Vous êtes sur la page 1sur 50

PROJET DE SECURITE DES RESEAUX

Comparaison EBIOS / MEHARI / ISO 17799 + tude de cas avec EBIOS

MASTER 2 ASR M Marc ROZENBERG

UNIVERSITE D'EVRY VAL D'ESSONNE

Objet du document Destinataire Rdacteurs

Projet SERE : audit de scurit M. Marc ROZENBERG


Pascal DUPEYRE pascal.dupeyre@netasr.net Sylvain GARCIA sylvain.garcia@isynet.org Armel LOSBAR armel.losbar@free.fr Fabien DESBRUERES fabien@desbrueres.fr

Version / Date

Version 1.0 14 fvrier 2007

Table des matires


1 - Introduction.................................................................................................................................... .............3 1.1 - Prsentation du projet.............................................................................................................. ............3 1.2 - Equipe projet...................................................................................................................... .................3 1.3 - Menace et Risque........................................................................................................... .....................3 2 - Prsentation des mthodes et des Best Practices........................................................................................ ..4 2.1 - Les organismes et la scurit.............................................................................................. .................4 2.1.1 - DCSSI................................................................................................................... ......................4 2.1.2 - CLUSIF............................................................................................................................ ...........5 2.1.3 - ISO.............................................................................................................................. ................5 2.2 - Prsentation des mthodes et normes.......................................................................... ........................5 2.2.1 - Norme ou mthode ? .......................................................................................... ........................5 2.2.2 - Pourquoi une norme pour la scurit de linformation ?...................................................... ........6 2.3 - Prsentation d'EBIOS............................................................................................................. .............6 2.3.1 - Qu'est ce que c'est:...................................................................................................................... .6 2.3.2 - Quel est son but ?................................................................................................... .....................6 2.3.3 - Dtail de la mthode EBIOS............................................................................ ...........................7 2.4 - MEHARI.................................................................................................................................. ...........8 2.4.1 - Le Plan Stratgique de Scurit........................................................................................ ...........9 2.4.2 - Les Plans Oprationnels de Scurit....................................................................................... .....9 2.4.3 - Le Plan Oprationnel d'Entreprise................................................................................. ..............9 2.5 - ISO 17799 : 2005..................................................................................................... .........................10 2.5.1 - Prsentation des 10 chapitres constituant la norme ISO 17799............................................ ......11 2.6 - En quoi ces mthodes relvent-elles de la problmatique de scurit ?........................... ..................18 2.7 - Comparaison des mthodes Mehari, EBIOS, ISO 17799...................................... ............................19 2.7.1 - Gneralits............................................................................................................................... ..19 2.7.2 - Mthodes ou best practice ?..................................................................................................... ..19 2.7.3 - Comment utiliser ce code de bonnes pratiques............................................................ ..............20 3 - Simulation par application de la mthode EBIOS .......................................................... ..........................21 3.1 - Architecture fonctionnelle.......................................................................................... .......................21 3.2 - Architecture technique gnrale............................................................................ ............................23 3.3 - Etude du contexte.............................................................................................................. ................23 3.3.1 - Etude de lorganisme..................................................................................................... ............24 3.3.2 - Etude du Systme cible.................................................................................. ...........................24 3.3.3 - Dtermination de la cible de ltude........................................................................... ...............25 3.4 - Expression des besoins de scurit................................................................................... .................27 3.4.1 - Dtermination des fonctions et des informations sensibles.................................................... ....27 3.4.2 - Rdaction des fiches dexpression des besoins de scurit.......................................... ..............27 3.4.3 - Synthse des besoins de scurit...................................................................... .........................33 3.5 - Etude des risques.................................................................................................................. .............33 3.5.1 - Etude des menaces gnriques................................................................................................. ..33 3.5.2 - Etude des vulnrabilits spcifiques........................................................................... ...............35 3.5.3 - Analyse des risques spcifiques........................................................................................ .........39 3.5.4 - Confrontation des risques aux besoins................................................................................... ....39 3.6 - Mesures techniques de scurit.............................................................................. ...........................48 3.7 - Matrice de traabilit tendue........................................................................................................ ....49 4 - Conclusion................................................................................................................................................ .50

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 2/50

1 INTRODUCTION

1.1 PRSENTATION DU PROJET


Dans le cadre du cours Scurit des Rseaux informatique nous devions raliser un comparatif global et une prsentation des mthodes et best practice que sont : EBIOS MEHARI ISO 17799 Suite cette analyse, nous devrions tre capables de rpondre aux diffrentes problmatiques suivantes : A-t-on rellement le droit de parler de mthodes lorsque lon parle dEBIOS, mhari, ou iso 17799 ? Mais notamment en quoi ces mthodes constituent un moyen de consolider le fait quil sagit bien de scurit ? Ensuite nous raliserons une simulation dEBIOS sur une plateforme de test labor pour la gestion des votes des reprsentants d'un organisme franais.

1.2 EQUIPE PROJET


Elle est compose de quatre tudiants du Master 2 Informatique et Systmes de spcialit Architecture des Systmes en Rseau de luniversit dEvry. Desbrures Fabien Garcia Sylvain Dupeyre Pascal Losbar Armel Fabien.desbrueres@netys.org Sylvain.garcia@isynet.org Pascal.dupeyre@netasr.net Armel.losbar@free.fr

1.3 MENACE ET RISQUE


Le risque est au centre des mthodes danalyse de scurit cest pour cela quil ne faut pas confondre risque et menace : La menace est une atteinte potentielle la scurit dun systme. La prvention a pour but de diminuer le degr dexposition dun systme la menace. Le risque est la concrtisation de la menace sous la forme dagressions et de sinistre entranant ainsi des pertes ou plus gnralement des prjudices ou des dommages.

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 3/50

Les causes de ces sinistres peuvent tre de diffrentes natures, il peut sagir notamment de pannes, dvnements naturels, de vol de donnes, dinfection par virus etc ... Il faut tre en mesure de mettre en place des procdures pour raliser dans des dlais acceptables une reprise dactivit (PRA, PRS). Comment scuriser les systmes Tenter de scuriser un systme d'information revient essayer de se protger contre les risques lis l'informatique pouvant avoir un impact sur la scurit de celui-ci, ou des informations qu'il traite. Afin de scuriser les Systmes dinformation nous pouvons donc avoir recours des mthodes ou des best practice selon les besoins en scurit engendrs par le SI. En effet, nous nous tournerons vers des mthodes diffrentes selon le contexte dans lequel nous voluerons. De nombreuses questions permettront de dfinir sil faut se pencher sur une analyse, une mthode, ou des rgles de bonnes conduites. Certains systmes sont dits scuriss, mais ne respectent pas les lments de bases lis la scurit (par exemple la rdaction de procdures de scurit qui doivent tre analyses par des quipes spcialises et amliores ds que possible) : donc dans ces cas l il vaudra peut-tre mieux envisager une analyse par le haut (objet du best practice). Dans le cas dune organisation nouvelle, ou dune organisation qui ne possde pas rellement de stratgie ou de politique de scurit, il faudra envisager une analyse par le bas (objet de la mthode ou du parcours). Dans ce rapport, nous nous intresserons aux mthodes suivantes : EBIOS MEHARI Ainsi qu la norme ISO 17799 qui correspond plus a ce que nous avons appel prcdemment des best practice .

2 PRSENTATION DES MTHODES ET DES BEST PRACTICES


2.1 LES ORGANISMES ET LA SCURIT
2.1.1 DCSSI Cre en 2001, la DCSSI est le centre focal de l'tat franais pour la scurit des systmes d'information. Elle a pour mission : d'valuer priodiquement la vulnrabilit des systmes en service, de former les responsables informatiques la scurit informatique, de rguler les moyens de protection et de chiffrement des organismes publics, de contribuer l'laboration de la politique gouvernementale en terme de scurit informatique.

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 4/50

2.1.2 CLUSIF Le CLUSIF est un club professionnel, constitu en association indpendante, ouvert toute entreprise ou collectivit. Il accueille des utilisateurs issus de tous les secteurs d'activit de l'conomie. La finalit du CLUSIF est d'agir pour la scurit de l'information, facteur de prennit des entreprises et des collectivits publiques. Il entend ainsi sensibiliser tous les acteurs en intgrant une dimension transversale dans ses groupes de rflexion : management des risques, droit, intelligence conomique ... Les groupes de travail traitent de thmatiques varies en fonction de l'actualit, des besoins des membres... Le CLUSIF a des relais rgionaux, les CLUSIR et des partenaires europens, les CLUSI. 2.1.3 ISO L'Organisation internationale de normalisation (ou ISO - International Organization for Standardization) est un organisme de normalisation international compos de reprsentants d'organisation nationale de normalisation d'environ 150 pays. Cette organisation cre en 1947 a pour but de produire des normes internationales dans les domaines industriels et commerciaux appeles normes ISO. Elles sont utiles aux organisations industrielles et conomiques de tout type, aux gouvernements, aux instances de rglementation, aux dirigeants de lconomie, aux professionnels de lvaluation de la conformit, aux fournisseurs et acheteurs de produits et de services, dans les secteurs tant public que priv et, en fin de compte, elles servent les intrts du public en gnral lorsque celui-ci agit en qualit de consommateur et utilisateur. Le secrtariat central de l'ISO est situ Genve, en Suisse. Il assure aux membres de l'ISO le soutien administratif et technique, coordonne le programme dcentralis d'laboration des normes et procde leur publication. L'ISO est le plus grand organisme de normalisation au monde. Cest une organisation non gouvernementale reprsentant un rseau dinstituts nationaux de 146 pays, selon le principe dun membre par pays.

2.2 PRSENTATION DES MTHODES ET NORMES


2.2.1 NORME OU MTHODE ? Une norme peut tre dfinie ainsi : cest un document de rfrence bas sur un consensus couvrant un large intrt industriel ou conomique et tabli par un processus volontaire. la diffrence, une mthode est un moyen darriver efficacement un rsultat souhait, prcis. Mais une mthode nintgre pas la notion de document de rfrence, ni la notion de consensus. Il ne faut donc pas opposer norme et mthode, mais plutt les associer, une mthode sera loutil utilis pour satisfaire une norme. Ainsi pour mettre en oeuvre efficacement la norme ISO17799, il faut sappuyer sur une mthode de gestion des risques de type Mehari, Octave, EBIOS,

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 5/50

2.2.2 POURQUOI UNE NORME POUR LA SCURIT DE LINFORMATION ? Les mthodes existantes de scurit de linformation qu'elles soient prives (Marion, Mehari, ..) ou publics (EBIOS, ), ne constituent pas un label de confiance pour la scurit globale de l'entreprise, lis leur dimension locale et leur faible prennit et volutivit. C'est pour rpondre ce besoin de confiance globale de lconomie numrique, qu'ont t lancs des travaux pour tablir des standards internationaux dans la scurit de linformation. Des entreprises ayant de nombreux changes de donnes avec dautres socits (nationales ou internationales) ou avec de nombreux partenaires et clients ont senti depuis une dizaine dannes la ncessit de s'accorder sur des normes pour aider scuriser linformation et les processus dchanges. C'est cet objectif, justement, qui a prsid la cration de cette norme ISO17799. Cette norme ISO17799 a pour objectif dtablir un label de confiance pour la scurit globale de linformation de l'entreprise.

2.3 PRSENTATION D'EBIOS


2.3.1 QU'EST CE QUE C'EST: EBIOS est lacronyme Expression des Besoins et Identification des Objectifs de Scurit. Cest une mthode publie par la Direction Centrale de la Scurit des Systmes d'Information (DCSSI) en fvrier 1997. Elle permet didentifier les besoins de scurit dun systme lors de la phase de spcification de ce dernier. 2.3.2 QUEL EST SON BUT ? Elle est reconnue comme la mthode idale pour rdiger des FEROS. FEROS : Fiche d'Expression Rationnelle des Objectifs de Scurit (des systmes dinformation). Cette mthode a t conue dans ce but et permet la rdaction intgrale de la FEROS, en offrant plusieurs avantages comme:
la pertinence des objectifs de scurit, qui couvre les risques pesant rellement sur l'organisme, la justification des objectifs de scurit l'aide de l'apprciation des risques SSI, l'exhaustivit de l'tude grce sa dmarche structure, l'implication des parties prenantes, et notamment de l'autorit qui devra valider la FEROS.

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 6/50

2.3.3 DTAIL DE LA MTHODE EBIOS La mthode EBIOS se dcompose en 3 tapes :


L'tude du contexte L'expression des besoins de scurit L'tude des risques

Premire tape : l'tude du contexte Le but de cette tape est de dterminer de faon prcise et sans ambigut le systme concevoir ou existant, et aussi qui mettra en oeuvre les mesures de scurit, ainsi que le
contexte dutilisation de ce systme.

Une mthode telle que MERISE, SADT ou autre pourra aider la reprsentation de ce systme, afin didentifier facilement et clairement lensemble des fonctions et informations en entre et sortie du systme. Deuxime tape : expression des besoins de scurit Pour chaque fonction ou information rpertorie dans ltape prcdente, nous allons dterminer la sensibilit. Ces critres se basent sur limpact que peut provoquer une altration de ces donnes, informations ou fonctions.
Les impacts possibles sont : Interruption de service Perte d'image de marque Infraction aux lois et rglements Atteinte la vie prive des usagers Pertes financires Pertes de clientle Perte de rputation

La svrit de limpact est classifie de la manire suivante :


0 pour 1 pour 2 pour 3 pour 4 pour

un impact nul un impact faible ou acceptable un impact moyen un impact critique un impact stratgique ou inacceptable

Cet impact est apprci selon 3 critres : La Confidentialit (C), l'Intgrit (I) et la Disponibilit (D).

Troisime tape : tude des risques Le but de cette tape est didentifier les risques qui pseront sur le systme parmi une liste de menaces gnrique et par une liste de vulnrabilits associes aux menaces retenues. Exemples de menaces gnriques :

Dgts des eaux Perte de moyens de tlcommunications coute passive

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 7/50

Divulgation externe Dysfonctionnement logiciel Altration des donnes Erreur d'utilisation

Des exemples de vulnrabilits associes la menace Dysfonctionnement logiciel sont: mauvaise conception et installation des logiciels mauvaise gestion des versions et configuration logicielle dysfonctionnements dus au rseau absence d'un responsable informatique Nous allons ensuite pondrer chaque menace en fonction de sa probabilit dapparition ou de sa faisabilit et dterminer si le risque est dordre technique ou non technique. Nous pourrons

alors en dduire des scnarios. La mthode EBIOS demande "une confrontation des risques aux besoins". Pour chaque fonction ou information, nous allons spcifier quels risques peuvent y porter atteinte.

2.4 MEHARI
Mehari (MEthode Harmonise d'Analyse de Risques) est dvelopp par le CLUSIF depuis 1995, elle est drive des mthodes Melisa et Marion. Existant en langue franaise et en anglais, elle est utilise par de nombreuses entreprises publiques ainsi que par le secteur priv. Le logiciel RISICARE dvelopp par la socit BUC SA est un outil de gestion des risques bas sur la mthode Mehari. La dmarche gnrale de Mehari consiste en l'analyse des enjeux de scurit : quels sont les scnarios redouts ?, et en la classification pralable des entits du SI en fonction de trois critres de scurit de base (confidentialit, intgrit, disponibilit). Ces enjeux expriment les dysfonctionnements ayant un impact direct sur l'activit de l'entreprise. Puis, des audits identifient les vulnrabilits du SI. Et enfin, l'analyse des risques proprement dite est ralise.

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 8/50

Schma gnral de la mthode Mehari

Mehari s'articule autour de 3 types de livrables : 1. le Plan Stratgique de Scurit (PSS) 2. les Plans Oprationnels de Scurit (POS) 3. le Plan Oprationnel d'Entreprise (POE) 2.4.1 LE PLAN STRATGIQUE DE SCURIT Le Plan Stratgique de Scurit fixe les objectifs de scurit ainsi que les mtriques permettant de les mesurer. C'est ce stade que le niveau de gravit des risques encourus par l'entreprise est valu. Il dfinit la politique de scurit ainsi que la charte d'utilisation du SI pour ses utilisateurs. 2.4.2 LES PLANS OPRATIONNELS DE SCURIT Les Plans Oprationnels de Scurit dfinissent pour chaque site les mesures de scurit qui doivent tre mises en oeuvre. Pour cela, ils laborent des scnarios de compromission et audite les services du SI. Sur la base de cet audit, une valuation de chaque risque (probabilit, impact) est ralise permettant par la suite d'exprimer les besoins de scurit, et par la mme les mesures de protections ncessaires. Enfin, une planification de la mise niveau de la scurit du SI est faite. 2.4.3 LE PLAN OPRATIONNEL D'ENTREPRISE Le Plan Oprationnel d'Entreprise assure le suivi de la scurit par l'laboration d'indicateurs sur les risques identifis et le choix des scnarios de catastrophe contre lesquels il faut se prmunir.

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 9/50

Des bases de connaissances permettent d'automatiser certains calculs de gravit des scnarios de risques, proposent des liens entre menaces et parades... Mehari apporte une dmarche centre sur les besoins de continuit d'activit de l'entreprise et fournit des livrables types aids d'un guide mthodologie. Les audits qu'elle propose permettent la cration de plan d'actions concrtes. Cette mthode permet donc de construire une politique de scurit destine pallier les vulnrabilits constates lors des audits du Plans Oprationnels de Scurit et d'atteindre le niveau de scurit correspondant aux objectifs fixs dans le Plan Stratgique de Scurit.

2.5 ISO 17799 : 2005


Issue de la norme britannique BS 7799, la norme ISO/CEI 17799:2005 donne des lignes directrices et des recommandations pour le management de la scurit. L'ISO/CEI 17799:2005 tablit des lignes directrices et des principes gnraux pour prparer, mettre en oeuvre, entretenir et amliorer la gestion de la scurit de l'information au sein d'un organisme. Les objectifs esquisss fournissent une orientation gnrale sur les buts accepts communment dans la gestion de la scurit de l'information. L'ISO/CEI 17799:2005 est un code de bonne pratique pour les objectifs et mesures, dans les catgories suivantes de la gestion de la scurit de l'information: politique de scurit; organisation de la scurit de l'information; gestion des biens; scurit lie aux ressources humaines; scurit physique et environnementale; gestion oprationnelle et gestion de la communication; contrle d'accs; acquisition, dveloppement et maintenance des systmes d'information; gestion des incidents lis la scurit de l'information; gestion de la continuit de l'activit; conformit. Les objectifs et mesures dcrits dans l'ISO/CEI 17799:2005 sont destins tre mis en oeuvre pour rpondre aux exigences identifies par une valuation du risque. L'ISO/CEI 17799:2005 est prvue comme base commune et ligne directrice pratique pour laborer les rfrentiels de scurit de l'organisation, mettre en oeuvre les pratiques efficaces de la gestion de la scurit, et participer au dveloppement de la confiance dans les activits entre organismes.

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 10/50

2.5.1 PRSENTATION DES 10 CHAPITRES CONSTITUANT LA NORME ISO 17799

Chapitre 1 - Politique de scurit de l'information


Politique de Scurit de l'Information: Ce chapitre dcrit les principaux domaines contenus dans le document de politique scurit gnrale : une dfinition de la scurit de l'information, de ses objectifs, porte globale et importance de la scurit dans le partage de l'information une dclaration de limplication de la direction de lorganisme, soutenant les buts et les principes de la scurit de l'information. une brve explication des principes de scurit, des normes et des exigences de conformit d'importance particulire pour lorganisme, par exemple: o conformit aux exigences lgales et contractuelles. o exigences de formation des collaborateurs la scurit. o prvention et dtection des virus et tout autre logiciel malveillant. o gestion de la continuit dactivit. o consquences des violations de la politique de scurit. une dfinition des responsabilits gnrales et spcifiques de la gestion de la scurit de l'information, y compris les modalits de dclaration des incidents de scurit; les rfrences la documentation qui peuvent soutenir la politique, par exemple des politiques et des procdures plus dtailles de scurit pour les utilisateurs spcifiques de systmes d'information ou de rgles de scurit que les utilisateurs devront suivre. Facteurs de succs de la mise en oeuvre d'une politique de scurit de l'information : Lexprience a prouv que les facteurs suivants sont souvent cruciaux pour assurer le succs de la mise en oeuvre de la gestion de la scurit de l'information au sein dune organisation : une politique, des objectifs et des activits de scurit qui refltent les objectifs de

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 11/50

lentreprise ; une dmarche de mise en oeuvre de la gestion de la scurit qui soit compatible avec la culture de lorganisation. un soutien et un engagement rel visible de la direction de lorganisme. une bonne comprhension des exigences de scurit, de lvaluation des risques et de la gestion des risques. une prsentation efficace des questions de scurit tous les responsables et employs. la distribution tous les employs et tous les fournisseurs de lignes directrices sur la politique et les normes de scurit de l'information. des formations et une sensibilisation continues appropries. un systme de mesures pour valuer lefficacit de la gestion de la scurit de linformation et les suggestions damlioration faites en retour.

Chapitre 2 - Organisation de la scurit


Quelle organisation interne mettre en oeuvre ? Ce chapitre dcrit lorganisation interne pour mettre en oeuvre la scurit dans lorganisation et comporte 3 parties : La cration et les missions dune instance (comit scurit) qui peuvent sintgrer une instance dj existante (comit qualit, comit de gestion des risques), l'implication de la direction et de la hirarchie et la coopration qui devrait exister entre les diffrentes entits de l'entreprise. Les modalits daccs linformation et au systme dinformation par des tiers (prestataires de services, sous-traitants, ), notamment les exigences contractuelles dfinir. Le traitement du cas, de la scurit lors de lexternalisation de certaines fonctions de lorganisme Ce chapitre est particulirement important car il dfinit lorganisation pour mettre en oeuvre une organisation cohrente de la scurit. Un ou des groupes de travail devront tre mis en oeuvre, avec lappui de la direction, pour approuver la politique de scurit de l'information, pour assigner des rles de scurit et pour coordonner l'excution de la scurit dans lorganisme. Comit pour la scurit de l'information : ce comit peut faire partie d'un comit de direction existant. Typiquement, un tel comit doit : passer en revue la politique de scurit de l'information d'approbation et responsabilits globales surveiller lvolution de lexposition aux menaces des actifs de l'information. passer en revue et surveiller des incidents de scurit de l'information; approuver les initiatives principales pour renforcer la scurit de l'information Coordination de la scurit de l'information : il est dcrit, comment assurer la coordination, notamment dans des socits de taille importante, sachant que la norme permet davoir par entit (gographique, juridique) des politiques personnalises.

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 12/50

Attribution de responsabilits pour la scurit de l'information : une bonne pratique est de nommer un propritaire pour chaque actif principal du systme dinformation qui devient alors responsable de sa scurit au jour le jour. Processus d'autorisation pour des volutions du systme dinformation : la norme prconise une revue des volutions du SI dun point de vue scurit. Ceci semble pertinent sachant quil cote beaucoup plus cher de le traiter aprs son dploiement. Conseil de spcialistes de la scurit de l'information (interne ou externe) et coopration lintrieur de lorganisme, revue de lefficacit et de la pertinence de cette politique de scurit.

Chapitre 3 - Classification et contrle des actifs


Dfinir un propritaire pour chaque actif principal. La norme prconise que soit identifi un propritaire pour chaque actif principal (exemple : donnes client, donnes achat, ...) de faon s'assurer quun niveau de protection approprie de cet actif soit mis en oeuvre. Ce propritaire dinformation sera responsable de la mise en oeuvre des contrles appropris et mme si la ralisation des contrles peut tre dlgue, la responsabilit finale vis--vis de cet actif devra demeurer chez le propritaire dsign. Inventaire des actifs : Le processus de ralisation de linventaire des actifs est un aspect important de la gestion des risques. Un organisme doit pouvoir identifier ses actifs, ainsi que leur valeur et importance relatives. Aprs ce travail dinventaire, l'information devra tre classifie pour indiquer le besoin, les priorits et le degr de protection requis. L'information ayant des degrs variables de sensibilit et de criticit, quelques donnes peuvent exiger des mesures de traitements spcifiques. Pour chaque classe dinformation (confidentielle, restreinte, ), des procdures devront tre dfinies pour couvrir les types suivants d'activit de manipulation de l'information : la copie; le stockage; la transmission par la poste, fax, et courrier lectronique; la transmission par loral, y compris le tlphone portable, messagerie vocale, rpondeurs/enregistreurs; la destruction. La norme considre quun systme de classification avec des tiquettes physiques est gnralement appropri pour les actifs matriels. Cela devient plus compliqu pour toutes les donnes stockes sous forme lectronique qui ncessitent des applications spciales.

Chapitre 4 - Scurit lie au personnel


La norme ne se rduit pas une norme technique, elle met beaucoup laccent sur la culture scurit de lentreprise et notamment celle lie son personnel. Procdure de recrutement, contrat dembauche, formation la scurit : dans ce chapitre sont abords les diffrents thmes de la scurit lors : de la slection du personnel et son recrutement initial, les contrles effectuer : vrification des diplmes,

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 13/50

prsentation et vrification de rfrences professionnelles et personnelles du changement de poste et notamment les volutions donnant accs des donnes sensibles : examen priodique du comportement du collaborateur et de son style de vie, revu de la description du poste en intgrant les critres de scurit de ltablissement du contrat de travail en intgrant des clauses de confidentialit, de droit et de responsabilit des employs, de protection des droits dauteurs.

En outre est abord le thme de la formation des utilisateurs aux principes de scurit, aux procdures de scurit en vigueur, aux modalits daccs aux applications (connexions et dconnexion aux applicatifs), la politique de mots de passe ... Signalement des incidents de scurit, dysfonctionnements. Dans cette partie on insiste pour que ce soit lensemble des employs et fournisseurs de lorganisme qui participe au signalement des incidents de scurit. Ils devront tre mis au courant des procdures pour signaler les diffrents types d'incident (infraction, menace, faiblesse ou dfaut de fonctionnement de scurit) qui pourraient avoir un impact sur la scurit des actifs de lorganisme. Il convient dexiger deux quils rapportent les incidents observs ou suspects aussi rapidement que possible au point de contact indiqu. Ces incidents peuvent galement tre des failles de scurit (souponnes ou avres), des dfauts de fonctionnement de logiciel, de virus, de canulars . Processus disciplinaire. Il est prconis quun processus disciplinaire officiel (claire et compatible avec la lgislation en vigueur) soit affich pour que cela dissuade les ventuels employs peu disposs respecter les consignes de scurit.

Chapitre 5 - Scurit physique et de lenvironnement


Scurit Physique. La scurit physique est un sujet de fond dans la scurit de linformation. La norme prsente 25 points de contrle, et prconise notamment : La cration de diffrents niveaux de scurisation de zone. la mise en place de systmes de contrle daccs. La sparation des zones de livraison. Scurit du matriel informatique. De la mme manire sont abords en 20 points de contrle, les thmes lis la scurit des serveurs et de leur environnement : Gestion des alimentations lectriques. Politique pour limiter lutilisation de boisson et de nourriture (une des premires causes de panne sur les ordinateurs portables) Procdure de sortie des matriels informatiques des locaux. Des points plus sensibles sont abords : Comment effacer dfinitivement les donnes : avec la plupart des systmes d'exploitation, la suppression d'un fichier ne rsulte pas ncessairement de la destruction ou l'crasement de celui-ci.

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 14/50

Sous Windows 95, 98, Me, 2000, NT et XP, la brche de scurit est grande : si vous supprimez un fichier avec Explorer, le fichier est simplement dplac vers un dossier cach Recycled , communment appel Corbeille. Mme lorsque vous videz la Corbeille, les fichiers ne sont pas rellement dtruits. Ils peuvent toujours tre rcuprs grce des logiciels spciaux. Sauf en utilisant des logiciels qui crasent en une fois ou plusieurs fois l'aide de la technologie du Dpartement Amricain de la Dfense (DoD). Les mthodes de destruction du matriel. De la mme manire, pour les ordinateurs ayant comport des donnes confidentielles, il est prconis daller jusqu un destruction physique des lments de stockage (disques, bandes, ).

Chapitre 6 - Scurit de lexploitation et des rseaux


Exploitation et rseaux. Ce chapitre est un des plus consquents des 10 chapitres de la norme. Deux grands thmes sont dcrits : Les thmes lis la scurisation de lexploitation de linformation La scurit des rseaux au sens large vhiculant linformation, notamment toute la scurit des changes et les moyens associs (cryptographie, ). Scurit de lexploitation. Sont dcrits successivement les procdures et contrles mettre en oeuvre pour : Grer les volutions des systmes dinformation (qui est une cause frquente douverture ou de rouverture de brches de scurit) Identifier et grer les diffrents types dincidents de scurit (dni de service, ...) Sparer les fonctions risques pour diminuer les risques de connivence entre personne de lorganisme. Sparation des fonctions. Sparer le dveloppement informatique et son exploitation Grer un contrat dinfogrance Organiser les recettes des dveloppements et des mises en production de traitements Se protger des logiciels malveillants (infections informatiques). Scurit du rseau et des changes. Les objectifs de la scurit des changes sont dassurer leur confidentialit, lorsque cela est ncessaire, ainsi que lidentification et lauthentification des messages changs. Pour cela plusieurs concepts sont prsents : Scellement Cryptographie Certificats et tiers de confiance Signature lectronique

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 15/50

Chapitre 7 - Contrles daccs logique


Ce chapitre dcrit la politique mettre en oeuvre pour structurer la gestion des accs au systme dinformation pour les utilisateurs de lorganisme, mais galement pour les systmes externes qui se connectent automatiquement des applications. La gestion des mots de passe. Juste un exemple des prconisations de la norme qui concerne la gestion des mots de passe : extrait de la norme : Il convient de contrler lattribution des mots de passe par un processus approuv par la direction dont le principe doit tre le suivant : exiger des utilisateurs quils signent une dclaration par laquelle ils sengagent ne pas divulguer de mots de passe personnels et ne pas divulguer de mots de passe collectifs lextrieur du groupe; faire en sorte que, lorsque lon demande aux utilisateurs de maintenir leurs propres mots de passe, quil leur soit auparavant procur un mot de passe temporaire quils sont obligs de changer immdiatement. Lorsque les utilisateurs oublient leur mot de passe, un mot de passe temporaire ne doit pouvoir leur tre fourni quune fois que lutilisateur a t identifi avec certitude. exiger que les mots de passe temporaires soient transmis aux utilisateurs de manire sre. Il convient dviter la transmission de mots de passe par lintermdiaire dun tiers ou au moyen de messages par courrier lectronique non protgs. Il convient que les utilisateurs accusent rception des mots de passe. . Il ne faut jamais stocker de mots de passe sur un systme informatique sous une forme non protge. Gestion des accs logiques. Dans ce chapitre sont galement abords les autres thmes de la gestion des accs, savoir : Politique de contrle des accs et exigences de lentreprise Gestion des accs utilisateurs, enregistrement des utilisateurs, gestion des privilges, Examen des droits d'accs des utilisateurs Gestion du Matriel sans surveillance (serveurs de fichiers, dimpression) Contrle daccs aux rseaux Authentification des utilisateurs pour les connexions distance Contrle des connexions rseau Contrle de laccs aux systmes dexploitation

Chapitre 8 - Dveloppement et maintenance des systmes d'information


Dveloppement d'applications. Il est vident que la norme n'est pas une norme de dveloppement de code scuris. Ce chapitre traite des infrastructures informatiques, des applications de lentreprise et galement des applications dveloppes par les utilisateurs. Il convient didentifier les impratifs de scurit et de les valider avant le dveloppement de systmes dinformation. Toutes les exigences de scurit, y compris les procdures de secours, devront tre identifies ds la phase de spcifications du projet et tre approuves et documentes en tant qu'lment crucial du systme d'information.

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 16/50

Cest dire ce qui concerne : Validation des donnes dentre (valeurs au-del des limites, caractres non valides dans des champs de donnes, donnes manquantes ou incompltes). Contrle du traitement interne. Authentification des messages. Validation des donnes de sortie (contrles de plausibilit pour vrifier si les donnes de sortie sont raisonnables ). Politique sur lutilisation des mesures cryptographiques: La dcision sur le caractre appropri ou non dune solution cryptographique doit tre considre comme faisant partie dun processus plus tendu dvaluation des risques et de slection de mesures. Il convient deffectuer une valuation des risques afin de dterminer le niveau de protection quil faut donner linformation. Cette partie dcrit lensemble du processus organisationnel mettre en oeuvre pour assurer une bonne utilisation du cryptage, des signatures numriques, des services de non rpudiation et de la gestion des cls.

Chapitre 9 - Continuit d'activit


La continuit d'activit. Quelles que soient les probabilits de risques, les dirigeants doivent pouvoir engager des moyens pour garantir la continuit de lactivit et en particulier, la permanence de la relation client. Sans systme dinformation, lentreprise a en effet bien du mal rorganiser ses processus. Linformatique lui offre donc lopportunit de prserver son patrimoine informationnel et une capacit de redploiement, la condition quelle soit scurise et que des procdures de sauvegarde soient mises en oeuvre et rgulirement testes. Cette conception dpasse la reprise sur le seul sinistre du systme dinformation ; elle vise runir pour chaque collaborateur un emplacement de travail, un tlphone, et un poste de travail. Mais, lchelle dun sige social, dun site de production ou dun centre administratif, cela implique de disposer de plateaux pour loger plusieurs centaines de personnes et les mettre en condition de poursuivre leur travail quotidien et cela ne simprovise pas. Do un travail prparatoire important et surtout des simulations, afin de tester la capacit du nouveau dispositif fonctionner lidentique de celui qui serait sinistr.

Chapitre 10 - La gestion de la conformit


Conformit nationale ou rglementaire. Comme lISO 177999 est une norme internationale, lidentification de la lgislation applicable au pays est la premire tche : dfinir explicitement et documenter les exigences lgales, rglementaires et contractuelles pour chaque systme dinformation. Il convient de dfinir et de documenter galement les mesures spcifiques et les responsabilits affrentes pour rpondre ces exigences, notamment :

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 17/50

Les droits de proprit intellectuelle : droits dauteur, copyright des logiciels, protection des donnes personnelles Respect de la rglementation des mesures cryptographiques Collecte dlments de preuve : Rgles de collecte des preuves Admissibilit en tant qulment de preuve Qualit et exhaustivit des lments de preuve Audit de la politique de scurit et de sa conformit lgale.

La lgislation franaise
Les diffrents textes de lois intgrer sont : Le STAD (loi Godfrain) Libert individuelles (CNIL) : protection des donnes et confidentialit renseignements personnels. Droit de la Proprit Intellectuelle (DPI) : Droit d'auteur Copyright des logiciels. La signature lectronique et la rglementation des mesures cryptographiques.

des

2.6 EN QUOI CES MTHODES RELVENT-ELLES DE LA PROBLMATIQUE DE SCURIT ?


Ces mthodes relvent bien de la problmatique de scurit, car leurs principales proccupations concernent la scurit au regard de linformation. Ce qui va nous permettre de qualifier la scurit de linformation, ce sont les exigences de scurit : Confidentialit : Proprit dune information ou dune ressource de n'tre accessible qu'aux utilisateurs autoriss (cration, diffusion, sauvegarde, archivage, destruction). Intgrit : Proprit d'exactitude et de compltude des informations et des fonctions de linformation traite. Celles-ci ne doivent pouvoir tre modifies que par un acte volontaire et lgitime. Disponibilit : Proprit d'accessibilit dans des conditions dfinies dhoraires, de dlais et de performances des informations et des fonctions par les utilisateurs autoriss. Imputabilit : Capacit de pouvoir attribuer, avec le niveau de confiance exig, une action sur une information ou une ressource un utilisateur dtermin. Non-rpudiation : Impossibilit pour un utilisateur de nier sa participation un change dinformation ; cette participation porte tant sur lorigine de linformation(imputabilit) que sur son contenu (intgrit). Contrle daccs : Capacit dautoriser un utilisateur accder une information ou une ressource partir de ses droits et des contrles appropris exercs sur ses droits (en particulier, identification / authentification).

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 18/50

partir du DIC (Disponibilit, Intgrit, Confidentialit), on va pouvoir mesurer les impacts de diffrentes natures : impacts financiers impacts sur les processus impacts dimages Limputabilit, la non-rpudiation et le contrle daccs impactent sur la production.

2.7 COMPARAISON DES MTHODES MEHARI, EBIOS, ISO 17799

2.7.1 GNERALITS

Mthode EBIOS MEHARI ISO

Cration 1995 1995 1993

Auteur DCSSI CLUSIF ISO

Soutenue par

Pays

Outils Logiciel gratuit Logiciel Risicare

Etat Maintenu Maintenu Maintenu

gouvernement France association ISO France International

2.7.2 MTHODES OU BEST PRACTICE ?

Peut-on rellement parler de mthodes pour Mehari, EBIOS, et ISO 17799 ? Pour les mthodes mhari et EBIOS nous pouvons rellement parler de mthode. En effet, elles permettent lanalyse des enjeux et besoins de scurit. Comme nous avons pu le voir prcdemment elles constituent un vrai parcours danalyse avec une dmarche et des tapes valider. ISO 17799, quant elle nest pas une mthode proprement parler, elle constitue plutt des best practice : cela correspond plus des rgles de bonnes pratiques. L'valuation du niveau de scurit informatique d'un environnement consiste le confronter aux bonnes pratiques en vigueur (best practices). Il est d'usage de comparer une politique de scurit avec un standard tel l'ISO 17799 L'valuation de la scurit peut s'appliquer divers composants individuels de l'architecture rseau (configuration des routeurs, des firewalls ou des proxy), des systmes ou de l'environnement applicatif y compris les algorithmes. L'objectif d'une valuation est de s'assurer que la stratgie de scurit informatique rejoint les bonnes pratiques. Le rsultat de l'valuation consiste en un ensemble de recommandations qui visent adapter des processus, des procdures ou des configurations aux standards.

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 19/50

On constate donc que si une organisation dispose dun systme dinformation et dune politique de scurit, lutilisation de la norme ISO 17799 pourrait faire lobjet dune utilisation pour la vrification des bonnes pratiques des rgles de scurit. Dans le cas contraire, si une organisation cre un systme dinformation, il faudra envisager de suivre une dmarche pour la mise en place de la stratgie et de la politique de scurit. Dans ce cas une analyse par le haut de type EBIOS ou mehari sera ncessaire.

2.7.3 COMMENT UTILISER CE CODE DE BONNES PRATIQUES Dvelopper une Politique de Scurit de l'Information avec ISO 17799. Pour une entreprise ayant des entits diffrentes ou filiales, cette norme permet de partager un ensemble de principes de bonnes pratiques et de contrles dcoulant dune Politique de Scurit de l'Information globale (pour garantir la confidentialit, lintgrit et la disponibilit de linformation). Il permet dtablir un rfrentiel et de pouvoir suivre les progrs accomplis par chacune des entits en dpit des diffrences de culture et d'environnement existantes entre entits, filiales et pays et ce, sans devoir imposer un systme de scurit unique. Pour une PME/PMI, ou un petit organisme, l'utilisation d'ISO 17799 en sera probablement diffrente avec pour objectif de grer une check-list des thmes de scurit traiter. Sachant que pour que cela soit pertinent, il faut commencer la dmarche par une identification des risques principaux. Dautres utilisations de cette norme sont galement pertinentes : construction dun rfrentiel scurit propre lentreprise (par exemple en vue dun audit interne) en partant de mesures cibles pour lentreprise dveloppement dun questionnaire de scurit pour sensibilisation de la Direction de lEntreprise support pour la sensibilisation du personnel de lentreprise outil pour communiquer sur sa stratgie de scurit vis vis des clients, partenaires, actionnaires, optique dune certification scurit terme (et de rduction des primes dassurance).

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 20/50

3 SIMULATION PAR APPLICATION DE LA MTHODE EBIOS


Notre tude EBIOS s'est droul sur un projet de e-vote actuellement en cours de dveloppement dans un organisme d'tat franais. Pour des raisons de confidentialit, nous ne nommerons pas l'entit audite. Nous prsenterons uniquement l'architecture du systme de l'e-vote. Cette tude va se dcomposer en trois parties comme le prconise la mthode EBIOS. La premire, tude du contexte, permet didentifier le systme cible et de le situer dans son contexte. La seconde est lexpression des besoins de scurit, qui permet de dterminer les besoins de scurit associs aux fonctions sensibles du systme cible. La troisime, ltude des risques, dtermine les risques couverts par les objectifs de scurit.

3.1 ARCHITECTURE FONCTIONNELLE

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 21/50

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 22/50

3.2 ARCHITECTURE TECHNIQUE GNRALE

3.3 ETUDE DU CONTEXTE


Cette partie se dcompose en trois parties comme le prconise la mthode EBIOS. Dans notre situation et sur demande de la personne responsable de notre tude, nous ne ferons pas figurer cette partie de l'tude dans ce rapport. Ceci par souci de confidentialit. Nous effectuerons une tude de lorganisme base sur lexpression du besoin gnral et sur des documents concernant lorganisme. Suivra ltude du systme cible qui mettra en avant les fonctions essentielles associes au systme, ainsi que les informations associes. Enfin, la dtermination de la cible de ltude prcisera les entits sur lesquelles ces fonctions sappliquent.

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 23/50

3.3.1 ETUDE DE LORGANISME Prsentation de lorganisme

Organisation gnrale

Contraintes gnrales On pourra retenir la contrainte dordre calendaire, le systme devant tre livr avant la prochaine chance lectorale de 2008. On pourra galement retenir la contrainte dordre territoriale, toutes les entits du systme devant tre localises sur le territoire franais.

3.3.2 ETUDE DU SYSTME CIBLE Description fonctionnelle du systme Le systme cible a donc la comme fonction principal la gestion de llection des lus de l'organisme. Il effectuera le traitement de cette lection de bout en bout, de la prparation du scrutin au dpouillement des votes et leur stockage. On peut distinguer comme acteur du systme cible : Votants Candidats Membres du bureau de vote Experts contrlant le systme

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 24/50

Caractrisation des processus externes concourant au fonctionnement du systme cible

Cette partie consiste mettre en avant les flux dinformations et les nuds effectuant ces traitements. Ces nuds reprsentent alors les fonctions du SI que nous considrons comme essentielles. Les schmas suivant reprsentent ces nuds et les informations les traversant.

3.3.3 DTERMINATION DE LA CIBLE DE LTUDE

Caractrisation des moyens de la cible de ltude

Types de matriels : M1 Ordinateur personnel du votant. M2 Serveur Web M3 Serveur d'annuaire M4Serveur d'urne M5 Serveur d'margement M6 Serveur de dpouillement Types de logiciels : L1 systme d'exploitation indiffrent chez le client L2 Navigateur Internet L3 Application Web L4 Logiciel d'annuaire Types de rseaux : R1 Rseau Internet pour la connexion des votants R2 LAN locaux des entits R3 LAN fdrateur de l'entit fdratrice Types de sites : S1 Centres informatiques des entits S2 Centre informatique national de lentit fdratrice Types de personnels : P1 Personnels de dveloppement et maintenance des applications : personnels internes et assistance externe. P2 Electeurs P3 Personnels d'exploitation des centres informatiques. P4 Prsident du bureau de vote P5 Membres du bureau de vote.

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 25/50

Tableau des relations Fonctions / Entits et Informations / Entits du systme cible

Entits M1 F1 Informer les lecteurs F2 Vrifier le systme F3 Enregistrer les listes F4 Identifier l'lecteur F5 Choisir le candidat F6 Voter F7 Emarger F8 Dpouiller F9 Prouver F10 Publier I1 Liste des votants I2 Identifiant de l'lecteur I3 Liste des candidats I4 Choix du candidat I5 Bulletin de vote I6 Liste d'margement I7 Urne I8 Taux de participation I9 Rsultats par candidat I10 Rapport d'erreur Matriels Logiciels Rseaux Sites Personnels M2 M3 M4 M5 M6 L1 L2 L3 L4 R1 R2 R3 S1 S2 P1 P2 P3 P4 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X P5

Fonctions

X X X

Informations

X X X X X X

X X X X

X X X X X

3.4 EXPRESSION DES BESOINS DE SCURIT


A partir des fonctions et des informations essentielles, le but de cette tape est de dterminer quelle sont les fonctions et informations parmi les prcdentes que nous allons considrer comme sensible. Nous crerons ensuite un tableau pour chacun des lments identifis afin de dterminer leur vecteur CID (Confidentialit, Intgrit, Disponibilit) 3.4.1 DTERMINATION DES FONCTIONS ET DES INFORMATIONS SENSIBLES Soit les fonctions essentielles F1-F10 et les informations essentielles I1-I10, nous avons slectionn les suivantes : F4, F5, F6, F7, F8, et I2, I4, I5, I6, I7 3.4.2 RDACTION DES FICHES DEXPRESSION DES BESOINS DE SCURIT A partir des critres proposs par la mthode EBIOS afin de juger la svrit de limpact des sinistres sur chacun des fonctions et des informations.

Informations :
Identifiants du votant Sinistres Disponibilit Intgrit Confidentialit Inaccessibilit Destruction 1 2 2 Impacts Impact Besoin de scurit

Modification accidentelle Modification dlibre

1 2 2

Divulgation interne Divulgation externe

2 3 3

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 27/50

Choix du candidat Sinistres Disponibilit Bulletin de vote Sinistres Disponibilit Intgrit Confidentialit Intgrit Confidentialit

Impacts

Impact

Besoin de scurit

Inaccessibilit Destruction

1 1 0

Modification accidentelle Modification dlibre

1 2 2

Divulgation interne Divulgation externe

1 2 2

Impacts

Impact

Besoin de scurit

Inaccessibilit Destruction

2 3 3

Modification accidentelle Modification dlibre

2 3 3

Divulgation interne Divulgation externe

2 3 3

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 28/50

Liste d'margement Sinistres Disponibilit Intgrit Confidentialit Urne Sinistres Disponibilit Intgrit Confidentialit

Impacts

Impact

Besoin de scurit

Inaccessibilit Destruction

0 2 2

Modification accidentelle Modification dlibre

1 2 2

Divulgation interne Divulgation externe

1 1 1

Impacts

Impact

Besoin de scurit

Inaccessibilit Destruction

2 3 3

Modification accidentelle Modification dlibre

3 4 4

Divulgation interne Divulgation externe

2 2 2

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 29/50

Fonctions :
Identifier l'lecteur Sinistres Interruption complte (longue dure) Interruption complte (courte dure) Dgradation des performances Rsultats incorrects Intgrit Choisir le candidat Sinistres Interruption complte (longue dure) Interruption complte (courte dure) Dgradation des performances Rsultats incorrects Intgrit Confidentialit Rsultats incomplets Disponibilit 3 Confidentialit Rsultats incomplets Disponibilit 3 Impacts Impact Besoin de scurit

2 0 2

2 1

Divulgation de l'existence de la fonction Divulgation externe

0 0 0

Impacts

Impact

Besoin de scurit

2 0 2

2 1

Divulgation de l'existence de la fonction Divulgation externe

0 0 0

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 30/50

Voter Sinistres Disponibilit Emarger Sinistres Intgrit Confidentialit Disponibilit Intgrit Confidentialit

Impacts Interruption complte (longue dure) Interruption complte (courte dure) Dgradation des performances Rsultats incorrects Rsultats incomplets

Impact

Besoin de scurit

0 4 4 3

Divulgation de l'existence de la fonction Divulgation externe

0 1 1

Impacts Interruption complte (longue dure) Interruption complte (courte dure) Dgradation des performances Rsultats incorrects Rsultats incomplets

Impact

Besoin de scurit

2 0 3

3 2

Divulgation de l'existence de la fonction Divulgation externe

0 1 1

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 31/50

Dpouiller Sinistres

Impacts Interruption complte (longue dure) Interruption complte (courte dure) Dgradation des performances Rsultats incorrects

Impact

Besoin de scurit

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 32/50

Disponibilit Intgrit Confidentialit

2 1 4

4 Rsultats incomplets 3

Divulgation de l'existence de la fonction Divulgation externe

0 0 0

3.4.3 SYNTHSE DES BESOINS DE SCURIT Il sagit du tableau rcapitulatif des fiches rdiges prcdemment. Besoin de scurit

3.5 ETUDE DES RISQUES


Le but de cette tape est de dterminer les risques couvrant les besoins de scurit dfinit dans la partie prcdente. A partir de menaces gnriques, nous allons les confronter aux besoins pour dterminer les risques.

3.5.1 ETUDE DES MENACES GNRIQUES On slectionne ici les menaces que lon considre pertinente et adapte notre problmatique.

Fonctions Informations
THME ACCIDENTS PHYSIQUES

Identifier l'lecteur Choisir le candidat Voter Emarger Dpouiller

0 0 1 1 0

2 2 4 3 4

3 3 3 3 3

Identifiants du votant Choix du candidat Bulletin de vote Liste d'margement Urne

3 2 3 1 2

2 2 3 2 4

2 1 3 2 3

FICHE DE SLECTION DES MENACES


MENACE
1- INCENDIE 2- DGT DES EAUX 3- POLLUTION 4- ACCIDENTS MAJEURS

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 33/50

VNEMENTS NATURELS PERTE DE SERVICES ESSENTIELS PERTURBATIONS DUES AUX RAYONNEMENTS

COMPROMISSION DES INFORMATIONS

DFAILLANCE TECHNIQUE AGRESSION PHYSIQUE

5- PHNOMNE CLIMATIQUE 6- PHNOMNE SISMIQUE 7- PHNOMNE VOLCANIQUE 8- PHNOMNE MTOROLOGIQUE 9- CRUE 10- DFAILLANCE DE LA CLIMATISATION 11- PERTE D'ALIMENTATION NERGTIQUE 12- PERTE DES MOYENS DE TLCOMMUNICATIONS 13- RAYONNEMENTS LECTROMAGNTIQUES 14- RAYONNEMENTS THERMIQUES 15- IMPULSIONS LECTROMAGNTIQUES (IEM) 16- INTERCEPTION DE SIGNAUX PARASITES COMPROMETTANTS 17- ESPIONNAGE DISTANCE 18- COUTE PASSIVE 19- VOL DE SUPPORTS OU DE DOCUMENTS 20- VOL DE MATRIELS 21- DIVULGATION INTERNE 22- DIVULGATION EXTERNE 29- INFORMATIONS SANS GARANTIE DE L'ORIGINE 30- PIGEAGE DU MATRIEL 31- UTILISATION ILLICITE DU MATRIEL 33- PIGEAGE DU LOGICIEL 39- ABUS DE DROIT 40- USURPATION DE DROIT 42- FRAUDE 23- PANNE MATRIELLE 24- DYSFONCTIONNEMENT MATRIEL 25- SATURATION DU MATRIEL 26- DYSFONCTIONNEMENT LOGICIEL 28- ATTEINTE LA MAINTENABILIT DU SI 27- DESTRUCTION DE MATRIELS

X X

X X

X X X X X X X

ACTIONS ILLICITES

COMPROMISSION DES FONCTIONS

30- PIGEAGE DU MATRIEL 33- PIGEAGE DU LOGICIEL 39- ABUS DE DROIT X 40- USURPATION DE DROIT 41- RENIEMENT D'ACTIONS 42- FRAUDE 20- VOL DE MATRIELS 25- SATURATION DU MATRIEL 28- ATTEINTE LA MAINTENABILIT DU SI 30- PIGEAGE DU MATRIEL 31- UTILISATION ILLICITE DU MATRIEL 32- ALTRATION DU LOGICIEL 33- PIGEAGE DU LOGICIEL X 34- COPIE FRAUDULEUSE DE LOGICIEL 35- UTILISATION DE LOGICIELS CONTREFAITS OU

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 34/50

ERREUR

COPIS 36- ALTRATION DES DONNES 39- ABUS DE DROIT 40- USURPATION DE DROIT 41- RENIEMENT D'ACTIONS 42- FRAUDE 43- ATTEINTE LA DISPONIBILIT DU PERSONNEL 37- ERREUR DE SAISIE 38- ERREUR D'UTILISATION

X X

X X

X X

3.5.2 ETUDE DES VULNRABILITS SPCIFIQUES On slectionne ici les vulnrabilits du systme. A partir des menaces slectionnes prcdemment, la mthode EBIOS propose une liste de vulnrabilits associes aux menaces. Une fois les vulnrabilits slectionnes, nous allons affecter chacune une cotation reprsentant le pourcentage de faisabilit ou de probabilit. A la suite de cette partie, nous obtiendrons donc une table des menaces, des vulnrabilits associes, et la cotation de chacune par rapport chaque entit de notre systme.

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 35/50

Enfin, le produit de ces cotations nous permet de dterminer le facteur risque de chacune des vulnrabilits. On ajoute alors un libell pour chacun des risques dtermin.

R12 1 2 3 4 5

Libell du risque Dfaillance conjugue de plusieurs routeurs Guerre mondiale Un intrus modifie les connexions du commutateur Coupure tlphonique Des pannes interviennent sur le rseau externe

F/P 0.25 0 0.25 0.25 0.5

C 0 0 0 0 0

I 0 0 0 0 0

D 3 4 2 0 2

R18 1 2 3 4

Libell du risque Un espion "coute" les informations transitant Le rseau est en paire torsade --> diaphonie Un intrus a accs la salle serveur et "coute" Un espion "coute" les informations depuis l'extrieur

F/P 0.5 0.25 0.5 0

C 3 3 3

I 0 0 0

D 0 0 0

3 0 0

R23 1 2 3

Libell du risque Un des serveurs de vote tombe en panne Un des serveurs a t mal rpar Utilisation "brutale" du systme

F/P 0.25=0.0625 0.25=0.0625 0.25=0.0625

C 0 0 0

I 0 0 0

D 3 2 2

R33 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Libell du risque L'administrateur modifie des commandes L'administrateur installe des programmes pirates L'administrateur change les programmes applicatifs Le dveloppeur introduit des chevaux de Troie Le matriel n'est pas test avant utilisation L'administrateur modifie des fichiers commandes Grce a son vote, un votant s'introduit dans le systme Un espion pntre dans le site Un espion pntre dans les locaux Un espion usurpe son identit Un espion s'introduit par les conduits d'aration Le dveloppeur introduit des chevaux de Troie Le cousin du dveloppeur s'approprie le programme Le dveloppeur n'apprcie pas le prsident des entits Le dveloppeur se fait manipuler par un candidat

F/P 0.25=0.0625 0.5=0.25 0.5=0.25 0.75*0.5=0.375 0.25 0.25=0.0625 0.5 0.75 0.5 0.5 0.25 0.5 0.5 0.75 0.75

C I D 1 1 0 2 2 0 2 3 1 2 2 1 1 1 1 3 2 3 1 0 0 0 0 0 0 3 0 2 0 0 0 0 0 0 0 2

2 0 0 1 0 0 1 0 0

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 38/50

R36 1 2 3 4 5 6 7 8 9

Libell du risque F/P Un intrus modifie des donnes 0.75 Un espion altre des donnes transmises 0.75=0.5625 Un espion s'introduit dans le site pour altrer des donnes 0.5 Un pirate altre des donnes des locaux 0.25 Un intrus franchit les contrles pour altrer des donnes 0.25 Un pirate s'introduit par les conduits d'aration 0.25 Une connaissance de l'admin s'introduit dans le site 0.5 Conflit entre un votant et le responsable du vote 0.75 Le responsable du bureau du vote est corrompu 0.75

C I D 3 3 0 3 3 0 2 3 0 1 3 0 1 3 0 1 1 0 1 1 0 1 2 0 1 1 0

R40 1 2 3 4 5 6

Libell du risque F/P Un intrus obtient des infos d'un votant 0.75=0.5625 Un intrus se fait passer pour quelqu'un d'autre 0.75 L'administrateur accorde des droits a un espion 0.5 L'administrateur se fait passer pour un autre votant 0.75 L'administrateur donne des droits un espion 0.5 L'administrateur accorde des droits a un espion 0.25

C 3 4 2 2 3 3

I 3 4 2 4 3 3

D 2 2 2 3 2 2

3.5.3 ANALYSE DES RISQUES SPCIFIQUES

Lobjectif de cette tape est de dterminer un impact direct en (C, I, D) issu de la menace et une faisabilit / probabilit issue des vulnrabilits retenues. On obtient le tableau listant les risques associs au systme et son impact associ ainsi que la cotation faisabilit / probabilit. Voir tableaux prcdents 3.5.4 CONFRONTATION DES RISQUES AUX BESOINS

Evaluation des risques pour lorganisme

Nous allons enfin pouvoir retenir les risques qui sont vritablement susceptibles de porter une atteinte aux fonctions ou aux informations sensibles. La slection s'effectue par la mise en relation des risques spcifiques avec les besoins de scurit, pour mettre en vidence l'impact final de la ralisation d'un risque.

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 39/50

En confrontant le vecteur CID du risque et en le comparant celui du besoin dtermin dans la section 3.4.2 (Fiches des besoins de scurit) on obtient limpact final. Si limpact du risque est suprieur celui du besoin, cest celui du besoin qui prime. Si limpact du risque est infrieur, cest celui-ci qui prime. On obtient la fiche dvaluation des risques.

Fonctions :
Identifier l'lecteur Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 D 3 4 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Besoin (3-2-0) Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 0 0 0 0 3 3 1 2 1 3 4 2 C 0 0 0 3 3 0 0 0 1 2 2 3 2 2 2 1 1 3 3 1 1 1 3 4 2 D 3 3 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Impact final I 0 0 0 0 0 0 0 0 1 2 2 2 0 0 0 0 0 2 2 1 2 1 2 2 2 C 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 40/50

Choisir le candidat Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 Voter Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 D 3 4 2 0 0 3 2 2 0 0 0 2 0 D 3 4 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2

Besoin (3-2-0) Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 0 0 0 0 3 3 1 2 1 3 4 2 C 0 0 0 3 3 0 0 0 1 2 2 3 2 2 2 1 1 3 3 1 1 1 3 4 2 D 3 3 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Besoin (3-4-1) Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 C 0 0 0 3 3 0 0 0 1 2 2 3 2 D 3 3 2 0 0 3 2 2 0 0 0 2 0 Impact final I 0 0 0 0 0 0 0 0 1 2 2 3 0 C 0 0 0 1 1 0 0 0 1 1 1 1 1 Impact final I 0 0 0 0 0 0 0 0 1 2 2 2 0 0 0 0 0 2 2 1 2 1 2 2 2 C 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 41/50

R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 Emarger Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3

0 0 0 0 0 0 0 0 0 2 2 2

0 0 0 0 3 3 1 2 1 3 4 2

2 2 1 1 3 3 1 1 1 3 4 2

0 0 0 0 0 0 0 0 0 2 2 2 Besoin (3-3-1)

0 0 0 0 3 3 1 2 1 3 4 2

1 1 1 1 1 1 1 1 1 1 1 1

D 3 4 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2

Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 0 0 0 0 3 3 1 2 1 3 4 2

C 0 0 0 3 3 0 0 0 1 2 2 3 2 2 2 1 1 3 3 1 1 1 3 4 2

D 3 3 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2

Impact final I 0 0 0 0 0 0 0 0 1 2 2 3 0 0 0 0 0 3 3 1 2 1 3 3 2

C 0 0 0 1 1 0 0 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 42/50

Dpouiller Risques R23-1 R23-2 R23-3 R36-1 R36-2 R36-7 R36-8 R36-9 D 3 2 2 0 0 0 0 0

Besoin (3-4-0) Impact I 0 0 0 3 3 1 2 1 C 0 0 0 3 3 1 1 1 D 3 2 2 0 0 0 0 0 Impact final I 0 0 0 3 3 1 2 1 C 0 0 0 0 0 0 0 0

Informations :
Identifiants Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 D 3 4 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Besoin (2-2-3) Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 0 0 0 0 3 3 1 2 1 3 4 2 C 0 0 0 3 3 0 0 0 1 2 2 3 2 2 2 1 1 3 3 1 1 1 3 4 2 D 2 2 2 0 0 2 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Impact final I 0 0 0 0 0 0 0 0 1 2 2 2 0 0 0 0 0 2 2 1 2 1 2 2 2 C 0 0 0 3 3 0 0 0 1 2 2 3 2 2 2 1 1 3 3 1 1 1 3 3 2

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 43/50

Choix du candidat Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 Bulletin de vote Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 D 3 4 2 0 0 3 2 2 0 0 0 2 0 D 3 4 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2

Besoin (1-2-2) Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 0 0 0 0 3 3 1 2 1 3 4 2 C 0 0 0 3 3 0 0 0 1 2 2 3 2 2 2 1 1 3 3 1 1 1 3 4 2 D 1 1 1 0 0 1 1 1 0 0 0 1 0 0 0 0 0 0 0 0 0 0 1 1 1 Besoin (3-3-3) Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 C 0 0 0 3 3 0 0 0 1 2 2 3 2 D 3 3 2 0 0 3 2 2 0 0 0 2 0 Impact final I 0 0 0 0 0 0 0 0 1 2 2 3 0 C 0 0 0 3 3 0 0 0 1 2 2 3 2 Impact final I 0 0 0 0 0 0 0 0 1 2 2 2 0 0 0 0 0 2 2 1 2 1 2 2 2 C 0 0 0 3 3 0 0 0 1 2 2 2 2 2 2 1 1 2 2 1 1 1 2 2 2

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 44/50

R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 Liste d'margement Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3

0 0 0 0 0 0 0 0 0 2 2 2

0 0 0 0 3 3 1 2 1 3 4 2

2 2 1 1 3 3 1 1 1 3 4 2

0 0 0 0 0 0 0 0 0 2 2 2 Besoin (2-2-1)

0 0 0 0 3 3 1 2 1 3 3 2

2 2 1 1 3 3 1 1 1 3 3 2

D 3 4 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2

Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 0 0 0 0 3 3 1 2 1 3 4 2

C 0 0 0 3 3 0 0 0 1 2 2 3 2 2 2 1 1 3 3 1 1 1 3 4 2

D 2 2 2 0 0 2 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2

Impact final I 0 0 0 0 0 0 0 0 1 2 2 2 0 0 0 0 0 2 2 1 2 1 2 2 2

C 0 0 0 1 1 0 0 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 45/50

Urne Risques R23-1 R23-2 R23-3 R36-1 R36-2 R36-7 R36-8 R36-9 D 3 2 2 0 0 0 0 0

Besoin (3-4-2) Impact I 0 0 0 3 3 1 2 1 C 0 0 0 3 3 1 1 1 D 3 2 2 0 0 0 0 0 Impact final I 0 0 0 3 3 1 2 1 C 0 0 0 2 2 1 1 1

Slection et gestion des risques

Il sagit dans cette dernire tape de classer les risques par catgories et de dterminer si la mesure pour contrer le risque est de nature technique, non technique ou une association des deux.

SYNTHESE DES RISQUES POUR LE SYSTEME - CIBLE menaces risques R12-1 R12-2 R12-3 R12-4 R12-5 R18-1 R18-2 R18-3 R18-4 R23-1 R23-2 R23-3 catgorie 1 3 2 3 3 2 3 2 1 2 1 2 T NT X X X X

12

18

X X X X X X X X

23

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 46/50

33

36

40

R33-1 R33-2 R33-3 R33-4 R33-5 R33-6 R33-7 R33-8 R33-9 R33-10 R33-11 R33-12 R33-13 R33-14 R33-15 R36-1 R36-2 R36-3 R36-4 R36-5 R36-6 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 R40-4 R40-5 R40-6

1 1 1 2 1 1 3 2 2 2 2 1 1 1 1 3 3 3 2 2 2 1 1 1 1 2 1 1 1 1

X X X X X X X

X X X

X X X X

X X X X X X X

X X X X X X

X X X X X X

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 47/50

3.6 MESURES TECHNIQUES DE SCURIT


A partir de la fiche remplie prcdemment, nous allons dfinir des fonctions et des mesures de scurit afin de rduire les risques

MESURES TECHNIQUES DE SECURITE menaces 12 risques R12-4 R12-5 R18-1 R18-2 R18-3 R18-4 R23-2 R23-3 R33-2 R33-3 R33-4 R33-5 R33-6 R33-7 R33-10 R33-12 R33-13 R36-1 36 R36-2 R36-3 R36-4 R36-5 R40-1 catgorie 3 3 2 3 2 1 1 2 1 1 2 1 1 3 2 1 1 3 3 3 2 2 1 T Fonctions de scurit X X X Utilisation d'un X Chiffrement des algorithme transmissions X asymtrique X X Prsence de serveurs Redondance de service de secours X X X X X X Vrification de la Comparaison avec la validit du format du structure d'un bulletin X bulletin type mise en place de X Authentification forte certificats vrification des Mise en place d'antiX programmes virus et de firewall X X chiffrement X Vrification de l'intgrit asymtrique X X X X
Protection des informations d'identification et d'authentification Envoi des identifiants sous plis scells au votant

Mcanismes de scurit

18

23

33

40

R40-2 R40-3 R40-4 R40-5 R40-6

2 1 1 1 1

X X X X X

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 48/50

3.7 MATRICE DE TRAABILIT TENDUE


Il sagit de reprendre la matrice cre lors de ltude du besoin et dy rajouter les colonnes spcifiant les fonctions et les mcanismes de scurit.

Nom de la capacit Scrutin :

Nom de la fonction de service


Identification
B9

Besoins essentiels
Vrification d'indentit B10 Assure l'unicit du vote

Fonction de scurit
Protection des informations d'identification

Mcanisme de scurit
Envoie des identifiants sous pli scell au votant

Choix du candidat

Affichage des listes des candidats B11 dansl'ordre officiel B12 L'lecteur doit pouvoir voter blanc L'lecteur doit pouvoir revenir sur son choix B13 avant validation

Chiffrement des transmissions

Utilisation d'un algo asymtrique

Vote

B14 S'assurer du chiffrement de l'urne B15 Assurer l'intgrit du vote B16 Assurer le secret du vote B17 Rception d'un AR ds validation du vote Envoi du bulletin de vote chiffr au serveur B18 de vote Vrification de la validit du format du bulletin Comparaison avec la structure d'un bulletin type

Emargement

B19 Permet de conserver une trace (horodatage) Liste d'margement enregistre sur support B20 scell et non rinscriptible

Aprs le vote :

Dpouillement

B21 Gnration des cls de dpouillement Dcompte des voix via dition scuris ou B22 selon une liaison scurise La fin du dpouillement implique le blocage B23 du systme de vote

4 CONCLUSION
Notre choix d'tude final aprs comparaison, c'est port sur la mthode EBIOS, car contrairement a ISO 17799 ce ne sont pas des rgles de bonnes pratiques, mais rellement une mthode d'audit. MEHARI est galement une mthode mais est fournie avec des outils d'analyse payants (Risicare), contrairement a EBIOS qui fournit un logiciel gratuit pour le droulement de l'analyse. Notre objectif tait de raliser une analyse par le bas ,et de prendre conscience des risques que pouvaient encourir ce systme de vote lectronique. Le choix de drouler la mthode EBIOS nous a permis de voir les subtilits dans l'analyse de risques d'un systme et de discerner la diffrence entre une mthode et un parcours "best practice". Notre analyse nous a permis de recenser tous les risques inhrents au systme. Nous avons alors dtermin les problmes suivants : Confidentialit et identification.

Projet SERE Universit d'Evry M2 ASR Fvrier 2007 Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 50/50