Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

5 1 b o u l e v a r d d e L a T o u r - M a u b o u r g - 7 5 7 0 0 P A R I S 0

5 1 b o u l e v a r d d e L a T o u r - M a u b o u r g - 7 5 7 0 0 P A R I S 0 7 S P - T é l 0 1 7 1 7 5 8 4 6 5 - F a x 0 1 7 1 7 5 8 4 9 0 PREMIER MINISTRE Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d’information Sous-direction assistance, conseil et expertise Bureau assistance et conseil Version du 25 janvier 2010 Expression des Besoins et Identification des Objectifs de Sécurité EBIOS ÉTUDE DE CAS @RCHIMED ANSSI / ACE / BAC EBIOS – Étude de cas @RCHIMED – 25 janvier 2010 Page 2 sur 64 Historique des modifications Date Objet de la modification Statut 06/09/2000 Création de l'étude de cas selon EBIOSv1 Validé 16/07/2004 Révision de l'étude de cas selon EBIOSv2 Validé 25/01/2010 Révision de l'étude de cas selon la dernière évolution d'EBIOS Validé ANSSI / ACE / BAC EBIOS – Étude de cas @RCHIMED – 25 janvier 2010 Page 3 sur 64 Table des matières AVANT-PROPOS .................................................................................................................................... 4 INTRODUCTION ..................................................................................................................................... 4 1 DOSSIER DE PRÉSENTATION DE LA SOCIÉTÉ @RCHIMED.................................................... 5 PRÉSENTATION GÉNÉRALE DE LA SOCIÉTÉ ............................................................................................... 5 PRESTATION FOURNIE ............................................................................................................................ 5 CLIENTÈLE ............................................................................................................................................. 5 STRUCTURE DE LA SOCIÉTÉ .................................................................................................................... 5 La direction ....................................................................................................................................... 5 Le service commercial ..................................................................................................................... 6 Le bureau d’études .......................................................................................................................... 6 Le service comptabilité ..................................................................................................................... 6 Le service de gestion de site Internet .............................................................................................. 6 SYSTÈME INFORMATIQUE ........................................................................................................................ 6 Matériel ............................................................................................................................................. 6 Logiciels ........................................................................................................................................... 6 Schéma général du système ............................................................................................................ 7 ÉLÉMENTS DE CONTEXTE ........................................................................................................................ 8 Sécurité générale ............................................................................................................................. 8 Sécurité du système d’information ................................................................................................... 8 Conjoncture ...................................................................................................................................... 8 2 ÉTUDE DES RISQUES ................................................................................................................... 9 MODULE 1 – ÉTUDE DU CONTEXTE .......................................................................................................... 9 Le cadre de la gestion des risques .................................................................................................. 9 Les métriques utilisées ................................................................................................................... 16 Les biens identifiés ......................................................................................................................... 18 MODULE 2 – ÉTUDE DES ÉVÉNEMENTS REDOUTÉS ................................................................................. 22 Les événements redoutés : 12 événements identifiés et estimés ................................................. 22 Évaluation : 5 événements redoutés à la gravité critique ou importante ....................................... 23 MODULE 3 – ÉTUDE DES SCÉNARIOS DE MENACES ................................................................................. 24 Les scénarios de menaces : 24 scénarios identifiés et estimés .................................................... 24 Évaluation : 11 scénarios de menaces à la vraisemblance maximale ou forte ............................. 26 MODULE 4 – ÉTUDE DES RISQUES ......................................................................................................... 27 Les risques : 12 risques analysés .................................................................................................. 27 Évaluation : 4 risques intolérables et 2 risques significatifs ........................................................... 39 Les objectifs de sécurité : 6 risques à réduire et/ou à transférer en priorité .................................. 40 Les risques résiduels : 6 risques jugés comme négligeables ........................................................ 40 MODULE 5 – ÉTUDE DES MESURES DE SÉCURITÉ ................................................................................... 41 Les mesures de sécurité : une défense en profondeur pour réduire et transférer les risques ...... 41 Les risques résiduels : 6 risques négligeables subsisteront une fois les mesures appliquées ..... 49 Déclaration d'applicabilité : une seule contrainte ne peut être prise en compte ............................ 50 Un plan d’action sur 3 ans .............................................................................................................. 51 Une homologation de sécurité prononcée par le Directeur pour un an ......................................... 53 3 LIVRABLES ................................................................................................................................... 54 3.1 NOTE DE CADRAGE (SIGNÉ PAR LE DIRECTEUR) .......................................................................... 54 3.2 NOTE DE STRATÉGIE (SIGNÉE PAR LE DIRECTEUR) ...................................................................... 59 3.3 POLITIQUE DE SÉCURITÉ DE L'INFORMATION (SIGNÉE PAR LE DIRECTEUR) .................................... 61 3.4 HOMOLOGATION DE SÉCURITÉ (PRONONCÉE PAR LE DIRECTEUR) ................................................ 64 ANSSI / ACE / BAC EBIOS – Étude de cas @RCHIMED – 25 janvier 2010 Page 4 sur 64 Avant-propos L'Agence nationale de la sécurité des systèmes d'information (ANSSI) élabore et tient à jour un important référentiel méthodologique destiné à aider les organismes du secteur public et du secteur privé à gérer la sécurité de leurs systèmes d'informations. Ce référentiel est composé de méthodes, de meilleures pratiques et de logiciels, diffusés gratuitement sur son site Internet (http://www.ssi.gouv.fr). Le Club EBIOS est une association indépendante à but non lucratif (Loi 1901), composée d'experts individuels et d'organismes. Il regroupe une communauté de membres du secteur public et du secteur privé, français et européens. Il supporte et enrichit le référentiel de gestion des risques français depuis 2003, en collaboration avec l'ANSSI. Le Club organise des réunions périodiques pour favoriser les échanges d'expériences, l'homogénéisation des pratiques et la satisfaction des besoins des usagers. Il constitue également un espace pour définir des positions et exercer un rôle d'influence dans les débats nationaux et internationaux. Ce document a été réalisé par le bureau assistance et conseil de l'ANSSI, avec la collaboration du Club EBIOS. La communauté des utilisateurs d'EBIOS enrichit régulièrement le référentiel complémentaire à ce document (techniques de mise en œuvre, bases de connaissances, guides d'utilisations spécifiques de la méthode, documents relatifs à la communication, à la formation, à la certification, logiciels…). Introduction Ce document présente une étude cas réalisée à l'aide la méthode EBIOS. Il est destiné à compléter la méthode dans le but d’apporter un exemple concret de son utilisation. Figure 1 - Étapes de la démarche EBIOS La première partie du document constitue le dossier de présentation de la société @RCHIMED. La seconde partie décrit l'étude de sécurité. La dernière partie est constituée des livrables produits. Avertissement Le nom "@RCHIMED", donné à la société fictive dont il est question dans ce document, a été inventé et n'est utilisé que pour présenter une étude de cas du déroulement de la méthode EBIOS. Module 1 Étude du contexte Module 2 Étude des événements redoutés Module 3 Étude des scénarios de menaces Module 4 Étude des risques Module 5 Étude des mesures de sécurité ANSSI / ACE / BAC EBIOS – Étude de cas @RCHIMED – 25 janvier 2010 Page 5 sur 64 1 Dossier de présentation de la société @RCHIMED Ce chapitre présente les informations relatives à la société @RCHIMED. Elles ont été collectées suite à un entretien avec les responsables de l'entreprise. Des compléments d’informations pourront être demandés en cours d’étude. Présentation générale de la société La société @RCHIMED est un bureau d’ingénierie en architecture. Cette PME toulonnaise est constituée d’une douzaine de personnes. Son capital est de xxxxx € et son chiffre d’affaires est de yyyyy €. Prestation fournie La société @RCHIMED réalise des plans d’usines ou d’immeubles avec l’établissement préalable de devis. Pour cela, elle calcule des structures, élabore des plans techniques pour ses architectes et propose des maquettes virtuelles pour ses clients. Le suivi des constructions est aussi assuré par le cabinet, qui met à jour les plans et calculs si des modifications sont nécessaires. Le cabinet d’architecture bâti sa réputation grâce à des solutions architecturales originales basées sur des techniques innovantes. Cette société concourt pour de grands projets nationaux ou internationaux ; elle s’appuie pour cela sur son système informatique qui lui permet de réagir extrêmement rapidement aux appels d’offre ou aux demandes des clients. Elle attache également une importance extrême à la qualité des documents remis et plus précisément aux maquettes virtuelles (visualisations 3D) qui permettent de donner à ses clients une idée précise et concrète de la solution proposée. Par ailleurs, elle a créé son site Internet sur lequel sont présentés les informations concernant la société et des exemples de devis et de maquettes virtuelles. Clientèle Cette entreprise compte de nombreux clients, privés ou publics, ainsi que plusieurs professionnels du bâtiment. Les statistiques menées depuis 3 ans montrent des périodes de pointe situées entre octobre et mai et que la conjoncture générale du domaine de l’architecture est bonne. Dans un contexte de rude concurrence, rapidité, précision et originalité des travaux sont des composantes essentielles de son activité. Structure de la société Figure 2 - Organigramme de la société La direction Elle est composée du directeur et de son adjoint. L’adjoint, bien qu’architecte de formation, fait office de “directeur informatique”. ANSSI / ACE / BAC EBIOS – Étude de cas @RCHIMED – 25 janvier 2010 Page 6 sur 64 Le service commercial Il est composé de deux commerciaux qui créent et gèrent les dossiers clients. Ils sont essentiellement chargés d’élaborer des devis pour leurs clients. Seul, le service commercial est habilité à traiter avec l’extérieur, il est donc garant de l’image de marque de l’entreprise. Il échange fréquemment des informations avec le bureau d’études (création des plans, création des maquettes virtuelles…), avec la comptabilité (création des devis, coûts…) et avec l’extérieur (cahier des charges, plans, devis; maquettes virtuelles, éléments techniques pour les fournisseurs…) Le bureau d’études Il est composé de 4 ingénieurs et 3 techniciens supérieurs et réalise les activités suivantes : élaborer des plans d’exécution destinés aux professionnels ; élaborer des maquettes virtuelles attrayante destinés aux clients ; établir des calculs de résistances de structures et de matériaux. Le service comptabilité Le service chargé de toutes les finances de la société est composé d’un seul comptable. Il traite notamment avec la Direction départementale de l’équipement (DDE) pour les acceptations de permis de construire et s’occupe également de tous les contentieux. Le service de gestion de site Internet Il est uploads/s1/ ebios-etudedecas-archimed 2 .pdf