Professional Documents
Culture Documents
Manuel de référence
des Services de Sécurité
23 Février 2007
Espace Méthodes
Le CLUSIF rappelle que MEHARI est destiné à des professionnels de la sécurité et vous invite
à prendre connaissance de la licence d’utilisation et de redistribution ci-dessous :
1
Cette licence est compatible avec les règles de GNU GPL. http://www.gnu.org/
2
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Introduction
Le présent manuel de référence a pour objectif de présenter et de définir les services de sécurité
à mettre en place pour sécuriser l’information et les systèmes d’information.
Il accompagne la base de connaissance utilisée lors de la phase d’analyse des vulnérabilités de
MEHARI et facilite celle-ci de plusieurs façons :
- par le rappel de l’objectif de chaque élément (service, sous-service et contrôle élémentaire)
des questionnaires de la base,
- par l’indication des résultats attendus au niveau des services et des sous-services,
- par la description des mécanismes et solutions associés à chaque sous-service, y compris la
distinction entre mesures organisationnelles et mesures techniques,
- par la clarification des éléments permettant d’établir la qualité de chaque sous-service selon
trois critères d’analyse : l’efficacité, la robustesse et la mise sous-contrôle2.
En ce qui concerne la place de la phase d’audit dans les démarches proposées par MEHARI, il est
nécessaire de se reporter au document « principes et mécanismes », tandis que les éléments de
mesure de la qualité des sous-services sont fournis dans le « guide du diagnostic de l’état des
services de sécurité » et leur utilisation pour évaluer les risques résiduels figurent dans le « guide de
l’analyse des risques ».
Pour un auditeur junior, souvent dérouté par la forme, souvent aride, d’un questionnaire d’audit,
ce manuel apporte des éléments d’explication utilisables soit pour lui même soit vis à vis de la
personne auditée lors des entretiens.
Ce manuel fournit par ailleurs des apports directement utilisables pour proposer des
améliorations de sécurité « ponctuelles » ou à apporter à la politique de sécurité, sinon à rédiger un
tel document. Cette phase de MEHARI permet d’obtenir directement plusieurs types d’indicateurs de
sécurité globaux : associés à des services ou domaines de sécurité ou à des thèmes transversaux
(contrôles d’accès, plans de continuité d’activité, etc.) ou aux contrôles recommandés par la norme
ISO 17799.
Pour les organisations utilisant MEHARI dans une démarche de mise en conformité à la
normalisation ISO ou de certification, ce manuel fournit des éléments d’explication pour les
bénéfices qui en résultent.
2
Cette distinction est souvent apparente, pour l’auditeur expérimenté, dans la séquence des points de contrôle
élémentaires, elle devrait être plus formalisée dans une prochaine version de MEHARI et permettre ainsi de
différencier les organisations selon leur niveau de maturité pour la sécurité de l’information.
3
Dans la suite de cette introduction, le terme « service » est utilisé pour désigner des « sous-services ».
3
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
donc devant être contrôlés lors d’entretiens spécifiques. Ainsi distingue-t-on, par exemple, des
fonctions de sécurité portant sur des équipements de réseau de celles portant sur des systèmes
informatiques.
Cette distinction, si elle peut paraître alourdir les questionnaires d’audit des services de sécurité,
facilite à la fois la charge d’audit et l’analyse des vulnérabilités qui en résulte, car les solutions
organisationnelles et techniques apportées dans chaque domaine d’application sont différentes.
De même, il est ainsi aisé de réaliser des entretiens bien ciblés auprès de chaque personne
responsable pour chaque variante d’audit définie par le schéma d’audit (par exemple pour des types
de systèmes ou des applications ou des environnements de travail spécifiques).
4
Il arrive que ce ne soit pas le cas et alors la base de scénarios de risques peut être étendue lors de l’audit ou de
versions à venir.
4
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
techniques se traduit par des approches différentes pour l’évaluation de leur « qualité de service ».
5
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
6
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Introduction....................................................................................................................3
Sommaire général des services de sécurité ...............................................................7
Domaine 1 : Organisation ...........................................................................................15
01A Rôles et structures de la sécurité...............................................................................................15
01A01 Organisation du management et du pilotage de la sécurité générale ..................................17
01A02 Organisation du management et du pilotage de la sécurité des SI......................................18
01A03 Système général de reporting et de gestion des incidents...................................................19
01A04 Organisation des audits et du plan d’audit ...........................................................................20
01A05 Gestion de crise liée à la sécurité de l’information ...............................................................21
01B Référentiel de sécurité .................................................................................................................22
01B01 Devoirs et responsabilités du personnel et du management ...............................................22
01B02 Directives générales de protection de l’information..............................................................23
01B03 Classification des ressources ...............................................................................................24
01B04 Gestion des actifs .................................................................................................................25
01C Gestion des ressources humaines.............................................................................................26
01C01 Engagements du personnel – clauses contractuelles ..........................................................26
01C02 Gestion du personnel stratégique.........................................................................................27
01C03 Procédures d’habilitation du personnel.................................................................................28
01C04 Sensibilisation et formation du personnel.............................................................................29
01C05 Gestion des tierces parties ...................................................................................................30
01C06 Enregistrement des personnes.............................................................................................31
01D Assurances ....................................................................................................................................32
01D01 Assurance des dommages matériels....................................................................................32
01D02 Assurance des dommages immatériels................................................................................33
01D03 Assurance Responsabilité Civile ..........................................................................................34
01D04 Assurance Perte de Personnages clés.................................................................................35
01E Continuité de l’activité..................................................................................................................36
01E01 Prise en compte des besoins de continuité de l’activité .......................................................36
01E02 Plans de Continuité de l’activité............................................................................................37
Domaine 2 : Sécurité des sites et bâtiments .............................................................38
02A Contrôle d’accès physique au site et aux bâtiments...............................................................38
02A01 Gestion des droits d’accès au site ou à l’immeuble..............................................................39
02A02 Gestion des autorisations d’accès au site ou à l’immeuble ..................................................40
02A03 Contrôle d’accès au site ou à l’immeuble .............................................................................41
02A04 Détection des intrusions sur le site ou dans l’immeuble.......................................................42
7
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
8
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
04B02 Authentification de l’entité accédante lors d’accès entrants depuis le réseau étendu .........77
04B03 Authentification de l’entité accédée, lors d’accès sortants vers d’autres entités par le réseau
étendu ...................................................................................................................................78
04C Sécurité des données lors des échanges et des communications.......................................79
04C01 Chiffrement des échanges sur le réseau étendu..................................................................79
04C02 Contrôle de l’intégrité des échanges sur le réseau étendu ..................................................80
04D Détection et traitement des incidents sur le réseau étendu ...................................................81
04D01 Surveillance en temps réel du réseau étendu ......................................................................81
04D02 Surveillance en temps différé des traces, logs et journaux d’événements sur le réseau étendu
....................................................................................................................................82
04D03 Traitement des incidents du réseau étendu .........................................................................83
Domaine 5 : Réseau local............................................................................................84
05A Sécurité de l’architecture du réseau local.................................................................................86
05A01 Partitionnement du réseau local en domaines de sécurité...................................................86
05A02 Sûreté de fonctionnement des éléments d’architecture du réseau local..............................87
05A03 Télépilotage de l’exploitation du réseau local.......................................................................88
05A04 Organisation de la maintenance des équipements du réseau local.....................................89
05A05 Procédures et plans de reprise du réseau local sur incidents..............................................90
05A06 Plan de sauvegarde des configurations du réseau local ......................................................91
05A07 Plan de sauvegarde des données applicatives du réseau local...........................................92
05A08 Plan de Reprise d’Activité (PRA) du réseau local ................................................................93
05A09 Gestion des fournisseurs critiques du réseau local (vis-à-vis de la permanence de la
maintenance) ........................................................................................................................94
05B Contrôle d’accès au réseau local de données..........................................................................95
05B01 Gestion des profils d’accès au réseau local de données .....................................................95
05B02 Gestion des autorisations d’accès et privilèges (attribution, délégation, retrait) ..................96
05B03/05B05/05B06 Authentification de l’accédant lors de l’accès au réseau local.........................97
05B04 Authentification de l’accédant lors de l’accès au réseau local depuis un site distant via le
réseau étendu .......................................................................................................................99
05B07 Filtrage général des accès au réseau local ........................................................................100
05B08 Contrôle du routage des accès sortants .............................................................................101
05B09 Authentification de l’entité accédée, lors d’accès sortants vers des sites sensibles..........102
05C Sécurité des données lors des échanges et des communications sur le réseau local ...103
05C01 Chiffrement des échanges sur le réseau local ...................................................................103
05C03 Chiffrement des échanges lors des accès distants au réseau local...................................103
05C02 Protection de l’intégrité des échanges sur le réseau local .................................................104
05C04 Protection de l’intégrité des échanges lors des accès distants au réseau local ................104
05D Détection et traitement des incidents et anomalies du réseau local...................................105
05D01 Surveillance en temps réel du réseau local........................................................................105
9
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
05D02 Surveillance en temps différé des traces, logs et journaux des événements sur le réseau local
..................................................................................................................................106
05D03 Traitement des incidents du réseau local ...........................................................................107
Domaine 6 : Exploitation des réseaux .....................................................................108
06A Sécurité des procédures d’exploitation...................................................................................110
06A01 Prise en compte de la sécurité dans les relations avec le personnel d’exploitation...........110
06A02 Contrôle de la mise en production de nouveaux logiciels ou matériels ou d’évolutions de
logiciels ou matériels...........................................................................................................111
06A03 Contrôles des opérations de maintenance .........................................................................112
06A04 Contrôle de la télémaintenance ..........................................................................................113
06A05 Gestion des procédures opérationnelles ............................................................................114
06A06 Gestion des prestataires de service ...................................................................................115
06A07 Prise en compte de la confidentialité lors des opérations de maintenance sur les équipements
de réseau ............................................................................................................................116
06A08 Gestion des contrats de services réseaux..........................................................................117
06B Paramétrage et contrôle des configurations matérielles et logicielles...............................118
06B01 Paramétrage des équipements de réseau et contrôle des configurations .........................118
06B02 Contrôle des configurations Utilisateurs .............................................................................119
06C Contrôle des droits d’administration .......................................................................................120
06C01 Gestion des droits privilégiés sur les équipements de réseau ...........................................120
06C02 Authentification et contrôle des droits d’accès des administrateurs et personnels d’exploitation
..................................................................................................................................121
06C03 Surveillance des actions d’administration des réseaux ......................................................122
06C04 Contrôle des outils et utilitaires de l’exploitation.................................................................123
06D Procédures d’audit et de contrôle des réseaux......................................................................124
06D01 Fonctionnement des contrôles d'audit ................................................................................124
06D02 Protection des outils et résultats d'audit .............................................................................125
Domaine 7 : Sécurité des systèmes et de leur architecture...................................126
07A Contrôle d’accès aux systèmes et applications.....................................................................128
07A1 Gestion des profils d’accès (droits et privilèges accordés en fonction des profils de fonction)
..................................................................................................................................128
07A2 Gestion des autorisations d’accès et privilèges (attribution, délégation, retrait) ...............129
07A3 Authentification de l’accédant .............................................................................................130
07A4 Filtrage des accès et gestion des associations ..................................................................131
07B Confinement des environnements ...........................................................................................132
07B1 Contrôle des accès aux résidus..........................................................................................132
07C Gestion et enregistrement des traces......................................................................................133
07C1 Enregistrement des accès aux ressources sensibles.........................................................133
07C2 Enregistrement des appels aux procédures privilégiées ....................................................134
07D Sécurité de l’architecture...........................................................................................................135
10
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
11
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
12
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
13
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
11C03 Prise en compte de la confidentialité lors des opérations de maintenance des postes
utilisateurs...........................................................................................................................234
11C04 Protection de l’intégrité des données stockées sur le poste de travail...............................235
11C05 Travail en dehors des locaux de l’entreprise ......................................................................236
11C06 Utilisation d’équipements personnels .................................................................................237
11D Continuité de service de l’environnement de travail .............................................................238
11D01 Organisation de la maintenance du matériel mis à la disposition du personnel ................238
11D02 Organisation de la maintenance du logiciel des postes utilisateurs ...................................239
11D03 Plans de sauvegardes des configurations utilisateurs........................................................240
11D04 Plan de sauvegarde des données utilisateurs stockées sur serveur .................................241
11D05 Plan de sauvegarde des données utilisateurs stockées sur le poste.................................242
11D06 Plans de protection antivirale des postes de travail ...........................................................243
11D07 Plan de Reprise de l’Environnement de Travail .................................................................244
Domaine 12 : Domaine juridique et réglementaire..................................................245
12A Respect de la réglementation concernant les rapports avec le personnel ou des tiers ..245
12B Protection de la propriété intellectuelle...................................................................................245
12D Respect de la réglementation extérieure et de la législation concernant la cryptologie..245
12A01 Respect de la réglementation extérieure et de la législation concernant le respect de la vie
privée ..................................................................................................................................247
12A02 Respect de la réglementation extérieure et de la législation concernant les accès non
autorisés à des systèmes tiers ...........................................................................................247
12B01 Respect de la réglementation extérieure et de la législation concernant la protection de la
propriété des logiciels .........................................................................................................247
12D01 Respect de la réglementation extérieure et de la législation concernant l’usage de la
cryptologie...........................................................................................................................247
12C Respect de la législation concernant la communication financière....................................248
12C01 Respect de la réglementation extérieure et de la législation concernant la communication
financière ............................................................................................................................248
12E Respect de la réglementation concernant la vérification de la comptabilité informatisée249
12E01 Conservation des données et traitements ..........................................................................249
12E02 Documentation des données, procédures et traitements liés à la comptabilité .................250
14
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
Domaine 1 : Organisation
15
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
01D Assurances
Objectif :
Réduire le coût de certains sinistres en se couvrant par des assurances adaptées.
Résultats attendus :
Limiter la perte finale du sinistre à un montant maximum en mutualisant les pertes au dessus d’un
certain seuil.
Services de sécurité :
Les services de sécurité correspondants sont relatifs à quatre types d’assurances :
— 01D01 : Assurance des dommages matériels
— 01D02 : Assurance des dommages immatériels
— 01D03 : Assurance Responsabilité Civile
— 01D04 : Assurance « Perte de personnages clés »
16
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
17
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
18
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
19
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
20
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
21
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
22
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
23
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
24
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
25
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
Objectif :
Réduire l’occurrence d’actions néfastes ou potentiellement dangereuses en les interdisant.
Résultats attendus :
Limiter l'exposition à des erreurs, accidents ou malveillances en interdisant, éventuellement en
fonction de certaines circonstances, certaines pratiques ou actions à un certain nombre de personnes.
La faculté éventuellement laissée aux personnes en situation d’agir de juger de la situation permet
d’apporter une souplesse à la mesure d’interdiction, ce que ne permettrait pas une mesure purement
préventive.
Mécanismes et solutions :
On ne devrait jamais perdre de vue que parmi les solutions possibles pour empêcher une action
potentiellement néfaste ou nuisible, il y a tout simplement l’interdiction de cette action. Le mécanisme
sous-jacent réside dans le fait que nombre de personnes respecteront cette interdiction par éthique et que
d’autres la respecteront par crainte de sanction en cas de violation délibérée.
Il s’agit ici de mesures essentiellement organisationnelles, pouvant s’appuyer, occasionnellement, sur
des mesures techniques.
Mesures organisationnelles
— Les mesures de base consistent en des clauses signées ou acceptées par le personnel :
¾ Règlement intérieur s’imposant à tous
¾ Clauses contractuelles, générales ou spécifiques
¾ Notes de procédures notifiées et s’imposant à une partie du personnel
— Les mesures complémentaires sont la mise en place de points de contrôle :
¾ Enregistrement des actions menées
¾ Audit des comportements
Mesures techniques
— Des mesures techniques d’accompagnement peuvent être nécessaires pour enregistrer certaines actions et
permettre un audit ultérieur
26
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
Objectif :
Limiter, si possible les causes de départ ou d’absence de personnel stratégique.
Limiter les conséquences de tels départ ou absences, le cas échéant.
Résultats attendus :
Réduire les risques liés à une indisponibilité ou à une absence de personnel stratégique.
Mécanismes et solutions :
Les mesures sont exclusivement organisationnelles
Mesures organisationnelles
La première mesure consiste à identifier le personnel stratégique essentiel, éventuellement à
l’occasion de la classification des informations et des ressources du système d’information.
Il convient ensuite, comme pour toute ressource dont la disponibilité est critique, à préparer un plan de
secours pour le cas où ces personnes viendraient à être absentes, pour quelque cause que ce soit. On
notera que la capitalisation de leur savoir faire fait partie du plan de secours : une documentation écrite ne
remplacera jamais un expert, mais elle facilitera quand même son remplacement par un non expert.
Les mesures complémentaires visent à fidéliser le personnel stratégique par une gestion de carrière
adaptée et « spécialisée »
Qualité de service
— Comme pour tout plan de secours, l’efficacité du plan dépend du soin apporté à sa préparation. Si l’on peut
prévoir à l’avance qui remplacerait une personne dans un poste stratégique, il vaut mieux l’y préparer, voire le
former dans ce sens.
— La mise sous contrôle de la gestion du personnel stratégique consiste en des audits régulier :
¾ De l’existence d’une liste des personnels stratégiques
¾ De l’existence de plans de remplacement pour les personnels stratégiques
¾ De la pertinence de ces plans
27
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
28
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
29
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
30
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
31
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
01D Assurances
01D01 Assurance des dommages matériels
Objectif :
Réduire le coût de certains sinistres en se couvrant par des assurances adaptées.
Résultats attendus :
Limiter la perte finale du sinistre à un montant maximum en mutualisant les pertes au dessus d’un
certain seuil.
Mesures, mécanismes et solutions :
On ne devrait jamais perdre de vue que le but de l’assurance est de mutualiser les pertes entre un
grand nombre d’entreprises et de faire ainsi jouer la loi des grands nombres, alors que le coût maximal
d’un sinistre pourrait être inacceptable pour une seule entreprise. L’assurance n’a donc de sens que pour
couvrir des événements à probabilité d’occurrence faible (assurer de petits sinistres à coût unitaire faible
et relativement fréquents, comme des vols de portables, revient à faire supporter à l’entreprise non
seulement le coût direct de ces sinistres, mais, en supplément les charges de l’assureur).
Les mesures à prendre sont exclusivement organisationnelles.
Mesures organisationnelles
Les mesures organisationnelles de base consistent à :
— Bien analyser les sinistres matériels à couvrir et les causes primaires de ces sinistres, afin que tant les
conséquences primaires que leurs causes soient bien indiquées dans la police :
¾ Sinistres matériels survenant sur les systèmes informatiques et de télécommunication ainsi que sur leurs
périphériques, le câblage et les installations de servitudes associées
¾ Sinistres survenant accidentellement (incendie, dégâts des eau, foudre, etc.), par erreur humaine, par
sabotage, vandalisme (y compris par le personnel de l’entreprise, ou préposé à son opération ou son
entretien)
— Bien analyser toutes les conséquences de ces sinistres et toutes les actions qu’il conviendrait de lancer et de
financer pour y faire face et d’inclure la couverture de ces frais dans les garanties :
¾ Frais réels de réinitialisation des systèmes touchés par le sinistre (frais d’installation, de redémarrage et de
test des systèmes de remplacement, frais de reconstitution des données et des supports
¾ Tous les frais supplémentaires d’exploitation et de fonctionnement supportés sur un exercice (ou plus)
¾ Frais engagés par l’entreprise pour rétablir son image auprès de ses clients ou partenaires
¾ Perte d’exploitation engendrée par le sinistre
— Bien analyser toutes les exclusions pour s’assurer qu’elle correspondent bien à des événements tout à fait
improbables que l’on est bien décidé à auto assurer.
La finalisation du contrat consiste ensuite à déterminer le plafond des garanties et le montant des
franchises pour différents types de sinistres, en tenant compte de ce qui a été dit en introduction afin de
vérifier, selon la politique retenue, que l’assurance permettra effectivement de rendre un sinistre tolérable
(il reste grave mais l’entreprise peut survivre) ou facilement acceptable (ce qui reste à la charge de
l’entreprise peut être facilement supporté sur une exercice, ce qui représente le maximum que l’on puisse
attendre de ce service).
Qualité de service
— L’efficacité de l’assurance réside dans
¾ La bonne définition des plafonds de garantie et des franchises
¾ la bonne définition des sinistres à couvrir, en termes de conséquences primaires et de leurs causes
possibles.
— La robustesse de l’assurance réside dans l’analyse détaillée des clauses d’exclusion et dans l’élimination des
clauses d’exclusion inacceptables
— La mise sous contrôle du service consiste à auditer régulièrement :
¾ l’adéquation des clauses du sinistre et de la franchise aux évolutions éventuelles du système d’information
¾ les plafonds de garantie et notamment les montants d’investissements unitaires éventuellement déclarés
32
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
33
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
34
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
35
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
36
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation
37
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 2 : Sécurité des sites et des bâtiments
Objectif :
Faire en sorte que seuls les personnes autorisées aient accès au site ou aux bâtiments se situant sur
les sites de l’entreprise.
Résultats globaux attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas la nécessité d’accéder au site ou aux bâtiments pour leur travail.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à quatre types de mesures complémentaires qui
sont simultanément nécessaires :
— 02A01 : Gestion des droits d’accès au site ou à l’immeuble
— 02A02 : Attribution des autorisations d’accès au site ou à l’immeuble
— 02A03 : Contrôle d’accès au site ou au bâtiment
— 02A04 : Détection des intrusions sur le site ou dans l’immeuble
— 02A05 : Accès aux zones de déchargement ou de chargement (de réception ou d’expédition de
marchandises)
38
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 2 : Sécurité des sites et des bâtiments
39
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 2 : Sécurité des sites et des bâtiments
40
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 2 : Sécurité des sites et des bâtiments
41
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 2 : Sécurité des sites et des bâtiments
42
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 2 : Sécurité des sites et des bâtiments
43
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
Objectif :
Faire en sorte que les services généraux assurés par le site ou l’établissement soient fiables et
conformes aux attentes et spécifications des constructeurs.
Résultats globaux attendus :
Prévenir les dégâts ou inconvénients pouvant être causés accidentellement aux systèmes
d’information par une défaillance primaire des servitudes générales fournies par l’établissement.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à cinq types de mesures complémentaires qui sont
simultanément nécessaires :
— 03A01 : Qualité de la fourniture de l'énergie
— 03A02 : Continuité de la fourniture de l'énergie
— 03A03 : Sécurité de la climatisation
— 03A04 : Qualité du câblage
— 03A05 : Protection contre la foudre
44
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
45
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
46
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
47
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
48
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
49
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
50
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
51
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
52
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
53
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
54
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
55
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
56
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
57
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
58
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
59
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
60
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
61
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
62
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
63
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
64
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux
65
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
66
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
67
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
68
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
69
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
70
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
71
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
72
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
73
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
74
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
75
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
76
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
77
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
78
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
79
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
80
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
81
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
82
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu
83
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
84
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
05C Sécurité des données lors des échanges et des communications sur le
réseau local
Objectif :
Protéger les données transmises contre des divulgations ou des altérations illicites.
Résultats attendus :
Prévenir les tentatives d’accès aux informations échangées, en lecture ou en modification, par des
personnes non autorisées.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires :
— 05C01 : Chiffrement des échanges sur le réseau local
— 05C02 : Protection de l’intégrité des échanges sur le réseau local
— 05C03 : Chiffrement des échanges lors des accès distants au réseau local
— 05C04 : Protection de l’intégrité des échanges lors des accès distants au réseau local
85
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
86
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
87
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
88
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
89
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
90
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
91
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
92
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
93
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
94
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
95
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
96
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
97
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
¾ des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures
98
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
99
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
100
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
101
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
102
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
05C Sécurité des données lors des échanges et des communications sur le
réseau local
05C01 Chiffrement des échanges sur le réseau local
05C03 Chiffrement des échanges lors des accès distants au réseau local
Objectif :
Protéger la confidentialité des informations échangées.
Résultats attendus :
Empêcher qu’une personne non autorisée puisse accéder au contenu des informations échangées sur
les réseaux, internes ou externes, c’est-à-dire soit sur le réseau local (05C01) soit lors des échanges au
réseau local depuis l’extérieur.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le chiffrement ou cryptage des données (il s’agit ici de
chiffrement au niveau réseau et non au niveau applicatif, et donc, généralement de chiffrement de trames de
données, indistinctement de leur contenu) :
¾ Détermination des canaux chiffrés
¾ Mise en place de boîtiers de chiffrement (ou à défaut de solution logicielle de chiffrement)
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du système :
¾ Protection physique des boîtiers de chiffrement
¾ Protection logique des solutions logicielles de chiffrement
¾ Sécurité du processus technique support des échanges de clés
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion du système de chiffrement et la
gestion des évolutions des règles de chiffrement :
¾ Système de gestion et d’échange des clés de chiffrement
¾ Système de révocation de clés en cas de violation
¾ Gestion des demandes de modification des canaux chiffrés ou non
Qualité de service
— L’efficacité du service est essentiellement liée à la solidité de l’algorithme de chiffrement et de génération de
clés secrètes (ou de paires de clés)
— La robustesse du service est liée à plusieurs facteurs :
¾ la protection des mécanismes de chiffrement (boîtiers physiques ou logiciel)
¾ la solidité du processus et des procédures d’échange de clés et de gestion d’anomalies (révocation)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes de chiffrement,
¾ des systèmes de détection d’inhibition ou d’arrêt du mécanisme de chiffrement
¾ de la mise en œuvre des procédures de gestion de clés
103
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
104
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
105
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
106
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local
107
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
108
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
simultanément nécessaires :
— 06C01 : Gestion des droits privilégiés sur les équipements de réseau
— 06C02 : Authentification des administrateurs et personnels d’exploitation
— 06C03 : Surveillance des actions d’administration des réseaux
— 06C04 : Contrôle des outils et utilitaires de l’exploitation
Objectif :
Prévenir toute activation incontrôlée d’outils d’audit technique des réseaux (tests de pénétration,
évaluations de vulnérabilités, etc.) ainsi que toute erreur ou malveillance lors de ces audits.
Enregistrer les résultats et détecter les anomalies de fonctionnement ou les modifications effectuées et
les intrusions éventuelles dans les équipements de réseau pour intervenir au mieux et dans les meilleurs
délais.
Résultats attendus :
Éviter que des incidents, des anomalies ou des actions malveillantes externes (pirates, hackers) ou
internes (abus de droits d’utilisateurs), puissent arriver du fait de ces tests d’audit et ne soient pas détectés
ni interrompus.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures :
— 06D01 Fonctionnement des contrôles d'audit
— 06D02 Protection des outils et résultats d'audit
109
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
110
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
111
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
112
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
113
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
114
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
115
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
116
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
Qualité de service
— L’efficacité du service est essentiellement liée à la précision et au formalisme de la liste des conditions à
respecter pour chaque fourniture de service .
— La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédures ci-
dessus.
117
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
118
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
119
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
120
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
121
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
122
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
123
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
124
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux
Qualité de service
— L’efficacité du service est liée :
¾ aux mécanismes de protection des accès aux outils
¾ aux mécanismes de protection des accès aux enregistrements réalisés avec eux.
— La robustesse du service est liée à :
¾ La solidité des mécanismes de détection et d’alerte en cas d’arrêt ou d’inhibition des mécanismes de
contrôle d’accès aux outils d’audit
¾ L’alerte directe d’un responsable en cas d’inhibition ou d’arrêt du système d’enregistrement des opérations
réalisées avec les outils d’audit
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système d’enregistrement et de surveillance des actions menées avec les
outils d’audit
¾ des systèmes de contrôle d’accès aux outils d’audit
125
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
126
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
127
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
128
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
Objectif :
Attribuer individuellement les autorisations d’accès aux systèmes et applications à chaque personne
intéressée et gérer ces autorisations dans le temps, afin de pouvoir limiter ses droits et privilèges à ses
seuls besoins et aux seules périodes concernées.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas (ou plus) la nécessité d’accéder aux systèmes et applications.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
— Définir, pour chaque type de profil d’accès, le responsable de l’attribution d’un « profil d’accès » à une
personne physique, par exemple :
¾ Hiérarchie pour le personnel interne ou le personnel nomade
¾ Signataire de la commande pour un prestataire
— Définir, pour chaque catégorie de profil d’accès les variables de droits à préciser par le responsable
demandeur :
¾ Période de validité
¾ Heures et jours de validité
¾ Localisations de l’appelant valides
— Définir l’ensemble des processus d’attribution, de modification et de retrait de profils (et donc de droits) à une
personne, depuis l’expression du besoin jusqu’à l’attribution ou le retrait effectif des droits
— Définir les processus de contrôle et de détection des anomalies dans la gestion des autorisations.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les mécanismes et les
supports assurant l’interface entre les responsables décisionnaires et les structures opérationnelles qui
vont traduire leurs décisions en autorisations ou interdictions concrètes d’accès (entrée d’identifiant et de
droits dans les tables systèmes). Il s’agit donc de s’assurer que la demande reçue par le personnel en
charge d’ouvrir ou de modifier les droits est bien authentique.
Il s’agit de techniques de contrôle pouvant inclure des contrôles de signature, que cette signature soit
électronique ou non (le scellement électronique étant ici apparenté à une signature).
Qualité de service
— L’efficacité du service est directement liée à la rigueur des procédures permettant d’attribuer des profils
d’accès aux personnes, de les modifier éventuellement et d’invalider les autorisations (entrées dans les tables
systèmes) dès que le besoin a disparu.
— La robustesse du service est directement liée à la solidité des mesures techniques de protection des
transferts d’information et des bases de données des droits attribués
— La mise sous contrôle est réalisée par des audits ou inspections régulières, des droits attribués, de l’usage
pratique de ces droits et des processus de gestion eux-mêmes.
129
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
130
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
131
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
132
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
133
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
134
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
135
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
136
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
137
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures :
— 08C01 : Administration des supports
— 08C02 : Marquage des supports de production (vivants, sauvegardes et archives)
— 08C03 : Sécurité physique des supports stockés sur site
— 08C04 : Sécurité physique des supports externalisés (stockés en dehors de l’entreprise)
— 08C05 : Vérification et rotation des supports d’archivage
— 08C06 : Protection des réseaux de stockage
— 08C07 : Sécurité physique des medias en transit
138
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
Objectif :
Prévenir toute activation incontrôlée d’outils d’audit technique (tests de pénétration, évaluations de
vulnérabilités, etc.) ainsi que toute erreur ou malveillance lors de ces audits.
Enregistrer les résultats et détecter les anomalies de fonctionnement ou les modifications effectuées et
les intrusions éventuelles dans les systèmes pour intervenir au mieux et dans les meilleurs délais.
Résultats attendus :
Éviter que des incidents, des anomalies ou des actions malveillantes externes (pirates, hackers) ou
internes (abus de droits d’utilisateurs), puissent arriver du fait de ces tests d’audit et ne soient pas détectés
ni interrompus.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures :
— 08G01 Fonctionnement des contrôles d'audit
— 08G02 Protection des outils et résultats d'audit
139
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
140
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
141
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
142
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
143
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
144
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
145
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
146
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
147
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
148
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
149
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
150
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
151
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
152
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
153
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
154
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
155
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
156
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
157
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
158
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
159
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
160
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
161
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
162
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
163
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
164
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
165
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
166
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
167
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
168
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
169
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
170
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
171
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
172
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
173
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
174
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
175
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
176
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
Qualité de service
— L’efficacité du service est liée :
¾ aux mécanismes de protection des accès aux outils
¾ aux mécanismes de protection des accès aux enregistrements réalisés avec eux.
— La robustesse du service est liée à :
¾ La solidité des mécanismes de détection et d’alerte en cas d’arrêt ou d’inhibition des mécanismes de
contrôle d’accès aux outils d’audit
¾ L’alerte directe d’un responsable en cas d’inhibition ou d’arrêt du système d’enregistrement des opérations
réalisées avec les outils d’audit
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système d’enregistrement et de surveillance des actions menées avec les
outils d’audit
¾ des systèmes de contrôle d’accès aux outils d’audit
177
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
178
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
179
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
180
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
181
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
182
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
183
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
184
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
185
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
186
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
187
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
188
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
189
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
190
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
191
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
192
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
193
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
194
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
195
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
196
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
197
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
198
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
199
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
200
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
201
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
202
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
203
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
204
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative
205
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs
206
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs
207
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs
208
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ La connaissance de l’environnement juridique lié à la sous-traitance du logiciel
¾ La rigueur dans la sélection du sous-traitant
¾ La rigueur dans l’établissement du cahier des charges
¾ La rigueur dans l’établissement du contrat
¾ La rigueur dans le suivi des développements
— La robustesse du service est liée à celle des dispositions juridiques mises en place :
¾ Contrat prévoyant les cas de défaillance du sous-traitant
¾ Protection clauses standards
— La mise sous contrôle est réalisée par des audits, elle est conditionnée aux droits d’accès chez le sous-
traitant :
¾ Audit de la qualité et de la précision des travaux réalisés
209
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs
210
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs
211
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs
212
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs
213
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs
214
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs
Objectif :
Sélectionner avec soin, protéger et contrôler les données d’essai.
Résultats attendus :
Empêcher qu’une utilisation de données fonctionnelles lors des tests logiciels n’entraîne une corruption
ou une divulgation de ces données.
Mécanismes et solutions :
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
L’essentiel des mesures consiste à bien gérer et séparer si possible les données de test des données
d’exploitation :
¾ éviter d’utiliser lors de tests des bases de données fonctionnelles contenant des informations personnelles
ou tout autre information sensible.
¾ mettre en place une procédure d’autorisation chaque fois qu’une information d’exploitation est copiée
dans une application d’essai.
¾ appliquer les mêmes procédures de contrôle d’accès aux applications d’essai que celles qui s’appliquent
aux applications en exploitation
¾ journaliser toute reproduction ou utilisation des informations d’exploitation afin de créer une trace d’audit
Mesures techniques
Les mesures techniques d’accompagnement consistent en des mécanismes de contrôle d’accès aux
applications de tests et dans la limitation de l’utilisation des données d’exploitation :
¾ Mise en place dans les applications d’essai de contrôle d’accès
¾ Effacement des données sensibles avant leur utilisation en test
¾ Effacement des informations immédiatement après la fin des tests
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ La limitation lorsque cela est possible de l’utilisation de données fonctionnelles dans les applications
d’essai
¾ L’effacement des données personnelles ou sensibles avant l’utilisation en test
¾ L’obligation d’avoir une autorisation séparée à chaque utilisation de données d’exploitation
— La robustesse du service est liée à la solidité des mécanismes de contrôles d’accès aux applications
d’essais
¾ Solidité du contrôle d’accès aux applications de tests
— La mise sous contrôle est réalisée par des audits :
¾ Du journal des reproductions et utilisations des informations d’exploitation lors de tests
¾ De l’application des procédures d’autorisation d’utilisation des données d’exploitation en test
¾ Des mécanismes de contrôle d’accès aux applications d’essai
215
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs
Objectif :
Protéger les processus opérationnels contre des erreurs ou des malveillances dans le processus de
maintenance applicative
Résultats attendus :
Empêcher que des erreurs, voire des malveillances, des équipes de maintenance applicative créent
des failles de sécurité ou provoquent des dysfonctionnements lors de la mise en œuvre opérationnelle de
l’application après maintenance.
Mécanismes et solutions :
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
L’essentiel des mesures consiste à bien séparer et gérer les différentes tâches et les différents
environnements de travail :
— Distinction des rôles et responsabilités d’analyse et de conception, de test, et d’intégration et ségrégation des
rôles de telle sorte qu’une même personne ne cumule pas deux rôles sur la même opération de
maintenance.
— Séparation des environnements de maintenance (développement des corrections), de test et d’intégration.
— Gestion stricte de la documentation et des codes sources et objets, en fonction des phases de maintenance
— Ségrégation des responsabilités, une personne n’étant jamais seule responsable d’une tâche complète
— Rigueur dans la définition des tests :
¾ Indépendance des tests
¾ Couverture des tests fonctionnels validée par les utilisateurs
¾ Couverture des tests des fonctions et mécanismes de sécurité validée par la fonction sécurité
— Corrections, tests et intégration tracés, chaque opération étant imputable à des personnes bien identifiées
Mesures techniques
Les mesures techniques d’accompagnement consistent en des mécanismes de contrôle des accès
aux environnements et aux objets qu’ils contiennent :
— Gestion sécurisée des profils correspondant aux différentes tâches sur chaque projet
— Contrôle des accès aux environnements et aux objets de développement (codes sources et objets,
documentation)
— Gestion sécurisée des traces et enregistrements
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ La rigueur de la séparation des tâches et des contrôles indépendants effectués à chaque étape
¾ La sensibilisation des équipes à l’importance de ces procédures, sur le fond et en termes de crédibilité de
la part des utilisateurs
— La robustesse du service est liée à la solidité des mécanismes d’isolement des environnements et de
protection des objets
¾ Protection des tables et mécanismes d’affectation des profils
¾ Solidité du contrôle d’accès aux environnements et objets de développement
— La mise sous contrôle est réalisée par des audits :
¾ De la gestion des rôles et profils
¾ De l’application des procédures
¾ Des mécanismes de contrôle d’accès et de gestion des traces
216
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs
Objectif :
Protéger les processus opérationnels contre des erreurs ou des malveillances dans le processus de
maintenance à chaud
Résultats attendus :
Empêcher que des erreurs, voire des malveillances, des équipes de maintenance viennent altérer les
services opérationnels, lors d‘opérations de maintenance à chaud, c’est-à-dire opérées, pour des raisons
diverses, directement dans l’environnement de production.
Mécanismes et solutions :
Les mécanismes à mettre en œuvre sont, au niveau de la maîtrise d’œuvre et de la production,
essentiellement organisationnels
Mesures organisationnelles
L’essentiel des mesures consiste à bien se protéger contre une difficulté lors de ces opérations,
toujours délicates, et, en particulier à :
— Faire une sauvegarde complète de l’environnement de production avant l’opération de maintenance à chaud
— Faire une sauvegarde complète des données (en s’assurant de leur cohérence et de leur synchronisme)
pour être capable de restaurer, si besoin, des données non polluées
— Noter ou tracer toutes les opérations faites, pour être capable d‘investiguer, après coup, si la séquence
d’opérations s’est mal terminée.
Les mesures complémentaires d’accompagnement ont trait aux conditions de déclenchement d’une
opération de maintenance à chaud :
— Procédure de déclenchement
— Accords donnés à haut niveau, formalisés et contenant au moins ceux du Directeur de la production et du
responsable du domaine applicatif concerné.
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ La rigueur de l’exécution des sauvegardes préalables
¾ La rigueur du processus d’analyse et de la prise de décision autorisant la maintenance à chaud
— La mise sous contrôle est réalisée par des audits :
¾ De la rigueur des procédures écrites
¾ De l’application des procédures
217
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
218
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
219
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
220
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
221
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
222
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
223
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
Qualité de service
— L’efficacité du service est liée à la rigueur des contrôles imposés. En ce qui concerne les visiteurs, seule la
mise à disposition de zone de réception dédiée apporte une véritable efficacité dans un monde où la
courtoisie empêche de surveiller de très près tout déplacement.
— La notion de robustesse ne s’applique pas ici (comme souvent quand ils s’agit de pratiques).
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des pratiques réelles des personnes amenées à recevoir des visiteurs
¾ des pratiques réelles des responsables de certaines prestations fournies par du personnel externe
224
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
225
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
226
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
227
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
228
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
229
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
230
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
231
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
232
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
233
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
234
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
235
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
236
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
237
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
Objectif :
Assurer la maintenance des matériels mis à la disposition du personnel pour les cas de panne ou
d’évolutions nécessaires.
Résultats attendus :
Éviter qu’une défaillance d’équipement ou qu’une évolution nécessaire (que ce soit pour des
changements de contexte internes ou externes) se traduise par une interruption inacceptable du service.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont exclusivement organisationnels
Mesures organisationnelles
— Le socle de ce service consiste bien entendu en l’élaboration de contrats de maintenance soit avec les
fournisseurs d’équipements soit avec une tierce partie de maintenance (TPM). L’élaboration des clauses
adéquates dans le contrat nécessite néanmoins quelques actions préliminaires et précautions :
¾ Identifier les équipements critiques pour le personnel et, pour ceux-ci, le délai de remise en service
souhaitable et le délai maximum tolérable en cas de défaillance
¾ Négocier avec le contractant le délai maximum d’intervention et le délai maximum de réparation (celui-ci
peut dépendre de l’existence de pièces de rechange sur site et ce point doit faire l’objet de la négociation)
¾ Négocier éventuellement des clauses de pénalité en cas de dépassement des temps contractuels
Qualité de service
— L’efficacité du service est essentiellement liée à trois facteurs :
¾ la précision et le réalisme des clauses du contrat, en particulier en ce qui concerne les horaires d’appel,
d’intervention et les possibilités d’appel les week-end et jours fériés
¾ La compétence et l’expertise du fournisseur ou du contractant
— La robustesse du service est liée à deux types de facteurs :
¾ La solidité du contractant (afin d’éviter un arrêt d’activité ou son rachat sans reprise de son activité)
¾ Les possibilités d’action ou de pression en cas de grève du personnel
— La mise sous contrôle est réalisée par des audits réguliers :
¾ Des clauses du contrat et de la tenue des engagements du fournisseur
¾ Du fournisseur, afin de vérifier les points cités au titre de la robustesse.
238
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
239
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
240
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
241
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
242
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
243
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail
244
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 12 : Juridique et réglementaire
245
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 12 : Juridique et réglementaire
246
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 12 : Juridique et réglementaire
247
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 12 : Juridique et réglementaire
248
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 12 : Juridique et réglementaire
249
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 12 : Juridique et réglementaire
250