Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Université Cadi Ayyad Ecole Nationale des Sciences Appliquées de Safi Départeme

Université Cadi Ayyad Ecole Nationale des Sciences Appliquées de Safi Département : Informatique, Mathématiques, Réseaux et Télécommunications (IMRT) Filière : 5ème Année Génie des télécommunications et réseaux Audit et gestion des risques selon les normes ISO Réalisé Par : ELHOUSSAINI Asma ERRAIHANY Nabila MOUKIT Chaimaa Encadré par : M.HEDABOU Année universitaire : 2015/2017 Introduction générale Nous admettons qu’il n’y aura pas une entité appelé entreprise sans prise de risque. Et nous ne pouvons surtout pas nier le développement vaste et rapide de topologies de réseaux couvrant le monde et l’immense utilisation de nouveaux technologies informatique comme l’Internet mobile, Internet des objets, Cloud, et l’usage important des smartphones, tablettes... Qui constituent une source pertinente pour de nombreuses menaces au sein des organisations. L’existence des risques, tant internes qu'externes à l'organisme, contribuent considérablement à augmenter les attaques profitant des traitements et stockage des données et le transfert de ces derniers. Les attaques évoluent progressivement et se montrent très complexes à déterminer de façon prédictive. Ces circonstances nous imposent de déterminer une politique de sécurité, de faire un suivi régulier pour vérifier son efficacité et sa fructuosité : la mise en place d’un audit de sécurité informatique est une nécessité fondamentale pour identifier les points de vulnérabilité possible du système informatique, sur le plan technique et organisationnel, avant qu'ils n’aient une intrusion menée par des parties avec l’intention de nuire au bon fonctionnement de l'organisation. Plusieurs méthodes ont était adapté afin de protéger les organismes de toutes les menaces pré détecté selon des normes universelle qui définit plusieurs stratégies a fin de faciliter la gestion des risque et l’audit de ces derniers pour notre cas nous avons choisit la méthode EBIOS vu sa simplicité de mise en œuvre et son aptitude de répondre a plusieurs questions : Quel est le but de l’étude ? Comment nous allons gérer ces risques ? Quels sont les événements qui ne doivent pas se produire ? Quels sont les plus grave ? Quels sont les scénarios prédits? Quelle est la cartographie des risques ? Comment pouvons-nous les traiter ? Quelles mesures nous devons prendre? SOMMAIRE Sommaire Introduction générale.............................................................................................................2 Sommaire............................................................................................................................... 4 Chapitre 1 : Contexte du projet..............................................................................................5 2. Problématique...............................................................................................................5 3. Objectifs........................................................................................................................ 5 4. Cahier des charges........................................................................................................5 5. Etapes de réalisation.....................................................................................................5 6. Conclusion :...................................................................................................................5 Chapitre 2: Etude théorique.................................................................................................15 1.1. L'organisme.............................................................................................................15 Présentation de l'organisme..................................................................................................16 Contraintes de l'organisme...................................................................................................16 Références réglementaires générales......................................................................................17 Architecture du SI..............................................................................................................18 1.2. Le système-cible...........................................................................................................20 Présentation du système-cible...............................................................................................20 Enjeux............................................................................................................................. 20 Sélection du système-cible....................................................................................................21 Éléments essentiels.............................................................................................................21 Hypothèses........................................................................................................................ 27 Mode d'exploitation de sécurité.............................................................................................27 Règles de sécurité...............................................................................................................27 1.3. La cible de l'étude....................................................................................................28 Entités............................................................................................................................. 28 Relations entités / éléments...................................................................................................29 1.4. Sélection des éléments essentiels...........................................................................32 2. Etape 2 : Les besoins de sécurité...................................................................................33 2.1. Réalisation des fiches de besoins.............................................................................34 Critères de sécurité.............................................................................................................34 Échelle de besoins...............................................................................................................35 Sinistres........................................................................................................................... 35 Impacts............................................................................................................................ 36 2.2. Synthèse des besoins de sécurité............................................................................36 Attribution des besoins de sécurité................................................................................36 Synthèse des besoins...........................................................................................................36 3. Etape trois : étude des menaces.............................................................................................45 3.1 Méthodes d'attaque non retenues.........................................................................................45 3.2 Risques........................................................................................................................... 48 4. Objectifs de sécurité......................................................................................................53 3.4 Niveaux de résistance........................................................................................................57 4 - Définition des environnements de sécurité.................................................................................58 5 - Définition des mesures de sécurité...........................................................................................59 6 - Administration de la sécurité..................................................................................................66 Références réglementaires générales......................................................................................67 4.1. Le système-cible...........................................................................................................67 Présentation du système-cible...............................................................................................67 Enjeux............................................................................................................................. 67 Sélection du système-cible....................................................................................................67 Éléments essentiels.............................................................................................................67 Hypothèses........................................................................................................................ 67 Mode d'exploitation de sécurité.............................................................................................67 Règles de sécurité...............................................................................................................67 La cible de l'étude..........................................................................................................68 Entités............................................................................................................................. 68 Relations entités / éléments...................................................................................................69 4.2. Sélection des éléments essentiels...........................................................................71 5. Etape 2 : Les besoins de sécurité...................................................................................73 5.1. Réalisation des fiches de besoins.............................................................................74 Critères de sécurité.............................................................................................................74 Échelle de besoins...............................................................................................................75 Sinistres........................................................................................................................... 75 Impacts............................................................................................................................ 76 5.2. Synthèse des besoins de sécurité............................................................................76 Attribution des besoins de sécurité................................................................................76 Synthèse des besoins...........................................................................................................76 6. Etape trois : étude des menaces.............................................................................................85 3.1 Méthodes d'attaque non retenues.........................................................................................85 3.2 Risques........................................................................................................................... 88 7. Objectifs de sécurité......................................................................................................93 3.4 Niveaux de résistance........................................................................................................97 4 - Définition des environnements de sécurité.................................................................................98 5 - Définition des mesures de sécurité...........................................................................................99 6 - Administration de la sécurité................................................................................................106 Chapitre 1 : Contexte du projet 1. Introduction Dans ce qui suit on va vous présenter les objectifs, les étapes du projet. 2. Problématique La protection du réseau interne et externe des organisations, les oblige à opter pour des outils de protection les plus performants dans le domaine comme les Firewalls, IPS/IDS, SIEM…etc. Afin de pouvoir tester le niveau de sécurisation de ces derniers, les organisations cherchent à évaluer leurs réseaux avec un outil ou bien une technologie permettant de détecter, gérer, auditer les vulnérabilités existantes dans leurs architectures. D’où vient le sujet de notre projet qui vise à faire une étude de marché ayant comme objectif de choisir un outil qui répond aux besoins de sécurité de l’entreprise. 3. Objectifs L’objectif du projet de ce projet est de faire une étude de marché pour le choix et la mise en place d’une méthode d’audit et de gestion de vulnérabilités et des risques existants dans l’infrastructure d'une organisation. 4. Cahier des charges Nous sommes sensés aboutir à la validation des objectifs suivants :  Faire un choix des méthodes selon des normes ISO biens définies.  Faire une étude de l’installation et mise en place de la méthode choisie (EBIOS). 5. Etapes à suivre Etape1 : Recherche des différents outils et méthodes dans le domaine de gestion et audit des risques. Etape2 : Choix d'une méthode des recommandations sur l’outil choisi ainsi que les raisons du choix. Etape 3 : Etude du déploiement de la méthode EBIOS dans une banque. 6. Conclusion Dans ce chapitre nous avons présenté les objectifs, le cahier des charges et les étapes de réalisation de notre projet. Chapitre 2: Etude théorique 1. Introduction 2. Généralités sur la gestion des risques 2.1. Définition des risques Selon le référentiel ISO Guide 73 qui a été revu au cours du développement de la norme ISO 31000 (Management du risque), le risque est déterminé comme étant le résultat de l’incertitude sur les objectifs et qu’il est caractérisé en référence à des faits et des contrecoups potentiels ou à une combinaison des deux. Le risque est lié aux facteurs suivants : le danger, la possibilité d'occurrence, la perspicacité et l’acceptabilité du risque. Le danger étant un incident refusé par lui-même et par ses résultats négatifs ne doit pas donc se confondre avec le risque qui résulte de ce que ce danger a de probabilité de se manifester et encore d’entraîner des conséquences d'une certaine perspicacité. La gravité d'un risque se montre plus par les deux facteurs qui sont l'impact et la possibilité d’occurrence du risque. En informatique un risque est défini à l’aide de l’équation de ce dernier qui est décortiqué comme suit: RISQUE = MENACE * VULNÉRABILITÉ * IMPACT La gestion des risques se fait moyennant cette équation exprimée en haut. Elle joue un rôle primordial pour déterminer et évaluer l’existence d’un risque. Pour avoir une vision claire sur la notion de risque on aborde les définitions suivantes: - la menace est une source de risque, c’est une attaque de possibilité d’occurrence très élevé d’un élément définit dangereux pour les assets, C’est un facteur responsable du risque. - la vulnérabilité est un aspect des assets qui traduit une faiblesse et encore une faille sur le plan de sécurité de l’organisme. - l’impact reflète les mal faits résultantes du risque sur l’organisation et ses stratégies. Remarque : Nous pouvons définir les assets comme les biens, ressources possédant de la valeur pour l’organisme et garantissant son fonctionnement correctement. 2.2. Typologies des risques informatiques Cette répartition montre les principales catégories de risques suivant les trois critères de la sécurité l’intégrité, la confidentialité et la disponibilité des systèmes d’information. Ces risques sont donc organisés comme suit: - Les risques menant à des dommages matériels. - Les risques menant à des dommages immatériels. Les dommages matériels Ce sont les risques créant des dommages tangibles ou physiques aux différentes entités de l’organisme. Ces atteintes ne représentent qu’un pourcentage peu élevé des cauchemars informatiques. Voilà les principaux problèmes: Phénomènes accidentels: déterminent les événements résultants des circonstances de l’environnement technique des systèmes d’information. Ca peut être sous forme d’incendie, panne accidentelle, tremblement, désastre, panne de courant… Le vandalisme : précise les positions et les circonstances d’où des personnes essayent de détruire par intention ou encore dérobent un système d’information. A titre d’exemple le Vol, cyber terrorisme... Les dommages immatériels Pour les dommages immatériels, le danger se penche sur les entités impalpables. L’erreur : c’est l’acte d’un membre de l’organisation (sans une mauvaise intention) résultant d’une incorrecte intervention.il peut entraîner des dommages intangibles comme la destruction d’un fichier la non compilation d’un programme ou encore perte de données ces erreurs peuvent couter très chère à l’organisation. Voilà des exemples d’erreurs : erreur de manipulation, erreur de programmation… La fraude économique : c’est un vrai cauchemar informatique qui peut être soit un vol de base de données confidentiels contenants des numéros de cartes crédits ou parfois un virement illégal frauduleux. Ces actes peuvent surgir de l’intérieur de l’organisation comme un membre de cette dernière comme il se peut que ca soit de l’extérieur de l’organisme. Comme exemples on a : Virement frauduleux, Erreur volontaire de programmation, Erreur volontaire dans l’entrée des données... Cyber crimes : représente uploads/Management/ audit-et-gestion-de-risque-selon-les-normes-iso.pdf