Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Démarche Mehari I) Phase préparatoire Cette phase nous permettra de cadrer le c

Démarche Mehari I) Phase préparatoire Cette phase nous permettra de cadrer le contexte de l’analyse de risques de notre institution. Nous aborderons trois (3) points essentiels. 1- Prise en compte du contexte 1.1) Contexte stratégique La réalisation de cette tâche a été assigné à M. Kouadio Stevens, responsable de la mission d’analyse et de traitement des risques. Il travaille en collaboration avec les différents responsables d’activités, la direction générale de Secure Territory CI, la direction juridique et le RSSI. a- Positionnement stratégique Secure Territory CI est une institution qui occupe une position dominante sur le marché. Compte tenu de son partenariat avec le ministère de la défense et des informations purement confidentielles qui sont traitées, elle ne rencontre pas de concurrent sur le territoire ivoirien. Aucun évènement n’est médiatisé, cette institution agit dans l’ombre pour n’éveiller aucun soupçon. b- Les contraintes pesant sur le fonctionnement et l’organisation de l’entité L’Etat a définis un certain nombre de contraintes que l’entité doit respecter :  Les informations relatives au territoire ivoirien doivent rester purement confidentielles ;  Aucune mission ne doit être effectué sans ordre du ministère de la défense ; En dehors des contraintes légales, il existe aussi des contraintes réglementaires :  Les exigences de qualification : des qualifications sont exigées surtout au niveau du service militaire et du service informatique (pour garantir une bonne communication entre les agents sur le terrain et ceux dans le local) car ce sont les services plus sollicités an cas de missions ;  Des réglementations spécifiques qui s’applique au portefeuille financier de l’entité pour garantir que l’entité peut s’approprié le matériel nécessaire pour son activité. Ces réglementations s’appliquent également au local qui nécessite un certain nombre d’équipement : l’extincteur en cas d’incendie. Iso définit quelques normes à respecter qui sont :  Aménagement des locaux, pour garantir la sécurité des locaux l’aménagement des locaux doit être bien pensé. Les coordonnées des services d’urgence et un plan de sécurité doivent être exposé de manière lisible dans tous les bâtiments de l’entreprise ;  Informer et former le personnel, l’entreprise doit communiquer au personnel les mesures à prendre en cas d’accident. Une formation à la sécurité adaptée à chaque métier doit être dispensée à tous les recruter dans l’entreprise ;  Les équipements de sécurité, des dispositifs de sécurité doivent être installés et vérifier régulièrement par la société ;  Les obligations et droits des salariés concernant les normes, le règlement intérieur de l’entreprise doit être respecté par tous les salariés sous peine de sanction. c- La politique de sécurité de l’information Nous définissons les objectifs de sécurité en termes de CID (Confidentialité Intégrité Disponibilité). En effet :  La confidentialité consistera à assurer que seules les personnes autorisées aient accès aux ressources échangées ;  L’intégrité, c’est garantir que les données sont bien celles que l’on croit être ;  La disponibilité, permettant de maintenir le bon fonctionnement du système d’information ; Le donneur d’ordre de la mission est la direction générale de ladite entreprise. 1.2) Contexte technique Ici, le responsable de la mission travaille en collaboration avec La DSI. a- L’architecture du système d’information Voir la section I.4 pour l’architecture du SI. b- Plans d’évolutions technique à court, moyen et long terme c- Fournisseurs et prestataires externes critiques La survie de l’entreprise est assurée par des fournisseurs externes dont Orange Ci qui assure la connexion internet avec sa solution fibre optique. Aussi, le fournisseur de logiciel est assuré par… 1.3) Contexte organisationnel Ici, le responsable de la mission travaille en collaboration avec la DRH, la DAF et le RSSI. L’organigramme complet de l’entité définis à la section I.1 nous donne les rattachements hiérarchiques et liens fonctionnels. En ce qui concerne la sécurité, les tâches sont reparties comme suite :  Le responsable du site  Le responsable d’activités : qui est tenu de suivre les différentes activités relatives à la sécurisation du SI ;  Le DSI : qui est le responsable de l’informatique dans l’entreprise ;  Le RSSI : qui est chargé de planifier et de conduire la gouvernance de la sécurité de l'information. 2- Le cadrage de la mission d’analyse de risques et de traitement des risques Le responsable de la mission a travaillé en parfaite collaboration avec le donneur d’ordre et le RSSI pour avoir les informations suivantes : 2-1) Périmètre technique Nous effectuerons la mission sur le site local de Secure Territory CI situé à Bingerville quartier Sicogie 2 en Côte d’Ivoire. Les systèmes d’informations concernées sont les systèmes d’informations généraux de l’entreprise qui est représenté dans son ensemble à la section I.4. Comme types de supports, nous considérons les médias informatiques, papiers, les clé USB et les disques durs. 2-2) Périmètre organisationnel Toujours en se référant au système d’information de l’entreprise, les différents services et départements concernés sont : le service informatique, le secrétariat général, la direction générale, la DAF, la DRH et la direction de gestion des crises. Dans cette mission, tous les risques liés à l’information seront pris en compte. 2-3) La structure de pilotage de la mission Les membres participants à la mission sont : le responsable de la mission, le RSSI, le donneur d’ordre et la direction générale de l’entreprise. Une réunion générale est prévue avec tous les membres de la mission à la fin de chaque phase de la mission. A la fin de chaque étape, un livrable est conçu de manière physique et soumis au donneur d’ordre, celui-ci fait prendre connaissance du document à tous les autres membres de la mission. S’ils valident tous le document alors il est signé par le donneur d’ordre. 3- La fixation des principaux paramètres de l’analyse des risques II) Phase opérationnelle d’analyse des risques 1- L’analyse des enjeux et la classification des actifs 1.1) Echelle de valeur des dysfonctionnements 1.2) Classification des actifs 1.3) Tableau d’impact intrinsèque 2- Le diagnostic de la qualité des services de sécurité 2.1) Etablissement du schéma d’audit Le schéma d’audit va nous permettre de distinguer des domaines de solutions à auditer séparément et à l’intérieur desquels les solutions de sécurité seront considérées comme homogènes. Les différents domaines, que propose Mehari, appliqués à notre mission nous donne le schéma suivant : Domaine Sous-domaines Sous-ensemble Organisation L’entreprise Sites Le siège Le siège Locaux Les locaux gérés par les services généraux Les locaux informatiques et télécommunications Les salles informatiques Locaux techniques Architecture des réseaux locaux Les réseaux informatiques Les réseaux informatiques Les systèmes Les systèmes informatiques Le système Mainframe Les systèmes ouverts (Windows et Unix) La sécurité des projets La production informatique Les postes de travails utilisateurs Les postes bureautiques L’exploitation des télécommunications Les processus de gestion La gestion de la sécurité de l’information NB : les cases vides signifient qu’il n’y a pas d’éclatement pour le domaine concerné. 2.2) Diagnostic de la qualité des services de sécurité La qualité des services de sécurité est la capacité de résistance à différents types d’attaque, en notant qu’aucune forteresse n’est inviolable. La qualité d’un service de sécurité est notée sur une échelle allant de 0 à 4. Cette échelle reflète le niveau de force ou de compétence qu’il faut avoir pour violer le service, le court-circuiter et/ou inhiber ou rendre inefficace la détection de sa mise hors circuit. Qualité de service évaluée à 1 : Le service a une qualité minimale. Il ne peut pas être efficace à une personne quelconque, sans qualification particulière, ou tant soit peu initiée ou, dans le domaine des événements naturels, ne pas être efficace face à événement relativement banal. Pour une mesure générale, elle aura très peu d’effet sur les comportements ou l’efficacité de l’organisation Qualité de service évaluée à 2 : Le service reste efficace et résiste à un agresseur moyen, voire initié, mais pourrait être insuffisant contre un bon professionnel du domaine concerné. Dans le domaine des événements naturels, un tel service pourrait être insuffisant pour des événements très sérieux, considérés comme rares. Qualité de service évaluée à 3 : Le service reste efficace et résiste aux agresseurs et événements décrits ci-dessus, mais pourrait être insuffisant contre des spécialistes en cybersécurité ou des événements exceptionnels (catastrophes naturelles). Qualité de service évaluée à 4 : Il s’agit du niveau le plus élevé et le service de sécurité reste efficace et résiste aux agresseurs et événements décrits ci-dessus. Mais, il pourrait être mis en brèche par des circonstances exceptionnelles : meilleurs experts mondiaux dotés d’outils exceptionnels ou concours exceptionnels de circonstances elles-mêmes exceptionnelles. Ainsi donc, nous diagnostiquons nos services de sécurité comme suite : Services Echelle de la qualité de service La sécurité des projets 4 Les systèmes 3 Les postes bureautiques 2 La gestion de la sécurité de l’information 4 Les réseaux informatiques 3 Locaux techniques 4 Salles informatiques 3 3) L’appréciation des risques III) Phase de planification du traitement des risques uploads/Management/ demarche-mehari.pdf