Analyse Et Gestion Des Risques Informationnels PDF

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES
SUPPORT DANALYSE DES RISQUES INFORMATIONNELS

VERSION 1.0 Fvrier 2014
DIRECTION DE LINGENIERIE ET DES APPLICATIONS
SUPPORT DANALYSE DES RISQUES INFORMATIONNELS SUR LE RESEAU DE LADMINISTRATION GABONAISE RAG
Auteur : Ph. G. NDENDE
Page 1

SOMMAIRE
Prambule 1. PERCEPTION ET CONCEPTS DE GESTION DES RISQUES INFORMATIONNELS 2. EVALUATION ET HIERARCHISATION DES RISQUES INFORMATIONNELS 3. METHODOLOGIE DEVALUATION DES MENACES ET DES RISQUES 4. ELEMENTS A RISQUE DU RAG
Page 2

Prambule :
Dans une organisation, telle que lANINF, outre dfinir et mettre en uvre des politiques de scurit ; il est ncessaire dune part, de matriser les risques technologiques et plus particulirement les risques informationnels. Dautre part, il est impratif de contribuer amliorer la performance des processus mtier. Pour ce faire, il convient daborder la scurit du patrimoine informationnel de lANINF (Infrastructures de communication, systmes dinformation, ) laide dapproches bases sur les risques informationnels. Ceci, avec pour objectif de rduire les pertes et les indisponibilits lies aux faiblesses de scurit de ce patrimoine. Ainsi, entre autres la ncessit dune analyse desdits risques simpose de fait. Ceci pour : Identifier les risques et les menaces : une ncessit avant denvisager toutes contre-mesures. Toutes les menaces possibles sur le patrimoine informationnel est prendre en compte. Classer les risques informationnels. Chiffrer les risques informationnels : ritrer le calcul des risques aprs linstallation des contre-mesures. Concevoir des parades (contre-mesures).
Page 3

1. PERCEPTION ET CONCEPTS DE GESTION DES RISQUES INFORMATIONNELS :

1.1. La perception :
Il ya une diffrence entre la ralit vraie et la ralit telle que nous individus nous la percevons. En gnral, il existe deux (2) approches dans la gestion des risques : Approche scientifique, base sur : o Principes scientifiques o Analyse o Donnes probantes o Donnes historiques (Registre dincidents et/ou dintervention, Journaux systme (Fichiers LOG), ) Approche non scientifique, base sur : o Exprience o Intuition
Page 4

MENACE
Panne dlectricit Vol
SOURCES SCIENTIFIQUES
Fournisseur dnergie lectrique (SEEG,) et les prestataires de service lectrique Registre des incidents Systme comptable et financier Gestionnaire de stock Fournisseurs daccs (Orange, ACE, Gabon Tlcom,)
SOURCES NON SCIENTIFIQUES

Mmoire des participants Rencontres Mythes et lgendes Mmoire des participants
Rupture de laccs Internet
Du point de vue culturel, nos perceptions qui proviennent de notre exprience varient en fonction de notre appartenance diffrents groupes sociaux. Ainsi, le risque : Dpend de celui qui le peroit. Une perception qui varie selon les groupes et les individus. Est un construit social : on sentend sur ce qui est acceptable ou non. Est construit, tant par les experts que par les non-spcialistes : tout le monde contribue.
Page 5

1.2.
Les concepts de gestion des risques informationnels :
La gestion des risques se compose de trois (3) blocs interdpendants : a. Lorganisation cible de ltude dfinie par ses assets et ses besoins en scurit. Notez que les assets sont dfinis comme tant lensemble des biens, actifs, ressources ayant de la valeur pour lorganisation et ncessaires son bon fonctionnement. b. Les risques pesant sur ces assets . c. Les mesures prises ayant pour but de traiter les risques et par consquent dassurer un certain niveau de scurit.
La gestion des risques entoure trois (3) procds : - La reconnaissance des menaces, - Leur ordonnancement, - La mobilisation des ressources.
Page 6

Le risque et la prise de risque font partie intgrante de la vie de lorganisation et de son dveloppement. La scurit tant dfinie comme labsence de risques inacceptables et a pour but de protger le patrimoine informationnel. Cela suppose de : - Dfinir le cadre de gestion des risques informationnels. Celui-ci est compos de : o Une description dactivits organisationnelles spcifiques, o Des dfinitions des processus de gestion du risque et de leur place dans lorganisation, o Les processus de gestion du risque et leur ordonnancement.
Page 7

Dfinir la criticit du risque. Connatre lexistence ou non (relle ou pas) du risque. Prparer les mtriques. Identifier les biens du patrimoine informationnel.
En gnral, le risque se dfinit comme suit : - Cest leffet de lincertitude sur les objectifs (Norme ISO 31000). - Cest la combinaison de la probabilit dun vnement et de ses consquences : combinaison dune menace et des pertes quelle peut engendrer.
Page 8

Le risque informationnel est li au patrimoine informationnel concourant la gestion efficiente et au bon fonctionnement des infrastructures de communication et des systmes dinformation de lorganisation. Pour quun risque existe, il faut la combinaison des lments suivants : a. Elments risque ( assets ) : font partie du patrimoine informationnel et reprsente nimporte quoi qui a de la valeur pour nous, en fonction dun concept de nature conomique qui est lutilit attendue. Ainsi, on sintresse la valeur des assets en fonction de lutilit que cet lment a pour lorganisation. Pour chacun deux, on voit sil ya la possibilit quil yait un ala . b. Alas ou menaces : Cest un vnement ou une squence dvnement (Panne dlectricit) susceptible de rduire lutilit attendue dun lment risque. On pourrait lappeler : Impact (financier ou une perte de rputation de lorganisation) ou dommage (technologique). Ainsi, le dommage est un vnement susceptible de rduire lutilit attendue qui est un concept facile grer. Pour que l ala puisse causer un dommage, un troisime lment doit entrer en jeu. c. Vulnrabilits ou failles de scurit : Cest quelque chose qui peut tre exploite. Cest une faiblesse ou une faille dans un systme informatique (composant matriel et logiciel). Par exemple, les plus connues sont : le dpassement de tampon, linjection SQL, le cross site scripting,
Page 9

2. EVALUATION ET HIERARCHISATION DES RISQUES INFORMATIONNELS :

Lvaluation des risques est le processus qui consiste : - Identifier les dangers, en tablissant un inventaire le plus exhaustif et structur possible des risques informationnels - Analyser les risques associs un danger, en valuant pour chacun deux son niveau de criticit, cest-dire dune part la probabilit quil survienne, et dautre part sa gravit, cest--dire limportance de limpact quil aura ou les dommages quil occasionnera sil survient. C'est une notation subjective, qu'il est plus sr de raliser plusieurs, afin d'obtenir une valuation la plus raliste possible. - Dterminer les moyens appropris pour liminer ou matriser ces risques. Ceci en hirarchisant les risques identifis selon leur niveau de criticit, qui dterminera lurgence des rponses apporter. Sur le plan pratique, une valuation des risques consiste en une inspection approfondie des environnements de travail, en vue d'identifier entre autres les lments, les situations et les procds qui peuvent causer un prjudice. Puis, il faut ensuite valuer la probabilit et la gravit du risque et enfin, dterminer quelles mesures adopter afin d'empcher le prjudice de se concrtiser.
Page 10

2.1.
La grille de criticit :
Pour dterminer la hirarchie des rponses apporter, il est utile de se servir d'une grille d'analyse. Grille de gravit : GRAVITE
G1 G2 G3 G4 S
LIBELLE ET CONSEQUENCE
Dfaillance mineure Sans effet Dfaillance moyenne Dgradation du fonctionnement Dfaillance importante Perte du fonctionnement Problme de scurit des personnes ou dommage matriel important Perte de vie humaine
Page 11

Grille de frquence : FREQUENCE

F1 F2 F3 F4
LIBELLE
Dfaillance pratiquement inexistante (1 fois tous les 5 ans) Dfaillance rarement apparue (1 fois par an) Dfaillance apparue occasionnellement (1 fois par trimestre) Dfaillance apparue frquemment (au moins 1 fois par mois)
Matrice de criticit :
F4 F3 F2 F1 Etude complmentaire Etude complmentaire NC NC G1 C Etude complmentaire NC NC G2 C C Etude complmentaire NC G3 C C C Etude complmentaire G4 C C C C S
Page 12

3. METHODOLOGIE DEVALUATION DES MENACES ET DES RISQUES (EMR) :

A. PHASE DE PREPARATION : a. Engagement de la Direction Gnrale. b. Mandat et porte dun projet EMR : Les EMRs dans un plan projet/cycle de vie dun systme. Ceci implique une planification soigne et une rflexion pralable qui sont essentielles lobtention de rsultats utiles. c. Normes de scurit et valuations des menaces et des risques. d. Composition de lquipe EMR. e. Recours des consultants en EMR. f. Plan de travail dEMR et approbations. B. PHASE DIDENTIFICATION ET DEVALUATION DES BIENS : a. Sources de donnes de biens. b. Liste de biens. c. Analyse des rpercutions sur les oprations (ARO), Evaluation des facteurs relatifs la vie prive (EFVP) et Evaluation des menaces et des risques (EMR). d. Tableau dtaill des prjudices. e. Tableau dvaluation des biens.
Page 13

C. PHASE DEVALUATION DES MENACES : a. Sources de donnes sur les menaces. b. Liste des menaces. c. Paramtres des menaces. d. Tableau dvaluation des menaces. D. PHASE DEVALUATION DES VULNERABILITES : a. Sources de donnes des vulnrabilits. b. Liste des vulnrabilits. c. Paramtres des vulnrabilits. d. Tableau dvaluation des vulnrabilits. E. PHASE DE CALCUL DES RISQUES RESIDUELS : a. Tableau des risques rsiduels. b. Liste des risques rsiduels valus.
Page 14

F. PHASE DE PRESENTATION DES RECOMMANDATIONS : a. Sources de donnes sur les mesures de protection. b. Liste des mesures de protection. c. Slection des mesures de protection potentielles. d. Calcul de la rentabilit des mesures de protection. e. Tableau des recommandations. f. Plan du rapport dEMR. g. Rapport dEMR.
Page 15

4. ELEMENTS A RISQUE DU RAG :

4.1. Elments risque sur les installations extrieures (OSP OutSide Plant) :
Fibre optique, Chambre de raccordement contenant un botier tanche dpissures, Chambre de tirage, Fourreaux, Regards.
Page 16

ELEMENT A RISQUE
FIBRE OPTIQUE CHAMBRE DE RACCORDEMENT & BOTIER ETANCHE DEPISSURES CHAMBRE DE TIRAGE FOURREAUX
RISQUE
COUPEE DETERIOREE DETRUITE INONDEE DETRUITE INONDEE BOUCHES COUPES DETERIORES INONDES
MENACE
Travaux de gnie civil (excavatrice) Vieillissement Travaux de gnie civil (excavatrice) Prsence deau et de boue Travaux de gnie civil (excavatrice) Prsence deau et de boue Dpt de boue Travaux de gnie civil (excavatrice) Vieillissement Prsence deau et de boue
Page 17

REMEDES :
o RISQUE :
o o o o o
SOLUTION :
OUTILS :
Motopompe, quipements dentretien et de nettoyage. Motopompe, quipements dentretien et de nettoyage. Socit de service avec un contrat de maintenance. Socit de service avec un contrat de maintenance. Socit de service avec un contrat de maintenance.
BOUCHER Entretien systmatique et rgulier. INONDER Entretien systmatique et rgulier. COUPER Remplacement (Fibre optique & Fourreaux) DETRUIRE Reconstruction (Chambres) DETERIORER Remplacement (Fibre optique & Fourreaux)
Page 18

4.2.
Elments risque sur les installations intrieures (ISP Inside Plant) :

Locaux techniques (nodal et dtage), Armoires et baies de brassage, Tiroirs optiques, Transceivers optiques et jarretires, Cblage informatique catgorie 6, Prises murales RJ45, Equipements actifs de communication, Onduleurs,
Page 19

4.2.1. Le centre de donnes (NDC/NOC), les points de prsence (POPs), les locaux techniques sur les sites administratifs et leurs contenus :
MENACE
Incendie
CONSEQUENCES
Indisponibilit des quipements. Destruction des quipements. Indisponibilit partielle ou totale du rseau.
PARADES
Prvision dun systme de dtection et de protection contre lincendie, avec un retour dalarme vers un poste permanent. Vrification priodique de lefficacit des quipements. Affichage des consignes de scurit en cas dincendie. Affichage des consignes de scurit spcifiques. Information et formation aux moyens de secours du personnel amen travailler dans les locaux techniques. Prvision dun systme de prvention (sonde hygromtrique) avec remonte dalarme vers un poste permanent. Prvision de systme dvacuation deau. Prvision dun systme permettant la coupure automatique de llectricit. Prvision dune tude pralable du risque des eaux. Prvision dune alimentation de secours (groupe lectrogne) et stabilise (onduleur (UPS)). Schma de cblage.
Dgts des eaux
Indisponibilit des quipements. Destruction des quipements. Indisponibilit partielle ou totale du rseau.
Panne lectrique
Indisponibilit et/ou destruction partielle ou totale des quipements. Dysfonctionnement des quipements.
Page 20

Nuisance lie lenvironnement et vieillissement
au
Indisponibilit des quipements. Dysfonctionnement des quipements d la poussire, la temprature, lhygromtrie et les vibrations.
Erreur de manipulation
Indisponibilit des quipements.
Intrusion
Dtrioration physique des quipements et/ou du local. Dconnexion, dbranchement ou inversion de cble. Pose de sonde dcoute. Dysfonctionnement des quipements et/ou du rseau. Vol de matriel. Piratage informatique. Vol ou manipulation de donnes.
Prvision dune tude dimplantation. Prvision de moyens de dtection des comportements anormaux. Nettoyage et entretien scuriss des locaux de manire rgulire et systmatique. Prvision de matriels de secours avec les lments ncessaires la configuration. Mesures permettant dadopter des parades (btiment antisismique, climatisation, filtre poussire, recyclage dair, Implantation dans un autre site. Prvision dun systme de reprage des cbles, ainsi quun schma de cblage. Identification des quipements au moyen de plaque didentification. Prvision de matriel de secours avec les lments ncessaires la configuration. Information et formation du personnel. Mise en place dun cahier dintervention. Prvision dun accs scuris (cl, biomtrie, badge, avec un enregistrement des accs et une remonte automatique dalarme vers un poste permanent. Dtection douverture (portes fentres,) et de mouvement.
Page 21

4.2.2. Les quipements terminaux :

MENACE
Dgts des eaux Accident dutilisation li lenvironnement : Electricit statique
CONSEQUENCES
Selon le local technique, le bureau, ainsi que la proximit humaine.
PARADES
Surtension
Indisponibilit des quipements. Destruction des composants des quipements. Indisponibilit partielle ou totale des quipements. Indisponibilit partielle ou totale des quipements. Destruction des composants des quipements qui entrane une indisponibilit totale ou partielle des matriels.
Coupure de courant
Perte de donnes. Dysfonctionnement des matriels. Indisponibilit partielle ou totale des matriels (impossibilit de redmarrage des systmes).
Isolement du sol au moyen dun revtement antistatique. Surlvation des matriels. Taux dhumidit infrieur 85% et suprieur 50%. Prvoir une installation lectrique rgule et quilibre qui prend en compte ce type de risque (circuit lectrique spcifique, rgulateur de tension, parafoudre, terres normalises et adaptes au besoin. Isoler les cbles rseaux des cbles pouvant gnrer des hautes tensions (foudre, courants forts) Prvision dune alimentation de secours rgule (onduleur (UPS), groupe lectrogne, ) avec des remontes dalarme vers un poste permanent.
Page 22

Piratage : Par coute
Perte de confidentialit.
Par utilisation illicite
Altration des informations, dtournement, fraude,
Vol
Indisponibilit partielle ou totale des quipements. Atteinte la confidentialit. Perte matriels/donnes (informations).
Destruction massive (saccage) Utilisation dun quipement terminal pour lintroduction dun virus
Indisponibilit. Perte matriels/donnes (informations). Indisponibilit. Perte dintgrit/confidentialit.
Orienter les matriels de faon ce que personne ne puisse observer ceux-ci partir dun couloir ou dune fentre. Utiliser des conomiseurs dcran avec mot de passe. Sensibiliser les utilisateurs. Consignes crites dutilisation des quipements informatiques. Protger laccs aux matriels/donnes (informations) par des mots de passe. Prvision dun contrle daccs physique aux locaux. Sensibiliser les utilisateurs. Prvision dun systme de protection (chiffrement, carte magntique). Prvision dun dispositif antivol. Assurer une gestion du parc informatique du rseau local. Prvision dune gestion des sauvegardes. Prvision dun contrle daccs aux btiments. Prvision dun ensemble de rgles et de procdures concernant le bon usage dun quipement informatique. Prvision dun contrle daccs scuris. Politique antivirale. Procdure de validation des cls USB, des CD/DVD, des supports amovibles, Verrouiller les lecteurs de supports externes voire les supprimer.
Page 23

4.2.3. Les liaisons :

MENACE
Coupure accidentelle ou volontaire de cbles (sabotage)
CONSEQUENCES
Isolement de tout ou partie du rseau local (LAN).
PARADES
Rduction des risques du blocage du rseau local par une architecture scurise en boucle et une redondance de la topologie. Protection des chemins de cble. Reprage des cbles. Plan de cblage jour. Contrles priodiques des cbles. Utilisation doutils danalyse des cbles. Ecoute/Rcupration/Modification dinformations. Protection des chemins de cble. Utilisation de la fibre optique. Vrification visuelle et physique des chemins de cble. Surveillance des caractristiques de la liaison. Surveillance des flux. Chiffrement des informations sensibles. Utilisation de matriel rpondant aux normes. Conception dun plan de cheminement. Adapter la frquence des matriels utiliss. Plan de cblage jour. Reprage des cbles. Formation du personnel de maintenance. Contrle des interventions des soustraitants.
Branchement pirate
Ecoute/Rcupration/Modification dinformations.
Interfrence (compatibilit lectromagntique des quipements Erreur de manipulation (dconnexion accidentelle)
Perturbation du fonctionnement des quipements. Brouillage. Rayonnements. Dysfonctionnements. Isolement de tout ou partie du rseau local (LAN).
Page 24

Erreur de branchement Dgts des eaux Perturbation/Ecoute/Rupture des liaisons Radio (lectromagntique), Infrarouge, Incendie
Voir Erreur de manipulation Dysfonctionnement divers Passage des chemins de cble sous des canalisations deau viter. Surlever les chemins de cble Utilisation de matriel rpondant aux normes. Passage du cble sous gaine dans les endroits risque. Bouchage des trous par manchon coupefeu. Surveillance et contrle des travaux de cblage.
Brouillage du signal. Modification ou perte dinformations.
Propagation du feu. Inefficacit du systme par feu (en particulier dans le cas dun systme dextinction par gaz). Le chemin de cble est une voie privilgie de la propagation des incendies.
Page 25

Page 26

Analyse Et Gestion Des Risques Informationnels PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Analyse Et Gestion Des Risques Informationnels PDF

Uploaded by

Copyright:

Available Formats

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES

SUPPORT DANALYSE DES RISQUES INFORMATIONNELS

DIRECTION DE LINGENIERIE ET DES APPLICATIONS

Auteur : Ph. G. NDENDE

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES

SUPPORT DANALYSE DES RISQUES INFORMATIONNELS

DIRECTION DE LINGENIERIE ET DES APPLICATIONS

Auteur : Ph. G. NDENDE

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES

SUPPORT DANALYSE DES RISQUES INFORMATIONNELS

DIRECTION DE LINGENIERIE ET DES APPLICATIONS

Auteur : Ph. G. NDENDE

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES

SUPPORT DANALYSE DES RISQUES INFORMATIONNELS

DIRECTION DE LINGENIERIE ET DES APPLICATIONS

1. PERCEPTION ET CONCEPTS DE GESTION DES RISQUES INFORMATIONNELS :

Auteur : Ph. G. NDENDE

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES

SUPPORT DANALYSE DES RISQUES INFORMATIONNELS

DIRECTION DE LINGENIERIE ET DES APPLICATIONS

SOURCES NON SCIENTIFIQUES

Rupture de laccs Internet

Auteur : Ph. G. NDENDE

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES

SUPPORT DANALYSE DES RISQUES INFORMATIONNELS

DIRECTION DE LINGENIERIE ET DES APPLICATIONS

Les concepts de gestion des risques informationnels :

Auteur : Ph. G. NDENDE

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES

SUPPORT DANALYSE DES RISQUES INFORMATIONNELS

DIRECTION DE LINGENIERIE ET DES APPLICATIONS

Auteur : Ph. G. NDENDE

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES

SUPPORT DANALYSE DES RISQUES INFORMATIONNELS

DIRECTION DE LINGENIERIE ET DES APPLICATIONS

Auteur : Ph. G. NDENDE

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES

SUPPORT DANALYSE DES RISQUES INFORMATIONNELS

DIRECTION DE LINGENIERIE ET DES APPLICATIONS

Auteur : Ph. G. NDENDE

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES

SUPPORT DANALYSE DES RISQUES INFORMATIONNELS

DIRECTION DE LINGENIERIE ET DES APPLICATIONS

2. EVALUATION ET HIERARCHISATION DES RISQUES INFORMATIONNELS :

Auteur : Ph. G. NDENDE

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES

SUPPORT DANALYSE DES RISQUES INFORMATIONNELS

DIRECTION DE LINGENIERIE ET DES APPLICATIONS

Auteur : Ph. G. NDENDE

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES

SUPPORT DANALYSE DES RISQUES INFORMATIONNELS

DIRECTION DE LINGENIERIE ET DES APPLICATIONS

Grille de frquence : FREQUENCE

Auteur : Ph. G. NDENDE

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES

SUPPORT DANALYSE DES RISQUES INFORMATIONNELS

DIRECTION DE LINGENIERIE ET DES APPLICATIONS

3. METHODOLOGIE DEVALUATION DES MENACES ET DES RISQUES (EMR) :

Auteur : Ph. G. NDENDE

AGENCE NATIONALE DES INFRASTRUCTURES NUMERIQUE ET DES FREQUENCES

SUPPORT DANALYSE DES RISQUES INFORMATIONNELS

DIRECTION DE LINGENIERIE ET DES APPLICATIONS

Auteur : Ph. G. NDENDE