Académique Documents
Professionnel Documents
Culture Documents
Présenté par :
1
1. Étude du contexte :
5 1
Le résultat de cette étape peut être formalisé dans un tableau tel que le suivant : 4 2
3
Activité Document à
Directeur Bureau
D’EBIOS Directeur Comité de suivi Secrétariat produire en plus
adjoint d 'étude
d’étude des risques
1. Définir le cadre
de la gestion R C I I
des risques
2. Préparer les
R C I I
métriques
4. Apprécier les
évènements R C C C
redoutes
5.Apprécier les
scenarios de R C I I
menaces
6.Apprécier les
risques R C I I
7.Identifier les
NOTE DE
objectifs de A R C I I
sécurité STRATEGIE
8.Formaliser les
mesures de POLITIQUE DE
sécurité à A R C C C SECURITE DE
mettre en L’information
œuvre
9.Mettre en œuvre
les mesures de A R C C I
sécurité
Legend: R=Realisation, A=Approbation, C=Consultation, I=information
2
2. Étude des événements redoutés :
5 1
Le résultat de cette étape peut être formalisé dans un tableau tel que le suivant : 4 2
3
Événements redoutés Impacts Source de menaces Gravité
• Usurpation de compte
• Exploitation à des fins •Interne
2. Accès illégitime aux données à
commerciales •externe
caractère personnel 4.Maximal
• Mise en danger •Délibérée Code malveillant
• Perte d’avantages
•Interne
4. Disparition des données à caractère • Perte de crédibilité pour
•externe 2. Limitée
personnel l'Entreprise
•Délibérée Code malveillant
3
3. Étude des scénarios de menaces :
5 1
Le résultat de cette étape peut être formalisé dans un tableau tel que le suivant : 4 2
3
Scénarios de menaces Source de menace Vraisemblance
4
4. Étude des risques :
5 1
Le résultat de cette étape peut être formalisé dans un tableau tel que le suivant : 4 2
3
Événements redoutés Scénarios de risque Gravité Vraisemblance Valeur du risque
Risque de compromission
de source interne Un
administrateur interne
malveillant profite d'une
traçabilité des actions
administrateur non
1. Disparition des données
dissuasive (mauvaises
à caractère personnel 3. Important Moyen
pratiques, pas 2.significative
d'enregistrement des
actions des
administrateurs…) pour
accéder à des données
sensibles
Risque de
d'indisponibilité suite à
une attaque virale Des
hackers ayant de
grandes capacités et
2. Gestion des connaissances, 3.forte
exploitent des failles des 3. Important Important
utilisateurs
composants logiciels
pour rendre
indisponible
l'application.
Risque de compromission
3. Accès illégitime aux par vol de crédentités
DCP Observe la saisie du mot de 2.significative
3. Important Moyen
4. Données des passe de l'utilisateur afin
interfaces d'accéder au compte
Risque de d'indisponibilité
suite à un uploadé
malicieux Un attaquant 2.significative
6. Disparition des DCP upload un fichier 3. Important Moyen
exécutable malicieux,
Risque de compromission
7. Perte ou destruction suite à une usurpation
3. Important Moyen
des informations d'identité 2.significative
5
5. Étude des mesures de sécurité :
5 1
Le résultat de cette étape peut être formalisé dans un tableau tel que le suivant : 4 2
3
Mesures de Risque de Risque de Risque de Risque Risque de Risque de
Prévention
Protection
Récupération
sécurité compromissi d'indisponibil compromissi d'altération de d'indisponibilit compromissio
on par vol de données é suite à un n suite à une Thème ISO
on de source ité suite à
crédentités upload usurpation 27002
interne une attaque
virale malicieux d'identité
1.Authentification Contrôle
Des utilisateurs × × × × × × D’accès au
Réseau
2. Sensibilisation Zones
des × × × Sécurisée
développeurs
à la sécurité
3. Retrait des Fin où
droits
D’accès
× × × × × × Modification
de
Contrat
4. Chiffrement Manipulation
des données × × × Des supports
sensibles en
base
×
5-Authentification Manipulation
forte par certificat
pour les
× × Des supports
administrateurs ×
fonctionnels
6-Analyse Manipulation
antivirale des
uploads
× × Des supports
uploadés
8-Enregistrement Gestion de
des
Utilisateurs
× × × × × × × l’accès
Utilisateur
9-Gestion du Gestion de
mot de
Passe utilisateur
× × × × × × × l’accès
Utilisateur