Mehari 2007

MEHARI 2007
Manuel de référence
des Services de Sécurité
23 Février 2007
Espace Méthodes
CLUB DE LA SÉCURITÉ DE L’INFORMATION FRANÇAIS

30, rue Pierre Sémard, 75009 Paris
T : +33 1 53 25 08 80 / F : +33 1 53 25 08 88
clusif@clusif.asso.fr - http://www.clusif.asso.fr/
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Le CLUSIF rappelle que MEHARI est destiné à des professionnels de la sécurité et vous invite
à prendre connaissance de la licence d’utilisation et de redistribution ci-dessous :
Contrat de Licence Publique MEHARI1

Version 2007-01 : 23 Janvier 2007
MEHARI est une méthode de management des risques liés à la sécurité de l’information, conçue et mise au point
par le CLUSIF.
La distribution initiale de MEHARI, émanant du CLUSIF, est constituée de trois éléments :
- Le fichier “base de connaissance”, au format accessible par un tableur,
- Le manuel de référence des services de sécurité,
- Le manuel de référence des scénarios (ou situations) de risque.
Le présent contrat a pour objet la concession par le CLUSIF au Licencié d’une licence non exclusive, cessible et
mondiale de MEHARI telle que définie ci-après.
La redistribution et l’utilisation de cette base de connaissance et des manuels associés ("MEHARI"), avec ou sans
modification, sont autorisées à condition que les deux conditions suivantes soient remplies:
1. Les redistributions, quelque en soit la forme, doivent reproduire les formulations de copyright et les notices
applicables, dont cette liste de conditions, ainsi que la renonciation ci-dessous, dans chacun des éléments constituant la
distribution initiale,
2. Les redistributions doivent contenir une copie conforme de ce texte.
Le CLUSIF se réserve le droit de réviser cette licence, par exemple afin de prendre en compte de nouvelles
problématiques rencontrées par les logiciels libres.
Chaque mise à jour possédera un numéro de version distinct.
Toute redistribution de MEHARI obtenue sous une version donnée de la licence ne pourra faire l’objet d’une
diffusion ultérieure que sous la même version de la licence ou une version postérieure.
MEHARI est distribué “en l’état” par le CLUSIF, il s’agit d’un outil destiné à être utilisé par des spécialistes en
informatique et en sécurité et le contenu et les résultats produits par l'utilisation de la Base de Données MEHARI le
sont à titre purement indicatif, et ne sauraient se substituer à une analyse humaine par un homme de l'art compétent et
il appartient à l'Utilisateur de mettre en œuvre ses compétences et son discernement, ou de se faire assister par un
professionnel compétent.
Le CLUSIF n'est aucunement responsable de la fourniture ou du bon fonctionnement de Logiciels de Consultation.
Le CLUSIF ne pourra être reconnu responsable de quelque dommage direct ou indirect causé à l’utilisateur ou
causé à un tiers du fait de la base de données MEHARI, de son support, de sa documentation ou résultant de la
fourniture de prestations éventuelles.
MEHARI est une marque déposée par le CLUSIF.
Copyright 1997-2007 CLUSIF, PARIS, France.
http://www.clusif.asso.fr/
clusif@clusif.asso.fr
Tous droits réservés.
La permission de copier et de distribuer des copies conformes de ce document est accordée.
1
Cette licence est compatible avec les règles de GNU GPL. http://www.gnu.org/
2
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Introduction
Le présent manuel de référence a pour objectif de présenter et de définir les services de sécurité
à mettre en place pour sécuriser l’information et les systèmes d’information.
Il accompagne la base de connaissance utilisée lors de la phase d’analyse des vulnérabilités de
MEHARI et facilite celle-ci de plusieurs façons :
- par le rappel de l’objectif de chaque élément (service, sous-service et contrôle élémentaire)
des questionnaires de la base,
- par l’indication des résultats attendus au niveau des services et des sous-services,
- par la description des mécanismes et solutions associés à chaque sous-service, y compris la
distinction entre mesures organisationnelles et mesures techniques,
- par la clarification des éléments permettant d’établir la qualité de chaque sous-service selon
trois critères d’analyse : l’efficacité, la robustesse et la mise sous-contrôle2.
En ce qui concerne la place de la phase d’audit dans les démarches proposées par MEHARI, il est
nécessaire de se reporter au document « principes et mécanismes », tandis que les éléments de
mesure de la qualité des sous-services sont fournis dans le « guide du diagnostic de l’état des
services de sécurité » et leur utilisation pour évaluer les risques résiduels figurent dans le « guide de
l’analyse des risques ».
Pour un auditeur junior, souvent dérouté par la forme, souvent aride, d’un questionnaire d’audit,
ce manuel apporte des éléments d’explication utilisables soit pour lui même soit vis à vis de la
personne auditée lors des entretiens.
Ce manuel fournit par ailleurs des apports directement utilisables pour proposer des
améliorations de sécurité « ponctuelles » ou à apporter à la politique de sécurité, sinon à rédiger un
tel document. Cette phase de MEHARI permet d’obtenir directement plusieurs types d’indicateurs de
sécurité globaux : associés à des services ou domaines de sécurité ou à des thèmes transversaux
(contrôles d’accès, plans de continuité d’activité, etc.) ou aux contrôles recommandés par la norme
ISO 17799.
Pour les organisations utilisant MEHARI dans une démarche de mise en conformité à la
normalisation ISO ou de certification, ce manuel fournit des éléments d’explication pour les
bénéfices qui en résultent.
Organisation générale des services de sécurité

L’organisation de ces services3 en groupes de services et en domaines a été faite dans l’optique
d’un diagnostic de la qualité des services pouvant être utilisé pour une analyse de risques MEHARI.
L’objectif de l’analyse de risques conduit à distinguer des fonctions semblables, voire
identiques, quand elles portent sur des objets administrés et/ou utilisés par des personnes différentes
2
Cette distinction est souvent apparente, pour l’auditeur expérimenté, dans la séquence des points de contrôle
élémentaires, elle devrait être plus formalisée dans une prochaine version de MEHARI et permettre ainsi de
différencier les organisations selon leur niveau de maturité pour la sécurité de l’information.
3
Dans la suite de cette introduction, le terme « service » est utilisé pour désigner des « sous-services ».
3
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
donc devant être contrôlés lors d’entretiens spécifiques. Ainsi distingue-t-on, par exemple, des
fonctions de sécurité portant sur des équipements de réseau de celles portant sur des systèmes
informatiques.
Cette distinction, si elle peut paraître alourdir les questionnaires d’audit des services de sécurité,
facilite à la fois la charge d’audit et l’analyse des vulnérabilités qui en résulte, car les solutions
organisationnelles et techniques apportées dans chaque domaine d’application sont différentes.
De même, il est ainsi aisé de réaliser des entretiens bien ciblés auprès de chaque personne
responsable pour chaque variante d’audit définie par le schéma d’audit (par exemple pour des types
de systèmes ou des applications ou des environnements de travail spécifiques).
Objectif des services de sécurité

L’objectif recherché par chaque service est indiqué par une phrase en tête de celui-ci. Cette
formulation peut être rapprochée du terme “objective” fourni dans l’annexe A de la norme ISO
27001 mais à un niveau plus fin, pouvant correspondre au champ du terme ”control” utilisé par
ailleurs dans la norme.
Mécanismes et solutions (Mesures organisationnelles et mesures techniques)

Pour MEHARI, les questions d’audit sont autant de points de contrôle de l’existant (technique ou
organisationnel) répondant au besoin d’assurer l’objectif du service tel qu’il est décrit. Ces contrôles
correspondent à un certain niveau de « finesse » nécessaire pour faire l’évaluation des mesures en
place, sachant qu’il serait toujours possible de rechercher un niveau plus fin, au risque d’alourdir
l’audit.
Quelques services sont constitués uniquement de mesures générales organisationnelles, les
autres services – dits techniques – combinent des mesures techniques et des mesures
organisationnelles les accompagnant.
MEHARI considère que dans le premier cas, ces services sont utiles, voire nécessaires, à la
sécurité des systèmes d’information, mais dont l’effet se situe davantage au plan de l’organisation,
du pilotage de la sécurité ou de la sensibilisation, sans influence directe et mesurable sur la
potentialité ou l’impact de scénarios précis. C’est le cas de plusieurs services du domaine 1
(Organisation).
Les services techniques, la majorité, sont normalement4 associés à la réduction des risques au
travers de scénarios. Au sein de ces services :
— Les mesures techniques ont un rôle précis, une finalité directe et ont un effet immédiat sur
certains scénarios qu’il est possible de préciser. Il faut préciser que les mesures techniques
doivent être soutenues par des pratiques et des processus organisationnels adaptés,
d’accompagnement de leur mise en œuvre,
— Les mesures organisationnelles ainsi définies constituent le socle sans lequel les mesures
techniques ne peuvent être valablement efficaces (par exemple, les processus de gestion
des droits et des comptes pour les contrôles d’accès ou de gestion des clés de chiffrement
pour la confidentialité des données).
Qualité des services de sécurité

La différence entre les services ne contenant que des mesures générales et les services
4
Il arrive que ce ne soit pas le cas et alors la base de scénarios de risques peut être étendue lors de l’audit ou de
versions à venir.
4
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
techniques se traduit par des approches différentes pour l’évaluation de leur « qualité de service ».
Qualité des services de mesures générales

Pour évaluer la qualité des services de mesures générales, deux paramètres doivent être pris en
compte :
— Leur efficacité qui, dans ce cas sera vue comme leur capacité à générer des plans d’action
ou des changements significatifs de comportement
— Leur mise sous contrôle qui représente d’une part leur aptitude à être mesurés en termes de
mise en œuvre ou d’effet, et d’autre part la mise en place effective d’indicateurs et de
systèmes de contrôle.
Qualité des services techniques

Pour évaluer la qualité des services techniques, trois paramètres doivent être pris en compte :
— Leur efficacité qui représente leur capacité à accomplir pleinement leur finalité, face aux
menaces et aux agressions plus ou moins fortes
— Leur robustesse qui représente leur aptitude à résister à des attaques directes visant à les
inhiber ou à les contourner, attaques menées par des agresseurs de niveau plus ou moins
élevé.
— Leur mise sous contrôle qui représente la surveillance et le contrôle des mécanismes de
sécurité eux-mêmes impliqués dans l’accomplissement de la finalité.
Les fiches établies dans la suite du document pour présenter chaque service de sécurité
indiquent :
— La finalité du service
— Les résultats attendus de la mise en œuvre du service
— Les mécanismes et solutions supportant le service
— Les éléments à prendre en compte pour évaluer la qualité du service
Domaines de regroupement des services de sécurité

Les services de sécurité sont regroupés en 12 domaines :
— Domaine 1 : Organisation
— Domaine 2 : Sécurité des sites et bâtiments
— Domaine 3 : Sécurité des locaux
— Domaine 4 : Réseau étendu intersites
— Domaine 5 : Réseau local
— Domaine 6 : Exploitation des réseaux
— Domaine 7 : Architecture et sécurité des systèmes
— Domaine 8 : Production informatique
— Domaine 9 : Sécurité applicative
— Domaine 10 : Sécurité des projets et développements applicatifs
— Domaine 11 : Protection de l’environnement de travail
— Domaine 12 : Aspects juridiques et réglementaires
5
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Les indicateurs de sécurité de MEHARI

MEHARI a toujours incorporé la possibilité de réunir les résultats de l’analyse des services au
sein d’indicateurs globaux établis par groupe de services et par domaine mais aussi par thème
(comme la gestion des incidents ou les plans de secours).
En ce qui concerne les « thèmes », un onglet de la base fournit les moyens de constituer ces
indicateurs au nombre de 16.
Aussi, suite à l’arrivée de la norme ISO 17799, il a été décidé de fournir un indicateur par sous-
chapitre de cette norme et la formulation permettant de les établir intégrée dans un onglet de la base
de connaissances..
MEHARI et les normes ISO 27000

Depuis plusieurs versions, MEHARI a donc ajouté aux précédents indicateurs des indicateurs de
conformité de l’organisation selon le découpage de la norme ISO 17799:2000, appelés ”scoring”.
Pour MEHARI 2007, les indicateurs proposés se plient au découpage par ”control” de la version
17799:2005 (reprise dans l’annexe A de ISO 27001:2005) et sont constitués de moyennes des
résultats des réponses (Oui/Non) aux points de contrôle de l’audit qui correspondent aux
“implementation guidance” de la norme.
Ainsi, suite à une analyse des vulnérabilités effectuée conformément aux préconisations de
MEHARI, il est possible d’obtenir une suite de valeurs alignées sur le découpage de la norme et
constituant un ensemble d’indicateurs de conformité de l’organisation, ceci devant permettre de
répondre à la recommandation figurant dans la norme ISO 27001 (§4.2.1 c) de sélectionner une
méthodologie d’analyse de risque produisant des résultats « comparables et reproductibles ».
Par ailleurs, le CLUSIF a effectué un important effort de comparaison avec les deux normes et
intégré plusieurs nouveaux points de contrôle destinés à fournir des indicateurs aussi précis que
possible, tout en tirant bénéfice de la richesse de MEHARI et sans en changer les objectifs.
6
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Sommaire général des services de sécurité
Introduction....................................................................................................................3
Sommaire général des services de sécurité ...............................................................7
Domaine 1 : Organisation ...........................................................................................15
01A Rôles et structures de la sécurité...............................................................................................15
01A01 Organisation du management et du pilotage de la sécurité générale ..................................17
01A02 Organisation du management et du pilotage de la sécurité des SI......................................18
01A03 Système général de reporting et de gestion des incidents...................................................19
01A04 Organisation des audits et du plan d’audit ...........................................................................20
01A05 Gestion de crise liée à la sécurité de l’information ...............................................................21
01B Référentiel de sécurité .................................................................................................................22
01B01 Devoirs et responsabilités du personnel et du management ...............................................22
01B02 Directives générales de protection de l’information..............................................................23
01B03 Classification des ressources ...............................................................................................24
01B04 Gestion des actifs .................................................................................................................25
01C Gestion des ressources humaines.............................................................................................26
01C01 Engagements du personnel – clauses contractuelles ..........................................................26
01C02 Gestion du personnel stratégique.........................................................................................27
01C03 Procédures d’habilitation du personnel.................................................................................28
01C04 Sensibilisation et formation du personnel.............................................................................29
01C05 Gestion des tierces parties ...................................................................................................30
01C06 Enregistrement des personnes.............................................................................................31
01D Assurances ....................................................................................................................................32
01D01 Assurance des dommages matériels....................................................................................32
01D02 Assurance des dommages immatériels................................................................................33
01D03 Assurance Responsabilité Civile ..........................................................................................34
01D04 Assurance Perte de Personnages clés.................................................................................35
01E Continuité de l’activité..................................................................................................................36
01E01 Prise en compte des besoins de continuité de l’activité .......................................................36
01E02 Plans de Continuité de l’activité............................................................................................37
Domaine 2 : Sécurité des sites et bâtiments .............................................................38
02A Contrôle d’accès physique au site et aux bâtiments...............................................................38
02A01 Gestion des droits d’accès au site ou à l’immeuble..............................................................39
02A02 Gestion des autorisations d’accès au site ou à l’immeuble ..................................................40
02A03 Contrôle d’accès au site ou à l’immeuble .............................................................................41
02A04 Détection des intrusions sur le site ou dans l’immeuble.......................................................42
7
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
02A05 Accès aux zones de déchargement ou de chargement .......................................................43

Domaine 3 : Sécurité des locaux................................................................................44
03A Services généraux ........................................................................................................................46
03A01 Qualité de la fourniture de l’énergie......................................................................................46
03A02 Continuité de la fourniture de l’énergie .................................................................................47
03A03 Sécurité de la climatisation ...................................................................................................48
03A04 Qualité du câblage ................................................................................................................49
03A05 Protection contre la foudre....................................................................................................50
03B Contrôle d’accès aux locaux sensibles .....................................................................................51
03B01 Gestion des droits d’accès aux locaux sensibles .................................................................51
03B02 Gestion des autorisations d’accès aux locaux sensibles......................................................52
03B03 Contrôle d’accès aux locaux sensibles.................................................................................53
03B04 Détection des intrusions dans les locaux sensibles .............................................................54
03B05 Surveillance périmétrique des locaux sensibles...................................................................55
03B06 Surveillance des locaux sensibles ........................................................................................56
03B07 Contrôle d’accès au câblage ................................................................................................57
03B08 Localisation des locaux sensibles.........................................................................................58
03C Sécurité contre les dégâts des eaux ..........................................................................................59
03C01 Prévention des risques de dégâts des eaux.........................................................................59
03C02 Détection des dégâts des eaux ............................................................................................60
03C03 Évacuation de l’eau...............................................................................................................61
03D Sécurité contre l’incendie ............................................................................................................62
03D01 Prévention des risques d’incendie ........................................................................................62
03D02 Détection incendie ................................................................................................................63
03D03 Extinction incendie ................................................................................................................64
03E Protection contre les risques environnementaux divers........................................................65
03E01 Protection contre les risques environnementaux divers .......................................................65
Domaine 4 : Réseau étendu intersites .......................................................................66
04A Sécurité de l’architecture du réseau étendu et continuité de service...................................68
04A01 Sûreté de fonctionnement des éléments d’architecture du réseau étendu ..........................68
04A02 Télépilotage de l’exploitation du réseau étendu ...................................................................69
04A03 Organisation de la maintenance des équipements du réseau étendu .................................70
04A04 Procédures et plans de reprise du réseau étendu sur incidents ..........................................71
04A05 Plan de sauvegarde des configurations du réseau étendu ..................................................72
04A06 Plan de sauvegarde des données applicatives du réseau étendu .......................................73
04A07 Plan de Reprise d’Activité (PRA) du réseau étendu.............................................................74
04B Contrôle des connexions sur le réseau étendu........................................................................76
04B01 Profils de sécurité des entités connectées au réseau étendu ..............................................76
8
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04B02 Authentification de l’entité accédante lors d’accès entrants depuis le réseau étendu .........77
04B03 Authentification de l’entité accédée, lors d’accès sortants vers d’autres entités par le réseau
étendu ...................................................................................................................................78
04C Sécurité des données lors des échanges et des communications.......................................79
04C01 Chiffrement des échanges sur le réseau étendu..................................................................79
04C02 Contrôle de l’intégrité des échanges sur le réseau étendu ..................................................80
04D Détection et traitement des incidents sur le réseau étendu ...................................................81
04D01 Surveillance en temps réel du réseau étendu ......................................................................81
04D02 Surveillance en temps différé des traces, logs et journaux d’événements sur le réseau étendu
....................................................................................................................................82
04D03 Traitement des incidents du réseau étendu .........................................................................83
Domaine 5 : Réseau local............................................................................................84
05A Sécurité de l’architecture du réseau local.................................................................................86
05A01 Partitionnement du réseau local en domaines de sécurité...................................................86
05A02 Sûreté de fonctionnement des éléments d’architecture du réseau local..............................87
05A03 Télépilotage de l’exploitation du réseau local.......................................................................88
05A04 Organisation de la maintenance des équipements du réseau local.....................................89
05A05 Procédures et plans de reprise du réseau local sur incidents..............................................90
05A06 Plan de sauvegarde des configurations du réseau local ......................................................91
05A07 Plan de sauvegarde des données applicatives du réseau local...........................................92
05A08 Plan de Reprise d’Activité (PRA) du réseau local ................................................................93
05A09 Gestion des fournisseurs critiques du réseau local (vis-à-vis de la permanence de la
maintenance) ........................................................................................................................94
05B Contrôle d’accès au réseau local de données..........................................................................95
05B01 Gestion des profils d’accès au réseau local de données .....................................................95
05B02 Gestion des autorisations d’accès et privilèges (attribution, délégation, retrait) ..................96
05B03/05B05/05B06 Authentification de l’accédant lors de l’accès au réseau local.........................97
05B04 Authentification de l’accédant lors de l’accès au réseau local depuis un site distant via le
réseau étendu .......................................................................................................................99
05B07 Filtrage général des accès au réseau local ........................................................................100
05B08 Contrôle du routage des accès sortants .............................................................................101
05B09 Authentification de l’entité accédée, lors d’accès sortants vers des sites sensibles..........102
05C Sécurité des données lors des échanges et des communications sur le réseau local ...103
05C01 Chiffrement des échanges sur le réseau local ...................................................................103
05C03 Chiffrement des échanges lors des accès distants au réseau local...................................103
05C02 Protection de l’intégrité des échanges sur le réseau local .................................................104
05C04 Protection de l’intégrité des échanges lors des accès distants au réseau local ................104
05D Détection et traitement des incidents et anomalies du réseau local...................................105
05D01 Surveillance en temps réel du réseau local........................................................................105
9
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05D02 Surveillance en temps différé des traces, logs et journaux des événements sur le réseau local
..................................................................................................................................106
05D03 Traitement des incidents du réseau local ...........................................................................107
Domaine 6 : Exploitation des réseaux .....................................................................108
06A Sécurité des procédures d’exploitation...................................................................................110
06A01 Prise en compte de la sécurité dans les relations avec le personnel d’exploitation...........110
06A02 Contrôle de la mise en production de nouveaux logiciels ou matériels ou d’évolutions de
logiciels ou matériels...........................................................................................................111
06A03 Contrôles des opérations de maintenance .........................................................................112
06A04 Contrôle de la télémaintenance ..........................................................................................113
06A05 Gestion des procédures opérationnelles ............................................................................114
06A06 Gestion des prestataires de service ...................................................................................115
06A07 Prise en compte de la confidentialité lors des opérations de maintenance sur les équipements
de réseau ............................................................................................................................116
06A08 Gestion des contrats de services réseaux..........................................................................117
06B Paramétrage et contrôle des configurations matérielles et logicielles...............................118
06B01 Paramétrage des équipements de réseau et contrôle des configurations .........................118
06B02 Contrôle des configurations Utilisateurs .............................................................................119
06C Contrôle des droits d’administration .......................................................................................120
06C01 Gestion des droits privilégiés sur les équipements de réseau ...........................................120
06C02 Authentification et contrôle des droits d’accès des administrateurs et personnels d’exploitation
..................................................................................................................................121
06C03 Surveillance des actions d’administration des réseaux ......................................................122
06C04 Contrôle des outils et utilitaires de l’exploitation.................................................................123
06D Procédures d’audit et de contrôle des réseaux......................................................................124
06D01 Fonctionnement des contrôles d'audit ................................................................................124
06D02 Protection des outils et résultats d'audit .............................................................................125
Domaine 7 : Sécurité des systèmes et de leur architecture...................................126
07A Contrôle d’accès aux systèmes et applications.....................................................................128
07A1 Gestion des profils d’accès (droits et privilèges accordés en fonction des profils de fonction)
..................................................................................................................................128
07A2 Gestion des autorisations d’accès et privilèges (attribution, délégation, retrait) ...............129
07A3 Authentification de l’accédant .............................................................................................130
07A4 Filtrage des accès et gestion des associations ..................................................................131
07B Confinement des environnements ...........................................................................................132
07B1 Contrôle des accès aux résidus..........................................................................................132
07C Gestion et enregistrement des traces......................................................................................133
07C1 Enregistrement des accès aux ressources sensibles.........................................................133
07C2 Enregistrement des appels aux procédures privilégiées ....................................................134
07D Sécurité de l’architecture...........................................................................................................135
10
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
07D1 Sûreté de fonctionnement des éléments d’architecture .....................................................135

07D02 Isolement des systèmes sensibles .....................................................................................136
Domaine 8 : Production informatique ......................................................................137
08A Sécurité des procédures d’exploitation...................................................................................140
08A01 Prise en compte de la sécurité de l’information dans les relations avec le personnel
d’exploitation .......................................................................................................................140
08A02 Contrôle des outils et utilitaires de l’exploitation.................................................................141
08A03 Télépilotage de l’exploitation ..............................................................................................142
08A04 Contrôle de la mise en production de nouveaux systèmes ou d’évolutions de systèmes
existants..............................................................................................................................143
08A05 Contrôle des opérations de maintenance...........................................................................144
08A06 Prise en compte de la confidentialité lors des opérations de maintenance (matérielle et
logicielle) sur des systèmes de production.........................................................................145
08A07 Contrôle de la télémaintenance ..........................................................................................146
08A08 Diffusion des états imprimés sensibles...............................................................................147
08A09 Gestion des procédures opérationnelles ............................................................................148
08A10 Gestion des prestataires de service ...................................................................................149
08B Paramétrage et contrôle des configurations ..........................................................................150
08B01 Paramétrage des systèmes et contrôle des configurations systèmes ...............................150
08B02 Contrôle des configurations applicatives ............................................................................150
08B03 Contrôle de la conformité des programmes de référence ..................................................151
08B04 Contrôle des configurations Utilisateurs .............................................................................152
08B05 Contrôle du caractère licite des licences logicielles ...........................................................153
08C Gestion des supports informatiques de données et programmes......................................154
08C01 Administration des supports ...............................................................................................154
08C02 Marquage des supports de production ...............................................................................155
08C03 Sécurité physique des supports de production stockés sur site.........................................156
08C04 Sécurité physique des supports externalisés (stockés sur site externe)............................157
08C05 Vérification et rotation des supports d’archivage................................................................158
08C06 Protection des réseaux de stockage (SAN : Storage Area Network) .................................159
08D Continuité de fonctionnement...................................................................................................161
08D01 Organisation de la maintenance du matériel ......................................................................161
08D02 Organisation de la maintenance du logiciel........................................................................162
08D03 Procédures et plans de reprise des applications sur incidents ..........................................163
08D04 Sauvegarde des logiciels de base et applicatifs.................................................................164
08D05 Sauvegarde des données applicatives ...............................................................................165
08D06 Plans de reprise d’activité...................................................................................................166
08D07 Protection antivirale des serveurs de production................................................................167
08D08 Gestion des systèmes critiques (vis-à-vis de la permanence de la maintenance).............168
08D09 Sauvegarde de recours externalisées ................................................................................169
11
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08E Détection et traitement des incidents et anomalies...............................................................170

08E01 Détection et traitement en temps réel des anomalies et incidents .....................................170
08E02 Surveillance en temps différé des traces, logs et journaux ................................................171
08E03 Gestion et traitement des incidents systèmes et applicatifs ...............................................172
08F Contrôle des droits d’administration .......................................................................................173
08F01 Gestion des droits privilégiés sur les systèmes..................................................................173
08F02 Authentification et contrôle des droits d’accès des administrateurs et personnels d’exploitation
..................................................................................................................................174
08F03 Surveillance des actions d’administration des systèmes....................................................175
08G Procédures d’audit et de contrôle des systèmes de traitement de l’information..............176
08G01 Fonctionnement des contrôles d'audit ................................................................................176
08G02 Protection des outils et résultats d'audit .............................................................................177
Domaine 9 : Sécurité applicative..............................................................................178
09A Contrôle d’accès applicatif ........................................................................................................181
09A01 Gestion des profils d’accès aux données applicatives .......................................................181
09A02 Gestion des autorisations d’accès aux données applicatives ............................................182
09A03 Authentification lors de l’accès aux données applicatives..................................................183
09A04 Filtrage des accès aux données applicatives .....................................................................184
09B Contrôle de l’intégrité des données .........................................................................................185
09B01 Scellement des données sensibles (fichiers) .....................................................................185
09B02 Protection de l’intégrité des données échangées...............................................................186
09B03 Contrôle de la saisie des données......................................................................................187
09B04 Contrôles permanents.........................................................................................................188
09C Contrôle de la confidentialité des données.............................................................................189
09C01 Chiffrement des données échangées .................................................................................189
09C02 Chiffrement des données stockées ....................................................................................190
09C03 Dispositif anti-rayonnement ................................................................................................191
09D Disponibilité des données .........................................................................................................192
09D01 Enregistrement de Très Haute Sécurité (THS)...................................................................192
09D02 Reconstitution des données ...............................................................................................193
09D03 Reconstitution des traitements ...........................................................................................194
09D04 Organisation de l’archivage ................................................................................................195
09E Continuité de fonctionnement...................................................................................................196
09E01 Reconfiguration matérielle ..................................................................................................196
09E02 Plans de Continuité Utilisateurs..........................................................................................197
09E03 Plans d’urgence ..................................................................................................................198
09E04 Gestion des applications critiques (vis-à-vis de la permanence de la maintenance).........199
09E05 Reconstitution des programmes de traitement...................................................................200
09F Contrôle de l’émission et de la réception des données ........................................................201
12
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09F01 Garantie d’origine – signature électronique........................................................................201

09F02 Individualisation des messages empêchant leur duplication..............................................202
09F03 Accusé de réception ..........................................................................................................203
09G Détection et gestion des incidents et anomalies applicatifs ................................................204
09G01 Détection et traitement des incidents et anomalies applicatifs...........................................204
09H Services et applications liés au commerce électronique......................................................205
09H01 Sécurité des sites de commerce électroniques ..................................................................205
Domaine 10 : Sécurité des projets et développements applicatifs .......................206
10A Organisation interne des développements et de la maintenance .......................................207
10A01 Prise en compte de la sécurité dans les projets et développements .................................207
10A02 Gestion des changements ..................................................................................................208
10A03 Externalisation du développement logiciel .........................................................................209
10A04 Organisation de la maintenance applicative.......................................................................210
10A05 Modification des progiciels..................................................................................................211
10B Sécurité des processus des développements et de la maintenance..................................212
10B01 Sécurité des processus des développements applicatifs ...................................................212
10B02 Protection de la confidentialité des développements applicatifs ........................................213
10B03 Sécurité relative aux traitements internes des applications ...............................................214
10B04 Protection des données d'essai ..........................................................................................215
10B06 Maintenance à chaud .........................................................................................................217
Domaine 11 : Protection de l’environnement de travail .........................................218
11A Contrôle des accès aux zones de bureaux .............................................................................220
11A01 Partitionnement des bureaux en domaines de sécurité et cloisonnement .........................220
11A02 Gestion des autorisations aux zones de bureaux protégées .............................................221
11A03 Détection des intrusions dans les zones de bureaux protégées ........................................222
11A04 Surveillance des zones de bureaux protégées...................................................................223
11A05 Contrôle de la circulation des visiteurs et prestataires occasionnels .................................224
11B Protection de l’information écrite .............................................................................................225
11B01 Conservation et protection des pièces originales et éléments de preuve ou considérées
comme des valeurs patrimoniales ......................................................................................225
11B02 Rangement des bureaux et protection des documents et supports sensibles ...................226
11B03 Ramassage des corbeilles à papier et destruction des documents ...................................227
11B04 Sécurité du courrier.............................................................................................................228
11B05 Sécurité des fax ..................................................................................................................229
11B06 Sécurité des autocommutateurs .........................................................................................230
11B07 Sécurité de la messagerie électronique et des échanges électroniques d’information......231
11C Protection des postes de travail ...............................................................................................232
11C01 Contrôle d’accès au poste de travail...................................................................................232
11C02 Protection de la confidentialité des données stockées sur le poste de travail ...................233
13
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11C03 Prise en compte de la confidentialité lors des opérations de maintenance des postes
utilisateurs...........................................................................................................................234
11C04 Protection de l’intégrité des données stockées sur le poste de travail...............................235
11C05 Travail en dehors des locaux de l’entreprise ......................................................................236
11C06 Utilisation d’équipements personnels .................................................................................237
11D Continuité de service de l’environnement de travail .............................................................238
11D01 Organisation de la maintenance du matériel mis à la disposition du personnel ................238
11D02 Organisation de la maintenance du logiciel des postes utilisateurs ...................................239
11D03 Plans de sauvegardes des configurations utilisateurs........................................................240
11D04 Plan de sauvegarde des données utilisateurs stockées sur serveur .................................241
11D05 Plan de sauvegarde des données utilisateurs stockées sur le poste.................................242
11D06 Plans de protection antivirale des postes de travail ...........................................................243
11D07 Plan de Reprise de l’Environnement de Travail .................................................................244
Domaine 12 : Domaine juridique et réglementaire..................................................245
12A Respect de la réglementation concernant les rapports avec le personnel ou des tiers ..245
12B Protection de la propriété intellectuelle...................................................................................245
12D Respect de la réglementation extérieure et de la législation concernant la cryptologie..245
12A01 Respect de la réglementation extérieure et de la législation concernant le respect de la vie
privée ..................................................................................................................................247
12A02 Respect de la réglementation extérieure et de la législation concernant les accès non
autorisés à des systèmes tiers ...........................................................................................247
12B01 Respect de la réglementation extérieure et de la législation concernant la protection de la
propriété des logiciels .........................................................................................................247
12D01 Respect de la réglementation extérieure et de la législation concernant l’usage de la
cryptologie...........................................................................................................................247
12C Respect de la législation concernant la communication financière....................................248
12C01 Respect de la réglementation extérieure et de la législation concernant la communication
financière ............................................................................................................................248
12E Respect de la réglementation concernant la vérification de la comptabilité informatisée249
12E01 Conservation des données et traitements ..........................................................................249
12E02 Documentation des données, procédures et traitements liés à la comptabilité .................250
14
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Domaine 1 : Organisation
01A Rôles et structures de la sécurité

Objectif :
Mettre en place les structures organisationnelles de sorte que la sécurité de l’information et des
systèmes qui la traitent puisse être prise en charge à tous les niveaux nécessaires de l’entreprise.
Résultats globaux attendus :
Piloter la sécurité pour atteindre un niveau de risque résiduel en ligne avec les objectifs de
l’organisation.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à cinq types de mesures complémentaires :
— 01A01 : Organisation du management et du pilotage de la sécurité générale
— 01A02 : Organisation du management et du pilotage de la sécurité des systèmes d'information
— 01A03 : Système général de reporting et de suivi des incidents
— 01A04 : Organisation des audits et du plan d'audit
— 01A05 : Gestion de crise
01B Référentiel de sécurité

Objectif :
Définir les principes de management (de la sécurité) de sorte que la sécurité des systèmes
d’information puisse être prise en charge à tous les niveaux de management et de conduite des
opérations, dans l’entreprise.
Assurer la cohérence dans les décisions prises relatives à la sécurité des systèmes d’information
Les services de sécurité correspondants sont relatifs à quatre types de mesures complémentaires :
— 01B01 : Devoirs et responsabilités du personnel et du management
— 01B02 : Directives générales relatives à la protection de l’information
— 01B03 : Classification des ressources
— 01B04 : Gestion des actifs
01C Gestion des ressources humaines

Objectif :
Mettre en place les principes de management et l’organisation de moyens de gestion du personnel de
sorte que celui-ci soit placé dans les conditions adéquates pour prendre correctement en charge les
aspects liés à la sécurité de l’information.
Prise en compte de la sécurité par le personnel
Les services de sécurité correspondants sont relatifs à quatre types de mesures :
— 01C01 : Engagements du personnel – clauses contractuelles
15
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
— 01C02 : Gestion du personnel stratégique

— 01C03 : Procédure d’habilitation du personnel
— 01C04 : Programme de sensibilisation et de formation à la sécurité
— 01C05 : Gestion des tierces parties
— 01C06 : Enregistrement des personnes
01D Assurances
Objectif :
Réduire le coût de certains sinistres en se couvrant par des assurances adaptées.
Résultats attendus :
Limiter la perte finale du sinistre à un montant maximum en mutualisant les pertes au dessus d’un
certain seuil.
Les services de sécurité correspondants sont relatifs à quatre types d’assurances :
— 01D01 : Assurance des dommages matériels
— 01D02 : Assurance des dommages immatériels
— 01D03 : Assurance Responsabilité Civile
— 01D04 : Assurance « Perte de personnages clés »
01E Continuité de l’activité

Objectif :
Réduire le coût de certains sinistres en analysant au préalable les besoins fondamentaux de l’activité
en termes de continuité et en mettant en place les plans correspondants.
Définir et mettre en place les plans de continuité de l’activité adaptés aux besoins de l’entreprise.
Les services de sécurité correspondants sont relatifs à quatre types d’assurances :
— 01E01 : Prise en compte des besoins de continuité de l’activité
— 01E02 : Plans de continuité
16
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01A Rôles et structures de la sécurité
01A01 Organisation du management et du pilotage de la sécurité générale

Objectif :
S’assurer que tous les domaines de sécurité ont un responsable et qu’il existe une structure de
coordination, à même de prendre toute décision transverse.
Éviter des trous et des domaines non couverts qui pourraient représenter un risque pour l’information
et des incohérences entre domaines qui pourraient avoir un impact négatif sur la sensibilisation des
responsables et des utilisateurs.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels.
Mesures organisationnelles
— Identifier, en fonction de l’organisation, les domaines de sécurité devant être couverts :
¾ sécurité physique des sites et bâtiments
¾ sécurité de l’information courante non supportée par les systèmes d’information (courrier, téléphone,
documents imprimés, etc.)
¾ sécurité informatique et des réseaux
¾ etc.
— Attribuer chaque domaine à un responsable et définir les rôles et responsabilités de chaque intervenant dans
ce domaine
— Mettre en place une structure de coordination et de mise en cohérence
Qualité de service
— L’efficacité du service est directement liée à l’implication réelle de l’organisation, ainsi qu’à la précision et à
l’actualisation des définitions de fonction :
¾ Raison d’être de chaque fonction ayant un impact sur la sécurité
¾ Finalités, rôles et responsabilités
¾ Activités
¾ Liaisons et relations avec les autres fonctions
— La mise sous contrôle est directement liée à l’existence d’indicateurs de performance et de tableaux de bord
ainsi qu’à la mise en place d’un système de reporting et de pilotage se traduisant par des plans d’action et un
suivi de ces plans.
17
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01A02 Organisation du management et du pilotage de la sécurité des SI

Objectif :
Organiser le management et le pilotage de la sécurité des systèmes d’information
Mettre en place des processus de prise de décision concernant la sécurité des SI et de contrôle des
actions menées en conséquence
— Définir la Politique de sécurité de l’information
— Définir les principes généraux de management et de pilotage de sécurité des SI :
¾ Rôles et responsabilités
¾ Schéma de décision et d’arbitrage
— Définir les modes de management de la sécurité :
¾ Méthodologie, outils et acteurs
¾ Processus détaillé de décision et d’arbitrage et rôles respectifs de la fonction sécurité, de la fonction
informatique, des responsables opérationnels et des responsables fonctionnels d’un domaine d’activité
(propriétaires d’informations, etc.)
— Définir les procédures de pilotage :
¾ Tableau de bord
¾ Plans d’action
¾ Système de reporting et de monitoring
— Définir les centres de compétence et de conseil et leur management
— Mettre en place une veille technologique (participation à des associations spécialisées) afin que l’organisation
reste adaptée aux évolutions technologiques (par exemple impact de l’émergence des réseaux WiFi sur
l’organisation)
Qualité de service
— L’efficacité du service est directement liée à la prise en compte de l’ensemble des points ci-dessus et à la
précision des directives qui ont pu être établies (principes généraux, organisation détaillée, procédures
exécutoires, …). Dans les grandes organisations, elle est aussi liée au périmètre d’application (filiales, etc.).
— La mise sous contrôle est directement liée à plusieurs facteurs :
¾ L’existence d’indicateurs de performance et de tableaux de bord relatifs à la mise en place de
l’organisation de la sécurité, ainsi qu’à la mise en place d’un système de reporting et de pilotage (relatif à
ce point précis) se traduisant par des plans d’action et un suivi de ces plans.
¾ La mise en place d’une veille technologique (participation à des associations spécialisées) afin que
l’organisation reste adaptée aux évolutions technologiques (par exemple impact de l’émergence des
réseaux WiFi sur l’organisation)
¾ Des procédures de mise à jour de l’organisation et des définitions de fonction en fonction des évolutions
structurelles de l’entreprise
18
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01A03 Système général de reporting et de gestion des incidents

Objectif :
Avoir une vue globale, et une mise en perspective dans le temps, des incidents, que ces incidents
soient réels ou soupçonnés, que les tentatives aient abouti ou non.
Les résultats attendus sont multiples :
— Détecter les évolutions lentes et permettre une meilleure anticipation des mesures nécessaires
— Favoriser une mise en commun et une capitalisation des connaissances acquises à l’occasion de la gestion
des incidents et diffuser cette connaissance aux personnes intéressées
— Participer à la formation et à la sensibilisation des opérationnels et des utilisateurs
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais des mesures
techniques de support peuvent être nécessaires.
— Définir une typologie des incidents à prendre en compte :
¾ Typologie générale de classement
¾ Domaine de survenance (exploitation, utilisateur, attaque de tiers, etc.)
¾ Gravité
¾ Réels ou soupçonnés
¾ Tentative aboutie ou non
— Définir ce que l’on souhaite conserver comme information :
¾ Description
¾ Anonymat ou non des acteurs
¾ Personnes à contacter
¾ Impact réel
— Définir le mode de collecte et de consolidation (et de validation)
— Définir les processus d’enrichissement, de mise à jour et de consultation
— Définir les droits d’accès (création, mise à jour, consultation, etc.)
Mesures techniques
Les mesures techniques d‘accompagnement comprennent :
— Le support d’un SGBD et d’un serveur accessible par tous les intéressés
— Des processus éventuels de contrôle et de validation de l’information (Workflow)
— Des processus (automatisés ou non) d’exploitation (sauvegardes, etc.)
Qualité de service
— L’efficacité du service est directement liée :
¾ à la prise en compte de l’ensemble des points ci-dessus et à la précision des directives qui ont pu être
établies (principes généraux, organisation détaillée, procédures exécutoires, …),
¾ à l’étendue de sa mise en œuvre (filiales, etc.),
¾ aux moyens supports permettant un enrichissement progressif et un accès facile et sélectif à l’information
— La mise sous contrôle est directement liée à l’existence d’indicateurs de performance et de tableaux de bord
relatifs à la mise en place du système de gestion des incidents, ainsi qu’à la mise en place d’un système de
reporting et de pilotage (relatif à ce point précis) se traduisant par des plans d’action et un suivi de ces plans.
19
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01A04 Organisation des audits et du plan d’audit

Objectif :
Exprimer les besoins d’audit de sécurité des systèmes d’information et faire prendre en compte ces
besoins par une structure d’audit (interne ou externe).
Éviter que les recommandations ou directives exprimées ne soient pas suivies et que les
comportements se dégradent au fil du temps.
La fonction sécurité de l’information est souvent placée en position de conseil et de diagnostic. Il lui est
donc difficile d’assumer simultanément une fonction véritable d’audit : il est alors souhaitable que cette
fonction soit prise en charge par une structure dont c’est le métier et d’assurer les liaisons nécessaires
avec elle.
Les mécanismes à mettre en œuvre sont exclusivement organisationnels.
Les mesures nécessaires sont de plusieurs types :
— Définir un référentiel d’audit sur lequel la fonction pourra se baser :
¾ Définitions des termes et obligations du personnel
¾ Directives incontournables et recommandations
¾ Procédure de dérogation et supports de cette procédure
— Définir les liaisons avec l’organisation de l’audit interne (ou externe) :
¾ Mise au point du programme d’audit annuel
¾ Communication des résultats et travail sur les recommandations résultant des audits
¾ Communication à la fonction sécurité des systèmes d’information des résultats des audits autres que SSI
Qualité de service
— L’efficacité du service est directement liée à
¾ La précision du référentiel et des définitions des termes de base et des obligations du personnel en
découlant
¾ la fréquence des contacts entre fonction sécurité et audit interne
— La mise sous contrôle est directement liée à l’existence :
¾ d’indicateurs de suivi des audits et de leur fréquence
¾ du suivi des recommandations qui en sont issues
20
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01A05 Gestion de crise liée à la sécurité de l’information

Objectif :
Faire en sorte qu’en cas d’accident ou de crise grave touchant les systèmes d’information, une cellule
de crise puisse être réunie rapidement avec les personnes concernées, compétentes et habilitées à
prendre et à faire appliquer les décisions nécessaires.
Éviter qu’en cas d’accident grave touchant les systèmes d’information, on perde un temps précieux
pour réunir les personnes concernées par les décisions à prendre.
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais nécessitent quelques
mesures techniques d’accompagnement.
Les mesures organisationnelles nécessaires sont de plusieurs types :
— Identifier les principaux types d’accident ou crises pouvant toucher les systèmes d’information et définir pour
chacun d’entre eux :
¾ Les personnes concernées à réunir en cellule de crise
¾ L’endroit où cette cellule devrait se réunir
¾ La ou les personnes à contacter en premier pour qu’elles fassent éventuellement un premier diagnostic et
réunissent la cellule de crise
— Identifier les moyens logistiques nécessaires à chaque cellule de crise :
¾ Locaux et moyens techniques
¾ Moyens de communication
¾ Moyens d’information
— Mettre en place les moyens primaires nécessaires au déclenchement de la période de crise :
¾ Premiers symptômes pouvant être constatés par les gardiens, les services généraux ou tout membre du
personnel
¾ Définir, diffuser et rendre disponible à tous les premières consignes : appeler un service d’astreinte unique
dont le numéro est simple à mémoriser
¾ Mettre à disposition de ce service un document décrivant les divers cas de crise, les personnes à
contacter dans chaque cas (au moins 3) avec leurs coordonnées (bureau, domicile, mobile, lieu de
vacances, etc.) et tenir à jour ce document
— Incorporer le plan de crise Système d’Information au plan de crise général s’il existe
Mesures techniques
Les mesures techniques d’accompagnement sont de plusieurs types :
— La mise à disposition d’un outil de suivi et de mise à jour du plan de crise
— La mise à disposition des moyens logistiques nécessaires à la cellule de crise
Qualité de service
¾ La précision des symptômes décrits
¾ La pertinence du schéma de déclenchement de crise (confirmation du diagnostic, bonnes personnes
présentes, etc.)
— La mise sous contrôle est directement liée à :
¾ L’existence d’outils de mise à jour du plan de crise
¾ L’audit de cette mise à jour
21
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01B Référentiel de sécurité

01B01 Devoirs et responsabilités du personnel et du management
Objectif :
Expliciter et porter à la connaissance du management les comportements souhaités, admis et
interdits, tant de la part du personnel que du management.
Faire en sorte que le management sache ce qu’il doit faire personnellement et ce qu’il doit exiger de
son personnel, en termes de comportement.
La cible visée est donc bien le management, la communication au personnel de ce qu’il doit faire étant
prise en charge par le service traitant des engagements du personnel.
Certaines parties de cette charte, parfois appelée charte de management, peuvent ne pas être
communiquées au personnel.
Il ne s’agit pas des directives précises et techniques de ce qu’il convient de faire en telle ou telle
circonstance (point traité dans le service suivant) mais bien des types de comportements autorisés ou non
(comme par exemple la lecture du courrier électronique du personnel, la gestion des conflits d’intérêts,
etc.)
Les mesures organisationnelles nécessaires consistent ainsi à identifier les principaux types de
comportement, tant du personnel que du management et à décider pour chacun d’eux :
— S’il est recommandé, autorisé, toléré ou interdit
— Si ce caractère sera officiellement communiqué ou non
— La conduite à tenir face à de tels comportements de la part d’un collaborateur ou de la part d’un collègue
Mesures techniques
— Communiquer au management et rendre disponible cette charte
— La protéger contre une altération qui pourrait conduire à tolérer ou à avoir soi-même des comportements
interdits (protection particulièrement nécessaire si la communication a lieu sur un Intranet)
Qualité de service
¾ La précision des comportements décrits
¾ La pertinence de la description de la conduite à tenir en cas de manquement
¾ L’existence d’une procédure de revue de cette charte
¾ L’audit de l’authenticité de la charte publiée
¾ L’application réelle de la charte
22
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01B02 Directives générales de protection de l’information

Objectif :
Expliciter et porter à la connaissance de l’ensemble du personnel les directives et mesures à prendre
concernant la protection de l’information.
son personnel, en termes de mesures de protection.
Éviter donc des défauts de protection par négligence ou méconnaissance et dissuader les actions
volontaires nuisibles en ayant bien averti qu’elles étaient interdites.
Les mesures organisationnelles nécessaires consistent ainsi à identifier les différents secteurs
nécessitant des directives précises et éditer ces directives. Les domaines possibles à traiter sont :
— La protection des accès aux réseaux, les cloisonnements internes et les conditions d’accès aux réseaux
externes
— La protection des accès aux ressources internes et les conditions de gestion des autorisations d’accès
— L’exploitation des ressources informatiques et télécom
— Les développements informatiques et les projets
— La gestion de l’environnement de travail et sa protection
Mesures techniques
— Communiquer à tout le personnel l’ensemble de ces directives et les rendre disponibles et consultables
facilement en cas de besoin
— Les protéger contre une altération qui pourrait conduire à indiquer des mesures qui ne seraient pas
pertinentes ou suffisantes (protection particulièrement nécessaire si la communication a lieu sur un Intranet)
Des mesures techniques essentielles ne doivent pas être oubliées et consistent à rendre disponibles
les solutions techniques exigées par les directives.
Qualité de service
¾ La précision des directives et cas traités
¾ L’existence de moyens et de solutions techniques (disponibles en interne) en relation avec les exigences
de sécurité
¾ L’existence d’une procédure de revue des directives
¾ L’audit de l’authenticité des directives publiées
¾ L’application réelle des directives
¾ L’audit de la pertinence de l’offre disponible en interne vis-à-vis des directives
23
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01B03 Classification des ressources

Objectif :
Expliciter et porter à la connaissance de l’ensemble du personnel concerné le degré de sensibilité des
supports d’information ou de communication et des ressources du système d’information (données,
applications, ressources de traitement et de communication) qu’ils gèrent et utilisent.
Permettre que le degré de protection apporté à chaque ressource soit proportionné au degré de
sensibilité de cette ressource.
Les mesures organisationnelles consistent :
— dans un premier temps, à identifier les principaux types de dysfonctionnements et à en évaluer la gravité
— dans un deuxième temps, à évaluer selon 3 ou 4 critères (D, I, C, P) si une ressource peut être à l’origine d’un
tel dysfonctionnement ou y participer et, dans ce cas, à évaluer la sensibilité de la ressource pour ce critère
en fonction directe de la gravité du dysfonctionnement considéré.
Les mesures organisationnelles préalables à la classification proprement dite ont pour objet de
préciser les classes d’objets considérés comme équivalents et qui recevront donc une classification
identique.
Mesures techniques
— Communiquer à tout le personnel l’ensemble de ces classifications et les rendre disponibles et consultables
— Les protéger contre une altération qui pourrait conduire à indiquer une classification erronée, et en particulier
insuffisante.
Qualité de service
¾ La globalité du processus de classification et l’exhaustivité des domaines traités
¾ Le niveau de décision et de consensus obtenu sur la classification
¾ L’existence d’une procédure de revue périodique de la classification
¾ L’audit de la mise en œuvre de cette procédure
24
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01B04 Gestion des actifs

Objectif :
Assurer une gestion des actifs matériels ou immatériels telle que le niveau de protection apporté à
chacun soit décidé et contrôlé par la personne la mieux à même de le faire.
Permettre que chaque actif reçoive le niveau de protection approprié.
Les mesures organisationnelles consistent :
— à définir les principaux types devant être identifiés et inventoriés :
¾ informations (bases de données, fichiers, contrats et accords, documentation, manuels, procédures,
plans, archives, etc.),
¾ logiciels (applications, firmware, middleware, outils et utilitaires, etc.),
¾ équipements matériels (ordinateurs, équipements de réseau, media, etc.),
¾ services et servitudes (énergie, chauffage, climatisation, etc.),
¾ personnes ou savoir-faire,
¾ actifs intangibles tels que la réputation ou l'image.
— à inventorier lesdits actifs.
— à définir et attribuer les responsabilités concernant la gestion des actifs (définition d’un propriétaire,
responsabilités à prendre, contrôles à effectuer, etc.)
— à faire établir (par les propriétaires) les règles de sécurité concernant les actifs dont ils sont responsables :
règles d’utilisation, de protection, de gestion (entrée et sortie d’actifs), de modification ou de destruction, etc..
Qualité de service
¾ L’exhaustivité des domaines d’actifs traités
¾ La nomination effective de propriétaires d’actifs
¾ La précision des règles édictées
¾ L’existence d’une procédure de revue périodique de la nomination de propriétaires et des attributions de
responsabilité aux propriétaires
¾ L’audit de la rédaction effective de règles de protection et d’utilisation par les propriétaires
25
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01C Gestion des ressources humaines

01C01 Engagements du personnel – clauses contractuelles
Objectif :
Réduire l’occurrence d’actions néfastes ou potentiellement dangereuses en les interdisant.
Limiter l'exposition à des erreurs, accidents ou malveillances en interdisant, éventuellement en
fonction de certaines circonstances, certaines pratiques ou actions à un certain nombre de personnes.
La faculté éventuellement laissée aux personnes en situation d’agir de juger de la situation permet
d’apporter une souplesse à la mesure d’interdiction, ce que ne permettrait pas une mesure purement
préventive.
Mécanismes et solutions :
On ne devrait jamais perdre de vue que parmi les solutions possibles pour empêcher une action
potentiellement néfaste ou nuisible, il y a tout simplement l’interdiction de cette action. Le mécanisme
sous-jacent réside dans le fait que nombre de personnes respecteront cette interdiction par éthique et que
d’autres la respecteront par crainte de sanction en cas de violation délibérée.
Il s’agit ici de mesures essentiellement organisationnelles, pouvant s’appuyer, occasionnellement, sur
des mesures techniques.
— Les mesures de base consistent en des clauses signées ou acceptées par le personnel :
¾ Règlement intérieur s’imposant à tous
¾ Clauses contractuelles, générales ou spécifiques
¾ Notes de procédures notifiées et s’imposant à une partie du personnel
— Les mesures complémentaires sont la mise en place de points de contrôle :
¾ Enregistrement des actions menées
¾ Audit des comportements
Mesures techniques
— Des mesures techniques d’accompagnement peuvent être nécessaires pour enregistrer certaines actions et
permettre un audit ultérieur
Efficacité des mesures

— L’efficacité du service est liée à 3 facteurs :
¾ La précision des directives imposées et des domaines d’application, pour éviter toute ambiguïté derrière
laquelle les utilisateurs pourraient se réfugier.
¾ La communication à l’ensemble des personnes intéressées, qui peut aller jusqu’à la mise en place d’un
processus formel de reconnaissance de réception de l’information et d’acceptation des directives
¾ Le contrôle, par le management, du suivi des règles ou clauses édictées.
— La mise sous contrôle consiste en une vérification périodique de l’adéquation des directives au contexte et
aux évolutions d’organisation ou technologiques.
26
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01C02 Gestion du personnel stratégique
Objectif :
Limiter, si possible les causes de départ ou d’absence de personnel stratégique.
Limiter les conséquences de tels départ ou absences, le cas échéant.
Réduire les risques liés à une indisponibilité ou à une absence de personnel stratégique.
Les mesures sont exclusivement organisationnelles
La première mesure consiste à identifier le personnel stratégique essentiel, éventuellement à
l’occasion de la classification des informations et des ressources du système d’information.
Il convient ensuite, comme pour toute ressource dont la disponibilité est critique, à préparer un plan de
secours pour le cas où ces personnes viendraient à être absentes, pour quelque cause que ce soit. On
notera que la capitalisation de leur savoir faire fait partie du plan de secours : une documentation écrite ne
remplacera jamais un expert, mais elle facilitera quand même son remplacement par un non expert.
Les mesures complémentaires visent à fidéliser le personnel stratégique par une gestion de carrière
adaptée et « spécialisée »
Qualité de service
— Comme pour tout plan de secours, l’efficacité du plan dépend du soin apporté à sa préparation. Si l’on peut
prévoir à l’avance qui remplacerait une personne dans un poste stratégique, il vaut mieux l’y préparer, voire le
former dans ce sens.
— La mise sous contrôle de la gestion du personnel stratégique consiste en des audits régulier :
¾ De l’existence d’une liste des personnels stratégiques
¾ De l’existence de plans de remplacement pour les personnels stratégiques
¾ De la pertinence de ces plans
27
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01C03 Procédures d’habilitation du personnel

Objectif :
Vérifier, avant d’affecter une personne dans un poste sensible, que cela ne risque pas de le mettre
dans une situation de conflit d’intérêt ou dans une position où il pourrait subir des pressions inacceptables
Éviter que du personnel placé dans une position de conflit difficile à gérer réagisse au détriment des
intérêts de l’entreprise.
Les situations que l’on cherche à éviter sont des situations dans lesquelles, de par sa famille directe
ou proche, un salarié pourrait subir des demandes le mettant en difficulté vis-à-vis de son devoir de
loyauté envers l’entreprise (comme par exemple donner des renseignements confidentiels, influer sur une
décision dans un sens favorable à l’une des parties en cause, favoriser l’avancement d’une personne, etc.)
Les mesures sont exclusivement organisationnelles
Les mesures préliminaires consistent à identifier les postes sensibles pour lesquels une habilitation
semble nécessaire.
Les mesures de base consistent à faire remplir au personnel, puis actualiser, une fiche de
renseignement assez complète décrivant ses liens familiaux directs et indirects et les activités de ses
proches pour détecter assez tôt les difficultés éventuelles futures et éviter de le placer dans une position
difficile.
Les mesures d’accompagnement sont de la communication pour bien faire comprendre aux personnes
concernées qu’il est de l’intérêt de toutes les parties d’éviter des situations de conflit d’intérêt.
Enfin, dans certaines entreprises, il est possible de faire faire une enquête par des services
gouvernementaux (DST, Défense, CEA, etc.)
Qualité du service
— L’efficacité du service dépend de la précision et de l’exhaustivité de la procédure d’entretien préalable et de
renseignement sur le titulaire (plus ces renseignements seront précis, plus le titulaire pourra penser à une
difficulté éventuelle et moins il pourra passer sous silence un point délicat).
— La mise sous contrôle du service consiste à auditer :
¾ La liste les postes sensibles
¾ Les fiches d’habilitation remplies pour ces postes
28
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01C04 Sensibilisation et formation du personnel

Objectif :
Faire en sorte que tous les personnels (utilisateurs, managers et informaticiens) comprennent les
enjeux de la sécurité et sachent quelle conduite tenir vis-à-vis de l'information ou des ressources
spécifiques qu’ils gèrent ou utilisent.
Limiter l'exposition à des erreurs ou accidents par manque d'attention, par inadvertance ou par
méconnaissance des mesures adéquates.
Les programmes sont de deux types : sensibilisation et formation :
— La sensibilisation a pour objectif de convaincre chacun, d’une part de l’existence de risques réels et de leur
impact sur le fonctionnement de l’entreprise, d’autre part qu’il est concerné par la réduction du risque et que
ce n’est pas « le problème des autres ».
— La formation a pour objectif, en complément, d’apprendre à chacun les bonnes pratiques qui sont
nécessaires pour réduire les risques.
Il s’agit donc de mesures complémentaires, la formation sans sensibilisation étant sans effet de même
que la sensibilisation sans formation.
Il n’existe pas de programmes standards et l’adaptation au contexte et à la culture de l’entreprise est la
règle. On peut, néanmoins faire deux constats :
— Une réflexion sur les enjeux de la sécurité, en particulier par une classification des informations sensibilise
particulièrement les utilisateurs
— Une analyse des risques avec recherche de solutions pour les risques inacceptables, est une excellente
façon de former les utilisateurs et chefs de projet.
Qualité de service
— L’efficacité de la sensibilisation et/ou de la formation est impossible à mesurer. Les seuls aspects
quantifiables sont :
¾ l’étendue des programmes de sensibilisation : ont-ils touché l’ensemble des collaborateurs
¾ l’étendue des programmes de formation : ont-ils touché l’ensemble des métiers
¾ la facilité d’accès aux outils de formation et aux solutions face à chaque problème (documentation, FAQ,
Intranet, etc.)
¾ La répétition ou la fréquence des messages et des sensibilisations, étant entendu qu’avec l’usage et
l’habitude, les utilisateurs amenés à traiter des informations sensibles ou à utiliser ou administrer des
ressources sensibles font progressivement moins attention qu’au tout début et que le renouvellement des
campagnes de sensibilisation est la seule garantie de leur efficacité.
— La mise sous contrôle des plans de sensibilisation consiste en des audits réguliers :
¾ De la conformité aux plans proposés des actions menées
¾ Des indices de satisfaction, s’ils ont été recueillis
29
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01C05 Gestion des tierces parties

Objectif :
Faire en sorte que les tierces parties pouvant avoir accès au système d’information sachent quelle
conduite tenir vis-à-vis de l'information ou des ressources spécifiques auxquelles elles ont accès et
s’engagent à respecter les règles de sécurité correspondantes.
Limiter l'exposition à des erreurs ou accidents par manque d'attention, par inadvertance ou par
méconnaissance des mesures adéquates, de la part de tierces parties.
Le premier aspect est de recenser de manière exhaustive les diverses tierces parties pouvant avoir
accès à tout ou partie du système d’information, au sens le plus large du terme :
— Prestataires (exploitation, maintenance, fournisseurs d’accès, fournisseurs de services, etc.)
— Partenaires (prestations de services, développeurs de logiciels, etc.)
— Clients
— Public
Le deuxième aspect est une analyse précise des risques spécifiques à chaque cas.
Le dernier aspect est la définition des règles de sécurité nécessaires pour limiter les risques et leur
incorporation dans des clauses ou engagements à faire signer par chaque tierce partie.
Qualité de service
— L’efficacité de la gestion des tierces parties dépend de plusieurs facteurs :
¾ L’exhaustivité de l’analyse des accès par des tiers au système d’information
¾ La profondeur de l’analyse des risques et l’exhaustivité des règles de sécurité
¾ La rigueur dans l’application des règles à tous les cas de figure
— La mise sous contrôle de la gestion des tierces parties comprend :
¾ L’audit des clauses et engagements signés
¾ Le contrôle du maintien de la pertinence des actions et mesures décidées
30
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01C06 Enregistrement des personnes

Objectif :
Gérer les utilisateurs du système d’information de manière à pouvoir tracer toute action et l’imputer à
une personne physique
Faire en sorte que tout utilisateur du système d’information puisse être identifié de manière sûre et
sans ambiguïté et cela dès l’attribution de droits généraux..
Le premier point consiste en une procédure unique et centralisée de l’enregistrement de tout nouvel
utilisateur avec attribution d’un identifiant unique et sans doublon.
Le deuxième point, corollaire du précédent, est la suppression de tout identifiant générique des
systèmes et applications
Le dernier point est le contrôle des droits généralement accordés dès l’enregistrement et hors
procédure particulière d’accès à tel système ou telles données : accès au réseau interne, à la messagerie,
à des services communs (intranet, etc.) :
— Accord (général) des propriétaires concernés
— Information des utilisateurs des droits et devoirs correspondants
Qualité de service
— L’efficacité de l’enregistrement des personnes et de la gestion des identités dépend de :
¾ L’exhaustivité des domaines couverts par la gestion centralisée des identifiants
¾ La gestion des doublons potentiels
¾ La procédure de vérification et de suppression des identifiants génériques dans les systèmes et
applications
— La mise sous contrôle de l’enregistrement des personnes comprend:
¾ L’audit des identifiants attribués aux personnes
¾ L’audit des systèmes et applications pour l’inexistence de login génériques
31
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01D Assurances
01D01 Assurance des dommages matériels
Objectif :
certain seuil.
Mesures, mécanismes et solutions :
On ne devrait jamais perdre de vue que le but de l’assurance est de mutualiser les pertes entre un
grand nombre d’entreprises et de faire ainsi jouer la loi des grands nombres, alors que le coût maximal
d’un sinistre pourrait être inacceptable pour une seule entreprise. L’assurance n’a donc de sens que pour
couvrir des événements à probabilité d’occurrence faible (assurer de petits sinistres à coût unitaire faible
et relativement fréquents, comme des vols de portables, revient à faire supporter à l’entreprise non
seulement le coût direct de ces sinistres, mais, en supplément les charges de l’assureur).
Les mesures à prendre sont exclusivement organisationnelles.
Les mesures organisationnelles de base consistent à :
— Bien analyser les sinistres matériels à couvrir et les causes primaires de ces sinistres, afin que tant les
conséquences primaires que leurs causes soient bien indiquées dans la police :
¾ Sinistres matériels survenant sur les systèmes informatiques et de télécommunication ainsi que sur leurs
périphériques, le câblage et les installations de servitudes associées
¾ Sinistres survenant accidentellement (incendie, dégâts des eau, foudre, etc.), par erreur humaine, par
sabotage, vandalisme (y compris par le personnel de l’entreprise, ou préposé à son opération ou son
entretien)
— Bien analyser toutes les conséquences de ces sinistres et toutes les actions qu’il conviendrait de lancer et de
financer pour y faire face et d’inclure la couverture de ces frais dans les garanties :
¾ Frais réels de réinitialisation des systèmes touchés par le sinistre (frais d’installation, de redémarrage et de
test des systèmes de remplacement, frais de reconstitution des données et des supports
¾ Tous les frais supplémentaires d’exploitation et de fonctionnement supportés sur un exercice (ou plus)
¾ Frais engagés par l’entreprise pour rétablir son image auprès de ses clients ou partenaires
¾ Perte d’exploitation engendrée par le sinistre
— Bien analyser toutes les exclusions pour s’assurer qu’elle correspondent bien à des événements tout à fait
improbables que l’on est bien décidé à auto assurer.
La finalisation du contrat consiste ensuite à déterminer le plafond des garanties et le montant des
franchises pour différents types de sinistres, en tenant compte de ce qui a été dit en introduction afin de
vérifier, selon la politique retenue, que l’assurance permettra effectivement de rendre un sinistre tolérable
(il reste grave mais l’entreprise peut survivre) ou facilement acceptable (ce qui reste à la charge de
l’entreprise peut être facilement supporté sur une exercice, ce qui représente le maximum que l’on puisse
attendre de ce service).
Qualité de service
— L’efficacité de l’assurance réside dans
¾ La bonne définition des plafonds de garantie et des franchises
¾ la bonne définition des sinistres à couvrir, en termes de conséquences primaires et de leurs causes
possibles.
— La robustesse de l’assurance réside dans l’analyse détaillée des clauses d’exclusion et dans l’élimination des
clauses d’exclusion inacceptables
— La mise sous contrôle du service consiste à auditer régulièrement :
¾ l’adéquation des clauses du sinistre et de la franchise aux évolutions éventuelles du système d’information
¾ les plafonds de garantie et notamment les montants d’investissements unitaires éventuellement déclarés
32
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01D02 Assurance des dommages immatériels

Objectif :
certain seuil.
On ne devrait jamais perdre de vue que le but de l’assurance est de mutualiser les pertes entre un
grand nombre d’entreprises et de faire ainsi jouer la loi des grands nombres, alors que le coût maximal
d’un sinistre pourrait être inacceptable pour une seule entreprise. L’assurance n’a donc de sens que pour
couvrir des événements à probabilité d’occurrence faible (assurer de petits sinistres à coût unitaire faible
et relativement fréquents, comme des vols de portables, revient à faire supporter à l’entreprise non
seulement le coût direct de ces sinistres, mais, en supplément les charges de l’assureur).
— Bien analyser les sinistres immatériels à couvrir et les causes primaires de ces sinistres, afin que tant les
conséquences primaires que leurs causes soient bien indiquées dans la police :
¾ Sinistres immatériels survenant sur tous les systèmes informatiques et de télécommunication (systèmes
internes, Intranet, Extranet, sites Web, etc.)
¾ Sinistres survenant accidentellement (pannes, bugs), par erreur humaine (de programmation, de
manipulation), par malveillance (fraudes, intrusions, dénis de service, y compris par le personnel de
l’entreprise, ou préposé à son opération ou son entretien)
¾ Frais de recherche et d’investigation des causes et conséquences du sinistre
¾ Frais de réinitialisation des systèmes touchés par le sinistre (frais d’installation, de redémarrage et de test
des systèmes de remplacement, frais de reconstitution des données et des supports)
¾ Tous les frais supplémentaires d’exploitation et de fonctionnement supportés sur un exercice (ou plus)
l’entreprise peut être facilement supporté sur un exercice, ce qui représente le maximum que l’on puisse
Qualité de service
possibles.
¾ l’adéquation des clauses du sinistre et de la franchise aux évolutions éventuelles du système d’information
¾ les plafonds de garantie et notamment les montants d’investissements unitaires éventuellement déclarés
33
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01D03 Assurance Responsabilité Civile

Objectif :
Réduire le coût de la responsabilité engagée du fait des systèmes d’information ou de l’activité liée
aux systèmes d’information, vis-à-vis de tiers.
Limiter le montant de la Responsabilité Civile à un montant maximum en mutualisant les pertes au
dessus d’un certain seuil.
— Bien analyser les sinistres en Responsabilité Civile à couvrir et les causes primaires de ces sinistres, afin que
tant les conséquences primaires que leurs causes soient bien indiquées dans la police :
¾ Sinistres causés par tous les systèmes informatiques et de télécommunication (équipements de travail,
systèmes internes, Intranet, Extranet, sites Web, etc.), par leurs programmes ou leurs données, par les
opérations menées par l’entreprise dans le cadre de l’exploitation de son système d’information ou de
celui de tiers ou dans le cadre d’opérations de spécification ou de développements de systèmes
informatiques
¾ Sinistres survenant accidentellement (pannes, bugs), par erreur humaine (de programmation, de
manipulation), par malveillance (fraudes, intrusions, dénis de service, y compris par le personnel de
l’entreprise, ou préposé à son opération ou son entretien)
¾ Couverture totale des torts causés aux tiers
¾ Frais de recherche et d’investigation des causes et conséquences internes du sinistre
¾ Tous les frais supplémentaires d’exploitation et de fonctionnement engagés temporairement pour limiter
les torts causés aux clients ou éviter que le sinistre se reproduise
Qualité de service
possibles.
¾ l’adéquation des clauses du sinistre aux évolutions éventuelles du système d’information et des systèmes
clients connectés
¾ les plafonds de garantie et montants de franchise en fonction des risques potentiels engendrés
34
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01D04 Assurance Perte de Personnages clés

Objectif :
Réduire le coût de la disparition de personnages clés par des assurances adaptées.
Limiter le montant de l’impact de la disparition de personnages clés à un montant maximum en
mutualisant les pertes au dessus d’un certain seuil.
— Bien analyser les sinistres de perte de Personnage clé à couvrir et les causes primaires de ces sinistres, afin
que tant les conséquences primaires que leurs causes soient bien indiquées dans la police :
¾ Sinistres causés par la disparition de personnages clés, seuls ou en groupe
¾ Sinistres survenant accidentellement (voyages, maladie) ou par départ volontaire
¾ Couverture totale des torts causés aux tiers
¾ Résiliation éventuelle de contrats et perte d’exploitation engendrée par le sinistre
¾ Frais de recherche de personnel de remplacement et frais de formation
¾ Frais supplémentaires d’exploitation et de fonctionnement engagés temporairement pour limiter les torts
causés aux clients et pour assurer le fonctionnement normal de l’entreprise
Qualité de service
possibles.
¾ l’adéquation des clauses du sinistre aux évolutions éventuelles du système d’information et des systèmes
clients connectés
¾ les plafonds de garantie et montants de franchise en fonction des risques potentiels engendrés
¾ les personnages clés éventuellement déclarés
35
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01E Continuité de l’activité

01E01 Prise en compte des besoins de continuité de l’activité
Objectif :
Réduire le coût de certains sinistres en analysant au préalable les besoins fondamentaux de l’activité
en termes de continuité.
Permettre la définition et la mise en place de plans de continuité de l’activité adaptés aux besoins de
l’entreprise.
Les mesures, à ce niveau, sont uniquement organisationnelles.
— Analyser chaque activité du point de vue de la criticité d’une interruption (en fonction de la durée de cette
interruption)
— Définir les services minima à fournir en accord avec les propriétaires d’information et de ressources ou les
responsables d’activité
— En déduire les besoins en termes de plans de continuité
Les mesures d’accompagnement consistent à :
— Définir les responsabilités pour les points cités ci-dessus
— Définir le cadre général à respecter pour l’établissement des analyses et des plans de continuité :
Qualité de service
— L’efficacité du service est essentiellement liée à la rigueur des analyses préliminaires :
¾ Exhaustivité des activités analysées
¾ Processus d’évaluation de la criticité des activités
— La robustesse du service est liée au contrôle du maintien de la pertinence des analyses malgré les évolutions
d’activité ou de technologies
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De activités analysées
¾ Des procédures d’analyse
36
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
01E02 Plans de Continuité de l’activité

Objectif :
Assurer la continuité de l’activité en cas d’accident grave.
Faire en sorte que la reprise des activités soit possible, après un accident grave, avec des
performances et dans des délais acceptables par les utilisateurs et les clients.
Il s’agit ici des secours manuels ou des solutions d’attente avant que les systèmes eux-mêmes soient
restaurés (voir les PRA dans les chapitres 4, 5 et 8) et que les applications aient pu être relancées (voir les
PCU au chapitre 9). Ce sont ainsi des solutions prises au niveau de l’activité et non à celui de
l’architecture informatique. Ils doivent néanmoins être cohérents avec les solutions techniques de secours.
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
La première mesure est de faire comprendre aux utilisateurs que les plans de secours techniques
(PRA et PCU) ne suffisent pas et qu’ils doivent, à leur niveau, se préparer à des actions exceptionnelles
pour que l’activité continue en attendant que les services applicatifs puissent reprendre après la remise en
place de moyens de traitement. Ces actions sont :
— La gestion de la relation avec les clients de l’activité
— La mise en place de solutions provisoires assurant un service minimal
— La préparation du passage du service minimal à une solution de secours plus complète.
Mesures techniques
Les mesures techniques de base visent à supporter la cellule de crise qui devra de toutes façons être
mise en place. Il s’agit donc des moyens logistiques correspondants (communication, accès aux
informations nécessaires, gestion de la cellule de crise, etc.)
Les mesures techniques d’accompagnement résultent éventuellement de l’analyse des solutions à
mettre en place, si des moyens techniques sont apparus souhaitables pour supporter la continuité de
l’activité.
Qualité de service
— L’efficacité du service est essentiellement liée à la rigueur de la préparation aux situations de crise :
¾ Nombre d’activités étudiées en détail
¾ Procédures détaillées pour les actions à mener et rigueur dans le détail de description de ces actions
¾ Tests en vraie grandeur
— La robustesse du service est liée à la protection des moyens nécessaires en cas de crise contre toute
destruction ou inhibition
¾ De l’adéquation des solutions prévues aux impératifs du business
¾ Des procédures détaillées
¾ Des tests effectués
37
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Domaine 2 : Sécurité des sites et des bâtiments
Domaine 2 : Sécurité des sites et bâtiments
02A Contrôle d’accès physique au site et aux bâtiments
Objectif :
Faire en sorte que seuls les personnes autorisées aient accès au site ou aux bâtiments se situant sur
les sites de l’entreprise.
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas la nécessité d’accéder au site ou aux bâtiments pour leur travail.
Les services de sécurité nécessaires sont relatifs à quatre types de mesures complémentaires qui
sont simultanément nécessaires :
— 02A01 : Gestion des droits d’accès au site ou à l’immeuble
— 02A02 : Attribution des autorisations d’accès au site ou à l’immeuble
— 02A03 : Contrôle d’accès au site ou au bâtiment
— 02A04 : Détection des intrusions sur le site ou dans l’immeuble
— 02A05 : Accès aux zones de déchargement ou de chargement (de réception ou d’expédition de
marchandises)
38
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
02A Contrôle d’accès physique au site et aux bâtiments

02A01 Gestion des droits d’accès au site ou à l’immeuble
Objectif :
Déterminer les besoins propres à chaque catégorie de personnel, interne ou non, afin de pouvoir
limiter leurs droits et privilèges à leurs seuls besoins.
Les besoins dont il s’agit couvrent l’accès au site ou à l’immeuble et les besoins de circulation à
l’intérieur du site ou de l’immeuble.
pas (ou plus) la nécessité d’accéder au site ou aux bâtiments pour leur travail.
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
— Identifier toutes les catégories de personnes amenées à travailler de manière permanente ou occasionnelle,
sur le site ou dans les bâtiments ou à y pénétrer pour diverses raisons, par exemple :
¾ Personnel interne en CDI affecté à ce site ou ce bâtiment
¾ Personnel temporaire, Stagiaires, etc.
¾ Prestataires (en différenciant les diverses catégories de prestataires)
¾ Visiteurs
¾ Personnel interne ne travaillant pas sur ce site ou dans ce bâtiment (autre établissement, filiale, etc.)
— Désigner, pour chaque catégorie de personnes, un responsable de la gestion des droits génériques attribués
à cette catégorie et des contrôles qui devront être faits
— Faire définir, puis gérer dans le temps, par ces responsables, les droits génériques attribués à chaque
catégorie de personnes.
— Mettre en place un processus de contrôle (ou d’audit) régulier des droits attribués.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les supports faisant l’interface
entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en
autorisations ou interdictions concrètes d’accès. Il s’agit donc de protéger contre toute modification illicite :
— Le transfert d’information entre les décisionnaires et les personnes en charge d’établir les autorisations
d’accès.
— Les tables ou documents matérialisant ces décisions.
Il s’agit donc de techniques de scellement, pour les mesures les plus efficaces, à défaut
éventuellement d’accusé de réception pour la transmission et d’audit régulier pour les tables et
documents.
Qualité de service
— L’efficacité du service est directement liée à la rigueur des procédures permettant de définir les catégories de
personnes et les droits associés.
— La robustesse du service est directement liée à la solidité des mesures techniques de protection des
transferts d’information et des bases de données des droits
— La mise sous contrôle est réalisée par des audits ou inspections régulières, tant des catégories de personnes
et des droits attribués que des processus de gestion eux-mêmes.
39
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
02A02 Gestion des autorisations d’accès au site ou à l’immeuble

Objectif :
Attribuer individuellement les autorisations d’accès au site ou à l’immeuble à chaque personne et gérer
ces autorisations dans le temps, afin de pouvoir limiter leurs droits et privilèges à leurs seuls besoins et
aux seules périodes concernées.
Les besoins dont il s’agit couvrent l’accès au site ou à l’immeuble et les besoins de circulation à
l’intérieur du site ou de l’immeuble.
pas (ou plus) la nécessité d’accéder au site ou aux bâtiments pour leur travail.
— Définir, pour chaque catégorie de personnes, le responsable de l’attribution d’un « profil d’accès » à une
personne physique, par exemple :
¾ Hiérarchie pour le personnel interne
¾ Signataire de la commande pour un prestataire
— Définir, pour chaque catégorie de profil les variables de droits à préciser par le responsable demandeur :
¾ Période de validité
¾ Heures et jours de validité
— Définir l’ensemble des processus d’attribution, de modification et de retrait de profils (et donc de droits) à une
personne, depuis l’expression du besoin jusqu’à l’attribution ou le retrait du support permettant de justifier
l’attribution des droits.
— Définir les processus de contrôle et de détection des anomalies dans la gestion des autorisations.
Mesures techniques
autorisations ou interdictions concrètes d’accès (badges, cartes accréditives, etc.). Il s’agit donc de
s’assurer que la demande reçue par le personnel en charge d’établir les supports justifiant les
autorisations (accréditifs) est bien authentique.
Il s’agit donc de techniques de signature et de contrôle de signature, que cette signature soit
électronique ou non (le scellement électronique étant ici apparenté à une signature). Des certificats
peuvent être également employés.
Qualité de service
— L’efficacité du service est directement liée à la rigueur des procédures permettant d’attribuer des profils
d’accès initiaux aux personnes, de les modifier éventuellement et de récupérer ou d’invalider les supports
d’autorisation (badges en particulier) dès que le besoin a disparu.
transferts d’information et des bases de données des droits attribués
— La mise sous contrôle est réalisée par des audits ou inspections régulières, des droits attribués, de l’usage
pratique de ces droits et des processus de gestion eux-mêmes.
40
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
02A03 Contrôle d’accès au site ou à l’immeuble

Objectif :
Contrôler les accès au site ou à l’immeuble de telle sorte que ne puissent y pénétrer que les
personnes autorisées pour la période donnée.
Il peut aussi s’agir de contrôler les accès à une partie de bâtiments ou de locaux.
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’y
étant pas (ou plus) autorisées.
Les mécanismes à mettre en œuvre sont essentiellement techniques :
Mesures techniques
— Les mesures techniques de base concernent les voies d’accès courantes du personnel :
¾ Mesures physiques et matérielles : Portes, portillons, sas d’accès contrôlés par badge
¾ Contrôle des flux par gardiens : Contrôle des occupants des voitures pénétrant sur le site, contrôle des
piétons, des livreurs, etc.
— Les mesures complémentaires concernent les autres voies d’accès :
¾ Clôture du site
¾ Contrôle des fenêtres accessibles depuis l’extérieur (fermeture, barreaux, etc.)
¾ Contrôle des issues de secours (ouverture uniquement depuis l’intérieur)
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de
dysfonctionnement ou de violation des mesures techniques :
¾ Conduite à tenir en cas d’arrêt ou de violation des mesures techniques
¾ Équipes d’intervention
Qualité de service
— L’efficacité du service est liée à deux facteurs :
¾ La solidité ou l’inviolabilité du support des autorisations (mécanismes protégeant les badges contre une
recopie ou une falsification, mécanismes permettant de contrôler la validité des badges, y compris pour
les badges de collaborateurs non autorisés sur le site)
¾ L’efficacité du filtrage (sas ne permettant l’accès qu’à une personne à la fois, mécanismes empêchant de
faire entrer une personne par prêt de badge
— La robustesse du service est liée d’une part à la solidité des mesures complémentaires (efficacité de la
clôture, efficacité des contrôles des issues de secours, solidité des fenêtres et bâtiments eux-mêmes), d’autre
part aux mesures organisationnelles de surveillance du système de contrôle d’accès et aux capacités de
réaction en cas d’inhibition de ce système (en particulier en cas d’alerte incendie ou de mise en œuvre de
procédures concernant la sécurité du personnel)
¾ des accès autorisés,
¾ des paramétrages des systèmes de contrôle d’accès,
¾ des systèmes de détection des violations et des arrêts du contrôle d’accès
¾ des procédures de réaction aux incidents et violations et de la mise en œuvre de ces procédures
41
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
02A04 Détection des intrusions sur le site ou dans l’immeuble

Objectif :
Détecter les intrusions sur le site ou dans l’immeuble, au cas où le contrôle d’accès n’aurait pas été
efficace et intervenir au plus vite.
Limiter les actions néfastes pouvant être menées volontairement par des personnes n’étant pas
autorisées à pénétrer sur le site ou dans l’immeuble, par une détection et une réaction rapide.
Les mécanismes de détection à mettre en œuvre sont essentiellement techniques. Ils devront être
accompagnés de mesures organisationnelles, pour qu’une réaction efficace et adaptée soit entreprise.
Mesures techniques
Les mesures techniques concernent soit le contrôle des issues, soit la détection de présence dans des
zones de passage :
— La détection de forçage d’issues (portes ou fenêtres) :
¾ Contacts de portes ou de fenêtres actionnés sans que le contrôle d’accès ait déclenché l’ouverture
¾ Maintien de porte en position ouverte
¾ Utilisation d’issue de secours
¾ Détection de bris de vitres
— La détection de présence dans des zones de passage ou des zones critiques :
¾ Détection volumétrique (infrarouge, …)
¾ Vidéo-surveillance
détection effective d’intrusion ou d’alerte :
¾ Conduite à tenir en cas d’alerte ou de détection d’intrusion
— Elles concernent également les procédures d’enregistrement et de conservation des enregistrements.
Qualité de service
— L’efficacité du service est liée d’une part à la qualité, au nombre, au positionnement et à la complémentarité
des détecteurs pour couvrir l’ensemble des scénarios d’intrusion, en fonction des différentes situations
(heures ouvrables ou non), d’autre part aux capacités de réaction, rapidité du diagnostic et délai
d’intervention.
— La robustesse du service est liée aux capacités d’alerte en cas de tentatives d’inhibition des capteurs :
déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du système
central de traitement des signaux de détection, surveillance mutuelle des caméras de vidéosurveillance,
protection des enregistrements, etc.
¾ des systèmes de traitement des signaux de détection (paramétrages, seuils de déclenchement d’alarmes,
etc.)
¾ des procédures de réaction aux intrusions (soupçonnées ou avérées)
42
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
02A05 Accès aux zones de déchargement ou de chargement

Objectif :
Eviter les intrusions sur le site ou dans l’immeuble par le biais des zones de déchargement ou de
chargement (zones de réception ou d’expédition de marchandises).
Eviter les actions néfastes pouvant être menées volontairement par des personnes n’étant pas
autorisées à pénétrer sur le site ou dans l’immeuble, par une protection spécifique aux zones considérées.
Mesures techniques
— Les mesures techniques de base concernent les voies d’accès courantes des transporteurs :
¾ Mesures physiques et matérielles : barrières, sas, etc.
¾ Contrôle des flux par gardiens : Procédure de contrôle des ordres de livraison ou d’expédition.
— Les mesures complémentaires concernent l’isolement des zones d’expédition et de réception du reste du
site :
¾ Contrôle d’accès interne entre les zones de déchargement ou de chargement et le reste du site
¾ Séparation entre les zones de déchargement et les zones de déchargement
— Les mesures organisationnelles d’accompagnement concernent :
¾ La fermeture de ces zones en dehors des heures de livraison ou d’expédition
¾ Les procédures de réception et d’expédition
Qualité de service
¾ La solidité ou l’inviolabilité du support des autorisations d’accès à ces zones depuis l’extérieur (procédures
et mécanismes permettant de contrôler la validité des bons d’enlèvement ou de livraison)
¾ L’efficacité du filtrage (en particulier en cas d’affluence)
¾ La solidité ou l’inviolabilité du support des autorisations d’accès depuis ces zones au reste du site
(mécanismes protégeant les badges contre une recopie ou une falsification, mécanismes permettant de
contrôler la validité des badges)
— La robustesse du service est liée d’une part à la solidité des mesures complémentaires (efficacité de la
séparation physique entre l’extérieur et ces zones et entre ces zones et le reste du site, efficacité des
contrôles des issues de secours), d’autre part aux mesures organisationnelles de surveillance du système de
contrôle d’accès et aux capacités de réaction en cas d’inhibition de ce système (en particulier en cas d’alerte
incendie ou de mise en œuvre de procédures concernant la sécurité du personnel)
¾ des procédures d’enlèvement et de réception,
43
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Domaine 3 : Sécurité des locaux
03A Services généraux
Objectif :
Faire en sorte que les services généraux assurés par le site ou l’établissement soient fiables et
conformes aux attentes et spécifications des constructeurs.
Prévenir les dégâts ou inconvénients pouvant être causés accidentellement aux systèmes
d’information par une défaillance primaire des servitudes générales fournies par l’établissement.
Les services de sécurité nécessaires sont relatifs à cinq types de mesures complémentaires qui sont
simultanément nécessaires :
— 03A01 : Qualité de la fourniture de l'énergie
— 03A02 : Continuité de la fourniture de l'énergie
— 03A03 : Sécurité de la climatisation
— 03A04 : Qualité du câblage
— 03A05 : Protection contre la foudre
03B Contrôle d’accès aux locaux sensibles

Objectif :
Faire en sorte que seuls les personnes autorisées aient accès aux locaux sensibles se situant sur les
sites de l’entreprise.
pas la nécessité d’accéder, pour leur travail, dans des locaux sensibles.
Les services de sécurité nécessaires sont relatifs à :
— 03B01 : Gestion des droits d'accès aux locaux sensibles
— 03B02 : Gestion des autorisations d'accès aux locaux sensibles
— 03B03 : Contrôle des accès aux locaux sensibles
— 03B04 : Détection des intrusions dans les locaux sensibles
— 03B05 : Surveillance périmétrique
— 03B06 : Surveillance des locaux sensibles
— 03B07 : Contrôle d'accès au câblage
— 03B08 : Localisation des locaux sensibles
03C Sécurité contre les dégâts des eaux

Objectif :
Minimiser les risques de dégâts des eaux, par des actions de prévention et de protection contre l’effet
des dégâts des eaux.
44
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007

Empêcher les dégâts des eaux et quand cela n’est pas possible en limiter les conséquences
— 03C01 : Prévention des risques de dégâts des eaux
— 03C02 : Détection des dégâts des eaux
— 03C03 : Évacuation de l'eau
03D Sécurité contre l’incendie

Objectif :
Minimiser les risques dus à un incendie, par des actions de prévention et de protection contre
l’incendie.
Empêcher le départ d’un incendie et quand cela n’est pas possible en limiter les conséquences
— 03D01 : Prévention des risques d’incendie
— 03D02 : Détection incendie
— 03D03 : Extinction incendie
03E Protection contre les risques environnementaux divers

Objectif :
Minimiser les risques dus à à des risques environnementaux divers, par des analyses préalables et
des actions de prévention et de protection.
Empêcher ces risques et quand cela n’est pas possible en limiter les conséquences
Le service de sécurité nécessaire est relatif à :
— 03E01 : Protection contre les risques environnementaux divers
45
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03A Services généraux

03A01 Qualité de la fourniture de l’énergie
Objectif :
Alimenter les équipements sensibles par une source de tension stable et fiable.
Les micro-coupures ne sont pas toujours tolérées par les équipements informatiques et les effets
indirects (coupure système, perte des informations en cours de traitement, etc.) peuvent avoir des effets
indirects importants. Le résultat attendu est une fiabilité des systèmes informatiques.
Deux effets secondaires peuvent être attendus d’une stabilité de l’alimentation électrique :
— la prévention de pointes de tension pouvant provoquer des courts-circuits
— une gestion de l’arrêt des équipements en cas de coupure brusque de l’énergie, afin que les systèmes
puissent redémarrer dans un état connu.
Les solutions sont essentiellement techniques. Elles doivent néanmoins s’accompagner de mesures
organisationnelles.
Mesures techniques
Les mesures techniques consistent en une alimentation dédiée par onduleur, à partir d’une
alimentation continue régulée, obtenue par redressement et régulation de l’alimentation générale.
En complément de cet onduleur, on utilise le plus généralement, en tampon, une batterie qui permet,
en outre, de gérer l’arrêt de la source primaire et de mettre en œuvre une séquence d’arrêt propre
permettant de redémarrer dans de bonnes conditions.
Les mesures organisationnelles complémentaires consistent en des tests réguliers de la séquence
d’arrêt et de son adéquation aux systèmes supportés (dont les exigences peuvent évoluer).
Qualité de service
— L’efficacité du service est liée à la marge entre les garanties apportées par l’installation et les spécifications
des constructeurs
— La robustesse du service est liée à la protection de l’installation contre toute inhibition volontaire ou
accidentelle (protection des accès, mise sous surveillance, etc.)
¾ Des capacités des équipements supports (en particulier des batteries)
¾ De l’adéquation des batteries, si elles existent, avec la charge nécessaire pour assurer l’arrêt de tous les
équipements supportés par l’alimentation
46
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03A02 Continuité de la fourniture de l’énergie

Objectif :
Assurer la continuité de l’alimentation des équipements en cas de chute de l’alimentation primaire.
Assurer la continuité de l’exploitation, en cas d’interruption de longue durée de l’alimentation normale
en énergie.
organisationnelles.
Mesures techniques
Les mesures techniques consistent en une alimentation en énergie indépendante de l’alimentation
principale.
Le mécanisme de base consiste en un groupe électrogène alimenté par une réserve de fuel
domestique. L’installation peut être complétée d’un redresseur et d’un onduleur pour assurer une grande
stabilité de la source de remplacement, voire de batteries intermédiaires (pour assurer la continuité de
l’énergie pendant le temps nécessaire au démarrage du groupe).
Une solution alternative consiste en une deuxième arrivée d’énergie indépendante de la première (en
notant que s’il s’agit du même fournisseur, cette solution ne protège pas contre une grève du fournisseur)
Les mesures organisationnelles complémentaires consistent en des tests réguliers de la détection de
la coupure d’énergie et de la séquence de démarrage du groupe (ou de commutation vers la source
alternative), ainsi qu’en des tests en charge pour s’assurer de la capacité de la solution de secours à
supporter l’ensemble des équipements.
Il peut éventuellement être nécessaire de prévoir des séquences de délestage pour éviter de laisser
connecter des équipements non indispensables.
Qualité de service
— L’efficacité du service est liée au pourcentage d’équipements supportés, à pleine charge, par l’installation de
secours. Elle est également liée à pérennité de la solution de secours (et donc à la réserve de fuel et à la
capacité, ou garantie, de livraison de fuel pour assurer la continuité de fonctionnement des équipements
pendant une durée indéterminée, s’il s’agit d’un groupe tournant).
accidentelle (protection des accès, mise sous surveillance, etc.)
¾ Des séquences de détection et de démarrage de la solution de secours
¾ De l’adéquation de la solution avec la puissance nécessitée par les équipements supportés par
l’alimentation
47
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03A03 Sécurité de la climatisation

Objectif :
Assurer, en toute circonstance, une ambiance conforme aux spécifications des équipements.
Éviter qu’un accroissement de température ou qu’un arrêt d’équipement de climatisation ne provoque
un arrêt complet des équipements
organisationnelles.
Mesures techniques
Les mesures techniques de base consistent en des équipements de climatisation.
Les mesures complémentaires consistent en des secours ou une installation redondante telle que
toute panne soit tolérée et ne se traduise pas par des températures ou des conditions climatiques sortant
des limites spécifiées.
Les mesures organisationnelles complémentaires consistent en des tests réguliers de la capacité de la
solution retenue à assurer une climatisation suffisante, même en cas de défaillance d’équipement.
Qualité de service
— L’efficacité du service de base est liée à la marge entre les garanties apportées par l’installation et les
spécifications des constructeurs, quelles que soient les conditions extérieures.
— La robustesse du service est liée à deux aspects :
¾ La capacité de l’installation à assurer sa fonction quelle que soit la panne simple ou l’accident qui
survienne, voire sa capacité à résister à une panne double
¾ la protection de l’installation contre toute inhibition volontaire ou accidentelle (protection des accès, mise
sous surveillance, etc.)
¾ Des capacités de l’installation à supporter les conditions extrêmes
¾ Des capacités de détection de toute panne simple et des procédures d’intervention sur panne (pour être
capable de réparer une panne simple avant que ne survienne une deuxième panne)
48
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03A04 Qualité du câblage

Objectif :
Protéger le câblage contre des risques d’accidents divers.
Les câblages anarchiques sont de nature à favoriser les accidents au cours d’interventions ou de
manipulations à proximité du câblage.
L’état de l’art consiste à isoler les câbles de signaux de ceux supportant de l’énergie et à regrouper les
câbles de même nature dans des goulottes bien protégées et signalées.
Dans de telles conditions les risques d’accidents et de courts-circuits sont minimisés.
organisationnelles.
Mesures techniques
Les mesures techniques consistent en une séparation claire des types de câbles et en leur
positionnement dans des goulottes de protection.
Dans certaines zones particulièrement exposées on peut être amené à prévoir en outre des dalles de
protection (zones de passage de camions, zones ou des engins de chantier risquent d’intervenir, etc.)
Les mesures organisationnelles consistent en une surveillance régulière de l’application des principes
et solutions retenus
Qualité de service
— L’efficacité du service est liée à la rigueur d’application des principes retenus
— La robustesse du service est liée à celle des protections retenues (goulottes PVC, en tôle, dalles de
protection en béton, etc.)
— La mise sous contrôle est réalisée par des audits réguliers du câblage
49
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03A05 Protection contre la foudre

Objectif :
Protéger le câblage et les équipements contre la foudre.
La foudre peut avoir des effets divers et provoquer un début d’incendie. On s’intéresse ici aux effets de
la foudre, en tant qu’onde de tension, sur les équipements ou le câblage.
L’effet attendu est que l’onde de tension soit dérivée vers la terre et que l’onde résiduelle pour les
équipements ou le câblage soit négligeable ou tolérable.
Les solutions sont essentiellement techniques. Ils doivent néanmoins s’accompagner de mesures
organisationnelles.
Mesures techniques
Les mesures techniques consistent en des équipements spécifiques de lutte contre la foudre :
— D’une part l’équipement de l’immeuble avec un paratonnerre reliés par une cable spécifique à une masse de
bonne qualité
— D’autre part la mise en place d’équipements spéciaux (éclateurs, écrêteurs, etc.) aux endroits appropriés (le
paratonnerre seul peut ne pas suffire car l’onde de tension provoquée par la foudre et son évacuation à la
terre provoque souvent, par induction ou par effet indirect de la terre, des pics de tension dans des câbles de
signaux ou d’énergie et des équipements spécifiques sont alors nécessaires). Nota : la mise en place de tels
équipements spécifiques peut demander l’assistance de spécialistes de ce type de problème.
Les mesures organisationnelles complémentaires consistent en la mise sous contrôle de l’installation
pour faire face aux inévitables évolutions du câblage et pour s’assurer que l’installation demeure adaptée
Qualité de service
— L’efficacité du service est liée aux pics de tension que l’installation est capable de filtrer et d’évacuer
accidentelle (protection des accès aux équipements spécifiques, mise sous surveillance, etc.)
¾ De bon fonctionnement des équipements spécifiques
¾ De l’adéquation des protections aux évolutions des câblages
50
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03B Contrôle d’accès aux locaux sensibles

03B01 Gestion des droits d’accès aux locaux sensibles
Objectif :
Déterminer, pour chaque local sensible, quelles catégories de personnel, interne ou non, ont de réels
besoin d’y pénétrer et dans quelles conditions, afin de pouvoir empêcher les accès par ceux qui n’en ont
pas le besoin et limiter leurs droits et privilèges à leurs seuls besoins, à ceux qui ont besoin d’y avoir
accès.
pas (ou plus) la nécessité d’accéder aux locaux sensibles.
— Identifier toutes les catégories de personnes amenées à travailler de manière permanente ou occasionnelle,
dans chaque type de local sensible ou à y pénétrer pour diverses raisons, par exemple :
¾ Personnel d’exploitation informatique ou réseau
¾ Personnel des services généraux ou personnel de sécurité (pompiers).
¾ Prestataires (en différenciant les diverses catégories de prestataires : maintenance, entretien, etc.)
¾ Visiteurs éventuellement
— Désigner, pour chaque type de local, un responsable de la gestion des droits attribués à cette catégorie de
personne et des contrôles qui devront être faits
catégorie de personnes.
Mesures techniques
d’accès.
documents.
Qualité de service
transferts d’information et des base de données des droits
51
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03B02 Gestion des autorisations d’accès aux locaux sensibles

Objectif :
Attribuer individuellement les autorisations d’accès aux locaux sensibles à chaque personne
intéressée et gérer ces autorisations dans le temps, afin de pouvoir limiter leurs droits et privilèges à leurs
seuls besoins et aux seules périodes concernées.
pas (ou plus) la nécessité d’accéder aux locaux sensibles pour leur travail.
— Définir, pour chaque type de local, le responsable de l’attribution d’un « profil d’accès » à une personne
physique, par exemple :
¾ Hiérarchie pour le personnel interne
— Définir, pour chaque catégorie de profil les variables de droits à préciser par le responsable demandeur :
personne, depuis l’expression du besoin jusqu’à l’attribution ou le retrait du support permettant de justifier
l’attribution des droits.
Mesures techniques
Qualité de service
d’accès initiaux aux personnes, de les modifier éventuellement et de récupérer ou d’invalider les supports
d’autorisation (badges en particulier) dès que le besoin a disparu.
transferts d’information et des base de données des droits attribués
52
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03B03 Contrôle d’accès aux locaux sensibles

Objectif :
Contrôler les accès aux locaux sensibles de telle sorte que ne puissent y pénétrer que les personnes
autorisées pour la période donnée.
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’étant
pas (ou plus) autorisées à pénétrer dans les locaux sensibles.
Mesures techniques
— Les mesures techniques de base concernent les voies d’accès courantes du personnel :
¾ Portes, sas d’accès éventuels, contrôlés par badge ou par digicode, pour les locaux dans lesquels
pénètrent de nombreuses personnes
¾ Portes contrôlées par une serrure pour les locaux dont les usages sont peu fréquents
— Les mesures complémentaires concernent les autres voies d’accès :
¾ Contrôle des accès potentiels par les faux planchers et faux plafonds
¾ Conduite à tenir en cas d’arrêt ou de violation des mesures techniques
Qualité de service
recopie ou une falsification, installations permettant d’éviter l’observation directe d’un digicode)
faire entrer une personne par prêt de badge
— La robustesse du service est liée d’une part à la solidité des mesures complémentaires (efficacité des
contrôles des issues de secours, solidité des fenêtres et bâtiments eux-mêmes), d’autre part aux mesures
organisationnelles de surveillance du système de contrôle d’accès et aux capacités de réaction en cas
d’inhibition de ce système (en particulier en cas d’alerte incendie ou de mise en œuvre de procédures
concernant la sécurité du personnel)
53
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03B04 Détection des intrusions dans les locaux sensibles

Objectif :
Détecter les intrusions dans les locaux sensibles, au cas où le contrôle d’accès n’aurait pas été
efficace et intervenir au plus vite.
autorisées à pénétrer dans les locaux sensibles, par une détection et une réaction rapide.
Mesures techniques
zones de passage :
— La détection de présence dans les locaux sensibles :
Qualité de service
des capteurs pour couvrir l’ensemble des scénarios d’intrusion, en fonction des différentes situations
d’intervention.
etc.)
54
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03B05 Surveillance périmétrique des locaux sensibles

Objectif :
Détecter les actes de terrorisme ou d’attaques violentes contre les locaux sensibles et intervenir au
plus vite.
Empêcher le dépôt d’explosifs ou l’attaque par force brute des issues, par une détection externe et
une réaction rapide.
Mesures techniques
— Les mesures techniques concernent essentiellement la vidéosurveillance des couloirs et abords des locaux
sensibles
détection effective d’attaque ou d’alerte :
¾ Conduite à tenir en cas d’alerte ou de suspicion d’attaque
Qualité de service
des caméras de surveillance, d’autre part aux capacités de réaction, rapidité du diagnostic et délai
d’intervention.
central de traitement des signaux vidéos, surveillance mutuelle des caméras de vidéosurveillance, protection
des enregistrements, etc.
¾ des systèmes de traitement des signaux vidéos (mise en route effective, positionnement des écrans et
capacités réelles de surveillance par le personnel préposé, etc.)
¾ des procédures de réaction aux alarmes
55
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03B06 Surveillance des locaux sensibles

Objectif :
Détecter les actions anormales ou illicites menées par du personnel autorisé à pénétrer dans les
locaux sensibles et intervenir au plus vite.
Limiter les actions néfastes pouvant être menées volontairement par des personnes autorisées à
pénétrer dans les locaux sensibles, par une détection et une réaction rapide.
Mesures techniques
— Les mesures techniques concernent essentiellement la vidéosurveillance de l’intérieur des locaux sensibles.
détection effective d’anomalies de comportement :
¾ Conduite à tenir en cas d’alerte ou de suspicion de comportement anormal
Qualité de service
des caméras, d’autre part aux capacités de réaction, rapidité du diagnostic et délai d’intervention.
56
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03B07 Contrôle d’accès au câblage

Objectif :
Contrôler les accès au câblage de telle sorte que ne puissent y avoir accès que les personnes
autorisées pour la période donnée.
On ne traite ici que de l’accès aux nappes de câblage transitant dans les couloirs, les faux planchers
ou faux plafonds et non des armoires ou baies de répartition contenues dans des locaux techniques
considérés comme sensibles et dont le contrôle d’accès est traité par les paragraphes précédents (3B1 à
3B6).
pas (ou plus) autorisées à avoir accès au câblage.
Les mécanismes de détection à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Les mesures techniques de base concernent :
— Le contrôle de l’accès aux gaines techniques dans les immeubles
— La protection des gaines de câblage et rails de protection des nappes
¾ Contrôle d’accès dans les couloirs correspondants
¾ Vidéosurveillance
Les mesures organisationnelles d’accompagnement concernent :
— La gestion des autorisations d’accès :
¾ Profils autorisés
¾ Attribution de profils aux personnes
— La gestion des alertes en cas de détection d’abus ou de violation de contrôle d’accès
Qualité de service
— L’efficacité du service est liée à la solidité ou à l’inviolabilité du mécanismes protégeant les nappes de câblage
(qualité des clés donnant accès aux gaines de câblage ou mécanisme de sécurité des badges ou clés
donnant accès à des endroits ou les nappes sont accessibles)
— La robustesse du service est liée aux mesures organisationnelles de surveillance du système de contrôle
d’accès et aux capacités de réaction en cas d’inhibition de ce système
¾ de la protection effective des accès aux gaines techniques,
¾ des systèmes de détection des violations du contrôle d’accès
57
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03B08 Localisation des locaux sensibles

Objectif :
Eviter des actions volontaires malveillantes contre des locaux sensibles par des personnes extérieures
à l’entreprise
Prévenir les actions néfastes pouvant être menées volontairement contre des locaux sensibles, par
des personnes n’étant pas autorisées à y accéder, en ne rendant pas ces locaux directement accessibles
depuis l’extérieur et en rendant plus difficile la localisation.
Mesures techniques
— L’implantation des locaux sensibles à l’intérieur des sites de telle sorte qu’ils ne soient pas accessibles
directement depuis l’extérieur (structure en anneaux)
— La protection contre le repérage du contenu de ces locaux :
¾ Fenêtres opaques ou équipées de verres réfléchissants
¾ Absence de fenêtre
Les mesures organisationnelles d’accompagnement concernent :
— L’absence d’indication facilement accessible de la localisation de ces locaux ou de leur contenu
¾ Absence de référence de localisation dans les annuaires téléphoniques
¾ Absence d’indication sur les portes de ces locaux
Qualité de service
— L’efficacité du service est liée à :
¾ la solidité des divers mécanismes protégeant les accès jusqu’à la proximité directe de ces locaux
¾ la qualité des protections contre les repérages visuels
¾ de la protection contre les repérages visuels,
¾ de l’absence d’indication sur la localisation et le contenu des locaux sensibles
58
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03C Sécurité contre les dégâts des eaux

03C01 Prévention des risques de dégâts des eaux
Objectif :
Prendre toute précaution pour éviter des fuites d’eau ou des remontées d’eau par d’éventuelles voies
d’évacuation.
Éviter les dégâts des eaux.
Les mesures organisationnelles consistent à faire une analyse aussi exhaustive que possible des
voies possibles d’arrivée d’eau :
— Canalisations cachées ou apparentes dans les faux planchers, les faux plafonds, etc.
— Inventaire des canalisations, évacuations d’eau ou terrasses dans les étages supérieurs
— Système de climatisation et de régulation d’humidité
— Possibilités de crues et d’atteinte des locaux sensibles par une crue
— Possibilités de remontée d’eau par des voies d’évacuation
— Etc.
Mesures techniques
Les mesures techniques consistent à traiter une par une les voies possibles reconnues par l’analyse
précédente :
— Éloignement des canalisations ou sécurisation (par exemple, installation sprinkler non sous pression en
temps normal)
— Clapet anti-retour sur les évacuations, etc.
— Déménagement des installations situées en sous-sol à proximité de rivière présentant un risque de crue
Qualité de service
— L’efficacité du service est liée à la rigueur de l’analyse préliminaire et à la qualité des mesures d’évitement
— La robustesse du service est liée à la protection des systèmes d’évitement et à la protection des arrivées
d’eau prévues pour la sécurité incendie
¾ des mesures d’évitement,
¾ de la mise à jour des analyses de risques d’inondation
59
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03C02 Détection des dégâts des eaux

Objectif :
Détecter aussi vite que possible un début de fuite ou d’inondation.
Prévenir un dégât important en intervenant dès le début de l’accident et en mettant alors en œuvre
des mesures spécifiques.
Mesures techniques
— La détection d’humidité et la détection d’eau dans les endroits à risque des locaux sensible
¾ Près des équipements sensibles
¾ A proximité des équipements de climatisation
¾ Dans les faux planchers et/ou faux plafonds, etc.
— La détection d’humidité et la détection d’eau dans les étages supérieurs (afin d’anticiper l’effet d’une fuite dans
les étages)
— La détection d’humidité et d’eau dans les gaines techniques
détection d’eau ou d’humidité :
¾ Procédures concernant les actions à mener
¾ Capacités d’intervention pour faire stopper la cause du dégât des eaux (plans à jour indiquant les points
de coupure, existence de bâches plastiques pour protéger les équipements, etc.)
¾ Équipes d’intervention disponibles et avec des temps d’intervention réduits
Qualité de service
— L’efficacité du service est liée d’une part au nombre et à la disposition des capteurs, d’autre part aux
capacités de réaction, rapidité du diagnostic, capacité d’intervention pour stopper la cause (si possible) et
délai d’intervention
— La robustesse du service est liée aux capacités d’alerte en cas de tentative d’inhibition ou d’interruption des
capteurs ou des systèmes de traitement des signaux de ces capteurs : déclenchement d’alarme en cas de
coupure d’alimentation ou de signal, alarme en cas d’arrêt du système central de traitement des signaux des
capteurs.
¾ des systèmes de traitement des signaux de détection,
¾ des moyens d’intervention (robinets de coupure, plan des installations, etc.)
60
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03C03 Évacuation de l’eau

Objectif :
Évacuer l’eau , dans les cas ou l’inondation n’a pu être évitée
Limiter au maximum les conséquences du dégât des eaux et éviter que l’eau se propage dans
l’ensemble des locaux.
Mesures techniques
— L’évacuation par des voies naturelles : planchers inclinés et collecte des eaux, puis évacuation naturelle par
des canalisations.
— L’évacuation par des voies forcées : pompes, etc.
détection d’eau ou d’humidité :
¾ Procédures concernant les actions à mener
¾ Capacités d’intervention (plans à jour indiquant les pompes mobiles ou vannes d’évacuation, etc.)
Qualité de service
— L’efficacité du service est liée à l’efficacité des moyens d’évacuation, en particulier en termes de débit
maximum, comparée au débit potentiel de la source d’eau.
— La robustesse du service est liée à la protection des moyens d’évacuation contre des malveillances visant à
les inhiber ou à rendre leur accès impossible :
¾ Accessibilité des pompes mobiles
¾ Protection du local abritant la pompe d’évacuation fixe éventuelle
¾ Système d’alarme protégeant les moyens d’évacuation
¾ Du bon fonctionnement des systèmes d’évacuation,
¾ Des procédures de réaction sur alarmes
61
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03D Sécurité contre l’incendie

03D01 Prévention des risques d’incendie
Objectif :
Prendre toute précaution pour éviter le départ d’un incendie.
Éviter un incendie.
risques d’incendie :
— Qualité du câblage et risque de court-circuit
— Interdiction de fumer et protections spécifiques au niveau des poubelles
— Appareillages divers pouvant provoquer une source anormale de chaleur (cafetière électrique, radiateur
d’appoint, etc.)
— Traitement des surfaces et matériaux inflammables
— Etc.
Mesures techniques
Les mesures techniques consistent à traiter une par une les sources possibles reconnues par
l’analyse précédente :
— Sécurisation du câblage
— Poubelles anti-feu.
— Réglementation intérieure
— Traitements des revêtements muraux et autres
Qualité de service
— L’efficacité du service est liée à la rigueur de l’analyse préliminaire et à la qualité des mesures d’évitement
¾ des mesures d’évitement,
¾ des comportements réels des personnels travaillant dans ces locaux
62
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03D02 Détection incendie

Objectif :
Détecter aussi vite que possible un début d’incendie.
Prévenir un dégât important en intervenant dès le début de l’incendie et en mettant alors en œuvre
des mesures spécifiques.
Mesures techniques
— La détection d’incendie, par différents types de capteurs (chaleur, fumée, etc.)
¾ A proximité des équipements dégageant le plus de puissance
¾ Dans les couloirs et voies de circulation
¾ Dans les faux planchers et faux plafonds, etc.
¾ Dans les gaines de climatisation
— La détection d’incendie à l’extérieur mais à proximité des locaux sensibles (afin d’anticiper et d’éviter que les
pompiers interviennent dans les locaux sensibles (ce qui provoque le plus souvent autant de dégâts que
l’incendie proprement dit)
détection d’incendie :
¾ Procédures concernant les premières actions à mener (extincteurs et formation du personnel à l’utilisation
des extincteurs, coupure d’électricité, fermeture de vannes d’aération, etc.)
¾ Diagnostic rapide et appel aux secours spécialisés
Qualité de service
— L’efficacité du service est liée d’une part au nombre et à la disposition des capteurs, d’autre part aux
capacités de réaction, rapidité du diagnostic, capacité d’intervention pour stopper la cause (si possible) et
délai d’intervention des secours spécialisés
systèmes de détection et de traitement des signaux d’alerte : protection (contrôle d’accès) des systèmes de
détection, déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du
système central de détection incendie.
¾ des moyens d’intervention (formation, extincteurs, etc.)
63
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03D03 Extinction incendie

Objectif :
Éteindre l’incendie par des mécanismes, automatiques ou non
Limiter au maximum les conséquences de l’incendie et éviter qu’il se propage dans l’ensemble des
locaux.
Mesures techniques
— L’extinction automatique par divers procédés (gaz inertes type halon, pulvérisation d’eau, etc.
— L’extinction manuelle par extincteurs
détection d’incendie :
¾ Procédures concernant les actions à mener : appel aux secours spécialisés, avant ou après diagnostic
précis, évacuation du personnel, etc.
¾ Capacités d’intervention
Qualité de service
— L’efficacité du service est liée à l’efficacité des moyens d’extinction
systèmes d’extinction : protection (contrôle d’accès) des systèmes commandant les dispositifs d’extinction,
central d’extinction incendie.
¾ des moyens d’intervention (formation, extincteurs, etc.)
64
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
03E Protection contre les risques environnementaux divers

03E01 Protection contre les risques environnementaux divers
Objectif :
Analyser les risques environnementaux divers et prendre des mesures en conséquence pour les éviter
ou en réduire les conséquences.
Rendre ces risques tolérables.
risques environnementaux divers :
— Risques climatiques (foudre, orages, tornades, etc.)
— Risques de pollution liés aux industries voisines
— Risques sismiques
— Risques de vandalisme ou de terrorisme liés à l’environnement
— Risques d’explosions accidentelles
— Risques induits par des mouvements sociaux violents extérieurs à l’entreprise,
— Etc.
Mesures techniques
Les mesures techniques consistent à traiter un par un les risques reconnus comme possibles ou
probables par l’analyse précédente :
— Sécurisation des bâtiments et du site contre de tels risques
— Solutions de secours adaptées
Qualité de service
— L’efficacité du service est liée à la rigueur de l’analyse préliminaire et à la qualité des mesures prises en
conséquence
¾ de la pertinence de l’analyse et de la permanence de ses conclusions
¾ de l’efficience des mesures décidées en conséquence
65
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Domaine 4 : Réseau étendu
Domaine 4 : Réseau étendu intersites
04A Sécurité de l’architecture du réseau étendu et continuité de service

Objectif :
Mettre en place une architecture globale des réseaux garantissant la facilité de communication entre
les entités qui en ont le besoin tout en limitant les risques d’abus ou de mauvaise utilisation de ces
moyens.
Les résultats attendus sont doubles : garantir une continuité des communications entre entités en cas
d’incident ou de panne mais assurer chacune que sa connexion à d’autres entités, par le biais du réseau
étendu, ne la fragilise pas.
Une autre manière de présenter le résultat attendu de ce groupe de services est de dire qu’une grande
facilité de communication qui ne serait pas assez sécurisée ne serait pas utile et pourrait être sous utilisée
par les opérationnels en raison des risques présentés. Les deux aspects visent donc le même objectif qui
est d’offrir un moyen de communication sûr.
Les services de sécurité nécessaires sont relatifs à différents types de mesures :
— 04A01 : Sûreté de fonctionnement des éléments d’architecture du réseau étendu
— 04A02 : Télépilotage de l’exploitation du réseau étendu
— 04A03 : Organisation de la maintenance des équipements du réseau étendu
— 04A04 : Procédures et plans de reprise du réseau étendu sur incidents
— 04A05 : Plans de sauvegarde des configurations du réseau étendu
— 04A06 : Plans de sauvegardes des données applicatives du réseau étendu
— 04A07 : Plan de reprise d’activité (PRA) du réseau étendu
— 04A08 : Gestion des fournisseurs critiques vis-à-vis de la permanence de la maintenance
04B Contrôle des connexions sur le réseau étendu

Objectif :
Faire en sorte que seules les entités autorisées aient accès au réseau étendu et puisse se connecter
aux autres entités.
Prévenir les tentatives d’accès, par des entités non autorisées, aux ressources internes (serveurs en
particuliers) et aux informations circulant sur le réseau.
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires qui
peuvent être simultanément nécessaires :
— 04B01 : Profils de sécurité des entités connectées au réseau étendu
— 04B02 : Authentification de l'entité accédante lors des accès entrants depuis le réseau étendu
— 04B03 : Authentification de l'entité accédée lors des accès sortants vers d’autres entités du réseau étendu
66
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04C Sécurité des données lors des échanges et des communications

Objectif :
Protéger les données transmises contre des divulgations ou des altérations illicites.
Prévenir les tentatives d’accès aux informations échangées, en lecture ou en modification, par des
personnes non autorisées.
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires :
— 04C01 : Chiffrement des échanges sur le réseau étendu
— 04C02 : Contrôle de l’intégrité des échanges sur le réseau étendu
04D Détection et traitement des incidents du réseau étendu

Objectif :
Détecter les anomalies de fonctionnement ou des intrusions sur le réseau étendu pour intervenir au
mieux et dans les meilleurs délais.
Éviter que des actions malveillantes externes (pirates, hackers) ou internes (abus de droits
d’utilisateurs), que les mesures préventives auraient pu laisser passer, perdurent et se traduisent par des
dysfonctionnements qui auraient pu être détectés et interrompus.
— 04D01 : Surveillance en temps réel du réseau étendu
— 04D02 : Surveillance, en temps différé, des traces, logs et journaux des événements du réseau étendu
— 04D03 : Traitement des incidents du réseau étendu
67
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04A Sécurité de l’architecture du réseau étendu et continuité de service

04A01 Sûreté de fonctionnement des éléments d’architecture du réseau
étendu
Objectif :
Assurer la fluidité des communications quels que soient les aléas de fonctionnement des équipements
ou d’utilisation des réseaux par les utilisateurs
Éviter qu’une panne simple, voire complexe ou que des aléas dans l’utilisation des réseaux ne fassent
chuter la performance du réseau étendu, avec des impact négatifs sur l’activité de l’entreprise.
Les mécanismes principaux sont du ressort de l’architecture, mais doivent s’appuyer sur des études
préalables qui sont de nature organisationnelles
— Les mesures organisationnelles ne sont utilisées que dans une phase préalable et consistent en une analyse
des enjeux de la continuité des services du réseau étendu :
¾ Analyse de la gravité des conséquences en fonction de la durée d’une interruption complète des services
du réseau étendu
¾ Analyse des capacités de reroutage des communications en cas de défaillance d’un équipement et du
temps nécessaire à ces reconfigurations
¾ Analyse des enjeux liés à une baisse de performance du réseau étendu
Mesures techniques
— Les mesures de base consistent en la mise en place d’une architecture à tolérance de panne telle que :
¾ toute panne simple d’un équipement réseau puisse être soit réparée dans des délais acceptables soit
contournée par des redondances d’équipement ou par un maillage du réseau
¾ toute baisse de performance significative puisse être détectée et corrigée par des reconfigurations
permettant d’assurer un débit acceptable par les utilisateurs
— Les mesures techniques d’accompagnement consistent en des outils de surveillance et de monitoring du
réseau permettant effectivement de détecter toute anomalie ou baisse de performance et d’agir à distance
pour allouer des ressources de contournement ou d’appoint
Efficacité du service :
— L’efficacité du service est directement liée à trois facteurs :
¾ La qualité et la précision des analyses préliminaires
¾ La rapidité et l’automaticité de détection d’une anomalie ou d’une baisse de performance
¾ La rapidité et l’automaticité des reconfigurations possibles
— La robustesse des mécanismes assurant la sûreté de fonctionnement de l’architecture dépend de deux
facteurs :
¾ L’indépendance des équipements spéciaux (réseaux et télécoms) vis-à-vis de tout équipement de
servitude (énergie, services généraux, locaux, etc.).
¾ La protection, physique et logique, des équipements assurant la détection et la reconfiguration contre
toute intrusion ou inhibition : contrôle d’accès physique et logique, alarme en cas d’arrêt ou de coupure
d’alimentation, etc.
— La mise sous contrôle des mécanismes assurant la sûreté de fonctionnement dépend de trois facteurs :
¾ Les tests de performance et de bon fonctionnement des mécanismes de détection et de reconfiguration
¾ L’audit du paramétrage des équipements
¾ L’audit des procédures associées à la gestion des systèmes de détection et de reconfiguration.
68
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04A02 Télépilotage de l’exploitation du réseau étendu

Objectif :
Permettre le pilotage à distance du réseau étendu de l’entreprise
Pouvoir assurer le pilotage dus réseau étendu, même en cas d’incapacité à accéder aux locaux
habituels utilisés par le personnel d’exploitation pour piloter les réseaux.
Les situations visées sont des situations où les locaux affectés à l’exploitation sont inaccessibles pour
des causes internes (grève avec occupation des locaux) ou externes (interdiction par les pouvoirs publics).
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Il est bien entendu possible de piloter les réseaux internes depuis de nombreux points du réseau, pour
peu que l’on sache mettre en œuvre, depuis ces points, les outils d’administration et de pilotage du réseau
(protocoles de lecture des points de mesures et d’administration des équipements, en particulier SNMP).
Les mesures techniques consistent donc à prévoir un point d’accès au réseau étendu depuis
l’extérieur avec toutes les possibilités nécessaires à l’administration, tout en préservant la sécurité du
réseau local :
— Poste de pilotage extérieur avec tous les outils logiciels nécessaires (et les licences correspondantes)
— Passerelle d’accès au réseau interne assurant les possibilités d’administration distante
— Authentification forte du poste de pilotage distant (ou des administrateurs)
Les mesures organisationnelles d’accompagnement résident dans l’élaboration et la gestion des plans
de secours détaillant les actions à mener pour pouvoir effectivement mettre en œuvre les moyens de
pilotage déportés en toute sécurité et prévoyant la mise à disposition sur ce site de toutes les informations
nécessaires (paramétrages des équipements, plans d’adressage, etc.).
Qualité de service
— L’efficacité du service est essentiellement liée à :
¾ l’exhaustivité des actions de pilotage prévues et possibles depuis le poste déporté
¾ l’étendue des possibilités des outils disponibles pour le pilotage distant
— La robustesse du service est liée à :
¾ la priorité donnée au pilotage distant par rapport aux actions menées depuis le réseau local (cas de grève
et d’actions menées depuis le réseau local pour tenter d’empêcher le pilotage distant)
¾ la protection de la passerelle d’accès contre des inhibitions ou arrêts volontaires
— La mise sous contrôle est réalisée par :
¾ Des tests réguliers de la capacité de pilotage distant du réseau étendu depuis le poste déporté
¾ L’audit des procédures et en particulier des mesures prises pour que la prise de contrôle à distance ne soit
pas utilisée au détriment du fonctionnement de l’entreprise
¾ La détection des arrêts ou inhibition de la passerelle d’accès au réseau
69
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04A03 Organisation de la maintenance des équipements du réseau étendu

Objectif :
Assurer la maintenance des équipements du réseau étendu pour les cas de panne ou d’évolutions
nécessaires.
Éviter qu’une défaillance d’équipement ou qu’une évolution nécessaire (que ce soit pour des
changements de contexte internes ou externes) se traduise par une interruption inacceptable du service
du réseau étendu.
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
— Le socle de ce service consiste bien entendu en l’élaboration de contrats de maintenance soit avec les
fournisseurs d’équipements soit avec une tierce partie de maintenance (TPM). L’élaboration des clauses
adéquates dans le contrat nécessite néanmoins quelques actions préliminaires et précautions :
¾ Identifier les équipements critiques du réseau étendu et, pour ceux-ci, le délai de remise en service
souhaitable et le délai maximum tolérable en cas de défaillance
¾ Négocier avec le contractant le délai maximum d’intervention et le délai maximum de réparation (celui-ci
peut dépendre de l’existence de pièces de rechange sur site et ce point doit faire l’objet de la négociation)
¾ Préciser, en particulier, les conditions d’escalade en cas de difficulté d’intervention et les possibilités et
conditions d’appel aux meilleurs spécialistes
¾ Négocier éventuellement des clauses de pénalité en cas de dépassement des temps contractuels
Mesures techniques
— Les mesures techniques d’accompagnement éventuelles consistent éventuellement en des capacités
d’intervention à distance (télémaintenance) permettant d’accélérer le diagnostic en cas de défaillance.
Qualité de service
— L’efficacité du service est essentiellement liée à trois facteurs :
¾ la précision et le réalisme des clauses du contrat, en particulier en ce qui concerne les horaires d’appel,
d’intervention et les possibilités d’appel les week-end et jours fériés
¾ L’efficacité des procédures d’escalade et d’appel aux meilleurs spécialistes.
¾ La compétence et l’expertise du fournisseur ou du contractant
— La robustesse du service est liée à trois types de facteurs :
¾ La solidité du contractant (afin d’éviter un arrêt d’activité ou son rachat sans reprise de son activité)
¾ Les possibilités d’action ou de pression en cas de grève du personnel
¾ L’indépendance vis-à-vis de compétences pointues détenues par un petit nombre de personnes, voire par
un seul spécialiste)
¾ Des clauses du contrat et de la tenue des engagements du fournisseur
¾ Du fournisseur, afin de vérifier les points cités au titre de la robustesse.
70
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04A04 Procédures et plans de reprise du réseau étendu sur incidents

Objectif :
Assurer une gestion des incidents du réseau étendu qui soit acceptable par les utilisateurs.
Éviter qu’un incident du réseau étendu se traduise par des pertes de données ou des pertes de
service inacceptables par les utilisateurs.
— La base de ce service consiste bien entendu en l’analyse :
¾ des incidents pouvant survenir sur le réseau étendu (panne d’équipement, saturation de lignes ou
d’équipements, panne externe, coupure de ligne, ver, etc.)
¾ des conséquences de chacun de ces incidents, selon sa localisation, sur les données transmises et les
services offerts
¾ du caractère acceptable ou non, par les utilisateurs, de telles conséquences
— les mesures organisationnelles complémentaires consistent en des procédures destinées, en appui des
mesures techniques éventuelles, à gérer au mieux les incidents de telle sorte que :
¾ les données perdues puissent être récupérées
¾ les services puissent continuer dans des conditions acceptables.
Mesures techniques
— Les mesures techniques de base consistent d’abord à détecter les incidents et à en faire un diagnostic précis
et exact :
¾ sondes de mesure
¾ moyens et outils de diagnostic
— Les mesures techniques d’accompagnement consistent éventuellement en des capacités :
¾ de sauvegarde dynamique des données en transit, pour assurer leur restauration en cas d’incident
¾ de reconfiguration des équipements du réseau étendu pour assurer une continuité de service minimum.
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la précision et la profondeur de l’analyse des types d’incidents et de leur localisation possible, de leurs
conséquences et du caractère acceptable ou non de ces conséquences
¾ la couverture des mesures techniques et des procédures de réaction aux incidents
— La robustesse du service est liée à deux types de facteurs :
¾ La protection des moyens de diagnostic contre des altérations ou des inhibitions intempestives.
¾ La protection des moyens d’administration permettant la reprise du réseau étendu et sa reconfiguration
contre toute inhibition ou mise hors service.
¾ des capacités des équipements de reconfiguration à assurer une charge suffisante
¾ des possibilités réelles de restauration des données et de reconfiguration en cas d’incident
¾ de l’efficacité réelle des procédures et des moyens de surveillance et de diagnostic du réseau.
71
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04A05 Plan de sauvegarde des configurations du réseau étendu

Objectif :
Assurer la sauvegarde des configurations des équipements du réseau étendu.
Permettre une reprise rapide de l’exploitation du réseau étendu en cas d’effacement accidentel d’une
configuration, de reconfiguration d’équipements ou de mise en œuvre de plans de secours.
Mesures techniques
— Les mesures techniques de base consistent à sauvegarder l’ensemble des configurations des équipements
du réseau étendu, systématiquement à une fréquence donnée et lors de chaque évolution.
— Les mesures techniques d’accompagnement consistent à protéger ces sauvegardes contre des actions
volontaires de destruction et contre des accidents :
¾ stockage des sauvegardes dans un local protégé par un contrôle d’accès
¾ stockage des sauvegardes dans un local protégé contre l’incendie, les dégâts des eaux et les risques de
pollution.
— Les mesures organisationnelles d’accompagnement visent la gestion des droits d’accès aux sauvegardes et
les conditions d’accès auxdites sauvegardes :
¾ gestion rigoureuse des personnes ayant accès aux sauvegardes
¾ contrôle de relecture périodiques
¾ stockage d’un jeu de sauvegardes de recours en dehors du site de production
Qualité de service
¾ l’exhaustivité des paramètres sauvegardés des équipements et celle des équipements dont les
sauvegardes sont assurées
¾ la fréquence des sauvegardes
¾ la solidité des contrôles d’accès et des protections contre les risques accidentels.
¾ la rigueur de la gestion des droits d’accès aux sauvegardes
¾ des procédures de sauvegardes
¾ des dispositions prises pour les protéger des risques de malveillance et accidentels.
72
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04A06 Plan de sauvegarde des données applicatives du réseau étendu

Objectif :
Assurer la sauvegarde des données relatives aux applications purement télécom (journalisation,
applications de gestion des frais réseau, etc.) du réseau étendu.
Permettre une reprise rapide de l’exploitation des applications télécom du réseau étendu en cas
d’incident, de reconfiguration d’équipements ou de mise en œuvre de plans de secours.
Mesures techniques
— Les mesures techniques de base consistent à sauvegarder l’ensemble des données des applications
télécom du réseau étendu, systématiquement à une fréquence définie en fonction des besoins utilisateurs.
pollution.
— Les mesures organisationnelles de base visent l’étude de la durée maximale admissible entre deux
sauvegardes pour que les inconvénients subis soient acceptables
— Les mesures d’accompagnement visent la gestion des droits d’accès aux sauvegardes et les conditions
d’accès auxdites sauvegardes :
Qualité de service
— L’efficacité du service est essentiellement liée à un facteur :
¾ la fréquence des sauvegardes et son adéquation aux besoins des utilisateurs ou de l’entreprise
73
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04A07 Plan de Reprise d’Activité (PRA) du réseau étendu

Objectif :
Assurer la reprise d’activité du réseau étendu en cas d’accident grave
Permettre une reprise de l’exploitation du réseau étendu en cas d’accident grave survenant sur une
partie du réseau, et ceci dans un délai compatible avec les besoins des utilisateurs.
— Les mesures organisationnelles initiales visent à analyser, pour chaque équipement du réseau étendu, les
conséquences d’un accident grave sur la disponibilité d’ensemble du réseau et à identifier, avec les
utilisateurs, le service minimal à assurer et le délai d’interruption admissible entre le fonctionnement normal et
le fonctionnement en mode secours, éventuellement dégradé.
— Les mesures de base visent ensuite à décrire en détail les actions à mener quand survient le sinistre, à en
décrire les procédures détaillées et à les tester, puis à gérer leur mise à jour au fil des évolutions du réseau
étendu.
Mesures techniques
— Les mesures techniques de base consistent à assurer une solution de secours pour tout cas d’accident sur
un équipement critique du réseau étendu, ces solutions pouvant être :
¾ des redondances d’équipements
¾ des solutions des secours sur un site distant, avec des équipements propres ou mutualisés
¾ des replis sur des réseaux publics
¾ l’installation de nouveaux matériels sur des salles prévues en conséquence (salles blanches)
¾ etc.
Qualité de service
— L’efficacité du service est essentiellement liée à plusieurs facteurs :
¾ le délai de mise en œuvre des diverses solutions de secours prévues
¾ la qualité et la rigueur de détail du plan de reprise d’activité
— La robustesse du service est liée à l’existence de variantes des PRA au cas où la solution de base ne serait
pas disponible ou pas assez longtemps (cas des solutions mutualisées)
¾ des tests de PRA représentatifs de la réalité
¾ des audits de la rigueur de gestion des procédures de secours.
74
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04A08 Gestion des équipements critiques (vis-à-vis de la permanence de la

maintenance)
Objectif :
Assurer la continuité de l’activité réseau et télécom en cas de disparition ou d’indisponibilité durable du
fournisseur d’un équipement du réseau étendu ou du prestataire chargé d’en assurer la maintenance
Éviter que la disparition d’un fournisseur mette en péril la continuité de l’exploitation du réseau étendu.
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
— Les mesures organisationnelles initiales visent à analyser, pour chaque équipement du réseau étendu, les
conséquences de la disparition d’un fournisseur sur la disponibilité d’ensemble du réseau et à identifier, avec
les utilisateurs, le service minimal à assurer et le délai d’interruption de maintenance admissible entre le
moment où cette disparition serait constatée et le moment où une solution de repli pourrait être mise en
œuvre
— Les mesures de base visent ensuite à définir la solution de repli et à la décrire dans un plan détaillant toutes
les actions nécessaires au succès de la solution. Ces mesures peuvent être :
¾ Le changement d’équipement par un autre équipement d’un autre fournisseur
¾ La reprise de maintenance par un autre prestataire (les conditions détaillées comprenant alors l’accès à
une documentation de maintenance suffisante, dans des conditions à définir de manière précise)
¾ Une évolution radicale du réseau permettant de se passer de l’équipement posant problème
Qualité de service
¾ la qualité et la rigueur de détail du plan de secours prévu
— La robustesse du service est liée à l’existence de variantes des plans de secours au cas où la solution de
base ne fonctionnerait pas
— La mise sous contrôle est réalisée par des audits :
¾ de la pertinence des solutions prévues
¾ des procédures les rendant possibles (dépôt des documentations chez une tierce partie de confiance).
75
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04B Contrôle des connexions sur le réseau étendu

04B01 Profils de sécurité des entités connectées au réseau étendu
Objectif :
Définir des conditions minimales de sécurité avant de connecter une entité au réseau étendu.
Limiter l’occurrence d’intrusions sur le réseau étendu.
Au cas où de telles intrusions interviendraient, en limiter la portée.
Limiter les possibilités d’actions nuisibles de la part du personnel de l’entreprise ayant accès au
réseau.
Globalement, le résultat attendu est que la connexions d’entités distantes n’affaiblisse pas le niveau de
sécurité des entités déjà connectées
Le principe de ces critères ou profils pour appartenir au « réseau de confiance » est qu’un ensemble
de règles communes soient respectées.
Il s’agit donc de mesures essentiellement organisationnelles, le but du service étant de fixer les règles
communes et d’organiser leur contrôle.
— Les mesures organisationnelles de base consistent à définir les règles minimales à respecter pour pouvoir
être connecté au réseau étendu. Ces règles doivent couvrir :
¾ L’organisation de la sécurité et l’existence de responsables désignés
¾ La protection physique des équipements de réseau et des baies de câblage
¾ La protection logique des accès aux équipements de réseau et aux équipements de sécurité (garde
barrières, en particulier)
¾ Les règles de filtrage des accès entrants et sortants
¾ Les contrôles des configurations, y compris celles des utilisateurs
¾ La gestion des anomalies et incidents
— Les mesures organisationnelles d’accompagnement consistent à contrôler que ces règles sont bien
appliquées :
¾ Mise en place d’indicateurs et de tableau de bord
¾ Audit régulier de l’application des mesures
— L’efficacité du service est directement liée à :
¾ la précision des directives et à leur rigueur
¾ l’existence d’une offre disponible en interne permettant de suivre les directives
¾ L’existence d’indicateurs élaborés au sein de chaque entité
¾ L’existence d’une cellule chargée de collecter ces indicateurs, d’élaborer un tableau de bord et de prendre
toute mesure nécessaire
¾ L’audit régulier du suivi effectif des directives et de la conformité des indicateurs aux mesures réelles sur le
terrain
76
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04B02 Authentification de l’entité accédante lors d’accès entrants depuis le

réseau étendu
Objectif :
S’assurer lors de l’accès au réseau local en provenance d’une autre entité, par le réseau étendu, que
cette entité est bien celle qu’elle prétend être.
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des entités n’étant pas
(ou plus) autorisées individuellement à accéder au réseau local.
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le contrôle d’une caractéristique que seul l’équipement distant
(passerelle de sortie de l’entité distante) possède :
¾ Mot de passe partagé entre les équipements de contrôle
¾ Système cryptologique permettant à l’entité distante de s’authentifier
— Les mesures complémentaires concernent la protection contre les tentatives d’usurpation d’identité d’entité :
¾ Protection du processus de diffusion initiale des conventions secrètes (diffusion des certificats)
¾ Protection du protocole d’authentification pour éviter qu’il ne soit observé, écouté et dupliqué.
¾ Vérification de la validité des certificats et de la non révocation des éléments de reconnaissance
— Les mesures organisationnelles d’accompagnement concernent la gestion des annuaires contenant les
éléments de reconnaissance (clés publiques en particulier)
¾ Gestion de l’annuaire des clés publiques des entités autorisées à se connecter
¾ Gestion des processus de révocation, en cas de manquement aux règles d’appartenance au réseau de
confiance
Qualité de service
— L’efficacité du service est liée à la solidité ou l’inviolabilité du mécanisme d’authentification proprement dit
(force et solidité du mot de passe, solidité de l’algorithme cryptologique éventuellement utilisé pour
authentifier, solidité de l’algorithme et du protocole contre toute observation, écoute et réutilisation de
séquence, etc.)
— La robustesse du service est liée à trois facteurs :
¾ l’inviolabilité des protocoles annexes tels que diffusion initiale, échanges ou stockage des éléments
secrets
¾ les mesures de protection des protocoles d’authentification et des équipements assurant le déroulement
de ces protocoles pour éviter qu’ils ne soient altérés ou inhibés
¾ les mesures organisationnelles complémentaires pour éviter que les procédures de gestion d’exceptions
ne soient utilisées pour obtenir à tort une autorisation d’accès
¾ des paramètres supports des mécanismes d’authentification,
¾ des systèmes de détection des violations et des arrêts du contrôle d’authentification
¾ des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures
77
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04B03 Authentification de l’entité accédée, lors d’accès sortants vers

d’autres entités par le réseau étendu
Objectif :
S’assurer lors de l’accès depuis le réseau local vers d’autres entités, par le réseau étendu, que l’entité
appelée est bien celle qu’elle prétend être.
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des entités n’étant pas
(ou plus) autorisées individuellement à accéder au réseau interne et qui pourraient usurper une adresse
autorisée.
Mesures techniques
(passerelle d’entrée de l’entité distante) possède :
¾ Système cryptologique permettant à l’entité distante d’être authentifiée
confiance
Qualité de service
séquence, etc.)
secrets
78
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04C Sécurité des données lors des échanges et des communications

04C01 Chiffrement des échanges sur le réseau étendu
Objectif :
Protéger la confidentialité des informations échangées sur le réseau étendu.
Empêcher qu’une personne non autorisée puisse accéder au contenu des informations échangées sur
le réseau étendu.
Mesures techniques
— Les mesures techniques de base concernent le chiffrement ou cryptage des données (il s’agit ici de
chiffrement au niveau réseau et non au niveau applicatif, et donc, généralement de chiffrement de trames de
données, indistinctement de leur contenu) :
¾ Détermination des canaux chiffrés
¾ Mise en place de boîtiers de chiffrement (ou à défaut de solution logicielle de chiffrement)
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du système :
¾ Protection physique des boîtiers de chiffrement
¾ Protection logique des solutions logicielles de chiffrement
¾ Sécurité du processus technique support des échanges de clés
— Les mesures organisationnelles d’accompagnement concernent la gestion du système de chiffrement et la
gestion des évolutions des règles de chiffrement :
¾ Système de gestion et d’échange des clés de chiffrement
¾ Système de révocation de clés en cas de violation
¾ Gestion des demandes de modification des canaux chiffrés ou non
Qualité de service
— L’efficacité du service est essentiellement liée à la solidité de l’algorithme de chiffrement et de génération de
clés secrètes (ou de paires de clés)
— La robustesse du service est liée à plusieurs facteurs :
¾ la protection des mécanismes de chiffrement (boîtiers physiques ou logiciel)
¾ la solidité du processus et des procédures d’échange de clés et de gestion d’anomalies (révocation)
¾ des paramètres supports des mécanismes de chiffrement,
¾ des systèmes de détection d’inhibition ou d’arrêt du mécanisme de chiffrement
¾ de la mise en œuvre des procédures de gestion de clés
79
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04C02 Contrôle de l’intégrité des échanges sur le réseau étendu

Objectif :
Protéger l’intégrité des informations échangées sur le réseau étendu.
Empêcher qu’une personne non autorisée puisse modifier le contenu des informations échangées sur
le réseau étendu, sans que cela soit détecté (avant utilisation).
Mesures techniques
— Les mesures techniques de base concernent le scellement ou la signature électronique des données (il s’agit
ici de scellement au niveau réseau et non au niveau applicatif, et donc, généralement de scellement de
trames de données, indistinctement de leur contenu) :
¾ Détermination des canaux à protéger
¾ Mise en place de solution (généralement logicielle) de scellement
¾ Protection logique des solutions logicielles de scellement (protection du logiciel, génération des paires de
clés publiques et privées, diffusion et contrôle des clés publiques et usage éventuel de certificats, etc.)
¾ Protection du processus de fixation des règles de scellement (échanges d’informations et tables de
paramètres concernant les liaisons à protéger par un scellement)
— Les mesures organisationnelles d’accompagnement concernent la gestion du système de scellement et la
gestion des évolutions des règles de scellement :
¾ Système de gestion et de diffusion des clés de scellement
¾ Gestion des demandes de modification des canaux scellés ou non
Qualité de service
— L’efficacité du service est essentiellement liée à la solidité de l’algorithme de scellement et de génération des
clés
¾ la protection des mécanismes de scellement logiciel
¾ la solidité du processus et des procédures de diffusion des clés, de leur contrôle de validité et de gestion
d’anomalies (révocation)
¾ des paramètres supports des mécanismes de scellement,
¾ des systèmes de détection d’inhibition ou d’arrêt du mécanisme de scellement
80
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04D Détection et traitement des incidents sur le réseau étendu

04D01 Surveillance en temps réel du réseau étendu
Objectif :
Détecter en temps réel des anomalies de comportement ou des séquences anormales significatives
d’actions non autorisées et potentiellement dangereuses sur le réseau étendu.
Permettre une réaction rapide et, si possible, une intervention avant que l’action nocive ait été réussie.
A défaut limiter cette action dans le temps (dans certains cas d’intrusion, on est surpris de constater que
des traces existaient depuis fort longtemps et auraient permis de réagir).
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels
Mesures techniques
Les mesures techniques comportent deux types de solutions :
— les systèmes de détection d’intrusion qui s’appuient sur des bases de données de séquences révélatrices de
tentatives d’intrusion
— l’enregistrement de rejets opérés par les systèmes de filtrage et la détection de répétitions anormales de
rejets (tentatives de connexion avortées, rejets de protocoles et tentatives successives de différents
protocoles, etc.)
Ces systèmes, qui peuvent être supportés par des outils plus ou moins sophistiqués, débouchent sur
des alertes à destination d’une équipe d’intervention, voire sur des actions automatiques (blocage de la
connexion, blocage de toutes les connexions en cas d’attaque en déni de service, etc.).
Il est clair qu’en accompagnement de ces mesures, les droits d’administration nécessaires pour
paramétrer ces systèmes doivent être strictement contrôlés.
— Les mesures organisationnelles de base visent à supporter les mesures techniques :
¾ mise à jour régulière de la base de données des techniques d’intrusion
¾ gestion des paramètres de détection des répétitions déclenchant une alarme
¾ équipe d’astreinte permanente capable de réagir aux alarmes et système d’escalade
— En amont de ces mesures, il est nécessaire d’analyser tous les cas d’alerte et de définir, cas par cas, les
réactions attendues de l’équipe d’intervention.
— En complément, il peut être souhaitable d’analyser, en fonction du contexte de l’entreprise, si des
comportements particuliers pourraient être significatifs d’actions anormales et donner lieu à une alerte
spécifique, par exemple :
¾ horaires de connexion
¾ actions menées depuis des sites particuliers
¾ multiplication des accès vers des sites distants
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ le nombre de cas détectés et la profondeur de l’analyse préliminaire des cas donnant lieu à alarme, ainsi
que le maintien à jour de ces données
¾ la qualité et la rigueur de l’analyse des réactions attendues de l’équipe d’intervention
¾ la compétence de cette équipe et sa disponibilité
— La robustesse du service est liée à deux facteurs :
¾ La rigueur de la gestion des droits nécessaires pour administrer les paramètres d’alarmes et la solidité des
contrôles qui sont faits à ce sujet
¾ L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système de surveillance
¾ du bon fonctionnement du système de surveillance
¾ de la disponibilité de l’équipe d’astreinte et de la surveillance effective du réseau
81
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04D02 Surveillance en temps différé des traces, logs et journaux

d’événements sur le réseau étendu
Objectif :
Détecter en temps différé des anomalies de comportement ou des séquences anormales significatives
d’actions non autorisées et potentiellement dangereuses, par une analyse a posteriori des traces logs et
journaux du réseau étendu.
Permettre de limiter dans le temps les actions anormales et en dissuader les acteurs internes (ce
service peut venir en appui d’interdictions de certaines actions non contrôlées de manière préventive).
Mesures techniques
Les mesures techniques comportent deux types de solutions complémentaires :
— les systèmes d’enregistrement de diverses traces, la journalisation des opérations effectuées par les équipes
d’exploitation et en particulier les paramétrages d’équipements de sécurité ou les reconfigurations
d’équipements du réseau étendu et les logs, plus ou moins exhaustifs, des actions effectuées par les
utilisateurs (connexions, accès divers, contenu des échanges, mots clés, etc.)
— l’analyse de tous ces éléments qui, sans outil d’assistance, se révèle totalement inefficace (la masse
d’enregistrements que l’on peut conserver est telle qu’une analyse manuelle est souvent illusoire, si ce n’est
totalement impossible). Le résultat de l’analyse est alors une synthèse (éventuellement sous forme de
tableau de bord) qui peut être analysée par une équipe ad hoc, voire des alarmes directes.
L’analyse de la synthèse débouche sur des alertes à destination soit d’une équipe d’intervention
technique, en particulier pour les cas de détection d’actions menées depuis l’extérieur, soit de la
hiérarchie, pour les actions menées par du personnel interne.
¾ définition et mise à jour régulière des événements à enregistrer
¾ gestion des outils d’analyse et des paramètres déclenchant une alarme directe
¾ synthèse des enregistrements et prétraitements éventuels
¾ équipe en charge d’analyser les résultats de synthèse fournis par l’analyse des traces et logs
— En appui de ces mesures, il est nécessaire de définir, cas par cas, les réactions attendues de l’équipe
d’intervention (par exemple conduite à tenir en cas d’abus de droits ou d’actions « interdites » telles que des
accès à des sites Internet prohibés).
Qualité de service
¾ la couverture des enregistrements et la profondeur de l’analyse préliminaire des cas donnant lieu à alarme
directe et des synthèses effectuées souhaitables,
¾ La rigueur de la gestion des droits nécessaires pour administrer les enregistrements ainsi que les
paramètres d’analyse et d’alarmes et la solidité des contrôles qui sont faits à ce sujet
¾ L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système d’enregistrement ou du
système d’analyse et de surveillance
¾ du bon fonctionnement du système d’enregistrement et de surveillance
¾ de l’analyse effective des synthèses et alarmes par l’équipe qui en a la charge
82
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
04D03 Traitement des incidents du réseau étendu

Objectif :
Enregistrer les incidents du réseau étendu et en assurer un traitement adéquat et un suivi régulier
Éviter qu’un incident mineur ou qu’une série d’incidents mineurs ne soient pas traités convenablement
et qu’ils débouchent sur un accident majeur (par exemple blocage complet du réseau)
Mesures techniques
Les mesures techniques comportent essentiellement un système d’enregistrement de tous les
incidents, que ces incidents soient signalés par l’exploitation ou par les utilisateurs, qu’ils soient avérés ou
simplement suspectés.
Le système doit, bien évidemment permettre le suivi et la mise à jour de chaque incident au fur et à
mesure de la progression des actions visant à le traiter.
Il comporte généralement des synthèses sous forme de tableau de bord, par type d’incident.
En complément le système de gestion des incidents comporte souvent des accès sélectifs à
l’information, pour que certains champs ne soient accessibles qu’à certaines personnes (par exemple, le
nom des personnes impliquées).
Les mesures organisationnelles de base visent à mettre en place une équipe en charge de la
réception des appels (hot line ou help desk, généralement), de l’enregistrement des incidents, de
l’aiguillage vers l’équipe concernée et du suivi de l’incident.
En complément, il est souhaitable de définir, a priori, une typologie d’incidents, pour pouvoir en
effectuer un suivi statistique, ainsi qu’une hiérarchie, certains incidents faisant l’objet d’un reporting en
temps quasi réel d’autres ne faisant l’objet que d’un reporting statistique.
Qualité de service
¾ la couverture des types d’incidents effectivement gérés par le système,
¾ la typologie des incidents et la capacité des outils à assister l’équipe ad hoc dans le suivi des incidents
(rappel des incidents non soldés dans un délai donné, workflow, etc.)
¾ La rigueur de la gestion des droits nécessaires pour administrer le système de gestion des incidents et
pour modifier ou effacer un incident ainsi que la rigueur des contrôles d’accès qui sont faits à ce sujet
¾ L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système de suivi des incidents
¾ du bon fonctionnement du système d’enregistrement et de suivi des incidents
¾ du suivi effectif des incidents par l’équipe qui en a la charge
83
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Domaine 5 : Réseau local
05A Sécurité de l’architecture du réseau local

Objectif :
Mettre en place une architecture globale du réseau local garantissant la facilité de communication
entre les unités qui en ont le besoin tout en limitant les risques d’abus ou de mauvaise utilisation de ces
moyens.
Les résultats attendus sont doubles : garantir une continuité des communications en cas d’incident ou
de panne mais limiter les possibilités d’intrusion ou en limiter la portée par des cloisonnements internes.
Une autre manière de présenter le résultat attendu de ce groupe de services est de dire qu’une grande
facilité de communication qui ne serait pas assez sécurisée ne serait pas utile et pourrait être sous utilisée
par les opérationnels en raison des risques présentés. Les deux aspects visent donc le même objectif qui
est d’offrir un moyen de communication sûr.
Les services de sécurité nécessaires sont relatifs à deux types de mesures complémentaires qui sont
— 05A01 : Partitionnement du réseau local en domaines de sécurité
— 05A02 : Sûreté de fonctionnement des éléments d’architecture du réseau local
— 05A03 : Télépilotage de l’exploitation du réseau local
— 05A04 : Organisation de la maintenance des équipements du réseau local
— 05A05 : procédures et plans de reprise du réseau local sur incidents
— 05A06 : Plans de sauvegardes des configurations du réseau local
— 05A07 : Plans de sauvegardes des données applicatives du réseau local (applications réseaux et télécom,
par exemple journalisation, facturation téléphonique, ...)
— 05A08 : Plans de Reprise d'Activité (PRA) du réseau local
— 05A09 : Gestion des fournisseurs critiques vis-à-vis de la permanence de la maintenance
05B Contrôle d’accès au réseau de données

Objectif :
Faire en sorte que seuls les utilisateurs autorisés aient accès aux réseaux internes et contrôler les
accès sortants.
Prévenir les tentatives d’accès, par des personnes non autorisées, aux ressources internes (serveurs
en particuliers) et aux informations circulant sur le réseau.
— 05B01 : Gestion des profils d’accès au réseau local de données
— 05B02 : Gestion des autorisations d'accès et privilèges (attribution, délégation, retrait)
— 05B03 : Authentification de l'accédant lors des accès au réseau local depuis un point d’accès interne
— 05B04 : Authentification de l'accédant lors des accès au réseau local depuis un site distant via le réseau
étendu
— 05B05 : Authentification de l'accédant lors des accès au réseau local depuis l'extérieur
— 05B06 : Authentification de l'accédant lors des accès au réseau local depuis un sous-réseau WiFi
84
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
— 05B07 : Filtrage général des accès au réseau local

— 05B08 : Contrôle du routage des accès sortants
— 05B09 : Authentification de l'entité accédée lors des accès sortants vers des sites sensibles
05C Sécurité des données lors des échanges et des communications sur le
réseau local
Objectif :
Protéger les données transmises contre des divulgations ou des altérations illicites.
Prévenir les tentatives d’accès aux informations échangées, en lecture ou en modification, par des
personnes non autorisées.
— 05C01 : Chiffrement des échanges sur le réseau local
— 05C02 : Protection de l’intégrité des échanges sur le réseau local
— 05C03 : Chiffrement des échanges lors des accès distants au réseau local
— 05C04 : Protection de l’intégrité des échanges lors des accès distants au réseau local
05D Détection et traitement des incidents et anomalies du réseau local

Objectif :
Détecter les anomalies de fonctionnement ou des intrusions sur les réseaux locaux pour intervenir au
Éviter que des actions malveillantes externes (pirates, hackers) ou internes (abus de droits
d’utilisateurs), que les mesures préventives auraient pu laisser passer, perdurent et se traduisent par des
dysfonctionnements qui auraient pu être détectés et interrompus.
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires qui sont
— 05D01 : Surveillance en temps réel du réseau local
— 05D02 : Surveillance, en temps différé, des traces, logs et journaux des événements sur le réseau local
— 05D03 : Traitement des incidents du réseau local
85
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05A Sécurité de l’architecture du réseau local

05A01 Partitionnement du réseau local en domaines de sécurité
Objectif :
Limiter les communications entre parties de réseaux, internes ou externes, aux seuls besoins de
l’entreprise.
Limiter l’occurrence d’intrusions sur le réseau local.
Au cas où de telles intrusions interviendraient, en limiter la portée.
Limiter les possibilités d’actions nuisibles de la part du personnel de l’entreprise ayant accès au
réseau.
Le principe de ces mesures de cloisonnement consiste à diviser le réseau local en sous-réseaux
regroupant généralement du personnel ayant des activités très proches ou interdépendantes et à filtrer les
liaisons entre sous-réseaux pour ne laisser passer que les communications nécessaires à l’activité.
On filtre ainsi :
— les communications initialisées depuis l’extérieur de l’entreprise et à destination du réseau interne,
— les communications initialisées depuis le réseau interne, à destination de l’extérieur
— les communications entre sous-réseaux internes.
Il s’agit donc de mesures essentiellement techniques, mais qui demandent, en appui, des mesures
organisationnelles.
Nota : Les filtrages des communications en provenance ou à destination du réseau étendu sont traités
dans le domaine 4.
Mesures techniques
— Les mesures de base consiste en des filtrages qui peuvent porter sur :
¾ des équipements autorisés à communiquer et repérés par une adresse (IP en particulier)
¾ des utilisateurs autorisés à communiquer avec des sous-réseaux.
¾ des protocoles de communications, voire des types de transactions
— Les mesures d’accompagnement consistent à organiser la définition des règles de filtrage générales et des
autorisations accordées en fonction des besoins des utilisateurs :
¾ Principe de base fondé sur « rien sauf » (rien n’est autorisé sauf ce qui est explicitement demandé et
accordé)
¾ Organisation des demandes d’ouverture et gestion des fins de droits
¾ veille technologique pour s’assurer que les règles de filtrage mises en place correspondent bien à l’état de
l’art en matière de protection des réseaux.
— L’efficacité du cloisonnement des réseaux et du filtrage effectué dépend de l’étroitesse du spectre des actions
autorisées et de leur adéquation, au plus juste, aux besoins de communication entre entités.
— La robustesse du cloisonnement et du filtrage dépend de l’expertise du spécialiste assurant le paramétrage
de l’équipement. En effet, comme tout système, les équipements de filtrage peuvent contenir des failles.
Remarque : Dans le monde des « systèmes ouverts » (NT, Unix, Linux, …), les failles de sécurité
découvertes dans les systèmes sont régulièrement publiées et, très peu de temps après, les solutions à
apporter ou « patchs ». Ce mode de travail, qui n’est plus guère contesté par les spécialistes, entraîne de
facto une fragilisation des systèmes qui ne sont pas tenus à jour (car les failles sont publiées).
— La mise sous contrôle des mesures de cloisonnement et de filtrage des échanges consiste en :
¾ un audit périodique des protocoles et liaisons autorisées
¾ un audit régulier du paramétrage effectif des équipements de filtrage
¾ une veille technologiques des failles et faiblesses des systèmes
86
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05A02 Sûreté de fonctionnement des éléments d’architecture du réseau

local
Objectif :
Assurer la fluidité des communications, à l’intérieur du réseau local, quels que soient les aléas de
fonctionnement des équipements ou d’utilisation du réseau par les utilisateurs
Éviter qu’une panne simple, voire complexe ou que des aléas dans l’utilisation du réseau local ne
fassent chuter la performance du réseau avec des impact négatifs sur l’activité de l’entreprise.
préalables qui sont de nature organisationnelles
des enjeux de la continuité des services du réseau local :
¾ Analyse de la gravité des conséquences en fonction de la durée d’une interruption complète des services
du réseau local
¾ Analyse des capacités de reroutage des communications en cas de défaillance d’un équipement et du
¾ Analyse des enjeux liés à une baisse de performance du réseau local
Mesures techniques
¾ toute panne simple d’un équipement du réseau local puisse être soit réparée dans des délais acceptables
soit contournée par des redondances d’équipement
— Les mesures techniques d’accompagnement consistent en des outils de surveillance et de monitoring du
réseau local permettant effectivement de détecter toute anomalie ou baisse de performance et d’agir à
distance pour allouer des ressources de contournement ou d’appoint
facteurs :
¾ L’indépendance des équipements spéciaux (réseaux et télécoms) vis-à-vis de tout équipement de
servitude (énergie, services généraux, locaux, etc.).
87
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05A03 Télépilotage de l’exploitation du réseau local

Objectif :
Permettre le pilotage à distance du réseau local de l’entreprise
Pouvoir assurer le pilotage du réseau local, même en cas d’incapacité à accéder aux locaux habituels
utilisés par le personnel d’exploitation pour piloter le réseau.
Mesures techniques
Il est bien entendu possible de piloter le réseau local depuis de nombreux points du réseau, pour peu
que l’on sache mettre en œuvre, depuis ces points, les outils d’administration et de pilotage du réseau
(protocoles de lecture des points de mesures et d’administration des équipements, en particulier SNMP).
Les mesures techniques consistent donc à prévoir un point d’accès au réseau local depuis l’extérieur
avec toutes les possibilités nécessaires à l’administration, tout en préservant la sécurité du réseau :
— Passerelle d’accès au réseau local assurant les possibilités d’administration distante
— Authentification forte du poste de pilotage distant (ou des administrateurs)
de secours détaillant les actions à mener pour pouvoir effectivement mettre en œuvre les moyens de
pilotage déportés en toute sécurité et prévoyant la mise à disposition sur ce site de toutes les informations
nécessaires (paramétrages des équipements, plans d’adressage, etc.).
Qualité de service
¾ la priorité donnée au pilotage distant par rapport aux actions menées depuis le réseau local (cas de grève
et d’actions menées depuis le réseau local pour tenter d’empêcher le pilotage distant)
¾ Des tests réguliers de la capacité de pilotage distant du réseau depuis le poste déporté
pas utilisée au détriment du fonctionnement de l’entreprise
88
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05A04 Organisation de la maintenance des équipements du réseau local

Objectif :
Assurer la maintenance des équipements du réseau local pour les cas de panne ou d’évolutions
nécessaires.
changements de contexte internes ou externes) se traduise par une interruption inacceptable du service
du réseau local.
¾ Identifier les équipements critiques et, pour ceux-ci, le délai de remise en service souhaitable et le délai
maximum tolérable en cas de défaillance
Mesures techniques
Qualité de service
89
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05A05 Procédures et plans de reprise du réseau local sur incidents

Objectif :
Assurer une gestion des incidents de réseau local qui soit acceptable par les utilisateurs.
Éviter qu’un incident de réseau local se traduise par des pertes de données ou des pertes de service
inacceptables par les utilisateurs.
¾ des incidents pouvant survenir sur un réseau local (panne d’équipement, saturation de lignes ou
d’équipements, panne externe, coupure de ligne, ver, etc.)
¾ des conséquences de chacun de ces incidents, selon sa localisation, sur les données transmises et les
services offerts
Mesures techniques
et exact :
¾ sondes de mesure
— Les mesures techniques d’accompagnement consistent éventuellement en des capacités :
¾ de sauvegarde dynamique des données en transit sur le réseau local, pour assurer leur restauration en
cas d’incident
¾ de reconfiguration des équipements de réseau local pour assurer une continuité de service minimum.
Qualité de service
¾ la précision et la profondeur de l’analyse des types d’incidents et de leur localisation possible, de leurs
conséquences et du caractère acceptable ou non de ces conséquences
¾ La protection des moyens d’administration permettant la reprise du réseau local et sa reconfiguration
contre toute inhibition ou mise hors service.
¾ des capacités des équipements de reconfiguration du réseau local à assurer une charge suffisante
¾ des possibilités réelles de restauration des données et de reconfiguration en cas d’incident
¾ de l’efficacité réelle des procédures et des moyens de surveillance et de diagnostic du réseau local.
90
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05A06 Plan de sauvegarde des configurations du réseau local

Objectif :
Assurer la sauvegarde des configurations des équipements du réseau local.
Permettre une reprise rapide de l’exploitation du réseau local en cas d’effacement accidentel d’une
configuration, de reconfiguration d’équipements ou de mise en œuvre de plans de secours.
Mesures techniques
— Les mesures techniques de base consistent à sauvegarder l’ensemble des configurations des équipements
de réseau local, systématiquement à une fréquence donnée et lors de chaque évolution.
pollution.
Qualité de service
¾ l’exhaustivité des paramètres sauvegardés des équipements et celle des équipements dont les
sauvegardes sont assurées
91
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05A07 Plan de sauvegarde des données applicatives du réseau local

Objectif :
Assurer la sauvegarde des données relatives aux applications purement télécom (journalisation,
applications de gestion des frais réseau, etc.) liées au réseau local.
Permettre une reprise rapide de l’exploitation des applications télécom du réseau local en cas
d’incident, de reconfiguration d’équipements ou de mise en œuvre de plans de secours.
Mesures techniques
— Les mesures techniques de base consistent à sauvegarder l’ensemble des données des applications
télécom du réseau local, systématiquement à une fréquence définie en fonction des besoins utilisateurs.
pollution.
sauvegardes pour que les inconvénients subis par les utilisateurs ou l’entreprise soient acceptables
Qualité de service
— L’efficacité du service est essentiellement liée à un facteur :
¾ la fréquence des sauvegardes et son adéquation aux besoins des utilisateurs ou de l’entreprise
92
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05A08 Plan de Reprise d’Activité (PRA) du réseau local

Objectif :
Assurer la reprise d’activité du réseau local en cas d’accident grave
Permettre une reprise de l’exploitation du réseau local en cas d’accident grave survenant sur une
partie du réseau, et ceci dans un délai compatible avec les besoins des utilisateurs.
— Les mesures organisationnelles initiales visent à analyser, pour chaque équipement de réseau local, les
conséquences d’un accident grave sur la disponibilité d’ensemble du réseau et à identifier, avec les
utilisateurs, le service minimal à assurer et le délai d’interruption admissible entre le fonctionnement normal et
le fonctionnement en mode secours, éventuellement dégradé.
— Les mesures de base visent ensuite à décrire en détail les actions à mener quand survient le sinistre, à en
décrire les procédures détaillées et à les tester, puis à gérer leur mise à jour au fil des évolutions du réseau.
Mesures techniques
— Les mesures techniques de base consistent à assurer une solution de secours pour tout cas d’accident sur
un équipement de réseau local, ces solutions pouvant être :
¾ des solutions des secours sur un site distant, avec des équipements propres ou mutualisés
¾ des replis sur des réseaux publics
¾ l’installation de nouveaux matériels sur des salles prévues en conséquence (salles blanches)
¾ etc.
Qualité de service
93
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05A09 Gestion des fournisseurs critiques du réseau local (vis-à-vis de la

permanence de la maintenance)
Objectif :
Assurer la continuité de service du réseau local en cas de disparition ou d’indisponibilité durable du
fournisseur d’un équipement de réseau ou du prestataire chargé d’en assurer la maintenance
Éviter que la disparition d’un fournisseur mette en péril la continuité de l’exploitation des réseaux
locaux.
— Les mesures organisationnelles initiales visent à analyser, pour chaque équipement de réseau local, les
conséquences de la disparition d’un fournisseur sur la disponibilité d’ensemble du réseau et à identifier, avec
œuvre
¾ Le changement d’équipement par un autre équipement d’un autre fournisseur
¾ Une évolution radicale du réseau permettant de se passer de l’équipement posant problème
Qualité de service
¾ la qualité et la rigueur de détail du plan de secours prévu
— La robustesse du service est liée à l’existence de variantes des plans de secours au cas où la solution de
base ne fonctionnerait pas
94
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05B Contrôle d’accès au réseau local de données

05B01 Gestion des profils d’accès au réseau local de données
Objectif :
Déterminer, pour le réseau local de données, quelles catégories de personnel, interne ou non, ont de
réels besoin d’y avoir accès, dans quelles conditions et dans quelles limites, afin de pouvoir empêcher les
accès au réseau par ceux qui n’en ont pas le besoin.
pas (ou plus) la nécessité d’accéder au réseau local de données. Ces actions pourraient être l’écoute des
communications transitant sur le réseau ou l’attaque de serveurs connectés au réseau.
— Identifier toutes les catégories de personnes amenées à travailler, de manière permanente ou occasionnelle,
dans les locaux de l’entreprise et pouvant, de ce fait, avoir accès à une prise réseau, et celles travaillant en
dehors de l’entreprise mais devant avoir accès, depuis l’extérieur, au réseau interne : par exemple :
¾ Personnel en CDI, situé dans les locaux
¾ Personnel « nomade » travaillant à l’extérieur
¾ Stagiaires.
¾ Prestataires (en différenciant les diverses catégories de prestataires : maintenance, entretien, etc.)
¾ Visiteurs
— Désigner, pour chaque type de personnel et selon son lieu de travail, un responsable de la gestion des droits
attribués à cette catégorie de personne et des contrôles qui devront être faits.
catégorie de personnes (accès autorisé ou non au réseau interne pour les personnes ayant accès au réseau
physique, accès et conditions d’accès au réseau interne pour les nomades ou les personnes situées à
l’extérieur des locaux, sous réseaux internes autorisés, protocoles autorisés, accès sortants et services
externes autorisés, etc.).
Mesures techniques
d’accès.
documents.
Qualité de service
95
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05B02 Gestion des autorisations d’accès et privilèges (attribution,

délégation, retrait)
Objectif :
Attribuer individuellement les autorisations d’accès au réseau local de données à chaque personne
pas (ou plus) la nécessité d’accéder au réseau local.
— Définir, pour chaque type de profil d’accès, le responsable de l’attribution d’un « profil d’accès » à une
¾ Hiérarchie pour le personnel interne ou le personnel nomade
— Définir, pour chaque catégorie de profil d’accès les variables de droits à préciser par le responsable
demandeur :
personne, depuis l’expression du besoin jusqu’à l’attribution ou le retrait effectif des droits
Mesures techniques
autorisations ou interdictions concrètes d’accès (entrée d’identifiant et de droits dans les tables systèmes).
Il s’agit donc de s’assurer que la demande reçue par le personnel en charge d’ouvrir ou de modifier les
droits est bien authentique.
Qualité de service
d’accès aux personnes, de les modifier éventuellement et d’invalider les autorisations (entrées dans les tables
systèmes) dès que le besoin a disparu.
transferts d’information et des base de données des droits attribués
96
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05B03/05B05/05B06 Authentification de l’accédant lors de l’accès au réseau

local
Nota : il y a lieu, lors d’un audit, de distinguer entre les services :
05B03 Authentification lors de l’accès au réseau local depuis un point d’accès interne
05B05 Authentification lors de l’accès au réseau local depuis l’extérieur
05B06 Authentification lors de l’accès au réseau local depuis un sous-réseau WiFi
Objectif :
S’assurer lors de l’accès au réseau local depuis un point d’accès interne (depuis l’intérieur de
l’entreprise, par exemple une prise réseau dans un bureau ou une salle de réunion), depuis l’extérieur
(généralement avec des exigences différentes) ou depuis un sous-réseau WiFi que la personne qui tente
de se connecter est bien celle qu’elle prétend être.
pas (ou plus) autorisées individuellement à accéder au réseau local.
Mesures techniques
— Les mesures techniques de base concernent le contrôle d’une caractéristique que la personne,
individuellement, possède ou connaît :
¾ Mot de passe ou secret partagé entre la personne et un équipement de contrôle
¾ Objet physique reconnaissable possédé par la personne (généralement en association avec un secret
partagé entre la personne et l’objet)
¾ Caractéristique propre de la personne (empreinte digitale, caractéristique faciale ou de la voix, etc.)
— Les mesures complémentaires visent la protection contre les tentatives d’usurpation d’identité :
¾ Protection du processus de diffusion initiale des conventions secrètes (mots de passe)
¾ Protection des éléments d’authentification conservés par l’utilisateur ou les équipements assurant
l’authentification (stockage des mots de passe, par exemple)
¾ Inhibition du processus d’authentification en cas de tentative répétée infructueuse
— Les mesures organisationnelles d’accompagnement concernent la gestion des anomalies ou des
dysfonctionnements ou violations des mesures techniques :
¾ Gestion de relation utilisateur en cas de perte de mot de passe ou de support d’authentification
¾ Procédures d’alerte en cas de tentatives répétées échouées
Qualité de service
séquence, etc.)
¾ l’inviolabilité des protocoles annexes : diffusion initiale, échanges ou stockage des éléments secrets
97
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
98
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05B04 Authentification de l’accédant lors de l’accès au réseau local depuis

un site distant via le réseau étendu
Objectif :
S’assurer, lors de l’accès au réseau local depuis un site distant via le réseau étendu, que la personne
qui tente de se connecter est bien celle qu’elle prétend être.
Les mécanismes à mettre en œuvre sont ici très différents dans la mesure où la personne qui accède
au réseau local est connue du site distant mais peut ne pas l’être du site accédé. Ils sont donc
essentiellement organisationnels et reposent sur une délégation d’autorité d’authentification.
— Les mesures organisationnelles concernent la gestion de la délégation d’autorité d’authentification :
¾ Obligation de s’authentifier localement avant tout accès sortant via le réseau étendu
¾ Homogénéité des règles imposées à toutes les unités de sorte que l’on puisse accorder la même
confiance à l’authentification distante qu’à une authentification locale
— Les mesures d’accompagnement concernent, bien évidemment, la mise sous contrôle de cette délégation
d’autorité :
¾ Audit de la pertinence des règles dirigeant l’appartenance au réseau étendu (considéré comme un réseau
de confiance)
¾ Audit de l’application des règles d’appartenance
Qualité de service
— L’efficacité du service est liée à la solidité des règles communes d’authentification (force et solidité du mot de
passe, solidité de l’algorithme cryptologique éventuellement utilisé pour authentifier, solidité de l’algorithme et
du protocole contre toute observation, écoute et réutilisation de séquence, etc.)
¾ de la pertinence des règles communes
¾ de l’application de ces règles
¾
99
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05B07 Filtrage général des accès au réseau local

Objectif :
S’assurer lors de l’accès au réseau local que la personne qui tente de se connecter y est bien
autorisée.
Mesures techniques
— Les mesures techniques de base concernent le contrôle d’accès :
¾ Identification et reconnaissance de la personne tentant de se connecter
¾ Authentification de la personne
¾ Identification du contexte propre de la tentative de connexion et sélection des règles de contrôle d’accès
applicables à ce contexte
¾ Contrôle que les droits attribués à la personne et que le contexte de connexion autorisent bien cette
connexion
¾ Interruption des autorisations en cas d’inactivité et redemande d’authentification à la reprise du travail
¾ Protection du processus de fixation des règles de contrôle d’accès (échanges d’informations et tables de
paramètres)
— Les mesures organisationnelles d’accompagnement concernent la gestion des évolutions des règles de
contrôle d’accès en fonction des contextes :
¾ Gestion des demandes de modification
Qualité de service
— L’efficacité du service est liée à la rigueur avec laquelle les contrôles d’accès ont été déterminés et à la qualité
du processus de contrôle
¾ la protection des processus et protocoles de contrôle et des tables de paramètres correspondants
¾ les mesures organisationnelles complémentaires pour éviter que les procédures de gestion de
modifications ne soient utilisées pour libérer à tort des contraintes d’accès
¾ des paramètres supports des mécanismes de contrôle d’accès,
¾ des systèmes de détection d’inhibition ou d’arrêt du contrôle d’accès
¾ de la mise en œuvre de ces procédures
100
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05B08 Contrôle du routage des accès sortants

Objectif :
S’assurer lors de l’accès au réseau externe que la personne qui tente de se connecter y est bien
autorisée.
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes ou des
programmes, lors des accès sortants effectués depuis le réseau local.
Mesures techniques
¾ Identification et reconnaissance de la personne tentant de sortir
¾ Identification du contexte propre au service externe dont la connexion est demandée et sélection des
règles de contrôle d’accès sortants applicables à ce contexte
¾ Contrôle que les droits attribués à la personne et que le contexte de connexion externe autorisent bien
cette connexion
¾ Interruption des sessions en cas d’inactivité et redemande d’authentification à la reprise du travail
paramètres)
contrôle d’accès sortants en fonction des contextes :
Qualité de service
— L’efficacité du service est liée à la rigueur avec laquelle les contrôles d’accès ont été déterminés et à la qualité
du processus de contrôle
101
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05B09 Authentification de l’entité accédée, lors d’accès sortants vers des

sites sensibles
Objectif :
S’assurer lors de l’accès depuis le réseau local vers des sites sensibles, que l’entité appelée est bien
celle qu’elle prétend être.
Prévenir les actions néfastes pouvant être menées par substitution de sites ou par usurpation
d’adresses de sites sensibles.
Mesures techniques
(passerelle d’entrée de l’entité sensible) possède :
¾ Système cryptologique permettant à l’entité distante d’être authentifiée
confiance
Qualité de service
séquence, etc.)
secrets
102
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05C Sécurité des données lors des échanges et des communications sur le
réseau local
05C01 Chiffrement des échanges sur le réseau local
05C03 Chiffrement des échanges lors des accès distants au réseau local
Objectif :
Protéger la confidentialité des informations échangées.
les réseaux, internes ou externes, c’est-à-dire soit sur le réseau local (05C01) soit lors des échanges au
réseau local depuis l’extérieur.
Mesures techniques
chiffrement au niveau réseau et non au niveau applicatif, et donc, généralement de chiffrement de trames de
données, indistinctement de leur contenu) :
¾ Détermination des canaux chiffrés
¾ Mise en place de boîtiers de chiffrement (ou à défaut de solution logicielle de chiffrement)
¾ Protection physique des boîtiers de chiffrement
¾ Protection logique des solutions logicielles de chiffrement
¾ Sécurité du processus technique support des échanges de clés
— Les mesures organisationnelles d’accompagnement concernent la gestion du système de chiffrement et la
gestion des évolutions des règles de chiffrement :
¾ Système de gestion et d’échange des clés de chiffrement
¾ Gestion des demandes de modification des canaux chiffrés ou non
Qualité de service
— L’efficacité du service est essentiellement liée à la solidité de l’algorithme de chiffrement et de génération de
clés secrètes (ou de paires de clés)
103
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05C02 Protection de l’intégrité des échanges sur le réseau local

05C04 Protection de l’intégrité des échanges lors des accès distants au
réseau local
Objectif :
Protéger l’intégrité des informations échangées.
Empêcher qu’une personne non autorisée puisse modifier le contenu des informations échangées sur
les réseaux (internes ou externes), sans que cela soit détecté (avant utilisation).
Mesures techniques
— Les mesures techniques de base concernent le scellement ou la signature électronique des données (il s’agit
ici de scellement au niveau réseau et non au niveau applicatif, et donc, généralement de scellement de
trames de données, indistinctement de leur contenu) :
¾ Détermination des canaux à protéger
¾ Mise en place de solution (généralement logicielle) de scellement
¾ Protection logique des solutions logicielles de scellement (protection du logiciel, génération des paires de
clés publiques et privées, diffusion et contrôle des clés publiques et usage éventuel de certificats, etc.)
¾ Protection du processus de fixation des règles de scellement (échanges d’informations et tables de
paramètres concernant les liaisons à protéger par un scellement)
¾ Système de gestion et de diffusion des clés de scellement
¾ Gestion des demandes de modification des canaux scellés ou non
Qualité de service
— L’efficacité du service est essentiellement liée à la solidité de l’algorithme de scellement et de génération des
clés
¾ la solidité du processus et des procédures de diffusion des clés, de leur contrôle de validité et de gestion
104
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05D Détection et traitement des incidents et anomalies du réseau local

05D01 Surveillance en temps réel du réseau local
Objectif :
d’actions non autorisées et potentiellement dangereuses sur le réseau local.
A défaut limiter cette action dans le temps. Remarque : dans certains cas d’intrusion, on est surpris de
constater que des traces existaient depuis fort longtemps et auraient permis de réagir.
Mesures techniques
— les systèmes de détection d’intrusion qui s’appuient sur des bases de données de séquences révélatrices de
tentatives d’intrusion
rejets (tentatives de connexion avortées, rejets de protocoles et tentatives successives de différents
protocoles, etc.)
¾ mise à jour régulière de la base de données des techniques d’intrusion
¾ gestion des paramètres de détection des répétitions déclenchant une alarme
¾ équipe d’astreinte permanente capable de réagir aux alarmes et système d’escalade
— En amont de ces mesures, il est nécessaire d’analyser tous les cas d’alerte et de définir, cas par cas, les
réactions attendues de l’équipe d’intervention.
— En complément, il peut être souhaitable d’analyser, en fonction du contexte de l’entreprise, si des
¾ multiplication des accès vers des sites distants
Qualité de service
¾ de la disponibilité de l’équipe d’astreinte et de la surveillance effective du réseau local
105
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05D02 Surveillance en temps différé des traces, logs et journaux des

événements sur le réseau local
Objectif :
journaux d’événements sur le réseau local.
Permettre de limiter dans le temps les actions anormales et en dissuader les acteurs internes (ce
service peut venir en appui d’interdictions de certaines actions non contrôlées de manière préventive).
Mesures techniques
d’exploitation et en particulier les paramétrages d’équipements de sécurité ou les reconfigurations
d’équipements de réseau local et les logs, plus ou moins exhaustifs, des actions effectuées par les utilisateurs
(connexions, accès divers, contenu des échanges, mots clés, etc.)
totalement impossible). Le résultat de l’analyse est alors une synthèse (éventuellement sous forme de
tableau de bord) qui peut être analysée par une équipe ad hoc, voire des alarmes directes.
L’analyse de la synthèse débouche sur des alertes à destination soit d’une équipe d’intervention
d’intervention (par exemple conduite à tenir en cas d’abus de droits ou d’actions « interdites » telles que des
accès à des sites Internet prohibés).
Qualité de service
106
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
05D03 Traitement des incidents du réseau local

Objectif :
Enregistrer les incidents du réseau local et en assurer un traitement adéquat et un suivi régulier
Éviter qu’un incident mineur ou qu’une série d’incidents mineurs ne soient pas traités convenablement
et qu’ils débouchent sur un accident majeur (par exemple blocage complet du réseau)
Mesures techniques
Il comporte généralement des synthèses sous forme de tableau de bord, par type d’incident.
l’information, pour que certains champs ne soient accessibles qu’à certaines personnes (par exemple, le
nom des personnes impliquées).
Les mesures organisationnelles de base visent à mettre en place une équipe en charge de la
réception des appels (hot line ou help desk, généralement), de l’enregistrement des incidents, de
l’aiguillage vers l’équipe concernée et du suivi de l’incident.
temps quasi réel d’autres ne faisant l’objet que d’un reporting statistique.
Qualité de service
107
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Domaine 6 : Exploitation des réseaux
06A Sécurité des procédures d’exploitation

Objectif :
Assurer la conformité des procédures aux exigences de sécurité spécifiées.
Éviter que des erreurs, des inattentions, voire des fautes intentionnelles, dans la mise en œuvre des
moyens télécom introduisent des brèches de sécurité.
— 06A01 : Prise en compte de la sécurité dans les relations avec le personnel d’exploitation
— 06A02 : Contrôle de la mise en production de nouveaux logiciels ou matériels ou d’évolutions de logiciels ou
matériels
— 06A03 : Contrôle des opérations de maintenance
— 06A04 : Contrôle de la télémaintenance
— 06A05 Gestion des procédures opérationnelles
— 06A06 Gestion des prestataires de service
— 06A07 Prise en compte de la confidentialité lors des opérations de maintenance sur les équipements de
réseau
— 06A08 Gestion des contrats de services réseaux
06B Paramétrage et contrôle des configurations matérielles et logicielles

Objectif :
Assurer la conformité des configurations aux exigences de sécurité spécifiées.
Éviter que des erreurs, des inattentions, voire des fautes intentionnelles, dans le paramétrage des
équipements télécom ou dans les postes utilisateurs introduisent des brèches de sécurité.
— 06B01 : Paramétrage des équipements de réseau et contrôle de la conformité des configurations
— 06B02 : Contrôle de la conformité des configurations utilisateurs
06C Contrôle des droits d’administration

Objectif :
Gérer avec rigueur l’attribution et l’utilisation de droits privilégiés sur les équipements de réseau
Éviter que les configurations sécurisées soient modifiées par des personnes abusant de droits
d’administration.
108
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
— 06C01 : Gestion des droits privilégiés sur les équipements de réseau
— 06C02 : Authentification des administrateurs et personnels d’exploitation
— 06C03 : Surveillance des actions d’administration des réseaux
— 06C04 : Contrôle des outils et utilitaires de l’exploitation
06D Procédures d'audit et de contrôle des réseaux
Objectif :
Prévenir toute activation incontrôlée d’outils d’audit technique des réseaux (tests de pénétration,
évaluations de vulnérabilités, etc.) ainsi que toute erreur ou malveillance lors de ces audits.
Enregistrer les résultats et détecter les anomalies de fonctionnement ou les modifications effectuées et
les intrusions éventuelles dans les équipements de réseau pour intervenir au mieux et dans les meilleurs
délais.
Éviter que des incidents, des anomalies ou des actions malveillantes externes (pirates, hackers) ou
internes (abus de droits d’utilisateurs), puissent arriver du fait de ces tests d’audit et ne soient pas détectés
ni interrompus.
Les services de sécurité nécessaires sont relatifs à divers types de mesures :
— 06D01 Fonctionnement des contrôles d'audit
— 06D02 Protection des outils et résultats d'audit
109
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007

06A01 Prise en compte de la sécurité dans les relations avec le personnel
d’exploitation
Objectif :
Faire signer au personnel d’exploitation (interne ou non) ayant à traiter des informations ou des
supports d’information sensibles des engagements de respect d’une politique de sécurité traitant
particulièrement de l’exploitation des réseaux.
Sensibiliser le personnel concerné et le responsabiliser en ce qui concerne la protection de
l’information pour éviter des erreurs ou négligences conduisant à une divulgation, à une altération ou à
une perte d’information sensible ou de service.
Dissuader également ledit personnel d’un acte malveillant par une reconnaissance préalable du
caractère délictueux d’un tel acte.
— Rédiger une politique de sécurité à destination du personnel d’exploitation des réseaux ou un chapitre
spécifique dans une politique générale de sécurité
— Faire signer au personnel d’exploitation une clause spécifique de respect de la politique de sécurité
applicable à l’exploitation des réseaux
— Introduire une clause de respect de la politique de sécurité de l’exploitation dans les contrats de prestataires
amenés à intervenir sur le matériel (en particulier le personnel de maintenance)
Qualité de service
— L’efficacité du service est liée à plusieurs aspects de la rédaction de la politique de sécurité et, en particulier à
l’exhaustivité des domaines couverts ainsi qu’à la généralité de l’engagement contractuel, à la durée de
l’engagement, ainsi qu’au formalisme du processus :
¾ Obligation couvrant tous les domaines de la sécurité (confidentialité des informations, disponibilité des
informations et des services, intégrité des informations et des configurations, traçabilité des actions, etc.)
¾ Obligation couvrant tous types de supports (magnétique, écrit ou imprimé, optique, etc.)
¾ Directives couvrant aussi bien l’interdiction d’action directe (divulgation, altération, destruction ou inhibition)
que l’obligation des précautions à prendre pour éviter les actions de tiers
¾ Directives couvrant tout le personnel y compris celui des sous-traitants (dans ce cas le contrat doit stipuler
l’obligation par le sous-traitant de faire signer de telles clauses, après acceptation et validation par
l’entreprise contractante, par son personnel).
¾ Obligation s’étendant après la fin du contrat, sans limite de durée
¾ Obligation de reconnaître formellement avoir été tenu au courant de l’ensemble des règles à adopter et de
les avoir acceptées
— La robustesse du service est liée à la conservation et à la protection des engagements du personnel
(archivage et protection des originaux contre une destruction malveillante)
— La mise sous contrôle est réalisée par des audits réguliers du texte des clauses et du bon fonctionnement du
processus de signature et de conservation des clauses de confidentialité.
110
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
06A02 Contrôle de la mise en production de nouveaux logiciels ou

matériels ou d’évolutions de logiciels ou matériels
Objectif :
Gérer avec rigueur les problèmes de sécurité induits par la mise en production de nouveaux
équipements (matériel, logiciel opératoire ou applicatif) ou de nouvelles versions d’équipements existants.
Éviter que la mise en production de nouveaux équipements de réseau (matériel, logiciel opératoire,
logiciel applicatif) ou de nouvelles versions d’équipements de réseau existants n’ouvre une faille de
sécurité non suspectée (nouvelle faille ou faille connue dont la correction pourrait être inhibée par la
nouvelle mise en production).
Les mécanismes à mettre en œuvre sont essentiellement de nature organisationnelle.
Le problème que peuvent poser, du point de vue de la sécurité, ces installations d’équipements ou de
systèmes tient au fait que les équipes d’exploitation n’ont pas forcément les outils ni la formation pour
envisager les risques pouvant être créés par ces installations ou évolutions.
Les mesures à mettre en œuvre sont de trois ordres :
— Établissement de procédures formelles de décision, d’approbation et de contrôle préalable aux décisions
d’installation ou de changement d’équipements et de versions tenant compte des exigences de sécurité
physique et logique ainsi que celles émises par les utilisateurs.
— Analyse des nouvelles fonctionnalités et des risques nouveaux éventuels, comme pour un nouveau projet :
¾ Identification des nouvelles fonctionnalités apportées par la mise en production projetée
¾ Analyse des risques que ces nouvelles fonctionnalités peuvent véhiculer ou faciliter
¾ Jugement sur le caractère acceptable ou non de ces risques nouveaux
¾ Prise de décision sur les mesures complémentaires éventuelles à mettre en œuvre.
— Vérification que les paramétrages et dispositifs de sécurité prévus sur les versions précédentes, en cas
d’évolution, sont bien toujours en place et actifs :
¾ Tenue à jour d’une liste des paramètres de sécurité et des points de contrôle
¾ Vérification du suivi des procédures et de l’activation de tous les processus de sécurité
¾ Tests avant mise en exploitation
Mesures techniques
Les mesures techniques d’accompagnement dépendent pour une grande part des décision prises à la
suite de l’analyse de risque décrite ci-dessus.
Qualité de service
— L’efficacité du service est essentiellement liée à la rigueur de l’analyse menée à l’occasion de l’installation ou
de l’évolution et, en particulier :
¾ Au formalisme de l’analyse de risque et des conclusions qui en sont tirées
¾ Aux capacités de support de la part d’une cellule spécialisée
¾ À la formation préalable des équipes d’exploitation à ce type de démarche.
¾ Au formalisme attaché aux tests de sécurité, à la tenue à jour des paramétrages de sécurité de chaque
équipement et du contrôle de conformité de ces paramètres sur une nouvelle version.
¾ La volonté de la Direction de ne pas déroger aux procédures formelles de mise en production sauf
circonstances réellement exceptionnelles et au formalisme rigoureux alors nécessaire (signature formelle
d’une dérogation par la Direction). La principale cause de contournement vient, en effet, de la tendance à
déroger aux procédures d’analyse de risque ou de contrôle de conformité sous la pression des délais.
¾ L’impossibilité de procéder à des mises production pour du personnel n’ayant pas cette fonction et à la
solidité des contrôles correspondants (rigueur dans l’attribution des profils et authentification forte)
— La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédures ci-dessus.
111
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
06A03 Contrôles des opérations de maintenance

Objectif :
Gérer avec rigueur les problèmes de sécurité que peuvent poser les interventions de maintenance sur
les équipements ou systèmes réseaux
Éviter qu’une intervention de maintenance sur un équipement de réseau n’ouvre une faille de sécurité
non suspectée.
Les mesures à mettre en œuvre consistent en une analyse systématique, après chaque opération de
maintenance :
— Des tables de routage et des paramètres de filtrage des appels entrants
— Des paramètres de sécurité des relais applicatifs (proxies) : protocoles autorisés, paramètres de filtrage, etc.
— Des paramètres de filtrage des appels sortants
— Des paramètres de contrôle de l’administration des équipements
— Etc.
De plus, une journalisation de toutes les opérations de maintenance sera constituée.
Qualité de service
— L’efficacité du service est essentiellement liée à la précision et au formalisme de la liste des paramètres à
contrôler sur chaque type d’équipement sur chaque équipement particulier.
¾ D’une part au contrôle précis que les paramètres de contrôle de l’administration de l’équipement n’ont pas
été modifiés dans le sens d’une ouverture possible de droits d’administration à des personnes non
autorisées
¾ D’autre part à la volonté de la Direction de ne pas déroger aux procédures formelles de contrôle des
paramètres de sécurité sauf circonstances réellement exceptionnelles et au formalisme rigoureux alors
nécessaire (signature formelle d’une dérogation par un membre de la Direction). Le principal risque de
contournement vient, en effet, du risque de déroger aux procédures de contrôle sous la pression des
délais.
— La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédures ci-
dessus.
112
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
06A04 Contrôle de la télémaintenance

Objectif :
Limiter l’usage de la ligne de télémaintenance à la seule maintenance des équipements.
Éviter que la ligne de télémaintenance soit utilisée pour pénétrer le réseau par des personnes non
autorisées.
Mesures techniques
Les mesures techniques consistent essentiellement en une authentification forte de l’agent de
maintenance, l’idéal étant que cette authentification couvre à la fois :
— Le lieu depuis lequel est initialisée la liaison de télémaintenance (par exemple par une liaison de type VPN
avec un chiffrement de bout en bout jusqu’au terminal de maintenance ou par un rappel de l’opérateur de
maintenance aussi appelé call-back)
— La personne utilisant la ligne de télémaintenance, ce qui suppose l’attribution de certificats ou de jetons
individualisés et une gestion des personnes autorisées.
Les mesures organisationnelles d’accompagnement consistent à gérer les personnes individuellement
autorisées à utiliser la ligne de télémaintenance et donc à mettre en place des procédures pour :
— Déclarer et valider un nouvel opérateur de télémaintenance (y compris dans les cas d’urgence)
— Invalider un opérateur
— Vérifier éventuellement la validité de l’accréditation d’un opérateur
Dans certains cas d’équipements particulièrement sensibles, il peut être utile de prévoir, au titre des
mesures organisationnelles une procédure d’ouverture de session de télémaintenance pour que
l’utilisation de la ligne de télémaintenance soit totalement sous le contrôle de l’entreprise.
Qualité de service
— L’efficacité du service est essentiellement liée à la qualité et la solidité des mécanismes d’authentification :
¾ du lieu d’initialisation de la télémaintenance
¾ de l’utilisateur de la liaison de télémaintenance (en notant que la solidité du mécanisme d’authentification
de l’utilisateur doit tenir compte de la rigueur de gestion et d’attribution des moyens supports de
l’authentification)
— Il est clair qu’une procédure d’agrément mutuel avant toute ouverture de la ligne de télémaintenance rend
encore plus difficile l’usage frauduleux de la ligne.
¾ La solidité et l’inviolabilité des protocoles annexes tels que diffusion initiale, échanges ou stockage des
éléments secrets
¾ La protection de l’équipement sur lequel est connectée la ligne de télémaintenance contre toute
modification qui pourrait rendre la ligne de télémaintenance utilisable sans les contrôles ci-dessus.
¾ Les mesures organisationnelles complémentaires pour éviter que les procédures de gestion d’exceptions
¾ des systèmes de détection des violations et des arrêts du contrôle d’accès effectué lors de l’utilisation de la
ligne de télémaintenance
113
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
06A05 Gestion des procédures opérationnelles

Objectif :
Faire en sorte que les procédures opérationnelles applicables aux divers réseaux et aux équipements
attachés soient décrites, documentées, connues de ceux qui doivent les appliquer et intangibles, sauf
accord à un niveau suffisant du management et conduisant des révisions documentées à leur tour.
Éviter les erreurs et actions incontrôlées ou malveillantes dans l’application de ces procédures
opérationnelles.
Les mécanismes principaux sont essentiellement du ressort de l’organisationnel. Des mesures
techniques d’accompagnement sont néanmoins nécessaires.
— Les mesures organisationnelles de base doivent se concrétiser par l’élaboration et la documentation des
procédures à respecter :
¾ Analyse des différents scénarios de gestion des processus et de traitement des incidents éventuels.
¾ Établissement des documents, cahiers de consignes correspondants, etc.
¾ Mise à disposition de ces procédures aux exploitants et uniquement à ceux qui en ont l’usage.
— Les mesures complémentaires ont trait aux processus de gestion de ces procédures :
¾ Processus de gestion des modifications éventuelles afin d’éviter toutes erreurs et malveillances,
¾ Maintien à jour de ces procédures (penser à prémunir l’organisation contre la perte possible des
procédures en cas de sinistre majeur).
Mesures techniques d’accompagnement
— Les mesures techniques d’accompagnement ont trait aux mécanismes de protection de ces procédures (afin
d’éviter toute malveillance a priori ou toute modification destinée à masquer une violation, volontaire ou non,
de procédure) :
¾ Contrôle d’accès en écriture aux media support des procédures
¾ Journalisation et contrôle des modifications apportées
¾
Qualité de service
¾ L’exhaustivité des cas (fonctionnement type, incidents, etc.) traités par les procédures
¾ La pertinence du système de diffusion de l’information, tant en ce qui concerne les personnes atteintes
que la commodité d’accès à l’information en cas de besoin
— La robustesse du service est directement liée à
¾ La rigueur de la gestion des modifications et changements dans les procédures
¾ La protection des supports (contrôle d’accès, gestion des droits des personnes autorisées en écriture,
etc.)
¾ L’existence d’une procédure de revue des procédures opérationnelles
¾ L’audit de l’authenticité des procédures publiées
¾ L’audit des procédures de gestion et de modification des procédures opérationnelles
114
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
06A06 Gestion des prestataires de service

Objectif :
Pour de nombreuses organisations, les ressources et les compétences disponibles en interne ne
permettent pas de réaliser de nombreuses opérations liées à l’exploitation et à la sécurisation des réseaux
et il est fait appel, temporairement ou de façon permanente, à des personnels externes et des prestataires
de service.
L’objectif du service est de s’assurer que les missions des prestataires de services sont clairement
définies, celles-ci incluant les contrôles de sécurité qui leur sont délégués, que leurs compétences et que
les moyens mis en place correspondent aux exigences de l’organisation, y compris en situation de crise.
Prévenir des actions incontrôlées, frauduleuses ou dangereuses pour l’activité de l’entreprise menées
par des prestataires dans l’exercice de leurs tâches.
Les mécanismes sont essentiellement de nature organisationnelle.
— Les mesures initiales consistent à procéder à une analyse précise des risques spécifiques à chaque cas
d’appel à des prestataires et à en déduire des exigences de sécurité :
¾ Recensement des types de prestataires, permanents ou occasionnels, auxquels l’organisation est
susceptible de faire appel
¾ Analyse des risques spécifiques à chaque cas
¾ Elaboration des exigences de sécurité : services exigés, compétences nécessaires, moyens à mettre en
place, reporting, etc.
— Les mesures complémentaires consistent à rendre contractuelles les exigences de l’organisation :
¾ Etablissement et contrôle des clauses contractuelles concernant leurs responsabilités dans le domaine de
la sécurité,
¾ Mise en place d’une procédure de revue et de suivi du respect des engagements
¾ Mise en place de procédures permettant aux prestataires de faire remonter tout événement de sécurité
— Les dernières mesures concernent le management des prestataires par l’organisation :
¾ Sélection des prestataires aptes à réaliser les prestations attendues,
¾ Vérification de leur qualité et de leur identité au même niveau que pour des employés internes,
¾ Suivi de la situation des prestataires et du respect de leurs engagements.
Qualité de service
— L’efficacité de la gestion des prestataires de services dépend de plusieurs facteurs :
¾ L’exhaustivité de l’analyse faite a priori des types de prestations
¾ La profondeur de l’analyse des risques et l’exhaustivité des règles de sécurité qui en sont déduites
¾ Le détail et la rigueur des règles contractuelles édictées
— La mise sous contrôle de la gestion des prestataires de services comprend :
¾ L’audit des procédures de sélection des prestataires et de vérification des compétences et moyens mis en
œuvre.
¾ La revue périodique du respect des engagements contractuels
¾ Le contrôle du maintien de la pertinence des clauses et engagements signés.
115
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
06A07 Prise en compte de la confidentialité lors des opérations de

maintenance sur les équipements de réseau
Objectif :
Gérer avec rigueur les problèmes de confidentialité que peuvent poser les interventions de
maintenance sur les équipements de réseau.
Éviter qu’une intervention de maintenance sur un équipement de réseau se traduise par une fuite
d’information sensible ou une modification de paramètres de sécurité pouvant entraîner une telle fuite.
Les mesures à mettre en œuvre consistent, à chaque fois que cela est possible, à faire en sorte que :
— Les données réelles de production ne soient pas accessibles par le personnel de maintenance :
¾ Invalidation des configurations opérationnelles très sensibles et remplacement, si nécessaire, par des
valeurs de test,
¾ Effacement (physique) des données de configuration et de chiffrement des équipements si leurs supports
ne peuvent être enlevés,
¾ Destruction ou conservation des supports rebutés.
¾ Vérification de la pérennité des paramètres et des configurations des équipements objet de la
maintenance ou situés à proximité.
— Empêcher ou contrôler a posteriori que l’opération de maintenance se traduise par des fuites ultérieures
d’information (absence de module espion, de porte dérobée, etc.)
Qualité de service
— L’efficacité du service est essentiellement liée à la précision et au formalisme des procédures à suivre pour
chaque cas de panne ou d’incident et d’appel à la maintenance (procédures décrivant les opérations à mener
avant et après l’intervention de la maintenance).
— La robustesse du service est liée à la volonté de la Direction de ne pas déroger aux procédures formelles de
contrôle de la confidentialité lors des opérations de maintenance sauf circonstances réellement
exceptionnelles et au formalisme rigoureux alors nécessaire (signature formelle d’une dérogation par un
membre de la Direction). La principale cause de contournement vient, en effet, du risque de déroger aux
procédures de contrôle sous la pression des délais.
dessus.
116
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
06A08 Gestion des contrats de services réseaux

Objectif :
Gérer avec soin les problèmes de sécurité que peut poser la fourniture de services réseaux et les
interventions des fournisseurs de service (internes ou externes) sur les équipements ou systèmes réseaux
Éviter les conséquences dommageables pour l’organisation d’une défaillance dans la fourniture de
services réseaux ou d’une intervention inadaptée au contexte de l’organisation.
Les mesures à mettre en œuvre consistent en :
— une analyse des exigences de niveau de service pour les services réseaux
— une analyse des risques liés aux interventions sur les équipements de réseaux et l’élaboration d’exigences
relatives à ces interventions
— la formalisation de ces exigences dans des contrats de service (SLA),
— un contrôle du respect des engagements du fournisseur
Qualité de service
— L’efficacité du service est essentiellement liée à la précision et au formalisme de la liste des conditions à
respecter pour chaque fourniture de service .
dessus.
117
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
06B Paramétrage et contrôle des configurations matérielles et logicielles

06B01 Paramétrage des équipements de réseau et contrôle des
configurations
Objectif :
Traduire de manière concrète les diverses règles de filtrage, définies au niveau de l’architecture
(domaine 4), en règles de contrôle paramétrées dans les équipements de réseau et contrôler leur
permanence dans le temps, c’est-à-dire mettre en œuvre la politique décidée et en garantir la permanence
Éviter que pour une raison quelconque (défaillance technique, erreur de maintenance ou action
malveillante) les paramétrages des équipements ne soient pas conformes à la politique décidée.
— Le socle de ce service consiste bien entendu à traduire l’ensemble des choix politiques faits au niveau de
l’architecture et des mécanismes prévus à ce titre en appui en paramètres et options des divers outils installés.
Le résultat est un fichier de paramétrage par équipement ou système, y compris les logiciels de pilotage et
d’administration, paramétrage effectué lors de ma mise en service de chaque équipement ou système.
— En complément, il faut prévoir le contrôle de la permanence de ce paramétrage, soit par des mécanismes
techniques, soit par des procédures de contrôle.
— Enfin, il est nécessaire de prévoir les mesures d’exceptions, c’est-à-dire le moyen pour un utilisateur de sortir
d’une situation où les mesures de sécurité constitueraient un blocage de l’activité (il est clair en effet que de
telles situations peuvent arriver et qu’il vaut mieux y être préparé par des procédures d’alerte et d’escalade
permettant alors de prendre les bonnes décisions au bon niveau de responsabilité)
Mesures techniques
Les mesures techniques d’accompagnement consistent en des automatismes permettant un contrôle
de la permanence et de la pertinence des paramétrages décidés :
— Etablissement d’une synchronisation effective, par exemple à partir d’un serveur de temps, entre tous les
équipements actifs
— Protection des fichiers de paramétrages par des techniques de scellement ou de signature électronique (voire
des techniques de chiffrement)
— Mécanismes de contrôle des paramètres installés par rapport aux paramètres théoriques (avec contrôle du
sceau de protection, le cas échéant)
— Contrôle de tout changement de paramétrage effectué avec alerte auprès d’un responsable.
Qualité de service
¾ la précision et le formalisme de la liste des paramètres à configurer sur chaque type d’équipement sur
chaque équipement particulier.
¾ L’automatisme des opérations de configuration des paramètres, pour éviter tout oubli ou erreur
¾ La solidité des automatismes de scellement et de contrôle des sceaux, pour éviter une altération de la liste
des paramétrages avant configuration
¾ Le contrôle des possibilités d’administration des équipements pour éviter une modification des
paramétrages par une personne non autorisée ainsi que la détection de l’inhibition de tout système qui
pourrait se traduire par une affaiblissement du niveau de sécurité.
¾ La séparation effective entre les environnements de production et de développement et test
¾ de la liste des paramétrages
¾ des paramétrages réellement installés
¾ de l’application des procédures de modification des paramétrages et d’escalade en cas de difficulté.
118
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
06B02 Contrôle des configurations Utilisateurs

Objectif :
Vérifier que les configurations utilisateurs sont bien conformes à la politique décidée.
Éviter que les configurations utilisateurs introduisent des faiblesses dans la sécurité du réseau interne.
Les cas les plus courants de faiblesses introduites par les utilisateurs sont des modems réalisant une
connexion non gérée et non sécurisée avec des réseaux publics, en particulier avec Internet, et, depuis
peu, l’installation de réseaux sans fil.
l’architecture en options de configurations des postes utilisateurs. Le résultat est un fichier de paramétrage
par type de poste utilisateur (en particulier nomade ou non).
Mesures techniques
— Les mesures techniques de base consistent en des automatismes permettant un contrôle de la configuration
des postes utilisateurs lors de leur connexion ou du moins très régulièrement (une fois par jour) :
— Des mesures techniques complémentaires sont nécessaires pour contrôler l’absence de réseaux sans fil
Qualité de service
¾ la précision et le formalisme de la liste des paramètres à configurer sur chaque type de poste utilisateur.
¾ L’automatisme et la fréquence du contrôle.
¾ La protection (éventuellement par scellement) des paramètres à contrôler, pour éviter une altération de la
liste des contrôles à effectuer
¾ Le contrôle des possibilités d’administration des postes par les utilisateurs eux-mêmes, pour éviter qu’ils
ne changent les configurations trop facilement entre deux contrôles
¾ de la liste des contrôles
¾ des contrôles réellement effectués
119
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
06C Contrôle des droits d’administration

06C01 Gestion des droits privilégiés sur les équipements de réseau
Objectif :
Déterminer quelles catégories de personnel ont de réels besoins d’avoir des droits privilégiés, dans
quelles conditions et dans quelles limites, sur des équipements de réseau et gérer avec rigueur l’attribution
de tels droits, afin de pouvoir empêcher l’utilisation abusive de tels droits par ceux qui n’en ont pas le
besoin.
pas (ou plus) la nécessité d’accéder au aux équipements de réseau avec des droits privilégiés.
— Établir et documenter la politique de gestion des droits privilégiés pour administrer les équipements de
réseaux en fonction des enjeux business
— Identifier tous les profils de personnel d’exploitation nécessitant, pour leur travail, des droits d’administration,
par exemple :
¾ administrateurs d’équipements
¾ personnel chargé du pilotage du réseau
¾ opérateurs chargés d’opérations de routine telles que des sauvegardes
¾ etc.
— Définir, puis gérer dans le temps, les droits génériques attribués à chaque profil
— Définir le processus d’attribution, de gestion et de retrait des profils au personnel et le responsable de cette
attribution, par exemple :
¾ hiérarchie pour le personnel interne ou le personnel nomade
¾ signataire de la commande pour un prestataire
Mesures techniques
d’accès.
documents.
Qualité de service
— L’efficacité du service est directement liée à la qualité de la politique établie et à la rigueur des procédures
permettant de définir les profils ainsi que les droits associés et à la rigueur de gestion des attributions de profil.
— La mise sous contrôle est réalisée par la validation de la politique et par des audits ou inspections régulières,
tant des catégories de personnes et des droits attribués que des processus de gestion eux-mêmes.
120
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
06C02 Authentification et contrôle des droits d’accès des administrateurs

et personnels d’exploitation
Objectif :
S’assurer lors de l’accès aux équipements de réseau avec des droits privilégiés que la personne qui
tente de se connecter est bien celle qu’elle prétend être.
pas (ou plus) autorisées individuellement à accéder aux équipements avec des droits privilégiés.
Mesures techniques
— Les mesures complémentaires concernent la protection contre les tentatives d’usurpation d’identité :
¾ Protection du protocole d’authentification pour éviter qu’il ne soit écouté et dupliqué.
Qualité de service
authentifier, solidité de l’algorithme et du protocole contre toute écoute et réutilisation de séquence, etc.)
¾ la solidité et l’inviolabilité des protocoles de contrôle d’accès et des protocoles annexes tels que diffusion
initiale, échanges ou stockage des éléments secrets
¾ des modes d’accès utilisés par les administrateurs et par les personnels d’exploitation
121
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
06C03 Surveillance des actions d’administration des réseaux

Objectif :
Détecter en temps différé des anomalies de comportement des administrateurs réseaux ou de
personnes en ayant acquis les droits, par une analyse a posteriori de traces spécifiques.
Permettre de limiter dans le temps des actions anormales menées avec des droits d’administration.
Mesures techniques
— les systèmes d’enregistrement de diverses traces et la journalisation des opérations effectuées par les
équipes d’exploitation et en particulier les paramétrages d’équipements de sécurité ou les reconfigurations
d’équipements de réseau et les actions sur les logs
— des systèmes permettant de détecter une altération d’enregistrements passés ou leur effacement de même
qu’une modification des paramètres d’enregistrement et d’émettre alors une alerte auprès d’un responsable
— des systèmes permettant d’effectuer une synthèse rapide des enregistrements et de transmettre, sans
possibilité d’altération, cette synthèse à un responsable, de telle sorte qu’il puisse lancer une investigation en
cas d’anomalie
¾ définition et mise à jour régulière des actions d’administration à enregistrer
¾ élaboration d’une synthèse significative permettant de détecter des anomalies de comportement
¾ mise en place des procédures de contrôle permettant de détecter une altération des mécanismes décidés
Qualité de service
¾ la couverture des enregistrements et la profondeur de l’analyse préliminaire des actions d’administration
donnant lieu à enregistrement
¾ l’analyse des actions potentiellement anormales et l’élaboration d’une synthèse significative
¾ La solidité des mécanismes de détection et d’alerte en cas de modification ou d’effacement
d’enregistrements passés ou d’altération des paramètres d’enregistrement
¾ L’alerte directe d’un responsable en cas d’inhibition ou d’arrêt du système d’enregistrement ou du système
d’alerte
¾ des procédures d’alerte
122
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
06C04 Contrôle des outils et utilitaires de l’exploitation

Objectif :
Limiter aux seuls besoins de l’exploitation les outils et utilitaires mis à la disposition du personnel
d’exploitation et en contrôler l’usage.
Éviter (autant que faire se peut) que le personnel d’exploitation abuse de ses droits en s’appuyant sur
des outils ou utilitaires non autorisés (accès aux résidus d’exploitation sensibles, accès à des zones de
mémoire tampon utilisées par les équipements de réseau, décryptage de mots de passe, accès aux clés
de chiffrement, etc.)
Les mesures organisationnelles consistent à :
— Lister toutes les tâches de l’exploitation, aussi bien courantes qu’exceptionnelles
— Identifier les outils et utilitaires nécessaires à chaque tâche
— Séparer les profils habilités à les utiliser, de manière à limiter les possibilités d’abus (les utilitaires sensibles
nécessaires pour certaines actions exceptionnelles n’étant autorisés qu’à des profils bien spécifiques,
accordés uniquement à des responsables spécialement désignés)
Mesures techniques
Les mesures techniques d’accompagnement consistent en :
— La gestion de profils différenciés pour l’exploitation et la mise en place d’un contrôle des droits d’accès
correspondants :
¾ Login individualisés
¾ Contrôles des profils et droits attachés pour l’utilisation des utilitaires
— Le contrôle de l’introduction de nouveaux utilitaires et de la modification des utilitaires existants
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs
¾ La rigueur des procédures de définition des divers profils d’exploitation et des outils mis à la disposition de
chaque profil
¾ La rigueur des procédures d’attribution des profils au personnel d’exploitation
¾ la solidité ou l’inviolabilité du mécanisme d’authentification proprement dit (force et solidité du mot de
passe, solidité de l’algorithme cryptologique éventuellement utilisé pour authentifier, etc.)
¾ la solidité et l’inviolabilité du processus de contrôle des droits lors de l’accès aux utilitaires
¾ la solidité des mesures empêchant l’introduction de nouveaux utilitaires
¾ la solidité des mesures de protection des utilitaires eux-mêmes contre des modifications
¾ des profils utilisés par le personnel d’exploitation
¾ des utilitaires présents dans les équipements et systèmes de pilotage
123
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
06D Procédures d’audit et de contrôle des réseaux

06D01 Fonctionnement des contrôles d'audit
Objectif :
S’assurer que exigences et les procédures d’utilisation des outils d’audit des réseaux existent , sont
respectées et contrôlées.
Prévenir toute utilisation illicite de ces outils d’audit (tests de pénétration ou de vulnérabilités, etc.) ainsi
que tout accident pouvant résulter de ces opérations.
Les solutions à mettre en œuvre sont essentiellement organisationnelles, mais s’appuient également
sur des mesures techniques :
— Les mesures organisationnelles concernent les règles et procédures à respecter lors de la mise en œuvre de
tels audits :
¾ Etablissement des limitations et des exigences d’utilisation,
¾ Documentation des règles et des responsabilités,
¾ Critères d’autorisation et de respect de leur déontologie pour les auditeurs.
Mesures techniques
— Les mesures techniques d’accompagnement concernent :
¾ L’enregistrement de l’activation de ces tests d’audit
¾ L’enregistrement des opérations menées sur des données sensibles
Qualité de service
— L’efficacité du service est liée à la réalité de la prise en compte, par le management et les personnes en
charge des outils d’audit, des exigences édictées sur leur utilisation.
¾ L’audit des enregistrements de l’utilisation des outils et des accès à des données critiques pour l’entreprise
124
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
06D02 Protection des outils et résultats d'audit

Objectif :
S’assurer que les outils (équipements comme logiciels de tests) d’audit existants sont conservés et
protégés contre toute utilisation abusive ou malveillante et que les résultats obtenus avec eux sont
protégés contre toute altération ou destruction illicite
pas (ou plus) autorisées individuellement à utiliser ces outils d’audit.
Mesures techniques
— Les mesures techniques concernent:
¾ La conservation des outils matériels éventuels en lieu sûr et leur attribution selon des processus définis et
auditables,
¾ La protection des accès aux outils logiciels et le contrôle des droits d’accès à ces outils avant toute
utilisation,
¾ La protection des enregistrements des opérations effectuées lors de ces audits.
¾ L’attribution des droits d’accès et d’utilisation des outils d’audit aux seules personnes susceptibles d’en
faire et dûment habilitées pour cela,
¾ Le contrôle du non abus de tels droits,
Qualité de service
— L’efficacité du service est liée :
¾ aux mécanismes de protection des accès aux outils
¾ aux mécanismes de protection des accès aux enregistrements réalisés avec eux.
¾ La solidité des mécanismes de détection et d’alerte en cas d’arrêt ou d’inhibition des mécanismes de
contrôle d’accès aux outils d’audit
¾ L’alerte directe d’un responsable en cas d’inhibition ou d’arrêt du système d’enregistrement des opérations
réalisées avec les outils d’audit
¾ du bon fonctionnement du système d’enregistrement et de surveillance des actions menées avec les
outils d’audit
¾ des systèmes de contrôle d’accès aux outils d’audit
125
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Domaine 9 : Sécurité applicative
Domaine 7 : Sécurité des systèmes et de leur architecture
07A Contrôle d’accès aux systèmes et applications

Objectif :
Faire en sorte que seuls les utilisateurs autorisés aient accès aux systèmes et applications.
Prévenir les tentatives d’accès, par des personnes non autorisées, aux ressources internes (serveurs
et applications).
— 07A1 : Gestion des profils d’accès (droits et privilèges accordés en fonction des profils de fonction)
— 07A2 : Gestion des autorisations d'accès et privilèges (attribution, délégation, retrait)
— 07A3 : Authentification de l'accédant
— 07A4 : Filtrage des accès et gestion des associations
07B Confinement des environnements

Objectif :
Protéger les données stockées temporairement par les systèmes contre des accès non autorisés.
Prévenir les tentatives d’accès aux informations stockées temporairement, par des personnes non
autorisées.
Le service de sécurité correspondant est le suivant :
— 07B1 : Contrôle des accès aux résidus
07C Gestion et enregistrement des traces

Objectif :
Permettre une analyse a posteriori des actions effectuées et ainsi le diagnostic d’actions anormales ou
néfastes
Dissuader les actions néfastes de la part des utilisateurs ou du personnel d’exploitation et, à défaut, en
limiter la durée dans le temps, par un diagnostic suivi de mesures visant à stopper ces actions.
Les services de sécurité correspondants sont les suivants :
— 07C1 : Enregistrement des accès aux ressources sensibles
— 07C2 : Enregistrement des appels aux procédures privilégiées
126
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
07D Sécurité de l’architecture

Objectif :
Mettre en place une architecture globale des systèmes garantissant une continuité de fonctionnement
conforme aux attentes des utilisateurs.
Garantir une continuité de fonctionnement des systèmes en cas d’incident ou de panne.
Le services de sécurité correspondant est le suivant :
— 07D1 : Sûreté de fonctionnement des éléments d’architecture
— 07D02 : Isolement des systèmes sensibles
127
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
07A Contrôle d’accès aux systèmes et applications

07A1 Gestion des profils d’accès
(droits et privilèges accordés en fonction des profils de fonction)
Objectif :
Déterminer, pour chaque système et application, quelles catégories de personnel, interne ou non, ont
de réels besoin d’y avoir accès, dans quelles conditions et dans quelles limites, afin de pouvoir empêcher
les accès aux systèmes et applications par ceux qui n’en ont pas le besoin.
pas (ou plus) la nécessité d’accéder aux systèmes et applications. Ces actions pourraient être des accès
injustifiés à des informations confidentielles, des altérations ou des destructions de données ou de
programmes.
— Identifier, pour chaque système et application, les profils de personnel devant y avoir accès dans le cadre de
leur travail, en distinguant les profils devant avoir des droits distincts, par exemple :
¾ Les acheteurs pour l’accès à l’application de gestion des commandes
¾ L’acheteur initialisant la commande, à l’intérieur des profils d’acheteurs
¾ Le chef de service validant la commande,
¾ Le responsable de la gestion des comptes fournisseurs,
¾ etc.
— Désigner, pour chaque type de profil général (comptable, RH, etc.), un responsable de la gestion des droits
attribués à cette catégorie de profil (sous-profil).
catégorie de profils, en fonction éventuellement du contexte de l’utilisateur (présent sur le réseau interne ou
se connectant depuis l’extérieur, etc.).
— Mettre en place un processus de contrôle (ou d’audit) régulier des droits attribués aux profils.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les mécanismes et les
supports assurant l’interface entre les responsables décisionnaires et les structures opérationnelles qui
vont traduire leurs décisions en autorisations ou interdictions concrètes d’accès. Il s’agit donc de
protéger contre toute action ou modification illicite concernant :
d’accès.
Il s’agit de techniques de contrôle pouvant aller jusqu’au scellement, pour les mesures les plus
efficaces, à défaut éventuellement d’accusé de réception pour la transmission, et d’audit régulier pour les
tables et documents.
Qualité de service
profils et les droits associés.
128
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
07A2 Gestion des autorisations d’accès et privilèges

(attribution, délégation, retrait)
Objectif :
Attribuer individuellement les autorisations d’accès aux systèmes et applications à chaque personne
intéressée et gérer ces autorisations dans le temps, afin de pouvoir limiter ses droits et privilèges à ses
pas (ou plus) la nécessité d’accéder aux systèmes et applications.
— Définir, pour chaque type de profil d’accès, le responsable de l’attribution d’un « profil d’accès » à une
demandeur :
¾ Localisations de l’appelant valides
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les mécanismes et les
supports assurant l’interface entre les responsables décisionnaires et les structures opérationnelles qui
vont traduire leurs décisions en autorisations ou interdictions concrètes d’accès (entrée d’identifiant et de
droits dans les tables systèmes). Il s’agit donc de s’assurer que la demande reçue par le personnel en
charge d’ouvrir ou de modifier les droits est bien authentique.
Il s’agit de techniques de contrôle pouvant inclure des contrôles de signature, que cette signature soit
électronique ou non (le scellement électronique étant ici apparenté à une signature).
Qualité de service
129
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
07A3 Authentification de l’accédant

Objectif :
S’assurer lors de l’accès aux systèmes et applications que la personne qui tente de se connecter est
bien celle qu’elle prétend être.
pas (ou plus) autorisées individuellement à accéder aux systèmes et applications.
Mesures techniques
Qualité de service
¾ l’inviolabilité des protocoles et mécanismes annexes tels que diffusion initiale, échanges ou stockage des
éléments secrets
¾ les mesures de protection des protocoles d’authentification et des systèmes assurant le déroulement de
ces protocoles pour éviter qu’ils ne soient altérés ou inhibés
¾ des systèmes de détection des tentatives de violation du contrôle d’accès
130
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
07A4 Filtrage des accès et gestion des associations

Objectif :
S’assurer lors de l’accès aux systèmes et applications que la personne qui tente de se connecter y est
bien autorisée.
pas (ou plus) autorisées individuellement à accéder aux systèmes et applications.
Mesures techniques
¾ Identification du contexte propre de la tentative de connexion et sélection des règles de contrôle d’accès
applicables à ce contexte
¾ Contrôle que les droits attribués à la personne et que le contexte de connexion autorisent bien cette
connexion
paramètres)
contrôle d’accès en fonction des contextes :
Qualité de service
— L’efficacité du service est liée à la rigueur avec laquelle les règles de contrôle d’accès ont été déterminées et
à la qualité du processus de contrôle d’accès
¾ la protection des processus et protocoles de contrôle d’accès et des tables de paramètres correspondants
131
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
07B Confinement des environnements

07B1 Contrôle des accès aux résidus
Objectif :
Contrôler l’accès aux fichiers et zones temporaires utilisées par les systèmes pour stocker de
l’information
Éviter que des personnes puisent accéder à des informations sans autorisation, par le biais d’accès à
des informations, le plus souvent cachées, ou à des zones de stockage temporaire.
Ces zones peuvent être :
— des zones mémoires réutilisées par les systèmes mais susceptibles d’une lecture par des utilitaires
— des zones tampon telles que des fichiers d’impression (spool) ou de visualisation,
— des zones de swap ou de mémoire cache
— des supports recyclés (bandes de sauvegardes, cartouches, etc.)
— des supports envoyés en maintenance
— etc.
Les mesures organisationnelles préliminaires consistent à :
— identifier, pour chaque système, les fichiers et zones temporaires pour stocker de l’information ainsi que les
supports de stockage réaffectés
— identifier les moyens d’accès et les outils éventuellement nécessaires pour chacune de ces zones pouvant
contenir de l’information sensible
Mesures techniques
Les mesures techniques consistent à mettre sous contrôle chacune des zones de stockage ou chacun
des moyens d’accès ainsi identifié :
— effacement systématique (et réel) avant réaffectation
— destruction éventuelle
— contrôle d’accès renforcé aux utilitaires permettant l’accès et l’exploitation de telles zones de stockage
Qualité de service
— L’efficacité du service est liée à la profondeur de l’analyse réalisée et à la solidité des mécanismes
d’effacement et/ou de contrôle d’accès
— La robustesse du service est liée au contrôle de l’inhibition des mécanismes précédents
— La mise sous contrôle est réalisée par des audits réguliers de l’application des procédures et du bon
fonctionnement des mécanismes mis en œuvre.
132
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
07C Gestion et enregistrement des traces

07C1 Enregistrement des accès aux ressources sensibles
Objectif :
Garder une trace des accès aux ressources sensibles.
Permettre de détecter des anomalies, a posteriori, ou d’enquêter en cas de problème avéré (en
particulier de piratage ou de fraude)
Les mécanismes de base sont bien évidemment essentiellement techniques, mais s’appuient au
préalable sur des mesures organisationnelles :
Mesures organisationnelles préalables
La première question à poser est celle des ressources pour lesquelles on souhaite conserver une trace
de chaque accès effectué.
La deuxième question est celle des informations à conserver :
— Accédant
— Type d’accès demandé (lecture, écriture, mise à jour, effacement, etc.)
— Contexte de la connexion (lieu de connexion, date et heure, etc.)
— Détail des ressources accédées (base de données, table, enregistrement, champ, etc)
Le dernier point à décider est celui de la durée de rétention de l’information
Mesures techniques
Les mesures techniques de base consistent à enregistrer les éléments décidés et à les sauvegarder
sur la période choisie.
Les mesures techniques d’accompagnement consistent à protéger le paramétrage qui déclenche les
enregistrements et le choix des accès à enregistrer, puis à protéger les enregistrements eux-mêmes
contre tout effacement intempestif (ce que cherchera bien entendu à faire la personne compétente qui
entend accéder de manière illicite à une information)
Qualité de service
— L’efficacité du service est liée à l’exhaustivité des informations enregistrées
¾ la protection du mécanisme d’enregistrement contre toute modification ou inhibition
¾ la protection des enregistrements contre toute tentative d’effacement
¾ du paramétrage des enregistrements à effectuer
¾ de la sauvegarde des enregistrements
133
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
07C2 Enregistrement des appels aux procédures privilégiées

Objectif :
Garder une trace des appels de procédures privilégiées.
Permettre de détecter des anomalies dans l’utilisation des procédures privilégiées, a posteriori, ou
d’enquêter en cas de problème avéré (en particulier d’usage abusif de telles procédures)
Les mécanismes de base sont bien évidemment essentiellement techniques, mais s’appuient au
préalable sur des mesures organisationnelles :
Mesures organisationnelles préalables
La première question à poser est celle des appels systèmes privilégiés pour lesquelles on souhaite
conserver une trace de tout appel.
La deuxième question est celle des informations à conserver :
— Qui l’a déclenché
— Type d’appel
— Contexte de la connexion (lieu de connexion, date et heure, etc.)
— Détail des actions effectuées avec ladite procédure
Le dernier point à décider est celui de la durée de rétention de l’information
Mesures techniques
Les mesures techniques de base consistent ensuite à enregistrer les appels décidés et à les
sauvegarder sur la période choisie.
Les mesures techniques d’accompagnement consistent à protéger le paramétrage qui déclenche les
enregistrements et le choix des appels à enregistrer, puis à protéger les enregistrements eux-mêmes
contre tout effacement intempestif (ce que cherchera bien entendu à faire la personne compétente qui
entend faire un usage abusif de telle procédure)
Qualité de service
— L’efficacité du service est liée à l’exhaustivité des appels enregistrées et des renseignements conservés
¾ la protection du mécanisme d’enregistrement contre toute modification ou inhibition
¾ la protection des enregistrements contre toute tentative d’effacement
¾ du paramétrage des enregistrements à effectuer
¾ de la sauvegarde des enregistrements
134
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
07D Sécurité de l’architecture

07D1 Sûreté de fonctionnement des éléments d’architecture
Objectif :
Assurer la continuité des services informatiques de base quels que soient les aléas de fonctionnement
des systèmes ou de leur utilisation.
Éviter qu’une panne simple, voire complexe, ou que des aléas dans l’utilisation des systèmes ou de
leurs périphériques interrompent les traitements ou fassent chuter leurs performances avec des impact
négatifs sur l’activité de l’entreprise.
préalables qui sont de nature organisationnelle
des enjeux de la continuité des services systèmes :
¾ Analyse de la gravité des conséquences en fonction de la durée d’une interruption complète d’un service
système
¾ Analyse des capacités de reconfiguration des systèmes en cas de défaillance d’un équipement et du
¾ Analyse des enjeux liés à une baisse de performance des systèmes
Mesures techniques
¾ toute panne simple d’un équipement puisse être soit réparée dans des délais acceptables soit contournée
par des redondances d’équipement
— Les mesures techniques d’accompagnement consistent en des outils de surveillance et de monitoring des
systèmes permettant effectivement de détecter toute anomalie ou baisse de performance et d’agir à distance
pour allouer des ressources de contournement ou d’appoint
facteurs :
¾ L’indépendance des systèmes (réseaux et télécoms) vis-à-vis de tout équipement de servitude unique
(énergie, services généraux, locaux, etc.).
135
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
07D02 Isolement des systèmes sensibles

Objectif :
Prévenir une atteinte de systèmes, applications et/ou données sensibles (D, I, C) par propagation
depuis des systèmes, applications ou supports moins sensibles ou plus vulnérables en évitant de partager
les mêmes ressources, tant physiques que logiques.
Éviter qu’un incident ou une panne simple, voire complexe, ou que des aléas dans l’utilisation des
systèmes ou de leurs périphériques interrompent les traitements les plus sensibles ou fassent chuter leurs
performances avec des impacts négatifs sur l’activité de l’entreprise.
préalables qui sont de nature organisationnelle.
de la sensibilité et des enjeux associés aux ressources telles que données et systèmes :
¾ Analyse de la gravité des conséquences d’une atteinte à la disponibilité, à l’intégrité ou à la confidentialité
de ces ressources.
¾ Etablissement des exigences de préservation des ressources,
¾ Implication des propriétaires et utilisateurs de ces ressources.
Mesures techniques
— Les mesures de base consistent en la mise en place de moyens appropriés tels que la séparation des
ressources sensibles (urbanisation incluant : séparation de locaux, systèmes, réseaux, supports de stockage)
ou de processus (métiers, utilisateurs, traitements, etc.) afin de réduire les risques
— L’efficacité du service est directement liée à deux facteurs :
¾ La bonne adéquation des actions et opérations permettant d’isoler les systèmes sensibles.
facteurs :
¾ L’indépendance des systèmes isolés vis-à-vis de tout équipement de servitude unique (énergie, services
généraux, locaux, etc.).
¾ La protection, physique et logique, des équipements assurant l’isolement contre toute intrusion ou
inhibition : contrôle d’accès physique et logique, alarme en cas d’arrêt ou de coupure d’alimentation, etc.
— La mise sous contrôle des mécanismes assurant l’isolement dépend de trois facteurs :
¾ Le contrôle du maintien de la pertinence des mesures d’isolement décidées
¾ L’audit du paramétrage des équipements assurant l’isolement des systèmes sensibles
136
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Domaine 8 : Production informatique

Objectif :
Assurer la conformité des procédures aux exigences de sécurité spécifiées.
Éviter que des erreurs, des inattentions, voire des fautes intentionnelles, dans la mise en œuvre des
moyens systèmes introduisent des brèches de sécurité.
— 08A01 : Prise en compte de la sécurité de l’information dans les relations avec le personnel d’exploitation
— 08A02 : Contrôle des outils et utilitaires de l’exploitation
— 08A03 : Télépilotage de l’exploitation
— 08A04 : Contrôle de la mise en production de nouveaux systèmes ou d’évolutions de systèmes
existants
— 08A05 : Contrôle des opérations de maintenance
— 08A06 : Prise en compte de la confidentialité lors des opérations de maintenance
— 08A07 : Contrôle de la télémaintenance
— 08A08 : Diffusion des états imprimés sensibles
— 08A09 : Gestion des procédures opérationnelles
— 08A10 : Gestion des prestataires de services
08B Paramétrage et contrôle des configurations

Objectif :
Assurer la conformité des configurations aux exigences de sécurité spécifiées.
Éviter que des erreurs, des inattentions, voire des fautes intentionnelles, dans le paramétrage des
systèmes et équipements de sécurité introduisent des brèches de sécurité.
— 08B01 : Paramétrage des systèmes et contrôle de la conformité des configurations systèmes
— 08B02 : Contrôle de la conformité des configurations applicatives
— 08B03 : Contrôle de la conformité des programmes de référence (sources et exécutables)
— 08B04 : Contrôle de la conformité des configurations utilisateurs
— 08B05 : Contrôle des licences des logiciels et progiciels
08C Gestion des supports informatiques de données et programmes

Objectif :
Assurer avec rigueur la gestion des supports de données et programmes
Éviter que des erreurs, des inattentions, voire des fautes intentionnelles, dans la gestion des supports
introduisent des brèches de sécurité.
137
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
— 08C01 : Administration des supports
— 08C02 : Marquage des supports de production (vivants, sauvegardes et archives)
— 08C03 : Sécurité physique des supports stockés sur site
— 08C04 : Sécurité physique des supports externalisés (stockés en dehors de l’entreprise)
— 08C05 : Vérification et rotation des supports d’archivage
— 08C06 : Protection des réseaux de stockage
— 08C07 : Sécurité physique des medias en transit
08D Continuité de fonctionnement

Objectif :
Assurer la continuité de fonctionnement des systèmes et applications.
Éviter que des circonstances externes ou internes, accidentelles ou malveillantes, se traduisent par
des interruptions de service inacceptables (étant entendu que la recherche de ce qui est acceptable ou
non fait partie des services à assurer au titre de la continuité de fonctionnement)
— 08D01 : Organisation de la maintenance du matériel
— 08D02 : Organisation de la maintenance du logiciel (système, middleware et applicatif)
— 08D03 : Procédures et plans de reprise des applications sur incidents
— 08D04 : Sauvegardes des logiciels de base et applicatifs
— 08D05 : Sauvegardes des données applicatives
— 08D06 : Plans de Reprise d'Activité
— 08D07 : Protection antivirale des serveurs de production
— 08D08 : Gestion des systèmes critiques vis-à-vis de la permanence de la maintenance
— 08D09 : Sauvegardes de recours externalisées
08E Détection et traitement des incidents et anomalies

Objectif :
Détecter les anomalies de fonctionnement ou des intrusions dans les systèmes pour intervenir au
internes (abus de droits d’utilisateurs), que les mesures préventives auraient pu laisser passer, ne soient
pas détectés ni interrompus.
— 08E01 : Détection et traitement en temps réel des anomalies et incidents
— 08E02 : Surveillance, en temps différé, des traces, logs et journaux
— 08E03 : Gestion et traitement des incidents systèmes et applicatifs
138
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08F Contrôle des droits d’administration

Objectif :
Gérer avec rigueur l’attribution et l’utilisation de droits privilégiés sur les systèmes et applications
Éviter que les configurations sécurisées soient modifiées par des personnes abusant de droits
d’administration ou que des procédures réservées à l’administration des systèmes ou des postes
utilisateurs soit utilisées en dehors du contexte normalement prévu.
— 08F01 : Gestion des attributions de droits privilégiés sur les systèmes
— 08F02 : Authentification des administrateurs et personnels d’exploitation
— 08F03 : Surveillance des actions d’administration des systèmes
08G Procédures d'audit et de contrôle des systèmes de traitement de

l'information
Objectif :
Prévenir toute activation incontrôlée d’outils d’audit technique (tests de pénétration, évaluations de
vulnérabilités, etc.) ainsi que toute erreur ou malveillance lors de ces audits.
Enregistrer les résultats et détecter les anomalies de fonctionnement ou les modifications effectuées et
les intrusions éventuelles dans les systèmes pour intervenir au mieux et dans les meilleurs délais.
internes (abus de droits d’utilisateurs), puissent arriver du fait de ces tests d’audit et ne soient pas détectés
ni interrompus.
— 08G01 Fonctionnement des contrôles d'audit
— 08G02 Protection des outils et résultats d'audit
139
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007

08A01 Prise en compte de la sécurité de l’information dans les relations
avec le personnel d’exploitation
Objectif :
Faire signer au personnel d’exploitation (interne ou non) ayant à traiter des informations ou des
supports d’information sensibles, des engagements de respect de la politique de sécurité.
Sensibiliser le personnel concerné et le responsabiliser en ce qui concerne la protection de
l’information pour éviter des erreurs ou négligences conduisant à une divulgation, une altération ou une
indisponibilité d’information sensible.
Dissuader également ledit personnel d’un acte malveillant, par une reconnaissance préalable du
caractère délictueux d’un tel acte.
— Rédiger la politique de sécurité concernant le personnel d’exploitation
— Rédiger et faire signer des clauses de respect de la politique de sécurité au personnel d’exploitation
— Introduire une clause de respect de la politique de sécurité dans les contrats de prestataires amenés à
intervenir sur le matériel (en particulier le personnel de maintenance)
— Assurer une formation du personnel en conséquence
Qualité de service
— L’efficacité du service est essentiellement liée à la rédaction de la politique de sécurité concernant le
personnel d’exploitation et à la mise en place de clauses contractuelles, en particulier à la généralité de
l’engagement contractuel, à la durée de l’engagement, ainsi qu’au formalisme du processus :
¾ Obligation couvrant tous types de supports (magnétique, écrit ou imprimé, optique, etc.)
¾ Directives couvrant aussi bien l’interdiction d’action directe (divulgation, altération ou destruction) que
l’obligation des précautions à prendre pour éviter les actions de tiers
¾ Directives couvrant tout le personnel y compris celui des sous-traitants (dans ce cas, après acceptation et
validation par l’entreprise contractante, le contrat doit stipuler l’obligation par le sous-traitant de faire signer
de telles clauses par son personnel).
¾ Obligation s’étendant après la fin du contrat, sans limite de durée (en particulier pour le respect de la
confidentialité)
¾ Obligation de reconnaître formellement avoir été tenu au courant de l’ensemble des règles à adopter et de
les avoir acceptées
¾ Formation obligatoire de l’ensemble du personnel d’exploitation
— La robustesse du service est liée à la conservation et à la protection des engagements du personnel
(archivage et protection des originaux contre une destruction malveillante)
— La mise sous contrôle est réalisée par des audits réguliers du texte des clauses et du bon fonctionnement du
processus de signature et de conservation des clauses de confidentialité.
140
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08A02 Contrôle des outils et utilitaires de l’exploitation

Objectif :
Limiter aux seuls besoins de l’exploitation les outils et utilitaires mis à la disposition du personnel
d’exploitation et en contrôler l’usage.
Éviter (autant que faire se peut) que le personnel d’exploitation abuse de ses droits en s’appuyant sur
des outils ou utilitaires non autorisés (accès aux résidus d’exploitation sensibles, accès à des zones de
mémoire tampon utilisées par les équipements de réseau, décryptage de mots de passe, accès aux clés
de chiffrement, etc.)
Les mesures organisationnelles consistent à :
— Lister toutes les tâches de l’exploitation, aussi bien courantes qu’exceptionnelles
— Identifier les outils et utilitaires nécessaires à chaque tâche
— Séparer les profils habilités à les utiliser, de manière à limiter les possibilités d’abus (les utilitaires sensibles
nécessaires pour certaines actions exceptionnelles n’étant autorisés qu’à des profils bien spécifiques,
accordés uniquement à des responsables spécialement désignés)
Mesures techniques
— La gestion de profils différenciés pour l’exploitation et la mise en place d’un contrôle des droits d’accès
correspondants :
¾ Login individualisés
¾ Contrôles des profils et droits attachés pour l’utilisation des utilitaires
— Le contrôle de l’introduction de nouveaux utilitaires et de la modification des utilitaires existants
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs
¾ La rigueur des procédures de définition des divers profils d’exploitation
¾ La rigueur des procédures d’attribution des profils au personnel d’exploitation
¾ la solidité ou l’inviolabilité du mécanisme d’authentification proprement dit (force et solidité du mot de
passe, solidité de l’algorithme cryptologique éventuellement utilisé pour authentifier, etc.)
¾ la solidité et l’inviolabilité du processus de contrôle des droits lors de l’accès aux utilitaires
¾ la solidité des mesures empêchant l’introduction de nouveaux utilitaires
¾ la solidité des mesures de protection des utilitaires eux-mêmes contre des modifications
¾ des profils utilisés par le personnel d’exploitation
¾ des utilitaires présents dans les équipements et systèmes de pilotage
141
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08A03 Télépilotage de l’exploitation

Objectif :
Permettre le pilotage des systèmes et serveurs de l’entreprise, ainsi que de tous leurs périphériques,
depuis un centre déporté situé à l’extérieur de l’entreprise (via une connexion externe à une passerelle
d’accès au réseau interne).
Pouvoir assurer le pilotage des systèmes et applications internes, même en cas d’incapacité à accéder
aux locaux habituels utilisés par le personnel d’exploitation pour piloter la production informatique.
Mesures techniques
Il est bien entendu possible de piloter les systèmes internes depuis de nombreux points du réseau,
pour peu que l’on sache mettre en œuvre, depuis ces points, les outils d’administration et de pilotage
nécessaires (accès aux points de mesure et aux journaux, prise de main à distance, etc.).
Les mesures techniques consistent donc à prévoir d’une part un point d’accès au réseau interne
depuis l’extérieur avec toutes les possibilités nécessaires à l’administration, tout en préservant la sécurité
du réseau interne, d’autre part à prévoir un pilotage et une administration distante de tous les équipements
gérés par la production informatique (non seulement les serveurs, mais les équipements périphériques tels
que robots de sauvegardes, imprimantes, etc.) :
— Passerelle d’accès au réseau interne assurant les possibilités d’administration distante
— Authentification forte du poste de pilotage distant et des administrateurs
détaillant les actions à mener pour pouvoir effectivement mettre en œuvre les moyens de pilotage
déportés en toute sécurité et prévoyant la mise à disposition sur le site distant de toutes les informations
nécessaires (paramétrages des équipements, en particulier).
Qualité de service
¾ la priorité donnée au pilotage distant par rapport aux actions menées depuis le réseau interne (cas de
grève et d’actions menées depuis le réseau interne pour tenter d’empêcher le pilotage distant)
¾ Des tests réguliers de la capacité de pilotage distant des systèmes depuis le poste déporté
pas utilisée au détriment du fonctionnement de l’entreprise (authentification forte du poste de pilotage
distant et des administrateurs)
142
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08A04 Contrôle de la mise en production de nouveaux systèmes ou

d’évolutions de systèmes existants
Objectif :
Gérer avec rigueur les problèmes de sécurité que peut poser la mise en production de nouveaux systèmes
(matériel, logiciel opératoire, middleware, applicatif) ou de nouvelles versions de systèmes existants.
Éviter que la mise en production de nouveaux systèmes (matériel, logiciel opératoire, middleware,
applicatif) ou de nouvelles versions de systèmes existants n’ouvre une faille de sécurité non suspectée
(nouvelle faille ou faille connue dont la correction pourrait être inhibée par la nouvelle mise en production).
Les mécanismes à mettre en œuvre sont essentiellement de nature organisationnelle.
Le problème que peuvent poser, du point de vue de la sécurité, ces installations de systèmes tient au
fait que les équipes d’exploitation n’ont pas forcément les outils ni la formation pour envisager les risques
pouvant être créés par ces installations ou évolutions.
Les mesures à mettre en œuvre sont de plusieurs ordres :
— Etablissement de procédures formelles de décision, d’approbation et de contrôle préalable aux décisions
d’installation ou de changement d’équipements et de versions tenant compte des exigences de sécurité
physique et logique ainsi que celles émises par les utilisateurs.
— L’analyse des nouvelles fonctionnalités et des risques nouveaux éventuels, de même que pour un nouveau
projet :
¾ Identification formelle des nouvelles fonctionnalités apportées par la mise en production projetée
¾ Analyse des risques que ces nouvelles fonctionnalités peuvent induire ou faciliter
¾ Prise en compte de l’impact de ces évolutions sur les plans de continuité d’activité,
¾ Jugement sur le caractère acceptable ou non de ces risques nouveaux
¾ Prise de décision sur les mesures complémentaires éventuelles à mettre en œuvre.
— La vérification que les paramétrages et dispositifs de sécurité prévus sur les versions précédentes, en cas
d’évolution, sont bien toujours en place et actifs :
¾ Tenue à jour d’une liste des paramètres de sécurité et des points de contrôle
¾ Vérification de l’activation de tous les processus de sécurité
Mesures techniques
Les mesures techniques d’accompagnement dépendent pour une grande part des décision prises à la
suite de l’analyse de risque décrite ci-dessus.
Qualité de service
— L’efficacité du service est essentiellement liée à la rigueur de l’analyse menée à l’occasion de l’installation ou
de l’évolution et, en particulier :
¾ Au formalisme de l’analyse de risque et des conclusions qui en sont tirées
¾ Aux capacités de support de la part d’une cellule spécialisée
¾ À la formation préalable des équipes d’exploitation à ce type de démarche.
¾ Au formalisme de la tenue à jour des paramétrages de sécurité de chaque version et du contrôle de
conformité de ces paramètres sur une nouvelle version.
¾ La volonté de la Direction de ne pas déroger aux procédures formelles d’analyse de risque et de contrôle
de conformité sauf circonstances réellement exceptionnelles et au formalisme rigoureux alors nécessaire
(signature formelle d’une dérogation par un membre de la Direction). La principale cause de
contournement vient, en effet, de la tendance à déroger aux procédures d’analyse de risque ou de
contrôle de conformité sous la pression des délais.
¾ L’impossibilité de procéder à des mises production pour du personnel n’ayant pas cette fonction et à la
solidité des contrôles correspondants (rigueur dans l’attribution des profils et authentification forte)
— La mise sous contrôle est réalisée par des audits réguliers de l’application des procédures ci-dessus.
143
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08A05 Contrôle des opérations de maintenance

Objectif :
Gérer avec rigueur les problèmes de sécurité que peuvent poser les interventions de maintenance sur
les systèmes
Éviter qu’une intervention de maintenance sur un système ouvre une faille de sécurité non suspectée.
Les mesures à mettre en œuvre consistent en une analyse systématique, après chaque opération de
maintenance :
— Des paramètres de sécurité (fichiers cachés, paramétrages des contrôles d’accès, etc.)
— Des paramètres d’enregistrement des événements de sécurité (types d’événements, durées de rétention,
etc .)
— Des paramètres de contrôle de l’administration des équipements
— etc.
Qualité de service
— L’efficacité du service est essentiellement liée à la précision et au formalisme de la liste des paramètres à
contrôler sur chaque type de système et sur chaque système particulier.
¾ D’une part au contrôle précis que les paramètres de contrôle de l’administration du système n’ont pas été
modifiés dans le sens d’une ouverture possible de droits d’administration à des personnes non autorisées
¾ D’autre part à la volonté de la Direction de ne pas déroger aux procédures formelles de contrôle des
paramètres de sécurité sauf circonstances réellement exceptionnelles et au formalisme rigoureux alors
nécessaire (signature formelle d’une dérogation par un membre de la Direction). La principale cause de
contournement vient, en effet, du risque de déroger aux procédures de contrôle sous la pression des
délais.
dessus.
144
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08A06 Prise en compte de la confidentialité lors des opérations de

maintenance (matérielle et logicielle) sur des systèmes de
production
Objectif :
Gérer avec rigueur les problèmes de confidentialité que peuvent poser les interventions de
maintenance sur les systèmes
Éviter qu’une intervention de maintenance sur un système se traduise par une fuite d’information
sensible.
— Les données réelles de production ne soient pas accessibles par le personnel de maintenance :
¾ Isolement des baies de stockage opérationnelles et remplacement, si nécessaire, par des données de
test
¾ Effacement (physique) des supports de données si ces supports ne peuvent être enlevés
¾ Destruction ou conservation des supports rebutés
Qualité de service
chaque cas de panne ou d’incident et d’appel à la maintenance (procédures décrivant les opérations à mener
avant et après l’intervention de la maintenance).
dessus.
145
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08A07 Contrôle de la télémaintenance

Objectif :
Limiter l’usage de la ligne de télémaintenance à la seule maintenance des équipements.
Éviter que la ligne de télémaintenance soit utilisée pour pénétrer un système par des personnes non
autorisées.
Mesures techniques
Les mesures techniques de base consistent essentiellement en une authentification forte de l’agent de
maintenance, l’idéal étant que cette authentification couvre à la fois :
— Le lieu depuis lequel est initialisée la liaison de télémaintenance (par exemple par une liaison de type VPN
avec un chiffrement de bout en bout jusqu’au terminal de maintenance ou par un rappel de l’opérateur de
maintenance aussi appelé call-back)
— La personne utilisant la ligne de télémaintenance, ce qui suppose l’attribution de certificats ou de jetons
individualisés et une gestion des personnes autorisées.
Les mesures techniques additionnelles consistent en la mise sous contrôle de l’utilisation de la ligne de
télémaintenance :
— Chiffrement ou scellement des échanges pour éviter une intrusion après la phase d’authentification
— Enregistrement de toute utilisation de la ligne de télémaintenance et des actions effectuées
— Audit de la pertinence de ces actions et de leur acceptation par les responsables de la maintenance
Les mesures organisationnelles d’accompagnement consistent à gérer les personnes individuellement
autorisées à utiliser la ligne de télémaintenance et donc à mettre en place des procédures pour :
— Déclarer et valider un nouvel opérateur de télémaintenance (y compris dans les cas d’urgence)
— Invalider un opérateur
— Vérifier éventuellement la validité de l’accréditation d’un opérateur
Dans certains cas d’équipements sensibles, il peut être utile de prévoir, au titre des mesures
organisationnelles une procédure d’ouverture de session de télémaintenance pour que l’utilisation de la
ligne de télémaintenance soit totalement sous le contrôle de l’entreprise.
Qualité de service
— L’efficacité du service est essentiellement liée à la qualité et la solidité des mécanismes d’authentification :
¾ du lieu d’initialisation de la télémaintenance
¾ de l’utilisateur de la liaison de télémaintenance (en notant que la solidité du mécanisme d’authentification
de l’utilisateur doit tenir compte de la rigueur de gestion et d’attribution des moyens supports de
l’authentification)
— Il est clair qu’une procédure d’agrément mutuel avant toute ouverture de la ligne de télémaintenance rend
encore plus difficile l’usage frauduleux de la ligne.
¾ La solidité et l’inviolabilité des protocoles annexes tels que diffusion initiale, échanges ou stockage des
éléments secrets
¾ La protection du système sur lequel est connectée la ligne de télémaintenance contre toute modification
qui pourrait rendre la ligne de télémaintenance utilisable sans les contrôles ci-dessus.
¾ Les mesures organisationnelles complémentaires pour éviter que les procédures de gestion d’exceptions
¾ des systèmes de détection des violations et des arrêts du contrôle d’accès effectué lors de l’utilisation de la
ligne de télémaintenance
146
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08A08 Diffusion des états imprimés sensibles

Objectif :
Gérer avec rigueur les problèmes de confidentialité que peut poser la diffusion des états imprimés
Éviter que la diffusion des états imprimés se traduise par une fuite d’information sensible.
Mesures techniques
Les mesures techniques consistent à contrôler l’accès aux états imprimés dans la phase de diffusion
ou de distribution :
— Casiers fermant à clé si les utilisateurs viennent chercher eux-mêmes leurs états
— Liasses d’états scellées sous cellophane ou distribuées sous enveloppe
— États conservés en armoire forte et remis en main propre pour les plus sensibles
— Les mesures organisationnelles d’accompagnement consistent essentiellement à conserver une grande
discrétion sur le contenu des états :
¾ Marquage ne faisant pas apparaître la classification
¾ Marquage anonyme ne faisant pas apparaître le service demandeur
Qualité de service
— L’efficacité du service est essentiellement liée à la solidité des mesures de contrôle d’accès aux états en
attente de diffusion (solidité des serrures, des casiers eux-mêmes, etc.)
— La robustesse du service est liée aux aspects suivants :
¾ la protection des locaux dans lesquels les états sont imprimés
¾ la protection du transport et des moyens de stockage intermédiaires des états
¾ la protection des locaux des destinataires des états
— La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédures et
mécanismes ci-dessus.
147
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08A09 Gestion des procédures opérationnelles

Objectif :
Faire en sorte que les procédures opérationnelles d’exploitation des systèmes soient décrites,
documentées, connues de ceux qui doivent les appliquer et intangibles, sauf accord à un niveau suffisant
du management et conduisant des révisions documentées à leur tour.
Éviter les erreurs et actions incontrôlées ou malveillantes dans l’application de ces procédures
opérationnelles.
Les mécanismes principaux sont essentiellement du ressort de l’organisationnel. Des mesures
techniques d’accompagnement sont néanmoins nécessaires.
— Les mesures organisationnelles de base doivent se concrétiser par l’élaboration et la documentation des
procédures à respecter :
¾ Analyse des différents scénarios de gestion des processus et de traitement des incidents éventuels.
¾ Établissement des documents, cahiers de consignes correspondants, etc.
¾ Mise à disposition de ces procédures aux exploitants et uniquement à ceux qui en ont l’usage.
— Les mesures complémentaires ont trait aux processus de gestion de ces procédures :
¾ Processus de gestion des modifications éventuelles afin d’éviter toutes erreurs et malveillances,
¾ Maintien à jour de ces procédures (penser à prémunir l’organisation contre la perte possible des
procédures en cas de sinistre majeur).
Mesures techniques d’accompagnement
— Les mesures techniques d’accompagnement ont trait aux mécanismes de protection de ces procédures (afin
d’éviter toute malveillance a priori ou toute modification destinée à masquer une violation, volontaire ou non,
de procédure) :
¾ Contrôle d’accès en écriture aux media support des procédures
¾ Journalisation et contrôle des modifications apportées
¾
Qualité de service
¾ L’exhaustivité des cas (fonctionnement type, incidents, etc.) traités par les procédures
¾ La pertinence du système de diffusion de l’information, tant en ce qui concerne les personnes atteintes
que la commodité d’accès à l’information en cas de besoin
— La robustesse du service est directement liée à
¾ La rigueur de la gestion des modifications et changements dans les procédures
¾ La protection des supports (contrôle d’accès, gestion des droits des personnes autorisées en écriture,
etc.)
¾ L’existence d’une procédure de revue des procédures opérationnelles
¾ L’audit de l’authenticité des procédures publiées
¾ L’audit des procédures de gestion et de modification des procédures opérationnelles
148
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08A10 Gestion des prestataires de service

Objectif :
Pour de nombreuses organisations, les ressources et les compétences disponibles en interne ne
permettent pas de réaliser de nombreuses opérations liées à l’exploitation et à la sécurisation des
systèmes informatiques, temporairement ou de façon permanente, à des personnels externes et des
prestataires de service.
L’objectif du service est de s’assurer que les missions des prestataires de services sont clairement
définies, celles-ci incluant les contrôles de sécurité qui leur sont délégués, que leurs compétences et que
les moyens mis en place correspondent aux exigences de l’organisation, y compris en situation de crise.
Prévenir des actions incontrôlées, frauduleuses ou dangereuses pour l’activité de l’entreprise menées
par des prestataires dans l’exercice de leurs tâches.
Les mécanismes sont essentiellement de nature organisationnelle.
— Les mesures initiales consistent à procéder à une analyse précise des risques spécifiques à chaque cas
d’appel à des prestataires et à en déduire des exigences de sécurité :
¾ Recensement des types de prestataires, permanents ou occasionnels, auxquels l’organisation est
susceptible de faire appel
¾ Analyse des risques spécifiques à chaque cas
¾ Elaboration des exigences de sécurité : services exigés, compétences nécessaires, moyens à mettre en
place, reporting, etc.
— Les mesures complémentaires consistent à rendre contractuelles les exigences de l’organisation :
¾ Etablissement et contrôle des clauses contractuelles concernant leurs responsabilités dans le domaine de
la sécurité,
¾ Mise en place d’une procédure de revue et de suivi du respect des engagements
¾ Mise en place de procédures permettant aux prestataires de faire remonter tout événement de sécurité
— Les dernières mesures concernent le management des prestataires par l’organisation :
¾ Sélection des prestataires aptes à réaliser les prestations attendues,
¾ Vérification de leur qualité et de leur identité au même niveau que pour des employés internes,
¾ Suivi de la situation des prestataires et du respect de leurs engagements.
Qualité de service
— L’efficacité de la gestion des prestataires de services dépend de plusieurs facteurs :
¾ L’exhaustivité de l’analyse faite a priori des types de prestations
¾ La profondeur de l’analyse des risques et l’exhaustivité des règles de sécurité qui en sont déduites
¾ Le détail et la rigueur des règles contractuelles édictées
— La mise sous contrôle de la gestion des prestataires de services comprend :
¾ L’audit des procédures de sélection des prestataires et de vérification des compétences et moyens mis en
œuvre.
¾ La revue périodique du respect des engagements contractuels
¾ Le contrôle du maintien de la pertinence des clauses et engagements signés.
149
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08B Paramétrage et contrôle des configurations

08B01 Paramétrage des systèmes et contrôle des configurations systèmes
08B02 Contrôle des configurations applicatives
La fiche 08B2 est identique à la 08B1 en remplaçant partout, système par configuration applicative
Objectif :
Traduire de manière concrète les diverses règles de filtrage, définies au niveau de l’architecture, en
règles de contrôle paramétrées dans les systèmes et contrôler leur permanence dans le temps.
Éviter que, pour une raison quelconque (défaillance de l’installation ou de la maintenance ou action
volontaire d’une personne voulant nuire à l’entreprise ou abuser de droits), les paramétrage des systèmes
ne soient pas conformes à la politique décidée.
— Le socle de ce service consiste bien entendu à traduire l’ensemble des choix politiques, faits au niveau de
l’architecture, en paramètres et options des divers outils installés. Le résultat est un ensemble de documents
fixant ces règles et un fichier de paramétrage par système, y compris les logiciels de pilotage et
d’administration, paramétrage effectué lors de la mise en service de chaque système.
— En complément, il faut prévoir le contrôle de la permanence de ce paramétrage, soit par des mécanismes
techniques, soit par des procédures de contrôle.
— Enfin, il est nécessaire de prévoir les mesures d’exceptions, c’est-à-dire le moyen pour un utilisateur de sortir
d’une situation où les mesures de sécurité constitueraient un blocage de l’activité (il est clair en effet que de
telles situations peuvent arriver et qu’il vaut mieux y être préparé par des procédures d’alerte et d’escalade
permettant alors de prendre les bonnes décisions au bon niveau de responsabilité)
Mesures techniques
Les mesures techniques d’accompagnement consistent en des automatismes permettant un contrôle
de la permanence et de la pertinence des paramétrages décidés :
— Recherche et remplacement des comptes génériques fournis par les constructeurs et éditeurs ainsi que des
mots de passe éventuels par des mots de passe renforcés,
— Synchronisation des horloges sur un référentiel garanti,
— Séparation des systèmes de développement, de test et d’intégration des systèmes opérationnels.
— Protection des fichiers de paramétrages par des techniques de scellement ou de signature électronique (voire
des techniques de chiffrement)
— Mécanismes de contrôle des paramètres installés par rapport aux paramètres théoriques (avec contrôle du
sceau de protection, le cas échéant)
— Contrôle de tout changement de paramétrage effectué avec alerte auprès d’un responsable.
Qualité de service
¾ la précision et le formalisme de la liste des paramètres à configurer sur chaque système.
¾ L’automatisme des opérations de configuration des paramétrages, pour éviter tout oubli ou erreur.
¾ La solidité des automatismes de scellement et de contrôle des sceaux, pour éviter une altération de la liste
des paramétrages avant configuration
¾ La protection des systèmes contre une modification non autorisée des paramétrages ainsi que la
détection de l’inhibition de tout système de contrôle de l’authenticité des paramétrages.
¾ de la liste des paramétrages et des paramétrages réellement installés
¾ de l’application des procédures de modification des paramétrages et d’escalade en cas de difficulté.
150
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08B03 Contrôle de la conformité des programmes de référence

Objectif :
Contrôler que les programmes de référence, sources ou exécutables, pouvant être utilisés par la
production informatique à la suite d’un incident nécessitant de recharger le système ou une application
sont bien conformes à ce qu’ils devraient être.
Éviter que pour une raison quelconque, le rechargement d’un système ou d’une application conduise à
introduire une faille de sécurité, soit parce que ledit programme aura été malicieusement modifié, soit
parce qu’il s’agira d’une ancienne version avec des trous de sécurité non corrigés.
Les mécanismes à mettre en œuvre sont techniques et organisationnels.
Mesures techniques
Les mesures techniques de base consistent à automatiser les processus de contrôle :
— Mise en place d’un sceau ou d’une signature à chaque mise en production de système ou d’application
— Contrôle des sceaux périodique à chaque nouvelle installation ou à chaque démarrage système
Des mesures organisationnelles peuvent remplacer des mesures techniques automatiques :
— Protection physique des supports des programmes sources, voire exécutables.
— Signature des supports et détention par un responsable de haut rang
Quoi qu’il en soit, des mesures organisationnelles d’accompagnement sont absolument nécessaires
pour gérer les évolutions de code :
— Interdiction aux équipes de développement d’intervenir sur les programmes de référence de la production
— Acceptation formelle des passages en production avec gestion des indices de modifications.
Qualité de service
¾ La solidité de l’algorithme de scellement des programmes de référence de la production.
¾ L’automatisme des contrôles effectués à chaque nouvelle installation
¾ La protection des utilitaires de scellement contre tout usage non autorisé
¾ Le contrôle de la modification ou de l’inhibition du système de contrôle des sceaux.
— La mise sous contrôle est réalisée par des audits réguliers de l’usage des produits de scellement et de
contrôle des sceaux.
151
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08B04 Contrôle des configurations Utilisateurs

Objectif :
Vérifier que les configurations utilisateurs sont bien conformes à la politique décidée.
Éviter que les configurations utilisateurs introduisent des faiblesses dans la sécurité globale des
systèmes.
Les cas les plus courants de faiblesses introduites par les utilisateurs sont l’installation et l’utilisation de
logiciels pouvant contenir des failles de sécurité, parfois avec de très bonnes intentions (par exemple
logiciels de sécurité, mais d‘un niveau très faible), parfois avec des intentions moins louables (logiciels de
décryptage de mots de passe ou utilitaires devant être réservés).
Il peut également s’agir de versions anciennes de logiciels ne contenant pas les correctifs de sécurité.
l’architecture en options de configurations des postes utilisateurs et en liste de logiciels et de matériels
additionnels autorisés (avec les versions de référence autorisées). Le résultat est un fichier descriptif des
options et paramétrages autorisés sur les postes utilisateurs.
Mesures techniques
— Les mesures techniques de base consistent à
¾ Restreindre les possibilités de changement des configurations logicielles en ne donnant pas les droits
d’administration de leur poste aux utilisateurs
¾ Mettre en place des automatismes de contrôle de la configuration des postes utilisateurs lors de leur
connexion au réseau et aux serveurs.
— A défaut, la configuration des postes utilisateurs peut faire l’objet de directives précises assorties d’interdiction
d’intervention sur la configuration du poste et d’audit régulier de ces configurations.
Qualité de service
¾ la précision et le formalisme des options et paramètres autorisés sur chaque type de poste utilisateur.
¾ la solidité des systèmes de prévention de changement des configurations logicielles par les utilisateurs
¾ l’automatisme et la fréquence des contrôles.
¾ la protection (éventuellement par scellement) des options et paramètres à contrôler, pour éviter une
altération de la liste des contrôles à effectuer
¾ le contrôle des possibilités d’administration des postes par les utilisateurs eux-mêmes, pour éviter qu’ils ne
changent les configurations trop facilement entre deux contrôles
¾ des procédures de contrôle
152
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08B05 Contrôle du caractère licite des licences logicielles

Objectif :
Vérifier que les logiciels utilisateurs ont bien des licences en règle (et ont été licitement acquis).
Éviter de se mettre en tort vis-à-vis du droit de la propriété industrielle
— Le socle de ce service consiste bien entendu à interdire très officiellement tout usage de logiciel sans licence
à jour
— Il convient ensuite de vérifier que cette interdiction est respectée en :
¾ Tenant à jour une liste détaillée des logiciels installés officiellement sur chaque poste de travail,
¾ procédant à des audits de conformité des configurations réelles,
¾ sanctionnant les manquements éventuels.
Mesures techniques
— Les mesures techniques d’accompagnement consistent, éventuellement, à
¾ Restreindre les possibilités de changement des configurations logicielles en ne donnant pas les droits
d’administration de leur poste aux utilisateurs
¾ Mettre en place des automatismes d’effacement de tout exécutable non déclaré.
Qualité de service
¾ la régularité et l’étendue des audits
¾ la communication sur les sanctions prises
¾ des procédures d’audit
153
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08C Gestion des supports informatiques de données et programmes

08C01 Administration des supports
Objectif :
Gérer avec rigueur les mouvements de supports entre la médiathèque et la production (gestion des
sorties, des restitutions, recherche des manquants, etc.) ainsi que leur mise au rebut.
Éviter que des supports de production soient retirés de la médiathèque sans contrôle ou qu’ils soient
subtilisés en production sans déclencher d’investigations.
Assurer une mise au rebut en conformité avec les règles établies et sans risque de divulgation
d’information.
Dissuader le personnel de production de dérober un support opérationnel.
— Le socle de ce service consiste bien entendu à gérer avec rigueur tous les mouvements de supports :
¾ Enregistrement des mouvements de sortie (date, heure, responsable initialisant la demande, liens
éventuels avec la programmation de travaux, etc.) ainsi que leur mise au rebut.
¾ Enregistrement des entrées en médiathèque
¾ Analyse systématique des écarts entre entrées et sorties et signalement de toute anomalie
— Il convient, en complément, que toute anomalie fasse l’objet d’une investigation.
Mesures techniques
Les mesures techniques d’accompagnement consistent en un système de gestion des supports
permettant de détecter automatiquement toute durée de sortie anormale et de suivre les investigations.
S’y ajoutent des procédures et moyens techniques d’effacement des données sensibles avant mise au
rebut.
Il convient alors de protéger les accès aux fichiers supports de cette gestion.
Qualité de service
¾ la permanence du service de gestion des supports (24/24 7/7)
¾ la rigueur de gestion des procédures d’enregistrement et de suivi des anomalies
— La robustesse du service réside dans la protection du fichier (SGBD) des enregistrements :
¾ droits d’accès limité au gestionnaire des supports (au moins en écriture ou effacement d’un mouvement)
¾ rigueur du contrôle d’accès
¾ des procédures d’enregistrement
¾ du suivi des anomalies et des investigations faites
154
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08C02 Marquage des supports de production

Objectif :
Marquer les supports de production de manière tout à fait anonyme (sans aucune indication sur leur
contenu).
Rendre très difficile la subtilisation de supports sensibles
Dissuader le personnel non directement concerné de voler un support (ne sachant pas le contenu d’un
support, le vol ne présente pas d’intérêt).
Ce service consiste bien entendu à gérer avec rigueur un marquage numérique sans aucune
signification :
— marquage en série, sans lien avec l’activité
— gestion de tables séparées faisant le lien entre un fichier et le numéro du support
— absence même d’indications sur la classification du contenu
Mesures techniques
Les mesures techniques d’accompagnement consistent en un système de gestion des marquages,
qu’il convient, bien entendu, de protéger.
Qualité de service
— L’efficacité du service est essentiellement liée à la rigueur des procédures garantissant l’anonymat du
marquage
— La robustesse du service réside dans la protection du fichier (SGBD) des enregistrements :
¾ droits d’accès limité au gestionnaire des supports
¾ rigueur du contrôle d’accès
¾ des procédures de marquage
¾ de la protection du fichier de gestion des numéros de supports
155
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08C03 Sécurité physique des supports de production stockés sur site

Objectif :
Protéger les supports de production contre tout accès non autorisé ou tout accident physique.
Prévenir la subtilisation de supports sensibles en médiathèque et éviter leur destruction accidentelle.
Mesures techniques
— Les mesures techniques de contrôle d’accès concernent :
¾ les voies d’accès courantes du personnel : portes contrôlées par badge, éventuellement par digicode
¾ les autres voies d’accès : contrôle des fenêtres, des issues de secours, des autres accès éventuels
¾ la protection des transferts entre la production et la médiathèque
— Les mesures complémentaires concernent la protection contre les risques divers :
¾ détection et extinction incendie
¾ protection contre les dégâts des eaux
¾ régulation thermique et hygrométrique
¾ conduite à tenir en cas d’arrêt ou de violation des mesures techniques
¾ détection d’interruption des mesures techniques
¾ équipes d’intervention
Qualité de service
¾ La solidité ou l’inviolabilité du support des authentifications (mécanismes protégeant les badges contre
une recopie ou une falsification, installations permettant d’éviter l’observation directe d’un digicode)
faire entrer une personne par prêt de badge)
156
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08C04 Sécurité physique des supports externalisés (stockés sur site

externe)
Objectif :
Protéger les supports de production externalisés contre tout accès non autorisé ou tout accident
physique.
Prévenir la subtilisation de supports sensibles en médiathèque et éviter leur destruction accidentelle.
Les mécanismes de base à mettre en œuvre sont essentiellement techniques et ont été décrits dans la
fiche précédente. Cependant, dans la mesure où les supports externalisés sont confiés à une société
extérieure, il convient de prendre le problème différemment et de l’aborder sous l’angle contractuel. Il
s’agit alors de mesures organisationnelles.
Les mesures organisationnelles concernent d’abord le choix du prestataire :
— choix d’une société spécialisée dans ce type de prestation
— choix d’une société spécialisée pour le transfert des media entre le site de production et le site externe
En complément, tout ce qui a été dit dans la fiche précédente devra être traduit en obligation
contractuelle
Enfin, on prévoira un droit d’audit des installations et des procédures.
Qualité de service
¾ la solidité des sociétés partenaires
¾ l’étendue des clauses de garantie
¾ des installations du ou des prestataires
¾ des procédures courantes (de gestion des media) et exceptionnelles (de gestion des incidents et
anomalies)
157
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08C05 Vérification et rotation des supports d’archivage

Objectif :
Vérifier régulièrement les supports d’archivage et les possibilités de relecture de ces supports
Éviter que des supports anciens ne puissent être relus, soit pour des raisons liées au support lui-même
(vieillissement, pollution, etc.) soit pour des raisons liées à l’équipement de relecture (indisponibilité,
incompatibilité de version, etc.)
Les mécanismes à mettre en œuvre sont essentiellement organisationnels mais s’appuient également
sur des services techniques
— Le socle de ce service consiste bien entendu à organiser une rotation et une vérification régulière des
supports d’archives :
¾ types de prélèvements (il peut être onéreux de vouloir relire systématiquement toutes les archives)
¾ fréquences des tests
¾ recopies éventuelles sur des supports neufs
— Il convient en outre de gérer les équipements de lecture des supports :
¾ gestion des indices et conservation des versions des systèmes d’exploitation
¾ conservation éventuelle d’équipements à seule fin de relire les archives et maintien d’un entretien
Mesures techniques
La gestion des rotations et prélèvements s’appuiera le plus souvent sur des outils informatiques. Les
mesures techniques d’accompagnement consistent alors à protéger les fichiers de gestion contre toute
altération illicite qui conduirait à ne pas contrôler certains supports sensibles.
Qualité de service
¾ la fréquence des essais de relecture
¾ le taux de prélèvement pour essai de relecture
¾ l’étendue des systèmes de lecture conservés en état de fonctionnement
— La robustesse du service est liée à la solidité des mesures de protection des fichiers supports de la gestion
des rotations et prélèvements.
¾ des tests de relecture
¾ des procédures de gestion des systèmes de lecture
158
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08C06 Protection des réseaux de stockage (SAN : Storage Area Network)

Objectif :
S’assurer que les données stockées par l’intermédiaire d’un réseau de stockage ne puissent être
accédées que par des entités autorisées (serveurs ayant au préalable enregistré les données, serveurs de
sauvegarde, etc.)
Éviter que des données émises sur un réseau de stockage à destination d’un équipement
d’enregistrement soient détournées par un processus non prévu ou non autorisé.
Les mécanismes à mettre en œuvre sont essentiellement techniques.
Mesures techniques
— Les mesures techniques de base consistent à contrôler l’accès aux données, à différents niveaux :
¾ Isolement des réseaux de stockage des autres réseaux, par des procédés physiques ou logiques
(commutateurs réseaux, VLAN, etc.)
¾ Protection des réseaux de stockage par des pare-feux ne laissant passer que les protocoles de stockage
et les flux d’administration
¾ Authentification des entités accédant aux données
¾ Protection contre les rejeux de stockage ou de déstockage
¾ Chiffrement des données par les entités émettrices
— Les mesures complémentaires visent à s’assurer que les mesures de sécurité précédentes ne peuvent être
contournées :
¾ Protection du processus de diffusion initiale des conventions secrètes (clés ou mots de passe)
¾ Protection des éléments d’authentification conservés par les entités émettrices ou les équipements
assurant l’authentification (stockage des mots de passe, par exemple)
Qualité de service
— L’efficacité du service est liée à la solidité ou l’inviolabilité des divers mécanismes utilisés :
¾ Solidité de l’isolement des réseaux
¾ Solidité du contrôle d’accès et de l’authentification proprement dite aux systèmes de stockage (force et
solidité du mot de passe, solidité de l’algorithme cryptologique éventuellement utilisé pour authentifier,
solidité de l’algorithme et du protocole contre toute observation, écoute et réutilisation de séquence, etc.)
¾ Solidité de l’algorithme de chiffrement éventuel des données
¾ l’inviolabilité des protocoles annexes : diffusion initiale, échanges ou stockage des éléments secrets
¾ des paramètres supports des mécanismes d’isolement et d’authentification,
159
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08C07 Sécurité physique des médias en transit

Objectif :
Gérer avec rigueur les mouvements de médias entre sites
Éviter que des supports de production soient retirés d’un site sans contrôle et qu’ils soient perdus ou
subtilisés lors des transports entre sites sans déclencher d’investigations.
Dissuader le personnel de production de dérober un support opérationnel.
— Le socle de ce service consiste bien entendu à gérer avec rigueur tous les mouvements de médias entre
sites :
¾ Etablissement de procédures à respecter lors de ces mouvements,
¾ Enregistrement des mouvements de sortie (date, heure, responsable initialisant la demande, liens
éventuels avec la programmation de travaux, etc.).
¾ Enregistrement des entrées dans le site destinataire,
¾ Analyse systématique des écarts entre entrées et sorties et signalement de toute anomalie
— Il convient, en complément, que toute anomalie fasse l’objet d’une investigation.
Mesures techniques
¾ L’utilisation des procédures d’accompagnement et de sécurisation des supports (containers,
…) et le contrôle de leur respect,
¾ un système de gestion des supports permettant de détecter automatiquement toute durée de
mouvement anormale et de suivre les investigations.
Il convient alors de protéger les accès aux fichiers supports de cette gestion.
Qualité de service
¾ la force des moyens de protection des médias et des transferts,
¾ la rigueur de gestion des procédures d’enregistrement et de suivi des anomalies
¾ des procédures de transfert,
¾ du suivi des anomalies et des investigations faites
160
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08D Continuité de fonctionnement

08D01 Organisation de la maintenance du matériel
Objectif :
Assurer la maintenance des matériels pour les cas de panne ou d’évolutions nécessaires.
changements de contexte internes ou externes) se traduise par une interruption inacceptable du service.
¾ Identifier les équipements critiques et, pour ceux-ci, le délai de remise en service souhaitable et le délai
maximum tolérable en cas de défaillance
Mesures techniques
Qualité de service
un seul spécialiste
161
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08D02 Organisation de la maintenance du logiciel

Objectif :
Assurer la maintenance des logiciels pour les cas de bogues (bugs) ou d’évolutions nécessaires.
Éviter qu’un bogue (bug) bloquant ou qu’une évolution nécessaire (que ce soit pour des changements
de contexte internes ou externes) se traduise par une interruption inacceptable du service.
— Le socle de ce service consiste bien entendu en l’élaboration de contrats de maintenance avec les
fournisseurs de logiciels et de progiciels. L’élaboration des clauses adéquates dans le contrat nécessite
néanmoins quelques actions préliminaires et précautions :
¾ Identifier les logiciels critiques et, pour ceux-ci, le délai d’intervention souhaitable et le délai maximum
tolérable en cas de bug bloquant
¾ Négocier avec le fournisseur le délai maximum d’intervention
Mesures techniques
— Les mesures techniques d’accompagnement éventuelles consistent en des capacités d’intervention à
distance (télémaintenance) permettant d’accélérer le diagnostic
Qualité de service
¾ La compétence et l’expertise du fournisseur
162
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08D03 Procédures et plans de reprise des applications sur incidents

Objectif :
Assurer une gestion des incidents systèmes ou applicatifs qui soit acceptable par les utilisateurs.
Éviter qu’un incident système ou applicatif se traduise par des pollutions ou des pertes de données ou
des pertes de service inacceptables par les utilisateurs.
¾ des incidents pouvant survenir sur le système ou l’application (panne d’équipement, saturation de buffer,
panne externe, deadlock, plantage système, etc.)
¾ des conséquences de chacun de ces incidents sur les données en cours de traitement et sur la
cohérence de l’ensemble des bases de données, ainsi que sur la continuité des services offerts
Mesures techniques
et exact :
¾ sondes de mesure
— Les mesures techniques d’accompagnement consistent en des capacités :
¾ de points de reprise applicatifs assurant la cohérence des données
¾ de fichiers de travail temporaires assurant les possibilités de retour à l’état antérieur.
Qualité de service
¾ la précision et la profondeur de l’analyse des types d’incidents, de leurs conséquences et du caractère
acceptable ou non de ces conséquences
¾ La protection des moyens d’administration permettant la reprise des applications et la reconfiguration des
systèmes contre toute inhibition ou mise hors service.
¾ des possibilités réelles de restauration des données et de reprise du service en cas d’incident
¾ de l’efficacité réelle des procédures et des moyens de surveillance et de diagnostic du fonctionnement des
applications.
¾ de la mise à jour de la documentation et des moyens de reprise à chaque évolution des systèmes ou
applications
163
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08D04 Sauvegarde des logiciels de base et applicatifs

Objectif :
Organiser la sauvegarde des configurations et des logiciels installés, pour les systèmes, les
middleware et les applications.
Permettre une reprise rapide de l’exploitation des systèmes et des applications en cas d’effacement
accidentel d’une configuration, de reconfiguration d’équipements ou de mise en œuvre de plans de
secours.
— Les mesures organisationnelles de base consistent à planifier (à fréquence fixe et à chaque évolution
majeure) et organiser les sauvegardes de l’ensemble des logiciels et des paramètres de configuration, de
sorte que l’on puisse rebâtir complètement l’environnement de production en cas de nécessité.
— Les mesures organisationnelles d’accompagnement visent à s’assurer que les sauvegardes pourront être
utilisées :
¾ contrôles de relecture périodiques
Mesures techniques
— Les mesures techniques de base consistent à traduire l’organisation théorique en automates de production.
— Les mesures techniques d’accompagnement consistent à protéger ces automatismes contre des actions
volontaires ou accidentelles pouvant avoir pour effet de les modifier de manière indue.
Qualité de service
¾ l’exhaustivité des paramètres sauvegardés des configurations et des logiciels dont les sauvegardes sont
assurées
¾ l’automatisation des opérations de sauvegardes proprement dites
— La robustesse du service est liée à plusieurs types de facteurs :
¾ la protection des automatismes contre toute altération ou modification non contrôlée
¾ l’externalisation de sauvegardes de recours
¾ des essais réguliers de relecture des sauvegardes
¾ des tests effectués pour vérifier que l’on peut effectivement, à partir des sauvegardes, restaurer
complètement l’environnement de production
¾ des audits des procédures de sauvegardes et de la protection des automatismes
¾
164
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08D05 Sauvegarde des données applicatives

Objectif :
Organiser la sauvegarde des données relatives aux applications
Permettre une reprise rapide de l’exploitation des applications en cas d’incident, de reconfiguration de
systèmes ou de mise en œuvre de plans de secours.
— Les mesures organisationnelles de base visent à planifier et organiser les sauvegardes des données
applicatives en fonction de deux aspects également importants :
¾ l’étude de la durée maximale admissible entre deux sauvegardes pour que les inconvénients subis par les
utilisateurs soient acceptables
¾ le synchronisme entre fichiers sauvegardés pour assurer que l’exploitation des applications puisse
effectivement reprendre avec les données sauvegardées, en toute cohérence
utilisées :
¾ test effectif que l’on peut redémarrer les applications et les services correspondants à partir des
sauvegardes
Mesures techniques
— Les mesures techniques de base consistent à traduire l’organisation théorique en automates de production.
— Les mesures techniques d’accompagnement consistent à protéger ces automatismes contre des actions
volontaires ou accidentelles pouvant avoir pour effet de les modifier de manière indue.
Qualité de service
¾ la fréquence des sauvegardes et son adéquation aux besoins des utilisateurs
¾ le synchronisme de sauvegardes
¾ l’externalisation de sauvegardes de recours
¾ des essais réguliers de relecture des sauvegardes des données applicatives
complètement les applications et redémarrer un service effectif
¾ des audits des procédures de sauvegardes et de la protection des automatismes
165
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08D06 Plans de reprise d’activité

Objectif :
Assurer la reprise d’activité des systèmes et applications en cas d’accident grave empêchant une
reprise d’activité à court terme par une simple opération de maintenance.
Permettre une reprise de l’exploitation des applications en cas d’accident grave survenant sur une
partie plus ou moins importante du site de production, et ceci en limitant les pertes de données et dans un
délai compatible avec les besoins des utilisateurs.
Chaque fois que nécessaire, ces plans doivent s’intégrer dans des plans de continuité des activités es
métiers.
— Les mesures organisationnelles initiales visent à :
¾ identifier les scénarios de sinistre ou d’accident à analyser en détail (sinistre global, sinistre partiel sur telle
ou telle partie, etc.)
¾ analyser, pour chaque scénario, compte tenu des serveurs et applications impactées, les conséquences
d’un accident grave sur la continuité des services concernés
¾ identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption admissible entre le
fonctionnement normal et le fonctionnement en mode secours (en prévoyant, éventuellement, plusieurs
étapes, avec des services progressivement repris).
¾ Documenter les scénarios et les plans de reprise en incluant leur conservation en lieu sûr,
¾ Constituer des équipes propres à réaliser les procédures et former les acteurs directs et attachés (help
desk, utilisateurs, etc.).
— Les mesures de base visent ensuite à déterminer la solution de secours, à décrire en détail les actions à
mener quand survient le sinistre, à en décrire les procédures détaillées et à les tester, puis à gérer leur mise à
jour au fil des évolutions des systèmes ou des applications.
Mesures techniques
— Les mesures techniques de base consistent à assurer une solution de secours pour tous les scénarios de
sinistre retenus, ces solutions pouvant être :
¾ des solutions de secours sur un site distant, avec des équipements propres ou mutualisés
¾ l’installation de nouveaux matériels dans des salles prévues en conséquence (salles blanches)
¾ etc.
Qualité de service
¾ l’exhaustivité des scénarios analysés
¾ l’adéquation des délais de mise en œuvre des diverses solutions de secours prévues avec les besoins
des utilisateurs
¾ les ressources humaines et leur niveau de préparation à l’occurrence des sinistres.
¾ des audits de la rigueur de gestion des procédures appelées par le plan de secours.
166
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08D07 Protection antivirale des serveurs de production

Objectif :
Assurer la protection des serveurs de production contre les risques d’infection virale
Éviter l’action des virus et leur propagation
Mesures techniques
Les mesures techniques de base consistent à équiper les serveurs de production et les serveurs de
messagerie d’antivirus efficaces :
— en provenance de plusieurs fournisseurs
— régulièrement mis à jour
Les mesures organisationnelles d’accompagnement consistent en :
— la sensibilisation et la préparation des personnels informatiques et de support aux utilisateurs aux attaques
virales ou malveillantes,
— l’abonnement à des centrales d’alerte pouvant permettre d’anticiper certaines attaques massives,
— la mise en place de cellule de crise permettant de réagir très vite où une première attaque serait détectée (en
dehors de la détection par l’antivirus).
Qualité de service
¾ la qualité des fournisseurs
¾ la fréquence des mises à jour
— La robustesse du service est liée à l’existence de cellule de veille et de cellule de crise en cas d’attaque
— La mise sous contrôle est réalisée par des audits de la fréquence des mises à jour:
167
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08D08 Gestion des systèmes critiques (vis-à-vis de la permanence de la

maintenance)
Objectif :
Assurer la continuité de l’activité en cas de disparition ou d’indisponibilité durable du fournisseur d’un
système ou d’un logiciel système (y compris le middleware) ou du prestataire chargé d’en assurer la
maintenance
Éviter que la disparition d’un fournisseur mette en péril la continuité des services informatiques.
— Les mesures organisationnelles initiales visent à analyser, pour chaque système ou logiciel, les
conséquences de la disparition d’un fournisseur sur la disponibilité d’ensemble des services informatiques et
à identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption de maintenance
admissible entre le moment où cette disparition serait constatée et le moment où une solution de repli pourrait
être mise en œuvre
¾ Le changement de système ou de logiciel système par celui d’un autre fournisseur
¾ Une évolution radicale de l’architecture système permettant de se passer de l’équipement ou du logiciel
posant problème
Qualité de service
¾ le délai de mise en œuvre des diverses solutions de repli prévues
¾ la qualité et la rigueur de détail du plan de repli prévu
— La robustesse du service est liée à l’existence de variantes des plans de repli au cas où la solution de base
ne fonctionnerait pas
¾
168
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08D09 Sauvegarde de recours externalisées

Objectif :
Organiser une sauvegarde des programmes, des configurations et des données en dehors du site de
production.
Permettre un accès à des sauvegardes de recours, même en cas d’inaccessibilité du site de
production, quelle que soit la cause qui empêche d’accéder aux sauvegardes normales de production.
— Les mesures organisationnelles de base visent à organiser les sauvegardes de recours pour les cas
d’inaccessibilité du site de production, en fonction de deux aspects également importants :
¾ l’étude de la durée maximale admissible entre deux sauvegardes de recours pour que la reprise d’une
exploitation acceptable par les utilisateurs soit possible (avec éventuellement plus d’inconvénients que
pour les sauvegardes normales de production)
¾ le synchronisme entre fichiers sauvegardés pour assurer que l’exploitation des applications puisse
effectivement reprendre avec les données sauvegardées, en toute cohérence
utilisées :
¾ test effectif que l’on peut redémarrer les applications et les services correspondants à partir des
sauvegardes
Mesures techniques
— Les mesures techniques d’accompagnement visent à protéger les sauvegardes de recours contre des
accidents ou des malveillances :
¾ Site de stockage protégé et sécurisé
¾ Convoyage vers le site de stockage sécurisé
Qualité de service
¾ le synchronisme de sauvegardes
¾ la protection du site de stockage contre des accidents ou des malveillances
¾ la sécurisation du convoyage vers le site de stockage
¾ des essais réguliers de relecture des sauvegardes de recours
complètement les applications et redémarrer un service effectif
¾ des audits des procédures de sauvegardes de recours
169
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08E Détection et traitement des incidents et anomalies

08E01 Détection et traitement en temps réel des anomalies et incidents
Objectif :
d’actions non autorisées et potentiellement dangereuses.
A défaut limiter cette action dans le temps. Remarque : dans certains cas d’intrusion, on est surpris de
constater que des traces existaient depuis fort longtemps et auraient permis de réagir.
— Les mesures organisationnelles de base visent à définir quelles actions ou symptômes peuvent être
significatifs d’actions anormales et potentiellement nocives et doivent faire l’objet d’une alerte et d’un
traitement adapté, par exemple :
¾ séquences d’actions représentatives de tentatives d’intrusion
¾ multiplication des accès vers des serveurs différents
¾ répétition d’alarmes simples venant d’autres systèmes de sécurité
— En complément de cette analyse, il est nécessaire de définir les réactions appropriées :
¾ types d’alerte adaptés
¾ organisation d’une équipe d’intervention et des capacités d’escalade
¾ réactions attendues, cas par cas, de l’équipe d’intervention.
Mesures techniques
Les mesures techniques de détection comportent plusieurs types de solutions :
— les systèmes de détection de pénétration de systèmes qui s’appuient sur des bases de données de
séquences révélatrices de tentatives d’intrusion
rejets (tentatives de connexion avortées, tentatives successives de différents logins, etc.)
— les systèmes spécifiques de détection de comportements considérés comme anormaux
Qualité de service
¾ de la disponibilité de l’équipe d’astreinte et de la surveillance effective des systèmes et applications
170
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08E02 Surveillance en temps différé des traces, logs et journaux

Objectif :
journaux.
Permettre de limiter dans le temps les actions anormales et en dissuader les acteurs internes.
Remarque : Ce service permet de vérifier le respect d’interdictions qu’il n’a pas été possible (ou
souhaité) d’éliminer par les services de prévention.
Mesures techniques
d’exploitation et en particulier les paramétrages de systèmes de sécurité ou les reconfigurations de systèmes
et les logs, plus ou moins exhaustifs, des actions effectuées par les utilisateurs (connexions, accès divers,
contenu des transactions, mots clés, etc.)
totalement impossible). Le résultat de l’analyse est alors un diagnostic (éventuellement sous forme de tableau
de bord) qui peut être analysé par une équipe ad hoc, voire donner lieu à des alarmes directes.
L’analyse du diagnostic débouche sur des alertes à destination soit d’une équipe d’intervention
d’intervention (par exemple conduite à tenir en cas d’abus de droits ou d’actions « interdites »).
Qualité de service
171
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08E03 Gestion et traitement des incidents systèmes et applicatifs

Objectif :
Enregistrer les incidents systèmes et applicatifs et en assurer un traitement adéquat et un suivi régulier
Éviter qu’un incident mineur (ex. base de données près de la saturation ou conflit d’accès) ou qu’une
série d’incidents mineurs ne soient pas traités convenablement et qu’ils débouchent sur un accident
majeur (par exemple blocage complet d‘une application)
Mesures techniques
Le système comporte généralement des synthèses sous forme de tableau de bord, par type d’incident.
l’information, pour que certains champs ne soient accessibles qu’à certains profils d’administrateurs (par
exemple, le nom des personnes impliquées).
Les mesures organisationnelles de base visent à mettre en place une équipe en charge de la réception
des appels (hot line ou help desk, généralement), de l’enregistrement des incidents, de l’aiguillage vers
l’équipe concernée et du suivi de l’incident.
temps quasi réel et d’autres ne faisant l’objet que d’un reporting statistique.
Qualité de service
172
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08F Contrôle des droits d’administration

08F01 Gestion des droits privilégiés sur les systèmes
Objectif :
Déterminer quelles catégories de personnel ont de réels besoin d’avoir des droits privilégiés, dans
quelles conditions et dans quelles limites, sur des systèmes et gérer avec rigueur l’attribution de tels droits,
afin de pouvoir empêcher l’utilisation abusive de ces droits par ceux qui n’en ont pas le besoin.
pas (ou plus) la nécessité d’accéder aux systèmes avec des droits privilégiés.
— Identifier tous les profils de personnel d’exploitation nécessitant, pour leur travail, des droits d’administration,
par exemple :
¾ administrateurs systèmes
¾ personnel chargé du pilotage applicatif ou du pilotage de la production
¾ opérateurs chargés d’opérations de routine telles que des sauvegardes
¾ etc.
— Définir, puis gérer dans le temps, les droits génériques attribués à chaque profil
— Définir le processus d’attribution, de gestion et de retrait des profils au personnel et le responsable de cette
attribution, par exemple :
¾ hiérarchie pour le personnel interne
¾ signataire de la commande pour un prestataire
Mesures techniques
d’accès (super administrateur des administrateurs, par exemple le RSSI ou le DSI).
— Les tables listant les administrateurs chargés de renseigner les autorisations d’accès
documents.
Qualité de service
— L’efficacité du service est directement liée à la rigueur des procédures permettant de définir les profils ainsi
que les droits associés et à la rigueur de gestion des attributions de profil.
173
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08F02 Authentification et contrôle des droits d’accès des administrateurs

et personnels d’exploitation
Objectif :
S’assurer lors de l’accès aux systèmes d’information avec des droits privilégiés que la personne qui
tente de se connecter est bien celle qu’elle prétend être.
pas (ou plus) autorisées individuellement à accéder aux systèmes avec des droits privilégiés.
Mesures techniques
— Les mesures techniques de base concernent le contrôle des droits d’accès d’une part et l’authentification
d’autre part, c'est-à-dire le contrôle d’une caractéristique que la personne, individuellement, possède ou
connaît :
¾ Vérification des droits d’accès en fonction du contexte d’accès (local ou à distance, par lien sécurisé ou
non, horaire, etc.)
¾ Contrôle du mot de passe ou du secret partagé entre la personne et un équipement de contrôle
¾ Contrôle d’un objet physique reconnaissable possédé par la personne (généralement en association avec
un secret partagé entre la personne et l’objet)
¾ Contrôle d’une caractéristique propre de la personne (empreinte digitale, caractéristique faciale ou de la
voix, etc.)
Qualité de service
(force et solidité du moyen d’authentification, solidité de l’algorithme cryptologique éventuellement utilisé pour
¾ la solidité et l’inviolabilité des protocoles annexes tels que diffusion initiale, échanges ou stockage des
éléments secrets
¾ des profils et des droits privilégiés ainsi que leur attribution à es personnes
174
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08F03 Surveillance des actions d’administration des systèmes

Objectif :
Détecter en temps différé des anomalies de comportement des administrateurs systèmes ou de
personnes en ayant acquis les droits, par une analyse a posteriori de traces spécifiques.
Permettre de limiter dans le temps des actions anormales menées avec des droits d’administration.
Mesures techniques
— les systèmes d’enregistrement de diverses traces et la journalisation des opérations effectuées par les
équipes d’exploitation et en particulier les paramétrages d’équipements de sécurité ou les reconfigurations de
systèmes et les actions sur des logs
— des systèmes permettant de détecter une altération d’enregistrements passés ou leur effacement de même
qu’une modification des paramètres d’enregistrement et d’émettre alors une alerte auprès d’un responsable
— des systèmes permettant d’effectuer une synthèse rapide des enregistrements et de transmettre, sans
possibilité d’altération, cette synthèse à un responsable, de telle sorte qu’il puisse lancer une investigation en
cas d’anomalie
¾ définition et mise à jour régulière des actions d’administration à enregistrer
¾ élaboration d’une synthèse significative permettant de détecter des anomalies de comportement
¾ mise en place des procédures de contrôle permettant de détecter une altération des mécanismes décidés
Qualité de service
¾ la couverture des enregistrements et la profondeur de l’analyse préliminaire des actions d’administration
donnant lieu à enregistrement
¾ l’analyse des actions potentiellement anormales et l’élaboration d’une synthèse significative
¾ La solidité des mécanismes de détection et d’alerte en cas de modification ou d’effacement
d’enregistrements passés ou d’altération des paramètres d’enregistrement
¾ L’alerte directe d’un responsable en cas d’inhibition ou d’arrêt du système d’enregistrement ou du système
d’alerte
¾ des procédures d’alerte
175
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08G Procédures d’audit et de contrôle des systèmes de traitement de

l’information
08G01 Fonctionnement des contrôles d'audit
Objectif :
S’assurer que exigences et les procédures d’utilisation des outils d’audit existent , sont respectées et
contrôlées.
Prévenir toute utilisation illicite de ces outils d’audit (tests de pénétration ou de vulnérabilités, etc.) ainsi
que tout accident pouvant résulter de ces opérations.
Les solutions à mettre en œuvre sont essentiellement organisationnelles, mais s’appuient également
— Les mesures organisationnelles concernent les règles et procédures à respecter lors de la mise en œuvre de
tels audits :
¾ Etablissement des limitations et des exigences d’utilisation,
¾ Documentation des règles et des responsabilités,
¾ Critères d’autorisation et de respect de leur déontologie pour les auditeurs.
Mesures techniques
— Les mesures techniques d’accompagnement concernent :
¾ L’enregistrement de l’activation de ces tests d’audit
¾ L’enregistrement des opérations menées sur des données sensibles
Qualité de service
— L’efficacité du service est liée à la réalité de la prise en compte, par le management et les personnes en
charge des outils d’audit, des exigences édictées sur leur utilisation.
¾ L’audit des enregistrements de l’utilisation des outils et des accès à des données critiques pour l’entreprise
176
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
08G02 Protection des outils et résultats d'audit

Objectif :
S’assurer que les outils (équipements comme logiciels de tests) d’audit existants sont conservés et
protégés contre toute utilisation abusive ou malveillante et que les résultats obtenus avec eux sont
protégés contre toute altération ou destruction illicite
pas (ou plus) autorisées individuellement à utiliser ces outils d’audit.
Mesures techniques
— Les mesures techniques concernent:
¾ La conservation des outils matériels éventuels en lieu sûr et leur attribution selon des processus définis et
auditables,
¾ La protection des accès aux outils logiciels et le contrôle des droits d’accès à ces outils avant toute
utilisation,
¾ La protection des enregistrements des opérations effectuées lors de ces audits.
¾ L’attribution des droits d’accès et d’utilisation des outils d’audit aux seules personnes susceptibles d’en
faire et dûment habilitées pour cela,
¾ Le contrôle du non abus de tels droits,
Qualité de service
¾ aux mécanismes de protection des accès aux outils
¾ aux mécanismes de protection des accès aux enregistrements réalisés avec eux.
¾ La solidité des mécanismes de détection et d’alerte en cas d’arrêt ou d’inhibition des mécanismes de
contrôle d’accès aux outils d’audit
¾ L’alerte directe d’un responsable en cas d’inhibition ou d’arrêt du système d’enregistrement des opérations
réalisées avec les outils d’audit
¾ du bon fonctionnement du système d’enregistrement et de surveillance des actions menées avec les
outils d’audit
¾ des systèmes de contrôle d’accès aux outils d’audit
177
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09A Contrôle d’accès applicatif

Objectif :
Faire en sorte que seuls les utilisateurs autorisés aient accès aux données applicatives.
Prévenir les tentatives d’accès, par des personnes non autorisées, aux données et bases de données
des applications.
— 09A01 : Gestion des profils d’accès aux données applicative
— 09A02 : Gestion des autorisations d'accès aux données applicatives
— 09A03 : Authentification de l'accédant lors des accès aux données applicatives
— 09A04 : Filtrage des accès aux données applicatives
09B Contrôle de l’intégrité des données

Objectif :
Protéger les données saisies, stockées ou échangées contre des altérations indues ou illicites.
Prévenir les altérations de données pouvant passer inaperçues, soit en empêchant qu’elles soient
altérées, soit en détectant leur altération avant usage.
— 09B01 : Scellement des données sensibles
— 09B02 : Protection de l’intégrité des données échangées
— 09B03 : Contrôle de la saisie des données
— 09B04 : Contrôles permanents
09C Contrôle de la confidentialité des données

Objectif :
Protéger les données saisies, stockées ou échangées contre des divulgations indues ou illicites.
Prévenir les divulgations de données à des personnes non autorisées ou dans des conditions non
autorisées.
— 09C01 : Chiffrement des données échangées
— 09C02 : Chiffrement des données stockées
— 09C03 : Dispositif anti-rayonnement
178
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09D Disponibilité des données

Objectif :
Assurer la disponibilité ou le recouvrement des données en toutes circonstances.
Éviter que des accidents ou des malveillances rendent des données totalement ou en partie
indisponibles.
— 09D01 : Enregistrement de très haute sécurité
— 09D02 : Reconstitution des données
— 09D03 : Reconstitution des traitements
— 09D04 : Organisation de la politique d’archivage
09E Continuité de fonctionnement

Objectif :
Assurer la continuité de fonctionnement des services applicatifs.
Éviter que des accidents ou des malveillances arrêtent les services applicatifs au delà d’une durée
inacceptable par les utilisateurs.
— 09E01 : Reconfiguration matérielle
— 09E02 : Plans de continuité utilisateurs
— 09E03 : Plans d’urgence
— 09E04 : Gestion des applications critiques (vis-à-vis de permanence de la maintenance)
— 09E05 : Reconstitution des programmes de traitement
09F Contrôle de l’émission et de la réception des données

Objectif :
Assurer certains services de sécurité lors de l’émission de messages
Éviter que des messages soient dupliqués, répudiés ou détournés sans que l’utilisateur s’en aperçoive.
— 09F01 : Garantie d’origine – signature électronique
— 09F02 : Individualisation des messages empêchant leur duplication
— 09F03 : Accusé de réception
179
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09G Détection et gestion des incidents et anomalies applicatifs

Objectif :
Détecter et gérer les incidents et anomalies applicatifs
Éviter que des incidents ou anomalies perdurent et limiter leur impact.
— 09G01 : Détection et gestion des incidents et anomalies applicatifs.
09H Services et applications liés au commerce électronique

Objectif :
Assurer la sécurité des services de commerce électroniques et un usage sûr de ces services.
Éviter que des applications de commerce électronique introduisent des risques spécifiques.
— 09H01 : Sécurité des sites de commerce électroniques.
180
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09A Contrôle d’accès applicatif

09A01 Gestion des profils d’accès aux données applicatives
Objectif :
Déterminer, pour chaque type de données, au sein des applications, quelles catégories de personnel,
interne ou non, ont de réels besoin d’y avoir accès, avec quels droits (lecture, écriture, création, etc.), dans
quelles conditions et dans quelles limites, afin de pouvoir empêcher ceux qui n’en ont pas le besoin d’agir
sur des données.
pas (ou plus) la nécessité d’accéder aux données applicatives. Ces actions pourraient être des accès
injustifiés à des informations confidentielles, des altérations ou des destructions de données ou de
programmes.
— Identifier, pour chaque application, les profils de personnel devant y avoir accès dans le cadre de leur travail,
en distinguant les profils devant avoir des droits distincts, par exemple :
¾ Les acheteurs pour l’accès à l’application de gestion des commandes
¾ L’acheteur initialisant la commande, à l’intérieur des profils d’acheteurs
¾ Le chef de service validant la commande,
¾ Le responsable de la gestion des comptes fournisseurs,
¾ Etc.
— Désigner, pour chaque type de profil général (comptable, RH, etc.), un responsable de la gestion des droits
attribués à cette catégorie de profil (sous-profil).
catégorie de profils. Ces droits doivent préciser, en fonction éventuellement du contexte de l’utilisateur
(présent sur le réseau interne ou se connectant depuis l’extérieur, etc.) :
¾ Les types de données auxquels le profil doit avoir accès
¾ Les actions autorisées sur ces données (consulter, créer, modifier, détruire, etc.)
¾ Le groupe d’appartenance venant compléter le profil et limiter, éventuellement, le champ de données
auquel le profil a accès
— Mettre en place un processus de contrôle (ou d’audit) régulier des droits attribués aux profils.
Mesures techniques
d’accès.
documents.
Qualité de service
profils et les droits associés.
181
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09A02 Gestion des autorisations d’accès aux données applicatives

Objectif :
Attribuer individuellement les autorisations d’accès aux données applicatives à chaque personne
pas (ou plus) la nécessité d’accéder aux données applicatives.
— Définir les responsables de l’attribution d’un « profil d’accès » à une personne physique, par exemple :
demandeur :
Mesures techniques
autorisations ou interdictions concrètes d’accès (entrée d’identifiant et de droits dans les tables systèmes).
Il s’agit donc de s’assurer que la demande reçue par le personnel en charge d’ouvrir ou de modifier les
droits est bien authentique.
Qualité de service
— La mise sous contrôle est réalisée par des audits ou inspections régulières des droits attribués, de l’usage
182
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09A03 Authentification lors de l’accès aux données applicatives

Objectif :
S’assurer lors de l’accès aux systèmes et applications que la personne qui tente de se connecter est
bien celle qu’elle prétend être.
pas (ou plus) autorisées individuellement à accéder aux données applicatives.
Mesures techniques
Qualité de service
secrets
183
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09A04 Filtrage des accès aux données applicatives

Objectif :
S’assurer lors de l’accès aux données applicatives et avant qu’une action soit menée sur ces données
que la personne qui demande cette action y est bien autorisée.
pas (ou plus) les droits nécessaires pour exécuter cette action.
Mesures techniques
— Les mesures techniques de base concernent le filtrage des actions :
¾ Identification du contexte propre de la tentative de connexion et sélection des règles de filtrage applicables
à ce contexte
¾ Contrôle que les droits attribués à la personne et que le contexte de connexion autorisent bien l’action
demandée
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du
système :
¾ Protection du processus de fixation des règles de filtrage (échanges d’informations et tables de
paramètres)
filtrage en fonction des contextes :
Qualité de service
— L’efficacité du service est liée à la rigueur avec laquelle les règles de filtrage ont été déterminées et à la
qualité du processus de contrôle
184
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09B Contrôle de l’intégrité des données

09B01 Scellement des données sensibles (fichiers)
Objectif :
Protéger l’intégrité des données stockées.
Empêcher qu’une personne non autorisée puisse modifier le contenu des informations contenues dans
les fichiers, sans que cela soit détecté (avant utilisation).
Mesures techniques
— Les mesures techniques de base concernent le scellement des données
¾ Choix de l’algorithme
¾ Mise en place de la solution (généralement logicielle) de scellement
système :
¾ Protection logique des solutions logicielles de scellement (protection du logiciel, protection de la génération
des paires de clés publiques et privées)
¾ Sécurité de la diffusion et du contrôle des clés publiques
¾ Système de gestion et de publication des clés publiques de scellement
¾ Procédure de contrôle des sceaux (ou automatisme)
Qualité de service
¾ la solidité de l’algorithme de scellement et de génération des paires de clés, privées et publiques
¾ le rigueur des procédures de contrôle des sceaux
¾ la solidité du processus et des procédures de publication des clés publiques, de leur contrôle de validité et
de gestion d’anomalies (révocation)
185
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09B02 Protection de l’intégrité des données échangées

Objectif :
Protéger l’intégrité des échanges de données.
Empêcher qu’une personne non autorisée puisse modifier le contenu des informations échangées lors
de transactions applicatives, lors de transferts de données entre postes clients et serveurs ou lors
d’échanges de messages, sans que cela soit détecté (avant utilisation).
Mesures techniques
— Les mesures techniques de base concernent le scellement des échanges
¾ Choix de l’algorithme
¾ Mise en place de la solution (généralement logicielle) de scellement
¾ Mise en place de la solution de contrôle des sceaux (automatique)
système :
¾ Protection logique des solutions logicielles de scellement (protection du logiciel, protection de la génération
des paires de clés publiques et privées)
¾ Sécurité de la diffusion et du contrôle des clés publiques
— Les mesures organisationnelles d’accompagnement concernent la gestion du système de scellement et de
contrôle des sceaux :
¾ Système de gestion et de publication des clés publiques de scellement
Qualité de service
¾ la solidité de l’algorithme de scellement et de génération des paires de clés, privées et publiques
¾ l’automatisme et l’inviolabilité du système de contrôle des sceaux
¾ la protection des mécanismes de scellement logiciel et de contrôle des sceaux
¾ la solidité du processus et des procédures de publication des clés publiques, de leur contrôle de validité et
de gestion d’anomalies (révocation)
186
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09B03 Contrôle de la saisie des données

Objectif :
Protéger l’intégrité de la saisie des données.
Empêcher qu’une erreur ou qu’une malveillance dans la saisie des données passe inaperçue et se
traduise par une pollution incontrôlée de bases de données.
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais s’appuient également
— Les mesures organisationnelles de base consistent en un contrôle de la saisie des données :
¾ Autocontrôle par la personne chargée de la saisie
¾ Contrôle par une personne indépendante
— Les mesures organisationnelles d’accompagnement consistent en des incitations, plus ou moins fortes,
positives (bonus) ou négatives (malus), à la bonne saisie et à l’absence d’erreur.
Mesures techniques
— Les mesures techniques d’accompagnement visent à éviter ou à signaler les erreurs par la mise en place de
« formats standards » dans lesquelles les données saisies doivent entrer (fourchettes absolues, critères de
cohérence avec d’autres données, etc.
Qualité de service
¾ La rigueur du processus de contrôle
¾ L’indépendance du contrôle (en particulier contre la malveillance)
¾ La force des incitations à une saisie sans erreur
— La robustesse du service est liée à la protection du système de contrôle par formats standards si ce système
existe
¾ De la saisie et de la qualité des autocontrôles,
¾ Du processus de contrôle
¾ Du système de gestion des formats standards, s’il existe
187
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09B04 Contrôles permanents

Objectif :
Protéger l’intégrité des données par des contrôles applicatifs.
Empêcher qu’une erreur ou qu’une malveillance, dans la saisie des données ou dans des processus
opératoires, se propage et se traduise par une pollution incontrôlée de bases de données.
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais s’appuient sur des
mesures techniques :
— Les mesures organisationnelles de base consistent à définir un contrôle de la pertinence des données, en les
comparant à des ratios ou des fourchettes de vraisemblance, en faisant des contrôles de cohérence par
rapport à des valeurs passées ou à d’autres données, etc. Des exemples types sont qu’une augmentation de
salaire ne dépasse pas 10 %, que la masse salariale ne dépasse pas une valeur donnée, que le même
compte bancaire n’est pas présent dans une bande de virement de salaires plus de 5 fois, etc.
— Les mesures organisationnelles d’accompagnement consistent à définir les actions à mener en cas de
détection d’une anomalie par les contrôles (blocage de la transaction en cours, alerte, etc.).
Mesures techniques
— Les mesures techniques d’accompagnement visent à incorporer ces contrôles dans le code des applications
et ceci de manière contrôlable :
¾ Identification des parties de code correspondant à des contrôles, pour qu’elles soient auditables
¾ Séparation des paramètres de contrôle du code même de contrôle
Qualité de service
¾ La rigueur de l’analyse ayant conduit à introduire des contrôles permanents
¾ l’étroitesse des fourchettes de contrôle
— La robustesse du service est liée à la protection du système de contrôle :
¾ Protection du code contre toute altération ou inhibition
¾ Protection des tables de contrôle contre toute modification indue
¾ De la pertinence des paramètres de contrôle,
¾ Du processus de contrôle
188
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09C Contrôle de la confidentialité des données

09C01 Chiffrement des données échangées
Objectif :
Protéger la confidentialité des informations échangées.
les réseaux (internes ou externes).
Mesures techniques
chiffrement au niveau applicatif) :
¾ Détermination de l’algorithme et du système de clés à générer et distribuer
¾ Mise en place de la solution matérielle ou logicielle
système :
¾ Protection des matériels ou logiciels de chiffrement
¾ Protection du processus de distribution et de conservation des éléments secrets (clés)
¾ Protection du processus pratique de mise en œuvre de la solution de chiffrement
¾ Protection du poste de travail pendant l’utilisation des données décryptées
¾ Protection du poste de travail contre des altérations du poste ou l’introduction de logiciel espion
— Les mesures organisationnelles de base concernent la distribution de la solution de chiffrement :
¾ Processus de distribution du support de chiffrement (matériel ou logiciel)
¾ Processus de distribution des clés secrètes
¾ Processus de publication éventuelle des clés publiques (et de leur révocation)
— Les mesures organisationnelles d’accompagnement concernent éventuellement les mesures à prendre par
les utilisateurs quand ils travaillent avec des données décryptées (déconnexion du réseau, par exemple)
Qualité de service
¾ la solidité de l’algorithme de chiffrement et de génération de clés secrètes (ou de paires de clés)
¾ la solidité de la protection de la mise en œuvre du processus de chiffrement et de déchiffrement (parfois
protégée par un simple mot de passe sur le poste de travail)
¾ la solidité de la protection du poste de travail contre des altérations du poste (introduction de logiciel
espion)
189
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09C02 Chiffrement des données stockées

Objectif :
Protéger la confidentialité des informations stockées et des archives.
Empêcher qu’une personne non autorisée puisse accéder au contenu des informations des fichiers
applicatifs stockés sur des supports fixes ou amovibles, dans des serveurs ou sur le poste de travail.
Les mécanismes à mettre en œuvre sont les mêmes que pour les données échangées, l’échange de
clés étant toutefois plus simple dans ce cas. Ces mécanismes sont donc essentiellement techniques, mais
s’appuient également sur des mesures organisationnelles :
Mesures techniques
chiffrement au niveau applicatif) :
¾ Détermination de l’algorithme et du système de clés à générer et distribuer
¾ Mise en place de la solution matérielle ou logicielle
système :
¾ Protection des matériels ou logiciels de chiffrement
¾ Protection du poste de travail, éventuellement du serveur, pendant l’utilisation des données décryptées
¾ Protection du poste de travail et/ou du serveur contre des altérations ou l’introduction de logiciel espion
— Les mesures organisationnelles de base concernent la distribution de la solution de chiffrement :
¾ Processus de distribution du support de chiffrement (matériel ou logiciel) avec ses clés
les utilisateurs quand ils travaillent avec des données décryptées (déconnexion du réseau, par exemple)
Qualité de service
¾ la solidité de l’algorithme de chiffrement et de génération de clés secrètes
¾ la solidité de la protection de la mise en œuvre du processus de chiffrement et de déchiffrement (parfois
espion)
190
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09C03 Dispositif anti-rayonnement

Objectif :
Protéger la confidentialité des informations traitées ou lues sur un poste de travail.
Empêcher qu’une personne non autorisée puisse accéder au contenu des informations traitées sur le
poste de travail, par captation des radiations électromagnétiques (par radiation ou conduction).
Les mécanismes à mettre en œuvre sont très techniques et extrêmement spécifiques.
Le phénomène de base est que les matériels émettent des ondes électromagnétiques, par radiation et
conduction, et que ces ondes peuvent être captées par des installations spécialisées.
Mesures techniques
Les mesures techniques de base concernent le contrôle de ces émissions et comprennent divers types
de mesure, alternatives :
— L’installation des matériels sensibles dans des cages de Faraday
— L’emploi de matériels spécialement protégés (matériels Tempest)
— L’emploi de brouilleurs, parasitant les ondes émises (sans doute de moindre efficacité)
— Il existe de nombreuses contraintes organisationnelles à ce type de solution car il est bien clair que des
contraintes de connexions sont à prendre en compte.
Qualité de service
— L’efficacité du service est essentiellement liée à la qualité de l’installation et à la conformité aux normes
régissant ce type de contexte (normes Tempest en particulier):
— La robustesse du service est liée à la protection du poste de travail ou de l’installation de la cage de Faraday
contre toute altération non contrôlée.
¾ De la conformité aux normes
¾ Des procédures d’utilisation des matériels et systèmes
191
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09D Disponibilité des données

09D01 Enregistrement de Très Haute Sécurité (THS)
Objectif :
Garantir que les enregistrements pourront être relus, malgré des aléas dus aux supports.
Empêcher qu’un altération de support empêche d’exploiter et de relire un enregistrement de données.
Les mécanismes à mettre en œuvre sont très techniques et extrêmement spécifiques.
Mesures techniques
Les mesures techniques de base sont systématiquement basées sur une certaine redondance de
l’information enregistrée permettant de récupérer des défauts au niveau des supports. Selon le niveau de
redondance, il est possible de récupérer des défauts plus ou moins étendus. Les deux types de
techniques les plus répandues sont :
— Les disques RAID
— Le mirroring complet des données, éventuellement sur deux sites distincts
Qualité de service
— L’efficacité du service est essentiellement liée à la technique choisie et aux types de pannes ou de
défaillances que la solution prend en charge
— La robustesse du service est liée :
¾ à la protection du périphérique (s’il est unique) sur lequel les données sont enregistrées avec redondance.
S’il est facilement accessible, la solution ne présentera aucune robustesse contre une attaque physique.
¾ En ce qui concerne le mirroring, la solution ne sera robuste contre un accident physique de grande
ampleur que si les deux systèmes mirrorés sont suffisamment distants.
¾ Du paramétrage des systèmes
¾ Du contrôle d’accès aux périphériques
192
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09D02 Reconstitution des données

Objectif :
Protéger les informations sensibles contre une perte totale des données informatisées.
Faire en sorte que la reconstitution des données informatisées demeure possible, même en cas de
perte de tout support informatique (perte des données et de leurs sauvegardes).
La première mesure est de mener une analyse pour chaque ensemble de données sensibles en
partant de l’hypothèse de la perte de tous les supports informatiques : bases de données, sauvegardes,
archives.
De cette hypothèse et de l’analyse alors menée doivent être déduits :
— Les moyens non informatiques permettant de reconstituer les données dans une telle hypothèse
— Les procédures ou mesures à mettre en œuvre pour sécuriser ces moyens (dans l’hypothèse d’une volonté
de détruire qui pourrait également s’attaquer aux moyens de secours)
— Les moyens éventuels à mettre en œuvre pour accélérer ou automatiser la reconstitution des données en
cas de perte totale des fichiers informatiques.
En complément, il est souhaitable d’analyser également les cas de pollution accidentelle de fichiers en
cours de traitement et les moyens de retrouver les données dans l’état précédant le début de traitement
(journaux avant).
Qualité de service
— L’efficacité du service est essentiellement liée à la capacité des moyens mis en place de reconstituer
l’ensemble des données et à la facilité avec laquelle cette reconstitution sera possible
— La robustesse du service est liée à la protection de ces moyens contre une destruction accidentelle ou
malveillante.
¾ De la mise en place effective des moyens de reconstituer les données
¾ Des procédures correspondantes
¾ De la protection de ces moyens
193
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09D03 Reconstitution des traitements

Objectif :
Protéger les informations sensibles contre une perte totale des données informatisées.
Faire en sorte que la reconstitution des données informatisées actualisées soit possible, à partir des
sauvegardes, en reconstituant les traitements qui avaient été effectués entre l’enregistrement des
sauvegardes et le sinistre.
La question critique pour les systèmes transactionnels est de remettre à jour une base de données
quand on n’a plus que des sauvegardes, forcément d’un certain âge, alors que des transactions ont eu lieu
sur ces données.
La première mesure est de mener une analyse pour chaque ensemble de données sensibles en
partant de l’hypothèse de la perte des données actives et de l’obligation de reconstituer des données à
jour, à partir des sauvegardes. Le seul but de cette analyse est de séparer :
— Les données pour lesquelles on pourra demander aux utilisateurs de refaire les traitements qui auront été
perdus (les données bureautiques, les données dont les traitements, déclenchés par du personnel interne,
sont peu nombreux et peuvent facilement être réinitialisés, etc.)
— Les données pour lesquelles il est impossible de demander à qui que ce soit de recommencer les
transactions effectuées (données mises à jour par des transactions initialisées par du personnel dont on a
perdu la trace, avec celle de la transaction)
Mesures techniques
— Les mesures techniques consistent principalement en des enregistrements de traces permettant :
¾ De relancer automatiquement les traitements en cas de besoin
¾ À défaut de contacter l’utilisateur pour lui signaler la perte de ses traitements
— Les mesures techniques d’accompagnement consistent à protéger le système de trace contre toute :
¾ altération ou inhibition intempestive
¾ destruction des traces
Qualité de service
l’ensemble des traitements et à la facilité avec laquelle cette reconstitution sera possible
malveillante ou contre une inhibition de la prise de traces
¾ De la mise en place effective des moyens de reconstituer les traitements
194
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09D04 Organisation de l’archivage

Objectif :
Organiser l’archivage des données informatisées devant être conservées sur une longue période et les
protéger en conséquence.
Faire en sorte que les données informatisées devant être conservées sur une longue période puisse
être retrouvées et exploitées en cas de besoin.
La question critique dans beaucoup d’organisations est la confusion souvent faite entre les
sauvegardes et les archives. Cette confusion peut amener les utilisateurs à considérer que les
sauvegardes faites par la production informatiques peuvent servir d’archives et à ne prendre les
dispositions nécessaires.
— Les mesures organisationnelles de base visent à identifier les données devant être archivées et à planifier et
organiser les fonctions d’archivage :
¾ étude des contraintes légales ou réglementaires de conservation de données
¾ analyse des contraintes internes (conservation du patrimoine informationnel, protection du savoir-faire,
etc.)
¾ analyse des fréquences de mises à jour des versions d’archives
¾ analyse des protections nécessaires (protection contre des accès indésirables, contre les risques divers,
etc.)
— Les mesures organisationnelles d’accompagnement visent à s’assurer que les archives pourront être
utilisées :
¾ organisation de contrôles de relecture périodiques
¾ test effectif que l’on peut redémarrer les applications nécessaires pour pouvoir exploiter les archives
Mesures techniques
— Les mesures techniques de base consistent à traduire l’organisation théorique en automates de production et
en dispositifs de sécurité adaptés.
Qualité de service
¾ la qualité de l’étude préalable pour définir les données à archiver en fonction des besoins des utilisateurs
¾ l’automatisation des opérations d’archivage proprement dites
¾ la qualité des dispositifs de protection des archives
¾ des essais réguliers de relecture des archives
¾ des tests effectués pour vérifier que l’on peut effectivement exploiter les archives
¾ des audits des procédures d’archivage et de la protection des automatismes
195
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09E Continuité de fonctionnement

09E01 Reconfiguration matérielle
Objectif :
Assurer, sans discontinuité, la poursuite des services applicatifs, en cas d’accidents ou de pannes
simples.
Faire en sorte que la poursuite des services applicatifs soit assurée sans discontinuité, dans des cas
de panne simple ou d’accident limité à un serveur ou à un équipement
La première mesure est de mener une analyse pour chaque service applicatif afin de mettre en
évidence les services qui ne peuvent souffrir aucune interruption ou des interruptions si courtes que l’appel
à la maintenance en cas de difficulté ne puisse pas être une solution acceptable.
Pour ces services, l’analyse devra être poussée plus loin pour mettre en évidence :
— Les équipements indispensables pour la poursuite du service (ou pour sa poursuite avec des performances
tolérables par les utilisateurs)
— Les solutions de redondance qui pourraient apporter la meilleure solution au besoin de continuité de service
— Les servitudes qui pourraient représenter des points de faiblesse équivalents (single point of failure) et les
solutions correspondantes
Mesures techniques
— Les mesures techniques de base sont directement déduites de l’analyse ci-dessus et consistent à mettre en
place les solutions de redondance décidées :
¾ Mise en place de l’infrastructure redondante des services applicatifs
¾ Mise en place de l’infrastructure sécurisée des servitudes
¾ Mise en place des procédures de commutation éventuellement nécessaires (si le basculement n’est pas
totalement automatique)
— Les mesures techniques d’accompagnement consistent à protéger le système redondant contre
toute altération ou inhibition intempestive
Qualité de service
— L’efficacité du service est essentiellement liée à la capacité des moyens mis en place de pallier des pannes
ou incidents variés et complexes
malveillante ou contre une inhibition
¾ De l’adéquation des moyens choisis aux besoins des utilisateurs
¾ Des capacités effectives (testées) de commutation et de secours
196
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09E02 Plans de Continuité Utilisateurs

Objectif :
Assurer la continuité des services applicatifs en cas d’accident grave.
Faire en sorte que la reprise des services applicatifs soit possible, après un accident grave, avec des
performances et dans des délais acceptables par les utilisateurs.
Les PCU ou PCM (Plans de Continuité Métiers) viennent en complément des PRA ou Plans de
Reprise d’Activité technique qui visent à rétablir les moyens de traitement.
La première mesure est de faire comprendre aux utilisateurs que les PRA ne suffisent pas et qu’ils
doivent, à leur niveau, se préparer à des actions exceptionnelles pour que les services applicatifs puissent
reprendre après la remise en place de moyens de traitement. Ces actions sont :
— La préparation de la reconstitution des données éventuellement perdues
— La préparation de la reconstitution des traitements perdus
— La gestion des flux de données entre l’instant du sinistre et la reprise des possibilités de traitement
— La validation des données restituées à partir des sauvegardes
— La préparation de la reprise des traitements avec des performances éventuellement dégradées ou avec des
fonctionnalités incomplètes
— La gestion récurrente des flux de données avec des fonctionnalités éventuellement incomplètes
— La préparation du retour aux conditions d’origine (avec reprise des travaux laissés en attente)
— A partir de cette prise de conscience, les divers points ci-dessus devront être analysés et des solutions
trouvées puis des procédures détaillées mises en place.
Mesures techniques
Les mesures techniques de base visent à supporter la cellule de crise qui devra de toutes façons être
mise en place. Il s’agit donc des moyens logistiques correspondants (communication, accès aux
informations nécessaires, gestion de la cellule de crise, etc.)
Les mesures techniques d’accompagnement résultent éventuellement de l’analyse des solutions à
mettre en place, si des moyens techniques sont apparus souhaitables pour supporter les PCU.
Qualité de service
¾ Nombre de scénarios analysés et étudiés en détail
¾ Procédures détaillées pour les actions à mener et rigueur dans le détail de description de ces actions
197
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09E03 Plans d’urgence

Objectif :
Prendre les mesures d’urgence nécessaires dans une condition de crise particulièrement critique.
Prendre les mesures immédiates nécessaires, après un accident grave, un défaut de fonctionnement
particulièrement important ou une interruption de service critique.
Les plans d’urgence, un par situation de crise, sont des plans indépendants des PRA et PCM ou PCU
et n’ont pour objectif que de traiter la première urgence. Les anglo-saxons utilisent souvent le terme de
Business Contingency planing pour ces plans.
— Les mesures organisationnelles initiales visent à :
¾ identifier les scénarios de sinistre ou d’accident à analyser en détail (sinistre global, sinistre partiel sur telle
ou telle partie, etc.)
¾ analyser, pour chaque scénario, compte tenu des serveurs et applications impactées, les conséquences
d’un accident grave sur les services rendus ou sur d’autres activités
¾ identifier, avec les utilisateurs, les messages à faire parvenir aux personnes impactées
¾ identifier les mesures d’urgence à prendre, indépendamment des plans de secours pouvant être lancés.
— Les mesures de base visent ensuite à organiser en détail les actions à mener en première urgence, à en
décrire les procédures détaillées et à les tester, puis à gérer leur mise à jour au fil des évolutions des
systèmes ou des applications.
Mesures techniques
Les mesures techniques de base visent à supporter la cellule de crise spécifique qui devra de toutes
façons être mise en place. Il s’agit donc des moyens logistiques correspondants (communication, accès
aux informations nécessaires, gestion de la cellule de crise, etc.)
Les mesures techniques d’accompagnement résultent éventuellement de l’analyse des solutions
d’urgence à mettre en place, si des moyens techniques sont apparus nécessaires pour les supporter.
Qualité de service
¾ Nombre de scénarios analysés et étudiés en détail
¾ Procédures détaillées pour les actions d’urgence à mener et rigueur dans le détail de description de ces
actions
198
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09E04 Gestion des applications critiques (vis-à-vis de la permanence de la

maintenance)
Objectif :
Assurer la continuité de l’activité en cas de disparition ou d’indisponibilité durable du fournisseur d’un
logiciel applicatif ou du prestataire chargé d’en assurer la maintenance
Éviter que la disparition d’un fournisseur mette en péril la continuité des services informatiques.
— Les mesures organisationnelles initiales visent à analyser, pour chaque logiciel applicatif, les conséquences
de la disparition d’un fournisseur sur la disponibilité d’ensemble des services informatiques et à identifier, avec
œuvre
¾ Le changement de logiciel par celui d’un autre fournisseur
¾ Une évolution radicale de l’architecture applicative permettant de se passer de l’équipement ou du logiciel
posant problème
Qualité de service
¾ le délai de mise en œuvre des diverses solutions de repli prévues
¾ la qualité et la rigueur de détail du plan de repli prévu
— La robustesse du service est liée à l’existence de variantes des plans de repli au cas où la solution de base
ne fonctionnerait pas
¾
199
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09E05 Reconstitution des programmes de traitement

Objectif :
Protéger les programmes de traitement sensibles contre une perte totale des supports les contenant.
Faire en sorte que la reconstitution des programmes de traitement demeure possible, même en cas de
perte de tout support informatique (perte des programmes et de leurs sauvegardes).
La première mesure est de mener une analyse pour chaque ensemble de traitement sensibles en
partant de l’hypothèse de la perte de tous les supports informatiques : programmes, sauvegardes,
archives.
De cette hypothèse et de l’analyse alors menée doivent être déduits :
— Les moyens non informatiques permettant de reconstituer les programmes de traitement dans une telle
hypothèse (documentation, listings, etc.)
— Les procédures ou mesures à mettre en œuvre pour sécuriser ces moyens (dans l’hypothèse d’une volonté
de détruire qui pourrait également s’attaquer aux moyens de secours)
— Les moyens éventuels à mettre en œuvre pour accélérer ou automatiser la reconstitution des programmes
de traitement en cas de perte totale des fichiers informatiques.
Qualité de service
l’ensemble des programmes de traitement et à la facilité avec laquelle cette reconstitution sera possible
malveillante.
¾ De la mise en place effective des moyens de reconstituer les programmes de traitement
200
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09F Contrôle de l’émission et de la réception des données

09F01 Garantie d’origine – signature électronique
Objectif :
Garantir l’origine d’un message ou d’une donnée.
Empêcher qu’une personne envoie un message en se faisant passer pour quelqu’un d’autre .
Mesures techniques
Les mesures techniques de base concernent un moyen cryptologique particulier que l’on appelle
signature électronique, mais qui est généralement plus qu’une signature électronique, dans la mesure où
la garantie porte à la fois sur le contenu du message et sur son auteur. Cette mesure consiste ainsi en :
— La détermination de l’algorithme cryptologique support
— La mise en place de la solution logicielle pour le signataire
— La mise en place de la solution logicielle pour les destinataires
système :
¾ Protection du logiciel de signature
— Les mesures organisationnelles de base concernent la distribution du système de reconnaissance de
signature (distribution de clé publique) et la distribution des clé secrètes :
¾ Processus de distribution ou de publication des clés publiques(et de leur révocation)
¾ Processus de distribution des clés secrètes
¾ Processus de vérification de la signature
les utilisateurs quand ils reçoivent des messages avec de mauvaises signatures
Qualité de service
¾ la solidité de l’algorithme de signature et de génération des paires de clés
¾ la solidité de la protection de la mise en œuvre du processus de signature (parfois protégée par un simple
mot de passe sur le poste de travail)
¾ la rigueur du processus de vérification de signature
¾ la protection des mécanismes de signature contre toute altération
¾ la solidité du processus et des procédures de distribution et de publication de clés et de gestion
¾ la solidité de la protection du poste de travail contre un usage abusif du processus de signature
¾ De la protection du poste et du logiciel de signature,
¾ Du système de génération et de gestion des clés
¾ Des procédures relatives à la signature (signature et contrôle)
201
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09F02 Individualisation des messages empêchant leur duplication

Objectif :
Garantir l’unicité d’un message.
Empêcher qu’une personne répète un message après l’avoir capté.
Mesures techniques
Les mesures techniques de base consistent tout simplement à numéroter les messages de sorte que
toute répétition automatique de l’intégralité d’un message se traduise par une erreur détectée par le
système de réception (qui trouvera deux messages avec le même numéro. Il est clair que le système dot
être légèrement plus sophistiqué pour éviter qu’un pirate puisse recopier tout un message en en
changeant le numéro. Très généralement, un tel système est couplé avec un chiffrement de message de
sorte que la manipulation de numéro ne soit pas possible.
Les mesures d’accompagnement consistent, comme d’habitude, à protéger les mécanismes, tant de
numérotation que de contrôle de la numérotation, contre toute altération ou inhibition.
Les mesures organisationnelles correspondantes concernent la gestion des alarmes :
— Conduite à tenir
— Reporting
— etc.
Qualité de service
¾ La solidité de l’algorithme de numérotation
¾ la solidité de l’algorithme de chiffrement si une numérotation simple est employée
¾ la rigueur du processus de vérification du numéro de message
¾ la protection des mécanismes de numérotation et de contrôle de numérotation contre toute altération ou
inhibition
¾ la rigueur des procédures de gestion d’erreur ou d’anomalie
¾ De la mise en œuvre de la numérotation et du contrôle de la numérotation,
¾ Des procédures de gestion d’anomalies
202
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09F03 Accusé de réception

Objectif :
Garantir à l’émetteur d’un message que son message a bien été reçu.
Les buts recherchés peuvent être multiples :
— S’assurer qu’un message a bien été reçu
— Alerter un émetteur potentiel que son nom a été utilisé pour envoyer un message (si quelqu’un a usurpé son
identifiant ou son nom pour émettre un message, l’accusé de réception lui parviendra néanmoins et pourra
l’alerter)
— Empêcher qu’un destinataire nie avoir reçu un message (si l’accusé de réception est envoyé
automatiquement)
Les mécanismes à mettre en œuvre sont essentiellement organisationnels mais peuvent être, pour
partie, automatisés.
Les mesures organisationnelles de base consistent à faire en sorte qu’à la réception d’un message le
réclamant, le destinataire renvoie un accusé de réception à l’émetteur. Il est clair que cela peut
simplement être demandé dans le corps du message et que cela ne demande alors aucune mesure
technique particulière.
Certaines messageries, la plupart, proposent un système pouvant être automatisé par lequel l’accusé
de réception est renvoyé automatiquement (avec ou sans demander l’accord du destinataire) à l’émetteur
Les mesures organisationnelles correspondantes concernent la gestion des alarmes et la conduite à
tenir en cas de non retour de l’accusé de réception
Mesures techniques
Il est clair que le principe ci-dessus peut être employé et automatisé par des applications
informatiques. On devra alors veiller à la protection du processus en question
Qualité de service
¾ La systématisation du processus
¾ L’automatisation de l’alarme en cas de non retour de l’accusé de réception
¾ De la mise en œuvre des procédures d‘accusé de réception,
¾ Des procédures de gestion d’anomalies
203
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09G Détection et gestion des incidents et anomalies applicatifs

09G01 Détection et traitement des incidents et anomalies applicatifs
Objectif :
d’actions non autorisées et potentiellement dangereuses.
A défaut limiter cette action dans le temps.
Remarque : dans certains cas d’intrusion, on est surpris de constater que des traces existaient depuis
fort longtemps et auraient permis de réagir.
— Au niveau applicatif, il est nécessaire d’analyser, en fonction du contexte de l’entreprise, quels
¾ Séquence de transactions anormales ou d’actions anormales
¾ Horaires ou durées de connexion
¾ Actions menées depuis des sites particuliers
— En complément de ces mesures on analysera quelles séquences de rejets des systèmes de filtrage
devraient déclencher des alertes particulières
— En appui de ces deux types d’alerte, il convient ensuite de mettre en place :
¾ Une équipe d’intervention qui récupérera les alertes
¾ Des procédures (ou directives) de traitement des alertes et des consignes de type de réaction attendue
Mesures techniques
— Les systèmes de saisie des événements devant donner directement lieu à une alerte
— Les systèmes d’analyse éventuelle d’événements plus courants et permettant d élaborer des alertes plus
sophistiquées
Qualité de service
¾ de la disponibilité de l’équipe d’astreinte et de la surveillance effective des anomalies applicatives
204
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
09H Services et applications liés au commerce électronique

09H01 Sécurité des sites de commerce électroniques
Objectif :
Assurer la sécurité des services de commerce électroniques et un usage sûr de ces services.
Éviter que des applications de commerce électronique introduisent des risques spécifiques.
— Au niveau applicatif, il est nécessaire d’analyser, en fonction du contexte de l’entreprise et de l’application
envisagée, quels comportements particuliers, malveillants ou non, et quels incidents pourraient conduire à
des risques spécifiques tels que des fraudes, des défauts de paiements, des pertes de transactions ou de
commandes, des divulgations d’informations confidentielles, etc.
— En fonction des résultats de cette analyse, les mesures organisationnelles à prendre consistent à bien
spécifier les limites de responsabilité de l’entreprise, à rédiger les clauses contractuelles ou de limite de
responsabilité en conséquence et à s’assurer que les partenaires sont bien au courant de leur part de
responsabilité dans les processus mis en œuvre.
— En complément, des assurances spécifiques peuvent être mises en place
Mesures techniques
Les mesures techniques consistent à mettre en place :
— Des moyens d’authentification solides
— Des enregistrements de preuves des transactions effectuées
— Des moyens de paiement sécurisés
— Des systèmes de signature électronique
— Des moyens de protection des informations confidentielles
— Etc.
Il est clair que ces moyens doivent découler de l’analyse évoquée plus haut et qu’ils sont spécifiques
des applications envisagées.
Qualité de service
¾ la qualité et la rigueur de l’analyse des incidents, malveillances et dysfonctionnements possibles au niveau
des applications et processus envisagés
¾ le détail et la pertinence des mesures organisationnelles
¾ la compétence mise en œuvre pour la définition des mesures techniques
¾ Pour les mesures organisationnelles, elle est liée à la qualité et à la compétence des conseils juridiques
appelés en renfort de l’analyse technique
¾ Pour les mesures techniques, elle est liée aux protections des systèmes de sécurité eux-mêmes contre
toute altération ou inhibition
¾ du bon paramétrage des systèmes de sécurité
¾ du maintien de la pertinence des mesures organisationnelles
205
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Domaine 10 : Sécurité des projets et développements applicatifs
10A Sécurité des projets et développements applicatifs

Objectif :
Faire en sorte que les nouveaux services applicatifs, développés ou achetés, n’apportent pas de
risques ni de failles de sécurité à l’architecture globale en place.
Remarque :
— Les nouveaux développements peuvent consister en :
¾ Des développements internes ou sous-traités
¾ L’achat de progiciels
— Les services fournis par ces nouveaux développements peuvent être de nouveaux services ou venir en
remplacement de services préexistants, y compris des changements de version
Gérer les risques induits par l’introduction de nouveaux projets.
— 10A01 : Prise en compte de la sécurité dans les projets et développements
— 10A02 : Gestion des changements
— 10A03 : Externalisation du développement logiciel
— 10A04 : Organisation de la maintenance applicative
— 10A05 : Modification des progiciels
10B Sécurité des processus de développement et de maintenance

Objectif :
Faire en sorte que les processus de développement et la maintenance applicative n’apportent pas de
failles de sécurité à l’architecture globale en place.
Gérer les risques induits par les développements en cours et la maintenance applicative.
— 10B01 : Sécurité des processus des développements applicatifs
— 10B02 : Protection de la confidentialité des développements applicatifs
— 10B03 : Sécurité relative aux traitements internes des applications
— 10B04 : Protection des données d'essai
— 10B05 : Sécurité de la maintenance applicative
— 10B06 : Maintenance à chaud
206
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
10A Organisation interne des développements et de la maintenance

10A01 Prise en compte de la sécurité dans les projets et développements
Objectif :
Définir les aspects sécurité à prendre en compte dans les projets et développements applicatifs et
spécifier les mesures adaptées
Gérer les risques induits par de nouveaux projets applicatifs
Les mécanismes à mettre en œuvre se situent au niveau de la maîtrise d’ouvrage et sont totalement
organisationnels (les techniques d’accompagnement n’étant pas des techniques informatiques)
La mesure organisationnelle de base consiste à faire une analyse des risques potentiellement induits
par le projet et, plus particulièrement à :
— identifier les dysfonctionnements de l’activité pouvant être induits par le projet ou par une défaillance de l’un
des composants du projet
— analyser avec les responsables utilisateurs le niveau de gravité intrinsèque de ces dysfonctionnements
— analyser la potentialité de ces dysfonctionnements, en se basant sur des techniques d’analyse de risque, et
en prenant en compte :
¾ les mesures de sécurité générales déjà présentes et inchangées par le projet
¾ les mesures de sécurité déjà prévues dans les spécifications du projet
— analyser l’impact attendu de ces dysfonctionnements, en se basant sur des techniques d’analyse de risque,
et en prenant en compte :
¾ les mesures de sécurité générales déjà présentes pouvant limiter l’impact intrinsèque et inchangées par le
projet
¾ les mesures de sécurité pouvant limiter l’impact déjà prévues dans les spécifications du projet
— statuer sur le caractère acceptable de la situation de risque issue de chaque dysfonctionnement identifié
— résumer sur une fiche projet l’ensemble des risques inacceptables
— décider pour chacun d’eux les spécifications complémentaires à introduire dans le projet
Les mesures organisationnelles d’accompagnement consistent à effectuer un suivi de ces décisions au
fil du projet :
— revue de projet au lancement avec l’analyse ci-dessus
— suivi des décisions et mise à jour de la fiche des risques projets à chaque étape importante du projet (selon
le rythme des revues générales de projet)
Qualité de service
¾ La rigueur de l’analyse de risque ainsi pratiquée
¾ L’expertise du support en analyse de risque
¾ De la pertinence des analyses de risque
¾ De la rigueur dans l’élaboration des fiches de risque et de suivi des décisions
207
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
10A02 Gestion des changements

Objectif :
Assurer la continuité et la qualité de service après que des changements de logiciels aient eu lieu.
Éviter qu’un changement de logiciel ne soit susceptible de faire échouer des applications critiques.
Les mécanismes à mettre en œuvre sont surtout organisationnels avec des mesures techniques
d’accompagnement pour les tests
— L’essentiel des mesures consiste à mettre en place des procédures formelles lors de toutes demandes de
changements sur les logiciels (système ou applicatif):
¾ Mise en place d’une procédure formelle de demande et d’autorisation
¾ Mise en place d’une procédure formelle de documentation, de spécification, de mise à l’essai, de contrôle
qualité et de mise en oeuvre
¾ Mise à jour des plans de continuité suite à ces changements
¾ Séparation de l’environnement de test des nouvelles versions de la production
Mesures techniques
— Les mesures techniques d’accompagnement s’appliquent au niveau des tests des nouvelles versions
¾ Test de non régression
¾ Compatibilité des mises à jour système avec les applications critiques
¾ Dans la mesure du possible, limitation des mises à jour automatiques
Qualité de service
¾ La formalisation des demandes et des autorisations de changements logiciels
¾ L’efficacité des procédures de test des changements avant mise en production.
¾ La compétence et l’expertise de l’équipe de maintenance
¾ La possibilité de supprimer les mises à jours automatiques
¾ Des mises à jours des documentations système et applicative
¾ Des demandes de changement
208
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
10A03 Externalisation du développement logiciel

Objectif :
Garantir les droits d’utilisation des logiciels sous-traités.
Empêcher qu’une mauvaise rédaction des contrats liant l’organisme avec le sous-traitant ne porte
ensuite atteinte au droit d’utilisation du logiciel. Assurer également contractuellement la qualité des
développements réalisés notamment en terme de sécurité.
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, des mesures techniques
d’accompagnement existant toutefois au niveau des tests avant mise en production.
L’essentiel des mesures consiste à établir un cadre contractuel avec le sous-traitant :
— Accords de licence, propriété du code et droits de propriété intellectuelle
— Disposition relative au séquestre en cas de manquement du tiers
— Droit d’accès permettant d’auditer la qualité et la précision des travaux réalisés
— Exigences contractuelles relatives à la qualité et au niveau de sécurité du code
— Procédure de recette avant mise en production
Mesures techniques
Les mesures techniques d’accompagnement consistent en des mécanismes de recette du logiciel
sous-traité avant mise en production :
— Test visant à détecter les codes malveillants éventuels et le code cheval de Troie
— Plus généralement l’ensemble des tests réalisés lors d’une recette (adéquation des fonctionnalités avec le
cahier des charges, construction de jeux d’essai, etc…)
Qualité de service
¾ La connaissance de l’environnement juridique lié à la sous-traitance du logiciel
¾ La rigueur dans la sélection du sous-traitant
¾ La rigueur dans l’établissement du cahier des charges
¾ La rigueur dans l’établissement du contrat
¾ La rigueur dans le suivi des développements
— La robustesse du service est liée à celle des dispositions juridiques mises en place :
¾ Contrat prévoyant les cas de défaillance du sous-traitant
¾ Protection clauses standards
— La mise sous contrôle est réalisée par des audits, elle est conditionnée aux droits d’accès chez le sous-
traitant :
¾ Audit de la qualité et de la précision des travaux réalisés
209
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
10A04 Organisation de la maintenance applicative

Objectif :
Assurer la maintenance des logiciels applicatifs pour les cas de bogues (bugs) ou d’évolutions
nécessaires.
Éviter qu’un bogue (bug) bloquant ou qu’une évolution nécessaire (que ce soit pour des changements
de contexte internes ou externes) se traduise par une interruption inacceptable du service.
— Le socle de ce service consiste en l’élaboration de conventions de service interne avec les équipes de
développements ou une équipe interne spécialisée dans la maintenance applicative. L’élaboration des
clauses adéquates dans les conventions nécessite néanmoins quelques actions préliminaires et précautions
:
¾ Identifier les logiciels applicatifs critiques et, pour ceux-ci, le délai d’intervention souhaitable et le délai
maximum tolérable en cas de bug bloquant
¾ Trouver un accord avec l’équipe de maintenance sur le délai maximum d’intervention
Mesures techniques
— Les mesures techniques d’accompagnement éventuelles consistent en des capacités d’intervention à
distance (télémaintenance) permettant d’accélérer le diagnostic
Qualité de service
¾ la précision et le réalisme des clauses des conventions de service, en particulier en ce qui concerne les
horaires d’appel, d’intervention et les possibilités d’appel les week-end et jours fériés
¾ La compétence et l’expertise de l’équipe de maintenance
¾ Les possibilités de pression dans les cas où les équipes de maintenance sont surchargées
¾ Des clauses des conventions
¾ De la tenue des engagements de l’équipe de maintenance
210
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
10A05 Modification des progiciels

Objectif :
Limiter au maximum les modifications de progiciel fournis par des éditeurs.
Eviter de compromettre l’intégrité de traitement des progiciels et une impossibilité de maintenance
dues à des modifications trop importantes ou mal gérées des progiciels.
Les mécanismes à mettre en œuvre sont essentiellement organisationnels afin de limiter au maximum
les modifications de logiciels, toutefois quelques mesures techniques devront accompagner les
modifications jugées nécessaires
— Il s’agit essentiellement de gérer les relations avec l’éditeur :
¾ Etudier en premier lieu la possibilité d’avoir les modifications souhaitées directement auprès de l’éditeur
sous la forme de mises à jour classiques
¾ Obtenir, si nécessaire, l’accord de l’éditeur avant toutes modifications
¾ Etudier avec l’éditeur les conséquences sur la maintenance d’une modification de progiciel
¾ Appliquer une politique de gestion des mises à jour du progiciel incluant les modifications réalisées
Mesures techniques
— Les mesures techniques d’accompagnement suite à modification concernent essentiellement les tests des
versions modifiées :
¾ Test de non régression
¾ Test de compatibilité des modifications avec les versions ultérieures du progiciel
Qualité de service
¾ la qualité des relations entretenues avec l’éditeur afin qu’il réalise directement les évolutions souhaitées
¾ La compétence et l’expertise des équipes assurant les modifications
— La robustesse du service est liée à la volonté de la Direction de ne pas déroger aux procédures formelles
relatives à la modification des progiciels. La principale cause de contournement vient, en effet, du risque de
déroger aux procédures normales sous la pression d’une demande urgente.
¾ De la documentation des modifications effectuées
¾ Des procédures de test avant mise en production de ces modifications
211
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
10B Sécurité des processus des développements et de la maintenance

10B01 Sécurité des processus des développements applicatifs
Objectif :
Protéger les processus opérationnels contre des erreurs ou des malveillances introduites pendant le
processus de développement
Empêcher que des négligences, des erreurs, voire des malveillances, des équipes de développements
applicatifs, ou que des malveillances de personnes externes pendant la phase de développement, créent
des failles de sécurité ou provoquent des dysfonctionnements lors de la mise en œuvre opérationnelle de
l’application.
Les mécanismes à mettre en œuvre sont, au niveau de la maîtrise d’œuvre, à la fois organisationnels
et techniques.
L’essentiel des mesures consiste à bien séparer et gérer les différentes tâches et les différents
environnements de travail :
— Distinction des rôles et responsabilités de spécification, de conception, de test, et d’intégration et ségrégation
des rôles de telle sorte qu’une même personne ne cumule pas deux rôles sur le même projet.
— Séparation des environnements de développement, de test et d’intégration.
— Gestion stricte de la documentation des codes sources et objets, en fonction des phases de développement
— Développements partagés, une personne n’étant jamais seule responsable d’une tâche complète
— Rigueur dans la définition des tests :
¾ Indépendance des tests
¾ Couverture des tests fonctionnels validée par les utilisateurs
¾ Couverture des tests des fonctions et des mécanismes de sécurité validée par la fonction sécurité
— Développements, tests et intégration tracés, toute opération étant imputable à des personnes bien
identifiées
— Sécurisation du processus de passage en production, avec toutes les mesures nécessaires pour pouvoir
faire un retour arrière et restaurer les systèmes et données préexistantes.
Mesures techniques
Les mesures techniques d’accompagnement consistent en des mécanismes de contrôle des accès
aux environnements et aux objets qu’ils contiennent :
— Gestion sécurisée des profils correspondant aux différentes tâches sur chaque projet
— Contrôle des accès aux environnements et aux objets de développement (codes et documentation)
— Gestion sécurisée des traces et enregistrements
Qualité de service
¾ La rigueur de la séparation des tâches (pas toujours facile sur les petits développements) et des contrôles
indépendants effectués à chaque étape
¾ La sensibilisation des équipes à l’importance de ces procédures, sur le fond et en termes de crédibilité de
la part des utilisateurs
— La robustesse du service est liée à la solidité des mécanismes d’isolement des environnements et de
protection des objets
¾ Protection des tables et mécanismes d’affectation des profils
¾ Solidité du contrôle d’accès aux environnements et objets de développement
¾ De la gestion des rôles et profils
¾ De l’application des procédures
¾ Des mécanismes de contrôle d’accès et de gestion des traces
212
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
10B02 Protection de la confidentialité des développements applicatifs

Objectif :
Protéger le savoir-faire de l’entreprise ayant un caractère confidentiel quand il se matérialise par des
développements applicatifs
Empêcher que des négligences, des erreurs, voire des malveillances, des équipes de développements
applicatifs, ou que des malveillances de personnes externes pendant la phase de développement, soient à
l’origine d’une divulgation de savoir-faire de l’entreprise (par exemple parce que ce savoir-faire représente
un avantage concurrentiel) .
Les mécanismes à mettre en œuvre sont, au niveau de la maîtrise d’œuvre, à la fois organisationnels
et techniques.
L’essentiel des mesures consiste à identifier ce qui est réellement confidentiel et à gérer en
conséquence le processus de développement :
— Identification des différents éléments pouvant être une source de divulgation de savoir-faire : notes
d’étude, spécifications, code source, code objet, etc. et classification de la confidentialité de ces
éléments.
— Création de profils d’accès spécifiques en fonction des tâches du projet et de la confidentialité des objets
manipulés
— Organisation spécifique éventuelle favorisant la confidentialité des objets du projet
— Communication aux équipes sur la confidentialité des développements
Mesures techniques
— Gestion sécurisée des profils d’accès aux différents éléments et objets du projet
— Contrôle des accès aux environnements et aux objets de développement (codes sources et objets,
documentation, sécurité physique des supports, etc.)
— Chiffrement éventuel des objets confidentiels pouvant l’être (documentation)
Qualité de service
¾ La rigueur du recensement des divers objets pouvant être source d’une divulgation
¾ La rigueur de l’attribution de profils et de gestion des autorisations correspondantes
¾ La solidité des mécanismes de contrôle d’accès et de chiffrement éventuel
— La robustesse du service est liée à celle des mécanismes d’isolement des environnements et de protection
des objets :
¾ Protection des mécanismes de contrôle d’accès et de chiffrement éventuel
¾ Détection des mises hors services ou des modifications de la protection des objets du projet
213
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
10B03 Sécurité relative aux traitements internes des applications

Objectif :
Empêcher d’éventuelles altérations de l’information dans les applications.
Détecter et empêcher des pertes d’intégrité de l’information dans les applications dues à des erreurs
de traitement ou des actes délibérés.
L’essentiel des mesures consiste à identifier l’impact d’une éventuelle altération des données sur
l’activité de l’organisme et à gérer en conséquence le processus de développement :
— Au niveau de la maîtrise d’ouvrage, définition des éléments critiques en terme d’intégrité.
— Identification des Flux d’information au sein des applications et études des conséquences d’une
altération interne sur l’intégrité des données en sortie.
— Formation des équipes de développement aux bonnes pratiques (méthode de développement, écriture de
gestionnaire d’erreurs, etc…)
— Choix des outils de développement (par exemple utilisation de « code managé »)
— Formation des équipes de test.
Mesures techniques
Les mesures techniques d’accompagnement consistent essentiellement en des mécanismes de
contrôle :
— Contrôle de session ou de lots destinés à rapprocher les soldes de fichiers de données après une mise à
jour des transactions
— Des vérifications permettant de garantir que les programmes s’exécutent au bon moment
— Des vérifications permettant de garantir le bon séquencement des programmes
— L’interruption des programmes en cas d’échec et arrêt de tout traitement jusqu’à la résolution du problème
— Création d’un journal des activités liées au traitement
Qualité de service
¾ La rigueur du recensement des informations et traitements critiques en terme d’intégrité
¾ La rigueur dans l’étude du séquencement des traitements au sein de l’application
¾ L’exhaustivité des mécanismes de contrôle interne aux applications
¾ La sensibilisation des équipes de développement aux bonnes pratiques en matière de programmation
— La robustesse du service est liée à celle des mécanismes de contrôle mis en place et à celle des outils de
développement employés
¾ La qualité et le professionnalisme des équipes de développement
¾ Des méthodes de développement employées et des procédures en matière de gestion d’erreurs
¾ Du journal des activités liées au traitement
214
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
10B04 Protection des données d'essai
Objectif :
Sélectionner avec soin, protéger et contrôler les données d’essai.
Empêcher qu’une utilisation de données fonctionnelles lors des tests logiciels n’entraîne une corruption
ou une divulgation de ces données.
L’essentiel des mesures consiste à bien gérer et séparer si possible les données de test des données
d’exploitation :
¾ éviter d’utiliser lors de tests des bases de données fonctionnelles contenant des informations personnelles
ou tout autre information sensible.
¾ mettre en place une procédure d’autorisation chaque fois qu’une information d’exploitation est copiée
dans une application d’essai.
¾ appliquer les mêmes procédures de contrôle d’accès aux applications d’essai que celles qui s’appliquent
aux applications en exploitation
¾ journaliser toute reproduction ou utilisation des informations d’exploitation afin de créer une trace d’audit
Mesures techniques
Les mesures techniques d’accompagnement consistent en des mécanismes de contrôle d’accès aux
applications de tests et dans la limitation de l’utilisation des données d’exploitation :
¾ Mise en place dans les applications d’essai de contrôle d’accès
¾ Effacement des données sensibles avant leur utilisation en test
¾ Effacement des informations immédiatement après la fin des tests
Qualité de service
¾ La limitation lorsque cela est possible de l’utilisation de données fonctionnelles dans les applications
d’essai
¾ L’effacement des données personnelles ou sensibles avant l’utilisation en test
¾ L’obligation d’avoir une autorisation séparée à chaque utilisation de données d’exploitation
— La robustesse du service est liée à la solidité des mécanismes de contrôles d’accès aux applications
d’essais
¾ Solidité du contrôle d’accès aux applications de tests
¾ Du journal des reproductions et utilisations des informations d’exploitation lors de tests
¾ De l’application des procédures d’autorisation d’utilisation des données d’exploitation en test
¾ Des mécanismes de contrôle d’accès aux applications d’essai
215
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
10B05 Sécurité de la maintenance applicative
Objectif :
Protéger les processus opérationnels contre des erreurs ou des malveillances dans le processus de
maintenance applicative
Empêcher que des erreurs, voire des malveillances, des équipes de maintenance applicative créent
des failles de sécurité ou provoquent des dysfonctionnements lors de la mise en œuvre opérationnelle de
l’application après maintenance.
L’essentiel des mesures consiste à bien séparer et gérer les différentes tâches et les différents
environnements de travail :
— Distinction des rôles et responsabilités d’analyse et de conception, de test, et d’intégration et ségrégation des
rôles de telle sorte qu’une même personne ne cumule pas deux rôles sur la même opération de
maintenance.
— Séparation des environnements de maintenance (développement des corrections), de test et d’intégration.
— Gestion stricte de la documentation et des codes sources et objets, en fonction des phases de maintenance
— Ségrégation des responsabilités, une personne n’étant jamais seule responsable d’une tâche complète
— Rigueur dans la définition des tests :
¾ Indépendance des tests
¾ Couverture des tests fonctionnels validée par les utilisateurs
¾ Couverture des tests des fonctions et mécanismes de sécurité validée par la fonction sécurité
— Corrections, tests et intégration tracés, chaque opération étant imputable à des personnes bien identifiées
Mesures techniques
— Gestion sécurisée des profils correspondant aux différentes tâches sur chaque projet
— Contrôle des accès aux environnements et aux objets de développement (codes sources et objets,
documentation)
Qualité de service
¾ La rigueur de la séparation des tâches et des contrôles indépendants effectués à chaque étape
— La robustesse du service est liée à la solidité des mécanismes d’isolement des environnements et de
protection des objets
¾ Solidité du contrôle d’accès aux environnements et objets de développement
216
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
10B06 Maintenance à chaud
Objectif :
Protéger les processus opérationnels contre des erreurs ou des malveillances dans le processus de
maintenance à chaud
Empêcher que des erreurs, voire des malveillances, des équipes de maintenance viennent altérer les
services opérationnels, lors d‘opérations de maintenance à chaud, c’est-à-dire opérées, pour des raisons
diverses, directement dans l’environnement de production.
Les mécanismes à mettre en œuvre sont, au niveau de la maîtrise d’œuvre et de la production,
essentiellement organisationnels
L’essentiel des mesures consiste à bien se protéger contre une difficulté lors de ces opérations,
toujours délicates, et, en particulier à :
— Faire une sauvegarde complète de l’environnement de production avant l’opération de maintenance à chaud
— Faire une sauvegarde complète des données (en s’assurant de leur cohérence et de leur synchronisme)
pour être capable de restaurer, si besoin, des données non polluées
— Noter ou tracer toutes les opérations faites, pour être capable d‘investiguer, après coup, si la séquence
d’opérations s’est mal terminée.
Les mesures complémentaires d’accompagnement ont trait aux conditions de déclenchement d’une
opération de maintenance à chaud :
— Procédure de déclenchement
— Accords donnés à haut niveau, formalisés et contenant au moins ceux du Directeur de la production et du
responsable du domaine applicatif concerné.
Qualité de service
¾ La rigueur de l’exécution des sauvegardes préalables
¾ La rigueur du processus d’analyse et de la prise de décision autorisant la maintenance à chaud
¾ De la rigueur des procédures écrites
217
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Domaine 11 : Protection de l’environnement de travail
11A Contrôle des accès aux zones de bureaux

Objectif :
Faire en sorte que seuls les personnes autorisées aient accès aux zones de bureaux sensibles se
situant sur les sites de l’entreprise.
pas la nécessité d’accéder, pour leur travail, dans des zones de bureaux sensibles.
— 11A01 : Partitionnement des locaux en domaines de sécurité et cloisonnement
— 11A02 : Gestion des autorisations d'accès aux zones de bureaux protégées
— 11A03 : Détection des intrusions dans les zones de bureaux protégés
— 11A04 : Surveillance des zones de bureaux protégées
— 11A05 : Contrôle de la circulation des visiteurs et prestataires occasionnels
11B Protection de l’information écrite

Objectif :
Faire en sorte que seuls les personnes autorisées aient accès aux informations écrites diverses et que
ces informations soient protégées de toute altération ou destruction
pas la nécessité d’accéder, pour leur travail, aux informations écrites situées dans les environnements de
travail habituels des collaborateurs.
— 11B01 : Conservation et protection des pièces originales et éléments de preuve
— 11B02 : Rangement des bureaux et protection des documents et supports amovibles
— 11B03 : Ramassage des corbeilles à papier et destruction des documents
— 11B04 : Sécurité du courrier
— 11B05 : Sécurité des fax
— 11B06 : Sécurité des autocommutateurs
— 11B07 : Sécurité de la messagerie électronique et des échanges électroniques d’information
11C Protection des postes de travail

Objectif :
Faire en sorte que seuls les personnes autorisées aient accès aux informations contenues dans les
postes de travail et protéger ceux-ci contre toute altération nuisible
218
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007

pas la nécessité d’accéder, pour leur travail, au poste de travail des collaborateurs.
— 11C01 : Contrôle d’accès au poste de travail
— 11C02 : Protection de la confidentialité des données contenues dans le poste de travail
— 11C03 : Prise en compte de la confidentialité lors des opérations de maintenance des postes utilisateurs
— 11C04 : Protection de l'intégrité des fichiers contenus sur le poste de travail ou sur un serveur de données
(disque logique pour le poste de travail)
— 11C05 : Travail en dehors des locaux de l'entreprise
— 11C06 : Utilisation d'équipements personnels
11D Continuité de service de l’environnement de travail

Objectif :
Assurer la continuité de service de l’environnement de travail
Faire en sorte que les utilisateurs puissent trouver un environnement de travail satisfaisant en toutes
circonstances.
— 11D01 : Organisation de la maintenance du matériel mis à la disposition du personnel
— 11D02 : Organisation de la maintenance du logiciel des postes utilisateurs
— 11D03 : Plans de sauvegarde des configurations utilisateurs
— 11D04 : Plans de sauvegarde des données utilisateurs stockées sur serveur de données
— 11D05 : Plans de sauvegarde des données utilisateurs stockées sur le poste de travail
— 11D06 : Protection antivirale des postes utilisateurs
— 11D07 : Plan de Reprise de l’Environnement de Travail
219
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11A Contrôle des accès aux zones de bureaux

11A01 Partitionnement des bureaux en domaines de sécurité et
cloisonnement
Objectif :
Délimiter des zones d’activités homogènes dans lesquelles la circulation est libre et sans contrôle interne
et isoler les zones sensibles des autres zones pour n’y donner accès qu’aux personnes autorisées.
Éviter des actions néfastes menées dans des zones de bureau par des personnes n’ayant aucune
raison d’y pénétrer. Remarque : La protection individuelle des bureaux est souvent illusoire car les
utilisateurs rechignent à fermer leur bureau à chaque fois qu’ils le quittent pour un court instant. La
protection par zone est alors plus efficace tout en étant plus conviviale et donc mieux acceptée.
Les mesures organisationnelles de base visent à organiser les espaces protégés et les moyens de
communication entre zones :
— Identifier les zones homogènes d’activité (services, départements, groupes de projets, etc.)
— Identifier parmi celles-ci les zones sensibles à protéger par un cloisonnement et un contrôle d’accès
— Définir, à proximité des zones protégées mais à l’extérieur du périmètre protégé, des espaces de réception
permettant d’accueillir des visiteurs ou d’organiser des réunions de travail.
— Définir le système d’appel et la procédure d’accueil permettant à une personne ne disposant pas
d’autorisation permanente d’appeler et de pénétrer dans la zone protégée sous la responsabilité d’une
personne autorisée (personne visitée, responsable, etc.)
Mesures techniques
Les mesures techniques ont pour objet de mettre en place les moyens effectifs de contrôle des accès
dans les zones protégées :
— Les mesures techniques de base concernent les voies d’accès normales du personnel : contrôles par badge
ou par digicode, sas d’accès éventuel
— Les mesures complémentaires concernent les autres voies d’accès et la gestion des anomalies :
Qualité de service
recopie ou une falsification, emploi d’un code personnel en complément du badge, installations permettant
d’éviter l’observation directe d’un digicode)
faire entrer une personne par prêt de badge) et la sensibilisation des personnels autorisés (accueil de
visiteurs, ouverture sans contrôle, etc.)
¾ des procédures d’accueil des visiteurs
¾ des procédures de réaction aux incidents et violations
220
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11A02 Gestion des autorisations aux zones de bureaux protégées

Objectif :
Attribuer individuellement les autorisations d’accès aux zones de bureaux protégées à chaque
personne intéressée et gérer ces autorisations dans le temps, afin de pouvoir limiter leurs droits et
privilèges à leurs seuls besoins et aux seules périodes concernées.
pas (ou plus) la nécessité d’accéder dans des zones de bureaux protégées pour leur travail.
— Définir, pour chaque zone protégée, le responsable de l’attribution d’une autorisation d’accès permanente ou
temporaire à une personne physique.
— Définir, pour chaque autorisation les variables de droits à préciser :
— Définir l’ensemble des processus d’attribution, de modification et de retrait d’autorisations à une personne,
depuis l’expression du besoin jusqu’à l’attribution ou le retrait du support permettant de justifier l’attribution
des droits.
— Définir les processus de contrôle et de détection anomalies dans la gestion des autorisations et des abus de
droits.
Mesures techniques
Par ailleurs la détection d’anomalies ou d’abus suppose que les accès soient enregistrés et qu ‘il existe
une procédure d’analyse des accès permettant de détecter effectivement les anomalies et abus
Qualité de service
— L’efficacité du service est directement liée à :
¾ la rigueur des procédures d’attribution d’autorisations permanentes à des personnes ne faisant pas partie
de l’effectif travaillant dans une zone
¾ la rigueur des procédures de retrait des autorisations aux personnes n’en ayant plus le besoin
transferts d’information vers les services établissant les moyens physiques de contrôle d’accès et des base
de données des droits attribués
— La mise sous contrôle est réalisée par des audits ou inspections régulières :
¾ des droits attribués,
¾ de l’usage pratique de ces droits
¾ des processus de gestion eux-mêmes.
221
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11A03 Détection des intrusions dans les zones de bureaux protégées

Objectif :
Détecter les intrusions dans les zones de bureaux protégées, au cas où le contrôle d’accès n’aurait
pas été efficace et intervenir au plus vite.
autorisées à pénétrer dans les zones de bureaux protégées, par une détection et une réaction rapide.
Mesures techniques
zones de passage :
— La détection de présence dans les locaux sensibles :
Qualité de service
des capteurs pour couvrir l’ensemble des scénarios d’intrusion, en fonction des différentes situations
d’intervention.
etc.)
222
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11A04 Surveillance des zones de bureaux protégées

Objectif :
Détecter les actions anormales ou illicites menées par du personnel autorisé à pénétrer dans les zones
de bureaux protégées et intervenir au plus vite.
Limiter les actions néfastes pouvant être menées volontairement par des personnes autorisées à
pénétrer dans les zones de bureaux protégées, par une détection et une réaction rapide.
Mesures techniques
— Les mesures techniques concernent essentiellement la vidéosurveillance de l’intérieur des zones de bureaux
protégées : il peut s’agir des zones de passage uniquement (couloirs et espaces communs) ou des bureaux
eux-mêmes.
détection effective d’anomalies de comportement :
¾ Conduite à tenir en cas d’alerte ou de suspicion de comportement anormal
Qualité de service
des caméras, d’autre part aux capacités de réaction, rapidité du diagnostic et délai d’intervention.
223
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11A05 Contrôle de la circulation des visiteurs et prestataires occasionnels

Objectif :
Limiter la libre circulation des visiteurs ou des prestataires occasionnellement autorisés à pénétrer
dans une zone de bureaux.
Limiter la capacité d’actions néfastes pouvant être menées volontairement par des personnes ayant
été autorisées occasionnellement à pénétrer dans une zone de bureaux.
Les mécanismes de détection à mettre en œuvre sont essentiellement organisationnels.
Les mesures organisationnelles doivent être différenciées selon le type de personne visée
— Les mesures principales concernent les visiteurs et peuvent comprendre :
¾ L’obligation de venir chercher, et de le raccompagner ensuite, un visiteur à l’accueil.
¾ Le contrôle, par bordereau, de la personne visitée et du temps mis à revenir à l’accueil
¾ La mise à disposition de salles de réception dédiées et l’interdiction de faire pénétrer un visiteur dans une
zone sensible
— Les mesures complémentaires peuvent viser d’autres types de personnes :prestataires de maintenance,
livreurs, personnel d’entretien, etc. et les mesures à prendre sont alors :
¾ L’obligation de venir chercher, et de le raccompagner ensuite, le prestataire à l’accueil.
¾ Le maintien de la présence d’une personne responsable pendant toute l’intervention
¾ La mise à disposition de salles dédiées et l’interdiction de faire pénétrer un prestataire dans une zone
sensible
Qualité de service
— L’efficacité du service est liée à la rigueur des contrôles imposés. En ce qui concerne les visiteurs, seule la
mise à disposition de zone de réception dédiée apporte une véritable efficacité dans un monde où la
courtoisie empêche de surveiller de très près tout déplacement.
— La notion de robustesse ne s’applique pas ici (comme souvent quand ils s’agit de pratiques).
¾ des pratiques réelles des personnes amenées à recevoir des visiteurs
¾ des pratiques réelles des responsables de certaines prestations fournies par du personnel externe
224
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11B Protection de l’information écrite

11B01 Conservation et protection des pièces originales et éléments de
preuve ou considérées comme des valeurs patrimoniales
Objectif :
Offrir un service de conservation et de protection des pièces originales, éléments de preuve ou autres
documents dont la disponibilité est jugée critique.
Éviter la perte de tels documents par une insuffisance des moyens mis à la disposition du personnel.
Les mécanismes à mettre en œuvre sont essentiellement techniques. Ils devront être accompagnés de
mesures organisationnelles, pour que le service soit efficace et soit utilisé par le personnel.
Mesures techniques
— Les mesures techniques de base consistent en la mise en place de moyens de stockage sécurisés à la fois
contre les intrusions et contre les risques accidentels :
¾ Coffres ignifuges
¾ Salle des coffres équipée de détection et d’extinction automatique d’incendie (par gaz)
¾ Salle des coffres équipée de détection de dégâts des eaux et de moyens d’évacuation
¾ Salle des coffres équipée de contrôle d’accès efficace, de détection d’intrusion e
— Les mesures complémentaires concernent essentiellement la détection d’intrusion dans la salle des coffres
et la vidéosurveillance de l’intérieur de la salle.
— Les mesures organisationnelles de base consistent en l’organisation de services autour du stockage
sécurisé :
¾ Possibilités de faire des copies de travail ou de scanner les documents originaux
¾ Personnel chargé du stockage disponible en permanence
¾ Garantie de délai court pour l’obtention d’une pièce archivée
— Les mesures organisationnelles d’accompagnement des mesures techniques concernent les procédures
relatives aux cas de détection effective d’anomalies de comportement :
Qualité de service
— L’efficacité du service est liée à la qualité :
¾ Des mesures de sécurité techniques
¾ Du service d’accompagnement
¾ aux capacités de détection d’intrusion ou d’incident
¾ aux capacités d’alerte en cas de tentatives d’inhibition des contrôles d’accès ou des systèmes de
détection d’accident naturel (incendie et dégât des eaux)
¾ à la vitesse de réaction de l’équipe d’intervention.
¾ des conditions de stockage des documents
¾ des systèmes de contrôle d’accès et de détection d’incident
225
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11B02 Rangement des bureaux et protection des documents et supports

sensibles
Objectif :
Faire en sorte que des documents ou supports sensibles ne restent pas exposés à la vue de
personnes pouvant entrer dans les bureaux et ne puissent être subtilisés.
Éviter la perte de tels documents ou supports par une négligence du personnel, voire par une
insuffisance des moyens mis à sa disposition.
Les mécanismes à mettre en œuvre sont essentiellement organisationnels. Ils devront être
accompagnés de mesures techniques, pour que le personnel adhère à la démarche.
Les mesures organisationnelles de base consistent à établir des règles de comportement, à les
diffuser auprès du personnel et à en contrôler l’application. Ces règles concernent ou peuvent concerner :
— Le rangement des bureaux :
¾ Obligation de ranger tout document ou support sensible dans un meuble fermant à clé et effectivement
fermé
¾ Obligation de ne rien laisser sur les bureaux le soir ou les week-end
— La protection des ordinateurs portables et autres matériels pouvant être sensibles ou onéreux (vidéo-
projecteurs)
¾ Matériel rangé dans un meuble fermé à clé en l’absence de l’occupant
¾ Matériel attaché avec un câble
Les mesures organisationnelles d’accompagnement consistent à contrôler quotidiennement
l’application des directives et à imposer des contraintes en cas de non suivi (documents à récupérer chez
l’officier de sécurité ou chez son responsable hiérarchique, par exemple).
Mesures techniques
Les mesures techniques vont de pair avec les directives :
— Armoires ou meubles de bureaux fermant à clé
— Mise à disposition de câble pour attacher les ordinateurs portables ou matériels onéreux.
Qualité de service
¾ La précision des directives
¾ La sensibilisation du personnel (éventuellement complétée par des sanctions en cas de non suivi des
directives)
— La robustesse du service est liée à l’existence de procédures de contrôles quotidiens faits éventuellement
par les gardiens et de procédure d’escalade en cas de dysfonctionnements répétés.
¾ De l’application des directives
¾ Des contrôles effectués
226
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11B03 Ramassage des corbeilles à papier et destruction des documents

Objectif :
Sécuriser le circuit de vidage des corbeilles à papier et permettre la destruction sécurisée des
documents rebutés.
Faire en sorte que les documents sensibles périmés et rebutés ne puissent pas être récupérés par
des personnes indélicates.
Les mécanismes à mettre en œuvre sont essentiellement organisationnels. Selon la solution retenue,
ils devront ou non être accompagnés de mesures techniques.
Les mesures organisationnelles consistent à organiser la destruction sécurisée des documents
sensibles rebutés, selon diverses possibilités (alternatives) :
— Destruction sécurisée à l’initiative du personnel :
¾ Obligation de détruire tout document sensible selon une procédure définie (en fonction des moyens mis
en place)
¾ Mise à disposition du personnel de containers sécurisés dont le contenu sera détruit en sécurité
— Destruction systématique de tout les documents rebutés
¾ Séparation des types de déchets
¾ Destruction systématique et sécurisée de tous les documents rebutés
Les mesures organisationnelles d’accompagnement consistent à contrôler l’application des directives
si la solution choisie est à l’initiative du personnel
Mesures techniques
— Machines déchiqueteuses à disposition du personnel (et à proximité des photocopieurs)
— Mise à disposition de containers de ramassage des documents à détruire.
Qualité de service
¾ À l’automaticité de la collecte des documents à détruire
¾ Au mécanisme de destruction (déchiquetage et dans ce cas type de coupe, incinération, etc.)
— La robustesse du service est liée à la solidité de la protection des stockages intermédiaires éventuels
(containers avant destruction)
¾ De l’application des directives
¾ Du système, voire de la société, de destruction
227
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11B04 Sécurité du courrier

Objectif :
Sécuriser le circuit de collecte et d’expédition du courrier départ et le circuit de tri et de distribution du
courrier arrivée.
Faire en sorte que des documents sensibles ne soient pas divulgués à l’occasion de la collecte ou de
la distribution du courrier.
Les mécanismes à mettre en œuvre sont essentiellement organisationnels. Selon la solution retenue,
ils devront ou non être accompagnés de mesures techniques.
Les mesures organisationnelles consistent à organiser l’envoi et la réception de courriers sensibles
pour éviter au mieux leur divulgation :
— Directives concernant l’envoi de courrier sensible :
¾ Obligation d’employer un système de double enveloppe, l’enveloppe interne indiquant le degré de
sensibilité et éventuellement des consignes complémentaires (à n’ouvrir que par le destinataire),
l’enveloppe externe étant banalisée
¾ Envoi par la poste en Recommandé avec Accusé de Réception
¾ Remise en main propre pour les courriers les plus sensibles
— Directives concernant la réception des courriers dans les secrétariats et la distribution finale aux
destinataires :
¾ Courriers ne restant pas ouverts dans des corbeilles accessibles à tout le personnel
¾ Rangement dans un meuble fermé à clé des courriers sensibles en attente de distribution
— Directives concernant le service central du courrier d’entreprise :
¾ Local courrier fermé à clé en l’absence du personnel préposé
¾ Casiers éventuels de courriers fermés à clé
¾ Procédures de distribution sécurisée
Mesures techniques
— Fermeture du local courrier
— Casiers fermant à clé
Qualité de service
¾ À la rigueur des procédures d’envoi et de réception du courrier
¾ À la solidité des mécanismes techniques de protection du courrier dans le circuit de collecte et de
distribution
¾ De l’application des directives par le personnel et les secrétariats
¾ De l’application des directives par le service courrier
228
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11B05 Sécurité des fax

Objectif :
Sécuriser les procédures d’envoi et de réception de fax contenant des informations sensibles.
Faire en sorte que des informations sensibles ne soient pas divulguées à l’occasion de l’envoi ou de la
réception d’un fax.
Mesures techniques
Les mesures techniques disponibles sur la très grande majorité des matériels de télécopie consistent
en des possibilités de « relève distante » qui consistent à :
— Faire déclencher l’émission du fax par le destinataire lui-même
— Assujettir ce déclenchement au numéro de téléphone du destinataire
— Assujettir le déclenchement à la présentation d’un mot de passe
Il est clair que cette procédure, documentée sur pratiquement tous les appareils, évite les erreurs de
numéro, garantit que le destinataire est bien présent au bout de la ligne, donne une certaine garantie que
c’est bien le bon destinataire (par le mot de passe)
Les mesures organisationnelles consistent à appliquer le service de relève distante et bien sûr à
convenir d’un mot de passe avec le destinataire, mais surtout à rendre cette procédure opérationnelle pour
toutes les télécopies sensibles :
— Directive concernant l’envoi de télécopie sensible à publier et diffuser à l’ensemble du personnel avec
obligation de l’appliquer
— Explication et affichage précis du mode d’emploi à proximité immédiate de chaque télécopieur
Les mesures organisationnelles complémentaires consistent à sécuriser l’ensemble des fax reçus en
protégeant le circuit de réception et de distribution :
— Local de réception des fax fermé à clé en dehors des heures de présence de personnel préposé à la
réception des fax
— Circuit de distribution des fax assurant leur confidentialité (casiers fermés à clé, mise sous enveloppe, etc.)
Qualité de service
¾ À la sensibilisation du personnel et aux sanctions éventuelles en cas de non application des directives
¾ Au caractère plus ou moins pratique de la mise en œuvre de la procédure de relève distante
¾ De l’application des directives par le personnel et les secrétariats
¾ De l’adéquation des explications fournies avec le matériel disponible
229
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11B06 Sécurité des autocommutateurs

Objectif :
Contrôler l’emploi des fonctions avancées des autocommutateurs.
Faire en sorte que des informations sensibles transitant par les autocommutateurs ne soient
accessibles qu’aux interlocuteurs souhaitant entrer en relation.
Les autocommutateurs comprennent des fonctions avancées pouvant être employées de manière
indélicate :
— Le transfert d’un poste sur un autre poste peut être déclenché à distance, avec des possibilités ainsi ouvertes
de transférer une ligne fax sur un autre fax, à l’insu éventuellement du destinataire
— Une conférence à trois peut être ouverte à l‘insu des deux interlocuteurs entrés en relation
Les mécanismes à mettre en œuvre s’appuient sur les mécanismes prévus par le fournisseur des
autocommutateurs, mais sont essentiellement organisationnels.
Les mesures organisationnelles consistent à définir une politique de sécurité de l’emploi des
autocommutateurs :
— Possibilités de fonctions avancées supprimées en option de base de chaque poste
— Ouverture de fonctions avancées soumise à autorisation (à préciser par qui : hiérarchie, fonction sécurité,
etc.)
— Vérification qu’un poste à fonctions avancées ouvertes ne correspond pas à un fax
— Contrôle des fonctions avancées par mot de passe personnalisé non standard
Les mesures organisationnelles complémentaires consistent à mettre en place cette politique et à la
garder sous contrôle :
— Mise en place de la fonction gérant les autorisations de fonctions avancées et l’ouverture et la fermeture
effective de ces fonctions
— Mise en place d’un circuit de dérogation pour les cas difficiles ou n’entrant pas dans les standards
— Possibilités d’audit et contrôle régulier des postes ayant des fonctions avancées
Mesures techniques
Les mesures techniques complémentaires, outre la gestion des options avancées, consistent à
contrôler :
— L’usage de la ligne de télémaintenance éventuelle
— L’usage et les possibilités d’administration des autocommutateurs :
¾ Gestion des droits d’administration
¾ Protocoles et mécanisme de login et d’authentification avec des droits d’administration
Qualité de service
— L’efficacité du service est liée à la rigueur de gestion des autorisations d’options avancées :
¾ Configurations standards par défaut sans options
¾ Rigueur du processus d’autorisation de fonctions avancées
¾ Au contrôle de la ligne de télémaintenance
¾ Au contrôle des droits d’administration
¾ Des postes disposant effectivement de fonctions avancées
¾ Des possibilités d’administration et de la gestion des droits correspondants
230
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11B07 Sécurité de la messagerie électronique et des échanges

électroniques d’information
Objectif :
Assurer la confidentialité, l’intégrité et l’authenticité des messages électroniques.
Faire en sorte que des informations sensibles transitant par messageries ne soient accessibles qu’aux
destinataires prévus, qu’elles parviennent intègres et que leur émetteur puisse être déterminé sans
ambiguïté.
Les mécanismes à mettre sont en partie organisationnels, mais essentiellement techniques.
Les mesures organisationnelles consistent à définir une politique de sécurité de l’emploi de la
messagerie :
— Limitation d’emploi en fonction de la sensibilité
— Conduite à tenir à la réception de messages provenant d’émetteurs non connus
— Utilisation des répertoires d’adresses
— Accusé de réception pour les messages importants devant être datés
— Conservation des traces d’échanges
Les mesures complémentaires concernent d’autres modes d’échange que la messagerie : vidéo ou
audio conférences, SMS et MMS, qui doivent également faire l’objet d’une politique de sécurité
Mesures techniques
Les mesures techniques de base, font appel à des procédés cryptologiques :
— Emploi de messagerie cryptée
— Emploi de pièces jointes cryptées
— Emploi de canaux de communication chiffrés pour les conférences
— Signature électronique
Qualité de service
— L’efficacité du service est liée plusieurs facteurs :
¾ Les détails et la rigueur des procédures d’emploi des moyens d’échanges électroniques
¾ La solidité de l’algorithme de chiffrement ou de signature des échanges et messages
¾ La solidité de la protection de la mise en œuvre du processus de chiffrement et de déchiffrement (parfois
¾ la protection des mécanismes de chiffrement eux-mêmes
espion)
231
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11C Protection des postes de travail

11C01 Contrôle d’accès au poste de travail
Objectif :
Ne permettre l’accès au poste de travail qu’aux personnes autorisées.
Éviter que des personnes non autorisées puissent accéder aux données stockées sur le poste de
travail ou y introduire des logiciels pouvant représenter un danger pour la sécurité :
— Logiciel espion permettant d’enregistrer les actions du titulaire du poste telles que la frappe des mots de
passe de connexion aux réseaux ou systèmes
— Cheval de Troie permettant ensuite de prendre la main à distance sur le poste
Mesures techniques
Il s’agit, bien entendu, du contrôle d’accès au poste qui peut reposer sur :
— Un mot de passe géré par le matériel lui-même (dans le set up)
— Un mot de passe géré par un logiciel spécialisé
— Des moyens d’authentification forte tels qu’une carte à puce, des moyens biométriques, etc.
Les mesures techniques complémentaires nécessaires consistent à gérer le passage en veille, après
un délai relativement court, avec obligation de s’authentifier à nouveau à la reprise, en cas d’inactivité, afin
d’éviter que quelqu’un puisse profiter de l’absence d titulaire du poste
De tels systèmes ne peuvent être mis en œuvre sans des mesures d’accompagnement destinées à
faire face à un oubli ou à la perte du moyen d’authentification.
Il est également nécessaire que l’entreprise se garde un moyen d’accéder au poste en cas de départ
ou de disparition de son titulaire :
— Conservation sécurisée par l’entreprise d’une copie du mot de passe
— Droits ouverts à un administrateur
— Gestion d’un « mode maître » pour les authentifications fortes
Qualité de service
— L’efficacité du service est liée à la solidité de l’algorithme d’authentification
¾ sa capacité à résister à une mise hors circuit (les mots de passe du set up peuvent facilement être
désactivés par la maintenance ou un bon spécialiste du matériel)
¾ l’automatisation du passage en mode veille et à la vitesse de ce passage en cas d’inactivité
¾ De la mise à disposition réelle des utilisateurs des solutions préconisées (avec le support correspondant)
¾ De l‘usage, par les utilisateurs, des solutions offertes
232
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11C02 Protection de la confidentialité des données stockées sur le poste

de travail
Objectif :
Contrôler l’accès en lecture aux données pouvant résider sur le poste de travail.
Éviter que des personnes pouvant avoir accès au poste de travail puissent prendre connaissance des
données qu’il contient ou qu’il a contenues :
— Fichiers vivants
— Fichiers effacés
— Fichiers temporaires
Le service vise également à se protéger contre des accès aux informations par des administrateurs de
postes de travail
Mesures techniques
Les mesures techniques sont de différentes natures selon la nature des fichiers que l’on souhaite
protéger :
— Chiffrement des fichiers vivants
— Effacement réel et fiable des fichiers et informations inutiles et « détruites »
— Effacement réel et fiable des fichiers temporaires
De tels systèmes ne peuvent être mis en œuvre sans des mesures de sensibilisation et de formation
du personnel pour qu’il comprenne bien ce qu’il convient de faire
— Le chiffrement des fichiers est certes utile, mais quand on utilise ces fichiers il faut les déchiffrer et ils sont
alors « en clair » sur le poste (au moins en mémoire vive et à l’écran, parfois également sur le disque). Il
importe que les utilisateurs comprennent que s’ils veulent être sûrs que personne ne puisse avoir accès à
ces fichiers, dans ces circonstances, il faut qu’alors ils se déconnectent du réseau. Par ailleurs, si le
chiffrement n’est pas déclenché par directory, il faut le faire manuellement et donc y prendre garde (en
particulier pour les pièces jointes de messages ou les adresses de messagerie – risque de modification
insoupçonnée – qui peuvent être stockées sur un directory non chiffré et qu’il faut donc chiffrer
volontairement ou ranger dans un directory chiffré).
— L’effacement réel des fichiers est possible par certains produits, mais il faut le plus souvent les activer
spécialement et à chaque effacement réel
— L’effacement des fichiers temporaires peur également être programmé, mais il ne sera réel, le plus souvent,
qu’à la fermeture du système.
En fonction des remarques qui viennent d’être faites, des directives précises sont un accompagnement
nécessaires et doivent couvrir les divers points cités (fichiers, messages, adresses de messagerie, fichiers
détruits, fichiers temporaires, etc.)
Qualité de service
¾ L’exhaustivité des fonctions prévues
¾ La solidité des mécanismes mis en place (en particulier chiffrement et effacement)
¾ La sensibilisation des utilisateurs
¾ la protection du processus de mise en œuvre du déchiffrement ou d’effacement
¾ la sécurité du processus de distribution des clés de chiffrement
233
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11C03 Prise en compte de la confidentialité lors des opérations de

maintenance des postes utilisateurs
Objectif :
Gérer avec rigueur les problèmes de confidentialité que peuvent poser les interventions de maintenance
sur les postes utilisateurs
Éviter qu’une intervention de maintenance sur un poste utilisateur se traduise par une fuite d’information
sensible.
— Les informations sensibles ne soient pas accessibles par le personnel de maintenance :
¾ Effacement (physique) des disques si possible
¾ Déconnexion du disque et conservation avant envoi en maintenance
¾ Destruction ou conservation des supports rebutés
Qualité de service
chaque cas de panne ou d’incident et d’appel à la maintenance (procédures décrivant les opérations à
mener avant et après l’intervention de la maintenance).
dessus.
234
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11C04 Protection de l’intégrité des données stockées sur le poste de

travail
Objectif :
Contrôler l’intégrité des données pouvant résider sur le poste de travail.
Éviter que des personnes pouvant avoir accès au poste de travail puissent modifier des données qu’il
contient ou qu’il a contenues, sans que cela soit remarqué :
— Fichiers vivants
— Archives
Mesures techniques
Les mesures techniques sont de différentes natures selon la nature des fichiers que l’on souhaite
protéger :
— Interdiction d’écriture sur certains fichiers sensibles
— Protection de l’intégrité par des mécanismes dédiés tels que la signature ou le scellement
De tels systèmes ne peuvent être mis en œuvre sans des mesures de sensibilisation et de formation
du personnel pour qu’il comprenne bien ce qu’il convient de faire
— Le scellement ou la signature des fichiers est certes utile, à condition de prendre le temps de vérifier
systématiquement le sceau ou la signature.
— Il importe également que les utilisateurs comprennent que les fichiers ne sont plus protégés dès lors qu’ils
sont ouverts et chargés sur le poste de travail (travail en cours) et que s’ils veulent être sûrs que personne ne
puisse modifier ces fichiers, dans ces circonstances, il faut qu’alors ils se déconnectent du réseau.
En fonction des remarques qui viennent d’être faites, des directives précises sont un accompagnement
nécessaires et doivent couvrir les diverses cibles possibles (fichiers, messages, adresses de messagerie,
etc.)
Qualité de service
¾ L’exhaustivité des fonctions prévues
¾ La solidité des mécanismes mis en place (en particulier de scellement ou de signature)
¾ La sensibilisation des utilisateurs
¾ la protection du processus de mise en œuvre du scellement et du contrôle de sceau
¾ la sécurité du processus de distribution des clés de scellement
235
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11C05 Travail en dehors des locaux de l’entreprise

Objectif :
Faire en sorte que les collaborateurs prennent les dispositions adéquates quand ils sont en dehors des
locaux de l’entreprise et qu’ils sont amenés, dans ces conditions, à manipuler, traiter, échanger des
informations concernant l’entreprise ou son activité.
Éviter des fuites d’information à l’occasion de travail en dehors des locaux de l’entreprise
Les mesures de base sont organisationnelles et consistent à analyser les conditions de travail en
dehors des locaux de l’entreprise, à en déduire les risques liés aux informations sensibles et à définir en
conséquence les comportements et précautions à demander aux collaborateurs de l’entreprise :
— Analyse exhaustive de toutes les situations de travail ou d‘échanges professionnels en dehors des locaux de
l’entreprise
— Etablissement de politiques de sécurité relatives au travail en dehors des locaux de l’entreprise et au
télétravail
Les mesures complémentaires consistent à faire en sorte que le personnel connaisse les mesures de
sécurité à appliquer et qu’il ait une conscience suffisante des risques pour les mettre en œuvre
effectivement :
— Sensibilisation aux risques rencontrés dans des situations de travail en dehors des locaux
— Formation aux mesures à appliquer dans ces circonstances
Mesures techniques
Les mesures techniques d’accompagnement consiste à s’assurer que seuls les moyens techniques
appartenant à l’entreprise sont utilisés et qu’ils sont équipés et configurés en conséquence (VPN pour se
connecter au réseau d’entreprise, chiffrement des fichiers, configuration contrôlée régulièrement, etc.)
Qualité de service
¾ L’exhaustivité des cas étudiés
¾ La rigueur des mesures décidées suite à cette analyse
¾ La solidité des mécanismes mis en œuvre pour protéger les données ou les échanges d’information
¾ La sensibilisation et la formation des utilisateurs
236
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11C06 Utilisation d’équipements personnels

Objectif :
Faire en sorte que les collaborateurs prennent les dispositions adéquates s’ils sont amenés à travailler
sur des équipements personnels non contrôlés par l’entreprise.
Éviter des fuites d’information à l’occasion de travail sur des équipements personnels
Les mesures de base sont organisationnelles et consistent à analyser les conditions de travail
éventuelles en dehors des locaux de l’entreprise, à en déduire les risques liés aux informations sensibles
et à définir en conséquence les comportements et précautions à demander aux collaborateurs de
l’entreprise :
— Analyse exhaustive de toutes les situations de travail ou d‘échanges professionnels utilisant des équipements
n’appartenant pas à l’entreprise
— Etablissement de politiques de sécurité relatives à l’utilisation d’équipements personnels (ordinateur,
téléphone, assistant, etc.)
Les mesures complémentaires consistent à faire en sorte que le personnel connaisse les mesures de
sécurité à appliquer et qu’il ait une conscience suffisante des risques pour les mettre en œuvre
effectivement :
— Sensibilisation aux risques rencontrés lors de l’utilisation d’équipements personnels
— Formation aux mesures à appliquer dans ces circonstances
Mesures techniques
Les mesures techniques d’accompagnement consistent à mettre en place les moyens techniques
complémentaires éventuellement nécessaires et à les mettre à la disposition du personnel (clés USB,
modules de chiffrement pour assistants personnels, clés de protection, etc.)
Qualité de service
¾ L’exhaustivité des cas étudiés
¾ La rigueur des mesures décidées suite à cette analyse
¾ La solidité des mécanismes mis en œuvre pour protéger les données ou les échanges d’information
¾ La sensibilisation et la formation des utilisateurs
237
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11D Continuité de service de l’environnement de travail

11D01 Organisation de la maintenance du matériel mis à la disposition du
personnel
Objectif :
Assurer la maintenance des matériels mis à la disposition du personnel pour les cas de panne ou
d’évolutions nécessaires.
changements de contexte internes ou externes) se traduise par une interruption inacceptable du service.
Les mécanismes à mettre en œuvre sont exclusivement organisationnels
¾ Identifier les équipements critiques pour le personnel et, pour ceux-ci, le délai de remise en service
souhaitable et le délai maximum tolérable en cas de défaillance
Qualité de service
238
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11D02 Organisation de la maintenance du logiciel des postes utilisateurs

Objectif :
Assurer la maintenance des logiciels des postes utilisateurs pour les cas de bugs ou d’évolutions
nécessaires.
Éviter qu’un bug bloquant ou qu’une évolution nécessaire (que ce soit pour des changements de
contexte internes ou externes) se traduise par une interruption inacceptable du service.
Les mécanismes à mettre en œuvre sont exclusivement organisationnels
— Le socle de ce service consiste bien entendu en l’élaboration de contrats de maintenance avec les
fournisseurs de logiciels et de progiciels. L’élaboration des clauses adéquates dans le contrat nécessite
néanmoins quelques actions préliminaires et précautions :
¾ Identifier les logiciels critiques pour les utilisateurs et, pour ceux-ci, le délai d’intervention souhaitable et le
délai maximum tolérable en cas de bug bloquant
¾ Négocier avec le fournisseur le délai maximum d’intervention
Qualité de service
¾ La compétence et l’expertise du fournisseur
239
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11D03 Plans de sauvegardes des configurations utilisateurs

Objectif :
Assurer la possibilité de reconstituer les configurations utilisateurs en cas de besoin.
Éviter qu’à l’occasion d’un accident grave obligeant à déplacer les utilisateurs sur un autre site ou, du
moins, à leur donner un environnement de travail différent, la durée de reconstitution de cet
environnement de travail soit pénalisé par une méconnaissance de l’environnement de départ.
Mesures techniques
— Les mesures techniques de base consistent à sauvegarder l’ensemble des configurations standards des
utilisateurs (masters) ou des paramètres permettant de reconstituer ces configurations.
¾ stockage des sauvegardes de masters ou de fichiers de paramètres dans un local protégé par un contrôle
d’accès
¾ stockage des sauvegardes de masters ou de fichiers de paramètres dans un local protégé contre
l’incendie, les dégâts des eaux et les risques de pollution.
Qualité de service
¾ l’exhaustivité des configurations et paramètres sauvegardés et de la tenue à jour des configurations
applicables à chaque utilisateur
complètement l’environnement de l’ensemble des utilisateurs
240
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11D04 Plan de sauvegarde des données utilisateurs stockées sur serveur

Objectif :
Assurer la sauvegarde des données utilisateurs stockées sur serveur
Permettre une reprise rapide du travail des utilisateurs en cas d’incident sur un serveur de données ou
de mise en œuvre de plans de secours les obligeant à travailler sur un autre serveur.
Mesures techniques
— Les mesures techniques de base consistent à faire que des sauvegardes des données utilisateur stockées
sur serveur soient effectuées, à une fréquence correspondant aux besoins des utilisateurs.
pollution.
sauvegardes pour que les inconvénients subis par les utilisateurs soient acceptables
¾ contrôle de relecture périodique
Qualité de service
¾ l’automaticité des sauvegardes et sa prise en compte par la production informatique
241
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11D05 Plan de sauvegarde des données utilisateurs stockées sur le poste

Objectif :
Assurer la sauvegarde des données utilisateurs stockées sur leur poste de travail
Permettre une reprise rapide du travail des utilisateurs en cas d’incident sur leur poste de travail ou de
mise en œuvre de plans de secours les obligeant à travailler sur un autre poste.
Mesures techniques
— Les mesures techniques de base consistent à faire que des sauvegardes des données utilisateur stockées
sur leur poste de travail soient effectuées, avec deux alternatives (en ne traitant pas comme un service de
sécurité le fait que l’utilisateur se débrouille tout seul pour faire ses sauvegardes comme il l’entend) :
¾ Sauvegardes faites à l’initiative des utilisateurs, à une fréquence déterminée par eux, avec l’aide d’outil de
sauvegardes (permettant éventuellement une automatisation du processus) fourni par la fonction
informatique (la gestion des fichiers de sauvegarde et leur protection physique étant assurée par la
production informatique).
¾ Sauvegardes centralisées et grées par la production informatique lors de la connexion des postes au
réseau (pour les postes nomades)
pollution.
sauvegardes pour que les inconvénients subis par les utilisateurs soient acceptables
Qualité de service
¾ l’automaticité des sauvegardes ou leur prise en compte par la production informatique
¾ la résistance des configurations utilisateurs à l‘inhibition du processus de sauvegarde automatique et
l’alerte de l’utilisateur en cas de mise hors service
¾ De l’usage effectif des services de sauvegardes par les utilisateurs
242
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11D06 Plans de protection antivirale des postes de travail

Objectif :
Assurer la protection des postes de travail contre les risques d’infection virale
Éviter l’action des virus et leur propagation
Mesures techniques
Les mesures techniques de base consistent à équiper les postes de travail d’antivirus efficaces :
— régulièrement mis à jour
— restant activés (éventuellement sans possibilité pour l’utilisateur de désactiver l’antivirus)
Les mesures organisationnelles d’accompagnement consistent en :
— la mise en place de cellule support permettant de réagir très vite au cas où une première attaque serait
détectée par l’antivirus
— la sensibilisation des utilisateurs au risque viral et au danger de la désactivation de l’antivirus
Qualité de service
¾ la qualité du fournisseur
— La robustesse du service est liée à l’incapacité pour l’utilisateur de désactiver son antivirus
— La mise sous contrôle est réalisée par des audits de :
¾ l’activation de l’antivirus
243
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
11D07 Plan de Reprise de l’Environnement de Travail

Objectif :
Assurer la mise à disposition d’un environnement de travail acceptable en cas d’accident grave
Permettre aux utilisateurs de retrouver un environnement de travail acceptable, en cas d’accident
grave survenant sur une partie importante du site où ils travaillent en temps normal, accident rendant leur
environnement indisponible, et ceci dans un délai compatible avec les besoins des utilisateurs.
— Les mesures organisationnelles initiales visent à analyser, pour chaque type de population, compte tenu des
fonctions à assurer en priorité, les conséquences d’un accident grave rendant indisponible l’environnement
de travail et à identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption admissible
entre le fonctionnement normal et le fonctionnement en mode secours, éventuellement dégradé.
— Les mesures de base visent ensuite à déterminer la solution de secours, à décrire en détail les actions à
mener quand survient le sinistre, à en décrire les procédures détaillées et à les tester, puis à gérer leur mise
à jour au fil des évolutions des environnements de travail.
Mesures techniques
— Les mesures techniques de base consistent à assurer une solution de secours pour tout cas d’accident
grave sur tout ou partie du site, ces solutions pouvant être :
¾ Un hébergement sur d’autres sites de l’entreprise ou sur une partie du site non atteinte
¾ Un hébergement sur des « facilités » mutualisées
Qualité de service
¾ L’exhaustivité des fonctions retrouvées dans la solution de secours, par rapport aux conditions normales
244
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Domaine 12 : Juridique et réglementaire
Domaine 12 : Domaine juridique et réglementaire
12A Respect de la réglementation concernant les rapports avec le personnel

ou des tiers
Objectif :
Communiquer au personnel la réglementation et la législation concernant le respect de la vie privée et
les accès à des systèmes tiers.
Éviter que le personnel se mette en infraction vis-à-vis de la législation.
Les services de sécurité nécessaires sont relatifs à deux types de mesures :
— Respect de la réglementation extérieure et de la législation concernant la protection de la vie privée
— Respect de la réglementation extérieure et de la législation concernant les accès non autorisés à des
systèmes tiers
12B Protection de la propriété intellectuelle

Objectif :
Communiquer au personnel la réglementation et la législation concernant le respect de la propriété
intellectuelle.
Éviter que le personnel se mette en infraction vis-à-vis de la législation.
Un service de sécurité est nécessaire :
— Respect de la réglementation extérieure et de la législation concernant la protection de la propriété des
logiciels
12C Respect de la législation concernant la communication financière

Objectif :
Mettre en place les mesures nécessitées par les nouvelles réglementations concernant la
communication financière
Éviter que l’entreprise se mette en infraction vis-à-vis de la législation.
— Respect de la réglementation concernant la communication financière
12D Respect de la réglementation extérieure et de la législation concernant la

cryptologie
Objectif :
Mettre en place les mesures nécessitées par la réglementation concernant l’usage de la cryptologie
245
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007

— Respect de la réglementation extérieure et de la législation concernant l’usage de la cryptologie
12E Respect de la réglementation concernant la vérification de la

comptabilité informatisée
Objectif :
Mettre en place les mesures nécessitées par la réglementation concernant la vérification de la
Les services de sécurité nécessaires sont relatifs à deux types de mesures :
— Conservation des données et traitements
— Documentation des données, procédures et traitements liés à la comptabilité
246
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
12A01 Respect de la réglementation extérieure et de la législation

concernant le respect de la vie privée
12A02 Respect de la réglementation extérieure et de la législation
concernant les accès non autorisés à des systèmes tiers
12B01 Respect de la réglementation extérieure et de la législation
concernant la protection de la propriété des logiciels
12D01 Respect de la réglementation extérieure et de la législation
concernant l’usage de la cryptologie
Objectif :
Expliciter et porter à la connaissance de l’ensemble du personnel et des utilisateurs les directives et
mesures à prendre liées à la réglementation extérieure et à la législation.
son personnel, en fonction de la réglementation extérieure et de la législation.
Éviter donc des défauts de protection par négligence ou méconnaissance de la loi et dissuader les
actions volontaires nuisibles en ayant bien averti qu’elles étaient légalement susceptibles de poursuites.
réglementaires ou législatifs méritant une explicitation des devoirs de chacun. Les domaines possibles à
traiter sont :
— La protection des données nominatives et le secret de la correspondance
— Les accès et tentatives d’accès à des systèmes informatiques non autorisés
— L’usage de la cryptologie
— La propriété intellectuelle et industrielle
— La protection du secret de défense
— etc.
Les mesures organisationnelles complémentaires ont pour objet de préciser, pour chaque domaine,
les conséquence minimales et maximales d’une infraction à la loi ou au règlement.
Mesures techniques
— Communiquer à tout le personnel l’ensemble de ces directives et les rendre disponibles et consultables
— Les protéger contre une altération qui pourrait conduire à indiquer une réglementation, une loi, ou des
conséquences d’infractions inexactes (protection particulièrement nécessaire si la communication a lieu sur
un Intranet)
Qualité de service
¾ L’exhaustivité des cas traités
¾ L’explication des textes, les indications sur les peines, la jurisprudence, etc.
¾ L’existence d’une procédure de revue des textes
¾ L’audit de l’authenticité des textes
247
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
12C Respect de la législation concernant la communication financière

12C01 Respect de la réglementation extérieure et de la législation
concernant la communication financière
Objectif :
Expliciter les directives concernant la communication financière et prendre les mesures adaptées.
Se conformer aux obligations légales ou réglementaires dans ce domaine.
Éviter des défauts de procédures dus à des négligences ou à la méconnaissance de la loi.
réglementaires ou législatifs méritant une explicitation des devoirs de chacun. Les domaines possibles à
traiter sont :
— L’évaluation de la qualité du contrôle interne supportant la production des états financiers
— Le contrôle et l’approbation de ce rapport d’évaluation par les auditeurs externes
— La certification des procédures de contrôle par les dirigeants
— L’existence et l’indépendance d’un comité d’audit
— L’existence d’un référentiel des règles relatives à la collecte, au traitement et à la présentation des données
conduisant à la communication financière
— etc.
Mesures techniques
Les mesures techniques d’accompagnement concernent la traçabilité des diverses opérations
conduisant à la communication financière.
Qualité de service
¾ La rigueur de l’analyse de la réglementation applicable
¾ Le formalisme des procédures et du référentiel applicable dans l’entreprise
¾ L’audit de l’application des procédures
248
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
12E Respect de la réglementation concernant la vérification de la

12E01 Conservation des données et traitements
Objectif :
Expliciter les directives concernant la conservation des données et traitements aux fins de vérification
de la comptabilité informatisée.
réglementaires ou législatifs méritant une explicitation des devoirs de chacun. Les domaines à traiter sont :
— La conservation des données élémentaires de comptabilité
— La conservation des fichiers à caractères permanents ou des référentiels (plan comptable, fichiers clients,
fournisseurs, tarifs, produits...).
— La conservation des procédures d’exploitation.
— La conservation des systèmes opérationnels possédant un lien direct ou indirect avec le système comptable
— La conservation des applications comptables ou alimentant la comptabilité par l’intermédiaire de fichiers
d’interface
— La conservation des applications de nature analytique ou budgétaire utilisées pour déterminer les charges et
les produits.
— Le respect des contraintes liées aux migrations de systèmes ou d'applications.
Mesures techniques
Les mesures techniques d’accompagnement concernent la protection efficace des éléments
conservés, contre les risques divers d’accidents ou de malveillance.
Qualité de service
249
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
12E02 Documentation des données, procédures et traitements liés à la

comptabilité
Objectif :
Expliciter les directives concernant la documentation des données, procédures et traitements relatifs à
la comptabilité informatisée.
réglementaires ou législatifs méritant une explicitation des devoirs de chacun. Les domaines à traiter sont :
— La conservation d’un inventaire des applications et documentations susceptibles d’être contrôlées dans le
cadre d’une VCI
— La conservation d’une documentation complète comprenant l’ensemble des dossiers requis
— Les standards de conservation (supports, langue, lieu de stockage)
— Les mises à jour et règles précises de suivi des mises à jour (versioning)
— L’accès au code source des programmes et la documentation des développements d’applications liées à la
comptabilité
Les mesures organisationnelles d’accompagnement concernent l’inclusion de clauses
correspondantes dans les contrats informatiques conclus avec les fournisseurs de logiciels et utilitaires
concernés par le respect de la VCI ou de clauses de garantie lors d’acquisition de société
Mesures techniques
Les mesures techniques d’accompagnement concernent la protection efficace des éléments
conservés, contre les risques divers d’accidents ou de malveillance.
Qualité de service
250

Mehari 2007

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Mehari 2007

Uploaded by

Copyright:

Available Formats

MEHARI 2007

CLUB DE LA SÉCURITÉ DE L’INFORMATION FRANÇAIS

Contrat de Licence Publique MEHARI1

Organisation générale des services de sécurité

Objectif des services de sécurité

Mécanismes et solutions (Mesures organisationnelles et mesures techniques)

Qualité des services de sécurité

Qualité des services de mesures générales

Qualité des services techniques

Domaines de regroupement des services de sécurité

Les indicateurs de sécurité de MEHARI

MEHARI et les normes ISO 27000

Sommaire général des services de sécurité

02A05 Accès aux zones de déchargement ou de chargement .......................................................43

07D1 Sûreté de fonctionnement des éléments d’architecture .....................................................135

08E Détection et traitement des incidents et anomalies...............................................................170

09F01 Garantie d’origine – signature électronique........................................................................201

01A Rôles et structures de la sécurité

01B Référentiel de sécurité

01C Gestion des ressources humaines

— 01C02 : Gestion du personnel stratégique

01E Continuité de l’activité

01A Rôles et structures de la sécurité

01A01 Organisation du management et du pilotage de la sécurité générale

01A02 Organisation du management et du pilotage de la sécurité des SI

01A03 Système général de reporting et de gestion des incidents

01A04 Organisation des audits et du plan d’audit

01A05 Gestion de crise liée à la sécurité de l’information

01B Référentiel de sécurité

01B02 Directives générales de protection de l’information

01B03 Classification des ressources

01B04 Gestion des actifs

01C Gestion des ressources humaines

Efficacité des mesures

01C02 Gestion du personnel stratégique

01C03 Procédures d’habilitation du personnel

01C04 Sensibilisation et formation du personnel

01C05 Gestion des tierces parties

01C06 Enregistrement des personnes

01D02 Assurance des dommages immatériels

01D03 Assurance Responsabilité Civile

01D04 Assurance Perte de Personnages clés

01E Continuité de l’activité

01E02 Plans de Continuité de l’activité

Domaine 2 : Sécurité des sites et bâtiments

02A Contrôle d’accès physique au site et aux bâtiments

02A Contrôle d’accès physique au site et aux bâtiments

02A02 Gestion des autorisations d’accès au site ou à l’immeuble

02A03 Contrôle d’accès au site ou à l’immeuble

02A04 Détection des intrusions sur le site ou dans l’immeuble

02A05 Accès aux zones de déchargement ou de chargement

Domaine 3 : Sécurité des locaux

03A Services généraux

03B Contrôle d’accès aux locaux sensibles

03C Sécurité contre les dégâts des eaux

Résultats globaux attendus :

03D Sécurité contre l’incendie

03E Protection contre les risques environnementaux divers

03A Services généraux

03A02 Continuité de la fourniture de l’énergie

03A03 Sécurité de la climatisation

03A04 Qualité du câblage

03A05 Protection contre la foudre

03B Contrôle d’accès aux locaux sensibles