RAPPORT DE SECURITE

Présenté par :

Rekik Sabrina L3-isil G1

La démarche de gestion des risques sur l’application web avec la
methode EBIOS :
Employer une démarche de gestion des risques est la manière la plus sûre de
garantir l’objectivité et la pertinence des choix à effectuer lors de la mise en
place d’un traitement.
Pour apprécier les risques, il convient de commencer par identifier les
événements redoutés et les estimer en termes de gravité.
Ensuite, il est seulement nécessaire d’identifier les menaces et d’estimer leur
vraisemblance si elles permettent la réalisation des événements
redoutés dont la gravité est élevée.Les risques ainsi appréciés peuvent alors être
traités par des mesures proportionnées.

La démarche consiste à étudier :

1. Le contexte du traitement.
2. Les événements redoutés.
3. Les menaces envisageables.
4. Les risques qui en découlent.
5. Les mesures appropriées pour les
traiter.

Figure 1– Les cinq étapes itératives de la démarche

1
 1. Étude du contexte :
5 1
Le résultat de cette étape peut être formalisé dans un tableau tel que le suivant : 4 2
3
Activité Document à
Directeur Bureau
D’EBIOS Directeur Comité de suivi Secrétariat produire en plus
adjoint d 'étude
d’étude des risques

1. Définir le cadre
de la gestion R C I I
des risques

2. Préparer les
R C I I
métriques

3. Identifie les NOTE DE

A R C C C
biens CADRAGE

4. Apprécier les
évènements R C C C
redoutes
5.Apprécier les
scenarios de R C I I
menaces
6.Apprécier les
risques R C I I

7.Identifier les
NOTE DE
objectifs de A R C I I
sécurité STRATEGIE
8.Formaliser les
mesures de POLITIQUE DE
sécurité à A R C C C SECURITE DE
mettre en L’information
œuvre
9.Mettre en œuvre
les mesures de A R C C I
sécurité
Legend: R=Realisation, A=Approbation, C=Consultation, I=information

Tableau 1 - Étude du contexte

2
 2. Étude des événements redoutés :
5 1
Le résultat de cette étape peut être formalisé dans un tableau tel que le suivant : 4 2
3
Événements redoutés Impacts Source de menaces Gravité

• Diffusion non maîtrisée de

données à caractère
personnel •Interne
1. Indisponibilité des processus
•externe 3. Important
légaux • Impossibilité d’exercer ses •Délibérée Code malveillant
droits

• Usurpation de compte
• Exploitation à des fins •Interne
2. Accès illégitime aux données à
commerciales •externe
caractère personnel 4.Maximal
• Mise en danger •Délibérée Code malveillant

3. Modification non désirées des •Interne

données à caractère personnel
• Usurpation de compte
•externe 2. Limitée
•Délibérée Code malveillant

• Perte d’avantages
•Interne
4. Disparition des données à caractère • Perte de crédibilité pour
•externe 2. Limitée
personnel l'Entreprise
•Délibérée Code malveillant

• Impact pour l'utilisateur •Interne : employé

5.Altération de données à caractère • Supprimer, modifier les Malveillant
3. Important
personnel • Données •externe
•Délibérée Code malveillant
• Impact pour l'utilisateur
• •Interne : employé
6.Indisponibilité de la gestion des
• Supprimer, modifier les Malveillant
utilisateurs (Gestion de 2. Limitée
• Données •externe
L’accès Utilisateur) •Délibérée Code malveillant

• Perte de crédibilité pour

l'Entreprise •Interne
7.Altération de données des interfaces • Impact pour l'utilisateur •externe 2. Limitée
• Impact sur les coûts de •Délibérée Code malveillant
développement
• Impact pour l‘ entreprise •Interne
8. Voler des projet • Impact sur les coûts de •externe 3. Important
développement •Délibérée Code malveillant
• Impact sur les missions •Interne
9. Perte ou destruction des
• Impact sur les coûts de •externe 3. Important
informations
développement •Délibérée Code malveillant
• Perte de contrôle sur le • Employé malveillant
10- Indisponibilité des données de système d’information 2. Limitée
sécurité

Tableau 2 - Étude des événements redoutés

3
 3. Étude des scénarios de menaces :

5 1
Le résultat de cette étape peut être formalisé dans un tableau tel que le suivant : 4 2
3
Scénarios de menaces Source de menace Vraisemblance

1. Menace sur le Réseau internet ✓ Entreprise tierce

Causant une Indisponibilité ✓ Pirate
✓ Concurrent 4. Maximale
✓ Employé malveillant
✓ Panne de réseau
✓ Pirate
2. Menace sur le Réseau internet
Causant une Altération
✓ Concurrent 3. Forte
✓ Employé malveillant
✓ Employé malveillant
✓ Panne de réseau
3. Blocage d’un lot d’adresses IP 3. Forte

4L’employé se venge (Privilèges

élevés sur l’application) ✓ Employé malveillant 3. Forte

✓ Employé peu sérieux

5. Menace sur L’organisation
1. Minime
Interne causant Une altération

Tableau 3- Étude des scénarios de menaces

4
 4. Étude des risques :
5 1
Le résultat de cette étape peut être formalisé dans un tableau tel que le suivant : 4 2
3
Événements redoutés Scénarios de risque Gravité Vraisemblance Valeur du risque

Risque de compromission
de source interne Un
administrateur interne
malveillant profite d'une
traçabilité des actions
administrateur non
1. Disparition des données
dissuasive (mauvaises
à caractère personnel 3. Important Moyen
pratiques, pas 2.significative
d'enregistrement des
actions des
administrateurs…) pour
accéder à des données
sensibles

Risque de
d'indisponibilité suite à
une attaque virale Des
hackers ayant de
grandes capacités et
2. Gestion des connaissances, 3.forte
exploitent des failles des 3. Important Important
utilisateurs
composants logiciels
pour rendre
indisponible
l'application.

Risque de compromission
3. Accès illégitime aux par vol de crédentités
DCP Observe la saisie du mot de 2.significative
3. Important Moyen
4. Données des passe de l'utilisateur afin
interfaces d'accéder au compte

5. Modification non Risque d'altération de

désirées des DCP données 3. Important Moyen
2.significative

Risque de d'indisponibilité
suite à un uploadé
malicieux Un attaquant 2.significative
6. Disparition des DCP upload un fichier 3. Important Moyen
exécutable malicieux,

Risque de compromission
7. Perte ou destruction suite à une usurpation
3. Important Moyen
des informations d'identité 2.significative

Tableau 4 -Étude des risques

5
 5. Étude des mesures de sécurité :
5 1
Le résultat de cette étape peut être formalisé dans un tableau tel que le suivant : 4 2
3
Mesures de Risque de Risque de Risque de Risque Risque de Risque de

Prévention

Protection

Récupération
sécurité compromissi d'indisponibil compromissi d'altération de d'indisponibilit compromissio
on par vol de données é suite à un n suite à une Thème ISO
on de source ité suite à
crédentités upload usurpation 27002
interne une attaque
virale malicieux d'identité
1.Authentification Contrôle
Des utilisateurs × × × × × × D’accès au
Réseau
2. Sensibilisation Zones
des × × × Sécurisée
développeurs
à la sécurité
3. Retrait des Fin où
droits
D’accès
× × × × × × Modification
de
Contrat
4. Chiffrement Manipulation
des données × × × Des supports
sensibles en
base
×
5-Authentification Manipulation
forte par certificat
pour les
× × Des supports

administrateurs ×
fonctionnels

6-Analyse Manipulation
antivirale des
uploads
× × Des supports

7- Contrôle des ✓ × Manipulation

extensions
des fichiers
× × Des supports

uploadés
8-Enregistrement Gestion de
des
Utilisateurs
× × × × × × × l’accès
Utilisateur
9-Gestion du Gestion de
mot de
Passe utilisateur
× × × × × × × l’accès
Utilisateur

10-Gestion des Gestion de

Privilèges × × × × × × × L’accès
Utilisateur
11-Sauvegarde Sauvegarde
des
informations -
× × × × × × × ×
Backups
Tableau 5 - Étude des mesures de sécurité