Analyse Et Gestion Des Risques Informationnels PDF
Analyse Et Gestion Des Risques Informationnels PDF
Analyse Et Gestion Des Risques Informationnels PDF
SUPPORT DANALYSE DES RISQUES INFORMATIONNELS SUR LE RESEAU DE LADMINISTRATION GABONAISE RAG
Page 1
SOMMAIRE
Prambule 1. PERCEPTION ET CONCEPTS DE GESTION DES RISQUES INFORMATIONNELS 2. EVALUATION ET HIERARCHISATION DES RISQUES INFORMATIONNELS 3. METHODOLOGIE DEVALUATION DES MENACES ET DES RISQUES 4. ELEMENTS A RISQUE DU RAG
Page 2
Prambule :
Dans une organisation, telle que lANINF, outre dfinir et mettre en uvre des politiques de scurit ; il est ncessaire dune part, de matriser les risques technologiques et plus particulirement les risques informationnels. Dautre part, il est impratif de contribuer amliorer la performance des processus mtier. Pour ce faire, il convient daborder la scurit du patrimoine informationnel de lANINF (Infrastructures de communication, systmes dinformation, ) laide dapproches bases sur les risques informationnels. Ceci, avec pour objectif de rduire les pertes et les indisponibilits lies aux faiblesses de scurit de ce patrimoine. Ainsi, entre autres la ncessit dune analyse desdits risques simpose de fait. Ceci pour : Identifier les risques et les menaces : une ncessit avant denvisager toutes contre-mesures. Toutes les menaces possibles sur le patrimoine informationnel est prendre en compte. Classer les risques informationnels. Chiffrer les risques informationnels : ritrer le calcul des risques aprs linstallation des contre-mesures. Concevoir des parades (contre-mesures).
Page 3
Il ya une diffrence entre la ralit vraie et la ralit telle que nous individus nous la percevons. En gnral, il existe deux (2) approches dans la gestion des risques : Approche scientifique, base sur : o Principes scientifiques o Analyse o Donnes probantes o Donnes historiques (Registre dincidents et/ou dintervention, Journaux systme (Fichiers LOG), ) Approche non scientifique, base sur : o Exprience o Intuition
Page 4
MENACE
Panne dlectricit Vol
SOURCES SCIENTIFIQUES
Fournisseur dnergie lectrique (SEEG,) et les prestataires de service lectrique Registre des incidents Systme comptable et financier Gestionnaire de stock Fournisseurs daccs (Orange, ACE, Gabon Tlcom,)
Du point de vue culturel, nos perceptions qui proviennent de notre exprience varient en fonction de notre appartenance diffrents groupes sociaux. Ainsi, le risque : Dpend de celui qui le peroit. Une perception qui varie selon les groupes et les individus. Est un construit social : on sentend sur ce qui est acceptable ou non. Est construit, tant par les experts que par les non-spcialistes : tout le monde contribue.
Page 5
1.2.
La gestion des risques se compose de trois (3) blocs interdpendants : a. Lorganisation cible de ltude dfinie par ses assets et ses besoins en scurit. Notez que les assets sont dfinis comme tant lensemble des biens, actifs, ressources ayant de la valeur pour lorganisation et ncessaires son bon fonctionnement. b. Les risques pesant sur ces assets . c. Les mesures prises ayant pour but de traiter les risques et par consquent dassurer un certain niveau de scurit.
La gestion des risques entoure trois (3) procds : - La reconnaissance des menaces, - Leur ordonnancement, - La mobilisation des ressources.
Page 6
Le risque et la prise de risque font partie intgrante de la vie de lorganisation et de son dveloppement. La scurit tant dfinie comme labsence de risques inacceptables et a pour but de protger le patrimoine informationnel. Cela suppose de : - Dfinir le cadre de gestion des risques informationnels. Celui-ci est compos de : o Une description dactivits organisationnelles spcifiques, o Des dfinitions des processus de gestion du risque et de leur place dans lorganisation, o Les processus de gestion du risque et leur ordonnancement.
Page 7
Dfinir la criticit du risque. Connatre lexistence ou non (relle ou pas) du risque. Prparer les mtriques. Identifier les biens du patrimoine informationnel.
En gnral, le risque se dfinit comme suit : - Cest leffet de lincertitude sur les objectifs (Norme ISO 31000). - Cest la combinaison de la probabilit dun vnement et de ses consquences : combinaison dune menace et des pertes quelle peut engendrer.
Page 8
Le risque informationnel est li au patrimoine informationnel concourant la gestion efficiente et au bon fonctionnement des infrastructures de communication et des systmes dinformation de lorganisation. Pour quun risque existe, il faut la combinaison des lments suivants : a. Elments risque ( assets ) : font partie du patrimoine informationnel et reprsente nimporte quoi qui a de la valeur pour nous, en fonction dun concept de nature conomique qui est lutilit attendue. Ainsi, on sintresse la valeur des assets en fonction de lutilit que cet lment a pour lorganisation. Pour chacun deux, on voit sil ya la possibilit quil yait un ala . b. Alas ou menaces : Cest un vnement ou une squence dvnement (Panne dlectricit) susceptible de rduire lutilit attendue dun lment risque. On pourrait lappeler : Impact (financier ou une perte de rputation de lorganisation) ou dommage (technologique). Ainsi, le dommage est un vnement susceptible de rduire lutilit attendue qui est un concept facile grer. Pour que l ala puisse causer un dommage, un troisime lment doit entrer en jeu. c. Vulnrabilits ou failles de scurit : Cest quelque chose qui peut tre exploite. Cest une faiblesse ou une faille dans un systme informatique (composant matriel et logiciel). Par exemple, les plus connues sont : le dpassement de tampon, linjection SQL, le cross site scripting,
Page 9
Page 10
2.1.
La grille de criticit :
Pour dterminer la hirarchie des rponses apporter, il est utile de se servir d'une grille d'analyse. Grille de gravit : GRAVITE
G1 G2 G3 G4 S
LIBELLE ET CONSEQUENCE
Dfaillance mineure Sans effet Dfaillance moyenne Dgradation du fonctionnement Dfaillance importante Perte du fonctionnement Problme de scurit des personnes ou dommage matriel important Perte de vie humaine
Page 11
LIBELLE
Dfaillance pratiquement inexistante (1 fois tous les 5 ans) Dfaillance rarement apparue (1 fois par an) Dfaillance apparue occasionnellement (1 fois par trimestre) Dfaillance apparue frquemment (au moins 1 fois par mois)
Matrice de criticit :
F4 F3 F2 F1 Etude complmentaire Etude complmentaire NC NC G1 C Etude complmentaire NC NC G2 C C Etude complmentaire NC G3 C C C Etude complmentaire G4 C C C C S
Page 12
Page 13
C. PHASE DEVALUATION DES MENACES : a. Sources de donnes sur les menaces. b. Liste des menaces. c. Paramtres des menaces. d. Tableau dvaluation des menaces. D. PHASE DEVALUATION DES VULNERABILITES : a. Sources de donnes des vulnrabilits. b. Liste des vulnrabilits. c. Paramtres des vulnrabilits. d. Tableau dvaluation des vulnrabilits. E. PHASE DE CALCUL DES RISQUES RESIDUELS : a. Tableau des risques rsiduels. b. Liste des risques rsiduels valus.
Page 14
F. PHASE DE PRESENTATION DES RECOMMANDATIONS : a. Sources de donnes sur les mesures de protection. b. Liste des mesures de protection. c. Slection des mesures de protection potentielles. d. Calcul de la rentabilit des mesures de protection. e. Tableau des recommandations. f. Plan du rapport dEMR. g. Rapport dEMR.
Page 15
Page 16
ELEMENT A RISQUE
FIBRE OPTIQUE CHAMBRE DE RACCORDEMENT & BOTIER ETANCHE DEPISSURES CHAMBRE DE TIRAGE FOURREAUX
RISQUE
COUPEE DETERIOREE DETRUITE INONDEE DETRUITE INONDEE BOUCHES COUPES DETERIORES INONDES
MENACE
Travaux de gnie civil (excavatrice) Vieillissement Travaux de gnie civil (excavatrice) Prsence deau et de boue Travaux de gnie civil (excavatrice) Prsence deau et de boue Dpt de boue Travaux de gnie civil (excavatrice) Vieillissement Prsence deau et de boue
Page 17
REMEDES :
o RISQUE :
o o o o o
SOLUTION :
OUTILS :
Motopompe, quipements dentretien et de nettoyage. Motopompe, quipements dentretien et de nettoyage. Socit de service avec un contrat de maintenance. Socit de service avec un contrat de maintenance. Socit de service avec un contrat de maintenance.
BOUCHER Entretien systmatique et rgulier. INONDER Entretien systmatique et rgulier. COUPER Remplacement (Fibre optique & Fourreaux) DETRUIRE Reconstruction (Chambres) DETERIORER Remplacement (Fibre optique & Fourreaux)
Page 18
4.2.
Page 19
4.2.1. Le centre de donnes (NDC/NOC), les points de prsence (POPs), les locaux techniques sur les sites administratifs et leurs contenus :
MENACE
Incendie
CONSEQUENCES
Indisponibilit des quipements. Destruction des quipements. Indisponibilit partielle ou totale du rseau.
PARADES
Prvision dun systme de dtection et de protection contre lincendie, avec un retour dalarme vers un poste permanent. Vrification priodique de lefficacit des quipements. Affichage des consignes de scurit en cas dincendie. Affichage des consignes de scurit spcifiques. Information et formation aux moyens de secours du personnel amen travailler dans les locaux techniques. Prvision dun systme de prvention (sonde hygromtrique) avec remonte dalarme vers un poste permanent. Prvision de systme dvacuation deau. Prvision dun systme permettant la coupure automatique de llectricit. Prvision dune tude pralable du risque des eaux. Prvision dune alimentation de secours (groupe lectrogne) et stabilise (onduleur (UPS)). Schma de cblage.
Indisponibilit des quipements. Destruction des quipements. Indisponibilit partielle ou totale du rseau.
Panne lectrique
Indisponibilit et/ou destruction partielle ou totale des quipements. Dysfonctionnement des quipements.
Page 20
au
Indisponibilit des quipements. Dysfonctionnement des quipements d la poussire, la temprature, lhygromtrie et les vibrations.
Erreur de manipulation
Intrusion
Dtrioration physique des quipements et/ou du local. Dconnexion, dbranchement ou inversion de cble. Pose de sonde dcoute. Dysfonctionnement des quipements et/ou du rseau. Vol de matriel. Piratage informatique. Vol ou manipulation de donnes.
Prvision dune tude dimplantation. Prvision de moyens de dtection des comportements anormaux. Nettoyage et entretien scuriss des locaux de manire rgulire et systmatique. Prvision de matriels de secours avec les lments ncessaires la configuration. Mesures permettant dadopter des parades (btiment antisismique, climatisation, filtre poussire, recyclage dair, Implantation dans un autre site. Prvision dun systme de reprage des cbles, ainsi quun schma de cblage. Identification des quipements au moyen de plaque didentification. Prvision de matriel de secours avec les lments ncessaires la configuration. Information et formation du personnel. Mise en place dun cahier dintervention. Prvision dun accs scuris (cl, biomtrie, badge, avec un enregistrement des accs et une remonte automatique dalarme vers un poste permanent. Dtection douverture (portes fentres,) et de mouvement.
Page 21
CONSEQUENCES
Selon le local technique, le bureau, ainsi que la proximit humaine.
PARADES
Surtension
Indisponibilit des quipements. Destruction des composants des quipements. Indisponibilit partielle ou totale des quipements. Indisponibilit partielle ou totale des quipements. Destruction des composants des quipements qui entrane une indisponibilit totale ou partielle des matriels.
Coupure de courant
Perte de donnes. Dysfonctionnement des matriels. Indisponibilit partielle ou totale des matriels (impossibilit de redmarrage des systmes).
Isolement du sol au moyen dun revtement antistatique. Surlvation des matriels. Taux dhumidit infrieur 85% et suprieur 50%. Prvoir une installation lectrique rgule et quilibre qui prend en compte ce type de risque (circuit lectrique spcifique, rgulateur de tension, parafoudre, terres normalises et adaptes au besoin. Isoler les cbles rseaux des cbles pouvant gnrer des hautes tensions (foudre, courants forts) Prvision dune alimentation de secours rgule (onduleur (UPS), groupe lectrogne, ) avec des remontes dalarme vers un poste permanent.
Page 22
Perte de confidentialit.
Vol
Indisponibilit partielle ou totale des quipements. Atteinte la confidentialit. Perte matriels/donnes (informations).
Destruction massive (saccage) Utilisation dun quipement terminal pour lintroduction dun virus
Orienter les matriels de faon ce que personne ne puisse observer ceux-ci partir dun couloir ou dune fentre. Utiliser des conomiseurs dcran avec mot de passe. Sensibiliser les utilisateurs. Consignes crites dutilisation des quipements informatiques. Protger laccs aux matriels/donnes (informations) par des mots de passe. Prvision dun contrle daccs physique aux locaux. Sensibiliser les utilisateurs. Prvision dun systme de protection (chiffrement, carte magntique). Prvision dun dispositif antivol. Assurer une gestion du parc informatique du rseau local. Prvision dune gestion des sauvegardes. Prvision dun contrle daccs aux btiments. Prvision dun ensemble de rgles et de procdures concernant le bon usage dun quipement informatique. Prvision dun contrle daccs scuris. Politique antivirale. Procdure de validation des cls USB, des CD/DVD, des supports amovibles, Verrouiller les lecteurs de supports externes voire les supprimer.
Page 23
CONSEQUENCES
Isolement de tout ou partie du rseau local (LAN).
PARADES
Rduction des risques du blocage du rseau local par une architecture scurise en boucle et une redondance de la topologie. Protection des chemins de cble. Reprage des cbles. Plan de cblage jour. Contrles priodiques des cbles. Utilisation doutils danalyse des cbles. Ecoute/Rcupration/Modification dinformations. Protection des chemins de cble. Utilisation de la fibre optique. Vrification visuelle et physique des chemins de cble. Surveillance des caractristiques de la liaison. Surveillance des flux. Chiffrement des informations sensibles. Utilisation de matriel rpondant aux normes. Conception dun plan de cheminement. Adapter la frquence des matriels utiliss. Plan de cblage jour. Reprage des cbles. Formation du personnel de maintenance. Contrle des interventions des soustraitants.
Branchement pirate
Ecoute/Rcupration/Modification dinformations.
Perturbation du fonctionnement des quipements. Brouillage. Rayonnements. Dysfonctionnements. Isolement de tout ou partie du rseau local (LAN).
Page 24
Erreur de branchement Dgts des eaux Perturbation/Ecoute/Rupture des liaisons Radio (lectromagntique), Infrarouge, Incendie
Voir Erreur de manipulation Dysfonctionnement divers Passage des chemins de cble sous des canalisations deau viter. Surlever les chemins de cble Utilisation de matriel rpondant aux normes. Passage du cble sous gaine dans les endroits risque. Bouchage des trous par manchon coupefeu. Surveillance et contrle des travaux de cblage.
Propagation du feu. Inefficacit du systme par feu (en particulier dans le cas dun systme dextinction par gaz). Le chemin de cble est une voie privilgie de la propagation des incendies.
Page 25
Page 26