ANTIC (AGENCE NATIONALE DES TECHNOLOGIES DE L’INFORMATION ET DE LA

COMMUNICATION)

CARTOGRAPHIE DES
RISQUES
Version 1
Division de l’Audit de Sécurité
 Table des Matiè res

1. Contexte et objectifs......................................................................................................................3
2. Démarche.......................................................................................................................................3
3. Description du contexte.................................................................................................................4
3.1. Présentation de l’ANTIC..........................................................................................................4
3.1.1. Missions..............................................................................................................................4
3.1.2. Activités..............................................................................................................................4
3.1.3. Organisation.......................................................................................................................5
3.2. Etat des lieux..........................................................................................................................5
4. Périmètre.......................................................................................................................................6
5. Identification..................................................................................................................................6
5.1. Identification des actifs...........................................................................................................6
3.3. Identification des Menaces et des vulnérabilités....................................................................7
6. Classification des actifs.................................................................................................................10
7. Evaluation.....................................................................................................................................13
3.4. Evaluation de l’impact..........................................................................................................13
3.5. Evaluation de la probabilité d’occurrence............................................................................14
3.6. Evaluation et classification du risque....................................................................................14
8. Traitement du risque....................................................................................................................19
Conclusion............................................................................................................................................19
 Cartographie des Risques Informatiques de l’ANTIC 

1. CONTEXTE ET OBJECTIFS

L’Agence Nationale des Technologies de l’Information et de la Communication (ANTIC), au vu des

missions à elles assignées, à savoir entre autres, la promotion des TIC, la régulation de l’internet, la
régulation de l’activité des audits de sécurité au Cameroun, sécurisation du cyberespace national, se
voit soumis à un devoir d’exemplarité en matière de sécurité informatique ; d’autre part, et eu égard
à la criticité des données, et infrastructures qu’elle gère, l’ANTIC est dans l’obligation d’assurer un
niveau de sécurité très élevé conformément aux normes et bonnes pratiques.

Ce document a donc pour objectif de ressortir une cartographie des risques majeurs auxquels est
soumis le système d’information de l’Agence, ainsi qu’un plan d’actions correctives à mettre en
œuvre pour mitiger les risques identifiés.

2. DÉMARCHE

La réalisation de cette cartographie des risques de l’Agence s’est essentiellement appuyé sur la
démarche d’analyse des risques proposée par la norme ISO 27005 qui elle-même suggère entre
autres :

 l’apport d’autres standards tels que ISO 27002 pour l’évaluation des mesures de contrôle
implémentées ;
 une personnalisation de la démarche standard pour s’adapter au mieux au contexte
spécifique de l’Organisation faisant l’objet de l’analyse des risques.

Les méthodes de collecte d’informations employées sont les suivantes :

 Analyse documentaire
Organigramme, anciens rapports d’audit, Schéma Directeur, Politique de sécurité, …
 Interviews des différentes parties prenantes
Responsables des services en charge des activités couvertes dans le périmètre, Opérateurs
 Observations sur les sites physiques
 Scans de vulnérabilités

Ainsi, notre démarche se décline en quatre principales étapes comme suit :

 Description du contexte ;
 Définition du périmètre ;
 Identification ;
Ici, nous identifierons les processus, les actifs, les menaces et vulnérabilités
 Classification des actifs ;
 Evaluation ;
 Traitement du risque

Agence Nationale des Technologies de l’Information et de la Communication 2

 Cartographie des Risques Informatiques de l’ANTIC 

3. DESCRIPTION DU CONTEXTE

3.1. PRÉSENTATION DE L’ANTIC

L’Agence Nationale des Technologies de l’Information et de la Communication (ANTIC) est un

établissement public administratif doté de la personnalité juridique et de l’autonomie financière.

Elle est placée sous la tutelle technique du Ministère en charge des télécommunications et sous
la tutelle financière du Ministère en charge des finances.

Son siège social est fixé à Yaoundé, au lieu-dit MINIPRIX-BASTOS et elle dispose de deux (02)
autres sites répartis comme suit :

 Le Centre d’Infrastructure à Clé Publique au lieu dit POSTE CENTRALE ;

 Les Services Techniques en charge de la gestion du ‘’.cm’’ et des infrastructures du
Centre d’Alerte et de Réponse aux Incidents Informatiques au lieu dit DRAGGAGES.

3.1.1. MISSIONS

L’ANTIC a pour missions principales :

 la promotion et le suivi de l'action des pouvoirs publics en matière des Technologies de

l'Information et de la Communication (TIC) ;
 la régulation, le contrôle et le suivi des activités liées à la sécurité des systèmes
d'information et des réseaux de communication électroniques ainsi qu’à la certification
électronique, en collaboration avec l’Agence de Régulation des Télécommunications
(ART).

3.1.2. ACTIVITÉS

Les activités menées par l’ANTIC peuvent être réparties en deux grands processus :

 les processus de pilotage qui veillent à l'atteinte des objectifs de l'entreprise :

o Promotion et suivi de l'action des pouvoirs publics en matière des Technologies
de l'Information et de la Communication (TIC) à travers l’amélioration de la
gouvernance des TIC et de l’Internet et le Suivi de la mise en œuvre de la
Stratégie Nationale de Développement des TIC ;
o Sécurisation du cyberespace national à travers le renforcement de la veille
sécuritaire, la réalisation des audits de sécurité des systèmes d’information et
des réseaux de communications électroniques et le développement de la
certification électronique.
 les processus supports qui concourent à la réalisation des processus de pilotage à l’instar
de l’amélioration de la gouvernance interne de l’Agence par le développement des
ressources humaines, le renforcement des capacités organisationnelles et l’appui à la
mise en œuvre des activités de pilotage.

Agence Nationale des Technologies de l’Information et de la Communication 3

 Cartographie des Risques Informatiques de l’ANTIC 

3.1.3. ORGANISATION

L’ANTIC emploie cent (100) personnels qui contribuent au quotidien à son fonctionnement
suivant les proportions ci-après :

 69% de cadres ;
 21% d’agents de maîtrise ;
 10% d’agents d’exécution.

L’effectif de la DEDT représente environ 5% des ressources humaines permanentes de

l’ANTIC.

L’ANTIC dispose au sommet d’un Conseil d’Administration conduit par un Président nommé
par décret du Président de la République et assisté de onze (11) membres représentant l'Etat.

Elle est dirigée par un Directeur Général assisté d’un Directeur Général-Adjoint.

La Direction Générale est constituée de :

 Services Rattachés ;
- Deux (02) Conseillers Techniques ;
- L’Inspection des Services ;
- La Cellule de Suivi ;
- La Cellule de Communication et de Relations publiques ;
- La Cellule de Traduction et d’Interprétariat ;
- L’Attaché de Direction ;
- Le Service du courrier, de la documentation et des archives ;

 Services Centraux ;
- Le Centre de Réponse aux Incidents de Sécurité Informatique ou Computer
Incident Response Team (CIRT) ;
- La Brigade Spéciale d’Interception ;
- La Division de la Normalisation et de la Coopération ;
- La Division des Etudes et du Développement des TIC ;
- La Division de l’Audit de Sécurité ;
- Le Centre d’Infrastructure à Clé Publique ou Public Key Infrastructure (PKI) ;
- La Direction des Affaires Juridiques ;
- La Direction des Affaires Générales.

3.2. ETAT DES LIEUX

La présente cartographie des risques est faite dans un contexte où la gouvernance informatique
est un concept encore embryonnaire au sein de l’Agence. Cela se traduit par l’absence de documents

Agence Nationale des Technologies de l’Information et de la Communication 4

 Cartographie des Risques Informatiques de l’ANTIC 

fondamentaux formellement approuvés par la Direction Générale et le Conseil d’Administration, en

occurrence, le Schéma Directeur Informatique et la Politique de sécurité.

Ceci a pour conséquence un développement très peu coordonné du Système d’Information, une
répartition non optimale des responsabilités liées à la sécurité de l’information.

De plus, la relative sécurité physique des locaux et l’utilisation des postes personnels au sein de
l’Agence sont des facteurs qui accroissent l’exposition de l’ANTIC à de nombreux risques en rapport
avec la sécurité des données et des infrastructures critiques.

4. PÉRIMÈTRE

La présente cartographie des risques aura couvert l’ensemble des structures organisationnelles
de l’Agence, tout en focalisant de manière spécifique sur les activités et processus les plus critiques
regroupés en deux catégories : les processus opérationnels, et les processus supports.

Le choix de ces processus et activités a été guidé par les considérations suivantes :

 contribution à la réalisation des missions et l’atteinte des objectifs stratégiques de

l’Agence;
 impact sur les finances ;
 impact sur la réputation ;
 impact sur la légalité et la conformité ;
 impact sur la santé et la sécurité des employés ;
 criticité des données et informations manipulées.

5. IDENTIFICATION

5.1. IDENTIFICATION DES ACTIFS

SERVIC ACTIVITES ACTIFS

E
DAS
  Audits de sécurité Ordinateurs sur lesquels sont déployés les logiciels
    utilitaires
    Rapports d'audit
Documentation collectée auprès des structures
auditées
DNC 
  Administration de la plateforme de Serveur de messagerie (virtuel)
messagerie
Administration du site web de l’ANTIC Serveur web (virtuel)
CPKI 

Agence Nationale des Technologies de l’Information et de la Communication 5

 Cartographie des Risques Informatiques de l’ANTIC 

  Gestion des certificats électroniques 01 serveur pour l’autorité de certification

    gouvernementale
    01 serveur pour l’autorité d’enregistrement
    01 serveur pour le stockage des certificats
  Base de données des certificats
Sécurisation des applications Toolkits
CIRT 
  Veille sécuritaire Rapports de scan des sites web
    Statistiques des attaques et vulnérabilités
    Répertoire des contacts des points focaux
  Assistance aux forces de l'ordre Réquisitions des officiers de police judiciaire ou
    INTERPOL
Ordinateurs sur lesquels sont déployés des
logiciels utilitaires(BYOD)
DEDT
  Gestion interne de la fonction  Parc informatique ANTIC
informatique
DRH 
  Gestion des ressources humaines Système de gestion de la paie

4.

5.2. IDENTIFICATION DES MENACES ET DES VULNÉRABILITÉS

Nous nous servirons du catalogue proposé par ISO 27005, tout en tenant compte des
spécificités du SI de l’ANTIC.

MENACES VULNERABILITES
Abus de droits Manque de procédure de surveillance des installations de
  traitement de l'information
  Manque d'audits réguliers
  Manque de procédures d'identification et d'évaluation des
  risques
  Manque de gestion des rapports d'incident dans les journaux
  et logs systèmes
  Non existence ou insuffisante des tests de logiciels
 
Défauts bien connus dans le logiciel
 
Mise hors service ou la réutilisation des supports de stockage
sans nettoyage approprié
Non déconnexion de l'utilisateur quand il quitte le poste de
travail
Manque de piste d'audit
Mauvaise répartition des droits d'accès
Violation de la maintenabilité du Un entretien insuffisant / mauvaise installation de supports
système d'information de stockage
  Réponse inadéquate du service de maintenance

Agence Nationale des Technologies de l’Information et de la Communication 6


 
Violation de la disponibilité du
personnel
Corruption ou perte des données
 
Données provenant de sources non
fiables
Refus (répudiation) d'actions
 
Destruction de matériel ou de
supports
 
 
La poussière, la corrosion, la
congélation
Écoute
Erreur en cours d'utilisation
 
 
 
 
 
 
 
Défaillance de l'équipement
Défaillance du matériel de
télécommunication
Inondation
Escalade des droits
 
 
 
Traitement illicite de données
 
 
Perte d'alimentation
 
Phénomène météorologique
Incendie
Agence Nationale des Technologies de l’Information et de la Communication
Cartographie des Risques Informatiques de l’ANTIC 
Absence de procédures de contrôle des changements
Absence de personnel
Manque de manuels de procédures
Manque de procédure formelle de gestion des archives
Le manque de processus formel d'autorisation de
l'information publique disponible
Manque de juste répartition des responsabilités dans la
sécurité de l'information
Manque de preuve de l'envoi ou de réception d'un message
Le manque de programmes de remplacement périodiques
Insuffisance dans les procédures d'acquisition (mesures de
sécurité)
L'utilisation inadéquate ou négligente du contrôle d'accès
physique aux bâtiments et des salles
La sensibilité à l'humidité, la poussière, les salissures
Lignes de communication non protégés
Trafic sensible non protégés
Manque de procédures pour l'installation des logiciels dans
les systèmes d'exploitation
Manque de procédures pour le traitement des informations
classifiées
Absence de mention sur la responsabilité de la sécurité de
l'information dans les descriptions d'emploi
Le manque de documentation (Technique, Utilisateur)
Formation à la sécurité insuffisante
Le manque de sensibilisation à la sécurité
L'utilisation incorrecte des logiciels et du matériel
Absence de politique d'utilisation des e-mails
Absence de plans de continuité
Absence de redondance
Situation dans une zone sensible aux inondations
Le manque d'identification et d'authentification de
l'expéditeur et du récepteur
Manque de mécanismes d'identification et d'authentification
tels que l'authentification des utilisateurs
Tables de mots de passe non protégés
Gestion des mots de passe faible
Manque ou insuffisance des dispositions concernant la
sécurité de l'information dans le contrat avec les employés
Services inutiles activées
Absence de mécanismes de surveillance
La sensibilité aux variations de tension
Réseau électrique instable
La sensibilité aux variations de température
Absence de dispositif de détection d’incendie
7

Espionnage à distance
Saturation du système d'information
Altération de logiciels
 
Vol de médias ou documents
 
 
 
 
Vol de matériels
 
 
 
Utilisation non autorisée de
l'équipement
 
 
 
 
Agence Nationale des Technologies de l’Information et de la Communication
Cartographie des Risques Informatiques de l’ANTIC 
Absence d’extincteurs à proximité des locaux sensibles
Architecture de réseau non sécurisé
Transfert de mots de passe en clair
Gestion de réseau insuffisante (résilience du routage)
Absence de système de monitoring du réseau
Manque de copies de sauvegarde
Téléchargement et utilisation de logiciels non contrôlé
Manque de politiques de verrouillage de bureau et d'écran
Absence de mécanismes de suivi mis en place pour les failles
de sécurité
Supports de stockage non protégés
Le manque de prudence dans la disposition
Copie incontrôlée
Manque de protection physique du bâtiment, les portes et
les fenêtres.
Travail sans supervision par le personnel extérieur ou de
nettoyage
Manque de processus disciplinaire défini en cas d'incident de
sécurité de l'information
Absence de politique officielle sur l'utilisation de l'ordinateur
portable
Manque de contrôle des actifs hors des locaux
Manque de protection physique du bâtiment, portes et
fenêtres
Connexions aux réseaux publics non protégés
Manque de politiques pour l'utilisation correcte des moyens
de télécommunication et de messagerie
Manque de contrôles de gestion réguliers
Manque de procédures pour rendre compte des faiblesses de
sécurité
Absence de procédures de respect des dispositions légales et
de propriété intellectuelle
8
 6. CLASSIFICATION DES ACTIFS

La classification des actifs vise deux objectifs principalement, à savoir :

 apprécier la criticité d’une activité pour l’Organisation ;

 évaluer de manière pertinente la gravité de l’impact (du point de vue métier) d’une
menace sur actif donné.

Le tableau suivant présente l’échelle de classification des données suivant le critère Confidentialité

Confidentialité
Secret
Confidentiel
Privé
Public

Le tableau suivant présente un récapitulatif des actifs par processus, avec le niveau de
classification des données ainsi que la nature et le nombre d’utilisateurs.

Agence Nationale des Technologies de l’Information et de la Communication 9

 Activités Description Service en charge Classification des Actifs Utilisateurs Incidents
données (Effectif)
Audits de sécurité Réalisation des audits de sécurité DAS Confidentiel  Documents collectés Experts /
des conformément à l’article 7 auprès des structures auditeurs de
alinéa 2 de la loi N°2010/012 du 21 auditées ; l’ANTIC(20)
décembre 2010 relative à la cyber  Rapports d'audit ;
sécurité et à la cybercriminalité au  Ordinateurs
Cameroun (comportant les
utilitaires d'audit)
Messagerie Plateforme de messagerie DNC Confidentiel Serveur virtuel dédié (local Personnels Crash du
professionnelle [mail.antic.cm] technique ARMP) ANTIC (100) serveur
Site web antic.cm Site web vitrine de l’ANTIC DNC Public Serveur virtuel dédié (local Grand public /
technique ARMP)
Gestion des Emission des certificats nécessaires CPKI Secret  01 serveur pour / /
certificats à la sécurisation des transactions et l’autorité de
électroniques gestion de leur cycle de vie : certification
 L’émission d’un certificat ; gouvernementale ;
 La génération d’une paire de  01 serveur pour
clés ; l’autorité
 La signature de la clé par d’enregistrement ;
l’Autorité de certification ;  01 serveur pour le
 La révocation d’un certificat stockage des certificats
Sécurisation des L’intégration des toolkits au code CPKI Confidentiel Toolkits Développeur /
applications source des applications à sécuriser s ANTIC 
Veille sécuritaire  Monitoring des sites web ; CIRT  Public  Serveur de tests ; Personnels /
 Scan de vulnérabilités ; (Alertes) ;  Ordinateurs sur lesquels CIRT/ANTIC
 Emission des bulletins de  Confidentiel sont déployés les
sécurité ; (statistiques utilitaires
 scruter l’internet pour et analyses de
rechercher les activistes ; trafic,

Agence Nationale des Technologies de l’Information et de la Communication 10

  Publications des alertes de rapports de
sécurité des vulnérabilités scan de
critiques vulnérabilités)
Gestion du .cm Administration de l’infrastructure M. PAGOU Confidentiel  Serveurs du .cm M. PAGOU /
de gestion des noms de domaine  Base de données des
en .cm noms de domaine
Assistance des forces Assistance des forces de l’ordre CIRT Secret  Réquisitions des officiers Personnels /
de l'ordre dans la lutte contre la de police judiciaire ou CIRT/ANTIC
(cybersécurité) cybercriminalité en effectuant les INTERPOL
investigations nécessaires en  Ordinateurs sur lesquels
réponse aux réquisitions des sont déployés des
officiers de police logiciels
utilitaires(BYOD)
Gestion de la paie L’application permet de gérer la DRH Privé Poste utilisateur sur lequel Personnels /
paie des salariés de l’agence est déployée l'application DRH (3)
Fonction La DEDT s’occupe globalement de la DEDT Privé Parc informatique ANTIC Personnels /
Informatique interne conduite des activités liées à la  Routeurs internet ; DEDT
fonction informatique en interne  Postes de travail
utilisateurs

Agence Nationale des Technologies de l’Information et de la Communication 11

 7. EVALUATION

6.

7.1. EVALUATION DE L’IMPACT

L’évaluation de l’impact devra tenir compte des paramètres suivants :

 Disponibilité, Intégrité, Confidentialité ;

 Impact sur la réputation ;
 Impact sur les relations avec les partenaires et prestataires ;
 Impact sur la conformité ;
 Impact financier sur l’agence ;
 Impact sur la capacité de l’agence à atteindre ses objectifs et missions régaliennes ;
 Coût de remplacement ;
 Temps de remplacement ;
 Sécurité et santé des employés/prestataires ;
 Autres indicateurs pertinents (éventuellement)

IMPACT
Classification Valeur Description
Aucun impact sur les performances et la sécurité de l’activité
Système apte à poursuivre sa mission en mode nominal
Insignifiant 0 Aucun retard
Aucune victime
pas de compromission des données
Dégradation des performances du système sans impact sur la
sécurité
Système apte à poursuivre sa mission en mode dégradé
Mineur 1
Retard faible n'empêchant pas le déroulement de la mission
Pas de mort, blessés très légers
Compromission de données peu sensibles
Forte dégradation ou échec des performances du système sans
impact sur la sécurité
Système apte à poursuivre sa mission en mode dégradé
Modéré 2
Retard assez important perturbant le déroulement de la mission
Pas de mort, nombre assez élevé de blessés
Compromission de données classifiées Privé
Dégradation de la sécurité ou de l’intégrité du système
Système apte à poursuivre sa mission en mode fortement dégradé
Majeur 3 Retard important remettant en cause le déroulement de la mission
Blessés graves
Compromission de données classifiées Confidentiel
Catastrophique 4 Forte dégradation ou perte totale du système avec atteinte grave à
la sécurité
Système inapte à poursuivre sa mission
Retard très important entrainant un échec de la mission

Agence Nationale des Technologies de l’Information et de la Communication 12

 Morts
Compromission de données classifiées Secret

7.2. EVALUATION DE LA PROBABILITÉ D’OCCURRENCE

Elle devra tenir compte des éléments suivants :

 Fréquence d’occurrence de la menace

o Statistiques (si disponibles)
o Incidents passés répertoriés
o Expérience de l’auditeur
 Exposition de l’actif à la menace (considérations d’ordre conceptuel)
 Contrôles implémenté (Niveau de maturité. Ici, on pourra s’inspirer des contrôles définis par
la norme ISO 27002 sur chacun des axes, Organisationnel, Physique et Technique)

Le tableau suivant présente l’échelle d’évaluation de la probabilité d’occurrence

PROBABILITE
Classification Valeur Description
Très Peu Probable 0
Peu Probable 1
Probable 2
Très Probable 3
Fréquent 4

7.3. EVALUATION ET CLASSIFICATION DU RISQUE

Pour l’évaluation de la valeur du risque, nous utiliserons donc une échelle semi-qualitative
matérialisée par les matrices suivantes, proposée par la norme ISO 27005.

Probabl
PROBABILITE Très Peu Probable Peu Probable Très Probable Fréquent
  e
Insignifiant 0 1 2 3 4

Mineur 1 2 3 4 5
IMPACT

Modéré 2 3 4 5 6

Majeur 3 4 5 6 7

Catastrophique 4 5 6 7 8

Agence Nationale des Technologies de l’Information et de la Communication 13

 CLASSIFICATION

[0, 2] Faible Négligeable Le risque peut être accepté

Des mesures de traitement du risque doivent être
[3, 5] Modéré Critique
prises dans un délai court
Des mesures doivent être prises pour éviter la situation
[6, 8] Elevé Inacceptable
à défaut, l’activité doit être suspendue

Evaluation des risques par Activité/Processus

1. DAS (Audit de sécurité)

MENACES IMPACT PROBABILITE RISQUE

Abus de droit Modéré Très Probable 5 MODERE
Corruption ou perte des données Modéré Très Probable 5 MODERE
Erreur en cours d'utilisation Mineur Probable 3 MODERE
Traitement illicite de données Majeur Fréquent 7 ELEVE
Espionnage à distance Majeur Probable 5 MODERE
Altération de logiciels Modéré Peu Probable 3 MODERE
Vol de médias ou documents Majeur Très Probable 6 ELEVE

PKI

MENACES IMPACT PROBABILITE RISQUE

Abus de droit Majeur Probable 5 MODERE
Violation de la maintenabilité du système
Modéré Peu Probable 3 MODERE
d'information
Violation de la disponibilité du personnel Mineur Peu Probable 2 FAIBLE
Destruction de matériel ou de supports Majeur Très Peu Probable 3 MODERE
Erreur en cours d'utilisation Modéré Probable 4 MODERE
Défaillance de l'équipement Majeur Probable 5 MODERE
Défaillance du matériel de
Majeur Peu Probable 4 MODERE
télécommunication
Inondation Catastrophique Très Peu Probable 4 MODERE
Perte d'alimentation Majeur Peu Probable 4 MODERE
Espionnage à distance Modéré Peu Probable 3 MODERE
Vol de médias ou documents Modéré Peu Probable 3 MODERE

Agence Nationale des Technologies de l’Information et de la Communication 14

 Vol de matériels Majeur Peu Probable 4 MODERE
Utilisation non autorisée de l'équipement Mineur Probable 3 MODERE

Site Web

MENACES IMPACT PROBABILITE RISQUE

Violation de la maintenabilité du système
Mineur Peu Probable 2 FAIBLE
d'information
Destruction de matériel ou de supports Majeur Très Peu Probable 3 MODERE
Erreur en cours d'utilisation Modéré Probable 4 MODERE
Défaillance de l'équipement Modéré Probable 4 MODERE
Défaillance du matériel de
Mineur Probable 3 MODERE
télécommunication
Inondation Majeur Très Peu Probable 3 MODERE
Escalade des droits Majeur Peu Probable 4 MODERE
Perte d'alimentation Modéré Fréquent 6 ELEVE
Espionnage à distance Majeur Probable 5 MODERE
Saturation du système d'information Mineur Très Peu Probable 1 FAIBLE
Vol de matériels Majeur Probable 5 MODERE
Utilisation non autorisée de l'équipement Majeur Probable 5 MODERE

Messagerie

MENACES IMPACT PROBABILITE RISQUE

Abus de droit Modéré Probable 4 MODERE
Corruption ou perte des données Modéré Probable 4 MODERE
Données provenant de sources non
Mineur Probable 3 MODERE
fiables
Destruction de matériel ou de supports Majeur Très Peu Probable 3 MODERE
Écoute Modéré Très Peu Probable 2 FAIBLE
Défaillance de l'équipement Modéré Probable 4 MODERE
Défaillance du matériel de
Modéré Probable 4 MODERE
télécommunication
Inondation Majeur Très Peu Probable 3 MODERE
Escalade des droits Modéré Probable 4 MODERE
Traitement illicite de données Modéré Peu Probable 3 MODERE
Perte d'alimentation Modéré Fréquent 6 ELEVE
Espionnage à distance Modéré Peu Probable 3 MODERE

Agence Nationale des Technologies de l’Information et de la Communication 15

 Saturation du système d'information Mineur Très Peu Probable 1 FAIBLE
Vol de médias ou documents Modéré Probable 4 MODERE
Vol de matériels Majeur Probable 5 MODERE
Utilisation non autorisée de l'équipement Majeur Probable 5 MODERE

Processus de Gestion de la Paie

MENACES IMPACT PROBABILITE RISQUE

Corruption ou perte des données Modéré Probable 4 MODERE
Refus (répudiation) d’actions Modéré Très Probable 5 MODERE
Erreur en cours d’utilisation Modéré Probable 4 MODERE
Défaillance de l'équipement Modéré Très Probable 5 MODERE

CIRT : Gestion du .cm

MENACES IMPACT PROBABILITE RISQUE

Abus de droit Majeur Probable 4 MODERE
Violation de la maintenabilité du système
Mineur Très Probable 4 MODERE
d'information
Violation de la disponibilité du personnel Majeur Probable 4 MODERE
Corruption ou perte des données Catastrophique Probable 5 MODERE
Destruction de matériel ou de supports Catastrophique Probable 6 ELEVE
Erreur en cours d'utilisation Majeur Très Peu Probable 3 MODERE
Défaillance de l'équipement Catastrophique Peu Probable 5 MODERE
Défaillance du matériel de
Catastrophique Probable 6 ELEVE
télécommunication
Inondation Catastrophique Très Peu Probable 4 MODERE
Escalade des droits Catastrophique Très Peu Probable 4 MODERE
Traitement illicite de données Majeur Probable 5 MODERE
Perte d'alimentation Modéré Probable 4 MODERE
Incendie Catastrophique Peu Probable 5 MODERE
Espionnage à distance Modéré Probable 4 MODERE
Vol de matériels Catastrophique Probable 6 ELEVE
Utilisation non autorisée de l'équipement Modéré Peu Probable 3 MODERE

DEDT

Agence Nationale des Technologies de l’Information et de la Communication 16

 MENACES IMPACT PROBABILITE RISQUE
Abus de droit Majeur Fréquent 7 ELEVE
Violation de la maintenabilité du système
Modéré Fréquent 6 ELEVE
d'information
Violation de la disponibilité du personnel Modéré Très Probable 5 MODERE
Corruption ou perte des données Majeur Fréquent 7 ELEVE
Destruction de matériel ou de supports Majeur Très Probable 6 ELEVE
Erreur en cours d'utilisation Mineur Très Probable 4 MODERE
Défaillance de l'équipement Mineur Probable 3 MODERE
Défaillance du matériel de
Modéré Probable 4 MODERE
télécommunication
Inondation Majeur Fréquent 7 ELEVE
Escalade des droits Mineur Fréquent 5 MODERE
Traitement illicite de données Majeur Très Probable 6 ELEVE
Perte d'alimentation Modéré Probable 4 MODERE
Incendie Majeur Très Probable 6 ELEVE

Agence Nationale des Technologies de l’Information et de la Communication 17

 Cartographie des risques par activité

Gestion de la Paie
Messagerie
Site WEB

DEDT
CIRT
DAS
PKI
Abus de droit              
Violation de la maintenabilité du système d'information              
Violation de la disponibilité du personnel              
Corruption ou perte des données              
Données provenant de sources non fiables              
Refus (répudiation) d'actions              
Destruction de matériel ou de supports              
La poussière, la corrosion, la congélation              
Écoute              
Erreur en cours d'utilisation              
Défaillance de l'équipement              
Défaillance du matériel de télécommunication              
Inondation              
Incendie              
Escalade des droits              
Traitement illicite de données              
Perte d'alimentation              
Phénomène météorologique              
Espionnage à distance              
Saturation du système d'information              
Altération de logiciels              
Vol de médias ou documents              
Vol de matériels              
Utilisation non autorisée de l'équipement              

Agence Nationale des Technologies de l’Information et de la Communication 18

 8. TRAITEMENT DU RISQUE

CONCLUSION

A l’issu de ce travail de cartographie des risques informatiques de l’Agence, il importe de relever le

constat global qui se dégage, ainsi que les principaux facteurs d’incertitude ou d’incomplétude de
notre analyse.

Du constat global :

De l’incertitude :

Agence Nationale des Technologies de l’Information et de la Communication 19