou doivent être modifiés en cas contrat de changement de contrat ou de responsabilités. 10.2 Gestion de la prestation de service par un tiers 10.5 Sauvegarde Gestion modifications dans les services tiers Gérer les changements effectués dans la prestation de service, comprenant le maintien et l amélioration politiques, procédures et mesures eistantes. Notamment, le contrat doit permettre la validation choi du lors de la mise en œuvre de nouvelles solutions logicielles ou matérielles (pour éviter la perte de sécurité). Le doit prendre toutes les mesures qui s imposent en termes de Sauvegarde sauvegarde et de restauration pour se conformer au niveau de service eigé. Il informations - doit notamment effectuer un double eemplaire sauvegar et doit les backups conserver dans locau physiquement séparés. informations journalisées Journal administrateur journal opérations et équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. La journalisation opérations administrateurs permet de garder une trace actions administrateurs. Prévention Récupération Bien support / / / / Page 38 sur 61

13 Rapports de défaut Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. / / 14 15 16 17 18 20 21 22 23 11.4 Contrôle au réseau Audit de la La passerelle au cloud doit être soumise à un audit régulier (annuel) passerelle pour vérifier que les mesures de sécurité sont effectives et en adéquation avec au cloud les objectifs de sécurité. ports de diagnostic et de configuration à distance Le doit contrôler l accès physique et logique au ports de diagnostic et de configuration à distance. Pour les réseau partagés, en particulier les réseau qui s étendent au-delà 11.4 Contrôle Mesure relative à limites de l organisme du, il convient de vérifier que le au la conneion restreigne la capacité de conneion réseau utilisateurs, conformément à la réseau réseau politique de contrôle et les eigences relatives au applications de gestion. 11.4 Contrôle Contrôle au routage réseau 11.4 Contrôle Contrôle au réseau 12.3 Mesures cryptographiqu es 12.3 Mesures cryptographiqu es 12.6 Gestion vulnérabilités techniques 15.1 Conformité avec eigences légales les du routage réseau du Chiffrement flu Gestion clés du S assurer que l organisation mette en œuvre mesures de routage réseau réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. Mesures relatives au vulnérabilités techniques S assurer que le mette en œuvre mesures de routage réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. Les flu contenant informations sensibles ou à caractère personnel doivent être chiffrées. Une procédure de gestion clés doit venir à l appui de la politique de l organisme en matière de chiffrement. Le doit tenir informé l organisation (assureur) en temps voulu de toute vulnérabilité technique systèmes d information en eploitation, évaluer l eposition de l organisation audites vulnérabilités et entreprendre les actions appropriées pour traiter le risque associé. Cette démarche doit être formalisée dans le contrat de service. Le doit satisfaire les eigences de protection et de confidentialité données à caractère personnel telles que l eigent la législation ou les données et réglementations applicables. confidentialité Le transfert données à caractère personnel en dehors frontières de informations l Union européenne est réglementé par la directive européenne 95/46/CE et la loi relatives à la vie n 78-17 du 6 janvier 1978 modifiée relative à l inf ormatique, au fichiers et au privée libertés. / / Niveau de risque après application mesures de sécurité complémentaires Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Page 39 sur 61

4.1.5 Altération données de sécurité Scénarios décrits dans les documents (ANSSI et ENISA) Bien(s) support(s) Scénario(s) de menace Un administrateur fonctionnel ou un pirate modifie le référentiel identités et Portail droits pour permettre l accès au système à personnes non autorisées. N Evènement Redouté Besoin Sources de menaces Impacts Gravité Données de sécurité ER5 Altération données de sécurité Intègre Employé peu sérieu Employé malveillant Perte de contrôle sur le système d information eternalisé Impossibilité d assurer le traitement 3. Importante Résultat obtenu par le logiciel Bien support Scénarios de (SYS_AIN) (SYS_APR) (ORG_INT) du (ORG_PRE) menace Menace sur le réseau t causant une altération Menace sur le réseau du causant une altération Menace sur l organisation causant une altération Menace sur l organisation du causant une altération Critèr e I I I I Sources de menaces Types de menace Menaces Concurrent Employé malveillant Employé du malveillant Employé peu sérieu Employé peu sérieu M13 RSX-USG Attaque du milieu sur un canal informatique M13 RSX-USG Attaque du milieu sur un canal informatique M11 LOG-MOD Modification d un logiciel M21 PER-DEP Surcharge capacités d une personne M21 PER-DEP Surcharge capacités d une personne Attaque de type Man in the Middle Attaque de type Man in the Middle Changement données du portail au cloud Mauvaise répartition rôles entre le personnel et le personnel du Mauvaise répartition rôles entre le personnel et le personnel du Vraisembla nce 1. Minime 1. Minime Menace Vulnérabilités Pré-requis Vraisemblance Attaque de type Man in the Middle Changement données du portail au cloud Mauvaise répartition rôles entre le personnel et le personnel du Possibilité de falsification du service appelé Routage altérable Données du portail modifiables Données du portail accessibles avec les droits adéquats Manque de compétence du personnel Négligence du personnel Accès à la table de routage Accès au utilisateurs Accès physique ou logique au portail Connaissance de l eistence du portail Partage de l administration entre le personnel et le personnel du 1. Minime Niveau de risque avant application mesures Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité eistantes N 1 2 Thème ISO 27002 9.1 Zones sécurisée 9.1 Zones sécurisée Mesures de sécurité eistantes Périmètre de sécurité physique Contrôle physique accès Description Protéger les zones contenant informations et moyens de traitement de l information par périmètres de sécurité. Les serveurs doivent être inaccessibles par personnes non autorisées et donc dans salles hautement sécurisées. Protéger les zones sécurisées pas contrôles à l entrée adéquats pour s assurer que seul le personnel habilité soit admis. Le doit donc surveiller et contrôler les accès au datacenters et doit s assurer que le personnel de maintenance ou de support ne peut menacer la sécurité Prévention X Récupération Bien support Page 40 sur 61

données, matériels ou logiciels. 5 6 7 8 9 10 11 12 9.2 Sécurité du matériel 10.7 Manipulation supports 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur Sécurité câblage du Sécurité de la documentation système Gestion privilèges Enregistrement utilisateurs Gestion du mot de passe utilisateur Protéger les câbles électriques ou de télécommunications transportant données contre toute interception ou dommage. La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). Restreindre et contrôler l attribution et l utilisation privilèges (gestion habilitations). Définir une procédure formelle d enregistrement et de désinscription utilisateurs tinée à accorder et à supprimer l accès au cloud ou à son administration. L attribution de mots de passe doit être réalisée dans le cadre d un processus formel. 11.3 Utilisation du mot Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de Responsabilités de passe la sélection et de l utilisation de mots de passe. utilisateurs 11.4 Contrôle Authentification au réseau administrateurs 11.4 Contrôle Authentification au utilisateurs réseau Afin d accéder au fonctions d administration, les administrateurs doivent être authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage mots de passe, authentification à deu facteurs). L'authentification utilisateurs doit se faire de manière sécurisée par un cryptage mots de passe et une authentification à deu facteurs. / du / / Niveau de risque après application mesures de sécurité eistantes Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité complémentaires N 1 2 3 11 12 13 Thème ISO 27002 6.1 Mesures de sécurité Description Attribution Il convient de définir clairement toutes les responsabilités en matière de sécurité responsabilités en de l information. La répartition responsabilités entre le personnel et le matière de sécurité personnel du doit être formalisée et respectée. de l information Sensibilisation, 8.2 Pendant la qualification et Le personnel doit être formé au bonnes pratiques de sécurité. Il doit durée du formations en avoir un niveau de sensibilisation pertinent pour ses fonctions. Cela passe par contrat matière de sécurité sessions de formation et missives d information concernant la sécurité. de l information 8.2 Pendant la Procédures durée du disciplinaires contrat informations journalisées Journal administrateur journal opérations et Rapports de défaut Mettre en place un processus disciplinaire clair pour toute ayant enfreint les règles de sécurité pour réduire les risques d influence et de corruption. Par eemple, les sanctions peuvent être précisées dans une charte définissant les engagements de responsabilités. équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. La journalisation opérations administrateurs permet de garder une trace actions administrateurs. Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. Prévention Récupération Bien support / eterne / / / / / / Page 41 sur 61

14 15 16 17 18 20 21 11.4 Contrôle au réseau Audit de la La passerelle au cloud doit être soumise à un audit régulier (annuel) passerelle pour vérifier que les mesures de sécurité sont effectives et en adéquation avec au cloud les objectifs de sécurité. ports de diagnostic et de configuration à distance Le doit contrôler l accès physique et logique au ports de diagnostic et de configuration à distance. Pour les réseau partagés, en particulier les réseau qui s étendent au-delà 11.4 Contrôle Mesure relative à limites de l organisme du, il convient de vérifier que le au la conneion restreigne la capacité de conneion réseau utilisateurs, conformément à la réseau réseau politique de contrôle et les eigences relatives au applications de gestion. 11.4 Contrôle Contrôle au routage réseau 11.4 Contrôle Contrôle au réseau 12.3 Mesures cryptographiqu es 12.3 Mesures cryptographiqu es du routage réseau du Chiffrement flu Gestion clés du S assurer que l organisation mette en œuvre mesures de routage réseau réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. S assurer que le mette en œuvre mesures de routage réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. Les flu contenant informations sensibles ou à caractère personnel doivent être chiffrées. Une procédure de gestion clés doit venir à l appui de la politique de l organisme en matière de chiffrement. / / Niveau de risque après application mesures de sécurité complémentaires Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Page 42 sur 61

4.1.6 Indisponibilité données de sécurité Scénarios décrits dans les documents (ANSSI et ENISA) Bien(s) support(s) Scénario(s) de menace Un pirate ou un employé voulant se venger compromet les mécanismes au Portail cloud tels que les référentiels d identité ou les clés de chiffrement N Evènement Redouté Besoin Sources de menaces Impacts Gravité Données de sécurité Indisponibilité données ER6 de sécurité 48h Employé malveillant Perte de contrôle sur le système d information eternalisé 2. Limitée Résultat obtenu par le logiciel Bien support Scénarios de menace (SYS_AIN) Menace sur le réseau t causant une indisponibilité (SYS_APR) (ORG_INT) du (ORG_PRE) Menace sur le réseau du causant une indisponibilité Menace sur l organisation causant une indisponibilité Menace sur l organisation du causant une indisponibilité Critèr e D D D D Sources de menaces Types de menace Menaces Entreprise tierce Concurrent Employé malveillant Panne de réseau Employé du malveillant Panne de réseau Employé peu sérieu Employé du peu sérieu M15 RSX-DEP Saturation du canal informatique M16 RSX-DET Dégradation d un canal informatique M15 RSX-DEP Saturation du canal informatique M16 RSX-DET Dégradation d un canal informatique M23 PER-MOD Influence sur une personne M23 PER-MOD Influence sur une personne Blocage d un lot d adresses IP Occupation de la bande passante (déni de service) Rupture du canal au cloud Perte de liaison entre les serveurs du Collecte de données au SI eternalisé Suppression données par le personnel sous influence d un pirate Collecte de données au SI eternalisé Suppression données par le personnel sous influence d un pirate Vraisembla nce 4. Maimale 2. Significativ e 2. Significativ e Menace Vulnérabilités Pré-requis Vraisemblance Blocage d un lot d adresses IP Occupation de la bande passante (déni de service) Rupture du canal au cloud Perte de liaison entre les serveurs du Collecte de données au SI eternalisé Possibilité d être impliqué dans les activités frauduleuses d une entreprise tierce sur le cloud Réseau au cloud unique Dimensionnement insuffisant de la bande passante Réseau au cloud unique Dimensionnement insuffisant de la bande passante Réseau au cloud unique Dimensionnement insuffisant de la bande passante Personne influençable ou manipulable Serveurs partagés (cloud public) Accès à la table de routage Accès au utilisateurs Contrôle insuffisant du matériel Accès physique au réseau Accès à la table de routage Accès au utilisateurs Etablissement d une relation avec la personne 2. Significative 4. Maimale 2. Significative Suppression données par le personnel sous influence d un pirate Personne influençable ou manipulable Etablissement d une relation avec la personne 2. Significative Niveau de risque avant application mesures Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité eistantes Page 43 sur 61

N 1 2 4 5 6 7 8 9 10 11 12 13 Thème ISO 27002 9.1 Zones sécurisée 9.1 Zones sécurisée 9.2 Sécurité du matériel 9.2 Sécurité du matériel 10.7 Manipulation supports 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur Mesures de sécurité eistantes Périmètre de sécurité physique Contrôle physique accès Services générau Sécurité câblage du Sécurité de la documentation système Gestion privilèges Enregistrement utilisateurs Gestion du mot de passe utilisateur Description Protéger les zones contenant informations et moyens de traitement de l information par périmètres de sécurité. Les serveurs doivent être inaccessibles par personnes non autorisées et donc dans salles hautement sécurisées. Protéger les zones sécurisées pas contrôles à l entrée adéquats pour s assurer que seul le personnel habilité soit admis. Le doit donc surveiller et contrôler les accès au datacenters et doit s assurer que le personnel de maintenance ou de support ne peut menacer la sécurité données, matériels ou logiciels. Protéger le matériel coupures de courant et autres perturbations dues à une défaillance de services générau. Protéger les câbles électriques ou de télécommunications transportant données contre toute interception ou dommage. La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). Restreindre et contrôler l attribution et l utilisation privilèges (gestion habilitations). Définir une procédure formelle d enregistrement et de désinscription utilisateurs tinée à accorder et à supprimer l accès au cloud ou à son administration. L attribution de mots de passe doit être réalisée dans le cadre d un processus formel. 11.3 Utilisation du mot Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de Responsabilités de passe la sélection et de l utilisation de mots de passe. utilisateurs 11.4 Contrôle Authentification au réseau administrateurs 11.4 Contrôle Authentification au utilisateurs réseau 14.1 Aspects de la sécurité de l information en matière de gestion l activité de Plan de continuité de l activité du Afin d accéder au fonctions d administration, les administrateurs doivent être authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage mots de passe, authentification à deu facteurs). L'authentification utilisateurs doit se faire de manière sécurisée par un cryptage mots de passe et une authentification à deu facteurs. Le doit fournir les garanties de continuité de l activité au travers d un plan de continuité de l activité. Ce PCA doit prendre en compte les eigences en matière de sécurité de l information, les évènements pouvant être à l origine d interruption processus métier, les mesures de restauration et de maintien de la disponibilité du système d information, ainsi que la mise à l essai dudit plan de continuité de l activité. Prévention X Récupération Bien support / du / / Niveau de risque après application mesures de sécurité eistantes Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité complémentaires N 2 3 4 Thème ISO 27002 Mesures de sécurité Description Sensibilisation, 8.2 Pendant la qualification et Le personnel doit être formé au bonnes pratiques de sécurité. Il doit durée du formations en avoir un niveau de sensibilisation pertinent pour ses fonctions. Cela passe par contrat matière de sécurité sessions de formation et missives d information concernant la sécurité. de l information 8.2 Pendant la Procédures durée du disciplinaires contrat Mettre en place un processus disciplinaire clair pour toute ayant enfreint les règles de sécurité pour réduire les risques d influence et de corruption. Par eemple, les sanctions peuvent être précisées dans une charte définissant les engagements de responsabilités. 8.3 Fin ou Retrait droits Les droits d'accès de tout utilisateur ou administrateur au données et au modification de logiciels doivent être supprimés en fin de contrat ou doivent être modifiés en cas Prévention Récupération Bien support Page 44 sur 61

contrat de changement de contrat ou de responsabilités. 6 8 9 10 11 12 13 14 15 16 17 18 22 24 25 10.2 Gestion de la prestation de service par un tiers 10.2 Gestion de la prestation de service par un tiers Prestation de service et contrat Gestion modifications dans les services tiers 10.3 Planification et Dimensionnement acceptation du système 10.5 Sauvegarde S assurer que les mesures de sécurité, les définitions du service et les niveau de prestation prévus dans l accord de prestation de service tiers sont mis en œuvre, appliqués et tenus à jour par le tiers. Notamment, le contrat de prestation de service doit inclure les éléments liés à la journalisation d évènements, au suivi du service hébergé (mise à jour, maintenances, sauvegar ), au modalités de prévention d une attaque et à la réaction suite à un incident. Gérer les changements effectués dans la prestation de service, comprenant le maintien et l amélioration politiques, procédures et mesures eistantes. Notamment, le contrat doit permettre la validation choi du lors de la mise en œuvre de nouvelles solutions logicielles ou matérielles (pour éviter la perte de sécurité). Les ressources doivent correspondre au besoins. Il est nécessaire de faire projections et tests de performance pour connaître les limites du système et pouvoir anticiper toute surcharge. Ainsi, le doit s assurer que les ressources allouées au différents utilisateurs du service sont suffisantes pour couvrir les besoins. Le doit prendre toutes les mesures qui s imposent en termes de Sauvegarde sauvegarde et de restauration pour se conformer au niveau de service eigé. Il informations - doit notamment effectuer un double eemplaire sauvegar et doit les backups conserver dans locau physiquement séparés. informations journalisées Journal administrateur journal opérations et Rapports de défaut 11.4 Contrôle au réseau équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. La journalisation opérations administrateurs permet de garder une trace actions administrateurs. Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. Audit de la La passerelle au cloud doit être soumise à un audit régulier (annuel) passerelle pour vérifier que les mesures de sécurité sont effectives et en adéquation avec au cloud les objectifs de sécurité. ports de diagnostic et de configuration à distance Le doit contrôler l accès physique et logique au ports de diagnostic et de configuration à distance. Pour les réseau partagés, en particulier les réseau qui s étendent au-delà 11.4 Contrôle Mesure relative à limites de l organisme du, il convient de vérifier que le au la conneion restreigne la capacité de conneion réseau utilisateurs, conformément à la réseau réseau politique de contrôle et les eigences relatives au applications de gestion. 11.4 Contrôle Contrôle au routage réseau 11.4 Contrôle Contrôle au réseau 12.6 Gestion vulnérabilités techniques 15.1 Conformité avec eigences légales du routage réseau du Mesures relatives au vulnérabilités techniques Hébergement non mutualisé Localisation les données du S assurer que l organisation mette en œuvre mesures de routage réseau réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. S assurer que le mette en œuvre mesures de routage réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. Le doit tenir informé l organisation (assureur) en temps voulu de toute vulnérabilité technique systèmes d information en eploitation, évaluer l eposition de l organisation audites vulnérabilités et entreprendre les actions appropriées pour traiter le risque associé. Cette démarche doit être formalisée dans le contrat de service. L hébergement doit être réalisé sur une ou plusieurs machines spécifiques (non mutualisé). Ainsi, les données de l organisation (assureur) ne risquent pas de subir les conséquences d une activité frauduleuse d un autre client du cloud. Les problèmes de compartimentation sont de plus écartés. Le doit être en mesure d indiquer la localisation données pour informer l organisation / / / / / / / / / Niveau de risque après application mesures de sécurité complémentaires Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Page 45 sur 61

Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Page 46 sur 61

4.1.7 Divulgation de la fonction de traitement données de déclaration de sinistre La divulgation de la fonction de traitement est considérée comme insignifiante dans le contete de cette étude. Le risque n est donc pas considéré. N Evènement Redouté Besoin Sources de menaces Impacts Gravité Traitement données ER7 Divulgation de la fonction de traitement Réservé Employé malveillant Employé du malveillant Perte d un avantage concurrentiel 0. Insignifiant Page 47 sur 61

4.1.8 Dysfonctionnement de la fonction de traitement données de déclaration de sinistre L altération de la fonction de traitement est considérée comme insignifiante dans le contete de cette étude. Le risque n est donc pas considéré. N Evènement Redouté Besoin Sources de menaces Impacts Gravité Traitement données ER8 Altération de la fonction de traitement Intègre Employé malveillant Employé du malveillant Traitement données non valide Perte de confiance vis-à-vis clients Perte de notoriété Perte de crédibilité 0. Insignifiant Page 48 sur 61

4.1.9 Arrêt de la fonction de traitement données de déclaration de sinistre Scénarios décrits dans les documents (ANSSI et ENISA) Bien(s) support(s) Scénario(s) de menace Logiciel d administration du Réseau du Réseau du Logiciel d administration du Réseau t Réseau t Le Cloud Provider a mal estimé les ressources à allouer et provoque une indisponibilité du système d information. Une panne dans le réseau du empêche l accès au cloud. Un employé malveillant provoque une perte de liaison entre les serveurs du et empêche l accès au cloud. Le Cloud Provider fait faillite alors que la portabilité données, applications et services n est pas assurée. Un pirate, un concurrent ou un employé souhaitant se venger provoque un déni de service empêchant l accès au cloud. Une panne de réseau empêche l accès au cloud. N Evènement Redouté Besoin Sources de menaces Impacts Gravité Traitement données ER9 Indisponibilité de la fonction de traitement 24h Mauvaise gestion du Concurrent Employé malveillant Panne de réseau Impossibilité d assurer le traitement Perte de confiance vis-à-vis clients Perte de notoriété 3. Importante Résultat obtenu par le logiciel Bien support Scénarios de (SYS_EXT) menace Menace sur le système du causant une indisponibilité Critèr e D Sources de menaces Types de menace Menaces Employé du peu sérieu Employé du malveillant Décision du cloud provider Concurrent Hébergeur/Faille dans l application Décision de justice Panne de matériel Bogue logiciel Catastrophe naturelle M9 LOG-DEP Dépassement limites d un logiciel M12 LOG-PTE Disparition d un logiciel M6 MAT-PTE Perte d un matériel M7 LOG-USG Détournement de l usage prévu d un logiciel M4 MAT-PTE Détérioration d un matériel M11 LOG-MOD Modification d un logiciel Sureploitation du système du Cessation d activité du Serveurs du saisis par la justice Perte ou effacement données Changement données du portail au cloud Vraisembla nce Menace Vulnérabilités Pré-requis Vraisemblance Sureploitation du système du Manque de compétence du personnel du Négligence du personnel du Ressources allouées par le insuffisantes Cessation d activité du Portabilité données non assurée Fébrilité économique du Serveurs du saisis par la justice Perte ou effacement données Juridiction liée à la position géographique données Données accessibles avec les droits adéquats Matériel peu fiable Matériel inapproprié au conditions d utilisation Changement de juridiction dans le pays où sont situés les serveurs Ou Une entreprise tierce mène activités frauduleuses sur le cloud Ou Juridiction relative au stockage données personnelles Privilèges élevés sur l application Ou Contrôle insuffisant du matériel Ou Bogue dans le logiciel utilisé 1. Minime 2. Significative 2. Significative Page 49 sur 61

Changement données du portail au cloud Datacenter mal protégé contre les catastrophes naturelles Mauvaise compartimentation du logiciel Données du portail modifiables Données du portail accessibles avec les droits adéquats Ou Datacenter dans une zone à risque de catastrophes naturelles Ou Serveurs partagés (cloud public) Accès physique ou logique au portail Connaissance de l eistence du portail Niveau de risque avant application mesures Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité eistantes N 1 2 3 4 5 6 7 8 9 10 11 12 13 Thème ISO 27002 9.1 Zones sécurisée 9.1 Zones sécurisée 9.1 Zones sécurisée 9.2 Sécurité du matériel 9.2 Sécurité du matériel 10.7 Manipulation supports 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur 11.2 Gestion de l accès utilisateur Mesures de sécurité eistantes Périmètre de sécurité physique Contrôle physique accès contre les menaces etérieures et environnementales Services générau Sécurité câblage du Sécurité de la documentation système Gestion privilèges Enregistrement utilisateurs Gestion du mot de passe utilisateur Description Protéger les zones contenant informations et moyens de traitement de l information par périmètres de sécurité. Les serveurs doivent être inaccessibles par personnes non autorisées et donc dans salles hautement sécurisées. Protéger les zones sécurisées pas contrôles à l entrée adéquats pour s assurer que seul le personnel habilité soit admis. Le doit donc surveiller et contrôler les accès au datacenters et doit s assurer que le personnel de maintenance ou de support ne peut menacer la sécurité données, matériels ou logiciels. Concevoir et appliquer mesures de protection physiques contre les dommages causés par les incendies, les inondations, les tremblements de terre, les eplosions, les troubles civils et autres formes de catastrophes naturelles ou de sinistre provoqués par l homme. Les datacenters du devront satisfaire les eigences de sécurité liées à la protection physique serveurs. Protéger le matériel coupures de courant et autres perturbations dues à une défaillance de services générau. Protéger les câbles électriques ou de télécommunications transportant données contre toute interception ou dommage. La documentation décrivant l ensemble du système doit être gardée avec un niveau de sécurité suffisant pour ne pas permettre à personnes malveillantes d avoir une connaissance poussée de l architecture (mesures de «diffusion restreinte» systématiques). Restreindre et contrôler l attribution et l utilisation privilèges (gestion habilitations). Définir une procédure formelle d enregistrement et de désinscription utilisateurs tinée à accorder et à supprimer l accès au cloud ou à son administration. L attribution de mots de passe doit être réalisée dans le cadre d un processus formel. 11.3 Utilisation du mot Demander au utilisateurs de respecter les bonnes pratiques de sécurité lors de Responsabilités de passe la sélection et de l utilisation de mots de passe. utilisateurs 11.4 Contrôle Authentification au réseau administrateurs 11.4 Contrôle Authentification au utilisateurs réseau 14.1 Aspects de la sécurité de l information en matière de gestion l activité de Plan de continuité de l activité du Afin d accéder au fonctions d administration, les administrateurs doivent être authentifiés. L'authentification doit se faire de manière sécurisée (chiffrage mots de passe, authentification à deu facteurs). L'authentification utilisateurs doit se faire de manière sécurisée par un cryptage mots de passe et une authentification à deu facteurs. Le doit fournir les garanties de continuité de l activité au travers d un plan de continuité de l activité. Ce PCA doit prendre en compte les eigences en matière de sécurité de l information, les évènements pouvant être à l origine d interruption processus métier, les mesures de restauration et de maintien de la disponibilité du système d information, ainsi que la mise à l essai dudit plan de continuité de l activité. Prévention X X Récupération Bien support / du / / Niveau de risque après application mesures de sécurité eistantes Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Page 50 sur 61

Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Mesures de sécurité complémentaires N 2 3 4 6 7 9 10 11 12 13 22 24 25 Thème ISO 27002 Mesures de sécurité Description Sensibilisation, 8.2 Pendant la qualification et Le personnel doit être formé au bonnes pratiques de sécurité. Il doit durée du formations en avoir un niveau de sensibilisation pertinent pour ses fonctions. Cela passe par contrat matière de sécurité sessions de formation et missives d information concernant la sécurité. de l information 8.2 Pendant la Procédures durée du disciplinaires contrat Mettre en place un processus disciplinaire clair pour toute ayant enfreint les règles de sécurité pour réduire les risques d influence et de corruption. Par eemple, les sanctions peuvent être précisées dans une charte définissant les engagements de responsabilités. 8.3 Fin ou Les droits d'accès de tout utilisateur ou administrateur au données et au Retrait droits modification de logiciels doivent être supprimés en fin de contrat ou doivent être modifiés en cas contrat de changement de contrat ou de responsabilités. 10.2 Gestion de la prestation de service par un tiers Prestation de service et contrat 10.2 Gestion de Clause la prestation de contractuelle service par un restitution tiers données 10.3 Planification et Dimensionnement acceptation du système 10.5 Sauvegarde 12.6 Gestion vulnérabilités techniques 15.1 Conformité avec eigences légales S assurer que les mesures de sécurité, les définitions du service et les niveau de prestation prévus dans l accord de prestation de service tiers sont mis en œuvre, appliqués et tenus à jour par le tiers. Notamment, le contrat de prestation de service doit inclure les éléments liés à la journalisation d évènements, au suivi du service hébergé (mise à jour, maintenances, sauvegar ), au modalités de prévention d une attaque et à la réaction suite à un incident. Le contrat de prestation de service doit préciser les conditions de restitution de données (conditions, délais, formats) pour permettre le rapatriement données ou le changement de sans interruption de service. Les ressources doivent correspondre au besoins. Il est nécessaire de faire projections et tests de performance pour connaître les limites du système et pouvoir anticiper toute surcharge. Ainsi, le doit s assurer que les ressources allouées au différents utilisateurs du service sont suffisantes pour couvrir les besoins. Le doit prendre toutes les mesures qui s imposent en termes de Sauvegarde sauvegarde et de restauration pour se conformer au niveau de service eigé. Il informations - doit notamment effectuer un double eemplaire sauvegar et doit les backups conserver dans locau physiquement séparés. informations journalisées Journal administrateur journal opérations et Rapports de défaut Mesures relatives au vulnérabilités techniques Hébergement non mutualisé Localisation les données équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. La journalisation opérations administrateurs permet de garder une trace actions administrateurs. Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. Le doit tenir informé l organisation (assureur) en temps voulu de toute vulnérabilité technique systèmes d information en eploitation, évaluer l eposition de l organisation audites vulnérabilités et entreprendre les actions appropriées pour traiter le risque associé. Cette démarche doit être formalisée dans le contrat de service. L hébergement doit être réalisé sur une ou plusieurs machines spécifiques (non mutualisé). Ainsi, les données de l organisation (assureur) ne risquent pas de subir les conséquences d une activité frauduleuse d un autre client du cloud. Les problèmes de compartimentation sont de plus écartés. Le doit être en mesure d indiquer la localisation données pour informer l organisation Prévention Récupération Bien support / / / / / / / / Page 51 sur 61

Niveau de risque après application mesures de sécurité complémentaires Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Page 52 sur 61

4.2 Identification objectifs de sécurité L assureur décide de réduire tous les risques jugés comme significatifs ou intolérables. Tous les risques ont au moins le niveau de gravité significatif et ils seront donc tous réduits. Le tableau suivant présente les objectifs de sécurité identifiés : Risque Evitement Réduction Prise Transfert Divulgation données de déclaration de sinistre Altération données de déclaration de sinistre Indisponibilité données de déclaration de sinistre Divulgation données de sécurité Altération données de sécurité Indisponibilité données de sécurité Indisponibilité de la fonction de traitement données de déclaration de sinistre Page 53 sur 61

4.3 Identification risques résiduels A l issue de l identification objectifs de sécurité, l organisation a mis en évidence les risques résiduels suivants : Risques résiduels Gravité Vraisemblance Divulgation données de déclaration de sinistre 2. Significatif 2. Significatif Altération données de déclaration de sinistre 2. Significatif 2. Significatif Indisponibilité données de déclaration de sinistre Divulgation données de sécurité 2. Significatif 2. Significatif Altération données de sécurité 2. Significatif 2. Significatif Indisponibilité données de sécurité 2. Significatif Indisponibilité de la fonction de traitement données de déclaration de sinistre Page 54 sur 61

5 Module 5 - Étude mesures de sécurité 5.1 Définition mesures de sécurité N Thème ISO 27002 Mesure de sécurité Description Prévention Récupération Bien support 1 6.1 2 3 4 8.2 Pendant la durée du contrat 8.2 Pendant la durée du contrat 8.3 Fin ou modification de contrat 5 9.2 Sécurité du matériel 6 10.2 Gestion de la prestation de service par un tiers Il convient de définir clairement toutes les responsabilités en matière de Attribution responsabilités sécurité de l information. La répartition responsabilités entre le en matière de sécurité de personnel et le personnel du doit être formalisée et l information respectée. Sensibilisation, qualification et formations en matière de sécurité de l information Procédures disciplinaires Retrait droits Mise au rebut ou recyclage sécurisé du matériel Prestation de service et contrat Le personnel doit être formé au bonnes pratiques de sécurité. Il doit avoir un niveau de sensibilisation pertinent pour ses fonctions. Cela passe par sessions de formation et missives d information concernant la sécurité. Mettre en place un processus disciplinaire clair pour toute ayant enfreint les règles de sécurité pour réduire les risques d influence et de corruption. Par eemple, les sanctions peuvent être précisées dans une charte définissant les engagements de responsabilités. Les droits d'accès de tout utilisateur ou administrateur au données et au logiciels doivent être supprimés en fin de contrat ou doivent être modifiés en cas de changement de contrat ou de responsabilités. Vérifier tout le matériel contenant supports de stockage pour s assurer que toute donnée sensible a bien été supprimée et que tout logiciel sous licence a bien été désinstallé ou écrasé de façon sécurisée, avant sa mise au rebut. Le devra préciser les mesures mises en œuvre pour assurer la mise au rebut de ses matériels. S assurer que les mesures de sécurité, les définitions du service et les niveau de prestation prévus dans l accord de prestation de service tiers sont mis en œuvre, appliqués et tenus à jour par le tiers. Notamment, le contrat de prestation de service doit inclure les éléments liés à la journalisation d évènements, au suivi du service hébergé (mise à jour, maintenances, sauvegar ), au modalités de prévention / eterne Page 55 sur 61

d une attaque et à la réaction suite à un incident. 7 8 9 10.2 Gestion de la prestation de service par un tiers 10.2 Gestion de la prestation de service par un tiers 10.3 Planification et acceptation du système 10 10.5 Sauvegarde 11 12 Clause contractuelle de restitution données Gestion modifications dans les services tiers Dimensionnement Sauvegarde informations - backups informations journalisées Journal administrateur et journal opérations 13 Rapports de défaut 14 15 11.4 Contrôle au réseau Audit de la passerelle au cloud Le contrat de prestation de service doit préciser les conditions de restitution données (conditions, délais, formats) pour permettre le rapatriement données ou le changement de sans interruption de service. Gérer les changements effectués dans la prestation de service, comprenant le maintien et l amélioration politiques, procédures et mesures eistantes. Notamment, le contrat doit permettre la validation choi du lors de la mise en œuvre de nouvelles solutions logicielles ou matérielles (pour éviter la perte de sécurité). Les ressources doivent correspondre au besoins. Il est nécessaire de faire projections et tests de performance pour connaître les limites du système et pouvoir anticiper toute surcharge. Ainsi, le doit s assurer que les ressources allouées au différents utilisateurs du service sont suffisantes pour couvrir les besoins. Le doit prendre toutes les mesures qui s imposent en termes de sauvegarde et de restauration pour se conformer au niveau de service eigé. Il doit notamment effectuer un double eemplaire sauvegar et doit les conserver dans locau physiquement séparés. équipements de journalisation et les informations journalisées contre le sabotage et les accès non autorisés. Analyser les journau à l aide d un logiciel de contrôle de l intégrité fichiers ou de détection modifications pour s assurer que les données contenues dans les journau ne peuvent pas être modifiées sans entraîner le déclenchement d une alerte. La journalisation opérations administrateurs permet de garder une trace actions administrateurs. Journaliser et analyser les éventuels défauts et prendre les mesures appropriées. La passerelle au cloud doit être soumise à un audit régulier (annuel) pour vérifier que les mesures de sécurité sont effectives et en adéquation avec les objectifs de sécurité. ports de Le doit contrôler l accès physique et logique au ports de diagnostic et de configuration à diagnostic et de configuration à distance. distance / / du / / du / / du / / du / Page 56 sur 61

du 16 17 18 19 20 21 22 23 11.4 Contrôle au réseau 11.4 Contrôle au réseau 11.4 Contrôle au réseau 12.3 Mesures cryptographiques 12.3 Mesures cryptographiques 12.3 Mesures cryptographiques 12.6 Gestion vulnérabilités techniques 15.1 Conformité avec les eigences légales Mesure relative à la conneion réseau Contrôle du routage réseau Contrôle du routage réseau du Politique d utilisation mesures cryptographiques Chiffrement flu Gestion clés Mesures relatives au vulnérabilités techniques données et confidentialité informations relatives à la vie privée 24 Hébergement non mutualisé 25 15.1 Conformité avec les eigences légales Localisation données Pour les réseau partagés, en particulier les réseau qui s étendent audelà limites de l organisme du, il convient de vérifier que le restreigne la capacité de conneion réseau utilisateurs, conformément à la politique de contrôle et les eigences relatives au applications de gestion. S assurer que l organisation mette en œuvre mesures de routage réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. S assurer que le mette en œuvre mesures de routage réseau afin d éviter que les conneions réseau et les flu d informations ne portent atteinte à la politique de contrôle applications de gestion. Elaboration et mise en œuvre d une politique d utilisation mesures cryptographiques en vue de protéger l information. Par eemple, employer un logiciel de chiffrement données eternalisées. Les flu contenant informations sensibles ou à caractère personnel doivent être chiffrées. Une procédure de gestion clés doit venir à l appui de la politique de l organisme en matière de chiffrement. Le doit tenir informé l organisation (assureur) en temps voulu de toute vulnérabilité technique systèmes d information en eploitation, évaluer l eposition de l organisation audites vulnérabilités et entreprendre les actions appropriées pour traiter le risque associé. Cette démarche doit être formalisée dans le contrat de service. Le doit satisfaire les eigences de protection et de confidentialité données à caractère personnel telles que l eigent la législation ou les réglementations applicables. Le transfert données à caractère personnel en dehors frontières de l Union européenne est réglementé par la directive européenne 95/46/CE et la loi n 78-17 du 6 janvier 1978 modifiée relative à l informatique, au fichiers et au libertés. L hébergement doit être réalisé sur une ou plusieurs machines spécifiques (non mutualisé). Ainsi, les données de l organisation (assureur) ne risquent pas de subir les conséquences d une activité frauduleuse d un autre client du cloud. Les problèmes de compartimentation sont de plus écartés. Le doit être en mesure d indiquer la localisation données pour informer l organisation du du / Page 57 sur 61

5.2 Analyse risque résiduels Divulgation données de déclaration de sinistre Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Altération données de déclaration de sinistre Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Indisponibilité données de déclaration de sinistre Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Divulgation données de sécurité Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Altération données de sécurité Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Indisponibilité données de sécurité Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Vraisemblance 1. Minime 2. Significative 4. Maimale Arrêt de la fonction de traitement données de déclaration de sinistre Niveau de risque 1. Négligeable 2. Limité 3. Significatif 4. Intolérable Gravité 1. Négligeable 2. Limitée 3. Importante 4. Critique Page 58 sur 61

Vraisemblance 1. Minime 2. Significative 4. Maimale 5.3 Déclaration d applicabilité Ce point sera à complété avec le logiciel. 5.4 Mise en œuvre mesures de sécurité Ce point sera à complété avec le logiciel. Page 59 sur 61

Formulaire de recueil de commentaires Ce formulaire peut être envoyé à l'adresse suivante : Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité systèmes d'information Sous-direction assistance, conseil et epertise Bureau assistance et conseil 51 boulevard de La Tour-Maubourg 75700 PARIS 07 SP ebios@ssi.gouv.fr Identification de la contribution Nom et organisme (facultatif) :... Adresse électronique :... Date :... Remarques générales sur le document Le document répond-il à vos besoins? Oui Non Si oui : Si non : Pensez-vous qu'il puisse être amélioré dans son fond? Oui Non Si oui : Qu'auriez-vous souhaité y trouver d'autre?...... Quelles parties du document vous paraissent-elles inutiles ou mal adaptées?...... Pensez-vous qu'il puisse être amélioré dans sa forme? Oui Non Si oui : Dans quel domaine peut-on l'améliorer? - lisibilité, compréhension - présentation - autre Précisez vos souhaits quant à la forme :...... Précisez le domaine pour lequel il ne vous convient pas et définissez ce qui vous aurait convenu :...... Quels autres sujets souhaiteriez-vous voir traiter?...... Page 60 sur 61

Remarques particulières sur le document Des commentaires détaillés peuvent être formulés à l'aide du tableau suivant. "N " indique un numéro d'ordre. "Type" est composé de deu lettres : La première lettre précise la catégorie de remarque : - O Faute d'orthographe ou de grammaire - E Manque d'eplications ou de clarification d'un point eistant - I Tete incomplet ou manquant - R Erreur La seconde lettre précise son caractère : - m mineur - M Majeur "Référence" indique la localisation précise dans le tete (numéro de paragraphe, ligne ). "Énoncé de la remarque" permet de formaliser le commentaire. "Solution proposée" permet de soumettre le moyen de résoudre le problème énoncé. N Type Référence Énoncé de la remarque Solution proposée 1 2 3 4 5 Merci de votre contribution Page 61 sur 61