Vous êtes sur la page 1sur 50

PROJET DE SECURITE DES RESEAUX

Comparaison EBIOS / MEHARI / ISO 17799 + étude de cas avec EBIOS

MASTER 2 ASR M Marc ROZENBERG

UNIVERSITE D'EVRY VAL D'ESSONNE

Objet du document Destinataire Rédacteurs

Projet SERE : audit de sécurité M. Marc ROZENBERG
Pascal DUPEYRE – pascal.dupeyre@netasr.net Sylvain GARCIA – sylvain.garcia@isynet.org Armel LOSBAR – armel.losbar@free.fr Fabien DESBRUERES – fabien@desbrueres.fr

Version / Date

Version 1.0 – 14 février 2007

Table des matières
1 - Introduction.................................................................................................................................... .............3 1.1 - Présentation du projet.............................................................................................................. ............3 1.2 - Equipe projet...................................................................................................................... .................3 1.3 - Menace et Risque........................................................................................................... .....................3 2 - Présentation des méthodes et des Best Practices........................................................................................ ..4 2.1 - Les organismes et la sécurité.............................................................................................. .................4 2.1.1 - DCSSI................................................................................................................... ......................4 2.1.2 - CLUSIF............................................................................................................................ ...........5 2.1.3 - ISO.............................................................................................................................. ................5 2.2 - Présentation des méthodes et normes.......................................................................... ........................5 2.2.1 - Norme ou méthode ? .......................................................................................... ........................5 2.2.2 - Pourquoi une norme pour la sécurité de l’information ?...................................................... ........6 2.3 - Présentation d'EBIOS............................................................................................................. .............6 2.3.1 - Qu'est ce que c'est:...................................................................................................................... .6 2.3.2 - Quel est son but ?................................................................................................... .....................6 2.3.3 - Détail de la méthode EBIOS............................................................................ ...........................7 2.4 - MEHARI.................................................................................................................................. ...........8 2.4.1 - Le Plan Stratégique de Sécurité........................................................................................ ...........9 2.4.2 - Les Plans Opérationnels de Sécurité....................................................................................... .....9 2.4.3 - Le Plan Opérationnel d'Entreprise................................................................................. ..............9 2.5 - ISO 17799 : 2005..................................................................................................... .........................10 2.5.1 - Présentation des 10 chapitres constituant la norme ISO 17799............................................ ......11 2.6 - En quoi ces méthodes relèvent-elles de la problématique de sécurité ?........................... ..................18 2.7 - Comparaison des méthodes Mehari, EBIOS, ISO 17799...................................... ............................19 2.7.1 - Géneralités............................................................................................................................... ..19 2.7.2 - Méthodes ou best practice ?..................................................................................................... ..19 2.7.3 - Comment utiliser ce code de bonnes pratiques............................................................ ..............20 3 - Simulation par application de la méthode EBIOS .......................................................... ..........................21 3.1 - Architecture fonctionnelle.......................................................................................... .......................21 3.2 - Architecture technique générale............................................................................ ............................23 3.3 - Etude du contexte.............................................................................................................. ................23 3.3.1 - Etude de l’organisme..................................................................................................... ............24 3.3.2 - Etude du Système cible.................................................................................. ...........................24 3.3.3 - Détermination de la cible de l’étude........................................................................... ...............25 3.4 - Expression des besoins de sécurité................................................................................... .................27 3.4.1 - Détermination des fonctions et des informations sensibles.................................................... ....27 3.4.2 - Rédaction des fiches d’expression des besoins de sécurité.......................................... ..............27 3.4.3 - Synthèse des besoins de sécurité...................................................................... .........................33 3.5 - Etude des risques.................................................................................................................. .............33 3.5.1 - Etude des menaces génériques................................................................................................. ..33 3.5.2 - Etude des vulnérabilités spécifiques........................................................................... ...............35 3.5.3 - Analyse des risques spécifiques........................................................................................ .........39 3.5.4 - Confrontation des risques aux besoins................................................................................... ....39 3.6 - Mesures techniques de sécurité.............................................................................. ...........................48 3.7 - Matrice de traçabilité étendue........................................................................................................ ....49 4 - Conclusion................................................................................................................................................ .50

Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 2/50

1 INTRODUCTION

1.1 PRÉSENTATION DU PROJET
Dans le cadre du cours Sécurité des Réseaux informatique nous devions réaliser un comparatif global et une présentation des méthodes et best practice que sont : ● EBIOS ● MEHARI ● ISO 17799 Suite à cette analyse, nous devrions être capables de répondre aux différentes problématiques suivantes : ● A-t-on réellement le droit de parler de méthodes lorsque l’on parle d’EBIOS, méhari, ou iso 17799 ? ● Mais notamment en quoi ces méthodes constituent un moyen de consolider le fait qu’il s’agit bien de sécurité ? ● Ensuite nous réaliserons une simulation d’EBIOS sur une plateforme de test élaboré pour la gestion des votes des représentants d'un organisme français.

1.2 EQUIPE PROJET
Elle est composée de quatre étudiants du Master 2 Informatique et Systèmes de spécialité Architecture des Systèmes en Réseau de l’université d’Evry. Desbruères Fabien Garcia Sylvain Dupeyre Pascal Losbar Armel Fabien.desbrueres@netys.org Sylvain.garcia@isynet.org Pascal.dupeyre@netasr.net Armel.losbar@free.fr

1.3 MENACE ET RISQUE
Le risque est au centre des méthodes d’analyse de sécurité c’est pour cela qu’il ne faut pas confondre risque et menace : La menace est une atteinte potentielle à la sécurité d’un système. La prévention a pour but de diminuer le degré d’exposition d’un système à la menace. Le risque est la concrétisation de la menace sous la forme d’agressions et de sinistre entraînant ainsi des pertes ou plus généralement des préjudices ou des dommages.

Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 3/50

Les causes de ces sinistres peuvent être de différentes natures, il peut s’agir notamment de pannes, d’événements naturels, de vol de données, d’infection par virus etc ... Il faut être en mesure de mettre en place des procédures pour réaliser dans des délais acceptables une reprise d’activité (PRA, PRS). Comment sécuriser les systèmes Tenter de sécuriser un système d'information revient à essayer de se protéger contre les risques liés à l'informatique pouvant avoir un impact sur la sécurité de celui-ci, ou des informations qu'il traite. Afin de sécuriser les Systèmes d’information nous pouvons donc avoir recours à des méthodes ou des best practice selon les besoins en sécurité engendrés par le SI. En effet, nous nous tournerons vers des méthodes différentes selon le contexte dans lequel nous évoluerons. De nombreuses questions permettront de définir s’il faut se pencher sur une analyse, une méthode, ou des règles de bonnes conduites. Certains systèmes sont dits sécurisés, mais ne respectent pas les éléments de bases liés à la sécurité (par exemple la rédaction de procédures de sécurité qui doivent être analysées par des équipes spécialisées et améliorées dès que possible) : donc dans ces cas là il vaudra peut-être mieux envisager une analyse par le haut (objet du best practice). Dans le cas d’une organisation nouvelle, ou d’une organisation qui ne possède pas réellement de stratégie ou de politique de sécurité, il faudra envisager une analyse par le bas (objet de la méthode ou du parcours). Dans ce rapport, nous nous intéresserons aux méthodes suivantes : ● EBIOS ● MEHARI Ainsi qu’à la norme ISO 17799 qui correspond plus a ce que nous avons appelé précédemment des « best practice ».

2 PRÉSENTATION DES MÉTHODES ET DES BEST PRACTICES
2.1 LES ORGANISMES ET LA SÉCURITÉ
2.1.1 DCSSI Créée en 2001, la DCSSI est le centre focal de l'État français pour la sécurité des systèmes d'information. Elle a pour mission : ● d'évaluer périodiquement la vulnérabilité des systèmes en service, ● de former les responsables informatiques à la sécurité informatique, ● de réguler les moyens de protection et de chiffrement des organismes publics, ● de contribuer à l'élaboration de la politique gouvernementale en terme de sécurité informatique.

Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 4/50

2.1.2 CLUSIF Le CLUSIF est un club professionnel, constitué en association indépendante, ouvert à toute entreprise ou collectivité. Il accueille des utilisateurs issus de tous les secteurs d'activité de l'économie. La finalité du CLUSIF est d'agir pour la sécurité de l'information, facteur de pérennité des entreprises et des collectivités publiques. Il entend ainsi sensibiliser tous les acteurs en intégrant une dimension transversale dans ses groupes de réflexion : management des risques, droit, intelligence économique ... Les groupes de travail traitent de thématiques variées en fonction de l'actualité, des besoins des membres... Le CLUSIF a des relais régionaux, les CLUSIR et des partenaires européens, les CLUSI. 2.1.3 ISO L'Organisation internationale de normalisation (ou ISO - International Organization for Standardization) est un organisme de normalisation international composé de représentants d'organisation nationale de normalisation d'environ 150 pays. Cette organisation créée en 1947 a pour but de produire des normes internationales dans les domaines industriels et commerciaux appelées normes ISO. Elles sont utiles aux organisations industrielles et économiques de tout type, aux gouvernements, aux instances de réglementation, aux dirigeants de l’économie, aux professionnels de l’évaluation de la conformité, aux fournisseurs et acheteurs de produits et de services, dans les secteurs tant public que privé et, en fin de compte, elles servent les intérêts du public en général lorsque celui-ci agit en qualité de consommateur et utilisateur. Le secrétariat central de l'ISO est situé à Genève, en Suisse. Il assure aux membres de l'ISO le soutien administratif et technique, coordonne le programme décentralisé d'élaboration des normes et procède à leur publication. L'ISO est le plus grand organisme de normalisation au monde. C’est une organisation non gouvernementale représentant un réseau d’instituts nationaux de 146 pays, selon le principe d’un membre par pays.

2.2 PRÉSENTATION DES MÉTHODES ET NORMES
2.2.1 NORME OU MÉTHODE ? Une norme peut être définie ainsi : c’est un document de référence basé sur un consensus couvrant un large intérêt industriel ou économique et établi par un processus volontaire. À la différence, une méthode est un moyen d’arriver efficacement à un résultat souhaité, précis. Mais une méthode n’intègre pas la notion de document de référence, ni la notion de consensus. Il ne faut donc pas opposer norme et méthode, mais plutôt les associer, une méthode sera « l’outil » utilisé pour satisfaire à une norme. Ainsi pour mettre en oeuvre efficacement la norme ISO17799, il faut s’appuyer sur une méthode de gestion des risques de type Mehari, Octave, EBIOS, …

Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 5/50

. 2. et notamment de l'autorité qui devra valider la FEROS.2. justement.1 QU'EST CE QUE C'EST: EBIOS est l’acronyme Expression des Besoins et Identification des Objectifs de Sécurité. 2. Des entreprises ayant de nombreux échanges de données avec d’autres sociétés (nationales ou internationales) ou avec de nombreux partenaires et clients ont senti depuis une dizaine d’années la nécessité de s'accorder sur des normes pour aider à sécuriser l’information et les processus d’échanges. ● Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 6/50 .2 QUEL EST SON BUT ? Elle est reconnue comme la méthode idéale pour rédiger des FEROS.3 PRÉSENTATION D'EBIOS 2. ● la justification des objectifs de sécurité à l'aide de l'appréciation des risques SSI. C’est une méthode publiée par la Direction Centrale de la Sécurité des Systèmes d'Information (DCSSI) en février 1997.) ou publics (EBIOS. Cette méthode a été conçue dans ce but et permet la rédaction intégrale de la FEROS. ne constituent pas un label de confiance pour la sécurité globale de l'entreprise. ● l'implication des parties prenantes. qu'ont été lancés des travaux pour établir des standards internationaux dans la sécurité de l’information.3. Cette norme ISO17799 a pour objectif d’établir un label de confiance pour la sécurité globale de l’information de l'entreprise. C'est pour répondre à ce besoin de confiance globale de l’économie numérique. qui a présidé à la création de cette norme ISO17799. en offrant plusieurs avantages comme: la pertinence des objectifs de sécurité. ● l'exhaustivité de l'étude grâce à sa démarche structurée. C'est cet objectif. Elle permet d’identifier les besoins de sécurité d’un système lors de la phase de spécification de ce dernier. qui couvre les risques pesant réellement sur l'organisme.2. FEROS : Fiche d'Expression Rationnelle des Objectifs de Sécurité (des systèmes d’information).3. Mehari. …). liés à leur dimension locale et leur faible pérennité et évolutivité..2 POURQUOI UNE NORME POUR LA SÉCURITÉ DE L’INFORMATION ? Les méthodes existantes de sécurité de l’information qu'elles soient privées (Marion.

afin d’identifier facilement et clairement l’ensemble des fonctions et informations en entrée et sortie du système. informations ou fonctions. nous allons déterminer la sensibilité. l'Intégrité (I) et la Disponibilité (D).2. et aussi qui mettra en oeuvre les mesures de sécurité. Deuxième étape : expression des besoins de sécurité Pour chaque fonction ou information répertoriée dans l’étape précédente. Les impacts possibles sont : ● Interruption de service ● Perte d'image de marque ● Infraction aux lois et règlements ● Atteinte à la vie privée des usagers ● Pertes financières ● Pertes de clientèle ● Perte de réputation La sévérité de l’impact est classifiée de la manière suivante : ● ● ● ● ● 0 pour 1 pour 2 pour 3 pour 4 pour un impact nul un impact faible ou acceptable un impact moyen un impact critique un impact stratégique ou inacceptable Cet impact est apprécié selon 3 critères : La Confidentialité (C).3. Exemples de menaces génériques : ● ● ● Dégâts des eaux Perte de moyens de télécommunications Écoute passive Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 7/50 . Une méthode telle que MERISE. SADT ou autre pourra aider à la représentation de ce système. Troisième étape : étude des risques Le but de cette étape est d’identifier les risques qui pèseront sur le système parmi une liste de menaces générique et par une liste de vulnérabilités associées aux menaces retenues. Ces critères se basent sur l’impact que peut provoquer une altération de ces données.3 DÉTAIL DE LA MÉTHODE EBIOS La méthode EBIOS se décompose en 3 étapes : ● ● ● L'étude du contexte L'expression des besoins de sécurité L'étude des risques Première étape : l'étude du contexte Le but de cette étape est de déterminer de façon précise et sans ambiguïté le système à concevoir ou existant. ainsi que le contexte d’utilisation de ce système.

des audits identifient les vulnérabilités du SI. Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 8/50 . elle est utilisée par de nombreuses entreprises publiques ainsi que par le secteur privé. intégrité. l'analyse des risques proprement dite est réalisée. La démarche générale de Mehari consiste en l'analyse des enjeux de sécurité : quels sont les scénarios redoutés ?. Pour chaque fonction ou information. nous allons spécifier quels risques peuvent y porter atteinte. Le logiciel RISICARE développé par la société BUC SA est un outil de gestion des risques basé sur la méthode Mehari. elle est dérivée des méthodes Melisa et Marion. Nous pourrons alors en déduire des scénarios. et en la classification préalable des entités du SI en fonction de trois critères de sécurité de base (confidentialité. La méthode EBIOS demande "une confrontation des risques aux besoins". Et enfin.● ● ● ● Divulgation externe Dysfonctionnement logiciel Altération des données Erreur d'utilisation Des exemples de vulnérabilités associées à la menace « Dysfonctionnement logiciel » sont: ● mauvaise conception et installation des logiciels ● mauvaise gestion des versions et configuration logicielle ● dysfonctionnements dus au réseau ● absence d'un responsable informatique Nous allons ensuite pondérer chaque menace en fonction de sa probabilité d’apparition ou de sa faisabilité et déterminer si le risque est d’ordre technique ou non technique. Ces enjeux expriment les dysfonctionnements ayant un impact direct sur l'activité de l'entreprise.4 MEHARI Mehari (MEthode Harmonisée d'Analyse de Risques) est développé par le CLUSIF depuis 1995. Existant en langue française et en anglais. 2. Puis. disponibilité).

et par la même les mesures de protections nécessaires. une évaluation de chaque risque (probabilité. Enfin. impact) est réalisée permettant par la suite d'exprimer les besoins de sécurité. une planification de la mise à niveau de la sécurité du SI est faite.1 LE PLAN STRATÉGIQUE DE SÉCURITÉ Le Plan Stratégique de Sécurité fixe les objectifs de sécurité ainsi que les métriques permettant de les mesurer. ils élaborent des scénarios de compromission et audite les services du SI.Schéma général de la méthode Mehari Mehari s'articule autour de 3 types de livrables : 1. Pour cela.4. 2.2 LES PLANS OPÉRATIONNELS DE SÉCURITÉ Les Plans Opérationnels de Sécurité définissent pour chaque site les mesures de sécurité qui doivent être mises en oeuvre.4. le Plan Stratégique de Sécurité (PSS) 2. le Plan Opérationnel d'Entreprise (POE) 2. les Plans Opérationnels de Sécurité (POS) 3.4. C'est à ce stade que le niveau de gravité des risques encourus par l'entreprise est évalué. 2.3 LE PLAN OPÉRATIONNEL D'ENTREPRISE Le Plan Opérationnel d'Entreprise assure le suivi de la sécurité par l'élaboration d'indicateurs sur les risques identifiés et le choix des scénarios de catastrophe contre lesquels il faut se prémunir. Sur la base de cet audit. Il définit la politique de sécurité ainsi que la charte d'utilisation du SI pour ses utilisateurs. Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 9/50 .

2. L'ISO/CEI 17799:2005 est un code de bonne pratique pour les objectifs et mesures. ● gestion des incidents liés à la sécurité de l'information. ● sécurité liée aux ressources humaines. entretenir et améliorer la gestion de la sécurité de l'information au sein d'un organisme. la norme ISO/CEI 17799:2005 donne des lignes directrices et des recommandations pour le management de la sécurité. ● conformité. Les objectifs esquissés fournissent une orientation générale sur les buts acceptés communément dans la gestion de la sécurité de l'information. Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 10/50 . dans les catégories suivantes de la gestion de la sécurité de l'information: ● politique de sécurité. ● contrôle d'accès. ● acquisition. mettre en oeuvre les pratiques efficaces de la gestion de la sécurité. mettre en oeuvre. Mehari apporte une démarche centrée sur les besoins de continuité d'activité de l'entreprise et fournit des livrables types aidés d'un guide méthodologie. Les audits qu'elle propose permettent la création de plan d'actions concrètes.Des bases de connaissances permettent d'automatiser certains calculs de gravité des scénarios de risques. Les objectifs et mesures décrits dans l'ISO/CEI 17799:2005 sont destinés à être mis en oeuvre pour répondre aux exigences identifiées par une évaluation du risque. et participer au développement de la confiance dans les activités entre organismes. L'ISO/CEI 17799:2005 est prévue comme base commune et ligne directrice pratique pour élaborer les référentiels de sécurité de l'organisation. ● gestion opérationnelle et gestion de la communication. développement et maintenance des systèmes d'information. Cette méthode permet donc de construire une politique de sécurité destinée à pallier les vulnérabilités constatées lors des audits du Plans Opérationnels de Sécurité et d'atteindre le niveau de sécurité correspondant aux objectifs fixés dans le Plan Stratégique de Sécurité. ● gestion de la continuité de l'activité. ● organisation de la sécurité de l'information... ● gestion des biens. L'ISO/CEI 17799:2005 établit des lignes directrices et des principes généraux pour préparer.5 ISO 17799 : 2005 Issue de la norme britannique BS 7799. ● sécurité physique et environnementale. proposent des liens entre menaces et parades.

portée globale et importance de la sécurité dans le partage de l'information ● une déclaration de l’implication de la direction de l’organisme. ● les références à la documentation qui peuvent soutenir la politique. de ses objectifs. des objectifs et des activités de sécurité qui reflètent les objectifs de Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 11/50 . soutenant les buts et les principes de la sécurité de l'information. ● une brève explication des principes de sécurité. y compris les modalités de déclaration des incidents de sécurité. o gestion de la continuité d’activité. par exemple: o conformité aux exigences légales et contractuelles.5. o exigences de formation des collaborateurs à la sécurité. o conséquences des violations de la politique de sécurité. o prévention et détection des virus et tout autre logiciel malveillant.Politique de sécurité de l'information Politique de Sécurité de l'Information: Ce chapitre décrit les principaux domaines contenus dans le document de politique sécurité générale : ● une définition de la sécurité de l'information. par exemple des politiques et des procédures plus détaillées de sécurité pour les utilisateurs spécifiques de systèmes d'information ou de règles de sécurité que les utilisateurs devront suivre. des normes et des exigences de conformité d'importance particulière pour l’organisme.1 PRÉSENTATION DES 10 CHAPITRES CONSTITUANT LA NORME ISO 17799 Chapitre 1 . Facteurs de succès de la mise en oeuvre d'une politique de sécurité de l'information : L’expérience a prouvé que les facteurs suivants sont souvent cruciaux pour assurer le succès de la mise en oeuvre de la gestion de la sécurité de l'information au sein d’une organisation : ● une politique.2. ● une définition des responsabilités générales et spécifiques de la gestion de la sécurité de l'information.

pour assigner des rôles de sécurité et pour coordonner l'exécution de la sécurité dans l’organisme. de la sécurité lors de l’externalisation de certaines fonctions de l’organisme Ce chapitre est particulièrement important car il définit l’organisation pour mettre en oeuvre une organisation cohérente de la sécurité. ● une démarche de mise en oeuvre de la gestion de la sécurité qui soit compatible avec la culture de l’organisation. ● Les modalités d’accès à l’information et au système d’information par des tiers (prestataires de services. juridique) des politiques personnalisées. de l’évaluation des risques et de la gestion des risques. ● des formations et une sensibilisation continues appropriées.l’entreprise . Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 12/50 . ● une présentation efficace des questions de sécurité à tous les responsables et employés. notamment dans des sociétés de taille importante. Comité pour la sécurité de l'information : ce comité peut faire partie d'un comité de direction existant. ● approuver les initiatives principales pour renforcer la sécurité de l'information Coordination de la sécurité de l'information : il est décrit. Chapitre 2 . ● une bonne compréhension des exigences de sécurité. …). ● passer en revue et surveiller des incidents de sécurité de l'information. pour approuver la politique de sécurité de l'information. sous-traitants. Typiquement. comité de gestion des risques). notamment les exigences contractuelles à définir. ● un soutien et un engagement réel visible de la direction de l’organisme. ● un système de mesures pour évaluer l’efficacité de la gestion de la sécurité de l’information et les suggestions d’amélioration faites en retour. avec l’appui de la direction. un tel comité doit : ● passer en revue la politique de sécurité de l'information d'approbation et responsabilités globales ● surveiller l’évolution de l’exposition aux menaces des actifs de l'information. ● la distribution à tous les employés et à tous les fournisseurs de lignes directrices sur la politique et les normes de sécurité de l'information. ● Le traitement du cas. comment assurer la coordination. Un ou des groupes de travail devront être mis en oeuvre.Organisation de la sécurité Quelle organisation interne mettre en oeuvre ? Ce chapitre décrit l’organisation interne pour mettre en oeuvre la sécurité dans l’organisation et comporte 3 parties : ● La création et les missions d’une instance (comité sécurité) qui peuvent s’intégrer à une instance déjà existante (comité qualité. sachant que la norme permet d’avoir par entité (géographique. l'implication de la direction et de la hiérarchie et la coopération qui devrait exister entre les différentes entités de l'entreprise.

des procédures devront être définies pour couvrir les types suivants d'activité de manipulation de l'information : ● la copie. ● la transmission par l’oral. restreinte. contrat d’embauche. Un organisme doit pouvoir identifier ses actifs. l'information devra être classifiée pour indiquer le besoin. messagerie vocale.. ● la transmission par la poste. quelques données peuvent exiger des mesures de traitements spécifiques. L'information ayant des degrés variables de sensibilité et de criticité. Après ce travail d’inventaire. Conseil de spécialistes de la sécurité de l'information (interne ou externe) et coopération à l’intérieur de l’organisme. …). La norme considère qu’un système de classification avec des étiquettes physiques est généralement approprié pour les actifs matériels. Ceci semble pertinent sachant qu’il coûte beaucoup plus cher de le traiter après son déploiement. formation à la sécurité : dans ce chapitre sont abordés les différents thèmes de la sécurité lors : ● de la sélection du personnel et son recrutement initial. les contrôles à effectuer : ● vérification des diplômes. ● la destruction. et courrier électronique. Cela devient plus compliqué pour toutes les données stockées sous forme électronique qui nécessitent des applications spéciales. y compris le téléphone portable. ● le stockage. données achat.Sécurité liée au personnel La norme ne se réduit pas à une norme technique. Chapitre 4 . Pour chaque classe d’information (confidentielle. Procédure de recrutement.. ainsi que leur valeur et importance relatives. Chapitre 3 . La norme préconise que soit identifié un propriétaire pour chaque actif principal (exemple : données client.Classification et contrôle des actifs Définir un propriétaire pour chaque actif principal. Inventaire des actifs : Le processus de réalisation de l’inventaire des actifs est un aspect important de la gestion des risques. Ce propriétaire d’information sera responsable de la mise en oeuvre des contrôles appropriés et même si la réalisation des contrôles peut être déléguée. répondeurs/enregistreurs.) de façon à s'assurer qu’un niveau de protection appropriée de cet actif soit mis en oeuvre. la responsabilité finale vis-à-vis de cet actif devra demeurer chez le propriétaire désigné. Processus d'autorisation pour des évolutions du système d’information : la norme préconise une revue des évolutions du SI d’un point de vue sécurité. . Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 13/50 . les priorités et le degré de protection requis. fax.Attribution de responsabilités pour la sécurité de l'information : une bonne pratique est de nommer un propriétaire pour chaque actif principal du système d’information qui devient alors responsable de sa sécurité au jour le jour. revue de l’efficacité et de la pertinence de cette politique de sécurité. elle met beaucoup l’accent sur la culture sécurité de l’entreprise et notamment celle liée à son personnel.

. aux procédures de sécurité en vigueur.Sécurité physique et de l’environnement Sécurité Physique. ● Politique pour limiter l’utilisation de boisson et de nourriture (une des premières causes de panne sur les ordinateurs portables) ● Procédure de sortie des matériels informatiques des locaux. de droit et de responsabilité des employés. Signalement des incidents de sécurité. La sécurité physique est un sujet de fond dans la sécurité de l’information. de canulars …. Il convient d’exiger d’eux qu’ils rapportent les incidents observés ou suspectés aussi rapidement que possible au point de contact indiqué. Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 14/50 . ● La séparation des zones de livraison. menace. de protection des droits d’auteurs. la politique de mots de passe . de virus. la suppression d'un fichier ne résulte pas nécessairement de la destruction ou l'écrasement de celui-ci. Des points plus sensibles sont abordés : ● Comment effacer définitivement les données : avec la plupart des systèmes d'exploitation. Sécurité du matériel informatique. faiblesse ou défaut de fonctionnement de sécurité) qui pourraient avoir un impact sur la sécurité des actifs de l’organisme. La norme présente 25 points de contrôle. aux modalités d’accès aux applications (connexions et déconnexion aux applicatifs). dysfonctionnements. ● revu de la description du poste en intégrant les critères de sécurité ● de l’établissement du contrat de travail en intégrant des clauses de confidentialité. Chapitre 5 . De la même manière sont abordés en 20 points de contrôle. Ces incidents peuvent également être des failles de sécurité (soupçonnées ou avérées). ● la mise en place de systèmes de contrôle d’accès. Processus disciplinaire. ● En outre est abordé le thème de la formation des utilisateurs aux principes de sécurité. et préconise notamment : ● La création de différents niveaux de sécurisation de zone. Il est préconisé qu’un processus disciplinaire officiel (claire et compatible avec la législation en vigueur) soit affiché pour que cela dissuade les éventuels employés peu disposés à respecter les consignes de sécurité. des défauts de fonctionnement de logiciel. Ils devront être mis au courant des procédures pour signaler les différents types d'incident (infraction. les thèmes liés à la sécurité des serveurs et de leur environnement : ● Gestion des alimentations électriques.présentation et vérification de références professionnelles et personnelles ● du changement de poste et notamment les évolutions donnant accès à des données sensibles : ● examen périodique du comportement du collaborateur et de son style de vie.. Dans cette partie on insiste pour que ce soit l’ensemble des employés et fournisseurs de l’organisme qui participe au signalement des incidents de sécurité.

Sont décrits successivement les procédures et contrôles à mettre en oeuvre pour : ● Gérer les évolutions des systèmes d’information (qui est une cause fréquente d’ouverture ou de réouverture de brèches de sécurité) ● Identifier et gérer les différents types d’incidents de sécurité (déni de service. ● Chapitre 6 . . Pour cela plusieurs concepts sont présentés : ● Scellement ● Cryptographie ● Certificats et tiers de confiance ● Signature électronique Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 15/50 . bandes. ● Sauf en utilisant des logiciels qui écrasent en une fois ou plusieurs fois à l'aide de la technologie du Département Américain de la Défense (DoD). ● Séparer le développement informatique et son exploitation ● Gérer un contrat d’infogérance ● Organiser les recettes des développements et des mises en production de traitements ● Se protéger des logiciels malveillants (infections informatiques).Sécurité de l’exploitation et des réseaux Exploitation et réseaux. la brèche de sécurité est grande : si vous supprimez un fichier avec Explorer.. Sécurité de l’exploitation. ● Les méthodes de destruction du matériel. le fichier est simplement déplacé vers un dossier caché « Recycled ». …). 98. il est préconisé d’aller jusqu’à un destruction physique des éléments de stockage (disques. Me.Sous Windows 95. les fichiers ne sont pas réellement détruits. Sécurité du réseau et des échanges. Séparation des fonctions. pour les ordinateurs ayant comporté des données confidentielles. notamment toute la sécurité des échanges et les moyens associés (cryptographie. NT et XP. Les objectifs de la sécurité des échanges sont d’assurer leur confidentialité. Même lorsque vous videz la Corbeille. lorsque cela est nécessaire.. De la même manière. Ce chapitre est un des plus conséquents des 10 chapitres de la norme. …).) ● Séparer les fonctions à risques pour diminuer les risques de connivence entre personne de l’organisme. 2000. communément appelé Corbeille. Ils peuvent toujours être récupérés grâce à des logiciels spéciaux. Deux grands thèmes sont décrits : ● Les thèmes liés à la sécurisation de l’exploitation de l’information ● La sécurité des réseaux au sens large véhiculant l’information. ainsi que l’identification et l’authentification des messages échangés.

devront être identifiées dès la phase de spécifications du projet et être approuvées et documentées en tant qu'élément crucial du système d'information. ● Il convient que les utilisateurs accusent réception des mots de passe.Développement et maintenance des systèmes d'information Développement d'applications. Il ne faut jamais stocker de mots de passe sur un système informatique sous une forme non protégée». …. La gestion des mots de passe. ● exiger que les mots de passe temporaires soient transmis aux utilisateurs de manière sûre. ● Il convient d’éviter la transmission de mots de passe par l’intermédiaire d’un tiers ou au moyen de messages par courrier électronique non protégés. Toutes les exigences de sécurité. Juste un exemple des préconisations de la norme qui concerne la gestion des mots de passe : extrait de la norme : « Il convient de contrôler l’attribution des mots de passe par un processus approuvé par la direction dont le principe doit être le suivant : ● exiger des utilisateurs qu’ils signent une déclaration par laquelle ils s’engagent à ne pas divulguer de mots de passe personnels et à ne pas divulguer de mots de passe collectifs à l’extérieur du groupe. d’impression) ● Contrôle d’accès aux réseaux ● Authentification des utilisateurs pour les connexions à distance ● Contrôle des connexions réseau ● Contrôle de l’accès aux systèmes d’exploitation Chapitre 8 . y compris les procédures de secours. mais également pour les systèmes externes qui se connectent automatiquement à des applications. enregistrement des utilisateurs.Contrôles d’accès logique Ce chapitre décrit la politique à mettre en oeuvre pour structurer la gestion des accès au système d’information pour les utilisateurs de l’organisme. Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 16/50 . gestion des privilèges. lorsque l’on demande aux utilisateurs de maintenir leurs propres mots de passe. ● Examen des droits d'accès des utilisateurs ● Gestion du Matériel sans surveillance (serveurs de fichiers.Chapitre 7 . Gestion des accès logiques. Lorsque les utilisateurs oublient leur mot de passe. un mot de passe temporaire ne doit pouvoir leur être fourni qu’une fois que l’utilisateur a été identifié avec certitude. à savoir : ● Politique de contrôle des accès et exigences de l’entreprise ● Gestion des accès utilisateurs. qu’il leur soit auparavant procuré un mot de passe temporaire qu’ils sont obligés de changer immédiatement. Il est évident que la norme n'est pas une norme de développement de code sécurisé. des applications de l’entreprise et également des applications développées par les utilisateurs. Ce chapitre traite des infrastructures informatiques. Il convient d’identifier les impératifs de sécurité et de les valider avant le développement de systèmes d’information. ● faire en sorte que. Dans ce chapitre sont également abordés les autres thèmes de la gestion des accès.

Sans système d’information.Continuité d'activité La continuité d'activité. cela implique de disposer de plateaux pour loger plusieurs centaines de personnes et les mettre en condition de poursuivre leur travail quotidien et cela ne s’improvise pas. afin de tester la capacité du nouveau dispositif à fonctionner à l’identique de celui qui serait sinistré. l’entreprise a en effet bien du mal à réorganiser ses processus.C’est à dire ce qui concerne : ● Validation des données d’entrée (valeurs au-delà des limites. et un poste de travail. Comme l’ISO 177999 est une norme internationale. Politique sur l’utilisation des mesures cryptographiques: La décision sur le caractère approprié ou non d’une solution cryptographique doit être considérée comme faisant partie d’un processus plus étendu d’évaluation des risques et de sélection de mesures. L’informatique lui offre donc l’opportunité de préserver son patrimoine informationnel et une capacité de redéploiement. ● Validation des données de sortie (contrôles de plausibilité pour vérifier si les données de sortie sont raisonnables …). elle vise à réunir pour chaque collaborateur un emplacement de travail. Il convient de définir et de documenter également les mesures spécifiques et les responsabilités afférentes pour répondre à ces exigences. Chapitre 9 . Chapitre 10 . les dirigeants doivent pouvoir engager des moyens pour garantir la continuité de l’activité et en particulier. Cette conception dépasse la reprise sur le seul sinistre du système d’information . la permanence de la relation client. ● Authentification des messages. un téléphone. Quelles que soient les probabilités de risques. des services de non répudiation et de la gestion des clés. D’où un travail préparatoire important et surtout des simulations. données manquantes ou incomplètes). Cette partie décrit l’ensemble du processus organisationnel à mettre en oeuvre pour assurer une bonne utilisation du cryptage. réglementaires et contractuelles pour chaque système d’information. notamment : Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 17/50 .La gestion de la conformité Conformité nationale ou réglementaire. l’identification de la législation applicable au pays est la première tâche : définir explicitement et documenter les exigences légales. Il convient d’effectuer une évaluation des risques afin de déterminer le niveau de protection qu’il faut donner à l’information. à la condition qu’elle soit sécurisée et que des procédures de sauvegarde soient mises en oeuvre et régulièrement testées. caractères non valides dans des champs de données. Mais. des signatures numériques. à l’échelle d’un siège social. d’un site de production ou d’un centre administratif. ● Contrôle du traitement interne.

des 2. sauvegarde. ● Non-répudiation : Impossibilité pour un utilisateur de nier sa participation à un échange d’information . une action sur une information ou une ressource à un utilisateur déterminé. de délais et de performances des informations et des fonctions par les utilisateurs autorisés. ● Imputabilité : Capacité de pouvoir attribuer. protection des données personnelles Respect de la réglementation des mesures cryptographiques Collecte d’éléments de preuve : Règles de collecte des preuves Admissibilité en tant qu’élément de preuve Qualité et exhaustivité des éléments de preuve Audit de la politique de sécurité et de sa conformité légale. La signature électronique et la réglementation des mesures cryptographiques. ● Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 18/50 . car leurs principales préoccupations concernent la sécurité au regard de l’information.● ● ● ● ● ● ● ● ● ● Les droits de propriété intellectuelle : droits d’auteur. ce sont les exigences de sécurité : Confidentialité : Propriété d’une information ou d’une ressource de n'être accessible qu'aux utilisateurs autorisés (création. Celles-ci ne doivent pouvoir être modifiées que par un acte volontaire et légitime. avec le niveau de confiance exigé. La législation française Les différents textes de lois à intégrer sont : ● Le STAD (loi Godfrain) ● Liberté individuelles (CNIL) : protection des données et confidentialité renseignements personnels. copyright des logiciels. archivage. diffusion. cette participation porte tant sur l’origine de l’information(imputabilité) que sur son contenu (intégrité). destruction). ● Droit de la Propriété Intellectuelle (DPI) : ● Droit d'auteur ● Copyright des logiciels. ● Disponibilité : Propriété d'accessibilité dans des conditions définies d’horaires.6 EN QUOI CES MÉTHODES RELÈVENT-ELLES DE LA PROBLÉMATIQUE DE SÉCURITÉ ? Ces méthodes relèvent bien de la problématique de sécurité. ● Contrôle d’accès : Capacité d’autoriser un utilisateur à accéder à une information ou à une ressource à partir de ses droits et des contrôles appropriés exercés sur ses droits (en particulier. ● Intégrité : Propriété d'exactitude et de complétude des informations et des fonctions de l’information traitée. Ce qui va nous permettre de qualifier la sécurité de l’information. identification / authentification).

des systèmes ou de l'environnement applicatif y compris les algorithmes.7. L'objectif d'une évaluation est de s'assurer que la stratégie de sécurité informatique rejoint les bonnes pratiques. elles permettent l’analyse des enjeux et besoins de sécurité.2 MÉTHODES OU BEST PRACTICE ? Peut-on réellement parler de méthodes pour Mehari.À partir du DIC (Disponibilité.1 GÉNERALITÉS Méthode EBIOS MEHARI ISO Création 1995 1995 1993 Auteur DCSSI CLUSIF ISO Soutenue par Pays Outils Logiciel gratuit Logiciel Risicare Etat Maintenu Maintenu Maintenu gouvernement France association ISO France International 2. la non-répudiation et le contrôle d’accès impactent sur la production. En effet. elle constitue plutôt des « best practice » : cela correspond plus à des règles de bonnes pratiques. Comme nous avons pu le voir précédemment elles constituent un vrai parcours d’analyse avec une démarche et des étapes à valider. Intégrité.7. EBIOS. ISO 17799 2. des firewalls ou des proxy). Il est d'usage de comparer une politique de sécurité avec un standard tel l'ISO 17799 L'évaluation de la sécurité peut s'appliquer à divers composants individuels de l'architecture réseau (configuration des routeurs. et ISO 17799 ? Pour les méthodes méhari et EBIOS nous pouvons réellement parler de méthode. Confidentialité).7 COMPARAISON DES MÉTHODES MEHARI. Le résultat de l'évaluation consiste en un ensemble de recommandations qui visent à adapter des processus. 2. L'évaluation du niveau de sécurité informatique d'un environnement consiste à le confronter aux bonnes pratiques en vigueur (best practices). quant à elle n’est pas une méthode à proprement parler. ISO 17799. des procédures ou des configurations aux standards. EBIOS. on va pouvoir mesurer les impacts de différentes natures : ● impacts financiers ● impacts sur les processus ● impacts d’images L’imputabilité. Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 19/50 .

l’intégrité et la disponibilité de l’information). 2. actionnaires. il faut commencer la démarche par une identification des risques principaux. Dans ce cas une analyse par le haut de type EBIOS ou mehari sera nécessaire. … ● optique d’une certification sécurité à terme (et de réduction des primes d’assurance). D’autres utilisations de cette norme sont également pertinentes : ● construction d’un référentiel sécurité propre à l’entreprise (par exemple en vue d’un audit interne) en partant de mesures ciblées pour l’entreprise ● développement d’un questionnaire de sécurité pour sensibilisation de la Direction de l’Entreprise ● support pour la sensibilisation du personnel de l’entreprise ● outil pour communiquer sur sa stratégie de sécurité vis à vis des clients. ou un petit organisme. l'utilisation d'ISO 17799 en sera probablement différente avec pour objectif de gérer une check-list des thèmes de sécurité à traiter. sans devoir imposer un système de sécurité unique. il faudra envisager de suivre une démarche pour la mise en place de la stratégie et de la politique de sécurité. si une organisation créée un système d’information. cette norme permet de partager un ensemble de principes de bonnes pratiques et de contrôles découlant d’une Politique de Sécurité de l'Information globale (pour garantir la confidentialité. partenaires. Pour une entreprise ayant des entités différentes ou filiales.3 COMMENT UTILISER CE CODE DE BONNES PRATIQUES Développer une Politique de Sécurité de l'Information avec ISO 17799. Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 20/50 .7. Sachant que pour que cela soit pertinent. Pour une PME/PMI. l’utilisation de la norme ISO 17799 pourrait faire l’objet d’une utilisation pour la vérification des bonnes pratiques des règles de sécurité. Il permet d’établir un référentiel et de pouvoir suivre les progrès accomplis par chacune des entités en dépit des différences de culture et d'environnement existantes entre entités. Dans le cas contraire. filiales et pays et ce.On constate donc que si une organisation dispose d’un système d’information et d’une politique de sécurité.

qui permet de déterminer les besoins de sécurité associés aux fonctions sensibles du système cible. l’étude des risques. Cette étude va se décomposer en trois parties comme le préconise la méthode EBIOS. Pour des raisons de confidentialité. permet d’identifier le système cible et de le situer dans son contexte. 3. détermine les risques couverts par les objectifs de sécurité.3 SIMULATION PAR APPLICATION DE LA MÉTHODE EBIOS Notre étude EBIOS s'est déroulé sur un projet de e-vote actuellement en cours de développement dans un organisme d'état français.1 ARCHITECTURE FONCTIONNELLE Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 21/50 . Nous présenterons uniquement l'architecture du système de l'e-vote. étude du contexte. nous ne nommerons pas l'entité auditée. La seconde est l’expression des besoins de sécurité. La troisième. La première.

Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 22/50 .

nous ne ferons pas figurer cette partie de l'étude dans ce rapport. Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 23/50 .2 ARCHITECTURE TECHNIQUE GÉNÉRALE 3. la détermination de la cible de l’étude précisera les entités sur lesquelles ces fonctions s’appliquent.3 ETUDE DU CONTEXTE Cette partie se décompose en trois parties comme le préconise la méthode EBIOS. Enfin. Suivra l’étude du système cible qui mettra en avant les fonctions essentielles associées au système.3. ainsi que les informations associées. Nous effectuerons une étude de l’organisme basée sur l’expression du besoin général et sur des documents concernant l’organisme. Dans notre situation et sur demande de la personne responsable de notre étude. Ceci par souci de confidentialité.

3. Il effectuera le traitement de cette élection de bout en bout.3. 3. le système devant être livré avant la prochaine échéance électorale de 2008. On pourra également retenir la contrainte d’ordre territoriale.2 ETUDE DU SYSTÈME CIBLE Description fonctionnelle du système Le système cible a donc la comme fonction principal la gestion de l’élection des élus de l'organisme. toutes les entités du système devant être localisées sur le territoire français. de la préparation du scrutin au dépouillement des votes et à leur stockage.1 ETUDE DE L’ORGANISME Présentation de l’organisme Organisation générale Contraintes générales On pourra retenir la contrainte d’ordre calendaire. On peut distinguer comme acteur du système cible : ● Votants ● Candidats ● Membres du bureau de vote ● Experts contrôlant le système Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 24/50 .3.

 M2 Serveur Web  M3 Serveur d'annuaire  M4Serveur d'urne  M5 Serveur d'émargement  M6 Serveur de dépouillement Types de logiciels :  L1 système d'exploitation indifférent chez le client  L2 Navigateur Internet  L3 Application Web  L4 Logiciel d'annuaire Types de réseaux :  R1 Réseau Internet pour la connexion des votants  R2 LAN locaux des entités  R3 LAN fédérateur de l'entité fédératrice Types de sites :  S1 Centres informatiques des entités  S2 Centre informatique national de l’entité fédératrice Types de personnels :  P1 Personnels de développement et maintenance des applications : personnels internes et assistance externe.  P4 Président du bureau de vote  P5 Membres du bureau de vote.3.3 DÉTERMINATION DE LA CIBLE DE L’ÉTUDE Caractérisation des moyens de la cible de l’étude Types de matériels :  M1 Ordinateur personnel du votant. Les schémas suivant représentent ces nœuds et les informations les traversant. Ces nœuds représentent alors les fonctions du SI que nous considérons comme essentielles. Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 25/50 .  P2 Electeurs  P3 Personnels d'exploitation des centres informatiques.Caractérisation des processus externes concourant au fonctionnement du système cible Cette partie consiste à mettre en avant les flux d’informations et les nœuds effectuant ces traitements. 3.

Tableau des relations Fonctions / Entités et Informations / Entités du système cible Entités M1 F1 Informer les électeurs F2 Vérifier le système F3 Enregistrer les listes F4 Identifier l'électeur F5 Choisir le candidat F6 Voter F7 Emarger F8 Dépouiller F9 Prouver F10 Publier I1 Liste des votants I2 Identifiant de l'électeur I3 Liste des candidats I4 Choix du candidat I5 Bulletin de vote I6 Liste d'émargement I7 Urne I8 Taux de participation I9 Résultats par candidat I10 Rapport d'erreur Matériels Logiciels Réseaux Sites Personnels M2 M3 M4 M5 M6 L1 L2 L3 L4 R1 R2 R3 S1 S2 P1 P2 P3 P4 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X P5 Fonctions X X X Informations X X X X X X X X X X X X X X X X .

nous avons sélectionné les suivantes : F4.4. I6. Informations : Identifiants du votant Sinistres Disponibilité Intégrité Confidentialité Inaccessibilité Destruction 1 2 2 Impacts Impact Besoin de sécurité Modification accidentelle Modification délibérée 1 2 2 Divulgation interne Divulgation externe 2 3 3 Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 27/50 . et I2.2 RÉDACTION DES FICHES D’EXPRESSION DES BESOINS DE SÉCURITÉ A partir des critères proposés par la méthode EBIOS afin de juger la sévérité de l’impact des sinistres sur chacun des fonctions et des informations. Intégrité. le but de cette étape est de déterminer quelle sont les fonctions et informations parmi les précédentes que nous allons considérer comme sensible.4. F6.4 EXPRESSION DES BESOINS DE SÉCURITÉ A partir des fonctions et des informations essentielles. I4. I7 3. Nous créerons ensuite un tableau pour chacun des éléments identifiés afin de déterminer leur vecteur CID (Confidentialité.1 DÉTERMINATION DES FONCTIONS ET DES INFORMATIONS SENSIBLES Soit les fonctions essentielles F1-F10 et les informations essentielles I1-I10. F7. I5. F8.3. F5. Disponibilité) 3.

Choix du candidat Sinistres Disponibilité Bulletin de vote Sinistres Disponibilité Intégrité Confidentialité Intégrité Confidentialité Impacts Impact Besoin de sécurité Inaccessibilité Destruction 1 1 0 Modification accidentelle Modification délibérée 1 2 2 Divulgation interne Divulgation externe 1 2 2 Impacts Impact Besoin de sécurité Inaccessibilité Destruction 2 3 3 Modification accidentelle Modification délibérée 2 3 3 Divulgation interne Divulgation externe 2 3 3 Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 28/50 .

Liste d'émargement Sinistres Disponibilité Intégrité Confidentialité Urne Sinistres Disponibilité Intégrité Confidentialité Impacts Impact Besoin de sécurité Inaccessibilité Destruction 0 2 2 Modification accidentelle Modification délibérée 1 2 2 Divulgation interne Divulgation externe 1 1 1 Impacts Impact Besoin de sécurité Inaccessibilité Destruction 2 3 3 Modification accidentelle Modification délibérée 3 4 4 Divulgation interne Divulgation externe 2 2 2 Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 29/50 .

Fonctions : Identifier l'électeur Sinistres Interruption complète (longue durée) Interruption complète (courte durée) Dégradation des performances Résultats incorrects Intégrité Choisir le candidat Sinistres Interruption complète (longue durée) Interruption complète (courte durée) Dégradation des performances Résultats incorrects Intégrité Confidentialité Résultats incomplets Disponibilité 3 Confidentialité Résultats incomplets Disponibilité 3 Impacts Impact Besoin de sécurité 2 0 2 3 2 1 Divulgation de l'existence de la fonction Divulgation externe 0 0 0 Impacts Impact Besoin de sécurité 2 0 2 3 2 1 Divulgation de l'existence de la fonction Divulgation externe 0 0 0 Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 30/50 .

Voter Sinistres Disponibilité Emarger Sinistres Intégrité Confidentialité Disponibilité Intégrité Confidentialité Impacts Interruption complète (longue durée) Interruption complète (courte durée) Dégradation des performances Résultats incorrects Résultats incomplets Impact Besoin de sécurité 3 2 3 0 4 4 3 Divulgation de l'existence de la fonction Divulgation externe 0 1 1 Impacts Interruption complète (longue durée) Interruption complète (courte durée) Dégradation des performances Résultats incorrects Résultats incomplets Impact Besoin de sécurité 3 2 0 3 3 3 2 Divulgation de l'existence de la fonction Divulgation externe 0 1 1 Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 31/50 .

Dépouiller Sinistres Impacts Interruption complète (longue durée) Interruption complète (courte durée) Dégradation des performances Résultats incorrects Impact Besoin de sécurité Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 32/50 Disponibilité Intégrité Confidentialité 3 2 1 4 3 4 Résultats incomplets 3 Divulgation de l'existence de la fonction Divulgation externe 0 0 0 .

Besoin de sécurité 3.3.DÉGÂT DES EAUX 3. nous allons les confronter aux besoins pour déterminer les risques. A partir de menaces génériques. Fonctions Informations THÈME  ACCIDENTS PHYSIQUES Identifier l'électeur Choisir le candidat Voter Emarger Dépouiller 0 0 1 1 0 2 2 4 3 4 3 3 3 3 3 Identifiants du votant Choix du candidat Bulletin de vote Liste d'émargement Urne 3 2 3 1 2 2 2 3 2 4 2 1 3 2 3 FICHE DE SÉLECTION DES MENACES MENACE 1.4.INCENDIE 2. 3.ACCIDENTS MAJEURS A D L A S T Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 33/50 .3 SYNTHÈSE DES BESOINS DE SÉCURITÉ Il s’agit du tableau récapitulatif des fiches rédigées précédemment.5 ETUDE DES RISQUES Le but de cette étape est de déterminer les risques couvrant les besoins de sécurité définit dans la partie précédente.5.1 ETUDE DES MENACES GÉNÉRIQUES On sélectionne ici les menaces que l’on considère pertinente et adaptée à notre problématique.POLLUTION 4.

ÉVÉNEMENTS NATURELS PERTE DE SERVICES ESSENTIELS PERTURBATIONS DUES AUX RAYONNEMENTS COMPROMISSION DES INFORMATIONS DÉFAILLANCE TECHNIQUE AGRESSION PHYSIQUE 5.PIÉGEAGE DU MATÉRIEL 31.VOL DE MATÉRIELS 25.ATTEINTE À LA MAINTENABILITÉ DU SI 27.ALTÉRATION DU LOGICIEL 33.UTILISATION ILLICITE DU MATÉRIEL 32.PIÉGEAGE DU LOGICIEL 39.PERTE DES MOYENS DE TÉLÉCOMMUNICATIONS 13.ÉCOUTE PASSIVE 19.ESPIONNAGE À DISTANCE 18.DYSFONCTIONNEMENT LOGICIEL 28.COPIE FRAUDULEUSE DE LOGICIEL 35.FRAUDE 23.PIÉGEAGE DU MATÉRIEL 33.CRUE 10.USURPATION DE DROIT 42.DÉFAILLANCE DE LA CLIMATISATION 11.RAYONNEMENTS THERMIQUES 15.VOL DE MATÉRIELS 21.PHÉNOMÈNE MÉTÉOROLOGIQUE 9.ABUS DE DROIT X 40.USURPATION DE DROIT 41.VOL DE SUPPORTS OU DE DOCUMENTS 20.DYSFONCTIONNEMENT MATÉRIEL 25.UTILISATION DE LOGICIELS CONTREFAITS OU X X X X Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 34/50 .IMPULSIONS ÉLECTROMAGNÉTIQUES (IEM) 16.DIVULGATION INTERNE 22.RAYONNEMENTS ÉLECTROMAGNÉTIQUES 14.SATURATION DU MATÉRIEL 28.DESTRUCTION DE MATÉRIELS X X X X X X X X X X X X X X ACTIONS ILLICITES COMPROMISSION DES FONCTIONS 30.ABUS DE DROIT 40.SATURATION DU MATÉRIEL 26.RENIEMENT D'ACTIONS 42.PHÉNOMÈNE VOLCANIQUE 8.PHÉNOMÈNE CLIMATIQUE 6.INTERCEPTION DE SIGNAUX PARASITES COMPROMETTANTS 17.PIÉGEAGE DU LOGICIEL 39.FRAUDE 20.ATTEINTE À LA MAINTENABILITÉ DU SI 30.UTILISATION ILLICITE DU MATÉRIEL 33.PIÉGEAGE DU LOGICIEL X 34.PANNE MATÉRIELLE 24.PERTE D'ALIMENTATION ÉNERGÉTIQUE 12.DIVULGATION EXTERNE 29.INFORMATIONS SANS GARANTIE DE L'ORIGINE 30.PHÉNOMÈNE SISMIQUE 7.PIÉGEAGE DU MATÉRIEL 31.

nous obtiendrons donc une table des menaces.RENIEMENT D'ACTIONS 42.ERREUR DE SAISIE 38.USURPATION DE DROIT 41.5.ALTÉRATION DES DONNÉES 39. la méthode EBIOS propose une liste de vulnérabilités associées aux menaces. et la cotation de chacune par rapport à chaque entité de notre système. A la suite de cette partie.ABUS DE DROIT 40.FRAUDE 43.ATTEINTE À LA DISPONIBILITÉ DU PERSONNEL 37. A partir des menaces sélectionnées précédemment.ERREUR D'UTILISATION X X X X X X 3. Une fois les vulnérabilités sélectionnées. des vulnérabilités associées.ERREUR COPIÉS 36. Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 35/50 . nous allons affecter à chacune une cotation représentant le pourcentage de faisabilité ou de probabilité.2 ETUDE DES VULNÉRABILITÉS SPÉCIFIQUES On sélectionne ici les vulnérabilités du système.

.

.

25 0 0.25 0.5 0 C 3 3 3 I 0 0 0 D 0 0 0 3 0 0 R23 1 2 3 Libellé du risque Un des serveurs de vote tombe en panne Un des serveurs a été mal réparé Utilisation "brutale" du système F/P 0.Enfin.25 0. R12 1 2 3 4 5 Libellé du risque Défaillance conjuguée de plusieurs routeurs Guerre mondiale Un intrus modifie les connexions du commutateur Coupure téléphonique Des pannes interviennent sur le réseau externe F/P 0.5 0.0625 0. un votant s'introduit dans le système Un espion pénètre dans le site Un espion pénètre dans les locaux Un espion usurpe son identité Un espion s'introduit par les conduits d'aération Le développeur introduit des chevaux de Troie Le cousin du développeur s'approprie le programme Le développeur n'apprécie pas le président des entités Le développeur se fait manipuler par un candidat F/P 0.25 0.75*0.5²=0.25 0.5 0.0625 0. le produit de ces cotations nous permet de déterminer le facteur risque de chacune des vulnérabilités.25²=0.5²=0.25 0.5=0.25 0.0625 0.5 0.0625 0.5 0.5 0.25 0. On ajoute alors un libellé pour chacun des risques déterminé.5 C 0 0 0 0 0 I 0 0 0 0 0 D 3 4 2 0 2 R18 1 2 3 4 Libellé du risque Un espion "écoute" les informations transitant Le réseau est en paire torsadée --> diaphonie Un intrus a accès à la salle serveur et "écoute" Un espion "écoute" les informations depuis l'extérieur F/P 0.75 0.75 C I D 1 1 0 2 2 0 2 3 1 2 2 1 1 1 1 3 2 3 1 0 0 0 0 0 0 3 0 2 0 0 0 0 0 0 0 2 2 0 0 1 0 0 1 0 0 Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 38/50 .375 0.25²=0.75 0.25²=0.0625 C 0 0 0 I 0 0 0 D 3 2 2 R33 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Libellé du risque L'administrateur modifie des commandes L'administrateur installe des programmes pirates L'administrateur change les programmes applicatifs Le développeur introduit des chevaux de Troie Le matériel n'est pas testé avant utilisation L'administrateur modifie des fichiers commandes Grâce a son vote.25²=0.25²=0.5 0.

4 CONFRONTATION DES RISQUES AUX BESOINS Evaluation des risques pour l’organisme Nous allons enfin pouvoir retenir les risques qui sont véritablement susceptibles de porter une atteinte aux fonctions ou aux informations sensibles.75 Le responsable du bureau du vote est corrompu 0.75 L'administrateur donne des droits à un espion 0.75 L'administrateur accorde des droits a un espion 0.25 Une connaissance de l'admin s'introduit dans le site 0. Voir tableaux précédents 3.25 Un intrus franchit les contrôles pour altérer des données 0.5 L'administrateur se fait passer pour un autre votant 0.25 C 3 4 2 2 3 3 I 3 4 2 4 3 3 D 2 2 2 3 2 2 3.25 Un pirate s'introduit par les conduits d'aération 0.5. La sélection s'effectue par la mise en relation des risques spécifiques avec les besoins de sécurité.5 Conflit entre un votant et le responsable du vote 0.75 C I D 3 3 0 3 3 0 2 3 0 1 3 0 1 3 0 1 1 0 1 1 0 1 2 0 1 1 0 R40 1 2 3 4 5 6 Libellé du risque F/P Un intrus obtient des infos d'un votant 0.5 Un pirate altère des données des locaux 0.3 ANALYSE DES RISQUES SPÉCIFIQUES L’objectif de cette étape est de déterminer un impact direct en (C. On obtient le tableau listant les risques associés au système et son impact associé ainsi que la cotation faisabilité / probabilité.5 L'administrateur accorde des droits a un espion 0.5.75²=0.75²=0. D) issu de la menace et une faisabilité / probabilité issue des vulnérabilités retenues. pour mettre en évidence l'impact final de la réalisation d'un risque.R36 1 2 3 4 5 6 7 8 9 Libellé du risque F/P Un intrus modifie des données 0.75 Un espion altère des données transmises 0.5625 Un intrus se fait passer pour quelqu'un d'autre 0. I.5625 Un espion s'introduit dans le site pour altérer des données 0. Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 39/50 .

Fonctions : Identifier l'électeur Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 D 3 4 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Besoin (3-2-0) Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 0 0 0 0 3 3 1 2 1 3 4 2 C 0 0 0 3 3 0 0 0 1 2 2 3 2 2 2 1 1 3 3 1 1 1 3 4 2 D 3 3 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Impact final I 0 0 0 0 0 0 0 0 1 2 2 2 0 0 0 0 0 2 2 1 2 1 2 2 2 C 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 40/50 .En confrontant le vecteur CID du risque et en le comparant à celui du besoin déterminé dans la section 3. Si l’impact du risque est inférieur. Si l’impact du risque est supérieur à celui du besoin. c’est celui du besoin qui prime. c’est celui-ci qui prime. On obtient la fiche d’évaluation des risques.2 (Fiches des besoins de sécurité) on obtient l’impact final.4.

Choisir le candidat Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 Voter Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 D 3 4 2 0 0 3 2 2 0 0 0 2 0 D 3 4 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Besoin (3-2-0) Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 0 0 0 0 3 3 1 2 1 3 4 2 C 0 0 0 3 3 0 0 0 1 2 2 3 2 2 2 1 1 3 3 1 1 1 3 4 2 D 3 3 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Besoin (3-4-1) Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 C 0 0 0 3 3 0 0 0 1 2 2 3 2 D 3 3 2 0 0 3 2 2 0 0 0 2 0 Impact final I 0 0 0 0 0 0 0 0 1 2 2 3 0 C 0 0 0 1 1 0 0 0 1 1 1 1 1 Impact final I 0 0 0 0 0 0 0 0 1 2 2 2 0 0 0 0 0 2 2 1 2 1 2 2 2 C 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 41/50 .

R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 Emarger Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 0 0 0 0 0 0 0 0 0 2 2 2 0 0 0 0 3 3 1 2 1 3 4 2 2 2 1 1 3 3 1 1 1 3 4 2 0 0 0 0 0 0 0 0 0 2 2 2 Besoin (3-3-1) 0 0 0 0 3 3 1 2 1 3 4 2 1 1 1 1 1 1 1 1 1 1 1 1 D 3 4 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 0 0 0 0 3 3 1 2 1 3 4 2 C 0 0 0 3 3 0 0 0 1 2 2 3 2 2 2 1 1 3 3 1 1 1 3 4 2 D 3 3 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Impact final I 0 0 0 0 0 0 0 0 1 2 2 3 0 0 0 0 0 3 3 1 2 1 3 3 2 C 0 0 0 1 1 0 0 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 42/50 .

Dépouiller Risques R23-1 R23-2 R23-3 R36-1 R36-2 R36-7 R36-8 R36-9 D 3 2 2 0 0 0 0 0 Besoin (3-4-0) Impact I 0 0 0 3 3 1 2 1 C 0 0 0 3 3 1 1 1 D 3 2 2 0 0 0 0 0 Impact final I 0 0 0 3 3 1 2 1 C 0 0 0 0 0 0 0 0 Informations : Identifiants Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 D 3 4 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Besoin (2-2-3) Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 0 0 0 0 3 3 1 2 1 3 4 2 C 0 0 0 3 3 0 0 0 1 2 2 3 2 2 2 1 1 3 3 1 1 1 3 4 2 D 2 2 2 0 0 2 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Impact final I 0 0 0 0 0 0 0 0 1 2 2 2 0 0 0 0 0 2 2 1 2 1 2 2 2 C 0 0 0 3 3 0 0 0 1 2 2 3 2 2 2 1 1 3 3 1 1 1 3 3 2 Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 43/50 .

Choix du candidat Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 Bulletin de vote Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 D 3 4 2 0 0 3 2 2 0 0 0 2 0 D 3 4 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Besoin (1-2-2) Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 0 0 0 0 3 3 1 2 1 3 4 2 C 0 0 0 3 3 0 0 0 1 2 2 3 2 2 2 1 1 3 3 1 1 1 3 4 2 D 1 1 1 0 0 1 1 1 0 0 0 1 0 0 0 0 0 0 0 0 0 0 1 1 1 Besoin (3-3-3) Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 C 0 0 0 3 3 0 0 0 1 2 2 3 2 D 3 3 2 0 0 3 2 2 0 0 0 2 0 Impact final I 0 0 0 0 0 0 0 0 1 2 2 3 0 C 0 0 0 3 3 0 0 0 1 2 2 3 2 Impact final I 0 0 0 0 0 0 0 0 1 2 2 2 0 0 0 0 0 2 2 1 2 1 2 2 2 C 0 0 0 3 3 0 0 0 1 2 2 2 2 2 2 1 1 2 2 1 1 1 2 2 2 Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 44/50 .

R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 Liste d'émargement Risques R12-1 R12-2 R12-5 R18-1 R18-4 R23-1 R23-2 R23-3 R33-1 R33-2 R33-3 R33-4 R33-6 R33-7 R33-13 R33-14 R33-15 R36-1 R36-2 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 0 0 0 0 0 0 0 0 0 2 2 2 0 0 0 0 3 3 1 2 1 3 4 2 2 2 1 1 3 3 1 1 1 3 4 2 0 0 0 0 0 0 0 0 0 2 2 2 Besoin (2-2-1) 0 0 0 0 3 3 1 2 1 3 3 2 2 2 1 1 3 3 1 1 1 3 3 2 D 3 4 2 0 0 3 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Impact I 0 0 0 0 0 0 0 0 1 2 2 3 0 0 0 0 0 3 3 1 2 1 3 4 2 C 0 0 0 3 3 0 0 0 1 2 2 3 2 2 2 1 1 3 3 1 1 1 3 4 2 D 2 2 2 0 0 2 2 2 0 0 0 2 0 0 0 0 0 0 0 0 0 0 2 2 2 Impact final I 0 0 0 0 0 0 0 0 1 2 2 2 0 0 0 0 0 2 2 1 2 1 2 2 2 C 0 0 0 1 1 0 0 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 45/50 .

non technique ou une association des deux. SYNTHESE DES RISQUES POUR LE SYSTEME .CIBLE menaces risques R12-1 R12-2 R12-3 R12-4 R12-5 R18-1 R18-2 R18-3 R18-4 R23-1 R23-2 R23-3 catégorie 1 3 2 3 3 2 3 2 1 2 1 2 T NT X X X X 12 18 X X X X X X X X X 23 Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 46/50 .Urne Risques R23-1 R23-2 R23-3 R36-1 R36-2 R36-7 R36-8 R36-9 D 3 2 2 0 0 0 0 0 Besoin (3-4-2) Impact I 0 0 0 3 3 1 2 1 C 0 0 0 3 3 1 1 1 D 3 2 2 0 0 0 0 0 Impact final I 0 0 0 3 3 1 2 1 C 0 0 0 2 2 1 1 1 Sélection et gestion des risques Il s’agit dans cette dernière étape de classer les risques par catégories et de déterminer si la mesure pour contrer le risque est de nature technique.

33 36 40 R33-1 R33-2 R33-3 R33-4 R33-5 R33-6 R33-7 R33-8 R33-9 R33-10 R33-11 R33-12 R33-13 R33-14 R33-15 R36-1 R36-2 R36-3 R36-4 R36-5 R36-6 R36-7 R36-8 R36-9 R40-1 R40-2 R40-3 R40-4 R40-5 R40-6 1 1 1 2 1 1 3 2 2 2 2 1 1 1 1 3 3 3 2 2 2 1 1 1 1 2 1 1 1 1 X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 47/50 .

nous allons définir des fonctions et des mesures de sécurité afin de réduire les risques MESURES TECHNIQUES DE SECURITE menaces 12 risques R12-4 R12-5 R18-1 R18-2 R18-3 R18-4 R23-2 R23-3 R33-2 R33-3 R33-4 R33-5 R33-6 R33-7 R33-10 R33-12 R33-13 R36-1 36 R36-2 R36-3 R36-4 R36-5 R40-1 catégorie 3 3 2 3 2 1 1 2 1 1 2 1 1 3 2 1 1 3 3 3 2 2 1 T Fonctions de sécurité X X X Utilisation d'un X Chiffrement des algorithme transmissions X asymétrique X X Présence de serveurs Redondance de service de secours X X X X X X Vérification de la Comparaison avec la validité du format du structure d'un bulletin X bulletin type mise en place de X Authentification forte certificats vérification des Mise en place d'antiX programmes virus et de firewall X X chiffrement X Vérification de l'intégrité asymétrique X X X X Protection des informations d'identification et d'authentification Envoi des identifiants sous plis scellés au votant Mécanismes de sécurité 18 23 33 40 R40-2 R40-3 R40-4 R40-5 R40-6 2 1 1 1 1 X X X X X Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 48/50 .6 MESURES TECHNIQUES DE SÉCURITÉ A partir de la fiche remplie précédemment.3.

7 MATRICE DE TRAÇABILITÉ ÉTENDUE Il s’agit de reprendre la matrice créée lors de l’étude du besoin et d’y rajouter les colonnes spécifiant les fonctions et les mécanismes de sécurité.3. Nom de la capacité Scrutin : Nom de la fonction de service Identification B9 Besoins essentiels Vérification d'indentité B10 Assure l'unicité du vote Fonction de sécurité Protection des informations d'identification Mécanisme de sécurité Envoie des identifiants sous pli scellé au votant Choix du candidat Affichage des listes des candidats B11 dansl'ordre officiel B12 L'électeur doit pouvoir voter blanc L'électeur doit pouvoir revenir sur son choix B13 avant validation Chiffrement des transmissions Utilisation d'un algo asymétrique Vote B14 S'assurer du chiffrement de l'urne B15 Assurer l'intégrité du vote B16 Assurer le secret du vote B17 Réception d'un AR dès validation du vote Envoi du bulletin de vote chiffré au serveur B18 de vote Vérification de la validité du format du bulletin Comparaison avec la structure d'un bulletin type Emargement B19 Permet de conserver une trace (horodatage) Liste d'émargement enregistrée sur support B20 scellé et non réinscriptible Après le vote : Dépouillement B21 Génération des clés de dépouillement Décompte des voix via édition sécurisé ou B22 selon une liaison sécurisée La fin du dépouillement implique le blocage B23 du système de vote .

Projet SERE – Université d'Evry – M2 ASR – Février 2007 ©Copyright Fabien DESBRUERES / Pascal DUPEYRE / Sylvain GARCIA / Armel LOSBAR 50/50 . contrairement a EBIOS qui fournit un logiciel gratuit pour le déroulement de l'analyse. Le choix de dérouler la méthode EBIOS nous a permis de voir les subtilités dans l'analyse de risques d'un système et de discerner la différence entre une méthode et un parcours "best practice". mais réellement une méthode d'audit.et de prendre conscience des risques que pouvaient encourir ce système de vote électronique. c'est porté sur la méthode EBIOS. Nous avons alors déterminé les problèmes suivants : Confidentialité et identification. MEHARI est également une méthode mais est fournie avec des outils d'analyse payants (Risicare). Notre objectif était de réaliser une analyse par le bas . Notre analyse nous a permis de recenser tous les risques inhérents au système. car contrairement a ISO 17799 ce ne sont pas des règles de bonnes pratiques.4 CONCLUSION Notre choix d'étude final après comparaison.