ANTIC (AGENCE NATIONALE DES TECHNOLOGIES DE L’INFORMATION ET DE LA COMMUNICATIO

ANTIC (AGENCE NATIONALE DES TECHNOLOGIES DE L’INFORMATION ET DE LA COMMUNICATION) CARTOGRAPHIE DES RISQUES Version 1 Division de l’Audit de Sécurité Table des Matières 1. Contexte et objectifs......................................................................................................................3 2. Démarche.......................................................................................................................................3 3. Description du contexte.................................................................................................................4 3.1. Présentation de l’ANTIC..........................................................................................................4 3.1.1. Missions..............................................................................................................................4 3.1.2. Activités..............................................................................................................................4 3.1.3. Organisation.......................................................................................................................5 3.2. Etat des lieux..........................................................................................................................5 4. Périmètre.......................................................................................................................................6 5. Identification..................................................................................................................................6 5.1. Identification des actifs...........................................................................................................6 3.3. Identification des Menaces et des vulnérabilités....................................................................7 6. Classification des actifs.................................................................................................................10 7. Evaluation.....................................................................................................................................13 3.4. Evaluation de l’impact..........................................................................................................13 3.5. Evaluation de la probabilité d’occurrence............................................................................14 3.6. Evaluation et classification du risque....................................................................................14 8. Traitement du risque....................................................................................................................19 Conclusion............................................................................................................................................19 Cartographie des Risques Informatiques de l’ANTIC Agence Nationale des Technologies de l’Information et de la Communication 1. CONTEXTE ET OBJECTIFS L’Agence Nationale des Technologies de l’Information et de la Communication (ANTIC), au vu des missions à elles assignées, à savoir entre autres, la promotion des TIC, la régulation de l’internet, la régulation de l’activité des audits de sécurité au Cameroun, sécurisation du cyberespace national, se voit soumis à un devoir d’exemplarité en matière de sécurité informatique ; d’autre part, et eu égard à la criticité des données, et infrastructures qu’elle gère, l’ANTIC est dans l’obligation d’assurer un niveau de sécurité très élevé conformément aux normes et bonnes pratiques. Ce document a donc pour objectif de ressortir une cartographie des risques majeurs auxquels est soumis le système d’information de l’Agence, ainsi qu’un plan d’actions correctives à mettre en œuvre pour mitiger les risques identifiés. 2. DÉMARCHE La réalisation de cette cartographie des risques de l’Agence s’est essentiellement appuyé sur la démarche d’analyse des risques proposée par la norme ISO 27005 qui elle-même suggère entre autres :  l’apport d’autres standards tels que ISO 27002 pour l’évaluation des mesures de contrôle implémentées ;  une personnalisation de la démarche standard pour s’adapter au mieux au contexte spécifique de l’Organisation faisant l’objet de l’analyse des risques. Les méthodes de collecte d’informations employées sont les suivantes :  Analyse documentaire Organigramme, anciens rapports d’audit, Schéma Directeur, Politique de sécurité, …  Interviews des différentes parties prenantes Responsables des services en charge des activités couvertes dans le périmètre, Opérateurs  Observations sur les sites physiques  Scans de vulnérabilités Ainsi, notre démarche se décline en quatre principales étapes comme suit :  Description du contexte ;  Définition du périmètre ;  Identification ; Ici, nous identifierons les processus, les actifs, les menaces et vulnérabilités  Classification des actifs ;  Evaluation ;  Traitement du risque 2 Cartographie des Risques Informatiques de l’ANTIC Agence Nationale des Technologies de l’Information et de la Communication 3. DESCRIPTION DU CONTEXTE 3.1. PRÉSENTATION DE L’ANTIC L’Agence Nationale des Technologies de l’Information et de la Communication (ANTIC) est un établissement public administratif doté de la personnalité juridique et de l’autonomie financière. Elle est placée sous la tutelle technique du Ministère en charge des télécommunications et sous la tutelle financière du Ministère en charge des finances. Son siège social est fixé à Yaoundé, au lieu-dit MINIPRIX-BASTOS et elle dispose de deux (02) autres sites répartis comme suit :  Le Centre d’Infrastructure à Clé Publique au lieu dit POSTE CENTRALE ;  Les Services Techniques en charge de la gestion du ‘’.cm’’ et des infrastructures du Centre d’Alerte et de Réponse aux Incidents Informatiques au lieu dit DRAGGAGES. 3.1.1. MISSIONS L’ANTIC a pour missions principales :  la promotion et le suivi de l'action des pouvoirs publics en matière des Technologies de l'Information et de la Communication (TIC) ;  la régulation, le contrôle et le suivi des activités liées à la sécurité des systèmes d'information et des réseaux de communication électroniques ainsi qu’à la certification électronique, en collaboration avec l’Agence de Régulation des Télécommunications (ART). 3.1.2. ACTIVITÉS Les activités menées par l’ANTIC peuvent être réparties en deux grands processus :  les processus de pilotage qui veillent à l'atteinte des objectifs de l'entreprise : o Promotion et suivi de l'action des pouvoirs publics en matière des Technologies de l'Information et de la Communication (TIC) à travers l’amélioration de la gouvernance des TIC et de l’Internet et le Suivi de la mise en œuvre de la Stratégie Nationale de Développement des TIC ; o Sécurisation du cyberespace national à travers le renforcement de la veille sécuritaire, la réalisation des audits de sécurité des systèmes d’information et des réseaux de communications électroniques et le développement de la certification électronique.  les processus supports qui concourent à la réalisation des processus de pilotage à l’instar de l’amélioration de la gouvernance interne de l’Agence par le développement des ressources humaines, le renforcement des capacités organisationnelles et l’appui à la mise en œuvre des activités de pilotage. 3 Cartographie des Risques Informatiques de l’ANTIC Agence Nationale des Technologies de l’Information et de la Communication 3.1.3. ORGANISATION L’ANTIC emploie cent (100) personnels qui contribuent au quotidien à son fonctionnement suivant les proportions ci-après :  69% de cadres ;  21% d’agents de maîtrise ;  10% d’agents d’exécution. L’effectif de la DEDT représente environ 5% des ressources humaines permanentes de l’ANTIC. L’ANTIC dispose au sommet d’un Conseil d’Administration conduit par un Président nommé par décret du Président de la République et assisté de onze (11) membres représentant l'Etat. Elle est dirigée par un Directeur Général assisté d’un Directeur Général-Adjoint. La Direction Générale est constituée de :  Services Rattachés ; - Deux (02) Conseillers Techniques ; - L’Inspection des Services ; - La Cellule de Suivi ; - La Cellule de Communication et de Relations publiques ; - La Cellule de Traduction et d’Interprétariat ; - L’Attaché de Direction ; - Le Service du courrier, de la documentation et des archives ;  Services Centraux ; - Le Centre de Réponse aux Incidents de Sécurité Informatique ou Computer Incident Response Team (CIRT) ; - La Brigade Spéciale d’Interception ; - La Division de la Normalisation et de la Coopération ; - La Division des Etudes et du Développement des TIC ; - La Division de l’Audit de Sécurité ; - Le Centre d’Infrastructure à Clé Publique ou Public Key Infrastructure (PKI) ; - La Direction des Affaires Juridiques ; - La Direction des Affaires Générales. 3.2. ETAT DES LIEUX La présente cartographie des risques est faite dans un contexte où la gouvernance informatique est un concept encore embryonnaire au sein de l’Agence. Cela se traduit par l’absence de documents 4 Cartographie des Risques Informatiques de l’ANTIC Agence Nationale des Technologies de l’Information et de la Communication fondamentaux formellement approuvés par la Direction Générale et le Conseil d’Administration, en occurrence, le Schéma Directeur Informatique et la Politique de sécurité. Ceci a pour conséquence un développement très peu coordonné du Système d’Information, une répartition non optimale des responsabilités liées à la sécurité de l’information. De plus, la relative sécurité physique des locaux et l’utilisation des postes personnels au sein de l’Agence sont des facteurs qui accroissent l’exposition de l’ANTIC à de nombreux risques en rapport avec la sécurité des données et des infrastructures critiques. 4. PÉRIMÈTRE La présente cartographie des risques aura couvert l’ensemble des structures organisationnelles de l’Agence, tout en focalisant de manière spécifique sur les activités et processus les plus critiques regroupés en deux catégories : les processus opérationnels, et les processus supports. Le choix de ces processus et activités a été guidé par les considérations suivantes :  contribution à la réalisation des missions et l’atteinte des objectifs stratégiques de l’Agence;  impact sur les finances ;  impact sur la réputation ;  impact sur la légalité et la conformité ;  impact sur la santé et la sécurité des employés ;  criticité des données et informations manipulées. 5. IDENTIFICATION 5.1. IDENTIFICATION DES ACTIFS SERVIC E ACTIVITES ACTIFS DAS Audits de sécurité Ordinateurs sur lesquels sont déployés les logiciels utilitaires Rapports d'audit Documentation collectée auprès des structures auditées DNC Administration de la plateforme de messagerie Serveur de messagerie (virtuel) Administration du site web de l’ANTIC Serveur web (virtuel) CPKI 5 Cartographie des Risques Informatiques de l’ANTIC Agence Nationale des Technologies de l’Information et de la Communication Gestion des certificats électroniques 01 serveur pour l’autorité de certification gouvernementale 01 serveur pour l’autorité d’enregistrement 01 serveur pour le stockage des certificats Base de données des certificats Sécurisation des applications Toolkits CIRT Veille sécuritaire Rapports de scan des sites web Statistiques des attaques et vulnérabilités Répertoire des contacts des points focaux Assistance aux forces de l'ordre Réquisitions des officiers de police judiciaire ou INTERPOL Ordinateurs sur lesquels sont déployés des logiciels utilitaires(BYOD) DEDT Gestion interne de la fonction informatique Parc informatique ANTIC DRH Gestion des ressources humaines Système de gestion de la paie 4. 5.2. IDENTIFICATION DES MENACES ET DES VULNÉRABILITÉS Nous nous servirons du catalogue proposé par ISO 27005, tout en tenant compte des spécificités du SI de l’ANTIC. MENACES VULNERABILITES Abus de droits Manque de procédure de surveillance des installations de traitement de l'information Manque d'audits réguliers Manque de procédures d'identification et d'évaluation des risques Manque de gestion des rapports d'incident dans les journaux et logs systèmes Non existence ou insuffisante des tests de logiciels Défauts bien connus dans le logiciel Mise uploads/Management/cartographie-des-risques.pdf

Documents similaires

LES ARCHITECTURES DE SECURITE LES TESTS DE PENETRATION RESEAUX INTRODUCTION Le 0 0

Assurances et gestion des risques, Mars-juin 2015, Vol. 82 (1-2) Insurance and 0 0

Les CAHIERS de la SÉCURITÉ INTÉRIEURE Connaître la Police Grands textes de la r 0 0

Spécialité : BTP. N° de cours : 02 Matière : EXCEL Durée : 12h Titre : Les opér 0 0

DAM SAFETY MANAGEMENT: Operational phase of the dam life cycle GESTION DE LA SÉ 0 0

Coopérer avec le PAM Manuel à l’intention des organisations non gouvernementale 0 0

Insérer le nom et le Logo de l’entreprise ICI. L'analyse des écarts est l'une d 0 0

Critères techniques de performance DB3610 DETECTION INCENDIE ET ALARME Edition 0 0

Les entreprises, les organisations sont en permanence confrontées à l’améliorat 0 0

_____________________________________________________________ Ecole Supérieure 0 0

• Détails
• Publié le Aoû 31, 2022
• Catégorie Management
• Langue French
• Taille du fichier 0.1734MB