Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

1 AUDIT DE SECURITE DU SYSTEME D’INFORMATION DE LA CAMEROON RADIO TELEVISION (C

1 AUDIT DE SECURITE DU SYSTEME D’INFORMATION DE LA CAMEROON RADIO TELEVISION (CRTV) PLAN D’ACTIONS CORRECTIVES Ce document présente les vulnérabilités décelées au cours de la mission d’audit de sécurité du Système d’Information de la CRTV suivant les axes Organisationnel, Physique et Technique, met en exergue les risques encourus et les contre-mesures à implémenter pour mitiger ces risques. Il identifie également les structures en charge de la mise en œuvre de ces recommandations dans le temps. hamadou souleymanou REPUBLIQUE DU CAMEROUN Paix – Travail – Patrie ---------- AGENCE NATIONALE DES TECHNOLOGIES DE L'INFORMATION ET DE LA COMMUNICATION ---------- REPUBLIC OF CAMEROON Peace – Work – Fatherland ---------- NATIONAL AGENCY FOR INFORMATION AND COMMUNICATION TECHNOLOGIES ---------- DIVISION DE L’AUDIT DE SECURITE DIVISION OF SECURITY AUDIT Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives ANTIC (Agence Nationale des Technologies de l’Information et de la Communication) LEGENDES CRITIQUE ELEVE MOYENNE FAIBLE Criticité du risque ORGANISATIONNEL PHYSIQUE TECHNIQUE Axe d’audit SIGLES : DSI : Direction des Systèmes d’Information CM/DCR : Comptable-Matières DAF : Direction de l’Administration et des Finances DRHS : Ressources Humaines Et de la Stratégie Sociale SI : Système d’Information SSI : Sécurité des Systèmes d’Information 2 Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives ANTIC (Agence Nationale des Technologies de l’Information et de la Communication) ISO International Standard Organization DAI: Division Audit Interne Axe N° Vulnérabilités Risques Criticité Recommandations Charge (J-H) Responsabi lités Organisationnel 1. Inexistence d’un plan global de gestion des risques relatifs au système d’information intégrant l’identification, l’appréciation, l’évaluation et le traitement des risques relatifs au système d’information ; Risque d’ignorance et de négligence de plusieurs risques afin de les traiter méthodiquement de manière coordonnée et économique, de manière à réduire et contrôler la probabilité des événements redoutés et de réduire l'impact éventuel de ces événements . Mettre en place un plan de gestion des risques (PGR) qui identifie, évalue et priorise les risques relatifs aux activités de la CRTV, pour les traiter méthodiquement de manière coordonnée et économique, de manière à réduire et contrôler la probabilité des événements redoutés, et réduire l'impact éventuel de ces événements. Décliner le plan de gestion des risques spécifiques au SI 180 J/H DAI /DSI 2. Absence de plan et d'un mécanisme de sensibilisation des employés en rapport avec les risques métiers ; Méconnaissance des risques majeurs pouvant impacter négativement le fonctionnement de l’entreprise et causer des pertes Mettre en place au sein de la DAI, un plan global de sensibilisation et de formation des usagers sur les risques métiers par domaine d’activité ; 90 J/H DAI 3. Inexistence d’un Statements of Applicabilities (SoA) Risque de mise en place d’exigences de sécurité non conformes aux risques et en inadéquation avec les objectifs stratégiques de la CRTV ; Mettre en place un SoA dans lequel seront identifiés tous les contrôles exigés dans le cadre de la sécurité du SI de la CRTV en raison de la loi, des exigences contractuelles, des exigences normatives et en raison d'autres processus. Ce document devra également expliquer et justifier l'exclusion de certains contrôles issus de la norme mère ainsi l'inclusion de nouveaux 120 J/H DSI /DAI 3 Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives ANTIC (Agence Nationale des Technologies de l’Information et de la Communication) Axe N° Vulnérabilités Risques Criticité Recommandations Charge (J-H) Responsabi lités contrôles provenant d'autres sources à citer. Enfin, le SoA doit documenter si chaque contrôle applicable est déjà implémenté ou non Organisationnel 4. Inexistence d’un document décrivant la politique de sécurité des systèmes d'information et, en particulier, les principes d'organisation, de gestion et de pilotage de la sécurité (rôles et responsabilités) ainsi que les principes fondamentaux structurant le management de la sécurité de l'information ; Atteinte à la sécurité, à la confidentialité, à l’intégrité et à la non répudiation de l’information, lors des différents processus de traitement des données et présence de nombreuses insuffisances dans la mise en place des objets et/ou des services relevant du domaine de la sécurité de l’information Mettre en place une politique de sécurité du système d’information (PSSI) qui détermine les objectifs en termes de sécurité à atteindre, définit la sécurité à mettre en oeuvre, les processus de sécurité physique, logique et des réseaux en cohérence avec la stratégie métier de la CRTV; Aligner cette Politique à un système de management de la sécurité de l’information à l’instar de la norme ISO 27001 ; 260 J/H DSI 5. Inexistence de politiques spécifiques et de procédures encadrant la sécurité des SI en appui à la politique de sécurité (PSSI). Divergence de vue et de suivi efficace de tous les aspects de la sécurité. Elaborer tous les documents de politiques, de procédures, de guidelines accompagnant la PSSI et définir une procédure de rédaction et de validation de ces documents ; les documents suivants sont à élaborer : politique de gestion des mots de passe, politique de gestion et stockage des disques amovibles ; politique de contrôles d’accès, politique de gestion des applications, politique des systèmes et support IT, politique de gestion acceptable du matériel et des logiciels, politique de gestion des accès utilisateurs et systèmes, politique de classification des informations, politique de gestion des logs liés au SI, politique de réponse aux incidents de sécurité, politique de cyber sécurité, politique de changement des infrastructures et systèmes IT, politique 240 J/H DSI 4 Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives ANTIC (Agence Nationale des Technologies de l’Information et de la Communication) Axe N° Vulnérabilités Risques Criticité Recommandations Charge (J-H) Responsabi lités de cryptage, politique de gestion des équipements mobiles et de la procédure de gestion des exceptions. Procéder à la diffusion de tous ces documents à l’ensemble du personnel autorisé, sensibiliser ce personnel à leur mise en oeuvre et les réviser suivant la période définie. ORGANISATION DE LA SECURITE DE L’INFORMATION 6. Inexistence d’un plan de modernisation du Système d’Information et non mis en oeuvre du Schéma directeur informatique pourtant prévu pour la période 2018-2020 ; Divergence de vue et de suivi efficace de tous les aspects de la sécurité ; Procéder à l’implémentation du Schéma directeur informatique déjà élaboré et élaborer un document qui détaille le mode de gestion de la sécurité et les processus de prise de décision : méthodologie (audit de vulnérabilité, analyse des risques..) outils associés, acteurs 180 J/H DG 7. Inexistence d’un Comité formel de management de la sécurité du SI de la CRTV Absence d’une coordination véritable de la stratégie de sécurité du Système d’Information Mettre en place un comité de pilotage de la sécurité du SI afin de mieux coordonner les activités liées à la sécurité du SI ; Ce comité devrait, entre autres, veiller à l’élaboration et la mise en oeuvre de toute la documentation en matière de SSI, à l’évaluation régulière de la maturité de la SSI, à la maitrise des menaces éventuelles et au renforcement des capacités des acteurs du SI 90 J/H DG /DAI 8. Absence d’une Charte d’utilisation des TIC ; Atteinte à l’intégrité, à la disponibilité et à la confidentialité des informations Procéder à l’élaboration d’une charte globale d’utilisation des TIC 90 J/H DSI 5 Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives ANTIC (Agence Nationale des Technologies de l’Information et de la Communication) Axe N° Vulnérabilités Risques Criticité Recommandations Charge (J-H) Responsabi lités 9. Non classification de l’information suivant des niveaux hiérarchiques de sécurité ; Mauvaise utilisation des TIC Elaborer une procédure de classification de l’information et procéder à la classification suivant les critères de confidentialité (Plus l’impact d’une divulgation est important, plus la classification de confidentialité devra être élevée) 120 J/H DSI /DAI 10. Faible niveau de veille technologique en matière de sécurité Atteinte à l’intégrité, à la disponibilité et à la confidentialité des informations Assurer la veille technologique en matière de sécurité (participation à des cercles de réflexion, associations, forums internationaux, recherche sur Internet, séminaires sur la SSI notamment ceux organisés par l’ANTIC...) afin d’être informé de nouvelles menaces et solutions technologiques 90 J/H DSI 11. Absence d’une procédure et de règles spécifiques en matière de destruction sécurisée du contenu des corbeilles et d’impression des documents sensibles Risque d’ignorance d’informations stratégiques sur la sécurité des systèmes et les nouvelles menaces Mettre en oeuvre une politique de transport et de destruction sécurisée des contenus de corbeilles et établir des règles relatives à l’impression des documents 60 J/H DG /DSI 12. Inexistence d’un document définissant les règles générales à appliquer en ce qui concerne les développements informatiques et la prise en compte de la sécurité dans la gestion des projets ; Accès des données confidentielles se trouvant dans les corbeilles aux personnels du service de nettoyage Mettre en place un document définissant les règles générales à appliquer en ce qui concerne les développements informatiques (interne et externe) et la prise en compte de la sécurité dans la gestion des projets 180 J/H DG /DSI 6 Audit de sécurité du système d’information uploads/Management/ plan-action-correctif-crtv-vf.pdf