Vous êtes sur la page 1sur 250

MEHARI 2007

Manuel de référence
des Services de Sécurité

23 Février 2007

Espace Méthodes

CLUB DE LA SÉCURITÉ DE L’INFORMATION FRANÇAIS


30, rue Pierre Sémard, 75009 Paris
T : +33 1 53 25 08 80 / F : +33 1 53 25 08 88
clusif@clusif.asso.fr - http://www.clusif.asso.fr/
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité

Le CLUSIF rappelle que MEHARI est destiné à des professionnels de la sécurité et vous invite
à prendre connaissance de la licence d’utilisation et de redistribution ci-dessous :

Contrat de Licence Publique MEHARI1


Version 2007-01 : 23 Janvier 2007
MEHARI est une méthode de management des risques liés à la sécurité de l’information, conçue et mise au point
par le CLUSIF.
La distribution initiale de MEHARI, émanant du CLUSIF, est constituée de trois éléments :
- Le fichier “base de connaissance”, au format accessible par un tableur,
- Le manuel de référence des services de sécurité,
- Le manuel de référence des scénarios (ou situations) de risque.
Le présent contrat a pour objet la concession par le CLUSIF au Licencié d’une licence non exclusive, cessible et
mondiale de MEHARI telle que définie ci-après.
La redistribution et l’utilisation de cette base de connaissance et des manuels associés ("MEHARI"), avec ou sans
modification, sont autorisées à condition que les deux conditions suivantes soient remplies:
1. Les redistributions, quelque en soit la forme, doivent reproduire les formulations de copyright et les notices
applicables, dont cette liste de conditions, ainsi que la renonciation ci-dessous, dans chacun des éléments constituant la
distribution initiale,
2. Les redistributions doivent contenir une copie conforme de ce texte.
Le CLUSIF se réserve le droit de réviser cette licence, par exemple afin de prendre en compte de nouvelles
problématiques rencontrées par les logiciels libres.
Chaque mise à jour possédera un numéro de version distinct.
Toute redistribution de MEHARI obtenue sous une version donnée de la licence ne pourra faire l’objet d’une
diffusion ultérieure que sous la même version de la licence ou une version postérieure.
MEHARI est distribué “en l’état” par le CLUSIF, il s’agit d’un outil destiné à être utilisé par des spécialistes en
informatique et en sécurité et le contenu et les résultats produits par l'utilisation de la Base de Données MEHARI le
sont à titre purement indicatif, et ne sauraient se substituer à une analyse humaine par un homme de l'art compétent et
il appartient à l'Utilisateur de mettre en œuvre ses compétences et son discernement, ou de se faire assister par un
professionnel compétent.
Le CLUSIF n'est aucunement responsable de la fourniture ou du bon fonctionnement de Logiciels de Consultation.
Le CLUSIF ne pourra être reconnu responsable de quelque dommage direct ou indirect causé à l’utilisateur ou
causé à un tiers du fait de la base de données MEHARI, de son support, de sa documentation ou résultant de la
fourniture de prestations éventuelles.
MEHARI est une marque déposée par le CLUSIF.
Copyright 1997-2007 CLUSIF, PARIS, France.
http://www.clusif.asso.fr/
clusif@clusif.asso.fr
Tous droits réservés.
La permission de copier et de distribuer des copies conformes de ce document est accordée.

1
Cette licence est compatible avec les règles de GNU GPL. http://www.gnu.org/

2
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité

Introduction

Le présent manuel de référence a pour objectif de présenter et de définir les services de sécurité
à mettre en place pour sécuriser l’information et les systèmes d’information.
Il accompagne la base de connaissance utilisée lors de la phase d’analyse des vulnérabilités de
MEHARI et facilite celle-ci de plusieurs façons :
- par le rappel de l’objectif de chaque élément (service, sous-service et contrôle élémentaire)
des questionnaires de la base,
- par l’indication des résultats attendus au niveau des services et des sous-services,
- par la description des mécanismes et solutions associés à chaque sous-service, y compris la
distinction entre mesures organisationnelles et mesures techniques,
- par la clarification des éléments permettant d’établir la qualité de chaque sous-service selon
trois critères d’analyse : l’efficacité, la robustesse et la mise sous-contrôle2.
En ce qui concerne la place de la phase d’audit dans les démarches proposées par MEHARI, il est
nécessaire de se reporter au document « principes et mécanismes », tandis que les éléments de
mesure de la qualité des sous-services sont fournis dans le « guide du diagnostic de l’état des
services de sécurité » et leur utilisation pour évaluer les risques résiduels figurent dans le « guide de
l’analyse des risques ».
Pour un auditeur junior, souvent dérouté par la forme, souvent aride, d’un questionnaire d’audit,
ce manuel apporte des éléments d’explication utilisables soit pour lui même soit vis à vis de la
personne auditée lors des entretiens.
Ce manuel fournit par ailleurs des apports directement utilisables pour proposer des
améliorations de sécurité « ponctuelles » ou à apporter à la politique de sécurité, sinon à rédiger un
tel document. Cette phase de MEHARI permet d’obtenir directement plusieurs types d’indicateurs de
sécurité globaux : associés à des services ou domaines de sécurité ou à des thèmes transversaux
(contrôles d’accès, plans de continuité d’activité, etc.) ou aux contrôles recommandés par la norme
ISO 17799.
Pour les organisations utilisant MEHARI dans une démarche de mise en conformité à la
normalisation ISO ou de certification, ce manuel fournit des éléments d’explication pour les
bénéfices qui en résultent.

Organisation générale des services de sécurité


L’organisation de ces services3 en groupes de services et en domaines a été faite dans l’optique
d’un diagnostic de la qualité des services pouvant être utilisé pour une analyse de risques MEHARI.
L’objectif de l’analyse de risques conduit à distinguer des fonctions semblables, voire
identiques, quand elles portent sur des objets administrés et/ou utilisés par des personnes différentes

2
Cette distinction est souvent apparente, pour l’auditeur expérimenté, dans la séquence des points de contrôle
élémentaires, elle devrait être plus formalisée dans une prochaine version de MEHARI et permettre ainsi de
différencier les organisations selon leur niveau de maturité pour la sécurité de l’information.
3
Dans la suite de cette introduction, le terme « service » est utilisé pour désigner des « sous-services ».

3
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité

donc devant être contrôlés lors d’entretiens spécifiques. Ainsi distingue-t-on, par exemple, des
fonctions de sécurité portant sur des équipements de réseau de celles portant sur des systèmes
informatiques.
Cette distinction, si elle peut paraître alourdir les questionnaires d’audit des services de sécurité,
facilite à la fois la charge d’audit et l’analyse des vulnérabilités qui en résulte, car les solutions
organisationnelles et techniques apportées dans chaque domaine d’application sont différentes.
De même, il est ainsi aisé de réaliser des entretiens bien ciblés auprès de chaque personne
responsable pour chaque variante d’audit définie par le schéma d’audit (par exemple pour des types
de systèmes ou des applications ou des environnements de travail spécifiques).

Objectif des services de sécurité


L’objectif recherché par chaque service est indiqué par une phrase en tête de celui-ci. Cette
formulation peut être rapprochée du terme “objective” fourni dans l’annexe A de la norme ISO
27001 mais à un niveau plus fin, pouvant correspondre au champ du terme ”control” utilisé par
ailleurs dans la norme.

Mécanismes et solutions (Mesures organisationnelles et mesures techniques)


Pour MEHARI, les questions d’audit sont autant de points de contrôle de l’existant (technique ou
organisationnel) répondant au besoin d’assurer l’objectif du service tel qu’il est décrit. Ces contrôles
correspondent à un certain niveau de « finesse » nécessaire pour faire l’évaluation des mesures en
place, sachant qu’il serait toujours possible de rechercher un niveau plus fin, au risque d’alourdir
l’audit.
Quelques services sont constitués uniquement de mesures générales organisationnelles, les
autres services – dits techniques – combinent des mesures techniques et des mesures
organisationnelles les accompagnant.
MEHARI considère que dans le premier cas, ces services sont utiles, voire nécessaires, à la
sécurité des systèmes d’information, mais dont l’effet se situe davantage au plan de l’organisation,
du pilotage de la sécurité ou de la sensibilisation, sans influence directe et mesurable sur la
potentialité ou l’impact de scénarios précis. C’est le cas de plusieurs services du domaine 1
(Organisation).
Les services techniques, la majorité, sont normalement4 associés à la réduction des risques au
travers de scénarios. Au sein de ces services :
— Les mesures techniques ont un rôle précis, une finalité directe et ont un effet immédiat sur
certains scénarios qu’il est possible de préciser. Il faut préciser que les mesures techniques
doivent être soutenues par des pratiques et des processus organisationnels adaptés,
d’accompagnement de leur mise en œuvre,
— Les mesures organisationnelles ainsi définies constituent le socle sans lequel les mesures
techniques ne peuvent être valablement efficaces (par exemple, les processus de gestion
des droits et des comptes pour les contrôles d’accès ou de gestion des clés de chiffrement
pour la confidentialité des données).

Qualité des services de sécurité


La différence entre les services ne contenant que des mesures générales et les services

4
Il arrive que ce ne soit pas le cas et alors la base de scénarios de risques peut être étendue lors de l’audit ou de
versions à venir.

4
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité

techniques se traduit par des approches différentes pour l’évaluation de leur « qualité de service ».

Qualité des services de mesures générales


Pour évaluer la qualité des services de mesures générales, deux paramètres doivent être pris en
compte :
— Leur efficacité qui, dans ce cas sera vue comme leur capacité à générer des plans d’action
ou des changements significatifs de comportement
— Leur mise sous contrôle qui représente d’une part leur aptitude à être mesurés en termes de
mise en œuvre ou d’effet, et d’autre part la mise en place effective d’indicateurs et de
systèmes de contrôle.

Qualité des services techniques


Pour évaluer la qualité des services techniques, trois paramètres doivent être pris en compte :
— Leur efficacité qui représente leur capacité à accomplir pleinement leur finalité, face aux
menaces et aux agressions plus ou moins fortes
— Leur robustesse qui représente leur aptitude à résister à des attaques directes visant à les
inhiber ou à les contourner, attaques menées par des agresseurs de niveau plus ou moins
élevé.
— Leur mise sous contrôle qui représente la surveillance et le contrôle des mécanismes de
sécurité eux-mêmes impliqués dans l’accomplissement de la finalité.
Les fiches établies dans la suite du document pour présenter chaque service de sécurité
indiquent :
— La finalité du service
— Les résultats attendus de la mise en œuvre du service
— Les mécanismes et solutions supportant le service
— Les éléments à prendre en compte pour évaluer la qualité du service

Domaines de regroupement des services de sécurité


Les services de sécurité sont regroupés en 12 domaines :
— Domaine 1 : Organisation
— Domaine 2 : Sécurité des sites et bâtiments
— Domaine 3 : Sécurité des locaux
— Domaine 4 : Réseau étendu intersites
— Domaine 5 : Réseau local
— Domaine 6 : Exploitation des réseaux
— Domaine 7 : Architecture et sécurité des systèmes
— Domaine 8 : Production informatique
— Domaine 9 : Sécurité applicative
— Domaine 10 : Sécurité des projets et développements applicatifs
— Domaine 11 : Protection de l’environnement de travail
— Domaine 12 : Aspects juridiques et réglementaires

5
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité

Les indicateurs de sécurité de MEHARI


MEHARI a toujours incorporé la possibilité de réunir les résultats de l’analyse des services au
sein d’indicateurs globaux établis par groupe de services et par domaine mais aussi par thème
(comme la gestion des incidents ou les plans de secours).
En ce qui concerne les « thèmes », un onglet de la base fournit les moyens de constituer ces
indicateurs au nombre de 16.
Aussi, suite à l’arrivée de la norme ISO 17799, il a été décidé de fournir un indicateur par sous-
chapitre de cette norme et la formulation permettant de les établir intégrée dans un onglet de la base
de connaissances..

MEHARI et les normes ISO 27000


Depuis plusieurs versions, MEHARI a donc ajouté aux précédents indicateurs des indicateurs de
conformité de l’organisation selon le découpage de la norme ISO 17799:2000, appelés ”scoring”.
Pour MEHARI 2007, les indicateurs proposés se plient au découpage par ”control” de la version
17799:2005 (reprise dans l’annexe A de ISO 27001:2005) et sont constitués de moyennes des
résultats des réponses (Oui/Non) aux points de contrôle de l’audit qui correspondent aux
“implementation guidance” de la norme.
Ainsi, suite à une analyse des vulnérabilités effectuée conformément aux préconisations de
MEHARI, il est possible d’obtenir une suite de valeurs alignées sur le découpage de la norme et
constituant un ensemble d’indicateurs de conformité de l’organisation, ceci devant permettre de
répondre à la recommandation figurant dans la norme ISO 27001 (§4.2.1 c) de sélectionner une
méthodologie d’analyse de risque produisant des résultats « comparables et reproductibles ».
Par ailleurs, le CLUSIF a effectué un important effort de comparaison avec les deux normes et
intégré plusieurs nouveaux points de contrôle destinés à fournir des indicateurs aussi précis que
possible, tout en tirant bénéfice de la richesse de MEHARI et sans en changer les objectifs.

6
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité

Sommaire général des services de sécurité

Introduction....................................................................................................................3
Sommaire général des services de sécurité ...............................................................7
Domaine 1 : Organisation ...........................................................................................15
01A Rôles et structures de la sécurité...............................................................................................15
01A01 Organisation du management et du pilotage de la sécurité générale ..................................17
01A02 Organisation du management et du pilotage de la sécurité des SI......................................18
01A03 Système général de reporting et de gestion des incidents...................................................19
01A04 Organisation des audits et du plan d’audit ...........................................................................20
01A05 Gestion de crise liée à la sécurité de l’information ...............................................................21
01B Référentiel de sécurité .................................................................................................................22
01B01 Devoirs et responsabilités du personnel et du management ...............................................22
01B02 Directives générales de protection de l’information..............................................................23
01B03 Classification des ressources ...............................................................................................24
01B04 Gestion des actifs .................................................................................................................25
01C Gestion des ressources humaines.............................................................................................26
01C01 Engagements du personnel – clauses contractuelles ..........................................................26
01C02 Gestion du personnel stratégique.........................................................................................27
01C03 Procédures d’habilitation du personnel.................................................................................28
01C04 Sensibilisation et formation du personnel.............................................................................29
01C05 Gestion des tierces parties ...................................................................................................30
01C06 Enregistrement des personnes.............................................................................................31
01D Assurances ....................................................................................................................................32
01D01 Assurance des dommages matériels....................................................................................32
01D02 Assurance des dommages immatériels................................................................................33
01D03 Assurance Responsabilité Civile ..........................................................................................34
01D04 Assurance Perte de Personnages clés.................................................................................35
01E Continuité de l’activité..................................................................................................................36
01E01 Prise en compte des besoins de continuité de l’activité .......................................................36
01E02 Plans de Continuité de l’activité............................................................................................37
Domaine 2 : Sécurité des sites et bâtiments .............................................................38
02A Contrôle d’accès physique au site et aux bâtiments...............................................................38
02A01 Gestion des droits d’accès au site ou à l’immeuble..............................................................39
02A02 Gestion des autorisations d’accès au site ou à l’immeuble ..................................................40
02A03 Contrôle d’accès au site ou à l’immeuble .............................................................................41
02A04 Détection des intrusions sur le site ou dans l’immeuble.......................................................42

7
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité

02A05 Accès aux zones de déchargement ou de chargement .......................................................43


Domaine 3 : Sécurité des locaux................................................................................44
03A Services généraux ........................................................................................................................46
03A01 Qualité de la fourniture de l’énergie......................................................................................46
03A02 Continuité de la fourniture de l’énergie .................................................................................47
03A03 Sécurité de la climatisation ...................................................................................................48
03A04 Qualité du câblage ................................................................................................................49
03A05 Protection contre la foudre....................................................................................................50
03B Contrôle d’accès aux locaux sensibles .....................................................................................51
03B01 Gestion des droits d’accès aux locaux sensibles .................................................................51
03B02 Gestion des autorisations d’accès aux locaux sensibles......................................................52
03B03 Contrôle d’accès aux locaux sensibles.................................................................................53
03B04 Détection des intrusions dans les locaux sensibles .............................................................54
03B05 Surveillance périmétrique des locaux sensibles...................................................................55
03B06 Surveillance des locaux sensibles ........................................................................................56
03B07 Contrôle d’accès au câblage ................................................................................................57
03B08 Localisation des locaux sensibles.........................................................................................58
03C Sécurité contre les dégâts des eaux ..........................................................................................59
03C01 Prévention des risques de dégâts des eaux.........................................................................59
03C02 Détection des dégâts des eaux ............................................................................................60
03C03 Évacuation de l’eau...............................................................................................................61
03D Sécurité contre l’incendie ............................................................................................................62
03D01 Prévention des risques d’incendie ........................................................................................62
03D02 Détection incendie ................................................................................................................63
03D03 Extinction incendie ................................................................................................................64
03E Protection contre les risques environnementaux divers........................................................65
03E01 Protection contre les risques environnementaux divers .......................................................65
Domaine 4 : Réseau étendu intersites .......................................................................66
04A Sécurité de l’architecture du réseau étendu et continuité de service...................................68
04A01 Sûreté de fonctionnement des éléments d’architecture du réseau étendu ..........................68
04A02 Télépilotage de l’exploitation du réseau étendu ...................................................................69
04A03 Organisation de la maintenance des équipements du réseau étendu .................................70
04A04 Procédures et plans de reprise du réseau étendu sur incidents ..........................................71
04A05 Plan de sauvegarde des configurations du réseau étendu ..................................................72
04A06 Plan de sauvegarde des données applicatives du réseau étendu .......................................73
04A07 Plan de Reprise d’Activité (PRA) du réseau étendu.............................................................74
04B Contrôle des connexions sur le réseau étendu........................................................................76
04B01 Profils de sécurité des entités connectées au réseau étendu ..............................................76

8
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité

04B02 Authentification de l’entité accédante lors d’accès entrants depuis le réseau étendu .........77
04B03 Authentification de l’entité accédée, lors d’accès sortants vers d’autres entités par le réseau
étendu ...................................................................................................................................78
04C Sécurité des données lors des échanges et des communications.......................................79
04C01 Chiffrement des échanges sur le réseau étendu..................................................................79
04C02 Contrôle de l’intégrité des échanges sur le réseau étendu ..................................................80
04D Détection et traitement des incidents sur le réseau étendu ...................................................81
04D01 Surveillance en temps réel du réseau étendu ......................................................................81
04D02 Surveillance en temps différé des traces, logs et journaux d’événements sur le réseau étendu
....................................................................................................................................82
04D03 Traitement des incidents du réseau étendu .........................................................................83
Domaine 5 : Réseau local............................................................................................84
05A Sécurité de l’architecture du réseau local.................................................................................86
05A01 Partitionnement du réseau local en domaines de sécurité...................................................86
05A02 Sûreté de fonctionnement des éléments d’architecture du réseau local..............................87
05A03 Télépilotage de l’exploitation du réseau local.......................................................................88
05A04 Organisation de la maintenance des équipements du réseau local.....................................89
05A05 Procédures et plans de reprise du réseau local sur incidents..............................................90
05A06 Plan de sauvegarde des configurations du réseau local ......................................................91
05A07 Plan de sauvegarde des données applicatives du réseau local...........................................92
05A08 Plan de Reprise d’Activité (PRA) du réseau local ................................................................93
05A09 Gestion des fournisseurs critiques du réseau local (vis-à-vis de la permanence de la
maintenance) ........................................................................................................................94
05B Contrôle d’accès au réseau local de données..........................................................................95
05B01 Gestion des profils d’accès au réseau local de données .....................................................95
05B02 Gestion des autorisations d’accès et privilèges (attribution, délégation, retrait) ..................96
05B03/05B05/05B06 Authentification de l’accédant lors de l’accès au réseau local.........................97
05B04 Authentification de l’accédant lors de l’accès au réseau local depuis un site distant via le
réseau étendu .......................................................................................................................99
05B07 Filtrage général des accès au réseau local ........................................................................100
05B08 Contrôle du routage des accès sortants .............................................................................101
05B09 Authentification de l’entité accédée, lors d’accès sortants vers des sites sensibles..........102
05C Sécurité des données lors des échanges et des communications sur le réseau local ...103
05C01 Chiffrement des échanges sur le réseau local ...................................................................103
05C03 Chiffrement des échanges lors des accès distants au réseau local...................................103
05C02 Protection de l’intégrité des échanges sur le réseau local .................................................104
05C04 Protection de l’intégrité des échanges lors des accès distants au réseau local ................104
05D Détection et traitement des incidents et anomalies du réseau local...................................105
05D01 Surveillance en temps réel du réseau local........................................................................105

9
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité

05D02 Surveillance en temps différé des traces, logs et journaux des événements sur le réseau local
..................................................................................................................................106
05D03 Traitement des incidents du réseau local ...........................................................................107
Domaine 6 : Exploitation des réseaux .....................................................................108
06A Sécurité des procédures d’exploitation...................................................................................110
06A01 Prise en compte de la sécurité dans les relations avec le personnel d’exploitation...........110
06A02 Contrôle de la mise en production de nouveaux logiciels ou matériels ou d’évolutions de
logiciels ou matériels...........................................................................................................111
06A03 Contrôles des opérations de maintenance .........................................................................112
06A04 Contrôle de la télémaintenance ..........................................................................................113
06A05 Gestion des procédures opérationnelles ............................................................................114
06A06 Gestion des prestataires de service ...................................................................................115
06A07 Prise en compte de la confidentialité lors des opérations de maintenance sur les équipements
de réseau ............................................................................................................................116
06A08 Gestion des contrats de services réseaux..........................................................................117
06B Paramétrage et contrôle des configurations matérielles et logicielles...............................118
06B01 Paramétrage des équipements de réseau et contrôle des configurations .........................118
06B02 Contrôle des configurations Utilisateurs .............................................................................119
06C Contrôle des droits d’administration .......................................................................................120
06C01 Gestion des droits privilégiés sur les équipements de réseau ...........................................120
06C02 Authentification et contrôle des droits d’accès des administrateurs et personnels d’exploitation
..................................................................................................................................121
06C03 Surveillance des actions d’administration des réseaux ......................................................122
06C04 Contrôle des outils et utilitaires de l’exploitation.................................................................123
06D Procédures d’audit et de contrôle des réseaux......................................................................124
06D01 Fonctionnement des contrôles d'audit ................................................................................124
06D02 Protection des outils et résultats d'audit .............................................................................125
Domaine 7 : Sécurité des systèmes et de leur architecture...................................126
07A Contrôle d’accès aux systèmes et applications.....................................................................128
07A1 Gestion des profils d’accès (droits et privilèges accordés en fonction des profils de fonction)
..................................................................................................................................128
07A2 Gestion des autorisations d’accès et privilèges (attribution, délégation, retrait) ...............129
07A3 Authentification de l’accédant .............................................................................................130
07A4 Filtrage des accès et gestion des associations ..................................................................131
07B Confinement des environnements ...........................................................................................132
07B1 Contrôle des accès aux résidus..........................................................................................132
07C Gestion et enregistrement des traces......................................................................................133
07C1 Enregistrement des accès aux ressources sensibles.........................................................133
07C2 Enregistrement des appels aux procédures privilégiées ....................................................134
07D Sécurité de l’architecture...........................................................................................................135

10
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité

07D1 Sûreté de fonctionnement des éléments d’architecture .....................................................135


07D02 Isolement des systèmes sensibles .....................................................................................136
Domaine 8 : Production informatique ......................................................................137
08A Sécurité des procédures d’exploitation...................................................................................140
08A01 Prise en compte de la sécurité de l’information dans les relations avec le personnel
d’exploitation .......................................................................................................................140
08A02 Contrôle des outils et utilitaires de l’exploitation.................................................................141
08A03 Télépilotage de l’exploitation ..............................................................................................142
08A04 Contrôle de la mise en production de nouveaux systèmes ou d’évolutions de systèmes
existants..............................................................................................................................143
08A05 Contrôle des opérations de maintenance...........................................................................144
08A06 Prise en compte de la confidentialité lors des opérations de maintenance (matérielle et
logicielle) sur des systèmes de production.........................................................................145
08A07 Contrôle de la télémaintenance ..........................................................................................146
08A08 Diffusion des états imprimés sensibles...............................................................................147
08A09 Gestion des procédures opérationnelles ............................................................................148
08A10 Gestion des prestataires de service ...................................................................................149
08B Paramétrage et contrôle des configurations ..........................................................................150
08B01 Paramétrage des systèmes et contrôle des configurations systèmes ...............................150
08B02 Contrôle des configurations applicatives ............................................................................150
08B03 Contrôle de la conformité des programmes de référence ..................................................151
08B04 Contrôle des configurations Utilisateurs .............................................................................152
08B05 Contrôle du caractère licite des licences logicielles ...........................................................153
08C Gestion des supports informatiques de données et programmes......................................154
08C01 Administration des supports ...............................................................................................154
08C02 Marquage des supports de production ...............................................................................155
08C03 Sécurité physique des supports de production stockés sur site.........................................156
08C04 Sécurité physique des supports externalisés (stockés sur site externe)............................157
08C05 Vérification et rotation des supports d’archivage................................................................158
08C06 Protection des réseaux de stockage (SAN : Storage Area Network) .................................159
08D Continuité de fonctionnement...................................................................................................161
08D01 Organisation de la maintenance du matériel ......................................................................161
08D02 Organisation de la maintenance du logiciel........................................................................162
08D03 Procédures et plans de reprise des applications sur incidents ..........................................163
08D04 Sauvegarde des logiciels de base et applicatifs.................................................................164
08D05 Sauvegarde des données applicatives ...............................................................................165
08D06 Plans de reprise d’activité...................................................................................................166
08D07 Protection antivirale des serveurs de production................................................................167
08D08 Gestion des systèmes critiques (vis-à-vis de la permanence de la maintenance).............168
08D09 Sauvegarde de recours externalisées ................................................................................169

11
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité

08E Détection et traitement des incidents et anomalies...............................................................170


08E01 Détection et traitement en temps réel des anomalies et incidents .....................................170
08E02 Surveillance en temps différé des traces, logs et journaux ................................................171
08E03 Gestion et traitement des incidents systèmes et applicatifs ...............................................172
08F Contrôle des droits d’administration .......................................................................................173
08F01 Gestion des droits privilégiés sur les systèmes..................................................................173
08F02 Authentification et contrôle des droits d’accès des administrateurs et personnels d’exploitation
..................................................................................................................................174
08F03 Surveillance des actions d’administration des systèmes....................................................175
08G Procédures d’audit et de contrôle des systèmes de traitement de l’information..............176
08G01 Fonctionnement des contrôles d'audit ................................................................................176
08G02 Protection des outils et résultats d'audit .............................................................................177
Domaine 9 : Sécurité applicative..............................................................................178
09A Contrôle d’accès applicatif ........................................................................................................181
09A01 Gestion des profils d’accès aux données applicatives .......................................................181
09A02 Gestion des autorisations d’accès aux données applicatives ............................................182
09A03 Authentification lors de l’accès aux données applicatives..................................................183
09A04 Filtrage des accès aux données applicatives .....................................................................184
09B Contrôle de l’intégrité des données .........................................................................................185
09B01 Scellement des données sensibles (fichiers) .....................................................................185
09B02 Protection de l’intégrité des données échangées...............................................................186
09B03 Contrôle de la saisie des données......................................................................................187
09B04 Contrôles permanents.........................................................................................................188
09C Contrôle de la confidentialité des données.............................................................................189
09C01 Chiffrement des données échangées .................................................................................189
09C02 Chiffrement des données stockées ....................................................................................190
09C03 Dispositif anti-rayonnement ................................................................................................191
09D Disponibilité des données .........................................................................................................192
09D01 Enregistrement de Très Haute Sécurité (THS)...................................................................192
09D02 Reconstitution des données ...............................................................................................193
09D03 Reconstitution des traitements ...........................................................................................194
09D04 Organisation de l’archivage ................................................................................................195
09E Continuité de fonctionnement...................................................................................................196
09E01 Reconfiguration matérielle ..................................................................................................196
09E02 Plans de Continuité Utilisateurs..........................................................................................197
09E03 Plans d’urgence ..................................................................................................................198
09E04 Gestion des applications critiques (vis-à-vis de la permanence de la maintenance).........199
09E05 Reconstitution des programmes de traitement...................................................................200
09F Contrôle de l’émission et de la réception des données ........................................................201

12
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité

09F01 Garantie d’origine – signature électronique........................................................................201


09F02 Individualisation des messages empêchant leur duplication..............................................202
09F03 Accusé de réception ..........................................................................................................203
09G Détection et gestion des incidents et anomalies applicatifs ................................................204
09G01 Détection et traitement des incidents et anomalies applicatifs...........................................204
09H Services et applications liés au commerce électronique......................................................205
09H01 Sécurité des sites de commerce électroniques ..................................................................205
Domaine 10 : Sécurité des projets et développements applicatifs .......................206
10A Organisation interne des développements et de la maintenance .......................................207
10A01 Prise en compte de la sécurité dans les projets et développements .................................207
10A02 Gestion des changements ..................................................................................................208
10A03 Externalisation du développement logiciel .........................................................................209
10A04 Organisation de la maintenance applicative.......................................................................210
10A05 Modification des progiciels..................................................................................................211
10B Sécurité des processus des développements et de la maintenance..................................212
10B01 Sécurité des processus des développements applicatifs ...................................................212
10B02 Protection de la confidentialité des développements applicatifs ........................................213
10B03 Sécurité relative aux traitements internes des applications ...............................................214
10B04 Protection des données d'essai ..........................................................................................215
10B06 Maintenance à chaud .........................................................................................................217
Domaine 11 : Protection de l’environnement de travail .........................................218
11A Contrôle des accès aux zones de bureaux .............................................................................220
11A01 Partitionnement des bureaux en domaines de sécurité et cloisonnement .........................220
11A02 Gestion des autorisations aux zones de bureaux protégées .............................................221
11A03 Détection des intrusions dans les zones de bureaux protégées ........................................222
11A04 Surveillance des zones de bureaux protégées...................................................................223
11A05 Contrôle de la circulation des visiteurs et prestataires occasionnels .................................224
11B Protection de l’information écrite .............................................................................................225
11B01 Conservation et protection des pièces originales et éléments de preuve ou considérées
comme des valeurs patrimoniales ......................................................................................225
11B02 Rangement des bureaux et protection des documents et supports sensibles ...................226
11B03 Ramassage des corbeilles à papier et destruction des documents ...................................227
11B04 Sécurité du courrier.............................................................................................................228
11B05 Sécurité des fax ..................................................................................................................229
11B06 Sécurité des autocommutateurs .........................................................................................230
11B07 Sécurité de la messagerie électronique et des échanges électroniques d’information......231
11C Protection des postes de travail ...............................................................................................232
11C01 Contrôle d’accès au poste de travail...................................................................................232
11C02 Protection de la confidentialité des données stockées sur le poste de travail ...................233

13
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité

11C03 Prise en compte de la confidentialité lors des opérations de maintenance des postes
utilisateurs...........................................................................................................................234
11C04 Protection de l’intégrité des données stockées sur le poste de travail...............................235
11C05 Travail en dehors des locaux de l’entreprise ......................................................................236
11C06 Utilisation d’équipements personnels .................................................................................237
11D Continuité de service de l’environnement de travail .............................................................238
11D01 Organisation de la maintenance du matériel mis à la disposition du personnel ................238
11D02 Organisation de la maintenance du logiciel des postes utilisateurs ...................................239
11D03 Plans de sauvegardes des configurations utilisateurs........................................................240
11D04 Plan de sauvegarde des données utilisateurs stockées sur serveur .................................241
11D05 Plan de sauvegarde des données utilisateurs stockées sur le poste.................................242
11D06 Plans de protection antivirale des postes de travail ...........................................................243
11D07 Plan de Reprise de l’Environnement de Travail .................................................................244
Domaine 12 : Domaine juridique et réglementaire..................................................245
12A Respect de la réglementation concernant les rapports avec le personnel ou des tiers ..245
12B Protection de la propriété intellectuelle...................................................................................245
12D Respect de la réglementation extérieure et de la législation concernant la cryptologie..245
12A01 Respect de la réglementation extérieure et de la législation concernant le respect de la vie
privée ..................................................................................................................................247
12A02 Respect de la réglementation extérieure et de la législation concernant les accès non
autorisés à des systèmes tiers ...........................................................................................247
12B01 Respect de la réglementation extérieure et de la législation concernant la protection de la
propriété des logiciels .........................................................................................................247
12D01 Respect de la réglementation extérieure et de la législation concernant l’usage de la
cryptologie...........................................................................................................................247
12C Respect de la législation concernant la communication financière....................................248
12C01 Respect de la réglementation extérieure et de la législation concernant la communication
financière ............................................................................................................................248
12E Respect de la réglementation concernant la vérification de la comptabilité informatisée249
12E01 Conservation des données et traitements ..........................................................................249
12E02 Documentation des données, procédures et traitements liés à la comptabilité .................250

14
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

Domaine 1 : Organisation

01A Rôles et structures de la sécurité


Objectif :
Mettre en place les structures organisationnelles de sorte que la sécurité de l’information et des
systèmes qui la traitent puisse être prise en charge à tous les niveaux nécessaires de l’entreprise.
Résultats globaux attendus :
Piloter la sécurité pour atteindre un niveau de risque résiduel en ligne avec les objectifs de
l’organisation.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à cinq types de mesures complémentaires :
— 01A01 : Organisation du management et du pilotage de la sécurité générale
— 01A02 : Organisation du management et du pilotage de la sécurité des systèmes d'information
— 01A03 : Système général de reporting et de suivi des incidents
— 01A04 : Organisation des audits et du plan d'audit
— 01A05 : Gestion de crise

01B Référentiel de sécurité


Objectif :
Définir les principes de management (de la sécurité) de sorte que la sécurité des systèmes
d’information puisse être prise en charge à tous les niveaux de management et de conduite des
opérations, dans l’entreprise.
Résultats globaux attendus :
Assurer la cohérence dans les décisions prises relatives à la sécurité des systèmes d’information
Services de sécurité :
Les services de sécurité correspondants sont relatifs à quatre types de mesures complémentaires :
— 01B01 : Devoirs et responsabilités du personnel et du management
— 01B02 : Directives générales relatives à la protection de l’information
— 01B03 : Classification des ressources
— 01B04 : Gestion des actifs

01C Gestion des ressources humaines


Objectif :
Mettre en place les principes de management et l’organisation de moyens de gestion du personnel de
sorte que celui-ci soit placé dans les conditions adéquates pour prendre correctement en charge les
aspects liés à la sécurité de l’information.
Résultats globaux attendus :
Prise en compte de la sécurité par le personnel
Services de sécurité :
Les services de sécurité correspondants sont relatifs à quatre types de mesures :
— 01C01 : Engagements du personnel – clauses contractuelles

15
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

— 01C02 : Gestion du personnel stratégique


— 01C03 : Procédure d’habilitation du personnel
— 01C04 : Programme de sensibilisation et de formation à la sécurité
— 01C05 : Gestion des tierces parties
— 01C06 : Enregistrement des personnes

01D Assurances
Objectif :
Réduire le coût de certains sinistres en se couvrant par des assurances adaptées.
Résultats attendus :
Limiter la perte finale du sinistre à un montant maximum en mutualisant les pertes au dessus d’un
certain seuil.
Services de sécurité :
Les services de sécurité correspondants sont relatifs à quatre types d’assurances :
— 01D01 : Assurance des dommages matériels
— 01D02 : Assurance des dommages immatériels
— 01D03 : Assurance Responsabilité Civile
— 01D04 : Assurance « Perte de personnages clés »

01E Continuité de l’activité


Objectif :
Réduire le coût de certains sinistres en analysant au préalable les besoins fondamentaux de l’activité
en termes de continuité et en mettant en place les plans correspondants.
Résultats attendus :
Définir et mettre en place les plans de continuité de l’activité adaptés aux besoins de l’entreprise.
Services de sécurité :
Les services de sécurité correspondants sont relatifs à quatre types d’assurances :
— 01E01 : Prise en compte des besoins de continuité de l’activité
— 01E02 : Plans de continuité

16
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01A Rôles et structures de la sécurité

01A01 Organisation du management et du pilotage de la sécurité générale


Objectif :
S’assurer que tous les domaines de sécurité ont un responsable et qu’il existe une structure de
coordination, à même de prendre toute décision transverse.
Résultats attendus :
Éviter des trous et des domaines non couverts qui pourraient représenter un risque pour l’information
et des incohérences entre domaines qui pourraient avoir un impact négatif sur la sensibilisation des
responsables et des utilisateurs.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels.
Mesures organisationnelles
— Identifier, en fonction de l’organisation, les domaines de sécurité devant être couverts :
¾ sécurité physique des sites et bâtiments
¾ sécurité de l’information courante non supportée par les systèmes d’information (courrier, téléphone,
documents imprimés, etc.)
¾ sécurité informatique et des réseaux
¾ etc.
— Attribuer chaque domaine à un responsable et définir les rôles et responsabilités de chaque intervenant dans
ce domaine
— Mettre en place une structure de coordination et de mise en cohérence
Qualité de service
— L’efficacité du service est directement liée à l’implication réelle de l’organisation, ainsi qu’à la précision et à
l’actualisation des définitions de fonction :
¾ Raison d’être de chaque fonction ayant un impact sur la sécurité
¾ Finalités, rôles et responsabilités
¾ Activités
¾ Liaisons et relations avec les autres fonctions
— La mise sous contrôle est directement liée à l’existence d’indicateurs de performance et de tableaux de bord
ainsi qu’à la mise en place d’un système de reporting et de pilotage se traduisant par des plans d’action et un
suivi de ces plans.

17
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01A02 Organisation du management et du pilotage de la sécurité des SI


Objectif :
Organiser le management et le pilotage de la sécurité des systèmes d’information
Résultats attendus :
Mettre en place des processus de prise de décision concernant la sécurité des SI et de contrôle des
actions menées en conséquence
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels.
Mesures organisationnelles
— Définir la Politique de sécurité de l’information
— Définir les principes généraux de management et de pilotage de sécurité des SI :
¾ Rôles et responsabilités
¾ Schéma de décision et d’arbitrage
— Définir les modes de management de la sécurité :
¾ Méthodologie, outils et acteurs
¾ Processus détaillé de décision et d’arbitrage et rôles respectifs de la fonction sécurité, de la fonction
informatique, des responsables opérationnels et des responsables fonctionnels d’un domaine d’activité
(propriétaires d’informations, etc.)
— Définir les procédures de pilotage :
¾ Tableau de bord
¾ Plans d’action
¾ Système de reporting et de monitoring
— Définir les centres de compétence et de conseil et leur management
— Mettre en place une veille technologique (participation à des associations spécialisées) afin que l’organisation
reste adaptée aux évolutions technologiques (par exemple impact de l’émergence des réseaux WiFi sur
l’organisation)
Qualité de service
— L’efficacité du service est directement liée à la prise en compte de l’ensemble des points ci-dessus et à la
précision des directives qui ont pu être établies (principes généraux, organisation détaillée, procédures
exécutoires, …). Dans les grandes organisations, elle est aussi liée au périmètre d’application (filiales, etc.).
— La mise sous contrôle est directement liée à plusieurs facteurs :
¾ L’existence d’indicateurs de performance et de tableaux de bord relatifs à la mise en place de
l’organisation de la sécurité, ainsi qu’à la mise en place d’un système de reporting et de pilotage (relatif à
ce point précis) se traduisant par des plans d’action et un suivi de ces plans.
¾ La mise en place d’une veille technologique (participation à des associations spécialisées) afin que
l’organisation reste adaptée aux évolutions technologiques (par exemple impact de l’émergence des
réseaux WiFi sur l’organisation)
¾ Des procédures de mise à jour de l’organisation et des définitions de fonction en fonction des évolutions
structurelles de l’entreprise

18
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01A03 Système général de reporting et de gestion des incidents


Objectif :
Avoir une vue globale, et une mise en perspective dans le temps, des incidents, que ces incidents
soient réels ou soupçonnés, que les tentatives aient abouti ou non.
Résultats attendus :
Les résultats attendus sont multiples :
— Détecter les évolutions lentes et permettre une meilleure anticipation des mesures nécessaires
— Favoriser une mise en commun et une capitalisation des connaissances acquises à l’occasion de la gestion
des incidents et diffuser cette connaissance aux personnes intéressées
— Participer à la formation et à la sensibilisation des opérationnels et des utilisateurs
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais des mesures
techniques de support peuvent être nécessaires.
Mesures organisationnelles
— Définir une typologie des incidents à prendre en compte :
¾ Typologie générale de classement
¾ Domaine de survenance (exploitation, utilisateur, attaque de tiers, etc.)
¾ Gravité
¾ Réels ou soupçonnés
¾ Tentative aboutie ou non
— Définir ce que l’on souhaite conserver comme information :
¾ Description
¾ Anonymat ou non des acteurs
¾ Personnes à contacter
¾ Impact réel
— Définir le mode de collecte et de consolidation (et de validation)
— Définir les processus d’enrichissement, de mise à jour et de consultation
— Définir les droits d’accès (création, mise à jour, consultation, etc.)
Mesures techniques
Les mesures techniques d‘accompagnement comprennent :
— Le support d’un SGBD et d’un serveur accessible par tous les intéressés
— Des processus éventuels de contrôle et de validation de l’information (Workflow)
— Des processus (automatisés ou non) d’exploitation (sauvegardes, etc.)
Qualité de service
— L’efficacité du service est directement liée :
¾ à la prise en compte de l’ensemble des points ci-dessus et à la précision des directives qui ont pu être
établies (principes généraux, organisation détaillée, procédures exécutoires, …),
¾ à l’étendue de sa mise en œuvre (filiales, etc.),
¾ aux moyens supports permettant un enrichissement progressif et un accès facile et sélectif à l’information
— La mise sous contrôle est directement liée à l’existence d’indicateurs de performance et de tableaux de bord
relatifs à la mise en place du système de gestion des incidents, ainsi qu’à la mise en place d’un système de
reporting et de pilotage (relatif à ce point précis) se traduisant par des plans d’action et un suivi de ces plans.

19
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01A04 Organisation des audits et du plan d’audit


Objectif :
Exprimer les besoins d’audit de sécurité des systèmes d’information et faire prendre en compte ces
besoins par une structure d’audit (interne ou externe).
Résultats attendus :
Éviter que les recommandations ou directives exprimées ne soient pas suivies et que les
comportements se dégradent au fil du temps.
La fonction sécurité de l’information est souvent placée en position de conseil et de diagnostic. Il lui est
donc difficile d’assumer simultanément une fonction véritable d’audit : il est alors souhaitable que cette
fonction soit prise en charge par une structure dont c’est le métier et d’assurer les liaisons nécessaires
avec elle.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont exclusivement organisationnels.
Mesures organisationnelles
Les mesures nécessaires sont de plusieurs types :
— Définir un référentiel d’audit sur lequel la fonction pourra se baser :
¾ Définitions des termes et obligations du personnel
¾ Directives incontournables et recommandations
¾ Procédure de dérogation et supports de cette procédure
— Définir les liaisons avec l’organisation de l’audit interne (ou externe) :
¾ Mise au point du programme d’audit annuel
¾ Communication des résultats et travail sur les recommandations résultant des audits
¾ Communication à la fonction sécurité des systèmes d’information des résultats des audits autres que SSI
Qualité de service
— L’efficacité du service est directement liée à
¾ La précision du référentiel et des définitions des termes de base et des obligations du personnel en
découlant
¾ la fréquence des contacts entre fonction sécurité et audit interne
— La mise sous contrôle est directement liée à l’existence :
¾ d’indicateurs de suivi des audits et de leur fréquence
¾ du suivi des recommandations qui en sont issues

20
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01A05 Gestion de crise liée à la sécurité de l’information


Objectif :
Faire en sorte qu’en cas d’accident ou de crise grave touchant les systèmes d’information, une cellule
de crise puisse être réunie rapidement avec les personnes concernées, compétentes et habilitées à
prendre et à faire appliquer les décisions nécessaires.
Résultats attendus :
Éviter qu’en cas d’accident grave touchant les systèmes d’information, on perde un temps précieux
pour réunir les personnes concernées par les décisions à prendre.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais nécessitent quelques
mesures techniques d’accompagnement.
Mesures organisationnelles
Les mesures organisationnelles nécessaires sont de plusieurs types :
— Identifier les principaux types d’accident ou crises pouvant toucher les systèmes d’information et définir pour
chacun d’entre eux :
¾ Les personnes concernées à réunir en cellule de crise
¾ L’endroit où cette cellule devrait se réunir
¾ La ou les personnes à contacter en premier pour qu’elles fassent éventuellement un premier diagnostic et
réunissent la cellule de crise
— Identifier les moyens logistiques nécessaires à chaque cellule de crise :
¾ Locaux et moyens techniques
¾ Moyens de communication
¾ Moyens d’information
— Mettre en place les moyens primaires nécessaires au déclenchement de la période de crise :
¾ Premiers symptômes pouvant être constatés par les gardiens, les services généraux ou tout membre du
personnel
¾ Définir, diffuser et rendre disponible à tous les premières consignes : appeler un service d’astreinte unique
dont le numéro est simple à mémoriser
¾ Mettre à disposition de ce service un document décrivant les divers cas de crise, les personnes à
contacter dans chaque cas (au moins 3) avec leurs coordonnées (bureau, domicile, mobile, lieu de
vacances, etc.) et tenir à jour ce document
— Incorporer le plan de crise Système d’Information au plan de crise général s’il existe
Mesures techniques
Les mesures techniques d’accompagnement sont de plusieurs types :
— La mise à disposition d’un outil de suivi et de mise à jour du plan de crise
— La mise à disposition des moyens logistiques nécessaires à la cellule de crise
Qualité de service
— L’efficacité du service est directement liée à
¾ La précision des symptômes décrits
¾ La pertinence du schéma de déclenchement de crise (confirmation du diagnostic, bonnes personnes
présentes, etc.)
— La mise sous contrôle est directement liée à :
¾ L’existence d’outils de mise à jour du plan de crise
¾ L’audit de cette mise à jour

21
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01B Référentiel de sécurité


01B01 Devoirs et responsabilités du personnel et du management
Objectif :
Expliciter et porter à la connaissance du management les comportements souhaités, admis et
interdits, tant de la part du personnel que du management.
Résultats attendus :
Faire en sorte que le management sache ce qu’il doit faire personnellement et ce qu’il doit exiger de
son personnel, en termes de comportement.
La cible visée est donc bien le management, la communication au personnel de ce qu’il doit faire étant
prise en charge par le service traitant des engagements du personnel.
Certaines parties de cette charte, parfois appelée charte de management, peuvent ne pas être
communiquées au personnel.
Il ne s’agit pas des directives précises et techniques de ce qu’il convient de faire en telle ou telle
circonstance (point traité dans le service suivant) mais bien des types de comportements autorisés ou non
(comme par exemple la lecture du courrier électronique du personnel, la gestion des conflits d’intérêts,
etc.)
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais nécessitent quelques
mesures techniques d’accompagnement.
Mesures organisationnelles
Les mesures organisationnelles nécessaires consistent ainsi à identifier les principaux types de
comportement, tant du personnel que du management et à décider pour chacun d’eux :
— S’il est recommandé, autorisé, toléré ou interdit
— Si ce caractère sera officiellement communiqué ou non
— La conduite à tenir face à de tels comportements de la part d’un collaborateur ou de la part d’un collègue
Mesures techniques
Les mesures techniques d’accompagnement sont de plusieurs types :
— Communiquer au management et rendre disponible cette charte
— La protéger contre une altération qui pourrait conduire à tolérer ou à avoir soi-même des comportements
interdits (protection particulièrement nécessaire si la communication a lieu sur un Intranet)
Qualité de service
— L’efficacité du service est directement liée à
¾ La précision des comportements décrits
¾ La pertinence de la description de la conduite à tenir en cas de manquement
— La mise sous contrôle est directement liée à :
¾ L’existence d’une procédure de revue de cette charte
¾ L’audit de l’authenticité de la charte publiée
¾ L’application réelle de la charte

22
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01B02 Directives générales de protection de l’information


Objectif :
Expliciter et porter à la connaissance de l’ensemble du personnel les directives et mesures à prendre
concernant la protection de l’information.
Résultats attendus :
Faire en sorte que le management sache ce qu’il doit faire personnellement et ce qu’il doit exiger de
son personnel, en termes de mesures de protection.
Éviter donc des défauts de protection par négligence ou méconnaissance et dissuader les actions
volontaires nuisibles en ayant bien averti qu’elles étaient interdites.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais nécessitent quelques
mesures techniques d’accompagnement.
Mesures organisationnelles
Les mesures organisationnelles nécessaires consistent ainsi à identifier les différents secteurs
nécessitant des directives précises et éditer ces directives. Les domaines possibles à traiter sont :
— La protection des accès aux réseaux, les cloisonnements internes et les conditions d’accès aux réseaux
externes
— La protection des accès aux ressources internes et les conditions de gestion des autorisations d’accès
— L’exploitation des ressources informatiques et télécom
— Les développements informatiques et les projets
— La gestion de l’environnement de travail et sa protection
Mesures techniques
Les mesures techniques d’accompagnement sont de plusieurs types :
— Communiquer à tout le personnel l’ensemble de ces directives et les rendre disponibles et consultables
facilement en cas de besoin
— Les protéger contre une altération qui pourrait conduire à indiquer des mesures qui ne seraient pas
pertinentes ou suffisantes (protection particulièrement nécessaire si la communication a lieu sur un Intranet)
Des mesures techniques essentielles ne doivent pas être oubliées et consistent à rendre disponibles
les solutions techniques exigées par les directives.
Qualité de service
— L’efficacité du service est directement liée à
¾ La précision des directives et cas traités
¾ L’existence de moyens et de solutions techniques (disponibles en interne) en relation avec les exigences
de sécurité
— La mise sous contrôle est directement liée à :
¾ L’existence d’une procédure de revue des directives
¾ L’audit de l’authenticité des directives publiées
¾ L’application réelle des directives
¾ L’audit de la pertinence de l’offre disponible en interne vis-à-vis des directives

23
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01B03 Classification des ressources


Objectif :
Expliciter et porter à la connaissance de l’ensemble du personnel concerné le degré de sensibilité des
supports d’information ou de communication et des ressources du système d’information (données,
applications, ressources de traitement et de communication) qu’ils gèrent et utilisent.
Résultats attendus :
Permettre que le degré de protection apporté à chaque ressource soit proportionné au degré de
sensibilité de cette ressource.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais nécessitent quelques
mesures techniques d’accompagnement.
Mesures organisationnelles
Les mesures organisationnelles consistent :
— dans un premier temps, à identifier les principaux types de dysfonctionnements et à en évaluer la gravité
— dans un deuxième temps, à évaluer selon 3 ou 4 critères (D, I, C, P) si une ressource peut être à l’origine d’un
tel dysfonctionnement ou y participer et, dans ce cas, à évaluer la sensibilité de la ressource pour ce critère
en fonction directe de la gravité du dysfonctionnement considéré.
Les mesures organisationnelles préalables à la classification proprement dite ont pour objet de
préciser les classes d’objets considérés comme équivalents et qui recevront donc une classification
identique.
Mesures techniques
Les mesures techniques d’accompagnement sont de plusieurs types :
— Communiquer à tout le personnel l’ensemble de ces classifications et les rendre disponibles et consultables
facilement en cas de besoin
— Les protéger contre une altération qui pourrait conduire à indiquer une classification erronée, et en particulier
insuffisante.
Qualité de service
— L’efficacité du service est directement liée à
¾ La globalité du processus de classification et l’exhaustivité des domaines traités
¾ Le niveau de décision et de consensus obtenu sur la classification
— La mise sous contrôle est directement liée à :
¾ L’existence d’une procédure de revue périodique de la classification
¾ L’audit de la mise en œuvre de cette procédure

24
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01B04 Gestion des actifs


Objectif :
Assurer une gestion des actifs matériels ou immatériels telle que le niveau de protection apporté à
chacun soit décidé et contrôlé par la personne la mieux à même de le faire.
Résultats attendus :
Permettre que chaque actif reçoive le niveau de protection approprié.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels.
Mesures organisationnelles
Les mesures organisationnelles consistent :
— à définir les principaux types devant être identifiés et inventoriés :
¾ informations (bases de données, fichiers, contrats et accords, documentation, manuels, procédures,
plans, archives, etc.),
¾ logiciels (applications, firmware, middleware, outils et utilitaires, etc.),
¾ équipements matériels (ordinateurs, équipements de réseau, media, etc.),
¾ services et servitudes (énergie, chauffage, climatisation, etc.),
¾ personnes ou savoir-faire,
¾ actifs intangibles tels que la réputation ou l'image.
— à inventorier lesdits actifs.
— à définir et attribuer les responsabilités concernant la gestion des actifs (définition d’un propriétaire,
responsabilités à prendre, contrôles à effectuer, etc.)
— à faire établir (par les propriétaires) les règles de sécurité concernant les actifs dont ils sont responsables :
règles d’utilisation, de protection, de gestion (entrée et sortie d’actifs), de modification ou de destruction, etc..
Qualité de service
— L’efficacité du service est directement liée à
¾ L’exhaustivité des domaines d’actifs traités
¾ La nomination effective de propriétaires d’actifs
¾ La précision des règles édictées
— La mise sous contrôle est directement liée à :
¾ L’existence d’une procédure de revue périodique de la nomination de propriétaires et des attributions de
responsabilité aux propriétaires
¾ L’audit de la rédaction effective de règles de protection et d’utilisation par les propriétaires

25
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01C Gestion des ressources humaines


01C01 Engagements du personnel – clauses contractuelles

Objectif :
Réduire l’occurrence d’actions néfastes ou potentiellement dangereuses en les interdisant.
Résultats attendus :
Limiter l'exposition à des erreurs, accidents ou malveillances en interdisant, éventuellement en
fonction de certaines circonstances, certaines pratiques ou actions à un certain nombre de personnes.
La faculté éventuellement laissée aux personnes en situation d’agir de juger de la situation permet
d’apporter une souplesse à la mesure d’interdiction, ce que ne permettrait pas une mesure purement
préventive.
Mécanismes et solutions :
On ne devrait jamais perdre de vue que parmi les solutions possibles pour empêcher une action
potentiellement néfaste ou nuisible, il y a tout simplement l’interdiction de cette action. Le mécanisme
sous-jacent réside dans le fait que nombre de personnes respecteront cette interdiction par éthique et que
d’autres la respecteront par crainte de sanction en cas de violation délibérée.
Il s’agit ici de mesures essentiellement organisationnelles, pouvant s’appuyer, occasionnellement, sur
des mesures techniques.
Mesures organisationnelles
— Les mesures de base consistent en des clauses signées ou acceptées par le personnel :
¾ Règlement intérieur s’imposant à tous
¾ Clauses contractuelles, générales ou spécifiques
¾ Notes de procédures notifiées et s’imposant à une partie du personnel
— Les mesures complémentaires sont la mise en place de points de contrôle :
¾ Enregistrement des actions menées
¾ Audit des comportements
Mesures techniques
— Des mesures techniques d’accompagnement peuvent être nécessaires pour enregistrer certaines actions et
permettre un audit ultérieur

Efficacité des mesures


— L’efficacité du service est liée à 3 facteurs :
¾ La précision des directives imposées et des domaines d’application, pour éviter toute ambiguïté derrière
laquelle les utilisateurs pourraient se réfugier.
¾ La communication à l’ensemble des personnes intéressées, qui peut aller jusqu’à la mise en place d’un
processus formel de reconnaissance de réception de l’information et d’acceptation des directives
¾ Le contrôle, par le management, du suivi des règles ou clauses édictées.
— La mise sous contrôle consiste en une vérification périodique de l’adéquation des directives au contexte et
aux évolutions d’organisation ou technologiques.

26
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01C02 Gestion du personnel stratégique

Objectif :
Limiter, si possible les causes de départ ou d’absence de personnel stratégique.
Limiter les conséquences de tels départ ou absences, le cas échéant.
Résultats attendus :
Réduire les risques liés à une indisponibilité ou à une absence de personnel stratégique.
Mécanismes et solutions :
Les mesures sont exclusivement organisationnelles
Mesures organisationnelles
La première mesure consiste à identifier le personnel stratégique essentiel, éventuellement à
l’occasion de la classification des informations et des ressources du système d’information.
Il convient ensuite, comme pour toute ressource dont la disponibilité est critique, à préparer un plan de
secours pour le cas où ces personnes viendraient à être absentes, pour quelque cause que ce soit. On
notera que la capitalisation de leur savoir faire fait partie du plan de secours : une documentation écrite ne
remplacera jamais un expert, mais elle facilitera quand même son remplacement par un non expert.
Les mesures complémentaires visent à fidéliser le personnel stratégique par une gestion de carrière
adaptée et « spécialisée »
Qualité de service
— Comme pour tout plan de secours, l’efficacité du plan dépend du soin apporté à sa préparation. Si l’on peut
prévoir à l’avance qui remplacerait une personne dans un poste stratégique, il vaut mieux l’y préparer, voire le
former dans ce sens.
— La mise sous contrôle de la gestion du personnel stratégique consiste en des audits régulier :
¾ De l’existence d’une liste des personnels stratégiques
¾ De l’existence de plans de remplacement pour les personnels stratégiques
¾ De la pertinence de ces plans

27
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01C03 Procédures d’habilitation du personnel


Objectif :
Vérifier, avant d’affecter une personne dans un poste sensible, que cela ne risque pas de le mettre
dans une situation de conflit d’intérêt ou dans une position où il pourrait subir des pressions inacceptables
Résultats attendus :
Éviter que du personnel placé dans une position de conflit difficile à gérer réagisse au détriment des
intérêts de l’entreprise.
Les situations que l’on cherche à éviter sont des situations dans lesquelles, de par sa famille directe
ou proche, un salarié pourrait subir des demandes le mettant en difficulté vis-à-vis de son devoir de
loyauté envers l’entreprise (comme par exemple donner des renseignements confidentiels, influer sur une
décision dans un sens favorable à l’une des parties en cause, favoriser l’avancement d’une personne, etc.)
Mécanismes et solutions :
Les mesures sont exclusivement organisationnelles
Mesures organisationnelles
Les mesures préliminaires consistent à identifier les postes sensibles pour lesquels une habilitation
semble nécessaire.
Les mesures de base consistent à faire remplir au personnel, puis actualiser, une fiche de
renseignement assez complète décrivant ses liens familiaux directs et indirects et les activités de ses
proches pour détecter assez tôt les difficultés éventuelles futures et éviter de le placer dans une position
difficile.
Les mesures d’accompagnement sont de la communication pour bien faire comprendre aux personnes
concernées qu’il est de l’intérêt de toutes les parties d’éviter des situations de conflit d’intérêt.
Enfin, dans certaines entreprises, il est possible de faire faire une enquête par des services
gouvernementaux (DST, Défense, CEA, etc.)
Qualité du service
— L’efficacité du service dépend de la précision et de l’exhaustivité de la procédure d’entretien préalable et de
renseignement sur le titulaire (plus ces renseignements seront précis, plus le titulaire pourra penser à une
difficulté éventuelle et moins il pourra passer sous silence un point délicat).
— La mise sous contrôle du service consiste à auditer :
¾ La liste les postes sensibles
¾ Les fiches d’habilitation remplies pour ces postes

28
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01C04 Sensibilisation et formation du personnel


Objectif :
Faire en sorte que tous les personnels (utilisateurs, managers et informaticiens) comprennent les
enjeux de la sécurité et sachent quelle conduite tenir vis-à-vis de l'information ou des ressources
spécifiques qu’ils gèrent ou utilisent.
Résultats attendus :
Limiter l'exposition à des erreurs ou accidents par manque d'attention, par inadvertance ou par
méconnaissance des mesures adéquates.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels.
Mesures organisationnelles
Les programmes sont de deux types : sensibilisation et formation :
— La sensibilisation a pour objectif de convaincre chacun, d’une part de l’existence de risques réels et de leur
impact sur le fonctionnement de l’entreprise, d’autre part qu’il est concerné par la réduction du risque et que
ce n’est pas « le problème des autres ».
— La formation a pour objectif, en complément, d’apprendre à chacun les bonnes pratiques qui sont
nécessaires pour réduire les risques.
Il s’agit donc de mesures complémentaires, la formation sans sensibilisation étant sans effet de même
que la sensibilisation sans formation.
Il n’existe pas de programmes standards et l’adaptation au contexte et à la culture de l’entreprise est la
règle. On peut, néanmoins faire deux constats :
— Une réflexion sur les enjeux de la sécurité, en particulier par une classification des informations sensibilise
particulièrement les utilisateurs
— Une analyse des risques avec recherche de solutions pour les risques inacceptables, est une excellente
façon de former les utilisateurs et chefs de projet.
Qualité de service
— L’efficacité de la sensibilisation et/ou de la formation est impossible à mesurer. Les seuls aspects
quantifiables sont :
¾ l’étendue des programmes de sensibilisation : ont-ils touché l’ensemble des collaborateurs
¾ l’étendue des programmes de formation : ont-ils touché l’ensemble des métiers
¾ la facilité d’accès aux outils de formation et aux solutions face à chaque problème (documentation, FAQ,
Intranet, etc.)
¾ La répétition ou la fréquence des messages et des sensibilisations, étant entendu qu’avec l’usage et
l’habitude, les utilisateurs amenés à traiter des informations sensibles ou à utiliser ou administrer des
ressources sensibles font progressivement moins attention qu’au tout début et que le renouvellement des
campagnes de sensibilisation est la seule garantie de leur efficacité.
— La mise sous contrôle des plans de sensibilisation consiste en des audits réguliers :
¾ De la conformité aux plans proposés des actions menées
¾ Des indices de satisfaction, s’ils ont été recueillis

29
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01C05 Gestion des tierces parties


Objectif :
Faire en sorte que les tierces parties pouvant avoir accès au système d’information sachent quelle
conduite tenir vis-à-vis de l'information ou des ressources spécifiques auxquelles elles ont accès et
s’engagent à respecter les règles de sécurité correspondantes.
Résultats attendus :
Limiter l'exposition à des erreurs ou accidents par manque d'attention, par inadvertance ou par
méconnaissance des mesures adéquates, de la part de tierces parties.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels.
Mesures organisationnelles
Le premier aspect est de recenser de manière exhaustive les diverses tierces parties pouvant avoir
accès à tout ou partie du système d’information, au sens le plus large du terme :
— Prestataires (exploitation, maintenance, fournisseurs d’accès, fournisseurs de services, etc.)
— Partenaires (prestations de services, développeurs de logiciels, etc.)
— Clients
— Public
Le deuxième aspect est une analyse précise des risques spécifiques à chaque cas.
Le dernier aspect est la définition des règles de sécurité nécessaires pour limiter les risques et leur
incorporation dans des clauses ou engagements à faire signer par chaque tierce partie.
Qualité de service
— L’efficacité de la gestion des tierces parties dépend de plusieurs facteurs :
¾ L’exhaustivité de l’analyse des accès par des tiers au système d’information
¾ La profondeur de l’analyse des risques et l’exhaustivité des règles de sécurité
¾ La rigueur dans l’application des règles à tous les cas de figure
— La mise sous contrôle de la gestion des tierces parties comprend :
¾ L’audit des clauses et engagements signés
¾ Le contrôle du maintien de la pertinence des actions et mesures décidées

30
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01C06 Enregistrement des personnes


Objectif :
Gérer les utilisateurs du système d’information de manière à pouvoir tracer toute action et l’imputer à
une personne physique
Résultats attendus :
Faire en sorte que tout utilisateur du système d’information puisse être identifié de manière sûre et
sans ambiguïté et cela dès l’attribution de droits généraux..
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels.
Mesures organisationnelles
Le premier point consiste en une procédure unique et centralisée de l’enregistrement de tout nouvel
utilisateur avec attribution d’un identifiant unique et sans doublon.
Le deuxième point, corollaire du précédent, est la suppression de tout identifiant générique des
systèmes et applications
Le dernier point est le contrôle des droits généralement accordés dès l’enregistrement et hors
procédure particulière d’accès à tel système ou telles données : accès au réseau interne, à la messagerie,
à des services communs (intranet, etc.) :
— Accord (général) des propriétaires concernés
— Information des utilisateurs des droits et devoirs correspondants
Qualité de service
— L’efficacité de l’enregistrement des personnes et de la gestion des identités dépend de :
¾ L’exhaustivité des domaines couverts par la gestion centralisée des identifiants
¾ La gestion des doublons potentiels
¾ La procédure de vérification et de suppression des identifiants génériques dans les systèmes et
applications
— La mise sous contrôle de l’enregistrement des personnes comprend:
¾ L’audit des identifiants attribués aux personnes
¾ L’audit des systèmes et applications pour l’inexistence de login génériques

31
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01D Assurances
01D01 Assurance des dommages matériels
Objectif :
Réduire le coût de certains sinistres en se couvrant par des assurances adaptées.
Résultats attendus :
Limiter la perte finale du sinistre à un montant maximum en mutualisant les pertes au dessus d’un
certain seuil.
Mesures, mécanismes et solutions :
On ne devrait jamais perdre de vue que le but de l’assurance est de mutualiser les pertes entre un
grand nombre d’entreprises et de faire ainsi jouer la loi des grands nombres, alors que le coût maximal
d’un sinistre pourrait être inacceptable pour une seule entreprise. L’assurance n’a donc de sens que pour
couvrir des événements à probabilité d’occurrence faible (assurer de petits sinistres à coût unitaire faible
et relativement fréquents, comme des vols de portables, revient à faire supporter à l’entreprise non
seulement le coût direct de ces sinistres, mais, en supplément les charges de l’assureur).
Les mesures à prendre sont exclusivement organisationnelles.
Mesures organisationnelles
Les mesures organisationnelles de base consistent à :
— Bien analyser les sinistres matériels à couvrir et les causes primaires de ces sinistres, afin que tant les
conséquences primaires que leurs causes soient bien indiquées dans la police :
¾ Sinistres matériels survenant sur les systèmes informatiques et de télécommunication ainsi que sur leurs
périphériques, le câblage et les installations de servitudes associées
¾ Sinistres survenant accidentellement (incendie, dégâts des eau, foudre, etc.), par erreur humaine, par
sabotage, vandalisme (y compris par le personnel de l’entreprise, ou préposé à son opération ou son
entretien)
— Bien analyser toutes les conséquences de ces sinistres et toutes les actions qu’il conviendrait de lancer et de
financer pour y faire face et d’inclure la couverture de ces frais dans les garanties :
¾ Frais réels de réinitialisation des systèmes touchés par le sinistre (frais d’installation, de redémarrage et de
test des systèmes de remplacement, frais de reconstitution des données et des supports
¾ Tous les frais supplémentaires d’exploitation et de fonctionnement supportés sur un exercice (ou plus)
¾ Frais engagés par l’entreprise pour rétablir son image auprès de ses clients ou partenaires
¾ Perte d’exploitation engendrée par le sinistre
— Bien analyser toutes les exclusions pour s’assurer qu’elle correspondent bien à des événements tout à fait
improbables que l’on est bien décidé à auto assurer.
La finalisation du contrat consiste ensuite à déterminer le plafond des garanties et le montant des
franchises pour différents types de sinistres, en tenant compte de ce qui a été dit en introduction afin de
vérifier, selon la politique retenue, que l’assurance permettra effectivement de rendre un sinistre tolérable
(il reste grave mais l’entreprise peut survivre) ou facilement acceptable (ce qui reste à la charge de
l’entreprise peut être facilement supporté sur une exercice, ce qui représente le maximum que l’on puisse
attendre de ce service).
Qualité de service
— L’efficacité de l’assurance réside dans
¾ La bonne définition des plafonds de garantie et des franchises
¾ la bonne définition des sinistres à couvrir, en termes de conséquences primaires et de leurs causes
possibles.
— La robustesse de l’assurance réside dans l’analyse détaillée des clauses d’exclusion et dans l’élimination des
clauses d’exclusion inacceptables
— La mise sous contrôle du service consiste à auditer régulièrement :
¾ l’adéquation des clauses du sinistre et de la franchise aux évolutions éventuelles du système d’information
¾ les plafonds de garantie et notamment les montants d’investissements unitaires éventuellement déclarés

32
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01D02 Assurance des dommages immatériels


Objectif :
Réduire le coût de certains sinistres en se couvrant par des assurances adaptées.
Résultats attendus :
Limiter la perte finale du sinistre à un montant maximum en mutualisant les pertes au dessus d’un
certain seuil.
Mesures, mécanismes et solutions :
On ne devrait jamais perdre de vue que le but de l’assurance est de mutualiser les pertes entre un
grand nombre d’entreprises et de faire ainsi jouer la loi des grands nombres, alors que le coût maximal
d’un sinistre pourrait être inacceptable pour une seule entreprise. L’assurance n’a donc de sens que pour
couvrir des événements à probabilité d’occurrence faible (assurer de petits sinistres à coût unitaire faible
et relativement fréquents, comme des vols de portables, revient à faire supporter à l’entreprise non
seulement le coût direct de ces sinistres, mais, en supplément les charges de l’assureur).
Les mesures à prendre sont exclusivement organisationnelles.
Mesures organisationnelles
Les mesures organisationnelles de base consistent à :
— Bien analyser les sinistres immatériels à couvrir et les causes primaires de ces sinistres, afin que tant les
conséquences primaires que leurs causes soient bien indiquées dans la police :
¾ Sinistres immatériels survenant sur tous les systèmes informatiques et de télécommunication (systèmes
internes, Intranet, Extranet, sites Web, etc.)
¾ Sinistres survenant accidentellement (pannes, bugs), par erreur humaine (de programmation, de
manipulation), par malveillance (fraudes, intrusions, dénis de service, y compris par le personnel de
l’entreprise, ou préposé à son opération ou son entretien)
— Bien analyser toutes les conséquences de ces sinistres et toutes les actions qu’il conviendrait de lancer et de
financer pour y faire face et d’inclure la couverture de ces frais dans les garanties :
¾ Frais de recherche et d’investigation des causes et conséquences du sinistre
¾ Frais de réinitialisation des systèmes touchés par le sinistre (frais d’installation, de redémarrage et de test
des systèmes de remplacement, frais de reconstitution des données et des supports)
¾ Tous les frais supplémentaires d’exploitation et de fonctionnement supportés sur un exercice (ou plus)
¾ Frais engagés par l’entreprise pour rétablir son image auprès de ses clients ou partenaires
¾ Perte d’exploitation engendrée par le sinistre
— Bien analyser toutes les exclusions pour s’assurer qu’elle correspondent bien à des événements tout à fait
improbables que l’on est bien décidé à auto assurer.
La finalisation du contrat consiste ensuite à déterminer le plafond des garanties et le montant des
franchises pour différents types de sinistres, en tenant compte de ce qui a été dit en introduction afin de
vérifier, selon la politique retenue, que l’assurance permettra effectivement de rendre un sinistre tolérable
(il reste grave mais l’entreprise peut survivre) ou facilement acceptable (ce qui reste à la charge de
l’entreprise peut être facilement supporté sur un exercice, ce qui représente le maximum que l’on puisse
attendre de ce service).
Qualité de service
— L’efficacité de l’assurance réside dans
¾ La bonne définition des plafonds de garantie et des franchises
¾ la bonne définition des sinistres à couvrir, en termes de conséquences primaires et de leurs causes
possibles.
— La robustesse de l’assurance réside dans l’analyse détaillée des clauses d’exclusion et dans l’élimination des
clauses d’exclusion inacceptables
— La mise sous contrôle du service consiste à auditer régulièrement :
¾ l’adéquation des clauses du sinistre et de la franchise aux évolutions éventuelles du système d’information
¾ les plafonds de garantie et notamment les montants d’investissements unitaires éventuellement déclarés

33
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01D03 Assurance Responsabilité Civile


Objectif :
Réduire le coût de la responsabilité engagée du fait des systèmes d’information ou de l’activité liée
aux systèmes d’information, vis-à-vis de tiers.
Résultats attendus :
Limiter le montant de la Responsabilité Civile à un montant maximum en mutualisant les pertes au
dessus d’un certain seuil.
Mesures, mécanismes et solutions :
Les mesures à prendre sont exclusivement organisationnelles.
Mesures organisationnelles
Les mesures organisationnelles de base consistent à :
— Bien analyser les sinistres en Responsabilité Civile à couvrir et les causes primaires de ces sinistres, afin que
tant les conséquences primaires que leurs causes soient bien indiquées dans la police :
¾ Sinistres causés par tous les systèmes informatiques et de télécommunication (équipements de travail,
systèmes internes, Intranet, Extranet, sites Web, etc.), par leurs programmes ou leurs données, par les
opérations menées par l’entreprise dans le cadre de l’exploitation de son système d’information ou de
celui de tiers ou dans le cadre d’opérations de spécification ou de développements de systèmes
informatiques
¾ Sinistres survenant accidentellement (pannes, bugs), par erreur humaine (de programmation, de
manipulation), par malveillance (fraudes, intrusions, dénis de service, y compris par le personnel de
l’entreprise, ou préposé à son opération ou son entretien)
— Bien analyser toutes les conséquences de ces sinistres et toutes les actions qu’il conviendrait de lancer et de
financer pour y faire face et d’inclure la couverture de ces frais dans les garanties :
¾ Couverture totale des torts causés aux tiers
¾ Frais de recherche et d’investigation des causes et conséquences internes du sinistre
¾ Tous les frais supplémentaires d’exploitation et de fonctionnement engagés temporairement pour limiter
les torts causés aux clients ou éviter que le sinistre se reproduise
¾ Frais engagés par l’entreprise pour rétablir son image auprès de ses clients ou partenaires
¾ Perte d’exploitation engendrée par le sinistre
— Bien analyser toutes les exclusions pour s’assurer qu’elle correspondent bien à des événements tout à fait
improbables que l’on est bien décidé à auto assurer.
La finalisation du contrat consiste ensuite à déterminer le plafond des garanties et le montant des
franchises pour différents types de sinistres, en tenant compte de ce qui a été dit en introduction afin de
vérifier, selon la politique retenue, que l’assurance permettra effectivement de rendre un sinistre tolérable
(il reste grave mais l’entreprise peut survivre) ou facilement acceptable (ce qui reste à la charge de
l’entreprise peut être facilement supporté sur une exercice, ce qui représente le maximum que l’on puisse
attendre de ce service).
Qualité de service
— L’efficacité de l’assurance réside dans
¾ La bonne définition des plafonds de garantie et des franchises
¾ la bonne définition des sinistres à couvrir, en termes de conséquences primaires et de leurs causes
possibles.
— La robustesse de l’assurance réside dans l’analyse détaillée des clauses d’exclusion et dans l’élimination des
clauses d’exclusion inacceptables
— La mise sous contrôle du service consiste à auditer régulièrement :
¾ l’adéquation des clauses du sinistre aux évolutions éventuelles du système d’information et des systèmes
clients connectés
¾ les plafonds de garantie et montants de franchise en fonction des risques potentiels engendrés

34
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01D04 Assurance Perte de Personnages clés


Objectif :
Réduire le coût de la disparition de personnages clés par des assurances adaptées.
Résultats attendus :
Limiter le montant de l’impact de la disparition de personnages clés à un montant maximum en
mutualisant les pertes au dessus d’un certain seuil.
Mesures, mécanismes et solutions :
Les mesures à prendre sont exclusivement organisationnelles.
Mesures organisationnelles
Les mesures organisationnelles de base consistent à :
— Bien analyser les sinistres de perte de Personnage clé à couvrir et les causes primaires de ces sinistres, afin
que tant les conséquences primaires que leurs causes soient bien indiquées dans la police :
¾ Sinistres causés par la disparition de personnages clés, seuls ou en groupe
¾ Sinistres survenant accidentellement (voyages, maladie) ou par départ volontaire
— Bien analyser toutes les conséquences de ces sinistres et toutes les actions qu’il conviendrait de lancer et de
financer pour y faire face et d’inclure la couverture de ces frais dans les garanties :
¾ Couverture totale des torts causés aux tiers
¾ Résiliation éventuelle de contrats et perte d’exploitation engendrée par le sinistre
¾ Frais de recherche de personnel de remplacement et frais de formation
¾ Frais supplémentaires d’exploitation et de fonctionnement engagés temporairement pour limiter les torts
causés aux clients et pour assurer le fonctionnement normal de l’entreprise
¾ Frais engagés par l’entreprise pour rétablir son image auprès de ses clients ou partenaires
— Bien analyser toutes les exclusions pour s’assurer qu’elle correspondent bien à des événements tout à fait
improbables que l’on est bien décidé à auto assurer.
La finalisation du contrat consiste ensuite à déterminer le plafond des garanties et le montant des
franchises pour différents types de sinistres, en tenant compte de ce qui a été dit en introduction afin de
vérifier, selon la politique retenue, que l’assurance permettra effectivement de rendre un sinistre tolérable
(il reste grave mais l’entreprise peut survivre) ou facilement acceptable (ce qui reste à la charge de
l’entreprise peut être facilement supporté sur une exercice, ce qui représente le maximum que l’on puisse
attendre de ce service).
Qualité de service
— L’efficacité de l’assurance réside dans
¾ La bonne définition des plafonds de garantie et des franchises
¾ la bonne définition des sinistres à couvrir, en termes de conséquences primaires et de leurs causes
possibles.
— La robustesse de l’assurance réside dans l’analyse détaillée des clauses d’exclusion et dans l’élimination des
clauses d’exclusion inacceptables
— La mise sous contrôle du service consiste à auditer régulièrement :
¾ l’adéquation des clauses du sinistre aux évolutions éventuelles du système d’information et des systèmes
clients connectés
¾ les plafonds de garantie et montants de franchise en fonction des risques potentiels engendrés
¾ les personnages clés éventuellement déclarés

35
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01E Continuité de l’activité


01E01 Prise en compte des besoins de continuité de l’activité
Objectif :
Réduire le coût de certains sinistres en analysant au préalable les besoins fondamentaux de l’activité
en termes de continuité.
Résultats attendus :
Permettre la définition et la mise en place de plans de continuité de l’activité adaptés aux besoins de
l’entreprise.
Mesures, mécanismes et solutions :
Les mesures, à ce niveau, sont uniquement organisationnelles.
Mesures organisationnelles
Les mesures organisationnelles de base consistent à :
— Analyser chaque activité du point de vue de la criticité d’une interruption (en fonction de la durée de cette
interruption)
— Définir les services minima à fournir en accord avec les propriétaires d’information et de ressources ou les
responsables d’activité
— En déduire les besoins en termes de plans de continuité
Les mesures d’accompagnement consistent à :
— Définir les responsabilités pour les points cités ci-dessus
— Définir le cadre général à respecter pour l’établissement des analyses et des plans de continuité :
Qualité de service
— L’efficacité du service est essentiellement liée à la rigueur des analyses préliminaires :
¾ Exhaustivité des activités analysées
¾ Processus d’évaluation de la criticité des activités
— La robustesse du service est liée au contrôle du maintien de la pertinence des analyses malgré les évolutions
d’activité ou de technologies
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De activités analysées
¾ Des procédures d’analyse

36
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 1 : Organisation

01E02 Plans de Continuité de l’activité


Objectif :
Assurer la continuité de l’activité en cas d’accident grave.
Résultats attendus :
Faire en sorte que la reprise des activités soit possible, après un accident grave, avec des
performances et dans des délais acceptables par les utilisateurs et les clients.
Il s’agit ici des secours manuels ou des solutions d’attente avant que les systèmes eux-mêmes soient
restaurés (voir les PRA dans les chapitres 4, 5 et 8) et que les applications aient pu être relancées (voir les
PCU au chapitre 9). Ce sont ainsi des solutions prises au niveau de l’activité et non à celui de
l’architecture informatique. Ils doivent néanmoins être cohérents avec les solutions techniques de secours.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
La première mesure est de faire comprendre aux utilisateurs que les plans de secours techniques
(PRA et PCU) ne suffisent pas et qu’ils doivent, à leur niveau, se préparer à des actions exceptionnelles
pour que l’activité continue en attendant que les services applicatifs puissent reprendre après la remise en
place de moyens de traitement. Ces actions sont :
— La gestion de la relation avec les clients de l’activité
— La mise en place de solutions provisoires assurant un service minimal
— La préparation du passage du service minimal à une solution de secours plus complète.
Mesures techniques
Les mesures techniques de base visent à supporter la cellule de crise qui devra de toutes façons être
mise en place. Il s’agit donc des moyens logistiques correspondants (communication, accès aux
informations nécessaires, gestion de la cellule de crise, etc.)
Les mesures techniques d’accompagnement résultent éventuellement de l’analyse des solutions à
mettre en place, si des moyens techniques sont apparus souhaitables pour supporter la continuité de
l’activité.
Qualité de service
— L’efficacité du service est essentiellement liée à la rigueur de la préparation aux situations de crise :
¾ Nombre d’activités étudiées en détail
¾ Procédures détaillées pour les actions à mener et rigueur dans le détail de description de ces actions
¾ Tests en vraie grandeur
— La robustesse du service est liée à la protection des moyens nécessaires en cas de crise contre toute
destruction ou inhibition
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De l’adéquation des solutions prévues aux impératifs du business
¾ Des procédures détaillées
¾ Des tests effectués

37
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 2 : Sécurité des sites et des bâtiments

Domaine 2 : Sécurité des sites et bâtiments

02A Contrôle d’accès physique au site et aux bâtiments

Objectif :
Faire en sorte que seuls les personnes autorisées aient accès au site ou aux bâtiments se situant sur
les sites de l’entreprise.
Résultats globaux attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas la nécessité d’accéder au site ou aux bâtiments pour leur travail.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à quatre types de mesures complémentaires qui
sont simultanément nécessaires :
— 02A01 : Gestion des droits d’accès au site ou à l’immeuble
— 02A02 : Attribution des autorisations d’accès au site ou à l’immeuble
— 02A03 : Contrôle d’accès au site ou au bâtiment
— 02A04 : Détection des intrusions sur le site ou dans l’immeuble
— 02A05 : Accès aux zones de déchargement ou de chargement (de réception ou d’expédition de
marchandises)

38
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 2 : Sécurité des sites et des bâtiments

02A Contrôle d’accès physique au site et aux bâtiments


02A01 Gestion des droits d’accès au site ou à l’immeuble
Objectif :
Déterminer les besoins propres à chaque catégorie de personnel, interne ou non, afin de pouvoir
limiter leurs droits et privilèges à leurs seuls besoins.
Les besoins dont il s’agit couvrent l’accès au site ou à l’immeuble et les besoins de circulation à
l’intérieur du site ou de l’immeuble.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas (ou plus) la nécessité d’accéder au site ou aux bâtiments pour leur travail.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
— Identifier toutes les catégories de personnes amenées à travailler de manière permanente ou occasionnelle,
sur le site ou dans les bâtiments ou à y pénétrer pour diverses raisons, par exemple :
¾ Personnel interne en CDI affecté à ce site ou ce bâtiment
¾ Personnel temporaire, Stagiaires, etc.
¾ Prestataires (en différenciant les diverses catégories de prestataires)
¾ Visiteurs
¾ Personnel interne ne travaillant pas sur ce site ou dans ce bâtiment (autre établissement, filiale, etc.)
— Désigner, pour chaque catégorie de personnes, un responsable de la gestion des droits génériques attribués
à cette catégorie et des contrôles qui devront être faits
— Faire définir, puis gérer dans le temps, par ces responsables, les droits génériques attribués à chaque
catégorie de personnes.
— Mettre en place un processus de contrôle (ou d’audit) régulier des droits attribués.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les supports faisant l’interface
entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en
autorisations ou interdictions concrètes d’accès. Il s’agit donc de protéger contre toute modification illicite :
— Le transfert d’information entre les décisionnaires et les personnes en charge d’établir les autorisations
d’accès.
— Les tables ou documents matérialisant ces décisions.
Il s’agit donc de techniques de scellement, pour les mesures les plus efficaces, à défaut
éventuellement d’accusé de réception pour la transmission et d’audit régulier pour les tables et
documents.
Qualité de service
— L’efficacité du service est directement liée à la rigueur des procédures permettant de définir les catégories de
personnes et les droits associés.
— La robustesse du service est directement liée à la solidité des mesures techniques de protection des
transferts d’information et des bases de données des droits
— La mise sous contrôle est réalisée par des audits ou inspections régulières, tant des catégories de personnes
et des droits attribués que des processus de gestion eux-mêmes.

39
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 2 : Sécurité des sites et des bâtiments

02A02 Gestion des autorisations d’accès au site ou à l’immeuble


Objectif :
Attribuer individuellement les autorisations d’accès au site ou à l’immeuble à chaque personne et gérer
ces autorisations dans le temps, afin de pouvoir limiter leurs droits et privilèges à leurs seuls besoins et
aux seules périodes concernées.
Les besoins dont il s’agit couvrent l’accès au site ou à l’immeuble et les besoins de circulation à
l’intérieur du site ou de l’immeuble.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas (ou plus) la nécessité d’accéder au site ou aux bâtiments pour leur travail.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
— Définir, pour chaque catégorie de personnes, le responsable de l’attribution d’un « profil d’accès » à une
personne physique, par exemple :
¾ Hiérarchie pour le personnel interne
¾ Signataire de la commande pour un prestataire
— Définir, pour chaque catégorie de profil les variables de droits à préciser par le responsable demandeur :
¾ Période de validité
¾ Heures et jours de validité
— Définir l’ensemble des processus d’attribution, de modification et de retrait de profils (et donc de droits) à une
personne, depuis l’expression du besoin jusqu’à l’attribution ou le retrait du support permettant de justifier
l’attribution des droits.
— Définir les processus de contrôle et de détection des anomalies dans la gestion des autorisations.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les supports faisant l’interface
entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en
autorisations ou interdictions concrètes d’accès (badges, cartes accréditives, etc.). Il s’agit donc de
s’assurer que la demande reçue par le personnel en charge d’établir les supports justifiant les
autorisations (accréditifs) est bien authentique.
Il s’agit donc de techniques de signature et de contrôle de signature, que cette signature soit
électronique ou non (le scellement électronique étant ici apparenté à une signature). Des certificats
peuvent être également employés.
Qualité de service
— L’efficacité du service est directement liée à la rigueur des procédures permettant d’attribuer des profils
d’accès initiaux aux personnes, de les modifier éventuellement et de récupérer ou d’invalider les supports
d’autorisation (badges en particulier) dès que le besoin a disparu.
— La robustesse du service est directement liée à la solidité des mesures techniques de protection des
transferts d’information et des bases de données des droits attribués
— La mise sous contrôle est réalisée par des audits ou inspections régulières, des droits attribués, de l’usage
pratique de ces droits et des processus de gestion eux-mêmes.

40
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 2 : Sécurité des sites et des bâtiments

02A03 Contrôle d’accès au site ou à l’immeuble


Objectif :
Contrôler les accès au site ou à l’immeuble de telle sorte que ne puissent y pénétrer que les
personnes autorisées pour la période donnée.
Il peut aussi s’agir de contrôler les accès à une partie de bâtiments ou de locaux.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’y
étant pas (ou plus) autorisées.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques :
Mesures techniques
— Les mesures techniques de base concernent les voies d’accès courantes du personnel :
¾ Mesures physiques et matérielles : Portes, portillons, sas d’accès contrôlés par badge
¾ Contrôle des flux par gardiens : Contrôle des occupants des voitures pénétrant sur le site, contrôle des
piétons, des livreurs, etc.
— Les mesures complémentaires concernent les autres voies d’accès :
¾ Clôture du site
¾ Contrôle des fenêtres accessibles depuis l’extérieur (fermeture, barreaux, etc.)
¾ Contrôle des issues de secours (ouverture uniquement depuis l’intérieur)
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de
dysfonctionnement ou de violation des mesures techniques :
¾ Conduite à tenir en cas d’arrêt ou de violation des mesures techniques
¾ Équipes d’intervention
Qualité de service
— L’efficacité du service est liée à deux facteurs :
¾ La solidité ou l’inviolabilité du support des autorisations (mécanismes protégeant les badges contre une
recopie ou une falsification, mécanismes permettant de contrôler la validité des badges, y compris pour
les badges de collaborateurs non autorisés sur le site)
¾ L’efficacité du filtrage (sas ne permettant l’accès qu’à une personne à la fois, mécanismes empêchant de
faire entrer une personne par prêt de badge
— La robustesse du service est liée d’une part à la solidité des mesures complémentaires (efficacité de la
clôture, efficacité des contrôles des issues de secours, solidité des fenêtres et bâtiments eux-mêmes), d’autre
part aux mesures organisationnelles de surveillance du système de contrôle d’accès et aux capacités de
réaction en cas d’inhibition de ce système (en particulier en cas d’alerte incendie ou de mise en œuvre de
procédures concernant la sécurité du personnel)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des accès autorisés,
¾ des paramétrages des systèmes de contrôle d’accès,
¾ des systèmes de détection des violations et des arrêts du contrôle d’accès
¾ des procédures de réaction aux incidents et violations et de la mise en œuvre de ces procédures

41
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 2 : Sécurité des sites et des bâtiments

02A04 Détection des intrusions sur le site ou dans l’immeuble


Objectif :
Détecter les intrusions sur le site ou dans l’immeuble, au cas où le contrôle d’accès n’aurait pas été
efficace et intervenir au plus vite.
Résultats attendus :
Limiter les actions néfastes pouvant être menées volontairement par des personnes n’étant pas
autorisées à pénétrer sur le site ou dans l’immeuble, par une détection et une réaction rapide.
Mécanismes et solutions
Les mécanismes de détection à mettre en œuvre sont essentiellement techniques. Ils devront être
accompagnés de mesures organisationnelles, pour qu’une réaction efficace et adaptée soit entreprise.
Mesures techniques
Les mesures techniques concernent soit le contrôle des issues, soit la détection de présence dans des
zones de passage :
— La détection de forçage d’issues (portes ou fenêtres) :
¾ Contacts de portes ou de fenêtres actionnés sans que le contrôle d’accès ait déclenché l’ouverture
¾ Maintien de porte en position ouverte
¾ Utilisation d’issue de secours
¾ Détection de bris de vitres
— La détection de présence dans des zones de passage ou des zones critiques :
¾ Détection volumétrique (infrarouge, …)
¾ Vidéo-surveillance
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de
détection effective d’intrusion ou d’alerte :
¾ Conduite à tenir en cas d’alerte ou de détection d’intrusion
¾ Équipes d’intervention
— Elles concernent également les procédures d’enregistrement et de conservation des enregistrements.
Qualité de service
— L’efficacité du service est liée d’une part à la qualité, au nombre, au positionnement et à la complémentarité
des détecteurs pour couvrir l’ensemble des scénarios d’intrusion, en fonction des différentes situations
(heures ouvrables ou non), d’autre part aux capacités de réaction, rapidité du diagnostic et délai
d’intervention.
— La robustesse du service est liée aux capacités d’alerte en cas de tentatives d’inhibition des capteurs :
déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du système
central de traitement des signaux de détection, surveillance mutuelle des caméras de vidéosurveillance,
protection des enregistrements, etc.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des systèmes de traitement des signaux de détection (paramétrages, seuils de déclenchement d’alarmes,
etc.)
¾ des procédures de réaction aux intrusions (soupçonnées ou avérées)

42
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 2 : Sécurité des sites et des bâtiments

02A05 Accès aux zones de déchargement ou de chargement


Objectif :
Eviter les intrusions sur le site ou dans l’immeuble par le biais des zones de déchargement ou de
chargement (zones de réception ou d’expédition de marchandises).
Résultats attendus :
Eviter les actions néfastes pouvant être menées volontairement par des personnes n’étant pas
autorisées à pénétrer sur le site ou dans l’immeuble, par une protection spécifique aux zones considérées.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques :
Mesures techniques
— Les mesures techniques de base concernent les voies d’accès courantes des transporteurs :
¾ Mesures physiques et matérielles : barrières, sas, etc.
¾ Contrôle des flux par gardiens : Procédure de contrôle des ordres de livraison ou d’expédition.
— Les mesures complémentaires concernent l’isolement des zones d’expédition et de réception du reste du
site :
¾ Contrôle d’accès interne entre les zones de déchargement ou de chargement et le reste du site
¾ Séparation entre les zones de déchargement et les zones de déchargement
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent :
¾ La fermeture de ces zones en dehors des heures de livraison ou d’expédition
¾ Les procédures de réception et d’expédition
Qualité de service
— L’efficacité du service est liée à deux facteurs :
¾ La solidité ou l’inviolabilité du support des autorisations d’accès à ces zones depuis l’extérieur (procédures
et mécanismes permettant de contrôler la validité des bons d’enlèvement ou de livraison)
¾ L’efficacité du filtrage (en particulier en cas d’affluence)
¾ La solidité ou l’inviolabilité du support des autorisations d’accès depuis ces zones au reste du site
(mécanismes protégeant les badges contre une recopie ou une falsification, mécanismes permettant de
contrôler la validité des badges)
— La robustesse du service est liée d’une part à la solidité des mesures complémentaires (efficacité de la
séparation physique entre l’extérieur et ces zones et entre ces zones et le reste du site, efficacité des
contrôles des issues de secours), d’autre part aux mesures organisationnelles de surveillance du système de
contrôle d’accès et aux capacités de réaction en cas d’inhibition de ce système (en particulier en cas d’alerte
incendie ou de mise en œuvre de procédures concernant la sécurité du personnel)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des procédures d’enlèvement et de réception,
¾ des paramétrages des systèmes de contrôle d’accès,
¾ des systèmes de détection des violations et des arrêts du contrôle d’accès
¾ des procédures de réaction aux incidents et violations et de la mise en œuvre de ces procédures

43
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

Domaine 3 : Sécurité des locaux

03A Services généraux

Objectif :
Faire en sorte que les services généraux assurés par le site ou l’établissement soient fiables et
conformes aux attentes et spécifications des constructeurs.
Résultats globaux attendus :
Prévenir les dégâts ou inconvénients pouvant être causés accidentellement aux systèmes
d’information par une défaillance primaire des servitudes générales fournies par l’établissement.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à cinq types de mesures complémentaires qui sont
simultanément nécessaires :
— 03A01 : Qualité de la fourniture de l'énergie
— 03A02 : Continuité de la fourniture de l'énergie
— 03A03 : Sécurité de la climatisation
— 03A04 : Qualité du câblage
— 03A05 : Protection contre la foudre

03B Contrôle d’accès aux locaux sensibles


Objectif :
Faire en sorte que seuls les personnes autorisées aient accès aux locaux sensibles se situant sur les
sites de l’entreprise.
Résultats globaux attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas la nécessité d’accéder, pour leur travail, dans des locaux sensibles.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à :
— 03B01 : Gestion des droits d'accès aux locaux sensibles
— 03B02 : Gestion des autorisations d'accès aux locaux sensibles
— 03B03 : Contrôle des accès aux locaux sensibles
— 03B04 : Détection des intrusions dans les locaux sensibles
— 03B05 : Surveillance périmétrique
— 03B06 : Surveillance des locaux sensibles
— 03B07 : Contrôle d'accès au câblage
— 03B08 : Localisation des locaux sensibles

03C Sécurité contre les dégâts des eaux


Objectif :
Minimiser les risques de dégâts des eaux, par des actions de prévention et de protection contre l’effet
des dégâts des eaux.

44
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

Résultats globaux attendus :


Empêcher les dégâts des eaux et quand cela n’est pas possible en limiter les conséquences
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à :
— 03C01 : Prévention des risques de dégâts des eaux
— 03C02 : Détection des dégâts des eaux
— 03C03 : Évacuation de l'eau

03D Sécurité contre l’incendie


Objectif :
Minimiser les risques dus à un incendie, par des actions de prévention et de protection contre
l’incendie.
Résultats globaux attendus :
Empêcher le départ d’un incendie et quand cela n’est pas possible en limiter les conséquences
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à :
— 03D01 : Prévention des risques d’incendie
— 03D02 : Détection incendie
— 03D03 : Extinction incendie

03E Protection contre les risques environnementaux divers


Objectif :
Minimiser les risques dus à à des risques environnementaux divers, par des analyses préalables et
des actions de prévention et de protection.
Résultats globaux attendus :
Empêcher ces risques et quand cela n’est pas possible en limiter les conséquences
Services de sécurité :
Le service de sécurité nécessaire est relatif à :
— 03E01 : Protection contre les risques environnementaux divers

45
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03A Services généraux


03A01 Qualité de la fourniture de l’énergie
Objectif :
Alimenter les équipements sensibles par une source de tension stable et fiable.
Résultats attendus :
Les micro-coupures ne sont pas toujours tolérées par les équipements informatiques et les effets
indirects (coupure système, perte des informations en cours de traitement, etc.) peuvent avoir des effets
indirects importants. Le résultat attendu est une fiabilité des systèmes informatiques.
Deux effets secondaires peuvent être attendus d’une stabilité de l’alimentation électrique :
— la prévention de pointes de tension pouvant provoquer des courts-circuits
— une gestion de l’arrêt des équipements en cas de coupure brusque de l’énergie, afin que les systèmes
puissent redémarrer dans un état connu.
Mécanismes et solutions
Les solutions sont essentiellement techniques. Elles doivent néanmoins s’accompagner de mesures
organisationnelles.
Mesures techniques
Les mesures techniques consistent en une alimentation dédiée par onduleur, à partir d’une
alimentation continue régulée, obtenue par redressement et régulation de l’alimentation générale.
En complément de cet onduleur, on utilise le plus généralement, en tampon, une batterie qui permet,
en outre, de gérer l’arrêt de la source primaire et de mettre en œuvre une séquence d’arrêt propre
permettant de redémarrer dans de bonnes conditions.
Mesures organisationnelles
Les mesures organisationnelles complémentaires consistent en des tests réguliers de la séquence
d’arrêt et de son adéquation aux systèmes supportés (dont les exigences peuvent évoluer).
Qualité de service
— L’efficacité du service est liée à la marge entre les garanties apportées par l’installation et les spécifications
des constructeurs
— La robustesse du service est liée à la protection de l’installation contre toute inhibition volontaire ou
accidentelle (protection des accès, mise sous surveillance, etc.)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ Des capacités des équipements supports (en particulier des batteries)
¾ De l’adéquation des batteries, si elles existent, avec la charge nécessaire pour assurer l’arrêt de tous les
équipements supportés par l’alimentation

46
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03A02 Continuité de la fourniture de l’énergie


Objectif :
Assurer la continuité de l’alimentation des équipements en cas de chute de l’alimentation primaire.
Résultats attendus :
Assurer la continuité de l’exploitation, en cas d’interruption de longue durée de l’alimentation normale
en énergie.
Mécanismes et solutions
Les solutions sont essentiellement techniques. Elles doivent néanmoins s’accompagner de mesures
organisationnelles.
Mesures techniques
Les mesures techniques consistent en une alimentation en énergie indépendante de l’alimentation
principale.
Le mécanisme de base consiste en un groupe électrogène alimenté par une réserve de fuel
domestique. L’installation peut être complétée d’un redresseur et d’un onduleur pour assurer une grande
stabilité de la source de remplacement, voire de batteries intermédiaires (pour assurer la continuité de
l’énergie pendant le temps nécessaire au démarrage du groupe).
Une solution alternative consiste en une deuxième arrivée d’énergie indépendante de la première (en
notant que s’il s’agit du même fournisseur, cette solution ne protège pas contre une grève du fournisseur)
Mesures organisationnelles
Les mesures organisationnelles complémentaires consistent en des tests réguliers de la détection de
la coupure d’énergie et de la séquence de démarrage du groupe (ou de commutation vers la source
alternative), ainsi qu’en des tests en charge pour s’assurer de la capacité de la solution de secours à
supporter l’ensemble des équipements.
Il peut éventuellement être nécessaire de prévoir des séquences de délestage pour éviter de laisser
connecter des équipements non indispensables.
Qualité de service
— L’efficacité du service est liée au pourcentage d’équipements supportés, à pleine charge, par l’installation de
secours. Elle est également liée à pérennité de la solution de secours (et donc à la réserve de fuel et à la
capacité, ou garantie, de livraison de fuel pour assurer la continuité de fonctionnement des équipements
pendant une durée indéterminée, s’il s’agit d’un groupe tournant).
— La robustesse du service est liée à la protection de l’installation contre toute inhibition volontaire ou
accidentelle (protection des accès, mise sous surveillance, etc.)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ Des séquences de détection et de démarrage de la solution de secours
¾ De l’adéquation de la solution avec la puissance nécessitée par les équipements supportés par
l’alimentation

47
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03A03 Sécurité de la climatisation


Objectif :
Assurer, en toute circonstance, une ambiance conforme aux spécifications des équipements.
Résultats attendus :
Éviter qu’un accroissement de température ou qu’un arrêt d’équipement de climatisation ne provoque
un arrêt complet des équipements
Mécanismes et solutions
Les solutions sont essentiellement techniques. Elles doivent néanmoins s’accompagner de mesures
organisationnelles.
Mesures techniques
Les mesures techniques de base consistent en des équipements de climatisation.
Les mesures complémentaires consistent en des secours ou une installation redondante telle que
toute panne soit tolérée et ne se traduise pas par des températures ou des conditions climatiques sortant
des limites spécifiées.
Mesures organisationnelles
Les mesures organisationnelles complémentaires consistent en des tests réguliers de la capacité de la
solution retenue à assurer une climatisation suffisante, même en cas de défaillance d’équipement.
Qualité de service
— L’efficacité du service de base est liée à la marge entre les garanties apportées par l’installation et les
spécifications des constructeurs, quelles que soient les conditions extérieures.
— La robustesse du service est liée à deux aspects :
¾ La capacité de l’installation à assurer sa fonction quelle que soit la panne simple ou l’accident qui
survienne, voire sa capacité à résister à une panne double
¾ la protection de l’installation contre toute inhibition volontaire ou accidentelle (protection des accès, mise
sous surveillance, etc.)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ Des capacités de l’installation à supporter les conditions extrêmes
¾ Des capacités de détection de toute panne simple et des procédures d’intervention sur panne (pour être
capable de réparer une panne simple avant que ne survienne une deuxième panne)

48
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03A04 Qualité du câblage


Objectif :
Protéger le câblage contre des risques d’accidents divers.
Résultats attendus :
Les câblages anarchiques sont de nature à favoriser les accidents au cours d’interventions ou de
manipulations à proximité du câblage.
L’état de l’art consiste à isoler les câbles de signaux de ceux supportant de l’énergie et à regrouper les
câbles de même nature dans des goulottes bien protégées et signalées.
Dans de telles conditions les risques d’accidents et de courts-circuits sont minimisés.
Mécanismes et solutions
Les solutions sont essentiellement techniques. Elles doivent néanmoins s’accompagner de mesures
organisationnelles.
Mesures techniques
Les mesures techniques consistent en une séparation claire des types de câbles et en leur
positionnement dans des goulottes de protection.
Dans certaines zones particulièrement exposées on peut être amené à prévoir en outre des dalles de
protection (zones de passage de camions, zones ou des engins de chantier risquent d’intervenir, etc.)
Mesures organisationnelles
Les mesures organisationnelles consistent en une surveillance régulière de l’application des principes
et solutions retenus
Qualité de service
— L’efficacité du service est liée à la rigueur d’application des principes retenus
— La robustesse du service est liée à celle des protections retenues (goulottes PVC, en tôle, dalles de
protection en béton, etc.)
— La mise sous contrôle est réalisée par des audits réguliers du câblage

49
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03A05 Protection contre la foudre


Objectif :
Protéger le câblage et les équipements contre la foudre.
Résultats attendus :
La foudre peut avoir des effets divers et provoquer un début d’incendie. On s’intéresse ici aux effets de
la foudre, en tant qu’onde de tension, sur les équipements ou le câblage.
L’effet attendu est que l’onde de tension soit dérivée vers la terre et que l’onde résiduelle pour les
équipements ou le câblage soit négligeable ou tolérable.
Mécanismes et solutions
Les solutions sont essentiellement techniques. Ils doivent néanmoins s’accompagner de mesures
organisationnelles.
Mesures techniques
Les mesures techniques consistent en des équipements spécifiques de lutte contre la foudre :
— D’une part l’équipement de l’immeuble avec un paratonnerre reliés par une cable spécifique à une masse de
bonne qualité
— D’autre part la mise en place d’équipements spéciaux (éclateurs, écrêteurs, etc.) aux endroits appropriés (le
paratonnerre seul peut ne pas suffire car l’onde de tension provoquée par la foudre et son évacuation à la
terre provoque souvent, par induction ou par effet indirect de la terre, des pics de tension dans des câbles de
signaux ou d’énergie et des équipements spécifiques sont alors nécessaires). Nota : la mise en place de tels
équipements spécifiques peut demander l’assistance de spécialistes de ce type de problème.
Mesures organisationnelles
Les mesures organisationnelles complémentaires consistent en la mise sous contrôle de l’installation
pour faire face aux inévitables évolutions du câblage et pour s’assurer que l’installation demeure adaptée
Qualité de service
— L’efficacité du service est liée aux pics de tension que l’installation est capable de filtrer et d’évacuer
— La robustesse du service est liée à la protection de l’installation contre toute inhibition volontaire ou
accidentelle (protection des accès aux équipements spécifiques, mise sous surveillance, etc.)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De bon fonctionnement des équipements spécifiques
¾ De l’adéquation des protections aux évolutions des câblages

50
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03B Contrôle d’accès aux locaux sensibles


03B01 Gestion des droits d’accès aux locaux sensibles
Objectif :
Déterminer, pour chaque local sensible, quelles catégories de personnel, interne ou non, ont de réels
besoin d’y pénétrer et dans quelles conditions, afin de pouvoir empêcher les accès par ceux qui n’en ont
pas le besoin et limiter leurs droits et privilèges à leurs seuls besoins, à ceux qui ont besoin d’y avoir
accès.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas (ou plus) la nécessité d’accéder aux locaux sensibles.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
— Identifier toutes les catégories de personnes amenées à travailler de manière permanente ou occasionnelle,
dans chaque type de local sensible ou à y pénétrer pour diverses raisons, par exemple :
¾ Personnel d’exploitation informatique ou réseau
¾ Personnel des services généraux ou personnel de sécurité (pompiers).
¾ Prestataires (en différenciant les diverses catégories de prestataires : maintenance, entretien, etc.)
¾ Visiteurs éventuellement
— Désigner, pour chaque type de local, un responsable de la gestion des droits attribués à cette catégorie de
personne et des contrôles qui devront être faits
— Faire définir, puis gérer dans le temps, par ces responsables, les droits génériques attribués à chaque
catégorie de personnes.
— Mettre en place un processus de contrôle (ou d’audit) régulier des droits attribués.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les supports faisant l’interface
entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en
autorisations ou interdictions concrètes d’accès. Il s’agit donc de protéger contre toute modification illicite :
— Le transfert d’information entre les décisionnaires et les personnes en charge d’établir les autorisations
d’accès.
— Les tables ou documents matérialisant ces décisions.
Il s’agit donc de techniques de scellement, pour les mesures les plus efficaces, à défaut
éventuellement d’accusé de réception pour la transmission et d’audit régulier pour les tables et
documents.
Qualité de service
— L’efficacité du service est directement liée à la rigueur des procédures permettant de définir les catégories de
personnes et les droits associés.
— La robustesse du service est directement liée à la solidité des mesures techniques de protection des
transferts d’information et des base de données des droits
— La mise sous contrôle est réalisée par des audits ou inspections régulières, tant des catégories de personnes
et des droits attribués que des processus de gestion eux-mêmes.

51
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03B02 Gestion des autorisations d’accès aux locaux sensibles


Objectif :
Attribuer individuellement les autorisations d’accès aux locaux sensibles à chaque personne
intéressée et gérer ces autorisations dans le temps, afin de pouvoir limiter leurs droits et privilèges à leurs
seuls besoins et aux seules périodes concernées.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas (ou plus) la nécessité d’accéder aux locaux sensibles pour leur travail.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
— Définir, pour chaque type de local, le responsable de l’attribution d’un « profil d’accès » à une personne
physique, par exemple :
¾ Hiérarchie pour le personnel interne
¾ Signataire de la commande pour un prestataire
— Définir, pour chaque catégorie de profil les variables de droits à préciser par le responsable demandeur :
¾ Période de validité
¾ Heures et jours de validité
— Définir l’ensemble des processus d’attribution, de modification et de retrait de profils (et donc de droits) à une
personne, depuis l’expression du besoin jusqu’à l’attribution ou le retrait du support permettant de justifier
l’attribution des droits.
— Définir les processus de contrôle et de détection des anomalies dans la gestion des autorisations.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les supports faisant l’interface
entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en
autorisations ou interdictions concrètes d’accès (badges, cartes accréditives, etc.). Il s’agit donc de
s’assurer que la demande reçue par le personnel en charge d’établir les supports justifiant les
autorisations (accréditifs) est bien authentique.
Il s’agit donc de techniques de signature et de contrôle de signature, que cette signature soit
électronique ou non (le scellement électronique étant ici apparenté à une signature). Des certificats
peuvent être également employés.
Qualité de service
— L’efficacité du service est directement liée à la rigueur des procédures permettant d’attribuer des profils
d’accès initiaux aux personnes, de les modifier éventuellement et de récupérer ou d’invalider les supports
d’autorisation (badges en particulier) dès que le besoin a disparu.
— La robustesse du service est directement liée à la solidité des mesures techniques de protection des
transferts d’information et des base de données des droits attribués
— La mise sous contrôle est réalisée par des audits ou inspections régulières, des droits attribués, de l’usage
pratique de ces droits et des processus de gestion eux-mêmes.

52
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03B03 Contrôle d’accès aux locaux sensibles


Objectif :
Contrôler les accès aux locaux sensibles de telle sorte que ne puissent y pénétrer que les personnes
autorisées pour la période donnée.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’étant
pas (ou plus) autorisées à pénétrer dans les locaux sensibles.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques :
Mesures techniques
— Les mesures techniques de base concernent les voies d’accès courantes du personnel :
¾ Portes, sas d’accès éventuels, contrôlés par badge ou par digicode, pour les locaux dans lesquels
pénètrent de nombreuses personnes
¾ Portes contrôlées par une serrure pour les locaux dont les usages sont peu fréquents
— Les mesures complémentaires concernent les autres voies d’accès :
¾ Contrôle des fenêtres accessibles depuis l’extérieur (fermeture, barreaux, etc.)
¾ Contrôle des issues de secours (ouverture uniquement depuis l’intérieur)
¾ Contrôle des accès potentiels par les faux planchers et faux plafonds
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de
dysfonctionnement ou de violation des mesures techniques :
¾ Conduite à tenir en cas d’arrêt ou de violation des mesures techniques
¾ Équipes d’intervention
Qualité de service
— L’efficacité du service est liée à deux facteurs :
¾ La solidité ou l’inviolabilité du support des autorisations (mécanismes protégeant les badges contre une
recopie ou une falsification, installations permettant d’éviter l’observation directe d’un digicode)
¾ L’efficacité du filtrage (sas ne permettant l’accès qu’à une personne à la fois, mécanismes empêchant de
faire entrer une personne par prêt de badge
— La robustesse du service est liée d’une part à la solidité des mesures complémentaires (efficacité des
contrôles des issues de secours, solidité des fenêtres et bâtiments eux-mêmes), d’autre part aux mesures
organisationnelles de surveillance du système de contrôle d’accès et aux capacités de réaction en cas
d’inhibition de ce système (en particulier en cas d’alerte incendie ou de mise en œuvre de procédures
concernant la sécurité du personnel)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des accès autorisés,
¾ des paramétrages des systèmes de contrôle d’accès,
¾ des systèmes de détection des violations et des arrêts du contrôle d’accès
¾ des procédures de réaction aux incidents et violations et de la mise en œuvre de ces procédures

53
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03B04 Détection des intrusions dans les locaux sensibles


Objectif :
Détecter les intrusions dans les locaux sensibles, au cas où le contrôle d’accès n’aurait pas été
efficace et intervenir au plus vite.
Résultats attendus :
Limiter les actions néfastes pouvant être menées volontairement par des personnes n’étant pas
autorisées à pénétrer dans les locaux sensibles, par une détection et une réaction rapide.
Mécanismes et solutions
Les mécanismes de détection à mettre en œuvre sont essentiellement techniques. Ils devront être
accompagnés de mesures organisationnelles, pour qu’une réaction efficace et adaptée soit entreprise.
Mesures techniques
Les mesures techniques concernent soit le contrôle des issues, soit la détection de présence dans des
zones de passage :
— La détection de forçage d’issues (portes ou fenêtres) :
¾ Contacts de portes ou de fenêtres actionnés sans que le contrôle d’accès ait déclenché l’ouverture
¾ Maintien de porte en position ouverte
¾ Utilisation d’issue de secours
¾ Détection de bris de vitres
— La détection de présence dans les locaux sensibles :
¾ Détection volumétrique (infrarouge, …)
¾ Vidéo-surveillance
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de
détection effective d’intrusion ou d’alerte :
¾ Conduite à tenir en cas d’alerte ou de détection d’intrusion
¾ Équipes d’intervention
— Elles concernent également les procédures d’enregistrement et de conservation des enregistrements.
Qualité de service
— L’efficacité du service est liée d’une part à la qualité, au nombre, au positionnement et à la complémentarité
des capteurs pour couvrir l’ensemble des scénarios d’intrusion, en fonction des différentes situations
(heures ouvrables ou non), d’autre part aux capacités de réaction, rapidité du diagnostic et délai
d’intervention.
— La robustesse du service est liée aux capacités d’alerte en cas de tentatives d’inhibition des capteurs :
déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du système
central de traitement des signaux de détection, surveillance mutuelle des caméras de vidéosurveillance,
protection des enregistrements, etc.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des systèmes de traitement des signaux de détection (paramétrages, seuils de déclenchement d’alarmes,
etc.)
¾ des procédures de réaction aux intrusions (soupçonnées ou avérées)

54
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03B05 Surveillance périmétrique des locaux sensibles


Objectif :
Détecter les actes de terrorisme ou d’attaques violentes contre les locaux sensibles et intervenir au
plus vite.
Résultats attendus :
Empêcher le dépôt d’explosifs ou l’attaque par force brute des issues, par une détection externe et
une réaction rapide.
Mécanismes et solutions
Les mécanismes de détection à mettre en œuvre sont essentiellement techniques. Ils devront être
accompagnés de mesures organisationnelles, pour qu’une réaction efficace et adaptée soit entreprise.
Mesures techniques
— Les mesures techniques concernent essentiellement la vidéosurveillance des couloirs et abords des locaux
sensibles
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de
détection effective d’attaque ou d’alerte :
¾ Conduite à tenir en cas d’alerte ou de suspicion d’attaque
¾ Équipes d’intervention
— Elles concernent également les procédures d’enregistrement et de conservation des enregistrements.
Qualité de service
— L’efficacité du service est liée d’une part à la qualité, au nombre, au positionnement et à la complémentarité
des caméras de surveillance, d’autre part aux capacités de réaction, rapidité du diagnostic et délai
d’intervention.
— La robustesse du service est liée aux capacités d’alerte en cas de tentatives d’inhibition des capteurs :
déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du système
central de traitement des signaux vidéos, surveillance mutuelle des caméras de vidéosurveillance, protection
des enregistrements, etc.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des systèmes de traitement des signaux vidéos (mise en route effective, positionnement des écrans et
capacités réelles de surveillance par le personnel préposé, etc.)
¾ des procédures de réaction aux alarmes

55
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03B06 Surveillance des locaux sensibles


Objectif :
Détecter les actions anormales ou illicites menées par du personnel autorisé à pénétrer dans les
locaux sensibles et intervenir au plus vite.
Résultats attendus :
Limiter les actions néfastes pouvant être menées volontairement par des personnes autorisées à
pénétrer dans les locaux sensibles, par une détection et une réaction rapide.
Mécanismes et solutions
Les mécanismes de détection à mettre en œuvre sont essentiellement techniques. Ils devront être
accompagnés de mesures organisationnelles, pour qu’une réaction efficace et adaptée soit entreprise.
Mesures techniques
— Les mesures techniques concernent essentiellement la vidéosurveillance de l’intérieur des locaux sensibles.
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de
détection effective d’anomalies de comportement :
¾ Conduite à tenir en cas d’alerte ou de suspicion de comportement anormal
¾ Équipes d’intervention
— Elles concernent également les procédures d’enregistrement et de conservation des enregistrements.
Qualité de service
— L’efficacité du service est liée d’une part à la qualité, au nombre, au positionnement et à la complémentarité
des caméras, d’autre part aux capacités de réaction, rapidité du diagnostic et délai d’intervention.
— La robustesse du service est liée aux capacités d’alerte en cas de tentatives d’inhibition des capteurs :
déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du système
central de traitement des signaux vidéos, surveillance mutuelle des caméras de vidéosurveillance, protection
des enregistrements, etc.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des systèmes de traitement des signaux vidéos (mise en route effective, positionnement des écrans et
capacités réelles de surveillance par le personnel préposé, etc.)
¾ des procédures de réaction aux intrusions (soupçonnées ou avérées)

56
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03B07 Contrôle d’accès au câblage


Objectif :
Contrôler les accès au câblage de telle sorte que ne puissent y avoir accès que les personnes
autorisées pour la période donnée.
On ne traite ici que de l’accès aux nappes de câblage transitant dans les couloirs, les faux planchers
ou faux plafonds et non des armoires ou baies de répartition contenues dans des locaux techniques
considérés comme sensibles et dont le contrôle d’accès est traité par les paragraphes précédents (3B1 à
3B6).
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’étant
pas (ou plus) autorisées à avoir accès au câblage.
Mécanismes et solutions
Les mécanismes de détection à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Les mesures techniques de base concernent :
— Le contrôle de l’accès aux gaines techniques dans les immeubles
— La protection des gaines de câblage et rails de protection des nappes
¾ Contrôle d’accès dans les couloirs correspondants
¾ Vidéosurveillance
Mesures organisationnelles
Les mesures organisationnelles d’accompagnement concernent :
— La gestion des autorisations d’accès :
¾ Profils autorisés
¾ Attribution de profils aux personnes
— La gestion des alertes en cas de détection d’abus ou de violation de contrôle d’accès
Qualité de service
— L’efficacité du service est liée à la solidité ou à l’inviolabilité du mécanismes protégeant les nappes de câblage
(qualité des clés donnant accès aux gaines de câblage ou mécanisme de sécurité des badges ou clés
donnant accès à des endroits ou les nappes sont accessibles)
— La robustesse du service est liée aux mesures organisationnelles de surveillance du système de contrôle
d’accès et aux capacités de réaction en cas d’inhibition de ce système
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des accès autorisés,
¾ de la protection effective des accès aux gaines techniques,
¾ des systèmes de détection des violations du contrôle d’accès
¾ des procédures de réaction aux incidents et violations et de la mise en œuvre de ces procédures

57
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03B08 Localisation des locaux sensibles


Objectif :
Eviter des actions volontaires malveillantes contre des locaux sensibles par des personnes extérieures
à l’entreprise
Résultats attendus :
Prévenir les actions néfastes pouvant être menées volontairement contre des locaux sensibles, par
des personnes n’étant pas autorisées à y accéder, en ne rendant pas ces locaux directement accessibles
depuis l’extérieur et en rendant plus difficile la localisation.
Mécanismes et solutions
Les mécanismes de détection à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Les mesures techniques de base concernent :
— L’implantation des locaux sensibles à l’intérieur des sites de telle sorte qu’ils ne soient pas accessibles
directement depuis l’extérieur (structure en anneaux)
— La protection contre le repérage du contenu de ces locaux :
¾ Fenêtres opaques ou équipées de verres réfléchissants
¾ Absence de fenêtre
Mesures organisationnelles
Les mesures organisationnelles d’accompagnement concernent :
— L’absence d’indication facilement accessible de la localisation de ces locaux ou de leur contenu
¾ Absence de référence de localisation dans les annuaires téléphoniques
¾ Absence d’indication sur les portes de ces locaux
Qualité de service
— L’efficacité du service est liée à :
¾ la solidité des divers mécanismes protégeant les accès jusqu’à la proximité directe de ces locaux
¾ la qualité des protections contre les repérages visuels
— La mise sous contrôle est réalisée par des audits réguliers :
¾ de la protection contre les repérages visuels,
¾ de l’absence d’indication sur la localisation et le contenu des locaux sensibles

58
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03C Sécurité contre les dégâts des eaux


03C01 Prévention des risques de dégâts des eaux
Objectif :
Prendre toute précaution pour éviter des fuites d’eau ou des remontées d’eau par d’éventuelles voies
d’évacuation.
Résultats attendus :
Éviter les dégâts des eaux.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
Les mesures organisationnelles consistent à faire une analyse aussi exhaustive que possible des
voies possibles d’arrivée d’eau :
— Canalisations cachées ou apparentes dans les faux planchers, les faux plafonds, etc.
— Inventaire des canalisations, évacuations d’eau ou terrasses dans les étages supérieurs
— Système de climatisation et de régulation d’humidité
— Possibilités de crues et d’atteinte des locaux sensibles par une crue
— Possibilités de remontée d’eau par des voies d’évacuation
— Etc.
Mesures techniques
Les mesures techniques consistent à traiter une par une les voies possibles reconnues par l’analyse
précédente :
— Éloignement des canalisations ou sécurisation (par exemple, installation sprinkler non sous pression en
temps normal)
— Clapet anti-retour sur les évacuations, etc.
— Déménagement des installations situées en sous-sol à proximité de rivière présentant un risque de crue
Qualité de service
— L’efficacité du service est liée à la rigueur de l’analyse préliminaire et à la qualité des mesures d’évitement
— La robustesse du service est liée à la protection des systèmes d’évitement et à la protection des arrivées
d’eau prévues pour la sécurité incendie
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des mesures d’évitement,
¾ de la mise à jour des analyses de risques d’inondation

59
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03C02 Détection des dégâts des eaux


Objectif :
Détecter aussi vite que possible un début de fuite ou d’inondation.
Résultats attendus :
Prévenir un dégât important en intervenant dès le début de l’accident et en mettant alors en œuvre
des mesures spécifiques.
Mécanismes et solutions
Les mécanismes de détection à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Les mesures techniques de base concernent :
— La détection d’humidité et la détection d’eau dans les endroits à risque des locaux sensible
¾ Près des équipements sensibles
¾ A proximité des équipements de climatisation
¾ Dans les faux planchers et/ou faux plafonds, etc.
— La détection d’humidité et la détection d’eau dans les étages supérieurs (afin d’anticiper l’effet d’une fuite dans
les étages)
— La détection d’humidité et d’eau dans les gaines techniques
Mesures organisationnelles
— Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de
détection d’eau ou d’humidité :
¾ Procédures concernant les actions à mener
¾ Capacités d’intervention pour faire stopper la cause du dégât des eaux (plans à jour indiquant les points
de coupure, existence de bâches plastiques pour protéger les équipements, etc.)
¾ Équipes d’intervention disponibles et avec des temps d’intervention réduits
Qualité de service
— L’efficacité du service est liée d’une part au nombre et à la disposition des capteurs, d’autre part aux
capacités de réaction, rapidité du diagnostic, capacité d’intervention pour stopper la cause (si possible) et
délai d’intervention
— La robustesse du service est liée aux capacités d’alerte en cas de tentative d’inhibition ou d’interruption des
capteurs ou des systèmes de traitement des signaux de ces capteurs : déclenchement d’alarme en cas de
coupure d’alimentation ou de signal, alarme en cas d’arrêt du système central de traitement des signaux des
capteurs.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des systèmes de traitement des signaux de détection,
¾ des moyens d’intervention (robinets de coupure, plan des installations, etc.)
¾ des procédures de réaction aux alarmes

60
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03C03 Évacuation de l’eau


Objectif :
Évacuer l’eau , dans les cas ou l’inondation n’a pu être évitée
Résultats attendus :
Limiter au maximum les conséquences du dégât des eaux et éviter que l’eau se propage dans
l’ensemble des locaux.
Mécanismes et solutions
Les mécanismes de détection à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Les mesures techniques de base concernent :
— L’évacuation par des voies naturelles : planchers inclinés et collecte des eaux, puis évacuation naturelle par
des canalisations.
— L’évacuation par des voies forcées : pompes, etc.
Mesures organisationnelles
— Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de
détection d’eau ou d’humidité :
¾ Procédures concernant les actions à mener
¾ Capacités d’intervention (plans à jour indiquant les pompes mobiles ou vannes d’évacuation, etc.)
¾ Équipes d’intervention disponibles et avec des temps d’intervention réduits
Qualité de service
— L’efficacité du service est liée à l’efficacité des moyens d’évacuation, en particulier en termes de débit
maximum, comparée au débit potentiel de la source d’eau.
— La robustesse du service est liée à la protection des moyens d’évacuation contre des malveillances visant à
les inhiber ou à rendre leur accès impossible :
¾ Accessibilité des pompes mobiles
¾ Protection du local abritant la pompe d’évacuation fixe éventuelle
¾ Système d’alarme protégeant les moyens d’évacuation
— La mise sous contrôle est réalisée par des audits réguliers :
¾ Du bon fonctionnement des systèmes d’évacuation,
¾ Des procédures de réaction sur alarmes

61
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03D Sécurité contre l’incendie


03D01 Prévention des risques d’incendie
Objectif :
Prendre toute précaution pour éviter le départ d’un incendie.
Résultats attendus :
Éviter un incendie.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
Les mesures organisationnelles consistent à faire une analyse aussi exhaustive que possible des
risques d’incendie :
— Qualité du câblage et risque de court-circuit
— Interdiction de fumer et protections spécifiques au niveau des poubelles
— Appareillages divers pouvant provoquer une source anormale de chaleur (cafetière électrique, radiateur
d’appoint, etc.)
— Traitement des surfaces et matériaux inflammables
— Etc.
Mesures techniques
Les mesures techniques consistent à traiter une par une les sources possibles reconnues par
l’analyse précédente :
— Sécurisation du câblage
— Poubelles anti-feu.
— Réglementation intérieure
— Traitements des revêtements muraux et autres
Qualité de service
— L’efficacité du service est liée à la rigueur de l’analyse préliminaire et à la qualité des mesures d’évitement
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des mesures d’évitement,
¾ des comportements réels des personnels travaillant dans ces locaux

62
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03D02 Détection incendie


Objectif :
Détecter aussi vite que possible un début d’incendie.
Résultats attendus :
Prévenir un dégât important en intervenant dès le début de l’incendie et en mettant alors en œuvre
des mesures spécifiques.
Mécanismes et solutions
Les mécanismes de détection à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Les mesures techniques de base concernent :
— La détection d’incendie, par différents types de capteurs (chaleur, fumée, etc.)
¾ A proximité des équipements dégageant le plus de puissance
¾ Dans les couloirs et voies de circulation
¾ Dans les faux planchers et faux plafonds, etc.
¾ Dans les gaines de climatisation
— La détection d’incendie à l’extérieur mais à proximité des locaux sensibles (afin d’anticiper et d’éviter que les
pompiers interviennent dans les locaux sensibles (ce qui provoque le plus souvent autant de dégâts que
l’incendie proprement dit)
Mesures organisationnelles
— Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de
détection d’incendie :
¾ Procédures concernant les premières actions à mener (extincteurs et formation du personnel à l’utilisation
des extincteurs, coupure d’électricité, fermeture de vannes d’aération, etc.)
¾ Diagnostic rapide et appel aux secours spécialisés
Qualité de service
— L’efficacité du service est liée d’une part au nombre et à la disposition des capteurs, d’autre part aux
capacités de réaction, rapidité du diagnostic, capacité d’intervention pour stopper la cause (si possible) et
délai d’intervention des secours spécialisés
— La robustesse du service est liée aux capacités d’alerte en cas de tentative d’inhibition ou d’interruption des
systèmes de détection et de traitement des signaux d’alerte : protection (contrôle d’accès) des systèmes de
détection, déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du
système central de détection incendie.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des systèmes de traitement des signaux de détection,
¾ des moyens d’intervention (formation, extincteurs, etc.)
¾ des procédures de réaction aux alarmes

63
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03D03 Extinction incendie


Objectif :
Éteindre l’incendie par des mécanismes, automatiques ou non
Résultats attendus :
Limiter au maximum les conséquences de l’incendie et éviter qu’il se propage dans l’ensemble des
locaux.
Mécanismes et solutions
Les mécanismes de détection à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Les mesures techniques de base concernent :
— L’extinction automatique par divers procédés (gaz inertes type halon, pulvérisation d’eau, etc.
— L’extinction manuelle par extincteurs
Mesures organisationnelles
— Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de
détection d’incendie :
¾ Procédures concernant les actions à mener : appel aux secours spécialisés, avant ou après diagnostic
précis, évacuation du personnel, etc.
¾ Capacités d’intervention
¾ Équipes d’intervention disponibles et avec des temps d’intervention réduits
Qualité de service
— L’efficacité du service est liée à l’efficacité des moyens d’extinction
— La robustesse du service est liée aux capacités d’alerte en cas de tentative d’inhibition ou d’interruption des
systèmes d’extinction : protection (contrôle d’accès) des systèmes commandant les dispositifs d’extinction,
déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du système
central d’extinction incendie.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des systèmes de traitement des signaux de détection,
¾ des moyens d’intervention (formation, extincteurs, etc.)
¾ des procédures de réaction aux alarmes

64
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 3 : Sécurité des locaux

03E Protection contre les risques environnementaux divers


03E01 Protection contre les risques environnementaux divers
Objectif :
Analyser les risques environnementaux divers et prendre des mesures en conséquence pour les éviter
ou en réduire les conséquences.
Résultats attendus :
Rendre ces risques tolérables.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
Les mesures organisationnelles consistent à faire une analyse aussi exhaustive que possible des
risques environnementaux divers :
— Risques climatiques (foudre, orages, tornades, etc.)
— Risques de pollution liés aux industries voisines
— Risques sismiques
— Risques de vandalisme ou de terrorisme liés à l’environnement
— Risques d’explosions accidentelles
— Risques induits par des mouvements sociaux violents extérieurs à l’entreprise,
— Etc.
Mesures techniques
Les mesures techniques consistent à traiter un par un les risques reconnus comme possibles ou
probables par l’analyse précédente :
— Sécurisation des bâtiments et du site contre de tels risques
— Solutions de secours adaptées
Qualité de service
— L’efficacité du service est liée à la rigueur de l’analyse préliminaire et à la qualité des mesures prises en
conséquence
— La mise sous contrôle est réalisée par des audits réguliers :
¾ de la pertinence de l’analyse et de la permanence de ses conclusions
¾ de l’efficience des mesures décidées en conséquence

65
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

Domaine 4 : Réseau étendu intersites

04A Sécurité de l’architecture du réseau étendu et continuité de service


Objectif :
Mettre en place une architecture globale des réseaux garantissant la facilité de communication entre
les entités qui en ont le besoin tout en limitant les risques d’abus ou de mauvaise utilisation de ces
moyens.
Résultats globaux attendus :
Les résultats attendus sont doubles : garantir une continuité des communications entre entités en cas
d’incident ou de panne mais assurer chacune que sa connexion à d’autres entités, par le biais du réseau
étendu, ne la fragilise pas.
Une autre manière de présenter le résultat attendu de ce groupe de services est de dire qu’une grande
facilité de communication qui ne serait pas assez sécurisée ne serait pas utile et pourrait être sous utilisée
par les opérationnels en raison des risques présentés. Les deux aspects visent donc le même objectif qui
est d’offrir un moyen de communication sûr.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à différents types de mesures :
— 04A01 : Sûreté de fonctionnement des éléments d’architecture du réseau étendu
— 04A02 : Télépilotage de l’exploitation du réseau étendu
— 04A03 : Organisation de la maintenance des équipements du réseau étendu
— 04A04 : Procédures et plans de reprise du réseau étendu sur incidents
— 04A05 : Plans de sauvegarde des configurations du réseau étendu
— 04A06 : Plans de sauvegardes des données applicatives du réseau étendu
— 04A07 : Plan de reprise d’activité (PRA) du réseau étendu
— 04A08 : Gestion des fournisseurs critiques vis-à-vis de la permanence de la maintenance

04B Contrôle des connexions sur le réseau étendu


Objectif :
Faire en sorte que seules les entités autorisées aient accès au réseau étendu et puisse se connecter
aux autres entités.
Résultats attendus :
Prévenir les tentatives d’accès, par des entités non autorisées, aux ressources internes (serveurs en
particuliers) et aux informations circulant sur le réseau.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires qui
peuvent être simultanément nécessaires :
— 04B01 : Profils de sécurité des entités connectées au réseau étendu
— 04B02 : Authentification de l'entité accédante lors des accès entrants depuis le réseau étendu
— 04B03 : Authentification de l'entité accédée lors des accès sortants vers d’autres entités du réseau étendu

66
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04C Sécurité des données lors des échanges et des communications


Objectif :
Protéger les données transmises contre des divulgations ou des altérations illicites.
Résultats attendus :
Prévenir les tentatives d’accès aux informations échangées, en lecture ou en modification, par des
personnes non autorisées.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires :
— 04C01 : Chiffrement des échanges sur le réseau étendu
— 04C02 : Contrôle de l’intégrité des échanges sur le réseau étendu

04D Détection et traitement des incidents du réseau étendu


Objectif :
Détecter les anomalies de fonctionnement ou des intrusions sur le réseau étendu pour intervenir au
mieux et dans les meilleurs délais.
Résultats attendus :
Éviter que des actions malveillantes externes (pirates, hackers) ou internes (abus de droits
d’utilisateurs), que les mesures préventives auraient pu laisser passer, perdurent et se traduisent par des
dysfonctionnements qui auraient pu être détectés et interrompus.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires :
— 04D01 : Surveillance en temps réel du réseau étendu
— 04D02 : Surveillance, en temps différé, des traces, logs et journaux des événements du réseau étendu
— 04D03 : Traitement des incidents du réseau étendu

67
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04A Sécurité de l’architecture du réseau étendu et continuité de service


04A01 Sûreté de fonctionnement des éléments d’architecture du réseau
étendu
Objectif :
Assurer la fluidité des communications quels que soient les aléas de fonctionnement des équipements
ou d’utilisation des réseaux par les utilisateurs
Résultats attendus :
Éviter qu’une panne simple, voire complexe ou que des aléas dans l’utilisation des réseaux ne fassent
chuter la performance du réseau étendu, avec des impact négatifs sur l’activité de l’entreprise.
Mécanismes et solutions :
Les mécanismes principaux sont du ressort de l’architecture, mais doivent s’appuyer sur des études
préalables qui sont de nature organisationnelles
Mesures organisationnelles
— Les mesures organisationnelles ne sont utilisées que dans une phase préalable et consistent en une analyse
des enjeux de la continuité des services du réseau étendu :
¾ Analyse de la gravité des conséquences en fonction de la durée d’une interruption complète des services
du réseau étendu
¾ Analyse des capacités de reroutage des communications en cas de défaillance d’un équipement et du
temps nécessaire à ces reconfigurations
¾ Analyse des enjeux liés à une baisse de performance du réseau étendu
Mesures techniques
— Les mesures de base consistent en la mise en place d’une architecture à tolérance de panne telle que :
¾ toute panne simple d’un équipement réseau puisse être soit réparée dans des délais acceptables soit
contournée par des redondances d’équipement ou par un maillage du réseau
¾ toute baisse de performance significative puisse être détectée et corrigée par des reconfigurations
permettant d’assurer un débit acceptable par les utilisateurs
— Les mesures techniques d’accompagnement consistent en des outils de surveillance et de monitoring du
réseau permettant effectivement de détecter toute anomalie ou baisse de performance et d’agir à distance
pour allouer des ressources de contournement ou d’appoint
Efficacité du service :
— L’efficacité du service est directement liée à trois facteurs :
¾ La qualité et la précision des analyses préliminaires
¾ La rapidité et l’automaticité de détection d’une anomalie ou d’une baisse de performance
¾ La rapidité et l’automaticité des reconfigurations possibles
— La robustesse des mécanismes assurant la sûreté de fonctionnement de l’architecture dépend de deux
facteurs :
¾ L’indépendance des équipements spéciaux (réseaux et télécoms) vis-à-vis de tout équipement de
servitude (énergie, services généraux, locaux, etc.).
¾ La protection, physique et logique, des équipements assurant la détection et la reconfiguration contre
toute intrusion ou inhibition : contrôle d’accès physique et logique, alarme en cas d’arrêt ou de coupure
d’alimentation, etc.
— La mise sous contrôle des mécanismes assurant la sûreté de fonctionnement dépend de trois facteurs :
¾ Les tests de performance et de bon fonctionnement des mécanismes de détection et de reconfiguration
¾ L’audit du paramétrage des équipements
¾ L’audit des procédures associées à la gestion des systèmes de détection et de reconfiguration.

68
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04A02 Télépilotage de l’exploitation du réseau étendu


Objectif :
Permettre le pilotage à distance du réseau étendu de l’entreprise
Résultats attendus :
Pouvoir assurer le pilotage dus réseau étendu, même en cas d’incapacité à accéder aux locaux
habituels utilisés par le personnel d’exploitation pour piloter les réseaux.
Les situations visées sont des situations où les locaux affectés à l’exploitation sont inaccessibles pour
des causes internes (grève avec occupation des locaux) ou externes (interdiction par les pouvoirs publics).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Il est bien entendu possible de piloter les réseaux internes depuis de nombreux points du réseau, pour
peu que l’on sache mettre en œuvre, depuis ces points, les outils d’administration et de pilotage du réseau
(protocoles de lecture des points de mesures et d’administration des équipements, en particulier SNMP).
Les mesures techniques consistent donc à prévoir un point d’accès au réseau étendu depuis
l’extérieur avec toutes les possibilités nécessaires à l’administration, tout en préservant la sécurité du
réseau local :
— Poste de pilotage extérieur avec tous les outils logiciels nécessaires (et les licences correspondantes)
— Passerelle d’accès au réseau interne assurant les possibilités d’administration distante
— Authentification forte du poste de pilotage distant (ou des administrateurs)
Mesures organisationnelles
Les mesures organisationnelles d’accompagnement résident dans l’élaboration et la gestion des plans
de secours détaillant les actions à mener pour pouvoir effectivement mettre en œuvre les moyens de
pilotage déportés en toute sécurité et prévoyant la mise à disposition sur ce site de toutes les informations
nécessaires (paramétrages des équipements, plans d’adressage, etc.).
Qualité de service
— L’efficacité du service est essentiellement liée à :
¾ l’exhaustivité des actions de pilotage prévues et possibles depuis le poste déporté
¾ l’étendue des possibilités des outils disponibles pour le pilotage distant
— La robustesse du service est liée à :
¾ la priorité donnée au pilotage distant par rapport aux actions menées depuis le réseau local (cas de grève
et d’actions menées depuis le réseau local pour tenter d’empêcher le pilotage distant)
¾ la protection de la passerelle d’accès contre des inhibitions ou arrêts volontaires
— La mise sous contrôle est réalisée par :
¾ Des tests réguliers de la capacité de pilotage distant du réseau étendu depuis le poste déporté
¾ L’audit des procédures et en particulier des mesures prises pour que la prise de contrôle à distance ne soit
pas utilisée au détriment du fonctionnement de l’entreprise
¾ La détection des arrêts ou inhibition de la passerelle d’accès au réseau

69
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04A03 Organisation de la maintenance des équipements du réseau étendu


Objectif :
Assurer la maintenance des équipements du réseau étendu pour les cas de panne ou d’évolutions
nécessaires.
Résultats attendus :
Éviter qu’une défaillance d’équipement ou qu’une évolution nécessaire (que ce soit pour des
changements de contexte internes ou externes) se traduise par une interruption inacceptable du service
du réseau étendu.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Le socle de ce service consiste bien entendu en l’élaboration de contrats de maintenance soit avec les
fournisseurs d’équipements soit avec une tierce partie de maintenance (TPM). L’élaboration des clauses
adéquates dans le contrat nécessite néanmoins quelques actions préliminaires et précautions :
¾ Identifier les équipements critiques du réseau étendu et, pour ceux-ci, le délai de remise en service
souhaitable et le délai maximum tolérable en cas de défaillance
¾ Négocier avec le contractant le délai maximum d’intervention et le délai maximum de réparation (celui-ci
peut dépendre de l’existence de pièces de rechange sur site et ce point doit faire l’objet de la négociation)
¾ Préciser, en particulier, les conditions d’escalade en cas de difficulté d’intervention et les possibilités et
conditions d’appel aux meilleurs spécialistes
¾ Négocier éventuellement des clauses de pénalité en cas de dépassement des temps contractuels
Mesures techniques
— Les mesures techniques d’accompagnement éventuelles consistent éventuellement en des capacités
d’intervention à distance (télémaintenance) permettant d’accélérer le diagnostic en cas de défaillance.
Qualité de service
— L’efficacité du service est essentiellement liée à trois facteurs :
¾ la précision et le réalisme des clauses du contrat, en particulier en ce qui concerne les horaires d’appel,
d’intervention et les possibilités d’appel les week-end et jours fériés
¾ L’efficacité des procédures d’escalade et d’appel aux meilleurs spécialistes.
¾ La compétence et l’expertise du fournisseur ou du contractant
— La robustesse du service est liée à trois types de facteurs :
¾ La solidité du contractant (afin d’éviter un arrêt d’activité ou son rachat sans reprise de son activité)
¾ Les possibilités d’action ou de pression en cas de grève du personnel
¾ L’indépendance vis-à-vis de compétences pointues détenues par un petit nombre de personnes, voire par
un seul spécialiste)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ Des clauses du contrat et de la tenue des engagements du fournisseur
¾ Du fournisseur, afin de vérifier les points cités au titre de la robustesse.

70
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04A04 Procédures et plans de reprise du réseau étendu sur incidents


Objectif :
Assurer une gestion des incidents du réseau étendu qui soit acceptable par les utilisateurs.
Résultats attendus :
Éviter qu’un incident du réseau étendu se traduise par des pertes de données ou des pertes de
service inacceptables par les utilisateurs.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— La base de ce service consiste bien entendu en l’analyse :
¾ des incidents pouvant survenir sur le réseau étendu (panne d’équipement, saturation de lignes ou
d’équipements, panne externe, coupure de ligne, ver, etc.)
¾ des conséquences de chacun de ces incidents, selon sa localisation, sur les données transmises et les
services offerts
¾ du caractère acceptable ou non, par les utilisateurs, de telles conséquences
— les mesures organisationnelles complémentaires consistent en des procédures destinées, en appui des
mesures techniques éventuelles, à gérer au mieux les incidents de telle sorte que :
¾ les données perdues puissent être récupérées
¾ les services puissent continuer dans des conditions acceptables.
Mesures techniques
— Les mesures techniques de base consistent d’abord à détecter les incidents et à en faire un diagnostic précis
et exact :
¾ sondes de mesure
¾ moyens et outils de diagnostic
— Les mesures techniques d’accompagnement consistent éventuellement en des capacités :
¾ de sauvegarde dynamique des données en transit, pour assurer leur restauration en cas d’incident
¾ de reconfiguration des équipements du réseau étendu pour assurer une continuité de service minimum.
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la précision et la profondeur de l’analyse des types d’incidents et de leur localisation possible, de leurs
conséquences et du caractère acceptable ou non de ces conséquences
¾ la couverture des mesures techniques et des procédures de réaction aux incidents
— La robustesse du service est liée à deux types de facteurs :
¾ La protection des moyens de diagnostic contre des altérations ou des inhibitions intempestives.
¾ La protection des moyens d’administration permettant la reprise du réseau étendu et sa reconfiguration
contre toute inhibition ou mise hors service.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des capacités des équipements de reconfiguration à assurer une charge suffisante
¾ des possibilités réelles de restauration des données et de reconfiguration en cas d’incident
¾ de l’efficacité réelle des procédures et des moyens de surveillance et de diagnostic du réseau.

71
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04A05 Plan de sauvegarde des configurations du réseau étendu


Objectif :
Assurer la sauvegarde des configurations des équipements du réseau étendu.
Résultats attendus :
Permettre une reprise rapide de l’exploitation du réseau étendu en cas d’effacement accidentel d’une
configuration, de reconfiguration d’équipements ou de mise en œuvre de plans de secours.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures techniques
— Les mesures techniques de base consistent à sauvegarder l’ensemble des configurations des équipements
du réseau étendu, systématiquement à une fréquence donnée et lors de chaque évolution.
— Les mesures techniques d’accompagnement consistent à protéger ces sauvegardes contre des actions
volontaires de destruction et contre des accidents :
¾ stockage des sauvegardes dans un local protégé par un contrôle d’accès
¾ stockage des sauvegardes dans un local protégé contre l’incendie, les dégâts des eaux et les risques de
pollution.
Mesures organisationnelles
— Les mesures organisationnelles d’accompagnement visent la gestion des droits d’accès aux sauvegardes et
les conditions d’accès auxdites sauvegardes :
¾ gestion rigoureuse des personnes ayant accès aux sauvegardes
¾ contrôle de relecture périodiques
¾ stockage d’un jeu de sauvegardes de recours en dehors du site de production
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ l’exhaustivité des paramètres sauvegardés des équipements et celle des équipements dont les
sauvegardes sont assurées
¾ la fréquence des sauvegardes
— La robustesse du service est liée à deux types de facteurs :
¾ la solidité des contrôles d’accès et des protections contre les risques accidentels.
¾ la rigueur de la gestion des droits d’accès aux sauvegardes
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des procédures de sauvegardes
¾ des dispositions prises pour les protéger des risques de malveillance et accidentels.

72
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04A06 Plan de sauvegarde des données applicatives du réseau étendu


Objectif :
Assurer la sauvegarde des données relatives aux applications purement télécom (journalisation,
applications de gestion des frais réseau, etc.) du réseau étendu.
Résultats attendus :
Permettre une reprise rapide de l’exploitation des applications télécom du réseau étendu en cas
d’incident, de reconfiguration d’équipements ou de mise en œuvre de plans de secours.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures techniques
— Les mesures techniques de base consistent à sauvegarder l’ensemble des données des applications
télécom du réseau étendu, systématiquement à une fréquence définie en fonction des besoins utilisateurs.
— Les mesures techniques d’accompagnement consistent à protéger ces sauvegardes contre des actions
volontaires de destruction et contre des accidents :
¾ stockage des sauvegardes dans un local protégé par un contrôle d’accès
¾ stockage des sauvegardes dans un local protégé contre l’incendie, les dégâts des eaux et les risques de
pollution.
Mesures organisationnelles
— Les mesures organisationnelles de base visent l’étude de la durée maximale admissible entre deux
sauvegardes pour que les inconvénients subis soient acceptables
— Les mesures d’accompagnement visent la gestion des droits d’accès aux sauvegardes et les conditions
d’accès auxdites sauvegardes :
¾ gestion rigoureuse des personnes ayant accès aux sauvegardes
¾ contrôle de relecture périodiques
¾ stockage d’un jeu de sauvegardes de recours en dehors du site de production
Qualité de service
— L’efficacité du service est essentiellement liée à un facteur :
¾ la fréquence des sauvegardes et son adéquation aux besoins des utilisateurs ou de l’entreprise
— La robustesse du service est liée à deux types de facteurs :
¾ la solidité des contrôles d’accès et des protections contre les risques accidentels.
¾ la rigueur de la gestion des droits d’accès aux sauvegardes
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des procédures de sauvegardes
¾ des dispositions prises pour les protéger des risques de malveillance et accidentels.

73
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04A07 Plan de Reprise d’Activité (PRA) du réseau étendu


Objectif :
Assurer la reprise d’activité du réseau étendu en cas d’accident grave
Résultats attendus :
Permettre une reprise de l’exploitation du réseau étendu en cas d’accident grave survenant sur une
partie du réseau, et ceci dans un délai compatible avec les besoins des utilisateurs.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Les mesures organisationnelles initiales visent à analyser, pour chaque équipement du réseau étendu, les
conséquences d’un accident grave sur la disponibilité d’ensemble du réseau et à identifier, avec les
utilisateurs, le service minimal à assurer et le délai d’interruption admissible entre le fonctionnement normal et
le fonctionnement en mode secours, éventuellement dégradé.
— Les mesures de base visent ensuite à décrire en détail les actions à mener quand survient le sinistre, à en
décrire les procédures détaillées et à les tester, puis à gérer leur mise à jour au fil des évolutions du réseau
étendu.
Mesures techniques
— Les mesures techniques de base consistent à assurer une solution de secours pour tout cas d’accident sur
un équipement critique du réseau étendu, ces solutions pouvant être :
¾ des redondances d’équipements
¾ des solutions des secours sur un site distant, avec des équipements propres ou mutualisés
¾ des replis sur des réseaux publics
¾ l’installation de nouveaux matériels sur des salles prévues en conséquence (salles blanches)
¾ etc.
Qualité de service
— L’efficacité du service est essentiellement liée à plusieurs facteurs :
¾ le délai de mise en œuvre des diverses solutions de secours prévues
¾ la qualité et la rigueur de détail du plan de reprise d’activité
— La robustesse du service est liée à l’existence de variantes des PRA au cas où la solution de base ne serait
pas disponible ou pas assez longtemps (cas des solutions mutualisées)
— La mise sous contrôle est réalisée par :
¾ des tests de PRA représentatifs de la réalité
¾ des audits de la rigueur de gestion des procédures de secours.

74
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04A08 Gestion des équipements critiques (vis-à-vis de la permanence de la


maintenance)
Objectif :
Assurer la continuité de l’activité réseau et télécom en cas de disparition ou d’indisponibilité durable du
fournisseur d’un équipement du réseau étendu ou du prestataire chargé d’en assurer la maintenance
Résultats attendus :
Éviter que la disparition d’un fournisseur mette en péril la continuité de l’exploitation du réseau étendu.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
Mesures organisationnelles
— Les mesures organisationnelles initiales visent à analyser, pour chaque équipement du réseau étendu, les
conséquences de la disparition d’un fournisseur sur la disponibilité d’ensemble du réseau et à identifier, avec
les utilisateurs, le service minimal à assurer et le délai d’interruption de maintenance admissible entre le
moment où cette disparition serait constatée et le moment où une solution de repli pourrait être mise en
œuvre
— Les mesures de base visent ensuite à définir la solution de repli et à la décrire dans un plan détaillant toutes
les actions nécessaires au succès de la solution. Ces mesures peuvent être :
¾ Le changement d’équipement par un autre équipement d’un autre fournisseur
¾ La reprise de maintenance par un autre prestataire (les conditions détaillées comprenant alors l’accès à
une documentation de maintenance suffisante, dans des conditions à définir de manière précise)
¾ Une évolution radicale du réseau permettant de se passer de l’équipement posant problème
Qualité de service
— L’efficacité du service est essentiellement liée à plusieurs facteurs :
¾ le délai de mise en œuvre des diverses solutions de secours prévues
¾ la qualité et la rigueur de détail du plan de secours prévu
— La robustesse du service est liée à l’existence de variantes des plans de secours au cas où la solution de
base ne fonctionnerait pas
— La mise sous contrôle est réalisée par des audits :
¾ de la pertinence des solutions prévues
¾ des procédures les rendant possibles (dépôt des documentations chez une tierce partie de confiance).

75
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04B Contrôle des connexions sur le réseau étendu


04B01 Profils de sécurité des entités connectées au réseau étendu
Objectif :
Définir des conditions minimales de sécurité avant de connecter une entité au réseau étendu.
Résultats attendus :
Limiter l’occurrence d’intrusions sur le réseau étendu.
Au cas où de telles intrusions interviendraient, en limiter la portée.
Limiter les possibilités d’actions nuisibles de la part du personnel de l’entreprise ayant accès au
réseau.
Globalement, le résultat attendu est que la connexions d’entités distantes n’affaiblisse pas le niveau de
sécurité des entités déjà connectées
Mécanismes et solutions :
Le principe de ces critères ou profils pour appartenir au « réseau de confiance » est qu’un ensemble
de règles communes soient respectées.
Il s’agit donc de mesures essentiellement organisationnelles, le but du service étant de fixer les règles
communes et d’organiser leur contrôle.
Mesures organisationnelles
— Les mesures organisationnelles de base consistent à définir les règles minimales à respecter pour pouvoir
être connecté au réseau étendu. Ces règles doivent couvrir :
¾ L’organisation de la sécurité et l’existence de responsables désignés
¾ La protection physique des équipements de réseau et des baies de câblage
¾ La protection logique des accès aux équipements de réseau et aux équipements de sécurité (garde
barrières, en particulier)
¾ Les règles de filtrage des accès entrants et sortants
¾ Les contrôles des configurations, y compris celles des utilisateurs
¾ La gestion des anomalies et incidents
— Les mesures organisationnelles d’accompagnement consistent à contrôler que ces règles sont bien
appliquées :
¾ Mise en place d’indicateurs et de tableau de bord
¾ Audit régulier de l’application des mesures
Efficacité des mesures
— L’efficacité du service est directement liée à :
¾ la précision des directives et à leur rigueur
¾ l’existence d’une offre disponible en interne permettant de suivre les directives
— La mise sous contrôle est directement liée à :
¾ L’existence d’indicateurs élaborés au sein de chaque entité
¾ L’existence d’une cellule chargée de collecter ces indicateurs, d’élaborer un tableau de bord et de prendre
toute mesure nécessaire
¾ L’audit régulier du suivi effectif des directives et de la conformité des indicateurs aux mesures réelles sur le
terrain

76
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04B02 Authentification de l’entité accédante lors d’accès entrants depuis le


réseau étendu
Objectif :
S’assurer lors de l’accès au réseau local en provenance d’une autre entité, par le réseau étendu, que
cette entité est bien celle qu’elle prétend être.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des entités n’étant pas
(ou plus) autorisées individuellement à accéder au réseau local.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le contrôle d’une caractéristique que seul l’équipement distant
(passerelle de sortie de l’entité distante) possède :
¾ Mot de passe partagé entre les équipements de contrôle
¾ Système cryptologique permettant à l’entité distante de s’authentifier
— Les mesures complémentaires concernent la protection contre les tentatives d’usurpation d’identité d’entité :
¾ Protection du processus de diffusion initiale des conventions secrètes (diffusion des certificats)
¾ Protection du protocole d’authentification pour éviter qu’il ne soit observé, écouté et dupliqué.
¾ Vérification de la validité des certificats et de la non révocation des éléments de reconnaissance
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion des annuaires contenant les
éléments de reconnaissance (clés publiques en particulier)
¾ Gestion de l’annuaire des clés publiques des entités autorisées à se connecter
¾ Gestion des processus de révocation, en cas de manquement aux règles d’appartenance au réseau de
confiance
Qualité de service
— L’efficacité du service est liée à la solidité ou l’inviolabilité du mécanisme d’authentification proprement dit
(force et solidité du mot de passe, solidité de l’algorithme cryptologique éventuellement utilisé pour
authentifier, solidité de l’algorithme et du protocole contre toute observation, écoute et réutilisation de
séquence, etc.)
— La robustesse du service est liée à trois facteurs :
¾ l’inviolabilité des protocoles annexes tels que diffusion initiale, échanges ou stockage des éléments
secrets
¾ les mesures de protection des protocoles d’authentification et des équipements assurant le déroulement
de ces protocoles pour éviter qu’ils ne soient altérés ou inhibés
¾ les mesures organisationnelles complémentaires pour éviter que les procédures de gestion d’exceptions
ne soient utilisées pour obtenir à tort une autorisation d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes d’authentification,
¾ des systèmes de détection des violations et des arrêts du contrôle d’authentification
¾ des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures

77
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04B03 Authentification de l’entité accédée, lors d’accès sortants vers


d’autres entités par le réseau étendu
Objectif :
S’assurer lors de l’accès depuis le réseau local vers d’autres entités, par le réseau étendu, que l’entité
appelée est bien celle qu’elle prétend être.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des entités n’étant pas
(ou plus) autorisées individuellement à accéder au réseau interne et qui pourraient usurper une adresse
autorisée.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le contrôle d’une caractéristique que seul l’équipement distant
(passerelle d’entrée de l’entité distante) possède :
¾ Mot de passe partagé entre les équipements de contrôle
¾ Système cryptologique permettant à l’entité distante d’être authentifiée
— Les mesures complémentaires concernent la protection contre les tentatives d’usurpation d’identité d’entité :
¾ Protection du processus de diffusion initiale des conventions secrètes (diffusion des certificats)
¾ Protection du protocole d’authentification pour éviter qu’il ne soit observé, écouté et dupliqué.
¾ Vérification de la validité des certificats et de la non révocation des éléments de reconnaissance
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion des annuaires contenant les
éléments de reconnaissance (clés publiques en particulier)
¾ Gestion de l’annuaire des clés publiques des entités autorisées à se connecter
¾ Gestion des processus de révocation, en cas de manquement aux règles d’appartenance au réseau de
confiance
Qualité de service
— L’efficacité du service est liée à la solidité ou l’inviolabilité du mécanisme d’authentification proprement dit
(force et solidité du mot de passe, solidité de l’algorithme cryptologique éventuellement utilisé pour
authentifier, solidité de l’algorithme et du protocole contre toute observation, écoute et réutilisation de
séquence, etc.)
— La robustesse du service est liée à trois facteurs :
¾ l’inviolabilité des protocoles annexes tels que diffusion initiale, échanges ou stockage des éléments
secrets
¾ les mesures de protection des protocoles d’authentification et des équipements assurant le déroulement
de ces protocoles pour éviter qu’ils ne soient altérés ou inhibés
¾ les mesures organisationnelles complémentaires pour éviter que les procédures de gestion d’exceptions
ne soient utilisées pour obtenir à tort une autorisation d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes d’authentification,
¾ des systèmes de détection des violations et des arrêts du contrôle d’authentification
¾ des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures

78
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04C Sécurité des données lors des échanges et des communications


04C01 Chiffrement des échanges sur le réseau étendu
Objectif :
Protéger la confidentialité des informations échangées sur le réseau étendu.
Résultats attendus :
Empêcher qu’une personne non autorisée puisse accéder au contenu des informations échangées sur
le réseau étendu.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le chiffrement ou cryptage des données (il s’agit ici de
chiffrement au niveau réseau et non au niveau applicatif, et donc, généralement de chiffrement de trames de
données, indistinctement de leur contenu) :
¾ Détermination des canaux chiffrés
¾ Mise en place de boîtiers de chiffrement (ou à défaut de solution logicielle de chiffrement)
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du système :
¾ Protection physique des boîtiers de chiffrement
¾ Protection logique des solutions logicielles de chiffrement
¾ Sécurité du processus technique support des échanges de clés
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion du système de chiffrement et la
gestion des évolutions des règles de chiffrement :
¾ Système de gestion et d’échange des clés de chiffrement
¾ Système de révocation de clés en cas de violation
¾ Gestion des demandes de modification des canaux chiffrés ou non
Qualité de service
— L’efficacité du service est essentiellement liée à la solidité de l’algorithme de chiffrement et de génération de
clés secrètes (ou de paires de clés)
— La robustesse du service est liée à plusieurs facteurs :
¾ la protection des mécanismes de chiffrement (boîtiers physiques ou logiciel)
¾ la solidité du processus et des procédures d’échange de clés et de gestion d’anomalies (révocation)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes de chiffrement,
¾ des systèmes de détection d’inhibition ou d’arrêt du mécanisme de chiffrement
¾ de la mise en œuvre des procédures de gestion de clés

79
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04C02 Contrôle de l’intégrité des échanges sur le réseau étendu


Objectif :
Protéger l’intégrité des informations échangées sur le réseau étendu.
Résultats attendus :
Empêcher qu’une personne non autorisée puisse modifier le contenu des informations échangées sur
le réseau étendu, sans que cela soit détecté (avant utilisation).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le scellement ou la signature électronique des données (il s’agit
ici de scellement au niveau réseau et non au niveau applicatif, et donc, généralement de scellement de
trames de données, indistinctement de leur contenu) :
¾ Détermination des canaux à protéger
¾ Mise en place de solution (généralement logicielle) de scellement
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du système :
¾ Protection logique des solutions logicielles de scellement (protection du logiciel, génération des paires de
clés publiques et privées, diffusion et contrôle des clés publiques et usage éventuel de certificats, etc.)
¾ Protection du processus de fixation des règles de scellement (échanges d’informations et tables de
paramètres concernant les liaisons à protéger par un scellement)
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion du système de scellement et la
gestion des évolutions des règles de scellement :
¾ Système de gestion et de diffusion des clés de scellement
¾ Système de révocation de clés en cas de violation
¾ Gestion des demandes de modification des canaux scellés ou non
Qualité de service
— L’efficacité du service est essentiellement liée à la solidité de l’algorithme de scellement et de génération des
clés
— La robustesse du service est liée à plusieurs facteurs :
¾ la protection des mécanismes de scellement logiciel
¾ la solidité du processus et des procédures de diffusion des clés, de leur contrôle de validité et de gestion
d’anomalies (révocation)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes de scellement,
¾ des systèmes de détection d’inhibition ou d’arrêt du mécanisme de scellement
¾ de la mise en œuvre des procédures de gestion de clés

80
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04D Détection et traitement des incidents sur le réseau étendu


04D01 Surveillance en temps réel du réseau étendu
Objectif :
Détecter en temps réel des anomalies de comportement ou des séquences anormales significatives
d’actions non autorisées et potentiellement dangereuses sur le réseau étendu.
Résultats attendus :
Permettre une réaction rapide et, si possible, une intervention avant que l’action nocive ait été réussie.
A défaut limiter cette action dans le temps (dans certains cas d’intrusion, on est surpris de constater que
des traces existaient depuis fort longtemps et auraient permis de réagir).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels
Mesures techniques
Les mesures techniques comportent deux types de solutions :
— les systèmes de détection d’intrusion qui s’appuient sur des bases de données de séquences révélatrices de
tentatives d’intrusion
— l’enregistrement de rejets opérés par les systèmes de filtrage et la détection de répétitions anormales de
rejets (tentatives de connexion avortées, rejets de protocoles et tentatives successives de différents
protocoles, etc.)
Ces systèmes, qui peuvent être supportés par des outils plus ou moins sophistiqués, débouchent sur
des alertes à destination d’une équipe d’intervention, voire sur des actions automatiques (blocage de la
connexion, blocage de toutes les connexions en cas d’attaque en déni de service, etc.).
Il est clair qu’en accompagnement de ces mesures, les droits d’administration nécessaires pour
paramétrer ces systèmes doivent être strictement contrôlés.
Mesures organisationnelles
— Les mesures organisationnelles de base visent à supporter les mesures techniques :
¾ mise à jour régulière de la base de données des techniques d’intrusion
¾ gestion des paramètres de détection des répétitions déclenchant une alarme
¾ équipe d’astreinte permanente capable de réagir aux alarmes et système d’escalade
— En amont de ces mesures, il est nécessaire d’analyser tous les cas d’alerte et de définir, cas par cas, les
réactions attendues de l’équipe d’intervention.
— En complément, il peut être souhaitable d’analyser, en fonction du contexte de l’entreprise, si des
comportements particuliers pourraient être significatifs d’actions anormales et donner lieu à une alerte
spécifique, par exemple :
¾ horaires de connexion
¾ actions menées depuis des sites particuliers
¾ multiplication des accès vers des sites distants
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ le nombre de cas détectés et la profondeur de l’analyse préliminaire des cas donnant lieu à alarme, ainsi
que le maintien à jour de ces données
¾ la qualité et la rigueur de l’analyse des réactions attendues de l’équipe d’intervention
¾ la compétence de cette équipe et sa disponibilité
— La robustesse du service est liée à deux facteurs :
¾ La rigueur de la gestion des droits nécessaires pour administrer les paramètres d’alarmes et la solidité des
contrôles qui sont faits à ce sujet
¾ L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système de surveillance
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système de surveillance
¾ de la disponibilité de l’équipe d’astreinte et de la surveillance effective du réseau

81
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04D02 Surveillance en temps différé des traces, logs et journaux


d’événements sur le réseau étendu
Objectif :
Détecter en temps différé des anomalies de comportement ou des séquences anormales significatives
d’actions non autorisées et potentiellement dangereuses, par une analyse a posteriori des traces logs et
journaux du réseau étendu.
Résultats attendus :
Permettre de limiter dans le temps les actions anormales et en dissuader les acteurs internes (ce
service peut venir en appui d’interdictions de certaines actions non contrôlées de manière préventive).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels
Mesures techniques
Les mesures techniques comportent deux types de solutions complémentaires :
— les systèmes d’enregistrement de diverses traces, la journalisation des opérations effectuées par les équipes
d’exploitation et en particulier les paramétrages d’équipements de sécurité ou les reconfigurations
d’équipements du réseau étendu et les logs, plus ou moins exhaustifs, des actions effectuées par les
utilisateurs (connexions, accès divers, contenu des échanges, mots clés, etc.)
— l’analyse de tous ces éléments qui, sans outil d’assistance, se révèle totalement inefficace (la masse
d’enregistrements que l’on peut conserver est telle qu’une analyse manuelle est souvent illusoire, si ce n’est
totalement impossible). Le résultat de l’analyse est alors une synthèse (éventuellement sous forme de
tableau de bord) qui peut être analysée par une équipe ad hoc, voire des alarmes directes.
L’analyse de la synthèse débouche sur des alertes à destination soit d’une équipe d’intervention
technique, en particulier pour les cas de détection d’actions menées depuis l’extérieur, soit de la
hiérarchie, pour les actions menées par du personnel interne.
Il est clair qu’en accompagnement de ces mesures, les droits d’administration nécessaires pour
paramétrer ces systèmes doivent être strictement contrôlés.
Mesures organisationnelles
— Les mesures organisationnelles de base visent à supporter les mesures techniques :
¾ définition et mise à jour régulière des événements à enregistrer
¾ gestion des outils d’analyse et des paramètres déclenchant une alarme directe
¾ synthèse des enregistrements et prétraitements éventuels
¾ équipe en charge d’analyser les résultats de synthèse fournis par l’analyse des traces et logs
— En appui de ces mesures, il est nécessaire de définir, cas par cas, les réactions attendues de l’équipe
d’intervention (par exemple conduite à tenir en cas d’abus de droits ou d’actions « interdites » telles que des
accès à des sites Internet prohibés).
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ la couverture des enregistrements et la profondeur de l’analyse préliminaire des cas donnant lieu à alarme
directe et des synthèses effectuées souhaitables,
¾ la qualité et la rigueur de l’analyse des réactions attendues de l’équipe d’intervention
¾ la compétence de cette équipe et sa disponibilité
— La robustesse du service est liée à deux facteurs :
¾ La rigueur de la gestion des droits nécessaires pour administrer les enregistrements ainsi que les
paramètres d’analyse et d’alarmes et la solidité des contrôles qui sont faits à ce sujet
¾ L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système d’enregistrement ou du
système d’analyse et de surveillance
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système d’enregistrement et de surveillance
¾ de l’analyse effective des synthèses et alarmes par l’équipe qui en a la charge

82
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 4 : Réseau étendu

04D03 Traitement des incidents du réseau étendu


Objectif :
Enregistrer les incidents du réseau étendu et en assurer un traitement adéquat et un suivi régulier
Résultats attendus :
Éviter qu’un incident mineur ou qu’une série d’incidents mineurs ne soient pas traités convenablement
et qu’ils débouchent sur un accident majeur (par exemple blocage complet du réseau)
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels
Mesures techniques
Les mesures techniques comportent essentiellement un système d’enregistrement de tous les
incidents, que ces incidents soient signalés par l’exploitation ou par les utilisateurs, qu’ils soient avérés ou
simplement suspectés.
Le système doit, bien évidemment permettre le suivi et la mise à jour de chaque incident au fur et à
mesure de la progression des actions visant à le traiter.
Il comporte généralement des synthèses sous forme de tableau de bord, par type d’incident.
En complément le système de gestion des incidents comporte souvent des accès sélectifs à
l’information, pour que certains champs ne soient accessibles qu’à certaines personnes (par exemple, le
nom des personnes impliquées).
Mesures organisationnelles
Les mesures organisationnelles de base visent à mettre en place une équipe en charge de la
réception des appels (hot line ou help desk, généralement), de l’enregistrement des incidents, de
l’aiguillage vers l’équipe concernée et du suivi de l’incident.
En complément, il est souhaitable de définir, a priori, une typologie d’incidents, pour pouvoir en
effectuer un suivi statistique, ainsi qu’une hiérarchie, certains incidents faisant l’objet d’un reporting en
temps quasi réel d’autres ne faisant l’objet que d’un reporting statistique.
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ la couverture des types d’incidents effectivement gérés par le système,
¾ la typologie des incidents et la capacité des outils à assister l’équipe ad hoc dans le suivi des incidents
(rappel des incidents non soldés dans un délai donné, workflow, etc.)
— La robustesse du service est liée à deux facteurs :
¾ La rigueur de la gestion des droits nécessaires pour administrer le système de gestion des incidents et
pour modifier ou effacer un incident ainsi que la rigueur des contrôles d’accès qui sont faits à ce sujet
¾ L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système de suivi des incidents
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système d’enregistrement et de suivi des incidents
¾ du suivi effectif des incidents par l’équipe qui en a la charge

83
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

Domaine 5 : Réseau local

05A Sécurité de l’architecture du réseau local


Objectif :
Mettre en place une architecture globale du réseau local garantissant la facilité de communication
entre les unités qui en ont le besoin tout en limitant les risques d’abus ou de mauvaise utilisation de ces
moyens.
Résultats globaux attendus :
Les résultats attendus sont doubles : garantir une continuité des communications en cas d’incident ou
de panne mais limiter les possibilités d’intrusion ou en limiter la portée par des cloisonnements internes.
Une autre manière de présenter le résultat attendu de ce groupe de services est de dire qu’une grande
facilité de communication qui ne serait pas assez sécurisée ne serait pas utile et pourrait être sous utilisée
par les opérationnels en raison des risques présentés. Les deux aspects visent donc le même objectif qui
est d’offrir un moyen de communication sûr.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à deux types de mesures complémentaires qui sont
simultanément nécessaires :
— 05A01 : Partitionnement du réseau local en domaines de sécurité
— 05A02 : Sûreté de fonctionnement des éléments d’architecture du réseau local
— 05A03 : Télépilotage de l’exploitation du réseau local
— 05A04 : Organisation de la maintenance des équipements du réseau local
— 05A05 : procédures et plans de reprise du réseau local sur incidents
— 05A06 : Plans de sauvegardes des configurations du réseau local
— 05A07 : Plans de sauvegardes des données applicatives du réseau local (applications réseaux et télécom,
par exemple journalisation, facturation téléphonique, ...)
— 05A08 : Plans de Reprise d'Activité (PRA) du réseau local
— 05A09 : Gestion des fournisseurs critiques vis-à-vis de la permanence de la maintenance

05B Contrôle d’accès au réseau de données


Objectif :
Faire en sorte que seuls les utilisateurs autorisés aient accès aux réseaux internes et contrôler les
accès sortants.
Résultats attendus :
Prévenir les tentatives d’accès, par des personnes non autorisées, aux ressources internes (serveurs
en particuliers) et aux informations circulant sur le réseau.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires qui
peuvent être simultanément nécessaires :
— 05B01 : Gestion des profils d’accès au réseau local de données
— 05B02 : Gestion des autorisations d'accès et privilèges (attribution, délégation, retrait)
— 05B03 : Authentification de l'accédant lors des accès au réseau local depuis un point d’accès interne
— 05B04 : Authentification de l'accédant lors des accès au réseau local depuis un site distant via le réseau
étendu
— 05B05 : Authentification de l'accédant lors des accès au réseau local depuis l'extérieur
— 05B06 : Authentification de l'accédant lors des accès au réseau local depuis un sous-réseau WiFi

84
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

— 05B07 : Filtrage général des accès au réseau local


— 05B08 : Contrôle du routage des accès sortants
— 05B09 : Authentification de l'entité accédée lors des accès sortants vers des sites sensibles

05C Sécurité des données lors des échanges et des communications sur le
réseau local
Objectif :
Protéger les données transmises contre des divulgations ou des altérations illicites.
Résultats attendus :
Prévenir les tentatives d’accès aux informations échangées, en lecture ou en modification, par des
personnes non autorisées.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires :
— 05C01 : Chiffrement des échanges sur le réseau local
— 05C02 : Protection de l’intégrité des échanges sur le réseau local
— 05C03 : Chiffrement des échanges lors des accès distants au réseau local
— 05C04 : Protection de l’intégrité des échanges lors des accès distants au réseau local

05D Détection et traitement des incidents et anomalies du réseau local


Objectif :
Détecter les anomalies de fonctionnement ou des intrusions sur les réseaux locaux pour intervenir au
mieux et dans les meilleurs délais.
Résultats attendus :
Éviter que des actions malveillantes externes (pirates, hackers) ou internes (abus de droits
d’utilisateurs), que les mesures préventives auraient pu laisser passer, perdurent et se traduisent par des
dysfonctionnements qui auraient pu être détectés et interrompus.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires qui sont
simultanément nécessaires :
— 05D01 : Surveillance en temps réel du réseau local
— 05D02 : Surveillance, en temps différé, des traces, logs et journaux des événements sur le réseau local
— 05D03 : Traitement des incidents du réseau local

85
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05A Sécurité de l’architecture du réseau local


05A01 Partitionnement du réseau local en domaines de sécurité
Objectif :
Limiter les communications entre parties de réseaux, internes ou externes, aux seuls besoins de
l’entreprise.
Résultats attendus :
Limiter l’occurrence d’intrusions sur le réseau local.
Au cas où de telles intrusions interviendraient, en limiter la portée.
Limiter les possibilités d’actions nuisibles de la part du personnel de l’entreprise ayant accès au
réseau.
Mécanismes et solutions :
Le principe de ces mesures de cloisonnement consiste à diviser le réseau local en sous-réseaux
regroupant généralement du personnel ayant des activités très proches ou interdépendantes et à filtrer les
liaisons entre sous-réseaux pour ne laisser passer que les communications nécessaires à l’activité.
On filtre ainsi :
— les communications initialisées depuis l’extérieur de l’entreprise et à destination du réseau interne,
— les communications initialisées depuis le réseau interne, à destination de l’extérieur
— les communications entre sous-réseaux internes.
Il s’agit donc de mesures essentiellement techniques, mais qui demandent, en appui, des mesures
organisationnelles.
Nota : Les filtrages des communications en provenance ou à destination du réseau étendu sont traités
dans le domaine 4.
Mesures techniques
— Les mesures de base consiste en des filtrages qui peuvent porter sur :
¾ des équipements autorisés à communiquer et repérés par une adresse (IP en particulier)
¾ des utilisateurs autorisés à communiquer avec des sous-réseaux.
¾ des protocoles de communications, voire des types de transactions
Mesures organisationnelles
— Les mesures d’accompagnement consistent à organiser la définition des règles de filtrage générales et des
autorisations accordées en fonction des besoins des utilisateurs :
¾ Principe de base fondé sur « rien sauf » (rien n’est autorisé sauf ce qui est explicitement demandé et
accordé)
¾ Organisation des demandes d’ouverture et gestion des fins de droits
¾ veille technologique pour s’assurer que les règles de filtrage mises en place correspondent bien à l’état de
l’art en matière de protection des réseaux.
Efficacité des mesures
— L’efficacité du cloisonnement des réseaux et du filtrage effectué dépend de l’étroitesse du spectre des actions
autorisées et de leur adéquation, au plus juste, aux besoins de communication entre entités.
— La robustesse du cloisonnement et du filtrage dépend de l’expertise du spécialiste assurant le paramétrage
de l’équipement. En effet, comme tout système, les équipements de filtrage peuvent contenir des failles.
Remarque : Dans le monde des « systèmes ouverts » (NT, Unix, Linux, …), les failles de sécurité
découvertes dans les systèmes sont régulièrement publiées et, très peu de temps après, les solutions à
apporter ou « patchs ». Ce mode de travail, qui n’est plus guère contesté par les spécialistes, entraîne de
facto une fragilisation des systèmes qui ne sont pas tenus à jour (car les failles sont publiées).
— La mise sous contrôle des mesures de cloisonnement et de filtrage des échanges consiste en :
¾ un audit périodique des protocoles et liaisons autorisées
¾ un audit régulier du paramétrage effectif des équipements de filtrage
¾ une veille technologiques des failles et faiblesses des systèmes

86
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05A02 Sûreté de fonctionnement des éléments d’architecture du réseau


local
Objectif :
Assurer la fluidité des communications, à l’intérieur du réseau local, quels que soient les aléas de
fonctionnement des équipements ou d’utilisation du réseau par les utilisateurs
Résultats attendus :
Éviter qu’une panne simple, voire complexe ou que des aléas dans l’utilisation du réseau local ne
fassent chuter la performance du réseau avec des impact négatifs sur l’activité de l’entreprise.
Mécanismes et solutions :
Les mécanismes principaux sont du ressort de l’architecture, mais doivent s’appuyer sur des études
préalables qui sont de nature organisationnelles
Mesures organisationnelles
— Les mesures organisationnelles ne sont utilisées que dans une phase préalable et consistent en une analyse
des enjeux de la continuité des services du réseau local :
¾ Analyse de la gravité des conséquences en fonction de la durée d’une interruption complète des services
du réseau local
¾ Analyse des capacités de reroutage des communications en cas de défaillance d’un équipement et du
temps nécessaire à ces reconfigurations
¾ Analyse des enjeux liés à une baisse de performance du réseau local
Mesures techniques
— Les mesures de base consistent en la mise en place d’une architecture à tolérance de panne telle que :
¾ toute panne simple d’un équipement du réseau local puisse être soit réparée dans des délais acceptables
soit contournée par des redondances d’équipement
¾ toute baisse de performance significative puisse être détectée et corrigée par des reconfigurations
permettant d’assurer un débit acceptable par les utilisateurs
— Les mesures techniques d’accompagnement consistent en des outils de surveillance et de monitoring du
réseau local permettant effectivement de détecter toute anomalie ou baisse de performance et d’agir à
distance pour allouer des ressources de contournement ou d’appoint
Efficacité du service :
— L’efficacité du service est directement liée à trois facteurs :
¾ La qualité et la précision des analyses préliminaires
¾ La rapidité et l’automaticité de détection d’une anomalie ou d’une baisse de performance
¾ La rapidité et l’automaticité des reconfigurations possibles
— La robustesse des mécanismes assurant la sûreté de fonctionnement de l’architecture dépend de deux
facteurs :
¾ L’indépendance des équipements spéciaux (réseaux et télécoms) vis-à-vis de tout équipement de
servitude (énergie, services généraux, locaux, etc.).
¾ La protection, physique et logique, des équipements assurant la détection et la reconfiguration contre
toute intrusion ou inhibition : contrôle d’accès physique et logique, alarme en cas d’arrêt ou de coupure
d’alimentation, etc.
— La mise sous contrôle des mécanismes assurant la sûreté de fonctionnement dépend de trois facteurs :
¾ Les tests de performance et de bon fonctionnement des mécanismes de détection et de reconfiguration
¾ L’audit du paramétrage des équipements
¾ L’audit des procédures associées à la gestion des systèmes de détection et de reconfiguration.

87
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05A03 Télépilotage de l’exploitation du réseau local


Objectif :
Permettre le pilotage à distance du réseau local de l’entreprise
Résultats attendus :
Pouvoir assurer le pilotage du réseau local, même en cas d’incapacité à accéder aux locaux habituels
utilisés par le personnel d’exploitation pour piloter le réseau.
Les situations visées sont des situations où les locaux affectés à l’exploitation sont inaccessibles pour
des causes internes (grève avec occupation des locaux) ou externes (interdiction par les pouvoirs publics).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Il est bien entendu possible de piloter le réseau local depuis de nombreux points du réseau, pour peu
que l’on sache mettre en œuvre, depuis ces points, les outils d’administration et de pilotage du réseau
(protocoles de lecture des points de mesures et d’administration des équipements, en particulier SNMP).
Les mesures techniques consistent donc à prévoir un point d’accès au réseau local depuis l’extérieur
avec toutes les possibilités nécessaires à l’administration, tout en préservant la sécurité du réseau :
— Poste de pilotage extérieur avec tous les outils logiciels nécessaires (et les licences correspondantes)
— Passerelle d’accès au réseau local assurant les possibilités d’administration distante
— Authentification forte du poste de pilotage distant (ou des administrateurs)
Mesures organisationnelles
Les mesures organisationnelles d’accompagnement résident dans l’élaboration et la gestion des plans
de secours détaillant les actions à mener pour pouvoir effectivement mettre en œuvre les moyens de
pilotage déportés en toute sécurité et prévoyant la mise à disposition sur ce site de toutes les informations
nécessaires (paramétrages des équipements, plans d’adressage, etc.).
Qualité de service
— L’efficacité du service est essentiellement liée à :
¾ l’exhaustivité des actions de pilotage prévues et possibles depuis le poste déporté
¾ l’étendue des possibilités des outils disponibles pour le pilotage distant
— La robustesse du service est liée à :
¾ la priorité donnée au pilotage distant par rapport aux actions menées depuis le réseau local (cas de grève
et d’actions menées depuis le réseau local pour tenter d’empêcher le pilotage distant)
¾ la protection de la passerelle d’accès contre des inhibitions ou arrêts volontaires
— La mise sous contrôle est réalisée par :
¾ Des tests réguliers de la capacité de pilotage distant du réseau depuis le poste déporté
¾ L’audit des procédures et en particulier des mesures prises pour que la prise de contrôle à distance ne soit
pas utilisée au détriment du fonctionnement de l’entreprise
¾ La détection des arrêts ou inhibition de la passerelle d’accès au réseau

88
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05A04 Organisation de la maintenance des équipements du réseau local


Objectif :
Assurer la maintenance des équipements du réseau local pour les cas de panne ou d’évolutions
nécessaires.
Résultats attendus :
Éviter qu’une défaillance d’équipement ou qu’une évolution nécessaire (que ce soit pour des
changements de contexte internes ou externes) se traduise par une interruption inacceptable du service
du réseau local.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Le socle de ce service consiste bien entendu en l’élaboration de contrats de maintenance soit avec les
fournisseurs d’équipements soit avec une tierce partie de maintenance (TPM). L’élaboration des clauses
adéquates dans le contrat nécessite néanmoins quelques actions préliminaires et précautions :
¾ Identifier les équipements critiques et, pour ceux-ci, le délai de remise en service souhaitable et le délai
maximum tolérable en cas de défaillance
¾ Négocier avec le contractant le délai maximum d’intervention et le délai maximum de réparation (celui-ci
peut dépendre de l’existence de pièces de rechange sur site et ce point doit faire l’objet de la négociation)
¾ Préciser, en particulier, les conditions d’escalade en cas de difficulté d’intervention et les possibilités et
conditions d’appel aux meilleurs spécialistes
¾ Négocier éventuellement des clauses de pénalité en cas de dépassement des temps contractuels
Mesures techniques
— Les mesures techniques d’accompagnement éventuelles consistent éventuellement en des capacités
d’intervention à distance (télémaintenance) permettant d’accélérer le diagnostic en cas de défaillance.
Qualité de service
— L’efficacité du service est essentiellement liée à trois facteurs :
¾ la précision et le réalisme des clauses du contrat, en particulier en ce qui concerne les horaires d’appel,
d’intervention et les possibilités d’appel les week-end et jours fériés
¾ L’efficacité des procédures d’escalade et d’appel aux meilleurs spécialistes.
¾ La compétence et l’expertise du fournisseur ou du contractant
— La robustesse du service est liée à trois types de facteurs :
¾ La solidité du contractant (afin d’éviter un arrêt d’activité ou son rachat sans reprise de son activité)
¾ Les possibilités d’action ou de pression en cas de grève du personnel
¾ L’indépendance vis-à-vis de compétences pointues détenues par un petit nombre de personnes, voire par
un seul spécialiste)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ Des clauses du contrat et de la tenue des engagements du fournisseur
¾ Du fournisseur, afin de vérifier les points cités au titre de la robustesse.

89
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05A05 Procédures et plans de reprise du réseau local sur incidents


Objectif :
Assurer une gestion des incidents de réseau local qui soit acceptable par les utilisateurs.
Résultats attendus :
Éviter qu’un incident de réseau local se traduise par des pertes de données ou des pertes de service
inacceptables par les utilisateurs.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— La base de ce service consiste bien entendu en l’analyse :
¾ des incidents pouvant survenir sur un réseau local (panne d’équipement, saturation de lignes ou
d’équipements, panne externe, coupure de ligne, ver, etc.)
¾ des conséquences de chacun de ces incidents, selon sa localisation, sur les données transmises et les
services offerts
¾ du caractère acceptable ou non, par les utilisateurs, de telles conséquences
— les mesures organisationnelles complémentaires consistent en des procédures destinées, en appui des
mesures techniques éventuelles, à gérer au mieux les incidents de telle sorte que :
¾ les données perdues puissent être récupérées
¾ les services puissent continuer dans des conditions acceptables.
Mesures techniques
— Les mesures techniques de base consistent d’abord à détecter les incidents et à en faire un diagnostic précis
et exact :
¾ sondes de mesure
¾ moyens et outils de diagnostic
— Les mesures techniques d’accompagnement consistent éventuellement en des capacités :
¾ de sauvegarde dynamique des données en transit sur le réseau local, pour assurer leur restauration en
cas d’incident
¾ de reconfiguration des équipements de réseau local pour assurer une continuité de service minimum.
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la précision et la profondeur de l’analyse des types d’incidents et de leur localisation possible, de leurs
conséquences et du caractère acceptable ou non de ces conséquences
¾ la couverture des mesures techniques et des procédures de réaction aux incidents
— La robustesse du service est liée à deux types de facteurs :
¾ La protection des moyens de diagnostic contre des altérations ou des inhibitions intempestives.
¾ La protection des moyens d’administration permettant la reprise du réseau local et sa reconfiguration
contre toute inhibition ou mise hors service.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des capacités des équipements de reconfiguration du réseau local à assurer une charge suffisante
¾ des possibilités réelles de restauration des données et de reconfiguration en cas d’incident
¾ de l’efficacité réelle des procédures et des moyens de surveillance et de diagnostic du réseau local.

90
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05A06 Plan de sauvegarde des configurations du réseau local


Objectif :
Assurer la sauvegarde des configurations des équipements du réseau local.
Résultats attendus :
Permettre une reprise rapide de l’exploitation du réseau local en cas d’effacement accidentel d’une
configuration, de reconfiguration d’équipements ou de mise en œuvre de plans de secours.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures techniques
— Les mesures techniques de base consistent à sauvegarder l’ensemble des configurations des équipements
de réseau local, systématiquement à une fréquence donnée et lors de chaque évolution.
— Les mesures techniques d’accompagnement consistent à protéger ces sauvegardes contre des actions
volontaires de destruction et contre des accidents :
¾ stockage des sauvegardes dans un local protégé par un contrôle d’accès
¾ stockage des sauvegardes dans un local protégé contre l’incendie, les dégâts des eaux et les risques de
pollution.
Mesures organisationnelles
— Les mesures organisationnelles d’accompagnement visent la gestion des droits d’accès aux sauvegardes et
les conditions d’accès auxdites sauvegardes :
¾ gestion rigoureuse des personnes ayant accès aux sauvegardes
¾ contrôle de relecture périodiques
¾ stockage d’un jeu de sauvegardes de recours en dehors du site de production
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ l’exhaustivité des paramètres sauvegardés des équipements et celle des équipements dont les
sauvegardes sont assurées
¾ la fréquence des sauvegardes
— La robustesse du service est liée à deux types de facteurs :
¾ la solidité des contrôles d’accès et des protections contre les risques accidentels.
¾ la rigueur de la gestion des droits d’accès aux sauvegardes
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des procédures de sauvegardes
¾ des dispositions prises pour les protéger des risques de malveillance et accidentels.

91
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05A07 Plan de sauvegarde des données applicatives du réseau local


Objectif :
Assurer la sauvegarde des données relatives aux applications purement télécom (journalisation,
applications de gestion des frais réseau, etc.) liées au réseau local.
Résultats attendus :
Permettre une reprise rapide de l’exploitation des applications télécom du réseau local en cas
d’incident, de reconfiguration d’équipements ou de mise en œuvre de plans de secours.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures techniques
— Les mesures techniques de base consistent à sauvegarder l’ensemble des données des applications
télécom du réseau local, systématiquement à une fréquence définie en fonction des besoins utilisateurs.
— Les mesures techniques d’accompagnement consistent à protéger ces sauvegardes contre des actions
volontaires de destruction et contre des accidents :
¾ stockage des sauvegardes dans un local protégé par un contrôle d’accès
¾ stockage des sauvegardes dans un local protégé contre l’incendie, les dégâts des eaux et les risques de
pollution.
Mesures organisationnelles
— Les mesures organisationnelles de base visent l’étude de la durée maximale admissible entre deux
sauvegardes pour que les inconvénients subis par les utilisateurs ou l’entreprise soient acceptables
— Les mesures d’accompagnement visent la gestion des droits d’accès aux sauvegardes et les conditions
d’accès auxdites sauvegardes :
¾ gestion rigoureuse des personnes ayant accès aux sauvegardes
¾ contrôle de relecture périodiques
¾ stockage d’un jeu de sauvegardes de recours en dehors du site de production
Qualité de service
— L’efficacité du service est essentiellement liée à un facteur :
¾ la fréquence des sauvegardes et son adéquation aux besoins des utilisateurs ou de l’entreprise
— La robustesse du service est liée à deux types de facteurs :
¾ la solidité des contrôles d’accès et des protections contre les risques accidentels.
¾ la rigueur de la gestion des droits d’accès aux sauvegardes
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des procédures de sauvegardes
¾ des dispositions prises pour les protéger des risques de malveillance et accidentels.

92
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05A08 Plan de Reprise d’Activité (PRA) du réseau local


Objectif :
Assurer la reprise d’activité du réseau local en cas d’accident grave
Résultats attendus :
Permettre une reprise de l’exploitation du réseau local en cas d’accident grave survenant sur une
partie du réseau, et ceci dans un délai compatible avec les besoins des utilisateurs.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Les mesures organisationnelles initiales visent à analyser, pour chaque équipement de réseau local, les
conséquences d’un accident grave sur la disponibilité d’ensemble du réseau et à identifier, avec les
utilisateurs, le service minimal à assurer et le délai d’interruption admissible entre le fonctionnement normal et
le fonctionnement en mode secours, éventuellement dégradé.
— Les mesures de base visent ensuite à décrire en détail les actions à mener quand survient le sinistre, à en
décrire les procédures détaillées et à les tester, puis à gérer leur mise à jour au fil des évolutions du réseau.
Mesures techniques
— Les mesures techniques de base consistent à assurer une solution de secours pour tout cas d’accident sur
un équipement de réseau local, ces solutions pouvant être :
¾ des redondances d’équipements
¾ des solutions des secours sur un site distant, avec des équipements propres ou mutualisés
¾ des replis sur des réseaux publics
¾ l’installation de nouveaux matériels sur des salles prévues en conséquence (salles blanches)
¾ etc.
Qualité de service
— L’efficacité du service est essentiellement liée à plusieurs facteurs :
¾ le délai de mise en œuvre des diverses solutions de secours prévues
¾ la qualité et la rigueur de détail du plan de reprise d’activité
— La robustesse du service est liée à l’existence de variantes des PRA au cas où la solution de base ne serait
pas disponible ou pas assez longtemps (cas des solutions mutualisées)
— La mise sous contrôle est réalisée par :
¾ des tests de PRA représentatifs de la réalité
¾ des audits de la rigueur de gestion des procédures de secours.

93
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05A09 Gestion des fournisseurs critiques du réseau local (vis-à-vis de la


permanence de la maintenance)
Objectif :
Assurer la continuité de service du réseau local en cas de disparition ou d’indisponibilité durable du
fournisseur d’un équipement de réseau ou du prestataire chargé d’en assurer la maintenance
Résultats attendus :
Éviter que la disparition d’un fournisseur mette en péril la continuité de l’exploitation des réseaux
locaux.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
Mesures organisationnelles
— Les mesures organisationnelles initiales visent à analyser, pour chaque équipement de réseau local, les
conséquences de la disparition d’un fournisseur sur la disponibilité d’ensemble du réseau et à identifier, avec
les utilisateurs, le service minimal à assurer et le délai d’interruption de maintenance admissible entre le
moment où cette disparition serait constatée et le moment où une solution de repli pourrait être mise en
œuvre
— Les mesures de base visent ensuite à définir la solution de repli et à la décrire dans un plan détaillant toutes
les actions nécessaires au succès de la solution. Ces mesures peuvent être :
¾ Le changement d’équipement par un autre équipement d’un autre fournisseur
¾ La reprise de maintenance par un autre prestataire (les conditions détaillées comprenant alors l’accès à
une documentation de maintenance suffisante, dans des conditions à définir de manière précise)
¾ Une évolution radicale du réseau permettant de se passer de l’équipement posant problème
Qualité de service
— L’efficacité du service est essentiellement liée à plusieurs facteurs :
¾ le délai de mise en œuvre des diverses solutions de secours prévues
¾ la qualité et la rigueur de détail du plan de secours prévu
— La robustesse du service est liée à l’existence de variantes des plans de secours au cas où la solution de
base ne fonctionnerait pas
— La mise sous contrôle est réalisée par des audits :
¾ de la pertinence des solutions prévues
¾ des procédures les rendant possibles (dépôt des documentations chez une tierce partie de confiance).

94
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05B Contrôle d’accès au réseau local de données


05B01 Gestion des profils d’accès au réseau local de données
Objectif :
Déterminer, pour le réseau local de données, quelles catégories de personnel, interne ou non, ont de
réels besoin d’y avoir accès, dans quelles conditions et dans quelles limites, afin de pouvoir empêcher les
accès au réseau par ceux qui n’en ont pas le besoin.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas (ou plus) la nécessité d’accéder au réseau local de données. Ces actions pourraient être l’écoute des
communications transitant sur le réseau ou l’attaque de serveurs connectés au réseau.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
— Identifier toutes les catégories de personnes amenées à travailler, de manière permanente ou occasionnelle,
dans les locaux de l’entreprise et pouvant, de ce fait, avoir accès à une prise réseau, et celles travaillant en
dehors de l’entreprise mais devant avoir accès, depuis l’extérieur, au réseau interne : par exemple :
¾ Personnel en CDI, situé dans les locaux
¾ Personnel « nomade » travaillant à l’extérieur
¾ Stagiaires.
¾ Prestataires (en différenciant les diverses catégories de prestataires : maintenance, entretien, etc.)
¾ Visiteurs
— Désigner, pour chaque type de personnel et selon son lieu de travail, un responsable de la gestion des droits
attribués à cette catégorie de personne et des contrôles qui devront être faits.
— Faire définir, puis gérer dans le temps, par ces responsables, les droits génériques attribués à chaque
catégorie de personnes (accès autorisé ou non au réseau interne pour les personnes ayant accès au réseau
physique, accès et conditions d’accès au réseau interne pour les nomades ou les personnes situées à
l’extérieur des locaux, sous réseaux internes autorisés, protocoles autorisés, accès sortants et services
externes autorisés, etc.).
— Mettre en place un processus de contrôle (ou d’audit) régulier des droits attribués.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les supports faisant l’interface
entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en
autorisations ou interdictions concrètes d’accès. Il s’agit donc de protéger contre toute modification illicite :
— Le transfert d’information entre les décisionnaires et les personnes en charge d’établir les autorisations
d’accès.
— Les tables ou documents matérialisant ces décisions.
Il s’agit donc de techniques de scellement, pour les mesures les plus efficaces, à défaut
éventuellement d’accusé de réception pour la transmission et d’audit régulier pour les tables et
documents.
Qualité de service
— L’efficacité du service est directement liée à la rigueur des procédures permettant de définir les catégories de
personnes et les droits associés.
— La robustesse du service est directement liée à la solidité des mesures techniques de protection des
transferts d’information et des base de données des droits
— La mise sous contrôle est réalisée par des audits ou inspections régulières, tant des catégories de personnes
et des droits attribués que des processus de gestion eux-mêmes.

95
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05B02 Gestion des autorisations d’accès et privilèges (attribution,


délégation, retrait)
Objectif :
Attribuer individuellement les autorisations d’accès au réseau local de données à chaque personne
intéressée et gérer ces autorisations dans le temps, afin de pouvoir limiter leurs droits et privilèges à leurs
seuls besoins et aux seules périodes concernées.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas (ou plus) la nécessité d’accéder au réseau local.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
— Définir, pour chaque type de profil d’accès, le responsable de l’attribution d’un « profil d’accès » à une
personne physique, par exemple :
¾ Hiérarchie pour le personnel interne ou le personnel nomade
¾ Signataire de la commande pour un prestataire
— Définir, pour chaque catégorie de profil d’accès les variables de droits à préciser par le responsable
demandeur :
¾ Période de validité
¾ Heures et jours de validité
— Définir l’ensemble des processus d’attribution, de modification et de retrait de profils (et donc de droits) à une
personne, depuis l’expression du besoin jusqu’à l’attribution ou le retrait effectif des droits
— Définir les processus de contrôle et de détection des anomalies dans la gestion des autorisations.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les supports faisant l’interface
entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en
autorisations ou interdictions concrètes d’accès (entrée d’identifiant et de droits dans les tables systèmes).
Il s’agit donc de s’assurer que la demande reçue par le personnel en charge d’ouvrir ou de modifier les
droits est bien authentique.
Il s’agit donc de techniques de signature et de contrôle de signature, que cette signature soit
électronique ou non (le scellement électronique étant ici apparenté à une signature). Des certificats
peuvent être également employés.
Qualité de service
— L’efficacité du service est directement liée à la rigueur des procédures permettant d’attribuer des profils
d’accès aux personnes, de les modifier éventuellement et d’invalider les autorisations (entrées dans les tables
systèmes) dès que le besoin a disparu.
— La robustesse du service est directement liée à la solidité des mesures techniques de protection des
transferts d’information et des base de données des droits attribués
— La mise sous contrôle est réalisée par des audits ou inspections régulières, des droits attribués, de l’usage
pratique de ces droits et des processus de gestion eux-mêmes.

96
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05B03/05B05/05B06 Authentification de l’accédant lors de l’accès au réseau


local
Nota : il y a lieu, lors d’un audit, de distinguer entre les services :
05B03 Authentification lors de l’accès au réseau local depuis un point d’accès interne
05B05 Authentification lors de l’accès au réseau local depuis l’extérieur
05B06 Authentification lors de l’accès au réseau local depuis un sous-réseau WiFi
Objectif :
S’assurer lors de l’accès au réseau local depuis un point d’accès interne (depuis l’intérieur de
l’entreprise, par exemple une prise réseau dans un bureau ou une salle de réunion), depuis l’extérieur
(généralement avec des exigences différentes) ou depuis un sous-réseau WiFi que la personne qui tente
de se connecter est bien celle qu’elle prétend être.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’étant
pas (ou plus) autorisées individuellement à accéder au réseau local.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le contrôle d’une caractéristique que la personne,
individuellement, possède ou connaît :
¾ Mot de passe ou secret partagé entre la personne et un équipement de contrôle
¾ Objet physique reconnaissable possédé par la personne (généralement en association avec un secret
partagé entre la personne et l’objet)
¾ Caractéristique propre de la personne (empreinte digitale, caractéristique faciale ou de la voix, etc.)
— Les mesures complémentaires visent la protection contre les tentatives d’usurpation d’identité :
¾ Protection du processus de diffusion initiale des conventions secrètes (mots de passe)
¾ Protection du protocole d’authentification pour éviter qu’il ne soit observé, écouté et dupliqué.
¾ Protection des éléments d’authentification conservés par l’utilisateur ou les équipements assurant
l’authentification (stockage des mots de passe, par exemple)
¾ Inhibition du processus d’authentification en cas de tentative répétée infructueuse
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion des anomalies ou des
dysfonctionnements ou violations des mesures techniques :
¾ Gestion de relation utilisateur en cas de perte de mot de passe ou de support d’authentification
¾ Procédures d’alerte en cas de tentatives répétées échouées
Qualité de service
— L’efficacité du service est liée à la solidité ou l’inviolabilité du mécanisme d’authentification proprement dit
(force et solidité du mot de passe, solidité de l’algorithme cryptologique éventuellement utilisé pour
authentifier, solidité de l’algorithme et du protocole contre toute observation, écoute et réutilisation de
séquence, etc.)
— La robustesse du service est liée à trois facteurs :
¾ l’inviolabilité des protocoles annexes : diffusion initiale, échanges ou stockage des éléments secrets
¾ les mesures de protection des protocoles d’authentification et des équipements assurant le déroulement
de ces protocoles pour éviter qu’ils ne soient altérés ou inhibés
¾ les mesures organisationnelles complémentaires pour éviter que les procédures de gestion d’exceptions
ne soient utilisées pour obtenir à tort une autorisation d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes d’authentification,
¾ des systèmes de détection des violations et des arrêts du contrôle d’accès

97
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

¾ des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures

98
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05B04 Authentification de l’accédant lors de l’accès au réseau local depuis


un site distant via le réseau étendu
Objectif :
S’assurer, lors de l’accès au réseau local depuis un site distant via le réseau étendu, que la personne
qui tente de se connecter est bien celle qu’elle prétend être.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’étant
pas (ou plus) autorisées individuellement à accéder au réseau local.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont ici très différents dans la mesure où la personne qui accède
au réseau local est connue du site distant mais peut ne pas l’être du site accédé. Ils sont donc
essentiellement organisationnels et reposent sur une délégation d’autorité d’authentification.
Mesures organisationnelles
— Les mesures organisationnelles concernent la gestion de la délégation d’autorité d’authentification :
¾ Obligation de s’authentifier localement avant tout accès sortant via le réseau étendu
¾ Homogénéité des règles imposées à toutes les unités de sorte que l’on puisse accorder la même
confiance à l’authentification distante qu’à une authentification locale
— Les mesures d’accompagnement concernent, bien évidemment, la mise sous contrôle de cette délégation
d’autorité :
¾ Audit de la pertinence des règles dirigeant l’appartenance au réseau étendu (considéré comme un réseau
de confiance)
¾ Audit de l’application des règles d’appartenance
Qualité de service
— L’efficacité du service est liée à la solidité des règles communes d’authentification (force et solidité du mot de
passe, solidité de l’algorithme cryptologique éventuellement utilisé pour authentifier, solidité de l’algorithme et
du protocole contre toute observation, écoute et réutilisation de séquence, etc.)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ de la pertinence des règles communes
¾ de l’application de ces règles
¾

99
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05B07 Filtrage général des accès au réseau local


Objectif :
S’assurer lors de l’accès au réseau local que la personne qui tente de se connecter y est bien
autorisée.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’étant
pas (ou plus) autorisées individuellement à accéder au réseau local.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le contrôle d’accès :
¾ Identification et reconnaissance de la personne tentant de se connecter
¾ Authentification de la personne
¾ Identification du contexte propre de la tentative de connexion et sélection des règles de contrôle d’accès
applicables à ce contexte
¾ Contrôle que les droits attribués à la personne et que le contexte de connexion autorisent bien cette
connexion
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du système :
¾ Interruption des autorisations en cas d’inactivité et redemande d’authentification à la reprise du travail
¾ Protection du processus de fixation des règles de contrôle d’accès (échanges d’informations et tables de
paramètres)
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion des évolutions des règles de
contrôle d’accès en fonction des contextes :
¾ Gestion des demandes de modification
Qualité de service
— L’efficacité du service est liée à la rigueur avec laquelle les contrôles d’accès ont été déterminés et à la qualité
du processus de contrôle
— La robustesse du service est liée à deux facteurs :
¾ la protection des processus et protocoles de contrôle et des tables de paramètres correspondants
¾ les mesures organisationnelles complémentaires pour éviter que les procédures de gestion de
modifications ne soient utilisées pour libérer à tort des contraintes d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes de contrôle d’accès,
¾ des systèmes de détection d’inhibition ou d’arrêt du contrôle d’accès
¾ de la mise en œuvre de ces procédures

100
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05B08 Contrôle du routage des accès sortants


Objectif :
S’assurer lors de l’accès au réseau externe que la personne qui tente de se connecter y est bien
autorisée.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes ou des
programmes, lors des accès sortants effectués depuis le réseau local.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le contrôle d’accès :
¾ Identification et reconnaissance de la personne tentant de sortir
¾ Authentification de la personne
¾ Identification du contexte propre au service externe dont la connexion est demandée et sélection des
règles de contrôle d’accès sortants applicables à ce contexte
¾ Contrôle que les droits attribués à la personne et que le contexte de connexion externe autorisent bien
cette connexion
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du système :
¾ Interruption des sessions en cas d’inactivité et redemande d’authentification à la reprise du travail
¾ Protection du processus de fixation des règles de contrôle d’accès (échanges d’informations et tables de
paramètres)
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion des évolutions des règles de
contrôle d’accès sortants en fonction des contextes :
¾ Gestion des demandes de modification
Qualité de service
— L’efficacité du service est liée à la rigueur avec laquelle les contrôles d’accès ont été déterminés et à la qualité
du processus de contrôle
— La robustesse du service est liée à deux facteurs :
¾ la protection des processus et protocoles de contrôle et des tables de paramètres correspondants
¾ les mesures organisationnelles complémentaires pour éviter que les procédures de gestion de
modifications ne soient utilisées pour libérer à tort des contraintes d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes de contrôle d’accès,
¾ des systèmes de détection d’inhibition ou d’arrêt du contrôle d’accès
¾ de la mise en œuvre de ces procédures

101
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05B09 Authentification de l’entité accédée, lors d’accès sortants vers des


sites sensibles
Objectif :
S’assurer lors de l’accès depuis le réseau local vers des sites sensibles, que l’entité appelée est bien
celle qu’elle prétend être.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées par substitution de sites ou par usurpation
d’adresses de sites sensibles.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le contrôle d’une caractéristique que seul l’équipement distant
(passerelle d’entrée de l’entité sensible) possède :
¾ Mot de passe partagé entre les équipements de contrôle
¾ Système cryptologique permettant à l’entité distante d’être authentifiée
— Les mesures complémentaires concernent la protection contre les tentatives d’usurpation d’identité d’entité :
¾ Protection du processus de diffusion initiale des conventions secrètes (diffusion des certificats)
¾ Protection du protocole d’authentification pour éviter qu’il ne soit observé, écouté et dupliqué.
¾ Vérification de la validité des certificats et de la non révocation des éléments de reconnaissance
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion des annuaires contenant les
éléments de reconnaissance (clés publiques en particulier)
¾ Gestion de l’annuaire des clés publiques des entités autorisées à se connecter
¾ Gestion des processus de révocation, en cas de manquement aux règles d’appartenance au réseau de
confiance
Qualité de service
— L’efficacité du service est liée à la solidité ou l’inviolabilité du mécanisme d’authentification proprement dit
(force et solidité du mot de passe, solidité de l’algorithme cryptologique éventuellement utilisé pour
authentifier, solidité de l’algorithme et du protocole contre toute observation, écoute et réutilisation de
séquence, etc.)
— La robustesse du service est liée à trois facteurs :
¾ l’inviolabilité des protocoles annexes tels que diffusion initiale, échanges ou stockage des éléments
secrets
¾ les mesures de protection des protocoles d’authentification et des équipements assurant le déroulement
de ces protocoles pour éviter qu’ils ne soient altérés ou inhibés
¾ les mesures organisationnelles complémentaires pour éviter que les procédures de gestion d’exceptions
ne soient utilisées pour obtenir à tort une autorisation d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes d’authentification,
¾ des systèmes de détection des violations et des arrêts du contrôle d’authentification
¾ des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures

102
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05C Sécurité des données lors des échanges et des communications sur le
réseau local
05C01 Chiffrement des échanges sur le réseau local
05C03 Chiffrement des échanges lors des accès distants au réseau local
Objectif :
Protéger la confidentialité des informations échangées.
Résultats attendus :
Empêcher qu’une personne non autorisée puisse accéder au contenu des informations échangées sur
les réseaux, internes ou externes, c’est-à-dire soit sur le réseau local (05C01) soit lors des échanges au
réseau local depuis l’extérieur.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le chiffrement ou cryptage des données (il s’agit ici de
chiffrement au niveau réseau et non au niveau applicatif, et donc, généralement de chiffrement de trames de
données, indistinctement de leur contenu) :
¾ Détermination des canaux chiffrés
¾ Mise en place de boîtiers de chiffrement (ou à défaut de solution logicielle de chiffrement)
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du système :
¾ Protection physique des boîtiers de chiffrement
¾ Protection logique des solutions logicielles de chiffrement
¾ Sécurité du processus technique support des échanges de clés
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion du système de chiffrement et la
gestion des évolutions des règles de chiffrement :
¾ Système de gestion et d’échange des clés de chiffrement
¾ Système de révocation de clés en cas de violation
¾ Gestion des demandes de modification des canaux chiffrés ou non
Qualité de service
— L’efficacité du service est essentiellement liée à la solidité de l’algorithme de chiffrement et de génération de
clés secrètes (ou de paires de clés)
— La robustesse du service est liée à plusieurs facteurs :
¾ la protection des mécanismes de chiffrement (boîtiers physiques ou logiciel)
¾ la solidité du processus et des procédures d’échange de clés et de gestion d’anomalies (révocation)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes de chiffrement,
¾ des systèmes de détection d’inhibition ou d’arrêt du mécanisme de chiffrement
¾ de la mise en œuvre des procédures de gestion de clés

103
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05C02 Protection de l’intégrité des échanges sur le réseau local


05C04 Protection de l’intégrité des échanges lors des accès distants au
réseau local
Objectif :
Protéger l’intégrité des informations échangées.
Résultats attendus :
Empêcher qu’une personne non autorisée puisse modifier le contenu des informations échangées sur
les réseaux (internes ou externes), sans que cela soit détecté (avant utilisation).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le scellement ou la signature électronique des données (il s’agit
ici de scellement au niveau réseau et non au niveau applicatif, et donc, généralement de scellement de
trames de données, indistinctement de leur contenu) :
¾ Détermination des canaux à protéger
¾ Mise en place de solution (généralement logicielle) de scellement
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du système :
¾ Protection logique des solutions logicielles de scellement (protection du logiciel, génération des paires de
clés publiques et privées, diffusion et contrôle des clés publiques et usage éventuel de certificats, etc.)
¾ Protection du processus de fixation des règles de scellement (échanges d’informations et tables de
paramètres concernant les liaisons à protéger par un scellement)
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion du système de scellement et la
gestion des évolutions des règles de scellement :
¾ Système de gestion et de diffusion des clés de scellement
¾ Système de révocation de clés en cas de violation
¾ Gestion des demandes de modification des canaux scellés ou non
Qualité de service
— L’efficacité du service est essentiellement liée à la solidité de l’algorithme de scellement et de génération des
clés
— La robustesse du service est liée à plusieurs facteurs :
¾ la protection des mécanismes de scellement logiciel
¾ la solidité du processus et des procédures de diffusion des clés, de leur contrôle de validité et de gestion
d’anomalies (révocation)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes de scellement,
¾ des systèmes de détection d’inhibition ou d’arrêt du mécanisme de scellement
¾ de la mise en œuvre des procédures de gestion de clés

104
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05D Détection et traitement des incidents et anomalies du réseau local


05D01 Surveillance en temps réel du réseau local
Objectif :
Détecter en temps réel des anomalies de comportement ou des séquences anormales significatives
d’actions non autorisées et potentiellement dangereuses sur le réseau local.
Résultats attendus :
Permettre une réaction rapide et, si possible, une intervention avant que l’action nocive ait été réussie.
A défaut limiter cette action dans le temps. Remarque : dans certains cas d’intrusion, on est surpris de
constater que des traces existaient depuis fort longtemps et auraient permis de réagir.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels
Mesures techniques
Les mesures techniques comportent deux types de solutions :
— les systèmes de détection d’intrusion qui s’appuient sur des bases de données de séquences révélatrices de
tentatives d’intrusion
— l’enregistrement de rejets opérés par les systèmes de filtrage et la détection de répétitions anormales de
rejets (tentatives de connexion avortées, rejets de protocoles et tentatives successives de différents
protocoles, etc.)
Ces systèmes, qui peuvent être supportés par des outils plus ou moins sophistiqués, débouchent sur
des alertes à destination d’une équipe d’intervention, voire sur des actions automatiques (blocage de la
connexion, blocage de toutes les connexions en cas d’attaque en déni de service, etc.).
Il est clair qu’en accompagnement de ces mesures, les droits d’administration nécessaires pour
paramétrer ces systèmes doivent être strictement contrôlés.
Mesures organisationnelles
— Les mesures organisationnelles de base visent à supporter les mesures techniques :
¾ mise à jour régulière de la base de données des techniques d’intrusion
¾ gestion des paramètres de détection des répétitions déclenchant une alarme
¾ équipe d’astreinte permanente capable de réagir aux alarmes et système d’escalade
— En amont de ces mesures, il est nécessaire d’analyser tous les cas d’alerte et de définir, cas par cas, les
réactions attendues de l’équipe d’intervention.
— En complément, il peut être souhaitable d’analyser, en fonction du contexte de l’entreprise, si des
comportements particuliers pourraient être significatifs d’actions anormales et donner lieu à une alerte
spécifique, par exemple :
¾ horaires de connexion
¾ actions menées depuis des sites particuliers
¾ multiplication des accès vers des sites distants
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ le nombre de cas détectés et la profondeur de l’analyse préliminaire des cas donnant lieu à alarme, ainsi
que le maintien à jour de ces données
¾ la qualité et la rigueur de l’analyse des réactions attendues de l’équipe d’intervention
¾ la compétence de cette équipe et sa disponibilité
— La robustesse du service est liée à deux facteurs :
¾ La rigueur de la gestion des droits nécessaires pour administrer les paramètres d’alarmes et la solidité des
contrôles qui sont faits à ce sujet
¾ L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système de surveillance
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système de surveillance
¾ de la disponibilité de l’équipe d’astreinte et de la surveillance effective du réseau local

105
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05D02 Surveillance en temps différé des traces, logs et journaux des


événements sur le réseau local
Objectif :
Détecter en temps différé des anomalies de comportement ou des séquences anormales significatives
d’actions non autorisées et potentiellement dangereuses, par une analyse a posteriori des traces logs et
journaux d’événements sur le réseau local.
Résultats attendus :
Permettre de limiter dans le temps les actions anormales et en dissuader les acteurs internes (ce
service peut venir en appui d’interdictions de certaines actions non contrôlées de manière préventive).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels
Mesures techniques
Les mesures techniques comportent deux types de solutions complémentaires :
— les systèmes d’enregistrement de diverses traces, la journalisation des opérations effectuées par les équipes
d’exploitation et en particulier les paramétrages d’équipements de sécurité ou les reconfigurations
d’équipements de réseau local et les logs, plus ou moins exhaustifs, des actions effectuées par les utilisateurs
(connexions, accès divers, contenu des échanges, mots clés, etc.)
— l’analyse de tous ces éléments qui, sans outil d’assistance, se révèle totalement inefficace (la masse
d’enregistrements que l’on peut conserver est telle qu’une analyse manuelle est souvent illusoire, si ce n’est
totalement impossible). Le résultat de l’analyse est alors une synthèse (éventuellement sous forme de
tableau de bord) qui peut être analysée par une équipe ad hoc, voire des alarmes directes.
L’analyse de la synthèse débouche sur des alertes à destination soit d’une équipe d’intervention
technique, en particulier pour les cas de détection d’actions menées depuis l’extérieur, soit de la
hiérarchie, pour les actions menées par du personnel interne.
Il est clair qu’en accompagnement de ces mesures, les droits d’administration nécessaires pour
paramétrer ces systèmes doivent être strictement contrôlés.
Mesures organisationnelles
— Les mesures organisationnelles de base visent à supporter les mesures techniques :
¾ définition et mise à jour régulière des événements à enregistrer
¾ gestion des outils d’analyse et des paramètres déclenchant une alarme directe
¾ synthèse des enregistrements et prétraitements éventuels
¾ équipe en charge d’analyser les résultats de synthèse fournis par l’analyse des traces et logs
— En appui de ces mesures, il est nécessaire de définir, cas par cas, les réactions attendues de l’équipe
d’intervention (par exemple conduite à tenir en cas d’abus de droits ou d’actions « interdites » telles que des
accès à des sites Internet prohibés).
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ la couverture des enregistrements et la profondeur de l’analyse préliminaire des cas donnant lieu à alarme
directe et des synthèses effectuées souhaitables,
¾ la qualité et la rigueur de l’analyse des réactions attendues de l’équipe d’intervention
¾ la compétence de cette équipe et sa disponibilité
— La robustesse du service est liée à deux facteurs :
¾ La rigueur de la gestion des droits nécessaires pour administrer les enregistrements ainsi que les
paramètres d’analyse et d’alarmes et la solidité des contrôles qui sont faits à ce sujet
¾ L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système d’enregistrement ou du
système d’analyse et de surveillance
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système d’enregistrement et de surveillance
¾ de l’analyse effective des synthèses et alarmes par l’équipe qui en a la charge

106
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 5 : Réseau local

05D03 Traitement des incidents du réseau local


Objectif :
Enregistrer les incidents du réseau local et en assurer un traitement adéquat et un suivi régulier
Résultats attendus :
Éviter qu’un incident mineur ou qu’une série d’incidents mineurs ne soient pas traités convenablement
et qu’ils débouchent sur un accident majeur (par exemple blocage complet du réseau)
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels
Mesures techniques
Les mesures techniques comportent essentiellement un système d’enregistrement de tous les
incidents, que ces incidents soient signalés par l’exploitation ou par les utilisateurs, qu’ils soient avérés ou
simplement suspectés.
Le système doit, bien évidemment permettre le suivi et la mise à jour de chaque incident au fur et à
mesure de la progression des actions visant à le traiter.
Il comporte généralement des synthèses sous forme de tableau de bord, par type d’incident.
En complément le système de gestion des incidents comporte souvent des accès sélectifs à
l’information, pour que certains champs ne soient accessibles qu’à certaines personnes (par exemple, le
nom des personnes impliquées).
Mesures organisationnelles
Les mesures organisationnelles de base visent à mettre en place une équipe en charge de la
réception des appels (hot line ou help desk, généralement), de l’enregistrement des incidents, de
l’aiguillage vers l’équipe concernée et du suivi de l’incident.
En complément, il est souhaitable de définir, a priori, une typologie d’incidents, pour pouvoir en
effectuer un suivi statistique, ainsi qu’une hiérarchie, certains incidents faisant l’objet d’un reporting en
temps quasi réel d’autres ne faisant l’objet que d’un reporting statistique.
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ la couverture des types d’incidents effectivement gérés par le système,
¾ la typologie des incidents et la capacité des outils à assister l’équipe ad hoc dans le suivi des incidents
(rappel des incidents non soldés dans un délai donné, workflow, etc.)
— La robustesse du service est liée à deux facteurs :
¾ La rigueur de la gestion des droits nécessaires pour administrer le système de gestion des incidents et
pour modifier ou effacer un incident ainsi que la rigueur des contrôles d’accès qui sont faits à ce sujet
¾ L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système de suivi des incidents
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système d’enregistrement et de suivi des incidents
¾ du suivi effectif des incidents par l’équipe qui en a la charge

107
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

Domaine 6 : Exploitation des réseaux

06A Sécurité des procédures d’exploitation


Objectif :
Assurer la conformité des procédures aux exigences de sécurité spécifiées.
Résultats attendus :
Éviter que des erreurs, des inattentions, voire des fautes intentionnelles, dans la mise en œuvre des
moyens télécom introduisent des brèches de sécurité.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires qui sont
simultanément nécessaires :
— 06A01 : Prise en compte de la sécurité dans les relations avec le personnel d’exploitation
— 06A02 : Contrôle de la mise en production de nouveaux logiciels ou matériels ou d’évolutions de logiciels ou
matériels
— 06A03 : Contrôle des opérations de maintenance
— 06A04 : Contrôle de la télémaintenance
— 06A05 Gestion des procédures opérationnelles
— 06A06 Gestion des prestataires de service
— 06A07 Prise en compte de la confidentialité lors des opérations de maintenance sur les équipements de
réseau
— 06A08 Gestion des contrats de services réseaux

06B Paramétrage et contrôle des configurations matérielles et logicielles


Objectif :
Assurer la conformité des configurations aux exigences de sécurité spécifiées.
Résultats attendus :
Éviter que des erreurs, des inattentions, voire des fautes intentionnelles, dans le paramétrage des
équipements télécom ou dans les postes utilisateurs introduisent des brèches de sécurité.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires qui sont
simultanément nécessaires :
— 06B01 : Paramétrage des équipements de réseau et contrôle de la conformité des configurations
— 06B02 : Contrôle de la conformité des configurations utilisateurs

06C Contrôle des droits d’administration


Objectif :
Gérer avec rigueur l’attribution et l’utilisation de droits privilégiés sur les équipements de réseau
Résultats attendus :
Éviter que les configurations sécurisées soient modifiées par des personnes abusant de droits
d’administration.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires qui sont

108
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

simultanément nécessaires :
— 06C01 : Gestion des droits privilégiés sur les équipements de réseau
— 06C02 : Authentification des administrateurs et personnels d’exploitation
— 06C03 : Surveillance des actions d’administration des réseaux
— 06C04 : Contrôle des outils et utilitaires de l’exploitation

06D Procédures d'audit et de contrôle des réseaux

Objectif :
Prévenir toute activation incontrôlée d’outils d’audit technique des réseaux (tests de pénétration,
évaluations de vulnérabilités, etc.) ainsi que toute erreur ou malveillance lors de ces audits.
Enregistrer les résultats et détecter les anomalies de fonctionnement ou les modifications effectuées et
les intrusions éventuelles dans les équipements de réseau pour intervenir au mieux et dans les meilleurs
délais.
Résultats attendus :
Éviter que des incidents, des anomalies ou des actions malveillantes externes (pirates, hackers) ou
internes (abus de droits d’utilisateurs), puissent arriver du fait de ces tests d’audit et ne soient pas détectés
ni interrompus.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures :
— 06D01 Fonctionnement des contrôles d'audit
— 06D02 Protection des outils et résultats d'audit

109
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06A Sécurité des procédures d’exploitation


06A01 Prise en compte de la sécurité dans les relations avec le personnel
d’exploitation
Objectif :
Faire signer au personnel d’exploitation (interne ou non) ayant à traiter des informations ou des
supports d’information sensibles des engagements de respect d’une politique de sécurité traitant
particulièrement de l’exploitation des réseaux.
Résultats attendus :
Sensibiliser le personnel concerné et le responsabiliser en ce qui concerne la protection de
l’information pour éviter des erreurs ou négligences conduisant à une divulgation, à une altération ou à
une perte d’information sensible ou de service.
Dissuader également ledit personnel d’un acte malveillant par une reconnaissance préalable du
caractère délictueux d’un tel acte.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
Mesures organisationnelles
— Rédiger une politique de sécurité à destination du personnel d’exploitation des réseaux ou un chapitre
spécifique dans une politique générale de sécurité
— Faire signer au personnel d’exploitation une clause spécifique de respect de la politique de sécurité
applicable à l’exploitation des réseaux
— Introduire une clause de respect de la politique de sécurité de l’exploitation dans les contrats de prestataires
amenés à intervenir sur le matériel (en particulier le personnel de maintenance)
Qualité de service
— L’efficacité du service est liée à plusieurs aspects de la rédaction de la politique de sécurité et, en particulier à
l’exhaustivité des domaines couverts ainsi qu’à la généralité de l’engagement contractuel, à la durée de
l’engagement, ainsi qu’au formalisme du processus :
¾ Obligation couvrant tous les domaines de la sécurité (confidentialité des informations, disponibilité des
informations et des services, intégrité des informations et des configurations, traçabilité des actions, etc.)
¾ Obligation couvrant tous types de supports (magnétique, écrit ou imprimé, optique, etc.)
¾ Directives couvrant aussi bien l’interdiction d’action directe (divulgation, altération, destruction ou inhibition)
que l’obligation des précautions à prendre pour éviter les actions de tiers
¾ Directives couvrant tout le personnel y compris celui des sous-traitants (dans ce cas le contrat doit stipuler
l’obligation par le sous-traitant de faire signer de telles clauses, après acceptation et validation par
l’entreprise contractante, par son personnel).
¾ Obligation s’étendant après la fin du contrat, sans limite de durée
¾ Obligation de reconnaître formellement avoir été tenu au courant de l’ensemble des règles à adopter et de
les avoir acceptées
— La robustesse du service est liée à la conservation et à la protection des engagements du personnel
(archivage et protection des originaux contre une destruction malveillante)
— La mise sous contrôle est réalisée par des audits réguliers du texte des clauses et du bon fonctionnement du
processus de signature et de conservation des clauses de confidentialité.

110
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06A02 Contrôle de la mise en production de nouveaux logiciels ou


matériels ou d’évolutions de logiciels ou matériels
Objectif :
Gérer avec rigueur les problèmes de sécurité induits par la mise en production de nouveaux
équipements (matériel, logiciel opératoire ou applicatif) ou de nouvelles versions d’équipements existants.
Résultats attendus :
Éviter que la mise en production de nouveaux équipements de réseau (matériel, logiciel opératoire,
logiciel applicatif) ou de nouvelles versions d’équipements de réseau existants n’ouvre une faille de
sécurité non suspectée (nouvelle faille ou faille connue dont la correction pourrait être inhibée par la
nouvelle mise en production).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement de nature organisationnelle.
Mesures organisationnelles
Le problème que peuvent poser, du point de vue de la sécurité, ces installations d’équipements ou de
systèmes tient au fait que les équipes d’exploitation n’ont pas forcément les outils ni la formation pour
envisager les risques pouvant être créés par ces installations ou évolutions.
Les mesures à mettre en œuvre sont de trois ordres :
— Établissement de procédures formelles de décision, d’approbation et de contrôle préalable aux décisions
d’installation ou de changement d’équipements et de versions tenant compte des exigences de sécurité
physique et logique ainsi que celles émises par les utilisateurs.
— Analyse des nouvelles fonctionnalités et des risques nouveaux éventuels, comme pour un nouveau projet :
¾ Identification des nouvelles fonctionnalités apportées par la mise en production projetée
¾ Analyse des risques que ces nouvelles fonctionnalités peuvent véhiculer ou faciliter
¾ Jugement sur le caractère acceptable ou non de ces risques nouveaux
¾ Prise de décision sur les mesures complémentaires éventuelles à mettre en œuvre.
— Vérification que les paramétrages et dispositifs de sécurité prévus sur les versions précédentes, en cas
d’évolution, sont bien toujours en place et actifs :
¾ Tenue à jour d’une liste des paramètres de sécurité et des points de contrôle
¾ Vérification du suivi des procédures et de l’activation de tous les processus de sécurité
¾ Tests avant mise en exploitation
Mesures techniques
Les mesures techniques d’accompagnement dépendent pour une grande part des décision prises à la
suite de l’analyse de risque décrite ci-dessus.
Qualité de service
— L’efficacité du service est essentiellement liée à la rigueur de l’analyse menée à l’occasion de l’installation ou
de l’évolution et, en particulier :
¾ Au formalisme de l’analyse de risque et des conclusions qui en sont tirées
¾ Aux capacités de support de la part d’une cellule spécialisée
¾ À la formation préalable des équipes d’exploitation à ce type de démarche.
¾ Au formalisme attaché aux tests de sécurité, à la tenue à jour des paramétrages de sécurité de chaque
équipement et du contrôle de conformité de ces paramètres sur une nouvelle version.
— La robustesse du service est liée à :
¾ La volonté de la Direction de ne pas déroger aux procédures formelles de mise en production sauf
circonstances réellement exceptionnelles et au formalisme rigoureux alors nécessaire (signature formelle
d’une dérogation par la Direction). La principale cause de contournement vient, en effet, de la tendance à
déroger aux procédures d’analyse de risque ou de contrôle de conformité sous la pression des délais.
¾ L’impossibilité de procéder à des mises production pour du personnel n’ayant pas cette fonction et à la
solidité des contrôles correspondants (rigueur dans l’attribution des profils et authentification forte)
— La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédures ci-dessus.

111
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06A03 Contrôles des opérations de maintenance


Objectif :
Gérer avec rigueur les problèmes de sécurité que peuvent poser les interventions de maintenance sur
les équipements ou systèmes réseaux
Résultats attendus :
Éviter qu’une intervention de maintenance sur un équipement de réseau n’ouvre une faille de sécurité
non suspectée.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
Mesures organisationnelles
Les mesures à mettre en œuvre consistent en une analyse systématique, après chaque opération de
maintenance :
— Des tables de routage et des paramètres de filtrage des appels entrants
— Des paramètres de sécurité des relais applicatifs (proxies) : protocoles autorisés, paramètres de filtrage, etc.
— Des paramètres de filtrage des appels sortants
— Des paramètres de contrôle de l’administration des équipements
— Etc.
De plus, une journalisation de toutes les opérations de maintenance sera constituée.
Qualité de service
— L’efficacité du service est essentiellement liée à la précision et au formalisme de la liste des paramètres à
contrôler sur chaque type d’équipement sur chaque équipement particulier.
— La robustesse du service est liée à deux types de facteurs :
¾ D’une part au contrôle précis que les paramètres de contrôle de l’administration de l’équipement n’ont pas
été modifiés dans le sens d’une ouverture possible de droits d’administration à des personnes non
autorisées
¾ D’autre part à la volonté de la Direction de ne pas déroger aux procédures formelles de contrôle des
paramètres de sécurité sauf circonstances réellement exceptionnelles et au formalisme rigoureux alors
nécessaire (signature formelle d’une dérogation par un membre de la Direction). Le principal risque de
contournement vient, en effet, du risque de déroger aux procédures de contrôle sous la pression des
délais.
— La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédures ci-
dessus.

112
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06A04 Contrôle de la télémaintenance


Objectif :
Limiter l’usage de la ligne de télémaintenance à la seule maintenance des équipements.
Résultats attendus :
Éviter que la ligne de télémaintenance soit utilisée pour pénétrer le réseau par des personnes non
autorisées.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Les mesures techniques consistent essentiellement en une authentification forte de l’agent de
maintenance, l’idéal étant que cette authentification couvre à la fois :
— Le lieu depuis lequel est initialisée la liaison de télémaintenance (par exemple par une liaison de type VPN
avec un chiffrement de bout en bout jusqu’au terminal de maintenance ou par un rappel de l’opérateur de
maintenance aussi appelé call-back)
— La personne utilisant la ligne de télémaintenance, ce qui suppose l’attribution de certificats ou de jetons
individualisés et une gestion des personnes autorisées.
Mesures organisationnelles
Les mesures organisationnelles d’accompagnement consistent à gérer les personnes individuellement
autorisées à utiliser la ligne de télémaintenance et donc à mettre en place des procédures pour :
— Déclarer et valider un nouvel opérateur de télémaintenance (y compris dans les cas d’urgence)
— Invalider un opérateur
— Vérifier éventuellement la validité de l’accréditation d’un opérateur
Dans certains cas d’équipements particulièrement sensibles, il peut être utile de prévoir, au titre des
mesures organisationnelles une procédure d’ouverture de session de télémaintenance pour que
l’utilisation de la ligne de télémaintenance soit totalement sous le contrôle de l’entreprise.
Qualité de service
— L’efficacité du service est essentiellement liée à la qualité et la solidité des mécanismes d’authentification :
¾ du lieu d’initialisation de la télémaintenance
¾ de l’utilisateur de la liaison de télémaintenance (en notant que la solidité du mécanisme d’authentification
de l’utilisateur doit tenir compte de la rigueur de gestion et d’attribution des moyens supports de
l’authentification)
— Il est clair qu’une procédure d’agrément mutuel avant toute ouverture de la ligne de télémaintenance rend
encore plus difficile l’usage frauduleux de la ligne.
— La robustesse du service est liée à plusieurs facteurs :
¾ La solidité et l’inviolabilité des protocoles annexes tels que diffusion initiale, échanges ou stockage des
éléments secrets
¾ La protection de l’équipement sur lequel est connectée la ligne de télémaintenance contre toute
modification qui pourrait rendre la ligne de télémaintenance utilisable sans les contrôles ci-dessus.
¾ Les mesures organisationnelles complémentaires pour éviter que les procédures de gestion d’exceptions
ne soient utilisées pour obtenir à tort une autorisation d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes d’authentification,
¾ des systèmes de détection des violations et des arrêts du contrôle d’accès effectué lors de l’utilisation de la
ligne de télémaintenance

113
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06A05 Gestion des procédures opérationnelles


Objectif :
Faire en sorte que les procédures opérationnelles applicables aux divers réseaux et aux équipements
attachés soient décrites, documentées, connues de ceux qui doivent les appliquer et intangibles, sauf
accord à un niveau suffisant du management et conduisant des révisions documentées à leur tour.
Résultats attendus :
Éviter les erreurs et actions incontrôlées ou malveillantes dans l’application de ces procédures
opérationnelles.
Mécanismes et solutions :
Les mécanismes principaux sont essentiellement du ressort de l’organisationnel. Des mesures
techniques d’accompagnement sont néanmoins nécessaires.
Mesures organisationnelles
— Les mesures organisationnelles de base doivent se concrétiser par l’élaboration et la documentation des
procédures à respecter :
¾ Analyse des différents scénarios de gestion des processus et de traitement des incidents éventuels.
¾ Établissement des documents, cahiers de consignes correspondants, etc.
¾ Mise à disposition de ces procédures aux exploitants et uniquement à ceux qui en ont l’usage.
— Les mesures complémentaires ont trait aux processus de gestion de ces procédures :
¾ Processus de gestion des modifications éventuelles afin d’éviter toutes erreurs et malveillances,
¾ Maintien à jour de ces procédures (penser à prémunir l’organisation contre la perte possible des
procédures en cas de sinistre majeur).
Mesures techniques d’accompagnement
— Les mesures techniques d’accompagnement ont trait aux mécanismes de protection de ces procédures (afin
d’éviter toute malveillance a priori ou toute modification destinée à masquer une violation, volontaire ou non,
de procédure) :
¾ Contrôle d’accès en écriture aux media support des procédures
¾ Journalisation et contrôle des modifications apportées
¾
Qualité de service
— L’efficacité du service est directement liée à
¾ L’exhaustivité des cas (fonctionnement type, incidents, etc.) traités par les procédures
¾ La précision des comportements décrits
¾ La pertinence du système de diffusion de l’information, tant en ce qui concerne les personnes atteintes
que la commodité d’accès à l’information en cas de besoin
— La robustesse du service est directement liée à
¾ La rigueur de la gestion des modifications et changements dans les procédures
¾ La protection des supports (contrôle d’accès, gestion des droits des personnes autorisées en écriture,
etc.)
— La mise sous contrôle est directement liée à :
¾ L’existence d’une procédure de revue des procédures opérationnelles
¾ L’audit de l’authenticité des procédures publiées
¾ L’audit des procédures de gestion et de modification des procédures opérationnelles

114
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06A06 Gestion des prestataires de service


Objectif :
Pour de nombreuses organisations, les ressources et les compétences disponibles en interne ne
permettent pas de réaliser de nombreuses opérations liées à l’exploitation et à la sécurisation des réseaux
et il est fait appel, temporairement ou de façon permanente, à des personnels externes et des prestataires
de service.
L’objectif du service est de s’assurer que les missions des prestataires de services sont clairement
définies, celles-ci incluant les contrôles de sécurité qui leur sont délégués, que leurs compétences et que
les moyens mis en place correspondent aux exigences de l’organisation, y compris en situation de crise.
Résultats attendus :
Prévenir des actions incontrôlées, frauduleuses ou dangereuses pour l’activité de l’entreprise menées
par des prestataires dans l’exercice de leurs tâches.
Mécanismes et solutions :
Les mécanismes sont essentiellement de nature organisationnelle.
Mesures organisationnelles
— Les mesures initiales consistent à procéder à une analyse précise des risques spécifiques à chaque cas
d’appel à des prestataires et à en déduire des exigences de sécurité :
¾ Recensement des types de prestataires, permanents ou occasionnels, auxquels l’organisation est
susceptible de faire appel
¾ Analyse des risques spécifiques à chaque cas
¾ Elaboration des exigences de sécurité : services exigés, compétences nécessaires, moyens à mettre en
place, reporting, etc.
— Les mesures complémentaires consistent à rendre contractuelles les exigences de l’organisation :
¾ Etablissement et contrôle des clauses contractuelles concernant leurs responsabilités dans le domaine de
la sécurité,
¾ Mise en place d’une procédure de revue et de suivi du respect des engagements
¾ Mise en place de procédures permettant aux prestataires de faire remonter tout événement de sécurité
— Les dernières mesures concernent le management des prestataires par l’organisation :
¾ Sélection des prestataires aptes à réaliser les prestations attendues,
¾ Vérification de leur qualité et de leur identité au même niveau que pour des employés internes,
¾ Suivi de la situation des prestataires et du respect de leurs engagements.
Qualité de service
— L’efficacité de la gestion des prestataires de services dépend de plusieurs facteurs :
¾ L’exhaustivité de l’analyse faite a priori des types de prestations
¾ La profondeur de l’analyse des risques et l’exhaustivité des règles de sécurité qui en sont déduites
¾ Le détail et la rigueur des règles contractuelles édictées
— La mise sous contrôle de la gestion des prestataires de services comprend :
¾ L’audit des procédures de sélection des prestataires et de vérification des compétences et moyens mis en
œuvre.
¾ La revue périodique du respect des engagements contractuels
¾ Le contrôle du maintien de la pertinence des clauses et engagements signés.

115
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06A07 Prise en compte de la confidentialité lors des opérations de


maintenance sur les équipements de réseau
Objectif :
Gérer avec rigueur les problèmes de confidentialité que peuvent poser les interventions de
maintenance sur les équipements de réseau.
Résultats attendus :
Éviter qu’une intervention de maintenance sur un équipement de réseau se traduise par une fuite
d’information sensible ou une modification de paramètres de sécurité pouvant entraîner une telle fuite.
Mécanismes et solutions :
Les mécanismes à mettre en œuvre sont essentiellement organisationnels.
Mesures organisationnelles
Les mesures à mettre en œuvre consistent, à chaque fois que cela est possible, à faire en sorte que :
— Les données réelles de production ne soient pas accessibles par le personnel de maintenance :
¾ Invalidation des configurations opérationnelles très sensibles et remplacement, si nécessaire, par des
valeurs de test,
¾ Effacement (physique) des données de configuration et de chiffrement des équipements si leurs supports
ne peuvent être enlevés,
¾ Destruction ou conservation des supports rebutés.
¾ Vérification de la pérennité des paramètres et des configurations des équipements objet de la
maintenance ou situés à proximité.
— Empêcher ou contrôler a posteriori que l’opération de maintenance se traduise par des fuites ultérieures
d’information (absence de module espion, de porte dérobée, etc.)
Qualité de service
— L’efficacité du service est essentiellement liée à la précision et au formalisme des procédures à suivre pour
chaque cas de panne ou d’incident et d’appel à la maintenance (procédures décrivant les opérations à mener
avant et après l’intervention de la maintenance).
— La robustesse du service est liée à la volonté de la Direction de ne pas déroger aux procédures formelles de
contrôle de la confidentialité lors des opérations de maintenance sauf circonstances réellement
exceptionnelles et au formalisme rigoureux alors nécessaire (signature formelle d’une dérogation par un
membre de la Direction). La principale cause de contournement vient, en effet, du risque de déroger aux
procédures de contrôle sous la pression des délais.
— La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédures ci-
dessus.

116
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06A08 Gestion des contrats de services réseaux


Objectif :
Gérer avec soin les problèmes de sécurité que peut poser la fourniture de services réseaux et les
interventions des fournisseurs de service (internes ou externes) sur les équipements ou systèmes réseaux
Résultats attendus :
Éviter les conséquences dommageables pour l’organisation d’une défaillance dans la fourniture de
services réseaux ou d’une intervention inadaptée au contexte de l’organisation.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
Mesures organisationnelles
Les mesures à mettre en œuvre consistent en :
— une analyse des exigences de niveau de service pour les services réseaux
— une analyse des risques liés aux interventions sur les équipements de réseaux et l’élaboration d’exigences
relatives à ces interventions
— la formalisation de ces exigences dans des contrats de service (SLA),
— un contrôle du respect des engagements du fournisseur

Qualité de service
— L’efficacité du service est essentiellement liée à la précision et au formalisme de la liste des conditions à
respecter pour chaque fourniture de service .
— La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédures ci-
dessus.

117
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06B Paramétrage et contrôle des configurations matérielles et logicielles


06B01 Paramétrage des équipements de réseau et contrôle des
configurations
Objectif :
Traduire de manière concrète les diverses règles de filtrage, définies au niveau de l’architecture
(domaine 4), en règles de contrôle paramétrées dans les équipements de réseau et contrôler leur
permanence dans le temps, c’est-à-dire mettre en œuvre la politique décidée et en garantir la permanence
Résultats attendus :
Éviter que pour une raison quelconque (défaillance technique, erreur de maintenance ou action
malveillante) les paramétrages des équipements ne soient pas conformes à la politique décidée.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Le socle de ce service consiste bien entendu à traduire l’ensemble des choix politiques faits au niveau de
l’architecture et des mécanismes prévus à ce titre en appui en paramètres et options des divers outils installés.
Le résultat est un fichier de paramétrage par équipement ou système, y compris les logiciels de pilotage et
d’administration, paramétrage effectué lors de ma mise en service de chaque équipement ou système.
— En complément, il faut prévoir le contrôle de la permanence de ce paramétrage, soit par des mécanismes
techniques, soit par des procédures de contrôle.
— Enfin, il est nécessaire de prévoir les mesures d’exceptions, c’est-à-dire le moyen pour un utilisateur de sortir
d’une situation où les mesures de sécurité constitueraient un blocage de l’activité (il est clair en effet que de
telles situations peuvent arriver et qu’il vaut mieux y être préparé par des procédures d’alerte et d’escalade
permettant alors de prendre les bonnes décisions au bon niveau de responsabilité)
Mesures techniques
Les mesures techniques d’accompagnement consistent en des automatismes permettant un contrôle
de la permanence et de la pertinence des paramétrages décidés :
— Etablissement d’une synchronisation effective, par exemple à partir d’un serveur de temps, entre tous les
équipements actifs
— Protection des fichiers de paramétrages par des techniques de scellement ou de signature électronique (voire
des techniques de chiffrement)
— Mécanismes de contrôle des paramètres installés par rapport aux paramètres théoriques (avec contrôle du
sceau de protection, le cas échéant)
— Contrôle de tout changement de paramétrage effectué avec alerte auprès d’un responsable.
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la précision et le formalisme de la liste des paramètres à configurer sur chaque type d’équipement sur
chaque équipement particulier.
¾ L’automatisme des opérations de configuration des paramètres, pour éviter tout oubli ou erreur
— La robustesse du service est liée à plusieurs facteurs :
¾ La solidité des automatismes de scellement et de contrôle des sceaux, pour éviter une altération de la liste
des paramétrages avant configuration
¾ Le contrôle des possibilités d’administration des équipements pour éviter une modification des
paramétrages par une personne non autorisée ainsi que la détection de l’inhibition de tout système qui
pourrait se traduire par une affaiblissement du niveau de sécurité.
¾ La séparation effective entre les environnements de production et de développement et test
— La mise sous contrôle est réalisée par des audits réguliers :
¾ de la liste des paramétrages
¾ des paramétrages réellement installés
¾ de l’application des procédures de modification des paramétrages et d’escalade en cas de difficulté.

118
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06B02 Contrôle des configurations Utilisateurs


Objectif :
Vérifier que les configurations utilisateurs sont bien conformes à la politique décidée.
Résultats attendus :
Éviter que les configurations utilisateurs introduisent des faiblesses dans la sécurité du réseau interne.
Les cas les plus courants de faiblesses introduites par les utilisateurs sont des modems réalisant une
connexion non gérée et non sécurisée avec des réseaux publics, en particulier avec Internet, et, depuis
peu, l’installation de réseaux sans fil.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Le socle de ce service consiste bien entendu à traduire l’ensemble des choix politiques faits au niveau de
l’architecture en options de configurations des postes utilisateurs. Le résultat est un fichier de paramétrage
par type de poste utilisateur (en particulier nomade ou non).
Mesures techniques
— Les mesures techniques de base consistent en des automatismes permettant un contrôle de la configuration
des postes utilisateurs lors de leur connexion ou du moins très régulièrement (une fois par jour) :
— Des mesures techniques complémentaires sont nécessaires pour contrôler l’absence de réseaux sans fil
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la précision et le formalisme de la liste des paramètres à configurer sur chaque type de poste utilisateur.
¾ L’automatisme et la fréquence du contrôle.
— La robustesse du service est liée à deux types de facteurs :
¾ La protection (éventuellement par scellement) des paramètres à contrôler, pour éviter une altération de la
liste des contrôles à effectuer
¾ Le contrôle des possibilités d’administration des postes par les utilisateurs eux-mêmes, pour éviter qu’ils
ne changent les configurations trop facilement entre deux contrôles
— La mise sous contrôle est réalisée par des audits réguliers :
¾ de la liste des contrôles
¾ des contrôles réellement effectués

119
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06C Contrôle des droits d’administration


06C01 Gestion des droits privilégiés sur les équipements de réseau
Objectif :
Déterminer quelles catégories de personnel ont de réels besoins d’avoir des droits privilégiés, dans
quelles conditions et dans quelles limites, sur des équipements de réseau et gérer avec rigueur l’attribution
de tels droits, afin de pouvoir empêcher l’utilisation abusive de tels droits par ceux qui n’en ont pas le
besoin.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas (ou plus) la nécessité d’accéder au aux équipements de réseau avec des droits privilégiés.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
— Établir et documenter la politique de gestion des droits privilégiés pour administrer les équipements de
réseaux en fonction des enjeux business
— Identifier tous les profils de personnel d’exploitation nécessitant, pour leur travail, des droits d’administration,
par exemple :
¾ administrateurs d’équipements
¾ personnel chargé du pilotage du réseau
¾ opérateurs chargés d’opérations de routine telles que des sauvegardes
¾ etc.
— Définir, puis gérer dans le temps, les droits génériques attribués à chaque profil
— Définir le processus d’attribution, de gestion et de retrait des profils au personnel et le responsable de cette
attribution, par exemple :
¾ hiérarchie pour le personnel interne ou le personnel nomade
¾ signataire de la commande pour un prestataire
— Mettre en place un processus de contrôle (ou d’audit) régulier des droits attribués.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les supports faisant l’interface
entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en
autorisations ou interdictions concrètes d’accès. Il s’agit donc de protéger contre toute modification illicite :
— Le transfert d’information entre les décisionnaires et les personnes en charge d’établir les autorisations
d’accès.
— Les tables ou documents matérialisant ces décisions.
Il s’agit donc de techniques de scellement, pour les mesures les plus efficaces, à défaut
éventuellement d’accusé de réception pour la transmission et d’audit régulier pour les tables et
documents.
Qualité de service
— L’efficacité du service est directement liée à la qualité de la politique établie et à la rigueur des procédures
permettant de définir les profils ainsi que les droits associés et à la rigueur de gestion des attributions de profil.
— La robustesse du service est directement liée à la solidité des mesures techniques de protection des
transferts d’information et des base de données des droits
— La mise sous contrôle est réalisée par la validation de la politique et par des audits ou inspections régulières,
tant des catégories de personnes et des droits attribués que des processus de gestion eux-mêmes.

120
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06C02 Authentification et contrôle des droits d’accès des administrateurs


et personnels d’exploitation
Objectif :
S’assurer lors de l’accès aux équipements de réseau avec des droits privilégiés que la personne qui
tente de se connecter est bien celle qu’elle prétend être.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’étant
pas (ou plus) autorisées individuellement à accéder aux équipements avec des droits privilégiés.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le contrôle d’une caractéristique que la personne,
individuellement, possède ou connaît :
¾ Mot de passe ou secret partagé entre la personne et un équipement de contrôle
¾ Objet physique reconnaissable possédé par la personne (généralement en association avec un secret
partagé entre la personne et l’objet)
¾ Caractéristique propre de la personne (empreinte digitale, caractéristique faciale ou de la voix, etc.)
— Les mesures complémentaires concernent la protection contre les tentatives d’usurpation d’identité :
¾ Protection du processus de diffusion initiale des conventions secrètes (mots de passe)
¾ Protection du protocole d’authentification pour éviter qu’il ne soit écouté et dupliqué.
¾ Protection des éléments d’authentification conservés par l’utilisateur ou les équipements assurant
l’authentification (stockage des mots de passe, par exemple)
¾ Inhibition du processus d’authentification en cas de tentative répétée infructueuse
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion des anomalies ou des
dysfonctionnements ou violations des mesures techniques :
¾ Gestion de relation utilisateur en cas de perte de mot de passe ou de support d’authentification
¾ Procédures d’alerte en cas de tentatives répétées échouées
Qualité de service
— L’efficacité du service est liée à la solidité ou l’inviolabilité du mécanisme d’authentification proprement dit
(force et solidité du mot de passe, solidité de l’algorithme cryptologique éventuellement utilisé pour
authentifier, solidité de l’algorithme et du protocole contre toute écoute et réutilisation de séquence, etc.)
— La robustesse du service est liée à trois facteurs :
¾ la solidité et l’inviolabilité des protocoles de contrôle d’accès et des protocoles annexes tels que diffusion
initiale, échanges ou stockage des éléments secrets
¾ les mesures de protection des protocoles d’authentification et des équipements assurant le déroulement
de ces protocoles pour éviter qu’ils ne soient altérés ou inhibés
¾ les mesures organisationnelles complémentaires pour éviter que les procédures de gestion d’exceptions
ne soient utilisées pour obtenir à tort une autorisation d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des modes d’accès utilisés par les administrateurs et par les personnels d’exploitation
¾ des paramètres supports des mécanismes d’authentification,
¾ des systèmes de détection des violations et des arrêts du contrôle d’accès
¾ des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures

121
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06C03 Surveillance des actions d’administration des réseaux


Objectif :
Détecter en temps différé des anomalies de comportement des administrateurs réseaux ou de
personnes en ayant acquis les droits, par une analyse a posteriori de traces spécifiques.
Résultats attendus :
Permettre de limiter dans le temps des actions anormales menées avec des droits d’administration.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels
Mesures techniques
Les mesures techniques comportent deux types de solutions complémentaires :
— les systèmes d’enregistrement de diverses traces et la journalisation des opérations effectuées par les
équipes d’exploitation et en particulier les paramétrages d’équipements de sécurité ou les reconfigurations
d’équipements de réseau et les actions sur les logs
— des systèmes permettant de détecter une altération d’enregistrements passés ou leur effacement de même
qu’une modification des paramètres d’enregistrement et d’émettre alors une alerte auprès d’un responsable
— des systèmes permettant d’effectuer une synthèse rapide des enregistrements et de transmettre, sans
possibilité d’altération, cette synthèse à un responsable, de telle sorte qu’il puisse lancer une investigation en
cas d’anomalie
Mesures organisationnelles
— Les mesures organisationnelles de base visent à supporter les mesures techniques :
¾ définition et mise à jour régulière des actions d’administration à enregistrer
¾ élaboration d’une synthèse significative permettant de détecter des anomalies de comportement
¾ mise en place des procédures de contrôle permettant de détecter une altération des mécanismes décidés
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ la couverture des enregistrements et la profondeur de l’analyse préliminaire des actions d’administration
donnant lieu à enregistrement
¾ l’analyse des actions potentiellement anormales et l’élaboration d’une synthèse significative
— La robustesse du service est liée à deux facteurs :
¾ La solidité des mécanismes de détection et d’alerte en cas de modification ou d’effacement
d’enregistrements passés ou d’altération des paramètres d’enregistrement
¾ L’alerte directe d’un responsable en cas d’inhibition ou d’arrêt du système d’enregistrement ou du système
d’alerte
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système d’enregistrement et de surveillance
¾ des procédures d’alerte

122
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06C04 Contrôle des outils et utilitaires de l’exploitation


Objectif :
Limiter aux seuls besoins de l’exploitation les outils et utilitaires mis à la disposition du personnel
d’exploitation et en contrôler l’usage.
Résultats attendus :
Éviter (autant que faire se peut) que le personnel d’exploitation abuse de ses droits en s’appuyant sur
des outils ou utilitaires non autorisés (accès aux résidus d’exploitation sensibles, accès à des zones de
mémoire tampon utilisées par les équipements de réseau, décryptage de mots de passe, accès aux clés
de chiffrement, etc.)
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
Les mesures organisationnelles consistent à :
— Lister toutes les tâches de l’exploitation, aussi bien courantes qu’exceptionnelles
— Identifier les outils et utilitaires nécessaires à chaque tâche
— Séparer les profils habilités à les utiliser, de manière à limiter les possibilités d’abus (les utilitaires sensibles
nécessaires pour certaines actions exceptionnelles n’étant autorisés qu’à des profils bien spécifiques,
accordés uniquement à des responsables spécialement désignés)
Mesures techniques
Les mesures techniques d’accompagnement consistent en :
— La gestion de profils différenciés pour l’exploitation et la mise en place d’un contrôle des droits d’accès
correspondants :
¾ Login individualisés
¾ Contrôles des profils et droits attachés pour l’utilisation des utilitaires
— Le contrôle de l’introduction de nouveaux utilitaires et de la modification des utilitaires existants
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs
¾ La rigueur des procédures de définition des divers profils d’exploitation et des outils mis à la disposition de
chaque profil
¾ La rigueur des procédures d’attribution des profils au personnel d’exploitation
¾ la solidité ou l’inviolabilité du mécanisme d’authentification proprement dit (force et solidité du mot de
passe, solidité de l’algorithme cryptologique éventuellement utilisé pour authentifier, etc.)
— La robustesse du service est liée à trois facteurs :
¾ la solidité et l’inviolabilité du processus de contrôle des droits lors de l’accès aux utilitaires
¾ la solidité des mesures empêchant l’introduction de nouveaux utilitaires
¾ la solidité des mesures de protection des utilitaires eux-mêmes contre des modifications
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes d’authentification,
¾ des profils utilisés par le personnel d’exploitation
¾ des utilitaires présents dans les équipements et systèmes de pilotage

123
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06D Procédures d’audit et de contrôle des réseaux


06D01 Fonctionnement des contrôles d'audit
Objectif :
S’assurer que exigences et les procédures d’utilisation des outils d’audit des réseaux existent , sont
respectées et contrôlées.
Résultats attendus :
Prévenir toute utilisation illicite de ces outils d’audit (tests de pénétration ou de vulnérabilités, etc.) ainsi
que tout accident pouvant résulter de ces opérations.
Mécanismes et solutions
Les solutions à mettre en œuvre sont essentiellement organisationnelles, mais s’appuient également
sur des mesures techniques :
Mesures organisationnelles
— Les mesures organisationnelles concernent les règles et procédures à respecter lors de la mise en œuvre de
tels audits :
¾ Etablissement des limitations et des exigences d’utilisation,
¾ Documentation des règles et des responsabilités,
¾ Critères d’autorisation et de respect de leur déontologie pour les auditeurs.
Mesures techniques
— Les mesures techniques d’accompagnement concernent :
¾ L’enregistrement de l’activation de ces tests d’audit
¾ L’enregistrement des opérations menées sur des données sensibles
Qualité de service
— L’efficacité du service est liée à la réalité de la prise en compte, par le management et les personnes en
charge des outils d’audit, des exigences édictées sur leur utilisation.
— La mise sous contrôle est réalisée par :
¾ L’audit des enregistrements de l’utilisation des outils et des accès à des données critiques pour l’entreprise

124
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 6 : Exploitation des réseaux

06D02 Protection des outils et résultats d'audit


Objectif :
S’assurer que les outils (équipements comme logiciels de tests) d’audit existants sont conservés et
protégés contre toute utilisation abusive ou malveillante et que les résultats obtenus avec eux sont
protégés contre toute altération ou destruction illicite
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’étant
pas (ou plus) autorisées individuellement à utiliser ces outils d’audit.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques concernent:
¾ La conservation des outils matériels éventuels en lieu sûr et leur attribution selon des processus définis et
auditables,
¾ La protection des accès aux outils logiciels et le contrôle des droits d’accès à ces outils avant toute
utilisation,
¾ La protection des enregistrements des opérations effectuées lors de ces audits.
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent :
¾ L’attribution des droits d’accès et d’utilisation des outils d’audit aux seules personnes susceptibles d’en
faire et dûment habilitées pour cela,
¾ Le contrôle du non abus de tels droits,

Qualité de service
— L’efficacité du service est liée :
¾ aux mécanismes de protection des accès aux outils
¾ aux mécanismes de protection des accès aux enregistrements réalisés avec eux.
— La robustesse du service est liée à :
¾ La solidité des mécanismes de détection et d’alerte en cas d’arrêt ou d’inhibition des mécanismes de
contrôle d’accès aux outils d’audit
¾ L’alerte directe d’un responsable en cas d’inhibition ou d’arrêt du système d’enregistrement des opérations
réalisées avec les outils d’audit
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système d’enregistrement et de surveillance des actions menées avec les
outils d’audit
¾ des systèmes de contrôle d’accès aux outils d’audit

125
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

Domaine 7 : Sécurité des systèmes et de leur architecture

07A Contrôle d’accès aux systèmes et applications


Objectif :
Faire en sorte que seuls les utilisateurs autorisés aient accès aux systèmes et applications.
Résultats attendus :
Prévenir les tentatives d’accès, par des personnes non autorisées, aux ressources internes (serveurs
et applications).
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures :
— 07A1 : Gestion des profils d’accès (droits et privilèges accordés en fonction des profils de fonction)
— 07A2 : Gestion des autorisations d'accès et privilèges (attribution, délégation, retrait)
— 07A3 : Authentification de l'accédant
— 07A4 : Filtrage des accès et gestion des associations

07B Confinement des environnements


Objectif :
Protéger les données stockées temporairement par les systèmes contre des accès non autorisés.
Résultats attendus :
Prévenir les tentatives d’accès aux informations stockées temporairement, par des personnes non
autorisées.
Services de sécurité :
Le service de sécurité correspondant est le suivant :
— 07B1 : Contrôle des accès aux résidus

07C Gestion et enregistrement des traces


Objectif :
Permettre une analyse a posteriori des actions effectuées et ainsi le diagnostic d’actions anormales ou
néfastes
Résultats attendus :
Dissuader les actions néfastes de la part des utilisateurs ou du personnel d’exploitation et, à défaut, en
limiter la durée dans le temps, par un diagnostic suivi de mesures visant à stopper ces actions.
Services de sécurité :
Les services de sécurité correspondants sont les suivants :
— 07C1 : Enregistrement des accès aux ressources sensibles
— 07C2 : Enregistrement des appels aux procédures privilégiées

126
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

07D Sécurité de l’architecture


Objectif :
Mettre en place une architecture globale des systèmes garantissant une continuité de fonctionnement
conforme aux attentes des utilisateurs.
Résultats globaux attendus :
Garantir une continuité de fonctionnement des systèmes en cas d’incident ou de panne.
Services de sécurité :
Le services de sécurité correspondant est le suivant :
— 07D1 : Sûreté de fonctionnement des éléments d’architecture
— 07D02 : Isolement des systèmes sensibles

127
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

07A Contrôle d’accès aux systèmes et applications


07A1 Gestion des profils d’accès
(droits et privilèges accordés en fonction des profils de fonction)
Objectif :
Déterminer, pour chaque système et application, quelles catégories de personnel, interne ou non, ont
de réels besoin d’y avoir accès, dans quelles conditions et dans quelles limites, afin de pouvoir empêcher
les accès aux systèmes et applications par ceux qui n’en ont pas le besoin.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas (ou plus) la nécessité d’accéder aux systèmes et applications. Ces actions pourraient être des accès
injustifiés à des informations confidentielles, des altérations ou des destructions de données ou de
programmes.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
— Identifier, pour chaque système et application, les profils de personnel devant y avoir accès dans le cadre de
leur travail, en distinguant les profils devant avoir des droits distincts, par exemple :
¾ Les acheteurs pour l’accès à l’application de gestion des commandes
¾ L’acheteur initialisant la commande, à l’intérieur des profils d’acheteurs
¾ Le chef de service validant la commande,
¾ Le responsable de la gestion des comptes fournisseurs,
¾ etc.
— Désigner, pour chaque type de profil général (comptable, RH, etc.), un responsable de la gestion des droits
attribués à cette catégorie de profil (sous-profil).
— Faire définir, puis gérer dans le temps, par ces responsables, les droits génériques attribués à chaque
catégorie de profils, en fonction éventuellement du contexte de l’utilisateur (présent sur le réseau interne ou
se connectant depuis l’extérieur, etc.).
— Mettre en place un processus de contrôle (ou d’audit) régulier des droits attribués aux profils.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les mécanismes et les
supports assurant l’interface entre les responsables décisionnaires et les structures opérationnelles qui
vont traduire leurs décisions en autorisations ou interdictions concrètes d’accès. Il s’agit donc de
protéger contre toute action ou modification illicite concernant :
— Le transfert d’information entre les décisionnaires et les personnes en charge d’établir les autorisations
d’accès.
— Les tables ou documents matérialisant ces décisions.
Il s’agit de techniques de contrôle pouvant aller jusqu’au scellement, pour les mesures les plus
efficaces, à défaut éventuellement d’accusé de réception pour la transmission, et d’audit régulier pour les
tables et documents.
Qualité de service
— L’efficacité du service est directement liée à la rigueur des procédures permettant de définir les catégories de
profils et les droits associés.
— La robustesse du service est directement liée à la solidité des mesures techniques de protection des
transferts d’information et des bases de données des droits
— La mise sous contrôle est réalisée par des audits ou inspections régulières, tant des catégories de personnes
et des droits attribués que des processus de gestion eux-mêmes.

128
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

07A2 Gestion des autorisations d’accès et privilèges


(attribution, délégation, retrait)

Objectif :
Attribuer individuellement les autorisations d’accès aux systèmes et applications à chaque personne
intéressée et gérer ces autorisations dans le temps, afin de pouvoir limiter ses droits et privilèges à ses
seuls besoins et aux seules périodes concernées.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas (ou plus) la nécessité d’accéder aux systèmes et applications.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
— Définir, pour chaque type de profil d’accès, le responsable de l’attribution d’un « profil d’accès » à une
personne physique, par exemple :
¾ Hiérarchie pour le personnel interne ou le personnel nomade
¾ Signataire de la commande pour un prestataire
— Définir, pour chaque catégorie de profil d’accès les variables de droits à préciser par le responsable
demandeur :
¾ Période de validité
¾ Heures et jours de validité
¾ Localisations de l’appelant valides
— Définir l’ensemble des processus d’attribution, de modification et de retrait de profils (et donc de droits) à une
personne, depuis l’expression du besoin jusqu’à l’attribution ou le retrait effectif des droits
— Définir les processus de contrôle et de détection des anomalies dans la gestion des autorisations.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les mécanismes et les
supports assurant l’interface entre les responsables décisionnaires et les structures opérationnelles qui
vont traduire leurs décisions en autorisations ou interdictions concrètes d’accès (entrée d’identifiant et de
droits dans les tables systèmes). Il s’agit donc de s’assurer que la demande reçue par le personnel en
charge d’ouvrir ou de modifier les droits est bien authentique.
Il s’agit de techniques de contrôle pouvant inclure des contrôles de signature, que cette signature soit
électronique ou non (le scellement électronique étant ici apparenté à une signature).
Qualité de service
— L’efficacité du service est directement liée à la rigueur des procédures permettant d’attribuer des profils
d’accès aux personnes, de les modifier éventuellement et d’invalider les autorisations (entrées dans les tables
systèmes) dès que le besoin a disparu.
— La robustesse du service est directement liée à la solidité des mesures techniques de protection des
transferts d’information et des bases de données des droits attribués
— La mise sous contrôle est réalisée par des audits ou inspections régulières, des droits attribués, de l’usage
pratique de ces droits et des processus de gestion eux-mêmes.

129
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

07A3 Authentification de l’accédant


Objectif :
S’assurer lors de l’accès aux systèmes et applications que la personne qui tente de se connecter est
bien celle qu’elle prétend être.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’étant
pas (ou plus) autorisées individuellement à accéder aux systèmes et applications.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le contrôle d’une caractéristique que la personne,
individuellement, possède ou connaît :
¾ Mot de passe ou secret partagé entre la personne et un équipement de contrôle
¾ Objet physique reconnaissable possédé par la personne (généralement en association avec un secret
partagé entre la personne et l’objet)
¾ Caractéristique propre de la personne (empreinte digitale, caractéristique faciale ou de la voix, etc.)
— Les mesures complémentaires concernent la protection contre les tentatives d’usurpation d’identité :
¾ Protection du processus de diffusion initiale des conventions secrètes (mots de passe)
¾ Protection du protocole d’authentification pour éviter qu’il ne soit écouté et dupliqué.
¾ Protection des éléments d’authentification conservés par l’utilisateur ou les équipements assurant
l’authentification (stockage des mots de passe, par exemple)
¾ Inhibition du processus d’authentification en cas de tentative répétée infructueuse
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion des anomalies ou des
dysfonctionnements ou violations des mesures techniques :
¾ Gestion de relation utilisateur en cas de perte de mot de passe ou de support d’authentification
¾ Procédures d’alerte en cas de tentatives répétées échouées
Qualité de service
— L’efficacité du service est liée à la solidité ou l’inviolabilité du mécanisme d’authentification proprement dit
(force et solidité du mot de passe, solidité de l’algorithme cryptologique éventuellement utilisé pour
authentifier, solidité de l’algorithme et du protocole contre toute écoute et réutilisation de séquence, etc.)
— La robustesse du service est liée à trois facteurs :
¾ l’inviolabilité des protocoles et mécanismes annexes tels que diffusion initiale, échanges ou stockage des
éléments secrets
¾ les mesures de protection des protocoles d’authentification et des systèmes assurant le déroulement de
ces protocoles pour éviter qu’ils ne soient altérés ou inhibés
¾ les mesures organisationnelles complémentaires pour éviter que les procédures de gestion d’exceptions
ne soient utilisées pour obtenir à tort une autorisation d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes d’authentification,
¾ des systèmes de détection des tentatives de violation du contrôle d’accès
¾ des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures

130
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

07A4 Filtrage des accès et gestion des associations


Objectif :
S’assurer lors de l’accès aux systèmes et applications que la personne qui tente de se connecter y est
bien autorisée.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’étant
pas (ou plus) autorisées individuellement à accéder aux systèmes et applications.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le contrôle d’accès :
¾ Identification et reconnaissance de la personne tentant de se connecter
¾ Authentification de la personne
¾ Identification du contexte propre de la tentative de connexion et sélection des règles de contrôle d’accès
applicables à ce contexte
¾ Contrôle que les droits attribués à la personne et que le contexte de connexion autorisent bien cette
connexion
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du système :
¾ Interruption des autorisations en cas d’inactivité et redemande d’authentification à la reprise du travail
¾ Protection du processus de fixation des règles de contrôle d’accès (échanges d’informations et tables de
paramètres)
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion des évolutions des règles de
contrôle d’accès en fonction des contextes :
¾ Gestion des demandes de modification
Qualité de service
— L’efficacité du service est liée à la rigueur avec laquelle les règles de contrôle d’accès ont été déterminées et
à la qualité du processus de contrôle d’accès
— La robustesse du service est liée à deux facteurs :
¾ la protection des processus et protocoles de contrôle d’accès et des tables de paramètres correspondants
¾ les mesures organisationnelles complémentaires pour éviter que les procédures de gestion de
modifications ne soient utilisées pour libérer à tort des contraintes d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes de contrôle d’accès,
¾ des systèmes de détection d’inhibition ou d’arrêt du contrôle d’accès
¾ de la mise en œuvre de ces procédures

131
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

07B Confinement des environnements


07B1 Contrôle des accès aux résidus
Objectif :
Contrôler l’accès aux fichiers et zones temporaires utilisées par les systèmes pour stocker de
l’information
Résultats attendus :
Éviter que des personnes puisent accéder à des informations sans autorisation, par le biais d’accès à
des informations, le plus souvent cachées, ou à des zones de stockage temporaire.
Ces zones peuvent être :
— des zones mémoires réutilisées par les systèmes mais susceptibles d’une lecture par des utilitaires
— des zones tampon telles que des fichiers d’impression (spool) ou de visualisation,
— des zones de swap ou de mémoire cache
— des supports recyclés (bandes de sauvegardes, cartouches, etc.)
— des supports envoyés en maintenance
— etc.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
Les mesures organisationnelles préliminaires consistent à :
— identifier, pour chaque système, les fichiers et zones temporaires pour stocker de l’information ainsi que les
supports de stockage réaffectés
— identifier les moyens d’accès et les outils éventuellement nécessaires pour chacune de ces zones pouvant
contenir de l’information sensible
Mesures techniques
Les mesures techniques consistent à mettre sous contrôle chacune des zones de stockage ou chacun
des moyens d’accès ainsi identifié :
— effacement systématique (et réel) avant réaffectation
— destruction éventuelle
— contrôle d’accès renforcé aux utilitaires permettant l’accès et l’exploitation de telles zones de stockage
Qualité de service
— L’efficacité du service est liée à la profondeur de l’analyse réalisée et à la solidité des mécanismes
d’effacement et/ou de contrôle d’accès
— La robustesse du service est liée au contrôle de l’inhibition des mécanismes précédents
— La mise sous contrôle est réalisée par des audits réguliers de l’application des procédures et du bon
fonctionnement des mécanismes mis en œuvre.

132
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

07C Gestion et enregistrement des traces


07C1 Enregistrement des accès aux ressources sensibles
Objectif :
Garder une trace des accès aux ressources sensibles.
Résultats attendus :
Permettre de détecter des anomalies, a posteriori, ou d’enquêter en cas de problème avéré (en
particulier de piratage ou de fraude)
Mécanismes et solutions
Les mécanismes de base sont bien évidemment essentiellement techniques, mais s’appuient au
préalable sur des mesures organisationnelles :
Mesures organisationnelles préalables
La première question à poser est celle des ressources pour lesquelles on souhaite conserver une trace
de chaque accès effectué.
La deuxième question est celle des informations à conserver :
— Accédant
— Type d’accès demandé (lecture, écriture, mise à jour, effacement, etc.)
— Contexte de la connexion (lieu de connexion, date et heure, etc.)
— Détail des ressources accédées (base de données, table, enregistrement, champ, etc)
Le dernier point à décider est celui de la durée de rétention de l’information
Mesures techniques
Les mesures techniques de base consistent à enregistrer les éléments décidés et à les sauvegarder
sur la période choisie.
Les mesures techniques d’accompagnement consistent à protéger le paramétrage qui déclenche les
enregistrements et le choix des accès à enregistrer, puis à protéger les enregistrements eux-mêmes
contre tout effacement intempestif (ce que cherchera bien entendu à faire la personne compétente qui
entend accéder de manière illicite à une information)
Qualité de service
— L’efficacité du service est liée à l’exhaustivité des informations enregistrées
— La robustesse du service est liée à deux facteurs :
¾ la protection du mécanisme d’enregistrement contre toute modification ou inhibition
¾ la protection des enregistrements contre toute tentative d’effacement
— La mise sous contrôle est réalisée par des audits réguliers :
¾ du paramétrage des enregistrements à effectuer
¾ de la sauvegarde des enregistrements

133
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

07C2 Enregistrement des appels aux procédures privilégiées


Objectif :
Garder une trace des appels de procédures privilégiées.
Résultats attendus :
Permettre de détecter des anomalies dans l’utilisation des procédures privilégiées, a posteriori, ou
d’enquêter en cas de problème avéré (en particulier d’usage abusif de telles procédures)
Mécanismes et solutions
Les mécanismes de base sont bien évidemment essentiellement techniques, mais s’appuient au
préalable sur des mesures organisationnelles :
Mesures organisationnelles préalables
La première question à poser est celle des appels systèmes privilégiés pour lesquelles on souhaite
conserver une trace de tout appel.
La deuxième question est celle des informations à conserver :
— Qui l’a déclenché
— Type d’appel
— Contexte de la connexion (lieu de connexion, date et heure, etc.)
— Détail des actions effectuées avec ladite procédure
Le dernier point à décider est celui de la durée de rétention de l’information
Mesures techniques
Les mesures techniques de base consistent ensuite à enregistrer les appels décidés et à les
sauvegarder sur la période choisie.
Les mesures techniques d’accompagnement consistent à protéger le paramétrage qui déclenche les
enregistrements et le choix des appels à enregistrer, puis à protéger les enregistrements eux-mêmes
contre tout effacement intempestif (ce que cherchera bien entendu à faire la personne compétente qui
entend faire un usage abusif de telle procédure)
Qualité de service
— L’efficacité du service est liée à l’exhaustivité des appels enregistrées et des renseignements conservés
— La robustesse du service est liée à deux facteurs :
¾ la protection du mécanisme d’enregistrement contre toute modification ou inhibition
¾ la protection des enregistrements contre toute tentative d’effacement
— La mise sous contrôle est réalisée par des audits réguliers :
¾ du paramétrage des enregistrements à effectuer
¾ de la sauvegarde des enregistrements

134
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

07D Sécurité de l’architecture


07D1 Sûreté de fonctionnement des éléments d’architecture
Objectif :
Assurer la continuité des services informatiques de base quels que soient les aléas de fonctionnement
des systèmes ou de leur utilisation.
Résultats attendus :
Éviter qu’une panne simple, voire complexe, ou que des aléas dans l’utilisation des systèmes ou de
leurs périphériques interrompent les traitements ou fassent chuter leurs performances avec des impact
négatifs sur l’activité de l’entreprise.
Mécanismes et solutions :
Les mécanismes principaux sont du ressort de l’architecture, mais doivent s’appuyer sur des études
préalables qui sont de nature organisationnelle
Mesures organisationnelles
— Les mesures organisationnelles ne sont utilisées que dans une phase préalable et consistent en une analyse
des enjeux de la continuité des services systèmes :
¾ Analyse de la gravité des conséquences en fonction de la durée d’une interruption complète d’un service
système
¾ Analyse des capacités de reconfiguration des systèmes en cas de défaillance d’un équipement et du
temps nécessaire à ces reconfigurations
¾ Analyse des enjeux liés à une baisse de performance des systèmes
Mesures techniques
— Les mesures de base consistent en la mise en place d’une architecture à tolérance de panne telle que :
¾ toute panne simple d’un équipement puisse être soit réparée dans des délais acceptables soit contournée
par des redondances d’équipement
¾ toute baisse de performance significative puisse être détectée et corrigée par des reconfigurations
permettant d’assurer un débit acceptable par les utilisateurs
— Les mesures techniques d’accompagnement consistent en des outils de surveillance et de monitoring des
systèmes permettant effectivement de détecter toute anomalie ou baisse de performance et d’agir à distance
pour allouer des ressources de contournement ou d’appoint
Efficacité du service :
— L’efficacité du service est directement liée à trois facteurs :
¾ La qualité et la précision des analyses préliminaires
¾ La rapidité et l’automaticité de détection d’une anomalie ou d’une baisse de performance
¾ La rapidité et l’automaticité des reconfigurations possibles
— La robustesse des mécanismes assurant la sûreté de fonctionnement de l’architecture dépend de deux
facteurs :
¾ L’indépendance des systèmes (réseaux et télécoms) vis-à-vis de tout équipement de servitude unique
(énergie, services généraux, locaux, etc.).
¾ La protection, physique et logique, des équipements assurant la détection et la reconfiguration contre
toute intrusion ou inhibition : contrôle d’accès physique et logique, alarme en cas d’arrêt ou de coupure
d’alimentation, etc.
— La mise sous contrôle des mécanismes assurant la sûreté de fonctionnement dépend de trois facteurs :
¾ Les tests de performance et de bon fonctionnement des mécanismes de détection et de reconfiguration
¾ L’audit du paramétrage des équipements
¾ L’audit des procédures associées à la gestion des systèmes de détection et de reconfiguration.

135
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

07D02 Isolement des systèmes sensibles


Objectif :
Prévenir une atteinte de systèmes, applications et/ou données sensibles (D, I, C) par propagation
depuis des systèmes, applications ou supports moins sensibles ou plus vulnérables en évitant de partager
les mêmes ressources, tant physiques que logiques.
Résultats attendus :
Éviter qu’un incident ou une panne simple, voire complexe, ou que des aléas dans l’utilisation des
systèmes ou de leurs périphériques interrompent les traitements les plus sensibles ou fassent chuter leurs
performances avec des impacts négatifs sur l’activité de l’entreprise.
Mécanismes et solutions :
Les mécanismes principaux sont du ressort de l’architecture, mais doivent s’appuyer sur des études
préalables qui sont de nature organisationnelle.
Mesures organisationnelles
— Les mesures organisationnelles ne sont utilisées que dans une phase préalable et consistent en une analyse
de la sensibilité et des enjeux associés aux ressources telles que données et systèmes :
¾ Analyse de la gravité des conséquences d’une atteinte à la disponibilité, à l’intégrité ou à la confidentialité
de ces ressources.
¾ Etablissement des exigences de préservation des ressources,
¾ Implication des propriétaires et utilisateurs de ces ressources.
Mesures techniques
— Les mesures de base consistent en la mise en place de moyens appropriés tels que la séparation des
ressources sensibles (urbanisation incluant : séparation de locaux, systèmes, réseaux, supports de stockage)
ou de processus (métiers, utilisateurs, traitements, etc.) afin de réduire les risques
Efficacité du service :
— L’efficacité du service est directement liée à deux facteurs :
¾ La qualité et la précision des analyses préliminaires
¾ La bonne adéquation des actions et opérations permettant d’isoler les systèmes sensibles.
— La robustesse des mécanismes assurant la sûreté de fonctionnement de l’architecture dépend de deux
facteurs :
¾ L’indépendance des systèmes isolés vis-à-vis de tout équipement de servitude unique (énergie, services
généraux, locaux, etc.).
¾ La protection, physique et logique, des équipements assurant l’isolement contre toute intrusion ou
inhibition : contrôle d’accès physique et logique, alarme en cas d’arrêt ou de coupure d’alimentation, etc.
— La mise sous contrôle des mécanismes assurant l’isolement dépend de trois facteurs :
¾ Le contrôle du maintien de la pertinence des mesures d’isolement décidées
¾ L’audit du paramétrage des équipements assurant l’isolement des systèmes sensibles

136
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

Domaine 8 : Production informatique

08A Sécurité des procédures d’exploitation


Objectif :
Assurer la conformité des procédures aux exigences de sécurité spécifiées.
Résultats attendus :
Éviter que des erreurs, des inattentions, voire des fautes intentionnelles, dans la mise en œuvre des
moyens systèmes introduisent des brèches de sécurité.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures :
— 08A01 : Prise en compte de la sécurité de l’information dans les relations avec le personnel d’exploitation
— 08A02 : Contrôle des outils et utilitaires de l’exploitation
— 08A03 : Télépilotage de l’exploitation
— 08A04 : Contrôle de la mise en production de nouveaux systèmes ou d’évolutions de systèmes
existants
— 08A05 : Contrôle des opérations de maintenance
— 08A06 : Prise en compte de la confidentialité lors des opérations de maintenance
— 08A07 : Contrôle de la télémaintenance
— 08A08 : Diffusion des états imprimés sensibles
— 08A09 : Gestion des procédures opérationnelles
— 08A10 : Gestion des prestataires de services

08B Paramétrage et contrôle des configurations


Objectif :
Assurer la conformité des configurations aux exigences de sécurité spécifiées.
Résultats attendus :
Éviter que des erreurs, des inattentions, voire des fautes intentionnelles, dans le paramétrage des
systèmes et équipements de sécurité introduisent des brèches de sécurité.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures :
— 08B01 : Paramétrage des systèmes et contrôle de la conformité des configurations systèmes
— 08B02 : Contrôle de la conformité des configurations applicatives
— 08B03 : Contrôle de la conformité des programmes de référence (sources et exécutables)
— 08B04 : Contrôle de la conformité des configurations utilisateurs
— 08B05 : Contrôle des licences des logiciels et progiciels

08C Gestion des supports informatiques de données et programmes


Objectif :
Assurer avec rigueur la gestion des supports de données et programmes
Résultats attendus :
Éviter que des erreurs, des inattentions, voire des fautes intentionnelles, dans la gestion des supports
introduisent des brèches de sécurité.

137
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures :
— 08C01 : Administration des supports
— 08C02 : Marquage des supports de production (vivants, sauvegardes et archives)
— 08C03 : Sécurité physique des supports stockés sur site
— 08C04 : Sécurité physique des supports externalisés (stockés en dehors de l’entreprise)
— 08C05 : Vérification et rotation des supports d’archivage
— 08C06 : Protection des réseaux de stockage
— 08C07 : Sécurité physique des medias en transit

08D Continuité de fonctionnement


Objectif :
Assurer la continuité de fonctionnement des systèmes et applications.
Résultats attendus :
Éviter que des circonstances externes ou internes, accidentelles ou malveillantes, se traduisent par
des interruptions de service inacceptables (étant entendu que la recherche de ce qui est acceptable ou
non fait partie des services à assurer au titre de la continuité de fonctionnement)
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures :
— 08D01 : Organisation de la maintenance du matériel
— 08D02 : Organisation de la maintenance du logiciel (système, middleware et applicatif)
— 08D03 : Procédures et plans de reprise des applications sur incidents
— 08D04 : Sauvegardes des logiciels de base et applicatifs
— 08D05 : Sauvegardes des données applicatives
— 08D06 : Plans de Reprise d'Activité
— 08D07 : Protection antivirale des serveurs de production
— 08D08 : Gestion des systèmes critiques vis-à-vis de la permanence de la maintenance
— 08D09 : Sauvegardes de recours externalisées

08E Détection et traitement des incidents et anomalies


Objectif :
Détecter les anomalies de fonctionnement ou des intrusions dans les systèmes pour intervenir au
mieux et dans les meilleurs délais.
Résultats attendus :
Éviter que des incidents, des anomalies ou des actions malveillantes externes (pirates, hackers) ou
internes (abus de droits d’utilisateurs), que les mesures préventives auraient pu laisser passer, ne soient
pas détectés ni interrompus.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures :
— 08E01 : Détection et traitement en temps réel des anomalies et incidents
— 08E02 : Surveillance, en temps différé, des traces, logs et journaux
— 08E03 : Gestion et traitement des incidents systèmes et applicatifs

138
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08F Contrôle des droits d’administration


Objectif :
Gérer avec rigueur l’attribution et l’utilisation de droits privilégiés sur les systèmes et applications
Résultats attendus :
Éviter que les configurations sécurisées soient modifiées par des personnes abusant de droits
d’administration ou que des procédures réservées à l’administration des systèmes ou des postes
utilisateurs soit utilisées en dehors du contexte normalement prévu.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures :
— 08F01 : Gestion des attributions de droits privilégiés sur les systèmes
— 08F02 : Authentification des administrateurs et personnels d’exploitation
— 08F03 : Surveillance des actions d’administration des systèmes

08G Procédures d'audit et de contrôle des systèmes de traitement de


l'information

Objectif :
Prévenir toute activation incontrôlée d’outils d’audit technique (tests de pénétration, évaluations de
vulnérabilités, etc.) ainsi que toute erreur ou malveillance lors de ces audits.
Enregistrer les résultats et détecter les anomalies de fonctionnement ou les modifications effectuées et
les intrusions éventuelles dans les systèmes pour intervenir au mieux et dans les meilleurs délais.
Résultats attendus :
Éviter que des incidents, des anomalies ou des actions malveillantes externes (pirates, hackers) ou
internes (abus de droits d’utilisateurs), puissent arriver du fait de ces tests d’audit et ne soient pas détectés
ni interrompus.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures :
— 08G01 Fonctionnement des contrôles d'audit
— 08G02 Protection des outils et résultats d'audit

139
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08A Sécurité des procédures d’exploitation


08A01 Prise en compte de la sécurité de l’information dans les relations
avec le personnel d’exploitation
Objectif :
Faire signer au personnel d’exploitation (interne ou non) ayant à traiter des informations ou des
supports d’information sensibles, des engagements de respect de la politique de sécurité.
Résultats attendus :
Sensibiliser le personnel concerné et le responsabiliser en ce qui concerne la protection de
l’information pour éviter des erreurs ou négligences conduisant à une divulgation, une altération ou une
indisponibilité d’information sensible.
Dissuader également ledit personnel d’un acte malveillant, par une reconnaissance préalable du
caractère délictueux d’un tel acte.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
Mesures organisationnelles
— Rédiger la politique de sécurité concernant le personnel d’exploitation
— Rédiger et faire signer des clauses de respect de la politique de sécurité au personnel d’exploitation
— Introduire une clause de respect de la politique de sécurité dans les contrats de prestataires amenés à
intervenir sur le matériel (en particulier le personnel de maintenance)
— Assurer une formation du personnel en conséquence
Qualité de service
— L’efficacité du service est essentiellement liée à la rédaction de la politique de sécurité concernant le
personnel d’exploitation et à la mise en place de clauses contractuelles, en particulier à la généralité de
l’engagement contractuel, à la durée de l’engagement, ainsi qu’au formalisme du processus :
¾ Obligation couvrant tous types de supports (magnétique, écrit ou imprimé, optique, etc.)
¾ Directives couvrant aussi bien l’interdiction d’action directe (divulgation, altération ou destruction) que
l’obligation des précautions à prendre pour éviter les actions de tiers
¾ Directives couvrant tout le personnel y compris celui des sous-traitants (dans ce cas, après acceptation et
validation par l’entreprise contractante, le contrat doit stipuler l’obligation par le sous-traitant de faire signer
de telles clauses par son personnel).
¾ Obligation s’étendant après la fin du contrat, sans limite de durée (en particulier pour le respect de la
confidentialité)
¾ Obligation de reconnaître formellement avoir été tenu au courant de l’ensemble des règles à adopter et de
les avoir acceptées
¾ Formation obligatoire de l’ensemble du personnel d’exploitation
— La robustesse du service est liée à la conservation et à la protection des engagements du personnel
(archivage et protection des originaux contre une destruction malveillante)
— La mise sous contrôle est réalisée par des audits réguliers du texte des clauses et du bon fonctionnement du
processus de signature et de conservation des clauses de confidentialité.

140
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08A02 Contrôle des outils et utilitaires de l’exploitation


Objectif :
Limiter aux seuls besoins de l’exploitation les outils et utilitaires mis à la disposition du personnel
d’exploitation et en contrôler l’usage.
Résultats attendus :
Éviter (autant que faire se peut) que le personnel d’exploitation abuse de ses droits en s’appuyant sur
des outils ou utilitaires non autorisés (accès aux résidus d’exploitation sensibles, accès à des zones de
mémoire tampon utilisées par les équipements de réseau, décryptage de mots de passe, accès aux clés
de chiffrement, etc.)
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
Les mesures organisationnelles consistent à :
— Lister toutes les tâches de l’exploitation, aussi bien courantes qu’exceptionnelles
— Identifier les outils et utilitaires nécessaires à chaque tâche
— Séparer les profils habilités à les utiliser, de manière à limiter les possibilités d’abus (les utilitaires sensibles
nécessaires pour certaines actions exceptionnelles n’étant autorisés qu’à des profils bien spécifiques,
accordés uniquement à des responsables spécialement désignés)
Mesures techniques
Les mesures techniques d’accompagnement consistent en :
— La gestion de profils différenciés pour l’exploitation et la mise en place d’un contrôle des droits d’accès
correspondants :
¾ Login individualisés
¾ Contrôles des profils et droits attachés pour l’utilisation des utilitaires
— Le contrôle de l’introduction de nouveaux utilitaires et de la modification des utilitaires existants
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs
¾ La rigueur des procédures de définition des divers profils d’exploitation
¾ La rigueur des procédures d’attribution des profils au personnel d’exploitation
¾ la solidité ou l’inviolabilité du mécanisme d’authentification proprement dit (force et solidité du mot de
passe, solidité de l’algorithme cryptologique éventuellement utilisé pour authentifier, etc.)
— La robustesse du service est liée à trois facteurs :
¾ la solidité et l’inviolabilité du processus de contrôle des droits lors de l’accès aux utilitaires
¾ la solidité des mesures empêchant l’introduction de nouveaux utilitaires
¾ la solidité des mesures de protection des utilitaires eux-mêmes contre des modifications
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes d’authentification,
¾ des profils utilisés par le personnel d’exploitation
¾ des utilitaires présents dans les équipements et systèmes de pilotage

141
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08A03 Télépilotage de l’exploitation


Objectif :
Permettre le pilotage des systèmes et serveurs de l’entreprise, ainsi que de tous leurs périphériques,
depuis un centre déporté situé à l’extérieur de l’entreprise (via une connexion externe à une passerelle
d’accès au réseau interne).
Résultats attendus :
Pouvoir assurer le pilotage des systèmes et applications internes, même en cas d’incapacité à accéder
aux locaux habituels utilisés par le personnel d’exploitation pour piloter la production informatique.
Les situations visées sont des situations où les locaux affectés à l’exploitation sont inaccessibles pour
des causes internes (grève avec occupation des locaux) ou externes (interdiction par les pouvoirs publics).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Il est bien entendu possible de piloter les systèmes internes depuis de nombreux points du réseau,
pour peu que l’on sache mettre en œuvre, depuis ces points, les outils d’administration et de pilotage
nécessaires (accès aux points de mesure et aux journaux, prise de main à distance, etc.).
Les mesures techniques consistent donc à prévoir d’une part un point d’accès au réseau interne
depuis l’extérieur avec toutes les possibilités nécessaires à l’administration, tout en préservant la sécurité
du réseau interne, d’autre part à prévoir un pilotage et une administration distante de tous les équipements
gérés par la production informatique (non seulement les serveurs, mais les équipements périphériques tels
que robots de sauvegardes, imprimantes, etc.) :
— Poste de pilotage extérieur avec tous les outils logiciels nécessaires (et les licences correspondantes)
— Passerelle d’accès au réseau interne assurant les possibilités d’administration distante
— Authentification forte du poste de pilotage distant et des administrateurs
Mesures organisationnelles
Les mesures organisationnelles d’accompagnement résident dans l’élaboration et la gestion des plans
détaillant les actions à mener pour pouvoir effectivement mettre en œuvre les moyens de pilotage
déportés en toute sécurité et prévoyant la mise à disposition sur le site distant de toutes les informations
nécessaires (paramétrages des équipements, en particulier).
Qualité de service
— L’efficacité du service est essentiellement liée à :
¾ l’exhaustivité des actions de pilotage prévues et possibles depuis le poste déporté
¾ l’étendue des possibilités des outils disponibles pour le pilotage distant
— La robustesse du service est liée à :
¾ la priorité donnée au pilotage distant par rapport aux actions menées depuis le réseau interne (cas de
grève et d’actions menées depuis le réseau interne pour tenter d’empêcher le pilotage distant)
¾ la protection de la passerelle d’accès contre des inhibitions ou arrêts volontaires
— La mise sous contrôle est réalisée par :
¾ Des tests réguliers de la capacité de pilotage distant des systèmes depuis le poste déporté
¾ L’audit des procédures et en particulier des mesures prises pour que la prise de contrôle à distance ne soit
pas utilisée au détriment du fonctionnement de l’entreprise (authentification forte du poste de pilotage
distant et des administrateurs)
¾ La détection des arrêts ou inhibition de la passerelle d’accès au réseau

142
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08A04 Contrôle de la mise en production de nouveaux systèmes ou


d’évolutions de systèmes existants
Objectif :
Gérer avec rigueur les problèmes de sécurité que peut poser la mise en production de nouveaux systèmes
(matériel, logiciel opératoire, middleware, applicatif) ou de nouvelles versions de systèmes existants.
Résultats attendus :
Éviter que la mise en production de nouveaux systèmes (matériel, logiciel opératoire, middleware,
applicatif) ou de nouvelles versions de systèmes existants n’ouvre une faille de sécurité non suspectée
(nouvelle faille ou faille connue dont la correction pourrait être inhibée par la nouvelle mise en production).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement de nature organisationnelle.
Mesures organisationnelles
Le problème que peuvent poser, du point de vue de la sécurité, ces installations de systèmes tient au
fait que les équipes d’exploitation n’ont pas forcément les outils ni la formation pour envisager les risques
pouvant être créés par ces installations ou évolutions.
Les mesures à mettre en œuvre sont de plusieurs ordres :
— Etablissement de procédures formelles de décision, d’approbation et de contrôle préalable aux décisions
d’installation ou de changement d’équipements et de versions tenant compte des exigences de sécurité
physique et logique ainsi que celles émises par les utilisateurs.
— L’analyse des nouvelles fonctionnalités et des risques nouveaux éventuels, de même que pour un nouveau
projet :
¾ Identification formelle des nouvelles fonctionnalités apportées par la mise en production projetée
¾ Analyse des risques que ces nouvelles fonctionnalités peuvent induire ou faciliter
¾ Prise en compte de l’impact de ces évolutions sur les plans de continuité d’activité,
¾ Jugement sur le caractère acceptable ou non de ces risques nouveaux
¾ Prise de décision sur les mesures complémentaires éventuelles à mettre en œuvre.
— La vérification que les paramétrages et dispositifs de sécurité prévus sur les versions précédentes, en cas
d’évolution, sont bien toujours en place et actifs :
¾ Tenue à jour d’une liste des paramètres de sécurité et des points de contrôle
¾ Vérification de l’activation de tous les processus de sécurité
Mesures techniques
Les mesures techniques d’accompagnement dépendent pour une grande part des décision prises à la
suite de l’analyse de risque décrite ci-dessus.
Qualité de service
— L’efficacité du service est essentiellement liée à la rigueur de l’analyse menée à l’occasion de l’installation ou
de l’évolution et, en particulier :
¾ Au formalisme de l’analyse de risque et des conclusions qui en sont tirées
¾ Aux capacités de support de la part d’une cellule spécialisée
¾ À la formation préalable des équipes d’exploitation à ce type de démarche.
¾ Au formalisme de la tenue à jour des paramétrages de sécurité de chaque version et du contrôle de
conformité de ces paramètres sur une nouvelle version.
— La robustesse du service est liée à :
¾ La volonté de la Direction de ne pas déroger aux procédures formelles d’analyse de risque et de contrôle
de conformité sauf circonstances réellement exceptionnelles et au formalisme rigoureux alors nécessaire
(signature formelle d’une dérogation par un membre de la Direction). La principale cause de
contournement vient, en effet, de la tendance à déroger aux procédures d’analyse de risque ou de
contrôle de conformité sous la pression des délais.
¾ L’impossibilité de procéder à des mises production pour du personnel n’ayant pas cette fonction et à la
solidité des contrôles correspondants (rigueur dans l’attribution des profils et authentification forte)
— La mise sous contrôle est réalisée par des audits réguliers de l’application des procédures ci-dessus.

143
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08A05 Contrôle des opérations de maintenance


Objectif :
Gérer avec rigueur les problèmes de sécurité que peuvent poser les interventions de maintenance sur
les systèmes
Résultats attendus :
Éviter qu’une intervention de maintenance sur un système ouvre une faille de sécurité non suspectée.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
Mesures organisationnelles
Les mesures à mettre en œuvre consistent en une analyse systématique, après chaque opération de
maintenance :
— Des paramètres de sécurité (fichiers cachés, paramétrages des contrôles d’accès, etc.)
— Des paramètres d’enregistrement des événements de sécurité (types d’événements, durées de rétention,
etc .)
— Des paramètres de contrôle de l’administration des équipements
— etc.
Qualité de service
— L’efficacité du service est essentiellement liée à la précision et au formalisme de la liste des paramètres à
contrôler sur chaque type de système et sur chaque système particulier.
— La robustesse du service est liée à deux types de facteurs :
¾ D’une part au contrôle précis que les paramètres de contrôle de l’administration du système n’ont pas été
modifiés dans le sens d’une ouverture possible de droits d’administration à des personnes non autorisées
¾ D’autre part à la volonté de la Direction de ne pas déroger aux procédures formelles de contrôle des
paramètres de sécurité sauf circonstances réellement exceptionnelles et au formalisme rigoureux alors
nécessaire (signature formelle d’une dérogation par un membre de la Direction). La principale cause de
contournement vient, en effet, du risque de déroger aux procédures de contrôle sous la pression des
délais.
— La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédures ci-
dessus.

144
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08A06 Prise en compte de la confidentialité lors des opérations de


maintenance (matérielle et logicielle) sur des systèmes de
production
Objectif :
Gérer avec rigueur les problèmes de confidentialité que peuvent poser les interventions de
maintenance sur les systèmes
Résultats attendus :
Éviter qu’une intervention de maintenance sur un système se traduise par une fuite d’information
sensible.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
Mesures organisationnelles
Les mesures à mettre en œuvre consistent, à chaque fois que cela est possible, à faire en sorte que :
— Les données réelles de production ne soient pas accessibles par le personnel de maintenance :
¾ Isolement des baies de stockage opérationnelles et remplacement, si nécessaire, par des données de
test
¾ Effacement (physique) des supports de données si ces supports ne peuvent être enlevés
¾ Destruction ou conservation des supports rebutés
— Empêcher ou contrôler a posteriori que l’opération de maintenance se traduise par des fuites ultérieures
d’information (absence de module espion, de porte dérobée, etc.)
Qualité de service
— L’efficacité du service est essentiellement liée à la précision et au formalisme des procédures à suivre pour
chaque cas de panne ou d’incident et d’appel à la maintenance (procédures décrivant les opérations à mener
avant et après l’intervention de la maintenance).
— La robustesse du service est liée à la volonté de la Direction de ne pas déroger aux procédures formelles de
contrôle de la confidentialité lors des opérations de maintenance sauf circonstances réellement
exceptionnelles et au formalisme rigoureux alors nécessaire (signature formelle d’une dérogation par un
membre de la Direction). La principale cause de contournement vient, en effet, du risque de déroger aux
procédures de contrôle sous la pression des délais.
— La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédures ci-
dessus.

145
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08A07 Contrôle de la télémaintenance


Objectif :
Limiter l’usage de la ligne de télémaintenance à la seule maintenance des équipements.
Résultats attendus :
Éviter que la ligne de télémaintenance soit utilisée pour pénétrer un système par des personnes non
autorisées.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Les mesures techniques de base consistent essentiellement en une authentification forte de l’agent de
maintenance, l’idéal étant que cette authentification couvre à la fois :
— Le lieu depuis lequel est initialisée la liaison de télémaintenance (par exemple par une liaison de type VPN
avec un chiffrement de bout en bout jusqu’au terminal de maintenance ou par un rappel de l’opérateur de
maintenance aussi appelé call-back)
— La personne utilisant la ligne de télémaintenance, ce qui suppose l’attribution de certificats ou de jetons
individualisés et une gestion des personnes autorisées.
Les mesures techniques additionnelles consistent en la mise sous contrôle de l’utilisation de la ligne de
télémaintenance :
— Chiffrement ou scellement des échanges pour éviter une intrusion après la phase d’authentification
— Enregistrement de toute utilisation de la ligne de télémaintenance et des actions effectuées
— Audit de la pertinence de ces actions et de leur acceptation par les responsables de la maintenance
Mesures organisationnelles
Les mesures organisationnelles d’accompagnement consistent à gérer les personnes individuellement
autorisées à utiliser la ligne de télémaintenance et donc à mettre en place des procédures pour :
— Déclarer et valider un nouvel opérateur de télémaintenance (y compris dans les cas d’urgence)
— Invalider un opérateur
— Vérifier éventuellement la validité de l’accréditation d’un opérateur
Dans certains cas d’équipements sensibles, il peut être utile de prévoir, au titre des mesures
organisationnelles une procédure d’ouverture de session de télémaintenance pour que l’utilisation de la
ligne de télémaintenance soit totalement sous le contrôle de l’entreprise.
Qualité de service
— L’efficacité du service est essentiellement liée à la qualité et la solidité des mécanismes d’authentification :
¾ du lieu d’initialisation de la télémaintenance
¾ de l’utilisateur de la liaison de télémaintenance (en notant que la solidité du mécanisme d’authentification
de l’utilisateur doit tenir compte de la rigueur de gestion et d’attribution des moyens supports de
l’authentification)
— Il est clair qu’une procédure d’agrément mutuel avant toute ouverture de la ligne de télémaintenance rend
encore plus difficile l’usage frauduleux de la ligne.
— La robustesse du service est liée à plusieurs facteurs :
¾ La solidité et l’inviolabilité des protocoles annexes tels que diffusion initiale, échanges ou stockage des
éléments secrets
¾ La protection du système sur lequel est connectée la ligne de télémaintenance contre toute modification
qui pourrait rendre la ligne de télémaintenance utilisable sans les contrôles ci-dessus.
¾ Les mesures organisationnelles complémentaires pour éviter que les procédures de gestion d’exceptions
ne soient utilisées pour obtenir à tort une autorisation d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes d’authentification,
¾ des systèmes de détection des violations et des arrêts du contrôle d’accès effectué lors de l’utilisation de la
ligne de télémaintenance

146
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08A08 Diffusion des états imprimés sensibles


Objectif :
Gérer avec rigueur les problèmes de confidentialité que peut poser la diffusion des états imprimés
Résultats attendus :
Éviter que la diffusion des états imprimés se traduise par une fuite d’information sensible.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels
Mesures techniques
Les mesures techniques consistent à contrôler l’accès aux états imprimés dans la phase de diffusion
ou de distribution :
— Casiers fermant à clé si les utilisateurs viennent chercher eux-mêmes leurs états
— Liasses d’états scellées sous cellophane ou distribuées sous enveloppe
— États conservés en armoire forte et remis en main propre pour les plus sensibles
Mesures organisationnelles
— Les mesures organisationnelles d’accompagnement consistent essentiellement à conserver une grande
discrétion sur le contenu des états :
¾ Marquage ne faisant pas apparaître la classification
¾ Marquage anonyme ne faisant pas apparaître le service demandeur
Qualité de service
— L’efficacité du service est essentiellement liée à la solidité des mesures de contrôle d’accès aux états en
attente de diffusion (solidité des serrures, des casiers eux-mêmes, etc.)
— La robustesse du service est liée aux aspects suivants :
¾ la protection des locaux dans lesquels les états sont imprimés
¾ la protection du transport et des moyens de stockage intermédiaires des états
¾ la protection des locaux des destinataires des états
— La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédures et
mécanismes ci-dessus.

147
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08A09 Gestion des procédures opérationnelles


Objectif :
Faire en sorte que les procédures opérationnelles d’exploitation des systèmes soient décrites,
documentées, connues de ceux qui doivent les appliquer et intangibles, sauf accord à un niveau suffisant
du management et conduisant des révisions documentées à leur tour.
Résultats attendus :
Éviter les erreurs et actions incontrôlées ou malveillantes dans l’application de ces procédures
opérationnelles.
Mécanismes et solutions :
Les mécanismes principaux sont essentiellement du ressort de l’organisationnel. Des mesures
techniques d’accompagnement sont néanmoins nécessaires.
Mesures organisationnelles
— Les mesures organisationnelles de base doivent se concrétiser par l’élaboration et la documentation des
procédures à respecter :
¾ Analyse des différents scénarios de gestion des processus et de traitement des incidents éventuels.
¾ Établissement des documents, cahiers de consignes correspondants, etc.
¾ Mise à disposition de ces procédures aux exploitants et uniquement à ceux qui en ont l’usage.
— Les mesures complémentaires ont trait aux processus de gestion de ces procédures :
¾ Processus de gestion des modifications éventuelles afin d’éviter toutes erreurs et malveillances,
¾ Maintien à jour de ces procédures (penser à prémunir l’organisation contre la perte possible des
procédures en cas de sinistre majeur).
Mesures techniques d’accompagnement
— Les mesures techniques d’accompagnement ont trait aux mécanismes de protection de ces procédures (afin
d’éviter toute malveillance a priori ou toute modification destinée à masquer une violation, volontaire ou non,
de procédure) :
¾ Contrôle d’accès en écriture aux media support des procédures
¾ Journalisation et contrôle des modifications apportées
¾
Qualité de service
— L’efficacité du service est directement liée à
¾ L’exhaustivité des cas (fonctionnement type, incidents, etc.) traités par les procédures
¾ La précision des comportements décrits
¾ La pertinence du système de diffusion de l’information, tant en ce qui concerne les personnes atteintes
que la commodité d’accès à l’information en cas de besoin
— La robustesse du service est directement liée à
¾ La rigueur de la gestion des modifications et changements dans les procédures
¾ La protection des supports (contrôle d’accès, gestion des droits des personnes autorisées en écriture,
etc.)
— La mise sous contrôle est directement liée à :
¾ L’existence d’une procédure de revue des procédures opérationnelles
¾ L’audit de l’authenticité des procédures publiées
¾ L’audit des procédures de gestion et de modification des procédures opérationnelles

148
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08A10 Gestion des prestataires de service


Objectif :
Pour de nombreuses organisations, les ressources et les compétences disponibles en interne ne
permettent pas de réaliser de nombreuses opérations liées à l’exploitation et à la sécurisation des
systèmes informatiques, temporairement ou de façon permanente, à des personnels externes et des
prestataires de service.
L’objectif du service est de s’assurer que les missions des prestataires de services sont clairement
définies, celles-ci incluant les contrôles de sécurité qui leur sont délégués, que leurs compétences et que
les moyens mis en place correspondent aux exigences de l’organisation, y compris en situation de crise.
Résultats attendus :
Prévenir des actions incontrôlées, frauduleuses ou dangereuses pour l’activité de l’entreprise menées
par des prestataires dans l’exercice de leurs tâches.
Mécanismes et solutions :
Les mécanismes sont essentiellement de nature organisationnelle.
Mesures organisationnelles
— Les mesures initiales consistent à procéder à une analyse précise des risques spécifiques à chaque cas
d’appel à des prestataires et à en déduire des exigences de sécurité :
¾ Recensement des types de prestataires, permanents ou occasionnels, auxquels l’organisation est
susceptible de faire appel
¾ Analyse des risques spécifiques à chaque cas
¾ Elaboration des exigences de sécurité : services exigés, compétences nécessaires, moyens à mettre en
place, reporting, etc.
— Les mesures complémentaires consistent à rendre contractuelles les exigences de l’organisation :
¾ Etablissement et contrôle des clauses contractuelles concernant leurs responsabilités dans le domaine de
la sécurité,
¾ Mise en place d’une procédure de revue et de suivi du respect des engagements
¾ Mise en place de procédures permettant aux prestataires de faire remonter tout événement de sécurité
— Les dernières mesures concernent le management des prestataires par l’organisation :
¾ Sélection des prestataires aptes à réaliser les prestations attendues,
¾ Vérification de leur qualité et de leur identité au même niveau que pour des employés internes,
¾ Suivi de la situation des prestataires et du respect de leurs engagements.
Qualité de service
— L’efficacité de la gestion des prestataires de services dépend de plusieurs facteurs :
¾ L’exhaustivité de l’analyse faite a priori des types de prestations
¾ La profondeur de l’analyse des risques et l’exhaustivité des règles de sécurité qui en sont déduites
¾ Le détail et la rigueur des règles contractuelles édictées
— La mise sous contrôle de la gestion des prestataires de services comprend :
¾ L’audit des procédures de sélection des prestataires et de vérification des compétences et moyens mis en
œuvre.
¾ La revue périodique du respect des engagements contractuels
¾ Le contrôle du maintien de la pertinence des clauses et engagements signés.

149
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08B Paramétrage et contrôle des configurations


08B01 Paramétrage des systèmes et contrôle des configurations systèmes
08B02 Contrôle des configurations applicatives
La fiche 08B2 est identique à la 08B1 en remplaçant partout, système par configuration applicative
Objectif :
Traduire de manière concrète les diverses règles de filtrage, définies au niveau de l’architecture, en
règles de contrôle paramétrées dans les systèmes et contrôler leur permanence dans le temps.
Résultats attendus :
Éviter que, pour une raison quelconque (défaillance de l’installation ou de la maintenance ou action
volontaire d’une personne voulant nuire à l’entreprise ou abuser de droits), les paramétrage des systèmes
ne soient pas conformes à la politique décidée.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Le socle de ce service consiste bien entendu à traduire l’ensemble des choix politiques, faits au niveau de
l’architecture, en paramètres et options des divers outils installés. Le résultat est un ensemble de documents
fixant ces règles et un fichier de paramétrage par système, y compris les logiciels de pilotage et
d’administration, paramétrage effectué lors de la mise en service de chaque système.
— En complément, il faut prévoir le contrôle de la permanence de ce paramétrage, soit par des mécanismes
techniques, soit par des procédures de contrôle.
— Enfin, il est nécessaire de prévoir les mesures d’exceptions, c’est-à-dire le moyen pour un utilisateur de sortir
d’une situation où les mesures de sécurité constitueraient un blocage de l’activité (il est clair en effet que de
telles situations peuvent arriver et qu’il vaut mieux y être préparé par des procédures d’alerte et d’escalade
permettant alors de prendre les bonnes décisions au bon niveau de responsabilité)
Mesures techniques
Les mesures techniques d’accompagnement consistent en des automatismes permettant un contrôle
de la permanence et de la pertinence des paramétrages décidés :
— Recherche et remplacement des comptes génériques fournis par les constructeurs et éditeurs ainsi que des
mots de passe éventuels par des mots de passe renforcés,
— Synchronisation des horloges sur un référentiel garanti,
— Séparation des systèmes de développement, de test et d’intégration des systèmes opérationnels.
— Protection des fichiers de paramétrages par des techniques de scellement ou de signature électronique (voire
des techniques de chiffrement)
— Mécanismes de contrôle des paramètres installés par rapport aux paramètres théoriques (avec contrôle du
sceau de protection, le cas échéant)
— Contrôle de tout changement de paramétrage effectué avec alerte auprès d’un responsable.
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la précision et le formalisme de la liste des paramètres à configurer sur chaque système.
¾ L’automatisme des opérations de configuration des paramétrages, pour éviter tout oubli ou erreur.
— La robustesse du service est liée à deux types de facteurs :
¾ La solidité des automatismes de scellement et de contrôle des sceaux, pour éviter une altération de la liste
des paramétrages avant configuration
¾ La protection des systèmes contre une modification non autorisée des paramétrages ainsi que la
détection de l’inhibition de tout système de contrôle de l’authenticité des paramétrages.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ de la liste des paramétrages et des paramétrages réellement installés
¾ de l’application des procédures de modification des paramétrages et d’escalade en cas de difficulté.

150
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08B03 Contrôle de la conformité des programmes de référence


Objectif :
Contrôler que les programmes de référence, sources ou exécutables, pouvant être utilisés par la
production informatique à la suite d’un incident nécessitant de recharger le système ou une application
sont bien conformes à ce qu’ils devraient être.
Résultats attendus :
Éviter que pour une raison quelconque, le rechargement d’un système ou d’une application conduise à
introduire une faille de sécurité, soit parce que ledit programme aura été malicieusement modifié, soit
parce qu’il s’agira d’une ancienne version avec des trous de sécurité non corrigés.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont techniques et organisationnels.
Mesures techniques
Les mesures techniques de base consistent à automatiser les processus de contrôle :
— Mise en place d’un sceau ou d’une signature à chaque mise en production de système ou d’application
— Contrôle des sceaux périodique à chaque nouvelle installation ou à chaque démarrage système
Mesures organisationnelles
Des mesures organisationnelles peuvent remplacer des mesures techniques automatiques :
— Protection physique des supports des programmes sources, voire exécutables.
— Signature des supports et détention par un responsable de haut rang
Quoi qu’il en soit, des mesures organisationnelles d’accompagnement sont absolument nécessaires
pour gérer les évolutions de code :
— Interdiction aux équipes de développement d’intervenir sur les programmes de référence de la production
— Acceptation formelle des passages en production avec gestion des indices de modifications.
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ La solidité de l’algorithme de scellement des programmes de référence de la production.
¾ L’automatisme des contrôles effectués à chaque nouvelle installation
— La robustesse du service est liée à deux types de facteurs :
¾ La protection des utilitaires de scellement contre tout usage non autorisé
¾ Le contrôle de la modification ou de l’inhibition du système de contrôle des sceaux.
— La mise sous contrôle est réalisée par des audits réguliers de l’usage des produits de scellement et de
contrôle des sceaux.

151
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08B04 Contrôle des configurations Utilisateurs


Objectif :
Vérifier que les configurations utilisateurs sont bien conformes à la politique décidée.
Résultats attendus :
Éviter que les configurations utilisateurs introduisent des faiblesses dans la sécurité globale des
systèmes.
Les cas les plus courants de faiblesses introduites par les utilisateurs sont l’installation et l’utilisation de
logiciels pouvant contenir des failles de sécurité, parfois avec de très bonnes intentions (par exemple
logiciels de sécurité, mais d‘un niveau très faible), parfois avec des intentions moins louables (logiciels de
décryptage de mots de passe ou utilitaires devant être réservés).
Il peut également s’agir de versions anciennes de logiciels ne contenant pas les correctifs de sécurité.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Le socle de ce service consiste bien entendu à traduire l’ensemble des choix politiques faits au niveau de
l’architecture en options de configurations des postes utilisateurs et en liste de logiciels et de matériels
additionnels autorisés (avec les versions de référence autorisées). Le résultat est un fichier descriptif des
options et paramétrages autorisés sur les postes utilisateurs.
Mesures techniques
— Les mesures techniques de base consistent à
¾ Restreindre les possibilités de changement des configurations logicielles en ne donnant pas les droits
d’administration de leur poste aux utilisateurs
¾ Mettre en place des automatismes de contrôle de la configuration des postes utilisateurs lors de leur
connexion au réseau et aux serveurs.
— A défaut, la configuration des postes utilisateurs peut faire l’objet de directives précises assorties d’interdiction
d’intervention sur la configuration du poste et d’audit régulier de ces configurations.
Qualité de service
— L’efficacité du service est essentiellement liée à trois facteurs :
¾ la précision et le formalisme des options et paramètres autorisés sur chaque type de poste utilisateur.
¾ la solidité des systèmes de prévention de changement des configurations logicielles par les utilisateurs
¾ l’automatisme et la fréquence des contrôles.
— La robustesse du service est liée à deux types de facteurs :
¾ la protection (éventuellement par scellement) des options et paramètres à contrôler, pour éviter une
altération de la liste des contrôles à effectuer
¾ le contrôle des possibilités d’administration des postes par les utilisateurs eux-mêmes, pour éviter qu’ils ne
changent les configurations trop facilement entre deux contrôles
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des procédures de contrôle
¾ des contrôles réellement effectués

152
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08B05 Contrôle du caractère licite des licences logicielles


Objectif :
Vérifier que les logiciels utilisateurs ont bien des licences en règle (et ont été licitement acquis).
Résultats attendus :
Éviter de se mettre en tort vis-à-vis du droit de la propriété industrielle
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
Mesures organisationnelles
— Le socle de ce service consiste bien entendu à interdire très officiellement tout usage de logiciel sans licence
à jour
— Il convient ensuite de vérifier que cette interdiction est respectée en :
¾ Tenant à jour une liste détaillée des logiciels installés officiellement sur chaque poste de travail,
¾ procédant à des audits de conformité des configurations réelles,
¾ sanctionnant les manquements éventuels.
Mesures techniques
— Les mesures techniques d’accompagnement consistent, éventuellement, à
¾ Restreindre les possibilités de changement des configurations logicielles en ne donnant pas les droits
d’administration de leur poste aux utilisateurs
¾ Mettre en place des automatismes d’effacement de tout exécutable non déclaré.
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la régularité et l’étendue des audits
¾ la communication sur les sanctions prises
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des procédures d’audit
¾ des contrôles réellement effectués

153
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08C Gestion des supports informatiques de données et programmes


08C01 Administration des supports
Objectif :
Gérer avec rigueur les mouvements de supports entre la médiathèque et la production (gestion des
sorties, des restitutions, recherche des manquants, etc.) ainsi que leur mise au rebut.
Résultats attendus :
Éviter que des supports de production soient retirés de la médiathèque sans contrôle ou qu’ils soient
subtilisés en production sans déclencher d’investigations.
Assurer une mise au rebut en conformité avec les règles établies et sans risque de divulgation
d’information.
Dissuader le personnel de production de dérober un support opérationnel.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
Mesures organisationnelles
— Le socle de ce service consiste bien entendu à gérer avec rigueur tous les mouvements de supports :
¾ Enregistrement des mouvements de sortie (date, heure, responsable initialisant la demande, liens
éventuels avec la programmation de travaux, etc.) ainsi que leur mise au rebut.
¾ Enregistrement des entrées en médiathèque
¾ Analyse systématique des écarts entre entrées et sorties et signalement de toute anomalie
— Il convient, en complément, que toute anomalie fasse l’objet d’une investigation.
Mesures techniques
Les mesures techniques d’accompagnement consistent en un système de gestion des supports
permettant de détecter automatiquement toute durée de sortie anormale et de suivre les investigations.
S’y ajoutent des procédures et moyens techniques d’effacement des données sensibles avant mise au
rebut.
Il convient alors de protéger les accès aux fichiers supports de cette gestion.
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la permanence du service de gestion des supports (24/24 7/7)
¾ la rigueur de gestion des procédures d’enregistrement et de suivi des anomalies
— La robustesse du service réside dans la protection du fichier (SGBD) des enregistrements :
¾ droits d’accès limité au gestionnaire des supports (au moins en écriture ou effacement d’un mouvement)
¾ rigueur du contrôle d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des procédures d’enregistrement
¾ du suivi des anomalies et des investigations faites

154
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08C02 Marquage des supports de production


Objectif :
Marquer les supports de production de manière tout à fait anonyme (sans aucune indication sur leur
contenu).
Résultats attendus :
Rendre très difficile la subtilisation de supports sensibles
Dissuader le personnel non directement concerné de voler un support (ne sachant pas le contenu d’un
support, le vol ne présente pas d’intérêt).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
Mesures organisationnelles
Ce service consiste bien entendu à gérer avec rigueur un marquage numérique sans aucune
signification :
— marquage en série, sans lien avec l’activité
— gestion de tables séparées faisant le lien entre un fichier et le numéro du support
— absence même d’indications sur la classification du contenu
Mesures techniques
Les mesures techniques d’accompagnement consistent en un système de gestion des marquages,
qu’il convient, bien entendu, de protéger.
Qualité de service
— L’efficacité du service est essentiellement liée à la rigueur des procédures garantissant l’anonymat du
marquage
— La robustesse du service réside dans la protection du fichier (SGBD) des enregistrements :
¾ droits d’accès limité au gestionnaire des supports
¾ rigueur du contrôle d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des procédures de marquage
¾ de la protection du fichier de gestion des numéros de supports

155
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08C03 Sécurité physique des supports de production stockés sur site


Objectif :
Protéger les supports de production contre tout accès non autorisé ou tout accident physique.
Résultats attendus :
Prévenir la subtilisation de supports sensibles en médiathèque et éviter leur destruction accidentelle.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques :
Mesures techniques
— Les mesures techniques de contrôle d’accès concernent :
¾ les voies d’accès courantes du personnel : portes contrôlées par badge, éventuellement par digicode
¾ les autres voies d’accès : contrôle des fenêtres, des issues de secours, des autres accès éventuels
¾ la protection des transferts entre la production et la médiathèque
— Les mesures complémentaires concernent la protection contre les risques divers :
¾ détection et extinction incendie
¾ protection contre les dégâts des eaux
¾ régulation thermique et hygrométrique
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de
dysfonctionnement ou de violation des mesures techniques :
¾ conduite à tenir en cas d’arrêt ou de violation des mesures techniques
¾ détection d’interruption des mesures techniques
¾ équipes d’intervention
Qualité de service
— L’efficacité du service est liée à deux facteurs :
¾ La solidité ou l’inviolabilité du support des authentifications (mécanismes protégeant les badges contre
une recopie ou une falsification, installations permettant d’éviter l’observation directe d’un digicode)
¾ L’efficacité du filtrage (sas ne permettant l’accès qu’à une personne à la fois, mécanismes empêchant de
faire entrer une personne par prêt de badge)
— La robustesse du service est liée d’une part à la solidité des mesures complémentaires (efficacité des
contrôles des issues de secours, solidité des fenêtres et bâtiments eux-mêmes), d’autre part aux mesures
organisationnelles de surveillance du système de contrôle d’accès et aux capacités de réaction en cas
d’inhibition de ce système (en particulier en cas d’alerte incendie ou de mise en œuvre de procédures
concernant la sécurité du personnel)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des accès autorisés,
¾ des paramétrages des systèmes de contrôle d’accès,
¾ des systèmes de détection des violations et des arrêts du contrôle d’accès
¾ des procédures de réaction aux incidents et violations et de la mise en œuvre de ces procédures

156
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08C04 Sécurité physique des supports externalisés (stockés sur site


externe)
Objectif :
Protéger les supports de production externalisés contre tout accès non autorisé ou tout accident
physique.
Résultats attendus :
Prévenir la subtilisation de supports sensibles en médiathèque et éviter leur destruction accidentelle.
Mécanismes et solutions
Les mécanismes de base à mettre en œuvre sont essentiellement techniques et ont été décrits dans la
fiche précédente. Cependant, dans la mesure où les supports externalisés sont confiés à une société
extérieure, il convient de prendre le problème différemment et de l’aborder sous l’angle contractuel. Il
s’agit alors de mesures organisationnelles.
Mesures organisationnelles
Les mesures organisationnelles concernent d’abord le choix du prestataire :
— choix d’une société spécialisée dans ce type de prestation
— choix d’une société spécialisée pour le transfert des media entre le site de production et le site externe
En complément, tout ce qui a été dit dans la fiche précédente devra être traduit en obligation
contractuelle
Enfin, on prévoira un droit d’audit des installations et des procédures.
Qualité de service
— L’efficacité du service est liée à deux facteurs :
¾ la solidité des sociétés partenaires
¾ l’étendue des clauses de garantie
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des installations du ou des prestataires
¾ des procédures courantes (de gestion des media) et exceptionnelles (de gestion des incidents et
anomalies)

157
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08C05 Vérification et rotation des supports d’archivage


Objectif :
Vérifier régulièrement les supports d’archivage et les possibilités de relecture de ces supports
Résultats attendus :
Éviter que des supports anciens ne puissent être relus, soit pour des raisons liées au support lui-même
(vieillissement, pollution, etc.) soit pour des raisons liées à l’équipement de relecture (indisponibilité,
incompatibilité de version, etc.)
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels mais s’appuient également
sur des services techniques
Mesures organisationnelles
— Le socle de ce service consiste bien entendu à organiser une rotation et une vérification régulière des
supports d’archives :
¾ types de prélèvements (il peut être onéreux de vouloir relire systématiquement toutes les archives)
¾ fréquences des tests
¾ recopies éventuelles sur des supports neufs
— Il convient en outre de gérer les équipements de lecture des supports :
¾ gestion des indices et conservation des versions des systèmes d’exploitation
¾ conservation éventuelle d’équipements à seule fin de relire les archives et maintien d’un entretien
Mesures techniques
La gestion des rotations et prélèvements s’appuiera le plus souvent sur des outils informatiques. Les
mesures techniques d’accompagnement consistent alors à protéger les fichiers de gestion contre toute
altération illicite qui conduirait à ne pas contrôler certains supports sensibles.
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la fréquence des essais de relecture
¾ le taux de prélèvement pour essai de relecture
¾ l’étendue des systèmes de lecture conservés en état de fonctionnement
— La robustesse du service est liée à la solidité des mesures de protection des fichiers supports de la gestion
des rotations et prélèvements.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des tests de relecture
¾ des procédures de gestion des systèmes de lecture

158
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08C06 Protection des réseaux de stockage (SAN : Storage Area Network)


Objectif :
S’assurer que les données stockées par l’intermédiaire d’un réseau de stockage ne puissent être
accédées que par des entités autorisées (serveurs ayant au préalable enregistré les données, serveurs de
sauvegarde, etc.)
Résultats attendus :
Éviter que des données émises sur un réseau de stockage à destination d’un équipement
d’enregistrement soient détournées par un processus non prévu ou non autorisé.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques.
Mesures techniques
— Les mesures techniques de base consistent à contrôler l’accès aux données, à différents niveaux :
¾ Isolement des réseaux de stockage des autres réseaux, par des procédés physiques ou logiques
(commutateurs réseaux, VLAN, etc.)
¾ Protection des réseaux de stockage par des pare-feux ne laissant passer que les protocoles de stockage
et les flux d’administration
¾ Authentification des entités accédant aux données
¾ Protection contre les rejeux de stockage ou de déstockage
¾ Chiffrement des données par les entités émettrices
— Les mesures complémentaires visent à s’assurer que les mesures de sécurité précédentes ne peuvent être
contournées :
¾ Protection du processus de diffusion initiale des conventions secrètes (clés ou mots de passe)
¾ Protection du protocole d’authentification pour éviter qu’il ne soit écouté et dupliqué.
¾ Protection des éléments d’authentification conservés par les entités émettrices ou les équipements
assurant l’authentification (stockage des mots de passe, par exemple)
Qualité de service
— L’efficacité du service est liée à la solidité ou l’inviolabilité des divers mécanismes utilisés :
¾ Solidité de l’isolement des réseaux
¾ Solidité du contrôle d’accès et de l’authentification proprement dite aux systèmes de stockage (force et
solidité du mot de passe, solidité de l’algorithme cryptologique éventuellement utilisé pour authentifier,
solidité de l’algorithme et du protocole contre toute observation, écoute et réutilisation de séquence, etc.)
¾ Solidité de l’algorithme de chiffrement éventuel des données
— La robustesse du service est liée à trois facteurs :
¾ l’inviolabilité des protocoles annexes : diffusion initiale, échanges ou stockage des éléments secrets
¾ les mesures de protection des protocoles d’authentification et des équipements assurant le déroulement
de ces protocoles pour éviter qu’ils ne soient altérés ou inhibés
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes d’isolement et d’authentification,
¾ des systèmes de détection des violations et des arrêts du contrôle d’accès
¾ des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures

159
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08C07 Sécurité physique des médias en transit


Objectif :
Gérer avec rigueur les mouvements de médias entre sites
Résultats attendus :
Éviter que des supports de production soient retirés d’un site sans contrôle et qu’ils soient perdus ou
subtilisés lors des transports entre sites sans déclencher d’investigations.
Dissuader le personnel de production de dérober un support opérationnel.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
Mesures organisationnelles
— Le socle de ce service consiste bien entendu à gérer avec rigueur tous les mouvements de médias entre
sites :
¾ Etablissement de procédures à respecter lors de ces mouvements,
¾ Enregistrement des mouvements de sortie (date, heure, responsable initialisant la demande, liens
éventuels avec la programmation de travaux, etc.).
¾ Enregistrement des entrées dans le site destinataire,
¾ Analyse systématique des écarts entre entrées et sorties et signalement de toute anomalie
— Il convient, en complément, que toute anomalie fasse l’objet d’une investigation.
Mesures techniques
Les mesures techniques d’accompagnement consistent en :
¾ L’utilisation des procédures d’accompagnement et de sécurisation des supports (containers,
…) et le contrôle de leur respect,
¾ un système de gestion des supports permettant de détecter automatiquement toute durée de
mouvement anormale et de suivre les investigations.
Il convient alors de protéger les accès aux fichiers supports de cette gestion.
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la force des moyens de protection des médias et des transferts,
¾ la rigueur de gestion des procédures d’enregistrement et de suivi des anomalies
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des procédures de transfert,
¾ du suivi des anomalies et des investigations faites

160
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08D Continuité de fonctionnement


08D01 Organisation de la maintenance du matériel
Objectif :
Assurer la maintenance des matériels pour les cas de panne ou d’évolutions nécessaires.
Résultats attendus :
Éviter qu’une défaillance d’équipement ou qu’une évolution nécessaire (que ce soit pour des
changements de contexte internes ou externes) se traduise par une interruption inacceptable du service.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Le socle de ce service consiste bien entendu en l’élaboration de contrats de maintenance soit avec les
fournisseurs d’équipements soit avec une tierce partie de maintenance (TPM). L’élaboration des clauses
adéquates dans le contrat nécessite néanmoins quelques actions préliminaires et précautions :
¾ Identifier les équipements critiques et, pour ceux-ci, le délai de remise en service souhaitable et le délai
maximum tolérable en cas de défaillance
¾ Négocier avec le contractant le délai maximum d’intervention et le délai maximum de réparation (celui-ci
peut dépendre de l’existence de pièces de rechange sur site et ce point doit faire l’objet de la négociation)
¾ Préciser, en particulier, les conditions d’escalade en cas de difficulté d’intervention et les possibilités et
conditions d’appel aux meilleurs spécialistes
¾ Négocier éventuellement des clauses de pénalité en cas de dépassement des temps contractuels
Mesures techniques
— Les mesures techniques d’accompagnement éventuelles consistent éventuellement en des capacités
d’intervention à distance (télémaintenance) permettant d’accélérer le diagnostic en cas de défaillance.
Qualité de service
— L’efficacité du service est essentiellement liée à trois facteurs :
¾ la précision et le réalisme des clauses du contrat, en particulier en ce qui concerne les horaires d’appel,
d’intervention et les possibilités d’appel les week-end et jours fériés
¾ L’efficacité des procédures d’escalade et d’appel aux meilleurs spécialistes.
¾ La compétence et l’expertise du fournisseur ou du contractant
— La robustesse du service est liée à deux types de facteurs :
¾ La solidité du contractant (afin d’éviter un arrêt d’activité ou son rachat sans reprise de son activité)
¾ Les possibilités d’action ou de pression en cas de grève du personnel
¾ L’indépendance vis-à-vis de compétences pointues détenues par un petit nombre de personnes, voire par
un seul spécialiste
— La mise sous contrôle est réalisée par des audits réguliers :
¾ Des clauses du contrat et de la tenue des engagements du fournisseur
¾ Du fournisseur, afin de vérifier les points cités au titre de la robustesse.

161
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08D02 Organisation de la maintenance du logiciel


Objectif :
Assurer la maintenance des logiciels pour les cas de bogues (bugs) ou d’évolutions nécessaires.
Résultats attendus :
Éviter qu’un bogue (bug) bloquant ou qu’une évolution nécessaire (que ce soit pour des changements
de contexte internes ou externes) se traduise par une interruption inacceptable du service.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Le socle de ce service consiste bien entendu en l’élaboration de contrats de maintenance avec les
fournisseurs de logiciels et de progiciels. L’élaboration des clauses adéquates dans le contrat nécessite
néanmoins quelques actions préliminaires et précautions :
¾ Identifier les logiciels critiques et, pour ceux-ci, le délai d’intervention souhaitable et le délai maximum
tolérable en cas de bug bloquant
¾ Négocier avec le fournisseur le délai maximum d’intervention
¾ Préciser, en particulier, les conditions d’escalade en cas de difficulté d’intervention et les possibilités et
conditions d’appel aux meilleurs spécialistes
¾ Négocier éventuellement des clauses de pénalité en cas de dépassement des temps contractuels
Mesures techniques
— Les mesures techniques d’accompagnement éventuelles consistent en des capacités d’intervention à
distance (télémaintenance) permettant d’accélérer le diagnostic
Qualité de service
— L’efficacité du service est essentiellement liée à trois facteurs :
¾ la précision et le réalisme des clauses du contrat, en particulier en ce qui concerne les horaires d’appel,
d’intervention et les possibilités d’appel les week-end et jours fériés
¾ L’efficacité des procédures d’escalade et d’appel aux meilleurs spécialistes.
¾ La compétence et l’expertise du fournisseur
— La robustesse du service est liée à trois types de facteurs :
¾ La solidité du contractant (afin d’éviter un arrêt d’activité ou son rachat sans reprise de son activité)
¾ Les possibilités d’action ou de pression en cas de grève du personnel
¾ L’indépendance vis-à-vis de compétences pointues détenues par un petit nombre de personnes, voire par
un seul spécialiste
— La mise sous contrôle est réalisée par des audits réguliers :
¾ Des clauses du contrat et de la tenue des engagements du fournisseur
¾ Du fournisseur, afin de vérifier les points cités au titre de la robustesse.

162
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08D03 Procédures et plans de reprise des applications sur incidents


Objectif :
Assurer une gestion des incidents systèmes ou applicatifs qui soit acceptable par les utilisateurs.
Résultats attendus :
Éviter qu’un incident système ou applicatif se traduise par des pollutions ou des pertes de données ou
des pertes de service inacceptables par les utilisateurs.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— La base de ce service consiste bien entendu en l’analyse :
¾ des incidents pouvant survenir sur le système ou l’application (panne d’équipement, saturation de buffer,
panne externe, deadlock, plantage système, etc.)
¾ des conséquences de chacun de ces incidents sur les données en cours de traitement et sur la
cohérence de l’ensemble des bases de données, ainsi que sur la continuité des services offerts
¾ du caractère acceptable ou non, par les utilisateurs, de telles conséquences
— les mesures organisationnelles complémentaires consistent en des procédures destinées, en appui des
mesures techniques éventuelles, à gérer au mieux les incidents de telle sorte que :
¾ les données perdues puissent être récupérées
¾ les services puissent continuer dans des conditions acceptables.
Mesures techniques
— Les mesures techniques de base consistent d’abord à détecter les incidents et à en faire un diagnostic précis
et exact :
¾ sondes de mesure
¾ moyens et outils de diagnostic
— Les mesures techniques d’accompagnement consistent en des capacités :
¾ de points de reprise applicatifs assurant la cohérence des données
¾ de fichiers de travail temporaires assurant les possibilités de retour à l’état antérieur.
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la précision et la profondeur de l’analyse des types d’incidents, de leurs conséquences et du caractère
acceptable ou non de ces conséquences
¾ la couverture des mesures techniques et des procédures de réaction aux incidents
— La robustesse du service est liée à deux types de facteurs :
¾ La protection des moyens de diagnostic contre des altérations ou des inhibitions intempestives.
¾ La protection des moyens d’administration permettant la reprise des applications et la reconfiguration des
systèmes contre toute inhibition ou mise hors service.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des possibilités réelles de restauration des données et de reprise du service en cas d’incident
¾ de l’efficacité réelle des procédures et des moyens de surveillance et de diagnostic du fonctionnement des
applications.
¾ de la mise à jour de la documentation et des moyens de reprise à chaque évolution des systèmes ou
applications

163
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08D04 Sauvegarde des logiciels de base et applicatifs


Objectif :
Organiser la sauvegarde des configurations et des logiciels installés, pour les systèmes, les
middleware et les applications.
Résultats attendus :
Permettre une reprise rapide de l’exploitation des systèmes et des applications en cas d’effacement
accidentel d’une configuration, de reconfiguration d’équipements ou de mise en œuvre de plans de
secours.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Les mesures organisationnelles de base consistent à planifier (à fréquence fixe et à chaque évolution
majeure) et organiser les sauvegardes de l’ensemble des logiciels et des paramètres de configuration, de
sorte que l’on puisse rebâtir complètement l’environnement de production en cas de nécessité.
— Les mesures organisationnelles d’accompagnement visent à s’assurer que les sauvegardes pourront être
utilisées :
¾ contrôles de relecture périodiques
¾ stockage d’un jeu de sauvegardes de recours en dehors du site de production
Mesures techniques
— Les mesures techniques de base consistent à traduire l’organisation théorique en automates de production.
— Les mesures techniques d’accompagnement consistent à protéger ces automatismes contre des actions
volontaires ou accidentelles pouvant avoir pour effet de les modifier de manière indue.
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ l’exhaustivité des paramètres sauvegardés des configurations et des logiciels dont les sauvegardes sont
assurées
¾ la fréquence des sauvegardes
¾ l’automatisation des opérations de sauvegardes proprement dites
— La robustesse du service est liée à plusieurs types de facteurs :
¾ la protection des automatismes contre toute altération ou modification non contrôlée
¾ l’externalisation de sauvegardes de recours
— La mise sous contrôle est réalisée par :
¾ des essais réguliers de relecture des sauvegardes
¾ des tests effectués pour vérifier que l’on peut effectivement, à partir des sauvegardes, restaurer
complètement l’environnement de production
¾ des audits des procédures de sauvegardes et de la protection des automatismes
¾

164
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08D05 Sauvegarde des données applicatives


Objectif :
Organiser la sauvegarde des données relatives aux applications
Résultats attendus :
Permettre une reprise rapide de l’exploitation des applications en cas d’incident, de reconfiguration de
systèmes ou de mise en œuvre de plans de secours.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Les mesures organisationnelles de base visent à planifier et organiser les sauvegardes des données
applicatives en fonction de deux aspects également importants :
¾ l’étude de la durée maximale admissible entre deux sauvegardes pour que les inconvénients subis par les
utilisateurs soient acceptables
¾ le synchronisme entre fichiers sauvegardés pour assurer que l’exploitation des applications puisse
effectivement reprendre avec les données sauvegardées, en toute cohérence
— Les mesures organisationnelles d’accompagnement visent à s’assurer que les sauvegardes pourront être
utilisées :
¾ contrôles de relecture périodiques
¾ test effectif que l’on peut redémarrer les applications et les services correspondants à partir des
sauvegardes
¾ stockage d’un jeu de sauvegardes de recours en dehors du site de production
Mesures techniques
— Les mesures techniques de base consistent à traduire l’organisation théorique en automates de production.
— Les mesures techniques d’accompagnement consistent à protéger ces automatismes contre des actions
volontaires ou accidentelles pouvant avoir pour effet de les modifier de manière indue.
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la fréquence des sauvegardes et son adéquation aux besoins des utilisateurs
¾ le synchronisme de sauvegardes
¾ l’automatisation des opérations de sauvegardes proprement dites
— La robustesse du service est liée à plusieurs types de facteurs :
¾ la protection des automatismes contre toute altération ou modification non contrôlée
¾ l’externalisation de sauvegardes de recours
— La mise sous contrôle est réalisée par :
¾ des essais réguliers de relecture des sauvegardes des données applicatives
¾ des tests effectués pour vérifier que l’on peut effectivement, à partir des sauvegardes, restaurer
complètement les applications et redémarrer un service effectif
¾ des audits des procédures de sauvegardes et de la protection des automatismes

165
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08D06 Plans de reprise d’activité


Objectif :
Assurer la reprise d’activité des systèmes et applications en cas d’accident grave empêchant une
reprise d’activité à court terme par une simple opération de maintenance.
Résultats attendus :
Permettre une reprise de l’exploitation des applications en cas d’accident grave survenant sur une
partie plus ou moins importante du site de production, et ceci en limitant les pertes de données et dans un
délai compatible avec les besoins des utilisateurs.
Chaque fois que nécessaire, ces plans doivent s’intégrer dans des plans de continuité des activités es
métiers.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Les mesures organisationnelles initiales visent à :
¾ identifier les scénarios de sinistre ou d’accident à analyser en détail (sinistre global, sinistre partiel sur telle
ou telle partie, etc.)
¾ analyser, pour chaque scénario, compte tenu des serveurs et applications impactées, les conséquences
d’un accident grave sur la continuité des services concernés
¾ identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption admissible entre le
fonctionnement normal et le fonctionnement en mode secours (en prévoyant, éventuellement, plusieurs
étapes, avec des services progressivement repris).
¾ Documenter les scénarios et les plans de reprise en incluant leur conservation en lieu sûr,
¾ Constituer des équipes propres à réaliser les procédures et former les acteurs directs et attachés (help
desk, utilisateurs, etc.).
— Les mesures de base visent ensuite à déterminer la solution de secours, à décrire en détail les actions à
mener quand survient le sinistre, à en décrire les procédures détaillées et à les tester, puis à gérer leur mise à
jour au fil des évolutions des systèmes ou des applications.
Mesures techniques
— Les mesures techniques de base consistent à assurer une solution de secours pour tous les scénarios de
sinistre retenus, ces solutions pouvant être :
¾ des redondances d’équipements
¾ des solutions de secours sur un site distant, avec des équipements propres ou mutualisés
¾ l’installation de nouveaux matériels dans des salles prévues en conséquence (salles blanches)
¾ etc.
Qualité de service
— L’efficacité du service est essentiellement liée à plusieurs facteurs :
¾ l’exhaustivité des scénarios analysés
¾ l’adéquation des délais de mise en œuvre des diverses solutions de secours prévues avec les besoins
des utilisateurs
¾ la qualité et la rigueur de détail du plan de reprise d’activité
¾ les ressources humaines et leur niveau de préparation à l’occurrence des sinistres.
— La robustesse du service est liée à l’existence de variantes des PRA au cas où la solution de base ne serait
pas disponible ou pas assez longtemps (cas des solutions mutualisées)
— La mise sous contrôle est réalisée par :
¾ des tests de PRA représentatifs de la réalité
¾ des audits de la rigueur de gestion des procédures appelées par le plan de secours.

166
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08D07 Protection antivirale des serveurs de production


Objectif :
Assurer la protection des serveurs de production contre les risques d’infection virale
Résultats attendus :
Éviter l’action des virus et leur propagation
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels
Mesures techniques
Les mesures techniques de base consistent à équiper les serveurs de production et les serveurs de
messagerie d’antivirus efficaces :
— en provenance de plusieurs fournisseurs
— régulièrement mis à jour
Mesures organisationnelles
Les mesures organisationnelles d’accompagnement consistent en :
— la sensibilisation et la préparation des personnels informatiques et de support aux utilisateurs aux attaques
virales ou malveillantes,
— l’abonnement à des centrales d’alerte pouvant permettre d’anticiper certaines attaques massives,
— la mise en place de cellule de crise permettant de réagir très vite où une première attaque serait détectée (en
dehors de la détection par l’antivirus).
Qualité de service
— L’efficacité du service est essentiellement liée à plusieurs facteurs :
¾ la qualité des fournisseurs
¾ la fréquence des mises à jour
— La robustesse du service est liée à l’existence de cellule de veille et de cellule de crise en cas d’attaque
— La mise sous contrôle est réalisée par des audits de la fréquence des mises à jour:

167
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08D08 Gestion des systèmes critiques (vis-à-vis de la permanence de la


maintenance)
Objectif :
Assurer la continuité de l’activité en cas de disparition ou d’indisponibilité durable du fournisseur d’un
système ou d’un logiciel système (y compris le middleware) ou du prestataire chargé d’en assurer la
maintenance
Résultats attendus :
Éviter que la disparition d’un fournisseur mette en péril la continuité des services informatiques.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
Mesures organisationnelles
— Les mesures organisationnelles initiales visent à analyser, pour chaque système ou logiciel, les
conséquences de la disparition d’un fournisseur sur la disponibilité d’ensemble des services informatiques et
à identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption de maintenance
admissible entre le moment où cette disparition serait constatée et le moment où une solution de repli pourrait
être mise en œuvre
— Les mesures de base visent ensuite à définir la solution de repli et à la décrire dans un plan détaillant toutes
les actions nécessaires au succès de la solution. Ces mesures peuvent être :
¾ Le changement de système ou de logiciel système par celui d’un autre fournisseur
¾ La reprise de maintenance par un autre prestataire (les conditions détaillées comprenant alors l’accès à
une documentation de maintenance suffisante, dans des conditions à définir de manière précise)
¾ Une évolution radicale de l’architecture système permettant de se passer de l’équipement ou du logiciel
posant problème
Qualité de service
— L’efficacité du service est essentiellement liée à plusieurs facteurs :
¾ le délai de mise en œuvre des diverses solutions de repli prévues
¾ la qualité et la rigueur de détail du plan de repli prévu
— La robustesse du service est liée à l’existence de variantes des plans de repli au cas où la solution de base
ne fonctionnerait pas
— La mise sous contrôle est réalisée par des audits :
¾ de la pertinence des solutions prévues
¾ des procédures les rendant possibles (dépôt des documentations chez une tierce partie de confiance).
¾

168
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08D09 Sauvegarde de recours externalisées


Objectif :
Organiser une sauvegarde des programmes, des configurations et des données en dehors du site de
production.
Résultats attendus :
Permettre un accès à des sauvegardes de recours, même en cas d’inaccessibilité du site de
production, quelle que soit la cause qui empêche d’accéder aux sauvegardes normales de production.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Les mesures organisationnelles de base visent à organiser les sauvegardes de recours pour les cas
d’inaccessibilité du site de production, en fonction de deux aspects également importants :
¾ l’étude de la durée maximale admissible entre deux sauvegardes de recours pour que la reprise d’une
exploitation acceptable par les utilisateurs soit possible (avec éventuellement plus d’inconvénients que
pour les sauvegardes normales de production)
¾ le synchronisme entre fichiers sauvegardés pour assurer que l’exploitation des applications puisse
effectivement reprendre avec les données sauvegardées, en toute cohérence
— Les mesures organisationnelles d’accompagnement visent à s’assurer que les sauvegardes pourront être
utilisées :
¾ contrôles de relecture périodiques
¾ test effectif que l’on peut redémarrer les applications et les services correspondants à partir des
sauvegardes
Mesures techniques
— Les mesures techniques d’accompagnement visent à protéger les sauvegardes de recours contre des
accidents ou des malveillances :
¾ Site de stockage protégé et sécurisé
¾ Convoyage vers le site de stockage sécurisé
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la fréquence des sauvegardes et son adéquation aux besoins des utilisateurs
¾ le synchronisme de sauvegardes
¾ l’automatisation des opérations de sauvegardes proprement dites
— La robustesse du service est liée à plusieurs types de facteurs :
¾ la protection du site de stockage contre des accidents ou des malveillances
¾ la sécurisation du convoyage vers le site de stockage
— La mise sous contrôle est réalisée par :
¾ des essais réguliers de relecture des sauvegardes de recours
¾ des tests effectués pour vérifier que l’on peut effectivement, à partir des sauvegardes, restaurer
complètement les applications et redémarrer un service effectif
¾ des audits des procédures de sauvegardes de recours

169
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08E Détection et traitement des incidents et anomalies


08E01 Détection et traitement en temps réel des anomalies et incidents
Objectif :
Détecter en temps réel des anomalies de comportement ou des séquences anormales significatives
d’actions non autorisées et potentiellement dangereuses.
Résultats attendus :
Permettre une réaction rapide et, si possible, une intervention avant que l’action nocive ait été réussie.
A défaut limiter cette action dans le temps. Remarque : dans certains cas d’intrusion, on est surpris de
constater que des traces existaient depuis fort longtemps et auraient permis de réagir.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels
Mesures organisationnelles
— Les mesures organisationnelles de base visent à définir quelles actions ou symptômes peuvent être
significatifs d’actions anormales et potentiellement nocives et doivent faire l’objet d’une alerte et d’un
traitement adapté, par exemple :
¾ séquences d’actions représentatives de tentatives d’intrusion
¾ horaires de connexion
¾ actions menées depuis des sites particuliers
¾ multiplication des accès vers des serveurs différents
¾ répétition d’alarmes simples venant d’autres systèmes de sécurité
— En complément de cette analyse, il est nécessaire de définir les réactions appropriées :
¾ types d’alerte adaptés
¾ organisation d’une équipe d’intervention et des capacités d’escalade
¾ réactions attendues, cas par cas, de l’équipe d’intervention.
Mesures techniques
Les mesures techniques de détection comportent plusieurs types de solutions :
— les systèmes de détection de pénétration de systèmes qui s’appuient sur des bases de données de
séquences révélatrices de tentatives d’intrusion
— l’enregistrement de rejets opérés par les systèmes de filtrage et la détection de répétitions anormales de
rejets (tentatives de connexion avortées, tentatives successives de différents logins, etc.)
— les systèmes spécifiques de détection de comportements considérés comme anormaux
Ces systèmes, qui peuvent être supportés par des outils plus ou moins sophistiqués, débouchent sur
des alertes à destination d’une équipe d’intervention, voire sur des actions automatiques (blocage de la
connexion, blocage de toutes les connexions en cas d’attaque en déni de service, etc.).
Il est clair qu’en accompagnement de ces mesures, les droits d’administration nécessaires pour
paramétrer ces systèmes doivent être strictement contrôlés.
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ le nombre de cas détectés et la profondeur de l’analyse préliminaire des cas donnant lieu à alarme, ainsi
que le maintien à jour de ces données
¾ la qualité et la rigueur de l’analyse des réactions attendues de l’équipe d’intervention
¾ la compétence de cette équipe et sa disponibilité
— La robustesse du service est liée à deux facteurs :
¾ La rigueur de la gestion des droits nécessaires pour administrer les paramètres d’alarmes et la solidité des
contrôles qui sont faits à ce sujet
¾ L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système de surveillance
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système de surveillance
¾ de la disponibilité de l’équipe d’astreinte et de la surveillance effective des systèmes et applications

170
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08E02 Surveillance en temps différé des traces, logs et journaux


Objectif :
Détecter en temps différé des anomalies de comportement ou des séquences anormales significatives
d’actions non autorisées et potentiellement dangereuses, par une analyse a posteriori des traces logs et
journaux.
Résultats attendus :
Permettre de limiter dans le temps les actions anormales et en dissuader les acteurs internes.
Remarque : Ce service permet de vérifier le respect d’interdictions qu’il n’a pas été possible (ou
souhaité) d’éliminer par les services de prévention.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels
Mesures techniques
Les mesures techniques comportent deux types de solutions complémentaires :
— les systèmes d’enregistrement de diverses traces, la journalisation des opérations effectuées par les équipes
d’exploitation et en particulier les paramétrages de systèmes de sécurité ou les reconfigurations de systèmes
et les logs, plus ou moins exhaustifs, des actions effectuées par les utilisateurs (connexions, accès divers,
contenu des transactions, mots clés, etc.)
— l’analyse de tous ces éléments qui, sans outil d’assistance, se révèle totalement inefficace (la masse
d’enregistrements que l’on peut conserver est telle qu’une analyse manuelle est souvent illusoire, si ce n’est
totalement impossible). Le résultat de l’analyse est alors un diagnostic (éventuellement sous forme de tableau
de bord) qui peut être analysé par une équipe ad hoc, voire donner lieu à des alarmes directes.
L’analyse du diagnostic débouche sur des alertes à destination soit d’une équipe d’intervention
technique, en particulier pour les cas de détection d’actions menées depuis l’extérieur, soit de la
hiérarchie, pour les actions menées par du personnel interne.
Il est clair qu’en accompagnement de ces mesures, les droits d’administration nécessaires pour
paramétrer ces systèmes doivent être strictement contrôlés.
Mesures organisationnelles
— Les mesures organisationnelles de base visent à supporter les mesures techniques :
¾ définition et mise à jour régulière des événements à enregistrer
¾ gestion des outils d’analyse et des paramètres déclenchant une alarme directe
¾ synthèse des enregistrements et prétraitements éventuels
¾ équipe en charge d’analyser les résultats de synthèse fournis par l’analyse des traces et logs
— En appui de ces mesures, il est nécessaire de définir, cas par cas, les réactions attendues de l’équipe
d’intervention (par exemple conduite à tenir en cas d’abus de droits ou d’actions « interdites »).
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ la couverture des enregistrements et la profondeur de l’analyse préliminaire des cas donnant lieu à alarme
directe et des synthèses effectuées souhaitables,
¾ la qualité et la rigueur de l’analyse des réactions attendues de l’équipe d’intervention
¾ la compétence de cette équipe et sa disponibilité
— La robustesse du service est liée à deux facteurs :
¾ La rigueur de la gestion des droits nécessaires pour administrer les enregistrements ainsi que les
paramètres d’analyse et d’alarmes et la solidité des contrôles qui sont faits à ce sujet
¾ L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système d’enregistrement ou du
système d’analyse et de surveillance
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système d’enregistrement et de surveillance
¾ de l’analyse effective des synthèses et alarmes par l’équipe qui en a la charge

171
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08E03 Gestion et traitement des incidents systèmes et applicatifs


Objectif :
Enregistrer les incidents systèmes et applicatifs et en assurer un traitement adéquat et un suivi régulier
Résultats attendus :
Éviter qu’un incident mineur (ex. base de données près de la saturation ou conflit d’accès) ou qu’une
série d’incidents mineurs ne soient pas traités convenablement et qu’ils débouchent sur un accident
majeur (par exemple blocage complet d‘une application)
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels
Mesures techniques
Les mesures techniques comportent essentiellement un système d’enregistrement de tous les
incidents, que ces incidents soient signalés par l’exploitation ou par les utilisateurs, qu’ils soient avérés ou
simplement suspectés.
Le système doit, bien évidemment permettre le suivi et la mise à jour de chaque incident au fur et à
mesure de la progression des actions visant à le traiter.
Le système comporte généralement des synthèses sous forme de tableau de bord, par type d’incident.
En complément le système de gestion des incidents comporte souvent des accès sélectifs à
l’information, pour que certains champs ne soient accessibles qu’à certains profils d’administrateurs (par
exemple, le nom des personnes impliquées).
Mesures organisationnelles
Les mesures organisationnelles de base visent à mettre en place une équipe en charge de la réception
des appels (hot line ou help desk, généralement), de l’enregistrement des incidents, de l’aiguillage vers
l’équipe concernée et du suivi de l’incident.
En complément, il est souhaitable de définir, a priori, une typologie d’incidents, pour pouvoir en
effectuer un suivi statistique, ainsi qu’une hiérarchie, certains incidents faisant l’objet d’un reporting en
temps quasi réel et d’autres ne faisant l’objet que d’un reporting statistique.
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ la couverture des types d’incidents effectivement gérés par le système,
¾ la typologie des incidents et la capacité des outils à assister l’équipe ad hoc dans le suivi des incidents
(rappel des incidents non soldés dans un délai donné, workflow, etc.)
— La robustesse du service est liée à deux facteurs :
¾ La rigueur de la gestion des droits nécessaires pour administrer le système de gestion des incidents et
pour modifier ou effacer un incident ainsi que la rigueur des contrôles d’accès qui sont faits à ce sujet
¾ L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système de suivi des incidents
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système d’enregistrement et de suivi des incidents
¾ du suivi effectif des incidents par l’équipe qui en a la charge

172
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08F Contrôle des droits d’administration


08F01 Gestion des droits privilégiés sur les systèmes
Objectif :
Déterminer quelles catégories de personnel ont de réels besoin d’avoir des droits privilégiés, dans
quelles conditions et dans quelles limites, sur des systèmes et gérer avec rigueur l’attribution de tels droits,
afin de pouvoir empêcher l’utilisation abusive de ces droits par ceux qui n’en ont pas le besoin.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas (ou plus) la nécessité d’accéder aux systèmes avec des droits privilégiés.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
— Identifier tous les profils de personnel d’exploitation nécessitant, pour leur travail, des droits d’administration,
par exemple :
¾ administrateurs systèmes
¾ personnel chargé du pilotage applicatif ou du pilotage de la production
¾ opérateurs chargés d’opérations de routine telles que des sauvegardes
¾ etc.
— Définir, puis gérer dans le temps, les droits génériques attribués à chaque profil
— Définir le processus d’attribution, de gestion et de retrait des profils au personnel et le responsable de cette
attribution, par exemple :
¾ hiérarchie pour le personnel interne
¾ signataire de la commande pour un prestataire
— Mettre en place un processus de contrôle (ou d’audit) régulier des droits attribués.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les supports faisant l’interface
entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en
autorisations ou interdictions concrètes d’accès. Il s’agit donc de protéger contre toute modification illicite :
— Le transfert d’information entre les décisionnaires et les personnes en charge d’établir les autorisations
d’accès (super administrateur des administrateurs, par exemple le RSSI ou le DSI).
— Les tables listant les administrateurs chargés de renseigner les autorisations d’accès
— Les tables ou documents matérialisant ces décisions.
Il s’agit donc de techniques de scellement, pour les mesures les plus efficaces, à défaut
éventuellement d’accusé de réception pour la transmission et d’audit régulier pour les tables et
documents.
Qualité de service
— L’efficacité du service est directement liée à la rigueur des procédures permettant de définir les profils ainsi
que les droits associés et à la rigueur de gestion des attributions de profil.
— La robustesse du service est directement liée à la solidité des mesures techniques de protection des
transferts d’information et des base de données des droits
— La mise sous contrôle est réalisée par des audits ou inspections régulières, tant des catégories de personnes
et des droits attribués que des processus de gestion eux-mêmes.

173
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08F02 Authentification et contrôle des droits d’accès des administrateurs


et personnels d’exploitation
Objectif :
S’assurer lors de l’accès aux systèmes d’information avec des droits privilégiés que la personne qui
tente de se connecter est bien celle qu’elle prétend être.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’étant
pas (ou plus) autorisées individuellement à accéder aux systèmes avec des droits privilégiés.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le contrôle des droits d’accès d’une part et l’authentification
d’autre part, c'est-à-dire le contrôle d’une caractéristique que la personne, individuellement, possède ou
connaît :
¾ Vérification des droits d’accès en fonction du contexte d’accès (local ou à distance, par lien sécurisé ou
non, horaire, etc.)
¾ Contrôle du mot de passe ou du secret partagé entre la personne et un équipement de contrôle
¾ Contrôle d’un objet physique reconnaissable possédé par la personne (généralement en association avec
un secret partagé entre la personne et l’objet)
¾ Contrôle d’une caractéristique propre de la personne (empreinte digitale, caractéristique faciale ou de la
voix, etc.)
— Les mesures complémentaires concernent la protection contre les tentatives d’usurpation d’identité :
¾ Protection du processus de diffusion initiale des conventions secrètes (mots de passe)
¾ Protection du protocole d’authentification pour éviter qu’il ne soit écouté et dupliqué.
¾ Protection des éléments d’authentification conservés par l’utilisateur ou les équipements assurant
l’authentification (stockage des mots de passe, par exemple)
¾ Inhibition du processus d’authentification en cas de tentative répétée infructueuse
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion des anomalies ou des
dysfonctionnements ou violations des mesures techniques :
¾ Gestion de relation utilisateur en cas de perte de mot de passe ou de support d’authentification
¾ Procédures d’alerte en cas de tentatives répétées échouées
Qualité de service
— L’efficacité du service est liée à la solidité ou l’inviolabilité du mécanisme d’authentification proprement dit
(force et solidité du moyen d’authentification, solidité de l’algorithme cryptologique éventuellement utilisé pour
authentifier, solidité de l’algorithme et du protocole contre toute écoute et réutilisation de séquence, etc.)
— La robustesse du service est liée à trois facteurs :
¾ la solidité et l’inviolabilité des protocoles annexes tels que diffusion initiale, échanges ou stockage des
éléments secrets
¾ les mesures de protection des protocoles d’authentification et des équipements assurant le déroulement
de ces protocoles pour éviter qu’ils ne soient altérés ou inhibés
¾ les mesures organisationnelles complémentaires pour éviter que les procédures de gestion d’exceptions
ne soient utilisées pour obtenir à tort une autorisation d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des profils et des droits privilégiés ainsi que leur attribution à es personnes
¾ des paramètres supports des mécanismes d’authentification,
¾ des systèmes de détection des violations et des arrêts du contrôle d’accès
¾ des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures

174
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08F03 Surveillance des actions d’administration des systèmes


Objectif :
Détecter en temps différé des anomalies de comportement des administrateurs systèmes ou de
personnes en ayant acquis les droits, par une analyse a posteriori de traces spécifiques.
Résultats attendus :
Permettre de limiter dans le temps des actions anormales menées avec des droits d’administration.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels
Mesures techniques
Les mesures techniques comportent deux types de solutions complémentaires :
— les systèmes d’enregistrement de diverses traces et la journalisation des opérations effectuées par les
équipes d’exploitation et en particulier les paramétrages d’équipements de sécurité ou les reconfigurations de
systèmes et les actions sur des logs
— des systèmes permettant de détecter une altération d’enregistrements passés ou leur effacement de même
qu’une modification des paramètres d’enregistrement et d’émettre alors une alerte auprès d’un responsable
— des systèmes permettant d’effectuer une synthèse rapide des enregistrements et de transmettre, sans
possibilité d’altération, cette synthèse à un responsable, de telle sorte qu’il puisse lancer une investigation en
cas d’anomalie
Mesures organisationnelles
— Les mesures organisationnelles de base visent à supporter les mesures techniques :
¾ définition et mise à jour régulière des actions d’administration à enregistrer
¾ élaboration d’une synthèse significative permettant de détecter des anomalies de comportement
¾ mise en place des procédures de contrôle permettant de détecter une altération des mécanismes décidés
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ la couverture des enregistrements et la profondeur de l’analyse préliminaire des actions d’administration
donnant lieu à enregistrement
¾ l’analyse des actions potentiellement anormales et l’élaboration d’une synthèse significative
— La robustesse du service est liée à deux facteurs :
¾ La solidité des mécanismes de détection et d’alerte en cas de modification ou d’effacement
d’enregistrements passés ou d’altération des paramètres d’enregistrement
¾ L’alerte directe d’un responsable en cas d’inhibition ou d’arrêt du système d’enregistrement ou du système
d’alerte
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système d’enregistrement et de surveillance
¾ des procédures d’alerte

175
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08G Procédures d’audit et de contrôle des systèmes de traitement de


l’information
08G01 Fonctionnement des contrôles d'audit
Objectif :
S’assurer que exigences et les procédures d’utilisation des outils d’audit existent , sont respectées et
contrôlées.
Résultats attendus :
Prévenir toute utilisation illicite de ces outils d’audit (tests de pénétration ou de vulnérabilités, etc.) ainsi
que tout accident pouvant résulter de ces opérations.
Mécanismes et solutions
Les solutions à mettre en œuvre sont essentiellement organisationnelles, mais s’appuient également
sur des mesures techniques :
Mesures organisationnelles
— Les mesures organisationnelles concernent les règles et procédures à respecter lors de la mise en œuvre de
tels audits :
¾ Etablissement des limitations et des exigences d’utilisation,
¾ Documentation des règles et des responsabilités,
¾ Critères d’autorisation et de respect de leur déontologie pour les auditeurs.
Mesures techniques
— Les mesures techniques d’accompagnement concernent :
¾ L’enregistrement de l’activation de ces tests d’audit
¾ L’enregistrement des opérations menées sur des données sensibles
Qualité de service
— L’efficacité du service est liée à la réalité de la prise en compte, par le management et les personnes en
charge des outils d’audit, des exigences édictées sur leur utilisation.
— La mise sous contrôle est réalisée par :
¾ L’audit des enregistrements de l’utilisation des outils et des accès à des données critiques pour l’entreprise

176
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

08G02 Protection des outils et résultats d'audit


Objectif :
S’assurer que les outils (équipements comme logiciels de tests) d’audit existants sont conservés et
protégés contre toute utilisation abusive ou malveillante et que les résultats obtenus avec eux sont
protégés contre toute altération ou destruction illicite
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’étant
pas (ou plus) autorisées individuellement à utiliser ces outils d’audit.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques concernent:
¾ La conservation des outils matériels éventuels en lieu sûr et leur attribution selon des processus définis et
auditables,
¾ La protection des accès aux outils logiciels et le contrôle des droits d’accès à ces outils avant toute
utilisation,
¾ La protection des enregistrements des opérations effectuées lors de ces audits.
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent :
¾ L’attribution des droits d’accès et d’utilisation des outils d’audit aux seules personnes susceptibles d’en
faire et dûment habilitées pour cela,
¾ Le contrôle du non abus de tels droits,

Qualité de service
— L’efficacité du service est liée :
¾ aux mécanismes de protection des accès aux outils
¾ aux mécanismes de protection des accès aux enregistrements réalisés avec eux.
— La robustesse du service est liée à :
¾ La solidité des mécanismes de détection et d’alerte en cas d’arrêt ou d’inhibition des mécanismes de
contrôle d’accès aux outils d’audit
¾ L’alerte directe d’un responsable en cas d’inhibition ou d’arrêt du système d’enregistrement des opérations
réalisées avec les outils d’audit
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système d’enregistrement et de surveillance des actions menées avec les
outils d’audit
¾ des systèmes de contrôle d’accès aux outils d’audit

177
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

Domaine 9 : Sécurité applicative

09A Contrôle d’accès applicatif


Objectif :
Faire en sorte que seuls les utilisateurs autorisés aient accès aux données applicatives.
Résultats attendus :
Prévenir les tentatives d’accès, par des personnes non autorisées, aux données et bases de données
des applications.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires qui
peuvent être simultanément nécessaires :
— 09A01 : Gestion des profils d’accès aux données applicative
— 09A02 : Gestion des autorisations d'accès aux données applicatives
— 09A03 : Authentification de l'accédant lors des accès aux données applicatives
— 09A04 : Filtrage des accès aux données applicatives

09B Contrôle de l’intégrité des données


Objectif :
Protéger les données saisies, stockées ou échangées contre des altérations indues ou illicites.
Résultats attendus :
Prévenir les altérations de données pouvant passer inaperçues, soit en empêchant qu’elles soient
altérées, soit en détectant leur altération avant usage.
Services de sécurité :
Les services de sécurité correspondants sont les suivants :
— 09B01 : Scellement des données sensibles
— 09B02 : Protection de l’intégrité des données échangées
— 09B03 : Contrôle de la saisie des données
— 09B04 : Contrôles permanents

09C Contrôle de la confidentialité des données


Objectif :
Protéger les données saisies, stockées ou échangées contre des divulgations indues ou illicites.
Résultats attendus :
Prévenir les divulgations de données à des personnes non autorisées ou dans des conditions non
autorisées.
Services de sécurité :
Les services de sécurité correspondants sont les suivants :
— 09C01 : Chiffrement des données échangées
— 09C02 : Chiffrement des données stockées
— 09C03 : Dispositif anti-rayonnement

178
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09D Disponibilité des données


Objectif :
Assurer la disponibilité ou le recouvrement des données en toutes circonstances.
Résultats attendus :
Éviter que des accidents ou des malveillances rendent des données totalement ou en partie
indisponibles.
Services de sécurité :
Les services de sécurité correspondants sont les suivants :
— 09D01 : Enregistrement de très haute sécurité
— 09D02 : Reconstitution des données
— 09D03 : Reconstitution des traitements
— 09D04 : Organisation de la politique d’archivage

09E Continuité de fonctionnement


Objectif :
Assurer la continuité de fonctionnement des services applicatifs.
Résultats attendus :
Éviter que des accidents ou des malveillances arrêtent les services applicatifs au delà d’une durée
inacceptable par les utilisateurs.
Services de sécurité :
Les services de sécurité correspondants sont les suivants :
— 09E01 : Reconfiguration matérielle
— 09E02 : Plans de continuité utilisateurs
— 09E03 : Plans d’urgence
— 09E04 : Gestion des applications critiques (vis-à-vis de permanence de la maintenance)
— 09E05 : Reconstitution des programmes de traitement

09F Contrôle de l’émission et de la réception des données


Objectif :
Assurer certains services de sécurité lors de l’émission de messages
Résultats attendus :
Éviter que des messages soient dupliqués, répudiés ou détournés sans que l’utilisateur s’en aperçoive.
Services de sécurité :
Les services de sécurité correspondants sont les suivants :
— 09F01 : Garantie d’origine – signature électronique
— 09F02 : Individualisation des messages empêchant leur duplication
— 09F03 : Accusé de réception

179
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09G Détection et gestion des incidents et anomalies applicatifs


Objectif :
Détecter et gérer les incidents et anomalies applicatifs
Résultats attendus :
Éviter que des incidents ou anomalies perdurent et limiter leur impact.
Services de sécurité :
Les services de sécurité correspondants sont les suivants :
— 09G01 : Détection et gestion des incidents et anomalies applicatifs.

09H Services et applications liés au commerce électronique


Objectif :
Assurer la sécurité des services de commerce électroniques et un usage sûr de ces services.
Résultats attendus :
Éviter que des applications de commerce électronique introduisent des risques spécifiques.
Services de sécurité :
Les services de sécurité correspondants sont les suivants :
— 09H01 : Sécurité des sites de commerce électroniques.

180
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09A Contrôle d’accès applicatif


09A01 Gestion des profils d’accès aux données applicatives
Objectif :
Déterminer, pour chaque type de données, au sein des applications, quelles catégories de personnel,
interne ou non, ont de réels besoin d’y avoir accès, avec quels droits (lecture, écriture, création, etc.), dans
quelles conditions et dans quelles limites, afin de pouvoir empêcher ceux qui n’en ont pas le besoin d’agir
sur des données.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas (ou plus) la nécessité d’accéder aux données applicatives. Ces actions pourraient être des accès
injustifiés à des informations confidentielles, des altérations ou des destructions de données ou de
programmes.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
— Identifier, pour chaque application, les profils de personnel devant y avoir accès dans le cadre de leur travail,
en distinguant les profils devant avoir des droits distincts, par exemple :
¾ Les acheteurs pour l’accès à l’application de gestion des commandes
¾ L’acheteur initialisant la commande, à l’intérieur des profils d’acheteurs
¾ Le chef de service validant la commande,
¾ Le responsable de la gestion des comptes fournisseurs,
¾ Etc.
— Désigner, pour chaque type de profil général (comptable, RH, etc.), un responsable de la gestion des droits
attribués à cette catégorie de profil (sous-profil).
— Faire définir, puis gérer dans le temps, par ces responsables, les droits génériques attribués à chaque
catégorie de profils. Ces droits doivent préciser, en fonction éventuellement du contexte de l’utilisateur
(présent sur le réseau interne ou se connectant depuis l’extérieur, etc.) :
¾ Les types de données auxquels le profil doit avoir accès
¾ Les actions autorisées sur ces données (consulter, créer, modifier, détruire, etc.)
¾ Le groupe d’appartenance venant compléter le profil et limiter, éventuellement, le champ de données
auquel le profil a accès
— Mettre en place un processus de contrôle (ou d’audit) régulier des droits attribués aux profils.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les supports faisant l’interface
entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en
autorisations ou interdictions concrètes d’accès. Il s’agit donc de protéger contre toute modification illicite :
— Le transfert d’information entre les décisionnaires et les personnes en charge d’établir les autorisations
d’accès.
— Les tables ou documents matérialisant ces décisions.
Il s’agit donc de techniques de scellement, pour les mesures les plus efficaces, à défaut
éventuellement d’accusé de réception pour la transmission et d’audit régulier pour les tables et
documents.
Qualité de service
— L’efficacité du service est directement liée à la rigueur des procédures permettant de définir les catégories de
profils et les droits associés.
— La robustesse du service est directement liée à la solidité des mesures techniques de protection des
transferts d’information et des bases de données des droits
— La mise sous contrôle est réalisée par des audits ou inspections régulières, tant des catégories de personnes
et des droits attribués que des processus de gestion eux-mêmes.

181
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09A02 Gestion des autorisations d’accès aux données applicatives


Objectif :
Attribuer individuellement les autorisations d’accès aux données applicatives à chaque personne
intéressée et gérer ces autorisations dans le temps, afin de pouvoir limiter leurs droits et privilèges à leurs
seuls besoins et aux seules périodes concernées.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas (ou plus) la nécessité d’accéder aux données applicatives.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
— Définir les responsables de l’attribution d’un « profil d’accès » à une personne physique, par exemple :
¾ Hiérarchie pour le personnel interne ou le personnel nomade
¾ Signataire de la commande pour un prestataire
— Définir, pour chaque catégorie de profil d’accès les variables de droits à préciser par le responsable
demandeur :
¾ Période de validité
¾ Heures et jours de validité
— Définir l’ensemble des processus d’attribution, de modification et de retrait de profils (et donc de droits) à une
personne, depuis l’expression du besoin jusqu’à l’attribution ou le retrait effectif des droits
— Définir les processus de contrôle et de détection des anomalies dans la gestion des autorisations.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les supports faisant l’interface
entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en
autorisations ou interdictions concrètes d’accès (entrée d’identifiant et de droits dans les tables systèmes).
Il s’agit donc de s’assurer que la demande reçue par le personnel en charge d’ouvrir ou de modifier les
droits est bien authentique.
Il s’agit donc de techniques de signature et de contrôle de signature, que cette signature soit
électronique ou non (le scellement électronique étant ici apparenté à une signature). Des certificats
peuvent être également employés.
Qualité de service
— L’efficacité du service est directement liée à la rigueur des procédures permettant d’attribuer des profils
d’accès aux personnes, de les modifier éventuellement et d’invalider les autorisations (entrées dans les tables
systèmes) dès que le besoin a disparu.
— La robustesse du service est directement liée à la solidité des mesures techniques de protection des
transferts d’information et des bases de données des droits attribués
— La mise sous contrôle est réalisée par des audits ou inspections régulières des droits attribués, de l’usage
pratique de ces droits et des processus de gestion eux-mêmes.

182
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09A03 Authentification lors de l’accès aux données applicatives


Objectif :
S’assurer lors de l’accès aux systèmes et applications que la personne qui tente de se connecter est
bien celle qu’elle prétend être.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’étant
pas (ou plus) autorisées individuellement à accéder aux données applicatives.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le contrôle d’une caractéristique que la personne,
individuellement, possède ou connaît :
¾ Mot de passe ou secret partagé entre la personne et un équipement de contrôle
¾ Objet physique reconnaissable possédé par la personne (généralement en association avec un secret
partagé entre la personne et l’objet)
¾ Caractéristique propre de la personne (empreinte digitale, caractéristique faciale ou de la voix, etc.)
— Les mesures complémentaires concernent la protection contre les tentatives d’usurpation d’identité :
¾ Protection du processus de diffusion initiale des conventions secrètes (mots de passe)
¾ Protection du protocole d’authentification pour éviter qu’il ne soit écouté et dupliqué.
¾ Protection des éléments d’authentification conservés par l’utilisateur ou les équipements assurant
l’authentification (stockage des mots de passe, par exemple)
¾ Inhibition du processus d’authentification en cas de tentative répétée infructueuse
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion des anomalies ou des
dysfonctionnements ou violations des mesures techniques :
¾ Gestion de relation utilisateur en cas de perte de mot de passe ou de support d’authentification
¾ Procédures d’alerte en cas de tentatives répétées échouées
Qualité de service
— L’efficacité du service est liée à la solidité ou l’inviolabilité du mécanisme d’authentification proprement dit
(force et solidité du mot de passe, solidité de l’algorithme cryptologique éventuellement utilisé pour
authentifier, solidité de l’algorithme et du protocole contre toute écoute et réutilisation de séquence, etc.)
— La robustesse du service est liée à trois facteurs :
¾ l’inviolabilité des protocoles annexes tels que diffusion initiale, échanges ou stockage des éléments
secrets
¾ les mesures de protection des protocoles d’authentification et des équipements assurant le déroulement
de ces protocoles pour éviter qu’ils ne soient altérés ou inhibés
¾ les mesures organisationnelles complémentaires pour éviter que les procédures de gestion d’exceptions
ne soient utilisées pour obtenir à tort une autorisation d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes d’authentification,
¾ des systèmes de détection des violations et des arrêts du contrôle d’accès
¾ des procédures de réaction aux anomalies et incidents et de la mise en œuvre de ces procédures

183
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09A04 Filtrage des accès aux données applicatives


Objectif :
S’assurer lors de l’accès aux données applicatives et avant qu’une action soit menée sur ces données
que la personne qui demande cette action y est bien autorisée.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas (ou plus) les droits nécessaires pour exécuter cette action.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le filtrage des actions :
¾ Identification et reconnaissance de la personne tentant de se connecter
¾ Authentification de la personne
¾ Identification du contexte propre de la tentative de connexion et sélection des règles de filtrage applicables
à ce contexte
¾ Contrôle que les droits attribués à la personne et que le contexte de connexion autorisent bien l’action
demandée
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du
système :
¾ Interruption des autorisations en cas d’inactivité et redemande d’authentification à la reprise du travail
¾ Protection du processus de fixation des règles de filtrage (échanges d’informations et tables de
paramètres)
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion des évolutions des règles de
filtrage en fonction des contextes :
¾ Gestion des demandes de modification
Qualité de service
— L’efficacité du service est liée à la rigueur avec laquelle les règles de filtrage ont été déterminées et à la
qualité du processus de contrôle
— La robustesse du service est liée à deux facteurs :
¾ la protection des processus et protocoles de contrôle et des tables de paramètres correspondants
¾ les mesures organisationnelles complémentaires pour éviter que les procédures de gestion de
modifications ne soient utilisées pour libérer à tort des contraintes d’accès
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes de contrôle d’accès,
¾ des systèmes de détection d’inhibition ou d’arrêt du contrôle d’accès
¾ de la mise en œuvre de ces procédures

184
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09B Contrôle de l’intégrité des données


09B01 Scellement des données sensibles (fichiers)
Objectif :
Protéger l’intégrité des données stockées.
Résultats attendus :
Empêcher qu’une personne non autorisée puisse modifier le contenu des informations contenues dans
les fichiers, sans que cela soit détecté (avant utilisation).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le scellement des données
¾ Choix de l’algorithme
¾ Mise en place de la solution (généralement logicielle) de scellement
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du
système :
¾ Protection logique des solutions logicielles de scellement (protection du logiciel, protection de la génération
des paires de clés publiques et privées)
¾ Sécurité de la diffusion et du contrôle des clés publiques
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion du système de scellement et la
gestion des évolutions des règles de scellement :
¾ Système de gestion et de publication des clés publiques de scellement
¾ Système de révocation de clés en cas de violation
¾ Procédure de contrôle des sceaux (ou automatisme)
Qualité de service
— L’efficacité du service est essentiellement liée à :
¾ la solidité de l’algorithme de scellement et de génération des paires de clés, privées et publiques
¾ le rigueur des procédures de contrôle des sceaux
— La robustesse du service est liée à plusieurs facteurs :
¾ la protection des mécanismes de scellement logiciel
¾ la solidité du processus et des procédures de publication des clés publiques, de leur contrôle de validité et
de gestion d’anomalies (révocation)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes de scellement,
¾ des systèmes de détection d’inhibition ou d’arrêt du mécanisme de scellement
¾ de la mise en œuvre des procédures de gestion de clés

185
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09B02 Protection de l’intégrité des données échangées


Objectif :
Protéger l’intégrité des échanges de données.
Résultats attendus :
Empêcher qu’une personne non autorisée puisse modifier le contenu des informations échangées lors
de transactions applicatives, lors de transferts de données entre postes clients et serveurs ou lors
d’échanges de messages, sans que cela soit détecté (avant utilisation).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le scellement des échanges
¾ Choix de l’algorithme
¾ Mise en place de la solution (généralement logicielle) de scellement
¾ Mise en place de la solution de contrôle des sceaux (automatique)
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du
système :
¾ Protection logique des solutions logicielles de scellement (protection du logiciel, protection de la génération
des paires de clés publiques et privées)
¾ Sécurité de la diffusion et du contrôle des clés publiques
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent la gestion du système de scellement et de
contrôle des sceaux :
¾ Système de gestion et de publication des clés publiques de scellement
¾ Système de révocation de clés en cas de violation
Qualité de service
— L’efficacité du service est essentiellement liée à :
¾ la solidité de l’algorithme de scellement et de génération des paires de clés, privées et publiques
¾ l’automatisme et l’inviolabilité du système de contrôle des sceaux
— La robustesse du service est liée à plusieurs facteurs :
¾ la protection des mécanismes de scellement logiciel et de contrôle des sceaux
¾ la solidité du processus et des procédures de publication des clés publiques, de leur contrôle de validité et
de gestion d’anomalies (révocation)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes de scellement,
¾ des systèmes de détection d’inhibition ou d’arrêt du mécanisme de scellement
¾ de la mise en œuvre des procédures de gestion de clés

186
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09B03 Contrôle de la saisie des données


Objectif :
Protéger l’intégrité de la saisie des données.
Résultats attendus :
Empêcher qu’une erreur ou qu’une malveillance dans la saisie des données passe inaperçue et se
traduise par une pollution incontrôlée de bases de données.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais s’appuient également
sur des mesures techniques :
Mesures organisationnelles
— Les mesures organisationnelles de base consistent en un contrôle de la saisie des données :
¾ Autocontrôle par la personne chargée de la saisie
¾ Contrôle par une personne indépendante
— Les mesures organisationnelles d’accompagnement consistent en des incitations, plus ou moins fortes,
positives (bonus) ou négatives (malus), à la bonne saisie et à l’absence d’erreur.
Mesures techniques
— Les mesures techniques d’accompagnement visent à éviter ou à signaler les erreurs par la mise en place de
« formats standards » dans lesquelles les données saisies doivent entrer (fourchettes absolues, critères de
cohérence avec d’autres données, etc.
Qualité de service
— L’efficacité du service est essentiellement liée à :
¾ La rigueur du processus de contrôle
¾ L’indépendance du contrôle (en particulier contre la malveillance)
¾ La force des incitations à une saisie sans erreur
— La robustesse du service est liée à la protection du système de contrôle par formats standards si ce système
existe
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De la saisie et de la qualité des autocontrôles,
¾ Du processus de contrôle
¾ Du système de gestion des formats standards, s’il existe

187
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09B04 Contrôles permanents


Objectif :
Protéger l’intégrité des données par des contrôles applicatifs.
Résultats attendus :
Empêcher qu’une erreur ou qu’une malveillance, dans la saisie des données ou dans des processus
opératoires, se propage et se traduise par une pollution incontrôlée de bases de données.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais s’appuient sur des
mesures techniques :
Mesures organisationnelles
— Les mesures organisationnelles de base consistent à définir un contrôle de la pertinence des données, en les
comparant à des ratios ou des fourchettes de vraisemblance, en faisant des contrôles de cohérence par
rapport à des valeurs passées ou à d’autres données, etc. Des exemples types sont qu’une augmentation de
salaire ne dépasse pas 10 %, que la masse salariale ne dépasse pas une valeur donnée, que le même
compte bancaire n’est pas présent dans une bande de virement de salaires plus de 5 fois, etc.
— Les mesures organisationnelles d’accompagnement consistent à définir les actions à mener en cas de
détection d’une anomalie par les contrôles (blocage de la transaction en cours, alerte, etc.).
Mesures techniques
— Les mesures techniques d’accompagnement visent à incorporer ces contrôles dans le code des applications
et ceci de manière contrôlable :
¾ Identification des parties de code correspondant à des contrôles, pour qu’elles soient auditables
¾ Séparation des paramètres de contrôle du code même de contrôle
Qualité de service
— L’efficacité du service est essentiellement liée à :
¾ La rigueur de l’analyse ayant conduit à introduire des contrôles permanents
¾ l’étroitesse des fourchettes de contrôle
— La robustesse du service est liée à la protection du système de contrôle :
¾ Protection du code contre toute altération ou inhibition
¾ Protection des tables de contrôle contre toute modification indue
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De la pertinence des paramètres de contrôle,
¾ Du processus de contrôle

188
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09C Contrôle de la confidentialité des données


09C01 Chiffrement des données échangées
Objectif :
Protéger la confidentialité des informations échangées.
Résultats attendus :
Empêcher qu’une personne non autorisée puisse accéder au contenu des informations échangées sur
les réseaux (internes ou externes).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le chiffrement ou cryptage des données (il s’agit ici de
chiffrement au niveau applicatif) :
¾ Détermination de l’algorithme et du système de clés à générer et distribuer
¾ Mise en place de la solution matérielle ou logicielle
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du
système :
¾ Protection des matériels ou logiciels de chiffrement
¾ Protection du processus de distribution et de conservation des éléments secrets (clés)
¾ Protection du processus pratique de mise en œuvre de la solution de chiffrement
¾ Protection du poste de travail pendant l’utilisation des données décryptées
¾ Protection du poste de travail contre des altérations du poste ou l’introduction de logiciel espion
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles de base concernent la distribution de la solution de chiffrement :
¾ Processus de distribution du support de chiffrement (matériel ou logiciel)
¾ Processus de distribution des clés secrètes
¾ Processus de publication éventuelle des clés publiques (et de leur révocation)
— Les mesures organisationnelles d’accompagnement concernent éventuellement les mesures à prendre par
les utilisateurs quand ils travaillent avec des données décryptées (déconnexion du réseau, par exemple)
Qualité de service
— L’efficacité du service est essentiellement liée à :
¾ la solidité de l’algorithme de chiffrement et de génération de clés secrètes (ou de paires de clés)
¾ la solidité de la protection de la mise en œuvre du processus de chiffrement et de déchiffrement (parfois
protégée par un simple mot de passe sur le poste de travail)
— La robustesse du service est liée à plusieurs facteurs :
¾ la protection des mécanismes de chiffrement (boîtiers physiques ou logiciel)
¾ la solidité du processus et des procédures d’échange de clés et de gestion d’anomalies (révocation)
¾ la solidité de la protection du poste de travail contre des altérations du poste (introduction de logiciel
espion)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes de chiffrement,
¾ des systèmes de détection d’inhibition ou d’arrêt du mécanisme de chiffrement
¾ de la mise en œuvre des procédures de gestion de clés

189
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09C02 Chiffrement des données stockées


Objectif :
Protéger la confidentialité des informations stockées et des archives.
Résultats attendus :
Empêcher qu’une personne non autorisée puisse accéder au contenu des informations des fichiers
applicatifs stockés sur des supports fixes ou amovibles, dans des serveurs ou sur le poste de travail.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont les mêmes que pour les données échangées, l’échange de
clés étant toutefois plus simple dans ce cas. Ces mécanismes sont donc essentiellement techniques, mais
s’appuient également sur des mesures organisationnelles :
Mesures techniques
— Les mesures techniques de base concernent le chiffrement ou cryptage des données (il s’agit ici de
chiffrement au niveau applicatif) :
¾ Détermination de l’algorithme et du système de clés à générer et distribuer
¾ Mise en place de la solution matérielle ou logicielle
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du
système :
¾ Protection des matériels ou logiciels de chiffrement
¾ Protection du processus de distribution et de conservation des éléments secrets (clés)
¾ Protection du processus pratique de mise en œuvre de la solution de chiffrement
¾ Protection du poste de travail, éventuellement du serveur, pendant l’utilisation des données décryptées
¾ Protection du poste de travail et/ou du serveur contre des altérations ou l’introduction de logiciel espion
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles de base concernent la distribution de la solution de chiffrement :
¾ Processus de distribution du support de chiffrement (matériel ou logiciel) avec ses clés
— Les mesures organisationnelles d’accompagnement concernent éventuellement les mesures à prendre par
les utilisateurs quand ils travaillent avec des données décryptées (déconnexion du réseau, par exemple)
Qualité de service
— L’efficacité du service est essentiellement liée à :
¾ la solidité de l’algorithme de chiffrement et de génération de clés secrètes
¾ la solidité de la protection de la mise en œuvre du processus de chiffrement et de déchiffrement (parfois
protégée par un simple mot de passe sur le poste de travail)
— La robustesse du service est liée à plusieurs facteurs :
¾ la protection des mécanismes de chiffrement (boîtiers physiques ou logiciel)
¾ la solidité de la protection du poste de travail contre des altérations du poste (introduction de logiciel
espion)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes de chiffrement,
¾ des systèmes de détection d’inhibition ou d’arrêt du mécanisme de chiffrement
¾ de la mise en œuvre des procédures de gestion de clés

190
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09C03 Dispositif anti-rayonnement


Objectif :
Protéger la confidentialité des informations traitées ou lues sur un poste de travail.
Résultats attendus :
Empêcher qu’une personne non autorisée puisse accéder au contenu des informations traitées sur le
poste de travail, par captation des radiations électromagnétiques (par radiation ou conduction).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont très techniques et extrêmement spécifiques.
Le phénomène de base est que les matériels émettent des ondes électromagnétiques, par radiation et
conduction, et que ces ondes peuvent être captées par des installations spécialisées.
Mesures techniques
Les mesures techniques de base concernent le contrôle de ces émissions et comprennent divers types
de mesure, alternatives :
— L’installation des matériels sensibles dans des cages de Faraday
— L’emploi de matériels spécialement protégés (matériels Tempest)
— L’emploi de brouilleurs, parasitant les ondes émises (sans doute de moindre efficacité)
Mesures organisationnelles d’accompagnement
— Il existe de nombreuses contraintes organisationnelles à ce type de solution car il est bien clair que des
contraintes de connexions sont à prendre en compte.
Qualité de service
— L’efficacité du service est essentiellement liée à la qualité de l’installation et à la conformité aux normes
régissant ce type de contexte (normes Tempest en particulier):
— La robustesse du service est liée à la protection du poste de travail ou de l’installation de la cage de Faraday
contre toute altération non contrôlée.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De la conformité aux normes
¾ Des procédures d’utilisation des matériels et systèmes

191
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09D Disponibilité des données


09D01 Enregistrement de Très Haute Sécurité (THS)
Objectif :
Garantir que les enregistrements pourront être relus, malgré des aléas dus aux supports.
Résultats attendus :
Empêcher qu’un altération de support empêche d’exploiter et de relire un enregistrement de données.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont très techniques et extrêmement spécifiques.
Mesures techniques
Les mesures techniques de base sont systématiquement basées sur une certaine redondance de
l’information enregistrée permettant de récupérer des défauts au niveau des supports. Selon le niveau de
redondance, il est possible de récupérer des défauts plus ou moins étendus. Les deux types de
techniques les plus répandues sont :
— Les disques RAID
— Le mirroring complet des données, éventuellement sur deux sites distincts
Qualité de service
— L’efficacité du service est essentiellement liée à la technique choisie et aux types de pannes ou de
défaillances que la solution prend en charge
— La robustesse du service est liée :
¾ à la protection du périphérique (s’il est unique) sur lequel les données sont enregistrées avec redondance.
S’il est facilement accessible, la solution ne présentera aucune robustesse contre une attaque physique.
¾ En ce qui concerne le mirroring, la solution ne sera robuste contre un accident physique de grande
ampleur que si les deux systèmes mirrorés sont suffisamment distants.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ Du paramétrage des systèmes
¾ Du contrôle d’accès aux périphériques

192
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09D02 Reconstitution des données


Objectif :
Protéger les informations sensibles contre une perte totale des données informatisées.
Résultats attendus :
Faire en sorte que la reconstitution des données informatisées demeure possible, même en cas de
perte de tout support informatique (perte des données et de leurs sauvegardes).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels.
Mesures organisationnelles
La première mesure est de mener une analyse pour chaque ensemble de données sensibles en
partant de l’hypothèse de la perte de tous les supports informatiques : bases de données, sauvegardes,
archives.
De cette hypothèse et de l’analyse alors menée doivent être déduits :
— Les moyens non informatiques permettant de reconstituer les données dans une telle hypothèse
— Les procédures ou mesures à mettre en œuvre pour sécuriser ces moyens (dans l’hypothèse d’une volonté
de détruire qui pourrait également s’attaquer aux moyens de secours)
— Les moyens éventuels à mettre en œuvre pour accélérer ou automatiser la reconstitution des données en
cas de perte totale des fichiers informatiques.
En complément, il est souhaitable d’analyser également les cas de pollution accidentelle de fichiers en
cours de traitement et les moyens de retrouver les données dans l’état précédant le début de traitement
(journaux avant).
Qualité de service
— L’efficacité du service est essentiellement liée à la capacité des moyens mis en place de reconstituer
l’ensemble des données et à la facilité avec laquelle cette reconstitution sera possible
— La robustesse du service est liée à la protection de ces moyens contre une destruction accidentelle ou
malveillante.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De la mise en place effective des moyens de reconstituer les données
¾ Des procédures correspondantes
¾ De la protection de ces moyens

193
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09D03 Reconstitution des traitements


Objectif :
Protéger les informations sensibles contre une perte totale des données informatisées.
Résultats attendus :
Faire en sorte que la reconstitution des données informatisées actualisées soit possible, à partir des
sauvegardes, en reconstituant les traitements qui avaient été effectués entre l’enregistrement des
sauvegardes et le sinistre.
La question critique pour les systèmes transactionnels est de remettre à jour une base de données
quand on n’a plus que des sauvegardes, forcément d’un certain âge, alors que des transactions ont eu lieu
sur ces données.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
La première mesure est de mener une analyse pour chaque ensemble de données sensibles en
partant de l’hypothèse de la perte des données actives et de l’obligation de reconstituer des données à
jour, à partir des sauvegardes. Le seul but de cette analyse est de séparer :
— Les données pour lesquelles on pourra demander aux utilisateurs de refaire les traitements qui auront été
perdus (les données bureautiques, les données dont les traitements, déclenchés par du personnel interne,
sont peu nombreux et peuvent facilement être réinitialisés, etc.)
— Les données pour lesquelles il est impossible de demander à qui que ce soit de recommencer les
transactions effectuées (données mises à jour par des transactions initialisées par du personnel dont on a
perdu la trace, avec celle de la transaction)
Mesures techniques
— Les mesures techniques consistent principalement en des enregistrements de traces permettant :
¾ De relancer automatiquement les traitements en cas de besoin
¾ À défaut de contacter l’utilisateur pour lui signaler la perte de ses traitements
— Les mesures techniques d’accompagnement consistent à protéger le système de trace contre toute :
¾ altération ou inhibition intempestive
¾ destruction des traces
Qualité de service
— L’efficacité du service est essentiellement liée à la capacité des moyens mis en place de reconstituer
l’ensemble des traitements et à la facilité avec laquelle cette reconstitution sera possible
— La robustesse du service est liée à la protection de ces moyens contre une destruction accidentelle ou
malveillante ou contre une inhibition de la prise de traces
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De la mise en place effective des moyens de reconstituer les traitements
¾ Des procédures correspondantes
¾ De la protection de ces moyens

194
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09D04 Organisation de l’archivage


Objectif :
Organiser l’archivage des données informatisées devant être conservées sur une longue période et les
protéger en conséquence.
Résultats attendus :
Faire en sorte que les données informatisées devant être conservées sur une longue période puisse
être retrouvées et exploitées en cas de besoin.
La question critique dans beaucoup d’organisations est la confusion souvent faite entre les
sauvegardes et les archives. Cette confusion peut amener les utilisateurs à considérer que les
sauvegardes faites par la production informatiques peuvent servir d’archives et à ne prendre les
dispositions nécessaires.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
— Les mesures organisationnelles de base visent à identifier les données devant être archivées et à planifier et
organiser les fonctions d’archivage :
¾ étude des contraintes légales ou réglementaires de conservation de données
¾ analyse des contraintes internes (conservation du patrimoine informationnel, protection du savoir-faire,
etc.)
¾ analyse des fréquences de mises à jour des versions d’archives
¾ analyse des protections nécessaires (protection contre des accès indésirables, contre les risques divers,
etc.)
— Les mesures organisationnelles d’accompagnement visent à s’assurer que les archives pourront être
utilisées :
¾ organisation de contrôles de relecture périodiques
¾ test effectif que l’on peut redémarrer les applications nécessaires pour pouvoir exploiter les archives
Mesures techniques
— Les mesures techniques de base consistent à traduire l’organisation théorique en automates de production et
en dispositifs de sécurité adaptés.
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la qualité de l’étude préalable pour définir les données à archiver en fonction des besoins des utilisateurs
¾ l’automatisation des opérations d’archivage proprement dites
— La robustesse du service est liée à plusieurs types de facteurs :
¾ la protection des automatismes contre toute altération ou modification non contrôlée
¾ la qualité des dispositifs de protection des archives
— La mise sous contrôle est réalisée par :
¾ des essais réguliers de relecture des archives
¾ des tests effectués pour vérifier que l’on peut effectivement exploiter les archives
¾ des audits des procédures d’archivage et de la protection des automatismes

195
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09E Continuité de fonctionnement


09E01 Reconfiguration matérielle
Objectif :
Assurer, sans discontinuité, la poursuite des services applicatifs, en cas d’accidents ou de pannes
simples.
Résultats attendus :
Faire en sorte que la poursuite des services applicatifs soit assurée sans discontinuité, dans des cas
de panne simple ou d’accident limité à un serveur ou à un équipement
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
La première mesure est de mener une analyse pour chaque service applicatif afin de mettre en
évidence les services qui ne peuvent souffrir aucune interruption ou des interruptions si courtes que l’appel
à la maintenance en cas de difficulté ne puisse pas être une solution acceptable.
Pour ces services, l’analyse devra être poussée plus loin pour mettre en évidence :
— Les équipements indispensables pour la poursuite du service (ou pour sa poursuite avec des performances
tolérables par les utilisateurs)
— Les solutions de redondance qui pourraient apporter la meilleure solution au besoin de continuité de service
— Les servitudes qui pourraient représenter des points de faiblesse équivalents (single point of failure) et les
solutions correspondantes
Mesures techniques
— Les mesures techniques de base sont directement déduites de l’analyse ci-dessus et consistent à mettre en
place les solutions de redondance décidées :
¾ Mise en place de l’infrastructure redondante des services applicatifs
¾ Mise en place de l’infrastructure sécurisée des servitudes
¾ Mise en place des procédures de commutation éventuellement nécessaires (si le basculement n’est pas
totalement automatique)
— Les mesures techniques d’accompagnement consistent à protéger le système redondant contre
toute altération ou inhibition intempestive
Qualité de service
— L’efficacité du service est essentiellement liée à la capacité des moyens mis en place de pallier des pannes
ou incidents variés et complexes
— La robustesse du service est liée à la protection de ces moyens contre une destruction accidentelle ou
malveillante ou contre une inhibition
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De l’adéquation des moyens choisis aux besoins des utilisateurs
¾ Des capacités effectives (testées) de commutation et de secours
¾ De la protection de ces moyens

196
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09E02 Plans de Continuité Utilisateurs


Objectif :
Assurer la continuité des services applicatifs en cas d’accident grave.
Résultats attendus :
Faire en sorte que la reprise des services applicatifs soit possible, après un accident grave, avec des
performances et dans des délais acceptables par les utilisateurs.
Les PCU ou PCM (Plans de Continuité Métiers) viennent en complément des PRA ou Plans de
Reprise d’Activité technique qui visent à rétablir les moyens de traitement.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
La première mesure est de faire comprendre aux utilisateurs que les PRA ne suffisent pas et qu’ils
doivent, à leur niveau, se préparer à des actions exceptionnelles pour que les services applicatifs puissent
reprendre après la remise en place de moyens de traitement. Ces actions sont :
— La préparation de la reconstitution des données éventuellement perdues
— La préparation de la reconstitution des traitements perdus
— La gestion des flux de données entre l’instant du sinistre et la reprise des possibilités de traitement
— La validation des données restituées à partir des sauvegardes
— La préparation de la reprise des traitements avec des performances éventuellement dégradées ou avec des
fonctionnalités incomplètes
— La gestion récurrente des flux de données avec des fonctionnalités éventuellement incomplètes
— La préparation du retour aux conditions d’origine (avec reprise des travaux laissés en attente)
— A partir de cette prise de conscience, les divers points ci-dessus devront être analysés et des solutions
trouvées puis des procédures détaillées mises en place.
Mesures techniques
Les mesures techniques de base visent à supporter la cellule de crise qui devra de toutes façons être
mise en place. Il s’agit donc des moyens logistiques correspondants (communication, accès aux
informations nécessaires, gestion de la cellule de crise, etc.)
Les mesures techniques d’accompagnement résultent éventuellement de l’analyse des solutions à
mettre en place, si des moyens techniques sont apparus souhaitables pour supporter les PCU.
Qualité de service
— L’efficacité du service est essentiellement liée à la rigueur de la préparation aux situations de crise :
¾ Nombre de scénarios analysés et étudiés en détail
¾ Procédures détaillées pour les actions à mener et rigueur dans le détail de description de ces actions
¾ Tests en vraie grandeur
— La robustesse du service est liée à la protection des moyens nécessaires en cas de crise contre toute
destruction ou inhibition
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De l’adéquation des solutions prévues aux impératifs du business
¾ Des procédures détaillées
¾ Des tests effectués

197
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09E03 Plans d’urgence


Objectif :
Prendre les mesures d’urgence nécessaires dans une condition de crise particulièrement critique.
Résultats attendus :
Prendre les mesures immédiates nécessaires, après un accident grave, un défaut de fonctionnement
particulièrement important ou une interruption de service critique.
Les plans d’urgence, un par situation de crise, sont des plans indépendants des PRA et PCM ou PCU
et n’ont pour objectif que de traiter la première urgence. Les anglo-saxons utilisent souvent le terme de
Business Contingency planing pour ces plans.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
— Les mesures organisationnelles initiales visent à :
¾ identifier les scénarios de sinistre ou d’accident à analyser en détail (sinistre global, sinistre partiel sur telle
ou telle partie, etc.)
¾ analyser, pour chaque scénario, compte tenu des serveurs et applications impactées, les conséquences
d’un accident grave sur les services rendus ou sur d’autres activités
¾ identifier, avec les utilisateurs, les messages à faire parvenir aux personnes impactées
¾ identifier les mesures d’urgence à prendre, indépendamment des plans de secours pouvant être lancés.
— Les mesures de base visent ensuite à organiser en détail les actions à mener en première urgence, à en
décrire les procédures détaillées et à les tester, puis à gérer leur mise à jour au fil des évolutions des
systèmes ou des applications.
Mesures techniques
Les mesures techniques de base visent à supporter la cellule de crise spécifique qui devra de toutes
façons être mise en place. Il s’agit donc des moyens logistiques correspondants (communication, accès
aux informations nécessaires, gestion de la cellule de crise, etc.)
Les mesures techniques d’accompagnement résultent éventuellement de l’analyse des solutions
d’urgence à mettre en place, si des moyens techniques sont apparus nécessaires pour les supporter.
Qualité de service
— L’efficacité du service est essentiellement liée à la rigueur de la préparation aux situations de crise :
¾ Nombre de scénarios analysés et étudiés en détail
¾ Procédures détaillées pour les actions d’urgence à mener et rigueur dans le détail de description de ces
actions
¾ Tests en vraie grandeur
— La robustesse du service est liée à la protection des moyens nécessaires en cas de crise contre toute
destruction ou inhibition
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De l’adéquation des solutions prévues aux impératifs du business
¾ Des procédures détaillées
¾ Des tests effectués

198
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09E04 Gestion des applications critiques (vis-à-vis de la permanence de la


maintenance)
Objectif :
Assurer la continuité de l’activité en cas de disparition ou d’indisponibilité durable du fournisseur d’un
logiciel applicatif ou du prestataire chargé d’en assurer la maintenance
Résultats attendus :
Éviter que la disparition d’un fournisseur mette en péril la continuité des services informatiques.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
Mesures organisationnelles
— Les mesures organisationnelles initiales visent à analyser, pour chaque logiciel applicatif, les conséquences
de la disparition d’un fournisseur sur la disponibilité d’ensemble des services informatiques et à identifier, avec
les utilisateurs, le service minimal à assurer et le délai d’interruption de maintenance admissible entre le
moment où cette disparition serait constatée et le moment où une solution de repli pourrait être mise en
œuvre
— Les mesures de base visent ensuite à définir la solution de repli et à la décrire dans un plan détaillant toutes
les actions nécessaires au succès de la solution. Ces mesures peuvent être :
¾ Le changement de logiciel par celui d’un autre fournisseur
¾ La reprise de maintenance par un autre prestataire (les conditions détaillées comprenant alors l’accès à
une documentation de maintenance suffisante, dans des conditions à définir de manière précise)
¾ Une évolution radicale de l’architecture applicative permettant de se passer de l’équipement ou du logiciel
posant problème
Qualité de service
— L’efficacité du service est essentiellement liée à plusieurs facteurs :
¾ le délai de mise en œuvre des diverses solutions de repli prévues
¾ la qualité et la rigueur de détail du plan de repli prévu
— La robustesse du service est liée à l’existence de variantes des plans de repli au cas où la solution de base
ne fonctionnerait pas
— La mise sous contrôle est réalisée par des audits :
¾ de la pertinence des solutions prévues
¾ des procédures les rendant possibles (dépôt des documentations chez une tierce partie de confiance).
¾

199
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09E05 Reconstitution des programmes de traitement


Objectif :
Protéger les programmes de traitement sensibles contre une perte totale des supports les contenant.
Résultats attendus :
Faire en sorte que la reconstitution des programmes de traitement demeure possible, même en cas de
perte de tout support informatique (perte des programmes et de leurs sauvegardes).
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels.
Mesures organisationnelles
La première mesure est de mener une analyse pour chaque ensemble de traitement sensibles en
partant de l’hypothèse de la perte de tous les supports informatiques : programmes, sauvegardes,
archives.
De cette hypothèse et de l’analyse alors menée doivent être déduits :
— Les moyens non informatiques permettant de reconstituer les programmes de traitement dans une telle
hypothèse (documentation, listings, etc.)
— Les procédures ou mesures à mettre en œuvre pour sécuriser ces moyens (dans l’hypothèse d’une volonté
de détruire qui pourrait également s’attaquer aux moyens de secours)
— Les moyens éventuels à mettre en œuvre pour accélérer ou automatiser la reconstitution des programmes
de traitement en cas de perte totale des fichiers informatiques.
Qualité de service
— L’efficacité du service est essentiellement liée à la capacité des moyens mis en place de reconstituer
l’ensemble des programmes de traitement et à la facilité avec laquelle cette reconstitution sera possible
— La robustesse du service est liée à la protection de ces moyens contre une destruction accidentelle ou
malveillante.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De la mise en place effective des moyens de reconstituer les programmes de traitement
¾ Des procédures correspondantes
¾ De la protection de ces moyens

200
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09F Contrôle de l’émission et de la réception des données


09F01 Garantie d’origine – signature électronique
Objectif :
Garantir l’origine d’un message ou d’une donnée.
Résultats attendus :
Empêcher qu’une personne envoie un message en se faisant passer pour quelqu’un d’autre .
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
Les mesures techniques de base concernent un moyen cryptologique particulier que l’on appelle
signature électronique, mais qui est généralement plus qu’une signature électronique, dans la mesure où
la garantie porte à la fois sur le contenu du message et sur son auteur. Cette mesure consiste ainsi en :
— La détermination de l’algorithme cryptologique support
— La mise en place de la solution logicielle pour le signataire
— La mise en place de la solution logicielle pour les destinataires
— Les mesures complémentaires concernent la protection contre les tentatives de contournement du
système :
¾ Protection du logiciel de signature
¾ Protection du processus de distribution et de conservation des éléments secrets (clés)
¾ Protection du processus pratique de mise en œuvre de la solution de chiffrement
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles de base concernent la distribution du système de reconnaissance de
signature (distribution de clé publique) et la distribution des clé secrètes :
¾ Processus de distribution ou de publication des clés publiques(et de leur révocation)
¾ Processus de distribution des clés secrètes
¾ Processus de vérification de la signature
— Les mesures organisationnelles d’accompagnement concernent éventuellement les mesures à prendre par
les utilisateurs quand ils reçoivent des messages avec de mauvaises signatures
Qualité de service
— L’efficacité du service est essentiellement liée à :
¾ la solidité de l’algorithme de signature et de génération des paires de clés
¾ la solidité de la protection de la mise en œuvre du processus de signature (parfois protégée par un simple
mot de passe sur le poste de travail)
¾ la rigueur du processus de vérification de signature
— La robustesse du service est liée à plusieurs facteurs :
¾ la protection des mécanismes de signature contre toute altération
¾ la solidité du processus et des procédures de distribution et de publication de clés et de gestion
d’anomalies (révocation)
¾ la solidité de la protection du poste de travail contre un usage abusif du processus de signature
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De la protection du poste et du logiciel de signature,
¾ Du système de génération et de gestion des clés
¾ Des procédures relatives à la signature (signature et contrôle)

201
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09F02 Individualisation des messages empêchant leur duplication


Objectif :
Garantir l’unicité d’un message.
Résultats attendus :
Empêcher qu’une personne répète un message après l’avoir capté.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques, mais s’appuient également sur
des mesures organisationnelles :
Mesures techniques
Les mesures techniques de base consistent tout simplement à numéroter les messages de sorte que
toute répétition automatique de l’intégralité d’un message se traduise par une erreur détectée par le
système de réception (qui trouvera deux messages avec le même numéro. Il est clair que le système dot
être légèrement plus sophistiqué pour éviter qu’un pirate puisse recopier tout un message en en
changeant le numéro. Très généralement, un tel système est couplé avec un chiffrement de message de
sorte que la manipulation de numéro ne soit pas possible.
Les mesures d’accompagnement consistent, comme d’habitude, à protéger les mécanismes, tant de
numérotation que de contrôle de la numérotation, contre toute altération ou inhibition.
Mesures organisationnelles d’accompagnement
Les mesures organisationnelles correspondantes concernent la gestion des alarmes :
— Conduite à tenir
— Reporting
— etc.
Qualité de service
— L’efficacité du service est essentiellement liée à :
¾ La solidité de l’algorithme de numérotation
¾ la solidité de l’algorithme de chiffrement si une numérotation simple est employée
¾ la rigueur du processus de vérification du numéro de message
— La robustesse du service est liée à plusieurs facteurs :
¾ la protection des mécanismes de numérotation et de contrôle de numérotation contre toute altération ou
inhibition
¾ la rigueur des procédures de gestion d’erreur ou d’anomalie
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De la mise en œuvre de la numérotation et du contrôle de la numérotation,
¾ Des procédures de gestion d’anomalies

202
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09F03 Accusé de réception


Objectif :
Garantir à l’émetteur d’un message que son message a bien été reçu.
Résultats attendus :
Les buts recherchés peuvent être multiples :
— S’assurer qu’un message a bien été reçu
— Alerter un émetteur potentiel que son nom a été utilisé pour envoyer un message (si quelqu’un a usurpé son
identifiant ou son nom pour émettre un message, l’accusé de réception lui parviendra néanmoins et pourra
l’alerter)
— Empêcher qu’un destinataire nie avoir reçu un message (si l’accusé de réception est envoyé
automatiquement)
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels mais peuvent être, pour
partie, automatisés.
Mesures organisationnelles
Les mesures organisationnelles de base consistent à faire en sorte qu’à la réception d’un message le
réclamant, le destinataire renvoie un accusé de réception à l’émetteur. Il est clair que cela peut
simplement être demandé dans le corps du message et que cela ne demande alors aucune mesure
technique particulière.
Certaines messageries, la plupart, proposent un système pouvant être automatisé par lequel l’accusé
de réception est renvoyé automatiquement (avec ou sans demander l’accord du destinataire) à l’émetteur
Les mesures organisationnelles correspondantes concernent la gestion des alarmes et la conduite à
tenir en cas de non retour de l’accusé de réception
Mesures techniques
Il est clair que le principe ci-dessus peut être employé et automatisé par des applications
informatiques. On devra alors veiller à la protection du processus en question
Qualité de service
— L’efficacité du service est essentiellement liée à :
¾ La systématisation du processus
¾ L’automatisation de l’alarme en cas de non retour de l’accusé de réception
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De la mise en œuvre des procédures d‘accusé de réception,
¾ Des procédures de gestion d’anomalies

203
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09G Détection et gestion des incidents et anomalies applicatifs


09G01 Détection et traitement des incidents et anomalies applicatifs
Objectif :
Détecter en temps réel des anomalies de comportement ou des séquences anormales significatives
d’actions non autorisées et potentiellement dangereuses.
Résultats attendus :
Permettre une réaction rapide et, si possible, une intervention avant que l’action nocive ait été réussie.
A défaut limiter cette action dans le temps.
Remarque : dans certains cas d’intrusion, on est surpris de constater que des traces existaient depuis
fort longtemps et auraient permis de réagir.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Au niveau applicatif, il est nécessaire d’analyser, en fonction du contexte de l’entreprise, quels
comportements particuliers pourraient être significatifs d’actions anormales et donner lieu à une alerte
spécifique, par exemple :
¾ Séquence de transactions anormales ou d’actions anormales
¾ Horaires ou durées de connexion
¾ Actions menées depuis des sites particuliers
— En complément de ces mesures on analysera quelles séquences de rejets des systèmes de filtrage
devraient déclencher des alertes particulières
— En appui de ces deux types d’alerte, il convient ensuite de mettre en place :
¾ Une équipe d’intervention qui récupérera les alertes
¾ Des procédures (ou directives) de traitement des alertes et des consignes de type de réaction attendue
Mesures techniques
Les mesures techniques comportent deux types de solutions :
— Les systèmes de saisie des événements devant donner directement lieu à une alerte
— Les systèmes d’analyse éventuelle d’événements plus courants et permettant d élaborer des alertes plus
sophistiquées
Il est clair qu’en accompagnement de ces mesures, les droits d’administration nécessaires pour
paramétrer ces systèmes doivent être strictement contrôlés.
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ le nombre de cas détectés et la profondeur de l’analyse préliminaire des cas donnant lieu à alarme, ainsi
que le maintien à jour de ces données
¾ la qualité et la rigueur de l’analyse des réactions attendues de l’équipe d’intervention
¾ la compétence de cette équipe et sa disponibilité
— La robustesse du service est liée à deux facteurs :
¾ La rigueur de la gestion des droits nécessaires pour administrer les paramètres d’alarmes et la solidité des
contrôles qui sont faits à ce sujet
¾ L’alerte directe de l’équipe d’intervention en cas d’inhibition ou d’arrêt du système de surveillance
— La mise sous contrôle est réalisée par des audits :
¾ du bon fonctionnement du système de surveillance
¾ de la disponibilité de l’équipe d’astreinte et de la surveillance effective des anomalies applicatives

204
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 9 : Sécurité applicative

09H Services et applications liés au commerce électronique


09H01 Sécurité des sites de commerce électroniques
Objectif :
Assurer la sécurité des services de commerce électroniques et un usage sûr de ces services.
Résultats attendus :
Éviter que des applications de commerce électronique introduisent des risques spécifiques.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Au niveau applicatif, il est nécessaire d’analyser, en fonction du contexte de l’entreprise et de l’application
envisagée, quels comportements particuliers, malveillants ou non, et quels incidents pourraient conduire à
des risques spécifiques tels que des fraudes, des défauts de paiements, des pertes de transactions ou de
commandes, des divulgations d’informations confidentielles, etc.
— En fonction des résultats de cette analyse, les mesures organisationnelles à prendre consistent à bien
spécifier les limites de responsabilité de l’entreprise, à rédiger les clauses contractuelles ou de limite de
responsabilité en conséquence et à s’assurer que les partenaires sont bien au courant de leur part de
responsabilité dans les processus mis en œuvre.
— En complément, des assurances spécifiques peuvent être mises en place
Mesures techniques
Les mesures techniques consistent à mettre en place :
— Des moyens d’authentification solides
— Des enregistrements de preuves des transactions effectuées
— Des moyens de paiement sécurisés
— Des systèmes de signature électronique
— Des moyens de protection des informations confidentielles
— Etc.
Il est clair que ces moyens doivent découler de l’analyse évoquée plus haut et qu’ils sont spécifiques
des applications envisagées.
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ la qualité et la rigueur de l’analyse des incidents, malveillances et dysfonctionnements possibles au niveau
des applications et processus envisagés
¾ le détail et la pertinence des mesures organisationnelles
¾ la compétence mise en œuvre pour la définition des mesures techniques
— La robustesse du service est liée à deux facteurs :
¾ Pour les mesures organisationnelles, elle est liée à la qualité et à la compétence des conseils juridiques
appelés en renfort de l’analyse technique
¾ Pour les mesures techniques, elle est liée aux protections des systèmes de sécurité eux-mêmes contre
toute altération ou inhibition
— La mise sous contrôle est réalisée par des audits :
¾ du bon paramétrage des systèmes de sécurité
¾ du maintien de la pertinence des mesures organisationnelles

205
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs

Domaine 10 : Sécurité des projets et développements applicatifs

10A Sécurité des projets et développements applicatifs


Objectif :
Faire en sorte que les nouveaux services applicatifs, développés ou achetés, n’apportent pas de
risques ni de failles de sécurité à l’architecture globale en place.
Remarque :
— Les nouveaux développements peuvent consister en :
¾ Des développements internes ou sous-traités
¾ L’achat de progiciels
— Les services fournis par ces nouveaux développements peuvent être de nouveaux services ou venir en
remplacement de services préexistants, y compris des changements de version
Résultats attendus :
Gérer les risques induits par l’introduction de nouveaux projets.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires :
— 10A01 : Prise en compte de la sécurité dans les projets et développements
— 10A02 : Gestion des changements
— 10A03 : Externalisation du développement logiciel
— 10A04 : Organisation de la maintenance applicative
— 10A05 : Modification des progiciels

10B Sécurité des processus de développement et de maintenance


Objectif :
Faire en sorte que les processus de développement et la maintenance applicative n’apportent pas de
failles de sécurité à l’architecture globale en place.
Résultats attendus :
Gérer les risques induits par les développements en cours et la maintenance applicative.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à divers types de mesures complémentaires :
— 10B01 : Sécurité des processus des développements applicatifs
— 10B02 : Protection de la confidentialité des développements applicatifs
— 10B03 : Sécurité relative aux traitements internes des applications
— 10B04 : Protection des données d'essai
— 10B05 : Sécurité de la maintenance applicative
— 10B06 : Maintenance à chaud

206
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs

10A Organisation interne des développements et de la maintenance


10A01 Prise en compte de la sécurité dans les projets et développements
Objectif :
Définir les aspects sécurité à prendre en compte dans les projets et développements applicatifs et
spécifier les mesures adaptées
Résultats attendus :
Gérer les risques induits par de nouveaux projets applicatifs
Mécanismes et solutions
Les mécanismes à mettre en œuvre se situent au niveau de la maîtrise d’ouvrage et sont totalement
organisationnels (les techniques d’accompagnement n’étant pas des techniques informatiques)
Mesures organisationnelles
La mesure organisationnelle de base consiste à faire une analyse des risques potentiellement induits
par le projet et, plus particulièrement à :
— identifier les dysfonctionnements de l’activité pouvant être induits par le projet ou par une défaillance de l’un
des composants du projet
— analyser avec les responsables utilisateurs le niveau de gravité intrinsèque de ces dysfonctionnements
— analyser la potentialité de ces dysfonctionnements, en se basant sur des techniques d’analyse de risque, et
en prenant en compte :
¾ les mesures de sécurité générales déjà présentes et inchangées par le projet
¾ les mesures de sécurité déjà prévues dans les spécifications du projet
— analyser l’impact attendu de ces dysfonctionnements, en se basant sur des techniques d’analyse de risque,
et en prenant en compte :
¾ les mesures de sécurité générales déjà présentes pouvant limiter l’impact intrinsèque et inchangées par le
projet
¾ les mesures de sécurité pouvant limiter l’impact déjà prévues dans les spécifications du projet
— statuer sur le caractère acceptable de la situation de risque issue de chaque dysfonctionnement identifié
— résumer sur une fiche projet l’ensemble des risques inacceptables
— décider pour chacun d’eux les spécifications complémentaires à introduire dans le projet
Les mesures organisationnelles d’accompagnement consistent à effectuer un suivi de ces décisions au
fil du projet :
— revue de projet au lancement avec l’analyse ci-dessus
— suivi des décisions et mise à jour de la fiche des risques projets à chaque étape importante du projet (selon
le rythme des revues générales de projet)
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ La rigueur de l’analyse de risque ainsi pratiquée
¾ L’expertise du support en analyse de risque
— La mise sous contrôle est réalisée par des audits :
¾ De la pertinence des analyses de risque
¾ De la rigueur dans l’élaboration des fiches de risque et de suivi des décisions

207
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs

10A02 Gestion des changements


Objectif :
Assurer la continuité et la qualité de service après que des changements de logiciels aient eu lieu.
Résultats attendus :
Éviter qu’un changement de logiciel ne soit susceptible de faire échouer des applications critiques.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont surtout organisationnels avec des mesures techniques
d’accompagnement pour les tests
Mesures organisationnelles
— L’essentiel des mesures consiste à mettre en place des procédures formelles lors de toutes demandes de
changements sur les logiciels (système ou applicatif):
¾ Mise en place d’une procédure formelle de demande et d’autorisation
¾ Mise en place d’une procédure formelle de documentation, de spécification, de mise à l’essai, de contrôle
qualité et de mise en oeuvre
¾ Mise à jour des plans de continuité suite à ces changements
¾ Séparation de l’environnement de test des nouvelles versions de la production
Mesures techniques
— Les mesures techniques d’accompagnement s’appliquent au niveau des tests des nouvelles versions
¾ Test de non régression
¾ Compatibilité des mises à jour système avec les applications critiques
¾ Dans la mesure du possible, limitation des mises à jour automatiques
Qualité de service
— L’efficacité du service est essentiellement liée à :
¾ La formalisation des demandes et des autorisations de changements logiciels
¾ L’efficacité des procédures de test des changements avant mise en production.
¾ La compétence et l’expertise de l’équipe de maintenance
— La robustesse du service est liée à :
¾ La possibilité de supprimer les mises à jours automatiques
— La mise sous contrôle est réalisée par des audits réguliers :
¾ Des mises à jours des documentations système et applicative
¾ Des demandes de changement

208
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs

10A03 Externalisation du développement logiciel


Objectif :
Garantir les droits d’utilisation des logiciels sous-traités.
Résultats attendus :
Empêcher qu’une mauvaise rédaction des contrats liant l’organisme avec le sous-traitant ne porte
ensuite atteinte au droit d’utilisation du logiciel. Assurer également contractuellement la qualité des
développements réalisés notamment en terme de sécurité.
Mécanismes et solutions :
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, des mesures techniques
d’accompagnement existant toutefois au niveau des tests avant mise en production.
Mesures organisationnelles
L’essentiel des mesures consiste à établir un cadre contractuel avec le sous-traitant :
— Accords de licence, propriété du code et droits de propriété intellectuelle
— Disposition relative au séquestre en cas de manquement du tiers
— Droit d’accès permettant d’auditer la qualité et la précision des travaux réalisés
— Exigences contractuelles relatives à la qualité et au niveau de sécurité du code
— Procédure de recette avant mise en production
Mesures techniques
Les mesures techniques d’accompagnement consistent en des mécanismes de recette du logiciel
sous-traité avant mise en production :
— Test visant à détecter les codes malveillants éventuels et le code cheval de Troie
— Plus généralement l’ensemble des tests réalisés lors d’une recette (adéquation des fonctionnalités avec le
cahier des charges, construction de jeux d’essai, etc…)

Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ La connaissance de l’environnement juridique lié à la sous-traitance du logiciel
¾ La rigueur dans la sélection du sous-traitant
¾ La rigueur dans l’établissement du cahier des charges
¾ La rigueur dans l’établissement du contrat
¾ La rigueur dans le suivi des développements
— La robustesse du service est liée à celle des dispositions juridiques mises en place :
¾ Contrat prévoyant les cas de défaillance du sous-traitant
¾ Protection clauses standards
— La mise sous contrôle est réalisée par des audits, elle est conditionnée aux droits d’accès chez le sous-
traitant :
¾ Audit de la qualité et de la précision des travaux réalisés

209
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs

10A04 Organisation de la maintenance applicative


Objectif :
Assurer la maintenance des logiciels applicatifs pour les cas de bogues (bugs) ou d’évolutions
nécessaires.
Résultats attendus :
Éviter qu’un bogue (bug) bloquant ou qu’une évolution nécessaire (que ce soit pour des changements
de contexte internes ou externes) se traduise par une interruption inacceptable du service.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Le socle de ce service consiste en l’élaboration de conventions de service interne avec les équipes de
développements ou une équipe interne spécialisée dans la maintenance applicative. L’élaboration des
clauses adéquates dans les conventions nécessite néanmoins quelques actions préliminaires et précautions
:
¾ Identifier les logiciels applicatifs critiques et, pour ceux-ci, le délai d’intervention souhaitable et le délai
maximum tolérable en cas de bug bloquant
¾ Trouver un accord avec l’équipe de maintenance sur le délai maximum d’intervention
¾ Préciser, en particulier, les conditions d’escalade en cas de difficulté d’intervention et les possibilités et
conditions d’appel aux meilleurs spécialistes
Mesures techniques
— Les mesures techniques d’accompagnement éventuelles consistent en des capacités d’intervention à
distance (télémaintenance) permettant d’accélérer le diagnostic
Qualité de service
— L’efficacité du service est essentiellement liée à trois facteurs :
¾ la précision et le réalisme des clauses des conventions de service, en particulier en ce qui concerne les
horaires d’appel, d’intervention et les possibilités d’appel les week-end et jours fériés
¾ L’efficacité des procédures d’escalade et d’appel aux meilleurs spécialistes.
¾ La compétence et l’expertise de l’équipe de maintenance
— La robustesse du service est liée à deux types de facteurs :
¾ Les possibilités de pression dans les cas où les équipes de maintenance sont surchargées
¾ L’indépendance vis-à-vis de compétences pointues détenues par un petit nombre de personnes, voire par
un seul spécialiste
— La mise sous contrôle est réalisée par des audits réguliers :
¾ Des clauses des conventions
¾ De la tenue des engagements de l’équipe de maintenance

210
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs

10A05 Modification des progiciels


Objectif :
Limiter au maximum les modifications de progiciel fournis par des éditeurs.
Résultats attendus :
Eviter de compromettre l’intégrité de traitement des progiciels et une impossibilité de maintenance
dues à des modifications trop importantes ou mal gérées des progiciels.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels afin de limiter au maximum
les modifications de logiciels, toutefois quelques mesures techniques devront accompagner les
modifications jugées nécessaires
Mesures organisationnelles
— Il s’agit essentiellement de gérer les relations avec l’éditeur :
¾ Etudier en premier lieu la possibilité d’avoir les modifications souhaitées directement auprès de l’éditeur
sous la forme de mises à jour classiques
¾ Obtenir, si nécessaire, l’accord de l’éditeur avant toutes modifications
¾ Etudier avec l’éditeur les conséquences sur la maintenance d’une modification de progiciel
¾ Appliquer une politique de gestion des mises à jour du progiciel incluant les modifications réalisées
Mesures techniques
— Les mesures techniques d’accompagnement suite à modification concernent essentiellement les tests des
versions modifiées :
¾ Test de non régression
¾ Test de compatibilité des modifications avec les versions ultérieures du progiciel
Qualité de service
— L’efficacité du service est essentiellement liée à :
¾ la qualité des relations entretenues avec l’éditeur afin qu’il réalise directement les évolutions souhaitées
¾ La compétence et l’expertise des équipes assurant les modifications
— La robustesse du service est liée à la volonté de la Direction de ne pas déroger aux procédures formelles
relatives à la modification des progiciels. La principale cause de contournement vient, en effet, du risque de
déroger aux procédures normales sous la pression d’une demande urgente.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De la documentation des modifications effectuées
¾ Des procédures de test avant mise en production de ces modifications

211
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs

10B Sécurité des processus des développements et de la maintenance


10B01 Sécurité des processus des développements applicatifs
Objectif :
Protéger les processus opérationnels contre des erreurs ou des malveillances introduites pendant le
processus de développement
Résultats attendus :
Empêcher que des négligences, des erreurs, voire des malveillances, des équipes de développements
applicatifs, ou que des malveillances de personnes externes pendant la phase de développement, créent
des failles de sécurité ou provoquent des dysfonctionnements lors de la mise en œuvre opérationnelle de
l’application.
Mécanismes et solutions :
Les mécanismes à mettre en œuvre sont, au niveau de la maîtrise d’œuvre, à la fois organisationnels
et techniques.
Mesures organisationnelles
L’essentiel des mesures consiste à bien séparer et gérer les différentes tâches et les différents
environnements de travail :
— Distinction des rôles et responsabilités de spécification, de conception, de test, et d’intégration et ségrégation
des rôles de telle sorte qu’une même personne ne cumule pas deux rôles sur le même projet.
— Séparation des environnements de développement, de test et d’intégration.
— Gestion stricte de la documentation des codes sources et objets, en fonction des phases de développement
— Développements partagés, une personne n’étant jamais seule responsable d’une tâche complète
— Rigueur dans la définition des tests :
¾ Indépendance des tests
¾ Couverture des tests fonctionnels validée par les utilisateurs
¾ Couverture des tests des fonctions et des mécanismes de sécurité validée par la fonction sécurité
— Développements, tests et intégration tracés, toute opération étant imputable à des personnes bien
identifiées
— Sécurisation du processus de passage en production, avec toutes les mesures nécessaires pour pouvoir
faire un retour arrière et restaurer les systèmes et données préexistantes.
Mesures techniques
Les mesures techniques d’accompagnement consistent en des mécanismes de contrôle des accès
aux environnements et aux objets qu’ils contiennent :
— Gestion sécurisée des profils correspondant aux différentes tâches sur chaque projet
— Contrôle des accès aux environnements et aux objets de développement (codes et documentation)
— Gestion sécurisée des traces et enregistrements
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ La rigueur de la séparation des tâches (pas toujours facile sur les petits développements) et des contrôles
indépendants effectués à chaque étape
¾ La sensibilisation des équipes à l’importance de ces procédures, sur le fond et en termes de crédibilité de
la part des utilisateurs
— La robustesse du service est liée à la solidité des mécanismes d’isolement des environnements et de
protection des objets
¾ Protection des tables et mécanismes d’affectation des profils
¾ Solidité du contrôle d’accès aux environnements et objets de développement
— La mise sous contrôle est réalisée par des audits :
¾ De la gestion des rôles et profils
¾ De l’application des procédures
¾ Des mécanismes de contrôle d’accès et de gestion des traces

212
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs

10B02 Protection de la confidentialité des développements applicatifs


Objectif :
Protéger le savoir-faire de l’entreprise ayant un caractère confidentiel quand il se matérialise par des
développements applicatifs
Résultats attendus :
Empêcher que des négligences, des erreurs, voire des malveillances, des équipes de développements
applicatifs, ou que des malveillances de personnes externes pendant la phase de développement, soient à
l’origine d’une divulgation de savoir-faire de l’entreprise (par exemple parce que ce savoir-faire représente
un avantage concurrentiel) .
Mécanismes et solutions :
Les mécanismes à mettre en œuvre sont, au niveau de la maîtrise d’œuvre, à la fois organisationnels
et techniques.
Mesures organisationnelles
L’essentiel des mesures consiste à identifier ce qui est réellement confidentiel et à gérer en
conséquence le processus de développement :
— Identification des différents éléments pouvant être une source de divulgation de savoir-faire : notes
d’étude, spécifications, code source, code objet, etc. et classification de la confidentialité de ces
éléments.
— Création de profils d’accès spécifiques en fonction des tâches du projet et de la confidentialité des objets
manipulés
— Organisation spécifique éventuelle favorisant la confidentialité des objets du projet
— Communication aux équipes sur la confidentialité des développements
Mesures techniques
Les mesures techniques d’accompagnement consistent en des mécanismes de contrôle des accès
aux environnements et aux objets qu’ils contiennent :
— Gestion sécurisée des profils d’accès aux différents éléments et objets du projet
— Contrôle des accès aux environnements et aux objets de développement (codes sources et objets,
documentation, sécurité physique des supports, etc.)
— Chiffrement éventuel des objets confidentiels pouvant l’être (documentation)
— Gestion sécurisée des traces et enregistrements
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ La rigueur du recensement des divers objets pouvant être source d’une divulgation
¾ La rigueur de l’attribution de profils et de gestion des autorisations correspondantes
¾ La solidité des mécanismes de contrôle d’accès et de chiffrement éventuel
¾ La sensibilisation des équipes à l’importance de ces procédures, sur le fond et en termes de crédibilité de
la part des utilisateurs
— La robustesse du service est liée à celle des mécanismes d’isolement des environnements et de protection
des objets :
¾ Protection des tables et mécanismes d’affectation des profils
¾ Protection des mécanismes de contrôle d’accès et de chiffrement éventuel
¾ Détection des mises hors services ou des modifications de la protection des objets du projet
— La mise sous contrôle est réalisée par des audits :
¾ De la gestion des rôles et profils
¾ De l’application des procédures
¾ Des mécanismes de contrôle d’accès et de gestion des traces

213
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs

10B03 Sécurité relative aux traitements internes des applications


Objectif :
Empêcher d’éventuelles altérations de l’information dans les applications.
Résultats attendus :
Détecter et empêcher des pertes d’intégrité de l’information dans les applications dues à des erreurs
de traitement ou des actes délibérés.
Mécanismes et solutions :
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
L’essentiel des mesures consiste à identifier l’impact d’une éventuelle altération des données sur
l’activité de l’organisme et à gérer en conséquence le processus de développement :
— Au niveau de la maîtrise d’ouvrage, définition des éléments critiques en terme d’intégrité.
— Identification des Flux d’information au sein des applications et études des conséquences d’une
altération interne sur l’intégrité des données en sortie.
— Formation des équipes de développement aux bonnes pratiques (méthode de développement, écriture de
gestionnaire d’erreurs, etc…)
— Choix des outils de développement (par exemple utilisation de « code managé »)
— Formation des équipes de test.
Mesures techniques
Les mesures techniques d’accompagnement consistent essentiellement en des mécanismes de
contrôle :
— Contrôle de session ou de lots destinés à rapprocher les soldes de fichiers de données après une mise à
jour des transactions
— Des vérifications permettant de garantir que les programmes s’exécutent au bon moment
— Des vérifications permettant de garantir le bon séquencement des programmes
— L’interruption des programmes en cas d’échec et arrêt de tout traitement jusqu’à la résolution du problème
— Création d’un journal des activités liées au traitement
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ La rigueur du recensement des informations et traitements critiques en terme d’intégrité
¾ La rigueur dans l’étude du séquencement des traitements au sein de l’application
¾ L’exhaustivité des mécanismes de contrôle interne aux applications
¾ La sensibilisation des équipes de développement aux bonnes pratiques en matière de programmation
— La robustesse du service est liée à celle des mécanismes de contrôle mis en place et à celle des outils de
développement employés
¾ La qualité et le professionnalisme des équipes de développement
— La mise sous contrôle est réalisée par des audits :
¾ Des méthodes de développement employées et des procédures en matière de gestion d’erreurs
¾ Du journal des activités liées au traitement

214
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs

10B04 Protection des données d'essai

Objectif :
Sélectionner avec soin, protéger et contrôler les données d’essai.
Résultats attendus :
Empêcher qu’une utilisation de données fonctionnelles lors des tests logiciels n’entraîne une corruption
ou une divulgation de ces données.
Mécanismes et solutions :
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
L’essentiel des mesures consiste à bien gérer et séparer si possible les données de test des données
d’exploitation :
¾ éviter d’utiliser lors de tests des bases de données fonctionnelles contenant des informations personnelles
ou tout autre information sensible.
¾ mettre en place une procédure d’autorisation chaque fois qu’une information d’exploitation est copiée
dans une application d’essai.
¾ appliquer les mêmes procédures de contrôle d’accès aux applications d’essai que celles qui s’appliquent
aux applications en exploitation
¾ journaliser toute reproduction ou utilisation des informations d’exploitation afin de créer une trace d’audit
Mesures techniques
Les mesures techniques d’accompagnement consistent en des mécanismes de contrôle d’accès aux
applications de tests et dans la limitation de l’utilisation des données d’exploitation :
¾ Mise en place dans les applications d’essai de contrôle d’accès
¾ Effacement des données sensibles avant leur utilisation en test
¾ Effacement des informations immédiatement après la fin des tests
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ La limitation lorsque cela est possible de l’utilisation de données fonctionnelles dans les applications
d’essai
¾ L’effacement des données personnelles ou sensibles avant l’utilisation en test
¾ L’obligation d’avoir une autorisation séparée à chaque utilisation de données d’exploitation
— La robustesse du service est liée à la solidité des mécanismes de contrôles d’accès aux applications
d’essais
¾ Solidité du contrôle d’accès aux applications de tests
— La mise sous contrôle est réalisée par des audits :
¾ Du journal des reproductions et utilisations des informations d’exploitation lors de tests
¾ De l’application des procédures d’autorisation d’utilisation des données d’exploitation en test
¾ Des mécanismes de contrôle d’accès aux applications d’essai

215
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs

10B05 Sécurité de la maintenance applicative

Objectif :
Protéger les processus opérationnels contre des erreurs ou des malveillances dans le processus de
maintenance applicative
Résultats attendus :
Empêcher que des erreurs, voire des malveillances, des équipes de maintenance applicative créent
des failles de sécurité ou provoquent des dysfonctionnements lors de la mise en œuvre opérationnelle de
l’application après maintenance.
Mécanismes et solutions :
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
L’essentiel des mesures consiste à bien séparer et gérer les différentes tâches et les différents
environnements de travail :
— Distinction des rôles et responsabilités d’analyse et de conception, de test, et d’intégration et ségrégation des
rôles de telle sorte qu’une même personne ne cumule pas deux rôles sur la même opération de
maintenance.
— Séparation des environnements de maintenance (développement des corrections), de test et d’intégration.
— Gestion stricte de la documentation et des codes sources et objets, en fonction des phases de maintenance
— Ségrégation des responsabilités, une personne n’étant jamais seule responsable d’une tâche complète
— Rigueur dans la définition des tests :
¾ Indépendance des tests
¾ Couverture des tests fonctionnels validée par les utilisateurs
¾ Couverture des tests des fonctions et mécanismes de sécurité validée par la fonction sécurité
— Corrections, tests et intégration tracés, chaque opération étant imputable à des personnes bien identifiées
Mesures techniques
Les mesures techniques d’accompagnement consistent en des mécanismes de contrôle des accès
aux environnements et aux objets qu’ils contiennent :
— Gestion sécurisée des profils correspondant aux différentes tâches sur chaque projet
— Contrôle des accès aux environnements et aux objets de développement (codes sources et objets,
documentation)
— Gestion sécurisée des traces et enregistrements
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ La rigueur de la séparation des tâches et des contrôles indépendants effectués à chaque étape
¾ La sensibilisation des équipes à l’importance de ces procédures, sur le fond et en termes de crédibilité de
la part des utilisateurs
— La robustesse du service est liée à la solidité des mécanismes d’isolement des environnements et de
protection des objets
¾ Protection des tables et mécanismes d’affectation des profils
¾ Solidité du contrôle d’accès aux environnements et objets de développement
— La mise sous contrôle est réalisée par des audits :
¾ De la gestion des rôles et profils
¾ De l’application des procédures
¾ Des mécanismes de contrôle d’accès et de gestion des traces

216
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 10 : Sécurité des projets et développements applicatifs

10B06 Maintenance à chaud

Objectif :
Protéger les processus opérationnels contre des erreurs ou des malveillances dans le processus de
maintenance à chaud
Résultats attendus :
Empêcher que des erreurs, voire des malveillances, des équipes de maintenance viennent altérer les
services opérationnels, lors d‘opérations de maintenance à chaud, c’est-à-dire opérées, pour des raisons
diverses, directement dans l’environnement de production.
Mécanismes et solutions :
Les mécanismes à mettre en œuvre sont, au niveau de la maîtrise d’œuvre et de la production,
essentiellement organisationnels
Mesures organisationnelles
L’essentiel des mesures consiste à bien se protéger contre une difficulté lors de ces opérations,
toujours délicates, et, en particulier à :
— Faire une sauvegarde complète de l’environnement de production avant l’opération de maintenance à chaud
— Faire une sauvegarde complète des données (en s’assurant de leur cohérence et de leur synchronisme)
pour être capable de restaurer, si besoin, des données non polluées
— Noter ou tracer toutes les opérations faites, pour être capable d‘investiguer, après coup, si la séquence
d’opérations s’est mal terminée.
Les mesures complémentaires d’accompagnement ont trait aux conditions de déclenchement d’une
opération de maintenance à chaud :
— Procédure de déclenchement
— Accords donnés à haut niveau, formalisés et contenant au moins ceux du Directeur de la production et du
responsable du domaine applicatif concerné.
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ La rigueur de l’exécution des sauvegardes préalables
¾ La rigueur du processus d’analyse et de la prise de décision autorisant la maintenance à chaud
— La mise sous contrôle est réalisée par des audits :
¾ De la rigueur des procédures écrites
¾ De l’application des procédures

217
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

Domaine 11 : Protection de l’environnement de travail

11A Contrôle des accès aux zones de bureaux


Objectif :
Faire en sorte que seuls les personnes autorisées aient accès aux zones de bureaux sensibles se
situant sur les sites de l’entreprise.
Résultats globaux attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas la nécessité d’accéder, pour leur travail, dans des zones de bureaux sensibles.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à :
— 11A01 : Partitionnement des locaux en domaines de sécurité et cloisonnement
— 11A02 : Gestion des autorisations d'accès aux zones de bureaux protégées
— 11A03 : Détection des intrusions dans les zones de bureaux protégés
— 11A04 : Surveillance des zones de bureaux protégées
— 11A05 : Contrôle de la circulation des visiteurs et prestataires occasionnels

11B Protection de l’information écrite


Objectif :
Faire en sorte que seuls les personnes autorisées aient accès aux informations écrites diverses et que
ces informations soient protégées de toute altération ou destruction
Résultats globaux attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas la nécessité d’accéder, pour leur travail, aux informations écrites situées dans les environnements de
travail habituels des collaborateurs.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à :
— 11B01 : Conservation et protection des pièces originales et éléments de preuve
— 11B02 : Rangement des bureaux et protection des documents et supports amovibles
— 11B03 : Ramassage des corbeilles à papier et destruction des documents
— 11B04 : Sécurité du courrier
— 11B05 : Sécurité des fax
— 11B06 : Sécurité des autocommutateurs
— 11B07 : Sécurité de la messagerie électronique et des échanges électroniques d’information

11C Protection des postes de travail


Objectif :
Faire en sorte que seuls les personnes autorisées aient accès aux informations contenues dans les
postes de travail et protéger ceux-ci contre toute altération nuisible

218
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

Résultats globaux attendus :


Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas la nécessité d’accéder, pour leur travail, au poste de travail des collaborateurs.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à :
— 11C01 : Contrôle d’accès au poste de travail
— 11C02 : Protection de la confidentialité des données contenues dans le poste de travail
— 11C03 : Prise en compte de la confidentialité lors des opérations de maintenance des postes utilisateurs
— 11C04 : Protection de l'intégrité des fichiers contenus sur le poste de travail ou sur un serveur de données
(disque logique pour le poste de travail)
— 11C05 : Travail en dehors des locaux de l'entreprise
— 11C06 : Utilisation d'équipements personnels

11D Continuité de service de l’environnement de travail


Objectif :
Assurer la continuité de service de l’environnement de travail
Résultats globaux attendus :
Faire en sorte que les utilisateurs puissent trouver un environnement de travail satisfaisant en toutes
circonstances.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à :
— 11D01 : Organisation de la maintenance du matériel mis à la disposition du personnel
— 11D02 : Organisation de la maintenance du logiciel des postes utilisateurs
— 11D03 : Plans de sauvegarde des configurations utilisateurs
— 11D04 : Plans de sauvegarde des données utilisateurs stockées sur serveur de données
— 11D05 : Plans de sauvegarde des données utilisateurs stockées sur le poste de travail
— 11D06 : Protection antivirale des postes utilisateurs
— 11D07 : Plan de Reprise de l’Environnement de Travail

219
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11A Contrôle des accès aux zones de bureaux


11A01 Partitionnement des bureaux en domaines de sécurité et
cloisonnement
Objectif :
Délimiter des zones d’activités homogènes dans lesquelles la circulation est libre et sans contrôle interne
et isoler les zones sensibles des autres zones pour n’y donner accès qu’aux personnes autorisées.
Résultats attendus :
Éviter des actions néfastes menées dans des zones de bureau par des personnes n’ayant aucune
raison d’y pénétrer. Remarque : La protection individuelle des bureaux est souvent illusoire car les
utilisateurs rechignent à fermer leur bureau à chaque fois qu’ils le quittent pour un court instant. La
protection par zone est alors plus efficace tout en étant plus conviviale et donc mieux acceptée.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
Les mesures organisationnelles de base visent à organiser les espaces protégés et les moyens de
communication entre zones :
— Identifier les zones homogènes d’activité (services, départements, groupes de projets, etc.)
— Identifier parmi celles-ci les zones sensibles à protéger par un cloisonnement et un contrôle d’accès
— Définir, à proximité des zones protégées mais à l’extérieur du périmètre protégé, des espaces de réception
permettant d’accueillir des visiteurs ou d’organiser des réunions de travail.
— Définir le système d’appel et la procédure d’accueil permettant à une personne ne disposant pas
d’autorisation permanente d’appeler et de pénétrer dans la zone protégée sous la responsabilité d’une
personne autorisée (personne visitée, responsable, etc.)
Mesures techniques
Les mesures techniques ont pour objet de mettre en place les moyens effectifs de contrôle des accès
dans les zones protégées :
— Les mesures techniques de base concernent les voies d’accès normales du personnel : contrôles par badge
ou par digicode, sas d’accès éventuel
— Les mesures complémentaires concernent les autres voies d’accès et la gestion des anomalies :
¾ Contrôle des fenêtres accessibles depuis l’extérieur (fermeture, barreaux, etc.)
¾ Contrôle des issues de secours (ouverture uniquement depuis l’intérieur)
Qualité de service
— L’efficacité du service est liée à plusieurs facteurs :
¾ La solidité ou l’inviolabilité du support des autorisations (mécanismes protégeant les badges contre une
recopie ou une falsification, emploi d’un code personnel en complément du badge, installations permettant
d’éviter l’observation directe d’un digicode)
¾ L’efficacité du filtrage (sas ne permettant l’accès qu’à une personne à la fois, mécanismes empêchant de
faire entrer une personne par prêt de badge) et la sensibilisation des personnels autorisés (accueil de
visiteurs, ouverture sans contrôle, etc.)
— La robustesse du service est liée d’une part à la solidité des mesures complémentaires (efficacité des
contrôles des issues de secours, solidité des fenêtres et bâtiments eux-mêmes), d’autre part aux mesures
organisationnelles de surveillance du système de contrôle d’accès et aux capacités de réaction en cas
d’inhibition de ce système (en particulier en cas d’alerte incendie ou de mise en œuvre de procédures
concernant la sécurité du personnel)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramétrages des systèmes de contrôle d’accès,
¾ des procédures d’accueil des visiteurs
¾ des systèmes de détection des violations et des arrêts du contrôle d’accès
¾ des procédures de réaction aux incidents et violations

220
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11A02 Gestion des autorisations aux zones de bureaux protégées


Objectif :
Attribuer individuellement les autorisations d’accès aux zones de bureaux protégées à chaque
personne intéressée et gérer ces autorisations dans le temps, afin de pouvoir limiter leurs droits et
privilèges à leurs seuls besoins et aux seules périodes concernées.
Résultats attendus :
Prévenir les actions néfastes pouvant être menées, volontairement ou non, par des personnes n’ayant
pas (ou plus) la nécessité d’accéder dans des zones de bureaux protégées pour leur travail.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques :
Mesures organisationnelles
— Définir, pour chaque zone protégée, le responsable de l’attribution d’une autorisation d’accès permanente ou
temporaire à une personne physique.
— Définir, pour chaque autorisation les variables de droits à préciser :
¾ Période de validité
¾ Heures et jours de validité
— Définir l’ensemble des processus d’attribution, de modification et de retrait d’autorisations à une personne,
depuis l’expression du besoin jusqu’à l’attribution ou le retrait du support permettant de justifier l’attribution
des droits.
— Définir les processus de contrôle et de détection anomalies dans la gestion des autorisations et des abus de
droits.
Mesures techniques
Les mesures techniques d’accompagnement ont pour objet de protéger les supports faisant l’interface
entre les responsables décisionnaires et les structures opérationnelles qui vont traduire leurs décisions en
autorisations ou interdictions concrètes d’accès (badges, cartes accréditives, etc.). Il s’agit donc de
s’assurer que la demande reçue par le personnel en charge d’établir les supports justifiant les
autorisations (accréditifs) est bien authentique.
Il s’agit donc de techniques de signature et de contrôle de signature, que cette signature soit
électronique ou non (le scellement électronique étant ici apparenté à une signature). Des certificats
peuvent être également employés.
Par ailleurs la détection d’anomalies ou d’abus suppose que les accès soient enregistrés et qu ‘il existe
une procédure d’analyse des accès permettant de détecter effectivement les anomalies et abus
Qualité de service
— L’efficacité du service est directement liée à :
¾ la rigueur des procédures d’attribution d’autorisations permanentes à des personnes ne faisant pas partie
de l’effectif travaillant dans une zone
¾ la rigueur des procédures de retrait des autorisations aux personnes n’en ayant plus le besoin
— La robustesse du service est directement liée à la solidité des mesures techniques de protection des
transferts d’information vers les services établissant les moyens physiques de contrôle d’accès et des base
de données des droits attribués
— La mise sous contrôle est réalisée par des audits ou inspections régulières :
¾ des droits attribués,
¾ de l’usage pratique de ces droits
¾ des processus de gestion eux-mêmes.

221
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11A03 Détection des intrusions dans les zones de bureaux protégées


Objectif :
Détecter les intrusions dans les zones de bureaux protégées, au cas où le contrôle d’accès n’aurait
pas été efficace et intervenir au plus vite.
Résultats attendus :
Limiter les actions néfastes pouvant être menées volontairement par des personnes n’étant pas
autorisées à pénétrer dans les zones de bureaux protégées, par une détection et une réaction rapide.
Mécanismes et solutions
Les mécanismes de détection à mettre en œuvre sont essentiellement techniques. Ils devront être
accompagnés de mesures organisationnelles, pour qu’une réaction efficace et adaptée soit entreprise.
Mesures techniques
Les mesures techniques concernent soit le contrôle des issues, soit la détection de présence dans des
zones de passage :
— La détection de forçage d’issues (portes ou fenêtres) :
¾ Contacts de portes ou de fenêtres actionnés sans que le contrôle d’accès ait déclenché l’ouverture
¾ Maintien de porte en position ouverte
¾ Utilisation d’issue de secours
¾ Détection de bris de vitres
— La détection de présence dans les locaux sensibles :
¾ Détection volumétrique (infrarouge, …)
¾ Vidéo-surveillance
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de
détection effective d’intrusion ou d’alerte :
¾ Conduite à tenir en cas d’alerte ou de détection d’intrusion
¾ Équipes d’intervention
— Elles concernent également les procédures d’enregistrement et de conservation des enregistrements.
Qualité de service
— L’efficacité du service est liée d’une part à la qualité, au nombre, au positionnement et à la complémentarité
des capteurs pour couvrir l’ensemble des scénarios d’intrusion, en fonction des différentes situations
(heures ouvrables ou non), d’autre part aux capacités de réaction, rapidité du diagnostic et délai
d’intervention.
— La robustesse du service est liée aux capacités d’alerte en cas de tentatives d’inhibition des capteurs :
déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du système
central de traitement des signaux de détection, surveillance mutuelle des caméras de vidéosurveillance,
protection des enregistrements, etc.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des systèmes de traitement des signaux de détection (paramétrages, seuils de déclenchement d’alarmes,
etc.)
¾ des procédures de réaction aux intrusions (soupçonnées ou avérées)

222
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11A04 Surveillance des zones de bureaux protégées


Objectif :
Détecter les actions anormales ou illicites menées par du personnel autorisé à pénétrer dans les zones
de bureaux protégées et intervenir au plus vite.
Résultats attendus :
Limiter les actions néfastes pouvant être menées volontairement par des personnes autorisées à
pénétrer dans les zones de bureaux protégées, par une détection et une réaction rapide.
Mécanismes et solutions
Les mécanismes de détection à mettre en œuvre sont essentiellement techniques. Ils devront être
accompagnés de mesures organisationnelles, pour qu’une réaction efficace et adaptée soit entreprise.
Mesures techniques
— Les mesures techniques concernent essentiellement la vidéosurveillance de l’intérieur des zones de bureaux
protégées : il peut s’agir des zones de passage uniquement (couloirs et espaces communs) ou des bureaux
eux-mêmes.
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles d’accompagnement concernent les procédures relatives aux cas de
détection effective d’anomalies de comportement :
¾ Conduite à tenir en cas d’alerte ou de suspicion de comportement anormal
¾ Équipes d’intervention
— Elles concernent également les procédures d’enregistrement et de conservation des enregistrements.
Qualité de service
— L’efficacité du service est liée d’une part à la qualité, au nombre, au positionnement et à la complémentarité
des caméras, d’autre part aux capacités de réaction, rapidité du diagnostic et délai d’intervention.
— La robustesse du service est liée aux capacités d’alerte en cas de tentatives d’inhibition des capteurs :
déclenchement d’alarme en cas de coupure d’alimentation ou de signal, alarme en cas d’arrêt du système
central de traitement des signaux vidéos, surveillance mutuelle des caméras de vidéosurveillance, protection
des enregistrements, etc.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des systèmes de traitement des signaux vidéos (mise en route effective, positionnement des écrans et
capacités réelles de surveillance par le personnel préposé, etc.)
¾ des procédures de réaction aux intrusions (soupçonnées ou avérées)

223
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11A05 Contrôle de la circulation des visiteurs et prestataires occasionnels


Objectif :
Limiter la libre circulation des visiteurs ou des prestataires occasionnellement autorisés à pénétrer
dans une zone de bureaux.
Résultats attendus :
Limiter la capacité d’actions néfastes pouvant être menées volontairement par des personnes ayant
été autorisées occasionnellement à pénétrer dans une zone de bureaux.
Mécanismes et solutions
Les mécanismes de détection à mettre en œuvre sont essentiellement organisationnels.
Mesures organisationnelles
Les mesures organisationnelles doivent être différenciées selon le type de personne visée
— Les mesures principales concernent les visiteurs et peuvent comprendre :
¾ L’obligation de venir chercher, et de le raccompagner ensuite, un visiteur à l’accueil.
¾ Le contrôle, par bordereau, de la personne visitée et du temps mis à revenir à l’accueil
¾ La mise à disposition de salles de réception dédiées et l’interdiction de faire pénétrer un visiteur dans une
zone sensible
— Les mesures complémentaires peuvent viser d’autres types de personnes :prestataires de maintenance,
livreurs, personnel d’entretien, etc. et les mesures à prendre sont alors :
¾ L’obligation de venir chercher, et de le raccompagner ensuite, le prestataire à l’accueil.
¾ Le maintien de la présence d’une personne responsable pendant toute l’intervention
¾ La mise à disposition de salles dédiées et l’interdiction de faire pénétrer un prestataire dans une zone
sensible

Qualité de service
— L’efficacité du service est liée à la rigueur des contrôles imposés. En ce qui concerne les visiteurs, seule la
mise à disposition de zone de réception dédiée apporte une véritable efficacité dans un monde où la
courtoisie empêche de surveiller de très près tout déplacement.
— La notion de robustesse ne s’applique pas ici (comme souvent quand ils s’agit de pratiques).
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des pratiques réelles des personnes amenées à recevoir des visiteurs
¾ des pratiques réelles des responsables de certaines prestations fournies par du personnel externe

224
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11B Protection de l’information écrite


11B01 Conservation et protection des pièces originales et éléments de
preuve ou considérées comme des valeurs patrimoniales
Objectif :
Offrir un service de conservation et de protection des pièces originales, éléments de preuve ou autres
documents dont la disponibilité est jugée critique.
Résultats attendus :
Éviter la perte de tels documents par une insuffisance des moyens mis à la disposition du personnel.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement techniques. Ils devront être accompagnés de
mesures organisationnelles, pour que le service soit efficace et soit utilisé par le personnel.
Mesures techniques
— Les mesures techniques de base consistent en la mise en place de moyens de stockage sécurisés à la fois
contre les intrusions et contre les risques accidentels :
¾ Coffres ignifuges
¾ Salle des coffres équipée de détection et d’extinction automatique d’incendie (par gaz)
¾ Salle des coffres équipée de détection de dégâts des eaux et de moyens d’évacuation
¾ Salle des coffres équipée de contrôle d’accès efficace, de détection d’intrusion e
— Les mesures complémentaires concernent essentiellement la détection d’intrusion dans la salle des coffres
et la vidéosurveillance de l’intérieur de la salle.
Mesures organisationnelles d’accompagnement
— Les mesures organisationnelles de base consistent en l’organisation de services autour du stockage
sécurisé :
¾ Possibilités de faire des copies de travail ou de scanner les documents originaux
¾ Personnel chargé du stockage disponible en permanence
¾ Garantie de délai court pour l’obtention d’une pièce archivée
— Les mesures organisationnelles d’accompagnement des mesures techniques concernent les procédures
relatives aux cas de détection effective d’anomalies de comportement :
¾ Conduite à tenir en cas d’alerte ou de détection d’intrusion
¾ Équipes d’intervention
— Elles concernent également les procédures d’enregistrement et de conservation des enregistrements.
Qualité de service
— L’efficacité du service est liée à la qualité :
¾ Des mesures de sécurité techniques
¾ Du service d’accompagnement
— La robustesse du service est liée :
¾ aux capacités de détection d’intrusion ou d’incident
¾ aux capacités d’alerte en cas de tentatives d’inhibition des contrôles d’accès ou des systèmes de
détection d’accident naturel (incendie et dégât des eaux)
¾ à la vitesse de réaction de l’équipe d’intervention.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des conditions de stockage des documents
¾ des systèmes de contrôle d’accès et de détection d’incident
¾ des procédures de réaction aux alarmes

225
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11B02 Rangement des bureaux et protection des documents et supports


sensibles
Objectif :
Faire en sorte que des documents ou supports sensibles ne restent pas exposés à la vue de
personnes pouvant entrer dans les bureaux et ne puissent être subtilisés.
Résultats attendus :
Éviter la perte de tels documents ou supports par une négligence du personnel, voire par une
insuffisance des moyens mis à sa disposition.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels. Ils devront être
accompagnés de mesures techniques, pour que le personnel adhère à la démarche.
Mesures organisationnelles
Les mesures organisationnelles de base consistent à établir des règles de comportement, à les
diffuser auprès du personnel et à en contrôler l’application. Ces règles concernent ou peuvent concerner :
— Le rangement des bureaux :
¾ Obligation de ranger tout document ou support sensible dans un meuble fermant à clé et effectivement
fermé
¾ Obligation de ne rien laisser sur les bureaux le soir ou les week-end
— La protection des ordinateurs portables et autres matériels pouvant être sensibles ou onéreux (vidéo-
projecteurs)
¾ Matériel rangé dans un meuble fermé à clé en l’absence de l’occupant
¾ Matériel attaché avec un câble
Les mesures organisationnelles d’accompagnement consistent à contrôler quotidiennement
l’application des directives et à imposer des contraintes en cas de non suivi (documents à récupérer chez
l’officier de sécurité ou chez son responsable hiérarchique, par exemple).
Mesures techniques
Les mesures techniques vont de pair avec les directives :
— Armoires ou meubles de bureaux fermant à clé
— Mise à disposition de câble pour attacher les ordinateurs portables ou matériels onéreux.
Qualité de service
— L’efficacité du service est liée à :
¾ La précision des directives
¾ La sensibilisation du personnel (éventuellement complétée par des sanctions en cas de non suivi des
directives)
— La robustesse du service est liée à l’existence de procédures de contrôles quotidiens faits éventuellement
par les gardiens et de procédure d’escalade en cas de dysfonctionnements répétés.
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De l’application des directives
¾ Des contrôles effectués

226
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11B03 Ramassage des corbeilles à papier et destruction des documents


Objectif :
Sécuriser le circuit de vidage des corbeilles à papier et permettre la destruction sécurisée des
documents rebutés.
Résultats attendus :
Faire en sorte que les documents sensibles périmés et rebutés ne puissent pas être récupérés par
des personnes indélicates.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels. Selon la solution retenue,
ils devront ou non être accompagnés de mesures techniques.
Mesures organisationnelles
Les mesures organisationnelles consistent à organiser la destruction sécurisée des documents
sensibles rebutés, selon diverses possibilités (alternatives) :
— Destruction sécurisée à l’initiative du personnel :
¾ Obligation de détruire tout document sensible selon une procédure définie (en fonction des moyens mis
en place)
¾ Mise à disposition du personnel de containers sécurisés dont le contenu sera détruit en sécurité
— Destruction systématique de tout les documents rebutés
¾ Séparation des types de déchets
¾ Destruction systématique et sécurisée de tous les documents rebutés
Les mesures organisationnelles d’accompagnement consistent à contrôler l’application des directives
si la solution choisie est à l’initiative du personnel
Mesures techniques
Les mesures techniques vont de pair avec les directives :
— Machines déchiqueteuses à disposition du personnel (et à proximité des photocopieurs)
— Mise à disposition de containers de ramassage des documents à détruire.
Qualité de service
— L’efficacité du service est liée à :
¾ À l’automaticité de la collecte des documents à détruire
¾ Au mécanisme de destruction (déchiquetage et dans ce cas type de coupe, incinération, etc.)
— La robustesse du service est liée à la solidité de la protection des stockages intermédiaires éventuels
(containers avant destruction)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De l’application des directives
¾ Du système, voire de la société, de destruction

227
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11B04 Sécurité du courrier


Objectif :
Sécuriser le circuit de collecte et d’expédition du courrier départ et le circuit de tri et de distribution du
courrier arrivée.
Résultats attendus :
Faire en sorte que des documents sensibles ne soient pas divulgués à l’occasion de la collecte ou de
la distribution du courrier.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels. Selon la solution retenue,
ils devront ou non être accompagnés de mesures techniques.
Mesures organisationnelles
Les mesures organisationnelles consistent à organiser l’envoi et la réception de courriers sensibles
pour éviter au mieux leur divulgation :
— Directives concernant l’envoi de courrier sensible :
¾ Obligation d’employer un système de double enveloppe, l’enveloppe interne indiquant le degré de
sensibilité et éventuellement des consignes complémentaires (à n’ouvrir que par le destinataire),
l’enveloppe externe étant banalisée
¾ Envoi par la poste en Recommandé avec Accusé de Réception
¾ Remise en main propre pour les courriers les plus sensibles
— Directives concernant la réception des courriers dans les secrétariats et la distribution finale aux
destinataires :
¾ Courriers ne restant pas ouverts dans des corbeilles accessibles à tout le personnel
¾ Rangement dans un meuble fermé à clé des courriers sensibles en attente de distribution
— Directives concernant le service central du courrier d’entreprise :
¾ Local courrier fermé à clé en l’absence du personnel préposé
¾ Casiers éventuels de courriers fermés à clé
¾ Procédures de distribution sécurisée
Mesures techniques
Les mesures techniques vont de pair avec les directives :
— Fermeture du local courrier
— Casiers fermant à clé
Qualité de service
— L’efficacité du service est liée :
¾ À la rigueur des procédures d’envoi et de réception du courrier
¾ À la solidité des mécanismes techniques de protection du courrier dans le circuit de collecte et de
distribution
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De l’application des directives par le personnel et les secrétariats
¾ De l’application des directives par le service courrier

228
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11B05 Sécurité des fax


Objectif :
Sécuriser les procédures d’envoi et de réception de fax contenant des informations sensibles.
Résultats attendus :
Faire en sorte que des informations sensibles ne soient pas divulguées à l’occasion de l’envoi ou de la
réception d’un fax.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Les mesures techniques disponibles sur la très grande majorité des matériels de télécopie consistent
en des possibilités de « relève distante » qui consistent à :
— Faire déclencher l’émission du fax par le destinataire lui-même
— Assujettir ce déclenchement au numéro de téléphone du destinataire
— Assujettir le déclenchement à la présentation d’un mot de passe
Il est clair que cette procédure, documentée sur pratiquement tous les appareils, évite les erreurs de
numéro, garantit que le destinataire est bien présent au bout de la ligne, donne une certaine garantie que
c’est bien le bon destinataire (par le mot de passe)
Mesures organisationnelles
Les mesures organisationnelles consistent à appliquer le service de relève distante et bien sûr à
convenir d’un mot de passe avec le destinataire, mais surtout à rendre cette procédure opérationnelle pour
toutes les télécopies sensibles :
— Directive concernant l’envoi de télécopie sensible à publier et diffuser à l’ensemble du personnel avec
obligation de l’appliquer
— Explication et affichage précis du mode d’emploi à proximité immédiate de chaque télécopieur
Les mesures organisationnelles complémentaires consistent à sécuriser l’ensemble des fax reçus en
protégeant le circuit de réception et de distribution :
— Local de réception des fax fermé à clé en dehors des heures de présence de personnel préposé à la
réception des fax
— Circuit de distribution des fax assurant leur confidentialité (casiers fermés à clé, mise sous enveloppe, etc.)
Qualité de service
— L’efficacité du service est liée :
¾ À la sensibilisation du personnel et aux sanctions éventuelles en cas de non application des directives
¾ Au caractère plus ou moins pratique de la mise en œuvre de la procédure de relève distante
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De l’application des directives par le personnel et les secrétariats
¾ De l’adéquation des explications fournies avec le matériel disponible

229
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11B06 Sécurité des autocommutateurs


Objectif :
Contrôler l’emploi des fonctions avancées des autocommutateurs.
Résultats attendus :
Faire en sorte que des informations sensibles transitant par les autocommutateurs ne soient
accessibles qu’aux interlocuteurs souhaitant entrer en relation.
Les autocommutateurs comprennent des fonctions avancées pouvant être employées de manière
indélicate :
— Le transfert d’un poste sur un autre poste peut être déclenché à distance, avec des possibilités ainsi ouvertes
de transférer une ligne fax sur un autre fax, à l’insu éventuellement du destinataire
— Une conférence à trois peut être ouverte à l‘insu des deux interlocuteurs entrés en relation
Mécanismes et solutions
Les mécanismes à mettre en œuvre s’appuient sur les mécanismes prévus par le fournisseur des
autocommutateurs, mais sont essentiellement organisationnels.
Mesures organisationnelles
Les mesures organisationnelles consistent à définir une politique de sécurité de l’emploi des
autocommutateurs :
— Possibilités de fonctions avancées supprimées en option de base de chaque poste
— Ouverture de fonctions avancées soumise à autorisation (à préciser par qui : hiérarchie, fonction sécurité,
etc.)
— Vérification qu’un poste à fonctions avancées ouvertes ne correspond pas à un fax
— Contrôle des fonctions avancées par mot de passe personnalisé non standard
Les mesures organisationnelles complémentaires consistent à mettre en place cette politique et à la
garder sous contrôle :
— Mise en place de la fonction gérant les autorisations de fonctions avancées et l’ouverture et la fermeture
effective de ces fonctions
— Mise en place d’un circuit de dérogation pour les cas difficiles ou n’entrant pas dans les standards
— Possibilités d’audit et contrôle régulier des postes ayant des fonctions avancées
Mesures techniques
Les mesures techniques complémentaires, outre la gestion des options avancées, consistent à
contrôler :
— L’usage de la ligne de télémaintenance éventuelle
— L’usage et les possibilités d’administration des autocommutateurs :
¾ Gestion des droits d’administration
¾ Protocoles et mécanisme de login et d’authentification avec des droits d’administration
Qualité de service
— L’efficacité du service est liée à la rigueur de gestion des autorisations d’options avancées :
¾ Configurations standards par défaut sans options
¾ Rigueur du processus d’autorisation de fonctions avancées
— La robustesse du service est liée :
¾ Au contrôle de la ligne de télémaintenance
¾ Au contrôle des droits d’administration
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De l’application des procédures
¾ Des postes disposant effectivement de fonctions avancées
¾ Des possibilités d’administration et de la gestion des droits correspondants

230
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11B07 Sécurité de la messagerie électronique et des échanges


électroniques d’information
Objectif :
Assurer la confidentialité, l’intégrité et l’authenticité des messages électroniques.
Résultats attendus :
Faire en sorte que des informations sensibles transitant par messageries ne soient accessibles qu’aux
destinataires prévus, qu’elles parviennent intègres et que leur émetteur puisse être déterminé sans
ambiguïté.
Mécanismes et solutions
Les mécanismes à mettre sont en partie organisationnels, mais essentiellement techniques.
Mesures organisationnelles
Les mesures organisationnelles consistent à définir une politique de sécurité de l’emploi de la
messagerie :
— Limitation d’emploi en fonction de la sensibilité
— Conduite à tenir à la réception de messages provenant d’émetteurs non connus
— Utilisation des répertoires d’adresses
— Accusé de réception pour les messages importants devant être datés
— Conservation des traces d’échanges
Les mesures complémentaires concernent d’autres modes d’échange que la messagerie : vidéo ou
audio conférences, SMS et MMS, qui doivent également faire l’objet d’une politique de sécurité
Mesures techniques
Les mesures techniques de base, font appel à des procédés cryptologiques :
— Emploi de messagerie cryptée
— Emploi de pièces jointes cryptées
— Emploi de canaux de communication chiffrés pour les conférences
— Signature électronique
Qualité de service
— L’efficacité du service est liée plusieurs facteurs :
¾ Les détails et la rigueur des procédures d’emploi des moyens d’échanges électroniques
¾ La solidité de l’algorithme de chiffrement ou de signature des échanges et messages
¾ La solidité de la protection de la mise en œuvre du processus de chiffrement et de déchiffrement (parfois
protégée par un simple mot de passe sur le poste de travail)
— La robustesse du service est liée à plusieurs facteurs :
¾ la protection des mécanismes de chiffrement eux-mêmes
¾ la solidité du processus et des procédures d’échange de clés et de gestion d’anomalies (révocation)
¾ la solidité de la protection du poste de travail contre des altérations du poste (introduction de logiciel
espion)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des paramètres supports des mécanismes de chiffrement,
¾ des systèmes de détection d’inhibition ou d’arrêt du mécanisme de chiffrement
¾ de la mise en œuvre des procédures de gestion de clés

231
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11C Protection des postes de travail


11C01 Contrôle d’accès au poste de travail
Objectif :
Ne permettre l’accès au poste de travail qu’aux personnes autorisées.
Résultats attendus :
Éviter que des personnes non autorisées puissent accéder aux données stockées sur le poste de
travail ou y introduire des logiciels pouvant représenter un danger pour la sécurité :
— Logiciel espion permettant d’enregistrer les actions du titulaire du poste telles que la frappe des mots de
passe de connexion aux réseaux ou systèmes
— Cheval de Troie permettant ensuite de prendre la main à distance sur le poste
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Il s’agit, bien entendu, du contrôle d’accès au poste qui peut reposer sur :
— Un mot de passe géré par le matériel lui-même (dans le set up)
— Un mot de passe géré par un logiciel spécialisé
— Des moyens d’authentification forte tels qu’une carte à puce, des moyens biométriques, etc.
Les mesures techniques complémentaires nécessaires consistent à gérer le passage en veille, après
un délai relativement court, avec obligation de s’authentifier à nouveau à la reprise, en cas d’inactivité, afin
d’éviter que quelqu’un puisse profiter de l’absence d titulaire du poste
Mesures organisationnelles
De tels systèmes ne peuvent être mis en œuvre sans des mesures d’accompagnement destinées à
faire face à un oubli ou à la perte du moyen d’authentification.
Il est également nécessaire que l’entreprise se garde un moyen d’accéder au poste en cas de départ
ou de disparition de son titulaire :
— Conservation sécurisée par l’entreprise d’une copie du mot de passe
— Droits ouverts à un administrateur
— Gestion d’un « mode maître » pour les authentifications fortes
Qualité de service
— L’efficacité du service est liée à la solidité de l’algorithme d’authentification
— La robustesse du service est liée à :
¾ sa capacité à résister à une mise hors circuit (les mots de passe du set up peuvent facilement être
désactivés par la maintenance ou un bon spécialiste du matériel)
¾ l’automatisation du passage en mode veille et à la vitesse de ce passage en cas d’inactivité
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De la mise à disposition réelle des utilisateurs des solutions préconisées (avec le support correspondant)
¾ De l‘usage, par les utilisateurs, des solutions offertes

232
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11C02 Protection de la confidentialité des données stockées sur le poste


de travail
Objectif :
Contrôler l’accès en lecture aux données pouvant résider sur le poste de travail.
Résultats attendus :
Éviter que des personnes pouvant avoir accès au poste de travail puissent prendre connaissance des
données qu’il contient ou qu’il a contenues :
— Fichiers vivants
— Fichiers effacés
— Fichiers temporaires
Le service vise également à se protéger contre des accès aux informations par des administrateurs de
postes de travail
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Les mesures techniques sont de différentes natures selon la nature des fichiers que l’on souhaite
protéger :
— Chiffrement des fichiers vivants
— Effacement réel et fiable des fichiers et informations inutiles et « détruites »
— Effacement réel et fiable des fichiers temporaires
Mesures organisationnelles
De tels systèmes ne peuvent être mis en œuvre sans des mesures de sensibilisation et de formation
du personnel pour qu’il comprenne bien ce qu’il convient de faire
— Le chiffrement des fichiers est certes utile, mais quand on utilise ces fichiers il faut les déchiffrer et ils sont
alors « en clair » sur le poste (au moins en mémoire vive et à l’écran, parfois également sur le disque). Il
importe que les utilisateurs comprennent que s’ils veulent être sûrs que personne ne puisse avoir accès à
ces fichiers, dans ces circonstances, il faut qu’alors ils se déconnectent du réseau. Par ailleurs, si le
chiffrement n’est pas déclenché par directory, il faut le faire manuellement et donc y prendre garde (en
particulier pour les pièces jointes de messages ou les adresses de messagerie – risque de modification
insoupçonnée – qui peuvent être stockées sur un directory non chiffré et qu’il faut donc chiffrer
volontairement ou ranger dans un directory chiffré).
— L’effacement réel des fichiers est possible par certains produits, mais il faut le plus souvent les activer
spécialement et à chaque effacement réel
— L’effacement des fichiers temporaires peur également être programmé, mais il ne sera réel, le plus souvent,
qu’à la fermeture du système.
En fonction des remarques qui viennent d’être faites, des directives précises sont un accompagnement
nécessaires et doivent couvrir les divers points cités (fichiers, messages, adresses de messagerie, fichiers
détruits, fichiers temporaires, etc.)
Qualité de service
— L’efficacité du service est liée à :
¾ L’exhaustivité des fonctions prévues
¾ La solidité des mécanismes mis en place (en particulier chiffrement et effacement)
¾ La sensibilisation des utilisateurs
— La robustesse du service est liée à :
¾ la protection du processus de mise en œuvre du déchiffrement ou d’effacement
¾ la sécurité du processus de distribution des clés de chiffrement
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De la mise à disposition réelle des utilisateurs des solutions préconisées (avec le support correspondant)
¾ De l‘usage, par les utilisateurs, des solutions offertes

233
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11C03 Prise en compte de la confidentialité lors des opérations de


maintenance des postes utilisateurs
Objectif :
Gérer avec rigueur les problèmes de confidentialité que peuvent poser les interventions de maintenance
sur les postes utilisateurs
Résultats attendus :
Éviter qu’une intervention de maintenance sur un poste utilisateur se traduise par une fuite d’information
sensible.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels
Mesures organisationnelles
Les mesures à mettre en œuvre consistent, à chaque fois que cela est possible, à faire en sorte que :
— Les informations sensibles ne soient pas accessibles par le personnel de maintenance :
¾ Effacement (physique) des disques si possible
¾ Déconnexion du disque et conservation avant envoi en maintenance
¾ Destruction ou conservation des supports rebutés
— Empêcher ou contrôler a posteriori que l’opération de maintenance se traduise par des fuites ultérieures
d’information (absence de module espion, de porte dérobée, etc.)
Qualité de service
— L’efficacité du service est essentiellement liée à la précision et au formalisme des procédures à suivre pour
chaque cas de panne ou d’incident et d’appel à la maintenance (procédures décrivant les opérations à
mener avant et après l’intervention de la maintenance).
— La robustesse du service est liée à la volonté de la Direction de ne pas déroger aux procédures formelles de
contrôle de la confidentialité lors des opérations de maintenance sauf circonstances réellement
exceptionnelles et au formalisme rigoureux alors nécessaire (signature formelle d’une dérogation par un
membre de la Direction). La principale cause de contournement vient, en effet, du risque de déroger aux
procédures de contrôle sous la pression des délais.
— La mise sous contrôle est réalisée par des audits réguliers de l’application sans faille des procédures ci-
dessus.

234
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11C04 Protection de l’intégrité des données stockées sur le poste de


travail
Objectif :
Contrôler l’intégrité des données pouvant résider sur le poste de travail.
Résultats attendus :
Éviter que des personnes pouvant avoir accès au poste de travail puissent modifier des données qu’il
contient ou qu’il a contenues, sans que cela soit remarqué :
— Fichiers vivants
— Archives
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels.
Mesures techniques
Les mesures techniques sont de différentes natures selon la nature des fichiers que l’on souhaite
protéger :
— Interdiction d’écriture sur certains fichiers sensibles
— Protection de l’intégrité par des mécanismes dédiés tels que la signature ou le scellement
Mesures organisationnelles
De tels systèmes ne peuvent être mis en œuvre sans des mesures de sensibilisation et de formation
du personnel pour qu’il comprenne bien ce qu’il convient de faire
— Le scellement ou la signature des fichiers est certes utile, à condition de prendre le temps de vérifier
systématiquement le sceau ou la signature.
— Il importe également que les utilisateurs comprennent que les fichiers ne sont plus protégés dès lors qu’ils
sont ouverts et chargés sur le poste de travail (travail en cours) et que s’ils veulent être sûrs que personne ne
puisse modifier ces fichiers, dans ces circonstances, il faut qu’alors ils se déconnectent du réseau.
En fonction des remarques qui viennent d’être faites, des directives précises sont un accompagnement
nécessaires et doivent couvrir les diverses cibles possibles (fichiers, messages, adresses de messagerie,
etc.)
Qualité de service
— L’efficacité du service est liée à :
¾ L’exhaustivité des fonctions prévues
¾ La solidité des mécanismes mis en place (en particulier de scellement ou de signature)
¾ La sensibilisation des utilisateurs
— La robustesse du service est liée à :
¾ la protection du processus de mise en œuvre du scellement et du contrôle de sceau
¾ la sécurité du processus de distribution des clés de scellement
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De la mise à disposition réelle des utilisateurs des solutions préconisées (avec le support correspondant)
¾ De l‘usage, par les utilisateurs, des solutions offertes

235
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11C05 Travail en dehors des locaux de l’entreprise


Objectif :
Faire en sorte que les collaborateurs prennent les dispositions adéquates quand ils sont en dehors des
locaux de l’entreprise et qu’ils sont amenés, dans ces conditions, à manipuler, traiter, échanger des
informations concernant l’entreprise ou son activité.
Résultats attendus :
Éviter des fuites d’information à l’occasion de travail en dehors des locaux de l’entreprise
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
Les mesures de base sont organisationnelles et consistent à analyser les conditions de travail en
dehors des locaux de l’entreprise, à en déduire les risques liés aux informations sensibles et à définir en
conséquence les comportements et précautions à demander aux collaborateurs de l’entreprise :
— Analyse exhaustive de toutes les situations de travail ou d‘échanges professionnels en dehors des locaux de
l’entreprise
— Etablissement de politiques de sécurité relatives au travail en dehors des locaux de l’entreprise et au
télétravail
Les mesures complémentaires consistent à faire en sorte que le personnel connaisse les mesures de
sécurité à appliquer et qu’il ait une conscience suffisante des risques pour les mettre en œuvre
effectivement :
— Sensibilisation aux risques rencontrés dans des situations de travail en dehors des locaux
— Formation aux mesures à appliquer dans ces circonstances
Mesures techniques
Les mesures techniques d’accompagnement consiste à s’assurer que seuls les moyens techniques
appartenant à l’entreprise sont utilisés et qu’ils sont équipés et configurés en conséquence (VPN pour se
connecter au réseau d’entreprise, chiffrement des fichiers, configuration contrôlée régulièrement, etc.)
Qualité de service
— L’efficacité du service est liée à :
¾ L’exhaustivité des cas étudiés
¾ La rigueur des mesures décidées suite à cette analyse
¾ La solidité des mécanismes mis en œuvre pour protéger les données ou les échanges d’information
¾ La sensibilisation et la formation des utilisateurs
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De la mise à disposition réelle des utilisateurs des solutions préconisées (avec le support correspondant)
¾ De l‘usage, par les utilisateurs, des solutions offertes

236
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11C06 Utilisation d’équipements personnels


Objectif :
Faire en sorte que les collaborateurs prennent les dispositions adéquates s’ils sont amenés à travailler
sur des équipements personnels non contrôlés par l’entreprise.
Résultats attendus :
Éviter des fuites d’information à l’occasion de travail sur des équipements personnels
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques.
Mesures organisationnelles
Les mesures de base sont organisationnelles et consistent à analyser les conditions de travail
éventuelles en dehors des locaux de l’entreprise, à en déduire les risques liés aux informations sensibles
et à définir en conséquence les comportements et précautions à demander aux collaborateurs de
l’entreprise :
— Analyse exhaustive de toutes les situations de travail ou d‘échanges professionnels utilisant des équipements
n’appartenant pas à l’entreprise
— Etablissement de politiques de sécurité relatives à l’utilisation d’équipements personnels (ordinateur,
téléphone, assistant, etc.)
Les mesures complémentaires consistent à faire en sorte que le personnel connaisse les mesures de
sécurité à appliquer et qu’il ait une conscience suffisante des risques pour les mettre en œuvre
effectivement :
— Sensibilisation aux risques rencontrés lors de l’utilisation d’équipements personnels
— Formation aux mesures à appliquer dans ces circonstances
Mesures techniques
Les mesures techniques d’accompagnement consistent à mettre en place les moyens techniques
complémentaires éventuellement nécessaires et à les mettre à la disposition du personnel (clés USB,
modules de chiffrement pour assistants personnels, clés de protection, etc.)
Qualité de service
— L’efficacité du service est liée à :
¾ L’exhaustivité des cas étudiés
¾ La rigueur des mesures décidées suite à cette analyse
¾ La solidité des mécanismes mis en œuvre pour protéger les données ou les échanges d’information
¾ La sensibilisation et la formation des utilisateurs
— La mise sous contrôle est réalisée par des audits réguliers :
¾ De la mise à disposition réelle des utilisateurs des solutions préconisées (avec le support correspondant)
¾ De l‘usage, par les utilisateurs, des solutions offertes

237
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11D Continuité de service de l’environnement de travail


11D01 Organisation de la maintenance du matériel mis à la disposition du
personnel

Objectif :
Assurer la maintenance des matériels mis à la disposition du personnel pour les cas de panne ou
d’évolutions nécessaires.
Résultats attendus :
Éviter qu’une défaillance d’équipement ou qu’une évolution nécessaire (que ce soit pour des
changements de contexte internes ou externes) se traduise par une interruption inacceptable du service.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont exclusivement organisationnels
Mesures organisationnelles
— Le socle de ce service consiste bien entendu en l’élaboration de contrats de maintenance soit avec les
fournisseurs d’équipements soit avec une tierce partie de maintenance (TPM). L’élaboration des clauses
adéquates dans le contrat nécessite néanmoins quelques actions préliminaires et précautions :
¾ Identifier les équipements critiques pour le personnel et, pour ceux-ci, le délai de remise en service
souhaitable et le délai maximum tolérable en cas de défaillance
¾ Négocier avec le contractant le délai maximum d’intervention et le délai maximum de réparation (celui-ci
peut dépendre de l’existence de pièces de rechange sur site et ce point doit faire l’objet de la négociation)
¾ Négocier éventuellement des clauses de pénalité en cas de dépassement des temps contractuels
Qualité de service
— L’efficacité du service est essentiellement liée à trois facteurs :
¾ la précision et le réalisme des clauses du contrat, en particulier en ce qui concerne les horaires d’appel,
d’intervention et les possibilités d’appel les week-end et jours fériés
¾ La compétence et l’expertise du fournisseur ou du contractant
— La robustesse du service est liée à deux types de facteurs :
¾ La solidité du contractant (afin d’éviter un arrêt d’activité ou son rachat sans reprise de son activité)
¾ Les possibilités d’action ou de pression en cas de grève du personnel
— La mise sous contrôle est réalisée par des audits réguliers :
¾ Des clauses du contrat et de la tenue des engagements du fournisseur
¾ Du fournisseur, afin de vérifier les points cités au titre de la robustesse.

238
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11D02 Organisation de la maintenance du logiciel des postes utilisateurs


Objectif :
Assurer la maintenance des logiciels des postes utilisateurs pour les cas de bugs ou d’évolutions
nécessaires.
Résultats attendus :
Éviter qu’un bug bloquant ou qu’une évolution nécessaire (que ce soit pour des changements de
contexte internes ou externes) se traduise par une interruption inacceptable du service.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont exclusivement organisationnels
Mesures organisationnelles
— Le socle de ce service consiste bien entendu en l’élaboration de contrats de maintenance avec les
fournisseurs de logiciels et de progiciels. L’élaboration des clauses adéquates dans le contrat nécessite
néanmoins quelques actions préliminaires et précautions :
¾ Identifier les logiciels critiques pour les utilisateurs et, pour ceux-ci, le délai d’intervention souhaitable et le
délai maximum tolérable en cas de bug bloquant
¾ Négocier avec le fournisseur le délai maximum d’intervention
¾ Préciser, en particulier, les conditions d’escalade en cas de difficulté d’intervention et les possibilités et
conditions d’appel aux meilleurs spécialistes
¾ Négocier éventuellement des clauses de pénalité en cas de dépassement des temps contractuels
Qualité de service
— L’efficacité du service est essentiellement liée à trois facteurs :
¾ la précision et le réalisme des clauses du contrat, en particulier en ce qui concerne les horaires d’appel,
d’intervention et les possibilités d’appel les week-end et jours fériés
¾ L’efficacité des procédures d’escalade et d’appel aux meilleurs spécialistes.
¾ La compétence et l’expertise du fournisseur
— La robustesse du service est liée à trois types de facteurs :
¾ La solidité du contractant (afin d’éviter un arrêt d’activité ou son rachat sans reprise de son activité)
¾ Les possibilités d’action ou de pression en cas de grève du personnel
¾ L’indépendance vis-à-vis de compétences pointues détenues par un petit nombre de personnes, voire par
un seul spécialiste)
— La mise sous contrôle est réalisée par des audits réguliers :
¾ Des clauses du contrat et de la tenue des engagements du fournisseur
¾ Du fournisseur, afin de vérifier les points cités au titre de la robustesse.

239
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11D03 Plans de sauvegardes des configurations utilisateurs


Objectif :
Assurer la possibilité de reconstituer les configurations utilisateurs en cas de besoin.
Résultats attendus :
Éviter qu’à l’occasion d’un accident grave obligeant à déplacer les utilisateurs sur un autre site ou, du
moins, à leur donner un environnement de travail différent, la durée de reconstitution de cet
environnement de travail soit pénalisé par une méconnaissance de l’environnement de départ.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures techniques
— Les mesures techniques de base consistent à sauvegarder l’ensemble des configurations standards des
utilisateurs (masters) ou des paramètres permettant de reconstituer ces configurations.
— Les mesures techniques d’accompagnement consistent à protéger ces sauvegardes contre des actions
volontaires de destruction et contre des accidents :
¾ stockage des sauvegardes de masters ou de fichiers de paramètres dans un local protégé par un contrôle
d’accès
¾ stockage des sauvegardes de masters ou de fichiers de paramètres dans un local protégé contre
l’incendie, les dégâts des eaux et les risques de pollution.
Mesures organisationnelles
— Les mesures organisationnelles d’accompagnement visent la gestion des droits d’accès aux sauvegardes et
les conditions d’accès auxdites sauvegardes :
¾ gestion rigoureuse des personnes ayant accès aux sauvegardes
¾ contrôle de relecture périodiques
¾ stockage d’un jeu de sauvegardes de recours en dehors du site de production
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ l’exhaustivité des configurations et paramètres sauvegardés et de la tenue à jour des configurations
applicables à chaque utilisateur
¾ la fréquence des sauvegardes
— La robustesse du service est liée à deux types de facteurs :
¾ la solidité des contrôles d’accès et des protections contre les risques accidentels.
¾ la rigueur de la gestion des droits d’accès aux sauvegardes
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des procédures de sauvegardes
¾ des tests effectués pour vérifier que l’on peut effectivement, à partir des sauvegardes, restaurer
complètement l’environnement de l’ensemble des utilisateurs
¾ des dispositions prises pour les protéger des risques de malveillance et accidentels.

240
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11D04 Plan de sauvegarde des données utilisateurs stockées sur serveur


Objectif :
Assurer la sauvegarde des données utilisateurs stockées sur serveur
Résultats attendus :
Permettre une reprise rapide du travail des utilisateurs en cas d’incident sur un serveur de données ou
de mise en œuvre de plans de secours les obligeant à travailler sur un autre serveur.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures techniques
— Les mesures techniques de base consistent à faire que des sauvegardes des données utilisateur stockées
sur serveur soient effectuées, à une fréquence correspondant aux besoins des utilisateurs.
— Les mesures techniques d’accompagnement consistent à protéger ces sauvegardes contre des actions
volontaires de destruction et contre des accidents :
¾ stockage des sauvegardes dans un local protégé par un contrôle d’accès
¾ stockage des sauvegardes dans un local protégé contre l’incendie, les dégâts des eaux et les risques de
pollution.
Mesures organisationnelles
— Les mesures organisationnelles de base visent l’étude de la durée maximale admissible entre deux
sauvegardes pour que les inconvénients subis par les utilisateurs soient acceptables
— Les mesures d’accompagnement visent la gestion des droits d’accès aux sauvegardes et les conditions
d’accès auxdites sauvegardes :
¾ gestion rigoureuse des personnes ayant accès aux sauvegardes
¾ contrôle de relecture périodique
¾ stockage d’un jeu de sauvegardes de recours en dehors du site de production
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la fréquence des sauvegardes et son adéquation aux besoins des utilisateurs
¾ l’automaticité des sauvegardes et sa prise en compte par la production informatique
— La robustesse du service est liée à deux types de facteurs :
¾ la solidité des contrôles d’accès et des protections contre les risques accidentels.
¾ la rigueur de la gestion des droits d’accès aux sauvegardes
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des procédures de sauvegardes
¾ des dispositions prises pour les protéger des risques de malveillance et accidentels.

241
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11D05 Plan de sauvegarde des données utilisateurs stockées sur le poste


Objectif :
Assurer la sauvegarde des données utilisateurs stockées sur leur poste de travail
Résultats attendus :
Permettre une reprise rapide du travail des utilisateurs en cas d’incident sur leur poste de travail ou de
mise en œuvre de plans de secours les obligeant à travailler sur un autre poste.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures techniques
— Les mesures techniques de base consistent à faire que des sauvegardes des données utilisateur stockées
sur leur poste de travail soient effectuées, avec deux alternatives (en ne traitant pas comme un service de
sécurité le fait que l’utilisateur se débrouille tout seul pour faire ses sauvegardes comme il l’entend) :
¾ Sauvegardes faites à l’initiative des utilisateurs, à une fréquence déterminée par eux, avec l’aide d’outil de
sauvegardes (permettant éventuellement une automatisation du processus) fourni par la fonction
informatique (la gestion des fichiers de sauvegarde et leur protection physique étant assurée par la
production informatique).
¾ Sauvegardes centralisées et grées par la production informatique lors de la connexion des postes au
réseau (pour les postes nomades)
— Les mesures techniques d’accompagnement consistent à protéger ces sauvegardes contre des actions
volontaires de destruction et contre des accidents :
¾ stockage des sauvegardes dans un local protégé par un contrôle d’accès
¾ stockage des sauvegardes dans un local protégé contre l’incendie, les dégâts des eaux et les risques de
pollution.
Mesures organisationnelles
— Les mesures organisationnelles de base visent l’étude de la durée maximale admissible entre deux
sauvegardes pour que les inconvénients subis par les utilisateurs soient acceptables
— Les mesures d’accompagnement visent la gestion des droits d’accès aux sauvegardes et les conditions
d’accès auxdites sauvegardes :
¾ gestion rigoureuse des personnes ayant accès aux sauvegardes
¾ contrôle de relecture périodiques
¾ stockage d’un jeu de sauvegardes de recours en dehors du site de production
Qualité de service
— L’efficacité du service est essentiellement liée à deux facteurs :
¾ la fréquence des sauvegardes et son adéquation aux besoins des utilisateurs
¾ l’automaticité des sauvegardes ou leur prise en compte par la production informatique
— La robustesse du service est liée à trois types de facteurs :
¾ la résistance des configurations utilisateurs à l‘inhibition du processus de sauvegarde automatique et
l’alerte de l’utilisateur en cas de mise hors service
¾ la solidité des contrôles d’accès et des protections contre les risques accidentels.
¾ la rigueur de la gestion des droits d’accès aux sauvegardes
— La mise sous contrôle est réalisée par des audits réguliers :
¾ des procédures de sauvegardes
¾ des dispositions prises pour les protéger des risques de malveillance et accidentels.
¾ De l’usage effectif des services de sauvegardes par les utilisateurs

242
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11D06 Plans de protection antivirale des postes de travail


Objectif :
Assurer la protection des postes de travail contre les risques d’infection virale
Résultats attendus :
Éviter l’action des virus et leur propagation
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois techniques et organisationnels
Mesures techniques
Les mesures techniques de base consistent à équiper les postes de travail d’antivirus efficaces :
— régulièrement mis à jour
— restant activés (éventuellement sans possibilité pour l’utilisateur de désactiver l’antivirus)
Mesures organisationnelles
Les mesures organisationnelles d’accompagnement consistent en :
— la mise en place de cellule support permettant de réagir très vite au cas où une première attaque serait
détectée par l’antivirus
— la sensibilisation des utilisateurs au risque viral et au danger de la désactivation de l’antivirus
Qualité de service
— L’efficacité du service est essentiellement liée à plusieurs facteurs :
¾ la qualité du fournisseur
¾ la fréquence des mises à jour
— La robustesse du service est liée à l’incapacité pour l’utilisateur de désactiver son antivirus
— La mise sous contrôle est réalisée par des audits de :
¾ la fréquence des mises à jour
¾ l’activation de l’antivirus

243
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 11 : Protection de l’environnement de travail

11D07 Plan de Reprise de l’Environnement de Travail


Objectif :
Assurer la mise à disposition d’un environnement de travail acceptable en cas d’accident grave
Résultats attendus :
Permettre aux utilisateurs de retrouver un environnement de travail acceptable, en cas d’accident
grave survenant sur une partie importante du site où ils travaillent en temps normal, accident rendant leur
environnement indisponible, et ceci dans un délai compatible avec les besoins des utilisateurs.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont à la fois organisationnels et techniques
Mesures organisationnelles
— Les mesures organisationnelles initiales visent à analyser, pour chaque type de population, compte tenu des
fonctions à assurer en priorité, les conséquences d’un accident grave rendant indisponible l’environnement
de travail et à identifier, avec les utilisateurs, le service minimal à assurer et le délai d’interruption admissible
entre le fonctionnement normal et le fonctionnement en mode secours, éventuellement dégradé.
— Les mesures de base visent ensuite à déterminer la solution de secours, à décrire en détail les actions à
mener quand survient le sinistre, à en décrire les procédures détaillées et à les tester, puis à gérer leur mise
à jour au fil des évolutions des environnements de travail.
Mesures techniques
— Les mesures techniques de base consistent à assurer une solution de secours pour tout cas d’accident
grave sur tout ou partie du site, ces solutions pouvant être :
¾ Un hébergement sur d’autres sites de l’entreprise ou sur une partie du site non atteinte
¾ Un hébergement sur des « facilités » mutualisées
Qualité de service
— L’efficacité du service est essentiellement liée à plusieurs facteurs :
¾ L’exhaustivité des fonctions retrouvées dans la solution de secours, par rapport aux conditions normales
¾ le délai de mise en œuvre des diverses solutions de secours prévues
¾ la qualité et la rigueur de détail du plan de reprise d’activité
— La robustesse du service est liée à l’existence de variantes des PRA au cas où la solution de base ne serait
pas disponible ou pas assez longtemps (cas des solutions mutualisées)
— La mise sous contrôle est réalisée par :
¾ des tests de PRA représentatifs de la réalité
¾ des audits de la rigueur de gestion des procédures de secours.

244
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 12 : Juridique et réglementaire

Domaine 12 : Domaine juridique et réglementaire

12A Respect de la réglementation concernant les rapports avec le personnel


ou des tiers
Objectif :
Communiquer au personnel la réglementation et la législation concernant le respect de la vie privée et
les accès à des systèmes tiers.
Résultats globaux attendus :
Éviter que le personnel se mette en infraction vis-à-vis de la législation.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à deux types de mesures :
— Respect de la réglementation extérieure et de la législation concernant la protection de la vie privée
— Respect de la réglementation extérieure et de la législation concernant les accès non autorisés à des
systèmes tiers

12B Protection de la propriété intellectuelle


Objectif :
Communiquer au personnel la réglementation et la législation concernant le respect de la propriété
intellectuelle.
Résultats globaux attendus :
Éviter que le personnel se mette en infraction vis-à-vis de la législation.
Services de sécurité :
Un service de sécurité est nécessaire :
— Respect de la réglementation extérieure et de la législation concernant la protection de la propriété des
logiciels

12C Respect de la législation concernant la communication financière


Objectif :
Mettre en place les mesures nécessitées par les nouvelles réglementations concernant la
communication financière
Résultats globaux attendus :
Éviter que l’entreprise se mette en infraction vis-à-vis de la législation.
Services de sécurité :
Un service de sécurité est nécessaire :
— Respect de la réglementation concernant la communication financière

12D Respect de la réglementation extérieure et de la législation concernant la


cryptologie
Objectif :
Mettre en place les mesures nécessitées par la réglementation concernant l’usage de la cryptologie

245
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 12 : Juridique et réglementaire

Résultats globaux attendus :


Éviter que l’entreprise se mette en infraction vis-à-vis de la législation.
Services de sécurité :
Un service de sécurité est nécessaire :
— Respect de la réglementation extérieure et de la législation concernant l’usage de la cryptologie

12E Respect de la réglementation concernant la vérification de la


comptabilité informatisée
Objectif :
Mettre en place les mesures nécessitées par la réglementation concernant la vérification de la
comptabilité informatisée
Résultats globaux attendus :
Éviter que l’entreprise se mette en infraction vis-à-vis de la législation.
Services de sécurité :
Les services de sécurité nécessaires sont relatifs à deux types de mesures :
— Conservation des données et traitements
— Documentation des données, procédures et traitements liés à la comptabilité

246
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 12 : Juridique et réglementaire

12A01 Respect de la réglementation extérieure et de la législation


concernant le respect de la vie privée
12A02 Respect de la réglementation extérieure et de la législation
concernant les accès non autorisés à des systèmes tiers
12B01 Respect de la réglementation extérieure et de la législation
concernant la protection de la propriété des logiciels
12D01 Respect de la réglementation extérieure et de la législation
concernant l’usage de la cryptologie
Objectif :
Expliciter et porter à la connaissance de l’ensemble du personnel et des utilisateurs les directives et
mesures à prendre liées à la réglementation extérieure et à la législation.
Résultats attendus :
Faire en sorte que le management sache ce qu’il doit faire personnellement et ce qu’il doit exiger de
son personnel, en fonction de la réglementation extérieure et de la législation.
Éviter donc des défauts de protection par négligence ou méconnaissance de la loi et dissuader les
actions volontaires nuisibles en ayant bien averti qu’elles étaient légalement susceptibles de poursuites.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais nécessitent quelques
mesures techniques d’accompagnement.
Mesures organisationnelles
Les mesures organisationnelles nécessaires consistent ainsi à identifier les différents secteurs
réglementaires ou législatifs méritant une explicitation des devoirs de chacun. Les domaines possibles à
traiter sont :
— La protection des données nominatives et le secret de la correspondance
— Les accès et tentatives d’accès à des systèmes informatiques non autorisés
— L’usage de la cryptologie
— La propriété intellectuelle et industrielle
— La protection du secret de défense
— etc.
Les mesures organisationnelles complémentaires ont pour objet de préciser, pour chaque domaine,
les conséquence minimales et maximales d’une infraction à la loi ou au règlement.
Mesures techniques
Les mesures techniques d’accompagnement sont de plusieurs types :
— Communiquer à tout le personnel l’ensemble de ces directives et les rendre disponibles et consultables
facilement en cas de besoin
— Les protéger contre une altération qui pourrait conduire à indiquer une réglementation, une loi, ou des
conséquences d’infractions inexactes (protection particulièrement nécessaire si la communication a lieu sur
un Intranet)
Qualité de service
— L’efficacité du service est directement liée à
¾ L’exhaustivité des cas traités
¾ L’explication des textes, les indications sur les peines, la jurisprudence, etc.
— La mise sous contrôle est directement liée à :
¾ L’existence d’une procédure de revue des textes
¾ L’audit de l’authenticité des textes

247
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 12 : Juridique et réglementaire

12C Respect de la législation concernant la communication financière


12C01 Respect de la réglementation extérieure et de la législation
concernant la communication financière
Objectif :
Expliciter les directives concernant la communication financière et prendre les mesures adaptées.
Résultats attendus :
Se conformer aux obligations légales ou réglementaires dans ce domaine.
Éviter des défauts de procédures dus à des négligences ou à la méconnaissance de la loi.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais nécessitent quelques
mesures techniques d’accompagnement.
Mesures organisationnelles
Les mesures organisationnelles nécessaires consistent ainsi à identifier les différents secteurs
réglementaires ou législatifs méritant une explicitation des devoirs de chacun. Les domaines possibles à
traiter sont :
— L’évaluation de la qualité du contrôle interne supportant la production des états financiers
— Le contrôle et l’approbation de ce rapport d’évaluation par les auditeurs externes
— La certification des procédures de contrôle par les dirigeants
— L’existence et l’indépendance d’un comité d’audit
— L’existence d’un référentiel des règles relatives à la collecte, au traitement et à la présentation des données
conduisant à la communication financière
— etc.
Mesures techniques
Les mesures techniques d’accompagnement concernent la traçabilité des diverses opérations
conduisant à la communication financière.
Qualité de service
— L’efficacité du service est directement liée à
¾ La rigueur de l’analyse de la réglementation applicable
¾ Le formalisme des procédures et du référentiel applicable dans l’entreprise
— La mise sous contrôle est directement liée à :
¾ L’existence d’une procédure de revue des textes
¾ L’audit de l’application des procédures

248
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 12 : Juridique et réglementaire

12E Respect de la réglementation concernant la vérification de la


comptabilité informatisée
12E01 Conservation des données et traitements
Objectif :
Expliciter les directives concernant la conservation des données et traitements aux fins de vérification
de la comptabilité informatisée.
Résultats attendus :
Se conformer aux obligations légales ou réglementaires dans ce domaine.
Éviter des défauts de procédures dus à des négligences ou à la méconnaissance de la loi.
Mécanismes et solutions
Les mécanismes à mettre en œuvre sont essentiellement organisationnels, mais nécessitent quelques
mesures techniques d’accompagnement.
Mesures organisationnelles
Les mesures organisationnelles nécessaires consistent ainsi à identifier les différents secteurs
réglementaires ou législatifs méritant une explicitation des devoirs de chacun. Les domaines à traiter sont :
— La conservation des données élémentaires de comptabilité
— La conservation des fichiers à caractères permanents ou des référentiels (plan comptable, fichiers clients,
fournisseurs, tarifs, produits...).
— La conservation des procédures d’exploitation.
— La conservation des systèmes opérationnels possédant un lien direct ou indirect avec le système comptable
— La conservation des applications comptables ou alimentant la comptabilité par l’intermédiaire de fichiers
d’interface
— La conservation des applications de nature analytique ou budgétaire utilisées pour déterminer les charges et
les produits.
— Le respect des contraintes liées aux migrations de systèmes ou d'applications.
Mesures techniques
Les mesures techniques d’accompagnement concernent la protection efficace des éléments
conservés, contre les risques divers d’accidents ou de malveillance.
Qualité de service
— L’efficacité du service est directement liée à
¾ La rigueur de l’analyse de la réglementation applicable
¾ Le formalisme des procédures et du référentiel applicable dans l’entreprise
— La mise sous contrôle est directement liée à :
¾ L’existence d’une procédure de revue des textes
¾ L’audit de l’application des procédures

249
CLUSIF Version 2007
Espace Méthodes
MEHARI
23 février 2007
Manuel de référence des
Services de sécurité
Domaine 12 : Juridique et réglementaire

12E02 Documentation des données, procédures et traitements liés à la


comptabilité
Objectif :
Expliciter les directives concernant la documentation des données, procédures et traitements relatifs à
la comptabilité informatisée.
Résultats attendus :
Se conformer au