Vous êtes sur la page 1sur 5

Démarche Mehari

I) Phase préparatoire

Cette phase nous permettra de cadrer le contexte de l’analyse de risques de notre institution.
Nous aborderons trois (3) points essentiels.

1- Prise en compte du contexte


1.1) Contexte stratégique
La réalisation de cette tâche a été assigné à M. Kouadio Stevens, responsable de la mission
d’analyse et de traitement des risques. Il travaille en collaboration avec les différents
responsables d’activités, la direction générale de Secure Territory CI, la direction juridique et
le RSSI.
a- Positionnement stratégique
Secure Territory CI est une institution qui occupe une position dominante sur le marché.
Compte tenu de son partenariat avec le ministère de la défense et des informations purement
confidentielles qui sont traitées, elle ne rencontre pas de concurrent sur le territoire ivoirien.
Aucun évènement n’est médiatisé, cette institution agit dans l’ombre pour n’éveiller aucun
soupçon.
b- Les contraintes pesant sur le fonctionnement et l’organisation de
l’entité
L’Etat a définis un certain nombre de contraintes que l’entité doit respecter :
 Les informations relatives au territoire ivoirien doivent rester purement
confidentielles ;
 Aucune mission ne doit être effectué sans ordre du ministère de la défense ;
En dehors des contraintes légales, il existe aussi des contraintes réglementaires :
 Les exigences de qualification : des qualifications sont exigées surtout au niveau du
service militaire et du service informatique (pour garantir une bonne communication
entre les agents sur le terrain et ceux dans le local) car ce sont les services plus
sollicités an cas de missions ;
 Des réglementations spécifiques qui s’applique au portefeuille financier de l’entité
pour garantir que l’entité peut s’approprié le matériel nécessaire pour son activité. Ces
réglementations s’appliquent également au local qui nécessite un certain nombre
d’équipement : l’extincteur en cas d’incendie.
Iso définit quelques normes à respecter qui sont :
 Aménagement des locaux, pour garantir la sécurité des locaux l’aménagement des
locaux doit être bien pensé. Les coordonnées des services d’urgence et un plan de
sécurité doivent être exposé de manière lisible dans tous les bâtiments de l’entreprise ;
 Informer et former le personnel, l’entreprise doit communiquer au personnel les
mesures à prendre en cas d’accident. Une formation à la sécurité adaptée à chaque
métier doit être dispensée à tous les recruter dans l’entreprise ;
 Les équipements de sécurité, des dispositifs de sécurité doivent être installés et
vérifier régulièrement par la société ;
 Les obligations et droits des salariés concernant les normes, le règlement intérieur
de l’entreprise doit être respecté par tous les salariés sous peine de sanction.

c- La politique de sécurité de l’information


Nous définissons les objectifs de sécurité en termes de CID (Confidentialité Intégrité
Disponibilité). En effet :
 La confidentialité consistera à assurer que seules les personnes autorisées aient accès
aux ressources échangées ;
 L’intégrité, c’est garantir que les données sont bien celles que l’on croit être ;
 La disponibilité, permettant de maintenir le bon fonctionnement du système
d’information ;
Le donneur d’ordre de la mission est la direction générale de ladite entreprise.

1.2) Contexte technique


Ici, le responsable de la mission travaille en collaboration avec La DSI.
a- L’architecture du système d’information
Voir la section I.4 pour l’architecture du SI.
b- Plans d’évolutions technique à court, moyen et long terme

c- Fournisseurs et prestataires externes critiques


La survie de l’entreprise est assurée par des fournisseurs externes dont Orange Ci qui assure la
connexion internet avec sa solution fibre optique. Aussi, le fournisseur de logiciel est assuré
par…
1.3) Contexte organisationnel
Ici, le responsable de la mission travaille en collaboration avec la DRH, la DAF et le RSSI.
L’organigramme complet de l’entité définis à la section I.1 nous donne les rattachements
hiérarchiques et liens fonctionnels. En ce qui concerne la sécurité, les tâches sont reparties
comme suite :
 Le responsable du site
 Le responsable d’activités : qui est tenu de suivre les différentes activités relatives à la
sécurisation du SI ;
 Le DSI : qui est le responsable de l’informatique dans l’entreprise ;
 Le RSSI : qui est chargé de planifier et de conduire la gouvernance de la sécurité de
l'information.

2- Le cadrage de la mission d’analyse de risques et de traitement des


risques
Le responsable de la mission a travaillé en parfaite collaboration avec le donneur d’ordre et le
RSSI pour avoir les informations suivantes :

2-1) Périmètre technique


Nous effectuerons la mission sur le site local de Secure Territory CI situé à Bingerville
quartier Sicogie 2 en Côte d’Ivoire. Les systèmes d’informations concernées sont les systèmes
d’informations généraux de l’entreprise qui est représenté dans son ensemble à la section I.4.
Comme types de supports, nous considérons les médias informatiques, papiers, les clé USB et
les disques durs.
2-2) Périmètre organisationnel
Toujours en se référant au système d’information de l’entreprise, les différents services et
départements concernés sont : le service informatique, le secrétariat général, la direction
générale, la DAF, la DRH et la direction de gestion des crises.
Dans cette mission, tous les risques liés à l’information seront pris en compte.

2-3) La structure de pilotage de la mission


Les membres participants à la mission sont : le responsable de la mission, le RSSI, le donneur
d’ordre et la direction générale de l’entreprise. Une réunion générale est prévue avec tous les
membres de la mission à la fin de chaque phase de la mission.
A la fin de chaque étape, un livrable est conçu de manière physique et soumis au donneur
d’ordre, celui-ci fait prendre connaissance du document à tous les autres membres de la
mission. S’ils valident tous le document alors il est signé par le donneur d’ordre.

3- La fixation des principaux paramètres de l’analyse des risques

II) Phase opérationnelle d’analyse des risques

1- L’analyse des enjeux et la classification des actifs


1.1) Echelle de valeur des dysfonctionnements
1.2) Classification des actifs
1.3) Tableau d’impact intrinsèque
2- Le diagnostic de la qualité des services de sécurité
2.1) Etablissement du schéma d’audit
Le schéma d’audit va nous permettre de distinguer des domaines de solutions à auditer
séparément et à l’intérieur desquels les solutions de sécurité seront considérées comme
homogènes. Les différents domaines, que propose Mehari, appliqués à notre mission
nous donne le schéma suivant :
Domaine Sous-domaines Sous-ensemble
Organisation L’entreprise
Sites Le siège Le siège
Locaux Les locaux gérés par les Les salles informatiques
services généraux Locaux techniques
Les locaux informatiques et
télécommunications
Architecture des réseaux Les réseaux informatiques Les réseaux informatiques
locaux
Les systèmes Les systèmes informatiques Le système Mainframe
Les systèmes ouverts
(Windows et Unix)
La sécurité des projets
La production
informatique
Les postes de travails Les postes bureautiques
utilisateurs
L’exploitation des
télécommunications
Les processus de gestion
La gestion de la sécurité de
l’information

NB : les cases vides signifient qu’il n’y a pas d’éclatement pour le domaine concerné.
2.2) Diagnostic de la qualité des services de sécurité
La qualité des services de sécurité est la capacité de résistance à différents types
d’attaque, en notant qu’aucune forteresse n’est inviolable.
La qualité d’un service de sécurité est notée sur une échelle allant de 0 à 4. Cette
échelle reflète le niveau de force ou de compétence qu’il faut avoir pour violer le
service, le court-circuiter et/ou inhiber ou rendre inefficace la détection de sa mise hors
circuit.
Qualité de service évaluée à 1 : Le service a une qualité minimale. Il ne peut pas être
efficace à une personne quelconque, sans qualification particulière, ou tant soit peu initiée ou,
dans le domaine des événements naturels, ne pas être efficace face à événement relativement
banal. Pour une mesure générale, elle aura très peu d’effet sur les comportements ou
l’efficacité de l’organisation
Qualité de service évaluée à 2 : Le service reste efficace et résiste à un agresseur moyen,
voire initié, mais pourrait être insuffisant contre un bon professionnel du domaine concerné.
Dans le domaine des événements naturels, un tel service pourrait être insuffisant pour des
événements très sérieux, considérés comme rares.
Qualité de service évaluée à 3 : Le service reste efficace et résiste aux agresseurs et
événements décrits ci-dessus, mais pourrait être insuffisant contre des spécialistes en
cybersécurité ou des événements exceptionnels (catastrophes naturelles).
Qualité de service évaluée à 4 : Il s’agit du niveau le plus élevé et le service de sécurité reste
efficace et résiste aux agresseurs et événements décrits ci-dessus. Mais, il pourrait être mis en
brèche par des circonstances exceptionnelles : meilleurs experts mondiaux dotés d’outils
exceptionnels ou concours exceptionnels de circonstances elles-mêmes exceptionnelles.

Ainsi donc, nous diagnostiquons nos services de sécurité comme suite :

Services Echelle de la qualité de service

La sécurité des projets 4


Les systèmes 3
Les postes bureautiques 2
La gestion de la sécurité de l’information 4
Les réseaux informatiques 3
Locaux techniques 4
Salles informatiques 3

3) L’appréciation des risques

III) Phase de planification du traitement des risques

Vous aimerez peut-être aussi