Vous êtes sur la page 1sur 4

République Algérienne Démocratique et Populaire

Ministère de l’Enseignement Supérieur et de la Recherche Scientifique


Université SAAD DAHLAB – Blida –
Faculté de Sciences – Département Informatique

Spécialité : SSI Master II Module : Méthodologie de sécurité 23/01/2018

Exercice 1: Algérie Poste


Description
Algérie Poste a procédé récemment au lancement du plusieurs
services qui s’inscrit dans une nouvelle stratégie, visant à moderniser
et mettre à jour le secteur postal en s'adaptant aux systèmes bancaires
en ligne, ces systèmes ont de nombreuses caractéristiques et capacités
en commun, mais, traditionnellement, certains d'entre eux sont
spécifiques aux applications. Les caractéristiques communes tombent
généralement dans plusieurs catégories :
 Transactionnel, qui comprend l'exécution de transactions
financières telles que le transfert d'un compte vers un compte, le
paiement d'une facture, etc. Le système prendrait en charge :
 Présentation et paiement de factures électroniques;
 Transfert de fonds entre les propres comptes d'un client par
chèques et les comptes épargne, ou les comptes d'un autre
client;
 Achat ou vente d'investissement;
 Les demandes de prêt et les transactions.

 Non-transactionnel comprenant des relevés en ligne, des liens de


vérification et des relevés bancaires;
 Administration des institutions financières;
 Support de plusieurs utilisateurs ayant différents niveaux
d'autorité;
 Processus d'approbation des transactions.

Les fonctionnalités qui sont généralement uniques aux services


bancaires par Internet peuvent inclure:
 Soutien à la gestion financière personnelle
o Par exemple, importer des données dans un logiciel de
comptabilité personnel;
 Agrégation de compte.
Permettre aux clients de surveiller tous leurs comptes en un seul
endroit, soit avec leur banque principale ou avec d'autres institutions.

Page 1 sur 4
Question1 : Caractériser le système décrit en dessus en remplissant le
tableau 1
Tableau 1. Le Système 5 Pts
Composants (minimum 5) Interface utilisateur, système de traitement des
1.25 Pts transactions, des systèmes pour les opérations
non transactionnelles, Base de données, etc.
Infrastructure (minimum 3) Réseau, Internet, Systèmes d'exploitation, etc.
0.75 Pts
Applications 0.5 Pts Système bancaire en ligne, Autres systèmes
(internes) de l’Algérie poste (paie, personnel,
Stock, etc.)
Le personnel informatique Administrateur du réseau, Administrateur de la
0.5 Pts base de données, Développeurs des composants
du système bancaire en ligne, RSSI, CSE, etc.
Utilisateurs internes et Gestionnaire / administrateur de l’Algérie poste,
la gestion 0.5 Pts employés de l’Algérie poste de la réception jusqu’
au PDG, etc.
Clients et utilisateurs externes Clients de l’Algérie poste (physiques et
1 Pts juridiques), autres banques, autres systèmes qui
sont liés au système bancaire en ligne

Environnement 0.5 Pts -Tout le Pays, la région où la banque est située


(exemple région centre ou wilaya de Blida)
- Cyber espace (le web)

Page 2 sur 4
Question 2 : En fonction de la solution fournie pour la question 1,
exécutez une itération du processus de gestion des risques pour gérer
un risque de sécurité. Remplissez le tableau 2 :

Tableau 2. Les composants du risque de sécurité 13 Pts


Business assets Données financières personnelles soumises au
interface d'entrée et stockée dans la base de données
System assets 1.5 Pts A. Interface d'entrée utilisée dans le système
bancaire en ligne.
B. Support de transmission qui transfère des
données financières personnelles.
C. Base de données du système bancaire en ligne
pour stocker les données financières personnelles
Critères de sécurité A. Confidentialité des données financières
1.5 Pts personnelles
B. Intégrité des données financières personnelles
C. Disponibilité des données financières
personnelles
Risque 2 Pts Un attaquant intercepte le support de transmission et
manipule les données financières personnelles en
raison du caractéristique du support de transmission
et du manque de crypto-fonctionnalité à l'interface
d'entrée et à la base de données, entraînant la perte
d'intégrité des données financières personnelles.
Impact 1.5 Pts 1. Perte d'intégrité des données financières
personnelles;
2. Les données financières personnelles ne sont pas
soumises et stockées de manière sécurisée;
3. Perte de la fiabilité du moyen de transmission.
un événement 1 Pts Un attaquant intercepte le support de transmission
en raison de ses caractéristiques, capture des données
financières personnelles en raison du manque de
crypto-fonctionnalité à l'interface d'entrée, modifie
(un exemple …) et transmet des données financières
personnelles à la base de données.
Vulnérabilité Caractéristiques du moyen de transmission à intercepter.
Manque de crypto-fonctionnalité à l'interface d'entrée et à
la base de données.
Menace 1 Pts Un attaquant intercepte le support de transmission,
capture, modifie et transmet des données financières
personnelles à la base de données.
Agent de menace 0.5 Pts Un attaquant avec des moyens d'interception du
support de transmission, agissant comme un proxy.
Page 3 sur 4
Méthode d'attaque - Intercepter le support de transmission entre
1 Pts l'interface d'entrée et la base de données.
- Capturer, modifier et transmettre des données
financières personnelles à la base de données.
Décision de traitement du Réduction de risque.
risque 1 Pts
Exigence de sécurité ES1: Le système bancaire en ligne doit vérifier les
1 Pts données financières personnelles reçues avec
l'original avant de les stocker dans la base de
données.
Contrôle 1 Pts Une fonction de hachage cryptographique

Question 3: Définir d'autres exigences de sécurité pour atténuer le


risque identifié dans la question 2. 2 Pts

ES2: Le système bancaire en ligne devrait rendre les données


financières personnelles illisibles aux attaquants à l'interface
d'entrée. 0.25 Pts
ES3: Le système bancaire en ligne doit utiliser un autre moyen de
transmission plus sécurisé. 0.25 Pts
ES4: Le système bancaire en ligne devrait empêcher la corruption
non autorisée des données financières personnelles collectées auprès
des clients des banques. 0.25 Pts
ES5: Le système bancaire en ligne doit identifier le client de la
banque avant de lui permettre d'utiliser ses fonctions. 0.25 Pts

Page 4 sur 4